事实上，当今世界另外几个主流内部控制框架如加拿大的CoCo、英国的Cadbury报告、国际内部审计师协会（11A）的SAC、信息系统审计与控制协会（1SACA）的Cobit都与COSO框架紧密相关。我国有关部门制定的内部控制标准，包括证监会发布的“证券公司内部控制指引（2003）”、中国人民银行发布的“商业银行内部控制指引（2002）”、中国内部审计协会发布的“内部审计准则——内部控制（2003）”，其核心目标也与COSO框架一脉相承。

　　总之，无论COSO框架，还是PCAOB的努力，有一点是非常明确的，就是要在公司内部建立一个基本的控制框架，作为管理层评估财务报告内部控制的基准。这也是公司发展到一定程度在管理方面的必然要求，它受公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面的影响。我们应该从COSO的框架中吸收合理的内核、应从中汲取经验，这会有助于中资保险公司管理层次的提升，执行能力的到位。毕竟，我们正面临一个国际化的舞台，在一些标准、框架的执行上应与全球主流框架保持一致，这样才有沟通的可能，有平等对话的可能，有进一步发展的可能。

　　三、加强公司内部审计工作有益于完善公司内部控制

　　内部控制的设计是否适当、执行是否有效，必须依据一定的标准进行评价，这个标准就是COSO中论述的内部控制的五个要素整体层次和／或作业层次的评价标准。对于内部控制评估应由谁来完成，对此COSO和Cadbury报告中的观点都认为，首先应由企业管理当局（或其指定人，如内部审计机构）定期对本单位内部控制设计的有效性进行评估，提出评估报告，然后再由注册会计师对其加以审核，提出内部控制审查报告。《法案》也做出同样的规定。由此可见，公司内部审计在对公司内部控制评估中的重要性。在颁布《法案》的过程中，由于IIA的积极参与，使得内部审计的作用与职责在法案中得以充分体现。

　　《法案》和美国证券交易委员会的有关指南，要求上市公司的高层管理人员对提交的财务报告提供保证，因此执行管理层是控制环境和财务资料的负责人。外部审计师为财务报告作公证，他要向财务报告使用者保证报告中的资料是按照公认会计准则公允地反映了组织的财务状况。至于内部审计师则负责向审计委员会或其它委员会保证，组织为编制财务报告所设置的内部控制制度是有效的。内部审计执行主管要经常及时地与审计委员会沟通；审计委员会要评价内部审计执行主管报告的全面性和充分性。

　　内部审计是一种独立、客观的保证活动与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。

　　（一）要注重发挥审计委员会的作用

　　《法案》要求所有在美国上市的公司都必须设立审计委员会，并确定其主要职责是：讨论每一年度和季度的财务报表并提出质询；评估公司对外发布的所有盈利信息和分析性预测；讨论公司的风险评估和管理政策；负责公司内部审计机构的建立及运行；接受并处理本公司会计、内部控制或审计方面的投诉；负责聘请会计师事务所，决定支付其费用并监督其工作，受聘的会计师事务所应直接向审计委员会报告；有权聘用独立的法律顾问、其它咨询顾问。同时，法案对公众公司高级管理人员在公司治理及财务信息披露方面的责任和权利进行了细化，要求首席执行官（CEO）和首席财务官（CFO）对公司所提交财务报表的真实性和准确性提供书面保证，并要阐明公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任。

　　（二）要遵守国际内部审计师协会的属性标准

　　内部审计活动是在一种多样的法律和文化环境下进行的；在目标、规模与结构都各不相同的机构内开展的；而且是由该机构内部或外部的人员进行操作的，并且不同国家有不同的法律和习惯，这些差异对不同环境下的内部审计实务都会产生影响。为此，国际内部审计师协会制定了统一的《内部审计实务标准》，用以说明内部审计实务的基本原则以及评价内部审计工作依据的标准、指导内部审计活动的开展，并为促进不同的、具有增值性的内部审计活动提供一个框架，从而帮助组织改善经营与工作。其作用在于让外部人员认同内部审计师所履行的审计工作是专业性的，即当一项内部审计工作遵守了该标准时，才能被外部认同为专业性的内部审计工作。

　　《内部审计实务标准》由属性标准、工作标准及实务公告三部分组成。属性标准通用于各行各业，主要说明内部审计机构的特点和对人员的要求，内部审计章程、独立性和客观性是其重要内容；工作标准通用于各行各业，阐述了内部审计工作的性质，并提出了衡量内部审计活动质量的准绳；实务公告适用于特定类型的审计活动，它是属性标准和工作标准在特定类型审计活动中的具体表现。

　　特别应该注意的是，国际内部审计师协会于今年在风险管理、控制和治理程序方面发布了几个实务公告，其中，实务公告2120.A1—4（财务报告过程审计），与实务公告2060—2（内部审计机构与审计委员会的关系）、2120A1—1（对控制过程的评价和报告）、2120A1—3（内部审计在季度财务报告、信息披露和管理当局承诺函中的作用）有密切的联系。这3个公告分别讨论内部审计与审计委员会的关系，内部审计如何评价组织的内部控制制度并形成审计意见，以及内部审计在贯彻美国《法案》和美国证券交易委员会相关指南中应起的作用。本公告则进一步讨论内部审计师与董事会、审计委员会、高级管理层和外部审计师在财务报告过程中的关系。

　　（三）要发挥内部审计执行主管的作用

　　内部审计执行主管在财务报告过程中应将财务报告过程审计列入年度工作计划，并分配适当的资源外，更重要的工作在于评价内部控制的有效性和提出有效的建议。

　　评价内部控制的有效性，应主要从几个方面人手：

　　1.组织是否有浓厚的道德文化环境。董事和高级管理人员是否以身作则遵守组织的道德行为规范；组织的道德行为规范是否通过培训使全体员工了解，并成为组织道德文化的倡导者和执行者；财务报告有无不实的表述和舞弊。

　　2.组织怎样进行风险管理。组织有无风险管理程序、是否有效；高级管理层是否依靠整个组织来控制风险；管理层是否开诚布公地与董事会讨论主要风险。

　　3.组织的控制制度是否有效。组织对财务报告过程的控制是否全面、是否包括收集资料、编制财务报表及其附注，以及规定要披露的和自主披露的事项；高级管理层和相关管理层是否声明对控制有效性承担责任；组织的财务报告或财务披露是否反映出高级管理层、董事会或组织事故不断；整个组织是否有良好的沟通渠道和报告制度；控制制度被视为促进目标实现的积极因素，还是绊脚石；雇用的人员是否合格、是否经过充分的培训、解决问题是否及时和有效。

　　4.组织是否有有效的监督。董事会是否独立于管理当局，没有利益冲突，信息灵通，对存在的问题及时进行了调查；内部审计是否得到高级管理层和审计委员会的支持；内部审计师和外部审计师是否与高级管理层和审计委员会进行开诚布公的沟通和私人接触；各级管理人员是否对控制过程进行监督；对外购审计过程是否进行了监督。

　　关于采取有效措施确保财务报告的可靠性和完整性，主要有：

　　1.在财务报告方面。给外部审计师提供与业务相关的资料；与外部审计师协调审计计划、范围和工作安排；与外部审计师分享审计信息；与外部审计师和审计委员会沟通会计政策和政策决策；与审计委员会、外部审计师和高级管理层一起审查财务报告和披露事项；评价财务报告质量，包括向法规机构提交的财务报告；评价组织内部控制的充分性和有效性，尤其是对财务报告过程的控制；监督管理当局遵守组织道德行为规范，为组织树立良好榜样，与员工、董事会和外部股东进行公开和真诚的沟通。

　　2.在组织治理方面。审查与遵守法律、法规、规章、道德有关的公司相关政策；审查与组织风险和治理相关的未决诉讼或法律诉讼；提供有关员工利益冲突、不正当行为、舞弊和道德规范的管理程序和报告制度执行结果的资料。

　　3.在公司控制方面。审查管理当局提交的公司经营和财务活动信息的可靠性和完整性；对关键会计控制政策进行分析，将其与最佳实务比较，对有疑问的交易进行审查；评价据以编制经营和财务报告的估计和假设是否合理；确保包含在披露或说明中的估计和假设与公司的实际相一致；评价会计处理程序，包括编制、审核、批准和过帐的程序；评价会计控制的充分性。

　　从内部控制、会计、内部审计的角度考虑，《法案》是《1933证券法》和《1934证券交易法》后又一部重要的法律。它不仅会对美国而且会对世界各国内部控制、会计、内部审计、公司治理、证券市场监管，乃至整个经济的发展产生重大而深远的影响。准备在国际保险市场上占据一席之地的中资保险公司，必须对此引起高度重视。

上一页  [1] [2]