白宇

[摘 要]美國COSO委員會于2013年5月頒布了新版《內(nèi)部控制—整體框架》（IC-IF，以下簡稱COSO新框架）。該框架是對1992年版內(nèi)部控制框架（以下簡稱舊框架）的繼承與改進，進一步完善了企業(yè)內(nèi)部控制理論。本文將對COSO新框架進行介紹，著重分析其產(chǎn)生背景以及所包含的內(nèi)容，并將其與舊框架進行比較，并指出其發(fā)展變化。

[關鍵詞]COSO新框架；內(nèi)部控制；背景；變化

10 13939/j cnki zgsc 2015 51 106

1 COSO新框架產(chǎn)生背景

1 1 舊框架的產(chǎn)生

COSO委員會（全稱：the Committee of Sponsoring Orgnization of the Tredway Commission），是美國虛假財務報告委員會下屬的發(fā)起人委員會，該組織就內(nèi)部控制、企業(yè)風險管理（ERM）和舞弊防范提供領先思維和指引。COSO委員會于1992年發(fā)布《內(nèi)部控制—綜合框架》，旨在幫助公司或組織制定和評價其經(jīng)營、合規(guī)和財務報告目標的內(nèi)部控制體系。該框架發(fā)布后，很快得到了美國聯(lián)邦儲備局、美國證券交易委員會和巴塞爾委員會等監(jiān)管機構和國際組織的認可和重視，被廣泛應用于政策、規(guī)則制定及管制中，例如AICPA于1996年發(fā)布的《審計準則第78號》（SAS 78），表示全面接受COSO報告的內(nèi)容，從1997年1月1日起以內(nèi)部控制框架取代內(nèi)部控制結構。隨后，眾多企業(yè)應用COSO 框架以更好地控制其實現(xiàn)預定目標過程中的活動，該框架在世界范圍內(nèi)得到不斷應用，產(chǎn)生了廣泛的影響。

1 2 ERM框架的產(chǎn)生

雖然1992年的COSO框架在幫助組織制定和評價其內(nèi)部控制體系方面起到了十分重要的意義，但依然存在很多缺陷，比如內(nèi)部控制系統(tǒng)中會計與審計的色彩太重，評價內(nèi)部控制有效性標準過于主觀，把企業(yè)經(jīng)營和管理中一些重要職能（例如目標設定、戰(zhàn)略規(guī)劃、核心競爭力培育、風險評估和管理等）排斥在內(nèi)部控制觸角之外，以及沒有充分認識到董事會對內(nèi)部控制系統(tǒng)的至關重要性等（張安明，2002）。

為了解決這些遺留的問題，同時由于COSO 框架在誕生10多年后，西方發(fā)達國家爆發(fā)了安然、世通、施樂等公司財務舞弊案的會計丑聞，從而使得業(yè)界和監(jiān)管當局更加注重加強企業(yè)的風險管理。比如，美國2002年頒布的《薩班斯—奧克斯利法案》（SOX法案）及其他國家或地區(qū)的類似法律法規(guī)對內(nèi)部控制提出了更加嚴格的要求。SOX法案的404條款，要求公眾公司管理層對內(nèi)部控制的有效性進行評價和披露，注冊會計師也要對管理層的內(nèi)部控制評價報告進行審計。

在這樣的背景下，COSO 委員會結合2002年通過的《薩班斯—奧克斯利法案》（簡稱“SOX法案”），于2004年更新了 COSO 框架，發(fā)布了《 企業(yè)風險管理綜合框架》（Enterprise Risk Management-Integrated Framework，簡稱“ERM 框架”）。該框架的內(nèi)容涵蓋了 IC-IF 框架的內(nèi)容，提出了適用于各類組織的企業(yè)風險管理的目標、重要構成要素、原則與概念，并集中關注風險管理，為董事會與管理層識別風險、規(guī)避陷阱、把握機遇進而增加股東價值提供了清晰的指南。由于在美國上市的公司都要遵守《薩班斯—奧克斯利法案》以及內(nèi)部控制的有關規(guī)定，從而促使企業(yè)以更新后的 COSO 框架為標準開展內(nèi)部控制體系的建設，大大地推動了COSO內(nèi)控框架在世界范圍的應用。

1 3 COSO新框架的產(chǎn)生

近些年來，組織的業(yè)務和經(jīng)營環(huán)境發(fā)生了巨大的變化，如科學技術的巨大進步；法律法規(guī)以及各種標準的要求和復雜程度的大幅提升；對公司治理監(jiān)督期望的提升；對風險以及基于風險的方法的更多關注；市場和運營全球化成為大勢所趨；企業(yè)以及組織結構的復雜性不斷提高，包括外包和戰(zhàn)略供應商等。其次，20世紀90年代金融衍生產(chǎn)品的徹底崩盤、美國長期資本管理公司（Long-Term Capital Management）事件、安然丑聞以及較近期的全球金融危機等大規(guī)模的企業(yè)治理和內(nèi)部控制失敗案例的發(fā)生，反映出管理層僭越控制、利益沖突、缺乏職責分離、透明度不足或欠缺、風險管理未加統(tǒng)一協(xié)調、董事會監(jiān)督無效等內(nèi)部控制問題，都會對企業(yè)產(chǎn)生重大影響。此外，企業(yè)各層面對內(nèi)部控制框架的能力和責任的預期越來越高，對其能防范和檢測舞弊的要求亦不斷提升。綜合這些因素，COSO在1992年框架的基礎上，針對所要實現(xiàn)的新目標，即反映業(yè)務和經(jīng)營環(huán)境的變化、擴大經(jīng)營和報告目標以及使促進內(nèi)控有效性的原則清晰化，相應地更新了背景、擴展了應用和將要求進行了清晰化，從而產(chǎn)生了2013年新框架。

2 對COSO新框架的理解

2 1 COSO新框架的構成

COSO新框架的成果主要包括兩部分：內(nèi)控—整體框架（2013年版）以及新框架實施于財務報告內(nèi)部控制的方法和案例匯編。

內(nèi)控—整體框架（2013年版）包括內(nèi)容摘要；框架和多份附錄；評估內(nèi)控系統(tǒng)有效性的解釋性工具應用指南。主要包括內(nèi)控的核心定義，目標的分類，內(nèi)控的組成要素以及內(nèi)控有效性的需求。

新框架實施于財務報告內(nèi)部控制的方法和案例匯編旨在幫助用戶在財務報告流程的內(nèi)部控制上使用新框架，是一系列的與應用新框架中的原則相關的方法和案例。它提供了實際的方法和案例說明了五大要素和原則是如何應用到財務報告流程內(nèi)部控制的設計、執(zhí)行和實施階段。這些方法和案例是分別于五大要素和17條原則相對應的，并且描述了原則的不同方面是如何體現(xiàn)在財務報告內(nèi)部控制的目標上的。主要包含以下幾部分：財務報告中如何應用內(nèi)控原則的案例和方法；近20年來的營運和商業(yè)環(huán)境的變化；各種實體的案例，包括公立、私立、非營利以及政府機構。

2 2 COSO新框架的內(nèi)容

2 2 1 對內(nèi)控的理解

內(nèi)部控制是一個過程，受企業(yè)董事會、管理層和其他員工的影響，旨在為企業(yè)運營，報告以及合規(guī)目標的實現(xiàn)提供合理的保證。運營目標是為了保證實體運營的有效性和效率，包括運營和財務業(yè)績目標以及保證資產(chǎn)免受損失目標。報告目標主要由外部財務目標、內(nèi)部財務目標、外部非財務目標、內(nèi)部非財務目標構成，包括保證可靠性、及時性、透明性以及其他監(jiān)管機構制定的其他準則或者規(guī)定。合規(guī)目標就是要求該實體必須遵守法律法規(guī)。

2 2 2 內(nèi)控有效五要素對應的17大原則

有效內(nèi)控的五個要素分別是控制環(huán)境、風險評估、控制活動、信息和溝通以及監(jiān)控活動?？刂骗h(huán)境是所有其他內(nèi)部控制組成要素的基礎，管理層的態(tài)度和企業(yè)組織結構更是定下了內(nèi)部控制的基調；風險評估意味著分析和辨認實現(xiàn)目標可能發(fā)生的風險，是內(nèi)部控制的前提；控制活動是旨在確保管理層的指令得以執(zhí)行的政策和程序，為內(nèi)部控制的核心；信息與溝通旨在取得及時、確切的信息，并進行有效的溝通，為內(nèi)部控制提供條件；監(jiān)控著眼于確保企業(yè)內(nèi)部控制的持續(xù)有效運作，起到潤滑劑的作用。

對應控制環(huán)境的五個原則：一是企業(yè)對誠信和道德價值觀的承諾；二是董事會獨立于管理層，對內(nèi)部控制的制定及其績效施以監(jiān)督；三是管理層在董事會的監(jiān)督下，建立目標實現(xiàn)過程中所涉及的組織架構、報告路徑以及適當?shù)臋嗬拓熑?；四是企業(yè)致力于吸引、發(fā)展和留任優(yōu)秀人才，以配合企業(yè)目標達成；五是企業(yè)內(nèi)部控制責任人的問責制度。

對應風險評估的四個原則：一是企業(yè)制定足夠清晰的目標，以便識別和評估有關目標所涉及的風險；二是企業(yè)從整個企業(yè)的角度來識別實現(xiàn)目標所涉及的風險，分析風險，并據(jù)此決定應如何管理這些風險；三是企業(yè)在評估影響目標實現(xiàn)的風險時，考慮潛在的舞弊行為；四是企業(yè)識別并評估可能會對內(nèi)部控制系統(tǒng)產(chǎn)生重大影響的變更。

對應信息和溝通的三個原則：一是企業(yè)選擇并制定有助將目標實現(xiàn)風險降低至可接受水平的控制活動；二是企業(yè)為用以支持目標實現(xiàn)的技術選擇并制定一般控制政策；三是企業(yè)通過政策和程序來部署控制活動：政策用來確定所期望的目標；程序則將政策付諸于行動。

對應監(jiān)控活動的兩個原則：一是企業(yè)選擇、制定并實行持續(xù)及/或單獨的評估，以判定內(nèi)部控制各要素是否存在且發(fā)揮效用；二是企業(yè)及時評估內(nèi)部控制缺陷，并將有關缺陷及時通報給負責整改措施的相關方，包括高級管理層和董事會。

2 2 3 內(nèi)控三維“立方體”結構

立方體的列從左到右依次是運營、報告和合規(guī)目標，每個企業(yè)都會制定相關目標以及用以實現(xiàn)這些目標的戰(zhàn)略和計劃。立方體的側面，如下圖所示，則揭示了企業(yè)的目標既可以從整個企業(yè)的層面來設定，也可以針對企業(yè)內(nèi)部具體的部門、業(yè)務單元和職能部門來設定（包括銷售、采購和生產(chǎn)等業(yè)務流程），同時也描繪出了大多數(shù)企業(yè)等級式的自上而下的組織結構。立方體的正面是內(nèi)部控制的五大要素，代表立方體的行。詳見下圖。

內(nèi)控三維“立方體”結構圖

立方體描述了以下三者之間的直接關系：企業(yè)目標（即企業(yè)所要力求實現(xiàn)的）；內(nèi)部控制要素（即企業(yè)實現(xiàn)目標所需要的條件）；以及業(yè)務單元、法務單元以及企業(yè)內(nèi)部的其他結構單元（即內(nèi)部控制要素運行的各企業(yè)層面）。每個內(nèi)部控制要素都跨越和適用于所有三類目標，并在企業(yè)的各個層面均適用。

3 COSO新框架的進步

COSO新框架延續(xù)舊框架的幾方面是：內(nèi)控的核心定義；三種類型的目標以及內(nèi)控五要素；有效內(nèi)控需要五要素的共同作用以及管理層判斷在設計、實施以及進行內(nèi)控過程和評估內(nèi)控有效性方面的重要作用。之前已有介紹，此處不再贅述。

COSO新框架相對于舊框架進步的幾方面是：考慮到了環(huán)境的變化，即更新舊框架的原因；報告目標的擴展，提出了三個企業(yè)目標；五要素的17項原則的補充以及增加了對運營和非財務目標的案例分析，即同時發(fā)行的《新框架實施于財務報告內(nèi)部控制的方法和案例匯編》一書。

4 COSO新框架的局限性

框架雖然為目標的實現(xiàn)提供了合理的保證，但依然存在局限性，即有效的內(nèi)控系統(tǒng)可能也會導致內(nèi)控的失效，因為內(nèi)控系統(tǒng)并不能阻止錯誤的判斷或決定，并且外部的事件具有不可控性，都可能造成內(nèi)控的失效。因而只能提供合理的保證，而非絕對的保證。具體講，局限性包括以下幾方面：作為內(nèi)部控制先決條件所制定的目標質量及其合適性；人們在決策過程中的潛在判斷缺陷；管理層在應對風險和建立控制時對成本和收益的考量；因人為原因（錯誤或失誤）而導致的可能的內(nèi)控失效；控制可能會因兩人或多人相互勾結而被規(guī)避以及管理層繞過內(nèi)部控制職能及相關決定的能力。

參考文獻：

[1]美國COSO制定發(fā)布 企業(yè)風險管理：整合框架[M].方紅星等，譯 大連：東北財經(jīng)大學出版社，2005

[2]劉立峰 美國內(nèi)部控制實證研究綜述[J].經(jīng)濟研究導刊，2013（2）

[3]儲稀梁 COSO內(nèi)部控制整體框架：背景、內(nèi)容、理論貢獻與啟示[J].金融會計，2004（6）：14-16

[4]陳漢文，吳益兵，等 薩班斯法案404條款：后續(xù)進展[J].會計研究，2005（2）：82-86

[5]李寧 內(nèi)部控制整體框架理論的突破及其啟示[J].金融與經(jīng)濟，2006（5）

[6]盧衛(wèi)衛(wèi) 走近COSO（三）——如何評估風險 深交所，2005（10）：50-54

[7]鄧春華 企業(yè)內(nèi)部控制：現(xiàn)狀及發(fā)展建議[J].審計研究，2005（3）：72-75

[8]劉靜，李竹梅 內(nèi)部控制環(huán)境的探討[J].會計研究，2005（2）：73-75

[9]金彧昉，李若山，徐明磊 COSO報告下的內(nèi)部控制新發(fā)展——從中航油事件看企業(yè)風險管理[J].會計研究，2005（2）

[10]林斌，舒?zhèn)?，李萬福 COSO框架的新發(fā)展及其述評——基于IC-IF征求意見稿的討論[J].會計研究，2012（11）

[11]李享 美國內(nèi)部控制實證研究：回顧與啟示[J].審計研究，2009（1）

[12]劉霄侖 風險控制理論的再思考：基于對COSO內(nèi)部控制理念的分析[J].會計研究，2010（3）

[13]施敏 COSO企業(yè)風險管理框架在我國保險企業(yè)中的應用研究[D].北京：對外經(jīng)貿(mào)大學，2007

[14]李群 SOX法案和COSO框架下集團公司內(nèi)部控制的研究[D].北京：對外經(jīng)貿(mào)大學，2007

孫櫻僡：20世紀80年代后的國際貿(mào)易與社會聯(lián)盟分析