白宇

[摘 要]美國(guó)COSO委員會(huì)于2013年5月頒布了新版《內(nèi)部控制—整體框架》（IC-IF，以下簡(jiǎn)稱COSO新框架）。該框架是對(duì)1992年版內(nèi)部控制框架（以下簡(jiǎn)稱舊框架）的繼承與改進(jìn)，進(jìn)一步完善了企業(yè)內(nèi)部控制理論。本文將對(duì)COSO新框架進(jìn)行介紹，著重分析其產(chǎn)生背景以及所包含的內(nèi)容，并將其與舊框架進(jìn)行比較，并指出其發(fā)展變化。

[關(guān)鍵詞]COSO新框架；內(nèi)部控制；背景；變化

10 13939/j cnki zgsc 2015 51 106

1 COSO新框架產(chǎn)生背景

1 1 舊框架的產(chǎn)生

COSO委員會(huì)（全稱：the Committee of Sponsoring Orgnization of the Tredway Commission），是美國(guó)虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)，該組織就內(nèi)部控制、企業(yè)風(fēng)險(xiǎn)管理（ERM）和舞弊防范提供領(lǐng)先思維和指引。COSO委員會(huì)于1992年發(fā)布《內(nèi)部控制—綜合框架》，旨在幫助公司或組織制定和評(píng)價(jià)其經(jīng)營(yíng)、合規(guī)和財(cái)務(wù)報(bào)告目標(biāo)的內(nèi)部控制體系。該框架發(fā)布后，很快得到了美國(guó)聯(lián)邦儲(chǔ)備局、美國(guó)證券交易委員會(huì)和巴塞爾委員會(huì)等監(jiān)管機(jī)構(gòu)和國(guó)際組織的認(rèn)可和重視，被廣泛應(yīng)用于政策、規(guī)則制定及管制中，例如AICPA于1996年發(fā)布的《審計(jì)準(zhǔn)則第78號(hào)》（SAS 78），表示全面接受COSO報(bào)告的內(nèi)容，從1997年1月1日起以內(nèi)部控制框架取代內(nèi)部控制結(jié)構(gòu)。隨后，眾多企業(yè)應(yīng)用COSO 框架以更好地控制其實(shí)現(xiàn)預(yù)定目標(biāo)過(guò)程中的活動(dòng)，該框架在世界范圍內(nèi)得到不斷應(yīng)用，產(chǎn)生了廣泛的影響。

1 2 ERM框架的產(chǎn)生

雖然1992年的COSO框架在幫助組織制定和評(píng)價(jià)其內(nèi)部控制體系方面起到了十分重要的意義，但依然存在很多缺陷，比如內(nèi)部控制系統(tǒng)中會(huì)計(jì)與審計(jì)的色彩太重，評(píng)價(jià)內(nèi)部控制有效性標(biāo)準(zhǔn)過(guò)于主觀，把企業(yè)經(jīng)營(yíng)和管理中一些重要職能（例如目標(biāo)設(shè)定、戰(zhàn)略規(guī)劃、核心競(jìng)爭(zhēng)力培育、風(fēng)險(xiǎn)評(píng)估和管理等）排斥在內(nèi)部控制觸角之外，以及沒有充分認(rèn)識(shí)到董事會(huì)對(duì)內(nèi)部控制系統(tǒng)的至關(guān)重要性等（張安明，2002）。

為了解決這些遺留的問(wèn)題，同時(shí)由于COSO 框架在誕生10多年后，西方發(fā)達(dá)國(guó)家爆發(fā)了安然、世通、施樂等公司財(cái)務(wù)舞弊案的會(huì)計(jì)丑聞，從而使得業(yè)界和監(jiān)管當(dāng)局更加注重加強(qiáng)企業(yè)的風(fēng)險(xiǎn)管理。比如，美國(guó)2002年頒布的《薩班斯—奧克斯利法案》（SOX法案）及其他國(guó)家或地區(qū)的類似法律法規(guī)對(duì)內(nèi)部控制提出了更加嚴(yán)格的要求。SOX法案的404條款，要求公眾公司管理層對(duì)內(nèi)部控制的有效性進(jìn)行評(píng)價(jià)和披露，注冊(cè)會(huì)計(jì)師也要對(duì)管理層的內(nèi)部控制評(píng)價(jià)報(bào)告進(jìn)行審計(jì)。

在這樣的背景下，COSO 委員會(huì)結(jié)合2002年通過(guò)的《薩班斯—奧克斯利法案》（簡(jiǎn)稱“SOX法案”），于2004年更新了 COSO 框架，發(fā)布了《 企業(yè)風(fēng)險(xiǎn)管理綜合框架》（Enterprise Risk Management-Integrated Framework，簡(jiǎn)稱“ERM 框架”）。該框架的內(nèi)容涵蓋了 IC-IF 框架的內(nèi)容，提出了適用于各類組織的企業(yè)風(fēng)險(xiǎn)管理的目標(biāo)、重要構(gòu)成要素、原則與概念，并集中關(guān)注風(fēng)險(xiǎn)管理，為董事會(huì)與管理層識(shí)別風(fēng)險(xiǎn)、規(guī)避陷阱、把握機(jī)遇進(jìn)而增加股東價(jià)值提供了清晰的指南。由于在美國(guó)上市的公司都要遵守《薩班斯—奧克斯利法案》以及內(nèi)部控制的有關(guān)規(guī)定，從而促使企業(yè)以更新后的 COSO 框架為標(biāo)準(zhǔn)開展內(nèi)部控制體系的建設(shè)，大大地推動(dòng)了COSO內(nèi)控框架在世界范圍的應(yīng)用。

1 3 COSO新框架的產(chǎn)生

近些年來(lái)，組織的業(yè)務(wù)和經(jīng)營(yíng)環(huán)境發(fā)生了巨大的變化，如科學(xué)技術(shù)的巨大進(jìn)步；法律法規(guī)以及各種標(biāo)準(zhǔn)的要求和復(fù)雜程度的大幅提升；對(duì)公司治理監(jiān)督期望的提升；對(duì)風(fēng)險(xiǎn)以及基于風(fēng)險(xiǎn)的方法的更多關(guān)注；市場(chǎng)和運(yùn)營(yíng)全球化成為大勢(shì)所趨；企業(yè)以及組織結(jié)構(gòu)的復(fù)雜性不斷提高，包括外包和戰(zhàn)略供應(yīng)商等。其次，20世紀(jì)90年代金融衍生產(chǎn)品的徹底崩盤、美國(guó)長(zhǎng)期資本管理公司（Long-Term Capital Management）事件、安然丑聞以及較近期的全球金融危機(jī)等大規(guī)模的企業(yè)治理和內(nèi)部控制失敗案例的發(fā)生，反映出管理層僭越控制、利益沖突、缺乏職責(zé)分離、透明度不足或欠缺、風(fēng)險(xiǎn)管理未加統(tǒng)一協(xié)調(diào)、董事會(huì)監(jiān)督無(wú)效等內(nèi)部控制問(wèn)題，都會(huì)對(duì)企業(yè)產(chǎn)生重大影響。此外，企業(yè)各層面對(duì)內(nèi)部控制框架的能力和責(zé)任的預(yù)期越來(lái)越高，對(duì)其能防范和檢測(cè)舞弊的要求亦不斷提升。綜合這些因素，COSO在1992年框架的基礎(chǔ)上，針對(duì)所要實(shí)現(xiàn)的新目標(biāo)，即反映業(yè)務(wù)和經(jīng)營(yíng)環(huán)境的變化、擴(kuò)大經(jīng)營(yíng)和報(bào)告目標(biāo)以及使促進(jìn)內(nèi)控有效性的原則清晰化，相應(yīng)地更新了背景、擴(kuò)展了應(yīng)用和將要求進(jìn)行了清晰化，從而產(chǎn)生了2013年新框架。

2 對(duì)COSO新框架的理解

2 1 COSO新框架的構(gòu)成

COSO新框架的成果主要包括兩部分：內(nèi)控—整體框架（2013年版）以及新框架實(shí)施于財(cái)務(wù)報(bào)告內(nèi)部控制的方法和案例匯編。

內(nèi)控—整體框架（2013年版）包括內(nèi)容摘要；框架和多份附錄；評(píng)估內(nèi)控系統(tǒng)有效性的解釋性工具應(yīng)用指南。主要包括內(nèi)控的核心定義，目標(biāo)的分類，內(nèi)控的組成要素以及內(nèi)控有效性的需求。

新框架實(shí)施于財(cái)務(wù)報(bào)告內(nèi)部控制的方法和案例匯編旨在幫助用戶在財(cái)務(wù)報(bào)告流程的內(nèi)部控制上使用新框架，是一系列的與應(yīng)用新框架中的原則相關(guān)的方法和案例。它提供了實(shí)際的方法和案例說(shuō)明了五大要素和原則是如何應(yīng)用到財(cái)務(wù)報(bào)告流程內(nèi)部控制的設(shè)計(jì)、執(zhí)行和實(shí)施階段。這些方法和案例是分別于五大要素和17條原則相對(duì)應(yīng)的，并且描述了原則的不同方面是如何體現(xiàn)在財(cái)務(wù)報(bào)告內(nèi)部控制的目標(biāo)上的。主要包含以下幾部分：財(cái)務(wù)報(bào)告中如何應(yīng)用內(nèi)控原則的案例和方法；近20年來(lái)的營(yíng)運(yùn)和商業(yè)環(huán)境的變化；各種實(shí)體的案例，包括公立、私立、非營(yíng)利以及政府機(jī)構(gòu)。

2 2 COSO新框架的內(nèi)容

2 2 1 對(duì)內(nèi)控的理解

內(nèi)部控制是一個(gè)過(guò)程，受企業(yè)董事會(huì)、管理層和其他員工的影響，旨在為企業(yè)運(yùn)營(yíng)，報(bào)告以及合規(guī)目標(biāo)的實(shí)現(xiàn)提供合理的保證。運(yùn)營(yíng)目標(biāo)是為了保證實(shí)體運(yùn)營(yíng)的有效性和效率，包括運(yùn)營(yíng)和財(cái)務(wù)業(yè)績(jī)目標(biāo)以及保證資產(chǎn)免受損失目標(biāo)。報(bào)告目標(biāo)主要由外部財(cái)務(wù)目標(biāo)、內(nèi)部財(cái)務(wù)目標(biāo)、外部非財(cái)務(wù)目標(biāo)、內(nèi)部非財(cái)務(wù)目標(biāo)構(gòu)成，包括保證可靠性、及時(shí)性、透明性以及其他監(jiān)管機(jī)構(gòu)制定的其他準(zhǔn)則或者規(guī)定。合規(guī)目標(biāo)就是要求該實(shí)體必須遵守法律法規(guī)。

2 2 2 內(nèi)控有效五要素對(duì)應(yīng)的17大原則

有效內(nèi)控的五個(gè)要素分別是控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通以及監(jiān)控活動(dòng)?？刂骗h(huán)境是所有其他內(nèi)部控制組成要素的基礎(chǔ)，管理層的態(tài)度和企業(yè)組織結(jié)構(gòu)更是定下了內(nèi)部控制的基調(diào)；風(fēng)險(xiǎn)評(píng)估意味著分析和辨認(rèn)實(shí)現(xiàn)目標(biāo)可能發(fā)生的風(fēng)險(xiǎn)，是內(nèi)部控制的前提；控制活動(dòng)是旨在確保管理層的指令得以執(zhí)行的政策和程序，為內(nèi)部控制的核心；信息與溝通旨在取得及時(shí)、確切的信息，并進(jìn)行有效的溝通，為內(nèi)部控制提供條件；監(jiān)控著眼于確保企業(yè)內(nèi)部控制的持續(xù)有效運(yùn)作，起到潤(rùn)滑劑的作用。

對(duì)應(yīng)控制環(huán)境的五個(gè)原則：一是企業(yè)對(duì)誠(chéng)信和道德價(jià)值觀的承諾；二是董事會(huì)獨(dú)立于管理層，對(duì)內(nèi)部控制的制定及其績(jī)效施以監(jiān)督；三是管理層在董事會(huì)的監(jiān)督下，建立目標(biāo)實(shí)現(xiàn)過(guò)程中所涉及的組織架構(gòu)、報(bào)告路徑以及適當(dāng)?shù)臋?quán)利和責(zé)任；四是企業(yè)致力于吸引、發(fā)展和留任優(yōu)秀人才，以配合企業(yè)目標(biāo)達(dá)成；五是企業(yè)內(nèi)部控制責(zé)任人的問(wèn)責(zé)制度。

對(duì)應(yīng)風(fēng)險(xiǎn)評(píng)估的四個(gè)原則：一是企業(yè)制定足夠清晰的目標(biāo)，以便識(shí)別和評(píng)估有關(guān)目標(biāo)所涉及的風(fēng)險(xiǎn)；二是企業(yè)從整個(gè)企業(yè)的角度來(lái)識(shí)別實(shí)現(xiàn)目標(biāo)所涉及的風(fēng)險(xiǎn)，分析風(fēng)險(xiǎn)，并據(jù)此決定應(yīng)如何管理這些風(fēng)險(xiǎn)；三是企業(yè)在評(píng)估影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)時(shí)，考慮潛在的舞弊行為；四是企業(yè)識(shí)別并評(píng)估可能會(huì)對(duì)內(nèi)部控制系統(tǒng)產(chǎn)生重大影響的變更。

對(duì)應(yīng)信息和溝通的三個(gè)原則：一是企業(yè)選擇并制定有助將目標(biāo)實(shí)現(xiàn)風(fēng)險(xiǎn)降低至可接受水平的控制活動(dòng)；二是企業(yè)為用以支持目標(biāo)實(shí)現(xiàn)的技術(shù)選擇并制定一般控制政策；三是企業(yè)通過(guò)政策和程序來(lái)部署控制活動(dòng)：政策用來(lái)確定所期望的目標(biāo)；程序則將政策付諸于行動(dòng)。

對(duì)應(yīng)監(jiān)控活動(dòng)的兩個(gè)原則：一是企業(yè)選擇、制定并實(shí)行持續(xù)及/或單獨(dú)的評(píng)估，以判定內(nèi)部控制各要素是否存在且發(fā)揮效用；二是企業(yè)及時(shí)評(píng)估內(nèi)部控制缺陷，并將有關(guān)缺陷及時(shí)通報(bào)給負(fù)責(zé)整改措施的相關(guān)方，包括高級(jí)管理層和董事會(huì)。

2 2 3 內(nèi)控三維“立方體”結(jié)構(gòu)

立方體的列從左到右依次是運(yùn)營(yíng)、報(bào)告和合規(guī)目標(biāo)，每個(gè)企業(yè)都會(huì)制定相關(guān)目標(biāo)以及用以實(shí)現(xiàn)這些目標(biāo)的戰(zhàn)略和計(jì)劃。立方體的側(cè)面，如下圖所示，則揭示了企業(yè)的目標(biāo)既可以從整個(gè)企業(yè)的層面來(lái)設(shè)定，也可以針對(duì)企業(yè)內(nèi)部具體的部門、業(yè)務(wù)單元和職能部門來(lái)設(shè)定（包括銷售、采購(gòu)和生產(chǎn)等業(yè)務(wù)流程），同時(shí)也描繪出了大多數(shù)企業(yè)等級(jí)式的自上而下的組織結(jié)構(gòu)。立方體的正面是內(nèi)部控制的五大要素，代表立方體的行。詳見下圖。

內(nèi)控三維“立方體”結(jié)構(gòu)圖

立方體描述了以下三者之間的直接關(guān)系：企業(yè)目標(biāo)（即企業(yè)所要力求實(shí)現(xiàn)的）；內(nèi)部控制要素（即企業(yè)實(shí)現(xiàn)目標(biāo)所需要的條件）；以及業(yè)務(wù)單元、法務(wù)單元以及企業(yè)內(nèi)部的其他結(jié)構(gòu)單元（即內(nèi)部控制要素運(yùn)行的各企業(yè)層面）。每個(gè)內(nèi)部控制要素都跨越和適用于所有三類目標(biāo)，并在企業(yè)的各個(gè)層面均適用。

3 COSO新框架的進(jìn)步

COSO新框架延續(xù)舊框架的幾方面是：內(nèi)控的核心定義；三種類型的目標(biāo)以及內(nèi)控五要素；有效內(nèi)控需要五要素的共同作用以及管理層判斷在設(shè)計(jì)、實(shí)施以及進(jìn)行內(nèi)控過(guò)程和評(píng)估內(nèi)控有效性方面的重要作用。之前已有介紹，此處不再贅述。

COSO新框架相對(duì)于舊框架進(jìn)步的幾方面是：考慮到了環(huán)境的變化，即更新舊框架的原因；報(bào)告目標(biāo)的擴(kuò)展，提出了三個(gè)企業(yè)目標(biāo)；五要素的17項(xiàng)原則的補(bǔ)充以及增加了對(duì)運(yùn)營(yíng)和非財(cái)務(wù)目標(biāo)的案例分析，即同時(shí)發(fā)行的《新框架實(shí)施于財(cái)務(wù)報(bào)告內(nèi)部控制的方法和案例匯編》一書。

4 COSO新框架的局限性

框架雖然為目標(biāo)的實(shí)現(xiàn)提供了合理的保證，但依然存在局限性，即有效的內(nèi)控系統(tǒng)可能也會(huì)導(dǎo)致內(nèi)控的失效，因?yàn)閮?nèi)控系統(tǒng)并不能阻止錯(cuò)誤的判斷或決定，并且外部的事件具有不可控性，都可能造成內(nèi)控的失效。因而只能提供合理的保證，而非絕對(duì)的保證。具體講，局限性包括以下幾方面：作為內(nèi)部控制先決條件所制定的目標(biāo)質(zhì)量及其合適性；人們?cè)跊Q策過(guò)程中的潛在判斷缺陷；管理層在應(yīng)對(duì)風(fēng)險(xiǎn)和建立控制時(shí)對(duì)成本和收益的考量；因人為原因（錯(cuò)誤或失誤）而導(dǎo)致的可能的內(nèi)控失效；控制可能會(huì)因兩人或多人相互勾結(jié)而被規(guī)避以及管理層繞過(guò)內(nèi)部控制職能及相關(guān)決定的能力。

參考文獻(xiàn)：

[1]美國(guó)COSO制定發(fā)布 企業(yè)風(fēng)險(xiǎn)管理：整合框架[M].方紅星等，譯 大連：東北財(cái)經(jīng)大學(xué)出版社，2005

[2]劉立峰 美國(guó)內(nèi)部控制實(shí)證研究綜述[J].經(jīng)濟(jì)研究導(dǎo)刊，2013（2）

[3]儲(chǔ)稀梁 COSO內(nèi)部控制整體框架：背景、內(nèi)容、理論貢獻(xiàn)與啟示[J].金融會(huì)計(jì)，2004（6）：14-16

[4]陳漢文，吳益兵，等 薩班斯法案404條款：后續(xù)進(jìn)展[J].會(huì)計(jì)研究，2005（2）：82-86

[5]李寧 內(nèi)部控制整體框架理論的突破及其啟示[J].金融與經(jīng)濟(jì)，2006（5）

[6]盧衛(wèi)衛(wèi) 走近COSO（三）——如何評(píng)估風(fēng)險(xiǎn) 深交所，2005（10）：50-54

[7]鄧春華 企業(yè)內(nèi)部控制：現(xiàn)狀及發(fā)展建議[J].審計(jì)研究，2005（3）：72-75

[8]劉靜，李竹梅 內(nèi)部控制環(huán)境的探討[J].會(huì)計(jì)研究，2005（2）：73-75

[9]金彧昉，李若山，徐明磊 COSO報(bào)告下的內(nèi)部控制新發(fā)展——從中航油事件看企業(yè)風(fēng)險(xiǎn)管理[J].會(huì)計(jì)研究，2005（2）

[10]林斌，舒?zhèn)ィ钊f(wàn)福 COSO框架的新發(fā)展及其述評(píng)——基于IC-IF征求意見稿的討論[J].會(huì)計(jì)研究，2012（11）

[11]李享 美國(guó)內(nèi)部控制實(shí)證研究：回顧與啟示[J].審計(jì)研究，2009（1）

[12]劉霄侖 風(fēng)險(xiǎn)控制理論的再思考：基于對(duì)COSO內(nèi)部控制理念的分析[J].會(huì)計(jì)研究，2010（3）

[13]施敏 COSO企業(yè)風(fēng)險(xiǎn)管理框架在我國(guó)保險(xiǎn)企業(yè)中的應(yīng)用研究[D].北京：對(duì)外經(jīng)貿(mào)大學(xué)，2007

[14]李群 SOX法案和COSO框架下集團(tuán)公司內(nèi)部控制的研究[D].北京：對(duì)外經(jīng)貿(mào)大學(xué)，2007

孫櫻僡：20世紀(jì)80年代后的國(guó)際貿(mào)易與社會(huì)聯(lián)盟分析