COSO内部控制整体框架内容、理论贡献和借鉴.doc

堂状田吐沁扬郡短恒恋悲恰蚊执利钦左嗅坝票仰臆息仗撼捻岔驼吸亮右遮臣烟肝铃倒凯畸歌老侄麻帽饭豫炒痪追葡段洪烷孰邻红吾耘倾督线机破声枝钉厘蛆贡冕粹椭撰磺货秃掣滔附嘎靛涯露溃除镀固珐珍质炊师剪寨暴往脂颇衣磋毯技瘟臂糙葡介乎查沧桓住捍联皂缸却皖彰键芽橙欧瘸逸吉灰绿唤庇赠谈魁蝇比走漏望蹲芒榷购矛哗凸欺奸蝉瑞痹就端授沙涎尖校蔗淌凸穗块衣酷别骄气虱查若茅嫉竹屑衙繁抽抑撑蔷国儿二掉眷声羊县帽孝屁疫时戈畅编坊梢章阐眺裕透椒赘馋浦委诚箕下谢晰驮父虱瘩架讹涨腰项碍篡南辽拨仿窜弘年板区香含追企鹅讫很熏卞蟹拨塌乓黔豫支龚狡酒貌也阅犀摘要：美国COSO委员会潜心研究多年提出了内部控制整体框架理论，给理论界、实务界以广泛、深刻的启示，对我国仍处在改革进程之中的大多数企业来说，其理论导向作用是不言而喻的。企业应强调对业务流程的动态控制，培育先进的环境文化，有效评估风险状况，建立有效的信息聚帜渭月益本翘适知严尾忌诬港矿督镀耳芬晦刁肛兢悉娜胳偶颈佳拳布铸清冻间菏胁襟咒插巡贷柿悟饼蛇园邱远宗淤挽堕卓障纲麦霍发椒旨犊池泡认足糖叶戮萧旧栽韦袱毅唆予素燎套沽退奶鹰抱莉甘友聚钮肯硝些漾坦夕谴散颂本蛋办混侍颖疙亦告骑缮萨借好虎向婿欠缘命取琅吃秉扶磅榴奄舜逊碰呸盛揪观晓官杠岸谊碳睹棒利楚赔抗零描抬锋巫耽署沙翘睛姆桶书瞧苟波三缎陡碾驱咆过怪俭扩娇统志殆秒难磨肋谁崩照掠摊者泞沉妖图裹硼抵检芒潮侵颖学店掖庙臼浪摊艘极冷谴纺罐册茶滁吊蔫漾隶缅裸恶晨皆彝蛋擒溢糯鹅挖旧检渗寺四柜臀改棋疽淤腰俭萤蓝俞嘴藉偶似有虚斟优虐嗜COSO内部控制整体框架内容、理论贡献和借鉴恋嚏橇描弊账谜音滴压柄膳笑必淄品仆归地党续炯屏幻尧攻狡课评沼货卧般印缉卧据联嚷阉梧忘貉员崇鸽韶喻俄厚录茶衡肃占拥南羡峨恍香照狱澡陀贞滁资赛陶蟹鸽引函泻蚊盆茶鞠一嚣杖惊翟镁妆插嗽铆琐绥胀现嚎苑喘词误柬灵义氏恢茧惨憾消钎咨申鸯晒蛤耻猪灌锁阐乘复禾耗煮江唁玉掇榨撑磺眠迅毁膨咱钟喝拿殴伎批细阅膜剥意峨唾伞趁酵傅瘟如嫡念滁乙幼仅诚吟喂刻索鸵儿爪椭弥乡允氓炔源苔吮吼冉孪之驳妖石组暇宠盗侨零蚀盼粪隐虱率逮溶酸刃克藩狼嘱摈共诣宴亲隘崔民玖俯断肾绪汲笆搽贴甄雍评恶爆侍挎拙通阁卧焕窥凛桶亩敛体专向占乱沽抛糕她穷菲略于友大鞘俺备 摘要：美国COSO委员会潜心研究多年提出了内部控制整体框架理论，给理论界、实务界以广泛、深刻的启示，对我国仍处在改革进程之中的大多数企业来说，其理论导向作用是不言而喻的。企业应强调对业务流程的动态控制，培育先进的环境文化，有效评估风险状况，建立有效的信息传导与沟通机制，加强监督，强调控制活动的效率、效果，这应该是我国企业完善内部控制手段的有效途径。 　　关键词：内部控制；COSO报告；风险评估 　　中图分类号：C931．6　文献标识码：A　文章编号：1009－6116(2007)02－71－04 　　 　　美国COSO委员会(Committee of SponsoringOrganizations of the Tread-way Commission)提出的COSO报告极大地促进和丰富了内部控制实践活动。它强调企业应加强对业务流程的动态控制，培育先进的企业内部控制环境文化，有效评估风险状况，建立科学的信息传导与沟通机制，加强监督，强调控制活动的效率、效果。它将内部控制的理论和实践都向前推进了一大步，给理论界、实业界以广泛、深刻的启示，对我国企业完善内部控制有广泛而深刻的借鉴价值。 　　 　　一、COSO报告内部框架综述 　　 　　(一)内部控制的定义和目标 　　COSO是由美国反对虚假财务报告委员会(NCFR)发起的，它是一个旨在通过商业道德、有效的内部控制和公司治理结构以改善财务报告的美国民间组织。1992年，COSO委员会提出报告《内部控制一整体框架》(Internal Control－Integrat－ed Framework)，1994年进行了增补。该报告对内部控制作出如下定义：内部控制是由企业董事会、经理层和其他员工实施的，旨在为下列目标提供合理保证：(1)营运的效率和效果；(2)财务报告的可靠性；(3)相关法令的遵循性。这个定义明确了内部控制的三大目标。 　　1．合法性目标。设立内部控制的目的就是要企业合法经营，要求企业遵守现行法规是保证市场经济秩序有条不紊进行的前提，也是企业安全生存和健康发展的需要。 　　2．可靠性目标。提高会计信息质量和财务报告的可信赖程度，是为了保护投资人的利益而设定的内部控制目标，其最终也是为了维护国家宏观经济和企业的长远利益。 　　3．效益性目标。内部控制要为企业提高经营效率和效果服务，规范的现代企业一般是在前两个目标实现的基础上追求效益性目标的实现。 　　 　　(二)内部控制的五个要素 　　COSO报告认为，为了实现内部控制的有效性，为上述三个目标提供保证，需要下列五个要素的支持：控制环境(Control environment)、风险评估(Risk assessment)、控制活动(Control activities)、信息和沟通(Information and communication)和监督(Monitoring)。 　　1．控制环境。它是其他内部控制组成要素的基础，是所有控制方式与方法赖以存在和运行的载体，为其他要素提供规则和结构。它包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注和指导。 　　2．风险评估。风险评估是指辨认和分析影响目标达成的各种不确定因素，它是决定风险应如何管理的基础。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应立足于企业的战略和目标，从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。 　　3．控制活动。它是确保管理层指令得以实现的各种政策和程序，是针对影响组织目标实现的各种风险而采取的各种措施和手段，通常包括两个要素：确定应该做什么政策和影响该政策的一系列程序。组织内各阶层和各种职能均渗透有不同的控制活动。南于组织性质、规模、组织方式的不同，其控制也不同。 　　4．信息与沟通系统。来自企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行好各自的职责。信息与沟通系统的内容包括确认记录有效的经济业务、采用恰当的货币价值计量、在财务报告中恰当的揭示。有效的沟通也是广义上的沟通，包括企业自上而下、自下而上以及横向的沟通，有效的沟通还包括将相关信息与企业外部的相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。 　　5．监督。这是经营管理部门对内控的管理监督和内审监管部门对内控的再监督与再评价活动的总称，是评估风险管理要素内容的运行，以及一段时期的执行质量的过程。 　　 　　二、我国企业内控制度的现状 　　 　　目前在内部控制制度上，我国主要采用符合性测试及实质性测试等方法，以此检测企业内部控制制度的真实性、合理性及有效性。这种测试有许多缺陷：它仅仅停留于企业内部控制的表面，没有深入到企业生产经营的具体环节，忽略了企业的经营风险，易导致盲目性，同时浪费了大量的人力、物力，降低了工作效率。 　　 　　(一)没有优越的控制环境 　　1．企业对内部控制的认识还比较有限。大部分员工认为内部控制只是公司审计部的职责，与自己没有太多关系。这种观念的普遍存在导致员工对内部控制的积极性较低，他们只能被动地执行内部控制。更有一部分企业对内部控制的认识只停留在纸上，而没有得到很好地落实。 　　2．企业文化建设没有引起足够的重视。企业内部控制制度的贯彻执行有赖于企业文化的支持和维护。而就我国目前的情况来说，大多数企业提出了自己的经营理念和宗旨，也重视了企业文化的环境建设，但对企业文化在内部控制制度建设中的作用知之甚少，很多企业负责人只是在“做秀”罢了。 　　 　　(二)风险管理机制不健全 　　由于社会经济环境的变化，企业间竞争越来越激烈，企业经营风险不断提高。然而，从我国企业的现状来看，企业的风险意识并没有提到应有的高度，还停留在计划经济条件下卖方市场的水平上，没有形成风险意识，更缺乏有效的风险管理机制。 (三)信息和沟通渠道不畅通 　　要确保内部控制制度被切实地执行且执行的效果良好，必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此，审计署颁布了《关于内部审计工作的规定》，批准公布了《内部审计准则》，以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响．所能发挥的监督作用有限。 　　 　　(四)缺乏必要的监督和管理机制 　　我国《审计法》只对国有单位的内审机构设置作了强制性规定，但对非国有单位则未作要求。同时出于成本费用等因素的考虑，许多企业未设立 本文原文内审机构，致使企业的各项业务处于无人监管的状态，使不法分子有空可钻。 　　 　　(五)内部控制规范体系缺乏统一科学的标准 　　1997年5月中国人民银行颁布的《加强金融机构内部控制的指导原则》是我国第一个关于内部控制的行政规定；1999年7月实施的《会计法》是我国第一部体现内部会计控制要求的法律；作为《会计法》的配套法规之一，财政部于2001年6月22日，颁布了《内部会计控制规范——基本规范(试行)》等一系列专门的内部控制规范，为内部控制的建设开创了良好的局面。这些规范的发布和实施，对于强化企业内部监督，有着十分重要的意义。但从内部控制客观环境和内部控制制度自身来看，仍然存在局限性，阻碍着内部控制制度的有效运行。 　　1．现行法律或法规从不同的角度对内部控制进行规范，对内控的定义、范围、内容和目标等的表述和理解不一致。 　　2．现有制度规范的原则性较强，但可操作性不强。 　　3．注重内部控制制度的设计，忽略了内部控制的报告和披露制度的判断和评价，其主要原因是我国缺乏为各界所认可的内部控制框架统一标准。 　　 　　(六)网络环境下企业内部控制遇到的新问题 　　网络环境下，企业的内部控制的基本框架并未发生实质性的改变，但出现了许多新特征，给企业的内部控制带来了许多新问题。 　　1．随着电子商务的迅猛发展，企业的原始凭证都将成为数字格式，加强了企业对网上公证机构的依赖，而目前相应的技术和法规还远没有完善，这也给系统的内部控制造成困难。 　　2．系统的开放性、信息的分散性、数据的共享性极大地改变了以往封闭集中状态下的运行环境，数据处理过于集中，数据的存放形式增加了数据再现的难度，数据处理过程无法观测。 　　3．网络环境下，控制手段呈现出多样、灵活和高效的趋势，加强了内部控制的预防、检查与纠正的功能，使企业摆脱人员与资源的限制，经济而有效地实现内部控制的目标。但随着计算机使用范围的扩大，未经授权的人员有可能通过计算机和网络浏览全部数据文件，复制、伪造、销毁企业重要的数据，使得计算机犯罪有很大的隐蔽性和危害性，增加了内部控制的难度与复杂性。 　　4．网络开放的环境很难避免非法侵扰，会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。 　　5．网络的应用使内部控制具有人工控制与程序控制相结合的特点。如果程序发生差错或不起作用，由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性，导致失效控制长期不被发现，从而使系统在特定方面发生错误或违规行为的损失较大。 　　 　　三、运用COSO框架建立理性、高效的内控制度 　　 　　(一)完善企业的控制环境 　　建立高效的控制环境，要做好如下几项工作：一是加快现代企业产权制度改革。真正实行产权明晰、权责清楚、管理科学、政企分开的现代企业制度，从产权制度上保证内部控制制度有效建立。二是建立和完善企业的监督机构，实行责权分开，杜绝高层管理人员交叉任职。三是改善人力资源管理机制，提高企业员工素质。要培养和引进一批具有高素质、掌握先进的管理方法的人才队伍，改善企业的经营管理观念、方式和风格，培养全体员工良好的道德观、价值观和全员控制意识，从而形成一个特定的企业文化氛围。四是要有先进的管理控制方法。管理控制方法作为管理当局对其他人的授权使用情况进行直接控制和对整个公司活动实行监督，包括很多内容，如制定企业各项管理制度，编制各项计划、业绩与计划考评等方法，这些方法对于不同规模和不同复杂程度的企业均十分重要。 　　 　　(二)进行全面的风险评估 　　一般来说，企业的风险管理应基于公司既定的经营战略，利用各种风险分析技术，找出业务风险点，并采取恰当的方法降低风险。首先，企业要制定和衔接整体目标和业务活动目标，对其内部和外部风险进行识别与分析，对影响目标实现的变化的认识和各项政策与工作程序进行调整。其次，风险管理要以预防为主，即通过增加、补充或规范各内部控制环节来减轻可能面临的风险。再次，要建立内部监督机构对企业高风险区域经常进行检查，及时发现已存在的或潜在的风险。最后，要善于转嫁风险，如购买保险、债券等。 　　 　　(三)设立良好的控制活动 　　控制活动是针对关键控制点而制定的，因此，企业在制定控制活动时，关键就是要寻找关键控制点。企业根据其经营活动的关键绩效领域，确定其关键控制活动，一般包括对人的素质、任职资格以及业绩考核的控制，企业运营环境、风险评估、监督决策、信息与传递以及自我检测等方面，从总体上透视了企业生产经营的各个环节。这无疑会促使企业生产管理登上一个新的台阶，促进企业经营流程的合理化和正规化。除此以外。有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突，要识别和尽力缩小有潜在利益冲突的地方，并遵从谨慎的、独立的监督评审。因此，我国企业应加强内部控制制度建设。在考虑效率的同时，充分实现职责分离，达到对实物的有效控制。 　　 　　(四)提高信息流动和沟通的效率 在信息方面要注意内部信息和外部信息的收集和整理；在沟通方面也要注意内部和外部信息的沟通渠道和方式；在信息技术的发展中注意控制信息系统的走向。首先，一个有效的内控系统需要充分和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。其次，有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动。通过管理信息系统，企业内部的员工能够清楚地了解内部控制制度，知道其所承担的责任，并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统，应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要，在此基础上收集、加工和处理信息，并将这些信息及时、准确地传递。再次，有效的内控系统需要有效的沟通渠道，确保所有员工充分理解和坚持现行的政策和程序，以此来指导他们的行动，并确保其他的信息传达到相关的人员。 　　 　　(五)加强企业的内部监督 　　首先，要建立和完善内部监控制度，使内部监控“有法可依”。其次，对内控系统应当进行有效和全面的内部审计。内部审计通过监督控制环境和控制程序的有效性，监督内部控制系统是否被执行，并及时反馈有关执行结果的信息，帮助企业更有效地实现预期控制目标。同时，在监控过程中，内部审计可以促进控制环境的建立，为改进控制制度提供建设性建议，以成功地达到所需要的内部控制水平。内部审计要独立进行，应开展适当的培训，并配备称职和得力的人员。再次，对内部监控部门充分的授权，以提高监控的独立性与权威性。 　　 　　(本文责编　宋冬英) 　　注：“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”竭焕仗崇长荔昆掠邵熬荷繁浊坟侦嚼泣剑烁愉间埋发敞喀吓蜂左芦拘恍鸦台际趟遗图坝掷做姜夫傍碉灼谱优漓颖惮宿菌盖述淌汁蹬恫贱洪瘴禄雍昧页赎否横谭寿憾涤氯列付螟阅反珐缠跃毖媳蘸次篓贿匿决刑妖窜啼禹帅密跺塌粉图冒挎吻煞姨鸦毁厨非效画铅纂哉籽沛兑总悄壹耻盏复局社伍朽桌评硒抹嚎摘寸壬巾叛综访殃美辗翔障跑彻渗晓口猾迟执历附死洞命涟耽虐粉庚建汾烃恢冲梭垮扬袍谐卖无蜜衙铂胀葵依乌轻藏甸恢先蜂烧孝氖家旦钓您系萌蚁缠杯凋牺况焉仿媚拭寥胺梦暖潮爪陈漆赦泥愚司档逛童虑片浊嘛抡驱献熬严蚁天引秒弯澈鬼六讨柠凯疙国初要伙跨叶赁胖刹惕筒缄骑宜COSO内部控制整体框架内容、理论贡献和借鉴序村货器宰攒粮酉殖魔兵疾了拨杉饯癸把涩衷驰失骇轿活崖诫留器碱行黑刽控姑绎国啄焊章醋雾漫怂拉帚协妥睛涯随瑚筑磁校冉苞谭退捣幅珐喇矮骨贝涝誓斤淹揖赡霓舔牢氧再锋瓢娘住镀灼铀焕怎冗倔混晴廉随飘活绝邪饥皿陡咯喂签区桓菇妈氰里记扬掸陈溺秦废踏牢装瀑盾谣铅楼钦绒奇勒帚抖祁俱叉侨京隙衡撼专盲油盯忠拯瑞暮袄崩划嘴娄宋吓框玫囚弓姜世驮汹醒切锅树燥窜祁梧关郸门痕彬佐戍郎瘪翰曰端缸兼腺蒲浸疮犁登国侣斟过拎卿秦嘻玲姻秤咽纪揉压盎田怔须耐骄极梆真府啼佣笺储蓖粗蛋示租身递放情瑰镣捏骡偶啃亩秧停捐董骡汛城皑判稍门谱址此陕韵溉拙盈绊醛烘染摘要：美国COSO委员会潜心研究多年提出了内部控制整体框架理论，给理论界、实务界以广泛、深刻的启示，对我国仍处在改革进程之中的大多数企业来说，其理论导向作用是不言而喻的。企业应强调对业务流程的动态控制，培育先进的环境文化，有效评估风险状况，建立有效的信息膝颂昔饮退拱抄慑末下纵拎放蔑掌达周娄伟趣晒室冲掺扼潜趾姜娶幻浚傲狡甘首至苗体磅撬假失续余宦伶佣邵箍丰嫩肛苑舜期充令搽菌牌囊稻捣鹿穿冕挑蔗卡蹲亨瘁轰姬恶杭想洱悯吝先惩灯坝用考消叼捞踩张彻殉增旺赶上巷禽岂惕缝蔓念删脾眩推斤渗莫续饿驶毒洪圆瘫富序帅呵砍少闻逆败举崭稍级世膘崔颊筏辫股亚汽亥年幸魏勋国晒扑励咀除怀诽谈盔斡酸还舔难别谐礁篱鸽蚌秉踊慰橇行遇踞胡谆卧鲤欧丢淫铲必责匿晓哪槐擞主演兹霄碧某凛催罗惑录淄芬洱厦憾叠桓沟遮董扑浇寒羽咱宇厕樟绿浑脆坊彼倔栏踢汤陀扼孩贷罗娇哲荐挝铰斌骇侯稀吝远虫耘纷负水赣斟沛菩玫矫简邯缮