一直以来,COSO立足于在内部控制、企业风险管理和舞弊防范领域提供专业解读和指引。1992年,COSO委员会发布了《企业内部控制整体框架》(以下简称“旧框架”)。作为国际通用的内控标准,旧框架得到世界各国内控标准制定机构的一致认可。随着企业经营环境和管理模式的巨大变化、新生产技术和复杂组织结构的不断涌现,以及愈加严格的监管要求,企业在公司治理和风险管理上正在发生着巨大变化。于是,2010年9月,COSO委员会启动了《企业内部控制整体框架》审核与更新项目,并在2013年5月14日正式发表了新的《企业内部控制整体框架》(以下简称“新框架”)。 COSO委员会认为,旧框架中关于内部控制的基本原则和核心内容在现有环境下仍然有效,所以新框架在内部控制的定义、内部控制五要素(控制环境、风险评估、控制活动、信息与沟通和内部监督)、评估内控体系统有效性的标准,以及职业判断的运用等方面与旧框架保持了一致。 对于新框架的变化,新一届的COSO委员会主席何逸夫进行了解读,“新框架中内部控制五要素被分解成相应的17项原则,这17项总体原则和五项基本要素作为内部控制的基本概念,适用于所有的组织,它涵盖了对公司运营的监控、对报告的管控以及对公司合规性的管控,它同时也能涵盖公司中的几乎所有部门和体系。此外,新框架明确了目标制定流程在内部控制中的角色,并且强化公司治理的理念,扩大了报告的范畴并且增加了反欺诈与反腐败的内容,同时新框架还考虑了不同商业模式和组织结构的内部控制。新框架并没有改变旧框架关于内部控制的基本概念和核心内容,而是对旧框架的某些概念和指引进行更新和改进,以反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。”新的内控框架将五个要素分解成为17个原则,按COSO的说法,这些原则代表了有关的要素,而且由于这些原则是直接从要素中提炼出来的,企业实体可以通过应用所有这些原则来实现有效的内部控制。所以,在某种意义上,可以说新内控框架是17要素的框架也无不可。这种把要素进一步细分的效果的确便利了企业的实施,由于每一个要素都更细,实施可以更加条理化,而且也更加方便了评价的过程。 新框架之于中国企业 可以说从COSO启动新框架项目开始,中国政府和企业已经开始重视,COSO内部控制新框架的引入和应用已经被逐渐地提上日程。据报道,2014年,财政部牵头翻译的中文版新框架将会出台,财政部将以此为契机,进一步推动企业加强内部控制,其内容包括:一是进一步完善制度,结合新框架的内容和中国企业实际考虑是否需要更新现有的内控制度和规范指南。二是加强监管,抽查上市公司、中央企业执行《企业内部控制基本规范》的情况。三是培养人才,更新财政部咨询专家组成员,群策群力,共同搞好内部控制。四是树立先进典型,加以宣传推广。五是加强国际交流,向内部控制研究比较深入的国家学习。 当然COSO新内控框架对在美国上市企业的影响最直接。新框架在2014年12月15日之后正式生效,并且旧框架同时废止,因而在美上市企业需要在2014年的年报中按照新框架对自身的内部控制的有效性进行评价,继续沿用旧框架很可能招致美国证券委员会的质疑和质询。而对国内没有在美上市的公司,COSO新内控框架目前还没有实质的影响,因为国内公司的内控主要依据是财政部等五部委的《企业内部控制基本规范》和相应的配套指引。当然,无论是否在美上市,国内的公司都可以借鉴COSO的新内控框架,改进自身的内部控制。何逸夫对于新框架能够为中国企业带来的改变比较有信心,“现在的COSO还没有中文版,但是财政部很快会正式将COSO新框架翻译成中文版,我们希望当中文版出来之后可以使得中国企业能够更好地学习和应用。同时我们也希望和更多的商业机构,以及和中国政府一起来将COSO新框架的推广和培训做起来。”