［摘  要］內部控制是現(xiàn)代企業(yè)管理架構的核心內容，是企業(yè)持續(xù)發(fā)展的制度保證。COSO報告提出了企業(yè)內部控制的總體框架，是全球企業(yè)內部控制理論的深化和實踐的最新發(fā)展，對中國企業(yè)內部控制機制的建設與完善具有重要的指導價值。

　　［關鍵詞］企業(yè)管理；內部控制；COSO報告

　　內部控制是現(xiàn)代企業(yè)管理架構的構成部分，是企業(yè)持續(xù)發(fā)展的制度保證。現(xiàn)代企業(yè)理論和管理實踐表明，企業(yè)一切管理工作，都是從建立和健全內部控制開始的；企業(yè)的一切活動，都無法游離于內部控制之外?？梢哉f，“得控則強，失控則弱，無控則亂”。因此，內部控制在現(xiàn)代企業(yè)管理中居于戰(zhàn)略地位。

　　一、關于內部控制的內涵

　　長期以來，人們對內部控制有不同的認識，提出了各種各樣的觀點。例如“過程論”把內部控制定義為實現(xiàn)一組目標而提供合理保證的一種過程：“程序論”則認為內部控制是指基本的內部會計控制及風險管理政策及程序：“制度論”認為內部控制是企業(yè)為實現(xiàn)經營目標，根據(jù)經營環(huán)境變化，對企業(yè)經營與管理過程中的風險進行識別、評價和管理的制度安排、組織體系和控制措施：“系統(tǒng)則將內部控制定義為一種多要素構成的‘系統(tǒng)’”。另外，國內外還有“行為論”、“結果論”、“狀態(tài)（環(huán)境）論”、“綜合論”等其他觀點。這些觀點都是從不同立場或不同角度觀察內部控制的結果，從不同側面揭示了內部控制的某些特征。

　　那么，到底什么是內部控制呢？COSO報告將內部控制定義為：由一個企業(yè)的董事長、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：經營的效果和效率；財務報告的可靠性；符合適用的法律和法規(guī)。

　　在這個定義中，有四個關鍵詞值得注意：目標（objectives）、人（personnel）、過程（process）、合理保證（reasonable assurance）。也就是說，內部控制以過程為導向；受人的因素影響；受目標的驅動；存在局限性，即內部控制所提供的是合理的保證而非絕對的保證?？梢姡珻OSO報告對內部控制的定義具有豐富的內涵，同時具有科學的限定，這是截至目前最權威、最通用的內部控制定義。

　　二、內部控制的構成要素與整體框架

　　COSO報告提出了內部控制的五個構成要素，即所謂的“五點論”，它們分別是控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。

　?。ㄒ唬┛刂骗h(huán)境（Control Environment）

　　起初人們只是將控制環(huán)境作為內部控制的外部因素來看待，但漸漸地人們認識到控制環(huán)境是內部控制的一個組成部分，是充分有效的內部控制體系得以建立和運行的基礎及保證，因而應該包含在企業(yè)內部控制的范圍內。

　　COSO報告則把控制環(huán)境作為內部控制系統(tǒng)的首要因素，認為控制環(huán)境是一個企業(yè)進行內部控制的氛圍，是其他控制成份的基礎。具體包括以下內容：（1）員工的誠實性和道德觀，如有無描述可接受的商業(yè)行為、利益沖突及道德行為標準的行為準則。（2）員工的勝任能力，如雇員是否能勝任質量管理的要求。（3）董事會或審計委員會，如董事會是否獨立于管理層。（4）管理哲學和經營方式，如管理層對人為操縱的或錯誤的記錄的態(tài)度。（5）組織結構，如信息是否到達合適的管理階層。（6）授予權利和責任的方式，如關鍵部門的經理的職責是否有充分規(guī)定。（6）人力資源政策和實施，如是否有關于雇傭、培訓、提升和獎勵雇員的政策。

　　仔細分析以上描述，控制環(huán)境可以歸納為兩大方面：一是“軟環(huán)境”：包括企業(yè)的管理哲學、控制文化（culture of controls）、風險意識、人的素質與品德等看不見、摸不著、卻在內部控制中起著決定性作用的無形因素構成的氛圍。二是“硬環(huán)境”：包括企業(yè)的所有權結構、法人治理結構、組織體系、權力分配等結構性因素。企業(yè)只有建立包括董事會、管理層等在內的完善的治理結構，以及科學合理的組織體系，并合理配置各層次、各方面的權責，內部控制系統(tǒng)才有所依托并得以運轉?？梢姡刂骗h(huán)境既是一個企業(yè)管理架構的組成部分，也是其內部控制系統(tǒng)的構成要素?？刂骗h(huán)境確立了一個企業(yè)的基調，影響公司及人員的控制意識和導向。它是其他內部控制要素的基礎，提供規(guī)則和結構。只有打牢控制環(huán)境這個根基，企業(yè)內部控制系統(tǒng)的“大廈”才能建立起來并真正發(fā)揮作用。

　　（二）風險評估（Risk Assessment）

　　風險控制對企業(yè)來說具有特別重要的意義，不僅是企業(yè)內部控制的主要目標，而且是企業(yè)內部控制的核心要素和軸心工作。

　　COSO報告認為，風險評估指管理層識別并采取相應行動來管理對經營、財務報告、合規(guī)性目標有影響的內部或外部風險，包括風險識別和風險分析。風險識別包括對外部因素（如技術發(fā)展、競爭、經濟變化）和內部因素（如員工素質、公司活動性質、信息系統(tǒng)處理的特點）進行檢查。風險分析涉及估計風險的重大程度、評價風險發(fā)生的可能性及考慮如何管理風險等。

　　需要特別強調的是：這里的要素是“風險評估”，而不是“風險管理”。在一般人眼里，內部控制就是風險管理。其實，兩者是不同的。COSO報告第一稿曾將包括風險管理在內的企業(yè)管理等眾多內容排除在內部控制之外（見表1），后來又不聲不響地將風險管理繞回到報告之中（1996年，COSO委員會發(fā)布的《金融衍生工具運用中的內部控制問題》中強調了運用內部控制對風險管理活動進行評價）。那么內部控制與風險管理之間是什么關系呢？其可以概括為：內部控制的動力源于風險防范并構成風險管理的必要環(huán)節(jié)，但內部控制并不等同于風險管理，只能防范風險，不能轉嫁、承擔、化解或分散風險。

　　（三）控制活動（Control Activities）

　　控制活動是企業(yè)內部控制的實質性要素，是依托于控制環(huán)境進行的實際控制行為。COSO報告認為，控制活動指對所確認的風險采取必要的措施，以保證單位目標得以實現(xiàn)的政策和程序。在實踐中，控制活動形式多樣，可將其歸結為以下四類。

　　1. 業(yè)績評價，是指將實際業(yè)績與其他標準，如前期業(yè)績、預算和外部基準尺度進行比較；將不同系列的數(shù)據(jù)相聯(lián)系，如經營數(shù)據(jù)和財務數(shù)據(jù)，對功能或運行業(yè)績進行評價。這些評價活動對實現(xiàn)企業(yè)經營的效果和效率非常有用，但一般與財務報告的可靠性和公允性相關度不高。

　　2. 信息處理，指保證業(yè)務在信息系統(tǒng)中正確、完全和經授權處理的活動。信息處理控制可分為兩類：一般控制和應用控制。一般控制與信息系統(tǒng)設計和管理有關，如保證軟件完整的程序、信息處理時間表、系統(tǒng)文件和數(shù)據(jù)維護等；應用控制與個別數(shù)據(jù)在信息系統(tǒng)中處理的方式有關；如保證業(yè)務正確性和已授權的程序。

　　3. 實物控制，也稱為資產和記錄接近控制，這些控制活動包括實物安全控制、對計算機以及數(shù)據(jù)資料的接觸予以授權、定期盤點以及將控制數(shù)據(jù)予以對比。實物控制中防止資產被竊的程序與財務報告的可靠性有關，如在編制財務報告時，管理層僅僅依賴于永續(xù)存貨記錄，則存貨的接近控制與審計有關。

　　4. 職責分離，指將各種功能性職責分離，以防止單獨作業(yè)的雇員從事或隱藏不正常行為。一般來說，下面的職責應被分開：業(yè)務授權（管理功能）、業(yè)務執(zhí)行（保管職能）、業(yè)務記錄（會計職能）及對業(yè)績的獨立檢查（監(jiān)督職能）。理想狀態(tài)的職責分離是，沒有一個職員負責超過一個的職能。

　?。ㄋ模┬畔⑴c溝通（Information and Communication）

　　信息與溝通，指為了使職員能執(zhí)行其職責，企業(yè)必須識別、捕捉、交流外部和內部信息。外部信息包括市場份額、法規(guī)要求和客戶投訴等信息。內部信息包括會計制度，即由管理當局建立的記錄和報告經濟業(yè)務和事項，維護資產、負債和業(yè)主權益的方法和記錄。有效的會計制度應是：（1）包括可以確認所有有效業(yè)務的方法和記錄；（2）序時詳細記錄業(yè)務以便于歸類，提供財務報告；（3）采用恰當?shù)呢泿艃r值來計量業(yè)務；（4）確定業(yè)務發(fā)生時期以保證業(yè)務記錄于合理的會計期間，在財務報告中恰當披露業(yè)務。

　　溝通是使員工了解其職責，保持對財務報告的控制。它包括使員工了解在會計制度中他們的工作如何與他人相聯(lián)系，如何對上級報告例外情況。溝通的方式有政策手冊、財務報告手冊、備查簿，以及口頭交流或管理示例等。

　　有人曾質疑信息與溝通是否應作為內部控制中一個單獨的構成要素，例如加拿大CICA下屬的控制標準委員會（負責制定內部控制標準的機構，即COCO）就認為，信息與溝通應該整合到其他的部分中去，因此COCO沒有把其作為內部控制的構成要素。筆者認為，這種觀點不符合現(xiàn)代信息社會的普遍特征，沒有認識到現(xiàn)代企業(yè)運行中信息的重要性，尤其是與現(xiàn)代企業(yè)高度信息化、電子化的特征相矛盾。我們贊同COSO報告、巴塞爾委員會等的主流做法：把信息與溝通作為內部控制必要的、單獨的構成要素予以強調。

　?。ㄎ澹┍O(jiān)控（Monitoring）

　　COSO報告認為，監(jiān)控指評價內部控制質量的過程，即對內部控制改革、運行及改進活動進行評價。包括內部審計和與單位外部人員、團體進行交流?？梢姡O(jiān)控實際上是企業(yè)對內部控制實施效果進行評價的過程，是企業(yè)站在更高的整體的層面對其他控制要素的整合及調適，是獨立的、進一步的控制活動，因而是企業(yè)完整的內部控制系統(tǒng)必不可少的后續(xù)要素。

　?。┱w框架（Whole Framework）

　　上述五大要素之間具有緊密的關系：控制環(huán)境是其他控制成份的基礎，在規(guī)劃控制活動時，必須對企業(yè)可能面臨的風險有細致的了解和評估；而風險評估和控制活動必須借助企業(yè)內部信息有效的溝通；最后，實施有效的監(jiān)控以保障內部控制的實施質量。五大要素實際上構成了內部控制的立體框架模式（如圖1所示）。

　　三、對COSO報告的評價

　?。ㄒ唬〤OSO報告的理論貢獻

　　同以往的內部控制理論及研究成果相比，COSO報告提出了許多新的、有價值的觀點，代表了現(xiàn)代內部控制理論的最新成果和目前的最高水平。其貢獻歸納起來主要表現(xiàn)在以下12個方面。

　　1. 內部控制通用定義為相關團體提供了理解內部控制的共同基礎。COSO報告通過整合不同的內部控制觀念，接納多數(shù)性的觀點，建立了內部控制的通用定義，為各方提供了一種通用語言和溝通平臺，從而使內部控制的交流更有效果。

　　2. 內部控制整體框架論有助于改變內部控制雜散、機械的現(xiàn)象。COSO報告指出，內部控制是由五大部分組成的，而這五大部分緊密融入到企業(yè)的管理過程中，并形成了有機聯(lián)系的整體，所以，內部控制不再僅僅被看作是一項制度或一條條機械的規(guī)定，而是動態(tài)的過程和有序的系統(tǒng)，是一個有機的整體。

　　3. 強調內部控制是一個持續(xù)的“動態(tài)過程”。內部控制是對企業(yè)的整個經營管理活動進行監(jiān)督與控制的過程，企業(yè)的經營活動是永不停止的，企業(yè)的內部控制過程也因此不會停止。企業(yè)內部控制不是一項制度或一個機械的規(guī)定，企業(yè)經營管理環(huán)境的變化必然要求企業(yè)內部控制越來越趨于完善，內部控制是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復的過程。

　　4. 強調內部控制的三類目標。COSO報告單獨對內部控制的目標進行了解析和闡釋，將內部控制目標分為三類：與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業(yè)控制目標，有利于不同的人從不同的視角關注企業(yè)內部控制的不同方面，尤其是將內部控制觀念從財務報告這一傳統(tǒng)的、狹窄的、技術性的方面突破出來，大大拓展了內部控制的范疇。

　　5. 強調內部控制應該與企業(yè)的經營管理過程相結合。COSO報告認為，經營過程是指通過規(guī)劃、執(zhí)行及監(jiān)督等基本的管理過程對企業(yè)加以管理。這個過程由企業(yè)的某一個單位或部門進行，或由若干個單位或部門共同進行。內部控制是企業(yè)經營過程的一部分，與經營過程結合在一起，而不是凌駕于企業(yè)的基本活動之上，它使經營達到預期的效果，并監(jiān)督企業(yè)經營過程的持續(xù)進行。不過，內部控制只是管理的一種工具，并不能取代管理。

　　6. 強調內部控制中“人”的重要性。COSO報告特別強調，內部控制受企業(yè)的董事會、管理階層及其他員工影響，透過企業(yè)之內的人所做的行為及所說的話而完成。只有人才可能制定企業(yè)的目標，并設置控制的機制。反過來，內部控制影響著人的行動。

　　7. 強調“軟控制”的作用。相對于以前的內部控制研究成果而言，COSO報告更加強調“軟控制”的作用。軟控制主要是指那些屬于精神層面的事物，如高級管理階層的管理風格、管理哲學、企業(yè)文化和內部控制意識等。

　　8. 強調風險意識?，F(xiàn)代社會是一個充滿劇烈競爭的社會，每一個企業(yè)都面臨著成功的挑戰(zhàn)和失敗的風險，對風險的管理是現(xiàn)代企業(yè)的主旋律之一。風險影響著每個企業(yè)生存和發(fā)展的能力，也影響其在產業(yè)中的競爭力及在市場上的聲譽和形象。COSO報告指出，所有的企業(yè)，不論其規(guī)模、結構、性質或產業(yè)是什么，其組織的不同層級都會遭遇風險，管理層須密切注意各層級的風險，并采取必要的管理措施。

　　9. 揉和了管理與控制的界限。在COSO報告中，控制已不再是管理的一部分，管理和控制的職能與界限已經模糊。

　　10. 明確對內部控制的“責任”。在世界內部控制發(fā)展史上，COSO報告第一次明確地闡述了內部控制的制定與實施的責任問題。該報告認為，不僅僅是董事會、管理人員和內部審計人員與內部控制有關，組織中的每一個人都在內部控制中擔當一定的角色，都對內部控制負有一定的責任。確立這種組織思想有利于將企業(yè)的所有員工團結一致，使其主動地維護及改善企業(yè)的內部控制，而不是與管理層相互對立，被動地執(zhí)行內部控制。值得注意的是，它指出外部團體如外部審計師、監(jiān)管組織等并不對企業(yè)內部控制負有責任。這有利于企業(yè)完善內部治理結構，從而真正地將內部控制落到實處。

　　11. 明確指出內部控制的“局限性”。COSO報告認為：不論設計及執(zhí)行有多么完善，內部控制都只能為管理層及董事會提供達成企業(yè)目標的合理保證，而不是絕對保證。而目標達成的可能性，尚受內部控制之先天條件所限制。內部控制的限制因素主要有：職員對與內部控制有關的決策的判斷可能有錯誤；職員可能出現(xiàn)差錯或錯誤；管理人員逾越內部控制是可能的；集體合謀或進行掩蓋可能導致控制失敗等。

　　12. 提出內部控制的成本與效益原則。COSO報告明確指出，內部控制要建立在成本與效益原則的基礎上。內部控制并不是要消除任何濫用職權的可能性，而是要創(chuàng)造一種為防范濫用職權而投入的成本與濫用職權的累計數(shù)額之比呈合理狀態(tài)（即經濟原則）的機制。因此，沒有不花錢的內部控制，也不存在完美無缺的內部控制。

　　總之，COSO報告在內部控制理論研究方面做出了巨大的貢獻，成為當今世界關于內部控制的主流觀點，被奉為經典和權威。在內部控制實務操作方面，則成為廣泛接受的標準和指南，具有普遍的應用價值。

　?。ǘ〤OSO報告的不足與完善

　　COSO報告承認，盡管它代表了集體研究的結晶并力求完善，但它同時也標志著內部控制觀念和實務上評估、創(chuàng)新、教育和研究的重要和全新的起點，而不應是終止。因此，內部控制理論研究和實務應用在內部控制整體框架的基礎上，有可能也應該進一步發(fā)展。

　　在肯定COSO報告價值的同時，我們也不應忽視一些不同的意見。比如，在COSO報告公布不久，美國審計總署（GAO）就曾對該報告的許多方面提出過批評，并指責這個框架有嚴重缺陷，其內部控制定義中缺乏保障資產的概念，還認為這個框架對內部控制重要性的強調不夠，喪失了改善內部控制監(jiān)督和評估的機會。此外，對COSO框架最具挑戰(zhàn)的來自其本身的概念基礎以及其他非會計執(zhí)業(yè)界制定的標準。COSO框架聲稱，并不是所有的管理責任都是內部控制的組成部分，因而將戰(zhàn)略計劃、目標設定、保持核心競爭力及董事會責任等要素排除在外。而許多公司的經營失敗很多是因經營戰(zhàn)略的失敗，公司不具有效的治理結構，經營業(yè)績明顯低于業(yè)界平均水平所引起。顯然，COSO框架對這些問題的關注是不夠的，它將注意力集中在如何對外披露與財務報告有關的內部控制上。

　　COSO報告發(fā)布后，在全球范圍產生了廣泛的影響，許多國家予以回應或予以承認。當今世界另外幾個主流內部控制報告如加拿大的COCO、英國的Cadbury報告、國際內部審計師協(xié)會（IIA）的SAC、信息系統(tǒng)審計與控制協(xié)會的（ISACA）的Cobit，以及巴塞爾銀行監(jiān)督委員會1998年發(fā)布的《銀行組織內部控制系統(tǒng)框架》都與COSO框架緊密相關。中國有關部門制定的內部控制標準，包括證監(jiān)會發(fā)布的《證券公司內部控制指引（2003）》、中國人民銀行發(fā)布的《商業(yè)銀行內部控制指引（2002）》、中國內部審計協(xié)會發(fā)布的《內部審計準則——內部控制（2003）》，其核心內容也與COSO報告一脈相承。

　　2001年底美國發(fā)生的“安然事件”等一系列財務丑聞，又一次讓內部控制成為關注的焦點。針對上述公司失敗事件，美國國會在2002年出臺了《薩班斯—奧克斯利法案》，該法案為公眾公司的外部審計師們創(chuàng)建了一個廣泛的、新的監(jiān)督體制，并將對財務報告的內部控制作為關注的具體內容。國會不僅要求管理層報告公司對財務報告的內部控制，而且要求外部審計師證實管理層報告的準確性。此外，美國證監(jiān)會SEC對該標準的認同等于從另外一個側面承認了COSO報告（此前SEC一直不采納）。這也表明COSO框架在2004年成為了美國的內部控制標準。這是COSO的重大勝利，是COSO每個成員機構多年的不懈努力的結果。

　　不過，COSO報告本身并不是完美無缺，畢竟，對內部控制的理解是在不斷演進的。隨著人們對內部控制越發(fā)熟悉，積累的經驗越多，他們對內部控制的理解就會隨時間而改變，而這或多或少取決于影響和決定內部控制的諸多力量。并且，不同的利益群體對內部控制的觀點存在不同的認識。例如，會計行業(yè)與非會計行業(yè)在關注內部控制的問題上是有重大差別的，如何將會計界的內部控制語言轉換為管理界的內部控制語言，仍是一個需要長期溝通和探索的問題。

　　參考文獻

　　［1］馬廣奇。資本市場博弈論［M］。上海：上海財經大學出版社，2006.

　　［2］史蒂文。J.魯特。超越COSO：強化公司治理的內部控制［M］。劉霄侖譯。北京：中信出版社，2004.

　　［3］謝榮，劉華。證券公司內部控制系統(tǒng)研究［M］。北京：中國財政經濟出版社，2004.

　?。?］吳水澎，邵賢弟，陳漢文。企業(yè)內部控制理論的發(fā)展與啟示［J］。會計研究，2000，（5）。

　?。?］朱榮恩。內部控制的理論發(fā)展［EB/OL］。，2006-01-10.

　?。?］劉金文?！叭亍保簝炔靠刂评碚摽蚣埽跡B/OL］。，2006-04-24.