探究COSO內部控制框架的三次發(fā)展

柳志航等

【摘 要】全國反虛假財務報告委員會下屬的發(fā)起組織委員會前后經歷了三次修訂。新整合框架以原則為導向，在反映經濟環(huán)境變化的基礎上，對構成要素、報告目標等進行了相應調整。本文旨在結合美國發(fā)生的重大事件探究前兩次內部控制整合框架的發(fā)布，同時提出新整合框架對我國內部控制建設的幾點啟示。

【關鍵詞】案例；內部控制框架；啟示

1 內部控制框架的誕生

1.1 水門事件

1972年6月17日，以美國共和黨尼克松競選班子的首席安全問題顧問詹姆斯·麥科德為首的5人闖入位于華盛頓水門大廈的民主黨全國委員會辦公室，在安裝竊聽器并偷拍有關文件時，當場被捕。

起初，尼克松將之說成是名族運動，并且用一系列的總統表演活動暫時欺騙了公眾。總統大選時，獲得連任。

然而，一封又一封匿名信宣告著此事另有隱情。隨著迪安被暴露、尼克松與手下的秘密錄音帶被曝光，最后尼克松不得不辭職。這種惡性事件使美國高官和大企業(yè)主管這些傳統上受人尊重的上層階層的誠信度遭到社會質疑，社會要求加強對政府官員和大企業(yè)行為的監(jiān)督，傳媒界借機掀起揭開黑幕運動，各種官方調查也隨之展開。

自20世紀70年代起，內部控制在美國逐步得到了重視。

1.2 誕生

1985 年，全國舞弊性財務報告委員會在AICPA、美國審計總署 （AAA）、FEI 等機構共同贊助下成立了。這個委員會成立的宗旨就是研究企業(yè)財務為什么要舞弊，如何在財務報告上實施舞弊，能參與舞弊的地方有哪些，委員會認為沒有良好的內部控制是舞弊產生的主要原因，有必要成立一個專門的委員會來研究內部控制的問題。COSO由此應運而生，其成員包括美國會計師學會、內部審計師協會、金融管理學會等專業(yè)團體及其成員。1992 年，COSO 發(fā)布了《內部控制整體框架》報告（也就是 COSO 框架），該框架發(fā)布后，很快得到了美國聯邦儲備局、美國證券交易委員會和巴塞爾委員會等監(jiān)管機構或國際組織的認可和重視，并在立法和有關規(guī)則的制定過程中，開始采納了其中有關內容和思想。隨后，COSO 框架在世界范圍內得到不斷應用，產生了廣泛的影響。

2 內部控制框架的演化

2.1 案例分析

2.1.1 安然事件

安然公司曾經是世界上最大的能源、商品和服務公司之一。然而，2001年12月2日，安然公司突然向紐約破產法院申請破產保護，該案成為美國歷史上企業(yè)第二大破產案。

細細探究安然破產的背后，其財務欺詐令投資者憤怒。第一，經過調查，安然背后有很多合伙公司。安然對外的巨額貸款經常被列入這些公司，而不出現在安然的資產負債表上。第二，安然的高層對于公司運營中出現的問題非常了解，但長期以來熟視無睹甚至有意隱瞞。第三，安然假賬問題也讓人心驚。

安然事件的丑惡性之大，嚴重挫傷了美國經濟恢復的元氣，重創(chuàng)了投資者和社會公眾的信心。

2.1.2 世界通信事件

世界通信曾經是世界上最大的電信公司之一。然而，在2003年，世界通信被發(fā)現有38億美元費用被錯誤計為資本支出，并藉此提高了現金流和利潤。公司股票從20世紀90年代末的62美元狂跌至停牌前83美分，其資產總值由1153億美元跌至10億美元。世界通信巨額會計欺詐丑聞曝光，美國企業(yè)界和資本市場一片嘩然。

這些公司財務舞弊案的會計丑聞，使業(yè)界和監(jiān)管當局更加注重加強企業(yè)的風險管理。

2.2 演化

安然、世通等一系列財務丑聞后，為了提高投資者對資本市場的信心，2002 年 7月美國政府通過了《薩班斯——奧克斯法案》（簡稱“薩班斯法案”），明確要求上市公司的年報應包括內部控制的評價部分即內部控制自我評價報告。2004年，COSO委員會發(fā)布了《企業(yè)風險管理——整合框架》，以應對當時頻出的高管舞弊現象，并與薩班斯法案相呼應。

舊 COSO 報告得到了理論界與實務界的廣泛支持，但是它對企業(yè)整體戰(zhàn)略和風險管理關注不夠。而2004年的 COSO 報告繼承并包含了《內部控制——整體框架》的主體內容，著重強調風險管理，是對內部控制整體框架的繼承和發(fā)展。 其報告下企業(yè)內部控制評價體系可以簡單地用“三四八”的框架來描述，即三個維度：風險管理目標、風險管理要素、企業(yè)的各個層級；四個風險管理目標：戰(zhàn)略目標、經營目標、報告目標、合規(guī)目標；八個風險管理要素：內部環(huán)境、目標設定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監(jiān)督。2004年 COSO 報告認為，企業(yè)風險管理目標與其構成要素之間具有一定的關系。目標是指一個主體力圖實現什么，而其構成要素是指需要什么來實現它們。

新框架在原整合框架的基礎上增加了戰(zhàn)略目標，并將內部控制定義為風險管理的一個子集，因為風險管理關注的是戰(zhàn)略相關的外部和內部風險，而內部控制結構和程序將有助于這些目標的實現。該框架的發(fā)布也標志著內部控制上升到一個更高的層次，由戰(zhàn)術執(zhí)行的具體控制向戰(zhàn)略決策的宏觀方式轉化，成為企業(yè)治理決策的重要工具。

3 內部控制框架的新發(fā)展

3.1 新整合框架介紹

2013年5月，COSO正式發(fā)布了新整合框架，該框架較之前版作了一些調整。COSO框架需要不斷修訂的客觀必要條件就是使其適應日益變化的商業(yè)運營環(huán)境。

（1）構成要素的調整

盡管保留了原框架下內部控制的基本定義和五大要素，但新內部控制整合框架在其基礎上以原則為導向，從原有內控五大要素中提煉出了17項具體原則及支持每項原則81個屬性，這是新框架的最大亮點?？傊畬瓤貥嫵梢氐恼{整使其結構更合理、內容更豐滿、參考性更強、操作性更明確。

（2）報告目標的擴大

新舊內控框架均將內部控制目標劃分為三大類：經營目標、報告目標和合規(guī)性目標。新內控框架對經營目標和合規(guī)性目標未作調整，但與舊框架在設定報告目標時僅僅要求合理保證財務報告的準確性和可靠性相比，新的擴大了報告目標的類別，具體包括外部財務報告目標和外部非財務報告目標，內部財務報告目標和內部非財務報告目標。外部財務報告目標與舊框架中對財務報告目標的界定基本相同；外部非財務報告目標主要是為了滿足國家相關法律法規(guī)的要求，主要包括內部控制審計報告、內部控制評價報告、可持續(xù)發(fā)展報告、環(huán)境報告、質量管理報告等；內部財務報告主要是基于為公司內部管理層決策需要而提供的財務信息，具體包括財務報告、預算報告、銀行借款、現金流等；內部非財務報告是為管理層提供的非財務信息，具體包括股東大會報告、董事會報告、人力資源分析報告、客戶滿意度調查報告等。

3.2 對我國的啟示

（1）加強培養(yǎng)內部控制人才

隨著內部控制體系建設步伐的日益加快，企業(yè)面臨著內控人才缺乏的嚴重現狀，為此，一方面企業(yè)要通過培訓、會議等方式加強對內控人才的培養(yǎng)，另一方面，從事相關內控業(yè)務的人員也應當自覺學習相關理論知識，不斷提高自己的業(yè)務水平和業(yè)務能力，為企業(yè)內控建設向更快更好的方向發(fā)展儲備人才基礎。

（2）加強內部控制的法律約束

根據內部控制及其監(jiān)督失職、瀆職行為的性質和影響，制定內部控制及其監(jiān)督法律制裁標準。不斷完善以法制為推動、以企業(yè)實施為主體、以政府監(jiān)管和社會評價為保障、以各方面積極參與為促進的內控實施體系。

【參考文獻】

[1]漢征.企業(yè)信息管理系統的內控體系研究[D].湘潭大學，2010.

[2]王怡心.新COSO內部控制整體框架介紹[J].中國內部審計，2013（3）.

[責任編輯：曹明明]