2009年3月16日星期一

淺談內控架構 Control framework

筆者註:這一篇文章涉及很多專有名詞,如果不是從事會計及審核工作的朋友可能未看到一半便會沒有興趣,敬請多多包涵。

內控架構有很多不同的理論,最廣為人知的要算是COSO的那一個。COSO 全名是Committee of Sponsoring Organizations of the Treadway Commission,是一個由五個專業團體所資助的美國組織,早於1985年創辦,其目的是要找出企業財務報告造假的成因及如何避免的方法。COSO於1992年發表了一份名為《內部控制—整合框架 Internal Control—Integrated Framework》的報告,COSO認為一家企業的良好內部控制必需擁有五大要素,包括Control environment (內控環境), Risk assessment (風險評估),Control activities (控制活動),Information & communication (資訊與溝通),和Monitoring (監督)。由於這個架構是一個三角型,我們稱呼這個架構做COSO三角形或COSO金字塔。內控環境位於底部,代表這要素是內控的基礎,往上看分別是風險評估,控制活動及位於最頂部的監督,而在兩旁的資訊與溝通則代表資訊能夠自由貫穿其他四個要素。
_
當Enron及WorldCom事件爆發後,企業管治成為全球的熱門話題,很多公司都需要改善其內控架構,加上美國Sarbanes-Oxley (SOX) 法例明確要求上巿公司需要參考COSO的架構以改善其內控,所以從那時開始它便被廣泛應用。不過當時COSO的架構有些不合時宜,在2001年COSO開始修訂原有的架構,並在2004年推出一個全新的《企業風險管理-整合框架Enterprise Risk Management — Integrated Framework》。新架構由三角形變成了正立方形,五大要素變成八大要素,包括Internal environment (內部環境),Objective setting (目標設定),Event identification (事項辨認),Risk assessment (風險評估),Risk response (風險回應),Control activities (控制活動),Information & communication (資訊與溝通)和Monitoring (監督),而且還重申四個企業目標 (Objectives) 的重要性,包括Strategic (策略性),Operation (營運),Reporting (報導) 及 Compliance (遵循)。新的架構比舊有的全面,但較复雜,詳細資料可以到COSO的網站找得到,他們有一份多個語言版本的要覽 (Executive Summary),可按以下連結下載,費用全免。
http://www.coso.org/ERM-IntegratedFramework.htm

另外,在2006年6月COSO推出了一份《Internal Control over Financial Reporting – Guidance for Smaller Public Companies 財務報導的內部控制-較小型公開發行公司指引》及2009年1月的《Guidance on Monitoring Internal Control Systems》。其要覽可以在這裡下載 http://www.coso.org/IC.htm,費用全免。

除了美國COSO的內控架構外,世界各地還有其他的內控架構,例如英國的Cadbury Report所提及的企業管治系統 (Corporate Governance System),以及後期相繼推出的Greenburg Report,Hampel Committee Report及Combined Code。又例如IBM公司自己創立的CARES內控架構和US POSTAL自己創立的 Image 2000內控架構等等,其實每個架構背後的理論都是大同小異,分別在於如何演繹及應用的層次而已。例如Cadbury Report主要關注Shareholders的利益,而COSO,CARES 及Image 2000主要幫助企業如何達成目標。不過由於SOX的關係,現在講內控架構,大多數人就只會講COSO了。例如大陸於2008年5月推出的《企業內部控制基本規範》,其中要求企業的內部控制應包括上述COSO的五大要素 (但為何只用92年版的COSO model而不用最新的04版本呢?),並要求所有上巿公司於2009年7月起施行。全文可以在這裡下載:
http://www.gov.cn/zwgk/2008-07/02/content_1033585.htm

如有錯漏或有其他心得, 請大家指正及提出來研究。謝謝!

至於每一個內控要素及目標的詳細要求,我將會另文再談。
--------
相關文章連結:
&&&&&&&&

11 則留言:

Ebenezer 說...

此 post 絕對係 IA 入門必讀;正!

Bittermelon 說...

謝謝^^

Schmuck 說...

其實多唔多人識舊d 果個model (8要素)?

我認識既人, 通常都係知舊果隻

Bittermelon 說...

由於92年版的COSO已深入民心,所以現在較多人講舊的那個而不用04年新的那一個,我認為可以先看舊的,有了基本概念後再看新的會較好。

匿名 說...

hi Bittermelon,

I am an external auditor and planning to join the IA industry after my QP qualification.

Do you have any suggestion to give to make me more competitive when applying internal job, such as any exams required? or any work exposure that an IA department will treasure for me joining as a mid-grade IA ? anything else to prepare before applying/ interview with IA dept?

Thanks a lot for your help!!

Bittermelon 說...

Hi Anonymous,

If you want to join IA, you might consider taking CIA (or even CISA) exam. Please be noted that CIA exam consists of 4 parts. If you are a Qualified Accountant, you can get exemption for the part 4. Therefore, you might take it after you get QP.

To make you more competitive when applying IA job, my suggestion is learning more knowledge in business operation. As you are working in CPA firm, try to study your clients' various systems / procedures such as procurement credit control, treasury, inventory, personnel process etc and learn how they work and migrate business risk.

Furthermore, language is also important especially English and Putonghua (both in written and oral).

Hope that this can help ^^

青空 說...

您好,很喜歡您對於內部控制的一些看法,可否借引用簡短的段落作為研究參考之用呢?我會註明引用的來源。

Bittermelon 說...

Hi 青空君:
當然沒有問題,請隨便引用或轉載,如您所言,只要註明來源就可以了. ^_^

匿名 說...

謝謝您的文章.
剛剛下載 2013 May版的 COSO Cube就是為五大要素.可能後來再做簡化.

Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring Activities

匿名 說...

請問點行IS 路
入左big4 it audit
it audit 和IA 一樣嗎?
it audit 有data analytics, erp, etc
應該去爭做邊part 野黎增值自己?
thanks

Bittermelon 說...

匿名君

入行主要有兩方面,會計師行是其一,另一途徑是在企業或機構由低做起.

一般來說,IT audit 的經驗愈廣愈好,因此不應刻意只做幾樣.

LinkWithin

Blog Widget by LinkWithin