從COSO框架談如何加強企業(yè)內(nèi)部控制建設(shè)

北京中路華會計師事務所有限責任公司新疆圖龍分所 脫輝

1992年，COSO委員會發(fā)布了《內(nèi)部控制一整體框架》報告，對內(nèi)部控制做出了相當細致的劃分。該報告將內(nèi)部控制劃分為五大要素，即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)測；將內(nèi)部控制的目標規(guī)定為經(jīng)營的效率與效果、可靠的財務報告以及遵紀守法，并根據(jù)不同的控制內(nèi)容，將內(nèi)部控制融合到公司的整體業(yè)務流程當中。此外，CO?SO報告首次提出了“人”的重要性，強調(diào)了人和環(huán)境是企業(yè)發(fā)展的動力，企業(yè)中每個員工的工作都會影響到內(nèi)部控制系統(tǒng)和整體管理效果。盡管COSO框架無法將企業(yè)的經(jīng)營和管理活動全部囊括，但是其仍然是影響力較大的內(nèi)部控制理論框架。

一、我國企業(yè)內(nèi)部控制的現(xiàn)狀分析

(一)內(nèi)部控制人文環(huán)境差導致企業(yè)整體內(nèi)控制度無法正常實施

當前，我國企業(yè)普遍存在著內(nèi)部控制意識淡薄的現(xiàn)象，企業(yè)的員工甚至是領(lǐng)導層都缺乏對于內(nèi)部控制全面、系統(tǒng)的認識。有些企業(yè)將內(nèi)部的會計控制當作內(nèi)部控制，認為內(nèi)部審計機構(gòu)和制度的設(shè)立就是對內(nèi)部控制制度最好的詮釋；還有的企業(yè)編制了完善的內(nèi)部控制制度，但是在執(zhí)行上卻不能完全按照編制的內(nèi)控制度來執(zhí)行，使得內(nèi)部控制制度流于形式。由于COSO框架強調(diào)內(nèi)部控制環(huán)境是所有內(nèi)部控制要素中最基本的要素，因此較差的內(nèi)部控制環(huán)境導致公司在治理結(jié)構(gòu)上缺乏相互牽制，機構(gòu)設(shè)置臃腫，部門之間溝通不足，無法實現(xiàn)信息的靈敏傳遞等現(xiàn)象。

(二)風險評估體系的欠缺給企業(yè)帶來很多不必要的損失

當下激烈的市場競爭決定了風險評估體系的重要性。許多企業(yè)面臨著產(chǎn)品、市場、多元化經(jīng)營和政策等風險，全面、迅速的風險評估可以減少企業(yè)的損失。目前，一些企業(yè)缺乏專門的風險評估人才，無法對風險的可能性及其影響加以分析，導致管理者較難準確掌握潛在事項對企業(yè)目標實現(xiàn)的影響。此外，在風險評估完成后，由于體系的不完整，一些企業(yè)不能及時拿出應對措施，給企業(yè)帶來很多不必要的損失。

(三)管理監(jiān)督機制缺乏導致內(nèi)部控制制度流于形式

目前，很多中小型企業(yè)的審計人員獨立性較差，其利益受企業(yè)管理層的控制，無法直接向?qū)徲嬑瘑T會或董事會報告，工作處于被動的狀態(tài)。甚至有些企業(yè)并沒有設(shè)置內(nèi)部審計機構(gòu)，僅是由特定的財會人員來擔任。在這樣的內(nèi)部審計環(huán)境，COSO框架所強調(diào)的內(nèi)部控制制度“防止、發(fā)現(xiàn)并糾正錯誤”的功能只能流于形式。

二、企業(yè)加強內(nèi)部控制制度的具體措施

(一)改善企業(yè)內(nèi)部控制人文環(huán)境

COSO框架提出，人是內(nèi)部控制制度的執(zhí)行者，是內(nèi)部控制制度的靈魂所在。因此，企業(yè)要加強人文管理，營造良好的內(nèi)部控制人文環(huán)境。一方面，企業(yè)可以通過企業(yè)文化的建設(shè)以及行為準則和道德規(guī)范的建立來引導企業(yè)員工建立正確的價值觀。某企業(yè)通過編制企業(yè)文化手冊，對企業(yè)和員工的工作行為準則做出了指導性規(guī)定，使包括企業(yè)領(lǐng)導和員工在內(nèi)的全體職工了解到內(nèi)部控制對于企業(yè)的發(fā)展和員工自身的利益有著怎樣密切的關(guān)系。另一方面，除了思想上的提升外，企業(yè)還可以通過改善企業(yè)的組織機構(gòu)，按照COSO報告所要求的“三權(quán)分立”的形式組建組織機構(gòu)，即決策、執(zhí)行、監(jiān)督三機構(gòu)各司其職，確保內(nèi)部控制制度能夠?qū)ζ髽I(yè)的經(jīng)營活動、員工的工作行為進行監(jiān)督，外在的提高全體員工對于內(nèi)部控制制度的重視程度。

(二)健全企業(yè)風險評估體系

COSO框架提出，內(nèi)部控制應以成本和效益為基礎(chǔ)，參與控制的人員和機構(gòu)越多，控制措施和環(huán)節(jié)越為復雜，風險評估體系建設(shè)的必要性就越高。企業(yè)應設(shè)置專門的風險評估機構(gòu)，在對風險進行充分評估的基礎(chǔ)上，確認影響工作目標的主要風險，這樣才能采取有效的控制措施，促進目標的完成。某企業(yè)通過引進專門的風險評估人才，設(shè)置獨立的風險評估機構(gòu)，在對風險做出評估后，迅速采取應對措施，通過“躲避、降低、共同承擔及接收風險”這四個方案盡可能的將風險控制在企業(yè)的風險容忍程度之中。此外，該企業(yè)還根據(jù)業(yè)務控制的不同要求，對電腦操作系統(tǒng)的用戶權(quán)限進行了限制，做到分離不相容的職務，以達到降低人為風險的目的。

(三)完善企業(yè)內(nèi)部控制的監(jiān)督機制

監(jiān)督機制在COSO框架關(guān)于內(nèi)部控制制度建設(shè)中有著相當大的作用，是內(nèi)部控制制度運行的保障。監(jiān)督作用的實現(xiàn)應該由董事會來執(zhí)行，以真正實現(xiàn)內(nèi)部控制監(jiān)督機制的作用。某企業(yè)一方面通過提高獨立董事的人數(shù)比例，并強化獨立董事的專業(yè)背景以加強其監(jiān)督的獨立性；另一方面還通過委托外部機構(gòu)（如會計事務所）來對公司實行審計，彌補企業(yè)內(nèi)部審計不足，提高了內(nèi)部控制制度的效率和質(zhì)量。此外，該企業(yè)設(shè)置了任期經(jīng)濟責任審計會議制度和責任的追究制度，并由領(lǐng)導層定期召開會議，對審計報告進行集體審核。對審計的薄弱和重點環(huán)節(jié)不斷加強有效監(jiān)督，尤其是項目建設(shè)、物資采購及經(jīng)濟合同的簽訂等方面。同時，通過大宗交易連簽制度、現(xiàn)金不定期盤查、嚴格授權(quán)審批等制度規(guī)范管理層的行為，加強對企業(yè)內(nèi)部同級之間的監(jiān)督。

三、結(jié)束語

企業(yè)要想在激烈的市場競爭中生存，建立內(nèi)部控制體系已經(jīng)成為必然的選擇。COSO框架下的內(nèi)部控制理論日益完善，值得企業(yè)在日常管理中借鑒。但值得注意的是，必須根據(jù)企業(yè)的實際情況來實施，以實現(xiàn)制度與制度之間的契合，為企業(yè)的生存和發(fā)展提供更為廣闊的空間。

[1]張霓.COSO框架下的公司內(nèi)部控制研究——基于美國總統(tǒng)輪船公司的案例[J].會計師,2014;02