文/禹治

當前，隨著市場經(jīng)濟的發(fā)展和企業(yè)間競爭的加劇，企業(yè)面臨的競爭壓力與風險愈加復(fù)雜。內(nèi)部控制已經(jīng)成為一個企業(yè)必不可少的政策和程序，也已經(jīng)成為企業(yè)全體人員都要參與其中的一項控制活動。COSO框架從二十世紀九十年代發(fā)布以來被理論界和實務(wù)界廣泛認可，將內(nèi)控體系的構(gòu)建與COSO框架緊密結(jié)合，可以更好的達到控制效果。內(nèi)部控制與風險管理聯(lián)系十分密切，基于風險導(dǎo)向而設(shè)計的內(nèi)部控制體系從風險出發(fā)，了解、評估和評價內(nèi)部控制運行有效性，順應(yīng)內(nèi)部控制的發(fā)展方向。因此，企業(yè)在構(gòu)建內(nèi)控體系時，以風險管控為導(dǎo)向，同時將COSO框架與體系構(gòu)建相結(jié)合，可以更好地達到內(nèi)控要求。

1.COSO框架內(nèi)部控制核心五要素

1.1 COSO框架內(nèi)部控制核心五要素。COSO委員會在1992年9月發(fā)布的《內(nèi)部控制整合框架》，也就是目前廣泛運用于世界范圍內(nèi)的COSO框架，該框架包括核心五要素，本文也是在這核心五要素基礎(chǔ)上進行的論述，在該內(nèi)部控制框架的基礎(chǔ)上建立風險導(dǎo)向內(nèi)部控制體系。內(nèi)部控制五要素分別為控制環(huán)境、控制活動、對控制的監(jiān)督、風險評估過程與財務(wù)報告相關(guān)的信息系統(tǒng)與溝通，該五要素是為了實現(xiàn)內(nèi)部控制三大目標。

1.2 COSO框架核心五要素的具體內(nèi)容及其重要程度。COSO框架核心五要素包括了企業(yè)內(nèi)控各個方面需要注意的具體內(nèi)容。比如，控制環(huán)境要素中主要涉及到公司的治理職能和管理職能等；控制活動要素是最關(guān)鍵的，主要涉及到了授權(quán)審批、職責分離、連續(xù)編號和實物控制等相關(guān)的活動；對控制的監(jiān)督主要是指對企業(yè)一段時間內(nèi)控制運行有效性進行監(jiān)督，并給予評價，對于具體情況的變化需要采取必要的改正措施；風險評估過程這一要素主要指管理層對企業(yè)經(jīng)營活動中面臨的風險進行識別以及對風險進行分析并采取相應(yīng)的防范措施；最后一個要素為信息系統(tǒng)與溝通，從該要素的表述中可以看出其包括兩個層次，第一層次為與財務(wù)報告相關(guān)的信息系統(tǒng)，第二層次為溝通，溝通又分為內(nèi)部溝通與外部溝通。具體內(nèi)容如表1所示。

表1控制環(huán)境內(nèi)控要素

表2控制活動內(nèi)控要素

表3對控制的監(jiān)督要素

表4風險評估過程要素

表5與財務(wù)報告相關(guān)的信息系統(tǒng)與溝通要素

從內(nèi)控五要素的重要程度來看，最為重要的就是控制活動，該項要素中涉及的內(nèi)容眾多，可以說控制活動是一個很宏觀的概念，從該宏觀的概念中需要挖掘其在實際工作的價值與意義。無論是職責分離、授權(quán)審批抑或是其他的控制活動對于企業(yè)整個內(nèi)控體系的設(shè)計都是尤為關(guān)鍵的。其次，控制環(huán)境作為企業(yè)宏觀層面的控制要素也相對重要，只有良好的控制環(huán)境，企業(yè)內(nèi)控才會穩(wěn)定地運行。同樣，基于風險導(dǎo)向內(nèi)部控制體系，對于風險的識別和分析也很重要，內(nèi)控體系的構(gòu)建應(yīng)注重對于風險的識別，即使企業(yè)擁有了內(nèi)控活動，也需要通過風險識別和分析程序來對各種內(nèi)控活動進行控制。

2.風險導(dǎo)向內(nèi)控體系的構(gòu)建。

一個完整的內(nèi)部控制體系對于一個起來至關(guān)重要，一個企業(yè)高效地完成內(nèi)控三大目標需要有一套適合自己企業(yè)的內(nèi)控體系。這一部分研究了如何通過COSO框架的五大核心要素去設(shè)計內(nèi)控體系，如何將五大核心要素的具體內(nèi)容與內(nèi)控各步驟相結(jié)合，要將COSO框架的五大要素貫穿于該體系的構(gòu)建，以達到內(nèi)控目標。作者在前文提到COSO框架解釋了內(nèi)控的目標、要素等內(nèi)容，僅僅是一個理論框架，絕不是一個內(nèi)控操作手冊。也就是說該框架對于內(nèi)控體系的構(gòu)建具有指導(dǎo)性的作用，但絕對不是一套現(xiàn)成的，對不同行業(yè)、不同發(fā)展階段、不同內(nèi)外部環(huán)境企業(yè)的操作手冊。所以在這一部分，解決的問題就是如何將理論邊落到企業(yè)內(nèi)控體系構(gòu)建實處，讓該框架發(fā)揮其最大的作用，幫助企業(yè)設(shè)計內(nèi)控，解決內(nèi)控，提高企業(yè)內(nèi)控效率，幫助企業(yè)更好地進行生產(chǎn)經(jīng)營活動。本部分以風險為導(dǎo)向建立了完整的內(nèi)部控制體系,總體邏輯為風險識別、風險評估、風險應(yīng)對和監(jiān)督評價。此外需要說明的是，不同企業(yè)在構(gòu)建風險導(dǎo)向內(nèi)控體系時需要根據(jù)行業(yè)特點以及企業(yè)自身情況設(shè)計內(nèi)控體系，可以在該部分的內(nèi)控體系基礎(chǔ)上增加或減少相應(yīng)的環(huán)節(jié)。

2.1 以風險為導(dǎo)向，識別風險。首先企業(yè)需要開展風險識別，根據(jù)COSO框架中的控制環(huán)境以及控制活動的相關(guān)內(nèi)容及要求，在充分了解內(nèi)外部環(huán)境的情況下從整體和業(yè)務(wù)兩個層面來進行識別。從整體層面來看，企業(yè)除了需要了解國家經(jīng)濟形勢變化、所處行業(yè)的發(fā)展趨勢以及競爭格局對于企業(yè)帶來的風險之外，還需要關(guān)注管理層、治理層以及員工有沒有達到控制環(huán)境要素的要求；從業(yè)務(wù)層面來看，企業(yè)可以從內(nèi)部控制五要素中的控制活動要求出發(fā)，對企業(yè)的業(yè)務(wù)流程以及財務(wù)工作等進行分析。

2.2 對本期識別出的風險進行分析評級。企業(yè)在運用COSO框架進行風險識別時可以結(jié)合其他常規(guī)風險識別方法，比如SWOT分析法、PEST分析法以及德爾菲法等。在識別出企業(yè)存在的風險后，企業(yè)可以對風險進行評估，分析和判斷哪些風險對企業(yè)的影響程度較高，對于固有風險和風險極小的，不會影響到內(nèi)部控制三大目標的，可以不確定為內(nèi)控點。此外，在內(nèi)部控制體系動態(tài)運行中，企業(yè)可以根據(jù)識別的風險和評級結(jié)果更新企業(yè)的內(nèi)控點。風險識別是風險導(dǎo)向內(nèi)控體系構(gòu)建中的根本步驟，也是企業(yè)整個內(nèi)控體系中必不可少的環(huán)節(jié)，風險識別環(huán)節(jié)確定的風險點即可作為內(nèi)控點，風險識別工作的好壞直接影響企業(yè)內(nèi)部控制的有效性。

2.3 確定企業(yè)的內(nèi)控點是否存在。通過風險識別與風險分析，確定了相應(yīng)的內(nèi)控點之后，企業(yè)需要結(jié)合內(nèi)部控制制度判斷自身內(nèi)部控制制度是否存在這些內(nèi)控點，對于之前內(nèi)部控制制度未涉及到的內(nèi)控點企業(yè)應(yīng)及時補充，確保內(nèi)部控制設(shè)計的完整性。

2.4 評價存在的內(nèi)控是否在有效運行。該部分為風險評估，在進行風險評估以及評價企業(yè)內(nèi)部控制的有效性時，企業(yè)可以運用風險評估技術(shù)，常見的風險評估技術(shù)主要為概率和統(tǒng)計方法、模糊綜合評價法、敏感度分析法、風險價值法、風險指標法、壓力測試法等。通過風險評估技術(shù)，評價內(nèi)部控制設(shè)計是否得到有效的運行。

2.5 根據(jù)風險發(fā)生的可能性等因素應(yīng)對風險。在風險識別與風險評估之后，企業(yè)需要確定如何應(yīng)對風險。風險應(yīng)對主要包括風險規(guī)避、風險轉(zhuǎn)移、風險對沖等應(yīng)對方法。企業(yè)在確定風險應(yīng)對方法時需要考慮風險發(fā)生的可能性、成本效益和影響效果等因素。

2.6 持續(xù)監(jiān)督與專門評價。在內(nèi)控運行中企業(yè)要進行日常監(jiān)督，該監(jiān)督貫穿于日常重復(fù)活動中，對于各項內(nèi)控點需要進行專項監(jiān)督。最終企業(yè)要對內(nèi)控體系運行的效率與效果進行總體評價，針對內(nèi)控不足實施相應(yīng)的解決措施，監(jiān)督管理責任主體進行整改。

3.保證內(nèi)控體系運行有效性的建議。

內(nèi)控體系構(gòu)建好之后，需要在運行過程中設(shè)置保障措施，確保內(nèi)控體系正常運行，本部分介紹了一些保障措施，如加強對風險的認知和識別，加強信息系統(tǒng)與溝通，加快業(yè)財稅融合等保障措施。

3.1 加強對風險的認知和識別。在很多企業(yè)中，企業(yè)管理者對于風險的認知存在一定的缺陷，在宏觀上不能根據(jù)經(jīng)濟發(fā)展趨勢以及自身所處的行業(yè)特點識別出企業(yè)經(jīng)營上的風險，在微觀層面上不能根據(jù)企業(yè)自身的業(yè)務(wù)活動識別出所有的風險點。企業(yè)無法完全識別風險就會導(dǎo)致企業(yè)不能有效地評估、應(yīng)對和防范風險，內(nèi)部控制的有效性也會受到損害。所以，在運用COSO框架進行內(nèi)部控制體系構(gòu)建時，首先需要提高管理層對風險的認知，了解到風險對于企業(yè)內(nèi)控設(shè)計的重要性。

3.2 加強信息系統(tǒng)與溝通。COSO框架五要素中第五個要素為與財務(wù)報告相關(guān)的信息系統(tǒng)與溝通，該要素主要包括兩個層面。首先需要保障信息的傳遞順暢，在一些中小型企業(yè)中，沒有運用ERP等管理軟件，這就會存在信息在傳遞過程中會產(chǎn)生信息差與時間差，當存在信息傳遞不順暢時就會出現(xiàn)一系列諸如信息疏漏、理解偏差等問題，企業(yè)需要采取一定的措施去解決信息系統(tǒng)傳遞不順暢的缺陷。其次，在溝通層面不僅要做到內(nèi)部溝通，還要做到外部溝通。

3.3 加快業(yè)財融合，彌補傳統(tǒng)企業(yè)管理缺陷。在企業(yè)業(yè)務(wù)活動進行中，很多工作需要業(yè)務(wù)部門和財務(wù)部門協(xié)作，但當前企業(yè)的財務(wù)人員大多還只是事后核算，財務(wù)人員對于業(yè)務(wù)的了解程度不夠，財務(wù)人員的思維大多還停留僅僅根據(jù)業(yè)務(wù)單據(jù)完成賬務(wù)處理即可。加快業(yè)財融合可以幫助企業(yè)將事后監(jiān)督發(fā)展為事前預(yù)測與事中控制，從而加強風險管控，對內(nèi)部控制也有一定的促進作用。