COSO內部控制框架的變化解析與啟示：從形式到內容

闞京華 周友梅

【摘 要】 隨著經濟和科技創新的發展，企業所處的商業和經營環境發生了巨大改變。與此同時，利益相關者更加致力于尋找透明、權責分明和完整有效的內部控制體系，以此來幫助其作出正確的商業決策并進行有效的公司治理。2013年5月14日，COSO委員會正式發布了更新版的《內部控制——整體框架》和相關說明性文件。文章對更新版的內部控制框架的變化，從形式上到內容上作了較為細致、深入的闡述，并借助COSO內部控制框架更新對我國內部控制規范體系的完善提出了建議。

【關鍵詞】 COSO報告； 報告目標； 內部控制要素； 內部控制原則

中圖分類號：F233 文獻標識碼：A 文章編號：1004-5937（2015）04-0055-07

一、引言

美國COSO委員會成立于1985年，由美國注冊會計師協會（AICPA）、美國會計學會（AAA）、內部審計師協會（IIA）、管理會計師協會（IMA）和財務經理協會（FEI）五家私立的部門機構聯合組成，致力于研究和發展內部控制、企業風險管理和防范舞弊三個方面的概念框架和指引，從而為企業高級管理層、董事會成員、其他公司人員、立法者和監管者、專業機構和教育機構等提供思想領導力，提高組織機構的經營管理和監督的能力，降低差錯和舞弊的程度，實現企業的可持續發展。

1992年，COSO發布《內部控制——整體框架》（Internal Control-Integrated Framework，IC-IF），該報告由內容摘要、框架、向外部各方報告和評價工具四部分組成，對內部控制進行了定義，闡述了內部控制的三個目標和五個構成要素，為各方管理層和相關利益者提供評估控制體系的標準。這一框架成為內部控制領域的綱領性文件，在內部控制方面為企業的經營管理層提供了指導和參考，一直沿用至今。

隨后，COSO委員會先后在2006年發布《財務報告內部控制——較小型公眾公司指南》（Internal Control over Financial Reporting-Guidance for Smaller Public Companies）和2009年發布《內部控制體系監督指南》（Guidance on Monitoring Internal Control Systems），進一步發展和延伸了COSO報告，補充和完善了內部控制的理論體系。

隨著經濟的發展，企業所處的商業和經營環境發生了巨大改變，科技創新使環境更加復雜化、全球化。與此同時，權益相關者更加致力于尋找透明的、權責分明的和完整有效的內部控制體系，以此來幫助其作出正確的商業決策并進行有效的公司治理。正是商業和經營環境的改變促使COSO委員會對1992版的COSO報告進行更新，2010年，COSO委員會啟動了IC-IF的更新項目，為了讓最新的COSO報告成為全球各類企業廣泛接受并采納的內部控制框架，COSO委員會對COSO報告的更新進行了詳細的程序規劃。這次報告更新歷時3年多，如圖1所示，2010年COSO對利益相關者進行評估和調查；2011年設計和建立《內部控制——整體框架》的新版本；2012年將新版本對公眾公布，獲取評價信息并進行改進；2013年5月14日，COSO正式發布更新之后的《內部控制——整體框架》和相關說明性文件（Updated Internal Control-Integrated Framework and Related Illustrative Documents）。

COSO委員會希望《內部控制——整體框架》的使用者們能夠盡快地從1992版報告向2013版的報告進行轉換和過渡。COSO委員會在過渡期內將繼續保持1992年版報告的可行性，直到2014年12月15日，這之后，COSO委員會將采用2013年新版的內部控制框架。過渡期內任何涉及外部報告的整合框架的應用，應該清晰披露是初始版本還是更新版本。

二、2013版COSO內部控制框架形式上的變化

（一）新COSO框架體系構成部分的變化

1992版COSO框架體系包括四個部分組成：一是框架內容摘要（Executive Summary）；二是框架內容 （Framework）；三是向外部各方報告（Reporting to External Parties）；四是向外部各方報告的附錄（Addendum to “Reporting to External Parties”）。

2013版COSO內控框架體系共包括四部分內容，分別簡述如下：

一是框架內容摘要（Executive Summary），對新框架進行高度總結，包括內部控制的定義、目標、原則、內部控制的有效性和局限性等，使用對象為首席執行官和其他高級管理層、董事會成員和監管者。

二是框架內容和附錄（Fram-

ework and Appendices），包括內部控制的組成部分及相關的原則和關注點，并為各級管理層在設計、實施內部控制和評估其有效性方面提供了指導。附錄包括詞匯表、對于小型企業的特殊考慮、與1992版的變化總結和框架的非重要性附加參考。

三是評估內部控制系統有效性的解釋性工具（Illustrative Tools for Assessing Effectiveness of a System of Internal Control），為管理層在應用框架特別是評估內部控制有效性方面提供了模板和行動方案。

四是外部財務報告內部控制：方案和示例摘要（Internal Control over External Financial Reporting：A Compendium of Approaches and Examples of a System of Internal Control），為在準備外部財務報告過程中應用框架的要素和原則提供了實際的方案和示例。ICEFR Compendium 在2014年12月15日取代COSO委員會2006年發布的《財務報告內部控制——較小型公眾公司指南》，新框架吸收了2009年發布的《內部控制體系監督指南》（Guidance on Monitoring Internal Control Systems）的內容，所以該文檔仍然有效，可以作為管理的參考性文件。

（二）新框架內容的篇章布局變化

原框架內容（Framework）使用一章闡述內部控制的定義、內部控制要素、要素與目標之間的關系、內部控制有效性四項內容。在修訂版中這些主題被包含在三章中：第一章，內部控制的定義，用來定義內部控制；第二章，目標、要素和原則，用來討論內部控制要素，目標、要素和原則之間的關系；第三章，有效內部控制，主要涉及有效內部控制的要求。進一步地，第四章，額外的考慮，討論管理當局的判斷、關注點、內部控制的成本與收益、變化著的技術角色、文檔、內部控制在較大和較小企業中的應用。

（三）內部控制框架立方圖的變化

兩個版本的內部控制框架的形式差異在圖2中可以很直觀地體現出來。相較于1992版的框架，2013版的新框架的變化主要體現在三個方面：

1.強調點上的更新

1992版的框架主要強調組織目標與內部控制要素之間的關系，而新框架則強調目標、要素與主體各個層次之間的關系。具體地，新框架將第三維度上的“單元”和“活動”改為了“實體”、“分部”、“運營單位”和“職能”。

2.目標與要素表述上的更新

新框架將“財務報告”目標改為了“報告”目標，明顯地拓寬了目標的范圍；將“監控”要素改為了“監控活動”，顯得更加具體。

3.要素位置上的更新

將控制環境等內部控制要素的排列順序由“從下到上”改為“從上到下”，使其更符合邏輯。

三、2013版COSO內部控制框架內容上的變化

（一）2013版內容變化的總體描述

2013版的COSO報告延續了1992版中內部控制的核心概念、三大目標、五大要素；五大要素的每一個要素都必須存在且發揮作用這一評價有效內部控制系統的要求從根本上沒有變化；繼續強調管理層判斷在內部控制的設計、實施、運行以及有效性評估中的重要性。COSO委員會想將原版框架中的這些核心優勢仍保留在新版框架中，并能更加強化、明晰，以利于新版框架更易于使用和應用。

同時，新版框架和相關解釋性文件也從三個方面作出了一些根本性的變化：（1）通過明確表達內部控制原則（Internal Control Principle）來進一步明晰有效內部控制的要求；（2）通過反映商業、運營環境的眾多變化更新了應用內部控制的環境背景；（3）通過擴展運營、報告目標擴大框架的應用。2013版與1992版COSO報告內容上的總體對比見表1。

（二）2013版內部控制框架內容上的具體更新與變化

1.將五大要素下的基礎概念明確地闡釋為原則

更新后的內部控制框架采用了以原則為導向的方式。雖然1992年的版本含蓄地反映了內部控制的核心原則，但2013版明確清晰地提煉了17項基本原則，代表與五大要素相聯系的基本概念。支持每一項原則的是關注點（Points of Focus），代表與這些原則相關的重要特征（Important Characteristics），框架提煉了82個關注點。這些關注點幫助使用者更好地定位具體的原則，進而定位內部控制要素。每一關注點在17項原則中都有一一對應的原則，并且每一原則在五大要素里也有一一對應的某項要素（見表2）。五大要素和17項原則應用廣泛，適用于所有的實體，而關注點并不一定與所有實體都相關，實體可以根據自身情況考慮其他的關注點。關注點提供合理的指導給管理層，協助管理層進行內控制度的設計、實施和執行，以及評價相關原則是否真實存在并發揮應有的作用。

所有要素和原則的組合構成了內部控制標準，幫助管理者對企業內部控制的有效性進行評估。內部控制有效的標準是：一個有效的體系應當為組織目標的實現提供合理保證。一個有效的內部控制體系將影響組織目標實現的風險降低到可接受的水平，無論這些風險與一個、兩個或三個類別的目標相關。一個有效的內部控制體系要求：（1）五個要素及相關的原則都存在且發揮作用；（2）五個控制要素共同運行，發揮整合的作用。

2.拓寬了運營和報告兩大目標的范圍

從外部財務報告目標拓寬為報告目標，從而囊括了非財務的外部報告及財務和非財務的內部報告。這相應地使得COSO框架實施的范圍得以拓展，并強調了內控對于運營的重要性。

（1）外部的財務報告目標

企業需要實現外部財務報告目標來履行義務。可靠的財務報告是進入資本市場的先決條件，對簽訂合同、與供應商談判十分重要。投資者、分析師和債權人通常依賴一個實體的財務報告來評估該企業在同業中的表現，并據此作出自己的投資決策。這一財務報告在原框架中就被包括在目標之中。

（2）外部的非財務報告目標

管理層可能會報告一些外部的非財務信息以符合規章、標準或框架的要求，包括內部控制和運營過程報告。例如，在管理層以ISO為標準進行質量管理的地方，企業很可能對其運營狀況進行報告，并讓獨立的審計師對其相關標準的遵守情況進行檢查并出具報告。

（3）內部的財務和非財務目標

可靠的內部報告能給管理層提供管理企業所需的重要信息。它支持著管理層的決策制定和績效評估。內部報告目標由企業的偏好、判斷和管理風格決定。由于不同的戰略方向、運行計劃和期望，不同企業的內部報告目標是不同的。

新框架報告目標與內容拓展情況見表3。四大報告目標之間的關系見圖3。

3.考慮到了商業和運營環境的變化

自1992年框架發布以來，商業和運營環境發生了巨大的變化，變得日益復雜化、科技化和全球化。與此同時，利益相關者要求支持商業決策、企業治理的內控系統變得更加透明和可靠。這些環境變化驅動了COSO框架的更新，也促使新COSO框架在內容上反映了商業、運營環境的變化。

（1）強化董事會治理的觀念

考慮到1992年的時候董事會各專業委員會還不成熟、而當前許多委員會在治理中發揮著重大作用這一改變，新框架擴展討論了關于董事會和及其下屬委員會，如審計委員會、薪酬委員會、提名/治理委員會的治理問題。其中控制環境要素的原則2（董事會與管理層相分離并對內控進行有效監督）特別強調了董事會對內控的監督責任。

（2）考慮了市場和運營的全球化

為了追求價值，企業走出國內市場，進入國際市場，進行縱橫購并。更新框架討論了管理運營模式、法律實體結構和內部控制在實體層面、分部層面相關角色、責任和受托責任的變化。除此之外，也考慮了和并購相關的內部、外部風險因素的識別和分析。

（3）考慮了商業模式和組織結構的變化

在過去的二十年中，商業模式和組織結構發生了很大的變革，現在許多實體擴展了它們的商業模式，包括了為組織持續運營提供產品或服務的外包服務提供者。全球化、工業和技術進步、變革商業模式、成本管理、人才競爭等因素使得管理層必須依賴內部以外的力量獲得所需資源。更新框架詳細地討論了擴展的商業模型，包括了在擴展的商業模式中的內控責任和如何實現有效的內部控制。

（4）考慮了法律、法規、規則、標準的要求更加復雜嚴密

監管當局、標準制定者通過法律、法規、規則、標準的變化提高對利益相關者的保護和他們對外部報告的信心。新框架確認了監管者和標準制定者在確定內部控制目標、提供評估內部控制缺陷的嚴重程度、報告內部控制缺陷中的角色和地位。

（5）對勝任能力和責任的期望

隨著組織變得更加復雜，重組、引入新產品和服務、運行新的程序和技術，對更高勝任能力和責任的要求增加。組織可能變得扁平化，轉化管理模式，委派更大的授權和責任。更新框架擴展了這些話題的討論。

（6）反映了逐步發展的技術的應用和依賴

1992年以來，使用和依賴信息技術的企業迅速增長，信息技術在大多數實體中的應用越來越廣泛。20年前，使用者只能通過大型獨立主機處理批量交易，進行數據處理。如今，高度復雜精密的可移動設備和發達的網絡系統，能夠實現數據的多功能及時反饋和數據共享，可以分散職權，取代之前很多的系統、職能部門和程序。信息技術的改變將直接影響內部控制五大要素如何實施。因此，新版的報告特別重視內部控制對信息技術的相關性和依賴性。

（7）預防、偵查舞弊的期望增強

1992版COSO報告雖然提到反舞弊的問題，但是當時認為舞弊和內部控制的關系沒有那么顯著，所以對反舞弊問題沒有引起足夠的關注和重視。2013版COSO報告對舞弊問題進行更多的論述并將“考慮舞弊的可能性”作為內部控制17項基本原則之一，加強反舞弊的理念。

四、2013版COSO內部控制要素的關鍵變化

（一）控制環境要素的關鍵變化

1.將對誠信和道德價值觀念、勝任能力的重視、董事會和審計委員會、管理層的理念與經營風格、組織結構、職權與責任的分配、人力資源政策與實務的討論融合進五項原則中。

2.解釋了內部控制各要素之間的連接，闡明了控制環境是一個健全內部控制系統的基礎。

3.擴展討論了一個組織中治理層的角色，確認了不同的地區、業務模塊和不同實體之間在結構、要求和挑戰方面的差異。

4.明晰了對誠信和道德價值觀念的期望，以反映得到的教訓和道德、合規方面的發展（如行為守則、鑒證程序、吹哨者程序、調查和解決，在內部和第三方的培訓與強化）。

5.擴展了風險監控的概念，強化了風險和績效之間的關系，有利于分配資源支持企業目標實現過程中的內部控制。

6.強調需要結合不同商業模式、外包服務提供者、商業伙伴和其他外部合作方帶來的組織結構的復雜化，來考慮內部控制。

7.在組織結構中討論的角色和責任要和附錄B（角色和責任）所陳述的一致，以便角色在整個框架內是一致的。

（二）風險評估

1.目標設定仍然是風險評估的前提，但將目標設定的大部分討論移在了第二章“目標、要素和原則”中，風險評估要素中不再包括目標種類、目標之間的連接和目標的取得。

2.在風險評估要素中，新框架重點關注如何充分明晰地表達運營目標、報告目標、合規目標，以便和這些目標相關的任何風險能被識別、評估，也重點考慮評估這些目標作為評估內部控制有效性的基礎的適當性。

3.擴大財務報告目標類別，包括其他方面的外部報告和內部報告。反映外部非財務報告是滿足一些外部的規章、標準或要求。

4.明晰了風險評估包括風險識別、風險分析、風險應對。

5.擴展討論了風險的嚴重性，除了包括風險影響和風險可能性以外，還包括風險發生的頻率和持續性。

6.在可接受風險水平評估中，考慮風險容忍度。將風險容忍度作為內部控制及所屬的可接受的績效和目標重要性變動水平的前提條件。

7.擴展討論了管理當局需要了解企業內部和外部因素的變化，以及這些變化對內部控制系統的影響。

8.在風險評估過程中考慮與財務報告重大錯報、資產非安全性、腐敗相關的舞弊風險，將其作為風險評估的組成部分。

（三）控制活動

1.擴展了對技術變革的討論（如取代數據中心概念，更多討論技術基礎設施）。

2.擴展討論了自動化控制活動與一般性技術控制之間的關系，強化與商業過程連接；對自動化控制活動和一般性技術控制給予更多的關注，闡明了兩者之間的區別。

3.拓展討論了控制活動包括一系列的控制技術，同時給出了具體的描述和分類的方法。給出了交易層次控制和組織的其他層面控制之間的區別，對信息處理目標給出了更詳細的討論。

4.更新討論了一般性技術控制，主要集中討論了在這一領域（而不是1992版的應用領域）需要被控制的更加通用的概念。

5.闡明了控制活動是政策和程序建立的行動，而不是政策和程序本身。

（四）信息與溝通

信息與溝通的三個原則明確了要從內外部兩大渠道獲得信息，主要涉及以下變化：

1.強調討論了信息質量對內部控制的重要性。

2.拓展討論了當信息用來支持對外部各方的報告目標時，核實信息來源及保留信息的期望。

3.拓展討論了監管要求對信息可靠性及信息保護的影響。

4.擴展討論了信息的數量和來源，以便闡明增加的商業復雜性、與外部各方增加的交互性，以及技術的發展。

5.反映了技術和其他溝通機制對信息流通的速度、手段方法和質量的影響。

6.增加了實體與第三方之間信息與溝通的需求的內容，強調了考慮流程如何在實體之外（Outside The Entity）進行的重要性（如通過利用第三方服務提供者管理特定的流程），強調了考慮一個實體如何從實體的法律和經營邊界之外的第三方處獲得信息，以及如何進行溝通的重要性。

（五）監控活動

1.提煉了兩個術語，明確了監控活動的兩大類別：“持續評估（Ongoing Evaluation）”和“單獨評估（Separate Evaluation）”。

2.增加了對建立和評價持續和獨立評估的基本理解的需要。

3.擴展討論了在監控活動中對技術和外部服務提供者的利用。

五、美國COSO內部控制框架更新的啟示

雖然我國通過發布內部控制基本規范和三個內部控制配套指引，已經基本建立起了具有中國特色的內部控制規范體系，但其在現階段仍然存在著許多問題。因此，應加強與COSO委員會的溝通，盡快進行新框架的翻譯和研究工作，借鑒美國COSO報告更新的程序和方法，有選擇地借鑒新框架內容，不斷完善符合我國實際的內控規范體系，增強我國內部控制規范體系的科學性、實用性。

（一）COSO報告的更新持續時間長、程序完善、廣泛征詢公眾意見

COSO2013版《內部控制——整體框架》的更新歷時3年多，從2010年COSO委員會對權益相關者進行評估和調查，到2011年設計和建立《內部控制——整體框架》的新版本，再到2012年將新版本對公眾公布，獲取評價信息并進行改進，最后到2013年5月14日COSO《內部控制——整體框架》（更新）正式發布，COSO報告的更新一步步按照計劃和程序有秩序地進行。在這3年中，COSO委員會根據報告更新的進程，在COSO官網上不斷更新和發布相關進展的新聞、擬修訂版本、征詢公眾意見的公告、對公眾問題的解答等一系列文件，使用者可以及時了解COSO報告更新的最新動態并參與其中，體現了更新程序的完善。

為了獲取廣泛的公眾意見，使得新版的COSO報告更加符合使用者的需要，COSO委員會在更新COSO報告時多次通過官網平臺向各界機構組織和專家教授征集意見和建議。詢問內容廣泛，包括內部控制有效性規定是否陳述清晰，各要素的角色和作用，基本原理和重要關注點是否闡述清楚，內部控制框架是否為各類企業提供合理的有效的管理等。公共意見搜集范圍廣，在報告更新前的評估調查期，就收到了來自代表不同實體和機構的750名利益相關者的反饋意見；在《內部控制——整體框架》（框架）征求意見期有21 000人次下載了征求意見稿，COSO收到了100份在線問卷調查和97份書面評論；在ICEFR Compendium征求意見期有6 500人次下載了征求意見稿，COSO收到了23份在線問卷調查和26份書面評論，召開了17次咨詢委員會會議。意見搜集持續時間長，次數多，方式多樣，參與人數多，保障了公眾意見的廣泛性和可參考性，為COSO報告的更新修訂提供合理可靠的參考依據。征詢公眾意見階段統計表見表4。

我國在制定內部控制規范或指引時應該借鑒COSO委員會更新報告的程序，制訂計劃并依照實施，及時發布最新消息，廣泛吸取公眾意見，使內部控制規范和指引符合企業需要，更具適用性和可行性。

（二）更新的COSO報告突出原則導向，可操作性強

更新后的COSO報告為使用者提供了建立、評估和完善內部控制體系的要素、原則和評價工具，突出原則導向（Principles-based Approach），即在原有的五大要素的基礎上提出了17項基本原則，在此基礎上又進一步提煉出82個代表相關原則的主要特征的重要關注點，使得對內部控制系統的評價更加有據可循。報告中提到很多案例，增強了使用者對內部控制系統建設的理解，可操作性強。新版COSO報告在更新過程中廣泛征集公眾意見，也使得最終的報告更加符合使用者的需要，更加實用和有效。由此，新COSO報告具有普遍適用性，可以應用于企業、政府部門、非營利組織和其他機構。

我國在實施內部控制時可以參照17項基本原則及其屬性特征對內部控制是否有效進行評估，在修訂和更新內部控制規范時注重將概念、要素等具體化、明晰化，通過解釋、細化、列舉案例等方式，讓使用者更容易理解和操作，進而促進企業內部控制體系的不斷完善和發展。

（三）COSO報告的更新為我國完善內部控制體系提供新的思想領導力

COSO委員會在更新內部控制框架體系時的一些先進的理念與思想，值得借鑒，主要體現在：

1.強調董事會、監事會、審計委員會和提名委員會等類似機構的治理職能，提高治理層的相對獨立性，為內部控制提供良好的控制環境。

2.努力使內部控制體系與復雜多變的經營環境相適應，隨商業模式和組織結構的變化不斷更新，保持內部控制的可持續發展。

3.合理利用科學技術進行內部控制活動、信息溝通和監督活動，獲取高質量信息，用于決策管理。

4.內部控制的目標擴展延伸為內部報告和外部報告，包括財務報告和非財務報告。重視外部環境變化對內部控制的影響，關注外部當事人、供應商等其他合作伙伴的活動對企業本身內部控制的影響。

COSO報告的更新為我國企業內部控制的建設提供思想領導力和參考依據，我國應借鑒其原則和其他更新的內容，并學習COSO報告完善的更新程序及其體現的嚴謹風格，結合我國國情，不斷完善和發展我國內部控制體系，促進企業的可持續發展。

【參考文獻】

[1] Internal Control-Integrated Framework[S].2013.

[2] Internal Control-Integrated Framework[S].1992.

[3] Committee of Sponsoring Organizations of the Treadway Committee.Internal Control-Integrated Framework：Framework and Appendices[S].2013.

[4] Committee of Sponsoring Organizations of the Treadway Committee.Internal Control-Integrated Framework：Illustrative Tools for Assessing Effectiveness of a System of Internal Control[S].2013.

[5] Committee of Sponsoring Organizations of the Treadway Committee.Internal Control-Integrated Framework ：Internal Control over External Financial Reporting：A Compendium of Approaches and Examples of a System of Internal Control[S].2013.

[6] 王怡心.COSO的演變分析——以五大要素為主[J].中國內部審計，2013（9）：26-30.

[7] 董秀琴.COSO內部控制框架最新進展及評價[J].財會通訊，2013（3）：95-96.

[8] 王瑞龍，張浩.COSO內控框架的最新發展及啟示[J].會計之友，2014（8）：52-55.