COSO-ERM框架下制造類中小企業(yè)內(nèi)部控制優(yōu)化研究
——以GW公司為例

張春想 程四明

(安徽商貿(mào)職業(yè)技術(shù)學(xué)院，安徽 蕪湖 241002)

1 COSO-ERM框架的變革

上世紀(jì)八十年代財務(wù)報告虛假丑聞頻繁出現(xiàn)，“反虛假財務(wù)報告委員會”經(jīng)過調(diào)查發(fā)現(xiàn)很大一部分財務(wù)欺詐源于企業(yè)內(nèi)部控制失誤。因此，成立了COSO委員會，希望能研究和制定出權(quán)威的內(nèi)部控制指導(dǎo)方針，為全球內(nèi)部控制的發(fā)展提出指導(dǎo)意見。在這樣一個大背景下，COSO委員會于1992年發(fā)布了首個《內(nèi)部控制——整合性框架》，但是由于其視野過于局限于財務(wù)報告，缺乏風(fēng)險意識及全局意識，因此，2004年COSO委員會重新頒布了《企業(yè)風(fēng)險管理——整合框架》，該框架在原整合性框架基礎(chǔ)上進行了修訂，突出了全面風(fēng)險管理概念，強調(diào)了風(fēng)險管理在企業(yè)經(jīng)營管理活動全過程中的重要性。為了應(yīng)對企業(yè)愈加復(fù)雜的經(jīng)營環(huán)境，2017年COSO委員會正式發(fā)布了最新版COSO-ERM(2017)框架，該框架明確劃分了企業(yè)風(fēng)險管理及內(nèi)部控制的界限，闡明了企業(yè)風(fēng)險管理與企業(yè)價值的關(guān)系，對企業(yè)風(fēng)險管理與內(nèi)部控制活動提供了有力的理論及實踐指導(dǎo)。

2 COSO-ERM(2017)框架的變化及主要特點

2.1 COSO-ERM(2017)框架的變化

2.1.1 框架及展現(xiàn)方式的變化

首先，2017年新COSO-ERM框架引入了企業(yè)價值創(chuàng)造模型，由原來的4目標(biāo)4層級8要素立方體框架變?yōu)楝F(xiàn)在的貫穿企業(yè)價值創(chuàng)造全過程的5要素20原則螺旋體式框架(表1)。

表1 新舊COSO-ERM框架要素變化

其次，新COSO-ERM框架在視覺上發(fā)生了很大變化，模型的呈現(xiàn)方式由原來的立方體模型變?yōu)镈NA螺旋體式模型。

2.1.2 主體適用性更為廣泛

2017年新COSO-ERM框架在正文部分的描述中故意回避了“企業(yè)”的說法，可以看出COSO委員會期望的主體適用性已經(jīng)從企業(yè)面向了各類型、各種規(guī)模的主體，從理論上來看，任何一個設(shè)定了所要期望達(dá)到的目標(biāo)且有明確的愿景、使命和核心價值觀地主體，都可以適用2017年新COSO-ERM框架。

2.2 COSO-ERM(2017)框架的主要特點

2.2.1 突出了企業(yè)文化的重要作用

2017年新COSO-ERM框架將組織治理與組織文化作為第一項關(guān)鍵要素，其中就包括了文化這個關(guān)鍵詞。他指出企業(yè)的組織文化作為企業(yè)的一些軟要素，能夠影響企業(yè)員工的思維及行為表現(xiàn)，能夠影響企業(yè)的風(fēng)險管理活動，對企業(yè)的風(fēng)險識別，風(fēng)險應(yīng)對、風(fēng)險管理以及風(fēng)險控制等方面具有廣泛影響。

2.2.2 明確了內(nèi)部控制與風(fēng)險管理的界限

很長時間以來，國內(nèi)外學(xué)者及企業(yè)對如何區(qū)分風(fēng)險管理及內(nèi)部控制都存在著爭議，COSO-ERM(2017)框架的頒布為人們指明了方向，他明確提出了公司治理、風(fēng)險管理、內(nèi)部控制三者之間的關(guān)系，如圖1所示。

圖1 公司治理、風(fēng)險管理、內(nèi)部控制關(guān)系圖

2.3 強調(diào)風(fēng)險對價值的有力影響

2017年新發(fā)布的COSO-ERM框架重點強調(diào)了基于風(fēng)險導(dǎo)向的管理理念，改變了以前過于絕對的將防止對企業(yè)價值有侵蝕的事件的發(fā)生和降低風(fēng)險水平作為工作重點的理念，強調(diào)了企業(yè)風(fēng)險管理在企業(yè)經(jīng)營活動各環(huán)節(jié)中的地位及作用，引導(dǎo)人們關(guān)注企業(yè)風(fēng)險管理的重要性。將企業(yè)風(fēng)險管理與企業(yè)管理業(yè)務(wù)和企業(yè)核心價值結(jié)合起來，強調(diào)其在企業(yè)價值創(chuàng)造、企業(yè)價值保持和企業(yè)價值實現(xiàn)中不可或缺的作用，對企業(yè)價值創(chuàng)造和增值起到了良好的促進作業(yè)。

3 COSO-ERM新框架下制造類中小企業(yè)內(nèi)部控制存在的問題及原因分析——以GW公司為例

3.1 GW公司基本情況介紹

GW科技有限責(zé)任公司(以下簡稱GW公司)于2019年6月成立，注冊資本1000萬元。現(xiàn)有職工60余人，主要致力于包括計算機軟硬件、電子產(chǎn)品、通訊設(shè)備、一類醫(yī)療器械、儀器儀表的技術(shù)開發(fā)、轉(zhuǎn)讓、咨詢服務(wù)。公司成立以來，經(jīng)營良好，規(guī)模不斷擴大，業(yè)務(wù)拓展到開發(fā)銷售自研產(chǎn)品，電子計算機及配件、電子產(chǎn)品的銷售，商戶收單項目的技術(shù)服務(wù)，勞務(wù)服務(wù)及維護服務(wù)，計算機軟硬件租賃服務(wù)公司發(fā)展勢頭良好，整體處于上升趨勢。

雖然GW公司發(fā)展良好，但是也存在諸如內(nèi)部控制建設(shè)缺陷等不少問題。盡管不同的企業(yè)內(nèi)控制設(shè)計的思路和方法存在很多相同之處，但是GW公司內(nèi)部控制制度設(shè)計照搬照抄其他公司現(xiàn)有的制度，嚴(yán)重脫離企業(yè)實際，內(nèi)部控制制度框架不完整，且與自己公司的企業(yè)文化、公司治理等情況存在矛盾，其可行性存在很大的問題。GW公司內(nèi)部控制流于表面，且執(zhí)行過程缺乏監(jiān)督，沒有合理有效地實施，使得企業(yè)存在較大的風(fēng)險隱患。

3.2 GW公司內(nèi)部控制存在的主要問題

3.2.1 GW公司員工缺乏信息安全意識

近年來，由于病毒、木馬、惡意軟件等各類互聯(lián)網(wǎng)犯罪日益猖獗，信息安全事件“炮響”無數(shù)，商業(yè)泄密案“觸目驚心”，警鐘不斷，同時客戶對數(shù)據(jù)安全保護的要求也日益增強，越來越多的公司開始重視信息安全問題。對于主營電子信息類產(chǎn)品公司而言，信息安全管理意義重大。目前很多企業(yè)對潛在信息安全風(fēng)險缺乏必要的警覺性，更沒有建立相關(guān)的信息安全風(fēng)險應(yīng)急預(yù)案，使得企業(yè)在遭遇信息安全問題時常常會措手不及。GW公司信息安全意識缺乏，企業(yè)沒有足夠重視員工安全意識培養(yǎng)工作，新入職員工并未得到充分的IT安全培訓(xùn)便開始訪問機密數(shù)據(jù)，企業(yè)的安全意識宣傳項目設(shè)計的不夠好，很多時候，企業(yè)為了應(yīng)付合規(guī)檢查，安全意識宣傳工作往往搞成了類似研討會的形式。同時GW公司信息安全意識相對薄弱，對公司員工信息安全方面教育缺乏，一旦公司面對網(wǎng)絡(luò)攻擊，可能會受到嚴(yán)重的打擊，這要是公司長期發(fā)展將面臨的最大的風(fēng)險。

3.2.2 GW公司內(nèi)部各部門之間信息溝通不暢

有效的信息溝通是企業(yè)內(nèi)部控制有效實施的重要保證。一個企業(yè)所接收和傳播的信息是包羅萬象，包括供應(yīng)商信息、客戶信息、財務(wù)信息以及行業(yè)信息等，信息的準(zhǔn)確度和能否及時接收會影響企業(yè)對于決策正確性的判斷，在紛繁復(fù)雜的信息流中如何有效地對信息進行分類、整理、傳遞和交流，對組織實現(xiàn)戰(zhàn)略和商業(yè)目標(biāo)起著至關(guān)重要的作用。GW公司生產(chǎn)、研發(fā)、業(yè)務(wù)以及財務(wù)等各部門之間獨立運行，沒有建設(shè)企業(yè)信息交流平臺，內(nèi)部管理信息數(shù)據(jù)無法共享和交換，各個部門的信息形成了信息孤島，使得公司信息傳遞的速度受到了嚴(yán)重影響，嚴(yán)重影響了企業(yè)的長遠(yuǎn)發(fā)展。

3.2.3 GW公司缺乏風(fēng)險管理意識

公司風(fēng)險管理尚未有針對性的監(jiān)督機制，沒有設(shè)立獨立的風(fēng)險評估部門，公司現(xiàn)有的風(fēng)險管理是不成體系的，甚至可以說是一片空白。并且GW公司內(nèi)部審計形同虛設(shè)，主要任務(wù)是檢查財務(wù)賬目是否準(zhǔn)確、有無舞弊，對潛在風(fēng)險缺乏必要的警覺性以及相關(guān)的風(fēng)險研究，更沒有建立相關(guān)的風(fēng)險應(yīng)急預(yù)案，使得企業(yè)在遭遇風(fēng)險時常常會措手不及。

4 COSO-ERM新框架下GW公司內(nèi)部控制體系調(diào)整

4.1 強化信息安全管理，提升員工信息安全意識

提高員工信息安全意識是GW公司內(nèi)部控制體系調(diào)整的首要大事，據(jù)統(tǒng)計，一般企業(yè)數(shù)據(jù)泄露主要原因是由于企業(yè)內(nèi)部員工有意或無意造成的泄密，占總樣本數(shù)據(jù)達(dá)到百分之八十，另外百分之二十才是由于外部原因造成的。而操作不規(guī)范是企業(yè)內(nèi)部員工造成數(shù)據(jù)泄露的主要原因，甚至企業(yè)的一個保潔員錯誤的操作都有可能對企業(yè)的信息安全造成威脅。因此，可以看出阻礙企業(yè)發(fā)展的最大障礙是企業(yè)員工信息安全意識薄弱。所以，強化企業(yè)信息安全管理，提升企業(yè)員工信息安全意識至關(guān)重要，一般可以從以下幾個方面入手：

(1)加強企業(yè)信息安全文化意識培養(yǎng)。

首先，應(yīng)加強企業(yè)管理人員信息安全文化意識，作為企業(yè)的風(fēng)向標(biāo)，管理層的重視向企業(yè)各部門傳遞重視信息安全文化正能量。其次，企業(yè)可以借助動畫視頻、屏幕保護等各種新穎的形式加強企業(yè)信息安全文化的宣傳，在企業(yè)內(nèi)部形成一種信息安全文化的良好氛圍，將企業(yè)信息安全文化深入人心，打造企業(yè)堅實的人員防火墻，確保企業(yè)信息安全平穩(wěn)運行。

(2)改變信息安全培訓(xùn)頻率及方法。

打破原有定期年初培訓(xùn)制度，將員工信息安全培訓(xùn)安排在年初、月初、季初，多次少量培訓(xùn)，并在每次培訓(xùn)中引入不同方式及內(nèi)容，嘗試使用小視頻、小動畫、安全提示等多種方法，確保員工了解如何處理和銷毀機密信息。在信息安全培訓(xùn)的同時，進行安全制度考核，激勵員工積極關(guān)注企業(yè)數(shù)據(jù)安全。

(3)制定員工規(guī)范操作計算機的詳細(xì)規(guī)定，將信息安全教育作為員工入職培訓(xùn)的必需項目。

在入職開始培養(yǎng)網(wǎng)絡(luò)安全意識，加強新員工安全意識培訓(xùn)，從員工第一天到公司開始進行安全培訓(xùn)，建立正確的安全思維方式，這樣的培訓(xùn)并且是持續(xù)性的。

最后，信息安全不僅是企業(yè)發(fā)展的關(guān)鍵，更是需要在每個員工在心中培養(yǎng)的意識，只有公司健康發(fā)展，員工才能夠有更好的平臺。

4.2 提高信息溝通傳遞效率，建立有效地信息溝通渠道

及時有效的溝通是有效獲得企業(yè)運行情況、防范風(fēng)險以及實施內(nèi)部控制的重要途徑方法。首先，公司應(yīng)當(dāng)建立全方位覆蓋的信息系統(tǒng)，利用網(wǎng)絡(luò)技術(shù)，在企業(yè)內(nèi)部建立有效的信息溝通渠道，加強公司各部門之間信息傳遞與交流，及時分享內(nèi)外部的消息，及時、精準(zhǔn)的了解市場、政策發(fā)展的最新動向，便于企業(yè)對這風(fēng)險數(shù)據(jù)及時收集、篩選和處理。其次，公司應(yīng)當(dāng)提高各部門間信息交流水平和質(zhì)量，增強信息的針對性，保證信息的真實性，提高信息的時效性，挖掘信息的深度，為公司可持續(xù)的良性發(fā)展提供信息保障。

4.3 建立風(fēng)險管理三道防線

建立完善的風(fēng)險評估機制是增強中小企業(yè)內(nèi)部控制管理能力的重要方面。根據(jù)COSO-ERM(2017)要求，為了更好地開展風(fēng)險管理工作，應(yīng)當(dāng)在企業(yè)內(nèi)建立“三道防線”，以此機制來明確各相關(guān)部門的風(fēng)險管理職責(zé)。GW公司可設(shè)置如下三道防線：

第一道防線是指風(fēng)險所有方，即企業(yè)所有的核心業(yè)務(wù)部門。各個核心業(yè)務(wù)部門一線員工一般最先接觸到風(fēng)險源，有責(zé)任做到及時識別風(fēng)險并上報并作出初步風(fēng)險管理，是事前風(fēng)險控制的關(guān)鍵所在。

第二道防線是指風(fēng)險管理，即企業(yè)的支持職能部門。企業(yè)的支持職能部門是企業(yè)始終風(fēng)險控制的關(guān)鍵所在。

第三道防線是指風(fēng)險保證，及企業(yè)的內(nèi)部審計部門。內(nèi)部審計部門主要負(fù)責(zé)對前兩道防線的工作進行事后稽核、審計和監(jiān)察等，他是企業(yè)事后風(fēng)險控制的關(guān)鍵所在，同時也是企業(yè)內(nèi)部控制的最后一道防線。

與COSO-ERM(2017)新框架相結(jié)合是未來企業(yè)內(nèi)部控制建設(shè)發(fā)展的新方向。

COSO-ERM(2017)新框架提出了企業(yè)不但要適應(yīng)目前復(fù)雜多變的商業(yè)環(huán)境，并且要在此環(huán)境中健康發(fā)展，就需要不斷更新自己的管理模式，中小企業(yè)要在日趨復(fù)雜的商業(yè)環(huán)境中求得生存與發(fā)展，就必須建立與新框架相適應(yīng)的內(nèi)部控制體系。COSO-ERM(2017)新框架一方面豐富了內(nèi)部控制制度框架，另一方面也提出了符合企業(yè)目標(biāo)的價值最大化的實現(xiàn)方式，他不但能夠豐富內(nèi)部控制的相關(guān)理論，也為企業(yè)的發(fā)展提供了理論指導(dǎo)。