COCO内部控制框架对商业银行内控建设的借鉴
2019-11-26王雨伦
王雨伦
【摘要】COSO框架和加拿大COCO框架均为著名的内部控制框架.目前,商业银行内部控制体系多采用COSO內部控制框架。本文分析比较了COSO与COCO两大内部控制框架的不同,并提出了在商业银行内控建设中借鉴COCO框架的几点启示。
【关键词】内部控制框架;商业银行;比较分析
一、加拿大COCO内部控制框架简介
1995年10月,加拿大特许会计师协会负责的控制规范委员会(Criteria of Control Board,简写为COCO)发布“控制指南”(Guidance on Contr01),作为对控制进行判断的框架。之后COCO委员会先后发布一系列指导性文件,这些文件形成一个深具特色的内部控制框架体系。COCO框架与COSO框架有一些相同之处,但是也提出了一些有特色的、先进的理念,例如确定了COCO框架的四个基本要素。并以此为基础为“有效控制”建立了一系列标准。
二、COCO与COSO内部控制框架的比较与分析
(一)内部控制定义
COSO将内控与工作的计划、执行和监控等管理类行为一起纳入企业生产经营之中,同时,却把战略目标、核心竞争力和风险评估等活动放在内控体系之外,仅仅强调了“规则”,忽视了“组织治理”,更多是从会计师的角度而非管理层角度,局限了内部控制的工作范围。而COCO内部控制框架则不同,将目标、战略、风险与纠错包括在“内部控制”之中,可以说,是将“内部控制”的概念拓展至“组织治理”的高度,更具管理思维,涵盖内容更广泛。
(二)要素
在构成的要素方面,COCO框架定义的组织控制由目的、承诺、能力、监控和学习等四个基本要素组成,这一点与COSO框架的五要素有所区别,具体分析与比较见表2。
(三)目标
COCO内控制度框架提出了3类目标:运营的效率和效果;内外部报告的可靠性;遵循法律法规和内部政策。COSO只包括对外的报告,而COCO的报告则包括对外和对内报告。COSO的合规目标只要遵守外部的法律法规,COCO要求外部法律法规和内部规章制度都要遵守,更能体现组织的管理价值与威信。因此COCO的目标体系一定程度上比COSO的更全面、完整,更多地考虑管理层的需求,更利于实现组织的经营目标。
(四)风险管理
COCO框架认为,风险不仅包括影响某个特定目标实现的已知风险,还包括两种影响组织生存和成功的重大风险:组织未能识别和把握机会;以及组织的风险适应能力不够。COCO框架不仅认为控制包括识别风险和降低风险,而且强调对机遇的把握,认为组织对风险和机遇的反应和适应能力对组织是至关重要的,以上内容在COSO框架是没有涉及的。COCO还认为,有效控制的标准是让员工获取具有可信度的信息,这些信息能够在风险管理中发挥作用,让组织只保留可接受的风险,从而提高组织合理实现目标的可能性。
(五)内部控制参与者
与COSO框架相比,COCO框架更加重视员工的主观能动性,其框架内的四个要素都是从员工的角度出发的。COCO框架还认为,控制的责任并不限于管理层或内审人员,普通员工也发挥重要的角色作用。普通员工为组织服务时,他对组织目的的理解是一种指南,他的个人能力是一种支撑。员工的承诺(Commitment)是一种内生的动力,是在很长一段时间里充分发挥员工能力的可靠保证。另外,员工有义务了解自己的工作成果,明了组织对自身的要求,从而有针对性地采取改进措施,更好地适应环境、完成工作。
三、对内控建设的启示
(一)树立基于组织治理的内部控制观
COCO内部控制框架的突出特点是,对“控制”的定义区分了两种内部控制观,一种是“审计”,另一种是“组织治理”,告诉我们内部控制可以受到会计和审计事务所的指导,但是其真正的目的是服务治理、增加价值,这正是国际内审协会提倡的理念。商业银行内部控制范围的限定不应只是满足审计和检查的需要.而是要让管理层和普通员工都积极参与进来。摒弃“为了控制而控制”的理念,合理运用判断力和执行力,完善内控体系建设,解决商业银行的实际工作问题。
(二)建立目标导向报告制度
要建立内控信息对内报告制度,可以以部门、单位为报告主体,对照岗位职责、业务流程和风险防范清单定期对本部门的风险点和控制措施执行情况进行监测分析和自我评估,向本单位管理层、监督部门等监督主体披露内部控制运行相关信息,提高信息的广泛性、准确性和有效性,能够实现对内部事务日常性、全方位的检查与监督,也为审计检查和风险评估等工作提供了参考和指引,实现信息的有效共享和利用最大化。
(三)强化全面风险管理
要把风险防控措施的概念,从“风险评估”扩大到“风险管理”,持续完善风险管理体系,拓宽风险管理内容的深度、广度。要从全流程管理和全面风险管理的角度,将风险管理的方式、计划、预案以及持续优化等内容统筹考虑。着眼于未来,将控制的重点放在防范未来时期内对实现组织目标可能产生重大影响的风险事件的发生和未来可能出现的机遇的把握上。
(四)重视员工价值管理
知识经济时代的新常态下,内部控制的参与者、主导者即商业银行员工,他们的价值日益凸显。从个体来说,通过培训学习、筛选竞争等多维度提高员工能力,充分开发和挖掘他们的内在价值,提高对单位的正外部性和贡献度。从集体角度来说,培育互信的工作氛围,让员工间的信息流动更顺畅,建立优秀的组织文化,从而打造一支具有核心凝聚力、向心力和可持续发展力的队伍。
