COSO《较小型公众公司财务报告内部控制指南》介绍
——行业发展研究资料（No.2007－1）

 

─────────────────────────────

美国反虚假财务报告委员会管理组织（COSO）一直致力于内部控制的研究，其1992年发布的《内部控制—综合框架》和2004年发布的《内部控制—风险框架》已经成为内部控制理论研究者和实务工作者所推崇的经典。2006年，COSO发布了《较小型公众公司财务报告内部控制指南》，就较小型公众公司如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制提供指导，包括较小型公众公司在财务报告内部控制方面的主要观点以及解释性工具。

内部控制对于注册会计师降低执业风险有着重要的意义，为了帮助大家了解国际上内部控制研究的最新发展，我们组织整理了对《较小型公众公司财务报告内部控制指南》的简要介绍。现予编发，供参考。

──────────────────────────── 

                                      中国注册会计师协会编

                                      二ＯＯ七年八月十三日

 

COSO《较小型公众公司

财务报告内部控制指南》介绍

 

1992年美国反虚假财务报告委员会管理组织（COSO）发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。此后，《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。

同时，财务报告和相关立法以及监管环境也发生了变革。值得注意的是，2002年美国颁布了《萨班斯法案》。其中，《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。

随着情况的发展和时间的推移，这项框架到今天仍然是有效的，遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。然而，较小型公众公司在面对执行第404号条款的挑战时，承受了意料之外的成本。为了指导较小型公众公司执行第404条款，美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》（以下简称《指南》）。

《指南》并非是对《内部控制—综合框架》的取代亦或修改，而是就如何应用提供了指导。就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面，《指南》为较小型公众公司提供了指导（当然《指南》也同样适用于大型公司）。尽管《指南》本意上是为了帮助管理层建立和维持财务报告内部控制的有效性而制定的，但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。

《指南》分为三部分，第一部分是概要，向公司董事会和高层管理人员介绍了整个文件的主要内容。

第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点，其中描述了公司的特征，这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。此外，还从《内部控制—综合框架》中提炼了20个基本原则，并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。

第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。

高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣，并在必要的情形下参考第二部分的其它章节，而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。

一、“较小型”公众公司的特征

尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”，但《指南》并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”，这意味着《指南》适用于更大范围内的公司。《指南》对“较小型公众公司”的特征作了如下的描述：

1．较少的业务范围，并且每一项业务内只有较少的产品；

2．从渠道和地域上而言，市场相对集中；

3．管理层在重大的所有权利益和权力上占据主导地位；

4．相对于控制的广度，管理的层级相对较少；

5．相对简单的交易处理系统和规程；

6．较少的员工，而每位员工担负更多的职责；

7．在各种支持性岗位（如：法律、人力资源、会计和内部审计）上所提供的资源有限。

尽管上述特征还没有明确的定义。但是事实上，公司的收入、员工数量、资产或其他因素的规模都影响着上述特征，或受到上述特征的影响，进而形成我们对较小型公众公司的概念。

二、成本和收益

公众公司，尤其是较小型公众公司的管理层和其他利益相关者，对遵从第404号条款的成本极为关注，而对遵从带来的收益却关注较少。尽管可能很难计量错误的财务报告所带来的影响，但是公司错报的市场反映明确地表明，无论公司规模的大小，投资团体都无法容忍财务报告的错报。因此，有效的内部控制就显得十分必要。

加强内部控制所带来的最为重要的收益是，增强公司进入资本市场的能力，而反过来，资本市场又推动了改革和经济增长。其他收益包括管理者作出决策所需要的可靠且及时的信息，提高公司交易机制的速度和可靠性，以及与合伙人和客户沟通经营业绩信息的能力。

三、在实现具有成本效率的内部控制上所面临的挑战

较小型公众公司的特征决定了要实现符合成本效率原则的内部控制是一个重要挑战。特别是对于那些将控制看作是增加了现有企业体系管理负担的管理者而言，尤其如此。这些管理者不认为公司需要内部控制。

较小型公众公司所面临的挑战包括：

1．获取充分的资源以实现充分的岗位分离；

2．当面对违反内部控制制度的机会时，管理者控制自我行为的能力；

3．聘用具有必需的财务报告和其他方面专门技术的专家，以有效地服务于董事会和审计委员会；

4．聘用并留住在会计和财务报告方面具有充分的经验和技能的人员；

5．将管理层关注的重点从公司的有序运行转移到给会计和财务报告方面予以充分的关注上来；

6．以有限的技术资源对计算机信息系统保持恰当的控制。

尽管所有的公司在设计和报告财务报告内部控制时都要发生新的成本，但是这一成本相对于较小型公众公司的规模而言，其负担可能更重。尽管资源有限，但是较小型公众公司通常能够应对这个挑战并能用按照符合成本效率原则的方式成功地实现有效的内部控制。《指南》中描述了多种用以实现这一目标的方法，其中一些已经在许多较小型公众公司得以应用，并受到管理层的好评。具体而言，常用方法包括：

（一）高层的广泛和直接控制

许多较小型公众公司受到公司创始人或其他领导人的控制，这些领导人通过大量的个人判断为公司员工指出工作的方向。这种制度安排不仅对于实现公司的增长和其他目标十分关键，同时也能够在财务报告的有效内部控制方面作出重要贡献。企业领导者在企业各方面的深厚背景知识，包括运营、程序、合约的安排以及企业风险等，使企业领导者明白知道自己需要从财务报告系统产生的报告中获取什么信息。

（二）有效的董事会

较小型公众公司通常以相对简单的企业结构进行相对直接的企业运作，这使董事们可以更深入地获取企业活动的信息。公司董事们通常在公司发展期间就已经深入参与公司的经营，这使他们能够从公司发展历史的角度来思考问题。加之经常能接触到大多数的管理层并进行沟通，这些都有助于董事会及其审计委员会更有效地执行对财务报告的监督责任。

（三）对岗位分离局限性的弥补

由于资源的限制，较小型公众公司的员工数量有限，有时会导致一些岗位难以单独设立。为此，管理层采取一些措施来弥补这一问题。这包括，管理层会检查细节交易的系统报告；有选择地检查某些交易的支持性文件；定期盘点实物存货、设备或其它资产，并与会计记录相对照；复核账户余额调节甚至亲自进行账户余额的调整。在许多较小型公众公司中，管理层已经在从事上述的工作以便确保报告的可靠性，这些工作将有助于确保有效的内部控制。

（四）信息技术

内部控制信息技术资源获取困难的问题通常是通过使用其他人编写和维护的软件来解决的。虽然这些软件的使用范围有限，但是也已规避了很多与内部系统相关的风险。很明显的是，由于程序转换控制通常只能由软件开发公司进行，而一般较小型公众公司的人员因缺乏专业技术知识而无法做出未经授权的修改，因此对程序转换控制的需求并不高。这种商用程序通常以附带工具的形式为公司职员的工作带来便利，包括：访问或者修改特定数据、对数据处理的完整性和精确性进行检查以及维护相关文件。

采用附带的应用型控制功能较多的软件，可以带来许多的便利，这包括：提高操作的一致性、自动化调节、方便将意外情况汇报给管理层、以及支持合理的岗位分离。较小型公众公司可以充分利用这些功能所带来的优势，保证控制环节的顺畅。

（五）监控活动

监控部分是《内部控制—综合框架》中重要的一部分，管理层在公司运营中执行的大量日常活动可以反映内部控制系统的其他要素所发挥的作用[1]。许多较小型公众公司管理层经常执行这些程序，但是却并不能对提高内部控制的效果产生积极作用。这些活动一般是手动执行，有时由计算机软件支持，在设计和评估内部控制的时候应当对此予以充分的考虑。

在评估和报告内部控制的第一年之后，许多公司在第二年再次执行评估程序时，并没有降低多少的成本。然而，有一种不同的方法可以提高内部控制的效率。通过关注现有的或通过少量的努力就可以在未来实现的监控活动，管理层确定以前年度所发生的财务报告系统的变化，从而确定需要进行更进一步详细测试的环节。对于一个有效的内部控制系统而言，所有的五大内部控制要素都必须到位，且运转有效，对每一要素的部分测试也是必要的，但是有效的监控活动通常可以弥补其它要素中的缺陷，降低内部控制评估工作量从而全方位提升效率。

四、获得更高的效率

除上述方面需要纳入考虑之外，通过强调那些直接适用于公司的活动和环境的财务报告目标、基于风险的内部控制方法、恰当规模的归档、视内部控制为完整过程以及从总体上考虑内部控制各要素，可以提高公司在设计、应用或评估内部控制方面的效率。

《内部控制—综合框架》认为，一个实体必须首先确立恰当的财务报告目标。从一个较高的角度而言，财务报告的目标是编制可靠的财务报表，同时就财务报表中不存在重大错报做出合理的保证。在这个最高目标之下，管理层需要在公司的财务报表核算和相关披露中，建立与公司的经营活动、环境以及正确的反应相关的一些支持性目标。这些目标可能受监管因素或管理层制定目标时所考虑的其它因素的影响。

通过强调那些直接适用于公司以及公司活动和环境（这些活动和环境是指对公司财务报告有着重大影响的活动或环境）的财务报告目标，可以获得更高的效率。经验表明这可以通过以公司的财务报表为起始点，并为这些对财务报表产生重大影响的经营活动、过程以及事件确定支持性目标，从而最有效地得以实现。

（一）重视风险

尽管管理层需要关注多方面的风险，但是其最需要考虑的是其核心目标所面临的风险，这其中包括编制可靠的财务报告所面临风险。风险基础方法强调对财务报告产生潜在影响的定量和定性因素，并确定在交易过程或其他财务报表编制过程中哪些地方可能出错。通过重视核心目标，管理层能够确定风险评估恰当的广度和深度。通常，在最初设计和执行内部控制时，就需要对风险予以考虑，要确定目标的风险并加以分析，进而形成风险管理的基础。此外，还要评估内部控制在减轻这些目标的风险方面是否有效。

在评估内部控制效果时，通常考虑的是利用具有“代表性”组织的常见控制措施来评估控制效果。但一个意料之外的结果是管理层有时会关注一些“标准的”或“代表性”控制措施，而这些控制措施与公司的财务报告目标或与这些目标相关的风险并没有什么关系。一个可能遇到的问题是，在没有确认整个评估程序是否真的与获得可靠的财务报告相关之前，就开始对会计系统的细节进行评价，并对会计系统的资料进行深入归档。并不是说，这样的做法毫无用处。但是，无论采用什么方法，只有关注管理层为公司经营活动和环境所设立的目标，才能提高内部控制的效率。

（二）恰当规模的归档

公司出于各种不同的原因对经营过程、程序以及内部控制系统的其他要素进行归档并保存。其中一个原因是保持前后商业运营实务的一致性。有效的归档有助于传递关于做了什么以及如何做的信息，还有助于提升对业绩的期望。另一方面归档可以帮助培训新的职员，或作为其它职员的学习资料或参考工具。归档同时还可以为报告内部控制效果提供证据。

不同的公司进行归档的水平和类型也截然不同。显然，大型公司通常有更多的业务需要归档，或者财务报告的制定过程更为复杂，所以与较小型公众公司相比就需要进行更大规模的归档。较小型公众公司通常对诸如完全政策手册、程序的系统流程图、组织架构图、以及工作描述等进行正式归档的要求较低。在较小型公众公司中，比较典型的是，较少的职员和较少的管理层级，紧密的工作关系以及更频繁的互动，这些都推动了所预想的和已实现的沟通发生。比如一个较小型公众公司，可能以备忘录的方式对人力资源、供货合同或顾客信用政策等进行归档，并通过管理层会议所提供的指南对备忘录进行修正。大型公司可能制定更详细的政策（或政策手册）来指导其职员更好地执行内部控制。

问题在于，多大规模的归档才能确保财务报告的内部控制有效。显然，这取决于环境和期望。归档的规模应当使管理层确信其内部控制是有效的，例如，帮助管理层确保所有的出货均已入账，或者定期进行了对账。然而在较小型公众公司中，管理层通常直接参与执行控制程序，这些程序可能只需要最小规模的归档，因为管理层可以通过直接观察来决定内部控制是否有效。管理层必须了解会计系统和相关程序（其中包括与编制可靠的财务报表相关的活动）是否被很好地设计、理解并恰当地被执行。

当管理层就财务报告内部控制的设计和运行的效果向监管者、利益相关者或其他第三方进行报告时，管理层面临着更高水平的个人风险，因此需要将会计系统和重要控制行为中的大多数程序进行归档以支持其对内部控制效果的判断。在考虑所必需的归档数量时，归档的性质和规模可能受到公司监管要求的影响。尽管，这并不意味着归档将会或者应当更加正式，但是这意味着归档要能够证明内部控制被恰当的设计并很好地被执行。

此外，当一个外部审计师对内部控制进行审计时，管理层需要为审计师的工作提供支持。管理层应当提供证据以证明内部控制被恰当的设计并运行有效。在考虑所需要的归档性质和规模时，管理层需要考虑到，用来证明内部控制有效的归档也可能被外部审计师用来作为其审计证据的需要。

可能有些政策和程序是非正式的，且未被归档的。但前提是，管理层能够通过日常的商业活动获得证据证明全体员工在平时都执行了这些内部控制。然而，很重要的是需要明白一点，那就是诸如风险评估之类的控制程序不能仅仅存在于CEO和CFO个人的大脑中，对部分思考过程和管理层分析的归档是必要的。《指南》中的许多实例解释了管理层如何通过正常的商业过程获得证据。

内部控制的归档需要满足企业需要并与环境相称。多大规模的归档才能证明五个内部控制要素都被有效地设计并加以执行，这本身是一个需要加以判断的问题，同时还需要考虑成本效率的问题。在实务中，证据的收集和保存也要纳入不同的财务报告过程当中。

（三）视内部控制为完整过程

视《内部控制—综合框架》中的五个内部控制要素为一个完整的过程是很有必要的，而事实上内部控制也的确如此。将内部控制视为完整过程直接影响着内部控制要素间的相互关系，并有助于意识到，管理层在选择实现其目标的内部控制时具有一定的灵活性，此外，组织可以随着时间的推移进行调整并提高其内部控制水平。

内部控制过程是以管理层根据公司特有的经营活动和环境所制定的财务报告目标为出发点的。一旦确定了目标，管理层需要确定并评估这些目标所面临的各种风险，确定哪些风险可能会导致财务报告的重大错报，并确定这些风险如何通过一系列控制活动来进行管理。管理层使用不同的方法获取、处理和沟通财务报告和其他内部控制要素所需要的信息。这些都由公司的控制环境加以确定。内部控制要素都需要受到监控以确保随着时间的流逝，控制一直运转正常。

（四）从总体上考虑内部控制各要素

《内部控制—综合框架》所提出的五个内部控制要素对实现可靠的财务报告目标都是至关重要的。确定一个公司财务报告的内部控制是否有效需要进行判断。内部控制的五个要素是共同发挥作用来防止、发现以及矫正财务报告的重大错报的。当内部控制的五个要素都能够得以执行并发挥作用，从而使得管理层能够合理的保证所编制的财务报表是可靠的时，内部控制就可以被认为是有效的。

尽管内部控制的五个要素都应当得到执行并发挥作用，却并不意味着在每个公司中，每一要素都必须同时或同等水平地发挥作用。这些要素之间需要加以平衡。内部控制的有效并不意味着内部控制的五个要素在每一个程序中都完美的发挥作用。某一要素的不足可以通过其他内部控制要素的充分发挥作用加以弥补，这种内部控制总体上的充分足以把财务报表误报的风险降到一个可接受的水平。

五、实现有效的财务报告内部控制的基本原则

《指南》提供了一整套的20项基本原则说明与《内部控制—综合框架》内部控制的五个要素相关的基本概念，这20项原则都是从这五个内部控制要素中提炼出来的。

（一）控制环境

1．诚信与道德价值观—尤其是高层管理人员需要建立并理解正确的诚信和道德价值观，并为财务报告制定行为准则。

2．董事会—董事会应当理解并行使对财务报告和相关内部控制的监管责任。

3．管理理念与经营风格—管理理念和经营风格有助于实现有效的财务报告内部控制。

4．组织架构—公司的组织架构有助于实现有效的财务报告内部控制。

5．财务报告胜任能力—公司要确保员工个人在财务报告和相关监管角色中的胜任能力。

6．授权和责任—对管理层和员工的不同授权和他们担负的不同责任应当有助于实现有效的财务报告内部控制。

7．人力资源—人力资源政策和实务的设计和实施应当有助于实现有效的财务报告内部控制。

（二）风险评估

8．财务报告目标—管理层需要确定足够透明的和有具体实现标准的财务报告目标，从而确定编制可靠的财务报告所面临的风险。

9．财务报告风险—公司需要确定和分析实现财务报告目标所面临的风险，并将其作为进行风险管理的基础。

10．舞弊风险—因舞弊而引起的重大错报的可能性需要在评估实现财务报告目标所面临的风险时加以考虑。

（三）控制活动

11．风险评估整合—要采取行动以确定实现财务报告目标所面临的风险。

12．控制活动的选择和发展—控制活动的选择和发展要考虑其在降低实现财务报告目标所面临的风险上的成本和潜力。

13．政策和程序—与可靠的财务报告相关的政策要在全公司范围内执行并沟通，同时还要有确保管理层指令得以执行的相应程序。

14．信息技术—信息技术控制的设计和执行要可行并有助于财务报告目标的实现。

（四）信息和沟通

15．财务报告信息—应当在公司各个层面确认、获取及使用有关的信息，并且信息的分发形式和时间安排应当有助于财务报告目标的实现。

16．内部控制信息—用以执行其他控制要素信息的确认、获取及分发的形式和时间安排应当使员工个人能够承担其内部控制责任。

17．内部沟通—沟通能够促使和帮助组织的各个层面对内部控制目标、程序以及个人职责的理解和执行。

18．外部沟通—同外部有关方面的沟通影响着财务报告目标的实现。

（五）监控

19．进行中的单独评估—进行中的和（/或）单独的评估使管理层能够判断财务报告内部控制是否得以执行并起到作用。

20．报告缺陷—应当与负责采取行动的组织、管理层以及理事会准确及时地确定和沟通内部控制缺陷的问题。

六、如何使用《指南》

如何使用《指南》要取决于使用者的地位和角色：

1．董事会成员—董事会成员可以将《指南》作为与高层管理人员讨论公司内部控制状况以及如何确保内部控制系统符合成本效益原则的参考。

2．高层管理人员—首席执行官、财务总监以及其他高层管理人员可以从《指南》中了解到如何通过理论上正确且符合实际的有效方法来实现有效的内部控制。他们可能会对《指南》的第一部分“概要”和第二部分“主要观点”的概述章节特别感兴趣，并可能需要参考第二部分的其它章节。

3．其他职员—其他管理者和职员需要考虑如何按照《指南》的要求履行其控制责任，并就如何提高成本效益比与更高级的职员展开讨论。他们可能需要参考《指南》的第二部分“主要观点”和第三部分“解释性工具”。

尽管《指南》并不直接适用于外部审计师，但是他们在理解其较小型公众公司客户如何按照成本效益原则应用《内部控制—综合框架》时，也需要参考《指南》。

 

 

（整理人：李珍）

 

 

 

 

─────────────────────────────

未经中国注册会计师协会许可任何单位 地址：北京市海淀区广源闸5号广源

或个人均不得将本资料用于商业目的。       大厦6层 中国注册会计师协会

作其他目的引用时请予以注明。        邮政编码：100081

网址：http://www.cicpa.org.cn      电子邮箱：yjzl@cicpa.org.cn

责任编辑：杨鸿                     

───────────────────────────── 

 

 

 

 

 

 

 

---