国际会计学论文

【摘要】 内部控制在现代市场经济的环境下，对于企业和相关机构来说日益重要，本文针对美国虚假财务报告委员会下属的发起人委员会发布的《COSO—内部控制框架》，从几个方面阐述了企业内部控制的主要内容和体系建设。同时，鉴于现状提出了改善对策，并浅谈了报告对我国企业内部控制的启示。

【关键词】内部控制 COSO 内控体系

所谓内部控制 ( Interna l Control) , 是在内部牵制的基础上, 由企业管理人员在经营管理实践中创造、并经审计人员理论总结而逐步完善的自我监督和自行调整体系, 它是企业为管理当局的需要, 保证经营目标的实现而建立的一种相互联系、相互制约的控制制度和体系@。1992 年美国国会的反对虚假财务报告委员会 ( NCFR )下属的美国会 计 学 会 ( AAA )、美国注册会计师协会( A ICPA)、内部审计师协会 ( IIA )、财务经理协会( FE I)和管理会计协会 ( IM A )等参与的发起组织委员会 ( COSO)发布报告, 提出了内部控制结构概念并将其分为控制环境、风险评估、控制活动、信息与沟通、监测等 5项要素。@目前 COSO委员会提出的内部控制结构理论已在世界范围内得到广泛认可, 被认为是权威的专业机构对于内部控制整体框架的最新解释。但近年来，随着安然、世通等一批巨人企业的倒下，引发了公众对企业的信任危机，从而导致COSO新内控框架的建立，该框架提出了全新的风险管理理念和技术，对企业内部控制具有极 大的理论和实践意义。

一、COSO内部控制的发展历程

内部控制的概念是在实践中逐步产生、发展和完善起来的。早在 １９７７ 年，作为美国“水门事件”的调查结果，立法者和监管团体为了制止美国公司向外国行贿，通过了“国外实务法案”并要求公司管理层加强会计内部控制的条款。１９７８ 年，美国执业会计协会下面的柯恩委员提出报告，一是建议公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是建议外部审计师对管理者内控报告提出审计报告。１９８０ 年后，内部控制审计的职业标准逐渐成形。２００２ 年的萨班斯—奥克斯利法案，再次表明完善公司内部控制必须以COSO 框架为基础，充分理解其财务报告的可靠性目标和合规性目标。然而十多年以后 ， 安然、世通等新一轮财务丑闻的相继上演 ， 在世界范围内掀起了加强企业风险管理的浪潮 ， 要求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。在这一背景下 ，COSO委员会在１９９２ 年COSO报告的基础上，结合《萨班斯 － 奥克斯利法案》的相关要求 ，于２００４年９月正式发布了《企业风险管理—整体框架》， 即COSO新报告（ 简称“ＥＲＭ框架”） 。ＥＲＭ框架虽然继承了ＩＣ －ＩＦ框架的部分内容 ，但无 论是在内涵目标还是在要素方面均有重大突破 ，标志着内部控制理论进入了新的发展阶段。

二、COSO内部控制系统框架五大组成部分分析

COSO认为内部控制涵盖了五大组成部分的丰富内容 :控制环境、风险评估、控制活动、信息与交流和监督评审。其中引入了“全息论”的概念 :这五大组成

1

部分和三大目标是紧密相联的 ,就象一个人体的细胞包含了人体的各种信息那样 ,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。具体含义如下 :

1、控制环境:控制环境是推动控制工作的发动机 ,是所有其他内控组成部分的基础。它奠定组织的风纪和结构 ,并且涉及到所有活动的核心—人 ,特别是人的控制觉悟 ,还反映了企业的各级管理层对内控的要求。控制环境中的要素 有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、织结构、规章制度和人事等等。主要的问题是管理层要充分说明内控的完整性 ;公司要有积极的控制环境 ,使整个组织中的员工具有控制觉悟和自觉的控制态度 ,特别是高级管理层要积极地进行控制 ;员工的能力与其责任要相匹配。

2、风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动 ,对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险 ,需要不时调整内控 ,以便恰当地处理任何新的或过去不加控制的风险。

3、控制活动:是为了合理地保证经营管理目标的实现 ,指导员工实施管理指令 ,管理和化解风险而采取的和程序 ,包括高层检查、直接管理、信息加工、实物控制、确定指标、责分离等。在控制活动中主要关注控制与风险评估过程的联系、制活动的适当形式及其实施、对执行和管理指令的保证、制活动的针对性 (尤其是对信息系统的控制)等等。

4、信息与交流 :存在于所有经营管理活动中 ,使员工得以搜集和交换为开展经营、事管理和进行控制等活动所需要的信息 ,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理 ;在交流方面也要注意内部和外部信息的交流渠道和方式 ;在信息技术的发展中注意控制信息系统。

5、监督评审 :是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或分别单独的 ,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对程序的调整等等。

COSO所提出内控理论影响深远 ,现在无论是一般生产性企业、通领域的企业还是金融服务业等都在该框架下纷纷制订了相应具体的内控制度、建立了较为完善的内控机制 ,成为世界各国不同企业纷纷效仿和跟进的标杆。

三、内部控制体系现状分析

全面认识COSO框架的内容对我们的工作具有非常好的指导作用，在执行过程中通过对比我们可以及时发现工作中存在的不足，这也是分析和评价内部控制的关键所在，只有全面、彻底地了解其局限及当前存在的主要问题，才能切实提出加强内部控制的有力措施。 1、 内部控制固有的局限性

内部控制体系有其固有的局限性，只能为管理人员达到其目的提供合理的保证，管理层在制定制度时会遇到许多无法预料的因素，也会遇到许多内部控制本身就无法控制的情况，例如： （1）内部控制只适于正常且经常反复出现的业务事项，而不能对例外事项（包

2

括意外事故）进行控制；

（2）对于工作人员因粗心、精力不集中、身体欠佳、判断失误或误解上级发出的指令而造成的这种人为错误为力； （3）内部控制还受到控制成本的；

（4）当工作人员合伙舞弊和内外串通共谋时也无法控制； （5）当管理人员滥用职权或不能正确使用权力时无法控制； 因此，尽管管理层力争取得有效的控制效果，但由于上述及其他因素存在，内部控制不可能完美无缺。

2、 当前企业内部控制存在的一些问题

目前一些企业的财务内部控制还没有达到能够使各类财务决策力、各项财会业务过程、各个操作环节、各个财会人员的行为都处于紧密的内部制约和监控之下的科学、有效的财务内部控制水平。理论上忽视对企业财务内部控制及其风险的研究，误导财务管理实际工作对财务内部控制的疏忽和松懈。主要表现在以下四个方面：

（1）企业管理层重生产、轻经营；重开发、轻内部管理，甚至把财务内部控制仅仅看成是财务管理部门的事，而没有把财务内部控制放在整个企业经营管理的策略高度来考虑； （2）有的企业虽有为数不少的财会规章制度，但仅仅是纸上谈兵，流于形式，而未得到切实的贯彻执行；

（3）忽视财务内部稽核和内部审计的作用。有的企业没有财会部门的稽核，有的内部稽核不规范，未形成制度；

（4）在日常财务管理方面，思想工作不深入，对职工的个人行为和思想状况了解不够，使一些事故隐患长期得不到发现。

四、加强企业内部控制制度建设的对策 1、建立科学有效的组织结构

组织结构是企业采用的按不同任务或职位来划分和调配劳动力的方法，设置科学合理的企业组织机构是实现公司运营目标的基础，企业的各项决策方式和最终的战略方案都会受到组织结构的影响，内控制度也不例外。组织结构的类型众多，职能制组织结构、事业部制组织结构、矩阵制组织结构以及战略业务单位组织结构等，不同的组织结构要求企业有不同的业务执行方案，部门设置也有不同，董事会在设置机构时，必须做好效率、人员成本和控制力度之间的平衡，权利明确清晰，责任到位，然后配以适用于不同组织结构的内控制度，才能充分发挥内控的监督、检查和激励作用，避免利益冲突引起的不必要的损失。

2、增强内部控制意识

从 COSO 提出的五个要素中我们也可看出控制环境对内部控制的建设极其重要，内部控制是由单位治理层及员工共同实施的旨在实现控制目标的过程，不论是管理层还是基层员工都应该对内部控制有足够的重视，树立在内部控制制度的约束下开展经营活动的理念，使企业的各项经济活动真正纳入到企业的内部控制系统，最大限度的降低非可控性。

3、提高内控人员素质

企业应加强内部管理人员尤其是财会人员的培训学习，培养其鉴别会计信息的真实性、完整性及财务活动合法性的能力，提高内部控制人员的自我约束力和综合素质。要定期对职工进行内控知识的宣传和教育，加强思想道德建设和法律法规的学习，使企业上下对内部控制制度有正确的认识，消除阻碍因素，顺利推动内

3

控工作的进行。

4、内控建设要与企业文化建设相联系 企业文化强大的整合作用，使得越来越多的高管在企业文化的建设上投入更多的精力，没有文化的企业就是一个没有灵魂的躯壳，良好的企业文化是企业可持续发展的重要基础。拥有良好企业文化的企业，能够将全体员工的积极性和责任感充分调动起来，对企业的发展予以最全力的贡献，高度关注企业的命运，这就可以自然地预防像总经理的舞弊风险、决策低效率等问题，在此基础上建立的内部控制也能够起到事半功倍的效果。海尔一直都很重视企业文化建设，力求把“质量重于一切”的理念深入到每个员工，而其内部控制的建设也与质量第一的企业文化紧密相连，两者相互促进，保证了海尔持久的市场声誉和较高的顾客信任度。

5、完善内部控制测试

完整的内控制度不仅仅是指规章制度的制定，还应该包括后期的控制测试和监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证，只有对结果进行科学的分析得出有利于改进内部控制建设的信息和措施建议，才能够达到进行制度控制的效果，避免内部控制流于形式而带来的效益小于成本的困境。目前我国三大电信运营商均在美国上市，每年均面临《萨班斯奥克斯利法案》的严格审核，为了通过审核，电信运营商采取一系列措施加强内部控制测试，全程监控，保证内部控制的有效落实，比如检查式测试、常态化测试、咨询式测试，提高了电信运营商内控建设的科学性和系统性，同时其成功实践也为其他上市公司加强内部控制管理提供了有益参考。

6、做好内部审计工作

企业内部控制涉及企业运行过程方方面面，对其具体的执行需要进行不断地跟踪，跟踪取得的最终效果关键取决于企业自身的监督，而内部审计就是进行这种跟踪的有效措施。内部审计是企业经济活动的评价监督部门，也是内部控制系统一个特殊的构成要素，是对内部控制的再控制。与其他形式的审计相比，内部审计部门作为企业自身内部的一个职能部门对企业的经营活动、会计核算、控制程序等方面有更准确的认识和深入的了解，使其对企业内部监督的有效性成为可能。充分发挥内部审计的作用，可以为改进内部控制提供建设性意见，有效防范内部控制失控，促进企业控制目标的实现。企业对具备内审专业人员的需求以及内部审计职业考试的持续升温加也证明了内部审计对企业的重要性。 五、COSO报告对我国企业内部控制的启示 1、建立以风险管理为核心的企业内部控制体系

新的COSO框架最突出的特点是提高了对企业风险的关注程度,使企业内部控制逐渐呈现与风险管理一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制。企业内部控制开始走向范围更宽泛的风险管理。 我国企业应加强对风险的认识,将风险管理提升到一定的高度,逐步建立以风险管理为核心的内部控制体系。由于控制是需要成本的,董事会与管理层要将精力主要放在风险管理上,而不是对所有细节的控制上。对风险的管理是否及时、有效往往会关系到企业的生死存亡。只有将风险管理作为核心的内部控制才能为企业的存续和发展提供更大的支持。 企业风险管理需要企业管理者建立一种企业总体层面上的风险组合观,对相关的风险进行识别并采取措施使企业所承担的总体风险在风险偏好的范围内。在制定目标时,要针对不同的目标分析其相应的风险,并根据对实现企业目标的潜在影响来确认风险,从固有风险和残存风险的角

4

度进行风险评估,对规避、减少、共担和接受等风险反应方案,企业管理者应比较不同方案的潜在影响,在企业风险容忍度范围内的假设下考虑风险反应方案的选择。

2、重视企业的内部环境建设,强化董事会的内部控制功能

内部环境有着丰富的内涵,它由许多因素共同构成,包括企业风险管理理念、企业风险偏好、董事会的监管、企业员工的诚实性、道德标准和能力、权责的分派以及企业的人力资源等。内部环境设定了企业的基调,同时也是决定一个企业的内部控制优劣的基础。企业要加强对内部环境的建设,只有拥有良好的内部环境,才能保证具体内部控制措施的实施,才能真正建立起有效的体系。

在构成内部环境的要素中,董事会是重要的组成部分,对其他要素有着重大影响,建立健全董事会功能是企业最根本的内部控制。安然、世通等特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。而在我国,受等方面的影响,很多企业的董事会形同虚设,内部控制缺乏应有的股东监督机制,更多地维系在经营者的觉悟上,关键人控制现象十分突出。企业应该认识到董事会对企业的所有活动负有最终责任,要充分发挥董事会的监管作用,确保企业的各项活动符合其风险偏好、不超出其风险容忍度的范围,这样才能使企业健康地发展下去。 3、加强监督机制,提高内部控制效率

公司治理的监督机制包括内部监督机制与外部监督机制,其中内部监督机制是指股东大会、董事会、监事会等监督机制;外部监督机制是指媒体、中介机构等监督机制。在目前我国很多企业缺乏完善的公司治理机制、内部环境较差的情况下,要使内部控制有效执行,必须借助于企业内、外部的监督机制,定期和不定期地对内部控制制度的执行情况进行检查与考核,不断发现问题、解决问题,从而不断修改或调整有关的控制环节和措施,促使内部控制日趋合理有效。 4、突出人的作用,增强内部控制执行的自觉性

无论多好的制度,若得不到切实的执行也不能发挥其应有的作用。内部控制并非仅仅是手册与表格,而是由具体的人来执行和实施的。在加强企业内部控制管理的过程中,人的因素十分的重要。这里所说的人,不仅仅是企业的管理人员、董事会成员或内部审计人员,而应包括来自企业内每一个阶层的每一个员工。一个良好的内部控制系统应确保企业内每一个员工都能清楚地知道其所拥有的权力和承担的责任,树立每一个员工都应对企业的内部控制负有责任的观念,促使他们团结合作,主动实施并完善企业的内部控制,为企业总体目标的实现认真履行自己的职责。

结语

在现代企业管理中，依据内部控制框架建立合适规范的企业内部控制规范对经济发展具有非常重要的意义，同时对会计学尤其是内部审计的发展具有重大影响。

5

参考文献 ：

［1］COSO ,internalcontrol - integrated framework ,1992.

［2］Goldberg. Your Merge: Will it really add value? [J].The Journal of corporate

accounting and finance, 2001.

［3］吴水澎. 企业内部控制理论的发展与启示 [ J] . 会计研究, 2000.

［4］盖瑞・・米勒《管理困境———科层的政治经济学》上海 :上海人民出版

社 ,2002年.

［5］宋建波． 企业内部控制［Ｍ］．中国人民大学出版社 ，2004．

［6］周兆生.内部控制与风险管理 [J ] .审计与经济,2004 .

［7］罗伯特・西蒙斯《控制》北京 :机械工业出版社 ,2004年.

6