阚京华 周友梅

【摘 要】 随着经济和科技创新的发展，企业所处的商业和经营环境发生了巨大改变。与此同时，利益相关者更加致力于寻找透明、权责分明和完整有效的内部控制体系，以此来帮助其作出正确的商业决策并进行有效的公司治理。2013年5月14日，COSO委员会正式发布了更新版的《内部控制——整体框架》和相关说明性文件。文章对更新版的内部控制框架的变化，从形式上到内容上作了较为细致、深入的阐述，并借助COSO内部控制框架更新对我国内部控制规范体系的完善提出了建议。

【关键词】 COSO报告； 报告目标； 内部控制要素； 内部控制原则

中图分类号：F233 文献标识码：A 文章编号：1004-5937（2015）04-0055-07

一、引言

美国COSO委员会成立于1985年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、内部审计师协会（IIA）、管理会计师协会（IMA）和财务经理协会（FEI）五家私立的部门机构联合组成，致力于研究和发展内部控制、企业风险管理和防范舞弊三个方面的概念框架和指引，从而为企业高级管理层、董事会成员、其他公司人员、立法者和监管者、专业机构和教育机构等提供思想领导力，提高组织机构的经营管理和监督的能力，降低差错和舞弊的程度，实现企业的可持续发展。

1992年，COSO发布《内部控制——整体框架》（Internal Control-Integrated Framework，IC-IF），该报告由内容摘要、框架、向外部各方报告和评价工具四部分组成，对内部控制进行了定义，阐述了内部控制的三个目标和五个构成要素，为各方管理层和相关利益者提供评估控制体系的标准。这一框架成为内部控制领域的纲领性文件，在内部控制方面为企业的经营管理层提供了指导和参考，一直沿用至今。

随后，COSO委员会先后在2006年发布《财务报告内部控制——较小型公众公司指南》（Internal Control over Financial Reporting-Guidance for Smaller Public Companies）和2009年发布《内部控制体系监督指南》（Guidance on Monitoring Internal Control Systems），进一步发展和延伸了COSO报告，补充和完善了内部控制的理论体系。

随着经济的发展，企业所处的商业和经营环境发生了巨大改变，科技创新使环境更加复杂化、全球化。与此同时，权益相关者更加致力于寻找透明的、权责分明的和完整有效的内部控制体系，以此来帮助其作出正确的商业决策并进行有效的公司治理。正是商业和经营环境的改变促使COSO委员会对1992版的COSO报告进行更新，2010年，COSO委员会启动了IC-IF的更新项目，为了让最新的COSO报告成为全球各类企业广泛接受并采纳的内部控制框架，COSO委员会对COSO报告的更新进行了详细的程序规划。这次报告更新历时3年多，如图1所示，2010年COSO对利益相关者进行评估和调查；2011年设计和建立《内部控制——整体框架》的新版本；2012年将新版本对公众公布，获取评价信息并进行改进；2013年5月14日，COSO正式发布更新之后的《内部控制——整体框架》和相关说明性文件（Updated Internal Control-Integrated Framework and Related Illustrative Documents）。

COSO委员会希望《内部控制——整体框架》的使用者们能够尽快地从1992版报告向2013版的报告进行转换和过渡。COSO委员会在过渡期内将继续保持1992年版报告的可行性，直到2014年12月15日，这之后，COSO委员会将采用2013年新版的内部控制框架。过渡期内任何涉及外部报告的整合框架的应用，应该清晰披露是初始版本还是更新版本。

二、2013版COSO内部控制框架形式上的变化

（一）新COSO框架体系构成部分的变化

1992版COSO框架体系包括四个部分组成：一是框架内容摘要（Executive Summary）；二是框架内容 （Framework）；三是向外部各方报告（Reporting to External Parties）；四是向外部各方报告的附录（Addendum to “Reporting to External Parties”）。

2013版COSO内控框架体系共包括四部分内容，分别简述如下：

一是框架内容摘要（Executive Summary），对新框架进行高度总结，包括内部控制的定义、目标、原则、内部控制的有效性和局限性等，使用对象为首席执行官和其他高级管理层、董事会成员和监管者。

二是框架内容和附录（Fram-

ework and Appendices），包括内部控制的组成部分及相关的原则和关注点，并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。附录包括词汇表、对于小型企业的特殊考虑、与1992版的变化总结和框架的非重要性附加参考。

三是评估内部控制系统有效性的解释性工具（Illustrative Tools for Assessing Effectiveness of a System of Internal Control），为管理层在应用框架特别是评估内部控制有效性方面提供了模板和行动方案。

四是外部财务报告内部控制：方案和示例摘要（Internal Control over External Financial Reporting：A Compendium of Approaches and Examples of a System of Internal Control），为在准备外部财务报告过程中应用框架的要素和原则提供了实际的方案和示例。ICEFR Compendium 在2014年12月15日取代COSO委员会2006年发布的《财务报告内部控制——较小型公众公司指南》，新框架吸收了2009年发布的《内部控制体系监督指南》（Guidance on Monitoring Internal Control Systems）的内容，所以该文档仍然有效，可以作为管理的参考性文件。

（二）新框架内容的篇章布局变化

原框架内容（Framework）使用一章阐述内部控制的定义、内部控制要素、要素与目标之间的关系、内部控制有效性四项内容。在修订版中这些主题被包含在三章中：第一章，内部控制的定义，用来定义内部控制；第二章，目标、要素和原则，用来讨论内部控制要素，目标、要素和原则之间的关系；第三章，有效内部控制，主要涉及有效内部控制的要求。进一步地，第四章，额外的考虑，讨论管理当局的判断、关注点、内部控制的成本与收益、变化着的技术角色、文档、内部控制在较大和较小企业中的应用。

（三）内部控制框架立方图的变化

两个版本的内部控制框架的形式差异在图2中可以很直观地体现出来。相较于1992版的框架，2013版的新框架的变化主要体现在三个方面：

1.强调点上的更新

1992版的框架主要强调组织目标与内部控制要素之间的关系，而新框架则强调目标、要素与主体各个层次之间的关系。具体地，新框架将第三维度上的“单元”和“活动”改为了“实体”、“分部”、“运营单位”和“职能”。

2.目标与要素表述上的更新

新框架将“财务报告”目标改为了“报告”目标，明显地拓宽了目标的范围；将“监控”要素改为了“监控活动”，显得更加具体。

3.要素位置上的更新

将控制环境等内部控制要素的排列顺序由“从下到上”改为“从上到下”，使其更符合逻辑。

三、2013版COSO内部控制框架内容上的变化

（一）2013版内容变化的总体描述

2013版的COSO报告延续了1992版中内部控制的核心概念、三大目标、五大要素；五大要素的每一个要素都必须存在且发挥作用这一评价有效内部控制系统的要求从根本上没有变化；继续强调管理层判断在内部控制的设计、实施、运行以及有效性评估中的重要性。COSO委员会想将原版框架中的这些核心优势仍保留在新版框架中，并能更加强化、明晰，以利于新版框架更易于使用和应用。

同时，新版框架和相关解释性文件也从三个方面作出了一些根本性的变化：（1）通过明确表达内部控制原则（Internal Control Principle）来进一步明晰有效内部控制的要求；（2）通过反映商业、运营环境的众多变化更新了应用内部控制的环境背景；（3）通过扩展运营、报告目标扩大框架的应用。2013版与1992版COSO报告内容上的总体对比见表1。

（二）2013版内部控制框架内容上的具体更新与变化

1.将五大要素下的基础概念明确地阐释为原则

更新后的内部控制框架采用了以原则为导向的方式。虽然1992年的版本含蓄地反映了内部控制的核心原则，但2013版明确清晰地提炼了17项基本原则，代表与五大要素相联系的基本概念。支持每一项原则的是关注点（Points of Focus），代表与这些原则相关的重要特征（Important Characteristics），框架提炼了82个关注点。这些关注点帮助使用者更好地定位具体的原则，进而定位内部控制要素。每一关注点在17项原则中都有一一对应的原则，并且每一原则在五大要素里也有一一对应的某项要素（见表2）。五大要素和17项原则应用广泛，适用于所有的实体，而关注点并不一定与所有实体都相关，实体可以根据自身情况考虑其他的关注点。关注点提供合理的指导给管理层，协助管理层进行内控制度的设计、实施和执行，以及评价相关原则是否真实存在并发挥应有的作用。

所有要素和原则的组合构成了内部控制标准，帮助管理者对企业内部控制的有效性进行评估。内部控制有效的标准是：一个有效的体系应当为组织目标的实现提供合理保证。一个有效的内部控制体系将影响组织目标实现的风险降低到可接受的水平，无论这些风险与一个、两个或三个类别的目标相关。一个有效的内部控制体系要求：（1）五个要素及相关的原则都存在且发挥作用；（2）五个控制要素共同运行，发挥整合的作用。

2.拓宽了运营和报告两大目标的范围

从外部财务报告目标拓宽为报告目标，从而囊括了非财务的外部报告及财务和非财务的内部报告。这相应地使得COSO框架实施的范围得以拓展，并强调了内控对于运营的重要性。

（1）外部的财务报告目标

企业需要实现外部财务报告目标来履行义务。可靠的财务报告是进入资本市场的先决条件，对签订合同、与供应商谈判十分重要。投资者、分析师和债权人通常依赖一个实体的财务报告来评估该企业在同业中的表现，并据此作出自己的投资决策。这一财务报告在原框架中就被包括在目标之中。

（2）外部的非财务报告目标

管理层可能会报告一些外部的非财务信息以符合规章、标准或框架的要求，包括内部控制和运营过程报告。例如，在管理层以ISO为标准进行质量管理的地方，企业很可能对其运营状况进行报告，并让独立的审计师对其相关标准的遵守情况进行检查并出具报告。

（3）内部的财务和非财务目标

可靠的内部报告能给管理层提供管理企业所需的重要信息。它支持着管理层的决策制定和绩效评估。内部报告目标由企业的偏好、判断和管理风格决定。由于不同的战略方向、运行计划和期望，不同企业的内部报告目标是不同的。

新框架报告目标与内容拓展情况见表3。四大报告目标之间的关系见图3。

3.考虑到了商业和运营环境的变化

自1992年框架发布以来，商业和运营环境发生了巨大的变化，变得日益复杂化、科技化和全球化。与此同时，利益相关者要求支持商业决策、企业治理的内控系统变得更加透明和可靠。这些环境变化驱动了COSO框架的更新，也促使新COSO框架在内容上反映了商业、运营环境的变化。

（1）强化董事会治理的观念

考虑到1992年的时候董事会各专业委员会还不成熟、而当前许多委员会在治理中发挥着重大作用这一改变，新框架扩展讨论了关于董事会和及其下属委员会，如审计委员会、薪酬委员会、提名/治理委员会的治理问题。其中控制环境要素的原则2（董事会与管理层相分离并对内控进行有效监督）特别强调了董事会对内控的监督责任。

（2）考虑了市场和运营的全球化

为了追求价值，企业走出国内市场，进入国际市场，进行纵横购并。更新框架讨论了管理运营模式、法律实体结构和内部控制在实体层面、分部层面相关角色、责任和受托责任的变化。除此之外，也考虑了和并购相关的内部、外部风险因素的识别和分析。

（3）考虑了商业模式和组织结构的变化

在过去的二十年中，商业模式和组织结构发生了很大的变革，现在许多实体扩展了它们的商业模式，包括了为组织持续运营提供产品或服务的外包服务提供者。全球化、工业和技术进步、变革商业模式、成本管理、人才竞争等因素使得管理层必须依赖内部以外的力量获得所需资源。更新框架详细地讨论了扩展的商业模型，包括了在扩展的商业模式中的内控责任和如何实现有效的内部控制。

（4）考虑了法律、法规、规则、标准的要求更加复杂严密

监管当局、标准制定者通过法律、法规、规则、标准的变化提高对利益相关者的保护和他们对外部报告的信心。新框架确认了监管者和标准制定者在确定内部控制目标、提供评估内部控制缺陷的严重程度、报告内部控制缺陷中的角色和地位。

（5）对胜任能力和责任的期望

随着组织变得更加复杂，重组、引入新产品和服务、运行新的程序和技术，对更高胜任能力和责任的要求增加。组织可能变得扁平化，转化管理模式，委派更大的授权和责任。更新框架扩展了这些话题的讨论。

（6）反映了逐步发展的技术的应用和依赖

1992年以来，使用和依赖信息技术的企业迅速增长，信息技术在大多数实体中的应用越来越广泛。20年前，使用者只能通过大型独立主机处理批量交易，进行数据处理。如今，高度复杂精密的可移动设备和发达的网络系统，能够实现数据的多功能及时反馈和数据共享，可以分散职权，取代之前很多的系统、职能部门和程序。信息技术的改变将直接影响内部控制五大要素如何实施。因此，新版的报告特别重视内部控制对信息技术的相关性和依赖性。

（7）预防、侦查舞弊的期望增强

1992版COSO报告虽然提到反舞弊的问题，但是当时认为舞弊和内部控制的关系没有那么显著，所以对反舞弊问题没有引起足够的关注和重视。2013版COSO报告对舞弊问题进行更多的论述并将“考虑舞弊的可能性”作为内部控制17项基本原则之一，加强反舞弊的理念。

四、2013版COSO内部控制要素的关键变化

（一）控制环境要素的关键变化

1.将对诚信和道德价值观念、胜任能力的重视、董事会和审计委员会、管理层的理念与经营风格、组织结构、职权与责任的分配、人力资源政策与实务的讨论融合进五项原则中。

2.解释了内部控制各要素之间的连接，阐明了控制环境是一个健全内部控制系统的基础。

3.扩展讨论了一个组织中治理层的角色，确认了不同的地区、业务模块和不同实体之间在结构、要求和挑战方面的差异。

4.明晰了对诚信和道德价值观念的期望，以反映得到的教训和道德、合规方面的发展（如行为守则、鉴证程序、吹哨者程序、调查和解决，在内部和第三方的培训与强化）。

5.扩展了风险监控的概念，强化了风险和绩效之间的关系，有利于分配资源支持企业目标实现过程中的内部控制。

6.强调需要结合不同商业模式、外包服务提供者、商业伙伴和其他外部合作方带来的组织结构的复杂化，来考虑内部控制。

7.在组织结构中讨论的角色和责任要和附录B（角色和责任）所陈述的一致，以便角色在整个框架内是一致的。

（二）风险评估

1.目标设定仍然是风险评估的前提，但将目标设定的大部分讨论移在了第二章“目标、要素和原则”中，风险评估要素中不再包括目标种类、目标之间的连接和目标的取得。

2.在风险评估要素中，新框架重点关注如何充分明晰地表达运营目标、报告目标、合规目标，以便和这些目标相关的任何风险能被识别、评估，也重点考虑评估这些目标作为评估内部控制有效性的基础的适当性。

3.扩大财务报告目标类别，包括其他方面的外部报告和内部报告。反映外部非财务报告是满足一些外部的规章、标准或要求。

4.明晰了风险评估包括风险识别、风险分析、风险应对。

5.扩展讨论了风险的严重性，除了包括风险影响和风险可能性以外，还包括风险发生的频率和持续性。

6.在可接受风险水平评估中，考虑风险容忍度。将风险容忍度作为内部控制及所属的可接受的绩效和目标重要性变动水平的前提条件。

7.扩展讨论了管理当局需要了解企业内部和外部因素的变化，以及这些变化对内部控制系统的影响。

8.在风险评估过程中考虑与财务报告重大错报、资产非安全性、腐败相关的舞弊风险，将其作为风险评估的组成部分。

（三）控制活动

1.扩展了对技术变革的讨论（如取代数据中心概念，更多讨论技术基础设施）。

2.扩展讨论了自动化控制活动与一般性技术控制之间的关系，强化与商业过程连接；对自动化控制活动和一般性技术控制给予更多的关注，阐明了两者之间的区别。

3.拓展讨论了控制活动包括一系列的控制技术，同时给出了具体的描述和分类的方法。给出了交易层次控制和组织的其他层面控制之间的区别，对信息处理目标给出了更详细的讨论。

4.更新讨论了一般性技术控制，主要集中讨论了在这一领域（而不是1992版的应用领域）需要被控制的更加通用的概念。

5.阐明了控制活动是政策和程序建立的行动，而不是政策和程序本身。

（四）信息与沟通

信息与沟通的三个原则明确了要从内外部两大渠道获得信息，主要涉及以下变化：

1.强调讨论了信息质量对内部控制的重要性。

2.拓展讨论了当信息用来支持对外部各方的报告目标时，核实信息来源及保留信息的期望。

3.拓展讨论了监管要求对信息可靠性及信息保护的影响。

4.扩展讨论了信息的数量和来源，以便阐明增加的商业复杂性、与外部各方增加的交互性，以及技术的发展。

5.反映了技术和其他沟通机制对信息流通的速度、手段方法和质量的影响。

6.增加了实体与第三方之间信息与沟通的需求的内容，强调了考虑流程如何在实体之外（Outside The Entity）进行的重要性（如通过利用第三方服务提供者管理特定的流程），强调了考虑一个实体如何从实体的法律和经营边界之外的第三方处获得信息，以及如何进行沟通的重要性。

（五）监控活动

1.提炼了两个术语，明确了监控活动的两大类别：“持续评估（Ongoing Evaluation）”和“单独评估（Separate Evaluation）”。

2.增加了对建立和评价持续和独立评估的基本理解的需要。

3.扩展讨论了在监控活动中对技术和外部服务提供者的利用。

五、美国COSO内部控制框架更新的启示

虽然我国通过发布内部控制基本规范和三个内部控制配套指引，已经基本建立起了具有中国特色的内部控制规范体系，但其在现阶段仍然存在着许多问题。因此，应加强与COSO委员会的沟通，尽快进行新框架的翻译和研究工作，借鉴美国COSO报告更新的程序和方法，有选择地借鉴新框架内容，不断完善符合我国实际的内控规范体系，增强我国内部控制规范体系的科学性、实用性。

（一）COSO报告的更新持续时间长、程序完善、广泛征询公众意见

COSO2013版《内部控制——整体框架》的更新历时3年多，从2010年COSO委员会对权益相关者进行评估和调查，到2011年设计和建立《内部控制——整体框架》的新版本，再到2012年将新版本对公众公布，获取评价信息并进行改进，最后到2013年5月14日COSO《内部控制——整体框架》（更新）正式发布，COSO报告的更新一步步按照计划和程序有秩序地进行。在这3年中，COSO委员会根据报告更新的进程，在COSO官网上不断更新和发布相关进展的新闻、拟修订版本、征询公众意见的公告、对公众问题的解答等一系列文件，使用者可以及时了解COSO报告更新的最新动态并参与其中，体现了更新程序的完善。

为了获取广泛的公众意见，使得新版的COSO报告更加符合使用者的需要，COSO委员会在更新COSO报告时多次通过官网平台向各界机构组织和专家教授征集意见和建议。询问内容广泛，包括内部控制有效性规定是否陈述清晰，各要素的角色和作用，基本原理和重要关注点是否阐述清楚，内部控制框架是否为各类企业提供合理的有效的管理等。公共意见搜集范围广，在报告更新前的评估调查期，就收到了来自代表不同实体和机构的750名利益相关者的反馈意见；在《内部控制——整体框架》（框架）征求意见期有21 000人次下载了征求意见稿，COSO收到了100份在线问卷调查和97份书面评论；在ICEFR Compendium征求意见期有6 500人次下载了征求意见稿，COSO收到了23份在线问卷调查和26份书面评论，召开了17次咨询委员会会议。意见搜集持续时间长，次数多，方式多样，参与人数多，保障了公众意见的广泛性和可参考性，为COSO报告的更新修订提供合理可靠的参考依据。征询公众意见阶段统计表见表4。

我国在制定内部控制规范或指引时应该借鉴COSO委员会更新报告的程序，制订计划并依照实施，及时发布最新消息，广泛吸取公众意见，使内部控制规范和指引符合企业需要，更具适用性和可行性。

（二）更新的COSO报告突出原则导向，可操作性强

更新后的COSO报告为使用者提供了建立、评估和完善内部控制体系的要素、原则和评价工具，突出原则导向（Principles-based Approach），即在原有的五大要素的基础上提出了17项基本原则，在此基础上又进一步提炼出82个代表相关原则的主要特征的重要关注点，使得对内部控制系统的评价更加有据可循。报告中提到很多案例，增强了使用者对内部控制系统建设的理解，可操作性强。新版COSO报告在更新过程中广泛征集公众意见，也使得最终的报告更加符合使用者的需要，更加实用和有效。由此，新COSO报告具有普遍适用性，可以应用于企业、政府部门、非营利组织和其他机构。

我国在实施内部控制时可以参照17项基本原则及其属性特征对内部控制是否有效进行评估，在修订和更新内部控制规范时注重将概念、要素等具体化、明晰化，通过解释、细化、列举案例等方式，让使用者更容易理解和操作，进而促进企业内部控制体系的不断完善和发展。

（三）COSO报告的更新为我国完善内部控制体系提供新的思想领导力

COSO委员会在更新内部控制框架体系时的一些先进的理念与思想，值得借鉴，主要体现在：

1.强调董事会、监事会、审计委员会和提名委员会等类似机构的治理职能，提高治理层的相对独立性，为内部控制提供良好的控制环境。

2.努力使内部控制体系与复杂多变的经营环境相适应，随商业模式和组织结构的变化不断更新，保持内部控制的可持续发展。

3.合理利用科学技术进行内部控制活动、信息沟通和监督活动，获取高质量信息，用于决策管理。

4.内部控制的目标扩展延伸为内部报告和外部报告，包括财务报告和非财务报告。重视外部环境变化对内部控制的影响，关注外部当事人、供应商等其他合作伙伴的活动对企业本身内部控制的影响。

COSO报告的更新为我国企业内部控制的建设提供思想领导力和参考依据，我国应借鉴其原则和其他更新的内容，并学习COSO报告完善的更新程序及其体现的严谨风格，结合我国国情，不断完善和发展我国内部控制体系，促进企业的可持续发展。

【参考文献】

[1] Internal Control-Integrated Framework[S].2013.

[2] Internal Control-Integrated Framework[S].1992.

[3] Committee of Sponsoring Organizations of the Treadway Committee.Internal Control-Integrated Framework：Framework and Appendices[S].2013.

[4] Committee of Sponsoring Organizations of the Treadway Committee.Internal Control-Integrated Framework：Illustrative Tools for Assessing Effectiveness of a System of Internal Control[S].2013.

[5] Committee of Sponsoring Organizations of the Treadway Committee.Internal Control-Integrated Framework ：Internal Control over External Financial Reporting：A Compendium of Approaches and Examples of a System of Internal Control[S].2013.

[6] 王怡心.COSO的演变分析——以五大要素为主[J].中国内部审计，2013（9）：26-30.

[7] 董秀琴.COSO内部控制框架最新进展及评价[J].财会通讯，2013（3）：95-96.

[8] 王瑞龙，张浩.COSO内控框架的最新发展及启示[J].会计之友，2014（8）：52-55.