王瑞龙+张浩

【摘 要】 2013年5月14日美国虚假财务报告委员会下属的发起人委员会正式发表了最新版本的《内部控制——整合框架》。文章从《内部控制——整合框架》的发展历程出发，简述了其更新的背景，详细分析了新框架的重要变化：该框架顺应了近年来企业运营和业务环境的变化，重新调整了框架结构，突出了原则导向，拓展了报告目标。提出了完善我国内控体系的具体建议。

【关键词】 COSO； 内部控制； 整合框架； 更新； 启示

中图分类号：F275 文献标识码：A 文章编号：1004-5937（2014）08-0052-04

一、导言

2013年5月14日美国虚假财务报告委员会（Treadway）下属的发起人委员会（COSO）正式发表了最新版本的 《内部控制——整合框架》（Internal Control-Integrated Framework），简称COSO IC-IF。一起发布的还有《评估内部控制系统和对外财务报告内部控制（ICEFR）有效性的说明性工具——方法和范例汇编》，以帮助用户评估其内部控制系统是否符合新版框架的要求。COSO同时设定了为期一年半的过渡期（2013年5月14日至2014年12月15日），要求用户在过渡期内应当尽快地转换自己的应用流程和相关文件，以适应更新版框架。之后，COSO将考虑用2013年的框架取而代之，在原框架下的《中小企业财务报告内部控制指南》也将按新版本修订。这是1992年《内部控制——整合框架》发布以来COSO对IC-IF框架的首次整体更新。2013年COSO IC-IF框架更新的目的是什么？有哪些重要的更新？对中国内部控制体系的发展有什么借鉴之处？基于这些问题，本文尝试对新COSO内部控制框架进行解读。

二、COSO IC-IF的发展历程

内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段。在西方，对于内部控制的研究由来已久，也付出了巨大的代价。1992年美国COSO委员会组织研究推出了第一份企业内部控制框架报告《内部控制——整合框架》，提出了由“三个目标”和“五个要素”组成的内部控制框架。20世纪末一系列跨国公司破产丑闻促使西方社会对企业制度作出反思，意识到公司治理制度存在的缺陷，是导致公司舞弊的根本原因。安然事件后，美国于2002年通过《萨班斯—奥克斯利法案》（Sarbanes-Oxley Act），其第404条规定：要求上市公司每年对财务报表内部控制的有效性进行评估和报告。

IC-IF（1992）发布之后COSO对其做过多次补充和扩展：1994年对IC-IF进行了修订，提出了“保障资产”的内部控制的概念；2004年针对新出台的《萨班斯—奥克斯利法案》的相关要求，在1992年框架的基础上进行了扩展，发布了《企业风险管理——整合框架》（Enterprise Risk Management-Integrated Framework，简称COSO-ERM），企业风险管理框架涵盖了内部控制（IC-IF），引入风险组合观，拓展和细化了内部控制，形成了一个更全面、更强有力的关注风险的概念，构建了一个更全面的企业管理工具；2006年COSO发布了《中小企业财务报告内部控制指南》（Internal Control over Financial Reporting-guidance for Small Public Companies），针对中小企业财务报告内部控制产生的特有问题，指导规模较小的企业，按成本—效益原则，实现其财务报告目标。2009年COSO发布了《内部控制系统监控指南》（Guidance on Monitoring Internal Control Systems），在实质上构建了一个有效监控模型，为保障企业内部控制的有效性和决策信息的可靠性提供可操作性的手段。

内部控制的演化引起了国际的广泛关注，COSO IC-IF（1992）得到许多国家借鉴。2008年我国以1992年的《内部控制——整合框架》和2004年的《企业风险管理——整合框架》为基础，结合我国国情颁布了《企业内部控制基本规范》。

三、COSO IC-IF（2013）更新的背景

按COSO的说法，2013年框架是在充分考虑了近年来企业业务和运营环境的变化基础上作出的一次升级。

近二十年来企业的运营越来越融入到全球化市场中；商业模式和组织结构发生了深刻的变化，OEM、ODM等业务外包已成为常态，企业内部价值链向外部延伸，企业的外部依赖促使管理层转变传统的内部经营思维，一个组织应该包括内外部经营活动的概念几乎被所有公司接受（林斌等，2012）；信息技术的进步促进了组织治理模式的改变，如今，通信网络和关系数据库的广泛应用已使集中单一的应用环境演化为分布式、扁平化、移动、实时的应用环境，COSO认为这些技术能够影响内部控制的要素；与此同时，相关的法律、法规、规章和准则的要求日益复杂。利益相关者要求更多地参与治理过程，并且寻求更有效和更可靠的内控体系来支撑组织的治理，以期更有效地预防和探测欺诈舞弊行为，维护自身的利益。正是在这样的背景推动下COSO于2010年启动了对IC-IF的修订步伐。

四、COSO IC-IF（2013）的重要变化

从IC-IF框架发展历史来看，每一次的补充和扩展都进一步增加了框架的可操作性和广泛性，但内控的核心定义都没有改变。这次2013版框架也沿袭了这一脉络，新框架依然围绕三个内控目标和五个内控要素展开。五要素仍贯穿于内部控制的设计、实施、引导及其有效性评估之中。那么相对于1992年的旧框架，2013年新框架有哪些变化呢？

（一）调整了框架结构

COSO内控框架可用COSO立方体来形象描述，新旧框架对比如图1所示，明显地，新框架吸收了2004年《企业风险管理——整合框架》的成果，将内控要素顺序重新调整，“控制环境”要素放在了最顶层，依次而下分别是“风险评估”、“控制活动”、“信息和沟通”、“监控活动”要素。这种排列方式和《企业风险管理——整合框架》中的一样，在逻辑上强化了五要素之间的顺承关系。“控制环境”作为内控体系的外围和背景，提供了实施控制活动和履行控制职责的氛围，支撑着整个内部控制框架。在此环境内，管理层首先要评估实现目标的风险，以确定合理的风险管理策略，再通过“控制活动”确保主体降低风险的措施顺利实施。同时，与此相关的信息被获取并在组织内部有效传递，而这整个过程都应得到监控；将目标维度中的“财务报告”改为了“报告”，这使目标范围得以扩大；在组织维度上，将原框架中的“单位”（Unit）与“业务活动”（Activities）细化为“主体”（Entity）、“分支机构”（Division）、“业务单位”（Operating Unit）、“职能”（Function）。endprint

（二）增强了内控要素的可操作性

新框架中最具新意的变化就是明确提出了内控17项原则。这17项原则脱胎于1992年框架中的内控五要素。1992年框架把每个内控要素细化为若干要点加以讨论，新框架在继承这些要点基本概念和核心内容的基础上进行新增、修改和删除，提炼出原则（Principles）并确立下来，同时还详细描述了与这些原则相关的81项重要特征和关注要点（Points of Focus）。原则的确立使得框架更加简洁明了，便于使用者从整体上把握；新框架注重原则性的规定，也使其不容易被规避；同时，可以培育出一种以职业判断取代机械套用规则的氛围，以避免陷入只注重形式而忽视本质，为内控而内控的窘境。

更为重要的是，17项原则的确立，使组织内控体系的评价有了较为清晰的准则依据。旧框架中虽然也对内控五要素做了较为深入的探讨，但具体要如何做，却未给出清晰的答案。而此次提出的17条原则都是相对清晰的指引，如果把旧框架看作一个粗线条模型的话，那么新框架就为企业内控提供了相对清晰的路线图，其可操作性得到了增强。17项原则的具体内容如表1。

从表1中我们看到，与“控制环境”要素相关的原则涵盖了企业文化、治理结构、机构设置及权责分配、人力资源政策等几方面的行为准则；与“风险评估”要素相关的原则帮助主体识别、分析与实现目标相关的风险，以确定风险应对策略；与“控制活动”要素有关的原则确保组织降低风险，其中原则11特别强调了技术控制活动的重要性；与“信息和沟通”要素相关的原则则指引主体及时、准确地获取内控相关的信息，并确保信息在主体内部及主体之间有效传递；与“监控活动”要素相关的原则着重强调监控活动要达到的目的，以及发现内控缺陷后处理方式。总之，新框架突出了原则导向，增强了内控要素的可操作性。

值得一提的是，为了增加原则普适性，COSO IF-IC（2013）用“组织”代替企业、非营利机构、政府部门等实体。

（三）强化了公司治理的理念

与1992年框架相比，新框架更多地提及了董事会及其专业委员会的治理职能。20年前，即使在西方，董事会下设专业委员会也还是新生事物。随着企业业务和运营环境日益复杂，对公司治理提出了更高的要求。审计委员会、薪酬委员会、提名与治理委员会等大部分由独立董事组成的专业委员会开始在公司治理过程中发挥重要作用。健全的公司治理是内部控制有效性的最大保证，必然地，董事会及其专业委员会的治理职能应当考虑。与此同时，资本市场机构化使得公司投资者逐渐由个人变成诸如保险公司、套利基金、投资银行等金融机构。机构投资者的兴起增加了改善公司治理的专业努力。它们对治理的认识更专业，它们期望内控能够发挥更大的作用。考虑到这些变化，新框架原则第2条明确强调了董事会的独立性要求，以及董事会对内控体系的监督职能，强化了公司治理理念。

（四）增加了舞弊的风险评估的内容

新框架第8条原则重点强调了对舞弊的风险的评估。这部分的内容来自对21世纪初一系列上市公司造假舞弊丑闻的经验教训的总结与提炼，从2001到2002年两年间，接连发生安然、世通、环球电讯等破产案，导致美国政府加快通过了《萨班斯法案》。COSO认为：舞弊的风险因其存在主观故意性、隐蔽性、串谋性、危害严重性等特征，而区别于一般风险。因此，在新框架中提出应在风险评估阶段，对舞弊的风险进行考量。

（五）拓展了报告目标

与1992年框架相比，新框架将“财务报告”目标拓展为“报告”目标，扩大了报告的内涵。报告目标的拓展弥补了财务信息的不足，增加了报告的决策有用性。报告目标涵盖了内/外部财务报告和内/外部非财务报告，这就要求报告目标不仅要为管理层提供决策的信息，还要满足外部监管并帮助利益相关者作出投资决策，如提供内部控制报告、供应链管理报告、可持续发展报告、人力资源报告、资产使用报告、客户调查报告、主要风险报告、董事会报告等，报告目标的拓展弥补了内部控制目标体系因受到公共会计师影响而造成的重视财务信息忽视其他信息的不足。

五、启示与借鉴

总体来看，2013年新框架并没有改变旧框架的关于内控的基本概念和核心定义，而是顺应了全球化背景下企业运营及业务环境的变化，呼应了利益相关者对企业治理的不断增长的需求，对旧框架的某些要素和目标进行了更新和拓展。

“他山之石，可以攻玉”。COSO IC-IF的新变化，为我国内控建设提供了良好的借鉴平台，为进一步完善我国的内控体系竖起了一个可供学习的“标杆”。

（一）对《企业内部控制基本规范》的基本评价

我国2008年颁布的《企业内部控制基本规范》是以COSO框架为蓝本，同时吸收了COSO-ERM风险管理的理念，结合我国国情进行创新，形成了以原则（基本规范）为主、规则（应用指引）为辅的内控体系。在设计之初就站在了较高的起点上。从这次COSO框架修订的内容来看，从企业管理延伸到企业治理、内控要素的整合、舞弊风险评估等更新都与我国《企业内部控制基本规范》相吻合，这说明了我国内控体系在设计上的前瞻性，是符合国际发展潮流的。今后，我们应继续关注COSO的新变化，紧跟COSO等国际标准的新动向，及时充实、完善现有的内控体系，实现与国际的同步发展。

（二）进一步完善我国内控体系的建议

1.着手推动财务报告向整合报告转变

目前，我国《企业内部控制基本规范》中的“报告”目标仍着重于“财务报告及相关信息真实完整”。这是由我国现阶段资本市场不完善，内控规范体系的实施刚刚起步的国情所决定的，但从国际上来看，自2004 年COSO发布《企业风险管理——整合框架》以来，整合报告能增强决策有用性、促进企业可持续性发展等优势越来越被看重，整合报告替代财务报告已成为趋势。为适应国际标准的新变化，我国应尽早修订这方面的标准与法规。endprint

2.从内外多个层面来减少舞弊的风险

新框架的第8条原则强化了识别舞弊风险的论述，而我国部分企业缺乏针对舞弊风险的事前防范及事后处置能力，大量的职务犯罪已对中国企业造成较大损失。我们可以从多个层面来减少舞弊的空间。首先，要制定合理的战略目标，以减少管理层舞弊的压力；同时大力倡导企业文化建设，提高董事会和管理层的职责操守及道德规范水平，从源头上减少舞弊的动机；另外，还必须加强对企业内控的外部法律约束。我国《企业内部控制基本规范》要求企业董事会定期委托会计师事务所对本企业内部控制设计与运行的有效性进行审计。企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。但证券法、公司法、审计法、会计法等相关法律却没有相关条款，也没有关于内部控制的明确规定。因此，在法律层面上，还有许多工作要做。

3.增强内部审计独立性

COSO认为“内部审计是内部控制有效性的必要条件”，2002年证监会和经贸委联合颁布的《上市公司治理准则》中规定“上市公司可按股东大会的有关决议设立审计委员会”。2003年审计署颁布的《关于内部审计工作规定》中认为“设立内部审计机构的单位可以根据需要设立审计委员会”。2003年以来，中国内部审计师协会先后颁布了《内部审计基本准则》、《内部审计人员职业道德规范》和24个内部审计准则以及两个实务指南，但目前的现状是许多上市企业都没有设立审计委员会，内部审计部门直接面对管理层，因而缺乏独立性；有的即使设立了，也由于实施细则不完善，往往流于形式。企业无论在具体业务层面还是在公司层面，有效监督欠缺仍是比较普遍的现象。没有内部审计的独立性，内部控制无从谈起。由此我们呼吁要尽快完善相应的法律制度，将审计委员会制度由企业自愿选择变为强制和必须，同时，进一步细化审计委员会制度的实施细则，减少模糊空间，增加可操作性。另一方面，要进一步完善独立董事制度，充分发挥独立董事的监督职能。

4.加强在技术环境下内部控制的研究

信息技术可以帮助组织提高资源的整合协调能力，但同时要对信息技术的固有风险进行评估。COSO IC-IF（2013）第11项原则强调“组织应针对其技术特点选择和开发一般控制流程，以支持组织目标实现”。技术风险有其自身的特点，比如：信息化下数据处理和输出环节全部由系统自动执行，全部责任高度集中于信息系统。这种特点使系统数据和信息处理资料面临被不留痕迹非法浏览、篡改、损毁的巨大风险（吕易，2010）。中国企业对包括信息系统在内的技术相关风险的应对尚缺乏经验，导致较多由于技术风险而对企业业务运行产生重大影响的案例，比如著名的“三鹿奶粉事件”从风险管理的角度来说就是由糟糕的技术风险管理导致的一次致命灾难。如何加强技术开发过程中的风险控制，如何加强对处于运行状态的技术系统进行监控及风险预警/处置，是我国企业面临的重大课题。

【主要参考文献】

[1] COSO. Leading Risk Management and Internal Control Professional Robert Hirth Named New Chairman of COSO.http：//www.coso.org，2013.

[2] 林斌，舒伟，李万福. COSO 框架的新发展及其评述：基于IC-IF征求意见稿的讨论[J].会计研究，2012（11）：64-95.

[3] COSO.内部控制：整合框架 [M].方红星，译.大连：东北财经大学出版社，2008：15.

[4] 中国内部审计师协会.内部审计理论与实务 [M].北京：中国石化出版社，2006：2.

[5] 吕易. 浅谈信息技术下的内部控制[J]. 信息科技，2010（22）：105-106.endprint