前一阶段,CFO和财务工作者都暂缓了本企业内部控制的更新工作,静待新指南的出台。但随着新指南的颁布,这些财务工作者发现他们需要完成大量的工作,尤其对于那些供职于中小型企业,手中没有充足资源可以利用的财务工作者而言。
美国反虚假财务报告委员会下属的发起组织委员会(COSO)计划于2013年5月14日发布《2013年内部控制——整体框架》(以下简称《整体框架》)及其配套指南。《整体框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施,提升内控的质量。
《整体框架》于1992年首发,21年的时间过去了,商业环境已经发生了天翻地覆的变化,而本次发布的《整体框架》和配套指南则是历时两年半辛勤劳动的成果。新框架的实施过渡期为2013年5月14日至2104年12月15日。
对CFO和财务工作团队来说,首要任务是尽快熟悉新框架,了解可选择、可适用的实施指南,这一点非常重要,只有这样企业才能在2014年底前全面实行新的内部控制系统。此外,还应将审计人员吸收到内控工作的筹划流程中。
需要特别指出的是,COSO对于1992年版《内控框架》的质量仍保有信心,企业在过渡期内仍可继续使用,但过渡期结束之后企业必须采用新版《整体框架》。在过渡期内,COSO建议企业披露使用的是新版还是旧版《整体框架》。
CFO应该充分利用这19个月的过渡窗口期,制定内控系统转换路线图,确保转换工作的顺利进行。而公司高管要尽快熟悉1992年版《整体框架》中的17个原则(主要涉及控制环境、风险评估、控制活动、信息和沟通以及监管措施等),因为新版《整体框架》进一步凸显了这些原则的重要性。
对中小型企业来说,受资源所限,它们需要更多的时间来消化和吸收,所以相较于大型企业,中小型企业过渡期的时间压力更大。例如,在对内部控制的监督要素进行评估时,需要投入资源和引入专家力量,这会大大地增加中小型企业的预算。虽然大型企业可以开展自动化评估,但中小型企业由于缺乏信息系统的支撑而无法开展自动化评估,只能依靠手工完成。
确定有效性
虽然新版的COSO配套指南十分有用,但这个指南并不适用于所有规模的企业。公司高管需要根据企业情况,确定《整体框架》的采用程度。
例如,COSO撰写的《用于评估内控系统有效性的说明性工具》,这个配套指南为企业提供了一种阐述自身内控制系统有效性的方法,但该指南并不适用于评估交易层面的内部控制。配套指南仅仅包括用于指导开展有效性评估的模板以及这些模板的具体应用场景。
人们常常认为使用模板是一件非常复杂的事情,而企业也并不是非得要使用这些模板。事实上,像模板这类复杂的工具很难与企业的运营情况相匹配。但是,如果模板对企业的业务有所帮助,抑或有助于制定全新的内控系统有效性评估方法,那么,CFO就必须仔细研判,加以利用。
同样的,在外部财务报表编制方面,COSO撰写的《外部财务报告的内部控制:方法与案例摘要》也能为公司高管提供帮助。当然,该摘要仅供参考,企业可以选择使用,但我们相信它确实有所助益,例如,摘要收录的一条原则是“董事会应独立于管理层,对内部控制的制定和执行过程进行监管。”
这是一条重要的原则,对某些企业来说很容易就能实现。如果企业的董事会制定了监管标准,能够侦测出任何偏离行为,那么就可以说该企业的内部控制满足了上述原则。
然而,想要真正落实这条原则并非易事,对中小型企业来说更是如此。例如,提供在线财务数据的“财务仪表盘”能够自动向有关机构发送财务业绩数据,具备COSO“信息和沟通”中所要求内控要素。
但是成长型公司的企业资源规划(ERP)系统可能并不包括这项功能,中小型企业就不得不定期编制面板类财务数据报告并报送给有关机构。
《外部财务报告的内部控制:方法与案例摘要》将取代COSO在2006年发布的《财务报告内部控制——小型企业指南》。针对所有规模的企业,摘要对何为内部控制的“重大薄弱环节或缺陷”进行了严谨阐述,明确了“自上而下和基于风险”的内部控制应对策略(管理层应重点关注会导致公司财务报表重大误报的风险),上述应对策略也是美国公众公司会计监督委员会(PCAOB)和美国证券交易委员会(SEC)所极力推崇的。
按照SEC的要求,企业应该对内部控制缺陷进行分级,此时,COSO所制定的指南就有用武之地了,可依据程度的不同,将内部控制缺陷分为重大缺陷、主要缺陷和薄弱环节。配套指南阐述到:“如果内部控制缺陷被界定为重大缺陷,那表示财务报告内部控制未能满足内控框架的要求,无法实施有效的内部控制。如果不属于重大缺陷,那么,公司的内控系统仍能对外部财务报告施加有效的内部控制。”
此外,对财务报表编制过程中可能存在的风险,COSO的配套指南对下列事项做了重点提示:重大疏漏或误报风险、因舞弊而发生的重大疏漏或误报风险、因违法行为和腐败而发生的重大疏漏或误报风险、风险响应需求。