如何定义内部控制的有效性——COSO新版内部控制框架解读(三)
前我们介绍了内部控制的定义和内部控制的目标、要素及原则,本章我们介绍下什么叫有效的内部控制。
一、内部控制的目标是管理风险
我们经常谈起建立有效的内部控制、保持内部控制的有效性,到底如何评价内部控制的有效性呢?
按照COSO的说法,有效的内部控制的目标是什么?
将影响目标实现的风险降低至可接受的水平!
请仔细读一下这句话,有效的内部控制是为了降低风险到可接受的程度,以增大实现组织运营、报告、合规目标的把握,这句话其实明确了以风险为导向的内部控制,也明确了内部控制是风险管理的一部分,或者说是风险管理中风险控制或应对的一种手段,这是风险管理和内部控制两者之间关系的又一例证。
当然,COSO在发布2013年内控框架时,采用的风险定义还是老版本:
风险:事件发生并对目标实现产生负面影响的可能性。
不管是哪个版本,COSO表述内控目标的那句话其实是个重复病句,这个我们不怪COSO,很多人理解不到那个程度,如果表述更准确一些可以这么说:
将影响目标实现的不确定性降低至可接受的水平。
如果你还记得我们对风险的独家定义:影响目标实现的不确定性(Uncertainty of achieving objectives)。
看看,这才和我们定义对上了,逻辑才通顺,或者表述为:
将相关风险降低至可接受的水平。
而这个降低至可接受水平的过程就是风险管理。
二、如何实现内部控制的目标
上篇我们讲了,内部控制的目标有三个:实现组织运营的效率和效果、真实可靠的内外部报告、法律法规及政策的遵从性。
本内部控制框架提供了一个五要素、17项原则、82个关注点的主体内容,如果要建立和维持一个有效的内部控制,组织需要:
1、要素和原则均存在;
在设计和运行内控体系时,要确定这些要素和原则已被考虑并存在。
2、要素和原则持续运行;
不仅是存在,是需要持续存在,不能间断或在运行过程中消失。
3、要素和原则相互关联、共同运行;
不仅要存在、持续存在,还要以一种相互关联的持续存在,各要素和原则的运行不是孤立的。
COSO认为本框架提出的五要素和17个原则是普适性的,任何的组织要评价自身内控的有效性时,都应该涵盖这些要素和其对应的这些原则,除非在一些特殊环境下(行业、监管、治理、技术应用),经过充分论证才可以决定某原则不适用或不与其要素直接关联。
但是,对于82个关注点是否需要和要素及原则一样需要持续存在和共同运行,COSO为了保持其框架的灵活性,在最终稿里删除了这样的要求。也就是说,COSO不强制要求对本框架中所列关注点进行单独评估以得出内部控制是否有效的结论,企业根据自身情况,如有必要,可以对某一原则的体现方式——关注点进行统一评价或增删修订。
但就17项原则的具体体现而言,COSO罗列的这些关注点确实是都有很强的代表性和系统性。
四、内部控制缺陷
内部控制缺陷是指影响内部控制有效实施的控制薄弱环节或漏洞,会导致组织无法实现控制目标。
如果组织中存在一项重大的内部控制缺陷,表明这个组织对应的内部控制要素或原则一定有一个或多个不存在或并未持续运行或未共同运行。
在这种情况下,就可得出内部控制无效的结论。但是,重大缺陷的判定标准需要企业自行制定,不论是COSO还是中国的内控基本规范都没有给出定量的标准,看一下我国内部控制评价指引中对于缺陷的定义:
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上述要求自行确定。
我们看一份今年的无效内部控制评价结论的例子:
上个月天津港披露了自己的内部控制评价报告,出具了无效意见,审计机构也出具了否定意见的内部控制审计报告。
天津港如何定义的重大缺陷标准以及重大缺陷是什么呢?
与财务报告相关的内部控制缺陷评价定量标准:
与财务报告相关的内部控制缺陷评价定性标准:
据天津港早期信息披露,其全资子公司天津港焦炭码头有限公司一名财务人员涉嫌贪污公款1.539亿元,其财务报告存在重大错报,错报金额与贪污金额一致。
重大缺陷的得出是根据定性标准还是定量标准呢?从结论看应该是按照定性标准达到了重大缺陷的程度。
这就是由于内部控制出现重大缺陷导致公司实现财务报告目标的控制无效,从而得出和财务报告相关的内部控制体系无效的结论。
五、有没有与好不好
通过上面这些内容,我们知道判断一个企业的内部控制是否有效,需要判断这些要素和原则是否持续存在和共同运行。
但是,COSO提出的判断标准是一个最基础的判断标准,就是这些要素和原则有没有,是否在运行。
如果你可以证明这些要素和原则持续存在并共同运行,既可以得出内部控制有效的结论。
实际上从一个组织的运营的角度,还有更高的要求,那就是运行的效果如何?运行的好坏如何?这个方面是COSO没有给出的内容,也是让企业从重形式到重内容非常重要的部分。
这是内部控制能力和内部控制成熟度需要考虑的内容,这部分内容是目前理论界和实践界未来要探索的方向,我其实一直在开发衡量一个企业风险管理能力和成熟度的模型,一个企业不应该仅仅为了满足外部要求、在外部的驱动下建立风险管理和内部控制体系,很容易走形式和应付。
如果领导层真的想进行精细化管控,打牢企业管理的基础,要进行更为主动的内部控制设计和实施,化被动为主动,变形式成内容,把表面功夫融入内里,才会是真正好用的内部控制。
COSO在本书的第三大部分专门给出了内部控制体系的评估工具模板,我们到时候再给大家详细介绍。
相关扩展
精华汇总
【收藏】最全的COSO新版企业风险管理框架解读大集合
【收藏】最全的ISO31000新版风险管理国际标准解读大集合
【收藏】风险管理学习资料汇总目录,从入门到高级都有了
【收藏】大风控114篇原创分享汇总大全
【收藏】中国风控领域政策文件汇编大全(102份)—2020.3