白宇

[摘 要]美國COSO委員會于2013年5月頒布了新版《內(nèi)部控制—整體框架》（IC-IF，以下簡稱COSO新框架）。該框架是對1992年版內(nèi)部控制框架（以下簡稱舊框架）的繼承與改進，進一步完善了企業(yè)內(nèi)部控制理論。本文將對COSO新框架進行介紹，著重分析其產(chǎn)生背景以及所包含的內(nèi)容，并將其與舊框架進行比較，并指出其發(fā)展變化。

[關(guān)鍵詞]COSO新框架；內(nèi)部控制；背景；變化

10 13939/j cnki zgsc 2015 51 106

1 COSO新框架產(chǎn)生背景

1 1 舊框架的產(chǎn)生

COSO委員會（全稱：the Committee of Sponsoring Orgnization of the Tredway Commission），是美國虛假財務(wù)報告委員會下屬的發(fā)起人委員會，該組織就內(nèi)部控制、企業(yè)風(fēng)險管理（ERM）和舞弊防范提供領(lǐng)先思維和指引。COSO委員會于1992年發(fā)布《內(nèi)部控制—綜合框架》，旨在幫助公司或組織制定和評價其經(jīng)營、合規(guī)和財務(wù)報告目標(biāo)的內(nèi)部控制體系。該框架發(fā)布后，很快得到了美國聯(lián)邦儲備局、美國證券交易委員會和巴塞爾委員會等監(jiān)管機構(gòu)和國際組織的認(rèn)可和重視，被廣泛應(yīng)用于政策、規(guī)則制定及管制中，例如AICPA于1996年發(fā)布的《審計準(zhǔn)則第78號》（SAS 78），表示全面接受COSO報告的內(nèi)容，從1997年1月1日起以內(nèi)部控制框架取代內(nèi)部控制結(jié)構(gòu)。隨后，眾多企業(yè)應(yīng)用COSO 框架以更好地控制其實現(xiàn)預(yù)定目標(biāo)過程中的活動，該框架在世界范圍內(nèi)得到不斷應(yīng)用，產(chǎn)生了廣泛的影響。

1 2 ERM框架的產(chǎn)生

雖然1992年的COSO框架在幫助組織制定和評價其內(nèi)部控制體系方面起到了十分重要的意義，但依然存在很多缺陷，比如內(nèi)部控制系統(tǒng)中會計與審計的色彩太重，評價內(nèi)部控制有效性標(biāo)準(zhǔn)過于主觀，把企業(yè)經(jīng)營和管理中一些重要職能（例如目標(biāo)設(shè)定、戰(zhàn)略規(guī)劃、核心競爭力培育、風(fēng)險評估和管理等）排斥在內(nèi)部控制觸角之外，以及沒有充分認(rèn)識到董事會對內(nèi)部控制系統(tǒng)的至關(guān)重要性等（張安明，2002）。

為了解決這些遺留的問題，同時由于COSO 框架在誕生10多年后，西方發(fā)達(dá)國家爆發(fā)了安然、世通、施樂等公司財務(wù)舞弊案的會計丑聞，從而使得業(yè)界和監(jiān)管當(dāng)局更加注重加強企業(yè)的風(fēng)險管理。比如，美國2002年頒布的《薩班斯—奧克斯利法案》（SOX法案）及其他國家或地區(qū)的類似法律法規(guī)對內(nèi)部控制提出了更加嚴(yán)格的要求。SOX法案的404條款，要求公眾公司管理層對內(nèi)部控制的有效性進行評價和披露，注冊會計師也要對管理層的內(nèi)部控制評價報告進行審計。

在這樣的背景下，COSO 委員會結(jié)合2002年通過的《薩班斯—奧克斯利法案》（簡稱“SOX法案”），于2004年更新了 COSO 框架，發(fā)布了《 企業(yè)風(fēng)險管理綜合框架》（Enterprise Risk Management-Integrated Framework，簡稱“ERM 框架”）。該框架的內(nèi)容涵蓋了 IC-IF 框架的內(nèi)容，提出了適用于各類組織的企業(yè)風(fēng)險管理的目標(biāo)、重要構(gòu)成要素、原則與概念，并集中關(guān)注風(fēng)險管理，為董事會與管理層識別風(fēng)險、規(guī)避陷阱、把握機遇進而增加股東價值提供了清晰的指南。由于在美國上市的公司都要遵守《薩班斯—奧克斯利法案》以及內(nèi)部控制的有關(guān)規(guī)定，從而促使企業(yè)以更新后的 COSO 框架為標(biāo)準(zhǔn)開展內(nèi)部控制體系的建設(shè)，大大地推動了COSO內(nèi)控框架在世界范圍的應(yīng)用。

1 3 COSO新框架的產(chǎn)生

近些年來，組織的業(yè)務(wù)和經(jīng)營環(huán)境發(fā)生了巨大的變化，如科學(xué)技術(shù)的巨大進步；法律法規(guī)以及各種標(biāo)準(zhǔn)的要求和復(fù)雜程度的大幅提升；對公司治理監(jiān)督期望的提升；對風(fēng)險以及基于風(fēng)險的方法的更多關(guān)注；市場和運營全球化成為大勢所趨；企業(yè)以及組織結(jié)構(gòu)的復(fù)雜性不斷提高，包括外包和戰(zhàn)略供應(yīng)商等。其次，20世紀(jì)90年代金融衍生產(chǎn)品的徹底崩盤、美國長期資本管理公司（Long-Term Capital Management）事件、安然丑聞以及較近期的全球金融危機等大規(guī)模的企業(yè)治理和內(nèi)部控制失敗案例的發(fā)生，反映出管理層僭越控制、利益沖突、缺乏職責(zé)分離、透明度不足或欠缺、風(fēng)險管理未加統(tǒng)一協(xié)調(diào)、董事會監(jiān)督無效等內(nèi)部控制問題，都會對企業(yè)產(chǎn)生重大影響。此外，企業(yè)各層面對內(nèi)部控制框架的能力和責(zé)任的預(yù)期越來越高，對其能防范和檢測舞弊的要求亦不斷提升。綜合這些因素，COSO在1992年框架的基礎(chǔ)上，針對所要實現(xiàn)的新目標(biāo)，即反映業(yè)務(wù)和經(jīng)營環(huán)境的變化、擴大經(jīng)營和報告目標(biāo)以及使促進內(nèi)控有效性的原則清晰化，相應(yīng)地更新了背景、擴展了應(yīng)用和將要求進行了清晰化，從而產(chǎn)生了2013年新框架。

2 對COSO新框架的理解

2 1 COSO新框架的構(gòu)成

COSO新框架的成果主要包括兩部分：內(nèi)控—整體框架（2013年版）以及新框架實施于財務(wù)報告內(nèi)部控制的方法和案例匯編。

內(nèi)控—整體框架（2013年版）包括內(nèi)容摘要；框架和多份附錄；評估內(nèi)控系統(tǒng)有效性的解釋性工具應(yīng)用指南。主要包括內(nèi)控的核心定義，目標(biāo)的分類，內(nèi)控的組成要素以及內(nèi)控有效性的需求。

新框架實施于財務(wù)報告內(nèi)部控制的方法和案例匯編旨在幫助用戶在財務(wù)報告流程的內(nèi)部控制上使用新框架，是一系列的與應(yīng)用新框架中的原則相關(guān)的方法和案例。它提供了實際的方法和案例說明了五大要素和原則是如何應(yīng)用到財務(wù)報告流程內(nèi)部控制的設(shè)計、執(zhí)行和實施階段。這些方法和案例是分別于五大要素和17條原則相對應(yīng)的，并且描述了原則的不同方面是如何體現(xiàn)在財務(wù)報告內(nèi)部控制的目標(biāo)上的。主要包含以下幾部分：財務(wù)報告中如何應(yīng)用內(nèi)控原則的案例和方法；近20年來的營運和商業(yè)環(huán)境的變化；各種實體的案例，包括公立、私立、非營利以及政府機構(gòu)。

2 2 COSO新框架的內(nèi)容

2 2 1 對內(nèi)控的理解

內(nèi)部控制是一個過程，受企業(yè)董事會、管理層和其他員工的影響，旨在為企業(yè)運營，報告以及合規(guī)目標(biāo)的實現(xiàn)提供合理的保證。運營目標(biāo)是為了保證實體運營的有效性和效率，包括運營和財務(wù)業(yè)績目標(biāo)以及保證資產(chǎn)免受損失目標(biāo)。報告目標(biāo)主要由外部財務(wù)目標(biāo)、內(nèi)部財務(wù)目標(biāo)、外部非財務(wù)目標(biāo)、內(nèi)部非財務(wù)目標(biāo)構(gòu)成，包括保證可靠性、及時性、透明性以及其他監(jiān)管機構(gòu)制定的其他準(zhǔn)則或者規(guī)定。合規(guī)目標(biāo)就是要求該實體必須遵守法律法規(guī)。

2 2 2 內(nèi)控有效五要素對應(yīng)的17大原則

有效內(nèi)控的五個要素分別是控制環(huán)境、風(fēng)險評估、控制活動、信息和溝通以及監(jiān)控活動。控制環(huán)境是所有其他內(nèi)部控制組成要素的基礎(chǔ)，管理層的態(tài)度和企業(yè)組織結(jié)構(gòu)更是定下了內(nèi)部控制的基調(diào)；風(fēng)險評估意味著分析和辨認(rèn)實現(xiàn)目標(biāo)可能發(fā)生的風(fēng)險，是內(nèi)部控制的前提；控制活動是旨在確保管理層的指令得以執(zhí)行的政策和程序，為內(nèi)部控制的核心；信息與溝通旨在取得及時、確切的信息，并進行有效的溝通，為內(nèi)部控制提供條件；監(jiān)控著眼于確保企業(yè)內(nèi)部控制的持續(xù)有效運作，起到潤滑劑的作用。

對應(yīng)控制環(huán)境的五個原則：一是企業(yè)對誠信和道德價值觀的承諾；二是董事會獨立于管理層，對內(nèi)部控制的制定及其績效施以監(jiān)督；三是管理層在董事會的監(jiān)督下，建立目標(biāo)實現(xiàn)過程中所涉及的組織架構(gòu)、報告路徑以及適當(dāng)?shù)臋?quán)利和責(zé)任；四是企業(yè)致力于吸引、發(fā)展和留任優(yōu)秀人才，以配合企業(yè)目標(biāo)達(dá)成；五是企業(yè)內(nèi)部控制責(zé)任人的問責(zé)制度。

對應(yīng)風(fēng)險評估的四個原則：一是企業(yè)制定足夠清晰的目標(biāo)，以便識別和評估有關(guān)目標(biāo)所涉及的風(fēng)險；二是企業(yè)從整個企業(yè)的角度來識別實現(xiàn)目標(biāo)所涉及的風(fēng)險，分析風(fēng)險，并據(jù)此決定應(yīng)如何管理這些風(fēng)險；三是企業(yè)在評估影響目標(biāo)實現(xiàn)的風(fēng)險時，考慮潛在的舞弊行為；四是企業(yè)識別并評估可能會對內(nèi)部控制系統(tǒng)產(chǎn)生重大影響的變更。

對應(yīng)信息和溝通的三個原則：一是企業(yè)選擇并制定有助將目標(biāo)實現(xiàn)風(fēng)險降低至可接受水平的控制活動；二是企業(yè)為用以支持目標(biāo)實現(xiàn)的技術(shù)選擇并制定一般控制政策；三是企業(yè)通過政策和程序來部署控制活動：政策用來確定所期望的目標(biāo)；程序則將政策付諸于行動。

對應(yīng)監(jiān)控活動的兩個原則：一是企業(yè)選擇、制定并實行持續(xù)及/或單獨的評估，以判定內(nèi)部控制各要素是否存在且發(fā)揮效用；二是企業(yè)及時評估內(nèi)部控制缺陷，并將有關(guān)缺陷及時通報給負(fù)責(zé)整改措施的相關(guān)方，包括高級管理層和董事會。

2 2 3 內(nèi)控三維“立方體”結(jié)構(gòu)

立方體的列從左到右依次是運營、報告和合規(guī)目標(biāo)，每個企業(yè)都會制定相關(guān)目標(biāo)以及用以實現(xiàn)這些目標(biāo)的戰(zhàn)略和計劃。立方體的側(cè)面，如下圖所示，則揭示了企業(yè)的目標(biāo)既可以從整個企業(yè)的層面來設(shè)定，也可以針對企業(yè)內(nèi)部具體的部門、業(yè)務(wù)單元和職能部門來設(shè)定（包括銷售、采購和生產(chǎn)等業(yè)務(wù)流程），同時也描繪出了大多數(shù)企業(yè)等級式的自上而下的組織結(jié)構(gòu)。立方體的正面是內(nèi)部控制的五大要素，代表立方體的行。詳見下圖。

內(nèi)控三維“立方體”結(jié)構(gòu)圖

立方體描述了以下三者之間的直接關(guān)系：企業(yè)目標(biāo)（即企業(yè)所要力求實現(xiàn)的）；內(nèi)部控制要素（即企業(yè)實現(xiàn)目標(biāo)所需要的條件）；以及業(yè)務(wù)單元、法務(wù)單元以及企業(yè)內(nèi)部的其他結(jié)構(gòu)單元（即內(nèi)部控制要素運行的各企業(yè)層面）。每個內(nèi)部控制要素都跨越和適用于所有三類目標(biāo)，并在企業(yè)的各個層面均適用。

3 COSO新框架的進步

COSO新框架延續(xù)舊框架的幾方面是：內(nèi)控的核心定義；三種類型的目標(biāo)以及內(nèi)控五要素；有效內(nèi)控需要五要素的共同作用以及管理層判斷在設(shè)計、實施以及進行內(nèi)控過程和評估內(nèi)控有效性方面的重要作用。之前已有介紹，此處不再贅述。

COSO新框架相對于舊框架進步的幾方面是：考慮到了環(huán)境的變化，即更新舊框架的原因；報告目標(biāo)的擴展，提出了三個企業(yè)目標(biāo)；五要素的17項原則的補充以及增加了對運營和非財務(wù)目標(biāo)的案例分析，即同時發(fā)行的《新框架實施于財務(wù)報告內(nèi)部控制的方法和案例匯編》一書。

4 COSO新框架的局限性

框架雖然為目標(biāo)的實現(xiàn)提供了合理的保證，但依然存在局限性，即有效的內(nèi)控系統(tǒng)可能也會導(dǎo)致內(nèi)控的失效，因為內(nèi)控系統(tǒng)并不能阻止錯誤的判斷或決定，并且外部的事件具有不可控性，都可能造成內(nèi)控的失效。因而只能提供合理的保證，而非絕對的保證。具體講，局限性包括以下幾方面：作為內(nèi)部控制先決條件所制定的目標(biāo)質(zhì)量及其合適性；人們在決策過程中的潛在判斷缺陷；管理層在應(yīng)對風(fēng)險和建立控制時對成本和收益的考量；因人為原因（錯誤或失誤）而導(dǎo)致的可能的內(nèi)控失效；控制可能會因兩人或多人相互勾結(jié)而被規(guī)避以及管理層繞過內(nèi)部控制職能及相關(guān)決定的能力。

參考文獻：

[1]美國COSO制定發(fā)布 企業(yè)風(fēng)險管理：整合框架[M].方紅星等，譯 大連：東北財經(jīng)大學(xué)出版社，2005

[2]劉立峰 美國內(nèi)部控制實證研究綜述[J].經(jīng)濟研究導(dǎo)刊，2013（2）

[3]儲稀梁 COSO內(nèi)部控制整體框架：背景、內(nèi)容、理論貢獻與啟示[J].金融會計，2004（6）：14-16

[4]陳漢文，吳益兵，等 薩班斯法案404條款：后續(xù)進展[J].會計研究，2005（2）：82-86

[5]李寧 內(nèi)部控制整體框架理論的突破及其啟示[J].金融與經(jīng)濟，2006（5）

[6]盧衛(wèi)衛(wèi) 走近COSO（三）——如何評估風(fēng)險 深交所，2005（10）：50-54

[7]鄧春華 企業(yè)內(nèi)部控制：現(xiàn)狀及發(fā)展建議[J].審計研究，2005（3）：72-75

[8]劉靜，李竹梅 內(nèi)部控制環(huán)境的探討[J].會計研究，2005（2）：73-75

[9]金彧昉，李若山，徐明磊 COSO報告下的內(nèi)部控制新發(fā)展——從中航油事件看企業(yè)風(fēng)險管理[J].會計研究，2005（2）

[10]林斌，舒?zhèn)?，李萬福 COSO框架的新發(fā)展及其述評——基于IC-IF征求意見稿的討論[J].會計研究，2012（11）

[11]李享 美國內(nèi)部控制實證研究：回顧與啟示[J].審計研究，2009（1）

[12]劉霄侖 風(fēng)險控制理論的再思考：基于對COSO內(nèi)部控制理念的分析[J].會計研究，2010（3）

[13]施敏 COSO企業(yè)風(fēng)險管理框架在我國保險企業(yè)中的應(yīng)用研究[D].北京：對外經(jīng)貿(mào)大學(xué)，2007

[14]李群 SOX法案和COSO框架下集團公司內(nèi)部控制的研究[D].北京：對外經(jīng)貿(mào)大學(xué)，2007

孫櫻僡：20世紀(jì)80年代后的國際貿(mào)易與社會聯(lián)盟分析