从COSO报告谈中国企业内部控制构建与完善框架重点

1、从C OS 0报告谈中国企业内部控制构建与完善 框架【摘要】本文通过对现有内部控制最新成果 COSO理论的述评，研究中国企业 内部控制构建与完善框架。2001年以来，全球会计舞弊案件频发。人们对企业会计信息更加关注。在 过去, 是单纯通过报表审计关注结果，而在新情况下，则是既通过报表审计关注结果,又要通 过构建和完善与财务报告相关的内部控制关注会计信息的生成 过程。一、内部控制理论新成果一一C0S0报告从历史的角度来看，内部控制理论大致可以划分为内部牵制思想、内部控 制制 度、内部控制结构与内部控制整体框架等几个不同的阶段。到上世纪90年代，美国提出内部控制整体框架思想，这一思想成果集中体现在

2、为国际理论与实务界共同推 崇的COSO报告。C0S0报告认为，内部控制是一个包括概念、要 素和目标在内的 理论框架。（一内部控制概念对C0S0内部控制概念可以从3个方面来理解：1. 内部控制是动态过程。内部控制是一个过程，是实现目标的手段，而不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际损失、或者使损失降低到最低限度的，贯穿于组织各项活动中的一系列行为或措施。环境影 响内部控制，内部控制随环境变化而变化。2. 内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影 响, 而不仅仅是简单地制定出

3、一本制度手册或规章。单纯的规章制度只是一种 机械的 控制措施。组织虽然按照规章制度来运行，但人是具有个人目标、个人 情感的能动 性个体，他们可以在很大程度上影响规章制度的实施效率和效果。 他们的行为可能受到其个人利益的驱使，也可能受其误解或抵触情绪的驱使。因此，内部控制必须建立在充分沟通的基础上。3. 内部控制提供的是合理保证。对管理层或董事会而言 ，内部控制提供的 只是 合理的保证，而不是绝对的保证。内部控制措施，无论设计得多么完美、运行得多么好，组织目标实现的可能性受到内部控制制度所固有的局限性影响，内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。（二内部控制要素在对内部控制概

4、念进行界定的基础上，该框架认为，一个完善的企业内部 控制系 统应该包括五类耍素：1. 控制环境控制环境提供企业纪律与架构，塑造企业文化,并影响企业员工的控制意 识，是所 有其它内部控制组成要素的基础。控制环境的因素具体包括：诚信的原则和道德价 值观;评定员工的能力；董事会和审计委员会一一组成这两个机 构须考虑的因素主要 包括:成员的经验，相对于管理层的独立性，外部董事的比例;其成员参与管理的程度， 所采取措施的适宜性，对管理层提出问题的深 度和广度，他们与内部、外部审计人员 的关系实质等；管理哲学和经营风格主要考虑：对待和承担经营风险的方式，依靠文件化的政策、业绩指标以及报告体系等与关键经理人

5、员沟通，对财务报告的态 度和所采取的措施，对信息处理以及会计功能、人员所持的态度，对现有可选择的会 计准则和会计数值估计所持有的谨慎或冒进态度等；组织结构一一即公司活动提供 计划、执行，控制和监督职能的整体框架；责任的分配与授权；人力资源政策及实 务。2. 风险评估每个企业都面临着来自内部和外部的不同风险，这些风险都必须加以评估。 评 估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能 发生 的风险。3. 控制活动企业管理阶层辨识风险，继之应针对这种风险发出必要的指令。控制活动 是确 保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、 复核营业 绩效、保障资产安全

6、及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现。这主要包括：高层经理人员对企业绩效进行分析；直接部门管理;对信息处 理的控制；实体控制;绩效指标的比较和分工。4. 信息与沟通企业在其经营过程中，需按某种形式辨识、取得确切的信息并进行沟通 ，以使员 工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部 的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重耍信息的 方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。4监控内部控制系统需被持续监控。监控是由适当的人员 ，在适当及时的基础上，评

7、估 控制的设计和运作情况的过程。监督活动由持续监督和个别评估所组成 ，其可确保 企业内部控制能持续有效的运作。（三内部控制目标COSO报告认为，企业建立完善的内部控制体系，旨在达到以下三个目标：1. 经营的效率和效果2. 财务报告真实、完整；3. 恰当地遵循了相关法律、法规。二、COSO报告下的内部控制框架理论是否通用同以往的内部控制理论及研究成果相比，COSO报告不管是内部控制一一总 体框架还是2004年10月增补扩充后的企业风险管理 一一总体框架，都提出 了许多新的、有价值的观点。具体体现在：明确了内部控制的 责任主体”强调内 部控制应该与企业的经营管理过程相结合；强调内部控制是一个动态过

8、程”强调 人”的重要性;强调 软控制”的作用;强调风险意识；强调管理与控制的界限等。但是,值得注意的是，C0S0报告下的内部控制框架对内部控制的定义及董 事会 作用的强调是符合美国股权高度分散这一企业所有权结构的。因为英美公司治理是典型的外部控制主导型公司治理模式。在这种模式下，分散的股东无法对公司决 策施加有效的影响，从而形成了 弱股东,强管理”的格局。在这种情况下，单个股东 难以对企业内部控制的设计、运行和监督产生实质性作用。为了避免内部人在管理企业过程中侵犯所有者利益，强调并通过立法的形式明确并规范以独立董事占多 数席位的董事会在企业内部控制中的作用，加强对公 司经理层的监督和约束，从而

9、维 护股东权益。而我国的公司治理结构 内部人控制”现象严重，控股股东一股独大” 有些控股股东操纵上市公司的股东 大会、董事会和监事会，使股东大会、董事会、 监事会形同虚设，造成内部控 制失效。因此，在研究中国企业内部控制问题时，应在 COSO报告内部控制定义的基础上，视企业的具体情况强调和注重股东会尤其是控股大股东在企业内部 控制体系中的作用。在这一基础上，运用COSO报告内部控制框架研究中国企业 的 内部控制现状与改进才会有更强的针对性和实际意义。三、中国企业内部控制构建与完善框架（一加强法律法规等强制性来约束准则规范应尽快加强有关企业内部控制方面的法制建设以及内部审计和独立审计等相关方面的

10、行业准则的制定，为提高企业内控提供外部监督和指导。同时，建立和强化 内部控制责任机制，加大企业相关违规成本，使得建立和完善内部控制体系成为企业 的一种法律责任。目前，我国审计法和独立审计准则 等对企业内部控制虽 有论及，但都是从审计角度出发的，对企业而言并未形成内控整体框架；会计法 也没有对企业内部控制提出具体可行的规定。在完 善内部控制规范时，有条件地借 鉴COSO理论精华,要注意从以下几个方面予以 加强。1. 拓展内部控制的目标COSO报告框架的内部控制目标包括经营目标、报告目标和合规性目标三个 方面，而我国内部控制的目标仅局限丁 ？报告目标和合规性目标。我国应拓展内 部控 制的目标，由目

11、前的报告目标、合规性目标向经营目标扩展，以激发企业 对内部控制 建设的关注和需求。2. 丰富内部控制的责任主体2006年2月我国颁布的独立审计准则第 1211号了解被审计单位及 其环 境并评估重大错报风险已将内部控制的责任主体向上扩展到治理层（董事会,向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中，丰富内部控制责任主体，由单一主体向多元主体发展。如前面所分析，值得注意的是COSO报告下的 内部控制框架对内部控制的定义及董事会作用的强调是符合美国股权高度分散这一企业所有权结构的。而同时，笔者认为，在研究中国 企业股东对内部控制的影响及 作用时，必须要把股东划分为大股东和中小股东 两

12、个层次。因为在中国特有的经济 背景下，上市公司的股权结构基本属于 一股独大”的情况,中小股东对企业的影响很 小甚至没有，而大股东通过参与高 层管理操纵内部控制的情况却非常普遍。在界定 董事会对内部控制所富有的职 责时,必须强化大股东层面对内部控制的责任与义 务。3. 建立科学的内部控制规范体系对于我国目前内部控制规范中存在的各种缺陷，有关部门应加快对内部控 制规 范的修订,甚至重新制定。考虑到我国的实际情况，可以建立内部控制基 本规范和具 体规范两个层次：基本规范应是一套类似于美国 COSO报告那样的概念性的制度框 架，具有强制力;具体规范可以是具有可操作性的规则，应是参照性的。有关部门应 将

13、内部控制规范的建设提到日程上，建立一套科学的内部 控制规范体系，为企业的内 部控制的自我评估和外部审计师的内部控制审计提 供评价依据。关于这一点，在财 政部2006年起草的内部控制征求意见稿中，已有所体现。（二证券监管机构的职责界定企业尤其是上市公司一般只对外披露财务会计信息，人们关心的也是每股收益 等数字。对于企业内部控制，人们常常疏忽。而独立审计人员则体会到信 息的真实 可靠，来源于企业内部控制，内部控制越好，其信息就越可靠，审计实质性测试就可相 应减少;注册会计师在审计中虽然会对企业内控进行评审，但一般注重内部会计控制 并且由于审计的时间范围和技术的局限性，企业内控情况并不能充分了解和揭

14、示；为 了提高企业内控意识、提高其信息质量，企业有必耍在进行内部控制自我评估后，向 社会公开披露其内控信息。而在这一 过程中，要使得企业内部控制披露机制真正发 挥作用，就必须要界定好证券监管机构的相关职责。（三强化企业内部控制的自我完善1.企业内部控制目标的定位与企业的发展战略相结合按照C0S0报告框架的要求，内部控制目标应该包括三个方面：经营的效率 和效 果、财务报告的可靠性以及相关法规的遵循性。笔者认为 ，企业在构建和 完善内部 控制时，必须结合自己发展所处阶段和内外部条件,按照SWOT分析法,将内部控制 目标的确定与企业发展战略相适应，以使内部控制体系具有可操作 性和针对性。2.在统一的框架内构建和完善符合企业情况的内部控制体系有了微观层面统一的内部控制规范和体系，企业要按照COSO框架中的五个 要 素，适当借助外部中介机构的力量，在对控制环境进行深入的调研与分析的 基础上，构 建适合自己企业情况的、具有可操作性的微观层面内部控制制度与体系。（四会计师事务所的外部监督目前我国注册会计师接受委托执行的内部控制制