COSO推出的内框框架正逐渐在美国被接受。虽然COCO和COSO有重合和一致的地方,但也存在差别。
两个文件的主要差别如下。至于这些差异具体情况下会表现为哪些实际差异,要看实际使用时,框架怎么阐释和怎么使用。但控制标准委员会相信,遵循本指引的组织也已考虑了COSO框架的组成要素。
定义和范围
COSO把内控定义为“受组织的董事会、管理层和其他人员影响的过程,旨在合理保证实现下列目标:
- 运营的效能和效率。
- 财务报告的可靠性。
- 遵循法律法规。
- 运营的效能和效率。
- 内部报告和外部报告的可靠性。
- 遵循法律法规和内部政策。
隐含概念
有些概念COSO没有点明,但COCO中明确了这些概念:
- 组织存在未能识别和利用机会的风险,控制包含识别和降低这种风险。(第7段)
- 控制包含识别和降低未能保持组织灵活性的风险,灵活性是指组织能对意料之外的风险和机会做出反应并能利用机会管理风险,此外,能够在缺乏明确信息时根据一些迹象做决策。(第7段)
- COCO包含COSO中没有明确说的两条标准,即人和人之间的互相信任(B4)以及定期挑战假设(D3)。此外,COCO指引中的监督包括监督运营业绩,而COSO的监督只局限于对控制措施的监督。
判断控制有效性
COSO这么说:
如果董事会和管理层可以合理保证下列几项,就可以认为这三类类的控制有效。
- 他们清楚多大程度上可以实现组织的运营目标。
- 公布的财务报表可靠。
- 相关的法律法规都得到遵循。
CoCo和它有三大不同:
- 评价控制有效性要看特定目标(如客户服务水平),而不是某类目标(如运营的有效性和效率)
- COCO要求评估控制有效性要对照着20条标准。而COSO要求按五要素评估,并为每个要素提供“要考虑的问题”。所有COSO“要考虑的问题”在COCO中都直接或间接提到,除了下面几点:
- 管理层对员工建议的接受程度,员工建议包括如何提高生产率、质量和其他改进。
- 日常工作中能多大程度上获取内控体系持续发挥作用的证据。
- 外部组织多大程度上意识到组织道德准则的存在。
- 培训课、计划会议和其他会议多大程度上能反馈给管理层关于控制有效运行的信息。
- 控制评估的文件是否够正式。
- COCO包括对有效控制的定义:控制旨在帮助组织可靠地实现目标。如果组织能合理保证它能实现目标,控制就是有效的。或者,换句话说,如果组织可以承受未能实现目标的剩余风险,控制就是有效的。(词汇表)
把COCO的酒装在COSO的瓶子里
COCO的标准可以按不同的标准分类。下面显示怎么按COSO五要素框架分类。
控制环境
B1 组织应该制定整个组织共享的道德观,道德观应在整个组织范围内沟通并落实。道德观包括正直的理念。
B2 人力资源政策和实践应该和组织的道德观保持一致,而且,也应该有助于实现组织的目标。
B3 权力、工作责任和受托责任应该清楚地界定,三者要和组织目标一致,这样才会有合适的人来决策和采取行动。
B4 应该培育互信的工作氛围,互信的工作氛围使人员间的信息流动更顺畅,使人能更有效的工作以实现组织目标。
C1 员工应拥有实现组织目标所需的知识、技能和工具。
风险评估
A1 应该制订目标并进行沟通。
A2 要识别和评估影响组织实现目标的重大内外部风险。
A4 应该制定计划来实现目标,计划要沟通。
A5 目标和计划应包括量化绩效目标和计划指标。D1 应监视组织的内外环境,获取可能预示组织需要重新评估目标或控制的信息。
控制措施
A3 支持目标实现和管理风险的政策,应该制定并进行沟通和落实,只有这样,员工才能理解组织期望他们做什么和他们行动时有多少自由空间。
C4 组织内不同部门的决策和行动要协调一致。
C5 控制措施做为组织的组成部分设计,考虑组织的目标,影响目标实现的风险和控制要素之间的关联性。
信息和沟通
C2 沟通过程应符合组织价值观要求,并能促进组织目标的实现。
C3 必须确认需要什么信息,信息应该充分、相关并要及时沟通,确保组织成员可以履行各自的责任
A4 应该制定计划来实现目标,计划要沟通。D4 目标调整或者发现报告存在缺陷时,信息及信息系统应重新评估。
监督
D2 监视业绩时应该对照组织目标和规划所确定的具体目标和指标。
D3 支撑组织目标的假设要定期审视。
D5 应该制定并实施跟进程序,确保变革或纠正行动最终落实。
D6 管理层应定期评估组织内控制的有效性并把评估结果向负责的人沟通。
No comments:
Post a Comment