基于新ＣＯＳＯ框架下我國企業內部控制探討

【摘 要】 本文在分析內部控制的含義和構成要素的基礎上，根據最新的內部控制研究成果——新COSO框架來分析我國企業內部控制的不足之處，并提出了具體的完善措施。

【關鍵詞】 內部控制； COSO框架； 內部控制要素

我國企業在內部控制建設方面做得不科學、執行不力，其中存在很多問題亟需改善。比如像中國農業銀行邯鄲分行的盜取金庫巨款買彩票、中國農行出現800億壞賬和中航油違規參與石油衍生品交易以致破產的教訓不得不使我們重視我國企業內部控制的有效性。而國際上，尤其是美國在經歷了安然、世通事件后，對于內部控制相關法律法規體系的建設較為嚴格和完善，可行性高。比如《薩-奧法案》和COSO框架的出臺，值得國家在建立有關法規和企業內部建立相關制度時參照學習。本文擬借鑒新COSO的研究成果對中國企業內控存在的問題進行研究，以期幫助我國企業完善其內部控制，減少經營風險。

一、基于風險管理的內部控制框架

2004年，最新的COSO報告《內部控制——風險管理》將內部控制定義為：由一個企業的董事長，管理層和其他人員實現的過程，旨在為下列目標提供合理的保證：一是財務報告的可靠性；二是經營的效果和效率；三是符合適用的法律和法規；四是戰略目標的達成。其中把內部控制要素擴展為：內部環境、目標設定、事項識別、風險評估、風險反映、控制活動、信息與溝通、監督八個要素。內部環境是風險管理的外圍和背景，是其他要素的基礎，企業的內控環境要和其環境相適應，包括風險管理文化和風險偏好、誠信和企業文化、管理層、董事會等等。目標設定是風險管理的邏輯起點，無目標也就無所謂風險，風險的種類和程度大小決定于企業目標，要防范風險必須從企業目標分析入手，事項識別是對影響目標實現的因素和因素中暗含風險的分析。包括：經濟因素、自然因素、社會因素、政治因素、技術因素等等。風險評估是對風險發生的可能性以及影響進行評估，對于發生可能性大而且影響大的風險實施重點管理，同時考慮各類風險的固有風險和剩余風險。風險反應是在風險評估的基礎上，選擇各類風險的應對措施。控制活動是風險管理的主干，是指風險反應落實的各項政策和程序，包括針對每種業務活動建立起來的清晰的授權體制，建立各項業務流程和運作標準，明確崗位職責，實施業績評價等等。信息與溝通是風險管理的潤滑劑，只有在組織內部順暢的信息流動與順利的溝通前提下，內控運作才會到位。監督是風險管理內控體系運作的保障。

上述八個要素是一個相互聯系、綜合作用的整體，存在順承關系，互為支撐和依托。它們構成對處于變化中的環境做出動態反映的整體框架。如圖1。

二、我國企業內部控制存在的問題

內部環境中存在的問題有公司治理結構不完善，企業文化落后，沒有形成自己的獨立文化（即使有，也沒有形成良好的執行氛圍），管理層風險意識淡薄；內部控制目標設定不合理，沒有與企業風險偏好相一致，沒有設置相應的風險容忍度；風險評估不到位，對風險認識的不足；風險反應相對滯后，偏重于事后控制；控制活動被局限于會計控制，忽視了對企業管理的控制作用；信息與溝通不暢，關注的溝通主要是通過綜合、分類、記錄、報告等方式進行的會計信息系統的溝通，未把管理系統包括進來；監督不到位，依靠外部監督現象嚴重，而忽視了自我監督、內部監督；重視上級監督下級，而忽視了平級監督和下級對上級的監督，缺乏所有者監督。

三、新COSO框架下加強我國企業內部控制建設的建議

（一）完善公司內部環境

1.完善公司治理結構。確立董事會核心地位董事長和總經理的分工既是公司治理中的權力制衡問題，也是內部控制中不相容職務相分離的問題。在新COSO框架下，董事會在企業風險管理方面扮演了更加重要的角色——負責總體責任，建立內部控制框架首先要在組織機構設置和人員機構配備方面做到董事長和總經理分設，避免人員重疊。董事會要發揮作用必須具備以下條件：一是要獨立于管理層，不受其影響，任職人員應不在公司擔任除董事以外的其他職務；二是能夠有權聘用和解聘高級管理人員，而此高級管理人員并非董事會成員。

為了擺脫“大股東行政治理式控制”的問題，需要不斷深化股權分置改革，實行股權多元化和適當國有股減持，比如在二級流通股市中采取配股或者送股的方式減持國有股。為減小股價大幅動蕩，可以繼續采取現在多數上市公司使用的限售上市流通的辦法慢慢進行股權改革。而對于新上市的公司則應該要求在上市時就做到普通股全額上市。

獨立董事應該是和所有者與經營者都沒有關聯的獨立個體，必須有利于股東、董事會、總經理之間相互制衡機制的有效發揮，必須有一定監督作用，而不是為大股東服務。獨立懂事的產生不應該由大股東或者經理來任命，重點要制定專門的制度或章程來規定獨立董事的產生辦法，明確獨立董事的責任。其產生應該由中小股東、大股東以及債權人共同決定。比如：中國電信就制定了監事會議事規則，規定了獨立董事產生的適當比例，明確了董事要適時獲知敏感的信息，調查違規行為。

2.注重企業文化的培養和優化。現在很多國內企業已經注意到這個現象，明白自己的文化對公司的作用不僅僅是品牌形象，而且可以強有力地幫助公司的管理。比如四川置信，他們的管理層均不從外部招聘，而是自己從基層培養，讓他們從一開始就認同置信的精英模式和管理理念。更多的公司是提出了自己的口號，以此凸顯企業的宗旨。重視內部控制的企業文化，保持這種文化和制度，同時在現有文化基礎上發揮員工的創新性，不僅有利于科學合理地制定和執行內部控制制度，還可以彌補內部控制制度的不足，使企業的內部控制始終處于有效狀態。

我國企業的經營管理者應該注重對企業文化的培養與優化。企業在培養自身的文化時，應避免只注重內部和短期的企業文化，應保持一種健康的文化氛圍，使其與公司的戰略目標趨于一致。企業文化包括道德及行為標準以及如何在實務中溝通與強化該標準。企業文化的相對穩定性和企業內外部環境的不斷變化，使得企業文化容易出現某些方面阻礙企業目標實現的問題。所以，應根據企業內外部環境的變化，對企業文化做出及時的修正。

3.提高人員的素質。不僅僅是文化素質的提高，道德素質也很重要，尤其是高層管理人員，他們的道德素質對企業是否可以正常發展起到關鍵作用。因為企業的決策都是由高層人員做出，他們更加關心自己的利益，道德素質不高時，可能會以犧牲企業利益來保全自身利益。同時他們的風險喜好程度決定企業承擔風險的程度。只有提高各級人員的綜合素質才能讓風險審計水平走在前例，讓內部控制更加完善，才能讓員工更好地為企業服務。

4.增強管理者的風險意識。企業風險管理成功與否很大程度上依賴于管理層的風險意識。有的公司管理層比較激進，愿意承擔更高的風險以追求更高的盈利回報，但是不要一味地追求高收益而忽視風險將帶來的損失。企業管理者的經營理念應該是讓企業不斷發展，追求利益的同時減少承擔的風險，所以其風險偏好應該是適應企業長遠發展的。企業可以嘗試建立風險文化，并深入到各個管理層次，讓大家在風險文化的指導下進行自律管理，減少企業在風險中的損失。

（二）設定正確合理的目標

企業不僅要設定目標，還要評價這個目標是否符合企業發展的實際，是否符合企業風險喜好。只有知道了企業工作目標，才能識別控制環境的各個要素中哪些要素會帶來風險，這些風險對企業整體而言是不是重要的，并針對那些產生風險的對企業影響大的要素采取控制活動。因此說，目標是風險評估的起點，設立了正確的目標就是找到了企業正確的起點。同時還要為目標設置相應的風險容忍度。

（三）正確地認識和評價風險，根據風險進行內控設計

突破內部控制只是會計控制的思想束縛，建立風險管理體制，更加重視風險控制，重視以風險為導向。可以成立風險評價委員會，分析和確認內控目標實現中的不利因素；定期實施風險評價，針對發現的風險及時查明原因，采取措施。

根據企業面臨的風險進行內部控制系統設計非常重要，企業的內部控制能否發揮作用，必須考慮企業面臨的風險的性質、范圍、風險可量化程度與管理相關風險可獲得的收益的對比。即關鍵是先認識風險；然后是制定規則。也正由于企業內部控制主要是根據企業各種風險，本著控制風險的需要和目的設計制定的，企業內部控制的目標和價值才能降低組織承受的風險。針對上市公司中較為嚴重的違規擔保問題，企業自身應該建立擔保評價體系，認清什么樣的企業可以為之提供擔保，提供多少擔保，針對逾期擔保應該采取什么措施來保護企業的利益等等。

（四）風險反應要及時

企業在日常經營活動中應當遇見風險，在風險發生之前根據企業自身的風險喜好程度和企業的風險承受能力，針對前期認識和評估到的風險，采用正確的風險反應措施防患于未然并及時做出反映，能夠回避則回避風險，如果不能回避則看風險是否屬于企業可以單獨承受的，企業要決定如何接納這些風險；如果面臨的風險企業無法單獨承受，則要做出共享風險或做出減少風險損失的反映，而不是在風險來臨的時候才即時反應或者在風險造成損失后才補救，懲罰相關人員。

（五）關注管理控制活動

COSO報告中控制活動在原來控制程序的基礎上，內涵更豐富，增加了績效分析控制、信息處理控制等內容，這使控制活動的功能大大增強。內部控制中控制活動絕不僅僅是對會計系統的控制，企業管理同樣需要控制活動。而我國企業目前還遠遠沒有認識到這一點，甚至針對會計系統的控制活動，其表面化、膚淺化、流于形式的情況也非常嚴重。我國在完善企業內部控制時，應該關注控制活動的作用發揮，拓展其服務范圍，徹底打破會計控制與管理控制在內部控制中的界限，使控制活動也能為管理控制服務。

（六）信息與溝通要素的完善

我國關于內部控制中信息與溝通的認識相對比較落后。由于我國長期以來一直把內部控制局限在內部會計控制的框架里，所以所謂的信息與溝通只是會計信息的溝通。企業控制制度能否生效，一個關鍵因素在于能否正確理解內部控制中的信息與溝通，并把恰當的信息，在恰當的時間通過恰當的渠道加以傳遞，并且，由于控制活動主要負責企業內部控制的實施，因此，信息與溝通系統應該建立在控制活動周圍。必須對信息的收集和加工加以控制，以保證傳遞的信息具有恰當性。

一個企業，要想達到信息在企業內部有效、快速、準確地溝通的目標，就必須建立起有效的信息溝通渠道，并充分借助信息系統。有效的信息溝通渠道應是動態的、立體的、縱橫交錯的，而不應是平面的、靜態的、單向鏈式的結構，是基層和高層，部門與部門，內部與外部之間互動的信息的溝通。

【參考文獻】

[1] 蘇平.運用COSO控制論原理加強會計內部控制建設[J].金融縱橫，2007，（5）.

[2] The COSO Model[N]. INTERNAL AUDITOR，2005，（4）.

[3] 張宜霞.內部控制——基于企業本質的研究[M].中國財政經濟出版社.

[4] 李靜.美國COSO報告及其借鑒意義[J].財會月刊，2006，（6）.