COSO报告运用于我国企业内控的可行性分析*

吴旭芳(咸宁学院计财处，湖北咸宁437100)

COSO报告运用于我国企业内控的可行性分析*

吴旭芳
(咸宁学院计财处，湖北咸宁437100)

从COSO报告的角度对内部控制的完善进行探讨，并对企业在实践中暴露出的问题进行分析、研究，寻找解决方法，以便在实际工作中趋利避害，以期对改善企业管理、加强内部控制有所借鉴。

企业内控;COSO报告;可行性分析

我国理论界和实务界对内部控制的认识还很不统一。其中，多数学者对内部控制的认识停留在内部控制制度和内部控制结构阶段，如何建立健全的内部控制呢?美国的COSO模式具有重要的参考价值，全美反舞弊性财务报告委员会的发起组织——COSO委员会，于1992年提出《内部控制——整体框架》报告，该报告是国际内部控制理论发展的一个里程碑。COSO内部控制框架能确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。然而COSO内部控制整体框架理论是否适用于我国国情，是否能在我国的企业里建立有效的内控制度呢?本文就此进行一些分析。

一、COSO报告简介及报告来由

1.COSO是Treadway委员会(Treadway Commission，即反欺诈财务报告全国委员会(National Commission On Fraudulent Finational Reporting)，通常根据其首任主席的姓名而称为Treadway委员会)的发起组织(Committee of Sponsoring Organizations)的简称。Treadway委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内控的不健全问题，其就内部控制问题提出了很多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此Treadway委员会的赞助机构成立了私人性质的COSO，其组成人士包括美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务执行官协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等五个组织建议其发起组织共同协作，整合各种内部控制的概念和定义。1992年，COSO发布了一个纲领性文件《内部控制——整合框架》报告，并在1994年进行了局部修订，成为内部控制领域最为权威的文献之一，该报告是国际内部控制理论发展的一个里程碑，已正式成为美国上市公司内部控制框架的参照性标准。

在实务中，COSO内部控制整体框架得到了广泛的应用。虽然美国联邦存款保险公司(FDIC)主管机构并未要求必须采用COSO内部控制整体框架作为报告格式，但却鼓励各银行以COSO框架为依据。事实上，各银行自身也有积极性采用，因为使用COSO框架能够充分展现公司的管理水平，取信于投资者，从而在一定的信息对称的情况下，提高公司在公众中的美誉度。

国内有关内部控制的权威规定主要有两个:中国人民银行制定的《加强金融机构内部控制的指导原则》(1997年5月)和中国注册会计师协会制定的《独立审计具体准则第9号—内部控制与审计风险》(1997年1月)。两者在不同程度上都借鉴了COSO整体控制的一些理念。

2003年7月，COSO发布了《企业风险管理——整合框架(征求意见稿)》，经过一年多的意见反馈、研究和修改，2004年9月发布了最终的文本。

本文所借鉴的COSO报告正是2003年颁布的《企业风险管理——整合框架》，以下简称COSO报告或COSO框架。

2.COSO报告主要内容

所有的主体都面临不确定性，对于管理当局的挑战在于确定其追求增加利益相关者价值的同时，准备承受多少不确定性。企业风险管理使管理当局能够识别、评估和管理面对不确定性的风险，它对于价值创造和保持而言是必不可少的。企业风险管理包括八个互相关联的构成要素，它们与管理当局经营企业的方式密不可分。这些构成要素联系起来，成为确定企业风险管理是否有效的标准。

该报告的核心内容是内部控制的定义、目标和要素。报告中提出来的观点，超越了内控思想的以往理论——内部牵制、内部控制制度和内部控制结构等理论。

(1)企业风险管理的定义及实现目标

企业风险管理处理风险和机会，以便创造或保持价值。它的定义如下:

企业风险管理是一个过程，它由一个主体的董事会、管理当局和其它人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

在主体既定的使命或愿景(vision)范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标:

战略(strategic)目标——高层次目标，与使命相关联并支撑其使命;

经营(operations)目标——有效和高效率地利用其资源;

报告(reporting)目标——报告的可靠性;

合规(compliance)目标——符合适用的法律和法规。

对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不相同但却相互交叉的类别——一个特定的目标可以归入多个类别，反映了主体的不同需要，而且可能会成为不同管理人员的直接责任。这个分类还有助于区分从每一类目标中能够期望的是什么。一些主体采用的另一类目标——保护资源也包含在上述类别之内。

(2)企业风险管理的构成要素

企业风险管理包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个相互关联的构成要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。

二、我国企业内部控制的现状

由于我国实行市场经济的时间只有十几年，我国企业的内部控制起步较晚，经过十几年的发展，具有一定的成绩，但与发达国家相比，仍有明显差距。我国企业认识到内部控制重要性的时间并不长，大部分关于内控的理论都是从国外借鉴而来的，已经成型和有效的内控模式非常少。目前在内部控制制度上，我国主要采用符合性测试及实质性测试等方法，以此检测企业内部控制制度的真实性、合理性及有效性。但这种测试有许多缺陷，它仅仅停留于企业内部控制的表面，没有深入到企业生产经营的具体环节，忽略了企业的经营风险，易导致盲目性，同时浪费了大量的人力、物力，降低了工作效率。

我国内控的现状及制约因素主要表现在以下几个方面。

(一)制约因素

1.理论及制度制约因素

(1)内部控制在概念上不统一。我国尚未提出权威性很高的内部控制的概念，对内部控制的完整性、合理性及有效性更是缺乏一个公认的标准体系。我国理论界和实务界对内部控制的认识还没有形成很一致的意见。许多学者和企业对内部控制还停留在内部牵制和内部控制阶段，还有很多人认为内部控制就是内部监督，而企业大多把内部控制看成是一堆堆的工具手册、各种文件的制度，也有的企业把内部成本控制、内部资产安全控制等视为内部控制。一些企业管理者对内部控制问题有很多误解，如有的认为内部控制就是报表审计的内部规范，有的认为内部控制就是内部纪律要求等。

(2)内部控制在体系上不完善。内部控制不是一个静止的发展过程，企业应该结合本单位具体特点和要求设计内控制度。而一般企业却不考虑本单位的实际情况随意建章立制，而且不随着业务发展和竞争环境的改变及时修订和补充，使得内部控制制度不能及时有效防范风险。

2.实践制约因素

(1)企业不重视。有些企业认为内控不过是各种规章制度简单的汇总，没有制定必要的过程控制和配套必要的奖罚措施，存在有法不依、执法不严的现象，使得内部控制如同虚设。一些企业认为内部控制就是相互牵制，不设置内部控制机构，甚至有的领导把内部控制与发展和效益对立起来，只注意抓效益而违章违法。有的不注重对企业职工的业务培训和思想教育，使得员工素质不高，不适应岗位的要求，使得内部控制得不到有效的执行。

(2)执行不力，缺乏约束机制。有的企业内部控制制度流于形式。一方面是由于我国上市公司股权过于集中，股东和高层经理集所有权、决策权、执行权、监督权于一身，内部人凌驾于内部控制制度之上，根本不依照制度办事。另一方面，内部控制的执行人员(包括经理)道德水平不高，责任感不强，在没有相应的考核机制下，基于自身利益的考虑，其自觉性和警惕性大大地削弱，不能严格遵守内部控制制度。

(二)加强企业内部控制的必要性

内部控制的作用指内部控制的固有功能在实际工作中对企业的生产经营活动及外部社会经济活动所产生的影响和效果。在社会化大生产中，内部控制作为企业生产经营活动的自我调节和自我制约的内在机制，处于企业中枢神经的重要位置。企业规模越大，其重要性越显著。可以说，内部控制的健全、实施与否，是单位经营成败的关键。因此，正确的认识内部控制的作用，同时加强内部控制，对于加强企业经营管理，维护财产安全，提高经济效益，具有十分重要的现实意义。加强内部控制的重要性表现在以下几方面:

1.切实保证国家的方针、政策和法规在企业内部的贯彻实施。贯彻执行国家的方针、政策和法规，是企业进行合法经营的先决条件。健全完善的内部控制，可以对企业内部的任何部门、任何流转环节进行有效的监督和控制，对所发生的各类问题都能及时反映，及时纠正，从而有利于保证国家方针政策和法规得到有效的执行。

2.提高会计信息质量。由于国有资产的经营权与所有权相分离，使得企业经营者在利益目标上与企业的所有者并不一致。如果企业的内控不严，则企业经营者提供给企业所有者的会计信息就极有可能失真。为了使会计信息使用者得到准确的会计信息，加强内部控制乃是关键的一点。

3.有效防范企业经营风险。在企业的生产经营活动中，企业要达到生存发展的目标，就必须对各类风险进行有效的预防和控制，内部控制作为企业管理的中枢环节，是防范企业风险最为行之有效的一种手段。它通过对企业的有效评估，不断的加强对企业经营风险薄弱环节的控制，把企业的各种风险消灭在萌芽之中，是企业风险防范的一种最佳方法。

4.是遏制腐败的重要手段。由于企业的权力过于集中，如果企业内控不严，就会给企业领导人贪污、挪用国有资产、偷逃税收等非法行为有机可乘。一些单位负责人为了达到转移国家资产、偷逃税收、谋取私利或小团体利益等非法目的，常常授意、指使甚至强令其手下员工办理一些非法事项，从而损害了国家的利益。所以，在加强干部素质教育的同时，应抓好内部监督，从源头上治理和彻底根除企业领导干部经济犯罪与腐败。

三、COSO报告运用于我国企业内部控制的可行性分析

虽然我国各行业自有其特点，各个企业又有差别，但只要科学地运用COSO框架，适应自己的行业优势、企业特点，改善内控环境，会让企业运作更合理有效，带来更多收益。近年来，随着现代企业制度的建立与完善，我国企业管理水平有了一定程度的提高，大部分企业都建立了内部控制制度，但多数企业的内部控制制度仅是摆设而已。这正是由于我国企业的制度及实践的制约因素造成的，以下是美国COSO报告对我国加强内部控制制度执行效力的几个方面的启示。

1.政府制定统一的内部控制评价标准

目前我国还缺乏统一的内部控制评价标准，这就使得单位内部控制评级报告的真实性难以保证，一旦出现问题司法机关很难界定相关人等的法律责任。因此，政府部门建立统一的内部控制评价规范是很有必要的。一般标准是内部控制的完整性、合理性及有效性。(1)内部控制完整指是否覆盖企业的整个系统，是否得到一贯的遵守，在控制环境变化的情况下，是否及时弥补因此而造成的失控。(2)内部控制的合理性是指企业所建立的内部控制制度要适应企业的特点和要求，经济适用。实行内部控制所花费的代价不能超过由此而获得的效益。(3)内部控制的有效性是指企业的内部控制政策和措施没有与国家法律法规相抵触;能够得到贯彻执行并发挥作用，实现其为提高经营效率效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。

2.政府应积极发挥对企业内部控制制度建设的指导和监督作用

政府在制定内部控制规范时应注意完善以下几个方面:第一，内部控制规范建设层次应更清晰，基本规范应具有提纲挈领的指导意义，具体规范应当翔实，覆盖企业经营管理活动的所有方面，把可操作性作为一个重要原则。第二，我国内部控制定位不应局限于防错纠弊，应定位于财务报告的可靠性、经营的效率效果以及法律法规的遵循性三大目标，立足长远，和国际接轨。同时，目标应当具有层次性，适合于不同发展水平的企业。第三，我国内部控制环境与风险评估部分相对较弱，今后应把企业的外围环境、文化理念、经营哲学等控制环境因素与风险因素都应纳入企业内部控制的范围来予以考虑。

3.企业应抓管理者及员工的素质培养，以增强内控执行的自觉性

我国目前的内部控制还只是使不同的职能部门之间有相互监督、牵制的内部牵制制度。COSO报告认为，内部控制是由人来执行和实施的。应将企业的所有员工团结一致，充分发挥企业全体职工的能动性，使其主动地维护及改善企业的内部控制。

从实践角度讲，审计人员在防范舞弊财务报告中具有独特的内在优势。我国可考虑仿效美国Treadway委员会，由审计职业界、财政部、证监会及企业界联合成立专门委员会，研究独立审计在防范欺诈性财务报告中的作用和具体措施。通过借鉴国外舞弊理论研究成果结合我国国情，积极开展舞弊性财务报告的实证研究。同时，可以搜集典型的审计案例，进行定量分析后归纳出某些规律，了解编制舞弊性财务报告的诱因、动机、条件和方式，提高审计人员揭露舞弊性财务报告和防范审计风险的能力，尽可能地减少乃至消除舞弊性财务报告的危害。

四、结论

尽管我国大部分企业都建立了内控制度。但由于理论、制度、实践等一些制约因素的影响，这种本土的内部控制体制并不健全，存在很多的漏洞，同时也造成了会计信息失真、财务报表舞弊、内控执行力度不够等一系列导致公司及员工权益受到极大损坏的后果。近年来在社会上出现的一系列财政丑闻足以提高我们对加强我国企业内部控制各个环节的重视程度。为了与国际接轨，同时避免闭门造车式的绝对化的本土管理体制，我们必须关注国际最具前瞻性的，最先进的制度、框架及模式。

美国Treadway委员会制订的COSO报告是至今内部控制领域国际公认的最为权威的纲领性文件。在国内外实务中，COSO内部控制整体框架得到了广泛的应用，它为了实现内部控制的有效性，需要五个方面要素的支持:控制环境(Control environment)、风险评估(Risk assessment)、控制活动(Control activities)、信息与沟通(Information and communication)和监督(Monitoring)。这些要素的归结和理论性的指导使该框架经受了时间的考验，并且成为现行规则、法规和法律的基础。在该框架的基础上COSO制订的新的企业风险管理框架构建了一个更强有力的概念和管理工具，它提出的八个要素:内部环境，目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等更是对内部控制框架，无论在内容上还是范围上都有所扩大和提高。

综上所述，COSO框架运用于我国企业内部控制是可行的，以其标准来衡量我国企业的内部控制对我们有很大的借鉴意义。但我们不能全部拿来主义，由于我国大部分企业内部控制的环节薄弱，我国各行业自有其特点，各个企业又有差别，但只要科学地运用COSO框架，适应自己的行业优势、企业特点，改善内控环境，会让企业运作更合理有效，带来更多收益。

［1］乔忠编.管理学(第2版)［M］.北京:机械工业出版社，2002.

［2］马衍，刘益平.内部控制与现代审计的关系［J］.审计与经济研究，2004，19(2):16～18.

［3］肖娅芳.企业内部控制的完善［D］.对外经济贸易大学工商管理学院，2005.

［4］唐群力.企业内部控制的经济学分析［D］.暨南大学，2004.

［5］阎红玉.公司治理与内部控制［J］.南方经济，2004，(12):22～24.

F275

A

1006－5342(2010)09－0009－03

2010-07-14