COSO报告对企业内部控制建设的启示.docx

COSO报告对企业内部控制建设的启示.docx

《COSO报告对企业内部控制建设的启示.docx》由会员分享，可在线阅读，更多相关《COSO报告对企业内部控制建设的启示.docx（9页珍藏版）》请在冰豆网上搜索。

COSO报告对企业内部控制建设的启示

ＣＯＳＯ报告对企业内部控制建设的启示

　　【摘要】本文分析了企业内部控制的现状与问题，建议把COSO框架作为评价内控有效的标准框架之一,吸取COSO框架思想新颖的有价值的观点,强调企业内部控制是一个”动态执行过程”，明确企业内部控制中的责任归属，强调企业内部控制的目标分类并与经营管理过程相结合,坚持成本与效益原则，加强风险管理，强调”软控制”的作用，提高企业的控制力，以提高企业的整体经营管理水平，使企业在激烈的市场竞争中立于不败之地。

【关键词】COSO报告企业内部控制启示

一、内部控制的发展　　　　内部控制理论的发展大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同阶段。

内部控制思想是以账目间的相互核对为主要内容并实施岗位分离，这在早期被认为是确保所有账目正确无误的一种理想控制方法。

内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制（或称内部业务控制）两部分，前者在于报告企业资产、检查会计数据的准确性和可靠性；后者在于提高经营效率、促使有关人员遵守既定的管理方针。

后来，西方学术界在对内部会计控制和管理控制进行研究时，逐步发现这两者是不可分割、相互联系的。

因此在20世纪80年代提出了内部控制结构的概念，认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。

20世纪90年代，美国提出内部控制整体框架思想，并逐步将各界对内部控制的认识统一起来。

研究内部控制的委员会—-COSO委员会提出的报告中，把内部控制定义为：

内部控制是由企业董事会、管理当局和其他员工实施的，为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目标的达成而提供合理保证的过程。

1992年COSO委员会提出《内部控制———整体框架》报告,也称COSO报告。

经两年的修改,1994年进行了增补，扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制。

COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三项目标以及控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。

按控制内容，内部控制分为公司整体和业务流程两个层次。

COSO框架准确定位内部控制基本目标，并强调“人”的重要性。

COSO报告指出人和环境是推动企业发展的引擎.内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。

　　但是COSO框架也不是万能的，它无法涵盖企业全部的经营和管理,提供100％的保证.尽管有自身的缺陷，COSO仍然是影响力最大的内控框架体系。

当今世界另外几个主流内部控制框架如加拿大COCO委员会内部控制柜架、英国的卡德伯利报告（CadburyReport）等，都与COSO框架紧密相关。

我国有关部门制定的内部控制标准，如中国人民银行发布的“商业银行内部控制指引（2002）"、包括证监会发布的“证券公司内部控制指引（2003）”、中国内部审计协会发布的“内部审计准则——内部控制（2003）”，其核心目标也与COSO框架一脉相承.　　　　

二、我国企业内部控制现状分析　　　　内部控制制度已成为企业必不可少的管理机制，合法合规要求以及完善企业公司治理机制的内在要求使得我国企业已经越来越重视内部控制制度的作用,并且不断完善,既为企业的健康发展提供保障,也对投资者的权益起到了一定的保障作用。

1、我国企业内部控制的发展　　我国自20世纪90年代起，开始加大对企业内部控制的推行，1996年财政部发布《独立审计具体准则第9号-内部控制和审计风险》，要求注册会计师检查企业的内部控制.1997年5月中国人民银行颁布《加强金融机构内部控制的指导原则》。

2000年7月实施的《会计法》是我国第一部体现内部会计控制要求的法律，作为《会计法》的配套法规之一，财政部于2001年6月颁布了《内部会计控制规范—基本规范（试行）》和《内部会计控制规范-货币资金（试行）》.2003年始中国内部审计学会相继发布了“内部审计基本准则"、“内部审计人员职业道德规范”、“内部审计具体准则第1号—-—第24号"。

2004年8月国务院国有资产监督管理委员会发布了“中央企业内部审计管理暂行办法"、“中央企业经济责任审计管理暂行办法"；11月国务院第427号令发布了“财政违法行为处罚处分条例”，该条例的颁布实行是我国审计法制建设的一件大事，有利于维护财政经济秩序，制止违法行为,促进市场经济的发展。

1998年以前，许多企业的内部控制工作仅仅是关注企业的财务收支活动，其目标主要是查错防弊。

随着市场竞争的日益加剧,管理层要求内部控制承担对经营活动效率效果、财务数据的真实合法、以及公司运营对合法合规等责任，为改善经营服务，许多企业开始把提高效率、防范风险作为内部控制的主要目标，并强调要发挥内部控制的增值作用。

现代企业制度下的内部控制已不是传统的查弊和纠错，而是涉及到企业的各个方面，成为公司控制权结构的具体表现,与企业组织形式的深化及治理机构的发展相一致.现代企业制度的实质是企业所有权和经营权相分离，经营管理权和监督权相制衡为主的各种权利相互制约，相互依存的企业管理制度的安排.现代公司内部控制制度的职责不仅包括保证财产的安全完整，检查会计资料的准确、可靠，还将促进企业贯彻经营方针以及提高经营效率纳入控制范围。

目前，在现代化企业内部控制规范化方面取得了部分研究成果并开始进入实践阶段,大多数上市公司都建立了相应的内部控制系统，然而,企业内部控制系统失效的现象经常发生，构建完善的内部控制制度，使内部控制制度在企业管理中发挥应有的作用是当务之急。

　　2、我国企业内部控制存在的问题　　

（1）对内部控制的认识存在偏差.有的企业认为内部控制就是为了查错防弊、防止职务犯罪，往往侧重于企业内部的牵制和相互制约机制方面.有的企业认为内部会计控制就是内部控制，有了内部审计机构和内部审计制度也就是建立了企业内部控制制度。

有的虽然建立了一系列内部控制制度，但仅仅停留在表面的手册、文件和制度上，照搬国外成功企业内控模式，但并不适用于本企业实际情况,未能有效发挥内部控制的作用。

还有的企业只注重制度的文字编写环节,严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等方面，导致内部控制执行不利。

（2）控制环境建设薄弱.控制环境是企业内部控制的一个重要组成部分，它是构成一个组织的氛围,影响其他因素的基础，是由企业全体职工，主要是企业管理者所造就的,是充分有效的内部控制制度得以建立和运行的基础和保证。

企业经常出现高层管理者不遵守内部控制制度规定的现象,高层管理者不按程序操作，且超越权限限制，频频使用例外原则，导致内部控制制度威慑力下降。

公司法人治理结构是公司制的核心，而规范公司法人治理结构关键是看董事会能否发挥作用。

我国上市公司的法人治理结构在形式上是完整的,但从内部分析来看，不难发现其弊端，公司治理结构缺乏相互牵制的力量;另外组织机构设置不合理，普遍存在机构臃肿，管理层次多，部门之间缺乏必要的交流,信息沟通不灵敏，协调性差，再加上人员素质等方面的原因，至使企业内部控制普遍薄弱。

如我国企业内部会计控制活动中最大的一个薄弱环节就是考核奖惩机制不够健全、有效。

　　　　【摘要】本文分析了企业内部控制的现状与问题，建议把COSO框架作为评价内控有效的标准框架之一,吸取COSO框架思想新颖的有价值的观点，强调企业内部控制是一个”动态执行过程”,明确企业内部控制中的责任归属，强调企业内部控制的目标分类并与经营管理过程相结合，坚持成本与效益原则，加强风险管理，强调"软控制”的作用，提高企业的控制力，以提高企业的整体经营管理水平,使企业在激烈的市场竞争中立于不败之地。

　【关键词】COSO报告企业内部控制启示　　　　

一、内部控制的发展　　　　内部控制理论的发展大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同阶段。

内部控制思想是以账目间的相互核对为主要内容并实施岗位分离,这在早期被认为是确保所有账目正确无误的一种理想控制方法。

内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制（或称内部业务控制）两部分，前者在于报告企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促使有关人员遵守既定的管理方针。

后来，西方学术界在对内部会计控制和管理控制进行研究时，逐步发现这两者是不可分割、相互联系的.因此在20世纪80年代提出了内部控制结构的概念,认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。

20世纪90年代,美国提出内部控制整体框架思想，并逐步将各界对内部控制的认识统一起来.研究内部控制的委员会-—COSO委员会提出的报告中,把内部控制定义为：

内部控制是由企业董事会、管理当局和其他员工实施的，为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目标的达成而提供合理保证的过程。

1992年COSO委员会提出《内部控制—--整体框架》报告，也称COSO报告。

经两年的修改,1994年进行了增补，扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制.　　

COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三项目标以及控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。

按控制内容，内部控制分为公司整体和业务流程两个层次.COSO框架准确定位内部控制基本目标，并强调“人"的重要性。

COSO报告指出人和环境是推动企业发展的引擎。

内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。

但是COSO框架也不是万能的，它无法涵盖企业全部的经营和管理,提供100％的保证。

尽管有自身的缺陷，COSO仍然是影响力最大的内控框架体系.当今世界另外几个主流内部控制框架如加拿大COCO委员会内部控制柜架、英国的卡德伯利报告（CadburyReport）等，都与COSO框架紧密相关。

我国有关部门制定的内部控制标准，如中国人民银行发布的“商业银行内部控制指引（2002）”、包括证监会发布的“证券公司内部控制指引（2003）”、中国内部审计协会发布的“内部审计准则——内部控制（2003）"，其核心目标也与COSO框架一脉相承.　　　　二、我国企业内部控制现状分析　　　　内部控制制度已成为企业必不可少的管理机制,合法合规要求以及完善企业公司治理机制的内在要求使得我国企业已经越来越重视内部控制制度的作用,并且不断完善，既为企业的健康发展提供保障，也对投资者的权益起到了一定的保障作用。

　　1、我国企业内部控制的发展　　我国自20世纪90年代起，开始加大对企业内部控制的推行,1996年财政部发布《独立审计具体准则第9号—内部控制和审计风险》，要求注册会计师检查企业的内部控制。

1997年5月中国人民银行颁布《加强金融机构内部控制的指导原则》。

2000年7月实施的《会计法》是我国第一部体现内部会计控制要求的法律，作为《会计法》的配套法规之一，财政部于2001年6月颁布了《内部会计控制规范-基本规范（试行）》和《内部会计控制规范—货币资金（试行）》。

2003年始中国内部审计学会相继发布了“内部审计基本准则"、“内部审计人员职业道德规范”、“内部审计具体准则第1号-—-第24号”。

2004年8月国务院国有资产监督管理委员会发布了“中央企业内部审计管理暂行办法”、“中央企业经济责任审计管理暂行办法”；11月国务院第427号令发布了“财政违法行为处罚处分条例",该条例的颁布实行是我国审计法制建设的一件大事,有利于维护财政经济秩序,制止违法行为，促进市场经济的发展。

1998年以前，许多企业的内部控制工作仅仅是关注企业的财务收支活动，其目标主要是查错防弊。

随着市场竞争的日益加剧，管理层要求内部控制承担对经营活动效率效果、财务数据的真实合法、以及公司运营对合法合规等责任,为改善经营服务，许多企业开始把提高效率、防范风险作为内部控制的主要目标，并强调要发挥内部控制的增值作用。

现代企业制度下的内部控制已不是传统的查弊和纠错，而是涉及到企业的各个方面，成为公司控制权结构的具体表现，与企业组织形式的深化及治理机构的发展相一致.现代企业制度的实质是企业所有权和经营权相分离,经营管理权和监督权相制衡为主的各种权利相互制约，相互依存的企业管理制度的安排。

现代公司内部控制制度的职责不仅包括保证财产的安全完整，检查会计资料的准确、可靠,还将促进企业贯彻经营方针以及提高经营效率纳入控制范围。

　　目前,在现代化企业内部控制规范化方面取得了部分研究成果并开始进入实践阶段，大多数上市公司都建立了相应的内部控制系统，然而，企业内部控制系统失效的现象经常发生，构建完善的内部控制制度，使内部控制制度在企业管理中发挥应有的作用是当务之急.　　2、我国企业内部控制存在的问题　　

（1）对内部控制的认识存在偏差。

有的企业认为内部控制就是为了查错防弊、防止职务犯罪，往往侧重于企业内部的牵制和相互制约机制方面.有的企业认为内部会计控制就是内部控制，有了内部审计机构和内部审计制度也就是建立了企业内部控制制度.有的虽然建立了一系列内部控制制度,但仅仅停留在表面的手册、文件和制度上，照搬国外成功企业内控模式，但并不适用于本企业实际情况，未能有效发挥内部控制的作用.还有的企业只注重制度的文字编写环节，严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等方面，导致内部控制执行不利。

（2）控制环境建设薄弱.控制环境是企业内部控制的一个重要组成部分，它是构成一个组织的氛围,影响其他因素的基础,是由企业全体职工，主要是企业管理者所造就的，是充分有效的内部控制制度得以建立和运行的基础和保证。

企业经常出现高层管理者不遵守内部控制制度规定的现象，高层管理者不按程序操作，且超越权限限制,频频使用例外原则,导致内部控制制度威慑力下降。

公司法人治理结构是公司制的核心，而规范公司法人治理结构关键是看董事会能否发挥作用.我国上市公司的法人治理结构在形式上是完整的，但从内部分析来看,不难发现其弊端,公司治理结构缺乏相互牵制的力量；另外组织机构设置不合理，普遍存在机构臃肿,管理层次多，部门之间缺乏必要的交流，信息沟通不灵敏,协调性差，再加上人员素质等方面的原因，至使企业内部控制普遍薄弱。

如我国企业内部会计控制活动中最大的一个薄弱环节就是考核奖惩机制不够健全、有效。

　　　　（3）对企业内部控制没有形成规范的评价体系。

内部审计人员必须独立于被审计部门,并且必须直接向董事会或审计委员会报告。

我国的上市公司,虽然法律上给予了内部审计人员一定的保护，但他们并没有一个独立的内部审计环境。

内部审计人员缺乏独立性，企业内部控制不完善,使内部审计很难完成客观评价内部控制的任务。

外部注册会计师出具的内部控制评价报告往往流于形式。

外部和内部评价也没有很好的协调.　　我国还没有形成自己的企业内部控制整体框架是企业内部控制存在以上问题的根本原因.对内部控制的认识还不统一，对内部控制应包含哪些因素，应如何构建，各要素间有哪些联系等也认识不一，各企业内部控制的构建也千差万别，使得很多企业不得不效仿成功企业，但却忘了自己企业与成功企业是有差异的,这种效仿的有效性是值得怀疑的.建议把COSO框架作为评价内控有效的标准框架之一，因此有必要研究并实践COSO框架,构建适用于我国企业内部控制的机制。

　　　　三、COSO框架对我国企业内部控制建设的启示　　　　COSO框架提出了许多新颖的有价值的观点，对我国企业管理上升到新的层次具有一定的启示。

　　1、强调企业内部控制是一个“动态执行过程”　　内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动是在不断地进行的，因此内控也是时刻进行着的。

企业在发展中会不断出现新的问题并且面临各种各样的变动，这就要求企业的内控要同步甚至超前发展，不断更新和完善，以适应企业的需求，从而提高企业的综合水平。

内控不仅仅是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程，还应该可以有效避免可预见性问题的发生。

而有些企业过于注重内控理论和条款的研究制定,但对已存在的内控制度不能有效执行，企业应当建立独立的监督部门，来保证框架实施的有效性。

企业整个风险管理过程均应被监督,并要对发现的偏离进行必要修正。

现代企业最忌讳的就是开展业务过程中出现暗箱操作行为，这往往是发生舞弊的前奏。

所有业务活动的授权、批准、执行、记录和监督应分别由不同部门执行,使其相互牵制、相互制约。

特别是控制和监督两大要素若存在严重问题,就很难保证已设计好的内部控制能得到有效执行。

内部控制也是动态的执行过程,而不只是成文的条款框架。

　　2、明确企业内部控制中的责任归属　　COSO框架明确地阐述了企业内部控制的制定与实施的责任问题。

该框架认为，不仅仅是董事会、管理人员、内部审计人员，组织中的每一个人都对内部控制环节负有责任。

这种思想有利于将企业的所有员工的思想及行动团结在一起，真正发挥主人翁的作用，使其主动地维护和改善企业的内部控制管理，而不是与管理层相对立，被动地遵照内部控制制度。

在一些企业中,工作中出现了问题往往会发生职员互相推卸责任的现象,甚至是管理者迫使其属下承担责任。

这正是因为责任归属工作不到位,长期如此还会引发原可避免的问题。

所以，企业应划分清晰责任归属，帮助企业职员自律.　　3、强调企业内部控制的目标分类并与经营管理过程相结合　　COSO框架对内部控制的目标进行了解释和阐明。

目标设定是管理过程的一个重要组成部分，虽然不是内部控制的组成要素，但却是内部控制的先决条件，也是促成内部控制的要件。

COSO框架将内控目标分为三类：

与营运有关的目标、与财务报告有关的目标和与法令的遵循性有关的目标。

这样的分类概括企业的控制目标，有利于不同的人从不同的视角关注企业内部控制的不同方面。

企业内部控制从以查错防弊为目的的“内部牵制”发展到由组织结构、职务分离、业务程序、处理手续等因素构成的“控制系统”，再到以控制环境、会计系统和控制程序为要素的“内部控制结构”，经历了一个漫长的发展过程.在COSO报告中糅合了管理与控制的界限，控制已不再是管理的一部分，管理和控制的职能与界限已经模糊。

目前内部控制最具权威的COSO框架同其它内部控制理论和研究成果相比，提出了许多新颖的有价值的观点,对我国企业管理上升到新的层次具有一定的启示和借鉴意义.　　4、坚持成本与效益原则，加强风险管理　　COSO框架明确指出,内部控制要建立在成本与效益原则的基础上。

内部控制并不是要消除任何滥用职权的可能性，而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比成合理状态的机制。

企业最关心的是经济效益，如果单纯从控制的角度来考虑，参与控制的人员和环节越多，控制措施越严密复杂，控制的效果就越好,其发生的错弊现象就越少，但因控制活动造成的控制成本就越高.因此,在设计内部控制时,一定要考虑控制投入成本和控制产出效益之比,对那些在业务处理过程中发挥作用大、影响范围广的关键控制点进行严格控制。

成本效益的评估过程就是要求企业权衡一项内部控制过程或政策可能的收益，与不设置这项控制可能造成的损失,从而决定是否设置此项控制。

同时，一项控制的成本效益,往往需要较多的主观判断。

另外，对内部控制成本效益的判断，应当站在企业整体利益的角度上考虑.一些控制可能会影响部分过程的工作效率，但如果对整个企业来讲，如果不采用该项控制，可能对企业造成更大损失，则仍应实施该项控制。

企业要提高内部控制效益/成本比，主要应通过降低内部控制的成本来实现。

为此，一是要将控制融入企业文化，这是降低控制成本的最有效的方法。

从许多企业内部控制的现状来看,很多时候就是因为缺乏一种内部控制的良好意识,管理者不够注重内部控制或者频频越过内部控制，如果在企业当中营造出一种控制文化,将会在不过多提高控制成本的前提下极大地提升企业的内部控制效果。

二是加强对风险的关注，内部控制过程应当关注于实现可靠财务报告目标的重大风险领域。

为了实现最大的内部控制效果,可以抓大放小，也就是选择那些关乎企业成败的重点风险领域来加以控制，对于那些次要事项，则可以不加考虑或较少地考虑。

现代社会充满激烈竞争，每一个企业都面临着成功的挑战和失败的风险，风险管理是现代企业的主旋律之一.风险影响着每个企业生存和发展，也影响其在产业中的竞争力及在市场上的声誉和形象。

COSO报告指出,所有企业,不论其规模、结构、性质或产业是什么，其组织的不同层级都会遭遇风险。

管理阶层需密切注意各层级的风险并采取必要的管理措施。

　　5、控制只是做到“合理”保证，要强调“软控制"的作用　　COSO框架认为：

不论设计和执行有多么完善和完整，内部控制都只是为管理阶层及股东达成企业经营目标提供合理保证。

而最终目标是否达成，还受内部控制本身的限制性制约等条件。

而相对于以前的内部控制研究成果而言，COSO报告更加强调“软控制”的作用。

软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等.企业应加强对自身经营管理中的各方面的控制能力,简单说就是对企业经营管理活动的各个方面、各个层次进行全面的、系统的、科学的、有效的、而又不失灵活的控制，以实现企业制定的战略.控制力的提高有助于企业整体经营管理水平的提高,使企业在激烈的市场竞争中立于不败之地。