2015年
财会月刊(28期)
参考借鉴
对COSO内部控制框架的重构与诠释

作  者
王 珏(副教授)

作者单位
(石家庄铁路职业技术学院经济管理系,石家庄 050041)

摘  要

      【摘要】COSO内部控制框架是遵循管理学派的学术传统,依据管理五职能建立的管理框架体系而形成的COSO内部控制框架雏形。由于管理学派机械地将管理五职能看作是按顺序开展工作的体系,导致COSO将内部控制框架视为控制“政策和程序”的集合。然而,管理职能体系应是一个水乳交融、无法割裂的有机整体。本文在分析了误读COSO内部控制框架的根源后,对COSO内部控制框架进行了重构与诠释,在内部控制与管理会计之间架起了一座新的桥梁,可为内部控制框架研究提供参考。
【关键词】COSO;内部控制框架;管理职能;管理学派;管理会计

一、前言
美国反虚假财务报告委员会下属的发起人委员会(COSO)从1992年开始陆续提出了各类内部控制结构模型,其中最为典型的是金字塔结构、立方体结构、倒立方体结构和环状结构四类模型,形成了以要素来评价和建设COSO内部控制框架实务和理论的基础,建立了COSO内部控制的新范式。然而,COSO内部控制的结构要素是否为一个有机整体?还是程序与政策的结合体?或者只是一套方法而已?这些问题的答案并没有在COSO内部控制报告中给出具体阐述。因此,在2014年生成的新COSO内部控制17条原则又将被当作要素实施。这不但增加了遵循成本和监管成本,而且要继续将COSO内部控制要素予以分开评价和建设。基于此,本文提出了COSO内部控制框架的重构与诠释,以解决COSO内部控制框架的要素问题。
二、解构COSO内部控制框架
(一)COSO内部控制框架的溯源
1987年美国反虚假财务报告委员会发布了《美国反虚假财务报告委员会的报告》(简称1987年版COSO报告),该报告被称为COSO内部控制发展史上的重要文献,提出了用“广义的内部控制”取代“内部会计控制”。1988年,美国注册会计师协会(AICPA)的审计准则委员会发布了《财务报表审计中对内部控制结构的考虑》(简称《审计准则公告第55号》),确定COSO内部控制框架由控制程序、会计系统和控制环境三要素构成,并将“内部会计控制”分为控制程序和会计系统,而“广义的内部控制”则分为内部会计控制和控制环境。
1987年版COSO报告形成了COSO内部控制框架的雏形,与此同时,《审计准则公告第55号》确定了COSO内部控制框架三要素是为了实现目标的手段,其三要素都是为了控制“政策和程序”而设置的,因此,注册会计师在评估控制风险和计划财务报表审计时,应充分理解COSO内部控制框架的每一个要素。而且,《审计准则公告第55号》认为:COSO内部控制框架三要素在评价时,必须将各要素逐一进行评价,这也是COSO内部控制按照要素评价的最早雏形。另外,1987年版COSO报告的高层基调框架成为COSO内部控制框架的直接来源,其将内部控制框架分为三个步骤,即事项识别、风险评估、控制活动。可以看出,《审计准则公告第55号》和1987年版COSO报告所建立的三要素,应该作为COSO内部控制框架的直接源头。
(二)COSO内部控制框架的演变
1. 金字塔结构模型和立方体结构模型。金字塔结构模型和立方体结构模型是在1992年由COSO构建的经典模型。相比于三要素的COSO内部控制框架而言,五要素的COSO内部控制框架更像一个有机整体,试图揭开要素间的相互关系。然而,COSO仍将五要素看作是控制“政策和程序”的集合。因为COSO认为,内部控制是否有效,是一个主观判断,要看五要素是否都存在,并且是否有效地运行。所以,五要素虽然作为内部控制评价的标准,但并非五个要素具有同等地位或在同一重要性水平,不同要素之间可能存在取舍,而且,控制一个要素的目的可能在于对另一个要素的形成进行控制。
COSO对五要素的观点影响了AICPA的审计准则委员会。1996年,AICPA审计准则委员会发布了《财务报告审计中对内部控制的考虑:对审计准则公告第55号的修订》(简称《审计准则公告第78号》)。借鉴COSO的做法,AICPA审计准则委员会将控制活动以外的“政策和程序”全部修改为“控制”。这使得五要素同三要素一样,都成了控制“政策和程序”的集合。
然而,因受到金字塔结构模型的影响,一般认为五要素框架就是一个有机整体,就是按照要素来构建的内部控制系统和结构。但是,五要素框架所揭示的并非内部控制系统和结构,其只是1994年版COSO报告所提出的“一套方法”而已(虽然COSO不愿意将其视为“一套方法”)。因为,作为“一套方法”就形成了一个连续过程,包括收集信息、评估风险、识别事项、控制措施、监控活动等等步骤,形成了一个循环往复的过程。COSO有意无意形成的“一套方法”,使我们产生了误解,以为五要素框架是一套有机整体。因为,“一套方法”中的任何要素都必须发挥作用,不可或缺,而只有控制“政策和程序”的集合,才能出现取舍或替代。
2. 倒立方体结构。2013年版COSO报告,将倒立方体结构取代了金字塔结构。其实早在1995年的《审计准则公告第78号》就已经使用了倒立方体结构模型,还是五要素框架,只不过要素上下颠倒而已。
2004年版COSO报告就已经建立了八个要素的“关键元素”,并且针对这八个关键元素,分列出38个“关键元素”以及120个“关键原则”。同时,120个关键原则被认为是八个关键元素固有的,若将“关键元素”作为“实现要素”的政策,则“关键原则”将成为“实现元素”的程序,而这38个“关键元素”以及120个“关键原则”都可视为“政策”,也就是要素中固有的原则。
2006年版COSO报告已将38个“关键元素”改为20个“基本原则”,120个“关键原则”改为75个“属性”。2006年版COSO报告指出:原则就是内部控制的基本概念,直接来源于五要素框架;而属性则是原则的特征,支持着每一个基本原则。由此可以看出,2006年版COSO报告中的20个“基本原则”就是“政策”,而75个“属性”则是执行“基本原则”的程序。
2013年版COSO报告将20个“原则”缩减为17个,将75个“属性”变为79个“关注点”。然而,2013年版COSO报告中的“原则导向的方法”成为其亮点之一。这是因为2013年版COSO报告中的17个原则,早在1992年就已存在,其新发布的框架只不过是1992年框架的更新版而已。由此可见,强制实施的“原则导向的方法”由来已久,而在其强制实施后,并没理解COSO内部控制框架的执行者,只能是照葫芦画瓢,按照要素、原则、关键点,逐一完成COSO内部控制的要求,以避免出现纰漏而招致法律制裁或蒙受损失。因此,“原则导向的方法”依然不是一个有机整体,还是将COSO内部控制框架理解为“控制政策和程序”的集合。
3. 环状结构。2006年版COSO报告中首次提出“环状结构”,并在2009年版COSO报告中具体运用,却在2013年版COSO报告中不再使用。因为“环状结构”模型逊色于“金字塔结构”模型,其主要是将五要素框架环形排列,虽然看起来像一个有机整体,但与立方体模型或倒立方体模型的上下排列方式并没有本质区别,因此效果不佳。
虽然,2013年版COSO报告中不再使用“环状结构”模型,但其所强调的五要素框架“共同发挥作用”却在2013年版COSO报告中付诸实施。所谓“共同发挥作用”是一个有限保障的说法,是指五个要素不能共同降低到某一目标风险的可接受水平。同时,2013年版COSO报告还指出:“共同发挥作用”要通过要素、原则和关注点共同体现,虽然体现了要素、原则和关注点不可或缺的整体性,但仍然没有关于如何进行整体性评价的解释。
综上所述,COSO内部控制框架一直在虚实两条主线中游走,虚线就是COSO有意无意形成的“一套方法”,而实线则是将五要素看作是控制“政策和程序”的集合。游走于虚实两条主线之间的五要素框架,导致了我们按照要素、原则及关注点机械地理解COSO内部控制框架的认识误区。
三、误读COSO内部控制框架的根源
(一)误读的直接根源
COSO的内部控制定义为其与管理过程融为一体奠定了基础,然而COSO内部控制框架讨论的却是如何区分二者,而不是在有机整合上下功夫。究其原因主要有两方面:一是为了将目标的设定过程全部排除在内部控制之外,而单独建立理论基础;二是试图理清计划、执行、控制三者之间的关系。这是两个紧密相关的直接原因,因为要想理清三者的关系,就必然会将目标的设定过程全部排除在外,所以,本文先重点讨论一下管理过程与内部控制的关系,再细化目标设定的全过程。
1. 管理过程与内部控制的关系。按照管理过程的观点来看,管理过程就是先做计划、再执行计划、最后控制计划实施的一个过程。如法国管理学先驱亨利·法约尔所说:“控制过程就是保障计划与执行的一致性,修正偏差后,确保计划的有效执行。”如此看来,将内部控制与管理过程分离,似乎很有道理,因为计划、执行、控制三者之间具有明显的区别。然而,COSO内部控制框架被误读的直接根源就在于机械地认为三者之间应该是泾渭分明的。其实,计划、执行、控制三者是共同作用于管理的职能,而并非单一的管理工作。
作为一个作用于管理的职能,只是全部管理过程的一个环节,而作为管理工作,就是需要所有职能共同发挥出作用,COSO内部控制框架就是误读了“职能”与“工作”。比如,控制只是一个职能,属于管理过程的一个环节,不能单独存在,没有计划和执行的控制是没有任何意义的。所以,管理职能的对象就是所有管理活动,其结果为一系列的控制,而管理与控制也是水乳交融的关系,这就是所谓的“管理就是控制”。因此,COSO内部控制框架只是机械地理解了管理过程,其试图将内部控制与管理过程分离,也是其将五要素框架视为控制“政策和程序”集合的直接原因。
2. 目标设定与管理控制的关系。2013年版COSO报告指出:内部控制是一个过程,是为了实现目的的一种手段,而不是目的。可见COSO将内部控制当作一种手段,而且机械地认为手段是手段,目的是目的。美国管理学家西蒙则认为:手段执行的过程就是为了实现某一目的,手段的阶段性目标都是为了达成最终的目的,而手段则可以看成是达成目标的阶段性目标,是为达成最终目标服务的,因此手段与目标并没有绝对界限。
COSO之所以将目标设定排除在内部控制之外,其直接根源就在于COSO只是站在独立审计视角进行内部控制研究,虽然这一视角可以减少注册会计师在内部控制审计中的责任,仅就财务报告展开评价即可,不用评价管理决策和目标设定,但为内部控制与管理过程的水乳交融设置了障碍。因为,从企业内部管理的视角看,目标设定是动态过程,要随着环境变化而调整,不能一蹴而就。而将目标设定排除在内部控制之外,就是将内部控制变成了一个机械的过程,否定了动态调整,所以,从企业内部管理的视角看,内部控制与目标设定是无法分离的整体。而COSO内部控制框架因视角不同,刻意将风险管理、管理决策同内部控制之间挖一条鸿沟,是误读内部控制框架的又一直接原因。
(二)误读的根本根源
产生误读的根本原因在于COSO内部控制框架的结构来源于管理职能体系,并且COSO内部控制框架缺少整体职能观。
1. 管理职能体系。早在1916年,法国管理学先驱亨利·法约尔提出了管理活动的五大要素,即计划、组织、指挥、协调和控制。从此,管理学理论与实践按照要素或职能来界定管理人员的职责。1955年,在孔茨和奥唐奈的《管理学原理》一书中提出了管理五职能。即计划、组织、人事、领导、控制。而依据管理五职能建立的管理框架体系成了管理理论中的经典而被广泛传播。
COSO也受其影响,因此,COSO内部控制框架几乎就是管理框架体系的重新组合。所以,COSO内部控制框架的理论来源就是《管理学原理》一书中建立的管理框架体系。尤其是管理五职能在管理框架体系中展示的结构图,自上而下,从计划到控制的执行过程,很容易就联想到COSO的立方体结构模型和倒立方体结构模型。而管理五职能的展示框架结构图,只描述了要素的运动过程,并未揭示其相互关系,究其原因在于管理职能和管理任务的混淆。
孔茨认为:“为了完成管理任务,要通过计划、控制和技术,以及一个合理的组织框架。”同时,他认为,“组织框架是为了完成管理任务而形成的环境,是一种手段而不是目的。”由此可见,管理任务、管理控制、管理职能都是完成管理工作的手段,相互之间没有融合只有协调。而且,他们排除了法约尔的协调职能,认为:“协调是管理任务的核心,不是单独职能,每个管理职能都为了协调。”所以,管理并非一个有机整体,而是控制“政策和程序”的集合,COSO内部控制框架将其视为控制“政策和程序”的集合也是源于此。
2. 整体职能观。整体职能观就是将管理职能看作一个有机整体,认为管理各职能会形成一个无法分离、相互依存的职能整体。在整体职能观的整体框架中,不能片面强调某一职能,更没有哪个职能离开整体后可以单独发挥作用。
COSO内部控制框架被视为控制“政策和程序”的集合,说明COSO看到了管理职能发挥作用的外在表现即结果,而未能看到发挥作用的过程即本质。导致了研究者通过各自不同的视角,以界定控制要素和管理职能的现状。如果将管理职能看作一个有机整体,就将形成一套整体职能观的方法,具有广泛适用性。所以,只有将管理职能理解为“一套方法”,才能为COSO内部控制框架的建立奠定更坚实的理论基础。
然而,韦里克和孔茨则认为:“管理决策虽然是重要的,但对于管理全面理论而言,其过于狭窄,而如果随意扩展,又将过于宽泛。”因此他们不同意管理决策的广泛适用性。而其按照顺序排列的管理五职能框架,只是一环套一环的管理工作而已,并非系统的分析法。所以,COSO内部控制框架因其只是站在独立审计的视角上,并不希望管理决策的方法过于广泛适用,这也是COSO不愿意将其视为“一套方法”的根源所在。
四、COSO内部控制框架重构与诠释
(一)管理与控制相互融合的内部控制架构
管理与控制相互融合的内部控制架构思路,是基于COSO“金字塔结构”模型和内部控制结构的雏形,结合整体职能观,针对组织的文化和管理的制度,重构内部控制架构。
1. 制度管理与文化管理相融合。制度管理与文化管理的契合点在于二者都要体现出管理者的意志。组织的管理者通过一整套的制度建设体系,以约束组织成员的具体行为,使组织管理者制定的制度和自身的价值观被组织成员逐渐接受。通过长期实践,使得组织成员逐渐接受组织管理者的强制性制度,并将其转换为组织成员的行为选择和思维方式,以此逐渐形成组织内的文化管理。所以,组织制度管理与文化管理的融合,使其二者相互作用,促使组织有序运行。
2. 管理制度与管理职能相结合。管理职能主要借用《管理学原理》一书中的计划、组织、人事、领导、控制五职能,但仅用其名不用其意。管理五职能不再是彼此独立的管理工作,而是一个有机整体,相互联系、融为一体。使得组织在对管理对象制定管理制度时,充分考虑每个管理职能,最终使得每个管理制度都体现一个控制活动。使管理制度成为控制制度,形成管理与控制相互融合。
当然,在制定管理制度时,首先要明确行为规范、管理理念、责权体系、人事政策和组织结构。这些是开始计划和控制的基础,在这个基础上,再规定详细的计划制定和流程控制要求,形成一项管理制度由五项管理职能的控制活动构成,五项管理职能对管理制度做出动态调整的过程。
3. 控制活动体现控制要素要求。内部控制体系就是将整体职能描述为内部控制和风险管理的体系,组织计划可以被分解为目标设定、事项识别、风险评估、风险应对四点要素,控制职能则可以分为监控活动和控制活动两点要素,再加上信息沟通与控制环境两点要素,共同形成八要素的内部控制整体框架,八要素相互依存形成一个有机整体。
(二)监控活动与控制活动的关系
监控活动与控制活动都是内部控制框架的外在表现,监控活动的本质是对控制活动的再控制。监控活动与控制活动存在“日常监督”的重叠,因此,遇到一项“日常监督”,如何区分是监控活动还是控制活动呢?
一般从四个角度进行判断:①基于业务流程进行判断。2004年版COSO报告给出了判断标准,即流程控制外的活动称为“监控活动”,而流程控制内的活动,界定为“控制活动”。②基于频率的判断。2013年版COSO报告给出了判断标准,即业务流程的一部分,每日、每周的监督称为“控制活动”,而每月、季度、半年的监管活动则是“监控活动”。③基于职位的判断。2004年版COSO报告指出:辅助管理人员或经营管理人员执行的日常监督,一般称为“控制活动”,而具有较高职位的管理人员执行的日常监督,则被称为“监控活动”。④基于职能的判断。依据我国国资委和中国内部审计协会的观点:职能部门和业务单位执行的日常监督,一般称为“控制活动”,也就是第一道防线;风险管理委员会下属的职能部门所执行的日常监督,一般也属于“控制活动”,属于第二道防线;由审计委员会领导的内部审计所执行的日常监督,则属于“监控活动”,是第三道防线。
内部控制框架的重构和诠释如右上图所示,将内部控制框架作为一个管控融合的体系,由信息沟通环绕框架周围,以传递内外部信息。将制度管理与文化管理相互交融,保障组织有效运行,组织制度建设综合考虑管理职能五要素,并且五要素框架融为一体,相互影响。将计划的制定分解为四过程,结合控制环境随时调整,最终形成一系列的监控活动和控制活动。由此,内部控制框架得以重新解构和诠释。
五、总结
通过对内部控制框架的重新解构和诠释可以看出,内部控制框架的运行机理和系统结构将成为新的研究课题,这在内部控制与管理会计中的“控制系统研究”之间架起了一座新的桥梁,使内部控制与管理会计之间形成了有机联系,为内部控制框架研究提供了参考。
主要参考文献
阚京华,周友梅.COSO内部控制框架的变化解析与启示:从形式到内容[J].会计之友,2015(4).
曹宇.新COSO框架对我国公共部门内部控制的启示[J].中国内部审计,2014(12).
白华,郑晓晓,杨春雪.COSO监控指引:一个整体框架[J].财会月刊,2012(2).
冯宽.风险管理导向下的成本费用内部控制探析[J].审计月刊,2012(3).
邱亮.企业会计信息系统内部控制研究[J].财会通讯,2014(34).
白华.COSO内部控制结构之谜[J].会计研究,2015(328).
熊传慧.企业实施内部控制的方法和手段[J].审计月刊,2011(12).