摘要：全文介紹了COSO企業(yè)內(nèi)部控制框架的構(gòu)成要素，并對(duì)每個(gè)要素進(jìn)行了深入的解析，以便中國企業(yè)建立一套符合企業(yè)發(fā)展實(shí)際的內(nèi)部控制制度。

關(guān)鍵詞：解析；COSO框架

早期的內(nèi)部控制從內(nèi)容側(cè)重點(diǎn)和形式上都打上了審計(jì)專業(yè)或行業(yè)的烙印，被定義在與財(cái)務(wù)審計(jì)密切相關(guān)的狹窄的范疇。1992年，美國的COSO委員會(huì)(The Committee of Sponsoring Organizations 0f The National Commission 0f Fraudulent Financial Reporting，簡稱COSO，全美國虛假財(cái)務(wù)報(bào)告全國委員會(huì)的發(fā)起組織委員會(huì))設(shè)計(jì)了一個(gè)新的內(nèi)部控制框架。即COSO框架。COSO框架是最被廣泛認(rèn)可的內(nèi)部控制整體框架國際標(biāo)準(zhǔn)。按照COSO內(nèi)部控制框架建立內(nèi)控體系，是企業(yè)梳理管理流程、規(guī)范管理制度、提升整體管理水平的契機(jī)。

COSO框架包括5個(gè)基本要素；控制環(huán)境，風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督。

一、控制環(huán)境

控制環(huán)境是指企業(yè)實(shí)施內(nèi)部控制并使其持續(xù)發(fā)揮作用的環(huán)境?？刂骗h(huán)境確立公司風(fēng)險(xiǎn)管理的總體態(tài)度，是內(nèi)部控制體系的基礎(chǔ)，是有效實(shí)施風(fēng)險(xiǎn)管理的保障，直接影響內(nèi)部控制體系的執(zhí)行、公司經(jīng)營目標(biāo)及整體戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。

(一)控制環(huán)境要素

控制環(huán)境中的要素包括：誠信和道德價(jià)值觀、員工的勝任能力，董事會(huì)和審計(jì)委員會(huì)、管理層的經(jīng)營理念和風(fēng)格、組織結(jié)構(gòu)、權(quán)限和職責(zé)分配，人力資源政策與措施。

(二)不同背景下的控制環(huán)境差別

1.母子公司控制環(huán)境的差別

一家企業(yè)的自主營運(yùn)部門以及海外和國內(nèi)子公司的控制環(huán)境可能差別會(huì)非常大，這是由經(jīng)營部門高級(jí)管理層的偏好、價(jià)值判斷和經(jīng)營風(fēng)格的差別造成的。因此，承認(rèn)不同的控制環(huán)境能夠?qū)σ粋€(gè)內(nèi)部控制體系的其他因素產(chǎn)生影響非常重要。

2.中小企業(yè)控制環(huán)境因素與大企業(yè)的差別

中小企業(yè)可以實(shí)施不同于大企業(yè)的控制環(huán)境因素。例如：小公司可能沒有書面的行為準(zhǔn)則，但是這并不意味著該公司不會(huì)有強(qiáng)調(diào)誠信和道德行為重要性的公司文化。同樣，中小企業(yè)的人力資源政策也不可能像大企業(yè)那樣正式。但是他們都會(huì)有相應(yīng)的人力資源政策和操作方法并予以傳達(dá)溝通。

(三)控制環(huán)境的評(píng)估

評(píng)估人員在確定是否存在有效的控制環(huán)境時(shí)應(yīng)考慮每一個(gè)控制環(huán)境因素。

1.對(duì)誠信和道德價(jià)值觀的評(píng)估

對(duì)該要素的評(píng)估應(yīng)重點(diǎn)關(guān)注：

(1)企業(yè)有沒有并執(zhí)行著員工行為準(zhǔn)則和其他政策，涉及可接受的商業(yè)慣例、利益沖突或預(yù)期的精神道德行為規(guī)范

(2)與員工，供應(yīng)商，客戶，投資人，債權(quán)人、保險(xiǎn)公司、競(jìng)爭對(duì)手以及審計(jì)師之間的交易；

(3)不切實(shí)際的業(yè)績目標(biāo)，特別是短期業(yè)績成果的壓力；薪酬基于上述目標(biāo)的程度。

2.對(duì)勝任工作的能力的評(píng)估

對(duì)該要素的評(píng)估應(yīng)重點(diǎn)關(guān)注：

(1)規(guī)范或不規(guī)范的崗位描述或者對(duì)構(gòu)成某個(gè)崗位的任務(wù)的其他定義方式；

(2)對(duì)履行崗位職責(zé)所需要的知識(shí)和技能進(jìn)行分析。

3.對(duì)董事會(huì)和審計(jì)委員會(huì)的評(píng)估

對(duì)該要素的評(píng)估應(yīng)重點(diǎn)關(guān)注：

(1)獨(dú)立于管理層，即使這會(huì)給管理層提出困難和探索性的問題，這也是必要的；

(2)與財(cái)務(wù)總監(jiān)和(或)會(huì)計(jì)負(fù)責(zé)人，內(nèi)部審計(jì)人員和外部審計(jì)師舉行會(huì)議的頻率和及時(shí)性；

(3)向董事會(huì)成員提供信息是否足夠、及時(shí)，以便可以監(jiān)督管理層的目標(biāo)和戰(zhàn)略、企業(yè)的財(cái)務(wù)狀況和運(yùn)行結(jié)果以及重大協(xié)議的期限

(4)是否將敏感信息、問題調(diào)查和不當(dāng)行為充分地、及時(shí)地通告董事會(huì)和審計(jì)委員會(huì)。

4.對(duì)管理層的經(jīng)營理念和經(jīng)營風(fēng)格的評(píng)估

對(duì)該要素的評(píng)估應(yīng)重點(diǎn)關(guān)注：

(1)可以承擔(dān)的商業(yè)風(fēng)險(xiǎn)的性質(zhì)，例如管理層是否經(jīng)常討論某個(gè)高風(fēng)險(xiǎn)的項(xiàng)目，或者對(duì)承擔(dān)風(fēng)險(xiǎn)特別謹(jǐn)慎小心；

(2)高級(jí)管理層和運(yùn)營管理層之間的互動(dòng)頻率，尤其是在地理位置偏遠(yuǎn)的地區(qū)進(jìn)行運(yùn)營時(shí)；

(3)對(duì)財(cái)務(wù)報(bào)告的態(tài)度和采取的行動(dòng)，包括對(duì)運(yùn)用會(huì)計(jì)處理的爭議。

5.對(duì)組織結(jié)構(gòu)的評(píng)估

對(duì)該要素的評(píng)估應(yīng)重點(diǎn)關(guān)注：

(1)企業(yè)組織結(jié)構(gòu)的適合性，該組織結(jié)構(gòu)是否能夠提供必要的信息流以管理其經(jīng)營活動(dòng)；

(2)充分定義了關(guān)鍵管理人員的職責(zé)，而且他們理解這些職責(zé)；

(3)就關(guān)鍵管理人員的職責(zé)而言，他們是否具備足夠的知識(shí)和經(jīng)驗(yàn)。

6.對(duì)授權(quán)和職責(zé)分工的評(píng)估

對(duì)該要素的評(píng)估應(yīng)重點(diǎn)關(guān)注：

(1)是否有明確的職責(zé)分工和授予權(quán)力，以處理妨礙實(shí)現(xiàn)企業(yè)目標(biāo)和目的的問題，滿足運(yùn)營職能和監(jiān)管的要求，包括對(duì)信息系統(tǒng)負(fù)責(zé)以及授權(quán)進(jìn)行改變

(2)與內(nèi)部控制相關(guān)的準(zhǔn)則和程序的適合性，包括員工崗位描述

(3)適合的人員數(shù)，特別是與數(shù)據(jù)處理和會(huì)計(jì)職能有關(guān)的人數(shù)，與企業(yè)規(guī)模相關(guān)的所需的技能水平，以及企業(yè)活動(dòng)和系統(tǒng)的性質(zhì)和復(fù)雜性。

7.對(duì)人力資源政策與措施的評(píng)估

對(duì)該要素的評(píng)估應(yīng)重點(diǎn)關(guān)注：

(1)員工聘用、培訓(xùn)、晉升和薪酬的政策和程序制定到位的程度，

(2)對(duì)根據(jù)政策和程序批準(zhǔn)的離職所采取的相應(yīng)補(bǔ)救行動(dòng)的適合性；

(3)對(duì)雇員候選人背景是否進(jìn)行足夠的審查，尤其是當(dāng)企業(yè)認(rèn)為對(duì)其以前的行為或活動(dòng)無法接受的情況下。

二、風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是企業(yè)及時(shí)識(shí)別、系統(tǒng)分析經(jīng)營活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)應(yīng)對(duì)策略的過程。

風(fēng)險(xiǎn)評(píng)估的前提是目標(biāo)設(shè)定，風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)是風(fēng)險(xiǎn)識(shí)別；風(fēng)險(xiǎn)評(píng)估的關(guān)鍵是風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)評(píng)估的目的是風(fēng)險(xiǎn)應(yīng)對(duì)。評(píng)估人員應(yīng)把重點(diǎn)放在目標(biāo)設(shè)定、風(fēng)險(xiǎn)分析和應(yīng)對(duì)變化的流程上，包括流程的關(guān)聯(lián)因素以及相關(guān)的業(yè)務(wù)活動(dòng)。

1.對(duì)企業(yè)層面目標(biāo)的評(píng)估

(1)對(duì)企業(yè)目標(biāo)充分陳述的程度，是否對(duì)企業(yè)期望實(shí)現(xiàn)的目標(biāo)提供充分的指導(dǎo)，而且特定目標(biāo)直接與該企業(yè)相關(guān)；

(2)向員工和董事會(huì)傳達(dá)企業(yè)目標(biāo)的有效性，

(3)企業(yè)目標(biāo)與各種策略的關(guān)系和一致性

(4)企業(yè)目標(biāo)，戰(zhàn)略計(jì)劃和當(dāng)前環(huán)境條件與經(jīng)營計(jì)劃和預(yù)算的一致性。

2.對(duì)業(yè)務(wù)活動(dòng)層面目標(biāo)的評(píng)估

(1)業(yè)務(wù)活動(dòng)層面目標(biāo)與企業(yè)總體目標(biāo)和戰(zhàn)略計(jì)劃的關(guān)聯(lián)度，

(2)業(yè)務(wù)活動(dòng)層面目標(biāo)之間的一致性；

(3)業(yè)務(wù)活動(dòng)層面目標(biāo)與所有重要的業(yè)務(wù)流程的相關(guān)性

(4)業(yè)務(wù)活動(dòng)層面目標(biāo)的特異性。

(5)與目標(biāo)相關(guān)的資源是否充足

(6)識(shí)別對(duì)實(shí)現(xiàn)企業(yè)總體目標(biāo)來說較重要的目標(biāo)(關(guān)鍵成功因素)；

(7)各級(jí)管理層參與目標(biāo)設(shè)定以及他們對(duì)實(shí)現(xiàn)目標(biāo)履行諾言的態(tài)度。

3.對(duì)風(fēng)險(xiǎn)識(shí)別的評(píng)估

(1)識(shí)別外部因素造成風(fēng)險(xiǎn)的機(jī)制是否足夠全面；

(2)識(shí)別內(nèi)部因素造成風(fēng)險(xiǎn)的機(jī)制是否足夠全面

(3)為每個(gè)重要的業(yè)務(wù)活動(dòng)層面目標(biāo)識(shí)別重大風(fēng)險(xiǎn)；

(4)風(fēng)險(xiǎn)分析流程(包括估計(jì)風(fēng)險(xiǎn)的重要性、評(píng)估風(fēng)險(xiǎn)出現(xiàn)的可能性并確定需要采取的行動(dòng))的徹底性和相關(guān)性。

4.對(duì)應(yīng)對(duì)變化的評(píng)估

(1)是否建立預(yù)測(cè)、識(shí)別并對(duì)現(xiàn)實(shí)企業(yè)或業(yè)務(wù)活動(dòng)層面目標(biāo)產(chǎn)生影響的日常事件或活動(dòng)作出反應(yīng)的各種機(jī)制；

(2)是否存在各種機(jī)制去識(shí)別變化并對(duì)變化作出反應(yīng)，這種變化會(huì)給企業(yè)帶來巨大的和滲透性的影響，而且可能還需要高級(jí)管理層的關(guān)注。

三、控制活動(dòng)

控制活動(dòng)是結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果，運(yùn)用相應(yīng)的控制管理措施，將風(fēng)險(xiǎn)控制在可承受度之內(nèi)，確保管理層關(guān)于風(fēng)險(xiǎn)應(yīng)對(duì)方案得以貫徹執(zhí)行的政策和程序，包括批準(zhǔn)、授權(quán)，核對(duì)會(huì)計(jì)分錄，核實(shí)，檢查業(yè)績，風(fēng)險(xiǎn)披露限制，職責(zé)劃分、生產(chǎn)安全?；谂c其有關(guān)的企業(yè)目標(biāo)的性質(zhì)，控制活動(dòng)可以分為3種類型；經(jīng)營控制、財(cái)務(wù)報(bào)告控制和合規(guī)性控制。

控制活動(dòng)通常包括兩個(gè)要素：第一個(gè)要素是政策，第二個(gè)要素是程序。

1.控制活動(dòng)與風(fēng)險(xiǎn)評(píng)估的結(jié)合

在評(píng)估風(fēng)險(xiǎn)的同時(shí)，管理層應(yīng)明確并實(shí)施應(yīng)對(duì)風(fēng)險(xiǎn)所需要采取的行動(dòng)。應(yīng)對(duì)風(fēng)險(xiǎn)時(shí)明確的行動(dòng)有助于把關(guān)注的焦點(diǎn)放在要實(shí)施的控制活動(dòng)上，從而保證正確、及時(shí)地貫徹執(zhí)行這些控制活動(dòng)。

2.對(duì)控制活動(dòng)的評(píng)估

必須在管理層指導(dǎo)下，針對(duì)與每個(gè)重要活動(dòng)所確立的目標(biāo)有關(guān)的風(fēng)險(xiǎn)來對(duì)控制活動(dòng)進(jìn)行評(píng)估。因此評(píng)價(jià)者必須考慮控制活動(dòng)是否與風(fēng)險(xiǎn)評(píng)估流程有關(guān)，控制活動(dòng)是否適當(dāng)并可以保證管理層的指令得到貫徹執(zhí)行。對(duì)每一項(xiàng)重要的業(yè)務(wù)活動(dòng)都將進(jìn)行這樣的評(píng)價(jià)。評(píng)價(jià)者將不僅考慮確立的控制活動(dòng)是否與風(fēng)險(xiǎn)評(píng)估流程相關(guān)，也將考慮是否正確地運(yùn)用了這些控制活動(dòng)。

四、信息和溝通

信息和溝通是指企業(yè)中的各種生產(chǎn)運(yùn)營和管理信息以某種形式被識(shí)別、獲得和溝通，以促使員工按照信息指令履行自己的職責(zé)。

信息的識(shí)別、獲取、處理和報(bào)告靠信息系統(tǒng)進(jìn)行。溝通是信息系統(tǒng)所固有的功能。溝通的方式可以采用諸如政策手冊(cè)、備忘錄、布告通知和錄像帶等形式。

對(duì)信息與溝通的評(píng)估，評(píng)估者將考慮信息和溝通系統(tǒng)滿足企業(yè)需要的適合性。

1.對(duì)信息系統(tǒng)的評(píng)估要點(diǎn)

(1)獲得外部和內(nèi)部信息，向管理層提供必要的報(bào)告，說明與實(shí)現(xiàn)企業(yè)目標(biāo)相關(guān)的企業(yè)業(yè)績表現(xiàn)；

(2)向適合的人及時(shí)提供足夠詳細(xì)的信息，使他們能夠有效率和有效果地履行職責(zé)，

(3)依據(jù)一份與企業(yè)總體戰(zhàn)略相關(guān)的信息系統(tǒng)戰(zhàn)略計(jì)劃，發(fā)展或修改信息系統(tǒng)，使其為實(shí)現(xiàn)企業(yè)總體目標(biāo)及業(yè)務(wù)活動(dòng)層面目標(biāo)服務(wù)

(4)通過承諾提供適當(dāng)?shù)娜肆?、?cái)力資源，顯示管理層對(duì)發(fā)展必要的信息系統(tǒng)的支持。

2.溝通系統(tǒng)的評(píng)估要點(diǎn)

(1)傳達(dá)員工義務(wù)和控制職責(zé)的有效性；

(2)是否建立了溝通渠道，使員工可以舉報(bào)受到懷疑的不當(dāng)行為，

(3)管理層對(duì)員工關(guān)于提高生產(chǎn)力、強(qiáng)化質(zhì)量管理或其他改進(jìn)方法的建議的接受度；

(4)企業(yè)內(nèi)部的溝通是否足夠，信息的完整性和及時(shí)性是否足以使人們有效地履行其職責(zé)，

(5)與客戶、供應(yīng)商和其他外部有關(guān)方溝通不斷變化的客戶需求信息的渠道的開放性和有效性，

(6)外部各方對(duì)該企業(yè)道德準(zhǔn)則的了解程度，

(7)管理層是否通過與客戶、供應(yīng)商、監(jiān)管部門或其他外部有關(guān)方的溝通，采取了及時(shí)的和合適的跟進(jìn)措施。

五、監(jiān)督

監(jiān)督是評(píng)估內(nèi)控系統(tǒng)在一定時(shí)期內(nèi)運(yùn)行質(zhì)量的過程，目的是保證內(nèi)部控制持續(xù)有效，一般采用持續(xù)性監(jiān)督和獨(dú)立評(píng)估的方式。

在考慮對(duì)企業(yè)內(nèi)部控制的持續(xù)性、有效性進(jìn)行監(jiān)督的程度時(shí)，對(duì)內(nèi)部控制體系的持續(xù)性監(jiān)督活動(dòng)和獨(dú)立評(píng)估兩者(或其中一些部分)都應(yīng)予以考慮。

1.對(duì)持續(xù)性監(jiān)督的評(píng)估

(1)在員工日常活動(dòng)中獲得證據(jù)的程度，以此表明內(nèi)部控制體系是否繼續(xù)發(fā)揮作用

(2)與外部各方進(jìn)行溝通，確認(rèn)內(nèi)部生成的信息或指明問題的程度；

(3)定期對(duì)會(huì)計(jì)系統(tǒng)記錄的金額與實(shí)物資產(chǎn)進(jìn)行核對(duì)；

(4)對(duì)內(nèi)部和外部審計(jì)師建議增強(qiáng)內(nèi)部控制手段的反應(yīng)，

(5)培訓(xùn)研討會(huì)、計(jì)劃會(huì)議及其他會(huì)議向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋的程度。

(6)是否定期要求員工說明他們有否理解和遵守企業(yè)的員工行為守則，并且正常執(zhí)行了關(guān)鍵控制活動(dòng)；

(7)內(nèi)部審計(jì)活動(dòng)的有效性。

2.對(duì)獨(dú)立評(píng)估的評(píng)估

(1)內(nèi)部控制體系獨(dú)立評(píng)估的范圍和頻率

(2)評(píng)價(jià)流程的適合性。

(3)評(píng)價(jià)內(nèi)部控制體系的方法是否合理、適合

(4)文件記錄水平的適合性。

3.對(duì)報(bào)告缺陷的評(píng)估

(1)是否有獲取和報(bào)告已識(shí)別出的內(nèi)部控制缺陷的機(jī)制；

(2)上報(bào)規(guī)程的適合性，

(3)跟進(jìn)行動(dòng)的適合性。

內(nèi)部控制的內(nèi)容。歸根結(jié)底是由上述要素組成的。這些要素及其構(gòu)成方式，決定著內(nèi)部控制的內(nèi)容與形式。設(shè)計(jì)內(nèi)部控制，可以根據(jù)企業(yè)特征和需求(例如企業(yè)規(guī)模、業(yè)務(wù)構(gòu)成、管理水平等)，對(duì)內(nèi)部控制要素加以有機(jī)結(jié)合，切忌閉門造車，生搬硬套，要從分析自身的控制環(huán)境開始，這樣才能真正建立一套符合企業(yè)發(fā)展實(shí)際的內(nèi)部控制制度。