COSO新框架（精选九篇）

2025-04-11 16:02:06

COSO新框架（精选九篇）

COSO新框架篇1

COSO的经典性报告《内部控制———整体框架》是内部控制方面的权威性文献, 自1992年发布以来, 得到了包括美国在内的多个国家的政府组织和企业的认可, 并以此框架为基础制定和发布了内部控制的框架和文件, 如我国财政部等五部委在2008年6月份发布的《企业内部控制基本规范》就是在我国国情的基础上借鉴了COSO的内部控制报告。尽管该框架受到了各方的认可, 但是随着经济和科技的发展, 企业的经营环境也在不断的变化, 再加上安然公司等舞弊案的出现, 使得人们对于COSO的内部控制框架有了质疑。在此背景下, COSO委员会与普华永道会计师事务所于2010年9月份启动了内部控制框架的修订工作, 并于2011年12月份发布了内部控制新框架的征求意见稿, 经过1年多的公开征求意见, 于2013年5月发布了的《内部控制———整体框架》 (以下简称新框架) 的正式报告。COSO委员会要求新框架于2014年12月15日开始生效。COSO新框架有利于帮助组织在业务和经营环境变化了的背景下设计和实施内部控制, 在经营和报告目标上扩大了内部控制的应用范围, 并做出如何判断内部控制的有效性。众所周知, COSO委员会的经典权威报告除了《内部控制———整体框架》外, 还包括其2004年发布的《企业风险管理———整体框架》 (以下简称ERM框架) , 这二者关系非常密切, 有学者认为二者是一致的, 有学者则认为ERM框架是内部控制框架的替代, 那么二者究竟是什么关系呢?在内部控制新框架中, COSO委员会给出了解释。新框架中内容众多, 笔者拟就内部控制新旧框架进行比较并对其与ERM框架的关系进行探讨。

二、内部控制新框架与旧框架比较

内部控制新框架是在旧框架的基础上结合目前全球经济和环境的变化进行更新和修订的, 因此, 在新框架中, 既有与旧框架中内容一致的方面, 也有不一致、变化了的方面。

(一) 内部控制新旧框架维持不变的方面

(1) 内部控制的核心定义。新框架与旧框架中的内部控制核心概念形式上是一致的, 基本上沿用了旧框架中内部控制的核心定义, 即都给出了一个非常宽泛的定义, 都强调了是一个过程, 受到人为因素的影响, 都是对目标的合理保证。由于内部控制的目标有所改变, 因此概念中的目标也相应变化。但总体上来讲, 新旧框架中的内部控制的概念基本上没有变化。 (2) 三目标和五要素形式。与旧框架中一致, 新框架采用的仍然是三目标和五要素的形式, 而且三个目标中有两个没有变化, 即第一个目标———经营的效率和效果与第三个目标———法律、法规的遵循等两个目标的名称没有改变。在五要素的名称上, 第五个要素的名称在旧框架中称为“监督”, 在新框架中增加了“活动”二字, 即为“监督活动”;其余的四个要素如控制环境、风险评估、控制活动、信息与沟通等要素, 其名称完全一样, 没有任何变化。 (3) 用于评估内部控制系统有效性的标准没有变化。有效的内部控制系统能为三个目标的实现提供合理的保证。如果内部控制系统是有效的, 则组织能够使得经营具有效率和效果、提供可靠的报告、遵循所适用的法律和法规。判断一个内部控制系统是否有效, 需要如下步骤:首先判断内部控制系统能否合理保证目标的实现;其次内部控制系统能否合理保证目标的实现, 取决于这五个要素是否在同时发挥作用, 只有这五个要素同时发挥作用, 才能说明内部控制系统可能是有效的;最后, 判断这五个要素是否有效, 这取决于内部控制要素的17个原则和82个属性是否发挥作用。无论是新框架还是旧框架, 评价的标准没有变化, 只不过旧框架中没有原则和属性的概念。

(二) 内部控制新旧框架发生变化的方面

(1) 考虑了业务和经营环境的变化。在新框架中, 内部控制的设计更加具有灵活性, 其充分考虑了组织业务和经营环境的变化。这些体现环境变化的内容主要包括:期望基于公司治理的视野设计内部控制;考虑全球化的市场和经营的因素;考虑业务的变化及其更加的复杂性;考虑法律、法规、规章和标准的要求和复杂性;期望人员的胜任能力和责任性;使用和依赖日趋发展的科技;期望能够发现和预防舞弊。这样变化使得企业在设计内部控制与环境的联系更加紧密, 从而有更好的适用性。 (2) 经营和报告目标的扩展。从名称上来看, 经营目标没有变化, 但实质上其经营的目标范围有所扩大, 旧框架中经营目标所指的保证经营的效率和效果, 主要指达到经营的目标;新框架中经营目标不仅包括经营的目标, 还包括达到财务绩效目标以及保证资产不受损失等经营目标。在报告目标上, 旧框架中仅指对外列报的财务报告目标, 保证财务报告的真实、可靠, 其范围界定为对外报告的财务报告;新框架中的报告目标中的“报告”, 不仅包括对外的报告, 还包括内部的报告, 不仅包括财务报告, 还包括非财务报告。这些报告的披露要遵循法律法规、准则以及企业政策等所规定的可靠性、及时性、透明性等要求。这无疑增加了报告的内涵、外延和要求, 对于各利益相关者都具有非常大的影响。报告目标的扩展不仅增加了企业的成本, 而且也加大了注册会计师的审计风险。 (3) 五要素基础概念中体现的是原则导向。无论新旧框架, 采用的均是五要素, 但在其基础概念中采用的方式不一致。旧框架中没有明确提出构成各要素的原则, 在新框架中针对五个要素, 提出了17项原则, 而且在原则下面又提出了相应的属性。每一个要素, 都对应相应的原则和属性。这17项原则是构成这些要素的基础性理念, 也是判断内部控制是否有效的主要标准。原则导向体现了新框架全新的思路和理念, 每个企业根据自身的实际情况和环境的变化, 根据这些原则, 设计适合自身的内部控制, 这些都有利于增加内部控制的适用性、时效性和灵活性。但另一方面, 由于这些原则不是针对某个特定企业而设定的, 而是设计内部控制的一些原则性基础, 因此, 具体到某个企业如何根据这些原则设计适合于自身的内部控制制度, 需要设计企业内部控制的相关组织或人员进行判断, 这无疑增加了设计的难度。 (4) 增加了与经营、合规性和非财务报告目标相关的一些案例和方法。在新框架报中, 提供了一些评估内部控制系统有效性工具的一些例子, 给出了外部财务报告内部控制的一些方法和例子。新框架给出了这些要素的原则和属性是如何影响外部财务报告的, 它给出了一个对管理层非常有用的总结性说明, 一个要素下的某一个原则会影响其他要素的有效性, 如, 控制环境下的原则:组织的诚信和价值观, 这一原则会影响控制环境要素下人力资源政策保证雇员理解行为规则并且企业的雇员都在遵循这一政策的有效性, 并且会影响信息与沟通要素下比较管理层所获得的数据与信息热线获得数据的偏差, 以评估信息数据的质量;还会影响监督活动要素下根据获得的雇员行为和举报热线的结果, 内部审计单独评估控制环境的有效性等等。由于被征求意见的大多数人和组织, 不建议内部控制旧框架推倒重来, 因此, 总的来说, 新框架是在旧框架基础上结合环境的变化形成的, 是变化了的环境下的产物, 主要体现在:考虑了业务和环境的变化, 如全球化、技术的进步等;扩展了业务和报告的范围;提出了原则导向的五要素基础理念;增加了一些例子来说明如何判断内部控制的有效性, 具有较强的操作性。因此, 新框架主要是时代的产物, 使得内部控制新框架更加灵活和适应实际状况, 而且具有针对性。

三、新框架与ERM框架比较

(一) 内部控制与企业风险管理的关系

2004年, COSO委员发布了其另一经典性的报告《企业风险管理———整体框架》 (ERM框架) , 当时很多人以为该框架会取代1992年内部控制框架, 但COSO委员会从未发布过以ERM框架取代1992年内部控制框架的任何声明和文件。我国关于内部控制和企业风险管理的关系, 观点主要有以下几种:内部控制是企业风险管理的工具;内部控制是企业风险管理的一部分;企业风险管理是内部控制的高级阶段;内部控制包括企业风险管理等。我国财政部发布的《企业内部控制基本规范》中融合了1992年框架和ERM框架的内容, 属于“旧瓶装新水”, 从表面和形式来看是1992年的框架, 实质上体现的是2004年ERM的框架的内容。关于内部控制框架和ERM框架的关系, COSO委员会在征求意见稿中认为内部控制是企业风险管理的一个组成部分。企业风险管理比内部控制的内涵要广, 它延伸了内部控制的边界, 比内部控制更加关注风险。

(二) 目标比较

内部控制包括三个目标, 即经营、报告和遵循目标;企业风险管理除了包括三个类似的目标外, 它还包括第四个目标:战略目标, 这是一个比其他三个目标更高层次的目标。战略目标与企业的愿景相联系, 合理保证企业战略的实现, 经营、报告和遵循目标从属于战略目标。企业风险管理中引入了风险胃口 (Risk appetite) 和风险容忍 (risk tolerance) 的概念。风险胃口是与企业愿景相联系的一个词语, 它应用于战略的制定, 并选择相应的目标。如果设定为风险容忍的层次, 则管理层需考虑相应目标的重要性, 并将容忍的程度限定在风险胃口内。风险容忍是内部控制的前提条件, 但并不是内部控制的一个组成部分。

(三) 要素比较

从要素数目上来看, 内部控制框架为五要素, 而ERM则为八要素, ERM框架增加了目标设定、事项识别和风险应对等三个要素。除了数目上不一致外, 在名称上, 二者第一个要素和最后一个要素不太一致。单从名称上看, 第一个内部控制要素为控制环境, 而ERM的第一个要素为内部环境, 最后一个内部控制要素为监督活动;ERM的最后一个要素为监督。具体比较如下: (1) 控制环境。在ERM框架中, 更加强调的是风险管理的哲学和理念, 强调的是内部的环境, 主要是关于企业考虑风险的态度和特点, 反映了它的价值观, 并会影响企业文化和经营风格。由于董事会的重要性, 企业风险管理框架和内部控制框架中均要求董事会成员中要包含一定数量的独立董事, 但二者要求的数量不同, 内部控制框架通常要求2名即可, 而ERM框架中要求大多数董事都应为外部独立的董事。 (2) 风险评估。这两个框架均要求对企业内部的、外部的各个层次的风险进行评估, 而且均要求评估风险对目标实现的潜在影响。但很显然, 企业风险管理框架更加注重风险, 它将此要素扩展为四个要素。内部控制框架中没有考虑潜在事项的影响, 这部分事项可能会影响企业战略的实施或目标的实现。这两个框架均要求对风险进行评估, 但企业风险管理框架对风险评估的要求要高一些, 它要求基于固有的和剩余基础来评估风险, 这些风险要与战略和目标实现的时间相一致, 而且同时要求关注内部相关的风险, 一个单独的事项可能会引起多种风险。与内部控制框架一致, 企业风险管理框架风险应对的策略包括回避、降低、分担和接受。但企业风险管理框架还要考虑企业风险胃口和风险容忍度。 (3) 控制活动。控制活动的目的均是根据风险评估的结果所采取的活动, 其目的是为了使风险降低到可以承受的范围之内。但内部控制新框架更多地体现了目前科技因素的影响, 并考虑了科技对企业的影响。 (4) 信息与沟通。在信息与沟通方面, ERM的范围更为广泛一些, 它所分析的数据, 包括来自于过去、现在和将来潜在事项的数据。而内部控制框架则更多地关注数据的质量以及与内部控制相关的数据。至于沟通, 均包括内部沟通和外部沟通。 (5) 监督活动。这两个框架都认为监督活动是为了保证内部控制和企业风险管理发挥作用并能继续适用。不过, 内部控制框架代表了更新的观点, 包括运用基础的资料进行监督以及要监督外部的服务提供商 (如审计师) 。可见, 企业风险管理框架要素与内部控制要素主要区别在于:一是数量上的区别;二是企业风险管理框架的要素更加关注风险, 以及风险与战略的关系;三是内部控制新框架更加体现了现代技术和科技的影响, 在要素中融入了科技因素。

参考文献

[1]丁红燕《:COSO内部控制新框架的变化及对注册会计师审计的影响》, 《中国注册会计师》2012年第12期。

[2]COSO.Internal Control-Integrated Framework (1992) , http://www.coso.org.

[3]COSO.Internal Control–Integrated Framework (2013) , http://www.coso.org.

COSO新框架篇2

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度，是COSO框架其他四要素的基础。

（一）当前高校财务控制环境存在的主要问题具体如下：

（1）主体缺乏现代管理体制，管理缺乏内部控制观念。我国绝大部分高校属于国家全额投资的公立学校，即唯一的股东就是国家，高校校长、书记等领导人员由上级委派。审计部门是主管教育委员会（监事委员会），校党委是高校的权力决策机构（治理层），高校中层以上管理者（行政处级干部）相当于企业的管理层。这样的权利结构，不同于现代化企业的股东会（决策者）、董事会（执行者）和监事会（监督者）的“三足鼎立”，机制上可以互相牵制，可以获得真正的理财自主权。我国高校虽然由过去国家统包统揽计划政策逐步转向自主化、市场化、独立办学的专门实体。但无论是主管部门教委，还是学校管理者，旧体制带来的影响在较长一段时间内难以消除，仍有部分管理人员思想僵化，内部控制观念比较淡薄。

（2）管理层不重视对内部控制制度的制定与实施。一方面，部分高校管理者只注重教学、扩招、创收和科研工作，缺乏内部会计控制管理理念，对内部会计控制制度建设缺乏足够重视，认识上存在误区，认为内部会计控制仅仅是财务部门的事。一些高校虽然制定了有关内部会计控制的规章制度，却常常不照章办事，有的高校部门负责人甚至带头不执行内部会计控制，滥用职权破坏既定的内部控制程序，内部会计控制制度没能得到有效的执行。

（3）资产配置不合理，资金收支控制意识淡薄。高校资金属于财政无偿拨款，长期以来重计划而轻执行、轻考核，大多数高校未采用市场机制来优化资源配置，而仅仅只考虑学校内部各职能部门对成本的核算和对其进行的考核。在一些资产的管理和配置上存在薄弱环节，如高校在后勤社会化改革校办产业发展和重大支出项目安排中，不时会出现缺乏相关的决策程序和责任制度，没有经过科学谨慎的论证，也没有相关的风险防范和控制措施等现象。

（二）改善高校财务控制环境，建立有效内部控制制度一个良好的内部控制环境并不能够完全消除各种舞弊事件的发生，但是却可以起到很好的预防作用，所以必须加强高校控制环境的建设。加强高校控制环境的建设主要体现在以下几个方面。

（1）树立诚信的道德价值观，创建良好的控制环境。诚信道德价值观是控制环境的重要组成部分，影响到重要业务流程的设计和运行效率，内部控制的有效性直接依赖于负责创建、管理和监控内部控制人员的诚信和道德价值观念。因此，高校员工的诚实性和道德观要求，不仅仅是对于财务部门专业会计人和治理层、管理层的基本要求，也是对全校教职工的要求。

（2）强化治理层的参与深度，树立成本效益意识。财务内部控制是一个系统工程，涉及方方面面的人和事，如果没有领导的重视和参与，单靠财务部门根本是不可能的，只有认识到财务内部控制的重要性，才能使财务内部控制落实到位。高校的控制环境在很大程度上受高校领导（治理层）的影响，因此治理层必须从一个最高最广的视角来思考对其最有效控制目标的实现方法，并对最有效的方法给予前瞻性的考虑，确保所有流程系统是有效的，以此实现财务控制目标。

（3）建立一支高素质高水平的财会队伍。各高校应做到严把用人关，选拔德才兼备的财务人员、财务管理人员，确保财会队伍具有较高的道德水准和专业素质；加强职业道德教育和会计继续教育，形成自我控制为主、自检自律为主要手段的财务内部控制制约机制；要对某些岗位实行强制休假制度和定期或不定期的轮换制度，以便相互牵制、相互监督、相互制约。

二、高校财务风险评估分析

风险评估是通过对影响组织的各种不确定因素，即潜在的风险和危机的来源、性质、数量、影响等进行识别、分析、评价，得出综合评估结论，在此基础上采取应对策略，对风险进行管理和控制的系统理论和方法。这一环节是COSO内部控制整体框架的独特之处。

（一）当前高校财务风险评估存在的主要问题主要包括：

（1）高校财务风险管理意识薄弱。在我国现阶段，对风险的评估管理仍处于探索、研究，并仅在一些特殊行业、高科技领域和大中型企业管理中处于起步阶段，远未达到普及推行、广泛应用的程度。因而在我国高校风险意识普遍淡薄，更谈不上对风险进行评估和管理，高校面临的财务生存与发展的风险逐步加大。

（2）尚未建立系统的财务风险评估体系。在竞争激烈和风险因素不断增加的形势下，完善的风险管理与风险预警模式在我国高校还处于空白状态，是一个完全崭新的课题，也尚无成功的经验可以借鉴。如对投资立项、评估、实施和决算等环节控制松弛，不能有效防范和控制投资风险；筹资活动不规范，不能科学合理地确定筹资规模、结构、方式、资金成本，不能有效防范和控制筹资风险。因此，尚未建立系统的风险评估体系使得财务风险增加，并像一个定时炸弹一样时刻威胁着高校的发展。

（二）识别财务风险，建立有效财务内部控制制度目前多元化资金来源、高校大规模扩建以及高校的竞争压力，给我国高校的经营带来了经营和财务风险。只有对这些风险进行识别和评估才有助于管理者了解事件本质，只有在对风险进行识别和评估的基础上，才能够进一步针对财务风险作出恰当反应，以保证财务内部的有效控制。

（1）识别与评估高校财务风险。高校风险管理部门必须对可能发生的财务风险因素进行预测、感知和统计，识别高校面临的客观风险源和主观风险源，判断所发现或预测的因素是否存在，以及这种因素的影响程度。风险评价包括对风险成因、发生概率、危害程度、影响范围、损失大小、预期时间等因素进行定量与定性分析，是高校风险评估管理体系中最主要的环节。通过对所有潜在的风险发生概率和程度、规避或减小风险的可能性估值等数据进行测算、分析和评价，并与高校治理层能够承受的或公认的安全指标进行比较，得出风险评估结果，并决定是否发布风险预警。

（2）预防与应对高校财务风险。在财务风险识别与评估的基础上，按照改变风险后果的性质、风险发生的概率和后果大小等方面状况，并开展财务风险管理的成本效益原则，提出处置与应对风险的意见、办法和措施等应对策略。

三、高校财务控制活动分析

控制活动是指为确保管理层指示得以执行的政策和程序，它贯穿于企业所有层次和部门，是实施内部控制的具体方式和核心内容，包括与批准、授权、业绩评价、信息处理、实物控制、资产保护以及职责分离等相关的活动。

（一）当前高校财务控制活动存在的主要问题具体包括：

（1）实物控制存在缺陷。高校管理层应但了解实物控制，设计控制流程和规章制度，例如：现金的日清月结，有价证券和存货的定期盘点控制等财务制度。然而现实工作中，这些最基本保证资产安全的要求，往往在实际工作中流于形式，从而影响资产安全，财务报表的可靠性产生影响。

（2）职责分离控制存在缺陷。高校应将不相容职责分配给不同的人员，从而形成各个职责间的相互牵制与监督，以防范同一员工在履行多项职责时可能发生在的舞弊和错误。最典型的职责分工，如：出纳人员不得负责收入、费用、债权、债务账簿的登记工作以及稽核和会计档案保管的工作；财务授权与财务记录不能为同一人等。在高校挪用学生收费资金的事件频频发生，其中有的财务人员擅自开具收据而收款不入账，就是未控制收款人员与票据管理人员没有分离造成的后果。

（二）加强高校财务控制活动，建立有效内部控制制度控制活动是为了合理地保证学校教育事业管理目标的实现，并指导教职员工实施管理指令而采取的活动。为了化解风险，在设计控制活动时保证单位各种职能部门均渗透到不同的控制活动中去，就应建立严密的内部控制体系，为内部控制的有效实施奠定坚实基础。

（1）加强对内部控制活动的了解。在了解控制活动时，高校管理层应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及防止或发现并纠正各类交易、账户余额、列报存在的重大错报。针对识别和了解的重大错报领域而采取相应的控制活动，从而有效地降低财务风险。

（2）建立预防财务风险的审计机制。进行风险导向审计，针对可能产生的各类财务风险，采取相应的风险防范预警措施，从源头上控制财务风险。内部审计部门或者内部控制部门都应该在管理层的支持下牵头建立对企业发展有效的风险管理流程，内部审计部门可以成为一个十分有效的风险管理工作的推动者。如建立预防过度举债或不良举债的审计指标，保证适度的举债规模；建立和完善预算审计制度，确保总预算和项目预算没有赤字；加大高校财务收支的日常审计，加强对大额现金支出的管理，严格会计核算制度，保证每年的事业收支的合法性、真实性等。

四、高校财务信息系统与沟通分析

信息与沟通是单位及时准确收集、传递与内部控制相关信息，是确保信息在单位内部、外部之间进行有效沟通和实施内部有效控制的重要条件，是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。

（一）当前高校财务信息系统与沟通存在的主要问题包括：

（1）缺乏外部沟通，削弱了外部各部门的支持。高校地方经济发展的协同效应是不可低估的，通过与利益相关门及监管部门的沟通使其认识到高校对地方经济发展的重要作用，提升其影响力，可以获得更多的拨款资助与政策支持。而高校往往相对较封闭、独立，公开的沟通渠道往往被各种障碍所阻塞，因此取得外部各部门各方面的支持较少。

（2）内部沟通的障碍影响工作效率及效果。大部分高校虽然实现了办公系统自动化，但是储存于网络系统中的财务信息安全、可靠、完好性并未得到足够的重视，没有一个有效的机制使得相关信息在管理层能及时共享，使各个层面拥有所需信息。因为各个部门之间不能及时准确地获取和归集信息，缺乏适当的沟通程序从而产生沟通障碍，导致工作的效率及效果受到影响。

（二）改善高校财务信息系统与沟通，建立有效内部控制制度目前高校内外部甚至各部门内不能在第一时间掌握有效信息，导致决策失误甚至徇私舞弊事件时有发生，所以高校应建立一套公开透明的信息披露机制，建立上行沟通和下行沟通网络，达到对外、对内的无障碍沟通。

（1）建立有效的纵向沟通机制。高校的纵向沟通是指高校与外部环境中的主体沟通，如主管部门的教委、其他政府部门、相关企事业单位。通过建立信任，适时采用走动管理，安排正式或者非正式的纵向沟通机制，降低高校财务风险。

（2）建立高效的横向沟通制度。结合高校实际，不仅仅要实现纵向沟通，还要实现高校财务、教学、后勤等各部门、各环节的横向沟通，改造现有信息系统，把内控的流程和风险点固化到信息系统中，“将内控信息化”。汇集各种内控信息数据，做好各部门之间的协调和相互促进工作，加强部门间信息交流和资源共享，增进相互之间的理解和沟通，全面提升内控制度的有效性。

五、高校财务控制监督分析

监督是对控制活动的一种再控制，基本形式有内部审计和内部控制的自我评估两种。主要目的是单位对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷加以改进，是确保各项控制活动得以实现监督的一种措施。

（一）当前高校财务控制监督存在的主要问题包括：

（1）高校内部审计不到位。内部审计是高校内部的一种独立客观的监督和评价活动，是控制环境的要素之一，是确保高校经营活动及内部控制的适当性、合法性和有效性。然而现实问题是高校的内部审计机构独立性和权威性不强，未得到足够重视，其监督未起到应有的牵制和约束作用；内部审计人员素质参差不齐，监督管理岗位人员缺位、职责游离，缺乏独立工作环境；内审工作范围过于狭窄，局限于对财务收支及有关经济活动进行检查和评价，很少触及高校管理的其他领域。

（2）专项监督不确定。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定，由于日常监督不到位，专项监督也难以开展。

（二）改善高校控制监督体系，建立有效内部控制制度高校必须充分发挥内部审计部门的监督作用，加强内部审计制度建设，保证高校内部控制制度的有效运行，预防财务风险。针对目前内部审计制度中存在的问题，高校可以采取以下措施来完善内审制度。

（1）提高认识，重视内部审计工作。高校治理层应充分认识到内部审计在现代高校管理中的重要性，为内部审计配置适宜的人力、技术、经济资源，提高内部审计机构和内部审计人员的地位，充分调动内部审计人员的工作热情。作为内部审计部门，不仅要发现问题，更重要的是帮助分析查找问题产生的原因，提出切实可行的改进措施并督促落实整改，以规范财务行为，提高经济效益。审计部门还应力争将内部审计部门的宗旨、权限和职责以书面的形式形成章程得到高级管理层的批准或直接汇报，并提出合理化建议，从而赢得管理局的重视。

（2）改善配置，加强专项审计。高校在资金供给不足的情况下，为适应其发展需要，在利用银行贷款进行规模扩张时，内部审计部门应对贷款项目实施全方位、全过程监控，定期对贷款资金的使用情况进行分析评价，进行专项审计，建立重大项风险预警提示制度防范财务风险；通过对国家财政拨入的专项目资金进行审计，控制资金投向和投量，确保专款专用，使其项目达到预期要求。

综上所述，本文初步探讨了COSO 框架在高校内控中的应用以及怎样完善高校财务内部控制，然而COSO本身的局限以及高校自身的特殊性致使COSO在高校财务内控中的实际应用效果仍值得商榷。COSO报告本身存在一定的局限性。从控制目标维度看，COSO有效性目标在与控制流程特别是其中的风险评估与控制活动相衔接时，存在着逻辑跳跃或者说逻辑断层; 而从控制流程维度看COSO 内部控制框架流程的落脚点是对风险的控制而非对企业目标的落实，这意味着内部控制框架流程与内部控制框架目标之间存在着逻辑错位。逻辑断层和逻辑错位的存在，是COSO内部控制整体框架概念被质疑缺乏可操作性的主要原因。

COSO 报告主要是针对企业的内控而设计的，尽管目前高校已经面临着与企业类似的自主经营、自负盈亏的问题，但高校还是有其自身的特殊性。在我国，高校依然是非盈利性的组织机构，其收入很大程度上依然取决于政府的财政生均拨款，此外相对企业而言，高校承担着更多的社会职能。这些区别导致高校在控制环境建设、风险评估、风险识别及应对、控制活动的实施、沟通与监督体系的建立等方面与企业存在一定的差别，需要进一步的探讨与研究。

参考文献：

［1］渠苏平：《高校财务风险防范措施刍议》，《财会通讯》2007年第10期。

COSO新框架篇3

一、国有企业内部控制体系建设的现状

(一) 对内部控制意义及作用的认识不够充分

近年来, 我国国有企业的高层管理者对现代企业管理的认识越来越深入, 从前只知道管好生产经营就行, 不知道什么是内部控制的领导人已经越来越少, 然而, 为什么要建设内部控制体系, 内部控制体系究竟能为企业带来什么, 在很多国有企业领导人心里还是一团理不清的乱麻。由于认识不足, 一类领导人把内部控制管理到极致, 造成企业管理过于集权化, 经营过程中出现体制不灵活, 缺乏效率, 不能跟上高速发展的市场经济。另一类领导人则认为内部控制体系的建设会增加企业成本投入, 影响生产经营, 往往只将内部控制做一个空架子, 而后便束之高阁, 不能在企业经营中发挥其应有的作用。

国有企业对内部控制管理的作用和意义认识不足, 使得内控制度缺乏强有力的目标基础, 从而导致整个内部控制体系从根本上就无法建立。

(二) 缺乏激励、没有动力

在我国国有企业的发展中, 激励机制欠缺现象一直存在, 虽然有很多的企业注意到这类问题的严重性, 也采取了相关的措施来进一步的弥补, 但是效果不佳。在激励机制欠缺的情况下, 许多的有高业绩、高回报的员工得不到企业的激励, 很难在他们的心理形成动力, 他们的进取心和积极奉献的精神就慢慢的消退, 企业的总体经营水平也就得不到提高。随着企业改革的逐渐深化, 企业赋予了更多的自主经营权, 但是这些权利掌握在经营者的手里, 有的员工为了竞争高职位和高水平的收入, 利用大量的时间进行夺权, 而不是放在业绩和经营上;也有的员工好吃懒做, 贪图享乐, 希望弥补激励不足的问题。缺乏良好激励机制的企业好比断了电的发动机, 员工没有积极性, 生产经营没有效率, 人才大量流失。在这个“得人才者得天下”的市场经济中, 没有人才的企业必定无法生存。

(三) 没有统一的内部控制标准和合理的机构设置

企业在发展中不是一个独立的经济体系, 它会受到经济, 政治、文化和法律等影响。国有企业内部控制作为企业经营管理理念的重要组成部分, 其发展也会受到这些因素的影响和制约。在当前的经济体制下, 我国国有企业在政治、经济、文化等环境的影响下还不完善, 存在着许多的不利因素, 制约其内部控制的有效进行。主要表现在计划经济体制制约着国有企业内部控制的形成和发展;国有企业内部控制的建立、实施、考核评价等缺乏统一的指导;国有企业的外部监督缺少有力和必要的管理手段等。这就说明了国有企业还没有完全的建立一个统一性、完整性的内部控制和标准化的管理体系。

二、COSO内部控制新旧框架的变化分析

此次COSO内部控制新框架的修订, 对内部控制的有效性提出了具体的要求, 其中着重强调的一点是:内部控制体系的实施过程中, 要注意企业所处经济运行大环境的变化。

通过对COSO新旧框架的变化分析可以看出, 新框架有如下特点。

(一) 强调内部控制不是一个目标, 而是一个实现目标的过程

新框架特别提到:“内控是一个达到目标的手段, 而非目标本身”。国有企业高层管理人员在对内部控制体系的设计、运行及监管过程中没有结合企业自身的实际情况, 总是会出现生般硬套的情况, 内控制度一旦建成, 也很少关注其是否有效、可行, 随着公司经营情况和市场发展情况的变动, 有没有需要与时俱进的地方。内部控制体系从建设到实施到评价, 这是一个动态的过程, 在这个过程中, 企业高管应有洞察内部控制有效性的能力, 随时针对不同环境及企业自身的变化, 调整内控体系, 以保证其高效的控制。

(二) 对内部控制提出了更为明确的要求

旧的内部控制框架提出:内部控制有五大要素, 包括控制环境、风险评估、控制活动、信息沟通以及监督活动。而此次COSO发布的新框架提出了基于内部控制这五大要素的17项原则和82个相关属性, 这些原则和属性构成了建立与评价企业内部控制的主要标准, 使内部控制更为具体和明确, 提高了组织建立有效内部控制的可操作性。

(三) 突出了公司冶理结构在内部控制中的重要作用

新框架对公司治理提出了许多意见和建议, 着重指出董事会在内部控制中的重要作用。公司治理结构是否完善, 是内部控制体系能否有效搭建和执行的关键环节, 更对企业的可持续经营起着至关重要的作用。公司股东会、董事会、监事会以及经理层要能够各负其责, 并协调运行, 相互制衡。

三、COSO内控新框架对国有企业内部控制的启示

(一) 加强和改善内部控制管理机制的建设

目前, 我国的国有企业中有相当部分内控机制还不够完善, 缺少有效的、全程的内部控制管理体系。COSO新框架提出的17条原则, 对改善内部控制管理机制的建设提出了具体的标准, 我国国有企业应对照这17条原则, 对内控管理机制进行完善。

(二) 注重各阶段的评估和调整

COSO新框架要求企业在内部控制实施中, 事前、事中、事后做到全程控制。我国有相当一部分国有企业只关注事前控制或事中控制, 往往对事后的分析、评价不重视, 甚至完全忽视。没有事后的考核机制, 所有事前和事后的控制都得不到有效的评估也无法看到整个内部控制过程中存在的问题和缺陷, 也无法进行及时的调整和完善。

(三) 从建设企业文化入手, 加强内部控制环境建设

环境控制是内部控制五要素之一。首先企业高层管理者要有自己的经营理念, 对企业的发展有长远的愿景, 这些将成为企业经营的行为准则, 因此, 企业高层管理者还要通过各种方式将这些理念、愿景灌输给下面的中层管理者及一线员工, 包括形成企业特有的口号、标识、组织各种有针对性的集会, 提升团队的荣誉感、建设一支有企业价值观的队伍。这就是企业文化的建设。在企业文化逐步形成的过程中, 内部控制的环境建设也在逐步完善。我国国有企业在企业文化的建设上有其特殊性, 可以结合现在的党委、团委、工会等组织力量, 发挥党员、团员等优秀职工的凝聚力, 构建一个积极向上、团结进取的企业文化, 同时促进内部控制环境的完善。

四、完善公司治理结构, 推动企业快速运转

我国国有企业在经历体制转换后, 制度上股东会、董事会、监事会都设立完备, 但实际经营过程中, 股东会、董事会、监事会的作用还不能完全体现出来。应进一步推动国有企业政企分开, 让企业拥有更多的经营自主权, 让国有企业的股东会、董事会、监事会能与私营企业一样, 在企业经营中发挥其应有的作用。

五、结语

COSO新框架篇4

关键词：行政事业单位；COSO框架；内部控制

一、内部控制及COSO框架理论

（一）内部控制的概念与意义

内部控制是以预防为主的工作制度，在实际工作中逐渐发展和完善的一种约束机制，它贯穿于整个经营活动。行政事业单位的内部控制就是为了保护财政拨款资金的有效使用，单位全体工作人员共同对经济活动的规范和控制。其基本意义在于：首先，完善的内部控制制度有利于保证会计信息的真实可靠性，规范了会计行为，确保资产的安全。其次，《行政事业单位会计准则》给行政事业单位内部控制法律上的肯定，有利于实现依法理财。最后，运用科学的内部控制方法，避免了资金的非法占用，使财务工作按规执行。

（二）COSO框架理论

美国COSO委员会发布研究报告《内部控制———整体框架》（即 COSO 框架），是内部控制的权威和理论，该报告明确指出，内部控制要由单位管理层与工作人员协同设计实施，主要是为财务信息的可靠性，工作的效率以及相关法律的遵循提供合理的保证。主要将内部控制划分为五个要素：控制环境、风险评估、控制活动、信息与沟通和监督。

二、行政事业单位内部控制存在的问题

（一）内部控制环境不尽人意

1、内部控制制度不健全，执行不力

我国行政事业单位内部控制体系基本建立，但没有规范的内控准则，就不能适应日益复杂的社会环境。行政事业单位亟待制定统一标准，完善内部控制管理。行政事业单位的班子成员由上级任命，他们主要对上级负责，关于单位内部控制不积极。有些单位不按照规定私自挪用、挤占专项资金；有些单位没建立抽查制度，财产清查不正规，期限不明确；内部审计缺乏规范化、制度化，延期上缴收入。由于内控制度不健全，没有执行准则的约束，问题不能得到及时解决。

2、缺乏严密的内部控制体系

内部控制体系一般包括：内部管理控制、财务控制、会计控制、审计控制。每个控制系统都是环环相扣，相互联系。内部管理控制是对人的控制，解决人事关系的分配问题；财务控制是解决资金收支控制问题；会计控制是会计信息的相关和可靠性；审计控制是对上述控制的监督性控制。许多单位都是缺乏这种紧密的内控体系，仅凭经验、惯例处理问题，业务流程不规范，才使得内部控制存在诸多疏漏，导致内部控制体系缺失。

3、内部控制目标不明确，方法不科学

由于行政事业单位自己来源于财政拨款，从单位负责人到工作人员没有明确的、标准的内部控制目标。有的单位实行“一把手”制度，看上去内部控制集中、有效，但由于“一把手”精力有限不能看清所有事情，容易感情用事，因此这是很不科学的内控方法。

4、内部控制缺乏坚实的会计基础工作

会计基础工作薄弱会导致内部控制不能有效执行。有的单位购买物资没有原始记录，使用更是不规范，甚至有虚开假发票报销现象；有的单位账务混乱，账实不符现象严重；有的单位印鉴由一人保管，出纳会计由一人担当。由于这些不健全的财务管理制度，导致内部控制管理随意性较大。

（二）内部控制意识薄弱

人员素质不高，对内部控认识不到位。许多行政事业单位管理层过多重视自身政绩而忽略单位的内部控制管理，单位领导、各部门工作人员及财务人员由于素质不高也对内控制度的重要性没有充分的认识。有的领导误认为事业单位主要是公共事业管理，无需建立内部控制制度；有的则是将内部控制拘泥于财务部门，只要财务把关即可，忽视了本身的内部控制监督职能；有的单位有内部控制观念，但是将内部控制等同于部门预算控制了，简单的认为有了部门预算就等于制定了内控体系。财务人员自身没有掌握内部控制的相关理论知识，更谈不上规范内部控制制度了。各部门工作人员缺乏内部控制认识，参与不到本单位经济事项的决策和实施，同样发挥不到控制监管作用。

（三）内部控制缺乏监督机制

1、内部监管体系不完善

对内部控制实行监督、考核、评价是内控体系重要的部分。内部监督机制不到位，本质上采用“自己监督自己”的不合理模式，在这种模式下，内部控制缺乏独立性，监督流于形式。许多行政事业单位内部审计人员由纪检部门人员担当，虽具备良好的监督能力，但缺乏相关审计的专业知识，对于内部审计工作不能完全胜任。

2、外部监督失效

除了内部监管不到位，外部监督不力在一定程度上也影响着行政事业单位内部控制的建设。政府对事业单位的经费支出进行着约束，但是却没有周密的约束机制和监督力度，使得不少单位仍违反财务制度，私自挪用、挤占专项经费。有些涉及国家保密性质的行政事业单位，由于不能完全披露相关信息，导致外部监督不能充分发挥作用。

三、基于COSO框架，建设和完善内部控制的对策

（一）建立良好的内部控制环境

1、健全内部控制制度

想要完善行政事业单位内部控制，当务之急是要有一套完整的内部控制制度准则。结合事业单位特殊性，借鉴COSO框架、企业的内控经验，相关主管机构应制定具有清晰概念的行政事业单位内部控制制度，为内部控制活动提供有章可循的理论保障。另外，还应出台与之相配套的法律法规，以适应多数单位的共性与个别单位的个性。根据内部控制的制度和内容确定关键控制点，单位才能从不相容职务相互分离控制和程序授权批准控制等方面更好的实现内部控制。

nlc202309020605

2、建立完整的内部控制体系

参考COSO标准，规范内部控制体系时，要结合单位实际，按照相关费用完善内部控制程序，合理设置岗位，明确岗位职责权限、范围及奖惩办法，加强重要岗位和薄弱环节的控制。最终，形成一套有针对性的、理论相对完整的内部控制体系，切实规范行政事业单位的内部控制建设。

3、控制环境，科学内部控制

在COSO框架中，控制环境是内部控制的基础，与企业相比，行政事业单位控制环境不太乐观，因此控制环境要从源头抓起。对于外部环境，要改革对唯上级指示是从的态度，单位管理层不能只对上级负责，更要对内部控制负责。对于内部控制，应借鉴企业的内控制度，对单位各部门的内部控制要具体落实到个人，并实施奖惩制度。

4、优化会计基础工作，规范会计核算

加快完善会计的基础工作，强化财务监督，更好的提高会计信息质量。针对资产管理混乱的问题，行政事业单位要在实务中实时掌握财务动态，及时对资产进行处理，真正做到账实相符，账账相符。出纳做到日清月结，及时记账；会计主管定期对金库进行管理，杜绝不安全因素，确保自己安全。按照明文规定，对差旅费、办公费、会议费等报销费用使用公务卡结算制度，减少现金结算，避免管理漏洞。另还要规范会计核算，严格执行财务制度，确保科目列支正确、内容真实，核算流程正规。

（二）提高内部控制重视程度，强化内控意识

单位管理层在执行内部控制时，要起到以身作则的作用，明确领导应负的责任。首先，加强内部控制的培训学习，举办研讨班，不仅使管理层掌握了内部控制的理论知识，提高了对内控制度建设的认识，还可以了解到内部控制建设的发展动态，确立管理的重心，进一步指导本单位的内部控制工作。其次，对工作人员加大宣传力度，提高他们的素质，引起对内部控制的重视。只有上下团结一致，齐心协力，主动参与到维护和改善内部控制工作中去，才能真正将内部控制建设落到实处。

（三）实行内外监督控制机制

COSO框架认为，监督是内部控制管理工作中重要的环节，是考察系统体系运行质量的过程。从实际监督情况来看，内部控制审计应结合本单位经济活动情况及时调整，定期检查和监督，及时发现漏洞和隐患，防止经济违规，把审计结果与日常考核相结合，加强监管与奖惩力度。在内部审计的同时，建议上级主管单位也要实时监督和指导，对行政事业单位专门审计，对单位财务管理起到保障作用。只有做到内部审计自查与外部监督相结合，建立监督机构，才能真正完善行政事业单位的内部控制。（作者单位：辽宁省沈阳市鉄西区行政事业单位财务核算中心）

参考文献：

[1]吴翊. COSO框架下行政事业单位内部控制建设刍议.[J].中国农业会计.2013（03）.

[2]曾俊强. 从COSO框架角度浅析行政事业单位内部控制审计.[J].行政事业资产与财务. 2013（06）.

[3]马丹丹. 基于COSO报告框架的行政事业单位内部控制改进探析.[J].现代经济信息. 2010（24）.

[4]唐宇. 行政事业单位内部控制建设研究.[D].财政部财政科学研究所.2010.

COSO内控最新框架及其分析篇5

1. 1 旧框架的产生

COSO委员会( 全称: the Committee of Sponsoring Org-nization of the Tredway Commission) ,是美国虚假财务报告委员会下属的发起人委员会,该组织就内部控制、企业风险管理( ERM) 和舞弊防范提供领先思维和指引。COSO委员会于1992 年发布《内部控制—综合框架》,旨在帮助公司或组织制定和评价其经营、合规和财务报告目标的内部控制体系。该框架发布后,很快得到了美国联邦储备局、美国证券交易委员会和巴塞尔委员会等监管机构和国际组织的认可和重视,被广泛应用于政策、规则制定及管制中,例如AICPA于1996 年发布的《审计准则第78 号》( SAS 78) ,表示全面接受COSO报告的内容,从1997 年1月1 日起以内部控制框架取代内部控制结构。随后,众多企业应用COSO框架以更好地控制其实现预定目标过程中的活动,该框架在世界范围内得到不断应用,产生了广泛的影响。

1. 2 ERM框架的产生

虽然1992 年的COSO框架在帮助组织制定和评价其内部控制体系方面起到了十分重要的意义,但依然存在很多缺陷,比如内部控制系统中会计与审计的色彩太重,评价内部控制有效性标准过于主观,把企业经营和管理中一些重要职能( 例如目标设定、战略规划、核心竞争力培育、风险评估和管理等) 排斥在内部控制触角之外,以及没有充分认识到董事会对内部控制系统的至关重要性等( 张安明,2002) 。

为了解决这些遗留的问题,同时由于COSO框架在诞生10 多年后,西方发达国家爆发了安然、世通、施乐等公司财务舞弊案的会计丑闻,从而使得业界和监管当局更加注重加强企业的风险管理。比如,美国2002 年颁布的《萨班斯—奥克斯利法案》( SOX法案) 及其他国家或地区的类似法律法规对内部控制提出了更加严格的要求。SOX法案的404 条款,要求公众公司管理层对内部控制的有效性进行评价和披露,注册会计师也要对管理层的内部控制评价报告进行审计。

在这样的背景下,COSO委员会结合2002 年通过的《萨班斯—奥克斯利法案》 ( 简称 “SOX法案”) ,于2004 年更新了COSO框架,发布了《企业风险管理综合框架》 ( Enterprise Risk Management - Integrated Framework,简称 “ERM框架”) 。该框架的内容涵盖了IC - IF框架的内容,提出了适用于各类组织的企业风险管理的目标、重要构成要素、原则与概念,并集中关注风险管理,为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。由于在美国上市的公司都要遵守《萨班斯—奥克斯利法案》以及内部控制的有关规定,从而促使企业以更新后的COSO框架为标准开展内部控制体系的建设,大大地推动了COSO内控框架在世界范围的应用。

1. 3 COSO新框架的产生

近些年来,组织的业务和经营环境发生了巨大的变化,如科学技术的巨大进步; 法律法规以及各种标准的要求和复杂程度的大幅提升; 对公司治理监督期望的提升; 对风险以及基于风险的方法的更多关注; 市场和运营全球化成为大势所趋; 企业以及组织结构的复杂性不断提高,包括外包和战略供应商等。其次,20 世纪90 年代金融衍生产品的彻底崩盘、美国长期资本管理公司( Long - Term Capital Manage-ment) 事件、安然丑闻以及较近期的全球金融危机等大规模的企业治理和内部控制失败案例的发生,反映出管理层僭越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理未加统一协调、董事会监督无效等内部控制问题,都会对企业产生重大影响。此外,企业各层面对内部控制框架的能力和责任的预期越来越高,对其能防范和检测舞弊的要求亦不断提升。综合这些因素,COSO在1992 年框架的基础上,针对所要实现的新目标,即反映业务和经营环境的变化、扩大经营和报告目标以及使促进内控有效性的原则清晰化,相应地更新了背景、扩展了应用和将要求进行了清晰化,从而产生了2013 年新框架。

2 对COSO新框架的理解

2. 1 COSO新框架的构成

COSO新框架的成果主要包括两部分: 内控—整体框架( 2013 年版) 以及新框架实施于财务报告内部控制的方法和案例汇编。

内控—整体框架( 2013 年版) 包括内容摘要; 框架和多份附录; 评估内控系统有效性的解释性工具应用指南。主要包括内控的核心定义,目标的分类,内控的组成要素以及内控有效性的需求。

新框架实施于财务报告内部控制的方法和案例汇编旨在帮助用户在财务报告流程的内部控制上使用新框架,是一系列的与应用新框架中的原则相关的方法和案例。它提供了实际的方法和案例说明了五大要素和原则是如何应用到财务报告流程内部控制的设计、执行和实施阶段。这些方法和案例是分别于五大要素和17 条原则相对应的,并且描述了原则的不同方面是如何体现在财务报告内部控制的目标上的。主要包含以下几部分: 财务报告中如何应用内控原则的案例和方法; 近20 年来的营运和商业环境的变化; 各种实体的案例,包括公立、私立、非营利以及政府机构。

2. 2 COSO新框架的内容

2. 2. 1 对内控的理解

内部控制是一个过程,受企业董事会、管理层和其他员工的影响,旨在为企业运营,报告以及合规目标的实现提供合理的保证。运营目标是为了保证实体运营的有效性和效率,包括运营和财务业绩目标以及保证资产免受损失目标。报告目标主要由外部财务目标、内部财务目标、外部非财务目标、内部非财务目标构成,包括保证可靠性、及时性、透明性以及其他监管机构制定的其他准则或者规定。合规目标就是要求该实体必须遵守法律法规。

2. 2. 2 内控有效五要素对应的17 大原则

有效内控的五个要素分别是控制环境、风险评估、控制活动、信息和沟通以及监控活动。控制环境是所有其他内部控制组成要素的基础,管理层的态度和企业组织结构更是定下了内部控制的基调; 风险评估意味着分析和辨认实现目标可能发生的风险,是内部控制的前提; 控制活动是旨在确保管理层的指令得以执行的政策和程序,为内部控制的核心;信息与沟通旨在取得及时、确切的信息,并进行有效的沟通,为内部控制提供条件; 监控着眼于确保企业内部控制的持续有效运作,起到润滑剂的作用。

对应控制环境的五个原则: 一是企业对诚信和道德价值观的承诺; 二是董事会独立于管理层,对内部控制的制定及其绩效施以监督; 三是管理层在董事会的监督下,建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任; 四是企业致力于吸引、发展和留任优秀人才,以配合企业目标达成; 五是企业内部控制责任人的问责制度。

对应风险评估的四个原则: 一是企业制定足够清晰的目标,以便识别和评估有关目标所涉及的风险; 二是企业从整个企业的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险; 三是企业在评估影响目标实现的风险时,考虑潜在的舞弊行为; 四是企业识别并评估可能会对内部控制系统产生重大影响的变更。

对应信息和沟通的三个原则: 一是企业选择并制定有助将目标实现风险降低至可接受水平的控制活动; 二是企业为用以支持目标实现的技术选择并制定一般控制政策; 三是企业通过政策和程序来部署控制活动: 政策用来确定所期望的目标; 程序则将政策付诸于行动。

对应监控活动的两个原则: 一是企业选择、制定并实行持续及/或单独的评估,以判定内部控制各要素是否存在且发挥效用; 二是企业及时评估内部控制缺陷,并将有关缺陷及时通报给负责整改措施的相关方,包括高级管理层和董事会。

2. 2. 3 内控三维 “立方体” 结构

立方体的列从左到右依次是运营、报告和合规目标,每个企业都会制定相关目标以及用以实现这些目标的战略和计划。立方体的侧面,如下图所示,则揭示了企业的目标既可以从整个企业的层面来设定,也可以针对企业内部具体的部门、业务单元和职能部门来设定( 包括销售、采购和生产等业务流程) ,同时也描绘出了大多数企业等级式的自上而下的组织结构。立方体的正面是内部控制的五大要素,代表立方体的行。详见下图。

立方体描述了以下三者之间的直接关系: 企业目标( 即企业所要力求实现的) ; 内部控制要素( 即企业实现目标所需要的条件) ; 以及业务单元、法务单元以及企业内部的其他结构单元( 即内部控制要素运行的各企业层面) 。每个内部控制要素都跨越和适用于所有三类目标,并在企业的各个层面均适用。

3 COSO新框架的进步

COSO新框架延续旧框架的几方面是: 内控的核心定义; 三种类型的目标以及内控五要素; 有效内控需要五要素的共同作用以及管理层判断在设计、实施以及进行内控过程和评估内控有效性方面的重要作用。之前已有介绍,此处不再赘述。

COSO新框架相对于旧框架进步的几方面是: 考虑到了环境的变化,即更新旧框架的原因; 报告目标的扩展,提出了三个企业目标; 五要素的17 项原则的补充以及增加了对运营和非财务目标的案例分析,即同时发行的《新框架实施于财务报告内部控制的方法和案例汇编》一书。

4 COSO新框架的局限性

框架虽然为目标的实现提供了合理的保证,但依然存在局限性,即有效的内控系统可能也会导致内控的失效,因为内控系统并不能阻止错误的判断或决定,并且外部的事件具有不可控性,都可能造成内控的失效。因而只能提供合理的保证,而非绝对的保证。具体讲,局限性包括以下几方面:作为内部控制先决条件所制定的目标质量及其合适性; 人们在决策过程中的潜在判断缺陷; 管理层在应对风险和建立控制时对成本和收益的考量; 因人为原因( 错误或失误) 而导致的可能的内控失效; 控制可能会因两人或多人相互勾结而被规避以及管理层绕过内部控制职能及相关决定的能力。

摘要：美国COSO委员会于2013年5月颁布了新版《内部控制—整体框架》(IC-IF,以下简称COSO新框架)。该框架是对1992年版内部控制框架(以下简称旧框架)的继承与改进,进一步完善了企业内部控制理论。本文将对COSO新框架进行介绍,着重分析其产生背景以及所包含的内容,并将其与旧框架进行比较,并指出其发展变化。

COSO监控指引:一个整体框架篇6

一、COSO框架是一个整体框架

在介绍《内部控制监控指引》之前, 有必要先认识COSO框架。

首先需要认识的一个问题是, COSO框架究竟是整合框架还是整体框架?

先从COSO框架的产生背景来看。1977年美国颁布《反海外贿赂法》, 将企业未能保持健全的内部会计控制系统的情形视为违法。法案颁布后, 美国掀起一股内部控制建设的热潮。各机构纷纷出台有关内部控制的文件, 这些机构包括SEC、AICPA、FEI、IIA等。不同的机构站在不同的立场对内部控制做出不同的规范, 势必会导致企业无所适从的局面。1985年, 由AAA、AICPA、FEI、IIA和IMA等五大机构共同发起成立了“全国反舞弊财务报告委员会”, 即Treadway委员会。1987年该委员会发布首份报告, 引起广泛关注。该报告建议其发起组织共同协作, 整合各种内部控制的概念和定义。于是, COSO委员会应运而生。1992年, COSO发布了《内部控制———整合框架》。COSO在第一章“定义”中明确指出:“不同的人对内部控制有不同的理解。这使得人们难以对内部控制形成一个共识。因此, 本研究的一个重要目标是将各种不同的内部控制概念整合到一个框架之中, 在这个框架中建立一个共同的定义, 并明确控制的构成要素。本框架试图容纳大多数观点, 并为企业内部控制评价、规则制定主体的未来行动和教育提供一个起点。”在COSO《企业风险管理———整合框架》的第一章中也有类似的表述。2003年, SEC在《最终规则》中指出:1987年, Treadway委员会发布报告, 建议其发起组织共同协作整合各种内部控制概念和定义, 并形成一个共同的基准。从这里可以看出, 用“整合框架”是合适的, 它较好地体现了COSO制订《内部控制———整合框架》的初衷。

再从COSO框架本身的内容来看。内部控制五要素以控制环境为基础、通过收集和传递与控制对象有关的信息, 对风险进行评估, 并制定有针对性的控制措施对风险加以控制, 以降低风险, 将风险控制在可以接受的范围内。再通过持续性监控和专项的监督检查, 保证控制措施得以有效实施。这说明内部控制五要素之间是相互依存、密不可分的, 是一个有机的整体。同时, 《内部控制———整合框架》中多次强调, 内部控制是嵌入到企业管理活动之中而不是建立在管理活动之上的管理行为。因此也可以认为COSO框架是一个整体框架。

也就是说, 一个命名为“整合框架”的研究报告, 提出了一个关于内部控制的整体框架, 即框架从内容上看是一个由五要素构成的一个有机整体。

其次, 需要认识的是COSO整体框架的运行机理。

一般认为, 内部控制是一个从控制环境开始到监控的单方向运动的过程。其实不然。COSO提出, “内部控制并不是一个构成要素仅仅影响下一个构成要素的系列过程。它是一个几乎任何一个构成要素都能够和可能影响其他构成要素的多方向的往复过程。”

COSO为解释各构成要素之间的关系, 提出了著名的“金字塔模型”和“魔方模型”。本文在此基础上提出一个“柱状模型”, 如下页图1所示。

图1中, COSO内部控制五要素由控制环境、风险评估、控制活动、信息与沟通以及监控构成。柱状图的各个侧面均包括这五要素。同时, 每一个横截面也都由五要素构成。以监控要素为例, 我们把柱状图最上面的监控模块单独拿出来, 就形成了右边的一个小的五柱体, 它可以自成系统, 通过五要素之间的相互作用实现对内部控制的监控。在COSO《内部控制监控指引》中, 就有一个与小五柱体类似的模型, 只不过其形状为圆环状。内部控制整体框架柱状模型形象地说明了内部控制不仅仅是一个从控制环境开始到监控结束的一个单向进行的过程, 而是每一个要素均可以作为起点和终点的多方向进行的过程。每一个要素均内在地涵盖了其他四个要素, 没有一个要素能独立地存在。内部控制五要素“你中有我、我中有你”构成一个不可分割的整体。

二、COSO监控指引是对整体框架的一个诠释

在《内部控制监控指引》中, COSO提出了一个监控程序。该程序认为一个有效的监控由三个部分构成: (1) 监控基础的构建。含高层的基调、组织结构和理解内部控制有效性的基准。 (2) 设计和实施监控程序。含风险排序、识别关键控制点、识别有说服力的信息、实施监控程序。 (3) 评估和报告结果。这一程序是COSO内部控制整体框架的一个最好的诠释。具体如图2所示。

监控程序的第1部分“监控基础的构建”讲的就是“控制环境”。具体而言, “高层的基调”方面体现的是COSO《内部控制———整体框架》控制环境要素中的“管理层的理念与经营风格”层面的要求, 而在我国财政部等五部委发布的《基本规范》中, 则是“企业文化”层面的要求。“组织结构”方面则与COSO和五部委在控制环境要素中的要求完全相同。值得说明的是, 似乎在COSO和五部委的规范中对于“理解内部控制有效性的基准”方面没有作相关规定, 其实不然, 因为这是关于专业胜任能力方面的要求。在前述两个规范中均有明确规定。监控是为了动态评价内部控制设计的合理性和运行的有效性。而要评价就需要有标准, 这里讲的“基准”就是标准。它自存于评价者心中, 评价者的专业胜任能力越强, 则基准越高, 更多的内部控制缺陷会被发现和被要求整改。同时, “基准”本身也是一个不断被推翻和重建的过程, 这也是评价者专业胜任能力不断提高的过程。

第2部分“设计和实施监控程序”和第3部分“评估和报告结果”则分别从风险评估、控制活动、信息与沟通来展开分析。具体而言, 第2部分中的“风险排序”和“识别关键控制点”讲的就是“风险评估”;第2部分中的“实施监控程序”讲的就是“控制活动”;第2部分中的“识别有说服力的信息”和第3部分“评估和报告结果”讲的就是“信息与沟通”;最后, 对监控的效率和效果进行评估讲的就是“监控”。这一点在程序中没有直接指出, 但在文中有说明。

值得进一步说明的是, 监控中采取的控制活动是持续性监控 (《基本规范》称为“日常监督”) 和个别评价 (《基本规范》称为“专项监督”) 两类。持续性监控一般由管理部门进行, 而个别评价管理部门和审计部门均可采用, 如管理部门也开展安全、质量、财务等专项检查。目前, 业界提出了全过程跟踪审计的做法, 强调“关口前移”、“重心下移”。这对审计部门而言是一个挑战。这里面有三个问题需要解决:一是审计人员是否有代行管理决策之嫌;二是审计人员是否就一定比管理人员具有更高的专业胜任能力;三是管理与审计的边界在哪里。这三个问题不解决, 审计风险会增加, 管理的效率会降低, 管理人员和审计人员都会无所适从。笔者认为, 审计部门开展全过程跟踪审计应该主要着眼于合规、合法审计, 效益性审计则要视审计人员的胜任能力逐步开展。

总体上讲, 监控程序所要表达的思想是, 在既定控制环境之上, 通过收集和传递与监控对象风险有关的直接和间接的信息, 对风险进行评估和排序, 对风险大的部门和业务更多地采取持续性监控的措施并辅之以频率更高的专项监督检查, 以保证企业内部控制的有效性。

通过上述分析可以看出: (1) 监控程序要建立在控制环境之上; (2) 监控要有风险评估; (3) 监控要有控制活动; (4) 监控要有信息与沟通; (5) 监控本身亦需要监控。这就有力地证明了内部控制是一个“你中有我、我中有你”的整体框架的观点。

三、结论

COSO《内部控制监控指引》为各类组织建立其监控系统提供了指导。它告诉我们, 监控也是一个风险管理过程, 同样也需要按照内部控制五要素的要求来建立和实施。这也使得我们更深入地认识到:内部控制是一个整体, 没有一个要素能离开其他要素而单独存在。

参考文献

[1].COSO.Guidance on Monitoring Internal ControlSystems, 2009

COSO新框架篇7

一、COSO内部控制框架最新进展

(一) 提出了内部控制原则与属性

新框架仍保留了内部控制5要素, 但采用了以原则为基础的方法, 提出了内部控制17项原则, 以及支持17项原则的81个属性, 这是新框架的最显著变化。原则和属性为实体设计和发展内部控制系统提供了清晰指南, 也可以用来评价内部控制的有效性。17项原则分别与5个要素相关联, 其中:与控制环境相关的有5项, 与风险评估相关有4项, 与控制活动相关的有3项, 与信息和沟通相关的有3项, 与监控活动相关的有2项。81个属性分别与17项原则相关联。按照要素汇总, 81个属性的分布情况是:与控制环境相关的有21个, 与风险评估相关的有19个, 与控制活动相关的有16个, 与信息和沟通相关的有14个, 与监控活动相关的有11个。仅以控制环境为例说明原则和属性。与控制环境相关的5项原则分别是:组织表现出致力于诚信和道德价值;董事会表现出独立于管理层, 监管内部控制的发展和绩效;管理层在董事会的监督下建立组织架构、报告线, 以及适当的授权和责任以实现目标;组织表现出致力于吸引、培养和留住符合目标的胜任人员;组织为实现目标控制住人员, 以使其对他们的内部控制职责承担责任。针对第1项原则, 新框架确定了4项属性:在顶层确定基调;制定行为准则;评估对行为准则的遵循程度;及时处理偏离行为。

(二) 丰富了内部控制目标内涵

新框架与旧框架一样, 把内部控制的目标划分为三类:经营目标、报告目标和合规性目标, 经营目标与合规性目标的内涵没有发生变化, 但丰富了报告目标的内涵。旧框架在设定内部控制目标时仅仅要求合理保证财务报告的可靠性, 而新框架要求保证包括财务报告在内的所有报告的可靠性。除了财务报告外, 报告还包括其他对外报告;不仅包括对外报告, 也包括对内报告;不仅包括财务信息, 也包括非财务信息。

(三) 扩大了内部控制实施范围

新框架规定, 当组织外包服务时, 管理层必须执行程序以评价外包服务提供者及其他供应链上的外部实体建立的内部控制系统的有效性, 从而扩大了内部控制的实施范围。具体地说, 新框架在控制环境要素中规定:组织的行为守则不仅要在组织内部的所有层次, 也要向外包服务提供者沟通。例如, 遵守产品安全或环保标准的内部控制需要扩展到联营伙伴、供应商、销售分部以及其他外部服务提供者。外部服务提供者和业务伙伴的不当行为可能通过损害顾客、其他利益相关者或组织声誉对实体和管理层产生负面影响, 因此, 管理层应当保留对已授权给外包服务提供者或业务伙伴的流程的业绩评价责任。新框架在风险评估要素中规定:在进行风险识别时需要考虑由外包服务提供者、关键供应商和渠道伙伴直接或者间接影响目标实现的风险。新框架在控制活动要素中规定:外包服务产生了独特的风险, 组织需要对提交给和从外包服务提供者获得的信息的完整性、准确性和有效性选择和制定额外的控制。新框架在信息与沟通要素中规定:从外包服务提供者获得的信息应当服从于相同的内部控制要求, 包括对信息质量的要求。新框架在监控活动要素中规定:使用外包服务的实体需要了解与这些服务相关的控制和活动, 以及外包服务提供者的控制系统如何影响实体的控制系统。

(四) 扩充了技术对内部控制影响的论述

技术对内部控制的影响在控制活动中体现得最明显。虽然旧框架提出的围绕控制活动的基本概念没有改变, 但是技术的很多细节已经发生变化。新框架扩充讨论了1992年以来的技术演进, 例如对技术基础设施用更通用的讨论来代替数据中心概念, 扩展了对技术的自动控制活动和一般控制活动之间关系的讨论, 以强调其与经营过程的联系;并在两个独立部分分别讨论技术的自动控制活动和一般控制活动的细节, 包括二者之间的区别。此外, 新框架更深入讨论了由多种控制技术构成的控制活动, 包括多种技术的分类方法及其差异。

二、COSO内部控制框架最新进展影响评价

(一) 体现了对环境变化作出的反应

过去20年里, 经济环境、企业的经营模式和组织结构发生了重大变化。与内部控制相关的经营模式方面的一个重大变化是共享服务中心的设立和产品或服务的外包。共享服务是指将组织内原来分散在各业务单元进行的事务性工作和专业服务工作 (如行政后勤、财务收支、售后服务、物流配送、人力资源管理、IT管理服务、法律事务等) 从原业务单元中分离出来, 成立专门的部门来运作, 从而实现内部服务市场化, 通过为内部客户提供统一、专业、标准化的高效服务而创造价值的运作模式。服务外包是指依据服务协议, 将某项服务的持续管理或开发责任委托授权给第三者执行。二者的目的都是提高效率、降低成本, 但前者是通过内部整合资源, 而后者是借助于外部专业力量。现在越来越多的大型企业在财务转型中采用共享服务和外包的形式, 在美国超过70%的“财富500强公司”目前正在采用共享服务或外包的模式支撑其财务和会计部门的运作 (Everest Group 2011年研究) (Jamie lyon, 2012) 。在我国, 中国电信、四川长虹、华为等大型企业也都开始采用这样的方式。共享服务与外包给内部控制带来了多方面的挑战, 例如财务与业务的分离、财务核算高度信息化等 (李少武、毕强和彭飞, 2012) 。作为实施主体的企业在应对这些变化和挑战时需要内部控制框架给予更多指导。另外, 财务报告和相关的法律、监管环境也发生了变化。尤为重要的是, 美国2002年颁布的《萨班斯——奥克斯利法案》 (SOX法案) 及其他国家或地区的类似法律法规对内部控制提出了更加严格的要求。SOX法案的404条款, 要求公众公司管理层对内部控制的有效性进行评价和披露, 注册会计师也要对管理层的内部控制评价报告进行审计。为了配合SOX法案404条款有关内部控制规定的实施, SEC提出了财务报告内部控制的操作性定义。2004年PCAOB发布了第2号审计准则, 指导注册会计师内部控制审计的计划与实施 (陈汉文等, 2005) 。经营环境和管理模式的变化, 以及愈加严格的监管要求, 促使企业越来越关注公司治理和风险管理, 越来越重视非财务报告内部控制。此外, 近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响, 也进一步对企业建立一个可靠、有效运行的内部控制体系提出了新的要求。COSO提出的内部控制新框架是对企业经营环境和管理模式、以及监管要求作出的反应。

(二) 吸收了过去内部控制方面的成果

COSO于2006年发布《财务报告内部控制———较小型公众公司指南》, 主要为较小型公众公司 (当然也可应用于大型公司) 利用旧框架设计和实施符合成本效益原则的财务报告内部控制提供指南。在指南中, COSO首次提出内部控制的20条原则和87个属性。该指南发布后受到有关方面的好评, 并为监管部门接受。2007年美国证券交易委员会SEC在发布的《证券交易委员会关于管理层根据〈证券交易法 (1934) 〉第13 (a) 或15 (d) 条款报告财务报告内部控制的指南》中指出, 当其与COSO的《财务报告内部控制———较小型公众公司指南》等结合起来使用时, 有助于较小型公司更好地了解控制框架。美国公众公司会计监督委员会PCAOB在发布的第5号审计准则《与财务报表审计相整合的财务报告内部控制审计》中, 把COSO的内部控制框架和上述指南作为内部控制审计的标准在审计报告中使用。COSO在本次内部控制框架修订时吸收了这一成果, 但做出了部分修改。需要说明的是, COSO在此次修订中很少借鉴2004年发布的《企业风险管理——整合框架》 (ERM) 的内容。这是因为:一方面, 内部控制框架和ERM之间的关系一直模糊不清;另一方面, ERM在发布后还没有引起足够重视和得到广泛认可。

(三) 为内部控制框架的应用提供了更清晰的标准, 有助于提高实施效果

新框架的最突出特点是引入17项原则以及81个属性, 与旧框架里的内部控制目标和要素一起构成了由目标、要素、原则和属性组成的层次分明的体系, 见图1。在新框架里, 最上面的是内部控制3个目标, 即内部控制所要指向的终点;接下来是5个要素, 即内部控制的5个方面;每个要素下面有原则相关联, 原则是内部控制的各个方面遵守的准则;每项原则下面又有属性相关联, 属性是应用原则指南或评价原则遵守情况的标准。例如, 一个组织为了营造良好的控制环境, 就要遵守致力于诚信和道德价值等5项原则。组织为了遵守该项原则, 具体要做到顶层设立诚信和道德价值的基调等4项工作, 或者说, 可以利用这4个属性 (工作) 作为标准衡量该原则的遵守情况。可见, 新框架通过构造目标、要素、原则和属性的四层次体系, 为框架的应用提供了更实用的指南, 也为评价内部控制提供了更清晰的标准, 有助于提高实施效果。要注意的是, 正如新框架所提醒的那样, 在具体评价内部控制有效性时, 如果一项原则不存在或者没有运行, 就表明内部控制存在缺陷;但是如果某一个属性不存在, 却不能得出相应原则没有得到遵守的结论。例如, 管理层在评价是否遵守了“组织表现出致力于诚信和道德价值”的原则时, 组织设立了顶层基调, 评估了对行为守则的遵守, 并及时指出有关偏离, 但是没有正式定义管理层的期望和董事会的行为守则, 即4个属性中的3个属性是存在并且有效运行的, 在这种情况下可能认为该项原则得到了遵守。但如果某个关键属性不存在或者没有有效运行, 则表明内部控制可能存在缺陷。

(四) 增加实体的实施成本

新框架可能因三个方面的原因增加实体设计和执行内部控制的成本。第一, 新框架引入内部控制的原则和属性。虽然与旧框架相比, 新框架在内部控制要素和原则要求上没有发生变化, 但是在指南和具体要求层面, 新框架引入了17条原则和81个属性。对于按照旧框架构建内部控制体系的实体, 可能需要花费资源修改现有的内部控制政策和程序, 以使其符合新框架下的原则和属性。第二, 新框架扩大了内部控制报告目标的内涵。在旧框架下, 报告目标仅仅涉及财务信息, 意即实体的内部控制政策和程序仅仅需要保证财务信息的真实性和可靠性;而在新框架下, 报告目标不仅涉及财务信息, 还涉及非财务信息, 实体的内部控制政策和程序不仅需要保证财务信息, 还要保证非财务信息的真实性和可靠性。这一目标范围的扩大无疑将增加内部控制的实施成本。第三, 作为内部控制重要组成部分的内部审计的一项重要职责是评价内部控制的有效性, 由于前述两方面的原因, 可能相应增加组织内部控制评价过程的复杂性和工作量, 从而增加内部控制的实施成本。

(五) 对注册会计师内部控制审计产生重大影响

由于新框架扩大了内部控制的实施范围, 所以可能增加注册会计师内部控制审计的成本。注册会计师可能需要重新设计审计程序, 以适应原则和属性的变化;需要扩大审计范围, 以适应报告目标的变化;需要增加新的评价有效性的标准, 以确定缺乏某一原则或属性对有效性的影响。

参考文献

[1]陈汉文、吴益兵、李荣和徐臻真:《萨班斯法案404条款——后续进展》, 《会计研究》2005年第2期。[1]陈汉文、吴益兵、李荣和徐臻真:《萨班斯法案404条款——后续进展》, 《会计研究》2005年第2期。

COSO新框架篇8

一、COSO内部控制整体框架概述

企业内部控制作为一项系统工程,已经在欧美等国家形成了相对完整的理论体系和严谨的操作方法。1985年,美国会计学会和美国注册会计师协会等组织牵头组成了全美反舞弊性财务报告委员会(National Commission on Fraudulent Reporting)。(1)两年之后,该委员会又发起组织了一个专门研究内部控制问题的委员会———COSO委员会(Committee of Sponsoring Organizations of the Tread-way Commission),该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。1992年,COSO委员会对内部控制提出专题报告:《内部控制———整体构架》(Internal Control—Integrated Framework)。2003年7月,COSO委员会发布了《企业风险管理框架》征求意见稿,并于2004年4月颁布了正式稿。

在COSO框架文件中,对内部控制的定义表述为:内部控制是一个系统的过程,该过程受到公司董事会、管理层和其他人员的影响,其目的是为下列目标的实现提供合理的保证,这些目标包括经营的有效性和效率、财务报告的可靠性与遵守法律法规。企业财务内部控制作为企业内部控制的重要组成部分之一,COSO内部控制框架将内部控制划分为五个相互联系的组成部分:控制环境(Control Environment)、风险评估(Risk Assessment)、控制活动(Control Activities)、信息与沟通(Information and Communication)和监控(Monitoring)。

此外,COSO内部控制框架对不同人员在内部控制中的角色和责任也进行了界定。其中,企业内部每一位成员在实施内部控制方面都扮演着一定角色,对内部控制也都负有一定的责任,具体体现为:企业的董事会及其审计委员会通过对内部控制系统进行监察,深入地参与到内部控制当中。管理人员对企业的内部控制系统负责,而首席执行官(CEO)对内部控制系统负最终责任并拥有系统的名义所有权。尽管所有的管理人员控制其营业单位活动中都扮演着重要的角色并负有责任,但其中财务和会计人员在管理人员实施控制的方式中处于中心地位,他们负责防止和发现欺诈性财务报告,并提供有价值的信息。内部审计人员在评价内部控制系统的有效性并进而增强内部控制系统的持续性效果方面扮演着重要角色。

从以上分析可以看出,COSO内部控制框架突破了财务报告目标这一传统观念的束缚,大大拓展了内部控制的范畴。但实际上,我国的内控发展还主要是以内部会计控制为主,从《会计法》和《内部会计控制规范》等法律法规均可看出,内部控制主要侧重于提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等,涵盖企业内部涉及会计工作的各项经济业务及相关岗位。

因此,目前我国企业在内控建设的过程中,应该突破内部会计控制的概念束缚,参照COSO框架的内部控制的概念,不再使内部会计控制和内部管理控制泾渭分明。完善内部财务控制,在实现财务信息的真实准确性和相关法律法规的遵循性的控制目标的同时,将内控建设的目标定位于完整的内部控制。

二、我国企业财务内部控制的设计理念

不言而喻,健全有效的内部控制制度,不仅能保证企业会计信息的真实正确、财务收支的有效合法和财产物质的安全完整,还能保证企业经营活动的效率性、效果性以及企业经营决策和国家法律法规的贯彻执行。内部控制作为企业自我调节和自行制约的内在机制,处于企业中枢神经系统的重要位置。充分借鉴COSO框架的内控设计理念,制定出适合本企业业务特点实际情况的财务内部控制方法、措施和程序,是规范企业会计工作、加强内部管理和降低企业营运风险的重要保证。

(一)转变财务内控观念,建立行之有效的内控体系

1. 企业财务内控与管理过程高度契合

企业财务内部控制是提升企业经营管理水平的主要途径,也是降低企业经营风险和法律风险的主要措施。因此,内部控制制度应该与企业的经营管理过程相结合,而不是凌驾于企业的基本活动之上,促使经营达到预期的效果,并监督企业经营过程持续有效地进行。

2. 企业治理结构与财务内部控制相互影响,相互促进

现代企业的典型特征就是所有权与经营权的分离。为了有效规避委托-代理风险,(1)企业治理结构也就应运而生。它通过一系列的制度安排,建立一种制衡机制,合理配置所有者和经营者的权利义务关系。实践表明:完善科学的公司治理结构能促使公司内部财务控制的有效运行,是保证财务内部控制制度的前提和基础。高效的财务内部控制制度能使公司治理的制衡机制有效发挥,从而最大程度均衡所有者与经营者的利益。只有科学的企业治理结构和高效的财务内部控制制度紧密结合,相得益彰,才能真正实现董事会、监事会和经理之间的约束和制衡关系,同时,也才能切实保证企业的良好运行以及从根本上提高财务会计信息的质量。

(二)扩大内部控制的责任主体,切实保障企业利益相关者的利益

从上文分析可知,COSO内部控制体系最大的亮点在于对不同人员在内部控制中的角色和责任进行了界定,特别强调企业内部每一位成员在实施内部控制方面都扮演着一定角色,对内部控制也应该负有一定的责任。不仅要求企业的财务和会计人员在实施控制的方式中处于中心地位,负责防止和发现欺诈性财务报告,并提供有价值的信息。另外,内部审计人员也必须在评价内部控制系统的有效性,增强内部控制系统的持续性效果方面扮演重要角色。而且,企业所有的管理人员在控制其营业单位活动中都扮演着重要的角色并负有责任。同时,企业其他职员在实施内部控制方面也必须发挥一定的监控作用,如提供内部控制系统所用的信息或采取其他行动实施内部控制等,除此之外,也有责任向上层汇报营业中的问题以及违规情况,并通过职务分离实现牵制和制衡。因此,在COSO框架文件中,可以将内部控制表述为:内部控制是一个过程,该过程受到公司董事会、管理层和其他人员的影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。

只有建立这样多责任主体的内部财务控制体系,才能从根本上保证会计信息的质量,才能提高企业的经营管理水平。

三、基于COSO框架下的财务内部控制制度建设

COSO报告被认为是内部控制理论研究方面的重大突破与巨大成就,该报告提出的内控框架目前在国际上受到广泛认同。对于我国许多内控建设尚处于起步阶段的企业来说,COSO框架值得我们借鉴。再者,美国2003年颁布的《萨班斯法案》(SOX ACT)第404条款的最终细则也明确表明:COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。

2008年5月22日,财政部、证监会、审计署、银监会、保监会共同发布了《企业内部控制基本规范》,明确要求上市公司对内部控制的有效性进行自我评价,披露年度自我评价报告。

我国目前尚未正式提出权威性的内部控制标准体系,对内部控制的完整性、合理性及有效性更是缺乏一个公认的标准体系。许多企业正处于从原有的计划经济运作模式向完全的市场经济模式过渡过程中,并未意识到或是刚刚开始意识到内部控制的重要性,对内部控制的概念仍然比较模糊,造成其内部控制比较薄弱。因此,结合COSO内控框架对于我国企业目前建设企业财务内部控制体系具有非常重要的意义。

(一)财务内部控制原则

1. 成本效益原则

设置财务内部控制体系必须结合本企业的实际经营状况,在保证决策不“失策”的情况下,使控制活动的成本效益与具体的被控制情况相结合,从整个企业的角度运用财务分析法或运用宏观的经济分析法来确定其“效益”,使控制成本小于控制收益。而且,在涉及较大的社会影响的控制项目(如环保项目等),还应当着眼于社会整体利益与企业个体利益的均衡。

(1)委托-代理风险是基于现代企业的委托人和代理人之间由于所有权与经营权的分离,容易产生“信息不对称(asymmetric information)”现象。加之这二者的效用函数不一样,委托人追求的是自己的财富更大,而代理人追求的是自己的工资津贴收入、奢侈消费和闲暇时间最大化,这必然导致两者的利益冲突。在没有有效的制度安排下,代理人的行为很可能最终损害委托人的利益,从而产生道德风险(moral hazard)。

2. 系统完整原则

设计财务内部控制制度应充分体现内部控制的各个要素的要求。主要包括控制环境、控制目标、风险评估、控制活动、信息和沟通、监督等要素。设计各种业务的内部控制制度,既要在各个制度中充分表述各个要素的内容,又要相互联系、相互制约,构成企业管理中的一个完整的可持续的管理系统,能有效控制企业的经营活动,促使完成预期的控制目标。同时,还应当关注控制制度的严谨性、完善性和协调性,防止疏漏与失控,充分发挥制度的整体控制功能。

除此之外,内部财务控制体系应当贯彻“合理控制(reasonable assurance)”理念,由于企业内部控制环境的经常变化,导致内部控制制度不可能一劳永逸,其固有的局限性不可避免。换言之,在企业内部财务控制制度执行过程中,相关责任人应当审慎观察制度本身有无漏洞或失控之处,控制环境有无变化。如果现有的内部控制制度存在缺陷,必须依据实情作出相应的变更和完善,尽力消除控制“盲点”,使之满足企业内部控制的需要。

(二)财务内部控制要点分析

一般而言,实现控制目标主要是控制容易发生偏差的业务环节,这些控制环节通常称之为控制点。这些控制点在业务处理过程中发挥作用大,影响范围广,甚至决定着企业整个业务活动的控制目标的实现。内部控制的核心是有效地控制风险,而企业内部控制制度的核心是财务内部控制制度。具体来说,企业财务内部控制点主要体现在以下几方面。

1. 货币资金业务内部控制

企业对货币资金的收支和保管业务应建立严格的授权审批程序,办理货币资金业务的不相容岗位必须分离,相关机构和人员应相互制约,加强款项收付的稽核。对于资金管理,应当对资金的筹集、使用、分配、调度等实行严格控制,防止资金体外循环,造成企业失血,所涉及到的业务流程有“筹资业务管理”、“货币资金管理”、“资金收拨款管理”、“承兑汇票管理”、“资本支出”、“应收账款”、“担保业务”等。

2. 成本费用内部控制

对支出项目及金额严格监督,防止循私舞弊,所涉及到的业务流程有“采购业务”、“生产成本”、“修理费”、“人工成本”、“科技开发费”、“管理费用”、“销售费用”、“销售业务”、“存货管理”、“固定资产”、“无形资产”等。

3. 审批与授权的内部控制

按照COSO报告理念,每个层级、每个单位乃至每个成员都与内控制度有关。而在权力的使用中,应该防止滥用职权,造成经济损失。企业必须制定《权限指引》落实分级授权制度,分层分级自上而下延伸权限,须按照“更严、更细、更具体”的原则设置权限,让员工明确该做什么、做到什么程度、有什么责任、有什么提升机会。

对于我国许多内控建设尚处于起步阶段的企业来说,COSO框架值得我们借鉴。尤其是COSO强调的内部控制要为业务经营、财务报告和符合性三类目标的实现提供合理保证,并将内控分为内控环境、风险评估、控制活动、沟通与监督五个组成部分,以及COSO框架对于内控职责分布的论述对我们的内控建设均具有指导意义。只有这样,才能确保我国企业的内控体系建设从一开始就有一个比较高的起点,能够迅速适应现代企业市场竞争的需要,使内控体系成为企业长期稳定发展的重要保障。当然,我国企业在借鉴COSO框架的同时,也应该充分考虑自身特色,在此基础上设计和规划自己的内部控制建设,达到从根本上提升企业经营管理水平的目的。

参考文献

[1]刘戬.COSO框架与我国企业内部控制制度建设[J].会计师,2007,(1).

[2]孙光国,陈艳丽,刘英明.会计制度设计[M].大连:东北财经大学出版社,2007.

[3]徐德.现代内部控制制度设计理念及原则的探讨[J].财会通讯:综合版,2005,(2).

COSO新框架篇9

现代经济是信用经济, 商业信用 (赊销) 作为提高企业效益和增强竞争能力的工具, 在现代经济中发挥着重要的作用。然而, 商业信用是一把“双刃剑”, 在给企业增加收益的同时也隐含着风险。笔者尝试在COSO框架的基础上, 探讨企业应收账款的内部控制, 以实现对其有效管理。

一、应收账款控制环境

任何企业的控制都存在于一定的控制环境中, 控制环境的好坏直接决定着企业其他控制能否实施或实施的效果。COSO框架的控制环境包括:单位的组织结构, 董事会及其专门委员会 (审计委员会和风险评估委员会) 的关注和要求, 管理部门的经营理念和风格, 员工的正直性、职业道德和进取心, 对企业经营产生影响的外部因素。其中人的因素至关重要, 不管是管理者还是员工, 既是内部控制的执行者, 又是控制环节的“被控制对象”, 其观念、素质和责任意识等都影响着内部控制的效率和效果。基于COSO框架构建应收账款的控制环境可以从以下方面着手:

(一) 在企业内部建立独立信用风险管理部门

传统上, 应收账款分别由业务部门和财务部门管理, 在职责方面既有重叠也有空挡, 在管理上也难以协调。随着企业风险的加剧和规模的发展, 这种模式已不能适应现在的需要, 因为涉及到财务、营销、信贷、法律等专业知识和综合技能。因此, 作为企业信用管理系统的一部分, 企业的应收账款应由独立的信用风险管理部门进行管理。

作为集团性企业, 资金雄厚, 可以在集团总部设立独立的信用管理部门, 全面负责整个集团的信用管理工作, 制定适合本集团的信用管理政策和作业规范。同时, 可以很好地与集团营销管理、财务管理、资金管理、法律事务管理、信息技术等部门进行沟通和合作, 实现资源共享, 降低管理成本, 共同实现集团的整体目标和整体利益。

对于非集团性企业或中小规模企业来说, 设立单独的信用风险管理部门可能在管理成本上难以承受, 可以根据本企业的销售规模, 设置专业的信用风险管理人员, 明确信用风险管理的职权, 且该人员应当直接向公司决策层报告工作。

(二) 科学制定应收账款信用政策

应收账款收款效果的好坏, 依赖于企业的信用政策。信用政策包括:信用期间、信用标准和现金折扣政策。信用期间是企业允许顾客从购货到付款之间的时间, 或者说是企业给予顾客的付款期间。信用期过短, 不足以吸引顾客, 会使销售额下降;信用期过长, 对销售额增加固然有利, 但销售所得的收益有时会被相应增长的应收账款费用所抵消, 甚至造成销售利润负增长。因此, 企业必须研究确定恰当的信用期。

信用标准是指顾客获得企业的交易信用所应具备的条件。如果顾客达不到信用标准, 便不能享受企业的信用或只能享受较低的信用优惠。企业在设定某一顾客的信用标准时, 往往先要评估它赖账的可能性。按照国际惯例可以通过“5C”系统来进行。所谓“5C”系统, 是评估顾客信用品质的五个方面, 即:品质 (character) 、能力 (capacity) 、资本 (capital) 、抵押 (collateral) 和条件 (conditions) 。

现金折扣是企业为了鼓励顾客在一定期限内尽早偿还货款而对其付款额给予一定比例的扣减。向顾客提供这种价格上的优惠, 主要目的在于吸引顾客为享受优惠而提前付款, 缩短企业的平均收款期。企业采用什么程度的现金折扣, 要与信用期间结合起来考虑, 不论是信用期间还是现金折扣, 都可能给企业带来收益, 但也会增加成本。当企业给予顾客某种现金折扣时, 应当考虑折扣所能带来的收益与成本孰高孰低, 权衡利弊。

(三) 获取管理层支持

企业内部控制的有效性取决于管理层的态度, 首席执行官在形成组织的价值观和企业文化方面起到决定性作用。因此, 企业信用风险管理部门或信用风险管理员应获取公司管理层的充分支持, 以使企业的应收账款管理能取得实效。

二、应收账款风险评估过程

新经济时代交易类型和工具日新月异, 兼并收购、破产重组、关联方交易、电子商务、金融衍生产品等使人应接不暇。环境的变化使企业经营风险增大, 企业必须设立可以辨认、分析和管理风险的机制, 以确认公司的风险因素如资产风险、经营活动风险、内外环境风险、信息系统风险、合法性风险等, 并确定风险因素的重要程度, 评估各风险因素得分, 确定高风险区域。COSO框架中的风险评估指对企业所从事的包括销售、生产、营销和财务在内的不同活动中的风险进行确认、分析和管理的机制。

(一) 确定风险因素

只有明确了目标, 风险评估才有意义。应收账款内部控制的最终目标是规范赊销业务, 避免坏账损失, 求得利润最大化。因此, 对企业来说, 首先得确定应收账款的风险因素, 主要包括:坏账风险、资金流动性风险、汇率风险、成本增加风险等直接风险;主营业务收入减少风险、负债筹资风险和决策失误风险等间接风险。

(二) 分析风险

一旦风险被确定, 就要对其进行分析, 以使管理者能根据已确定风险的重要程度来计划如何对风险进行管理。分析的过程包括评估风险的重大程度、判断风险的发生频率, 以及考虑应采取的管理行动。企业管理当局应参考历年的实践经验, 结合当前的经济、政治环境, 对应收账款的风险进行合理评估。

三、应收账款风险控制活动

COSO框架的控制活动的目标是使企业保证控制目标有效落实, 包括经营活动的复查、业务活动的批准和授权、责任分离、保证对资产记录的接触和使用的安全、独立稽核等。

基于COSO框架, 企业应对应收账款活动进行全面控制:

(一) 建立健全赊销制度, 严格执行不相容职务分离

在财务上, 企业要指定专人具体负责赊销商品的明细管理, 按赊销单位全称及经办人设立台账, 详细、序时地记载赊销商品的数量和金额。销售与收款活动的不相容职务分离, 要求单位不得由同一部门或个人办理销售与收款业务的全过程。

主要应落实在两个层次上:

第一层, 将赊销、审计和审批三个关键控制点分离。销售部门只有经过内部相关部门的审计, 按赊销管理权限报有关管理层审批后, 方可对外赊销。

第二层, 对赊销工作做进一步分工, 制定严格的工作程序, 共同负责。按财政部颁布的《内部会计控制规范——销售与收款》的规定, 单位应当建立应收账款业务的岗位责任制, 根据具体情况对办理应收账款业务的人员进行岗位轮换。

(二) 规范授权机制

授权机制是指企业在处理经济业务时, 必须经过授权批准以便进行控制, 它主要解决“分级”问题。分级授权体现纵向控制的思想:将工作按不同层次加以划分, 各个层次彼此制约, 各司其职;每一层管理者既是上层管理者的授权客体, 又是向下级管理者进行授权的主体。

根据目前我国企业的实际情况, 对赊销业务审批的责任人可以分为分管副总、总经理、董事会及股东大会四个层次。企业结合每个客户的不同情况, 制定出相应的信用控制标准, 授予不同的信用期限和信用额。若客户超过规定的付款期限或者付款额, 金额较小时, 按金额权限分别由分管副总和总经理审批;金额较大时, 则应由董事会审批;金额巨大的, 则必须由股东大会审议通过。

四、应收账款信息及沟通

COSO框架中的信息及沟通指以不同形式取得和传递信息, 使内部员工懂得自己在控制系统中的作用、责任, 更好地履行职责, 并形成有利的外部沟通环境;保持经营信息和控制信息畅通, 以减少由于信息不对称导致的企业经管成本和社会监督成本的提高。

基于COSO框架, 应对应收账款的相关信息进行以下内容的及时沟通:

(一) 建立台账

销售部门应当按照客户设立应收账款台账, 详细反映内部各销售部门以及各个客户应收款项的发生、增减变动、余额及其每笔账龄等财务信息。同时加强合同管理, 对债务人执行合同情况进行跟踪分析, 防止坏账风险的发生。

(二) 编制报表

企业财务管理部门应当定期编制应收款项明细表, 向企业管理人员和有关销售部门反映应收款项的余额和账龄等信息, 及时分析应收款项管理情况, 提请有关责任部门采取相应的措施, 减少企业资产损失。

(三) 及时对账

企业的财务部门不仅要定期与销售部门核对应收款, 还应在一定期间内通过其他方法直接与客户对账, 从而将企业的应收款金额与期限核对清楚。财务部门应及时有效地将应收款的信息反映至公司决策层, 不能因为财务部门的操作错误而导致应收款可能的损失。

五、应收账款控制监督

内部控制应是一种实时过程, 与经营管理活动紧密结合, 随时进行自我评估和内部监督。企业内部应由有关管理人员和职员定期、独立地自上而下对各部门的控制进行评估、内部监督。COSO框架所指的监督是对整个过程实施监控, 确保条件发生变化时能迅速反应。

为提高企业应收账款的管理, 基于COSO框架, 企业应从以下方面对其进行监督:

(一) 对应收账款实施全程控制

具体如下:

(1) 赊销发生监控。一般销售业务要经过接受顾客订单、批准赊销信用、按销售单供货、按销售单装运货物、向顾客开具账单、记录销售、收回资金这样一个业务流程。赊销监控主要发生在接受顾客订单、批准赊销信用、记录销售和收回资金流程。而对于通过投标先签订合同后生产制造, 并在较长的生产周期中逐步取得经营收入的建造业务, 赊销发生监控是不同的。

建造业务的赊销发生监控应主要包括:

首先, 投标前由信用部门和市场开发部门调查业主资信状况、项目审批手续、资金来源渠道等, 选择诚信、合法、有实力的业主参与投标。

其次, 在生产过程中积极做好中期计量支付工作, 对业主的延期支付问题积极向信用管理部门反映, 以确定正确的处理方法。

再次, 在竣工阶段要加快竣工决算工作, 为项目尾款、投标保证金、质量保证金的回收做好准备。

最后, 在完工后积极做好项目善后工作和使用情况回访工作, 搜集业主资金状况的信息, 以加强各种款项的回收并快速识别坏账风险。

(2) 财务部门对应收账款进行分析管理。财务部门应定期对应收账款的回收情况、账龄等情况进行分析, 而不能将所有责任都交给主要负责确定赊销授信额度和资信调查的信用管理部门, 这是内部控制制度的重要环节。财务部门应编制一定期间的赊销客户的经营、赊销、收账、账龄分析表及分析资料交管理当局。在分析中应利用比率、比较、趋势、结构等分析方法, 分析逾期债权的坏账风险及对财务状况的影响, 以便确定坏账处理和当前赊销策略。

(3) 信用部门与经营部门进行应收账款跟踪管理服务。从赊销过程一开始, 到应收账款到期日前, 对客户进行跟踪、监督, 从而确保客户正常支付货款, 最大限度地降低逾期账款的发生率。通过应收账款跟踪管理服务, 保持与客户的经常联系, 提醒付款到期日, 催促付款, 可以发现货物质量、包装、运输、货运期以及结算上存在的问题和纠纷, 以便做出相应的对策, 维护与客户的良好关系。同时, 也会使客户感觉到债权人施加的压力, 使客户一般不会轻易推迟付款, 极大地提高应收账款的回收率。通过应收账款跟踪管理服务。可以快速识别应收账款的逾期风险, 以便选择有效的追讨手段。

(二) 建立健全赊销业务内部审计制度

内部审计与监督是内部控制的重要组成部分, 在内部控制系统中肩负着监督和纠偏的功能。在应收账款业务中, 内部审计也要贯穿销售、记录、收款和信息披露全过程, 找出业务流程中的薄弱环节和存在的问题, 帮助企业建立相对合理的赊销内部控制制度, 以强化相应的内部管理。

参考文献

[1]孟柯虹:《应收账款内部控制刍议》, 《中国农业会计》2006年第3期。

[2]王强:《如何建立应收账款内部控制制度》, 《财会通讯》2002年第2期。