COSO報告運用于我國企業內控的可行性分析*

吳旭芳(咸寧學院計財處，湖北咸寧437100)

COSO報告運用于我國企業內控的可行性分析*

吳旭芳
(咸寧學院計財處，湖北咸寧437100)

從COSO報告的角度對內部控制的完善進行探討，并對企業在實踐中暴露出的問題進行分析、研究，尋找解決方法，以便在實際工作中趨利避害，以期對改善企業管理、加強內部控制有所借鑒。

企業內控;COSO報告;可行性分析

我國理論界和實務界對內部控制的認識還很不統一。其中，多數學者對內部控制的認識停留在內部控制制度和內部控制結構階段，如何建立健全的內部控制呢?美國的COSO模式具有重要的參考價值，全美反舞弊性財務報告委員會的發起組織——COSO委員會，于1992年提出《內部控制——整體框架》報告，該報告是國際內部控制理論發展的一個里程碑。COSO內部控制框架能確認出內部控制的三大主要目標，即運營的效率和效果，財務報告的可靠性，以及遵守適用的法律和規章。然而COSO內部控制整體框架理論是否適用于我國國情，是否能在我國的企業里建立有效的內控制度呢?本文就此進行一些分析。

一、COSO報告簡介及報告來由

1.COSO是Treadway委員會(Treadway Commission，即反欺詐財務報告全國委員會(National Commission On Fraudulent Finational Reporting)，通常根據其首任主席的姓名而稱為Treadway委員會)的發起組織(Committee of Sponsoring Organizations)的簡稱。Treadway委員會旨在研究舞弊性財務報告產生的原因及其相關領域，其中包括內控的不健全問題，其就內部控制問題提出了很多有價值的建議，并倡議建立一個專門研究內部控制問題的委員會。因此Treadway委員會的贊助機構成立了私人性質的COSO，其組成人士包括美國注冊會計師協會(AICPA)、美國會計學會(AAA)、國際財務執行官協會(FEI)、內部審計師協會(IIA)和管理會計師協會(IMA)等五個組織建議其發起組織共同協作，整合各種內部控制的概念和定義。1992年，COSO發布了一個綱領性文件《內部控制——整合框架》報告，并在1994年進行了局部修訂，成為內部控制領域最為權威的文獻之一，該報告是國際內部控制理論發展的一個里程碑，已正式成為美國上市公司內部控制框架的參照性標準。

在實務中，COSO內部控制整體框架得到了廣泛的應用。雖然美國聯邦存款保險公司(FDIC)主管機構并未要求必須采用COSO內部控制整體框架作為報告格式，但卻鼓勵各銀行以COSO框架為依據。事實上，各銀行自身也有積極性采用，因為使用COSO框架能夠充分展現公司的管理水平，取信于投資者，從而在一定的信息對稱的情況下，提高公司在公眾中的美譽度。

國內有關內部控制的權威規定主要有兩個:中國人民銀行制定的《加強金融機構內部控制的指導原則》(1997年5月)和中國注冊會計師協會制定的《獨立審計具體準則第9號—內部控制與審計風險》(1997年1月)。兩者在不同程度上都借鑒了COSO整體控制的一些理念。

2003年7月，COSO發布了《企業風險管理——整合框架(征求意見稿)》，經過一年多的意見反饋、研究和修改，2004年9月發布了最終的文本。

本文所借鑒的COSO報告正是2003年頒布的《企業風險管理——整合框架》，以下簡稱COSO報告或COSO框架。

2.COSO報告主要內容

所有的主體都面臨不確定性，對于管理當局的挑戰在于確定其追求增加利益相關者價值的同時，準備承受多少不確定性。企業風險管理使管理當局能夠識別、評估和管理面對不確定性的風險，它對于價值創造和保持而言是必不可少的。企業風險管理包括八個互相關聯的構成要素，它們與管理當局經營企業的方式密不可分。這些構成要素聯系起來，成為確定企業風險管理是否有效的標準。

該報告的核心內容是內部控制的定義、目標和要素。報告中提出來的觀點，超越了內控思想的以往理論——內部牽制、內部控制制度和內部控制結構等理論。

(1)企業風險管理的定義及實現目標

企業風險管理處理風險和機會，以便創造或保持價值。它的定義如下:

企業風險管理是一個過程，它由一個主體的董事會、管理當局和其它人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。

在主體既定的使命或愿景(vision)范圍內，管理當局制訂戰略目標、選擇戰略，并在企業內自上而下設定相應的目標。企業風險管理框架力求實現主體的以下四種類型的目標:

戰略(strategic)目標——高層次目標，與使命相關聯并支撐其使命;

經營(operations)目標——有效和高效率地利用其資源;

報告(reporting)目標——報告的可靠性;

合規(compliance)目標——符合適用的法律和法規。

對主體目標的這種分類可以使我們關注企業風險管理的不同側面。這些各不相同但卻相互交叉的類別——一個特定的目標可以歸入多個類別，反映了主體的不同需要，而且可能會成為不同管理人員的直接責任。這個分類還有助于區分從每一類目標中能夠期望的是什么。一些主體采用的另一類目標——保護資源也包含在上述類別之內。

(2)企業風險管理的構成要素

企業風險管理包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個相互關聯的構成要素。它們來源于管理當局經營企業的方式，并與管理過程整合在一起。

二、我國企業內部控制的現狀

由于我國實行市場經濟的時間只有十幾年，我國企業的內部控制起步較晚，經過十幾年的發展，具有一定的成績，但與發達國家相比，仍有明顯差距。我國企業認識到內部控制重要性的時間并不長，大部分關于內控的理論都是從國外借鑒而來的，已經成型和有效的內控模式非常少。目前在內部控制制度上，我國主要采用符合性測試及實質性測試等方法，以此檢測企業內部控制制度的真實性、合理性及有效性。但這種測試有許多缺陷，它僅僅停留于企業內部控制的表面，沒有深入到企業生產經營的具體環節，忽略了企業的經營風險，易導致盲目性，同時浪費了大量的人力、物力，降低了工作效率。

我國內控的現狀及制約因素主要表現在以下幾個方面。

(一)制約因素

1.理論及制度制約因素

(1)內部控制在概念上不統一。我國尚未提出權威性很高的內部控制的概念，對內部控制的完整性、合理性及有效性更是缺乏一個公認的標準體系。我國理論界和實務界對內部控制的認識還沒有形成很一致的意見。許多學者和企業對內部控制還停留在內部牽制和內部控制階段，還有很多人認為內部控制就是內部監督，而企業大多把內部控制看成是一堆堆的工具手冊、各種文件的制度，也有的企業把內部成本控制、內部資產安全控制等視為內部控制。一些企業管理者對內部控制問題有很多誤解，如有的認為內部控制就是報表審計的內部規范，有的認為內部控制就是內部紀律要求等。

(2)內部控制在體系上不完善。內部控制不是一個靜止的發展過程，企業應該結合本單位具體特點和要求設計內控制度。而一般企業卻不考慮本單位的實際情況隨意建章立制，而且不隨著業務發展和競爭環境的改變及時修訂和補充，使得內部控制制度不能及時有效防范風險。

2.實踐制約因素

(1)企業不重視。有些企業認為內控不過是各種規章制度簡單的匯總，沒有制定必要的過程控制和配套必要的獎罰措施，存在有法不依、執法不嚴的現象，使得內部控制如同虛設。一些企業認為內部控制就是相互牽制，不設置內部控制機構，甚至有的領導把內部控制與發展和效益對立起來，只注意抓效益而違章違法。有的不注重對企業職工的業務培訓和思想教育，使得員工素質不高，不適應崗位的要求，使得內部控制得不到有效的執行。

(2)執行不力，缺乏約束機制。有的企業內部控制制度流于形式。一方面是由于我國上市公司股權過于集中，股東和高層經理集所有權、決策權、執行權、監督權于一身，內部人凌駕于內部控制制度之上，根本不依照制度辦事。另一方面，內部控制的執行人員(包括經理)道德水平不高，責任感不強，在沒有相應的考核機制下，基于自身利益的考慮，其自覺性和警惕性大大地削弱，不能嚴格遵守內部控制制度。

(二)加強企業內部控制的必要性

內部控制的作用指內部控制的固有功能在實際工作中對企業的生產經營活動及外部社會經濟活動所產生的影響和效果。在社會化大生產中，內部控制作為企業生產經營活動的自我調節和自我制約的內在機制，處于企業中樞神經的重要位置。企業規模越大，其重要性越顯著。可以說，內部控制的健全、實施與否，是單位經營成敗的關鍵。因此，正確的認識內部控制的作用，同時加強內部控制，對于加強企業經營管理，維護財產安全，提高經濟效益，具有十分重要的現實意義。加強內部控制的重要性表現在以下幾方面:

1.切實保證國家的方針、政策和法規在企業內部的貫徹實施。貫徹執行國家的方針、政策和法規，是企業進行合法經營的先決條件。健全完善的內部控制，可以對企業內部的任何部門、任何流轉環節進行有效的監督和控制，對所發生的各類問題都能及時反映，及時糾正，從而有利于保證國家方針政策和法規得到有效的執行。

2.提高會計信息質量。由于國有資產的經營權與所有權相分離，使得企業經營者在利益目標上與企業的所有者并不一致。如果企業的內控不嚴，則企業經營者提供給企業所有者的會計信息就極有可能失真。為了使會計信息使用者得到準確的會計信息，加強內部控制乃是關鍵的一點。

3.有效防范企業經營風險。在企業的生產經營活動中，企業要達到生存發展的目標，就必須對各類風險進行有效的預防和控制，內部控制作為企業管理的中樞環節，是防范企業風險最為行之有效的一種手段。它通過對企業的有效評估，不斷的加強對企業經營風險薄弱環節的控制，把企業的各種風險消滅在萌芽之中，是企業風險防范的一種最佳方法。

4.是遏制腐敗的重要手段。由于企業的權力過于集中，如果企業內控不嚴，就會給企業領導人貪污、挪用國有資產、偷逃稅收等非法行為有機可乘。一些單位負責人為了達到轉移國家資產、偷逃稅收、謀取私利或小團體利益等非法目的，常常授意、指使甚至強令其手下員工辦理一些非法事項，從而損害了國家的利益。所以，在加強干部素質教育的同時，應抓好內部監督，從源頭上治理和徹底根除企業領導干部經濟犯罪與腐敗。

三、COSO報告運用于我國企業內部控制的可行性分析

雖然我國各行業自有其特點，各個企業又有差別，但只要科學地運用COSO框架，適應自己的行業優勢、企業特點，改善內控環境，會讓企業運作更合理有效，帶來更多收益。近年來，隨著現代企業制度的建立與完善，我國企業管理水平有了一定程度的提高，大部分企業都建立了內部控制制度，但多數企業的內部控制制度僅是擺設而已。這正是由于我國企業的制度及實踐的制約因素造成的，以下是美國COSO報告對我國加強內部控制制度執行效力的幾個方面的啟示。

1.政府制定統一的內部控制評價標準

目前我國還缺乏統一的內部控制評價標準，這就使得單位內部控制評級報告的真實性難以保證，一旦出現問題司法機關很難界定相關人等的法律責任。因此，政府部門建立統一的內部控制評價規范是很有必要的。一般標準是內部控制的完整性、合理性及有效性。(1)內部控制完整指是否覆蓋企業的整個系統，是否得到一貫的遵守，在控制環境變化的情況下，是否及時彌補因此而造成的失控。(2)內部控制的合理性是指企業所建立的內部控制制度要適應企業的特點和要求，經濟適用。實行內部控制所花費的代價不能超過由此而獲得的效益。(3)內部控制的有效性是指企業的內部控制政策和措施沒有與國家法律法規相抵觸;能夠得到貫徹執行并發揮作用，實現其為提高經營效率效果、提供可靠財務報告和遵循法律法規提供合理保證的目標。

2.政府應積極發揮對企業內部控制制度建設的指導和監督作用

政府在制定內部控制規范時應注意完善以下幾個方面:第一，內部控制規范建設層次應更清晰，基本規范應具有提綱挈領的指導意義，具體規范應當翔實，覆蓋企業經營管理活動的所有方面，把可操作性作為一個重要原則。第二，我國內部控制定位不應局限于防錯糾弊，應定位于財務報告的可靠性、經營的效率效果以及法律法規的遵循性三大目標，立足長遠，和國際接軌。同時，目標應當具有層次性，適合于不同發展水平的企業。第三，我國內部控制環境與風險評估部分相對較弱，今后應把企業的外圍環境、文化理念、經營哲學等控制環境因素與風險因素都應納入企業內部控制的范圍來予以考慮。

3.企業應抓管理者及員工的素質培養，以增強內控執行的自覺性

我國目前的內部控制還只是使不同的職能部門之間有相互監督、牽制的內部牽制制度。COSO報告認為，內部控制是由人來執行和實施的。應將企業的所有員工團結一致，充分發揮企業全體職工的能動性，使其主動地維護及改善企業的內部控制。

從實踐角度講，審計人員在防范舞弊財務報告中具有獨特的內在優勢。我國可考慮仿效美國Treadway委員會，由審計職業界、財政部、證監會及企業界聯合成立專門委員會，研究獨立審計在防范欺詐性財務報告中的作用和具體措施。通過借鑒國外舞弊理論研究成果結合我國國情，積極開展舞弊性財務報告的實證研究。同時，可以搜集典型的審計案例，進行定量分析后歸納出某些規律，了解編制舞弊性財務報告的誘因、動機、條件和方式，提高審計人員揭露舞弊性財務報告和防范審計風險的能力，盡可能地減少乃至消除舞弊性財務報告的危害。

四、結論

盡管我國大部分企業都建立了內控制度。但由于理論、制度、實踐等一些制約因素的影響，這種本土的內部控制體制并不健全，存在很多的漏洞，同時也造成了會計信息失真、財務報表舞弊、內控執行力度不夠等一系列導致公司及員工權益受到極大損壞的后果。近年來在社會上出現的一系列財政丑聞足以提高我們對加強我國企業內部控制各個環節的重視程度。為了與國際接軌，同時避免閉門造車式的絕對化的本土管理體制，我們必須關注國際最具前瞻性的，最先進的制度、框架及模式。

美國Treadway委員會制訂的COSO報告是至今內部控制領域國際公認的最為權威的綱領性文件。在國內外實務中，COSO內部控制整體框架得到了廣泛的應用，它為了實現內部控制的有效性，需要五個方面要素的支持:控制環境(Control environment)、風險評估(Risk assessment)、控制活動(Control activities)、信息與溝通(Information and communication)和監督(Monitoring)。這些要素的歸結和理論性的指導使該框架經受了時間的考驗，并且成為現行規則、法規和法律的基礎。在該框架的基礎上COSO制訂的新的企業風險管理框架構建了一個更強有力的概念和管理工具，它提出的八個要素:內部環境，目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控等更是對內部控制框架，無論在內容上還是范圍上都有所擴大和提高。

綜上所述，COSO框架運用于我國企業內部控制是可行的，以其標準來衡量我國企業的內部控制對我們有很大的借鑒意義。但我們不能全部拿來主義，由于我國大部分企業內部控制的環節薄弱，我國各行業自有其特點，各個企業又有差別，但只要科學地運用COSO框架，適應自己的行業優勢、企業特點，改善內控環境，會讓企業運作更合理有效，帶來更多收益。

［1］喬忠編.管理學(第2版)［M］.北京:機械工業出版社，2002.

［2］馬衍，劉益平.內部控制與現代審計的關系［J］.審計與經濟研究，2004，19(2):16～18.

［3］肖婭芳.企業內部控制的完善［D］.對外經濟貿易大學工商管理學院，2005.

［4］唐群力.企業內部控制的經濟學分析［D］.暨南大學，2004.

［5］閻紅玉.公司治理與內部控制［J］.南方經濟，2004，(12):22～24.

F275

A

1006－5342(2010)09－0009－03

2010-07-14