COSO内控最新框架及其分析

2015-05-30白宇

中国市场 2015年51期

白宇

[摘要]美国COSO委员会于2013年5月颁布了新版《内部控制—整体框架》（IC-IF，以下简称COSO新框架）。该框架是对1992年版内部控制框架（以下简称旧框架）的继承与改进，进一步完善了企业内部控制理论。本文将对COSO新框架进行介绍，着重分析其产生背景以及所包含的内容，并将其与旧框架进行比较，并指出其发展变化。

[关键词]COSO新框架；内部控制；背景；变化

10 13939/j cnki zgsc 2015 51 106

1 COSO新框架产生背景

1 1 旧框架的产生

COSO委员会（全称：the Committee of Sponsoring Orgnization of the Tredway Commission），是美国虚假财务报告委员会下属的发起人委员会，该组织就内部控制、企业风险管理（ERM）和舞弊防范提供领先思维和指引。COSO委员会于1992年发布《内部控制—综合框架》，旨在帮助公司或组织制定和评价其经营、合规和财务报告目标的内部控制体系。该框架发布后，很快得到了美国联邦储备局、美国证券交易委员会和巴塞尔委员会等监管机构和国际组织的认可和重视，被广泛应用于政策、规则制定及管制中，例如AICPA于1996年发布的《审计准则第78号》（SAS 78），表示全面接受COSO报告的内容，从1997年1月1日起以内部控制框架取代内部控制结构。随后，众多企业应用COSO 框架以更好地控制其实现预定目标过程中的活动，该框架在世界范围内得到不断应用，产生了广泛的影响。

1 2 ERM框架的产生

虽然1992年的COSO框架在帮助组织制定和评价其内部控制体系方面起到了十分重要的意义，但依然存在很多缺陷，比如内部控制系统中会计与审计的色彩太重，评价内部控制有效性标准过于主观，把企业经营和管理中一些重要职能（例如目标设定、战略规划、核心竞争力培育、风险评估和管理等）排斥在内部控制触角之外，以及没有充分认识到董事会对内部控制系统的至关重要性等（张安明，2002）。

为了解决这些遗留的问题，同时由于COSO 框架在诞生10多年后，西方发达国家爆发了安然、世通、施乐等公司财务舞弊案的会计丑闻，从而使得业界和监管当局更加注重加强企业的风险管理。比如，美国2002年颁布的《萨班斯—奥克斯利法案》（SOX法案）及其他国家或地区的类似法律法规对内部控制提出了更加严格的要求。SOX法案的404条款，要求公众公司管理层对内部控制的有效性进行评价和披露，注册会计师也要对管理层的内部控制评价报告进行审计。

在这样的背景下，COSO 委员会结合2002年通过的《萨班斯—奥克斯利法案》（简称“SOX法案”），于2004年更新了 COSO 框架，发布了《企业风险管理综合框架》（Enterprise Risk Management-Integrated Framework，简称“ERM 框架”）。该框架的内容涵盖了 IC-IF 框架的内容，提出了适用于各类组织的企业风险管理的目标、重要构成要素、原则与概念，并集中关注风险管理，为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。由于在美国上市的公司都要遵守《萨班斯—奥克斯利法案》以及内部控制的有关规定，从而促使企业以更新后的 COSO 框架为标准开展内部控制体系的建设，大大地推动了COSO内控框架在世界范围的应用。

1 3 COSO新框架的产生

近些年来，组织的业务和经营环境发生了巨大的变化，如科学技术的巨大进步；法律法规以及各种标准的要求和复杂程度的大幅提升；对公司治理监督期望的提升；对风险以及基于风险的方法的更多关注；市场和运营全球化成为大势所趋；企业以及组织结构的复杂性不断提高，包括外包和战略供应商等。其次，20世纪90年代金融衍生产品的彻底崩盘、美国长期资本管理公司（Long-Term Capital Management）事件、安然丑闻以及较近期的全球金融危机等大规模的企业治理和内部控制失败案例的发生，反映出管理层僭越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理未加统一协调、董事会监督无效等内部控制问题，都会对企业产生重大影响。此外，企业各层面对内部控制框架的能力和责任的预期越来越高，对其能防范和检测舞弊的要求亦不断提升。综合这些因素，COSO在1992年框架的基础上，针对所要实现的新目标，即反映业务和经营环境的变化、扩大经营和报告目标以及使促进内控有效性的原则清晰化，相应地更新了背景、扩展了应用和将要求进行了清晰化，从而产生了2013年新框架。

2 对COSO新框架的理解

2 1 COSO新框架的构成

COSO新框架的成果主要包括两部分：内控—整体框架（2013年版）以及新框架实施于财务报告内部控制的方法和案例汇编。

内控—整体框架（2013年版）包括内容摘要；框架和多份附录；评估内控系统有效性的解释性工具应用指南。主要包括内控的核心定义，目标的分类，内控的组成要素以及内控有效性的需求。

新框架实施于财务报告内部控制的方法和案例汇编旨在帮助用户在财务报告流程的内部控制上使用新框架，是一系列的与应用新框架中的原则相关的方法和案例。它提供了实际的方法和案例说明了五大要素和原则是如何应用到财务报告流程内部控制的设计、执行和实施阶段。这些方法和案例是分别于五大要素和17条原则相对应的，并且描述了原则的不同方面是如何体现在财务报告内部控制的目标上的。主要包含以下几部分：财务报告中如何应用内控原则的案例和方法；近20年来的营运和商业环境的变化；各种实体的案例，包括公立、私立、非营利以及政府机构。

2 2 COSO新框架的内容

2 2 1 对内控的理解

内部控制是一个过程，受企业董事会、管理层和其他员工的影响，旨在为企业运营，报告以及合规目标的实现提供合理的保证。运营目标是为了保证实体运营的有效性和效率，包括运营和财务业绩目标以及保证资产免受损失目标。报告目标主要由外部财务目标、内部财务目标、外部非财务目标、内部非财务目标构成，包括保证可靠性、及时性、透明性以及其他监管机构制定的其他准则或者规定。合规目标就是要求该实体必须遵守法律法规。

2 2 2 内控有效五要素对应的17大原则

有效内控的五个要素分别是控制环境、风险评估、控制活动、信息和沟通以及监控活动。控制环境是所有其他内部控制组成要素的基础，管理层的态度和企业组织结构更是定下了内部控制的基调；风险评估意味着分析和辨认实现目标可能发生的风险，是内部控制的前提；控制活动是旨在确保管理层的指令得以执行的政策和程序，为内部控制的核心；信息与沟通旨在取得及时、确切的信息，并进行有效的沟通，为内部控制提供条件；监控着眼于确保企业内部控制的持续有效运作，起到润滑剂的作用。

对应控制环境的五个原则：一是企业对诚信和道德价值观的承诺；二是董事会独立于管理层，对内部控制的制定及其绩效施以监督；三是管理层在董事会的监督下，建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任；四是企业致力于吸引、发展和留任优秀人才，以配合企业目标达成；五是企业内部控制责任人的问责制度。

对应风险评估的四个原则：一是企业制定足够清晰的目标，以便识别和评估有关目标所涉及的风险；二是企业从整个企业的角度来识别实现目标所涉及的风险，分析风险，并据此决定应如何管理这些风险；三是企业在评估影响目标实现的风险时，考虑潜在的舞弊行为；四是企业识别并评估可能会对内部控制系统产生重大影响的变更。

对应信息和沟通的三个原则：一是企业选择并制定有助将目标实现风险降低至可接受水平的控制活动；二是企业为用以支持目标实现的技术选择并制定一般控制政策；三是企业通过政策和程序来部署控制活动：政策用来确定所期望的目标；程序则将政策付诸于行动。

对应监控活动的两个原则：一是企业选择、制定并实行持续及/或单独的评估，以判定内部控制各要素是否存在且发挥效用；二是企业及时评估内部控制缺陷，并将有关缺陷及时通报给负责整改措施的相关方，包括高级管理层和董事会。

2 2 3 内控三维“立方体”结构

立方体的列从左到右依次是运营、报告和合规目标，每个企业都会制定相关目标以及用以实现这些目标的战略和计划。立方体的侧面，如下图所示，则揭示了企业的目标既可以从整个企业的层面来设定，也可以针对企业内部具体的部门、业务单元和职能部门来设定（包括销售、采购和生产等业务流程），同时也描绘出了大多数企业等级式的自上而下的组织结构。立方体的正面是内部控制的五大要素，代表立方体的行。详见下图。

内控三维“立方体”结构图

立方体描述了以下三者之间的直接关系：企业目标（即企业所要力求实现的）；内部控制要素（即企业实现目标所需要的条件）；以及业务单元、法务单元以及企业内部的其他结构单元（即内部控制要素运行的各企业层面）。每个内部控制要素都跨越和适用于所有三类目标，并在企业的各个层面均适用。

3 COSO新框架的进步

COSO新框架延续旧框架的几方面是：内控的核心定义；三种类型的目标以及内控五要素；有效内控需要五要素的共同作用以及管理层判断在设计、实施以及进行内控过程和评估内控有效性方面的重要作用。之前已有介绍，此处不再赘述。

COSO新框架相对于旧框架进步的几方面是：考虑到了环境的变化，即更新旧框架的原因；报告目标的扩展，提出了三个企业目标；五要素的17项原则的补充以及增加了对运营和非财务目标的案例分析，即同时发行的《新框架实施于财务报告内部控制的方法和案例汇编》一书。

4 COSO新框架的局限性

框架虽然为目标的实现提供了合理的保证，但依然存在局限性，即有效的内控系统可能也会导致内控的失效，因为内控系统并不能阻止错误的判断或决定，并且外部的事件具有不可控性，都可能造成内控的失效。因而只能提供合理的保证，而非绝对的保证。具体讲，局限性包括以下几方面：作为内部控制先决条件所制定的目标质量及其合适性；人们在决策过程中的潜在判断缺陷；管理層在应对风险和建立控制时对成本和收益的考量；因人为原因（错误或失误）而导致的可能的内控失效；控制可能会因两人或多人相互勾结而被规避以及管理层绕过内部控制职能及相关决定的能力。

参考文献：

[1]美国COSO制定发布企业风险管理：整合框架[M].方红星等，译大连：东北财经大学出版社，2005

[2]刘立峰美国内部控制实证研究综述[J].经济研究导刊，2013（2）

[3]储稀梁 COSO内部控制整体框架：背景、内容、理论贡献与启示[J].金融会计，2004（6）：14-16

[4]陈汉文，吴益兵，等萨班斯法案404条款：后续进展[J].会计研究，2005（2）：82-86

[5]李宁内部控制整体框架理论的突破及其启示[J].金融与经济，2006（5）

[6]卢卫卫走近COSO（三）——如何评估风险深交所，2005（10）：50-54

[7]邓春华企业内部控制：现状及发展建议[J].审计研究，2005（3）：72-75

[8]刘静，李竹梅内部控制环境的探讨[J].会计研究，2005（2）：73-75

[9]金彧昉，李若山，徐明磊 COSO报告下的内部控制新发展——从中航油事件看企业风险管理[J].会计研究，2005（2）

[10]林斌，舒伟，李万福 COSO框架的新发展及其述评——基于IC-IF征求意见稿的讨论[J].会计研究，2012（11）

[11]李享美国内部控制实证研究：回顾与启示[J].审计研究，2009（1）