Local EPUB Text
3.3.1 什么是COSO
提到内控,就很难不涉及COSO。在内控领域,COSO框架 [1]
是被广泛接受的一个框架,无论是企业制定内部控制体系,或是企业自我评价内控有效性,还是审计师评价企业内控有效性,COSO框架都是一个很好的依据。
这个COSO框架是个什么东西呢?打个比方说,它就像是医院里医生用的那个视力表。你能看到这一行,嗯,你的视力达到了5.0。COSO这个框架里面写了一堆企业内控应该做的东西。任何人都可以拿着这个COSO框架来核对某一家企业做到了哪些,没做到哪些,从而判断企业内控水平的高低。
当然,就像人们测视力一样,以前用1.0、1.5、2.0那种标尺的视力表,现在用4.5、5.0、5.2这样标尺的视力表,这个表不是唯一的。除了COSO框架,也有别的内部控制框架,但要求的内容,其实大同小异。COSO框架做的宣传推广工作最多,所以被接受程度最广泛。
COSO包括控制环境、风险评估、控制活动、信息与沟通,以及监督活动五项内部控制要素。这个五要素,就好像人家问你地球上有几大洲、几大洋一样,是必须要记住的,我就最爱让面试者回答COSO五要素是什么。
下面,我想通过曾经轰动一时的,X银行员工私售理财产品,导致客户损失上亿的一个事件,来简单说明下什么是COSO五要素。
这个事件大概是这样的:“Y财富”系列理财产品共发行了四期股权投资计划,四期产品每期募集金额在4500万元左右,宣称有11%~13%的预期收益率,自然人投资人认购金额门槛为50万元。临近2012年年底,在第一期理财产品即将到期的情况下,投资者发现理财经理已经被开除,到期的理财产品本息无法偿还,而其他三期理财产品前景也并不乐观。
银行方面解释,该产品是银行员工Z私自介绍给客户的,银行完全不知情。Z为X银行某支行的高级理财经理。
Z随即喊冤。Z家人接受采访时声称,如果没有支行行长的允许,Z必不敢销售这样一款产品达半年之久,这就算不是支行行为,也是集体行为。
投资人则质疑说,按理银行员工不允许从事与本职工作无关的其他金融工作,更不允许在办公场所推销与所在银行毫无关系的产品。但是,在如此长的时间内,大量客户在X银行贵宾室签了与X银行没有任何关系的合同,居然没有引起管理人员的注意。并且在Z的陪同下,多人通过银行柜台将大量款项转到同一账户,经办的柜员并未遵循可疑交易监控的工作原则向领导汇报。
当我看到这个案例的时候,脑海里浮现的COSO五要素是这样的:
(1)控制环境。
银行对理财产品管理混乱,为员工非法代销理财产品提供了便利。此外,银行对于员工的职业道德修养的培养力度不够,导致员工将自身利益置于客户利益之上。
(2)风险评估。
银行相关风险管理部门未能及时对理财产品销售流程中存在的风险进行识别与充分评估,致使风险防范工作无法与实际业务流程相匹配。
(3)控制活动。
银行对于营业网点办公室使用及工作期间内员工的行为,尤其是有权限与客户进行直接接触的一线员工的行为未能严格控制,导致支行理财经理可以堂而皇之地在贵宾室内与客户签订不合规的理财产品合同。
(4)信息与沟通。
银行未能确保员工履行理财产品风险告知义务,导致客户在对理财产品风险理解有误的情况下签订合同。
客户签订理财产品合同后,在理财经理的陪同下,在银行柜台进行资金划转。经办人员及管理人员未能及时针对可疑交易提出恰当的风险提示。
(5)内部监督。
分行层面对支行营业行为的监督失效,支行管理层对下属营业人员的监督失效。
银行定期对员工合规性进行检查的内部审计,未能及时发现员工的违规操作。
内控和COSO框架这个话题,与企业经营管理是密切相关的。本书主要还是讲审计,就不过多去谈企业经营管理了。
[1] 美国反虚假财务报告委员会的发起组织委员会(The Committee of Sponsoring Organizations of the Treadway Commission,简称COSO 委员会)于1992年9月发布了《内部控制整体框架》,并在2013年5月14日公布了新版《内部控制整体框架》[Internal Control- Integrated Framework(2013 Framework)],简称 2013 COSO框架。