[摘要]本文从COSO报告要素角度系统分析了我国会计师事务所内部控制现状，重点研究控制环境、风险评估、控制活动、信息与沟通和监测活动等方面存在的问题和不足，并基于COSO框架从整体上对我国会计师事务所内部控制体系建设提出了一些建议。

[关键词] COSO报告；内部控制；会计师事务所；内部控制体系

[DOI] 10.13939/j.cnki.zgsc.2015.08.136

在社会经济飞速发展的背景下，我国会计师事务所的数量成倍增长，业务水平和管理水平也不断提高。然而，以普华永道、德勤、毕马威、安永为代表的国际四大会计师事务所凭借其规模、资源、网络和品牌效应等优势几乎垄断了全球高端市场，使得我国会计师事务所在发展上遇到了“瓶颈”。

2012年6月，中国注册会计师协会颁布了《关于支持会计师事务所进一步做强做大的若干政策措施》的通知，明确指出内部控制是会计师事务所健康运转和稳步发展的重要基础[1]。但是由于我国会计师事务所起步较晚，且大多是通过脱钩改制发展起来的，因此事务所管理者对企业化经营缺乏相关经验，尤其对内部控制认识不足。因此，如何建立行之有效的内部控制体系，以提高抗风险能力和市场竞争力，已成为我国会计师事务所亟待解决的重要问题。

1 基于COSO报告要素的会计师事务所内部控制现状分析

1.1 COSO内部控制框架的基本要素

COSO是美国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the National Commission of Fraudulent Financial Reporting）的英文缩写。该组织致力于研究企业内部控制问题。1992年， COSO委员发布了《内部控制整合框架》，简称COSO报告。自问世以来，该报告已成为上市公司内部控制框架建设的参照性标准。

根据COSO报告，企业内部控制框架主要包含五个要素，即控制环境、风险评估、控制活动、信息与沟通和监控活动[2]。这些要素内涵丰富且相互关联。内部控制环境是其他各项要素的基础，包括企业的文化建设、管理者的经营模式等内容。风险评估是风险管理的重要环节，也是内部控制有效执行的前提。控制活动是内部控制的核心，贯穿于整个组织、各种层次和功能，包括职责分离制度、授权批准制度、财产管理制度、经营绩效评价等内容。信息与沟通是必要条件，有助于及时反馈和纠正业务执行中的各项问题。监控活动是基本保障，内部控制的设计和执行离不开有效监控。

1.2 基于COSO报告要素的会计师事务所内部控制现状分析

正确处理上述五个要素对企业内部控制的建设至关重要，然而我国会计师事务所在这四个方面都存在着一些不足。

1.2.1 内部控制环境差

良好的内部环境有助于增强内部凝聚力，提高经营效率，从而增强社会公信力。但我国会计师事务所对内部控制环境缺乏普遍认识，尤其在内部文化方面，建设滞后。

第一，品牌文化意识较弱。会计师事务所发展的品牌效应十分明显。几乎国内外所有的研究都发现：客户在选择审计师时更倾向于选择具有品牌知名度的事务所[3]。目前，如中石油、中国移动、中国银行等国内知名企业都选择与 “四大”合作。尽管 “四大”的收费标准很高，但依旧获得高端客户青睐。究其原因最重要的就是“四大”具有极强的品牌号召力。相反，我国本土会计师事务所在发展时往往将各项资源放在招揽业务上，在品牌建设上投入甚少。

第二，未形成良好的学习文化氛围。会计师事务所行业是一个智力资本密集型的行业，行业知识随着社会经济的发展不断更新。因此只有构建学习型企业，形成良好的学习文化氛围，才能不断完善员工的知识结构，提高执业水平，从而增强事务所的核心竞争力。但现阶段，我国会计师事务所，尤其是一些中小型会计师事务所缺乏对学习氛围建设的重视，尚未建立健全学习机制。

1.2.2 风险管理能力较弱

企业所面临的环境是不确定的，在经济、行业、监管和经营条件不断变化时，需要建立一套机制来辨认和处理风险。然而，目前我国会计师事务所在风险管理方面做得不尽如人意。

第一，缺乏风险意识。市场竞争日趋激烈，作为以审计业务为主的会计师事务所在谋求利益的同时，承担了较高的诉讼风险。

20世纪60年代，西方发达国家的审计界进入了 “诉讼爆炸”的时代，针对注册会计师的诉讼案件层出不穷。进入90年代后，我国会计市场也接二连三地发生重大舞弊案件，如“琼民源”案件、“中天勤”案件以及被称为中国“安然事件”的“银广夏”案件等，都给我国会计师事务所敲响了警钟。但据中国注册会计师协会的不完全统计，我国会计师事务所中只有不足30%的事务所购买了保险，这就说明大多数事务所不愿意建立保险责任基金，充分反映出我国会计师事务所风险意识的薄弱。

第二，人员执业能力不强。从公司治理层面来看，会计师事务除了具有“资合”性，还具有典型的“人合”性。注册会计师的执业能力对事务所的发展至关重要。但目前我国会计师事务所员工胜任力不强。

一方面，我国会计师事务所中现有的注册会计师学历层次偏低，年龄结构偏大，对新会计制度和准则缺乏全面认识，而新一代优秀的注册会计师又被以“四大”为代表的跨国事务所收编，因此我国本土所中优秀人才匮乏。另一方面，我国一些事务所在人力资源配置方面只顾眼前利益，缺乏长远规划。例如，许多事务所总是在年度审计的忙季，大量招聘没有从业经验或经验较少的实习人员，对其进行简单培训，缺乏持续的战略性人才储备。此外，我国会计师事务所没有及时对员工进行知识更新，或者即使开展了相关培训，也由于方式不恰当或内容脱离实际等原因使得培训流于形式，员工技能没有得到实质性提升。

1.2.3 内部控制体系不健全

完善的内部控制体系将推动事务所加强内部治理，防范执业风险。但由于我国会计师事务所恢复重建的时间较短，内部控制环境差，加上事务所管理层内部控制观念薄弱，因此目前我国会计师事务所内部控制体系很不健全。

第一，内部控制目标不明确。建立健全内部控制体系，第一要务是明确内部控制目标，以目标为中心，全面展开体系建设。一般来说，内部控制主要有四个目标：第一是最高层次目标，即企业战略发展目标；第二是经营目标，即合理配置资源，提高经营效率和效果；第三是报告目标，即合理保证报告的可靠性；第四是合规目标，即保证企业经营符合适用的法律法规[4]。

然而我国会计师事务所，尤其是中小型事务所对于自身规模实力、资源状况、管理水平等缺乏全面认识，没有正确的市场定位，也没有明确的未来规划，即缺乏发展战略目标。作为最高层次的指导性目标，发展战略目标的缺失，必将影响事务所内部控制的有效性。

第二，内部控制制度不健全。内部控制制度的不健全性主要表现在以下三个方面。

一是内部控制制度缺失。我国一些中小型事务所由于起步晚、规模小、发展不成熟等原因，只注重外部经济利益的流入，忽视了内部控制制度的建立，甚至在部门设置方面也不健全。有些事务所虽然在执业质量、档案管理和财务管理方面制定了相应制度，但是不够健全，部分关键的业务流程如新客户接受、合同管理、人力资源管理等尚没有明确的制度规范。

二是内部控制制度流于形式。有些会计师事务所虽然制定了较为规范的内部控制制度，但在实际工作中并未真正落实，而是用于应对行业协会或上级主管部门的检查。由于没有严格执行制度规范，许多员工仍然凭借自身经验或习惯进行业务处理，使得精心制定的内部控制制度形同虚设，未能发挥实质性作用[5]。

三是内部控制制度与时代脱节。注册会计师行业以知识密集著称，会计师事务所一切制度的制定必须紧跟经济形势变化和行业发展。然而，由于对新政策或相关准则关注度不够，许多事务所未能对内部控制制度做出及时的更新和修正，导致实际执行的程序与制度中规定的程序不一致，与时代脱节。

1.2.4 信息沟通与监控不足

为形成竞争优势，我国许多会计师事务所积极巩固老客户，吸引新客户，不断进行重组合并，建立分支机构，扩大经营范围，一心想要做强做大。但在这一过程中，事务所领导层过分注重对管理层的控制，纠结于股份、董事名额，以及董事长、首席合伙人的任职问题，对于员工的意见和建议关注甚少。事务所内部缺乏有效的信息沟通平台，加上监控机制不完善，不能及时反馈和纠正业务执行中的困难和问题，使得经营效率低下。

2 会计师事务所内部控制体系的构建原则和基本框架

前文分析了我国会计师事务所内部控制的现状和不足，笔者将结合相关监管的要求，并根据COSO框架为我国会计师事务所内部控制体系的建设提出一些改善建议。

2.1 会计师事务所内部控制体系的构建原则

在构建内部控制体系时，首先需要遵循相应的原则。我国 《企业内部控制基本规范》第四条规定：内部控制建立的原则包括全面性原则、重要性原则、制衡性原则、适应性原则与成本效益原则。这五项原则对会计师事务所内部控制体系的构建同样适用。

第一，全面性原则。内部控制体系贯穿整个组织，因此在建立时应充分考虑事务所的各项业务，如新客户接受、合同管理、人力资源管理、执业质量、档案管理和财务管理等。在此基础上制定相关制度规范，并不断健全完善。

第二，重要性原则。尽管内部控制要体现全面性，但并不要求会计师事务所事无巨细，在每个业务环节都精心制定相应制度，而是应该有所选择，在人才培养、风险控制、收益分配等一些重要环节和领域突出内部控制作用。

第三，制衡性原则。会计师事务所内部控制具有动态性和层次性，这就要求在建立内部控制体系时，应及时并全面地评估各方利益，尤其在职责分配、权限设置等方面体现相互监督、相互制衡的效果。

第四，适应性原则。在建立内部控制体系时，要以会计师事务所自身发展目标为导向，充分适应会计师事所的实际情况，在此基础上适当借鉴国内外先进经验，而不是生搬硬抄，不假思索地简单拷贝。

第五，成本效益原则。会计师事务所承担着“经济警察”的社会责任，但从本质上来说，仍是以盈利为目的的企业。因此，在设计内部控制制度时，应充分评估相应措施的成本和效益之间的差异，切忌为防范一个很低的风险而花费大量的资源。

2.2 基于COSO框架的会计师事务所内部控制体系建设

2.2.1 明确战略发展目标

在竞争日益激烈的审计市场上，会计师事务所生存和发展的前提就是明确自身战略发展目标，做好市场定位，以提高业务效益，保证持续经营。事务所在制定战略发展目标时，不能简单地追求客户数量的多少或服务费用的高低，而应立足全局，充分评估自身的规模实力、资源状况和管理水平，并全面考虑事务所内部和外部的各项风险，以持续发展为核心理念，不断做强做大。当然，战略发展目标并不是遥不可及或形同虚设的，相反，它必须具有可行性、可操作性。也就是说，这个目标应该是经过事务所成员的一致努力就能达到的。

2.2.2 重视内部控制环境建设

良好的企业环境是内部控制活动有效执行的基础保障。会计师事务所应重视内部环境建设，具体可以从以下两方面入手。

第一，加强品牌建设度。首先，本土事务所应在思想上重视品牌建设，加大品牌建设的投入。其次，应转变品牌建设的模式，可以借鉴“四大”推出的许多新模式。如毕马威的案例评述大赛，以比赛的方式吸引所在地区的高校人才，并通过选手间口口相传的辐射力量进一步加强了宣传效果。再如德勤推出的山区支教等公益活动，不仅培养了一批高素质员工，而且树立了良好的社会形象。总之，本土所不应局限于校园宣讲会等传统方式，而应力求创新，加强品牌建设度。

第二，积极构建学习型企业。学习氛围的营造首先需要管理者带头示范，积极主动地学习，在潜移默化中引导员工自觉提高职业技能，达到上行下效的效果。同时，事务所应定期组织相应的培训活动，使员工对最新政策法规或市场动态有全面的了解。此外，还可在事务所内部举办一些比赛，并设立相应的奖励机制，以提高员工自主学习的积极性。

2.2.3 提高风险管理水平

从业务承接到业务分配，从审计程序执行到出具审计报告，风险存在于会计师事务所日常经营的全过程，因此应强调风险导向的审计理念，提高风险管理水平。

第一，完善人力资源管理制度。会计师事务所最大的资源是人，注册会计师的执业水平和质量直接影响事务所内部控制和风险管理的效率和效果。因此事务所必须充分做好人的工作，建立健全人力资源管理制度。在招聘人员时，应从各方面充分考察候选者的素质和技能。此外，要定期对员工进行道德价值观导向的培训，以防止舞弊等风险。再者，完善收益分配制度和奖惩机制，既要给员工提供展示自我的平台，也要让员工树立责任观和风险意识。

第二，提高风险管理水平。会计师事务所应建立有效的风险管理系统，从事前、事中、事后对风险进行全面控制，使每个环节的风险都达到可控范围内的最低水平。在业务承接时，应充分了解客户的财务状况，评估资信水平，然后结合自身胜任能力决定是否接受该业务。在业务处理时，应合理安排项目参与人员及执行时间，并建立项目质量复核制度和专业咨询制度等，防止审计风险的发生。

2.2.4 加大控制活动执行力度

会计师事务所应加大内部控制活动的执行力度，充分发挥控制活动的保障作用，具体可从以下五方面着手。

第一，职责分离控制。职责分离控制要求不相容的职务要由不同的人承担，如申请和审批职责要分离，执行和复查职责要分离等。对于会计师事务所而言，需要将审计业务按流程分解成不同环节，然后指派不同的人员参与其中，从根本上降低审计风险。

第二，授权批准控制。授权批准控制以职责分离控制为基础，要求业务人员在处理每项经济业务时必须经过上级授权或批准，以明确各自的职责范围和操作权限，承担相应的经济和法律责任。如注册会计师在审计时，必须经过项目负责人的同意才能处理相关业务。

第三，财产安全控制。财产安全控制要求会计师事务所积极采取各种方法和措施，以确保其财产物资的安全和完整。如会计师事务所给员工个人分配的笔记本电脑，需要作严格的记录，确保其安全性。此外，还可制定其他控制制度，如财产保管制度、财产盘查制度等。

第四，预算控制。预算按照不同的内容可分为经营预算、投资预算和财务预算三大类。我国《会计师事务所财务管理暂行办法》第八条明确规定：大中型会计师事务所应当建立健全财务预算管理制度，鼓励小型会计师事务所建立财务预算管理制度。

第五，经营绩效评价控制。经营绩效评价控制要求会计师事务所运用一定的方法和程序，对照统一的标准，对一定经营期间的经济效益和人员业绩做出考核和评价，并将评价结果作为员工薪酬增减、晋升、降职或辞退的依据。这一控制过程要力求客观和公正。

2.2.5 完善信息沟通与反馈机制

会计师事务所作为专业分析各项数据和信息的特殊企业，应不断建立和完善信息沟通与反馈机制，才能使内部控制有章可循，提高经营效率和效果。

第一，完善员工信息沟通与反馈机制。会计师事务所不仅要建立和完善员工与管理者之间上下级信息沟通和反馈的纵向渠道，而且要充分健全员工与员工之间信息交流的横向渠道。具体来说，可以采用传统的电话、信件或面谈方式，也可以利用计算机技术设计和开发专用信息沟通平台，如公共信箱，员工论坛，服务网络等新型渠道。此外，可以设立定期或非定期的交流制度和沟通计划，增加员工与管理者或同级员工之间的交流频率。

第二，完善客户信息沟通与反馈机制。审计市场的竞争愈演愈烈，客户和公众的要求也越来越严苛，因此会计师事务所很有必要建立健全客户信息沟通与反馈机制，在项目承接时就充分了解客户的资料和需求，并组建专业的团队随时与客户沟通和交流，形成互信互利、互惠互助的合作关系。

2.2.6 建立健全监控制度

监控最基本的职能就是防止徇私舞弊，并及时反映和纠正企业内部控制出现的问题，使总体风险达到最低。因此，为确保内部控制的合理有效执行，会计师事务所应积极建立健全监控制度。可以通过持续监控和个别评估两种方式进行监控。

在处理审计业务时，会计师事务所应组织专业人员，有针对性地对项目组进行持续监督。通过持续监督制度评估项目组成员的职业素质和专业胜任能力，考察其是否能够顺利完成业务工作，有无违规行为或操作等，并将业务处理过程中的重大问题予以及时反馈和纠正。对于涉及公众利益的重大项目可以采用个别评估方式，管理高层要给予特别监督。同时，还要充分观察外部环境的变化，适时调整监控策略。

总之，构建会计师事务所内部控制的总体思路可以概括为：以明确战略发展目标为前提，以加强内部控制环境建设为基础，以提高风险管理水平为导向，以加大控制活动执行力度为支撑，以完善信息沟通与反馈机制和建立健全监控制度为保障。

3 结束语

尽管目前我国会计师事务所内部控制存在诸多不足，但随着行业的持续发展和政策的不断完善，相信在不久的将来，这些问题都将逐渐解决，届时我国会计师事务所内部控制能力会不断增强，市场竞争力也会不断提高。

参考文献：

[1] 刘仲黎.《加强内部治理推动做大做强》——会长在《关于推动会计师事务所做大做强的意见》暨《会计师事务所内部治理指南》发布会上的讲话[EB/OL].（2008-6-16）. http：//www.cicpa.org.cn/pub/cicpa/Column/swsnbzl/ldjh/200806/t20080616_13108.htm.

[2]COSO Internal Control-Integrated Framework[J].Accounting Research Manager，1992.

[3]陈永宏.“十二五”时期大型会计师事务所品牌创建的思路[J].中国注册会计师，2012（1）：69-70.

[4]COSO Enterprise Risk Management—Integrated Framework[J].Executive Summary，2004（9）：1-16.

[5]陈湘燕.论我国会计师事务所内部控制体系的建设[D].北京：首都经济贸易大学，2013.

[6]财政部，证监会，审计署，银监会，保监会.财会[2008]7号.关于印发企业内部控制基本规范的通知[EB/OL].（2008-5-22）. http：//www.mof.gov.cn/zhengwuxinxi/caizhengwengao/caizhengbuwengao2008/caizhengbuwengao20087/200810/t20081030_86252.html.

[7]李广君. 现代企业内部控制制度的建立与完善[J].中国市场，2013 （7）.

[作者简介] 蔡建，男，汉族，江苏公信会计师事务所有限公司董事长，中国注册会计师。