COSO內(nèi)部控制整體框架內(nèi)容、理論貢獻和借鑒

1、摘要：美國COSO 委員會潛心研究多年提出了內(nèi)部控制整體框架理論，給理論界、實務(wù)界以廣泛、深刻的啟示，對我國仍處在改革進程之中的大多數(shù)企業(yè)來說，其理論導(dǎo)向作用是不言而喻的。企業(yè)應(yīng)強調(diào)對業(yè)務(wù)流程的動態(tài)控制，培育先進的環(huán)境文化，有效評估風(fēng)險狀況，建立有效的信息傳導(dǎo)與溝通機制，加強監(jiān)督，強調(diào)控制活動的效率、效果，這應(yīng)該是我國企業(yè)完善內(nèi)部控制手段的有效途徑。關(guān)鍵詞：內(nèi)部控制；COSO 報告；風(fēng)險評估中圖分類號：C9316 文獻標識碼：A 文章編號：10096116(2007027104美國COSO 委員會(Committee of SponsoringOrganizations of the Trea

2、d-way Commission 提出的COSO 報告極大地促進和豐富了內(nèi)部控制實踐活動。它強調(diào)企業(yè)應(yīng)加強對業(yè)務(wù)流程的動態(tài)控制，培育先進的企業(yè)內(nèi)部控制環(huán)境文化，有效評估風(fēng)險狀況，建立科學(xué)的信息傳導(dǎo)與溝通機制，加強監(jiān)督，強調(diào)控制活動的效率、效果。它將內(nèi)部控制的理論和實踐都向前推進了一大步，給理論界、實業(yè)界以廣泛、深刻的啟示，對我國企業(yè)完善內(nèi)部控制有廣泛而深刻的借鑒價值。一、COSO 報告內(nèi)部框架綜述(一 內(nèi)部控制的定義和目標COSO 是由美國反對虛假財務(wù)報告委員會(NCFR發(fā)起的，它是一個旨在通過商業(yè)道德、有效的內(nèi)部控制和公司治理結(jié)構(gòu)以改善財務(wù)報告的美國民間組織。1992年，COSO 委員會提出

3、報告內(nèi)部控制一整體框架(Internal Control Integrat ed Framework ，1994年進行了增補。該報告對內(nèi)部控制作出如下定義：內(nèi)部控制是由企業(yè)董事會、經(jīng)理層和其他員工實施的，旨在為下列目標提供合理保證：(1營運的效率和效果；(2財務(wù)報告的可靠性；(3相關(guān)法令的遵循性。這個定義明確了內(nèi)部控制的三大目標。1合法性目標。設(shè)立內(nèi)部控制的目的就是要企業(yè)合法經(jīng)營，要求企業(yè)遵守現(xiàn)行法規(guī)是保證市場經(jīng)濟秩序有條不紊進行的前提，也是企業(yè)安全生存和健康發(fā)展的需要。2可靠性目標。提高會計信息質(zhì)量和財務(wù)報告的可信賴程度，是為了保護投資人的利益而設(shè)定的內(nèi)部控制目標，其最終也是為了維護國家宏觀

4、經(jīng)濟和企業(yè)的長遠利益。3效益性目標。內(nèi)部控制要為企業(yè)提高經(jīng)營效率和效果服務(wù)，規(guī)范的現(xiàn)代企業(yè)一般是在前兩個目標實現(xiàn)的基礎(chǔ)上追求效益性目標的實現(xiàn)。(二 內(nèi)部控制的五個要素COSO 報告認為，為了實現(xiàn)內(nèi)部控制的有效性，為上述三個目標提供保證，需要下列五個要素的支持：控制環(huán)境(Control environment、風(fēng)險評估(Risk assessment、控制活動(Control activities、信息和溝通(Information and communication和監(jiān)督(Monitoring。1控制環(huán)境。它是其他內(nèi)部控制組成要素的基礎(chǔ)，是所有控制方式與方法賴以存在和運行的載體，為其他要素提供

5、規(guī)則和結(jié)構(gòu)。它包括最高管理層的完整性、道德觀念、能力、管理哲學(xué)、經(jīng)營風(fēng)格和董事會的關(guān)注和指導(dǎo)。2風(fēng)險評估。風(fēng)險評估是指辨認和分析影響目標達成的各種不確定因素，它是決定風(fēng)險應(yīng)如何管理的基礎(chǔ)。風(fēng)險評估可以使管理者了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應(yīng)立足于企業(yè)的戰(zhàn)略和目標，從兩個方面對風(fēng)險進行評估風(fēng)險發(fā)生的可能性和影響。風(fēng)險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。3控制活動。它是確保管理層指令得以實現(xiàn)的各種政策和程序，是針對影響組織目標實現(xiàn)的各種風(fēng)險而采取的各種措施和手段，通常包括兩個要素：確定應(yīng)該做什么政策和影響該政策的一系列程序。組織內(nèi)各階層和各種職

6、能均滲透有不同的控制活動。南于組織性質(zhì)、規(guī)模、組織方式的不同，其控制也不同。4信息與溝通系統(tǒng)。來自企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行好各自的職責(zé)。信息與溝通系統(tǒng)的內(nèi)容包括確認記錄有效的經(jīng)濟業(yè)務(wù)、采用恰當?shù)呢泿艃r值計量、在財務(wù)報告中恰當?shù)慕沂?。有效的溝通也是廣義上的溝通，包括企業(yè)自上而下、自下而上以及橫向的溝通，有效的溝通還包括將相關(guān)信息與企業(yè)外部的相關(guān)方的有效溝通和交換，如客戶、供應(yīng)商、行政管理部門和股東等。5監(jiān)督。這是經(jīng)營管理部門對內(nèi)控的管理監(jiān)督和內(nèi)審監(jiān)管部門對內(nèi)控的再監(jiān)督與再評價活動的總稱，是評估風(fēng)險管理要素內(nèi)容的運行，以及一段

7、時期的執(zhí)行質(zhì)量的過程。二、我國企業(yè)內(nèi)控制度的現(xiàn)狀目前在內(nèi)部控制制度上，我國主要采用符合性測試及實質(zhì)性測試等方法，以此檢測企業(yè)內(nèi)部控制制度的真實性、合理性及有效性。這種測試有許多缺陷：它僅僅停留于企業(yè)內(nèi)部控制的表面，沒有深入到企業(yè)生產(chǎn)經(jīng)營的具體環(huán)節(jié)，忽略了企業(yè)的經(jīng)營風(fēng)險，易導(dǎo)致盲目性，同時浪費了大量的人力、物力，降低了工作效率。(一 沒有優(yōu)越的控制環(huán)境1企業(yè)對內(nèi)部控制的認識還比較有限。大部分員工認為內(nèi)部控制只是公司審計部的職責(zé)，與自己沒有太多關(guān)系。這種觀念的普遍存在導(dǎo)致員工對內(nèi)部控制的積極性較低，他們只能被動地執(zhí)行內(nèi)部控制。更有一部分企業(yè)對內(nèi)部控制的認識只停留在紙上，而沒有得到很好地落實。2企業(yè)

8、文化建設(shè)沒有引起足夠的重視。企業(yè)內(nèi)部控制制度的貫徹執(zhí)行有賴于企業(yè)文化的支持和維護。而就我國目前的情況來說，大多數(shù)企業(yè)提出了自己的經(jīng)營理念和宗旨，也重視了企業(yè)文化的環(huán)境建設(shè)，但對企業(yè)文化在內(nèi)部控制制度建設(shè)中的作用知之甚少，很多企業(yè)負責(zé)人只是在“做秀”罷了。(二 風(fēng)險管理機制不健全由于社會經(jīng)濟環(huán)境的變化，企業(yè)間競爭越來越激烈，企業(yè)經(jīng)營風(fēng)險不斷提高。然而，從我國企業(yè)的現(xiàn)狀來看，企業(yè)的風(fēng)險意識并沒有提到應(yīng)有的高度，還停留在計劃經(jīng)濟條件下賣方市場的水平上，沒有形成風(fēng)險意識，更缺乏有效的風(fēng)險管理機制。(三 信息和溝通渠道不暢通要確保內(nèi)部控制制度被切實地執(zhí)行且執(zhí)行的效果良好，必須有良好的監(jiān)督約束機制。內(nèi)部審

9、計機構(gòu)在其間發(fā)揮著重要的內(nèi)部監(jiān)督作用。為此，審計署頒布了關(guān)于內(nèi)部審計工作的規(guī)定，批準公布了內(nèi)部審計準則，以加強內(nèi)部審計在內(nèi)控中的監(jiān)督作用。由于內(nèi)部審計機構(gòu)的獨立性及監(jiān)督能力受到管理體制、外部干預(yù)等多種因素的影響所能發(fā)揮的監(jiān)督作用有限。(四 缺乏必要的監(jiān)督和管理機制我國審計法只對國有單位的內(nèi)審機構(gòu)設(shè)置作了強制性規(guī)定，但對非國有單位則未作要求。同時出于成本費用等因素的考慮，許多企業(yè)未設(shè)立本文原文內(nèi)審機構(gòu)，致使企業(yè)的各項業(yè)務(wù)處于無人監(jiān)管的狀態(tài)，使不法分子有空可鉆。(五 內(nèi)部控制規(guī)范體系缺乏統(tǒng)一科學(xué)的標準1997年5月中國人民銀行頒布的加強金融機構(gòu)內(nèi)部控制的指導(dǎo)原則是我國第一個關(guān)于內(nèi)部控制的行政規(guī)定；

10、1999年7月實施的會計法是我國第一部體現(xiàn)內(nèi)部會計控制要求的法律；作為會計法的配套法規(guī)之一，財政部于2001年6月22日，頒布了內(nèi)部會計控制規(guī)范基本規(guī)范(試行 等一系列專門的內(nèi)部控制規(guī)范，為內(nèi)部控制的建設(shè)開創(chuàng)了良好的局面。這些規(guī)范的發(fā)布和實施，對于強化企業(yè)內(nèi)部監(jiān)督，有著十分重要的意義。但從內(nèi)部控制客觀環(huán)境和內(nèi)部控制制度自身來看，仍然存在局限性，阻礙著內(nèi)部控制制度的有效運行。1現(xiàn)行法律或法規(guī)從不同的角度對內(nèi)部控制進行規(guī)范，對內(nèi)控的定義、范圍、內(nèi)容和目標等的表述和理解不一致。2現(xiàn)有制度規(guī)范的原則性較強，但可操作性不強。3注重內(nèi)部控制制度的設(shè)計，忽略了內(nèi)部控制的報告和披露制度的判斷和評價，其主要原因

11、是我國缺乏為各界所認可的內(nèi)部控制框架統(tǒng)一標準。(六 網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制遇到的新問題網(wǎng)絡(luò)環(huán)境下，企業(yè)的內(nèi)部控制的基本框架并未發(fā)生實質(zhì)性的改變，但出現(xiàn)了許多新特征，給企業(yè)的內(nèi)部控制帶來了許多新問題。1隨著電子商務(wù)的迅猛發(fā)展，企業(yè)的原始憑證都將成為數(shù)字格式，加強了企業(yè)對網(wǎng)上公證機構(gòu)的依賴，而目前相應(yīng)的技術(shù)和法規(guī)還遠沒有完善，這也給系統(tǒng)的內(nèi)部控制造成困難。2系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性極大地改變了以往封閉集中狀態(tài)下的運行環(huán)境，數(shù)據(jù)處理過于集中，數(shù)據(jù)的存放形式增加了數(shù)據(jù)再現(xiàn)的難度，數(shù)據(jù)處理過程無法觀測。3網(wǎng)絡(luò)環(huán)境下，控制手段呈現(xiàn)出多樣、靈活和高效的趨勢，加強了內(nèi)部控制的預(yù)防、檢查與糾正的

12、功能，使企業(yè)擺脫人員與資源的限制，經(jīng)濟而有效地實現(xiàn)內(nèi)部控制的目標。但隨著計算機使用范圍的擴大，未經(jīng)授權(quán)的人員有可能通過計算機和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件，復(fù)制、偽造、銷毀企業(yè)重要的數(shù)據(jù)，使得計算機犯罪有很大的隱蔽性和危害性，增加了內(nèi)部控制的難度與復(fù)雜性。4網(wǎng)絡(luò)開放的環(huán)境很難避免非法侵擾，會計信息系統(tǒng)很有可能遭受非法訪問甚至黑客或病毒的侵擾。5網(wǎng)絡(luò)的應(yīng)用使內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點。如果程序發(fā)生差錯或不起作用，由于人們對計算機系統(tǒng)的依賴性、麻痹大意以及程序運行的重復(fù)性，導(dǎo)致失效控制長期不被發(fā)現(xiàn)，從而使系統(tǒng)在特定方面發(fā)生錯誤或違規(guī)行為的損失較大。三、運用COSO 框架建立理性、高效的內(nèi)控

13、制度(一 完善企業(yè)的控制環(huán)境建立高效的控制環(huán)境，要做好如下幾項工作：一是加快現(xiàn)代企業(yè)產(chǎn)權(quán)制度改革。真正實行產(chǎn)權(quán)明晰、權(quán)責(zé)清楚、管理科學(xué)、政企分開的現(xiàn)代企業(yè)制度，從產(chǎn)權(quán)制度上保證內(nèi)部控制制度有效建立。二是建立和完善企業(yè)的監(jiān)督機構(gòu)，實行責(zé)權(quán)分開，杜絕高層管理人員交叉任職。三是改善人力資源管理機制，提高企業(yè)員工素質(zhì)。要培養(yǎng)和引進一批具有高素質(zhì)、掌握先進的管理方法的人才隊伍，改善企業(yè)的經(jīng)營管理觀念、方式和風(fēng)格，培養(yǎng)全體員工良好的道德觀、價值觀和全員控制意識，從而形成一個特定的企業(yè)文化氛圍。四是要有先進的管理控制方法。管理控制方法作為管理當局對其他人的授權(quán)使用情況進行直接控制和對整個公司活動實行監(jiān)督，包

14、括很多內(nèi)容，如制定企業(yè)各項管理制度，編制各項計劃、業(yè)績與計劃考評等方法，這些方法對于不同規(guī)模和不同復(fù)雜程度的企業(yè)均十分重要。(二 進行全面的風(fēng)險評估一般來說，企業(yè)的風(fēng)險管理應(yīng)基于公司既定的經(jīng)營戰(zhàn)略，利用各種風(fēng)險分析技術(shù)，找出業(yè)務(wù)風(fēng)險點，并采取恰當?shù)姆椒ń档惋L(fēng)險。首先，企業(yè)要制定和銜接整體目標和業(yè)務(wù)活動目標，對其內(nèi)部和外部風(fēng)險進行識別與分析，對影響目標實現(xiàn)的變化的認識和各項政策與工作程序進行調(diào)整。其次，風(fēng)險管理要以預(yù)防為主，即通過增加、補充或規(guī)范各內(nèi)部控制環(huán)節(jié)來減輕可能面臨的風(fēng)險。再次，要建立內(nèi)部監(jiān)督機構(gòu)對企業(yè)高風(fēng)險區(qū)域經(jīng)常進行檢查，及時發(fā)現(xiàn)已存在的或潛在的風(fēng)險。最后，要善于轉(zhuǎn)嫁風(fēng)險，如購買保險

15、、債券等。(三 設(shè)立良好的控制活動控制活動是針對關(guān)鍵控制點而制定的，因此，企業(yè)在制定控制活動時，關(guān)鍵就是要尋找關(guān)鍵控制點。企業(yè)根據(jù)其經(jīng)營活動的關(guān)鍵績效領(lǐng)域，確定其關(guān)鍵控制活動，一般包括對人的素質(zhì)、任職資格以及業(yè)績考核的控制，企業(yè)運營環(huán)境、風(fēng)險評估、監(jiān)督?jīng)Q策、信息與傳遞以及自我檢測等方面，從總體上透視了企業(yè)生產(chǎn)經(jīng)營的各個環(huán)節(jié)。這無疑會促使企業(yè)生產(chǎn)管理登上一個新的臺階，促進企業(yè)經(jīng)營流程的合理化和正規(guī)化。除此以外。有效的內(nèi)控系統(tǒng)需要適當分離職責(zé)。人員的安排不能發(fā)生責(zé)任沖突，要識別和盡力縮小有潛在利益沖突的地方，并遵從謹慎的、獨立的監(jiān)督評審。因此，我國企業(yè)應(yīng)加強內(nèi)部控制制度建設(shè)。在考慮效率的同時，充分

16、實現(xiàn)職責(zé)分離，達到對實物的有效控制。(四 提高信息流動和溝通的效率在信息方面要注意內(nèi)部信息和外部信息的收集和整理；在溝通方面也要注意內(nèi)部和外部信息的溝通渠道和方式；在信息技術(shù)的發(fā)展中注意控制信息系統(tǒng)的走向。首先，一個有效的內(nèi)控系統(tǒng)需要充分和全面的內(nèi)部財務(wù)、經(jīng)營和遵從性方面的數(shù)據(jù)，以及關(guān)于外部市場中與決策相關(guān)的事件和條件的信息。其次，有效的內(nèi)控需要建立可靠的信息系統(tǒng)，涵蓋公司的全部重要活動。通過管理信息系統(tǒng)，企業(yè)內(nèi)部的員工能夠清楚地了解內(nèi)部控制制度，知道其所承擔(dān)的責(zé)任，并及時取得和交換他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息。一個良好的信息系統(tǒng)，應(yīng)有助于提高內(nèi)部控制的效率和效果。企業(yè)應(yīng)按控制系統(tǒng)的需要識別使用者的信息需要，在此基礎(chǔ)上收集、加工和處理信息，并將這些信息及時、準確地傳遞。再次，有效的內(nèi)控系統(tǒng)需要有效的溝通渠道，確保所有員工充分理解和堅持現(xiàn)行的政策和程序，以此來指導(dǎo)他們的行動，并確保其他的信息傳達到相關(guān)的人員。(五 加強企業(yè)的內(nèi)部監(jiān)督首先，要建立和完善內(nèi)部監(jiān)控制度，使內(nèi)部監(jiān)控“