基于COSO 框架的我國石油企業(yè)內(nèi)部控制建設(shè)研究

●范雨晗 吳 勛

一、引言

伴隨著組織內(nèi)外環(huán)境的變遷，以及國內(nèi)外法律法規(guī)和企業(yè)管理水平越來越高的要求，內(nèi)部控制愈發(fā)成為關(guān)注度高而有實(shí)際意義的管理課題，而且其思想內(nèi)涵和方法體系也在不斷完善和發(fā)展。石油企業(yè)作為國民經(jīng)濟(jì)發(fā)展的重要產(chǎn)業(yè)之一，強(qiáng)化內(nèi)部控制建設(shè)是石油企業(yè)加強(qiáng)內(nèi)部管理、規(guī)避風(fēng)險(xiǎn)的重要舉措，對促進(jìn)石油企業(yè)可持續(xù)發(fā)展具有重要的實(shí)踐意義。

二、歷次COSO 框架基本內(nèi)容

COSO （The Committee of Sponsoring Organizations of the Treadway Commission）是五大協(xié)會（AICPA、AAA、FEI、IIA、IMA）1985年創(chuàng)立的美國反虛假財(cái)務(wù)報(bào)告委員會的縮寫，其目的是分析包括內(nèi)部控制在內(nèi)的財(cái)務(wù)報(bào)告產(chǎn)生舞弊的原因及其解決辦法。

第一部框架是1992 版COSO《內(nèi)部控制——整體框架》，該框架對內(nèi)部控制進(jìn)行了系統(tǒng)規(guī)范的總結(jié)，首次提出包含控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通、監(jiān)控在內(nèi)的內(nèi)部控制五要素，并將內(nèi)部控制定義為確保營運(yùn)效率和效果、財(cái)務(wù)報(bào)告可靠性、相關(guān)法令遵循性等目標(biāo)實(shí)現(xiàn)的過程。

2004 版的《企業(yè)風(fēng)險(xiǎn)管理框架》（ERM框架）強(qiáng)化了企業(yè)風(fēng)險(xiǎn)管理的地位，成為一個(gè)風(fēng)險(xiǎn)導(dǎo)向的COSO 框架，ERM框架提出了企業(yè)風(fēng)險(xiǎn)管理的四大類目標(biāo)和八大類要素，其中四大類目標(biāo)是戰(zhàn)略、經(jīng)營、報(bào)告與合規(guī)目標(biāo)，八大類要素是指在原有五要素基礎(chǔ)上增加了目標(biāo)制定、事件識別和風(fēng)險(xiǎn)反應(yīng)。

2013 版《內(nèi)部控制——整體框架》則進(jìn)一步提升了企業(yè)風(fēng)險(xiǎn)及其管理的重要性，在繼承第一版的主要思想基礎(chǔ)上，詳細(xì)闡述了五大要素的內(nèi)容及其17 項(xiàng)基本原則，并具體指明了執(zhí)行的規(guī)范方式和方向。

2017 版的《企業(yè)風(fēng)險(xiǎn)管理框架——與戰(zhàn)略和業(yè)績的整合》強(qiáng)調(diào)將風(fēng)險(xiǎn)管理嵌入到企業(yè)的日常管理業(yè)務(wù)活動(dòng)及核心價(jià)值鏈中，并將八個(gè)要素提煉為五個(gè)，即公司治理與企業(yè)文化、戰(zhàn)略與目標(biāo)設(shè)定、風(fēng)險(xiǎn)管理執(zhí)行、審查和修訂、信息溝通和報(bào)告，同時(shí)總結(jié)出更為具體和細(xì)致的內(nèi)部控制五要素的20 條原則。

三、COSO 框架對企業(yè)內(nèi)部控制建設(shè)的影響

現(xiàn)代內(nèi)部控制的完整概念是1949年審計(jì)程序委員會（CAP）給出的，該定義指出內(nèi)部控制目的在于保護(hù)財(cái)產(chǎn)，檢查會計(jì)資料是否明確可靠，提高營運(yùn)效率并促進(jìn)管理政策的貫徹。

隨著內(nèi)部控制理論的發(fā)展，目前理論界和企業(yè)界普遍認(rèn)可的是COSO（1992）的定義，該定義拓寬了內(nèi)部控制的概念與內(nèi)涵，認(rèn)為內(nèi)部控制要在資產(chǎn)安全、財(cái)務(wù)報(bào)告真實(shí)與企業(yè)運(yùn)營效率、效果合法合規(guī)性等兩者之間取得平衡，使內(nèi)部控制建設(shè)更加完善。

COSO（2004）關(guān)注的視角從財(cái)務(wù)報(bào)告真實(shí)性轉(zhuǎn)向企業(yè)風(fēng)險(xiǎn)管理，認(rèn)為企業(yè)風(fēng)險(xiǎn)管理可以識別潛在影響企業(yè)戰(zhàn)略制定和各個(gè)層面的事件，八要素更符合內(nèi)部控制要求，并能為企業(yè)完成目標(biāo)提供合理的保證。企業(yè)要加強(qiáng)對風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)應(yīng)對的分析，并著重關(guān)注非財(cái)務(wù)信息。

COSO（2013）在內(nèi)部控制定義上特別強(qiáng)調(diào)了五個(gè)方面，即一個(gè)過程、受人影響、監(jiān)督管理階層的活動(dòng)、適合于目標(biāo)達(dá)成、適合于組織結(jié)構(gòu)。在內(nèi)部控制理念上強(qiáng)化了競爭和商業(yè)環(huán)境上的變化，拓展了內(nèi)部控制框架的實(shí)施范圍和控制目標(biāo)；對五要素給出具體的規(guī)范方式和指導(dǎo)方向，更具操作性。

COSO（2017）對內(nèi)部控制與風(fēng)險(xiǎn)管理解釋為：“企業(yè)風(fēng)險(xiǎn)管理受兩方面影響，其一是董事會、管理層和企業(yè)員工，其二是內(nèi)部控制在整個(gè)企業(yè)所有運(yùn)營活動(dòng)中的應(yīng)用?！痹摪姹局饕绊懺谟谥匦露x了風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理，強(qiáng)調(diào)了風(fēng)險(xiǎn)和價(jià)值之間的關(guān)聯(lián)性，著重研討了戰(zhàn)略風(fēng)險(xiǎn)管理與企業(yè)績效等議題。

四、我國石油企業(yè)內(nèi)部控制建設(shè)現(xiàn)狀分析

（一）我國石油企業(yè)內(nèi)部控制建設(shè)歷程——以中石油為例

為滿足石油企業(yè)走向國際化和國內(nèi)外法律監(jiān)管的要求，中石油以美國《薩班斯—奧克斯利法案》為基礎(chǔ)，從2003年8月開始啟動(dòng)以提升經(jīng)營國際化、財(cái)務(wù)報(bào)告真實(shí)性和管理水平為目的的內(nèi)部控制體系建設(shè)，第一階段截止到2008年，主要成果為初步建立了中石油內(nèi)部控制框架，編制發(fā)布了《內(nèi)部控制管理手冊》；第二階段一直延續(xù)至今，建立起比較完整系統(tǒng)的涵蓋經(jīng)營管理各領(lǐng)域的內(nèi)部控制管理體系，使中石油內(nèi)部控制逐步轉(zhuǎn)換到全面風(fēng)險(xiǎn)管理階段。

（二）中石油內(nèi)部控制體系建設(shè)內(nèi)容

中石油內(nèi)部控制體系建設(shè)內(nèi)容圍繞COSO 框架五要素，建立了一套合理完善的、符合市場國際化和資本市場要求的內(nèi)部控制體系框架。其中，控制環(huán)境是內(nèi)控體系的基礎(chǔ)和實(shí)施保障，包括誠信原則與道德價(jià)值觀、職務(wù)要求界定、董事會與審計(jì)委員會、經(jīng)營管理風(fēng)格、組織架構(gòu)、職權(quán)與授權(quán)、人力資源戰(zhàn)略與實(shí)務(wù)；風(fēng)險(xiǎn)評估是識別并分析企業(yè)各層面風(fēng)險(xiǎn)的過程，包括企業(yè)目標(biāo)、風(fēng)險(xiǎn)因素、對環(huán)境變化的管理；內(nèi)控活動(dòng)是確保管理層指令得到有效執(zhí)行的措施，包括高層經(jīng)理人員執(zhí)行績效分析、直接部門管理、對信息處理的控制、實(shí)體控制、績效指標(biāo)比較、分工；信息與溝通是識別、傳遞、存貯企業(yè)經(jīng)營管理所需信息的過程，包括信息系統(tǒng)、溝通；監(jiān)督是對內(nèi)部控制體系有效性進(jìn)行評估的過程，包括持續(xù)監(jiān)控、個(gè)別評估、匯報(bào)內(nèi)部控制缺陷。

（三）中石油內(nèi)部控制建設(shè)存在的主要問題

經(jīng)過多年以COSO 框架為基礎(chǔ)的內(nèi)控建設(shè)，中石油在運(yùn)營管理各個(gè)方面提升了內(nèi)控能力，這其中包括建立了科學(xué)的內(nèi)部規(guī)范體系，構(gòu)建了企業(yè)運(yùn)營管理專門系統(tǒng)的量化體系，加快了企業(yè)國際化步伐，轉(zhuǎn)變了經(jīng)營理念，實(shí)現(xiàn)了內(nèi)控信息化管理等，但是相對于中石油自身發(fā)展?fàn)顩r來看，依然存在一些問題和不足。

1.內(nèi)部控制的執(zhí)行力度不夠。盡管中石油內(nèi)部控制文件對諸多關(guān)鍵步驟、風(fēng)險(xiǎn)領(lǐng)域和例外事項(xiàng)都做了詳細(xì)的規(guī)定，但在實(shí)際運(yùn)行或者外部審計(jì)中，總有不按照內(nèi)部控制管理規(guī)定要求的事件發(fā)生，或者由于執(zhí)行內(nèi)控文件不嚴(yán)格導(dǎo)致內(nèi)部控制失效的問題出現(xiàn)。因此，執(zhí)行力度目前仍然是內(nèi)部控制建設(shè)的首要問題，執(zhí)行是否到位依然是中石油高層需要解決的問題。

2.內(nèi)部控制與運(yùn)營效率的平衡問題。從長期視角看，內(nèi)部控制體系能較好地提升管理水平，但在短期建設(shè)期間無疑會付出一定的人財(cái)物方面的效率成本。因此，如何在達(dá)到內(nèi)部控制目標(biāo)的同時(shí)不對運(yùn)營效率產(chǎn)生一定影響，如何結(jié)合長期和短期目標(biāo)，把握內(nèi)部控制和運(yùn)營效率的平衡點(diǎn)，是中石油管理層未來要著重加以研討的問題。

3.內(nèi)部控制體系需要進(jìn)一步完善。中石油內(nèi)部控制體系建設(shè)歷史只有十余年，主要關(guān)注點(diǎn)仍然是運(yùn)營風(fēng)險(xiǎn)管理，對涉及企業(yè)各個(gè)層面的全面風(fēng)險(xiǎn)還沒有成為重點(diǎn)，包括全面風(fēng)險(xiǎn)管理理念、意識、手段等在各個(gè)管理層面還都比較缺乏。因此，內(nèi)部控制體系建設(shè)還有待于進(jìn)一步擴(kuò)展范圍和完善手段，需要建立全面風(fēng)險(xiǎn)管理的有效框架。

4.內(nèi)控系統(tǒng)與原有管理體系有效結(jié)合問題。中石油內(nèi)部控制建設(shè)依然存在傳統(tǒng)國有企業(yè)的老問題，就是為了應(yīng)付檢查或?qū)徲?jì)或者僅僅為了建立內(nèi)部控制體系而搞內(nèi)部控制建設(shè)，沒有從根本上發(fā)揮內(nèi)部控制體系的作用。因此，內(nèi)部控制框架就和企業(yè)現(xiàn)有運(yùn)營管理體系、現(xiàn)有風(fēng)險(xiǎn)管理體系缺乏有機(jī)融合，不同程度上存在重復(fù)控制、多頭控制和真空地帶的現(xiàn)象。

五、COSO 框架下石油企業(yè)內(nèi)部控制建設(shè)的政策建議

（一）構(gòu)建面向全面風(fēng)險(xiǎn)管理的內(nèi)部控制建設(shè)構(gòu)架

石油企業(yè)目前的內(nèi)部控制建設(shè)大多是以財(cái)務(wù)報(bào)告為核心，缺失對資產(chǎn)安全風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、政治風(fēng)險(xiǎn)等的考量，因此，有必要構(gòu)建面向全面風(fēng)險(xiǎn)管理的內(nèi)部控制建設(shè)構(gòu)架，即以全面風(fēng)險(xiǎn)管理導(dǎo)向的石油企業(yè)內(nèi)部控制理論為指導(dǎo)，形成基于控制環(huán)境調(diào)查的石油企業(yè)風(fēng)險(xiǎn)甄別、基于控制事項(xiàng)識別的石油企業(yè)風(fēng)險(xiǎn)評測，以及基于控制流程再造的石油企業(yè)風(fēng)險(xiǎn)防范為主要模塊的系統(tǒng)化內(nèi)控建設(shè)構(gòu)架。

（二）打造符合公司現(xiàn)有管理結(jié)構(gòu)的內(nèi)控監(jiān)管體系

在經(jīng)歷了內(nèi)部控制建設(shè)初級階段之后，石油企業(yè)內(nèi)控體系建設(shè)將不斷深入涉及企業(yè)經(jīng)營管理的各個(gè)方面，不斷融入企業(yè)現(xiàn)有管理結(jié)構(gòu)之中。因此，采取多元化、集約化管理是石油企業(yè)內(nèi)部控制建設(shè)的發(fā)展方向，有必要打造多層次成員共同參與的內(nèi)控監(jiān)管體系，設(shè)立相應(yīng)的日常監(jiān)控機(jī)構(gòu)、定期匯報(bào)制度、實(shí)施和反饋管理等，促進(jìn)石油企業(yè)內(nèi)部控制具體措施與單位實(shí)際工作緊密結(jié)合。

（三）完善內(nèi)部控制與運(yùn)營效率相結(jié)合的內(nèi)控體系

目前石油企業(yè)內(nèi)部控制體系建設(shè)的著重點(diǎn)更多地集中在COSO 框架下如何控制風(fēng)險(xiǎn)，對建設(shè)成本支出、運(yùn)營效率方面涉及較少。因此，要明確防范風(fēng)險(xiǎn)的內(nèi)控是提高企業(yè)運(yùn)營效率，要明確既要有效控制風(fēng)險(xiǎn)，實(shí)現(xiàn)內(nèi)控目標(biāo)，又要不影響效率，與企業(yè)運(yùn)營管理相結(jié)合，有必要探討如何建立評價(jià)內(nèi)控有效的標(biāo)準(zhǔn)框架，如何建立一套以COSO 框架為基礎(chǔ)高效、科學(xué)的內(nèi)部控制體系。

（四）建立考評獎(jiǎng)懲與執(zhí)行結(jié)果相結(jié)合的機(jī)制

保證內(nèi)控體系運(yùn)作和實(shí)施的關(guān)鍵點(diǎn)是執(zhí)行過程中的有效監(jiān)督和對執(zhí)行結(jié)果的考核，石油企業(yè)內(nèi)部控制實(shí)施過程中的執(zhí)行力度問題一直困擾著企業(yè)管理層。因此，有必要將監(jiān)督檢查結(jié)果列為考評依據(jù)，將內(nèi)控執(zhí)行力度和結(jié)果納入考核獎(jiǎng)懲指標(biāo)體系，以公平公開的獎(jiǎng)懲機(jī)制，調(diào)動(dòng)員工執(zhí)行內(nèi)控積極性，規(guī)范執(zhí)行內(nèi)控的行為準(zhǔn)則，推動(dòng)石油企業(yè)內(nèi)部控制正常運(yùn)行并發(fā)揮真正的作用。

六、結(jié)語

COSO 框架既是風(fēng)險(xiǎn)管理系統(tǒng)，也是有效的內(nèi)部控制和風(fēng)險(xiǎn)防范理念。本文在介紹COSO 框架基本內(nèi)容及其對內(nèi)部控制影響的基礎(chǔ)上，以中石油為例，分析了我國石油企業(yè)內(nèi)部控制體系建設(shè)的歷程、內(nèi)容和存在的主要問題，并從四個(gè)方面提出了相應(yīng)的政策建議，期望能讓我國石油企業(yè)在結(jié)合自身具體情況的前提下，建立更為完善全面有效的內(nèi)部控制體系。