1992年，美國“反對虛假財務報告委員會”下屬的由美國會計學會、注冊會計師協(xié)會、國際內(nèi)部審計師協(xié)會、財務經(jīng)理協(xié)會和管理會計學會等組織參與的“發(fā)起組織委員會”(Committee of Sponsoring Organizations of Treadway Commission)發(fā)布了控制 內(nèi)部控制的最新準則《內(nèi)部控制整體框架》(Internal control-integrated framework)，并于1994年進行了修訂，這就是著名的“COSO報告”。COSO報告首次把內(nèi)部控制從原來的平面結(jié)構(gòu)提升為立體結(jié)構(gòu)，是內(nèi)部控制理論研究的歷史性突破，被人們形象地稱作內(nèi)部控制的“圣經(jīng)”。COSO報告對世界內(nèi)部控制理論研究與實踐發(fā)展產(chǎn)生了廣泛而深入的影響，無疑也對我國企業(yè)內(nèi)部控制機制建設具有重要的指導價值。

　　現(xiàn)代企業(yè)理論和管理實踐表明，企業(yè)一切管理工作，都是從建立和健全內(nèi)部控制開始的。因此，本文擬對COSO報告作一簡介，同時與“卓越績效管理模式”作一比較。

　　一、關于內(nèi)部控制的內(nèi)涵

　　COSO報告將內(nèi)部

　　控制定義為：“由一個企業(yè)的董事長、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：經(jīng)營的效果和效率;財務報告的可靠性;符合適用的法律和法規(guī)”。

　　在這個定義中，有四個關鍵詞值得注意：目標、人;過程、合理保證。

　　內(nèi)部控制以過程為導向;受人的因素影響;受目標的驅(qū)動;存在局限性，即內(nèi)部控制所提供的是合理的保證而非絕對的保證。

　　可見，COSO報告對內(nèi)部控制的定義具有豐富的內(nèi)涵，同時具有科學的限定，這是目前為止最權(quán)威、最通用的內(nèi)部控制定義。

　　二、內(nèi)部控制的構(gòu)成要素

　　COSO報告提出了內(nèi)部控制的五個構(gòu)成要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。

　　(1)控制環(huán)境

　　COSO報告把控制環(huán)境作為內(nèi)部控制系統(tǒng)的首要因素，認為控制環(huán)境是一個企業(yè)進行內(nèi)部控制的氛圍，是其它控制成份的基礎。具體包括以下內(nèi)容：①員工的誠實性和道德觀，如有無描述可接受的商業(yè)行為、利益沖突、道德行為標準的行為準則。②員工的勝任能力，如雇員是否能勝任質(zhì)量管理的要求。③董事會或?qū)徲嬑瘑T會，如董事會是否獨立于管理層。④管理哲學和經(jīng)營方式，如管理層對人為操縱的或錯誤的記錄的態(tài)度。⑤組織結(jié)構(gòu)，如信息是否到達合適的管理階層。⑥授予權(quán)利和責任的方式，如關鍵部門的經(jīng)理的職責是否有充分規(guī)定。⑦人力資源政策和實施，如是否有關于雇傭、培訓、提升和獎勵雇員的政策。

　　通過分析以上描述，控制環(huán)境可以歸納為兩大方面：

　　一是“軟環(huán)境”：包括企業(yè)的管理哲學、控制文化、風險意識、人的素質(zhì)與品德等看不見、摸不著、卻在內(nèi)部控制中起著決定性作用的無形因素構(gòu)成的氛圍;

　　二是“硬環(huán)境”：包括企業(yè)的所有權(quán)結(jié)構(gòu)、法人治理結(jié)構(gòu)、組織體系、權(quán)力分配等結(jié)構(gòu)性因素。企業(yè)只有建立包括董事會、管理層等在內(nèi)的完善的治理結(jié)構(gòu)，以及科學合理的組織體系，并合理配置各層次、各方面的權(quán)責，內(nèi)部控制系統(tǒng)才有所依托并得以運轉(zhuǎn)。

　　可見，控制環(huán)境既是一個企業(yè)管理架構(gòu)的組成部分，也是其內(nèi)部控制系統(tǒng)的構(gòu)成要素。控制環(huán)境確立了一個企業(yè)的基調(diào)，影響公司及人員的控制意識和導向。它是其他內(nèi)部控制要素的基礎。

　　(2)風險評估

　　COSO報告認為，風險評估指管理層識別并采取相應行動來管理對經(jīng)營、財務報告、合規(guī)性目標有影響的內(nèi)部或外部風險，包括風險識別和風險分析。風險識別包括對外部因素(如技術(shù)發(fā)展、競爭、經(jīng)濟變化)和內(nèi)部因素(如員工素質(zhì)、公司活動性質(zhì)、信息系統(tǒng)處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發(fā)生的可能性、考慮如何管理風險等。

　　(3)控制活動

　　COSO報告認為，控制活動指對所確認的風險采取必要的措施，以保證單位目標得以實現(xiàn)的政策和程序。實踐中，控制活動形式多樣，可將其歸結(jié)為以下幾類：

　　①業(yè)績評價，是指將實際業(yè)績與其他標準，如前期業(yè)績、預算和外部基準尺度進行比較;將不同系列的數(shù)據(jù)相聯(lián)系，如經(jīng)營數(shù)據(jù)和財務數(shù)據(jù)，對功能或運行業(yè)績進行評價。這些評價活動對實現(xiàn)企業(yè)經(jīng)營的效果和效率非常有用，但一般與財務報告的可靠性和公允性相關度不高。

　�、谛畔⑻幚�，指保證業(yè)務在信息系統(tǒng)中正確、完全和經(jīng)授權(quán)處理的活動。信息處理控制可分為兩類：一般控制和應用控制。一般控制與信息系統(tǒng)設計和管理有關，如保證軟件完整的程序、信息處理時間表、系統(tǒng)文件和數(shù)據(jù)維護等;應用控制與個別數(shù)據(jù)在信息系統(tǒng)中處理的方式有關;如保證業(yè)務正確性和已授權(quán)的程序。

　　③實物控制，也稱為資產(chǎn)和記錄接近控制，這些控制活動包括實物安全控制、對計算機以及數(shù)據(jù)資料的接觸予以授權(quán)、定期盤點以及將控制數(shù)據(jù)予以對比。實物控制中防止資產(chǎn)被竊的程序與財務報告的可靠性有關，如在編制財務報告時，管理層僅僅依賴于永續(xù)存貨記錄，則存貨的接近控制與審計有關。

　�、苈氊煼蛛x，指將各種功能性職責分離，以防止單獨作業(yè)的雇員從事或隱藏不正常行為。一般來說，下面的職責應被分開：業(yè)務授權(quán)、業(yè)務執(zhí)行、業(yè)務記錄、對業(yè)績的獨立檢查。

　　(4)信息與溝通

　　信息與溝通，指為了使職員能執(zhí)行其職責，企業(yè)必須識別、捕捉、交流外部和內(nèi)部信息。外部信息包括市場份額、法規(guī)要求和客戶投訴等信息。內(nèi)部信息包括會計制度，即由管理當局建立的記錄和報告經(jīng)濟業(yè)務和事項，維護資產(chǎn)、負債和業(yè)主權(quán)益的方法和記錄。有效的會計制度應是：①包括可以確認所有有效業(yè)務的方法和記錄;②序時詳細記錄業(yè)務以便于歸類，提供財務報告;③采用恰當?shù)呢泿艃r值來計量業(yè)務;④確定業(yè)務發(fā)生時期以保證業(yè)務記錄于合理的會計期間，在財務報告中恰當披露業(yè)務。

　　溝通是使員工了解其職責，保持對財務報告的控制。它包括使員工了解在會計制度中他們的工作如何與他人相聯(lián)系，如何對上級報告例外情況。溝通的方式有政策手冊、財務報告手冊、備查簿，以及口頭交流或管理示例等。

　　(5)監(jiān)控

　　COSO報告認為，監(jiān)控指評價內(nèi)部控制質(zhì)量的過程，即對內(nèi)部控制改革、運行及改進活動進行評價。包括內(nèi)部審計和與單位外部人員、團體進行交流。

　　可見，監(jiān)控實際上是企業(yè)對內(nèi)部控制實施效果進行評價的過程，是企業(yè)站在更高的整體的層面對其他控制要素的整合及調(diào)適，是獨立的、進一步的控制活動，因而是企業(yè)完整的內(nèi)部控制系統(tǒng)必不可少的后續(xù)要素。

　　(6)整體框架

　　上述五大要素之間具有緊密的關系：控制環(huán)境是其他控制成份的基礎，在規(guī)劃控制活動時，必須對企業(yè)可能面臨的風險有細致的了解和評估;而風險評估和控制活動必須借助企業(yè)內(nèi)部信息有效的溝通;最后，實施有效的監(jiān)控以保障內(nèi)部控制的實施質(zhì)量。五大要素實際上構(gòu)成了內(nèi)部控制的立體框架模式。

　　當然，COSO報告本身并不是完美無缺的。與“卓越績效管理模式”進行比較，不難發(fā)現(xiàn)“內(nèi)部控制理論”的局限性是明顯的，見下表：

　　要 素

　　比 較 內(nèi)部控制理論 卓越績效管理模式

　　關注

　　要素 控制環(huán)境、風險評估、控制活動、 領導、戰(zhàn)略、以人為本、過信息與溝通 、監(jiān)控 程管理、信息和知識管理、結(jié)果

　　控制

　　環(huán)境 ①員工的誠實性和道德觀②員工的勝任能力 法制環(huán)境、市場環(huán)境、

　�、鄱�事會或?qū)徲嬑瘑T會④管理哲學和經(jīng)營方式 治理結(jié)構(gòu)、企業(yè)文化、

　　⑤組織結(jié)構(gòu)⑥授予權(quán)利和責任的方式 財務審計獨立性、“

　�、呷肆�資源政策和實施 五方受益”、持續(xù)競爭力

　　風險

　　評估 管理層識別并采取相應行動來管理對經(jīng)營、 應急響應和控制

　　財務報告、合規(guī)性目標有影響的內(nèi)部或外部風險

　　控制

　　活動 業(yè)績評價、信息處理、實物控制、職責分離 創(chuàng)造價值過程和支持過程的管理

　　信息與溝通 企業(yè)必須識別、捕捉、交流內(nèi)外部信息 信息和知識管理

　　監(jiān)控 對內(nèi)部控制改革、運行及改進活動進行評價 戰(zhàn)略導向

　　信息和知識管理

　　財務審計獨立性

　　從表中不難看出，“內(nèi)部控制理論”大量吸收了“卓越績效管理模式”的基本理念，但在戰(zhàn)略、市場研究和法人治理等個別地方有所疏漏。作者以為，盡管 “卓越績效管理模式”是針對企業(yè)或其他各類組織建設的，但其基本理念也同樣適用于財務會計管理的“內(nèi)部控制理論”的結(jié)構(gòu)設計。

　　隨著人們對內(nèi)部控制的熟悉，積累的經(jīng)驗越多，對內(nèi)部控制的理解就會隨時間而改變，而這或多或少取決于影響和決定內(nèi)部控制的諸多力量。并且，不同的利益群體對內(nèi)部控制的觀點存在不同的認識。例如，會計行業(yè)與非會計行業(yè)在關注內(nèi)部控制的問題上是有重大差別的，如何將會計界的內(nèi)部控制語言轉(zhuǎn)換為管理界的內(nèi)部控制語言，仍是一個需要長期溝通和探索的問題。