COSO内部控制框架最新进展及评价

美国Treadway委员会赞助组织委员会（coso）在1992年了在世界范围内广为接受的《内部控制――整体框架》（以下简称旧框架）。时隔20年后，该组织在2011年12月了修订的《内部控制――整体框架》（以下简称新框架）的征求意见稿。新框架的意见征求截至2012年3月31日，预计于2013年春节正式。新框架是COSO在过去20年来经济环境发生重大变化的背景下对内部控制标准做出的重大修订，提出了内部控制方面的许多新观点、新概念和新思想。本文拟在归纳COSO内部控制框架最新发展的基础上，评价这些最新发展对实体（含企业、政府、非营利组织等）、注册会计师等方面的影响。

一、COSO内部控制框架最新进展

（一）提出了内部控制原则与属性 新框架仍保留了内部控制5要素，但采用了以原则为基础的方法，提出了内部控制17项原则，以及支持17项原则的81个属性，这是新框架的最显著变化。原则和属性为实体设计和发展内部控制系统提供了清晰指南，也可以用来评价内部控制的有效性。17项原则分别与5个要素相关联，其中：与控制环境相关的有5项，与风险评估相关有4项，与控制活动相关的有3项，与信息和沟通相关的有3项，与监控活动相关的有2项。81个属性分别与17项原则相关联。按照要素汇总，81个属性的分布情况是：与控制环境相关的有21个，与风险评估相关的有19个，与控制活动相关的有16个，与信息和沟通相关的有14个，与监控活动相关的有11个。仅以控制环境为例说明原则和属性。与控制环境相关的5项原则分别是：组织表现出致力于诚信和道德价值；董事会表现出独立于管理层，监管内部控制的发展和绩效；管理层在董事会的监督下建立组织架构、报告线，以及适当的授权和责任以实现目标；组织表现出致力于吸引、培养和留住符合目标的胜任人员；组织为实现目标控制住人员，以使其对他们的内部控制职责承担责任。针对第1项原则，新框架确定了4项属性：在顶层确定基调；制定行为准则；评估对行为准则的遵循程度；及时处理偏离行为。

（二）丰富了内部控制目标内涵 新框架与旧框架一样，把内部控制的目标划分为三类：经营目标、报告目标和合规性目标，经营目标与合规性目标的内涵没有发生变化，但丰富了报告目标的内涵。旧框架在设定内部控制目标时仅仅要求合理保证财务报告的可靠性，而新框架要求保证包括财务报告在内的所有报告的可靠性。除了财务报告外，报告还包括其他对外报告；不仅包括对外报告，也包括对内报告；不仅包括财务信息，也包括非财务信息。

（三）扩大了内部控制实施范围 新框架规定，当组织外包服务时，管理层必须执行程序以评价外包服务提供者及其他供应链上的外部实体建立的内部控制系统的有效性，从而扩大了内部控制的实施范围。具体地说，新框架在控制环境要素中规定：组织的行为守则不仅要在组织内部的所有层次，也要向外包服务提供者沟通。例如，遵守产品安全或环保标准的内部控制需要扩展到联营伙伴、供应商、销售分部以及其他外部服务提供者。外部服务提供者和业务伙伴的不当行为可能通过损害顾客、其他利益相关者或组织声誉对实体和管理层产生负面影响，因此，管理层应当保留对已授权给外包服务提供者或业务伙伴的流程的业绩评价责任。新框架在风险评估要素中规定：在进行风险识别时需要考虑由外包服务提供者、关键供应商和渠道伙伴直接或者间接影响目标实现的风险。新框架在控制活动要素中规定：外包服务产生了独特的风险，组织需要对提交给和从外包服务提供者获得的信息的完整性、准确性和有效性选择和制定额外的控制。新框架在信息与沟通要素中规定：从外包服务提供者获得的信息应当服从于相同的内部控制要求，包括对信息质量的要求。新框架在监控活动要素中规定：使用外包服务的实体需要了解与这些服务相关的控制和活动，以及外包服务提供者的控制系统如何影响实体的控制系统。

（四）扩充了技术对内部控制影响的论述 技术对内部控制的影响在控制活动中体现得最明显。虽然旧框架提出的围绕控制活动的基本概念没有改变，但是技术的很多细节已经发生变化。新框架扩充讨论了1992年以来的技术演进，例如对技术基础设施用更通用的讨论来代替数据中心概念，扩展了对技术的自动控制活动和一般控制活动之间关系的讨论，以强调其与经营过程的联系；并在两个独立部分分别讨论技术的自动控制活动和一般控制活动的细节，包括二者之间的区别。此外，新框架更深入讨论了由多种控制技术构成的控制活动，包括多种技术的分类方法及其差异。

二、COSO内部控制框架最新进展影响评价

（一）体现了对环境变化作出的反应 过去20年里，经济环境、企业的经营模式和组织结构发生了重大变化。与内部控制相关的经营模式方面的一个重大变化是共享服务中心的设立和产品或服务的外包。共享服务是指将组织内原来分散在各业务单元进行的事务性工作和专业服务工作（如行政后勤、财务收支、售后服务、物流配送、人力资源管理、IT管理服务、法律事务等）从原业务单元中分离出来，成立专门的部门来运作，从而实现内部服务市场化，通过为内部客户提供统一、专业、标准化的高效服务而创造价值的运作模式。服务外包是指依据服务协议，将某项服务的持续管理或开发责任委托授权给第三者执行。二者的目的都是提高效率、降低成本，但前者是通过内部整合资源，而后者是借助于外部专业力量。现在越来越多的大型企业在财务转型中采用共享服务和外包的形式，在美国超过70%的“财富500强公司”目前正在采用共享服务或外包的模式支撑其财务和会计部门的运作（Everest Group 2011年研究）（Jamie lyon，2012）。在我国，中国电信、四川长虹、华为等大型企业也都开始采用这样的方式。共享服务与外包给内部控制带来了多方面的挑战，例如财务与业务的分离、财务核算高度信息化等（李少武、毕强和彭飞，2012）。作为实施主体的企业在应对这些变化和挑战时需要内部控制框架给予更多指导。另外，财务报告和相关的法律、监管环境也发生了变化。尤为重要的是，美国2002年颁布的《萨班斯――奥克斯利法案》（SOX法案）及其他国家或地区的类似法律法规对内部控制提出了更加严格的要求。SOX法案的404条款，要求公众公司管理层对内部控制的有效性进行评价和披露，注册会计师也要对管理层的内部控制评价报告进行审计。为了配合SOX法案404条款有关内部控制规定的实施，SEC提出了财务报告内部控制的操作性定义。2004年PCAOB了第2号审计准则，指导注册会计师内部控制审计的计划与实施（陈汉文等，2005）。经营环境和管理模式的变化，以及愈加严格的监管要求，促使企业越来越关注公司治理和风险管理，越来越重视非财务报告内部控制。此外，近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响，也进一步对企业建立一个可靠、有效运行的内部控制体系提出了新的要求。COSO提出的内部控制新框架是对企业经营环境和管理模式、以及监管要求作出的反应。

（二）吸收了过去内部控制方面的成果 COSO于2006年《财务报告内部控制――较小型公众公司指南》，主要为较小型公众公司（当然也可应用于大型公司）利用旧框架设计和实施符合成本效益原则的财务报告内部控制提供指南。在指南中，COSO首次提出内部控制的20条原则和87个属性。该指南后受到有关方面的好评，并为监管部门接受。2007年美国证券交易委员会SEC在的《证券交易委员会关于管理层根据〈证券交易法（1934）〉第13（a）或15（d）条款报告财务报告内部控制的指南》中指出，当其与COSO的《财务报告内部控制――较小型公众公司指南》等结合起来使用时，有助于较小型公司更好地了解控制框架。美国公众公司会计监督委员会PCAOB在的第5号审计准则《与财务报表审计相整合的财务报告内部控制审计》中，把COSO的内部控制框架和上述指南作为内部控制审计的标准在审计报告中使用。COSO在本次内部控制框架修订时吸收了这一成果，但做出了部分修改。需要说明的是，COSO在此次修订中很少借鉴2004年的《企业风险管理――整合框架》（ERM）的内容。这是因为：一方面，内部控制框架和ERM之间的关系一直模糊不清；另一方面，ERM在后还没有引起足够重视和得到广泛认可。

（三）为内部控制框架的应用提供了更清晰的标准，有助于提高实施效果 新框架的最突出特点是引入17项原则以及81个属性，与旧框架里的内部控制目标和要素一起构成了由目标、要素、原则和属性组成的层次分明的体系，见图1。在新框架里，最上面的是内部控制3个目标，即内部控制所要指向的终点；接下来是5个要素，即内部控制的5个方面；每个要素下面有原则相关联，原则是内部控制的各个方面遵守的准则；每项原则下面又有属性相关联，属性是应用原则指南或评价原则遵守情况的标准。例如，一个组织为了营造良好的控制环境，就要遵守致力于诚信和道德价值等5项原则。组织为了遵守该项原则，具体要做到顶层设立诚信和道德价值的基调等4项工作，或者说，可以利用这4个属性（工作）作为标准衡量该原则的遵守情况。可见，新框架通过构造目标、要素、原则和属性的四层次体系，为框架的应用提供了更实用的指南，也为评价内部控制提供了更清晰的标准，有助于提高实施效果。要注意的是，正如新框架所提醒的那样，在具体评价内部控制有效性时，如果一项原则不存在或者没有运行，就表明内部控制存在缺陷；但是如果某一个属性不存在，却不能得出相应原则没有得到遵守的结论。例如，管理层在评价是否遵守了“组织表现出致力于诚信和道德价值”的原则时，组织设立了顶层基调，评估了对行为守则的遵守，并及时指出有关偏离，但是没有正式定义管理层的期望和董事会的行为守则，即4个属性中的3个属性是存在并且有效运行的，在这种情况下可能认为该项原则得到了遵守。但如果某个关键属性不存在或者没有有效运行，则表明内部控制可能存在缺陷。

（四）增加实体的实施成本 新框架可能因三个方面的原因增加实体设计和执行内部控制的成本。第一，新框架引入内部控制的原则和属性。虽然与旧框架相比，新框架在内部控制要素和原则要求上没有发生变化，但是在指南和具体要求层面，新框架引入了17条原则和81个属性。对于按照旧框架构建内部控制体系的实体，可能需要花费资源修改现有的内部控制政策和程序，以使其符合新框架下的原则和属性。第二，新框架扩大了内部控制报告目标的内涵。在旧框架下，报告目标仅仅涉及财务信息，意即实体的内部控制政策和程序仅仅需要保证财务信息的真实性和可靠性；而在新框架下，报告目标不仅涉及财务信息，还涉及非财务信息，实体的内部控制政策和程序不仅需要保证财务信息，还要保证非财务信息的真实性和可靠性。这一目标范围的扩大无疑将增加内部控制的实施成本。第三，作为内部控制重要组成部分的内部审计的一项重要职责是评价内部控制的有效性，由于前述两方面的原因，可能相应增加组织内部控制评价过程的复杂性和工作量，从而增加内部控制的实施成本。

（五）对注册会计师内部控制审计产生重大影响 由于新框架扩大了内部控制的实施范围，所以可能增加注册会计师内部控制审计的成本。注册会计师可能需要重新设计审计程序，以适应原则和属性的变化；需要扩大审计范围，以适应报告目标的变化；需要增加新的评价有效性的标准，以确定缺乏某一原则或属性对有效性的影响。

参考文献：

[1]陈汉文、吴益兵、李荣和徐臻真：《萨班斯法案404条款――后续进展》，《会计研究》2005年第2期。

[2]Jamie lyon：《共享服务和外包共促财务转型》，《首席财务官》2012年第5期。

[作者系厦门大学管理学院博士研究生]（编辑 余俊娟）