王瑞龍+張浩

【摘 要】 2013年5月14日美國虛假財務(wù)報告委員會下屬的發(fā)起人委員會正式發(fā)表了最新版本的《內(nèi)部控制——整合框架》。文章從《內(nèi)部控制——整合框架》的發(fā)展歷程出發(fā)，簡述了其更新的背景，詳細(xì)分析了新框架的重要變化：該框架順應(yīng)了近年來企業(yè)運(yùn)營和業(yè)務(wù)環(huán)境的變化，重新調(diào)整了框架結(jié)構(gòu)，突出了原則導(dǎo)向，拓展了報告目標(biāo)。提出了完善我國內(nèi)控體系的具體建議。

【關(guān)鍵詞】 COSO； 內(nèi)部控制； 整合框架； 更新； 啟示

中圖分類號：F275 文獻(xiàn)標(biāo)識碼：A 文章編號：1004-5937（2014）08-0052-04

一、導(dǎo)言

2013年5月14日美國虛假財務(wù)報告委員會（Treadway）下屬的發(fā)起人委員會（COSO）正式發(fā)表了最新版本的 《內(nèi)部控制——整合框架》（Internal Control-Integrated Framework），簡稱COSO IC-IF。一起發(fā)布的還有《評估內(nèi)部控制系統(tǒng)和對外財務(wù)報告內(nèi)部控制（ICEFR）有效性的說明性工具——方法和范例匯編》，以幫助用戶評估其內(nèi)部控制系統(tǒng)是否符合新版框架的要求。COSO同時設(shè)定了為期一年半的過渡期（2013年5月14日至2014年12月15日），要求用戶在過渡期內(nèi)應(yīng)當(dāng)盡快地轉(zhuǎn)換自己的應(yīng)用流程和相關(guān)文件，以適應(yīng)更新版框架。之后，COSO將考慮用2013年的框架取而代之，在原框架下的《中小企業(yè)財務(wù)報告內(nèi)部控制指南》也將按新版本修訂。這是1992年《內(nèi)部控制——整合框架》發(fā)布以來COSO對IC-IF框架的首次整體更新。2013年COSO IC-IF框架更新的目的是什么？有哪些重要的更新？對中國內(nèi)部控制體系的發(fā)展有什么借鑒之處？基于這些問題，本文嘗試對新COSO內(nèi)部控制框架進(jìn)行解讀。

二、COSO IC-IF的發(fā)展歷程

內(nèi)部控制理論是隨著企業(yè)內(nèi)控實踐經(jīng)驗的豐富而逐漸發(fā)展起來的，大致經(jīng)歷了內(nèi)部牽制、內(nèi)部控制系統(tǒng)、內(nèi)部控制結(jié)構(gòu)和內(nèi)部控制整體框架四個理論階段。在西方，對于內(nèi)部控制的研究由來已久，也付出了巨大的代價。1992年美國COSO委員會組織研究推出了第一份企業(yè)內(nèi)部控制框架報告《內(nèi)部控制——整合框架》，提出了由“三個目標(biāo)”和“五個要素”組成的內(nèi)部控制框架。20世紀(jì)末一系列跨國公司破產(chǎn)丑聞促使西方社會對企業(yè)制度作出反思，意識到公司治理制度存在的缺陷，是導(dǎo)致公司舞弊的根本原因。安然事件后，美國于2002年通過《薩班斯—奧克斯利法案》（Sarbanes-Oxley Act），其第404條規(guī)定：要求上市公司每年對財務(wù)報表內(nèi)部控制的有效性進(jìn)行評估和報告。

IC-IF（1992）發(fā)布之后COSO對其做過多次補(bǔ)充和擴(kuò)展：1994年對IC-IF進(jìn)行了修訂，提出了“保障資產(chǎn)”的內(nèi)部控制的概念；2004年針對新出臺的《薩班斯—奧克斯利法案》的相關(guān)要求，在1992年框架的基礎(chǔ)上進(jìn)行了擴(kuò)展，發(fā)布了《企業(yè)風(fēng)險管理——整合框架》（Enterprise Risk Management-Integrated Framework，簡稱COSO-ERM），企業(yè)風(fēng)險管理框架涵蓋了內(nèi)部控制（IC-IF），引入風(fēng)險組合觀，拓展和細(xì)化了內(nèi)部控制，形成了一個更全面、更強(qiáng)有力的關(guān)注風(fēng)險的概念，構(gòu)建了一個更全面的企業(yè)管理工具；2006年COSO發(fā)布了《中小企業(yè)財務(wù)報告內(nèi)部控制指南》（Internal Control over Financial Reporting-guidance for Small Public Companies），針對中小企業(yè)財務(wù)報告內(nèi)部控制產(chǎn)生的特有問題，指導(dǎo)規(guī)模較小的企業(yè)，按成本—效益原則，實現(xiàn)其財務(wù)報告目標(biāo)。2009年COSO發(fā)布了《內(nèi)部控制系統(tǒng)監(jiān)控指南》（Guidance on Monitoring Internal Control Systems），在實質(zhì)上構(gòu)建了一個有效監(jiān)控模型，為保障企業(yè)內(nèi)部控制的有效性和決策信息的可靠性提供可操作性的手段。

內(nèi)部控制的演化引起了國際的廣泛關(guān)注，COSO IC-IF（1992）得到許多國家借鑒。2008年我國以1992年的《內(nèi)部控制——整合框架》和2004年的《企業(yè)風(fēng)險管理——整合框架》為基礎(chǔ)，結(jié)合我國國情頒布了《企業(yè)內(nèi)部控制基本規(guī)范》。

三、COSO IC-IF（2013）更新的背景

按COSO的說法，2013年框架是在充分考慮了近年來企業(yè)業(yè)務(wù)和運(yùn)營環(huán)境的變化基礎(chǔ)上作出的一次升級。

近二十年來企業(yè)的運(yùn)營越來越融入到全球化市場中；商業(yè)模式和組織結(jié)構(gòu)發(fā)生了深刻的變化，OEM、ODM等業(yè)務(wù)外包已成為常態(tài)，企業(yè)內(nèi)部價值鏈向外部延伸，企業(yè)的外部依賴促使管理層轉(zhuǎn)變傳統(tǒng)的內(nèi)部經(jīng)營思維，一個組織應(yīng)該包括內(nèi)外部經(jīng)營活動的概念幾乎被所有公司接受（林斌等，2012）；信息技術(shù)的進(jìn)步促進(jìn)了組織治理模式的改變，如今，通信網(wǎng)絡(luò)和關(guān)系數(shù)據(jù)庫的廣泛應(yīng)用已使集中單一的應(yīng)用環(huán)境演化為分布式、扁平化、移動、實時的應(yīng)用環(huán)境，COSO認(rèn)為這些技術(shù)能夠影響內(nèi)部控制的要素；與此同時，相關(guān)的法律、法規(guī)、規(guī)章和準(zhǔn)則的要求日益復(fù)雜。利益相關(guān)者要求更多地參與治理過程，并且尋求更有效和更可靠的內(nèi)控體系來支撐組織的治理，以期更有效地預(yù)防和探測欺詐舞弊行為，維護(hù)自身的利益。正是在這樣的背景推動下COSO于2010年啟動了對IC-IF的修訂步伐。

四、COSO IC-IF（2013）的重要變化

從IC-IF框架發(fā)展歷史來看，每一次的補(bǔ)充和擴(kuò)展都進(jìn)一步增加了框架的可操作性和廣泛性，但內(nèi)控的核心定義都沒有改變。這次2013版框架也沿襲了這一脈絡(luò)，新框架依然圍繞三個內(nèi)控目標(biāo)和五個內(nèi)控要素展開。五要素仍貫穿于內(nèi)部控制的設(shè)計、實施、引導(dǎo)及其有效性評估之中。那么相對于1992年的舊框架，2013年新框架有哪些變化呢？

（一）調(diào)整了框架結(jié)構(gòu)

COSO內(nèi)控框架可用COSO立方體來形象描述，新舊框架對比如圖1所示，明顯地，新框架吸收了2004年《企業(yè)風(fēng)險管理——整合框架》的成果，將內(nèi)控要素順序重新調(diào)整，“控制環(huán)境”要素放在了最頂層，依次而下分別是“風(fēng)險評估”、“控制活動”、“信息和溝通”、“監(jiān)控活動”要素。這種排列方式和《企業(yè)風(fēng)險管理——整合框架》中的一樣，在邏輯上強(qiáng)化了五要素之間的順承關(guān)系。“控制環(huán)境”作為內(nèi)控體系的外圍和背景，提供了實施控制活動和履行控制職責(zé)的氛圍，支撐著整個內(nèi)部控制框架。在此環(huán)境內(nèi)，管理層首先要評估實現(xiàn)目標(biāo)的風(fēng)險，以確定合理的風(fēng)險管理策略，再通過“控制活動”確保主體降低風(fēng)險的措施順利實施。同時，與此相關(guān)的信息被獲取并在組織內(nèi)部有效傳遞，而這整個過程都應(yīng)得到監(jiān)控；將目標(biāo)維度中的“財務(wù)報告”改為了“報告”，這使目標(biāo)范圍得以擴(kuò)大；在組織維度上，將原框架中的“單位”（Unit）與“業(yè)務(wù)活動”（Activities）細(xì)化為“主體”（Entity）、“分支機(jī)構(gòu)”（Division）、“業(yè)務(wù)單位”（Operating Unit）、“職能”（Function）。endprint

（二）增強(qiáng)了內(nèi)控要素的可操作性

新框架中最具新意的變化就是明確提出了內(nèi)控17項原則。這17項原則脫胎于1992年框架中的內(nèi)控五要素。1992年框架把每個內(nèi)控要素細(xì)化為若干要點加以討論，新框架在繼承這些要點基本概念和核心內(nèi)容的基礎(chǔ)上進(jìn)行新增、修改和刪除，提煉出原則（Principles）并確立下來，同時還詳細(xì)描述了與這些原則相關(guān)的81項重要特征和關(guān)注要點（Points of Focus）。原則的確立使得框架更加簡潔明了，便于使用者從整體上把握；新框架注重原則性的規(guī)定，也使其不容易被規(guī)避；同時，可以培育出一種以職業(yè)判斷取代機(jī)械套用規(guī)則的氛圍，以避免陷入只注重形式而忽視本質(zhì)，為內(nèi)控而內(nèi)控的窘境。

更為重要的是，17項原則的確立，使組織內(nèi)控體系的評價有了較為清晰的準(zhǔn)則依據(jù)。舊框架中雖然也對內(nèi)控五要素做了較為深入的探討，但具體要如何做，卻未給出清晰的答案。而此次提出的17條原則都是相對清晰的指引，如果把舊框架看作一個粗線條模型的話，那么新框架就為企業(yè)內(nèi)控提供了相對清晰的路線圖，其可操作性得到了增強(qiáng)。17項原則的具體內(nèi)容如表1。

從表1中我們看到，與“控制環(huán)境”要素相關(guān)的原則涵蓋了企業(yè)文化、治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、人力資源政策等幾方面的行為準(zhǔn)則；與“風(fēng)險評估”要素相關(guān)的原則幫助主體識別、分析與實現(xiàn)目標(biāo)相關(guān)的風(fēng)險，以確定風(fēng)險應(yīng)對策略；與“控制活動”要素有關(guān)的原則確保組織降低風(fēng)險，其中原則11特別強(qiáng)調(diào)了技術(shù)控制活動的重要性；與“信息和溝通”要素相關(guān)的原則則指引主體及時、準(zhǔn)確地獲取內(nèi)控相關(guān)的信息，并確保信息在主體內(nèi)部及主體之間有效傳遞；與“監(jiān)控活動”要素相關(guān)的原則著重強(qiáng)調(diào)監(jiān)控活動要達(dá)到的目的，以及發(fā)現(xiàn)內(nèi)控缺陷后處理方式?？傊?，新框架突出了原則導(dǎo)向，增強(qiáng)了內(nèi)控要素的可操作性。

值得一提的是，為了增加原則普適性，COSO IF-IC（2013）用“組織”代替企業(yè)、非營利機(jī)構(gòu)、政府部門等實體。

（三）強(qiáng)化了公司治理的理念

與1992年框架相比，新框架更多地提及了董事會及其專業(yè)委員會的治理職能。20年前，即使在西方，董事會下設(shè)專業(yè)委員會也還是新生事物。隨著企業(yè)業(yè)務(wù)和運(yùn)營環(huán)境日益復(fù)雜，對公司治理提出了更高的要求。審計委員會、薪酬委員會、提名與治理委員會等大部分由獨立董事組成的專業(yè)委員會開始在公司治理過程中發(fā)揮重要作用。健全的公司治理是內(nèi)部控制有效性的最大保證，必然地，董事會及其專業(yè)委員會的治理職能應(yīng)當(dāng)考慮。與此同時，資本市場機(jī)構(gòu)化使得公司投資者逐漸由個人變成諸如保險公司、套利基金、投資銀行等金融機(jī)構(gòu)。機(jī)構(gòu)投資者的興起增加了改善公司治理的專業(yè)努力。它們對治理的認(rèn)識更專業(yè)，它們期望內(nèi)控能夠發(fā)揮更大的作用?？紤]到這些變化，新框架原則第2條明確強(qiáng)調(diào)了董事會的獨立性要求，以及董事會對內(nèi)控體系的監(jiān)督職能，強(qiáng)化了公司治理理念。

（四）增加了舞弊的風(fēng)險評估的內(nèi)容

新框架第8條原則重點強(qiáng)調(diào)了對舞弊的風(fēng)險的評估。這部分的內(nèi)容來自對21世紀(jì)初一系列上市公司造假舞弊丑聞的經(jīng)驗教訓(xùn)的總結(jié)與提煉，從2001到2002年兩年間，接連發(fā)生安然、世通、環(huán)球電訊等破產(chǎn)案，導(dǎo)致美國政府加快通過了《薩班斯法案》。COSO認(rèn)為：舞弊的風(fēng)險因其存在主觀故意性、隱蔽性、串謀性、危害嚴(yán)重性等特征，而區(qū)別于一般風(fēng)險。因此，在新框架中提出應(yīng)在風(fēng)險評估階段，對舞弊的風(fēng)險進(jìn)行考量。

（五）拓展了報告目標(biāo)

與1992年框架相比，新框架將“財務(wù)報告”目標(biāo)拓展為“報告”目標(biāo)，擴(kuò)大了報告的內(nèi)涵。報告目標(biāo)的拓展彌補(bǔ)了財務(wù)信息的不足，增加了報告的決策有用性。報告目標(biāo)涵蓋了內(nèi)/外部財務(wù)報告和內(nèi)/外部非財務(wù)報告，這就要求報告目標(biāo)不僅要為管理層提供決策的信息，還要滿足外部監(jiān)管并幫助利益相關(guān)者作出投資決策，如提供內(nèi)部控制報告、供應(yīng)鏈管理報告、可持續(xù)發(fā)展報告、人力資源報告、資產(chǎn)使用報告、客戶調(diào)查報告、主要風(fēng)險報告、董事會報告等，報告目標(biāo)的拓展彌補(bǔ)了內(nèi)部控制目標(biāo)體系因受到公共會計師影響而造成的重視財務(wù)信息忽視其他信息的不足。

五、啟示與借鑒

總體來看，2013年新框架并沒有改變舊框架的關(guān)于內(nèi)控的基本概念和核心定義，而是順應(yīng)了全球化背景下企業(yè)運(yùn)營及業(yè)務(wù)環(huán)境的變化，呼應(yīng)了利益相關(guān)者對企業(yè)治理的不斷增長的需求，對舊框架的某些要素和目標(biāo)進(jìn)行了更新和拓展。

“他山之石，可以攻玉”。COSO IC-IF的新變化，為我國內(nèi)控建設(shè)提供了良好的借鑒平臺，為進(jìn)一步完善我國的內(nèi)控體系豎起了一個可供學(xué)習(xí)的“標(biāo)桿”。

（一）對《企業(yè)內(nèi)部控制基本規(guī)范》的基本評價

我國2008年頒布的《企業(yè)內(nèi)部控制基本規(guī)范》是以COSO框架為藍(lán)本，同時吸收了COSO-ERM風(fēng)險管理的理念，結(jié)合我國國情進(jìn)行創(chuàng)新，形成了以原則（基本規(guī)范）為主、規(guī)則（應(yīng)用指引）為輔的內(nèi)控體系。在設(shè)計之初就站在了較高的起點上。從這次COSO框架修訂的內(nèi)容來看，從企業(yè)管理延伸到企業(yè)治理、內(nèi)控要素的整合、舞弊風(fēng)險評估等更新都與我國《企業(yè)內(nèi)部控制基本規(guī)范》相吻合，這說明了我國內(nèi)控體系在設(shè)計上的前瞻性，是符合國際發(fā)展潮流的。今后，我們應(yīng)繼續(xù)關(guān)注COSO的新變化，緊跟COSO等國際標(biāo)準(zhǔn)的新動向，及時充實、完善現(xiàn)有的內(nèi)控體系，實現(xiàn)與國際的同步發(fā)展。

（二）進(jìn)一步完善我國內(nèi)控體系的建議

1.著手推動財務(wù)報告向整合報告轉(zhuǎn)變

目前，我國《企業(yè)內(nèi)部控制基本規(guī)范》中的“報告”目標(biāo)仍著重于“財務(wù)報告及相關(guān)信息真實完整”。這是由我國現(xiàn)階段資本市場不完善，內(nèi)控規(guī)范體系的實施剛剛起步的國情所決定的，但從國際上來看，自2004 年COSO發(fā)布《企業(yè)風(fēng)險管理——整合框架》以來，整合報告能增強(qiáng)決策有用性、促進(jìn)企業(yè)可持續(xù)性發(fā)展等優(yōu)勢越來越被看重，整合報告替代財務(wù)報告已成為趨勢。為適應(yīng)國際標(biāo)準(zhǔn)的新變化，我國應(yīng)盡早修訂這方面的標(biāo)準(zhǔn)與法規(guī)。endprint

2.從內(nèi)外多個層面來減少舞弊的風(fēng)險

新框架的第8條原則強(qiáng)化了識別舞弊風(fēng)險的論述，而我國部分企業(yè)缺乏針對舞弊風(fēng)險的事前防范及事后處置能力，大量的職務(wù)犯罪已對中國企業(yè)造成較大損失。我們可以從多個層面來減少舞弊的空間。首先，要制定合理的戰(zhàn)略目標(biāo)，以減少管理層舞弊的壓力；同時大力倡導(dǎo)企業(yè)文化建設(shè)，提高董事會和管理層的職責(zé)操守及道德規(guī)范水平，從源頭上減少舞弊的動機(jī)；另外，還必須加強(qiáng)對企業(yè)內(nèi)控的外部法律約束。我國《企業(yè)內(nèi)部控制基本規(guī)范》要求企業(yè)董事會定期委托會計師事務(wù)所對本企業(yè)內(nèi)部控制設(shè)計與運(yùn)行的有效性進(jìn)行審計。企業(yè)內(nèi)部控制審計報告應(yīng)當(dāng)與內(nèi)部控制評價報告同時對外披露或報送。但證券法、公司法、審計法、會計法等相關(guān)法律卻沒有相關(guān)條款，也沒有關(guān)于內(nèi)部控制的明確規(guī)定。因此，在法律層面上，還有許多工作要做。

3.增強(qiáng)內(nèi)部審計獨立性

COSO認(rèn)為“內(nèi)部審計是內(nèi)部控制有效性的必要條件”，2002年證監(jiān)會和經(jīng)貿(mào)委聯(lián)合頒布的《上市公司治理準(zhǔn)則》中規(guī)定“上市公司可按股東大會的有關(guān)決議設(shè)立審計委員會”。2003年審計署頒布的《關(guān)于內(nèi)部審計工作規(guī)定》中認(rèn)為“設(shè)立內(nèi)部審計機(jī)構(gòu)的單位可以根據(jù)需要設(shè)立審計委員會”。2003年以來，中國內(nèi)部審計師協(xié)會先后頒布了《內(nèi)部審計基本準(zhǔn)則》、《內(nèi)部審計人員職業(yè)道德規(guī)范》和24個內(nèi)部審計準(zhǔn)則以及兩個實務(wù)指南，但目前的現(xiàn)狀是許多上市企業(yè)都沒有設(shè)立審計委員會，內(nèi)部審計部門直接面對管理層，因而缺乏獨立性；有的即使設(shè)立了，也由于實施細(xì)則不完善，往往流于形式。企業(yè)無論在具體業(yè)務(wù)層面還是在公司層面，有效監(jiān)督欠缺仍是比較普遍的現(xiàn)象。沒有內(nèi)部審計的獨立性，內(nèi)部控制無從談起。由此我們呼吁要盡快完善相應(yīng)的法律制度，將審計委員會制度由企業(yè)自愿選擇變?yōu)閺?qiáng)制和必須，同時，進(jìn)一步細(xì)化審計委員會制度的實施細(xì)則，減少模糊空間，增加可操作性。另一方面，要進(jìn)一步完善獨立董事制度，充分發(fā)揮獨立董事的監(jiān)督職能。

4.加強(qiáng)在技術(shù)環(huán)境下內(nèi)部控制的研究

信息技術(shù)可以幫助組織提高資源的整合協(xié)調(diào)能力，但同時要對信息技術(shù)的固有風(fēng)險進(jìn)行評估。COSO IC-IF（2013）第11項原則強(qiáng)調(diào)“組織應(yīng)針對其技術(shù)特點選擇和開發(fā)一般控制流程，以支持組織目標(biāo)實現(xiàn)”。技術(shù)風(fēng)險有其自身的特點，比如：信息化下數(shù)據(jù)處理和輸出環(huán)節(jié)全部由系統(tǒng)自動執(zhí)行，全部責(zé)任高度集中于信息系統(tǒng)。這種特點使系統(tǒng)數(shù)據(jù)和信息處理資料面臨被不留痕跡非法瀏覽、篡改、損毀的巨大風(fēng)險（呂易，2010）。中國企業(yè)對包括信息系統(tǒng)在內(nèi)的技術(shù)相關(guān)風(fēng)險的應(yīng)對尚缺乏經(jīng)驗，導(dǎo)致較多由于技術(shù)風(fēng)險而對企業(yè)業(yè)務(wù)運(yùn)行產(chǎn)生重大影響的案例，比如著名的“三鹿奶粉事件”從風(fēng)險管理的角度來說就是由糟糕的技術(shù)風(fēng)險管理導(dǎo)致的一次致命災(zāi)難。如何加強(qiáng)技術(shù)開發(fā)過程中的風(fēng)險控制，如何加強(qiáng)對處于運(yùn)行狀態(tài)的技術(shù)系統(tǒng)進(jìn)行監(jiān)控及風(fēng)險預(yù)警/處置，是我國企業(yè)面臨的重大課題。

【主要參考文獻(xiàn)】

[1] COSO. Leading Risk Management and Internal Control Professional Robert Hirth Named New Chairman of COSO.http：//www.coso.org，2013.

[2] 林斌，舒?zhèn)?，李萬福. COSO 框架的新發(fā)展及其評述：基于IC-IF征求意見稿的討論[J].會計研究，2012（11）：64-95.

[3] COSO.內(nèi)部控制：整合框架 [M].方紅星，譯.大連：東北財經(jīng)大學(xué)出版社，2008：15.

[4] 中國內(nèi)部審計師協(xié)會.內(nèi)部審計理論與實務(wù) [M].北京：中國石化出版社，2006：2.

[5] 呂易. 淺談信息技術(shù)下的內(nèi)部控制[J]. 信息科技，2010（22）：105-106.endprint