COSO內控最新框架及其分析

白宇

[摘 要]美國COSO委員會于2013年5月頒布了新版《內部控制—整體框架》（IC-IF，以下簡稱COSO新框架）。該框架是對1992年版內部控制框架（以下簡稱舊框架）的繼承與改進，進一步完善了企業內部控制理論。本文將對COSO新框架進行介紹，著重分析其產生背景以及所包含的內容，并將其與舊框架進行比較，并指出其發展變化。

[關鍵詞]COSO新框架；內部控制；背景；變化

10 13939/j cnki zgsc 2015 51 106

1 COSO新框架產生背景

1 1 舊框架的產生

COSO委員會（全稱：the Committee of Sponsoring Orgnization of the Tredway Commission），是美國虛假財務報告委員會下屬的發起人委員會，該組織就內部控制、企業風險管理（ERM）和舞弊防范提供領先思維和指引。COSO委員會于1992年發布《內部控制—綜合框架》，旨在幫助公司或組織制定和評價其經營、合規和財務報告目標的內部控制體系。該框架發布后，很快得到了美國聯邦儲備局、美國證券交易委員會和巴塞爾委員會等監管機構和國際組織的認可和重視，被廣泛應用于政策、規則制定及管制中，例如AICPA于1996年發布的《審計準則第78號》（SAS 78），表示全面接受COSO報告的內容，從1997年1月1日起以內部控制框架取代內部控制結構。隨后，眾多企業應用COSO 框架以更好地控制其實現預定目標過程中的活動，該框架在世界范圍內得到不斷應用，產生了廣泛的影響。

1 2 ERM框架的產生

雖然1992年的COSO框架在幫助組織制定和評價其內部控制體系方面起到了十分重要的意義，但依然存在很多缺陷，比如內部控制系統中會計與審計的色彩太重，評價內部控制有效性標準過于主觀，把企業經營和管理中一些重要職能（例如目標設定、戰略規劃、核心競爭力培育、風險評估和管理等）排斥在內部控制觸角之外，以及沒有充分認識到董事會對內部控制系統的至關重要性等（張安明，2002）。

為了解決這些遺留的問題，同時由于COSO 框架在誕生10多年后，西方發達國家爆發了安然、世通、施樂等公司財務舞弊案的會計丑聞，從而使得業界和監管當局更加注重加強企業的風險管理。比如，美國2002年頒布的《薩班斯—奧克斯利法案》（SOX法案）及其他國家或地區的類似法律法規對內部控制提出了更加嚴格的要求。SOX法案的404條款，要求公眾公司管理層對內部控制的有效性進行評價和披露，注冊會計師也要對管理層的內部控制評價報告進行審計。

在這樣的背景下，COSO 委員會結合2002年通過的《薩班斯—奧克斯利法案》（簡稱“SOX法案”），于2004年更新了 COSO 框架，發布了《 企業風險管理綜合框架》（Enterprise Risk Management-Integrated Framework，簡稱“ERM 框架”）。該框架的內容涵蓋了 IC-IF 框架的內容，提出了適用于各類組織的企業風險管理的目標、重要構成要素、原則與概念，并集中關注風險管理，為董事會與管理層識別風險、規避陷阱、把握機遇進而增加股東價值提供了清晰的指南。由于在美國上市的公司都要遵守《薩班斯—奧克斯利法案》以及內部控制的有關規定，從而促使企業以更新后的 COSO 框架為標準開展內部控制體系的建設，大大地推動了COSO內控框架在世界范圍的應用。

1 3 COSO新框架的產生

近些年來，組織的業務和經營環境發生了巨大的變化，如科學技術的巨大進步；法律法規以及各種標準的要求和復雜程度的大幅提升；對公司治理監督期望的提升；對風險以及基于風險的方法的更多關注；市場和運營全球化成為大勢所趨；企業以及組織結構的復雜性不斷提高，包括外包和戰略供應商等。其次，20世紀90年代金融衍生產品的徹底崩盤、美國長期資本管理公司（Long-Term Capital Management）事件、安然丑聞以及較近期的全球金融危機等大規模的企業治理和內部控制失敗案例的發生，反映出管理層僭越控制、利益沖突、缺乏職責分離、透明度不足或欠缺、風險管理未加統一協調、董事會監督無效等內部控制問題，都會對企業產生重大影響。此外，企業各層面對內部控制框架的能力和責任的預期越來越高，對其能防范和檢測舞弊的要求亦不斷提升。綜合這些因素，COSO在1992年框架的基礎上，針對所要實現的新目標，即反映業務和經營環境的變化、擴大經營和報告目標以及使促進內控有效性的原則清晰化，相應地更新了背景、擴展了應用和將要求進行了清晰化，從而產生了2013年新框架。

2 對COSO新框架的理解

2 1 COSO新框架的構成

COSO新框架的成果主要包括兩部分：內控—整體框架（2013年版）以及新框架實施于財務報告內部控制的方法和案例匯編。

內控—整體框架（2013年版）包括內容摘要；框架和多份附錄；評估內控系統有效性的解釋性工具應用指南。主要包括內控的核心定義，目標的分類，內控的組成要素以及內控有效性的需求。

新框架實施于財務報告內部控制的方法和案例匯編旨在幫助用戶在財務報告流程的內部控制上使用新框架，是一系列的與應用新框架中的原則相關的方法和案例。它提供了實際的方法和案例說明了五大要素和原則是如何應用到財務報告流程內部控制的設計、執行和實施階段。這些方法和案例是分別于五大要素和17條原則相對應的，并且描述了原則的不同方面是如何體現在財務報告內部控制的目標上的。主要包含以下幾部分：財務報告中如何應用內控原則的案例和方法；近20年來的營運和商業環境的變化；各種實體的案例，包括公立、私立、非營利以及政府機構。

2 2 COSO新框架的內容

2 2 1 對內控的理解

內部控制是一個過程，受企業董事會、管理層和其他員工的影響，旨在為企業運營，報告以及合規目標的實現提供合理的保證。運營目標是為了保證實體運營的有效性和效率，包括運營和財務業績目標以及保證資產免受損失目標。報告目標主要由外部財務目標、內部財務目標、外部非財務目標、內部非財務目標構成，包括保證可靠性、及時性、透明性以及其他監管機構制定的其他準則或者規定。合規目標就是要求該實體必須遵守法律法規。

2 2 2 內控有效五要素對應的17大原則

有效內控的五個要素分別是控制環境、風險評估、控制活動、信息和溝通以及監控活動。控制環境是所有其他內部控制組成要素的基礎，管理層的態度和企業組織結構更是定下了內部控制的基調；風險評估意味著分析和辨認實現目標可能發生的風險，是內部控制的前提；控制活動是旨在確保管理層的指令得以執行的政策和程序，為內部控制的核心；信息與溝通旨在取得及時、確切的信息，并進行有效的溝通，為內部控制提供條件；監控著眼于確保企業內部控制的持續有效運作，起到潤滑劑的作用。

對應控制環境的五個原則：一是企業對誠信和道德價值觀的承諾；二是董事會獨立于管理層，對內部控制的制定及其績效施以監督；三是管理層在董事會的監督下，建立目標實現過程中所涉及的組織架構、報告路徑以及適當的權利和責任；四是企業致力于吸引、發展和留任優秀人才，以配合企業目標達成；五是企業內部控制責任人的問責制度。

對應風險評估的四個原則：一是企業制定足夠清晰的目標，以便識別和評估有關目標所涉及的風險；二是企業從整個企業的角度來識別實現目標所涉及的風險，分析風險，并據此決定應如何管理這些風險；三是企業在評估影響目標實現的風險時，考慮潛在的舞弊行為；四是企業識別并評估可能會對內部控制系統產生重大影響的變更。

對應信息和溝通的三個原則：一是企業選擇并制定有助將目標實現風險降低至可接受水平的控制活動；二是企業為用以支持目標實現的技術選擇并制定一般控制政策；三是企業通過政策和程序來部署控制活動：政策用來確定所期望的目標；程序則將政策付諸于行動。

對應監控活動的兩個原則：一是企業選擇、制定并實行持續及/或單獨的評估，以判定內部控制各要素是否存在且發揮效用；二是企業及時評估內部控制缺陷，并將有關缺陷及時通報給負責整改措施的相關方，包括高級管理層和董事會。

2 2 3 內控三維“立方體”結構

立方體的列從左到右依次是運營、報告和合規目標，每個企業都會制定相關目標以及用以實現這些目標的戰略和計劃。立方體的側面，如下圖所示，則揭示了企業的目標既可以從整個企業的層面來設定，也可以針對企業內部具體的部門、業務單元和職能部門來設定（包括銷售、采購和生產等業務流程），同時也描繪出了大多數企業等級式的自上而下的組織結構。立方體的正面是內部控制的五大要素，代表立方體的行。詳見下圖。

內控三維“立方體”結構圖

立方體描述了以下三者之間的直接關系：企業目標（即企業所要力求實現的）；內部控制要素（即企業實現目標所需要的條件）；以及業務單元、法務單元以及企業內部的其他結構單元（即內部控制要素運行的各企業層面）。每個內部控制要素都跨越和適用于所有三類目標，并在企業的各個層面均適用。

3 COSO新框架的進步

COSO新框架延續舊框架的幾方面是：內控的核心定義；三種類型的目標以及內控五要素；有效內控需要五要素的共同作用以及管理層判斷在設計、實施以及進行內控過程和評估內控有效性方面的重要作用。之前已有介紹，此處不再贅述。

COSO新框架相對于舊框架進步的幾方面是：考慮到了環境的變化，即更新舊框架的原因；報告目標的擴展，提出了三個企業目標；五要素的17項原則的補充以及增加了對運營和非財務目標的案例分析，即同時發行的《新框架實施于財務報告內部控制的方法和案例匯編》一書。

4 COSO新框架的局限性

框架雖然為目標的實現提供了合理的保證，但依然存在局限性，即有效的內控系統可能也會導致內控的失效，因為內控系統并不能阻止錯誤的判斷或決定，并且外部的事件具有不可控性，都可能造成內控的失效。因而只能提供合理的保證，而非絕對的保證。具體講，局限性包括以下幾方面：作為內部控制先決條件所制定的目標質量及其合適性；人們在決策過程中的潛在判斷缺陷；管理層在應對風險和建立控制時對成本和收益的考量；因人為原因（錯誤或失誤）而導致的可能的內控失效；控制可能會因兩人或多人相互勾結而被規避以及管理層繞過內部控制職能及相關決定的能力。

參考文獻：

[1]美國COSO制定發布 企業風險管理：整合框架[M].方紅星等，譯 大連：東北財經大學出版社，2005

[2]劉立峰 美國內部控制實證研究綜述[J].經濟研究導刊，2013（2）

[3]儲稀梁 COSO內部控制整體框架：背景、內容、理論貢獻與啟示[J].金融會計，2004（6）：14-16

[4]陳漢文，吳益兵，等 薩班斯法案404條款：后續進展[J].會計研究，2005（2）：82-86

[5]李寧 內部控制整體框架理論的突破及其啟示[J].金融與經濟，2006（5）

[6]盧衛衛 走近COSO（三）——如何評估風險 深交所，2005（10）：50-54

[7]鄧春華 企業內部控制：現狀及發展建議[J].審計研究，2005（3）：72-75

[8]劉靜，李竹梅 內部控制環境的探討[J].會計研究，2005（2）：73-75

[9]金彧昉，李若山，徐明磊 COSO報告下的內部控制新發展——從中航油事件看企業風險管理[J].會計研究，2005（2）

[10]林斌，舒偉，李萬福 COSO框架的新發展及其述評——基于IC-IF征求意見稿的討論[J].會計研究，2012（11）

[11]李享 美國內部控制實證研究：回顧與啟示[J].審計研究，2009（1）

[12]劉霄侖 風險控制理論的再思考：基于對COSO內部控制理念的分析[J].會計研究，2010（3）

[13]施敏 COSO企業風險管理框架在我國保險企業中的應用研究[D].北京：對外經貿大學，2007

[14]李群 SOX法案和COSO框架下集團公司內部控制的研究[D].北京：對外經貿大學，2007

孫櫻僡：20世紀80年代后的國際貿易與社會聯盟分析