今天在BBS上看到有人转贴的一篇评价COSO的文章,一口气看完,觉得文采、分析都非常有特点,是我喜欢的类型 :) 故转贴之~~~~

文章有点长,帮忙总结一下中心思想:) 文章作者主要想说明 CPA为了最大化自己的利益,制定出的COSO框架存在不少缺陷,一是内部控制的范围不够宽,没有包括本应是内部控制一部分的战略规划、风险管理和纠正行为。二是内部控制的目标从范围和内容上都不够准确,范围上来说缺少对资产的保护这个目标,对于目标的描述来说过于强调财务报表和控制部分。
COSO很不错,但是不能把COSO奉为内部控制的圭臬,我想这是我们可以得到的。

[separator]
题记
读书笔记系列云云,只是一个打算,具体写什么,心里还没有个详细计划。本来就是业余玩玩,搞个什么模型,做个什么计划,显得太一本正经,也太虐待自己。
信笔由之,想到哪儿写到哪。但是,所写的东西都和读书有关,要么是抄书,要么是读书时的感想。最近正在看COSO,就从COSO开始吧。
声明一下,文章无疑体现我的偏见和写作时的情绪,不敢以客观自诩,更不敢以真理自居。一家之见,姑妄言之,姑妄听之。

屁股决定脑袋的COSO内控框架

屁股决定脑袋,或者换个文雅的说法,立场决定观点,乃古今不易之理也。亚当斯密在《国富论》中曾经说过:“我们的晚餐可不是得自屠夫、酿酒商或面包师傅的仁慈之心,而是因为他们对自己的利益特别关注,我们认为他们给我们供应,并非行善,而是为了他们的自利……”。这个观点大多数人都会认可。可不是吗?雷锋虽然有,但是不多,天下熙熙,皆为利来,天下攘攘,皆为利往,营营求利的市井之徒还是居多,我们还没有天真到期望市场涌现出活雷锋。可是,我们对自利的认识很多时候仅限于市场的有形商品,无形商品背后的自利我们缺乏足够的警觉。无形商品,特别是观点、理论,背后的自利百姓日用而不知,可能是因为我们传统对“理”的膜拜,一听到理论二字,就秉住呼吸,两股战战,汗不敢出。当然,有些观点和学说,我们还是一言看出背后涌动的利益。比如,政治主张。一般人都知道外交上的原则:“没有永恒的朋友,只有永恒的利益”。政治家的竞选演说,公众演讲,长袖善舞的合纵连横,都应作如是观。可是,政治观点以外的思想和学说,我们通常认为其出自研究者的公心,出自其对真理的探求,或出自好奇心,总之,和私利无关。实际情况呢?其实不然。COSO内控框架就是其中之一。

对注册会计师,我有本能的厌恶。当年青灯黄卷备考CPA的时候,这种感觉更为明显。当然,这是一种个人偏见。究其根源,在于我对CPA行业的保守习性颇不以为然。CPA,在这点上很象银行家。辜鸿铭给银行家下的定义至今还没有过时,“银行家就是晴天送伞,雨天收伞的人”。这个经典定义收入牛津引用语辞典,良有以也。如果没有CPA,银行家的保守可能无人望其项背。说话做事之前预先想好退路,一旦事发,可以有足够坚厚的盾牌来应对。当然,我知道,CPA,特别是美国的CPA,这种职业的保守源于层出不穷的的诉讼危机。“Deep Pocket”使得CPA不得不步步为营,每走一步,如临深渊,如履薄冰。但是,即使明白这种保守的根源,我对这种保守的反感也未尝稍减,盖前者出于理智,后者出于天性也。COSO框架就打上了这种保守的CPA牌烙印。

有人也许会说,“可是,COSO框架并不是CPA一方鼓捣出来的呀?”。这是事实,一点没错。COSO背后不仅仅是CPA。COSO的赞助方除了AICPA以外,还有AAA(美国会计协会、FEI(国际财务执行官协会)、IIA(这就不用说了)、IMA(管理会计师协会)。但是,五指之中,必有长短。各方势力并不均衡。根据集体行动的逻辑,一人一票的民主投票,最终结果必然不会皆大欢喜,还是几家欢乐几家愁,乐的总是最有权力的利益团体,最终决议的方案如果不是完全反映最大利益团体的意见,至少是绝大部分如此。各位无需看奥尔森的《集体行动的逻辑》,凭直觉和常识就能体会这一点。

言归正传开始说COSO框架。Treadway委员会在研究财务报告舞弊时就注意到需要对内控进行研究。五个赞助方各派代表组成COSO。COSO在对各种方案筛选之后,决定任用永道作为其写作班子,负责COSO框架的起草。虽然这项工作是义务劳动,没有报酬,(这的确体现了会计师事务所的深谋远虑,国内会计准则征求意见都没什么人反应,对比之下,心中黯然)永道还是开出强大的班子参与其事。领衔的是其副总裁Vincent M. O’Reilly,底下也不是泛泛之辈,包括了永道会计和SEC部门的头Frank Tanki以及其他一些主要合伙人。

在会计市场上,AICPA的幽灵无处不在。美国的会计师事务所在会计市场上处于毫无疑问的垄断地位。COSO选用会计师事务所作为项目的主要参与人并不偶然。COSO的赞助方大多是财务和会计导向的,他们对事务所非常熟悉和了解,而且,他们知道,大部分这个主题的文献要么出自会计师事务所个别人员,要么出自他们的工作小组。会计师事务所在这项工作上有得天独厚的信息资源可资参考,这是其他组织无法比拟的。

选中永道,也不意外。Vicent O’Reilly除了在所中任高职以外,还是《蒙哥马利审计学》(第十一版)的作者之一。该书是西方公共会计师的圣经,影响力超过75年。在该书的第十一版中,内控及对内控的评价占重要地位。会计师事务所的兴趣和利益主要在于财务报告,对内控的关心点反映了这一职业立场。COSO的赞助方中,财务报告导向的立场不同程度上存在,Treadway委员会本来就是靠研究财务报告舞弊起家的嘛。各赞助方的地位并不平等。不论从规模、资源、社会地位以及影响力上,AICPA都超过其他家许多,AICPA无疑是其中最大、最有钱,也最有权的组织。AICPA的影响力远及华盛顿。SEC和GAO在关键会计和审计问题上都深受AICPA影响。即使在私营部门,许多CFO、总计长、总稽核和会计师事务所都有很深的渊源,很多都有会计师事务所任职的经历。

不可否认,在COSO内控框架的定稿过程中,经过了严格的“充分程序”(due process)。大致有如下步骤:
1. 文献研究
2. 个别访谈
3. 问卷调查
4. 研讨会
5. 公开征求意见
6. 实地检验
7. 修改和会议讨论
但问题是,最终的定稿是否都吸收了相关的修改意见。不是所有的意见都是平等的,不少修改意见甚至是互相冲突的,如何取舍这些意见不可避免地反映了主事者的偏见和立场。合己见则取,不合己见则舍,虽然不一定如此,但是在选择过程中这种情况很常见。
COSO框架的最大问题在于其内控范围太小,这反映了会计师事务所在这一问题上的利益立场。COSO的内控框架背后不是企业价值最大化这一经营目标,而是会计师事务所损失最小化这一立场。从COSO内控框架中,可以闻出美国会计师事务所诉讼危机的浓烟和CPA心有余悸的心态。

“内部控制”这种提法本身就带有外部的观点。只有局外人看企业的时候才提内外,对于企业内部来说,一般都直接说“控制”。由于国内会计学教育人云亦云的跟风传统以及CPA的强大广告攻势,使得国内很多企业内部人员也在说“内部控制”,仿佛他们和CPA一样都是在窗外看问题。提“内部控制”的团体主要有两类,一是CPA,二是监管当局。在Basle的内控框架中也是运用了“内部控制”这个词。在“内部控制”和“控制”上花些笔墨,目的不是咬文嚼字,而是这种提法划定了后面的具体内容。对于内审来说,提“内部控制”无疑是不恰当的,跟着CPA说内控无意中限制了内审的活动范围。在IIA的标准中,以及加拿大的COCO中,都不说“内部控制”。COCO框架的名称就是“Guidance on control”(“控制指引”),而不是象人民银行所出的“内控指引”。在COSO框架中并没有明确区分“内部控制”和其他控制如“营运控制”(operational control)或者管理控制等范围,我们就不清楚到底COSO的含糊其辞是为了混水摸鱼,还是出于疏忽。一般人在提内部控制的时候以为包括了内部的所有控制,既包括会计控制,也包括管理控制。但其实COSO的内控范围没有那么大。

COSO认为内部控制是管理过程的一部分,但并非管理层的一切行为都是内部控制的元素。这种说法没有错。控制的目的是为了目标的实现,控制是在设定目标以后发生的事情,所以目标的设定通常是排除在控制的范围之外。但是,除了把目标制订排除在控制之外,在COSO的内控中还排斥了战略规划、风险管理和错误纠正行为。COSO的内控只包括建立控制环境要素、风险识别和分析、实施控制活动、信息确认、获取和传递、监督。这一点颇让人费解。当年我百思不得其解,因为战略规划等等都是目标实现的一个因素,怎么会在控制之外呢?但如果从现实利益的角度出发进行分析,而不是拘泥于理论的思路,谜团就解开了。当时,很多大公司都向外界提交公司内控报告,内控范围设置太宽可能会给管理当局造成太大压力,并且害怕误导外界的预期,把内控范围设得小一点无疑可以缩小“期望鸿沟”。

COSO把这些理应属于内控的东西排除在外,虽然在现实中更容易让人接受,但无疑造成了逻辑的断裂。后起的几个报告,如Basle的内控就把战略规划、风险管理和纠正行为重新纳入。(这个说法见蒋建华的《商业银行内部控制与稽核》P75,我自己没有在Basle的内控框架中找到相应内容)。加拿大COCO的20条控制标准就把计划等都包括进来。
值得一提的是,COSO虽然在内控框架中把风险管理排除在外,可是1996年COSO颁布的《衍生工具使用的内控问题》中又偷偷把风险管理塞进来。衍生金融工具使用本身就是风险管理,如果提到衍生金融工具内部控制不涉及风险管理,那无疑意味着内控要从衍生金融工具使用中退出。衍生金融工具可是一块肥肉,有谁会愿意放弃呢?这种出尔反尔的做法,如果一定要进行书斋式的纯理论探讨,而没有考虑到理论这些东西也是谋利的工具,研究的结果只能是研究人员得个神经分裂。

所以有人说,历史就是任人打扮的婢女,诚哉斯言!

目标的局限性

在COSO框架中,内控是为了对实现以下三类目标提供合理保证:
经营的效果和效率?
财务报告的可靠性?
法律法规的遵循性?
这些目标的选择又一次打上CPA的保守烙印。我分两个方面展开,首先,三类目标过于狭隘;其次,这三类目标的内容也有待商榷。
熟悉会计的人很容易就发现,这三类目标里面缺了“护卫资产”这一项。COSO中没有把这个会计控制的传统项目放到框架里面,就好像人事调整的时候,发现上届的理事长这次居然连候补委员都不是,让人好奇心大起。其实,1992年内控框架颁布以后不久,GAO的助理总审计长Donald Chapin给COSO的主席Robert L. May写了一封信,对框架的许多方面提出批评。护卫资产就是其中关键一条,GAO认为这个框架没有能够列出内控的重点所在。May回信辩称,护卫资产应该列入营运控制更合适一点,而不应该列入内部控制。在1992年COSO框架以前,护卫资产一向是内部会计控制的范围,AICPA的审计准则SAS第55,一般人都理解为其中把护卫资产看成内控的一部分。

为什么COSO框架把护卫资产排除在外呢?是出于理论的检讨和学术的逻辑吗?回答又一次是否定的。护卫资产排除在外是COSO的CPA立场的另一个佐证。面对爆炸式的诉讼危机,美国CPA界如惊弓之鸟,惶惶不可终日,处处设防。排除护卫资产,目的是AICPA担心公众职责CPA没能发现内控缺失导致的业绩不佳或资产损失。
在COSO框架起草前后,美国的很多大金融机构面临巨额的流动性危机,危机的原因很多,房地产市场崩溃、利率变动、解除管制等,管理不善和舞弊也是一个因素。这些损失金额都是天文数字。很多大会计师事务所面临起诉,如果败诉,事务所多年的惨淡经营将会“一江春水向东流”。如果这时在内控框架中加入护卫资产,就不是请君入瓮,而是予人口实,主动投降,让人瓮中捉鳖了。
然而,迫于压力,最终COSO还是做了妥协,1994年出了一份和稀泥的“对外报告补充”(Addendum to “Reporting to External Parties”),一方面把护卫资产纳入内控目标范围,另一方面,又指出只有影响财务报表的那部分护卫资产是内部控制的范围: “护卫资产免于非授权侵占、使用和处置的内部控制是一个过程,这个过程受组织的董事会、管理层和其他人员影响,控制目的是对预防和及时发现严重影响财务报表的非授权行为提供合理保证。”

林语堂曾经说过,文章要象小姐的裙子,越短越好。我这篇文章看来有点象结婚的礼裙,裙摆拖到三里以外:)得想个办法刹车了。各位可以舒一口气了,戏就要演完了。

接下来来看COSO自己设定的三大目标。在读COSO第三章的时候,发现COSO框架中对营运目标、遵循性目标很节省笔墨,寥寥数语,点到为止,可是讲财务报告目标的时候滔滔不绝,口沫横飞。
为什么财务报告目标居然是内控的主角明星?钱锺书先生有一个对联:“做一天和尚撞一天钟,在哪家山头砍哪家柴”。在CPA的山头上,一叶财务报告,遮住整片森林。财务报告对CPA的重要性毋庸置疑,但是对CPA重要,不等于就是内控中最重要的。事实上,相比财务报表,其他的营运报告对企业经营来说才是更相关的,也是企业管理层更关心的。最近几年时兴的BSC(平衡计分卡)就在财务指标之外,另辟天地,从多个维度来衡量企业。COSO的内控框架死死抱住财务报告这根稻草,后起的内控框架就没有这么小家子气。比如Basle的内控框架就在COSO基础上加以扩充,财务报告目标扩成信息目标,包括财务信息和管理信息,把COSO框架中财务报告的可靠性扩充成信息的可靠性、完整性和及时性,补充后,目标显得更为周全。IIA的标准中也是如此,包括财务信息和营运信息。

至于营运目标,COSO和其他框架的差别不是很大,大意都是资源运用的有效和效率。在此按下不表。但是遵循性目标,COSO再次显示了它的小家子气。COSO的遵循性目标要求企业遵循适用的法律和法规,Basle的内控框架沿用了这一界定范围,显然,无论OSO和Basle都是从外部看问题,一从CPA角度,一从监管角度。
内审的标准则异乎二者。在内审准则中,除了要求遵循法律法规以外,还包括遵循伦理规范、商业规范和合同。对内审来说,内审准则无疑更贴身一点。

接着说COSO的内控5要素。虽然我对5要素的分法不怎么欣赏,我更喜欢加拿大COCO框架的分法(purpose-commitment-capability-monitoring and learning),但这只是个人口味问题,无关大旨。这里只说COSO内控五要素中的“监督”。监督这部分COSO煞费苦心,也体现了CPA和内审之间的微妙关系。

表面上看,CPA对内审保持同行之间的尊重和礼貌,但从历史上来看,兄弟阋墙有时胜过和外人的争斗。提到内审的时候,CPA的脸上挂着嘲讽,暗地嘲笑内审缺乏职业水准,意思是说,我们是正规军,你们只是地方民兵武装:)但是CPA日益感到来自内审的压力,大公司基本都有独立的内审部门,内审人员也并非乌合之众,战斗力并不输于共和国卫队,更关键的是,内审完全有能力进行财务审计,很多公司要求CPA审计的时候要更多地依赖公司内审的工作成果。内审的壮大客观上在削弱CPA的传统阵地。另一方面,同行间的竞争也愈演愈烈,加上诉讼危机,使得CPA心力交瘁。内外交困下,CPA一方面要防守,保住固有阵地,另一方面要反攻,开辟新的战场。

COSO框架中的监督,控制自评(CSA)是浓墨重彩的部分,CSA几乎成了独立评估的代名词。CPA一面鼓吹独立性的重要,把独立性作为审计产品差异化的武器,借助独立性,CPA在审计市场上占住了有利地形,另一方面,CPA又深知的弱点,对企业情况不如内审熟悉,为了掩盖这种弱点,CPA抬出CSA,要求各部门进行内控自评,以此为支点,架空内审。因为在做CSA的时候,CPA无疑可以充当协调促进的主持人(CPA正是这么营销的)。部门管理层和员工的自评加上CPA的辅导促进,完全取代或部分取代了企业的内审角色。CPA的招数不可谓不妙,通过独立性来兜售外审的优越性,通过CSA来回避外审不熟悉情况的弱点,一句话,目标是内外通吃。如果以CPA之矛来攻CPA之盾,也许,我们可以问,既然独立性那么重要,CSA的优越性何在?如果对企业情况不如内审熟悉,外审的优势又在哪里?

CSA是否能达到CPA所声称的效果?如果我们不被广告所俘虏,也不被形形色色的理论烟幕弹所迷惑,我们对CSA有理由报悲观态度。吾日三省吾身,光靠自省能够成为君子吗?事实上,管理界和不少内审都对CSA持怀疑态度。
COSO内控框架推出以后,会计师事务所又大肆烧钱,展开营销攻势,推销它们的“扩展审计服务”(Extended auditing services)。所谓的“扩展审计服务”,无非就是传统内审的活罢了。既而,CPA在各媒体和学术刊物大力宣扬“内审外包”,来进一步围逼内审。外审+CSA+扩展的审计服务,通过这种审计产品的组合销售
,CPA完全替代了内审。

曲终奏雅。谢幕了。祝大家周末愉快!

【信息安全】屁股决定脑袋的COSO内控框架,一篇对COSO的趣评 [转贴]相关推荐

  1. 【信息安全】屁股决定脑袋的COSO内控框架,一篇对COSO的趣评

    在BBS上看到有人转贴的一篇评价COSO的文章,一口气看完,觉得文采.分析都非常有特点,是我喜欢的类型 :) 故转贴之~~~~ 文章有点长,帮忙总结一下中心思想:) 文章作者主要想说明 CPA为了最大 ...

  2. 华为3COMSOX法案IT内控实践

    华为3COM由华为公司与美国上市公司3COM在2003年合资成立,2005年.2007年两次股权变更,并在2007年正式改名为杭州华三通信技术有限公司,简称H3C.H3C的财务数据对3COM财务报表影 ...

  3. 中国银行风险内控与“三道防线”

    国有上市商业银行需要按照监管要求建立起COSO框架下的全面风险管理体系(ERM),每年在充分评估该体系有效性的基础上,出具内部控制自我评估报告,与财务报告.社会责任报告一并向资本市场披露. 为有效落实 ...

  4. 内控与IT安全的关系,IT内控与安全审计的关系

    随着国内内控的兴起,经常有人会问,内控跟IT安全有什么关系?为什么内控话题总是被搞信息安全的人经常提及?我想,一方面,是因为内控与信息安全存在内在的联系,另一方面,则是信息安全从业人员为了找到体现自身 ...

  5. 话里话外:企业内控的灵魂——企业文化

    许多企业在谈到企业内控的时候,往往想到的更多的是如何建立更加完善严格的企业内控制度来约束员工.领导的行为,如何通过组织结构的调整保障企业内控的执行等等,但这些只是为了实现企业内控所采取的"硬 ...

  6. 全新IT资源内控安全解决方案

    创新安全网络与通信设备提供商青莲时代日前在京发布了全新的IT资源内控安全解决方案SEC501.(来自搜狐 http://roll.sohu.com/20110825/n317357079.shtml) ...

  7. 迫在眉睫的企业内控与跃跃欲试的IT

    听到消息说中国财政部.证监会等部门已联合开班,开始对中国A+H上市公司总裁.财务总监等高管进行企业内控知识培训.从4月底发布内控指引到7月开展培训,很高兴中国的企业内控得到高效地推进. 中国企业与内控 ...

  8. 屁股决定脑袋,位置决定思想,找准定位促结果

    记得2012年初始师傅,他和我沟通最多的就是:人生如戏,戏如人生,生旦净末丑有时候都要出演,有的人活一辈子也没有搞清楚自己的位置,在浑浑噩噩中迷失自己,既然选择了远方,注定要风雨兼程,就必须摆脱那些无 ...

  9. 拒绝“内鬼式”数据泄露,安全内控如何构建?

    近年来,数据泄露的案例屡见不鲜,产生的危害举不胜举.根据Identify Theft Research Center的数据显示,与2021年同期相比,2022年第一季度实际报告的数据泄露事件数量增加了 ...

最新文章

  1. mysql主从库配置ps:mysql5.6
  2. nginx自定义模块编写-实时统计模块--转载
  3. Qt 2D painting Demo 的翻译
  4. Qt:解决使用png图片时,报错libpng warning: iCCP: known incorrect sRGB profile的问题
  5. 微软认知服务开发实践(2) - 计算机视觉
  6. 创建数据库、表以及索引
  7. java决策树算法_零基础学习大数据开发技术需要哪些基础知识(1)Java、大数据基础...
  8. poj3579 Median
  9. 程序转换实验程序流程图_智能化实验室 | # 自动智能化实验室的5大系统 #
  10. Android视频加密
  11. 松下A5伺服驱动器的A/B/Z相脉冲输出,怎样与PLC的输入端连接的?
  12. Hi3519AV100开发记录
  13. 公司网站应该外包SEO公司还是自己去做?
  14. open-flash-chart 与 FusionCharts 开发中使用(转)
  15. rpc error: code = Unavailable desc = connection error: desc = “transport: Error while dialing readin
  16. 侯捷c++1114新标准
  17. DNS这位“翻译官”是如何转换域名和IP地址的?
  18. Word中设置不同页面的页眉不一样的方法(页脚、页码同理)
  19. JAVA8用哪个版本的MYSQL_MySQL用哪个版本,5.7还是8.0?
  20. SpringBoot入门系列(二)如何返回统一的数据格式

热门文章

  1. android滑屏效果,Android使用ViewFlipper和GestrueDetector共同实现滑屏效果实例
  2. 基于单片机智能婴儿车控制设计(毕业设计)
  3. 30 周年,Linux 成功的真正原因是什么?
  4. 快来试试用 Python 将你的照片转化为“速写”
  5. 让无线路由器告别电源束缚
  6. Java 图形界面(满天星星)
  7. 901c语言程序设计6,2018年中央财经大学信息院901C语言程序设计考研核心题库
  8. 上海航芯 | 全自动咖啡机设计方案
  9. 单端阻抗为什么是50欧姆-探究
  10. USB大容量存储设备无法启动该怎么办?