COSO內(nèi)控框架的最新發(fā)展及啟示

王瑞龍+張浩

【摘 要】 2013年5月14日美國(guó)虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)正式發(fā)表了最新版本的《內(nèi)部控制——整合框架》。文章從《內(nèi)部控制——整合框架》的發(fā)展歷程出發(fā)，簡(jiǎn)述了其更新的背景，詳細(xì)分析了新框架的重要變化：該框架順應(yīng)了近年來(lái)企業(yè)運(yùn)營(yíng)和業(yè)務(wù)環(huán)境的變化，重新調(diào)整了框架結(jié)構(gòu)，突出了原則導(dǎo)向，拓展了報(bào)告目標(biāo)。提出了完善我國(guó)內(nèi)控體系的具體建議。

【關(guān)鍵詞】 COSO； 內(nèi)部控制； 整合框架； 更新； 啟示

中圖分類號(hào)：F275 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1004-5937（2014）08-0052-04

一、導(dǎo)言

2013年5月14日美國(guó)虛假財(cái)務(wù)報(bào)告委員會(huì)（Treadway）下屬的發(fā)起人委員會(huì)（COSO）正式發(fā)表了最新版本的 《內(nèi)部控制——整合框架》（Internal Control-Integrated Framework），簡(jiǎn)稱COSO IC-IF。一起發(fā)布的還有《評(píng)估內(nèi)部控制系統(tǒng)和對(duì)外財(cái)務(wù)報(bào)告內(nèi)部控制（ICEFR）有效性的說(shuō)明性工具——方法和范例匯編》，以幫助用戶評(píng)估其內(nèi)部控制系統(tǒng)是否符合新版框架的要求。COSO同時(shí)設(shè)定了為期一年半的過(guò)渡期（2013年5月14日至2014年12月15日），要求用戶在過(guò)渡期內(nèi)應(yīng)當(dāng)盡快地轉(zhuǎn)換自己的應(yīng)用流程和相關(guān)文件，以適應(yīng)更新版框架。之后，COSO將考慮用2013年的框架取而代之，在原框架下的《中小企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制指南》也將按新版本修訂。這是1992年《內(nèi)部控制——整合框架》發(fā)布以來(lái)COSO對(duì)IC-IF框架的首次整體更新。2013年COSO IC-IF框架更新的目的是什么？有哪些重要的更新？對(duì)中國(guó)內(nèi)部控制體系的發(fā)展有什么借鑒之處？基于這些問(wèn)題，本文嘗試對(duì)新COSO內(nèi)部控制框架進(jìn)行解讀。

二、COSO IC-IF的發(fā)展歷程

內(nèi)部控制理論是隨著企業(yè)內(nèi)控實(shí)踐經(jīng)驗(yàn)的豐富而逐漸發(fā)展起來(lái)的，大致經(jīng)歷了內(nèi)部牽制、內(nèi)部控制系統(tǒng)、內(nèi)部控制結(jié)構(gòu)和內(nèi)部控制整體框架四個(gè)理論階段。在西方，對(duì)于內(nèi)部控制的研究由來(lái)已久，也付出了巨大的代價(jià)。1992年美國(guó)COSO委員會(huì)組織研究推出了第一份企業(yè)內(nèi)部控制框架報(bào)告《內(nèi)部控制——整合框架》，提出了由“三個(gè)目標(biāo)”和“五個(gè)要素”組成的內(nèi)部控制框架。20世紀(jì)末一系列跨國(guó)公司破產(chǎn)丑聞促使西方社會(huì)對(duì)企業(yè)制度作出反思，意識(shí)到公司治理制度存在的缺陷，是導(dǎo)致公司舞弊的根本原因。安然事件后，美國(guó)于2002年通過(guò)《薩班斯—奧克斯利法案》（Sarbanes-Oxley Act），其第404條規(guī)定：要求上市公司每年對(duì)財(cái)務(wù)報(bào)表內(nèi)部控制的有效性進(jìn)行評(píng)估和報(bào)告。

IC-IF（1992）發(fā)布之后COSO對(duì)其做過(guò)多次補(bǔ)充和擴(kuò)展：1994年對(duì)IC-IF進(jìn)行了修訂，提出了“保障資產(chǎn)”的內(nèi)部控制的概念；2004年針對(duì)新出臺(tái)的《薩班斯—奧克斯利法案》的相關(guān)要求，在1992年框架的基礎(chǔ)上進(jìn)行了擴(kuò)展，發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理——整合框架》（Enterprise Risk Management-Integrated Framework，簡(jiǎn)稱COSO-ERM），企業(yè)風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制（IC-IF），引入風(fēng)險(xiǎn)組合觀，拓展和細(xì)化了內(nèi)部控制，形成了一個(gè)更全面、更強(qiáng)有力的關(guān)注風(fēng)險(xiǎn)的概念，構(gòu)建了一個(gè)更全面的企業(yè)管理工具；2006年COSO發(fā)布了《中小企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制指南》（Internal Control over Financial Reporting-guidance for Small Public Companies），針對(duì)中小企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制產(chǎn)生的特有問(wèn)題，指導(dǎo)規(guī)模較小的企業(yè)，按成本—效益原則，實(shí)現(xiàn)其財(cái)務(wù)報(bào)告目標(biāo)。2009年COSO發(fā)布了《內(nèi)部控制系統(tǒng)監(jiān)控指南》（Guidance on Monitoring Internal Control Systems），在實(shí)質(zhì)上構(gòu)建了一個(gè)有效監(jiān)控模型，為保障企業(yè)內(nèi)部控制的有效性和決策信息的可靠性提供可操作性的手段。

內(nèi)部控制的演化引起了國(guó)際的廣泛關(guān)注，COSO IC-IF（1992）得到許多國(guó)家借鑒。2008年我國(guó)以1992年的《內(nèi)部控制——整合框架》和2004年的《企業(yè)風(fēng)險(xiǎn)管理——整合框架》為基礎(chǔ)，結(jié)合我國(guó)國(guó)情頒布了《企業(yè)內(nèi)部控制基本規(guī)范》。

三、COSO IC-IF（2013）更新的背景

按COSO的說(shuō)法，2013年框架是在充分考慮了近年來(lái)企業(yè)業(yè)務(wù)和運(yùn)營(yíng)環(huán)境的變化基礎(chǔ)上作出的一次升級(jí)。

近二十年來(lái)企業(yè)的運(yùn)營(yíng)越來(lái)越融入到全球化市場(chǎng)中；商業(yè)模式和組織結(jié)構(gòu)發(fā)生了深刻的變化，OEM、ODM等業(yè)務(wù)外包已成為常態(tài)，企業(yè)內(nèi)部?jī)r(jià)值鏈向外部延伸，企業(yè)的外部依賴促使管理層轉(zhuǎn)變傳統(tǒng)的內(nèi)部經(jīng)營(yíng)思維，一個(gè)組織應(yīng)該包括內(nèi)外部經(jīng)營(yíng)活動(dòng)的概念幾乎被所有公司接受（林斌等，2012）；信息技術(shù)的進(jìn)步促進(jìn)了組織治理模式的改變，如今，通信網(wǎng)絡(luò)和關(guān)系數(shù)據(jù)庫(kù)的廣泛應(yīng)用已使集中單一的應(yīng)用環(huán)境演化為分布式、扁平化、移動(dòng)、實(shí)時(shí)的應(yīng)用環(huán)境，COSO認(rèn)為這些技術(shù)能夠影響內(nèi)部控制的要素；與此同時(shí)，相關(guān)的法律、法規(guī)、規(guī)章和準(zhǔn)則的要求日益復(fù)雜。利益相關(guān)者要求更多地參與治理過(guò)程，并且尋求更有效和更可靠的內(nèi)控體系來(lái)支撐組織的治理，以期更有效地預(yù)防和探測(cè)欺詐舞弊行為，維護(hù)自身的利益。正是在這樣的背景推動(dòng)下COSO于2010年啟動(dòng)了對(duì)IC-IF的修訂步伐。

四、COSO IC-IF（2013）的重要變化

從IC-IF框架發(fā)展歷史來(lái)看，每一次的補(bǔ)充和擴(kuò)展都進(jìn)一步增加了框架的可操作性和廣泛性，但內(nèi)控的核心定義都沒(méi)有改變。這次2013版框架也沿襲了這一脈絡(luò)，新框架依然圍繞三個(gè)內(nèi)控目標(biāo)和五個(gè)內(nèi)控要素展開(kāi)。五要素仍貫穿于內(nèi)部控制的設(shè)計(jì)、實(shí)施、引導(dǎo)及其有效性評(píng)估之中。那么相對(duì)于1992年的舊框架，2013年新框架有哪些變化呢？

（一）調(diào)整了框架結(jié)構(gòu)

COSO內(nèi)控框架可用COSO立方體來(lái)形象描述，新舊框架對(duì)比如圖1所示，明顯地，新框架吸收了2004年《企業(yè)風(fēng)險(xiǎn)管理——整合框架》的成果，將內(nèi)控要素順序重新調(diào)整，“控制環(huán)境”要素放在了最頂層，依次而下分別是“風(fēng)險(xiǎn)評(píng)估”、“控制活動(dòng)”、“信息和溝通”、“監(jiān)控活動(dòng)”要素。這種排列方式和《企業(yè)風(fēng)險(xiǎn)管理——整合框架》中的一樣，在邏輯上強(qiáng)化了五要素之間的順承關(guān)系。“控制環(huán)境”作為內(nèi)控體系的外圍和背景，提供了實(shí)施控制活動(dòng)和履行控制職責(zé)的氛圍，支撐著整個(gè)內(nèi)部控制框架。在此環(huán)境內(nèi)，管理層首先要評(píng)估實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)，以確定合理的風(fēng)險(xiǎn)管理策略，再通過(guò)“控制活動(dòng)”確保主體降低風(fēng)險(xiǎn)的措施順利實(shí)施。同時(shí)，與此相關(guān)的信息被獲取并在組織內(nèi)部有效傳遞，而這整個(gè)過(guò)程都應(yīng)得到監(jiān)控；將目標(biāo)維度中的“財(cái)務(wù)報(bào)告”改為了“報(bào)告”，這使目標(biāo)范圍得以擴(kuò)大；在組織維度上，將原框架中的“單位”（Unit）與“業(yè)務(wù)活動(dòng)”（Activities）細(xì)化為“主體”（Entity）、“分支機(jī)構(gòu)”（Division）、“業(yè)務(wù)單位”（Operating Unit）、“職能”（Function）。endprint

（二）增強(qiáng)了內(nèi)控要素的可操作性

新框架中最具新意的變化就是明確提出了內(nèi)控17項(xiàng)原則。這17項(xiàng)原則脫胎于1992年框架中的內(nèi)控五要素。1992年框架把每個(gè)內(nèi)控要素細(xì)化為若干要點(diǎn)加以討論，新框架在繼承這些要點(diǎn)基本概念和核心內(nèi)容的基礎(chǔ)上進(jìn)行新增、修改和刪除，提煉出原則（Principles）并確立下來(lái)，同時(shí)還詳細(xì)描述了與這些原則相關(guān)的81項(xiàng)重要特征和關(guān)注要點(diǎn)（Points of Focus）。原則的確立使得框架更加簡(jiǎn)潔明了，便于使用者從整體上把握；新框架注重原則性的規(guī)定，也使其不容易被規(guī)避；同時(shí)，可以培育出一種以職業(yè)判斷取代機(jī)械套用規(guī)則的氛圍，以避免陷入只注重形式而忽視本質(zhì)，為內(nèi)控而內(nèi)控的窘境。

更為重要的是，17項(xiàng)原則的確立，使組織內(nèi)控體系的評(píng)價(jià)有了較為清晰的準(zhǔn)則依據(jù)。舊框架中雖然也對(duì)內(nèi)控五要素做了較為深入的探討，但具體要如何做，卻未給出清晰的答案。而此次提出的17條原則都是相對(duì)清晰的指引，如果把舊框架看作一個(gè)粗線條模型的話，那么新框架就為企業(yè)內(nèi)控提供了相對(duì)清晰的路線圖，其可操作性得到了增強(qiáng)。17項(xiàng)原則的具體內(nèi)容如表1。

從表1中我們看到，與“控制環(huán)境”要素相關(guān)的原則涵蓋了企業(yè)文化、治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、人力資源政策等幾方面的行為準(zhǔn)則；與“風(fēng)險(xiǎn)評(píng)估”要素相關(guān)的原則幫助主體識(shí)別、分析與實(shí)現(xiàn)目標(biāo)相關(guān)的風(fēng)險(xiǎn)，以確定風(fēng)險(xiǎn)應(yīng)對(duì)策略；與“控制活動(dòng)”要素有關(guān)的原則確保組織降低風(fēng)險(xiǎn)，其中原則11特別強(qiáng)調(diào)了技術(shù)控制活動(dòng)的重要性；與“信息和溝通”要素相關(guān)的原則則指引主體及時(shí)、準(zhǔn)確地獲取內(nèi)控相關(guān)的信息，并確保信息在主體內(nèi)部及主體之間有效傳遞；與“監(jiān)控活動(dòng)”要素相關(guān)的原則著重強(qiáng)調(diào)監(jiān)控活動(dòng)要達(dá)到的目的，以及發(fā)現(xiàn)內(nèi)控缺陷后處理方式。總之，新框架突出了原則導(dǎo)向，增強(qiáng)了內(nèi)控要素的可操作性。

值得一提的是，為了增加原則普適性，COSO IF-IC（2013）用“組織”代替企業(yè)、非營(yíng)利機(jī)構(gòu)、政府部門等實(shí)體。

（三）強(qiáng)化了公司治理的理念

與1992年框架相比，新框架更多地提及了董事會(huì)及其專業(yè)委員會(huì)的治理職能。20年前，即使在西方，董事會(huì)下設(shè)專業(yè)委員會(huì)也還是新生事物。隨著企業(yè)業(yè)務(wù)和運(yùn)營(yíng)環(huán)境日益復(fù)雜，對(duì)公司治理提出了更高的要求。審計(jì)委員會(huì)、薪酬委員會(huì)、提名與治理委員會(huì)等大部分由獨(dú)立董事組成的專業(yè)委員會(huì)開(kāi)始在公司治理過(guò)程中發(fā)揮重要作用。健全的公司治理是內(nèi)部控制有效性的最大保證，必然地，董事會(huì)及其專業(yè)委員會(huì)的治理職能應(yīng)當(dāng)考慮。與此同時(shí)，資本市場(chǎng)機(jī)構(gòu)化使得公司投資者逐漸由個(gè)人變成諸如保險(xiǎn)公司、套利基金、投資銀行等金融機(jī)構(gòu)。機(jī)構(gòu)投資者的興起增加了改善公司治理的專業(yè)努力。它們對(duì)治理的認(rèn)識(shí)更專業(yè)，它們期望內(nèi)控能夠發(fā)揮更大的作用。考慮到這些變化，新框架原則第2條明確強(qiáng)調(diào)了董事會(huì)的獨(dú)立性要求，以及董事會(huì)對(duì)內(nèi)控體系的監(jiān)督職能，強(qiáng)化了公司治理理念。

（四）增加了舞弊的風(fēng)險(xiǎn)評(píng)估的內(nèi)容

新框架第8條原則重點(diǎn)強(qiáng)調(diào)了對(duì)舞弊的風(fēng)險(xiǎn)的評(píng)估。這部分的內(nèi)容來(lái)自對(duì)21世紀(jì)初一系列上市公司造假舞弊丑聞的經(jīng)驗(yàn)教訓(xùn)的總結(jié)與提煉，從2001到2002年兩年間，接連發(fā)生安然、世通、環(huán)球電訊等破產(chǎn)案，導(dǎo)致美國(guó)政府加快通過(guò)了《薩班斯法案》。COSO認(rèn)為：舞弊的風(fēng)險(xiǎn)因其存在主觀故意性、隱蔽性、串謀性、危害嚴(yán)重性等特征，而區(qū)別于一般風(fēng)險(xiǎn)。因此，在新框架中提出應(yīng)在風(fēng)險(xiǎn)評(píng)估階段，對(duì)舞弊的風(fēng)險(xiǎn)進(jìn)行考量。

（五）拓展了報(bào)告目標(biāo)

與1992年框架相比，新框架將“財(cái)務(wù)報(bào)告”目標(biāo)拓展為“報(bào)告”目標(biāo)，擴(kuò)大了報(bào)告的內(nèi)涵。報(bào)告目標(biāo)的拓展彌補(bǔ)了財(cái)務(wù)信息的不足，增加了報(bào)告的決策有用性。報(bào)告目標(biāo)涵蓋了內(nèi)/外部財(cái)務(wù)報(bào)告和內(nèi)/外部非財(cái)務(wù)報(bào)告，這就要求報(bào)告目標(biāo)不僅要為管理層提供決策的信息，還要滿足外部監(jiān)管并幫助利益相關(guān)者作出投資決策，如提供內(nèi)部控制報(bào)告、供應(yīng)鏈管理報(bào)告、可持續(xù)發(fā)展報(bào)告、人力資源報(bào)告、資產(chǎn)使用報(bào)告、客戶調(diào)查報(bào)告、主要風(fēng)險(xiǎn)報(bào)告、董事會(huì)報(bào)告等，報(bào)告目標(biāo)的拓展彌補(bǔ)了內(nèi)部控制目標(biāo)體系因受到公共會(huì)計(jì)師影響而造成的重視財(cái)務(wù)信息忽視其他信息的不足。

五、啟示與借鑒

總體來(lái)看，2013年新框架并沒(méi)有改變舊框架的關(guān)于內(nèi)控的基本概念和核心定義，而是順應(yīng)了全球化背景下企業(yè)運(yùn)營(yíng)及業(yè)務(wù)環(huán)境的變化，呼應(yīng)了利益相關(guān)者對(duì)企業(yè)治理的不斷增長(zhǎng)的需求，對(duì)舊框架的某些要素和目標(biāo)進(jìn)行了更新和拓展。

“他山之石，可以攻玉”。COSO IC-IF的新變化，為我國(guó)內(nèi)控建設(shè)提供了良好的借鑒平臺(tái)，為進(jìn)一步完善我國(guó)的內(nèi)控體系豎起了一個(gè)可供學(xué)習(xí)的“標(biāo)桿”。

（一）對(duì)《企業(yè)內(nèi)部控制基本規(guī)范》的基本評(píng)價(jià)

我國(guó)2008年頒布的《企業(yè)內(nèi)部控制基本規(guī)范》是以COSO框架為藍(lán)本，同時(shí)吸收了COSO-ERM風(fēng)險(xiǎn)管理的理念，結(jié)合我國(guó)國(guó)情進(jìn)行創(chuàng)新，形成了以原則（基本規(guī)范）為主、規(guī)則（應(yīng)用指引）為輔的內(nèi)控體系。在設(shè)計(jì)之初就站在了較高的起點(diǎn)上。從這次COSO框架修訂的內(nèi)容來(lái)看，從企業(yè)管理延伸到企業(yè)治理、內(nèi)控要素的整合、舞弊風(fēng)險(xiǎn)評(píng)估等更新都與我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》相吻合，這說(shuō)明了我國(guó)內(nèi)控體系在設(shè)計(jì)上的前瞻性，是符合國(guó)際發(fā)展潮流的。今后，我們應(yīng)繼續(xù)關(guān)注COSO的新變化，緊跟COSO等國(guó)際標(biāo)準(zhǔn)的新動(dòng)向，及時(shí)充實(shí)、完善現(xiàn)有的內(nèi)控體系，實(shí)現(xiàn)與國(guó)際的同步發(fā)展。

（二）進(jìn)一步完善我國(guó)內(nèi)控體系的建議

1.著手推動(dòng)財(cái)務(wù)報(bào)告向整合報(bào)告轉(zhuǎn)變

目前，我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》中的“報(bào)告”目標(biāo)仍著重于“財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整”。這是由我國(guó)現(xiàn)階段資本市場(chǎng)不完善，內(nèi)控規(guī)范體系的實(shí)施剛剛起步的國(guó)情所決定的，但從國(guó)際上來(lái)看，自2004 年COSO發(fā)布《企業(yè)風(fēng)險(xiǎn)管理——整合框架》以來(lái)，整合報(bào)告能增強(qiáng)決策有用性、促進(jìn)企業(yè)可持續(xù)性發(fā)展等優(yōu)勢(shì)越來(lái)越被看重，整合報(bào)告替代財(cái)務(wù)報(bào)告已成為趨勢(shì)。為適應(yīng)國(guó)際標(biāo)準(zhǔn)的新變化，我國(guó)應(yīng)盡早修訂這方面的標(biāo)準(zhǔn)與法規(guī)。endprint

2.從內(nèi)外多個(gè)層面來(lái)減少舞弊的風(fēng)險(xiǎn)

新框架的第8條原則強(qiáng)化了識(shí)別舞弊風(fēng)險(xiǎn)的論述，而我國(guó)部分企業(yè)缺乏針對(duì)舞弊風(fēng)險(xiǎn)的事前防范及事后處置能力，大量的職務(wù)犯罪已對(duì)中國(guó)企業(yè)造成較大損失。我們可以從多個(gè)層面來(lái)減少舞弊的空間。首先，要制定合理的戰(zhàn)略目標(biāo)，以減少管理層舞弊的壓力；同時(shí)大力倡導(dǎo)企業(yè)文化建設(shè)，提高董事會(huì)和管理層的職責(zé)操守及道德規(guī)范水平，從源頭上減少舞弊的動(dòng)機(jī)；另外，還必須加強(qiáng)對(duì)企業(yè)內(nèi)控的外部法律約束。我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》要求企業(yè)董事會(huì)定期委托會(huì)計(jì)師事務(wù)所對(duì)本企業(yè)內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性進(jìn)行審計(jì)。企業(yè)內(nèi)部控制審計(jì)報(bào)告應(yīng)當(dāng)與內(nèi)部控制評(píng)價(jià)報(bào)告同時(shí)對(duì)外披露或報(bào)送。但證券法、公司法、審計(jì)法、會(huì)計(jì)法等相關(guān)法律卻沒(méi)有相關(guān)條款，也沒(méi)有關(guān)于內(nèi)部控制的明確規(guī)定。因此，在法律層面上，還有許多工作要做。

3.增強(qiáng)內(nèi)部審計(jì)獨(dú)立性

COSO認(rèn)為“內(nèi)部審計(jì)是內(nèi)部控制有效性的必要條件”，2002年證監(jiān)會(huì)和經(jīng)貿(mào)委聯(lián)合頒布的《上市公司治理準(zhǔn)則》中規(guī)定“上市公司可按股東大會(huì)的有關(guān)決議設(shè)立審計(jì)委員會(huì)”。2003年審計(jì)署頒布的《關(guān)于內(nèi)部審計(jì)工作規(guī)定》中認(rèn)為“設(shè)立內(nèi)部審計(jì)機(jī)構(gòu)的單位可以根據(jù)需要設(shè)立審計(jì)委員會(huì)”。2003年以來(lái)，中國(guó)內(nèi)部審計(jì)師協(xié)會(huì)先后頒布了《內(nèi)部審計(jì)基本準(zhǔn)則》、《內(nèi)部審計(jì)人員職業(yè)道德規(guī)范》和24個(gè)內(nèi)部審計(jì)準(zhǔn)則以及兩個(gè)實(shí)務(wù)指南，但目前的現(xiàn)狀是許多上市企業(yè)都沒(méi)有設(shè)立審計(jì)委員會(huì)，內(nèi)部審計(jì)部門直接面對(duì)管理層，因而缺乏獨(dú)立性；有的即使設(shè)立了，也由于實(shí)施細(xì)則不完善，往往流于形式。企業(yè)無(wú)論在具體業(yè)務(wù)層面還是在公司層面，有效監(jiān)督欠缺仍是比較普遍的現(xiàn)象。沒(méi)有內(nèi)部審計(jì)的獨(dú)立性，內(nèi)部控制無(wú)從談起。由此我們呼吁要盡快完善相應(yīng)的法律制度，將審計(jì)委員會(huì)制度由企業(yè)自愿選擇變?yōu)閺?qiáng)制和必須，同時(shí)，進(jìn)一步細(xì)化審計(jì)委員會(huì)制度的實(shí)施細(xì)則，減少模糊空間，增加可操作性。另一方面，要進(jìn)一步完善獨(dú)立董事制度，充分發(fā)揮獨(dú)立董事的監(jiān)督職能。

4.加強(qiáng)在技術(shù)環(huán)境下內(nèi)部控制的研究

信息技術(shù)可以幫助組織提高資源的整合協(xié)調(diào)能力，但同時(shí)要對(duì)信息技術(shù)的固有風(fēng)險(xiǎn)進(jìn)行評(píng)估。COSO IC-IF（2013）第11項(xiàng)原則強(qiáng)調(diào)“組織應(yīng)針對(duì)其技術(shù)特點(diǎn)選擇和開(kāi)發(fā)一般控制流程，以支持組織目標(biāo)實(shí)現(xiàn)”。技術(shù)風(fēng)險(xiǎn)有其自身的特點(diǎn)，比如：信息化下數(shù)據(jù)處理和輸出環(huán)節(jié)全部由系統(tǒng)自動(dòng)執(zhí)行，全部責(zé)任高度集中于信息系統(tǒng)。這種特點(diǎn)使系統(tǒng)數(shù)據(jù)和信息處理資料面臨被不留痕跡非法瀏覽、篡改、損毀的巨大風(fēng)險(xiǎn)（呂易，2010）。中國(guó)企業(yè)對(duì)包括信息系統(tǒng)在內(nèi)的技術(shù)相關(guān)風(fēng)險(xiǎn)的應(yīng)對(duì)尚缺乏經(jīng)驗(yàn)，導(dǎo)致較多由于技術(shù)風(fēng)險(xiǎn)而對(duì)企業(yè)業(yè)務(wù)運(yùn)行產(chǎn)生重大影響的案例，比如著名的“三鹿奶粉事件”從風(fēng)險(xiǎn)管理的角度來(lái)說(shuō)就是由糟糕的技術(shù)風(fēng)險(xiǎn)管理導(dǎo)致的一次致命災(zāi)難。如何加強(qiáng)技術(shù)開(kāi)發(fā)過(guò)程中的風(fēng)險(xiǎn)控制，如何加強(qiáng)對(duì)處于運(yùn)行狀態(tài)的技術(shù)系統(tǒng)進(jìn)行監(jiān)控及風(fēng)險(xiǎn)預(yù)警/處置，是我國(guó)企業(yè)面臨的重大課題。

【主要參考文獻(xiàn)】

[1] COSO. Leading Risk Management and Internal Control Professional Robert Hirth Named New Chairman of COSO.http：//www.coso.org，2013.

[2] 林斌，舒?zhèn)ィ钊f(wàn)福. COSO 框架的新發(fā)展及其評(píng)述：基于IC-IF征求意見(jiàn)稿的討論[J].會(huì)計(jì)研究，2012（11）：64-95.

[3] COSO.內(nèi)部控制：整合框架 [M].方紅星，譯.大連：東北財(cái)經(jīng)大學(xué)出版社，2008：15.

[4] 中國(guó)內(nèi)部審計(jì)師協(xié)會(huì).內(nèi)部審計(jì)理論與實(shí)務(wù) [M].北京：中國(guó)石化出版社，2006：2.

[5] 呂易. 淺談信息技術(shù)下的內(nèi)部控制[J]. 信息科技，2010（22）：105-106.endprint