［摘 要］内部控制是现代企业管理架构的核心内容，是企业持续发展的制度保证。COSO报告提出了企业内部控制的总体框架，是全球企业内部控制理论的深化和实践的最新发展，对中国企业内部控制机制的建设与完善具有重要的指导价值。

　　［关键词］企业管理；内部控制；COSO报告

　　内部控制是现代企业管理架构的构成部分，是企业持续发展的制度保证。现代企业理论和管理实践表明，企业一切管理工作，都是从建立和健全内部控制开始的；企业的一切活动，都无法游离于内部控制之外。可以说，“得控则强，失控则弱，无控则乱”。因此，内部控制在现代企业管理中居于战略地位。

　　一、关于内部控制的内涵

　　长期以来，人们对内部控制有不同的认识，提出了各种各样的观点。例如“过程论”把内部控制定义为实现一组目标而提供合理保证的一种过程：“程序论”则认为内部控制是指基本的内部会计控制及风险管理政策及程序：“制度论”认为内部控制是企业为实现经营目标，根据经营环境变化，对企业经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施：“系统则将内部控制定义为一种多要素构成的‘系统’”。另外，国内外还有“行为论”、“结果论”、“状态（环境）论”、“综合论”等其他观点。这些观点都是从不同立场或不同角度观察内部控制的结果，从不同侧面揭示了内部控制的某些特征。

　　那么，到底什么是内部控制呢？COSO报告将内部控制定义为：由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：经营的效果和效率；财务报告的可靠性；符合适用的法律和法规。

　　在这个定义中，有四个关键词值得注意：目标（objectives）、人（personnel）、过程（process）、合理保证（reasonable assurance）。也就是说，内部控制以过程为导向；受人的因素影响；受目标的驱动；存在局限性，即内部控制所提供的是合理的保证而非绝对的保证。可见，COSO报告对内部控制的定义具有丰富的内涵，同时具有科学的限定，这是截至目前最权威、最通用的内部控制定义。

　　二、内部控制的构成要素与整体框架

　　COSO报告提出了内部控制的五个构成要素，即所谓的“五点论”，它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。

　　（一）控制环境（Control Environment）

　　起初人们只是将控制环境作为内部控制的外部因素来看待，但渐渐地人们认识到控制环境是内部控制的一个组成部分，是充分有效的内部控制体系得以建立和运行的基础及保证，因而应该包含在企业内部控制的范围内。

　　COSO报告则把控制环境作为内部控制系统的首要因素，认为控制环境是一个企业进行内部控制的氛围，是其他控制成份的基础。具体包括以下内容：（1）员工的诚实性和道德观，如有无描述可接受的商业行为、利益冲突及道德行为标准的行为准则。（2）员工的胜任能力，如雇员是否能胜任质量管理的要求。（3）董事会或审计委员会，如董事会是否独立于管理层。（4）管理哲学和经营方式，如管理层对人为操纵的或错误的记录的态度。（5）组织结构，如信息是否到达合适的管理阶层。（6）授予权利和责任的方式，如关键部门的经理的职责是否有充分规定。（6）人力资源政策和实施，如是否有关于雇佣、培训、提升和奖励雇员的政策。

　　仔细分析以上描述，控制环境可以归纳为两大方面：一是“软环境”：包括企业的管理哲学、控制文化（culture of controls）、风险意识、人的素质与品德等看不见、摸不着、却在内部控制中起着决定性作用的无形因素构成的氛围。二是“硬环境”：包括企业的所有权结构、法人治理结构、组织体系、权力分配等结构性因素。企业只有建立包括董事会、管理层等在内的完善的治理结构，以及科学合理的组织体系，并合理配置各层次、各方面的权责，内部控制系统才有所依托并得以运转。可见，控制环境既是一个企业管理架构的组成部分，也是其内部控制系统的构成要素。控制环境确立了一个企业的基调，影响公司及人员的控制意识和导向。它是其他内部控制要素的基础，提供规则和结构。只有打牢控制环境这个根基，企业内部控制系统的“大厦”才能建立起来并真正发挥作用。

　　（二）风险评估（Risk Assessment）

　　风险控制对企业来说具有特别重要的意义，不仅是企业内部控制的主要目标，而且是企业内部控制的核心要素和轴心工作。

　　COSO报告认为，风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素（如技术发展、竞争、经济变化）和内部因素（如员工素质、公司活动性质、信息系统处理的特点）进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性及考虑如何管理风险等。

　　需要特别强调的是：这里的要素是“风险评估”，而不是“风险管理”。在一般人眼里，内部控制就是风险管理。其实，两者是不同的。COSO报告第一稿曾将包括风险管理在内的企业管理等众多内容排除在内部控制之外（见表1），后来又不声不响地将风险管理绕回到报告之中（1996年，COSO委员会发布的《金融衍生工具运用中的内部控制问题》中强调了运用内部控制对风险管理活动进行评价）。那么内部控制与风险管理之间是什么关系呢？其可以概括为：内部控制的动力源于风险防范并构成风险管理的必要环节，但内部控制并不等同于风险管理，只能防范风险，不能转嫁、承担、化解或分散风险。

　　（三）控制活动（Control Activities）

　　控制活动是企业内部控制的实质性要素，是依托于控制环境进行的实际控制行为。COSO报告认为，控制活动指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。在实践中，控制活动形式多样，可将其归结为以下四类。

　　1. 业绩评价，是指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用，但一般与财务报告的可靠性和公允性相关度不高。

　　2. 信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类：一般控制和应用控制。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等；应用控制与个别数据在信息系统中处理的方式有关；如保证业务正确性和已授权的程序。

　　3. 实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关，如在编制财务报告时，管理层仅仅依赖于永续存货记录，则存货的接近控制与审计有关。

　　4. 职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：业务授权（管理功能）、业务执行（保管职能）、业务记录（会计职能）及对业绩的独立检查（监督职能）。理想状态的职责分离是，没有一个职员负责超过一个的职能。

　　（四）信息与沟通（Information and Communication）

　　信息与沟通，指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。有效的会计制度应是：（1）包括可以确认所有有效业务的方法和记录；（2）序时详细记录业务以便于归类，提供财务报告；（3）采用恰当的货币价值来计量业务；（4）确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当披露业务。

　　沟通是使员工了解其职责，保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系，如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。

　　有人曾质疑信息与沟通是否应作为内部控制中一个单独的构成要素，例如加拿大CICA下属的控制标准委员会（负责制定内部控制标准的机构，即COCO）就认为，信息与沟通应该整合到其他的部分中去，因此COCO没有把其作为内部控制的构成要素。笔者认为，这种观点不符合现代信息社会的普遍特征，没有认识到现代企业运行中信息的重要性，尤其是与现代企业高度信息化、电子化的特征相矛盾。我们赞同COSO报告、巴塞尔委员会等的主流做法：把信息与沟通作为内部控制必要的、单独的构成要素予以强调。

　　（五）监控（Monitoring）

　　COSO报告认为，监控指评价内部控制质量的过程，即对内部控制改革、运行及改进活动进行评价。包括内部审计和与单位外部人员、团体进行交流。可见，监控实际上是企业对内部控制实施效果进行评价的过程，是企业站在更高的整体的层面对其他控制要素的整合及调适，是独立的、进一步的控制活动，因而是企业完整的内部控制系统必不可少的后续要素。

　　（六）整体框架（Whole Framework）

　　上述五大要素之间具有紧密的关系：控制环境是其他控制成份的基础，在规划控制活动时，必须对企业可能面临的风险有细致的了解和评估；而风险评估和控制活动必须借助企业内部信息有效的沟通；最后，实施有效的监控以保障内部控制的实施质量。五大要素实际上构成了内部控制的立体框架模式（如图1所示）。

　　三、对COSO报告的评价

　　（一）COSO报告的理论贡献

　　同以往的内部控制理论及研究成果相比，COSO报告提出了许多新的、有价值的观点，代表了现代内部控制理论的最新成果和目前的最高水平。其贡献归纳起来主要表现在以下12个方面。

　　1. 内部控制通用定义为相关团体提供了理解内部控制的共同基础。COSO报告通过整合不同的内部控制观念，接纳多数性的观点，建立了内部控制的通用定义，为各方提供了一种通用语言和沟通平台，从而使内部控制的交流更有效果。

　　2. 内部控制整体框架论有助于改变内部控制杂散、机械的现象。COSO报告指出，内部控制是由五大部分组成的，而这五大部分紧密融入到企业的管理过程中，并形成了有机联系的整体，所以，内部控制不再仅仅被看作是一项制度或一条条机械的规定，而是动态的过程和有序的系统，是一个有机的整体。

　　3. 强调内部控制是一个持续的“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定，企业经营管理环境的变化必然要求企业内部控制越来越趋于完善，内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

　　4. 强调内部控制的三类目标。COSO报告单独对内部控制的目标进行了解析和阐释，将内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标，有利于不同的人从不同的视角关注企业内部控制的不同方面，尤其是将内部控制观念从财务报告这一传统的、狭窄的、技术性的方面突破出来，大大拓展了内部控制的范畴。

　　5. 强调内部控制应该与企业的经营管理过程相结合。COSO报告认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由企业的某一个单位或部门进行，或由若干个单位或部门共同进行。内部控制是企业经营过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。不过，内部控制只是管理的一种工具，并不能取代管理。

　　6. 强调内部控制中“人”的重要性。COSO报告特别强调，内部控制受企业的董事会、管理阶层及其他员工影响，透过企业之内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标，并设置控制的机制。反过来，内部控制影响着人的行动。

　　7. 强调“软控制”的作用。相对于以前的内部控制研究成果而言，COSO报告更加强调“软控制”的作用。软控制主要是指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化和内部控制意识等。

　　8. 强调风险意识。现代社会是一个充满剧烈竞争的社会，每一个企业都面临着成功的挑战和失败的风险，对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力，也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出，所有的企业，不论其规模、结构、性质或产业是什么，其组织的不同层级都会遭遇风险，管理层须密切注意各层级的风险，并采取必要的管理措施。

　　9. 揉和了管理与控制的界限。在COSO报告中，控制已不再是管理的一部分，管理和控制的职能与界限已经模糊。

　　10. 明确对内部控制的“责任”。在世界内部控制发展史上，COSO报告第一次明确地阐述了内部控制的制定与实施的责任问题。该报告认为，不仅仅是董事会、管理人员和内部审计人员与内部控制有关，组织中的每一个人都在内部控制中担当一定的角色，都对内部控制负有一定的责任。确立这种组织思想有利于将企业的所有员工团结一致，使其主动地维护及改善企业的内部控制，而不是与管理层相互对立，被动地执行内部控制。值得注意的是，它指出外部团体如外部审计师、监管组织等并不对企业内部控制负有责任。这有利于企业完善内部治理结构，从而真正地将内部控制落到实处。

　　11. 明确指出内部控制的“局限性”。COSO报告认为：不论设计及执行有多么完善，内部控制都只能为管理层及董事会提供达成企业目标的合理保证，而不是绝对保证。而目标达成的可能性，尚受内部控制之先天条件所限制。内部控制的限制因素主要有：职员对与内部控制有关的决策的判断可能有错误；职员可能出现差错或错误；管理人员逾越内部控制是可能的；集体合谋或进行掩盖可能导致控制失败等。

　　12. 提出内部控制的成本与效益原则。COSO报告明确指出，内部控制要建立在成本与效益原则的基础上。内部控制并不是要消除任何滥用职权的可能性，而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态（即经济原则）的机制。因此，没有不花钱的内部控制，也不存在完美无缺的内部控制。

　　总之，COSO报告在内部控制理论研究方面做出了巨大的贡献，成为当今世界关于内部控制的主流观点，被奉为经典和权威。在内部控制实务操作方面，则成为广泛接受的标准和指南，具有普遍的应用价值。

　　（二）COSO报告的不足与完善

　　COSO报告承认，尽管它代表了集体研究的结晶并力求完善，但它同时也标志着内部控制观念和实务上评估、创新、教育和研究的重要和全新的起点，而不应是终止。因此，内部控制理论研究和实务应用在内部控制整体框架的基础上，有可能也应该进一步发展。

　　在肯定COSO报告价值的同时，我们也不应忽视一些不同的意见。比如，在COSO报告公布不久，美国审计总署（GAO）就曾对该报告的许多方面提出过批评，并指责这个框架有严重缺陷，其内部控制定义中缺乏保障资产的概念，还认为这个框架对内部控制重要性的强调不够，丧失了改善内部控制监督和评估的机会。此外，对COSO框架最具挑战的来自其本身的概念基础以及其他非会计执业界制定的标准。COSO框架声称，并不是所有的管理责任都是内部控制的组成部分，因而将战略计划、目标设定、保持核心竞争力及董事会责任等要素排除在外。而许多公司的经营失败很多是因经营战略的失败，公司不具有效的治理结构，经营业绩明显低于业界平均水平所引起。显然，COSO框架对这些问题的关注是不够的，它将注意力集中在如何对外披露与财务报告有关的内部控制上。

　　COSO报告发布后，在全球范围产生了广泛的影响，许多国家予以回应或予以承认。当今世界另外几个主流内部控制报告如加拿大的COCO、英国的Cadbury报告、国际内部审计师协会（IIA）的SAC、信息系统审计与控制协会的（ISACA）的Cobit，以及巴塞尔银行监督委员会1998年发布的《银行组织内部控制系统框架》都与COSO框架紧密相关。中国有关部门制定的内部控制标准，包括证监会发布的《证券公司内部控制指引（2003）》、中国人民银行发布的《商业银行内部控制指引（2002）》、中国内部审计协会发布的《内部审计准则——内部控制（2003）》，其核心内容也与COSO报告一脉相承。

　　2001年底美国发生的“安然事件”等一系列财务丑闻，又一次让内部控制成为关注的焦点。针对上述公司失败事件，美国国会在2002年出台了《萨班斯—奥克斯利法案》，该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制，而且要求外部审计师证实管理层报告的准确性。此外，美国证监会SEC对该标准的认同等于从另外一个侧面承认了COSO报告（此前SEC一直不采纳）。这也表明COSO框架在2004年成为了美国的内部控制标准。这是COSO的重大胜利，是COSO每个成员机构多年的不懈努力的结果。

　　不过，COSO报告本身并不是完美无缺，毕竟，对内部控制的理解是在不断演进的。随着人们对内部控制越发熟悉，积累的经验越多，他们对内部控制的理解就会随时间而改变，而这或多或少取决于影响和决定内部控制的诸多力量。并且，不同的利益群体对内部控制的观点存在不同的认识。例如，会计行业与非会计行业在关注内部控制的问题上是有重大差别的，如何将会计界的内部控制语言转换为管理界的内部控制语言，仍是一个需要长期沟通和探索的问题。

　　参考文献

　　［1］马广奇。资本市场博弈论［M］。上海：上海财经大学出版社，2006.

　　［2］史蒂文。J.鲁特。超越COSO：强化公司治理的内部控制［M］。刘霄仑译。北京：中信出版社，2004.

　　［3］谢荣，刘华。证券公司内部控制系统研究［M］。北京：中国财政经济出版社，2004.

　　［4］吴水澎，邵贤弟，陈汉文。企业内部控制理论的发展与启示［J］。会计研究，2000，（5）。

　　［5］朱荣恩。内部控制的理论发展［EB/OL］。，2006-01-10.

　　［6］刘金文。“三要素”：内部控制理论框架［EB/OL］。，2006-04-24.