基于COSO框架的A公司內部控制評估研究

周 眙 張峰

（中國人民大學商學院 北京100872）

基于COSO框架的A公司內部控制評估研究

周 眙 張峰

（中國人民大學商學院 北京100872）

本文以COSO框架的內部控制理論為基點，對公司內部控制現狀進行了評估分析并提出了相應對策。通過實例研究，嘗試構建上市公司內部控制的評估框架體系，以期為上市公司內部控制提供參考。

COSO框架 內部控制 評估體系

一、引言

由于對內部控制的建設與執行不足，對于內部控制的評估工作目前在我國基本處于一個缺位的狀態，只有極少數規范企業有針對本企業內部控制建設和執行情況進行測試評價的評估機制。COSO報告是目前國內外最為權威的內部控制理論，其內涵與外延比以往何一個內控概念都要深刻和寬泛。根據COSO內部控制框架的定義，內部控制是受企業董事會、管理層和其他人員的影響，被設計出來為運行的效率和效果、財務報表的可靠性、法律法規的遵循性提供合理保證的流程。內部控制包括控制環境、風險評估、控制活動、信息與溝通和監督五個基本要素。本文的主要研究目標在于：基于COSO內部控制框架，通過對內部控制診斷評估方法的研究，解決內部控制診斷評估的以下問題：其一，內部控制評估要點的問題；其二，內部控制評估要點的評價內容問題；其三，內部控制評估要點的應用問題。

表1 調查問卷統計結果樣板表

表2 調查問卷統計結果表

二、研究設計及調查結果分析

（一）A公司概況 A公司的主要經營房地產開發，銷售商品房；物業管理；新技術及產品項目投資；企技術開發服務咨詢；出租辦公用房、商業用房。按深圳證券交易所《上市公司行業分類結果》屬房地產開發企業。

（二）內部制度現狀評價方法 通過發放并統計調查表、訪談、對各種文件研究，將公司各方面人員指出的風險與缺陷整理出脈絡，從中分析它們的相關性與緊要性，明確公司當前應當在哪些領域做出改進，并根據范圍選定建議主題。現狀調研方法：針對目標企業A房地產公司的具體情況，依據問題調查的評價思路組織診斷評估工作。為了比較完整記錄調查過程，保證診斷評估結果的有理有據、有據可查，保證診斷評估過程的可重復執行性和可驗證性，在診斷過程中設計一套與內部控制（控制環境、信息與溝通、監督）相配套的內部控制調查問卷。最大部分的診斷評估工作將圍繞著內部控制調查問卷進行，可以說只要把問卷的每一項按照要求填寫，就基本完成了調查取證的工作。除了調查問卷外，還進行了一些正式訪談或臨時訪談，訪談的內容也是圍繞內部控制評估要點來展開。調查對象及問卷發放回收：在整個初期的調查過程中，調查對象有基層員工、中層主管、部門經理、高層經理人、董事。針對公司中高層管理人員發放調查表33份（收回有效問卷23份），在調查過程中正式訪談32人次以及多次臨時訪談。調查問卷內容：調查問卷的問題內容主要圍繞內部控制評估要點的內容來展開，對于每個評估要點都有相應的評價內容。統計方法：分別統計董事、高級經理、部門經理和員工的調查結果，以及合并的調查結果。以下為統計樣例：

在按四類（董事、高級、部門經理、員工）口徑統計內部控制表現的基礎上，主要以合并調查結果綜合形成公司內控的現狀評價，從中得出公司在當前乃至今后的運營中應解決的問題。

（三）A房地產公司內部控制現狀評估 經過問卷調查得到如下結果：

（1）A房地產公司內部控制調查結果分析。全部董事都認為公司在誠信原則與道德價值觀、管理哲學與風格、治理結構都是做得不錯的，沒有出現問題，認為已經出現問題的有：組織與授權、信息與溝通、監督，而其中最嚴重的是信息有關的內部控制，至少有超過60%的董事認為信息的系統構建以及其他方面已經出現問題。超過40%的董事認為組織與授權未來很可能會出現問題。在高級經理類群里，認為已經出現問題的選項還是集中在：組織與授權的責權結構、信息系統的構建、信息的傳遞（超過40%的高級經理認為這些方面已經出現問題）。在部門經理類群里，認為公司內部控制已經出現不少問題，超過40%的認為信息和溝通已經出現問題，差不多30%認為組織與授權已經出現問題。在員工類群里，調查表顯示員工們地選擇是比較分散，超過30%的認為主要有誠信原則與道德價值觀的誘因不能消除、職務能力的模型構建、信息的分析與處理、持續監督的資產核查這些方面已經出現問題。從上面的調查表可以看出，超過30%認為的已經出現問題的選項有：信息的系統構建、信息的獲取與使用、組織與授權的責權結構、信息的分析與處理以及信息的傳遞。低于10%的問題有：誠信原則和道德價值觀和經營風格以及治理結構的所有評估要點；組織與授權的縱向結構；職務能力要求的模型應用；外部溝通；持續監督的信息反饋、系統組織與職能、對外部信息的使用、審計人員的能力與地位；個別評估的范圍與頻率、督察人員能力與地位。按照調查表的合并部分，主要以選A（已經出現問題）答案的比例，再加上訪談記錄來對A房地產公司的內部控制現狀做出評價。我們首先認為：超過30%選A答案的選項是公司目前急需解決的問題；低于30%大于10%是應該密切關注的問題；低于10%的選項是以后幾年需要解決的問題。然后，在訪談中我們了解到，普遍反映組織與授權和信息與溝通已經嚴重影響到公司的運營。因為責權的不明確，以致公司在項目的成本管理和進度管理中總是出現相同的問題，學習成本太高。信息系統的問題是一個全方面的問題，而在房地產行業中，對信息的把握是非常關鍵的一個環節，從初期的項目獲取到最后的市場營銷都對內部和外部信息有著很大的依賴。另外，在訪談中，絕大部分都認為誠信原則和道德價值觀、治理結構都是沒問題的，并且認為以后可能會出問題的也占很少一部分。可以看出，公司的運營環境和企業文化都是不錯的。總的來說，公司的運作環境是比較好的，只是公司的責權結構以及信息平臺的構建及使用出現了比較大問題，是我們必須立刻解決的。

（2）A房地產公司內部控制現狀評價。從上面的調查我們可以看到A公司的控制環境中的誠信原則與道德價值觀、管理哲學與經營風格、治理結構還是比較好的，但是組織與授權、職務能力要求方面卻已明顯出現問題。通過訪談，我們了解到這些問題主要是由下面幾個原因引起的：公司管理層組合來自于有近十多年的國有企業，受原來國有企業的傳統影響，對公司事物的判斷取決于長官意志，并沒有西方企業的民主思想，這也是公司內部控制不能有效執行的重要因素，也將是企業長期穩定健康發展的障礙。在A公司中，盡管至今沒有因為領導的這種長官意識而出現重大事故，但是在房地產行業，尤其在項目獲取這一項，要是經常是由某個領導說了算，遲早是會出問題并且是大問題。在A公司的管理層，施工安全是第一位的，如何確保項目進度是第二位。其管理哲學及經營風格主要體現在企業可接受風險的程度排序依次為內部控制、施工進度、施工安全，也就是說，一定的內部控制風險是可以為管理層所接受的。而在關鍵崗位的人員輪換方面，如在采購業務、財務、數據處理、資產管理等崗位都不可能實現。人員的配備也不有利于內部控制的實施。在對待財務報告的態度方面，管理層對數據處理和會計職能的態度以及對財務報告可靠性和安全性的關心程度也是有限的。而對財務報告的態度包括對會計處理方法、會計原則的運用、財務信息的披露和會計記錄的重視程度也不能達到公司內部控制標準。A公司是在組織結構設置的基礎上，設立授權的方式，明確各部門或各崗位及其人員的權力和所承擔的責任。在公司里，組織結構是公司內部控制任務的承擔部門，崗位是部門控制任務落實的最小單位，權限是各部門和崗位執行控制任務的條件，責任是部門、崗位和人員執行控制任務的基本保證。在A公司，總公司與子公司的權責分派存在一定的缺陷，總公司現在還是比較集權的，從而子公司即項目公司的運營在一定程度上總會出現這樣或那樣的問題，就算有問題也不能及時得到解決，使得成本大大增加。在各部門之間也出現權責不分明、權責分派不恰當的問題，如采購材料一直是由采購部門全權負責，但是材料采購標準是必須由設計部門來做的，要不就會出現材料采購回來用不上的現象。另外，A公司的內部控制的實施的核心力量仍然是公司的管理層、關鍵的職能部門及關鍵控制崗位的員工。沒有外部支持，內部控制中的關鍵點就顯得尤為重要，如何在如此少的人員的情況下，既要保證正常的生產，又要保證內部控制制度的有效運行，對公司管理層來說，是個極大的挑戰，也是體現公司管理水平的重要標志。A公司目前還沒有建立一個比較系統的信息系統，每個信息板塊都是獨立的，這不但會有很高的學習成本，還嚴重危害了公司的靈活運轉。在A公司，采購信息、成本信息、進度信息、市場信息都是由不同的部門來分開處理的，由于信息不能及時的傳遞，造成的重復成本是難以估量的。財務信息也是獨立的，除了提供信息披露，并沒有對公司的提高經營效率提供應有的作用。所以，在A公司信息系統的構建是內部控制當前必須解決的問題。在A公司，信息溝通的方式為自上而下的模式，員工很難將自己對公司的想法或是建議向上有效地反映，同樣，對在工作中發現的控制缺陷，也很難把握溝通尺度，不能確定反映的問題是否會觸犯管理層的利益。在A公司，缺乏有效的溝通機制也是制約內部控制的重要障礙。因為員工不能將自己的想法和意識與他人（包括上級領導）進行有效的交流和溝通，勢必會影響員工的工作積極性和創新能力，對其在工作發現的問題和隱患，也就沒有有效的解決途徑，對內部控制制度來說，存在著極大的風險。比如在每年的年度工作計劃制定工作，員工自身無法參與到來年工作計劃的制定過程中，只能是領導怎么安排，自己怎么去實行，而不是個互動的過程，不是上下級雙方共同探討明年的工作計劃，對員工來說缺乏挑戰性和成就感。在A公司，由于管理層只關心項目的進度，對項目建設期間的各部門內部控制自查的工作沒有足夠的重視，導致各部門按照各自對內部控制制度的理解來開展工作，是否存在內部控制方面的漏洞，沒有合適的標準來衡量，也沒有人來對照檢查執行情況。另外，在A公司，內部審計機構的功能并沒有得到真正的發揮，現在的內部審計只是對財務報告的審計，缺少對各類經營活動例如項目獲取等的風險評估做出應有的審計，公司無形之中的經營風險并沒有得到有效的控制。而要防范公司經營或是項目建設期間的內部控制風險，就必須要有來自上面及外部的監督，沒有監督，就很難保證內部控制制度被正確有效地執行。

（四）A房地產公司內控改進建議 我們僅對A房地產公司目前急需解決的問題即超過30%認為已經出現問題的選項做出分析和提出改進建議.目前急需解決的問題有：信息的系統構建、信息的獲取與使用、組織與授權的責權結構、信息的分析與處理以及信息的傳遞。（1）信息與溝通。在信息的系統構建這個選項，超過80%的董事和50%的經理（包括高級經理和部門經理）認為已經出現問題，由此可以看信息的系統構建已經是個嚴重問題。在我們的訪談中了解到，現有的信息系統根本不能滿足公司現有業務的發展，因為信息的不暢通已經造成巨大損失，信息系統的構建和完善已經是刻不容緩的事。在公司的信息系統構建時確保信息系統設計的適用性，當前公司首先需建立市場信息系統、采購信息系統、成本管理信息系統、進度管理信息系統。在這些信息系統的構建中，應該有高層的參與，各相關部門也要參與設計，對相關人員進行必要的培訓。在信心的獲取及使用這個選項中，超過60%的董事和42%的經理認為已經出現問題，我們在訪談中了解到：現有的信息需求識別和獲取能力不足以支持將來產品策劃、采購、項目營銷等許多環節；公司也缺乏專門的職能對實現業務、財務目標的信息需求進行識別；財務對賬正常進行，但由于人員精力受限，在業務活動中監控不足。信息的獲取及使用已經影響到正常開展業務的效率，解決此問題也是當務之急。在信息的分析與處理選項中，超過60%的董事和17%的經理認為已經出現問題，另外，超過30%的員工也認為已經出現問題。在訪談中了解到：因為公司的決策權相對收得較緊，所以流向高管的信息缺乏充分的分析和篩選；系統和信息源的缺陷，使信息處理的結果難為戰略決策、實際業務、風險管理服務信息；分析的職能不夠專業，有時只是上級的要求才著手一些分析工作，缺乏對目標和效果的要求。而房地產業是一個對信息質量和信息速度依賴很強的行業，從項目獲取、建筑安裝到最后產品營銷都必須對公司內外的信息有比較全面的掌握。在信息的傳遞選項中，超過60%的董事和33%的經理認為已經出現問題，在訪談中我們了解到：對報告的流轉沒有足夠細致的時間規定，所以審批經常會有拖沓；公司缺乏信息傳遞的平臺，不同項目之間出現許多重復犯錯，重復學習的現象；信息傳遞不夠正式，許多只是通過管理層的口頭指示，以致出現問題無法追究責任。總的來說，主要還是缺少一個信息傳遞的平臺，所以本公司的信息既不能及時傳遞，也沒達到充分利用信息的效果。對于信息的傳遞給出如下建議：關于信息的傳遞，我們需要做好的主要有兩點：一是做好信息傳遞流程的規定，二是能保證傳遞流程的實行。在信息的傳遞改進時，需要對全體信息需求進行的分析歸類來設置相應的流程，對信息傳送途徑的兩個端點涉及的所有部門、傳送時間、傳送信息的類型和性質進行明確設置。從調查中可以看出，信息系統是A公司整個內部控制中最薄弱的環節，也是必須立刻要解決的問題，我們建議公司成立專門的信息系統部門，由公司高層牽頭，多部門參與。（2）組織與授權的責權結構。在組織與授權的責權結構選項中，超過60%的董事和33%的經理認為已經出現問題，在訪談中我們了解到：相對于制度規定的權責設置，實際執行過程中的權力顯著向公司高級管理層更集中，員工雖被要求承擔諸如成本、進度等方面的責任，但實際缺乏與之配套的權力。而這也造成制度規定的績效考核制度難以實行，即實際上的無責。在公司運營過程中，已經出現過因權責不對等而無法進行獎勵和懲罰的事，合理的責權結構也是目前提高員工士氣所必需的。對于組織與授權的責權結構我們給出如下建議：責權結構主要建立各層次、各部門在權力和責任方面的分工及相互關系。在本公司要做到有合理的責權結構就必須做到以下幾點：部門經理和公司職員的責任和權限被清晰的定義；所有員工的權力和責任是對等的，只有職責沒有職權或權限太小，職責承擔人的積極性、主動性都會受到約束，只有職權而沒有相應責任必將導致權力濫用和“瞎指揮”；員工應該具備與其權責相匹配的經驗和能力；建立基于員工權責的績效考核制度，并能切實實行。另外，在梳理公司的權、責、利體系，使三者協調匹配的同時，公司也應給予員工成長的空間，對于非道德層面的錯誤，應允許員工犯錯。

三、結語

本文研究發現：其一，內部控制評估要點的問題。通過對國內外內部控制不同理論和實踐的比較，我們確定了以COSO內部控制框架作為內部控制評價標準，并且通過在A房地產公司的驗證中取得了初步的成功。應該說是基本解決了該問題，但是該標準距離作為行業或所有企業的通用標準還有待進一步完善；其二，內部控制評估要點的應用問題。針對目前存在的內部控制評價和應用脫節的問題，通過對A房地產公司內部進行診斷評估，并針對評估的結果提出了完善內部控制的建議。通過研究目標與研究結果的對比，雖然說在有些方面還不能說是完美，但也取得了一定的成果。本課題最大的突破在于具有一個比較系統化的內部控制評估體系是對內部控制診斷評估的一個比較全面的解決方案，具有比較強的可操作性和系統性。內部控制診斷評估是一個新興的課題，無論在理論研究和實踐應用中，都還有很多有待完善的地方。本文的評價結果還在一定程度上依賴于評價人員的主觀判斷，內部控制的固有缺陷也影響到待我們診斷評估結果，對于這一點需要對內部控制診斷評估進行更加深入的研究。

［1］牛成喆：《COSO框架下的內部控制》，經濟科學出版社2005年版。

［2］《深圳證券交易所上市公司內部控制指引》（2006年）。

［3］王立勇：《杜絕內患——企業內部控制系統分析》，中國經濟出版社2004年版。

［4］李鳳鳴：《內部控制學》，北京大學出版社2002年版。

［5］李鳳鳴：《內部控制評價》，中國時代經濟出版社2002年版。

［6］〔美〕斯蒂芬著，劉霄侖主譯：《超越COSO》，中信出版社2004年版。

［7］〔美〕COSO制定發布，張宜霞譯：《企業風險管理——應用技術》，東北財經大學出版社2006年版。

［8］潘秀麗：《企業內部控制研究》，中國財政經濟出版社2005年版。

［9］COSO.1994.InternalControl-integrated Framework.

周 眙（1983-），女，天津市人，中國人民大學商學院博士研究生

張 峰（1978-），男，河南漣源人，中國人民大學商學院碩士研究生

（編輯 聶慧麗）