中美内部控制监控比较

中美内部控制监控比较

作者简介：吕俊俊（1988-），女，土家族，湖北阳县人，湖北大学商学院会计系研究生，研究方向：财务管理。

内部监督是确保内部监控持续有效进行的重要保证，有效的内部监控能够帮助企业提高监控质量，降低企业内部风险。中美内部控制法规都对内部控制监控作出了相关规定，2013年新COSO框架的颁布对监控要素进一步提出了原则性指导。针对中美内部控制监控之间的差异进行对比分析，提出了完善我国内部监控体系的相关建议。

标签：监控；内控审计；内控评价；内控体系管理

1992年，美国COSO委员会发布了内部控制——整体框架（下称“旧COSO 框架”），提出内部控制由控环境、风险评估、控制活动、信息与沟通、监控五个相互影响的要素构成；2004年，COSO委员会发布了企业风险管理——整体框架（下称“风险管理框架”），对原来的五个要素进行深化和拓展，将其演变为八个要素，分别是内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监督；2013年，美国COSO委员会发布《2013年内部控制——整体框架》（下称“新COSO框架”）及其配套指南，在基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均与旧COSO框架相同，有变化的则是依据具体形势所做出的相关内控管理措施。

2008年，我国颁布的《企业内部控制基本规范》（下称“基本规范”）规定，内部监督是内部控制的五要素之一；2010年，我国颁布的《企业内部控制应用指引》（下称“应用指引”），阐述了与监控相关的内容，进一步补充和完善了基本规范。

1 内部控制监控的内涵比较

旧COSO框架认为，监控是内控系统所需要的，这是一个评估系统在一定时期内运行质量的过程。内部控制监控因素包括持续性监控行为、独立评估、报告缺陷等。监控过程通过持续性的监控行为、独立的评估或两者的结合来实现。持续性的监控行为包括日常管理以及监管行为，和其他人在履行职责时所发生的行为。独立评估的范围和频率主要是依赖于风险评估和持续性监控程序的有效性。内部控制中的报告缺陷应实行自下而上的模式进行报告，重要事项应报告高层管理人员和董事会。风险管理框架认为，监控是随时对框架中构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控行为发生在管理活动的正常进程中，个别评价的范围和频率主要取决于风险的重大性以及对风险的评估和持续监控程序的有效性。企业风险管理的缺陷应向上报告，重大问题报知高层管理人员和董事会。

新COSO框架认为，监督机制是为确保组织内控体系的正常运转而建立的。

监督机制可以执行持续监督，也可以采取单独评价的方式。从组织层次上监督可划分为两类：业务层面以及组织层面。新COSO框架提出了17条核心内控原则，从而大幅度的增强了五要素的可操作性。其中，最后两条原则是针对监控要素提出的。

我国基本规范认为，内部监督是企业对内部控制建立和实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。监督情况应当形成包括揭示内部控制重要缺陷的书面报告，并应有流畅的报告渠道，从而确保发现的重要问题能够到达经理层和管理层等。基本规范和应用指引中都明确的提出应该定期对内部控制体系的有效性进行自我评价和第三方评价。

可以看出，中美都认为监督是内部控制的重要组成部分，内部监督是保证整个内部控制系统有效运行和完善的重要保证。美国COSO框架中监控的概念与我国基本规范中内部监督的概念是一致的。但是，美国COSO框架中指出监控是通过持续性行为、个别评价或二者的结合实现对内部控制进行监控，而我国将重点放在了内部控制年度自我评价以及第三方评价上，没有充分利用内部监控的持续性、动态性，从而不利于内部监控的有效性。另外，新COSO框架以原则为导向，关于监控提出了更先进的观点，如对管理层的内控相关工作进行持续监督、加强对处于运行状态的技术系统进行监控以及要监督外部服务提供商等。

美国COSO框架对内部监控方式的划分主要包括持续性监控活动、个别评价。我国内部控制方式的划分与美国COSO框架的划分几乎相同。我国内部规范中规定监控分为日常监督和专项监督。其中，日常监督实际上就是持续监控活动。而自我评价其实质也相当于个别评价。但是新COSO框架在内部控制建设与评价中，并不像原来那样严格要求以证据为基础，而是强调依赖于董事会、管理层和内审人员的判断力，相比于我国的基本规范及其配套指引，显得更加灵活。

2 中美内部控制监控有效性影响因素的比较

2.1 中美内控审计比较

旧COSO框架中指出，内部审计对监控起着很重要的作用，内审人员对于企业的内控系统有效性方面起着重要的评价、维护作用。风险管理框架指出，内部审计师在评价企业风险管理的有效性以及提出改进建议方面起着关键作用，在风险管理的监控中占据重要地位。在新COSO框架中的第16条原则中明确指出，监督机制在组织层次类别上可以划分为组织层面的独立监督（如内部审计），而监督机制是为确保组织内控体系的正常运转所必须建立的。这里进一步强调了内部审计在影响监督机制有效性上的作用。

我国基本规范中强调，企业应当根据基本规范及其配套指引，制定内部控制监督制度、明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限、规范内部监督的程序、方法和要求。内部审计机构对于内部控制监督的有效性起着重要作用。内部审计人员根据内部缺陷认定标准，检查出内部控制的缺陷后，应当依照企业制定的内部审计程序报告；在监控中发现内

部控制存在重大缺陷，可直接向上级（董事会和审计委员会）报告。

中美都强调了内部审计在监控中的作用，是影响监控有效性的一个重要因素。但是，美国COSO框架没有对内部审计进行详尽的规定和扩展，只是在控制环境中的组织结构中强调了它的重要性。而我国的基本规范虽然是在借鉴美国COSO框架的基础上形成的，但是仍较多的结合了我国的国情，有较大的调整。我国基本规范及其配套指引都对内部审计进行了明确的规定，提出了内部审计机构（或经授权的其他监督机构）在内部监督中的职责权限、职能发挥要求、内部监督的程序和方法等。2.2 中美内控评价比较

旧COSO框架中指出，个别评价是从某一角度对内部控制进行测试，它直接关注内部控制的系统有效性。内部控制评价的范围和频率受所控制风险的大小和内部控制在减小风险中的重要性程度的影响而不同。而整个内部控制系统的评价取决于主要战略及管理层的变更，重大收购或处置，经营活动或财务处理方法的重大变化。此外，其评价范围和频率也受每个内部控制要素和目标的影响。风险管理框架中指出，持续性监控程序和个别评价都能够在持续性监控的有效性方面发挥重要作用。其范围和频率的大小取决于风险的重大性和风险应对及管理风险过程中相关控制的重要性。对于风险管理整体风险的评价范围还与战略、经营、报告和合规中的何种目标类别密切相关。新COSO框架在内部控制建设与评价中，突出了董事会、管理层和内审人员的“判断力”这一因素。强调评价要发挥管理层自身的判断力作用，而不是和以前一样，完全依赖于证据。

我国基本规范中企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，并出具内部控制自我评价报告。企业应根据经营业务调整、经营环境变化、业务发展状况和实际风险水平等自行确定内部控制自我评价的方式、范围、程序和频率。内部监督是自我评价的基础，自我评价的实施保证了内部监督的有效性。应用指引中提到对于重要业务要注意的主要风险，对相关风险的评价也是内部控制自我评价的一个重要方面。

在评价制度的规定方面，中美并没有太大的区别，不同之处在于，新COSO 框架的出台突出了个别评价的灵活性与效率性，不再是规范性的去实施内部控制、内部评价。扩大了董事会、管理层和内审人员的职责范围，设立评价机制对企业内部控制予以评价，使决策管理层通过评价结果进行判断，从而提升控制的效率。而我国基本规范以及指引并没有充分强调决策层的判断力作用，此外，我国基本规范对自我评价指标体系没有规定，没有一个系统、全面的指标体系。由于各个企业的评价指标存在差异，会使信息使用者难以接收到准确的信息，同时也影响了监控的有效性。

2.3 中美内控体系管理的比较

旧COSO框架中指出，企业内控系统的缺陷源自很多方面，包括企业的持续性监控行为，内控系统的独立评估，以及外部因素。风险管理框架中指出，所发现的企业管理缺陷通常应该报告给负责所涉及的职能或活动的人员以及该人员之上的至少一个层级的管理当局。新COSO框架中进一步指出监督所识别的