1992年，美國“反對虛假財務(wù)報告委員會(huì )”下屬的由美國會(huì )計學(xué)會(huì )、注冊會(huì )計師協(xié)會(huì )、國際內部審計師協(xié)會(huì )、財務(wù)經(jīng)理協(xié)會(huì )和管理會(huì )計學(xué)會(huì )等組織參與的“發(fā)起組織委員會(huì )”(Committee of Sponsoring Organizations of Treadway Commission)發(fā)布了控制 內部控制的最新準則《內部控制整體框架》(Internal control-integrated framework)，并于1994年進(jìn)行了修訂，這就是著(zhù)名的“COSO報告”。COSO報告首次把內部控制從原來(lái)的平面結構提升為立體結構，是內部控制理論研究的歷史性突破，被人們形象地稱(chēng)作內部控制的“圣經(jīng)”。COSO報告對世界內部控制理論研究與實(shí)踐發(fā)展產(chǎn)生了廣泛而深入的影響，無(wú)疑也對我國企業(yè)內部控制機制建設具有重要的指導價(jià)值。

　　現代企業(yè)理論和管理實(shí)踐表明，企業(yè)一切管理工作，都是從建立和健全內部控制開(kāi)始的。因此，本文擬對COSO報告作一簡(jiǎn)介，同時(shí)與“卓越績(jì)效管理模式”作一比較。

　　一、關(guān)于內部控制的內涵

　　COSO報告將內部

　　控制定義為：“由一個(gè)企業(yè)的董事長(cháng)、管理層和其他人員實(shí)現的過(guò)程，旨在為下列目標提供合理保證：經(jīng)營(yíng)的效果和效率;財務(wù)報告的可靠性;符合適用的法律和法規”。

　　在這個(gè)定義中，有四個(gè)關(guān)鍵詞值得注意：目標、人;過(guò)程、合理保證。

　　內部控制以過(guò)程為導向;受人的因素影響;受目標的驅動(dòng);存在局限性，即內部控制所提供的是合理的保證而非絕對的保證。

　　可見(jiàn)，COSO報告對內部控制的定義具有豐富的內涵，同時(shí)具有科學(xué)的限定，這是目前為止最權威、最通用的內部控制定義。

　　二、內部控制的構成要素

　　COSO報告提出了內部控制的五個(gè)構成要素：控制環(huán)境、風(fēng)險評估、控制活動(dòng)、信息與溝通、監控。

　　(1)控制環(huán)境

　　COSO報告把控制環(huán)境作為內部控制系統的首要因素，認為控制環(huán)境是一個(gè)企業(yè)進(jìn)行內部控制的氛圍，是其它控制成份的基礎。具體包括以下內容：①員工的誠實(shí)性和道德觀(guān)，如有無(wú)描述可接受的商業(yè)行為、利益沖突、道德行為標準的行為準則。②員工的勝任能力，如雇員是否能勝任質(zhì)量管理的要求。③董事會(huì )或審計委員會(huì )，如董事會(huì )是否獨立于管理層。④管理哲學(xué)和經(jīng)營(yíng)方式，如管理層對人為操縱的或錯誤的記錄的態(tài)度。⑤組織結構，如信息是否到達合適的管理階層。⑥授予權利和責任的方式，如關(guān)鍵部門(mén)的經(jīng)理的職責是否有充分規定。⑦人力資源政策和實(shí)施，如是否有關(guān)于雇傭、培訓、提升和獎勵雇員的政策。

　　通過(guò)分析以上描述，控制環(huán)境可以歸納為兩大方面：

　　一是“軟環(huán)境”：包括企業(yè)的管理哲學(xué)、控制文化、風(fēng)險意識、人的素質(zhì)與品德等看不見(jiàn)、摸不著(zhù)、卻在內部控制中起著(zhù)決定性作用的無(wú)形因素構成的氛圍;

　　二是“硬環(huán)境”：包括企業(yè)的所有權結構、法人治理結構、組織體系、權力分配等結構性因素。企業(yè)只有建立包括董事會(huì )、管理層等在內的完善的治理結構，以及科學(xué)合理的組織體系，并合理配置各層次、各方面的權責，內部控制系統才有所依托并得以運轉。

　　可見(jiàn)，控制環(huán)境既是一個(gè)企業(yè)管理架構的組成部分，也是其內部控制系統的構成要素�？刂骗h(huán)境確立了一個(gè)企業(yè)的基調，影響公司及人員的控制意識和導向。它是其他內部控制要素的基礎。

　　(2)風(fēng)險評估

　　COSO報告認為，風(fēng)險評估指管理層識別并采取相應行動(dòng)來(lái)管理對經(jīng)營(yíng)、財務(wù)報告、合規性目標有影響的內部或外部風(fēng)險，包括風(fēng)險識別和風(fēng)險分析。風(fēng)險識別包括對外部因素(如技術(shù)發(fā)展、競爭、經(jīng)濟變化)和內部因素(如員工素質(zhì)、公司活動(dòng)性質(zhì)、信息系統處理的特點(diǎn))進(jìn)行檢查。風(fēng)險分析涉及估計風(fēng)險的重大程度、評價(jià)風(fēng)險發(fā)生的可能性、考慮如何管理風(fēng)險等。

　　(3)控制活動(dòng)

　　COSO報告認為，控制活動(dòng)指對所確認的風(fēng)險采取必要的措施，以保證單位目標得以實(shí)現的政策和程序。實(shí)踐中，控制活動(dòng)形式多樣，可將其歸結為以下幾類(lèi)：

　�、贅I(yè)績(jì)評價(jià)，是指將實(shí)際業(yè)績(jì)與其他標準，如前期業(yè)績(jì)、預算和外部基準尺度進(jìn)行比較;將不同系列的數據相聯(lián)系，如經(jīng)營(yíng)數據和財務(wù)數據，對功能或運行業(yè)績(jì)進(jìn)行評價(jià)。這些評價(jià)活動(dòng)對實(shí)現企業(yè)經(jīng)營(yíng)的效果和效率非常有用，但一般與財務(wù)報告的可靠性和公允性相關(guān)度不高。

　�、谛畔⑻幚�，指保證業(yè)務(wù)在信息系統中正確、完全和經(jīng)授權處理的活動(dòng)。信息處理控制可分為兩類(lèi)：一般控制和應用控制。一般控制與信息系統設計和管理有關(guān)，如保證軟件完整的程序、信息處理時(shí)間表、系統文件和數據維護等;應用控制與個(gè)別數據在信息系統中處理的方式有關(guān);如保證業(yè)務(wù)正確性和已授權的程序。

　�、蹖�(shí)物控制，也稱(chēng)為資產(chǎn)和記錄接近控制，這些控制活動(dòng)包括實(shí)物安全控制、對計算機以及數據資料的接觸予以授權、定期盤(pán)點(diǎn)以及將控制數據予以對比。實(shí)物控制中防止資產(chǎn)被竊的程序與財務(wù)報告的可靠性有關(guān)，如在編制財務(wù)報告時(shí)，管理層僅僅依賴(lài)于永續存貨記錄，則存貨的接近控制與審計有關(guān)。

　�、苈氊煼蛛x，指將各種功能性職責分離，以防止單獨作業(yè)的雇員從事或隱藏不正常行為。一般來(lái)說(shuō)，下面的職責應被分開(kāi)：業(yè)務(wù)授權、業(yè)務(wù)執行、業(yè)務(wù)記錄、對業(yè)績(jì)的獨立檢查。

　　(4)信息與溝通

　　信息與溝通，指為了使職員能執行其職責，企業(yè)必須識別、捕捉、交流外部和內部信息。外部信息包括市場(chǎng)份額、法規要求和客戶(hù)投訴等信息。內部信息包括會(huì )計制度，即由管理當局建立的記錄和報告經(jīng)濟業(yè)務(wù)和事項，維護資產(chǎn)、負債和業(yè)主權益的方法和記錄。有效的會(huì )計制度應是：①包括可以確認所有有效業(yè)務(wù)的方法和記錄;②序時(shí)詳細記錄業(yè)務(wù)以便于歸類(lèi)，提供財務(wù)報告;③采用恰當的貨幣價(jià)值來(lái)計量業(yè)務(wù);④確定業(yè)務(wù)發(fā)生時(shí)期以保證業(yè)務(wù)記錄于合理的會(huì )計期間，在財務(wù)報告中恰當披露業(yè)務(wù)。

　　溝通是使員工了解其職責，保持對財務(wù)報告的控制。它包括使員工了解在會(huì )計制度中他們的工作如何與他人相聯(lián)系，如何對上級報告例外情況。溝通的方式有政策手冊、財務(wù)報告手冊、備查簿，以及口頭交流或管理示例等。

　　(5)監控

　　COSO報告認為，監控指評價(jià)內部控制質(zhì)量的過(guò)程，即對內部控制改革、運行及改進(jìn)活動(dòng)進(jìn)行評價(jià)。包括內部審計和與單位外部人員、團體進(jìn)行交流。

　　可見(jiàn)，監控實(shí)際上是企業(yè)對內部控制實(shí)施效果進(jìn)行評價(jià)的過(guò)程，是企業(yè)站在更高的整體的層面對其他控制要素的整合及調適，是獨立的、進(jìn)一步的控制活動(dòng)，因而是企業(yè)完整的內部控制系統必不可少的后續要素。

　　(6)整體框架

　　上述五大要素之間具有緊密的關(guān)系：控制環(huán)境是其他控制成份的基礎，在規劃控制活動(dòng)時(shí)，必須對企業(yè)可能面臨的風(fēng)險有細致的了解和評估;而風(fēng)險評估和控制活動(dòng)必須借助企業(yè)內部信息有效的溝通;最后，實(shí)施有效的監控以保障內部控制的實(shí)施質(zhì)量。五大要素實(shí)際上構成了內部控制的立體框架模式。

　　當然，COSO報告本身并不是完美無(wú)缺的。與“卓越績(jì)效管理模式”進(jìn)行比較，不難發(fā)現“內部控制理論”的局限性是明顯的，見(jiàn)下表：

　　要 素

　　比 較 內部控制理論 卓越績(jì)效管理模式

　　關(guān)注

　　要素 控制環(huán)境、風(fēng)險評估、控制活動(dòng)、 領(lǐng)導、戰略、以人為本、過(guò)信息與溝通 、監控 程管理、信息和知識管理、結果

　　控制

　　環(huán)境 ①員工的誠實(shí)性和道德觀(guān)②員工的勝任能力 法制環(huán)境、市場(chǎng)環(huán)境、

　�、鄱�事會(huì )或審計委員會(huì )④管理哲學(xué)和經(jīng)營(yíng)方式 治理結構、企業(yè)文化、

　�、萁M織結構⑥授予權利和責任的方式 財務(wù)審計獨立性、“

　�、呷肆�資源政策和實(shí)施 五方受益”、持續競爭力

　　風(fēng)險

　　評估 管理層識別并采取相應行動(dòng)來(lái)管理對經(jīng)營(yíng)、 應急響應和控制

　　財務(wù)報告、合規性目標有影響的內部或外部風(fēng)險

　　控制

　　活動(dòng) 業(yè)績(jì)評價(jià)、信息處理、實(shí)物控制、職責分離 創(chuàng )造價(jià)值過(guò)程和支持過(guò)程的管理

　　信息與溝通 企業(yè)必須識別、捕捉、交流內外部信息 信息和知識管理

　　監控 對內部控制改革、運行及改進(jìn)活動(dòng)進(jìn)行評價(jià) 戰略導向

　　信息和知識管理

　　財務(wù)審計獨立性

　　從表中不難看出，“內部控制理論”大量吸收了“卓越績(jì)效管理模式”的基本理念，但在戰略、市場(chǎng)研究和法人治理等個(gè)別地方有所疏漏。作者以為，盡管 “卓越績(jì)效管理模式”是針對企業(yè)或其他各類(lèi)組織建設的，但其基本理念也同樣適用于財務(wù)會(huì )計管理的“內部控制理論”的結構設計。

　　隨著(zhù)人們對內部控制的熟悉，積累的經(jīng)驗越多，對內部控制的理解就會(huì )隨時(shí)間而改變，而這或多或少取決于影響和決定內部控制的諸多力量。并且，不同的利益群體對內部控制的觀(guān)點(diǎn)存在不同的認識。例如，會(huì )計行業(yè)與非會(huì )計行業(yè)在關(guān)注內部控制的問(wèn)題上是有重大差別的，如何將會(huì )計界的內部控制語(yǔ)言轉換為管理界的內部控制語(yǔ)言，仍是一個(gè)需要長(cháng)期溝通和探索的問(wèn)題。