COSO《内部控制——整合框架》（2013）对改进我国企业内部控制的启示

　　【摘要】COSO《内部控制——整合框架》是世界范围内被广泛接受的内部控制框架，2013年进行了最新修订，本文概述了其最新内容，并考虑到此次修订给我国内部控制发展提供了良好机遇，结合我国企业实际阐述了最新COSO《内部控制——整合框架》对我国企业内部控制发展的启示和借鉴意义。

　　【关键词】内部控制整合框架 内部控制规范体系COSO

　　【中图分类号】F235.19

　　一、内部控制发展背景

　　近年来，企业的内部控制建设越来越受到各方关注，相关利益团体越来越意识到内部控制、风险控制对企业长远发展的重要意义，无论是上市公司还是非上市公司，无论是国有企业还是私营企业，都在积极制定并不断完善内部控制制度。

　　而在世界范围内使用最广泛的内部控制指导性文件是COSO内部控制框架，即由美国反虚假财务报告委员会的发起组织委员会COSO（Committee of Sponsoring Organizations of the Treadway Commission）发布的《内部控制——整合框架》。COSO的宗旨即是为促进企业风险管理，内部控制和防止舞弊提供指引。COSO于1992年9月第一次发布《内部控制——整合框架》，后经过了几次局部的补充、改进，2010年开始着手全面修订工作，至2013年5月14日正式发布了《内部控制——整合框架》（2013），对原内容进行了全面更新。

　　二、我国内部控制发展现状

　　我国于2008年发布了《企业内部控制基本规范》，其总体框架基本遵循COSO内部控制框架。要求“自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。”2010年4月又发布了《企业内部控制配套指引》，要求“自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。”

　　我国内控制度规范颁布并实施几年来，国内企业对内部控制的重视程度迅速提高，财政部会计司在2012年对我国企业内部控制规范体系（基本规范和配套指引）实施情况进行了调查，从总体情况来看，企业尤其是上市公司对内部控制规范体系的熟悉程度比较高，执行情况比较好，但也反映出很多问题，笔者认为以下情况表现较为突出：一是内控规范体系虽然结合了国际经验和中国实际，在整体设计上合理、全面，但是其可操作性相对较差，如内部控制重大缺陷的认定标准在实际判断中存在困难。二是在实际执行中，大部分企业偏重于与财务报告有关的内部控制，只有一些风险管理水平较高的企业如金融企业以“全面内控”为侧重点。三是内部控制实施的牵头部门一般是财务部门，其他部门重视程度不够，而能够参与具体实施的人员就更少了，甚至只有财务总监、董事长、总经理对企业内控较为熟悉和关注，其他人员了解程度较低。四是缺乏熟悉内部控制的专业人才。五是由于对上市公司的强制性规定，上市公司内控建设较好，非上市公司对内控的重视和介入程度比较低。

　　三、COSO《内部控制——整合框架》（2013）的发布是完善我国内控建设的新机遇

　　基于我国企业内部控制实施的现状，以及国际上内部控制领域的最新发展，笔者认为，现在是加快我国企业内部控制建设发展，缩短与国际企业距离的良好时机。原因有二：一是我国企业内部控制建设起步较晚，但发展较快，目前上市公司的内部控制已按照我国《企业内部控制基本规范》的要求日趋完善，某些香港、国外上市公司，以及风险管理水平较高的国内上市公司的内部控制已与国际普遍认可的COSO内部控制框架日益趋同，说明我国上市公司的内部控制建设已具有良好的基础。二是相比上市公司，国内非上市公司，无论是国有企业还是私营企业，内部控制建设步伐还比较落后。我国企业可以借COSO内部控制框架更新机遇，迎头赶上。上市公司在已有内控制度基础上尽快向最新的COSO内部控制框架转换，非上市公司可以按照最新的COSO内部控制框架建设或者重构公司的内部控制体系。

　　COSO《内部控制——整合框架》（2013）主要由内控目标、内控要素、有效内控的原则、重要特征4部分构成。

　　（一）体系结构变化

　　从整个框架体系的结构来看，从内部控制的目标到要素（即内控的组成部分），到对应每个要素建立有效的内部控制应表现出的原则，再到对应每个原则可能具有的重要特征，层次鲜明、关系清晰、内容从一般到具体，尤其是有效内控的原则归结为17项，重要特征进行了更详尽的列举，比原COSO内部控制框架更加清晰、具体，更具有可操作性。

　　可操作性是企业内控实践中非常关心的问题，我国企业的内控发展时间尚短，还缺乏有效的内控实施经验，此时借鉴最新的COSO内控框架来建立我国企业内控体系是一个有效率的途径。

　　（二）内部控制目标变化

　　从目标来看，新框架将原来的“财务报告目标”改为“报告目标”，这反映出内部控制思想的重大变化，即由偏重财务报告相关内部控制向财务报告和非财务报告全面内控转变。由于利益相关者对企业披露信息的更高要求、对企业承担社会责任的重视，导致非财务信息受到越来越多的关注，且实践证明，非财务信息反映出的企业各方面情况，对企业持续发展有重大影响。因此，新框架体现了对企业实施全面的内部控制的目标。如前所述，我国企业也存在偏重财务报告内部控制，对非财务报告内部控制不够重视的问题。目前对非财务信息的关注是国际企业发展的趋势，我国企业也应借鉴最新COSO内部控制框架的这一重要思想变化，加大对非财务报告及其内部控制的研究、开发。

　　（三）内部控制五要素变化

　　内部控制的五要素基本没有变化，但在对应的有效内控的原则中体现了国际上先进的内控思想的发展，例如：

　　1.控制环境的原则之一“加强个人对内控的责任制”，强调企业员工都应承担起在实现内控目标中的职责，要建立相关奖惩机制。如前所述，我国企业的全员内控意识比较弱，往往只有高层对内控比较熟悉，大部分员工都了解较浅。实际上，内部控制涉及企业的方方面面，每名员工都涉及企业内部控制的某一个或几个环节，只有明确内控责任，树立全员内控的思想，才能显著提高内部控制实施的有效性。

　　2.控制活动的原则之一“选择和开发技术的一般控制”，强调了在信息技术高速发展的今天，要加强对企业应用信息技术的内部控制。信息技术是公认的影响现代企业发展的一个关键因素。目前我国大部分企业，尤其上市公司或外资企业大都使用先进的财务软件、ERP、SAP或自行开发的满足本企业需要的信息系统。这些信息技术不限于财务用途，可能涵盖企业主要生产、经营、管理活动，信息技术已经不再是企业经营管理中的辅助工具，大量决策相关信息的生成都依靠信息系统的有效运行。因此信息系统如何设计、运行就成为影响企业经营决策以及信息披露的重要内部控制。

　　3.风险评估的原则之一“评估舞弊风险”，对舞弊风险这一内部控制重点关注领域进行了进一步强调。舞弊风险是对企业影响最重大，也是最难控制的风险。企业针对舞弊风险设置的内部控制往往需要与其他内部控制结合考虑。而在我国企业实践中，舞弊事件也时有发生，潜在的舞弊风险是否能够被防止、发现并纠正，很大程度上取决于整个企业的整体内部控制的有效性。

　　4.控制环境的原则之一“董事会履行监督职责”、风险评估的原则之一“评估舞弊风险”以及监控活动的两个原则中都体现出公司治理层对内控的监督职能。现代企业组织结构的发展日趋完善，董事会、审计委员会等各类公司治理委员会的地位、功能日益显现。我国企业也是如此，但在实践中，本应直接隶属董事会的内审部门却设置在财务部门之下，或实质受财务部门管控，这种情况并不少见，甚至很多企业没有设置专门的内审部门。如何让董事会、审计委员会发挥其独立的监督职能是目前需要进一步解决的问题。

　　（四）重要特征变化

　　新的COSO内部控制框架列举了详细的重要特征，但是同时新框架也解释说这些特征可能并不合适或相关，需要根据企业实际识别出更合适的内控措施。结合我国企业实践，完善的内控体系、详细的实施措施的制定往往还需借助外部审计师，大部分企业内部缺乏专业的内控人才。而新框架列举的重要特征可以成为企业自行设计、实施内控的非常重要的参考。同时我国企业也要尽快加强内部控制人员培训，同时根据国际上先进的内控理论充实、更新我国内部控制规范，为我国企业内部控制发展提供与国际最新理念接轨的，同时符合我国实际的内部控制指导。

　　主要参考文献：

　　[1]林斌，舒伟，李万福.COSO框架的新发展及其评述[J].会计研究，2012.11：64-95

　　[2]董秀琴.COSO内部控制框架最新进展及评价[J].财会通讯，2013.3：95-96

　　[3]财政部会计司.我国企业内部控制规范体系实施情况的调查报告[J].财务与会计，2012.6：21-24

　　[4]王怡心.新COSO内部控制整体框架介绍[J].中国内部审计，2013.3：41-43

　　[5]鲁冰.COSO内部控制整合框架修订进展及其启示[J]，财务与会计，2013.7：51-53

　　[6]COSO.COSOOutreachDeckMay2013.http：//www.coso.rg2013.

　　邱明明（山东外贸职业学院） 责编：梦超