COSO内部控制整体框架内容、理论贡献和借鉴

1、摘要：美国COSO委员会潜心研究多年提出了内部控制整体框架理论，给理论界、实务界以广泛、深刻的启示，对我国仍处在改革进程之中的大多数企业来说，其理论导向作用是不言而喻的。企业应强调对业务流程的动态控制，培育先进的环境文化，有效评估风险状况，建立有效的信息传导与沟通机制，加强监督，强调控制活动的效率、效果，这应该是我国企业完善内部控制手段的有效途径。 关键词：内部控制；COSO报告；风险评估 中图分类号：C9316文献标识码：A文章编号：10096116(2007)027104 美国COSO委员会(Committee of SponsoringOrganizations of the Tread

2、-way Commission)提出的COSO报告极大地促进和丰富了内部控制实践活动。它强调企业应加强对业务流程的动态控制，培育先进的企业内部控制环境文化，有效评估风险状况，建立科学的信息传导与沟通机制，加强监督，强调控制活动的效率、效果。它将内部控制的理论和实践都向前推进了一大步，给理论界、实业界以广泛、深刻的启示，对我国企业完善内部控制有广泛而深刻的借鉴价值。 一、COSO报告内部框架综述 (一)内部控制的定义和目标 COSO是由美国反对虚假财务报告委员会(NCFR)发起的，它是一个旨在通过商业道德、有效的内部控制和公司治理结构以改善财务报告的美国民间组织。1992年，COSO委员会提出报

3、告内部控制一整体框架(Internal ControlIntegrated Framework)，1994年进行了增补。该报告对内部控制作出如下定义：内部控制是由企业董事会、经理层和其他员工实施的，旨在为下列目标提供合理保证：(1)营运的效率和效果；(2)财务报告的可靠性；(3)相关法令的遵循性。这个定义明确了内部控制的三大目标。 1合法性目标。设立内部控制的目的就是要企业合法经营，要求企业遵守现行法规是保证市场经济秩序有条不紊进行的前提，也是企业安全生存和健康发展的需要。 2可靠性目标。提高会计信息质量和财务报告的可信赖程度，是为了保护投资人的利益而设定的内部控制目标，其最终也是为了维护国家

4、宏观经济和企业的长远利益。 3效益性目标。内部控制要为企业提高经营效率和效果服务，规范的现代企业一般是在前两个目标实现的基础上追求效益性目标的实现。 (二)内部控制的五个要素 COSO报告认为，为了实现内部控制的有效性，为上述三个目标提供保证，需要下列五个要素的支持：控制环境(Control environment)、风险评估(Risk assessment)、控制活动(Control activities)、信息和沟通(Information and communication)和监督(Monitoring)。 1控制环境。它是其他内部控制组成要素的基础，是所有控制方式与方法赖以存在和运行的

5、载体，为其他要素提供规则和结构。它包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注和指导。 2风险评估。风险评估是指辨认和分析影响目标达成的各种不确定因素，它是决定风险应如何管理的基础。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应立足于企业的战略和目标，从两个方面对风险进行评估风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。 3控制活动。它是确保管理层指令得以实现的各种政策和程序，是针对影响组织目标实现的各种风险而采取的各种措施和手段，通常包括两个要素：确定应该做什么政策和影响该政策的一系列程

6、序。组织内各阶层和各种职能均渗透有不同的控制活动。南于组织性质、规模、组织方式的不同，其控制也不同。 4信息与沟通系统。来自企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行好各自的职责。信息与沟通系统的内容包括确认记录有效的经济业务、采用恰当的货币价值计量、在财务报告中恰当的揭示。有效的沟通也是广义上的沟通，包括企业自上而下、自下而上以及横向的沟通，有效的沟通还包括将相关信息与企业外部的相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。 5监督。这是经营管理部门对内控的管理监督和内审监管部门对内控的再监督与再评价活动的总称，是评估风险

7、管理要素内容的运行，以及一段时期的执行质量的过程。 二、我国企业内控制度的现状 目前在内部控制制度上，我国主要采用符合性测试及实质性测试等方法，以此检测企业内部控制制度的真实性、合理性及有效性。这种测试有许多缺陷：它仅仅停留于企业内部控制的表面，没有深入到企业生产经营的具体环节，忽略了企业的经营风险，易导致盲目性，同时浪费了大量的人力、物力，降低了工作效率。 (一)没有优越的控制环境 1企业对内部控制的认识还比较有限。大部分员工认为内部控制只是公司审计部的职责，与自己没有太多关系。这种观念的普遍存在导致员工对内部控制的积极性较低，他们只能被动地执行内部控制。更有一部分企业对内部控制的认识只停留

8、在纸上，而没有得到很好地落实。 2企业文化建设没有引起足够的重视。企业内部控制制度的贯彻执行有赖于企业文化的支持和维护。而就我国目前的情况来说，大多数企业提出了自己的经营理念和宗旨，也重视了企业文化的环境建设，但对企业文化在内部控制制度建设中的作用知之甚少，很多企业负责人只是在“做秀”罢了。 (二)风险管理机制不健全 由于社会经济环境的变化，企业间竞争越来越激烈，企业经营风险不断提高。然而，从我国企业的现状来看，企业的风险意识并没有提到应有的高度，还停留在计划经济条件下卖方市场的水平上，没有形成风险意识，更缺乏有效的风险管理机制。(三)信息和沟通渠道不畅通 要确保内部控制制度被切实地执行且执行

9、的效果良好，必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此，审计署颁布了关于内部审计工作的规定，批准公布了内部审计准则，以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响所能发挥的监督作用有限。 (四)缺乏必要的监督和管理机制 我国审计法只对国有单位的内审机构设置作了强制性规定，但对非国有单位则未作要求。同时出于成本费用等因素的考虑，许多企业未设立本文原文内审机构，致使企业的各项业务处于无人监管的状态，使不法分子有空可钻。 (五)内部控制规范体系缺乏统一科学的标准 1997年5月中国人民银行颁布的加强金融机构内

10、部控制的指导原则是我国第一个关于内部控制的行政规定；1999年7月实施的会计法是我国第一部体现内部会计控制要求的法律；作为会计法的配套法规之一，财政部于2001年6月22日，颁布了内部会计控制规范基本规范(试行)等一系列专门的内部控制规范，为内部控制的建设开创了良好的局面。这些规范的发布和实施，对于强化企业内部监督，有着十分重要的意义。但从内部控制客观环境和内部控制制度自身来看，仍然存在局限性，阻碍着内部控制制度的有效运行。 1现行法律或法规从不同的角度对内部控制进行规范，对内控的定义、范围、内容和目标等的表述和理解不一致。 2现有制度规范的原则性较强，但可操作性不强。 3注重内部控制制度的设

11、计，忽略了内部控制的报告和披露制度的判断和评价，其主要原因是我国缺乏为各界所认可的内部控制框架统一标准。 (六)网络环境下企业内部控制遇到的新问题 网络环境下，企业的内部控制的基本框架并未发生实质性的改变，但出现了许多新特征，给企业的内部控制带来了许多新问题。 1随着电子商务的迅猛发展，企业的原始凭证都将成为数字格式，加强了企业对网上公证机构的依赖，而目前相应的技术和法规还远没有完善，这也给系统的内部控制造成困难。 2系统的开放性、信息的分散性、数据的共享性极大地改变了以往封闭集中状态下的运行环境，数据处理过于集中，数据的存放形式增加了数据再现的难度，数据处理过程无法观测。 3网络环境下，控制

12、手段呈现出多样、灵活和高效的趋势，加强了内部控制的预防、检查与纠正的功能，使企业摆脱人员与资源的限制，经济而有效地实现内部控制的目标。但随着计算机使用范围的扩大，未经授权的人员有可能通过计算机和网络浏览全部数据文件，复制、伪造、销毁企业重要的数据，使得计算机犯罪有很大的隐蔽性和危害性，增加了内部控制的难度与复杂性。 4网络开放的环境很难避免非法侵扰，会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。 5网络的应用使内部控制具有人工控制与程序控制相结合的特点。如果程序发生差错或不起作用，由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性，导致失效控制长期不被发现，从而使系统在特定方面

13、发生错误或违规行为的损失较大。 三、运用COSO框架建立理性、高效的内控制度 (一)完善企业的控制环境 建立高效的控制环境，要做好如下几项工作：一是加快现代企业产权制度改革。真正实行产权明晰、权责清楚、管理科学、政企分开的现代企业制度，从产权制度上保证内部控制制度有效建立。二是建立和完善企业的监督机构，实行责权分开，杜绝高层管理人员交叉任职。三是改善人力资源管理机制，提高企业员工素质。要培养和引进一批具有高素质、掌握先进的管理方法的人才队伍，改善企业的经营管理观念、方式和风格，培养全体员工良好的道德观、价值观和全员控制意识，从而形成一个特定的企业文化氛围。四是要有先进的管理控制方法。管理控制方

14、法作为管理当局对其他人的授权使用情况进行直接控制和对整个公司活动实行监督，包括很多内容，如制定企业各项管理制度，编制各项计划、业绩与计划考评等方法，这些方法对于不同规模和不同复杂程度的企业均十分重要。 (二)进行全面的风险评估 一般来说，企业的风险管理应基于公司既定的经营战略，利用各种风险分析技术，找出业务风险点，并采取恰当的方法降低风险。首先，企业要制定和衔接整体目标和业务活动目标，对其内部和外部风险进行识别与分析，对影响目标实现的变化的认识和各项政策与工作程序进行调整。其次，风险管理要以预防为主，即通过增加、补充或规范各内部控制环节来减轻可能面临的风险。再次，要建立内部监督机构对企业高风险

15、区域经常进行检查，及时发现已存在的或潜在的风险。最后，要善于转嫁风险，如购买保险、债券等。 (三)设立良好的控制活动 控制活动是针对关键控制点而制定的，因此，企业在制定控制活动时，关键就是要寻找关键控制点。企业根据其经营活动的关键绩效领域，确定其关键控制活动，一般包括对人的素质、任职资格以及业绩考核的控制，企业运营环境、风险评估、监督决策、信息与传递以及自我检测等方面，从总体上透视了企业生产经营的各个环节。这无疑会促使企业生产管理登上一个新的台阶，促进企业经营流程的合理化和正规化。除此以外。有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突，要识别和尽力缩小有潜在利益冲突的地方，并遵从

16、谨慎的、独立的监督评审。因此，我国企业应加强内部控制制度建设。在考虑效率的同时，充分实现职责分离，达到对实物的有效控制。 (四)提高信息流动和沟通的效率在信息方面要注意内部信息和外部信息的收集和整理；在沟通方面也要注意内部和外部信息的沟通渠道和方式；在信息技术的发展中注意控制信息系统的走向。首先，一个有效的内控系统需要充分和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。其次，有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动。通过管理信息系统，企业内部的员工能够清楚地了解内部控制制度，知道其所承担的责任，并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统，应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要，在此基础上收集、加工和处理信息，并将这些信息及时、准确地传递。再次，有效的内控系统需要有效的沟通渠道，确保所有员工充分理解和坚持现行的政策和程序，以此来指导他们的行动，并确保其他的信息传达到相关的人员。 (五)加强企业的内部监督 首先，要建立和完善内部监控制度，使内部监控