从ＣＯＳＯ报告谈中国企业内部控制构建与完善框架

　【摘要】本文通过对现有内部控制最新成果COSO理论的述评，研究内部控制构建与完善框架。
　　2001年以来，全球舞弊案件频发。人们对企业会计信息更加关注。在过去，是单纯通过报表审计关注结果，而在新情况下，则是既通过报表审计关注结果，又要通过构建和完善与财务报告相关的内部控制关注会计信息的生成过程。
　　
　　一、内部控制理论新成果——COSO报告
　　
　　从的角度来看，内部控制理论大致可以划分为内部牵制思想、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。到上世纪90年代，美国提出内部控制整体框架思想，这一思想成果集中体现在为国际理论与实务界共同推崇的COSO报告。COSO报告认为，内部控制是一个包括概念、要素和目标在内的理论框架。
　　（一）内部控制概念
　　对COSO内部控制概念可以从3个方面来理解：
　　1.内部控制是动态过程。内部控制是一个过程，是实现目标的手段，而不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际损失、或者使损失降低到最低限度的，贯穿于组织各项活动中的一系列行为或措施。环境影响内部控制，内部控制随环境变化而变化。
　　2.内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影响，而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种机械的控制措施。组织虽然按照规章制度来运行，但人是具有个人目标、个人情感的能动性个体，他们可以在很大程度上影响规章制度的实施效率和效果。他们的行为可能受到其个人利益的驱使，也可能受其误解或抵触情绪的驱使。因此，内部控制必须建立在充分沟通的基础上。
　　3.内部控制提供的是合理保证。对管理层或董事会而言，内部控制提供的只是合理的保证，而不是绝对的保证。内部控制措施，无论设计得多么完美、运行得多么好，组织目标实现的可能性受到内部控制制度所固有的局限性影响，内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。
　　（二）内部控制要素
　　在对内部控制概念进行界定的基础上，该框架认为，一个完善的企业内部控制系统应该包括五类要素：
　　1.控制环境
　　控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境的因素具体包括：诚信的原则和道德价值观；评定员工的能力；董事会和审计委员会一一组成这两个机构须考虑的因素主要包括：成员的经验，相对于管理层的独立性，外部董事的比例；其成员参与管理的程度，所采取措施的适宜性，对管理层提出问题的深度和广度，他们与内部、外部审计人员的关系实质等；管理和经营风格——主要考虑：对待和承担经营风险的方式，依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通，对财务报告的态度和所采取的措施，对信息处理以及会计功能、人员所持的态度，对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度等；组织结构——即公司活动提供计划、执行，控制和监督职能的整体框架；责任的分配与授权；人力资源政策及实务。
　　2.风险评估
　　每个企业都面临着来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。
　　3.控制活动
　　企业管理阶层辨识风险，继之应针对这种风险发出必要的指令。控制活动是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现。这主要包括：高层经理人员对企业绩效进行分析；直接部门管理；对信息处理的控制；实体控制；绩效指标的比较和分工。
　　4.信息与沟通
　　企业在其经营过程中，需按某种形式辨识、取得确切的信息并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
　　5.监控
　　内部控制系统需被持续监控。监控是由适当的人员，在适当及时的基础上，评估控制的设计和运作情况的过程。监督活动由持续监督和个别评估所组成，其可确保企业内部控制能持续有效的运作。
　　（三）内部控制目标
　　COSO报告认为，企业建立完善的内部控制体系，旨在达到以下三个目标：
　　1.经营的效率和效果；
　　2.财务报告真实、完整；
　　3.恰当地遵循了相关、法规。
　　
　　二、COSO报告下的内部控制框架理论是否通用
　　
　　同以往的内部控制理论及研究成果相比，COSO报告不管是《内部控制——总体框架》还是2004年10月增补扩充后的《企业风险管理——总体框架》，都提出了许多新的、有价值的观点。具体体现在：明确了内部控制的“责任主体”；强调内部控制应该与企业的经营管理过程相结合；强调内部控制是一个“动态过程”；强调“人”的重要性；强调“软控制”的作用；强调风险意识；强调管理与控制的界限等。
　　但是，值得注意的是，COSO报告下的内部控制框架对内部控制的定义及董事会作用的强调是符合美国股权高度分散这一企业所有权结构的。因为英美公司治理是典型的外部控制主导型公司治理模式。在这种模式下，分散的股东无法对公司决策施加有效的影响，从而形成了“弱股东，强管理”的格局。在这种情况下，单个股东难以对企业内部控制的设计、运行和监督产生实质性作用。为了避免内部人在管理企业过程中侵犯所有者利益，强调并通过立法的形式明确并规范以独立董事占多数席位的董事会在企业内部控制中的作用，加强对公司经理层的监督和约束，从而维护股东权益。而我国的公司治理结构“内部人控制”现象严重，控股股东“一股独大”，有些控股股东操纵上市公司的股东大会、董事会和监事会，使股东大会、董事会、监事会形同虚设，造成内部控制失效。因此，在研究中国企业内部控制问题时，应在COSO报告内部控制定义的基础上，视企业的具体情况强调和注重股东会尤其是控股大股东在企业内部控制体系中的作用。在这一基础上，运用COSO报告内部控制框架研究中国企业的内部控制现状与改进才会有更强的针对性和实际意义。
　　
　　三、中国企业内部控制构建与完善框架
　　
　　（一）加强法律法规等强制性来约束准则规范
　　应尽快加强有关企业内部控制方面的法制建设以及内部审计和独立审计等相关方面的行业准则的制定，为提高企业内控提供外部监督和指导。同时，建立和强化内部控制责任机制，加大企业相关违规成本，使得建立和完善内部控制体系成为企业的一种法律责任。目前，我国《审计法》和《独立审计准则》等对企业内部控制虽有论及，但都是从审计角度出发的，对企业而言并未形成内控整体框架；《会计法》也没有对企业内部控制提出具体可行的规定。在完善内部控制规范时，有条件地借鉴COSO理论精华，要注意从以下几个方面予以加强。
　　1.拓展内部控制的目标
　　COSO报告框架的内部控制目标包括经营目标、报告目标和合规性目标三个方面，而我国内部控制的目标仅局限于报告目标和合规性目标。我国应拓展内部控制的目标，由目前的报告目标、合规性目标向经营目标扩展，以激发企业对内部控制建设的关注和需求。
　2.丰富内部控制的责任主体
　　2006年2月我国颁布的《独立审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层（董事会），向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中，丰富内部控制责任主体，由单一主体向多元主体。如前面所分析，值得注意的是COSO报告下的内部控制框架对内部控制的定义及董事会作用的强调是符合美国股权高度分散这一所有权结构的。而同时，笔者认为，在研究企业股东对内部控制的影响及作用时，必须要把股东划分为大股东和中小股东两个层次。因为在中国特有的背景下，上市公司的股权结构基本属于“一股独大”的情况，中小股东对企业的影响很小甚至没有，而大股东通过参与高层管理操纵内部控制的情况却非常普遍。在界定董事会对内部控制所富有的职责时，必须强化大股东层面对内部控制的责任与义务。
　　3.建立的内部控制规范体系
　　对于我国目前内部控制规范中存在的各种缺陷，有关部门应加快对内部控制规范的修订，甚至重新制定。考虑到我国的实际情况，可以建立内部控制基本规范和具体规范两个层次：基本规范应是一套类似于美国COSO报告那样的概念性的制度框架，具有强制力；具体规范可以是具有可操作性的规则，应是参照性的。有关部门应将内部控制规范的建设提到日程上，建立一套科学的内部控制规范体系，为企业的内部控制的自我评估和外部审计师的内部控制审计提供评价依据。关于这一点，在财政部2006年起草的《内部控制征求意见稿》中，已有所体现。
　　（二）证券监管机构的职责界定
　　企业尤其是上市公司一般只对外披露财务信息，人们关心的也是每股收益等数字。对于企业内部控制，人们常常疏忽。而独立审计人员则体会到信息的真实可靠，来源于企业内部控制，内部控制越好，其信息就越可靠，审计实质性测试就可相应减少；注册会计师在审计中虽然会对企业内控进行评审，但一般注重内部会计控制，并且由于审计的时间范围和技术的局限性，企业内控情况并不能充分了解和揭示；为了提高企业内控意识、提高其信息质量，企业有必要在进行内部控制自我评估后，向社会公开披露其内控信息。而在这一过程中，要使得企业内部控制披露机制真正发挥作用，就必须要界定好证券监管机构的相关职责。
　　（三）强化企业内部控制的自我完善
　　1.企业内部控制目标的定位与企业的发展战略相结合
　　按照COSO报告框架的要求，内部控制目标应该包括三个方面：经营的效率和效果、财务报告的可靠性以及相关法规的遵循性。笔者认为，企业在构建和完善内部控制时，必须结合自己发展所处阶段和内外部条件，按照SWOT分析法，将内部控制目标的确定与企业发展战略相适应，以使内部控制体系具有可操作性和针对性。
　　2.在统一的框架内构建和完善符合企业情况的内部控制体系
　　有了微观层面统一的内部控制规范和体系，企业要按照COSO框架中的五个要素，适当借助外部中介机构的力量，在对控制环境进行深入的调研与分析的基础上，构建适合自己企业情况的、具有可操作性的微观层面内部控制制度与体系。
　　（四）会计师事务所的外部监督
　　目前我国注册会计师接受委托执行的内部控制制度审核业务，参照的是中国注册会计师协会印发的《内部控制审核指导意见》，发表的是审核意见。建议将外部审计师对内部控制的评价确定为一项独立的强制性的审计业务，并研究制定内部控制审计准则，强化外部的内部控制审计制度，促使企业管理层对内部控制的落实和运行。
　　笔者认为，在借鉴COSO报告内部控制理论时，必须考虑到“拿来”理论产生的环境与土壤，充分考虑中国企业的产生背景与实际情况。在此基础上，构建宏观层面的内部控制规范体系和微观层面的内部控制实施框架才是切实可行的。