基于COSO框架的內(nèi)部控制比較分析

周玉梅

摘要：通過PL制藥、LS制藥和CCGX三家上市制藥企業(yè)公開披露的信息，基于COSO內(nèi)部控制框架五要素對三家公司的內(nèi)部控制進行分析，結(jié)合內(nèi)部控制的現(xiàn)狀指出三家公司在內(nèi)部控制方面存在的問題，并且針對這些問題提出相關的建議。

關鍵詞：內(nèi)部控制;COSO內(nèi)控框架;內(nèi)控自評報告

2020年使得很多企業(yè)的發(fā)展面臨危機，對危機的應對在一定程度上反映了企業(yè)對風險的處理能力和管理能力，而要想在突發(fā)情況下保持企業(yè)的這種處理和管理能力，除了與決策者的判斷有關，還與企業(yè)內(nèi)部控制制度的建設情況有關。當前上市制藥企業(yè)中，部分制藥企業(yè)的內(nèi)部控制還存在一些問題，這些問題將影響企業(yè)對風險的處理能力，本文基于COSO內(nèi)部控制框架就當前上市制藥企業(yè)內(nèi)部控制存在的問題進行分析并提出相關建議。

一、國內(nèi)上市制藥企業(yè)內(nèi)部控制現(xiàn)狀比較分析

（一）內(nèi)部環(huán)境

首先，在治理結(jié)構(gòu)方面，PL制藥、CCGX和LS制藥都設置了股東大會、董事會、監(jiān)事會和經(jīng)理層。董事會中單獨設立了審計委員會，加強了對公司內(nèi)部控制的監(jiān)督與檢查。其次，三家公司都制定了較為完善的人力資源政策，包括員工選聘、薪酬、考核與獎懲等。最后，三家公司都在企業(yè)中倡導了各自的企業(yè)文化。就披露內(nèi)容來看，三家企業(yè)的內(nèi)部環(huán)境設置都比較完善。

（二）風險評估

查閱三家公司的內(nèi)部自評報告等資料，只有CCGX較為詳細地介紹了公司的風險評估過程。分析了公司業(yè)務層面可能存在的風險、行業(yè)環(huán)境可能面臨的風險以及公司財務存在的風險，根據(jù)各類風險制定了一系列完備的應對措施。

相比CCGX，PL制藥和LS制藥對風險評估的披露內(nèi)容較少，或者說二者沒有重視風險評估的建設，沒有制定系統(tǒng)的風險評估制度。

（三）控制活動

在設置內(nèi)部控制的控制活動時，PL制藥設置了6個部分的控制活動，公司設置的控制活動基本涵蓋了企業(yè)的管理活動。LS制藥的控制活動更加全面和具體，不僅在管理層面設置了控制活動，還對公司的關鍵業(yè)務環(huán)節(jié)如對募集資金的管理、關聯(lián)交易等業(yè)務進行了控制。而CCGX公司的控制活動集中在投資活動和控股子公司上。

內(nèi)部控制的原則之一就是全面性。PL制藥的控制活動集中在管理活動，對具體的經(jīng)濟業(yè)務活動的控制則較為缺乏。長春高薪的控制活動集中在投資活動和控股子公司，沒有對公司的生產(chǎn)采購等具體的業(yè)務領域制定詳細地控制活動。

（四）信息與溝通

在信息與溝通方面，PL制藥從三個方面展開對信息與溝通的建設：暢通信息收集渠道;建立及時的信息傳遞程序;注重信息系統(tǒng)的安全運行。LS制藥建立了實時監(jiān)控的信息系統(tǒng)對本公司的資金流、物流和人力資源等方面實時監(jiān)控。CCGX信息與溝通的建設側(cè)重在信息的披露方面，董事會秘書是公司對外發(fā)布信息的主要聯(lián)系人，公司財務部、企業(yè)管理部以及控股子公司都要確定重大信息報告責任人。

LS制藥信息獲取渠道較為單一，主要集中在公司內(nèi)部，這可能導致公司忽略其面臨的外部風險。CCGX對信息渠道的建設也沒有予以重視。

（五）內(nèi)部監(jiān)督

由三個公司的公告及公司年報可以發(fā)現(xiàn)，PL制藥規(guī)范了日常監(jiān)督和專項監(jiān)督的范圍和頻率，對監(jiān)督過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，要分析原因并提出整改方案。LS制藥也按照相關規(guī)定對公司的日?；顒蛹柏攧展ぷ鬟M行了監(jiān)督。CCGX在內(nèi)部控制制度中規(guī)定了要對公司的內(nèi)部控制運行情況進行監(jiān)督檢查，對發(fā)現(xiàn)的缺陷進行原因分析并提出整改意見。三家公司都在內(nèi)部控制自我評價報告中詳細劃分了內(nèi)部控制缺陷的認定標準，這有利于準確地發(fā)現(xiàn)公司內(nèi)部控制存在的缺陷。

LS制藥公司的監(jiān)督工作比較寬泛，沒有對日常監(jiān)督與專項監(jiān)督進行細分，這可能會使監(jiān)督工作不能常態(tài)化和流程化，從而導致風險的出現(xiàn)。而CCGX較為缺乏對內(nèi)部監(jiān)督的建設，只在公司內(nèi)部控制制度中指出要對公司內(nèi)部控制進行監(jiān)督，并沒有制定對應的制度措施。

二、存在的問題

（一）內(nèi)部控制的披露信息不全

通過對這三家公司內(nèi)部控制的現(xiàn)狀進行分析，可以發(fā)現(xiàn)三家公司對內(nèi)部控制的部分內(nèi)容披露的過于寬泛，這反映出部分上市公司在制定內(nèi)部控制的規(guī)章制度時并沒有進行深入的了解和研究，只是按照規(guī)定制定了規(guī)章和條文以應付法律法規(guī)的要求，而公司是否實施了其制定的內(nèi)部控制制度更無從得知。

（二）內(nèi)部控制制度不夠完善

從披露內(nèi)容來看，雖然內(nèi)部控制應該根據(jù)公司自身的具體情況進行設置，但是有些內(nèi)容是內(nèi)部控制中必不可少的環(huán)節(jié)，不能夠輕易刪減。例如風險評估環(huán)節(jié)，該環(huán)節(jié)是企業(yè)實現(xiàn)企業(yè)內(nèi)部控制目標的重要一環(huán)，但是部分企業(yè)可能沒有予以重視，對風險的評估沒有建立完整的評估流程，只是根據(jù)經(jīng)驗等來對風險予以判斷。

三、相關建議

（一）提高內(nèi)部控制自我評價報告披露標準，規(guī)范內(nèi)部控制披露內(nèi)容。

監(jiān)管機構(gòu)應該提高內(nèi)控自我評價報告披露的標準，規(guī)范內(nèi)部控制披露內(nèi)容，除了內(nèi)部控制存在重大缺陷等情況，審計師對于內(nèi)控制度披露不完善以及不達標的企業(yè)的自評報告不予通過。高標準下的內(nèi)部控制自評報告不允許“一筆帶過”的內(nèi)部控制措施，這會倒逼企業(yè)深入研究內(nèi)部控制制度。

（二）建立系統(tǒng)的內(nèi)部控制評價體系。

目前針對內(nèi)部控制有效性評價的標準主要是公司財務報告內(nèi)部控制重大缺陷的認定情況，在這種標準下企業(yè)沒有重視對內(nèi)部控制完整性的建設。因此，可以在對內(nèi)部控制重大缺陷進行認定的同時增加對內(nèi)部控制完整性的認定，而這種完整性認定則可以基于內(nèi)部控制五大要素進行判定。在企業(yè)或者第三方對內(nèi)部控制進行評價時，必須增加內(nèi)部控制是否完整的審計結(jié)論，對企業(yè)內(nèi)部控制是否有效的結(jié)論也必須考慮企業(yè)內(nèi)部控制制度的完整性。

參考文獻：

[1]鮑詩度，陳文懿.當前企業(yè)內(nèi)部控制質(zhì)量評價體系的理論進展與提升[J].河南社會科學，2019，27（02）：115-120.

[2]蘭佳玥，金瑤瑤，陳秀鳳.上市公司內(nèi)部控制自評報告披露質(zhì)量比較分析[J].財會通訊，2015（06）：67-69.

[3]張琦.證券公司內(nèi)部控制缺陷信息披露現(xiàn)狀研究——基于我國上市證券公司的分析[J].管理現(xiàn)代化，2014（02）：102-104.

[4]楊恒倉.上市證券公司內(nèi)部控制信息披露現(xiàn)狀評價[J].財會月刊，2012（27）：72-73.

[5]張先治，戴文濤.中國企業(yè)內(nèi)部控制評價系統(tǒng)研究[J].審計研究，2011（01）：69-78.