美国COSO委员会（Committee of Sponsoring Organizations of the Tread-way Commission）提出的COSO报告将内部控制的理论和实践都向前推进了一大步，对我国企业完善内部控制有广泛而深刻的借鉴价值。
一、COSO报告内部框架综述

进入20世纪90年代后，受信息产业和高风险行业迅速发展的影响，内部控制的研究也进入了一个新的阶段。1992年，美国的COSO报告重新界定了内部控制的概念及其包含的要素，报告中对内部控制进行了定义，认为内部控制是指企业董事会、经理以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循三项目标而提供合理保证的过程。该报告首次把内部控制从原来的平面结构发展为立体框架模式，代表着国际上在内部控制方面的最高研究水平。

1996年美国注册会计师协会在COSO报告的基础上，将内部控制定义为“由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。”该准则将内部控制划分为五个要素，即控制环境、风险评估、控制活动、信息与沟通、监控。这是迄今对内部控制概念最完善的定义，也是对内部控制研究的又一次飞跃。

（一）控制环境

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。它包括：员工的诚实性和道德观，如有无描述可接受的商业行为，利益冲突，道德行为标准的行为准则；员工的胜任能力，如雇员是否能胜任质量管理要求；董事会或审计委员会；管理理念和经营方式，如管理层对人为操纵或错误记录的态度；组织结构，如信息是否达到合适的管理层；授予权利和责任的方式，关键管理部门的职责是否有充分规定；人力资源政策和实施，如是否有关于雇佣、培训、提升和奖励雇员的政策等。

控制环境决定了一个组织的气氛，影响该组织中人们的内控意识，因此，它是整个内部控制框架的基础。

（二）风险评估

风险评估是指管理层识别和分析对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素（如技术发展、竞争、经济变化）和内部因素（如员工素质、公司活动性质、信息系统处理的特点）进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。

（三）控制活动

控制活动是指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。控制活动贯穿于整个组织的各个层次和各个部门。如对经营的效率和效果进行业绩评价；为保证业务信息的真实可靠而进行的信息处理控制；为保证资产的安全完整而进行的实物控制；为减少错误或舞弊等而进行的职责分离等。

（四）信息与沟通

信息与沟通是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息，并交换这些信息。信息系统提供包括经营、财务等方面信息的报告，作为经营和控制企业的依据。信息系统不仅要处理企业内部的有关信息，还要提供与企业制定决策有关的外部信息。沟通包括使员工了解其职责，保持对财务报告的控制。

（五）监控

监控是指评价内部控制质量的进程，即对内部控制运行及改进活动的评价。包括内部审计和与单位外部人员、团体进行交流，以保证内部控制按设计执行并随环境的变化而改进。

上述五个因素是一个相互联系、综合作用的整体，它们构成对处于变化中的环境做出动态反映的整体框架。内部控制框架的定义比内部控制结构的定义更加完善。从内容上看，内部控制框架在控制环境中增强了对全体员工的诚实、职业道德和胜任能力的要求，添加了风险评估这一新的控制要素，将会计系统改为信息与沟通以扩大单位信息系统方法和记录的内涵。从结构上看，内部控制框架阐明了各项控制要素之间的相互关系：控制环境是其他控制要素的基础；规划控制活动要以风险评估为依据；风险评估和控制活动要以信息与沟通为载体；内部控制的设计和执行必须受到有效的监控。与以往的内部控制理论相比，COSO报告更强调对企业进行动态控制。COSO报告的提出使内部控制理论研究达到了一个新的层次，进入了内部控制整体框架阶段，并推动了整个内部控制实务界的发展。

二、对国有企业内部控制建设的启示

（一）重视内部环境

控制环境不仅影响企业内部控制的贯彻和执行，也影响企业经营目标、整体战略目标的实现。良好的内部控制环境能保证内部控制措施的实施，促进有效的企业内部控制体系的建立。而目前，我国大多数国有企业内部环境不够完善。如企业治理不完善，董事会、监事会、经理层之间没有形成相互制衡的制约机制，内部人控制现象较为突出。因此，国有企业应该加强对内部环境的重视。

1、加强董事会建设。加强企业内部控制建设，首先应加强董事会的建设，应完善现有董事会结构以充分发挥其监督、制衡和决策作用。企业的董事长和总经理应由不同人员担任，企业应适当增加外部董事。董事会可下设审计、薪酬委员会等独立委员会。此外，还应增强监事会的监督权，尤其是对企业重大的经营活动的监督权。监事会成员应熟悉企业经营情况，应有明确的职责范围。

2、深入开展企业文化建设。企业文化往往是现存的一种无形的力量，影响企业成员的思维方式和行为方式，它具有一种很强的凝聚力。能否培育自己的文化并发挥其作用，将决定企业在21世纪的生存能力。由此可见，企业文化在也不可避免地影响着企业的内部控制。企业在培养自身文化时，应保持一种健康的文化氛围，使企业文化与企业战略目标趋于一致。企业文化的规划要贴近企业实际，与企业员工的生活和工作息息相关，让企业文化不断地在员工中灌输和强化，最终被员工所理解与接受，并转化为员工行动努力的方向和自我的价值取向。

3、健全组织结构。企业经营的目的在于实现其整体目标。企业组织结构建设直接影响到企业的经营成果及内部控制效果。企业内部的权责分配体系以及建立适当的沟通渠道是构建组织结构的重要方面。因此良好的组织必须以执行工作计划为使命，并具有清晰的权责分配，流畅的沟通渠道以及有效的协调与合作体系。

4、完善人力资源管理。良好的人力资源政策，有助于企业员工的综合素质的提高，对贯彻执行企业内部控制制度有很大的帮助。因此，为了稳定企业人力资源，企业应建立相应的激励和约束机制，将员工的利益与企业的利益紧密联系在一起。具体地说：第一，企业应激活选任机制，完善的招聘与选拔制度，科学设岗，严格考核，在竞争中优化企业人员结构，做到人尽其才，才尽其用。第二，制订科学的绩效考核制度，绩效考核的结果要与奖金分配、岗位调整、职务晋升、培训教育挂钩，对员工考核的指标首先是员工为企业做出的工作业绩；其次是工作能力；再次是员工的发展。三个方面是统一的，共同目的是员工的发展和企业价值的共同体现。第三，完善培训制度。培训工作应充分考虑企业发展需要和个人发展计划，建立起合理的培训流程、多样化的培训方法，加强培训后的跟踪措施以确保培训取得实际效果。通过对管理人员的培训，提高他们的业务能力，以减少在绩效评估中人为的偏差；通过对员工的培训，有助于员工自身素质和能力的提高，激发员工的创造力和潜能，提高员工对企业的忠诚度。

（二）建立和完善风险评估系统

随着市场经济的不断深化、全球经济一体化进程的加快，企业面临的风险也越来越多。受计划经济的影响，国有企业在风险意识淡薄，很多国有企业仅仅从某项业务、某个部门的角度考虑风险。随着社会经济的不断发展，很多企业开始意识到应加强企业的全面风险管理。为加强风险控制，企业可以建立董事会管理下的风险管理委员会，负责对企业进行全面的风险控制，通过对风险程度的评估，即使发现影响工作目标的主要风险，以便采取有效的控制措施，保证目标的实现，借以提高企业适应环境变化的能力。

在实际工作中，企业可以借鉴国外先进经验，运用现代科技手段，建立覆盖企业经营全过程的风险管理信息系统，以顺畅信息沟通渠道。运用风险组织流程、风险计量模型等手段，通过进行内部分析、研讨与访谈、过程流动分析等技术，量化风险指标，建立全面风险管理预警系统。

（三）设立良好的控制活动

内部控制活动在实务中的应用，重点是要加强企业业务程序的内部控制，从业务程序中入手设计内部控制有利于加速提高企业内部控制整体水准。

企业应在构建合理的业务循环模型基础上，分析该业务在运行中可能出现的错误和舞弊。同时应寻找企业内部控制关键控制点，由于关键控制点可以从总体上透视企业生产经营的各个环节，因此，明确内部控制关键控制点可以促进企业经营流程的合理化和正规化。

（四）优化信息与沟通体系

企业的信息系统不仅是企业内部控制建设的一个重要方面，同时也是企业内部控制的一项要素，因此国有企业应建立设良好的集团化、网络化、一体化的管理信息系统。这一系统一方面要能够按照内部控制系统的需要识别使用者的信息需求，最大程度地做到企业内部控制信息的实时传递，使员工明确其所承担的责任，并及时取得和交换在执行任务、管理和控制企业经营过程中所需的信息，另一方面要全面及时地收集政府机关、客户、竞争对手以及其他利益相关者的信息，并及时准确地传递给企业决策层。流畅的信息，可以使企业内部控制系统运行时及时发现薄弱环节，并做出风险反应，提高内部控制的效率和效果。

（五）充分发挥内部审计的作用

再完善的制度，也需要监督实施。企业内部控制制度出台后，企业应要求各部门对照内部控制标准开展自我评估，通过自我评估可以初步检查出内部控制的薄弱环节。在此基础上，通过企业内部审计部门进行再监督。内部审计采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助企业实现目标。因此，企业有必要建立和完善内部审计制度，拓展内部审计的责权。企业内部审计部门要在保持独立性的基础上，扩展其责权，通过持续的监控活动、个别评价等，实现对风险导向内部控制体系的评价，并对发现的问题及时采取改进措施，以强化企业的风险管理，降低损失。

参考文献：

1、刘军勇.中国企业文化的国际化[J].企业文明,2006(7).
2、王玉琳,王净净.论企业文化的整体性与个体的自适应性[J].系统科学学报,2007(10).
3、金键.以目标管理实现绩效考核[J].中国人力资源开发,2000(6).
4、张建国,徐伟.组织绩效管理[M].清华大学出版社,2002.
5、张庆龙,彭志国,陈新环.企业内部审计指南[M].中国时代经济出版社,2007.

• 标签:
• 内部控制
• 国有企业
• 制度
• 启示
• 完善
• 框架
• COSO
• 整体
• 基于