基于COSO新框架的國有企業內部控制探討

楊瑞

【摘要】隨著經濟的全球化發展，信息化、網絡化使企業的運營環境和商業模式發生了巨大變化，從而推動了美國COSO內部控制新框架的發布。本文從美國2013內部控制新框架中得到啟示，以探討增強國有企業內部控制的新思路、新舉措，從而確保國有資產保值增值，促進企業持續、健康、穩定地發展。

【關鍵詞】COSO內部控制框架內控體系

一、COSO新框架的發布

隨著經濟的全球化發展，信息化、網絡化使企業的運營環境和商業模式發生了巨大變化，ERP、電子商務和網絡財務得以推廣。面臨復雜多變的國內國際大環境，企業在管理上越來越注重風險管理和公司治理問題，相應地對內部控制的要求也越來越高，COSO（美國反虛假財務報告委員會下屬的發起組織委員會）委員會20世紀90年代發布的內控框架已不能滿足當今企業經營管理決策的需要。為此，COSO委員會在2010年啟動了對1992版《內部控制——整合框架》的修訂工作，并于2013年5月14日正式發布了《內部控制——整體框架》及其配套指南，主要包括《執行性綱要》《框架與附錄》《評估內部控制系統有效性的說明性工具》《外部財務報告的內部控制：方法與案例匯總》4個文件。新框架在體系構成上沿用傳統的立方體框架形式，在內容上除了考慮各種環境的變化，依然繼承了舊框架中內部控制的基本概念及核心內容，并在此基礎上結合內部控制五大要素，歸納、提煉出內控體系建設的基本原則、要素和工具。新版框架不但是對舊框架的升級提高，而且還融入了新的觀念和思想，值得在內部控制建設和完善過程中學習和借鑒。

二、COSO新框架的優點

（一）注重原則導向，評價標準更加清晰

COSO委員會將1992年版本框架中已有的原則加以細化和提煉，在新框架中歸納出了17項基本原則和82個重點關注要素，17項原則分別與5個要素相關聯，其中：和控制環境相關的有5項，和風險評估相關的有4項，和控制活動相關的有3項，和信息與溝通相關的有3項，和監控活動相關的有2項。每一項原則都由多個關注點所支持，這些關注點代表著原則的相關特點。各個要素和各項原則組合起來就構成了內部控制的準則，而各個關注點則為管理層提供指引，協助其評估內部控制的各個要素是否存在并發揮效用，是否在企業內控整個過程中共同運作。新的內部控制框架中，從目標到要素再到原則以及關注點，層層關聯、相互協作，共同構成了內部控制系統框架。新版內控框架的這些原則和重要關注點與內部控制五大要素的有機結合，形成了內部控制的評價準則，使評價的標準更加清晰，從而有益于企業在內部控制實施中采用更加有力的內控措施，增強內部控制的效果。

（二）擴大了報告目標的范疇

舊版框架中的報告僅僅局限于對外財務報告，在內控目標設定過程中關注的是財務報告目標，主要目的在于確保編制出公開披露、可靠性強的財務報告，卻忽視了內部報告和非財務報告。新框架則不同，它強調內部報告和非財務報告的重要性，從報告對象和報告內容這兩個維度上進行擴展，使報告目標的范疇有所擴大。在報告對象上，既要面向外部投資者、債權人和監管部門，確保報告符合有關外部要求，又要面向內部董事會和經理層，滿足企業經營管理決策的需要。在報告內容上，除了包括傳統的財務報告，還涵蓋了內控評價報告、資產使用報告、市場調查報告等非財務報告。如此看來，新框架不但將財務報告以外的其他外部報告，而且將財務和非財務報告在內的內部報告，統統都納入報告范圍，突出了非財務報告和內部報告的重要性。新框架對報告范疇的擴展與我國企業內控規范體系中對報告的有關規定基本相同。

（三）增加了反欺詐與反腐敗的內容

與舊版框架相比，新框架包含了更多的關于反欺詐與反腐敗的內容，并且把管理層評估欺詐風險作為內部控制的17項總體原則之一，進行詳細闡述。這充分說明近年來發生的案例中與欺詐和腐敗相關的事件越來越多，欺詐腐敗風險已受到COSO委員會的高度重視，這與我國企業內部控制規范體系中的反腐思想是統一的。看來建立有效的內部控制對于企業尤其是國有企業管理者的權力約束具有重要作用，能夠達到防微杜漸的效果。

（四）強調了人員自身判斷的作用

相對于舊版框架，新框架強調了人員自身的“判斷力”在內部控制中的重要作用，要求董事會、管理層和內審人員擁有“判斷力”，認為在內控建設和評價過程中，更多地依賴于管理層的自身判斷，而不是像以往那樣要求嚴格，需要有證據的支持。如果管理層具有良好的“判斷力”，就能使內部控制有效實施，幫助企業更好地經營管理。新版框架還突出了實質重于形式的思想，表現在內控建設過程中應注重與控制效率結合起來，管理層可以通過判斷，將那些失效、冗余乃至完全無效的控制去除，建立適合企業自身特點的內部控制系統，而且可以通過建立評價機制對企業內部控制予以評價，同時管理層可以根據評價結果尋求提高內控效率的途徑，提升控制的效率和效果。由此可見，建立和維護切實有效的內部控制系統，離不開高層領導良好的判斷力。

三、 我國企業內部控制的現狀

隨著我國科技進步以及信息化進程的加快，內部控制問題越來越受到重視。繼2008年6月28日《企業內部控制基本規范》頒布后，2010年4月26日，財政部、證監會、審計署、銀監會和保監會共同發布了《企業內部控制配套指引》。《配套指引》與《基本規范》共同構成了我國內部控制規范體系。該體系的內容比較完整，但主要以原則規范為導向，是針對企業一般性的業務和重點環節制定了原則性的要求，沒有能體現行業特點的具體業務。因此，我國目前的內控體系在內部控制執行方面提供了應用指導，這對于體制完善、管理成熟的企業作用較大，但對于其他企業來說缺乏系統性，還沒有形成一個能夠滿足多方面需求的系統框架。

我們既要看到我國企業近年來在內部控制方面的進步，又要清醒地認識到存在的缺點和不足。如今我國大部分企業已建立了內部控制制度，內部控制體系建設取得一定成果，但由于人們對內部控制、公司治理等方面的認識還不夠，尤其是在國有企業中，還存在風險意識淡薄，內控基礎薄弱的問題。有的國企領導者受計劃經濟影響較深，認為企業的資產是國有的，在企業經營管理過程中過度依賴于政府部門的扶持，缺乏企業經營的風險意識，這就影響企業內部控制體系的建立和執行效果。在實際操作過程中，一些企業沒有強調控制的執行效果，使內部控制往往形同虛設，沒有得到有效實施，這就造成內控制度建設與執行的脫節。還有的企業在制度設定方面沒有全方位考慮行業特點及企業自身情況，使得建立的內控框架與企業發展模式不相適應。endprint