文/禹治

当前，随着市场经济的发展和企业间竞争的加剧，企业面临的竞争压力与风险愈加复杂。内部控制已经成为一个企业必不可少的政策和程序，也已经成为企业全体人员都要参与其中的一项控制活动。COSO框架从二十世纪九十年代发布以来被理论界和实务界广泛认可，将内控体系的构建与COSO框架紧密结合，可以更好的达到控制效果。内部控制与风险管理联系十分密切，基于风险导向而设计的内部控制体系从风险出发，了解、评估和评价内部控制运行有效性，顺应内部控制的发展方向。因此，企业在构建内控体系时，以风险管控为导向，同时将COSO框架与体系构建相结合，可以更好地达到内控要求。

1.COSO框架内部控制核心五要素

1.1 COSO框架内部控制核心五要素。COSO委员会在1992年9月发布的《内部控制整合框架》，也就是目前广泛运用于世界范围内的COSO框架，该框架包括核心五要素，本文也是在这核心五要素基础上进行的论述，在该内部控制框架的基础上建立风险导向内部控制体系。内部控制五要素分别为控制环境、控制活动、对控制的监督、风险评估过程与财务报告相关的信息系统与沟通，该五要素是为了实现内部控制三大目标。

1.2 COSO框架核心五要素的具体内容及其重要程度。COSO框架核心五要素包括了企业内控各个方面需要注意的具体内容。比如，控制环境要素中主要涉及到公司的治理职能和管理职能等；控制活动要素是最关键的，主要涉及到了授权审批、职责分离、连续编号和实物控制等相关的活动；对控制的监督主要是指对企业一段时间内控制运行有效性进行监督，并给予评价，对于具体情况的变化需要采取必要的改正措施；风险评估过程这一要素主要指管理层对企业经营活动中面临的风险进行识别以及对风险进行分析并采取相应的防范措施；最后一个要素为信息系统与沟通，从该要素的表述中可以看出其包括两个层次，第一层次为与财务报告相关的信息系统，第二层次为沟通，沟通又分为内部沟通与外部沟通。具体内容如表1所示。

表1控制环境内控要素

表2控制活动内控要素

表3对控制的监督要素

表4风险评估过程要素

表5与财务报告相关的信息系统与沟通要素

从内控五要素的重要程度来看，最为重要的就是控制活动，该项要素中涉及的内容众多，可以说控制活动是一个很宏观的概念，从该宏观的概念中需要挖掘其在实际工作的价值与意义。无论是职责分离、授权审批抑或是其他的控制活动对于企业整个内控体系的设计都是尤为关键的。其次，控制环境作为企业宏观层面的控制要素也相对重要，只有良好的控制环境，企业内控才会稳定地运行。同样，基于风险导向内部控制体系，对于风险的识别和分析也很重要，内控体系的构建应注重对于风险的识别，即使企业拥有了内控活动，也需要通过风险识别和分析程序来对各种内控活动进行控制。

2.风险导向内控体系的构建。

一个完整的内部控制体系对于一个起来至关重要，一个企业高效地完成内控三大目标需要有一套适合自己企业的内控体系。这一部分研究了如何通过COSO框架的五大核心要素去设计内控体系，如何将五大核心要素的具体内容与内控各步骤相结合，要将COSO框架的五大要素贯穿于该体系的构建，以达到内控目标。作者在前文提到COSO框架解释了内控的目标、要素等内容，仅仅是一个理论框架，绝不是一个内控操作手册。也就是说该框架对于内控体系的构建具有指导性的作用，但绝对不是一套现成的，对不同行业、不同发展阶段、不同内外部环境企业的操作手册。所以在这一部分，解决的问题就是如何将理论边落到企业内控体系构建实处，让该框架发挥其最大的作用，帮助企业设计内控，解决内控，提高企业内控效率，帮助企业更好地进行生产经营活动。本部分以风险为导向建立了完整的内部控制体系,总体逻辑为风险识别、风险评估、风险应对和监督评价。此外需要说明的是，不同企业在构建风险导向内控体系时需要根据行业特点以及企业自身情况设计内控体系，可以在该部分的内控体系基础上增加或减少相应的环节。

2.1 以风险为导向，识别风险。首先企业需要开展风险识别，根据COSO框架中的控制环境以及控制活动的相关内容及要求，在充分了解内外部环境的情况下从整体和业务两个层面来进行识别。从整体层面来看，企业除了需要了解国家经济形势变化、所处行业的发展趋势以及竞争格局对于企业带来的风险之外，还需要关注管理层、治理层以及员工有没有达到控制环境要素的要求；从业务层面来看，企业可以从内部控制五要素中的控制活动要求出发，对企业的业务流程以及财务工作等进行分析。

2.2 对本期识别出的风险进行分析评级。企业在运用COSO框架进行风险识别时可以结合其他常规风险识别方法，比如SWOT分析法、PEST分析法以及德尔菲法等。在识别出企业存在的风险后，企业可以对风险进行评估，分析和判断哪些风险对企业的影响程度较高，对于固有风险和风险极小的，不会影响到内部控制三大目标的，可以不确定为内控点。此外，在内部控制体系动态运行中，企业可以根据识别的风险和评级结果更新企业的内控点。风险识别是风险导向内控体系构建中的根本步骤，也是企业整个内控体系中必不可少的环节，风险识别环节确定的风险点即可作为内控点，风险识别工作的好坏直接影响企业内部控制的有效性。

2.3 确定企业的内控点是否存在。通过风险识别与风险分析，确定了相应的内控点之后，企业需要结合内部控制制度判断自身内部控制制度是否存在这些内控点，对于之前内部控制制度未涉及到的内控点企业应及时补充，确保内部控制设计的完整性。

2.4 评价存在的内控是否在有效运行。该部分为风险评估，在进行风险评估以及评价企业内部控制的有效性时，企业可以运用风险评估技术，常见的风险评估技术主要为概率和统计方法、模糊综合评价法、敏感度分析法、风险价值法、风险指标法、压力测试法等。通过风险评估技术，评价内部控制设计是否得到有效的运行。

2.5 根据风险发生的可能性等因素应对风险。在风险识别与风险评估之后，企业需要确定如何应对风险。风险应对主要包括风险规避、风险转移、风险对冲等应对方法。企业在确定风险应对方法时需要考虑风险发生的可能性、成本效益和影响效果等因素。

2.6 持续监督与专门评价。在内控运行中企业要进行日常监督，该监督贯穿于日常重复活动中，对于各项内控点需要进行专项监督。最终企业要对内控体系运行的效率与效果进行总体评价，针对内控不足实施相应的解决措施，监督管理责任主体进行整改。

3.保证内控体系运行有效性的建议。

内控体系构建好之后，需要在运行过程中设置保障措施，确保内控体系正常运行，本部分介绍了一些保障措施，如加强对风险的认知和识别，加强信息系统与沟通，加快业财税融合等保障措施。

3.1 加强对风险的认知和识别。在很多企业中，企业管理者对于风险的认知存在一定的缺陷，在宏观上不能根据经济发展趋势以及自身所处的行业特点识别出企业经营上的风险，在微观层面上不能根据企业自身的业务活动识别出所有的风险点。企业无法完全识别风险就会导致企业不能有效地评估、应对和防范风险，内部控制的有效性也会受到损害。所以，在运用COSO框架进行内部控制体系构建时，首先需要提高管理层对风险的认知，了解到风险对于企业内控设计的重要性。

3.2 加强信息系统与沟通。COSO框架五要素中第五个要素为与财务报告相关的信息系统与沟通，该要素主要包括两个层面。首先需要保障信息的传递顺畅，在一些中小型企业中，没有运用ERP等管理软件，这就会存在信息在传递过程中会产生信息差与时间差，当存在信息传递不顺畅时就会出现一系列诸如信息疏漏、理解偏差等问题，企业需要采取一定的措施去解决信息系统传递不顺畅的缺陷。其次，在沟通层面不仅要做到内部沟通，还要做到外部沟通。

3.3 加快业财融合，弥补传统企业管理缺陷。在企业业务活动进行中，很多工作需要业务部门和财务部门协作，但当前企业的财务人员大多还只是事后核算，财务人员对于业务的了解程度不够，财务人员的思维大多还停留仅仅根据业务单据完成账务处理即可。加快业财融合可以帮助企业将事后监督发展为事前预测与事中控制，从而加强风险管控，对内部控制也有一定的促进作用。