沈婳婳

摘要：COSO框架是對內(nèi)部控制認識的全新突破。全新的COSO框架充分適應當前經(jīng)濟形勢的發(fā)展以及利益相關(guān)者的需要。本文基于COSO框架理念，系統(tǒng)闡述了內(nèi)部控制五要素對于企業(yè)內(nèi)部控制制度的影響，并據(jù)此影響設(shè)計相應的內(nèi)部控制。

關(guān)鍵詞：COSO;企業(yè)內(nèi)部控制;內(nèi)部控制五要素

中圖分類號：F275 ? ?文獻標識碼：A

文章編號：1005-913X（2019）09-0142-02

一、COSO框架對企業(yè)內(nèi)部控制制度的影響

（一）控制環(huán)境

作為內(nèi)部控制的基礎(chǔ)，控制環(huán)境是內(nèi)部控制五要素的核心。一個組織的控制環(huán)境對企業(yè)內(nèi)部控制的執(zhí)行和效果有著關(guān)鍵影響。在實際執(zhí)行過程中，應當將管理技術(shù)與內(nèi)部環(huán)境結(jié)合起來，從而創(chuàng)造更為直接的經(jīng)濟效益?？刂骗h(huán)境包含以下幾個要素：誠信和道德價值觀，治理層態(tài)度，管理層的理念和管理風格，組織結(jié)構(gòu)，權(quán)力和責任，人力資源政策和程序?？刂骗h(huán)境通過上述因素對內(nèi)部控制起如下作用。

1.治理層對于建立適當控制的態(tài)度。如果治理層態(tài)度積極，企業(yè)內(nèi)部控制比較完善;如果治理層消極態(tài)度，則可能存在內(nèi)部控制系統(tǒng)無效或甚至沒有內(nèi)部控制系統(tǒng)的情況。

2.企業(yè)文化因素。企業(yè)文化立足于企業(yè)管理理念和企業(yè)精神，是一種人本管理理論。它將員工的歸屬感、熱情和創(chuàng)造力結(jié)合在一起。它是一種內(nèi)在的、無形的和持久的力量，同時，它是一種基于公司規(guī)章制度和物質(zhì)現(xiàn)象的經(jīng)濟文化。在良好的企業(yè)文化下，員工的個人價值目標和組織價值目標實現(xiàn)高度統(tǒng)一，員工的主觀能動性得到充分發(fā)揮，工作效率得以提高;激勵措施讓員工能夠產(chǎn)生為公司服務的內(nèi)部動力;完善的企業(yè)文化最終可以實現(xiàn)企業(yè)內(nèi)部控制有效性的標準化。它似乎不是公司增長的最直接因素，但它是最持久的決定因素。

3.人力資源政策。高素質(zhì)的執(zhí)行者可以很好地理解內(nèi)部控制要素及其相互關(guān)系，從而彌補不完善的控制系統(tǒng)，使得不合理的控制系統(tǒng)仍然可以產(chǎn)生良好的控制效果。因此，高素質(zhì)人才的引用和培訓為良好內(nèi)控環(huán)境的建立奠定了基礎(chǔ)。

4.組織結(jié)構(gòu)?？茖W有效的組織結(jié)構(gòu)明確了董事會、審計委員會和高級管理層的職責，是優(yōu)化組織職能，提高管理效率，增強內(nèi)部控制有效性的重要保證。

5.管理者的品行與作風。企業(yè)制度的制定與落實、員工獎懲都不能超越企業(yè)最高管理者的意志。管理者的優(yōu)秀品質(zhì)和良好的管理素質(zhì)對內(nèi)部控制的有效性至關(guān)重要。

6.管理層的理念。管理當局如何設(shè)置授權(quán)批準、執(zhí)行情況檢查、信息反饋、獎罰措施等都將嚴重影響內(nèi)部控制的效果。

（二）風險評估

風險評估是控制風險的基礎(chǔ)。擁有良好的風險評估體系是企業(yè)內(nèi)部控制的先決條件;同時，定期評估企業(yè)管理風險也是企業(yè)內(nèi)部控制的基礎(chǔ)。為了推動內(nèi)控長效機制，實現(xiàn)企業(yè)經(jīng)營目標，內(nèi)部審計部門應當重點研究影響經(jīng)營效益提升的問題，組織全面的風險評估，并進行深入和持續(xù)的內(nèi)部控制審查。為了確定風險管理的優(yōu)先順序，企業(yè)可以創(chuàng)建風險坐標圖，將風險發(fā)生的可能性和風險發(fā)生后對控制目標的影響程度映射到直角坐標系，直接對多項風險進行比較。

風險評估方法分為定性和定量。定性法評估標準：業(yè)務控制、合法合規(guī)性;定量法評估標準：財物損失金額。對于定性評估，企業(yè)可以采取問卷調(diào)查、專家咨詢等方法;對于定量評估，企業(yè)可以采用概率統(tǒng)計法。在進行風險評估時，企業(yè)必須遵循既定流程：分析企業(yè)現(xiàn)狀、設(shè)立戰(zhàn)略目標、了解行業(yè)態(tài)勢、高管層判斷、了解員工態(tài)度、確定重點評估風險點、調(diào)查評估、收集資料、分析結(jié)果。

（三）控制活動

第一，不相容職務分離控制分為不同部門崗位分離控制以及部門內(nèi)部崗位分離控制。對于不同部門崗位分離控制，授權(quán)便需要監(jiān)督，沒有監(jiān)督的授權(quán)將產(chǎn)生舞弊。總之，做到“帳物分離，記管分離”。對于部門內(nèi)部崗位分離控制，可以通過強制性休假以發(fā)現(xiàn)工作移交過程中出現(xiàn)的問題。

第二，授權(quán)審批控制包含權(quán)限不清晰以及權(quán)限執(zhí)行不到位的情況。企業(yè)不可以將制度流于形式。另外，企業(yè)采用預警機制和聯(lián)簽機制來對異常信息和重大事項采取處理。

第三，會計系統(tǒng)控制需要注意職責的分明性、會計憑證的可靠性、賬簿的完整性、賬務處理流程的規(guī)范性以及采取適當?shù)臅嬚吆统绦颉Ｖ挥薪⒔∪晟频臅嬒到y(tǒng)，企業(yè)才能保證會計信息的真實性、完整性和一致性。

第四，財產(chǎn)保護控制通過限制接近和定期盤點來保全企業(yè)財產(chǎn)。企業(yè)的應收賬款管理制度、固定資產(chǎn)管理制度都是為保護資產(chǎn)而設(shè)計的。

第五，預算控制的原則就是做到提前，即“心中有目標，成本有預算?！?/p>

第六，運營分析控制以持續(xù)優(yōu)化企業(yè)運營效果和效率為目標，獨立分析企業(yè)內(nèi)部各項業(yè)務、機構(gòu)運行情況。

第七，績效考評控制分圍激勵機制和改進機制。即做得好有獎勵，做得不好及時糾正。

（四）信息與溝通

信息與溝通可以作為企業(yè)內(nèi)控產(chǎn)生的基礎(chǔ)和原因，企業(yè)內(nèi)控實則就是信息的吸收和傳播，企業(yè)內(nèi)控是為了解決信息不對稱問題才產(chǎn)生。企業(yè)參與者之間信息的循環(huán)為企業(yè)制定內(nèi)控制度，指導員工行為作出了巨大貢獻。企業(yè)要重視信息的傳播與吸收，實現(xiàn)內(nèi)部控制的順利實行。

信息與溝通制度涉及以下幾點：信息質(zhì)量、溝通制度、信息系統(tǒng)、反舞弊機制。 信息質(zhì)量是內(nèi)控基礎(chǔ)，溝通制度便于及時發(fā)現(xiàn)內(nèi)控問題以匯報給上級主管部門，信息系統(tǒng)可以有效提高內(nèi)部控制效率，反舞弊機制是內(nèi)部控制的關(guān)鍵領(lǐng)域。

企業(yè)內(nèi)控處于信息多元化發(fā)展的大環(huán)境下，也逐步由單一化轉(zhuǎn)向多元化。傳統(tǒng)企業(yè)內(nèi)控是通過權(quán)力的下放和回收來完成。伴隨著時代的發(fā)展，尊重已成為企業(yè)發(fā)展的普遍共識，僅依靠權(quán)力來約束員工效果適得其反。信息和通信是突破傳統(tǒng)權(quán)力和協(xié)調(diào)內(nèi)部控制的橋梁。信息與溝通的靈活性保證了企業(yè)內(nèi)控的有效性。例如，中國電信集團之前的IT系統(tǒng)與內(nèi)控不協(xié)調(diào)，使得企業(yè)內(nèi)控不能有效實現(xiàn)。之后，集團建立了集中化IT支撐，實現(xiàn)了員工與上級之間的信息集中化，有效改善了企業(yè)的信息與溝通環(huán)節(jié)，最終實現(xiàn)了良好的內(nèi)控效果。

（五）內(nèi)部監(jiān)督

內(nèi)部監(jiān)督是對企業(yè)內(nèi)部控制的建立和實施的監(jiān)督檢查，內(nèi)部控制有效性的評估，及時發(fā)現(xiàn)內(nèi)部控制缺陷，是實施內(nèi)部控制的重要保證。 從定義來看，內(nèi)部監(jiān)督有兩個主要含義：首先，發(fā)現(xiàn)內(nèi)部控制缺陷，完善內(nèi)部控制制度，促進內(nèi)部控制的健全性和合理性;其次是提高企業(yè)內(nèi)部控制的有效性。此外，內(nèi)部監(jiān)督也是對外部監(jiān)督的有力支持。最后，內(nèi)部監(jiān)督機制可以降低代理成本并保護股東利益。

企業(yè)應當制定內(nèi)部控制監(jiān)督制度，明確各部門在內(nèi)部監(jiān)督中的職責權(quán)限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求。但是內(nèi)部審計機構(gòu)應該獨立于被監(jiān)督部門以保證應有的獨立性與審慎性。

內(nèi)部監(jiān)督包括日常監(jiān)督和專項監(jiān)督。專項監(jiān)督和日常監(jiān)督相輔相成。如果發(fā)現(xiàn)需要經(jīng)常進行專項監(jiān)督，公司有必要將其納入日常監(jiān)督。日常監(jiān)督是指對企業(yè)內(nèi)部控制的建立和實施進行日常和持續(xù)的監(jiān)督檢查。 特殊監(jiān)督是指在公司發(fā)展戰(zhàn)略，經(jīng)營活動和關(guān)鍵崗位發(fā)生重大調(diào)整或變更的情況下，對內(nèi)部控制的一個或一些方面進行有針對性的監(jiān)督檢查。

企業(yè)應在內(nèi)部監(jiān)督的基礎(chǔ)上，定期對內(nèi)部控制的有效性進行自我評價，并出具自我評價報告。企業(yè)根據(jù)業(yè)務運營的調(diào)整，業(yè)務環(huán)境的變化，業(yè)務發(fā)展狀況和實際風險水平來自行調(diào)整內(nèi)部控制自我評價的方法。

二、企業(yè)內(nèi)部控制體系面臨的問題

（一）企業(yè)內(nèi)部控制體系不完善

當前很多企業(yè)內(nèi)部控制僅局限于一套流程，并沒有完善的內(nèi)部控制體系，并且存在內(nèi)部控制設(shè)計不符合企業(yè)實際情況，不夠具體等問題。

（二）企業(yè)內(nèi)部控制意識不足

良好的企業(yè)內(nèi)控需要全員積極參與。企業(yè)員工忽視內(nèi)控制度，做事不按照規(guī)定，從而導致內(nèi)控落實困難。

（三）企業(yè)缺乏有效內(nèi)部監(jiān)督

很多小型企業(yè)未設(shè)置內(nèi)部審計部門來監(jiān)督企業(yè)事務，而一些大型企業(yè)的內(nèi)審部門由于受到上級限制，缺少獨立性。

三、COSO框架下內(nèi)部控制設(shè)計

（一）設(shè)計原則

企業(yè)內(nèi)部控制應當堅持幾個基本原則，即相互牽制原則、授權(quán)控制原則、成本效益原則以及整體結(jié)構(gòu)原則。相互牽制原則從橫向和縱向上保證部門與部門之間，上級與下級之間制約與監(jiān)督，建立不相容職務相互分離控制;授權(quán)控制原則保證職能、責任、權(quán)力、利益的界限分明;成本效益原則保證內(nèi)控成本與效益的相對平衡;整體結(jié)構(gòu)原則是為了實現(xiàn)內(nèi)控五要素的全面覆蓋。

（二）基于COSO框架的企業(yè)內(nèi)部控制構(gòu)建

1.堅持從實際出發(fā)。企業(yè)內(nèi)部控制構(gòu)建需要依據(jù)企業(yè)的實際情況、行業(yè)的發(fā)展狀況，在符合國情、行業(yè)規(guī)范的情況下設(shè)計。

2.完善企業(yè)組織結(jié)構(gòu)，推進全員參與。根據(jù)授權(quán)控制原則，企業(yè)上下統(tǒng)一管理，各部門互惠互利。完善企業(yè)組織結(jié)構(gòu)，明確各部門各級之間的權(quán)責，為實施內(nèi)部控制奠定基礎(chǔ)。

3.發(fā)展系統(tǒng)化內(nèi)控管理，統(tǒng)籌各種控制因素。完善企業(yè)內(nèi)控文化，將內(nèi)控制度融入企業(yè)文化，推進全員參與。

4.完善企業(yè)全面風險管理體系。以人為本，定期培訓風險管理知識，增強企業(yè)全員的風險管理意識;明確職責分離并建立激勵機制、民主管理制度、透明的決策過程、嚴謹高效的執(zhí)行體系和健全有效的監(jiān)控體系。

5.增加企業(yè)環(huán)境敏感度。通過了解企業(yè)外部的政治經(jīng)濟環(huán)境和其他外部環(huán)境，實時監(jiān)控企業(yè)外部環(huán)境的變化，及時糾正企業(yè)內(nèi)部的管理措施以及企業(yè)決策，通過內(nèi)外結(jié)合，形成“內(nèi)控效應”，最終實現(xiàn)企業(yè)長期經(jīng)營目標。

6.健全內(nèi)部監(jiān)督制度。企業(yè)應當建立內(nèi)部審計部門，確保其獨立性，最大限度地發(fā)揮內(nèi)部審計部門的監(jiān)督職能。同時，公司應確保內(nèi)部審計師具備合格的專業(yè)能力。企業(yè)要將內(nèi)審部門對各部門的監(jiān)督評價結(jié)果融入到績效考核指標體系中，從而起到監(jiān)督與激勵并行的效果。

7.充分利用現(xiàn)代信息技術(shù)。企業(yè)可以建立內(nèi)部控制信息系統(tǒng)，實現(xiàn)自動控制，減少或消除人為操控因素。 具體做法為：完善內(nèi)部控制環(huán)境，培養(yǎng)企業(yè)整體的信息技術(shù)能力;評估與當前業(yè)務流程和信息流程相關(guān)的風險，并使用信息資源進行風險控制;信息技術(shù)應充分引入控制手段，加強內(nèi)部控制;加強對會計信息系統(tǒng)的控制;定期評估，重新設(shè)計規(guī)則。建立ERP環(huán)境下的企業(yè)內(nèi)部控制體系，有利于問題發(fā)現(xiàn)、風險評估、內(nèi)部控制的實時性;ERP讓企業(yè)的職責分離制度更為標準化，有效降低風險。

四、結(jié)語

本文分析了COSO框架下的內(nèi)部控制五要素對企業(yè)內(nèi)部控制的影響，并簡要分析了當前企業(yè)內(nèi)部控制存在的問題。據(jù)此，企業(yè)應將自身發(fā)展與COSO理論相結(jié)合，建立更完善的內(nèi)部控制體系。

參考文獻：

[1] 趙雨彤.關(guān)聯(lián)方披露會計準則中外比較及完善建議[J].財會通訊，2016（16）：26-28.

[2] 宋榮興， 劉 紅.基于COSO框架的行政事業(yè)單位內(nèi)部控制評價指標體系研究[J].時代金融，2018（10）：217-219.

[3] 譚建英.企業(yè)內(nèi)部控制及財務管理信息化建設(shè)[J].合作經(jīng)濟與科技，2018（27）：98-99.

[4] 尤莉娟.企業(yè)內(nèi)控制度設(shè)計體系與要素[J].企業(yè)管理，2018（12）：81-83.

[5] 何 淼.基于COSO框架的企業(yè)內(nèi)部控制研究[J].管理研究，2018（10）：37-38.

[責任編輯：紀姿含]