美国科索委员会（COSO）于2013年5月14日正式发布了《内部控制——整合框架》的升级版（以下简称新内控框架）。该内控框架前一个版本即第一版于1992年发布，在世界范围内被学术界和实务届广泛应用：美国证监会（SEC）和美国公众公司会计监督委员会（PCAOB）推荐其为上市公司内部控制标准；我国财政部等五部委发布的《企业内部控制基本规范》的核心架构亦与之对接。那么，新内控框架有哪些主要变化和更新？对我国企业又有哪些启示和影响？本文将结合这些问题进行解读。

一、新内控框架修订的总体情况

根据COSO委员会的说明，本次修订主要是明确了内控有效性的具体要求，体现了企业运营环境变化对内控实施的影响，扩大了内控目标的应用范围等。除了内控框架本身，COSO委员会还发布了配套性的《内控体系有效性评估工具示例》和《基于外部财务报告的内部控制：方法与实例概览》。COSO委员会将于2014年12月正式废止1992年版的内控框架；而在1992年版内控框架废止前，相关企业可继续使用，但需披露所参照的是哪个版本。

二、新内控框架的三大特点

结合新内控框架发布的背景和针对解决的主要问题，笔者认为，其主要特点及变化可概括为“活”、“实”、“稳”三个字。

第一，“活”。体现在新内控框架强调：董事会、管理层和内审人员在内控的设计、实施、维护和评价等多个方面不是死板的套用内控框架，而是运用“判断力”在保证内控有效性的同时，清理无效、冗余和低效的控制。

近年来，内控作为上市公司监管体系的一部分，在部分公司的执行过程中或多或少存在一些过于形式和教条，甚至“为了控而控”的情形，而这主要体现在三个方面：首先，在体系建设层面千篇一律，没有对症下药。部分内控咨询机构不顾企业实际，建议每家企业都去编制所谓的手册、矩阵；而企业本身制度都还千疮百孔，没有进行过系统深入的梳理。其次，在风险评估层面忽视成本效益原则，过度控制。在内控建设中，企业无论风险大小，是否严重，都零容忍、严控制；而有些风险发生的概率极低，控制的成本往往会超出控制的收益。最后，在控制活动层面只看控制的形式，弱化实质性控制。以国内企业的某些审批流程为例，如果缺少领导和个别部门的签字，可能会被认为审核不充分；如果全部部门和领导都签字了，则被认为是内控合规。后者往往会造成管理层和各部门疲于签字，而忽视了实质意义的审核与解决实际问题的过程。以上情况，都导致了部分企业的管理层对内控产生了片面的理解，影响了内控体系应有效果的发挥。

针对以上问题，新内控框架强调：在体系建设层面，内控不是一个按部就班的死板的套路，而是一个动态而整合的实现目标的过程；对于非大型企业，其内控体系不必达到正式的体系化、结构化，但仍然可以被认定为是有效的内控体系。在风险评估与控制活动层面，新内控框架特别提到：“内控是一个达到目标的手段，而非目标本身。”因此，企业应摒弃“为了控而控”的理念，合理运用“判断力”，把内控体系做实，解决企业的实际问题。这实质上也是新内控框架的灵魂。

第二，“实”。体现在新内控框架在内控五要素的每个要素下新增加了17条原则，对企业内控的要求更加具体和明确。

1992年发布的内部控制整合框架第一次提出了内部控制的五项要素，即：控制环境、风险评估、控制活动、信息与沟通和监督，并强调内控五要素是一个完整的体系，整合起来在整个组织中发挥作用以达到控制目标。我国的《企业内部控制基本规范》的框架亦是按照相同的五要素来编排的。鉴于五要素已经被广泛接受和应用，此次的修订并没有将其改动，只将监督表述改为监督活动，并在五要素的框架下细化增加了17条原则，进一步深化了五要素的内涵与应用。

第三，“稳”。体现在新内控框架对内控体系有效性的概念和认定过程进行了针对性的描述，使得内控框架作为上市公司必须遵循的标准更加全面和合理。

围绕内控有效性的认定，新内控框架从三个方面进行了展开：首先，新内控框架扩展了内控固有限制的描述，强调了外部事件对企业的影响，换言之，内控对天灾（外部事件）和人祸（人为失误）无能为力。其次，新内控框架描述了内控有效性的要求，包括两点：一是内控五要素和17条原则这些相关要求在企业中都存在且发挥作用；二是五要素整合起来共同发挥作用。最后，新内控框架结合外部事件的影响，描述了内控有效性的目标状态，即：在没发生不可预见的外部事件的情况下，内控应保证企业实现相关目标。笔者认为，这些有关内控有效性的论述必将随着新内控框架的发布，不断融入到监管部门的要求中，进而影响审计师和企业的判断。

三、新内控框架对我国企业的几点启示

笔者认为，新内控框架的变化与更新对我国实施内部控制体系的企业有以下方面的启示和影响：

第一，强化目标意识，以内控推动合规建设与运营改进。

企业应结合新内控框架对内控目标和内控建设方法的阐述，强化内控建设和实施中的目标意识，避免落入文档建设和形式建设的陷阱。管理学家德鲁克曾经指出：“CEO最大的错误是把内部管理当成最主要的工作；CEO真正的战场是客户，而不是管理”。同样，内控真正的战场是企业经营过程中的各类风险和企业内部的控制缺陷，内控本身并不是为了形成一系列完整的文档、表单，而是为了切实防范风险、提升管理水平，促进企业健康发展。

企业在强化内控建设目标意识的同时，应当从企业具体的风险入手解决实际问题。比如说，部分企业信用销售的应收账款风险较大，而在这个领域，又存在业务部门人员权力过于集中、缺乏内控意识的情况。对这些领域，内控建设就不能只建立一个标准的内审手册，不能只在手册里标明应该做什么，而不说怎么做、怎么监督。内控建设应当具体考虑关键流程究竟应如何操作，如：信用审核与销售订单是否作为不相容职责分离、如何进行科学合理的信用评价等。总之，只有针对性地解决具体问题，才能切实促进内控目标的实现。

第二，把握流程效率与控制成本，建设高效的内控体系。

企业应结合新内控框架的要求合理运用判断力，在设计内控前深入开展风险分析和评估，充分考虑风险损失影响与控制成本的平衡。一般来说，在内控的实务工作中，控制活动的成本体现在几个方面：审核环节造成的流转时间增加、由于不相容职务分离造成的岗位人员增加、增设控制活动所带来的物质资源投入等。而这些成本是否必要，企业需结合风险的影响程度一并评估，避免风险损失没有降低而控制成本大幅增加的情形。

具体来说，企业应避免“风险零容忍”的极端倾向，按照新内控框架中提到的“将风险降低到可接受的水平”的思路，开展风险评估。首先将风险的来源、风险事件和影响分析清楚，然后由管理层根据公司总体的风险容忍程度来决定风险是不是要控、花多大成本来控、控到什么程度。如针对优质供应商的持续供货，其质量风险几乎不会出现，那么，企业就可以简化验收环节的控制措施。除此以外，企业可以改进控制的形式和方法，如针对常见的供销合同，可采取建立标准合同文本的形式简化审核环节等。

第三，对照17条内控原则，对自身内控体系进行细化更新。

企业落实新内控框架，其主要工作应放在结合新发布的17条内控操作原则对自身内控体系进行针对性的升级、优化和更新。除此之外，企业应将17条内控操作原则及其具体内容进一步分解和梳理，并将企业实际情况与之比对，查找缺漏和不符合的方面，进行针对性的优化和完善。

在此过程中，企业还应特别注意结合17条内控原则，形成一种“实质内控”的氛围。具体来说，企业应避免把内控体系的建设碎片化，不仅仅是将业务流程层面的控制点进行机械性的分拆、改动和汇总，而应把内控体系的建设整合起来，把除控制活动以外的要素都当做系统重要的有机组成部分，建立立体化、整合化的体系。对于控制环境要素，企业应加强全员内控氛围的培育，加强董事会高管层的重视和参与；对于风险评估要素，企业应当在管理层的参与下，加强对各类风险的评估和管控；对于信息与沟通要素，企业应改善信息孤岛等信息流通不畅的情况；对于监督活动要素，企业应切实让内部审计发挥作用。如此，才能真正落实新内控框架的17条内控原则，从而达到内控有效的目标。■