COSO与内部控制简介

COSO与内部控制简介

一、背景介绍

内部控制是什么?不同的人有不同的理解。一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部。现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。

（一）COSO内部控制框架的产生和发展过程

内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面将要讨论的COSO 内部控制框架。

在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度和方法。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会提出了报告《内部控制——

整体框架》（1994年进行了增补），即COSO内部控制框架。

COSO内控框架的提出标志着内部控制理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯法案》第404 条款的「最终细则」也明确表明COSO 内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。同时，对股份公司来说，这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司同股份公司一样，希望通过理解和贯彻COSO内部控制框架要求，来实现提升管理水平的目的。

（二）行业及公司内部控制体系与COSO内部控制框架的差距

目前，股份公司通过多年的管理实践和积累，已经建立了一套针对XX行业的行之有效的内控体系，但与COSO内部控制框架的要求相比还存在一些距离。这些差距主要体现在：内部控制体系的整体框架、内控环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等。―他山之石，可以攻玉‖，COSO内控框架对于我们加强企业内部控制具有一定的启发和借鉴意义。为此，我们需要认真学习COSO内部控制框架理论，充分认识和理解COSO内部控制框架，并在实际经营管理中积极实践，大力贯彻和实施，从而优化内部控制，完善内控体系，全面提升公司管理水平。

二、COSO内部控制框架下内控制度定义

（一）COSO内控框架对内部控制的定义

COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。

（二）对内部控制定义的理解

应该从以下几个方面理解内部控制的定义：

第一，内部控制是一个―过程‖，而且是一个动态的过程。企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监督企业经营过程的持续有效进行。

第二，内部控制受到―人‖的因素的影响，它并不仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部控制负有责任并受到内部控制的影响；是―人‖建立企业的目标，并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的内部控制。

第三，内部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为内部控制本身具有局限性。

最后，内控框架将内部控制目标分为三类：与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部控制的各个方面，这些相互有别，相互交叉的分类满足不同的需要，并且表明了不同的执行人员的直接责任。

（三）COSO内部控制框架的组成要素

COSO内部控制框架认为，内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身。

A、内控环境——内控环境是企业的基调、氛围，直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。

B、风险评估——风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。