●范雨晗 吴 勋

一、引言

伴随着组织内外环境的变迁，以及国内外法律法规和企业管理水平越来越高的要求，内部控制愈发成为关注度高而有实际意义的管理课题，而且其思想内涵和方法体系也在不断完善和发展。石油企业作为国民经济发展的重要产业之一，强化内部控制建设是石油企业加强内部管理、规避风险的重要举措，对促进石油企业可持续发展具有重要的实践意义。

二、历次COSO 框架基本内容

COSO （The Committee of Sponsoring Organizations of the Treadway Commission）是五大协会（AICPA、AAA、FEI、IIA、IMA）1985年创立的美国反虚假财务报告委员会的缩写，其目的是分析包括内部控制在内的财务报告产生舞弊的原因及其解决办法。

第一部框架是1992 版COSO《内部控制——整体框架》，该框架对内部控制进行了系统规范的总结，首次提出包含控制环境、风险评估、控制活动、信息与沟通、监控在内的内部控制五要素，并将内部控制定义为确保营运效率和效果、财务报告可靠性、相关法令遵循性等目标实现的过程。

2004 版的《企业风险管理框架》（ERM框架）强化了企业风险管理的地位，成为一个风险导向的COSO 框架，ERM框架提出了企业风险管理的四大类目标和八大类要素，其中四大类目标是战略、经营、报告与合规目标，八大类要素是指在原有五要素基础上增加了目标制定、事件识别和风险反应。

2013 版《内部控制——整体框架》则进一步提升了企业风险及其管理的重要性，在继承第一版的主要思想基础上，详细阐述了五大要素的内容及其17 项基本原则，并具体指明了执行的规范方式和方向。

2017 版的《企业风险管理框架——与战略和业绩的整合》强调将风险管理嵌入到企业的日常管理业务活动及核心价值链中，并将八个要素提炼为五个，即公司治理与企业文化、战略与目标设定、风险管理执行、审查和修订、信息沟通和报告，同时总结出更为具体和细致的内部控制五要素的20 条原则。

三、COSO 框架对企业内部控制建设的影响

现代内部控制的完整概念是1949年审计程序委员会（CAP）给出的，该定义指出内部控制目的在于保护财产，检查会计资料是否明确可靠，提高营运效率并促进管理政策的贯彻。

随着内部控制理论的发展，目前理论界和企业界普遍认可的是COSO（1992）的定义，该定义拓宽了内部控制的概念与内涵，认为内部控制要在资产安全、财务报告真实与企业运营效率、效果合法合规性等两者之间取得平衡，使内部控制建设更加完善。

COSO（2004）关注的视角从财务报告真实性转向企业风险管理，认为企业风险管理可以识别潜在影响企业战略制定和各个层面的事件，八要素更符合内部控制要求，并能为企业完成目标提供合理的保证。企业要加强对风险识别和风险应对的分析，并着重关注非财务信息。

COSO（2013）在内部控制定义上特别强调了五个方面，即一个过程、受人影响、监督管理阶层的活动、适合于目标达成、适合于组织结构。在内部控制理念上强化了竞争和商业环境上的变化，拓展了内部控制框架的实施范围和控制目标；对五要素给出具体的规范方式和指导方向，更具操作性。

COSO（2017）对内部控制与风险管理解释为：“企业风险管理受两方面影响，其一是董事会、管理层和企业员工，其二是内部控制在整个企业所有运营活动中的应用。”该版本主要影响在于重新定义了风险及风险管理，强调了风险和价值之间的关联性，着重研讨了战略风险管理与企业绩效等议题。

四、我国石油企业内部控制建设现状分析

（一）我国石油企业内部控制建设历程——以中石油为例

为满足石油企业走向国际化和国内外法律监管的要求，中石油以美国《萨班斯—奥克斯利法案》为基础，从2003年8月开始启动以提升经营国际化、财务报告真实性和管理水平为目的的内部控制体系建设，第一阶段截止到2008年，主要成果为初步建立了中石油内部控制框架，编制发布了《内部控制管理手册》；第二阶段一直延续至今，建立起比较完整系统的涵盖经营管理各领域的内部控制管理体系，使中石油内部控制逐步转换到全面风险管理阶段。

（二）中石油内部控制体系建设内容

中石油内部控制体系建设内容围绕COSO 框架五要素，建立了一套合理完善的、符合市场国际化和资本市场要求的内部控制体系框架。其中，控制环境是内控体系的基础和实施保障，包括诚信原则与道德价值观、职务要求界定、董事会与审计委员会、经营管理风格、组织架构、职权与授权、人力资源战略与实务；风险评估是识别并分析企业各层面风险的过程，包括企业目标、风险因素、对环境变化的管理；内控活动是确保管理层指令得到有效执行的措施，包括高层经理人员执行绩效分析、直接部门管理、对信息处理的控制、实体控制、绩效指标比较、分工；信息与沟通是识别、传递、存贮企业经营管理所需信息的过程，包括信息系统、沟通；监督是对内部控制体系有效性进行评估的过程，包括持续监控、个别评估、汇报内部控制缺陷。

（三）中石油内部控制建设存在的主要问题

经过多年以COSO 框架为基础的内控建设，中石油在运营管理各个方面提升了内控能力，这其中包括建立了科学的内部规范体系，构建了企业运营管理专门系统的量化体系，加快了企业国际化步伐，转变了经营理念，实现了内控信息化管理等，但是相对于中石油自身发展状况来看，依然存在一些问题和不足。

1.内部控制的执行力度不够。尽管中石油内部控制文件对诸多关键步骤、风险领域和例外事项都做了详细的规定，但在实际运行或者外部审计中，总有不按照内部控制管理规定要求的事件发生，或者由于执行内控文件不严格导致内部控制失效的问题出现。因此，执行力度目前仍然是内部控制建设的首要问题，执行是否到位依然是中石油高层需要解决的问题。

2.内部控制与运营效率的平衡问题。从长期视角看，内部控制体系能较好地提升管理水平，但在短期建设期间无疑会付出一定的人财物方面的效率成本。因此，如何在达到内部控制目标的同时不对运营效率产生一定影响，如何结合长期和短期目标，把握内部控制和运营效率的平衡点，是中石油管理层未来要着重加以研讨的问题。

3.内部控制体系需要进一步完善。中石油内部控制体系建设历史只有十余年，主要关注点仍然是运营风险管理，对涉及企业各个层面的全面风险还没有成为重点，包括全面风险管理理念、意识、手段等在各个管理层面还都比较缺乏。因此，内部控制体系建设还有待于进一步扩展范围和完善手段，需要建立全面风险管理的有效框架。

4.内控系统与原有管理体系有效结合问题。中石油内部控制建设依然存在传统国有企业的老问题，就是为了应付检查或审计或者仅仅为了建立内部控制体系而搞内部控制建设，没有从根本上发挥内部控制体系的作用。因此，内部控制框架就和企业现有运营管理体系、现有风险管理体系缺乏有机融合，不同程度上存在重复控制、多头控制和真空地带的现象。

五、COSO 框架下石油企业内部控制建设的政策建议

（一）构建面向全面风险管理的内部控制建设构架

石油企业目前的内部控制建设大多是以财务报告为核心，缺失对资产安全风险、信用风险、法律风险、市场风险、政治风险等的考量，因此，有必要构建面向全面风险管理的内部控制建设构架，即以全面风险管理导向的石油企业内部控制理论为指导，形成基于控制环境调查的石油企业风险甄别、基于控制事项识别的石油企业风险评测，以及基于控制流程再造的石油企业风险防范为主要模块的系统化内控建设构架。

（二）打造符合公司现有管理结构的内控监管体系

在经历了内部控制建设初级阶段之后，石油企业内控体系建设将不断深入涉及企业经营管理的各个方面，不断融入企业现有管理结构之中。因此，采取多元化、集约化管理是石油企业内部控制建设的发展方向，有必要打造多层次成员共同参与的内控监管体系，设立相应的日常监控机构、定期汇报制度、实施和反馈管理等，促进石油企业内部控制具体措施与单位实际工作紧密结合。

（三）完善内部控制与运营效率相结合的内控体系

目前石油企业内部控制体系建设的着重点更多地集中在COSO 框架下如何控制风险，对建设成本支出、运营效率方面涉及较少。因此，要明确防范风险的内控是提高企业运营效率，要明确既要有效控制风险，实现内控目标，又要不影响效率，与企业运营管理相结合，有必要探讨如何建立评价内控有效的标准框架，如何建立一套以COSO 框架为基础高效、科学的内部控制体系。

（四）建立考评奖惩与执行结果相结合的机制

保证内控体系运作和实施的关键点是执行过程中的有效监督和对执行结果的考核，石油企业内部控制实施过程中的执行力度问题一直困扰着企业管理层。因此，有必要将监督检查结果列为考评依据，将内控执行力度和结果纳入考核奖惩指标体系，以公平公开的奖惩机制，调动员工执行内控积极性，规范执行内控的行为准则，推动石油企业内部控制正常运行并发挥真正的作用。

六、结语

COSO 框架既是风险管理系统，也是有效的内部控制和风险防范理念。本文在介绍COSO 框架基本内容及其对内部控制影响的基础上，以中石油为例，分析了我国石油企业内部控制体系建设的历程、内容和存在的主要问题，并从四个方面提出了相应的政策建议，期望能让我国石油企业在结合自身具体情况的前提下，建立更为完善全面有效的内部控制体系。