1、一、COSO內(nèi)部控制體系概要 內(nèi)部控制的內(nèi)容，歸根結(jié)底是由基本要素組成的。這些要素及其構(gòu)成方式，決定著內(nèi)部控制的內(nèi)容與形式。設計內(nèi)部控制，可以根據(jù)企業(yè)特征和需求（例如企業(yè)規(guī)模、業(yè)務構(gòu)成、管理水平等），對內(nèi)部控制要素加以有機組合。 COSO報告將內(nèi)部控制定義為：內(nèi)部控制是一個過程，它受到董事會、管理人員和其他職員的影響，以期為實現(xiàn)經(jīng)營的效果和效率、財務報告的可靠性及遵守相關的法律法規(guī)提供合理保證。 早期的內(nèi)控制度一般只強調(diào)兩項目標，一是財務報告的可靠性目標，二是合規(guī)性目標。COSO報告在此基礎上對企業(yè)內(nèi)部控制的目標進行了完善。 COSO內(nèi)控制度的首要目標是為了合理確保經(jīng)營的效果和效率(基本經(jīng)濟目

2、標，包括績效、利潤目標和資源的安全)。其后才是保證財務報告的可靠性(與對外公布的財務報表編制相關的，包括中期報告、合并財務報表中選取的數(shù)據(jù)的可靠性)和遵循相應的法律法規(guī)這兩個傳統(tǒng)的內(nèi)控目標。 究其原由，乃是因為任何一個企業(yè)管理層的職責，都是要擬訂相應目標并通過合理配置自身的人力、物質(zhì)資源以達到這些目標。內(nèi)部控制制度實際上也就是為了滿足管理層的這些需要而制定的。 二內(nèi)部控制的組成要素 COSO報告提出，內(nèi)部控制由五個要素組成的，即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控。五要素中，各個要素有其不同的功能，內(nèi)部控制并非五個要素的簡單相加，而是由這些相互聯(lián)系、相互制約、相輔相成的要素，按照一定

3、的結(jié)構(gòu)組成的完整的、能對變化的環(huán)境做出反應的系統(tǒng)。控制環(huán)境是整個內(nèi)控系統(tǒng)的基石，支撐和決定著風險評估、控制活動、信息傳遞和監(jiān)督，是建立所有事項的基礎；實施風險評估進而管理風險是建立控制活動的重點；控制活動是內(nèi)部控制的主要組成部分；信息傳遞貫穿上下，將整個內(nèi)控結(jié)構(gòu)凝聚在一起，是內(nèi)部控制的實質(zhì)；監(jiān)督位于頂端的重要位置，是內(nèi)控系統(tǒng)的特殊構(gòu)成要素，它獨立于各項生產(chǎn)經(jīng)營活動之外，是對其他內(nèi)部控制的一種再控制。 企業(yè)都面臨來自內(nèi)部和外部的不同風險，對這些風險都必須加以評估。風險評估是管理層識別、分析實現(xiàn)目標過程中所面臨的風險，從而制定決定如何管理風險的制度基礎。它隨經(jīng)濟、行業(yè)、監(jiān)管和經(jīng)營條件而不斷變化，需

4、建立一套機制來辨認和處理相應的風險。 風險評估的前提條件，是在各個管理層次上制定協(xié)調(diào)一致的目標。在管理當局找出風險并采取必要措施之前，首先要確定目標。內(nèi)部控制在這方面的目標主要是，在整個組織內(nèi)部制定協(xié)調(diào)一致的目標，并找出關鍵性的成功因素。確定和分析風險的過程是一個持續(xù)的過程，它是有效內(nèi)部控制的一個關鍵性因素。 內(nèi)部控制系統(tǒng)需要監(jiān)控。監(jiān)控是由適當?shù)娜藛T，在適當及時的基礎下，評估控制的設計和運作情況的過程。不同評價的范圍和步驟取決于風險的評估和執(zhí)行中的監(jiān)控程序的有效性。 監(jiān)控活動由持續(xù)監(jiān)控和個別評估組成，它為企業(yè)內(nèi)部控制能持續(xù)有效運作提供保證。持續(xù)的監(jiān)控活動在營運過程中發(fā)生，包括例行的管理和監(jiān)控活

5、動，以及其他員工為履行其職務所采取的行動。盡管持續(xù)監(jiān)控程序可以有效的評價內(nèi)部控制體系，但企業(yè)有時需要組織個別評估以直接監(jiān)視控制系統(tǒng)的有效性，這種做法還可對持續(xù)性監(jiān)控程序加以評估。 COSO報告認為，企業(yè)內(nèi)部每一成員在實施內(nèi)部控制方面都扮演著一定的角色，對內(nèi)部控制也都負有一定的責任，報告也對企業(yè)中各層次人員的控制職責做出如下具體設計： 管理層：CEO對整個控制系統(tǒng)負責。 董事會：管理層對董事會負責，由董事會設計治理結(jié)構(gòu)，指導監(jiān)管的進行。 內(nèi)部審計師：內(nèi)部審計對評價控制系統(tǒng)的有效性具有重要作用，對公司的治理結(jié)構(gòu)行使著監(jiān)管的職能。 內(nèi)部其他人員。明確各自的職責，積極主動參與、配合內(nèi)部控制制度的實施。

6、 外部人員：公司的外部人員也有助于控制目標的實現(xiàn)。而且由于其相對獨立于企業(yè)的身份，更具有可靠性。 COSO報告指出:內(nèi)部控制實際上只能幫助而并不能保證基本經(jīng)營目標的實現(xiàn)，它存在很多固有的局限因素，具體如下： 成本限制。內(nèi)部控制的設計和運行需要耗費人力、物力，這就是它本身的成本。內(nèi)部控制越完善，其所需成本就越高。如果這個成本超過企業(yè)風險或錯誤可能造成的損失和浪費的話，無論此時的內(nèi)控制度有多么完善，則毫無疑問這樣都是不經(jīng)濟的，也是不可取的。 人為錯誤。無論設計多么完美的內(nèi)部控制系統(tǒng)，都會因設計人經(jīng)驗和知識水平的限制而有所缺陷。同時，執(zhí)行人員的失誤，如粗心大意、判斷失誤、對指令有誤解等，也可能會使內(nèi)

7、部控制系統(tǒng)發(fā)揮不出其應用的作用。 串通舞弊。內(nèi)部控制的制約機能，是擔當不兼容職務的人員相互驗證、共同見證的結(jié)果。在實際工作中，如果處于不兼容職務上的有關人員相互串通、相互勾結(jié)，就失去了內(nèi)部控制中相互制約的基本功能，內(nèi)部控制也就很難發(fā)揮作用了。 計劃落后于變化。企業(yè)是處在一個無時無刻不在變動的市場中的，但其內(nèi)部控制制度一般都是為曾經(jīng)發(fā)生、重復發(fā)生的業(yè)務而設計的，這也使其對不正常的或未能預料到的“例外”業(yè)務類型失去控制力。 三、內(nèi)部控制與公司治理 1.公司治理的概念。公司治理，從狹義的角度進行理解，是指所有者主要是股東對經(jīng)營者的一種監(jiān)督與制衡機制，即通過一種制度安排，來合理地配置所有者與經(jīng)營者之間

8、的權(quán)利與責任關系。若從廣義角度進行理解，是指包含法律、文化等在內(nèi)的有關企業(yè)控制權(quán)和剩余索取權(quán)分配的一整套制度安排，其決定企業(yè)目標的實現(xiàn)。 從主要功能上來說，公司治理的范圍可以包括：股東、董事會決策者；管理階層執(zhí)行者；審計人員（包括內(nèi)部審計人員及外部審計人員）監(jiān)督者；其他利益關系人（例如：顧客、供應商、債權(quán)人及員工等）影響者等。從這個角度來講，內(nèi)部審計人員應該在公司治理中占有一席之地。因為溝通公司治理各功能主體的重要工具就是會計信息系統(tǒng)。因此，會計信息系統(tǒng)本身是公司治理結(jié)構(gòu)的組成部分，而且會計信息更嚴重地制約和影響著公司治理結(jié)構(gòu)中其他制度安排效用的高低。會計信息系統(tǒng)提供的會計信息的真實可靠是內(nèi)外

9、部激勵機制正常運行的前提條件，而有效的審計監(jiān)督制度是確保這一前提條件實現(xiàn)的關鍵。外部審計對公司財務報表進行審計，并對其公允性發(fā)表審計意見，從而起到增強會計信息可信性的作用。而內(nèi)部審計處于公司內(nèi)部，對于公司內(nèi)部控制、管理經(jīng)營活動、風險管理都有透徹深入的了解，與外部審計人員相比，內(nèi)部審計對公司治理發(fā)揮的作用在層面上更為深入，在范圍上更為廣泛。 2、公司治理的核心是內(nèi)部控制。在上述公司治理定義中，我們可以看到，公司治理這一制度安排所決定的企業(yè)目標、決策人及風險和收益的分配都圍繞風險展開；風險直接影響目標的實現(xiàn)；而決策人對風險的控制和管理直接決定目標是否能夠?qū)崿F(xiàn)及實現(xiàn)的程度；治理結(jié)構(gòu)中各部分的人員需要

10、承擔所分配的一定風險并獲得相應的收益。另外，從解釋公司治理問題產(chǎn)生的經(jīng)濟學觀點來看，無論是契約理論中提及的不完備契約，還是信息經(jīng)濟學中提及的信息不對稱，以及代理理論中提及的代理問題，這些引發(fā)公司治理產(chǎn)生的因素究其實質(zhì)都屬于風險，都是使企業(yè)目標無法實現(xiàn)的各種潛在的、可能發(fā)生的事件。公司治理是組織應對風險的戰(zhàn)略反應，其職責核心就是確保有效的內(nèi)部控制方案的適當性，因此公司治理中包含一些戰(zhàn)略性的內(nèi)部控制的因素。例如：公司董事會所設定的公司經(jīng)營管理基調(diào)是風險偏好型或是風險規(guī)避型；再如公司高層管理當局（CEO）在經(jīng)營風格、理念、管理哲學中包含的風險態(tài)度等。這些都涉及到內(nèi)部控制的基本理念。因此，內(nèi)部控制是公

11、司治理的核心。 四、內(nèi)部審計是內(nèi)部控制的重要部分 1.內(nèi)部控制與內(nèi)部控制的聯(lián)系日趨緊密。在決定內(nèi)部控制政策，并在此基礎上評估特定環(huán)境中內(nèi)部控制的構(gòu)成時，董事會應對諸多風險問題進行深入思考。比如：公司面臨風險的性質(zhì)和程度；公司可承受風險的程度和類型；風險發(fā)生的可能性；公司減少事故的能力及對已發(fā)生風險的影響；實施特殊風險控制的成本，以及從相關風險管理中獲取的利益。執(zhí)行風險控制政策是管理層的職責，在履行其職責的過程中，管理層應確認、評價公司所面臨的風險，并執(zhí)行董事會所設計、運行的內(nèi)部控制政策。 2.內(nèi)部審計理論的新發(fā)展。順應內(nèi)部審計理論及實務的變化，國際內(nèi)部審計師協(xié)會（IIA）在1999年對內(nèi)部審計

12、重新定義，即“內(nèi)部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證和咨詢活動。它以系統(tǒng)的、專業(yè)的方法對風險管理、控制及治理過程的有效性進行評價和改善，幫助組織實現(xiàn)其目標。” 這一新定義將內(nèi)部審計的范圍延伸到風險管理和公司治理，認為內(nèi)部審計是針對內(nèi)部控制及治理過程的有效性進行評價和改善所必需的。 3、內(nèi)部控制是內(nèi)部審計的主要職責。隨著現(xiàn)代企業(yè)內(nèi)部控制時代的來臨，內(nèi)部審計的工作重點也發(fā)生了變化，現(xiàn)代內(nèi)部審計除了關注傳統(tǒng)的內(nèi)部控制之外，更加關注有效的內(nèi)部控制機制和健全的公司治理結(jié)構(gòu)。在風險導向內(nèi)部審計的觀念下，年度審計計劃與公司最高層的風險戰(zhàn)略連接在一起，內(nèi)部審計人員通過對當前的風險分析確保其

13、審計計劃與經(jīng)營計劃相一致，使用風險管理原則改變審核過程。風險管理成為組織中的關鍵流程，促使內(nèi)部審計的工作重點不僅是測試控制，而且包括確認風險及測試管理風險的方法。在風險導向的內(nèi)部審計中，控制仍然重要，但分析、確認、揭示關鍵性的經(jīng)營風險，才是內(nèi)部審計的焦點。 內(nèi)部審計作為內(nèi)部控制的重要組成部分，其在風險管理中發(fā)揮不可替代的獨特作用，主要有以下幾方面：（1）能夠客觀地、從全局的角度管理風險。風險在企業(yè)內(nèi)部具有感染性、傳遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而會傳遞到其他部門，最終可能使整個企業(yè)陷入困境。因此對風險的認識、防范和控制需要從全局考慮，

14、而各業(yè)務部門又很難做到這一點。內(nèi)部審計人員不從事具體業(yè)務活動，獨立于業(yè)務管理部門，這使得他們可以從全局出發(fā)、從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。（2）控制、指導企業(yè)的風險策略。由于內(nèi)部審計部門處于企業(yè)的董事會、總經(jīng)理與各職能部門之間，內(nèi)部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調(diào)人。通過對長期計劃與短期計劃的調(diào)節(jié)，內(nèi)部審計人員可以調(diào)控、指導企業(yè)的風險管理策略。（3）內(nèi)部審計部門的建議更易引起重視。內(nèi)部審計部門獨立于管理部門，其風險評估的意見可以直接上報給董事會，這會加強管理當局對內(nèi)部審計部門意見的重視程度。 五、在風險管理目標下，公司治理與內(nèi)部審計的整合 COS

15、O于2001年起著手進行企業(yè)風險管理研究，并力圖建立一個類似于內(nèi)部控制框架的、具有理論與實踐意義的風險管理框架，其在為企業(yè)風險管理研究項目制定的目標中明確指出：風險管理框架必須和內(nèi)部控制框架相協(xié)調(diào)，把控制目標的建立嵌入到某種形式的風險管理過程中去。而在內(nèi)部控制方面，將領域擴展到控制環(huán)境等“軟控制”要素上時，就決定了公司治理與內(nèi)部控制的相互交匯。在COSO報告的內(nèi)部控制定義中，特別提出“內(nèi)部控制過程受組織的董事會、管理層和其他人員影響”，由此可見“軟控制”因素對組織內(nèi)部控制的影響是深遠的。而內(nèi)部控制對公司治理的影響也是巨大的。內(nèi)部控制為組織的經(jīng)營目標、財務目標及遵循性目標的實現(xiàn)提供合理保證，同樣

16、為公司治理機制的運行提供了保障。良好的內(nèi)部控制有助于完善契約，減輕信息不對稱的影響，并對代理人形成一定的控制約束，因此從一定程度上說，內(nèi)部控制與公司治理的相關內(nèi)容可以整合一致。而作為內(nèi)部控制重要組成部分的內(nèi)部審計，也不可避免地在風險管理的基礎上，與公司治理的目標的交匯。 在新的內(nèi)部審計定義下，內(nèi)部審計參與到公司治理與風險管理中，幫助組織發(fā)現(xiàn)并評價重要的風險因素，促進組織改進風險管理體系；評價并改進組織的治理程序，為組織的治理做貢獻；同時繼續(xù)原有的對控制效率和效果的評價作用，幫助組織保持有效的控制。此時的內(nèi)部審計人員是風險專家，通過對風險的把握來評價公司治理及內(nèi)部控制，并促進公司治理和內(nèi)部控制的

17、改善，從而實現(xiàn)對風險的掌握與駕馭。在風險管理這一統(tǒng)一的核心下，公司治理與內(nèi)部控制實現(xiàn)了一定程度的整合，為組織增加了價值；同樣，在風險管理這一統(tǒng)一的核心下，內(nèi)部審計與公司治理實現(xiàn)了整合。在公司治理中，內(nèi)部審計發(fā)揮著越來越重要的作用。 鑒于內(nèi)部審計在確保公司內(nèi)部控制制度有效運轉(zhuǎn)及管理和控制風險等方面的獨特作用，內(nèi)部審計師已被看作是與董事會、高級管理層、外部審計師構(gòu)成有效公司治理的四大基石之一。內(nèi)部審計師擁有的風險管理、內(nèi)部控制的知識與技能，能幫助公司治理實現(xiàn)其核心目標：控制風險以促進組織目標實現(xiàn)。因此，在公司治理中，內(nèi)部審計是組織內(nèi)部不容忽視的一支力量。 目前，我國內(nèi)部審計一般尚未與公司治理相結(jié)合，成為公司治理的有機部分，對風險管理也不夠關