加拿大COCO内控框架内容
加拿大COCO委员会 日期:2015-06-12
加拿大COCO委员会 日期:2015-06-12
加拿大COCO委员会的内部控制框架性文件──《控制指南》不仅仅是若干个控制要素的简单概括,相反该指南对内部控制的定义与作用、内部控制的要素、内部控制标准、内部控制的参与者皆进行了阐述。COCO委员会在其后陆续发布的一系列指导性文件中,又为COCO内部控制框架的应用提供了具体详尽的操作规范,这些文件共同形成了一个包含内部控制系统设计、评估和报告的完整的内部控制理论体系。
(一)内部控制定义
早在1976年,加拿大特许会计师协会就在《审计推荐草案》中指出:“内部控制由组织体制的设计和企业管理人员制定的所有协调制度组成,就其实用方面而论,是为取得确定的管理目标,促进企业的业务有秩序和有效率的进行,保证资产的安全、会计记录的可靠和及时地提供准确的财务资料”。COCO委员会作为加拿大特许会计师协会的下属机构,自然而然地继承了这个定义,并将其进行了扩展。它将“内部控制”的概念扩展到“控制”,定义为“是一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起,支持达成该企业的目标”。此外,还从系统论的角度来研究与控制有关的企业外部环境,淡化企业内部与外部的界限。
(二)内部控制框架
在构成要素方面,COCO内部控制框架选取的四要素与COSO内部控制框架的五要素截然不同。它认为在任何一个企业中,控制均包括目的(Purpose)、承诺(Commitment)、能力(Capability)、监控和学习(Monitoring and Learning)等四个最基本的要素。其中目的是对企业发展方向的描述,它包括企业的战略目标、企业愿景、风险和机遇、经营方针、短期计划、业绩目标及其评价指标等;承诺是对企业特质的描述,它涉及到企业的文化观念、价值观、道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等;能力是指企业相对于给定任务的胜任程度,它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动;监控和学习则着眼于企业的发展,它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。
(三)内部控制标准
在COCO委员会提出的《控制指南》中,不仅提纲挈领地归纳出极具特色的四要素框架,同时还引入内部控制标准来充实框架。内部控制标准是内部控制理论与实务的桥梁,它既丰富了COCO内部控制框架的内容,也为内部控制实务使用COCO内部控制框架提供了导向。COCO内部控制标准一共有20条,按照框架的四要素归属划分为四个组:
1.目的
(1)企业应拟定与沟通各种目标。目标包括企业的使命、愿景、战略、经营计划、甚至是较低层次上的具体目标。目标的确立是确定必须达到的要求以及识别和权衡相关风险和机会的过程,它是一个连续的过程,有利于企业管理者、员工能够对他们的工作有更好的理解。COCO还在2000年4月发布的《董事指南──应对董事会的风险》中,指明战略计划审查是董事会的责任。
(2)企业应识别与评估组织在达成目标期间所面临重大性的内部与外部风险。企业应当基于发展变化的视角来考察企业所面对的重大内外部风险,并在适当的时候以适当的方式对变化作出反应。风险的识别和评估应当基于对内外部环境的了解,同时还要估计风险事件发生的概率和风险事件后果的严重性,以便采取适当的措施或策略应对风险。
(3)企业应制订、沟通与实施为支持组织目标达成与风险管理所设计的政策,使得成员了解组织对自身的期望以及他们能自主行动的范畴。这一标准充分体现了分权思想,每个管理人员和员工都应当在被赋予的权责利范围内进行工作,不得跨越自己的权限。
(4)企业应当制定相关的计划并向企业员工有效地传递关于这些计划的信息。计划包括在企业内部有效地配置各种物质资源和人力资源。
(5)目标和相关的计划应当包括可计量的业绩目标及其评价指标。为了便于准确评价目标和计划的执行状况,必须在制定该目标和计划时将其量化,或转化成相应的评价指标。
2.承诺
(1)企业应当确立包括诚信正直等在内的共同道德标准,同时要通过沟通让企业的所有成员理解并遵循这些道德标准。道德标准是企业文化的组成部分,也是维系良好内部环境的基础。
(2)企业的人力资源政策与实务应与组织道德价值观以及目标达成一致性。人力资源政策包括新员工招聘、员工晋升、员工离职、员工奖励政策都必须同企业的道德价值观保持一致。
(3)企业应清楚界定权力、职责与其应负责任并与组织目标一致,并能由适当的人完成决策。企业内的任何团体和个人必须拥有与其工作相应的职权和职责,并对工作的结果承担相应的责任。
(4)应当在企业内部培养一种相互信任的氛围,以促进企业员工之间的信息交流并使他们为达成企业目标而作出努力。
3.能力
(1)企业员工应当拥有必要的知识和技能以帮助企业实现其目标,或在特定情况下利用外部服务来满足企业需求。
(2)信息沟通过程应能支持组织的价值观并能促其达成企业目标。这一原则适用于企业内部传达命令、协商资源分配、协调行动、搜寻信息以及关于风险和机会的信息紧急传递等情况。
(3)企业应当充分、及时地识别并向企业员工传递相关的信息资讯,以便企业员工能够执行其职责。
(4)企业内部不同部门之间的决策和行动应当相互协调。不同部门的决策必须以企业整体目标为导向,尽量避免小团体主义的利益争夺。
(5)控制作业的设计应为组织不可分割的一部分,并考虑到组织目标、达成这些目标所面临的风险以及控制元素之间的关联性。其中控制活动是指为保证企业的运作按计划进行并且符合企业相关政策的要求而确立的例行程序。控制活动及其相关的政策和程序可以通过非正式的方式传达给企业员工,或者在工作手册中正式加以说明。
4.监督与学习
(1)企业应监督外部与内部环境以获得资讯,这些资讯可能发出需要重新评估组织目标或控制的信号。
(2)对企业的经营业绩进行监控并和企业战略计划中确定的业绩目标及相关的指标进行比较。再根据比较结果对企业的组织目标和相关指标进行修正。
(3)应该定期对确立企业目标所依赖的假设重新进行审视。
(4)当企业目标发生变化或发现内部控制缺陷时,应对企业的信息需求以及相关的信息系统实行重新评估。
(5)企业应当建立并切实执行追踪调查制度以确保发生的偏差得到纠止或已对偏差采取了适当的行动。
(6)管理层应当定期对内部控制的有效性进行评估,并把评估的结果反馈给对各项控制负责的人员。
(四)内部控制评估
COCO委员会在1999年发布了《评估控制指南》(Guidance on assessing Control),该指南描述了形成一份评估报告的10步程序,其中评估的重点是关于目标的信息和相关风险的管理。COCO对内部控制的评估更多着眼于企业未来,而不是对过去的评价。例如评估未来持续成功的机会和风险;审查与未来业绩表现、机遇和风险相关的信息;评价需要特殊关注和监督的控制要素信息;以及战略审查、项目批准和准备如何应付突发事件等。
(五)内部控制的参与者
与其他内部控制理论框架相比,COCO内部控制框架尤其重视内部控制参与者,即人的作用。COCO框架中的四个要素目的、承诺、能力、监控和学习均与人休戚有关。COCO委员会认为:企业员工在执行企业所指派的任务时,将以他对企业目的的理解为指南,并以其能力(包括所拥有的信息、资源、技能、工具等)作为支撑。员工的承诺或者说对企业的忠诚是员工在长时期内充分发挥自己能力和保持最优努力水平的保证。此外,员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动,并在调整自身行动以适应环境变化的过程中学会更好地完成工作。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼
(一)内部控制定义
早在1976年,加拿大特许会计师协会就在《审计推荐草案》中指出:“内部控制由组织体制的设计和企业管理人员制定的所有协调制度组成,就其实用方面而论,是为取得确定的管理目标,促进企业的业务有秩序和有效率的进行,保证资产的安全、会计记录的可靠和及时地提供准确的财务资料”。COCO委员会作为加拿大特许会计师协会的下属机构,自然而然地继承了这个定义,并将其进行了扩展。它将“内部控制”的概念扩展到“控制”,定义为“是一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起,支持达成该企业的目标”。此外,还从系统论的角度来研究与控制有关的企业外部环境,淡化企业内部与外部的界限。
(二)内部控制框架
在构成要素方面,COCO内部控制框架选取的四要素与COSO内部控制框架的五要素截然不同。它认为在任何一个企业中,控制均包括目的(Purpose)、承诺(Commitment)、能力(Capability)、监控和学习(Monitoring and Learning)等四个最基本的要素。其中目的是对企业发展方向的描述,它包括企业的战略目标、企业愿景、风险和机遇、经营方针、短期计划、业绩目标及其评价指标等;承诺是对企业特质的描述,它涉及到企业的文化观念、价值观、道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等;能力是指企业相对于给定任务的胜任程度,它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动;监控和学习则着眼于企业的发展,它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。
(三)内部控制标准
在COCO委员会提出的《控制指南》中,不仅提纲挈领地归纳出极具特色的四要素框架,同时还引入内部控制标准来充实框架。内部控制标准是内部控制理论与实务的桥梁,它既丰富了COCO内部控制框架的内容,也为内部控制实务使用COCO内部控制框架提供了导向。COCO内部控制标准一共有20条,按照框架的四要素归属划分为四个组:
1.目的
(1)企业应拟定与沟通各种目标。目标包括企业的使命、愿景、战略、经营计划、甚至是较低层次上的具体目标。目标的确立是确定必须达到的要求以及识别和权衡相关风险和机会的过程,它是一个连续的过程,有利于企业管理者、员工能够对他们的工作有更好的理解。COCO还在2000年4月发布的《董事指南──应对董事会的风险》中,指明战略计划审查是董事会的责任。
(2)企业应识别与评估组织在达成目标期间所面临重大性的内部与外部风险。企业应当基于发展变化的视角来考察企业所面对的重大内外部风险,并在适当的时候以适当的方式对变化作出反应。风险的识别和评估应当基于对内外部环境的了解,同时还要估计风险事件发生的概率和风险事件后果的严重性,以便采取适当的措施或策略应对风险。
(3)企业应制订、沟通与实施为支持组织目标达成与风险管理所设计的政策,使得成员了解组织对自身的期望以及他们能自主行动的范畴。这一标准充分体现了分权思想,每个管理人员和员工都应当在被赋予的权责利范围内进行工作,不得跨越自己的权限。
(4)企业应当制定相关的计划并向企业员工有效地传递关于这些计划的信息。计划包括在企业内部有效地配置各种物质资源和人力资源。
(5)目标和相关的计划应当包括可计量的业绩目标及其评价指标。为了便于准确评价目标和计划的执行状况,必须在制定该目标和计划时将其量化,或转化成相应的评价指标。
2.承诺
(1)企业应当确立包括诚信正直等在内的共同道德标准,同时要通过沟通让企业的所有成员理解并遵循这些道德标准。道德标准是企业文化的组成部分,也是维系良好内部环境的基础。
(2)企业的人力资源政策与实务应与组织道德价值观以及目标达成一致性。人力资源政策包括新员工招聘、员工晋升、员工离职、员工奖励政策都必须同企业的道德价值观保持一致。
(3)企业应清楚界定权力、职责与其应负责任并与组织目标一致,并能由适当的人完成决策。企业内的任何团体和个人必须拥有与其工作相应的职权和职责,并对工作的结果承担相应的责任。
(4)应当在企业内部培养一种相互信任的氛围,以促进企业员工之间的信息交流并使他们为达成企业目标而作出努力。
3.能力
(1)企业员工应当拥有必要的知识和技能以帮助企业实现其目标,或在特定情况下利用外部服务来满足企业需求。
(2)信息沟通过程应能支持组织的价值观并能促其达成企业目标。这一原则适用于企业内部传达命令、协商资源分配、协调行动、搜寻信息以及关于风险和机会的信息紧急传递等情况。
(3)企业应当充分、及时地识别并向企业员工传递相关的信息资讯,以便企业员工能够执行其职责。
(4)企业内部不同部门之间的决策和行动应当相互协调。不同部门的决策必须以企业整体目标为导向,尽量避免小团体主义的利益争夺。
(5)控制作业的设计应为组织不可分割的一部分,并考虑到组织目标、达成这些目标所面临的风险以及控制元素之间的关联性。其中控制活动是指为保证企业的运作按计划进行并且符合企业相关政策的要求而确立的例行程序。控制活动及其相关的政策和程序可以通过非正式的方式传达给企业员工,或者在工作手册中正式加以说明。
4.监督与学习
(1)企业应监督外部与内部环境以获得资讯,这些资讯可能发出需要重新评估组织目标或控制的信号。
(2)对企业的经营业绩进行监控并和企业战略计划中确定的业绩目标及相关的指标进行比较。再根据比较结果对企业的组织目标和相关指标进行修正。
(3)应该定期对确立企业目标所依赖的假设重新进行审视。
(4)当企业目标发生变化或发现内部控制缺陷时,应对企业的信息需求以及相关的信息系统实行重新评估。
(5)企业应当建立并切实执行追踪调查制度以确保发生的偏差得到纠止或已对偏差采取了适当的行动。
(6)管理层应当定期对内部控制的有效性进行评估,并把评估的结果反馈给对各项控制负责的人员。
(四)内部控制评估
COCO委员会在1999年发布了《评估控制指南》(Guidance on assessing Control),该指南描述了形成一份评估报告的10步程序,其中评估的重点是关于目标的信息和相关风险的管理。COCO对内部控制的评估更多着眼于企业未来,而不是对过去的评价。例如评估未来持续成功的机会和风险;审查与未来业绩表现、机遇和风险相关的信息;评价需要特殊关注和监督的控制要素信息;以及战略审查、项目批准和准备如何应付突发事件等。
(五)内部控制的参与者
与其他内部控制理论框架相比,COCO内部控制框架尤其重视内部控制参与者,即人的作用。COCO框架中的四个要素目的、承诺、能力、监控和学习均与人休戚有关。COCO委员会认为:企业员工在执行企业所指派的任务时,将以他对企业目的的理解为指南,并以其能力(包括所拥有的信息、资源、技能、工具等)作为支撑。员工的承诺或者说对企业的忠诚是员工在长时期内充分发挥自己能力和保持最优努力水平的保证。此外,员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动,并在调整自身行动以适应环境变化的过程中学会更好地完成工作。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼