内部控制的定义——COSO新版内控框架解读(一)
2013新版的内部控制定义,沿用了1992年的内部控制的定义:
内部控制是一个由主体(一般指公司)的董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的过程。
COSO内部控制整合框架·2013
这其实是一个解释性定义,解释了这项工作的实施主体和主要目标,这个定义中含有几个方面的内容,需要大家理解一下。
1、一个过程
内部控制这些工作最后落脚点为一个过程(process),当然,之前COSO定义的风险管理也是一个过程,但是,现在有一些变化。
央企指引中将风险管理作为一种过程和方法。
ISO31000定义的风险管理是一系列控制和协调的活动。
新版COSO定义的风险管理是一种能力、文化和实践。
到目前为止,关于风险管理是侧重过程还是针对结果,还是有不同意见,我们和国内外的一些专家也还是在持续讨论。
内部控制的定义还算是比较统一,国内的内控规范也将其称为一个过程,当然这个过程是实现目标的过程。
这个过程和ISO风险管理标准中的过程强调的一样,是一个持续的、循环往复的过程。
2、全员实施
董事会、管理层和其他员工基本涵盖了公司的所有人,表明内控框架是需要将组织所有人都纳入遵守和执行范围,而不是为某一个特定人或特定团体服务。
这需要强调在我们前些年中国企业执行内部控制时,公司的高层特别是一把手会游离在内部控制之外,把内部控制作为其控制公司的手段,这样会使内部控制的有效性打折,当领导层带头突破内部控制时,为全员设立了一个不好的“基调”,为某些控制环节失效埋下了隐患。
3、以实现相应目标为宗旨
内部控制目前的实现目标的范畴定义在三个方面:运营目标、报告目标和合规目标。
运营目标——侧重提升对企业运营的效率和效果;关于对运营目标的支撑其实是内部控制的一个非常重要的功能,但西方最开始并没有明确这方面的具体要求,而中国内控体系中则一开始就对各个业务板块的内控提出了明确的应用指引。
报告目标——侧重对内外部财务和非财务报告的真实性、可靠性以及及时性。其中对外财务报告目标是其最原始的目标,也是最重要、最有效的一类目标。其余的报告目标为本次修订新增。
合规目标——遵守组织适用的法律法规(侧重外部)。COSO内控的合规目标并不是我们今天在国内谈的大合规的内容,它相对简单直接,就是针对对外部法律法规的遵从性。
所以今天很多企业在建立合规管理体系,其实其中很大一部分工作是内部控制工作,因为都是需要建立合规管理工作的制度性保障。
合规管理体系和内部控制体系两条线不应该被割裂开来开展。
4、只提供合理保证
内部控制为公司实现上述的三个目标只提供合理保证,没有任何一个管理体系可以对实现某类目标提供绝对保证,和组织有关、和目标有关、和管理体系本身的局限性有关、和投入的资源和效果有关。
所以,内部控制不是药到病除的良丹妙药,能发挥多大的效用根据环境不同有很大不同。
但是,虽然内部控制不能解决所有问题,但是它确实给企业增强自身的控制能力,使公司的运营更加制度化、规范化,更好的平衡控制和效率之间提供了一个系统的视角,对于企业来讲,是不可或缺的。
如果一家没有内部控制的企业、或者是在重大管理环节存在致命漏洞的企业,是不足以被信任的,早晚会出事。
如果企业不想依靠运气来生存和发展,建立健全内部控制是必由之路!
相关扩展
精华汇总
【收藏】最全的COSO新版企业风险管理框架解读大集合
【收藏】最全的ISO31000新版风险管理国际标准解读大集合
【收藏】风险管理学习资料汇总目录,从入门到高级都有了
【收藏】大风控114篇原创分享汇总大全
【收藏】中国风控领域政策文件汇编大全(102份)—2020.3