《COSO框架下企業內部控制體系的構建》

文/禹治

當前，隨著市場經濟的發展和企業間競爭的加劇，企業面臨的競爭壓力與風險愈加復雜。內部控制已經成為一個企業必不可少的政策和程序，也已經成為企業全體人員都要參與其中的一項控制活動。COSO框架從二十世紀九十年代發布以來被理論界和實務界廣泛認可，將內控體系的構建與COSO框架緊密結合，可以更好的達到控制效果。內部控制與風險管理聯系十分密切，基于風險導向而設計的內部控制體系從風險出發，了解、評估和評價內部控制運行有效性，順應內部控制的發展方向。因此，企業在構建內控體系時，以風險管控為導向，同時將COSO框架與體系構建相結合，可以更好地達到內控要求。

1.COSO框架內部控制核心五要素

1.1 COSO框架內部控制核心五要素。COSO委員會在1992年9月發布的《內部控制整合框架》，也就是目前廣泛運用于世界范圍內的COSO框架，該框架包括核心五要素，本文也是在這核心五要素基礎上進行的論述，在該內部控制框架的基礎上建立風險導向內部控制體系。內部控制五要素分別為控制環境、控制活動、對控制的監督、風險評估過程與財務報告相關的信息系統與溝通，該五要素是為了實現內部控制三大目標。

1.2 COSO框架核心五要素的具體內容及其重要程度。COSO框架核心五要素包括了企業內控各個方面需要注意的具體內容。比如，控制環境要素中主要涉及到公司的治理職能和管理職能等；控制活動要素是最關鍵的，主要涉及到了授權審批、職責分離、連續編號和實物控制等相關的活動；對控制的監督主要是指對企業一段時間內控制運行有效性進行監督，并給予評價，對于具體情況的變化需要采取必要的改正措施；風險評估過程這一要素主要指管理層對企業經營活動中面臨的風險進行識別以及對風險進行分析并采取相應的防范措施；最后一個要素為信息系統與溝通，從該要素的表述中可以看出其包括兩個層次，第一層次為與財務報告相關的信息系統，第二層次為溝通，溝通又分為內部溝通與外部溝通。具體內容如表1所示。

表1控制環境內控要素

表2控制活動內控要素

表3對控制的監督要素

表4風險評估過程要素

表5與財務報告相關的信息系統與溝通要素

從內控五要素的重要程度來看，最為重要的就是控制活動，該項要素中涉及的內容眾多，可以說控制活動是一個很宏觀的概念，從該宏觀的概念中需要挖掘其在實際工作的價值與意義。無論是職責分離、授權審批抑或是其他的控制活動對于企業整個內控體系的設計都是尤為關鍵的。其次，控制環境作為企業宏觀層面的控制要素也相對重要，只有良好的控制環境，企業內控才會穩定地運行。同樣，基于風險導向內部控制體系，對于風險的識別和分析也很重要，內控體系的構建應注重對于風險的識別，即使企業擁有了內控活動，也需要通過風險識別和分析程序來對各種內控活動進行控制。

2.風險導向內控體系的構建。

一個完整的內部控制體系對于一個起來至關重要，一個企業高效地完成內控三大目標需要有一套適合自己企業的內控體系。這一部分研究了如何通過COSO框架的五大核心要素去設計內控體系，如何將五大核心要素的具體內容與內控各步驟相結合，要將COSO框架的五大要素貫穿于該體系的構建，以達到內控目標。作者在前文提到COSO框架解釋了內控的目標、要素等內容，僅僅是一個理論框架，絕不是一個內控操作手冊。也就是說該框架對于內控體系的構建具有指導性的作用，但絕對不是一套現成的，對不同行業、不同發展階段、不同內外部環境企業的操作手冊。所以在這一部分，解決的問題就是如何將理論邊落到企業內控體系構建實處，讓該框架發揮其最大的作用，幫助企業設計內控，解決內控，提高企業內控效率，幫助企業更好地進行生產經營活動。本部分以風險為導向建立了完整的內部控制體系,總體邏輯為風險識別、風險評估、風險應對和監督評價。此外需要說明的是，不同企業在構建風險導向內控體系時需要根據行業特點以及企業自身情況設計內控體系，可以在該部分的內控體系基礎上增加或減少相應的環節。

2.1 以風險為導向，識別風險。首先企業需要開展風險識別，根據COSO框架中的控制環境以及控制活動的相關內容及要求，在充分了解內外部環境的情況下從整體和業務兩個層面來進行識別。從整體層面來看，企業除了需要了解國家經濟形勢變化、所處行業的發展趨勢以及競爭格局對于企業帶來的風險之外，還需要關注管理層、治理層以及員工有沒有達到控制環境要素的要求；從業務層面來看，企業可以從內部控制五要素中的控制活動要求出發，對企業的業務流程以及財務工作等進行分析。

2.2 對本期識別出的風險進行分析評級。企業在運用COSO框架進行風險識別時可以結合其他常規風險識別方法，比如SWOT分析法、PEST分析法以及德爾菲法等。在識別出企業存在的風險后，企業可以對風險進行評估，分析和判斷哪些風險對企業的影響程度較高，對于固有風險和風險極小的，不會影響到內部控制三大目標的，可以不確定為內控點。此外，在內部控制體系動態運行中，企業可以根據識別的風險和評級結果更新企業的內控點。風險識別是風險導向內控體系構建中的根本步驟，也是企業整個內控體系中必不可少的環節，風險識別環節確定的風險點即可作為內控點，風險識別工作的好壞直接影響企業內部控制的有效性。

2.3 確定企業的內控點是否存在。通過風險識別與風險分析，確定了相應的內控點之后，企業需要結合內部控制制度判斷自身內部控制制度是否存在這些內控點，對于之前內部控制制度未涉及到的內控點企業應及時補充，確保內部控制設計的完整性。

2.4 評價存在的內控是否在有效運行。該部分為風險評估，在進行風險評估以及評價企業內部控制的有效性時，企業可以運用風險評估技術，常見的風險評估技術主要為概率和統計方法、模糊綜合評價法、敏感度分析法、風險價值法、風險指標法、壓力測試法等。通過風險評估技術，評價內部控制設計是否得到有效的運行。

2.5 根據風險發生的可能性等因素應對風險。在風險識別與風險評估之后，企業需要確定如何應對風險。風險應對主要包括風險規避、風險轉移、風險對沖等應對方法。企業在確定風險應對方法時需要考慮風險發生的可能性、成本效益和影響效果等因素。

2.6 持續監督與專門評價。在內控運行中企業要進行日常監督，該監督貫穿于日常重復活動中，對于各項內控點需要進行專項監督。最終企業要對內控體系運行的效率與效果進行總體評價，針對內控不足實施相應的解決措施，監督管理責任主體進行整改。

3.保證內控體系運行有效性的建議。

內控體系構建好之后，需要在運行過程中設置保障措施，確保內控體系正常運行，本部分介紹了一些保障措施，如加強對風險的認知和識別，加強信息系統與溝通，加快業財稅融合等保障措施。

3.1 加強對風險的認知和識別。在很多企業中，企業管理者對于風險的認知存在一定的缺陷，在宏觀上不能根據經濟發展趨勢以及自身所處的行業特點識別出企業經營上的風險，在微觀層面上不能根據企業自身的業務活動識別出所有的風險點。企業無法完全識別風險就會導致企業不能有效地評估、應對和防范風險，內部控制的有效性也會受到損害。所以，在運用COSO框架進行內部控制體系構建時，首先需要提高管理層對風險的認知，了解到風險對于企業內控設計的重要性。

3.2 加強信息系統與溝通。COSO框架五要素中第五個要素為與財務報告相關的信息系統與溝通，該要素主要包括兩個層面。首先需要保障信息的傳遞順暢，在一些中小型企業中，沒有運用ERP等管理軟件，這就會存在信息在傳遞過程中會產生信息差與時間差，當存在信息傳遞不順暢時就會出現一系列諸如信息疏漏、理解偏差等問題，企業需要采取一定的措施去解決信息系統傳遞不順暢的缺陷。其次，在溝通層面不僅要做到內部溝通，還要做到外部溝通。

3.3 加快業財融合，彌補傳統企業管理缺陷。在企業業務活動進行中，很多工作需要業務部門和財務部門協作，但當前企業的財務人員大多還只是事后核算，財務人員對于業務的了解程度不夠，財務人員的思維大多還停留僅僅根據業務單據完成賬務處理即可。加快業財融合可以幫助企業將事后監督發展為事前預測與事中控制，從而加強風險管控，對內部控制也有一定的促進作用。