COCO內部控制框架對商業銀行內控建設的借鑒

王雨倫

【摘要】COSO框架和加拿大COCO框架均為著名的內部控制框架.目前，商業銀行內部控制體系多采用COSO內部控制框架。本文分析比較了COSO與COCO兩大內部控制框架的不同，并提出了在商業銀行內控建設中借鑒COCO框架的幾點啟示。

【關鍵詞】內部控制框架;商業銀行;比較分析

一、加拿大COCO內部控制框架簡介

1995年10月，加拿大特許會計師協會負責的控制規范委員會（Criteria of Control Board，簡寫為COCO）發布“控制指南”（Guidance on Contr01），作為對控制進行判斷的框架。之后COCO委員會先后發布一系列指導性文件，這些文件形成一個深具特色的內部控制框架體系。COCO框架與COSO框架有一些相同之處，但是也提出了一些有特色的、先進的理念，例如確定了COCO框架的四個基本要素。并以此為基礎為“有效控制”建立了一系列標準。

二、COCO與COSO內部控制框架的比較與分析

（一）內部控制定義

COSO將內控與工作的計劃、執行和監控等管理類行為一起納入企業生產經營之中，同時，卻把戰略目標、核心競爭力和風險評估等活動放在內控體系之外，僅僅強調了“規則”，忽視了“組織治理”，更多是從會計師的角度而非管理層角度，局限了內部控制的工作范圍。而COCO內部控制框架則不同，將目標、戰略、風險與糾錯包括在“內部控制”之中，可以說，是將“內部控制”的概念拓展至“組織治理”的高度，更具管理思維，涵蓋內容更廣泛。

（二）要素

在構成的要素方面，COCO框架定義的組織控制由目的、承諾、能力、監控和學習等四個基本要素組成，這一點與COSO框架的五要素有所區別，具體分析與比較見表2。

（三）目標

COCO內控制度框架提出了3類目標：運營的效率和效果;內外部報告的可靠性;遵循法律法規和內部政策。COSO只包括對外的報告，而COCO的報告則包括對外和對內報告。COSO的合規目標只要遵守外部的法律法規，COCO要求外部法律法規和內部規章制度都要遵守，更能體現組織的管理價值與威信。因此COCO的目標體系一定程度上比COSO的更全面、完整，更多地考慮管理層的需求，更利于實現組織的經營目標。

（四）風險管理

COCO框架認為，風險不僅包括影響某個特定目標實現的已知風險，還包括兩種影響組織生存和成功的重大風險：組織未能識別和把握機會;以及組織的風險適應能力不夠。COCO框架不僅認為控制包括識別風險和降低風險，而且強調對機遇的把握，認為組織對風險和機遇的反應和適應能力對組織是至關重要的，以上內容在COSO框架是沒有涉及的。COCO還認為，有效控制的標準是讓員工獲取具有可信度的信息，這些信息能夠在風險管理中發揮作用，讓組織只保留可接受的風險，從而提高組織合理實現目標的可能性。

（五）內部控制參與者

與COSO框架相比，COCO框架更加重視員工的主觀能動性，其框架內的四個要素都是從員工的角度出發的。COCO框架還認為，控制的責任并不限于管理層或內審人員，普通員工也發揮重要的角色作用。普通員工為組織服務時，他對組織目的的理解是一種指南，他的個人能力是一種支撐。員工的承諾（Commitment）是一種內生的動力，是在很長一段時間里充分發揮員工能力的可靠保證。另外，員工有義務了解自己的工作成果，明了組織對自身的要求，從而有針對性地采取改進措施，更好地適應環境、完成工作。

三、對內控建設的啟示

（一）樹立基于組織治理的內部控制觀

COCO內部控制框架的突出特點是，對“控制”的定義區分了兩種內部控制觀，一種是“審計”，另一種是“組織治理”，告訴我們內部控制可以受到會計和審計事務所的指導，但是其真正的目的是服務治理、增加價值，這正是國際內審協會提倡的理念。商業銀行內部控制范圍的限定不應只是滿足審計和檢查的需要.而是要讓管理層和普通員工都積極參與進來。摒棄“為了控制而控制”的理念，合理運用判斷力和執行力，完善內控體系建設，解決商業銀行的實際工作問題。

（二）建立目標導向報告制度

要建立內控信息對內報告制度，可以以部門、單位為報告主體，對照崗位職責、業務流程和風險防范清單定期對本部門的風險點和控制措施執行情況進行監測分析和自我評估，向本單位管理層、監督部門等監督主體披露內部控制運行相關信息，提高信息的廣泛性、準確性和有效性，能夠實現對內部事務日常性、全方位的檢查與監督，也為審計檢查和風險評估等工作提供了參考和指引，實現信息的有效共享和利用最大化。

（三）強化全面風險管理

要把風險防控措施的概念，從“風險評估”擴大到“風險管理”，持續完善風險管理體系，拓寬風險管理內容的深度、廣度。要從全流程管理和全面風險管理的角度，將風險管理的方式、計劃、預案以及持續優化等內容統籌考慮。著眼于未來，將控制的重點放在防范未來時期內對實現組織目標可能產生重大影響的風險事件的發生和未來可能出現的機遇的把握上。

（四）重視員工價值管理

知識經濟時代的新常態下，內部控制的參與者、主導者即商業銀行員工，他們的價值日益凸顯。從個體來說，通過培訓學習、篩選競爭等多維度提高員工能力，充分開發和挖掘他們的內在價值，提高對單位的正外部性和貢獻度。從集體角度來說，培育互信的工作氛圍，讓員工間的信息流動更順暢，建立優秀的組織文化，從而打造一支具有核心凝聚力、向心力和可持續發展力的隊伍。