2010年11月，COSO启动对1992年版的内部控制框架（下称旧框架）修订项目，在2011年12月发布征求意见稿，于2013年5月发布《内部控制整合框架》（下称新框架）。COSO这次发布的新框架是对旧框架的继承和改进。COSO修订发布的新框架跟旧版框架相比有什么变化？对我国内部控制的发展有什么启示？本文拟对此进行讨论。

一、内部控制新框架的变化

（一）整体变化

1.扩大了财务报告目标的范围。旧框架在内部控制目标设定中只关注财务报告目标，而新框架提出的报告目标包括外部财务报告和非财务报告目标以及内部财务报告和非财务报告目标。其中，外部财务和非财务报告目标的特征是主要用于满足外部投资者和监管机构的要求，根据外部准则进行披露，可能受监管者、有关合同和协议要求的限制。内部财务和非财务报告目标的特征是主要用于企业内部经营管理和决策制定，相关披露要求由管理层和董事会制定等。各报告目标的具体内容为：外部财务报告目标可能与年度财务报告、中期财务报告和盈余公告有关；外部非财务报告目标可能与内部控制报告、可持续性报告以及供应链和资产托管有关；内部财务报告目标可能与部门财务报告、客户盈利性分析和银行合同有关；内部非财务报告可能与员工和资产利用率、顾客满意度的衡量以及健康和安全的衡量有关。

2.注重以原则为导向的方法。新框架提出基于内部控制五要素的17项原则和82个相关属性，其内容既有延续又有新增、修改和删除，这是新框架最显著的变化。这17项原则和82个相关属性构成了建立与评价企业内部控制的主要标准，并与五大要素和三大目标构成了一个层次分明的体系，即系统——目标——要素——原则——属性。

3.强化了公司治理的作用。近年来，公司治理成为企业制度建设的重点，不仅企业越来越重视公司治理结构对企业经营发展的影响，利益相关者也希望公司治理能够在内部控制方面发挥更大的作用。因此，新框架包含了更多有关公司治理的讨论，涉及董事会及其下属专门委员会（审计委员会、薪酬委员会和战略委员会等），强调董事会对内部控制的重要作用。

4.阐述了企业目标设定与内部控制系统的关系。旧框架在风险评估阶段对目标设定进行具体规定，而新框架将这部分内容移到内部控制总论部分论述。对于目标设定的规定，新框架不仅继承了旧框架中“拥有目标是内部控制先决条件”的说法，还强调目标设定并不是内部控制过程的一部分，而是企业进行内部控制活动时存在的既有环境。明确指出只有在设定企业目标后才能设计和实施内部控制系统，目标及其子目标的设定是企业战略计划过程的一部分或内嵌于这一过程，内部控制本身无法表述或设立企业的目标是什么。

5.考虑了不同商业模式和组织结构的内部控制。过去20年来，随着竞争环境的变化、全球经济一体化和技术的不断进步，企业在经营过程中出现了新的商业模式，管理层更加关注包括供应商和客户在内的价值链管理。为此，新框架明确考虑了新商业模式和组织结构下的内部控制建立及其有效性的实现问题。

6.描述内部控制要素、目标以及实体之间关系的三维图有较大变化（如图1所示）。可以看出，新三维图对内部控制五要素的排序与原三维图完全相反，同时，对于第三维度，由业务单位和活动改为实体层面、分部、业务单元和职能部门。

（二）具体要素和原则的变化

新框架继承了旧框架对内部控制五要素的划分，只有第五个要素“监控活动”在旧版称为“监督”。同时针对这五要素明确提出了17项原则，这些原则不仅体现了核心要素的基本概念，而且提高了组织建立有效的内部控制的可操作性。

由于旧框架并没有明确总结与五要素有关的原则，而是隐含在对五要素的分析中，笔者据此总结了20项原则，并与新框架的17项原则进行对比分析。

1.控制环境。旧框架主要有以下七项原则：

（1）诚信和道德观——组织应建立并让员工了解健全的诚信和道德观，尤其是对于高级管理层，并设立财务报告的标准。

（2）董事会或审计委员会——董事会或审计委员会应了解并行使与内部控制有关的监督责任。

（3）管理哲学与经营风格——管理哲学与经营风格影响内部控制有效性。

（4）组织结构——组织结构影响内部控制有效性。

（5）才能——组织保留有关人才。

（6）权利和职责分配——管理层和员工适当分配一定的权利和职责，以促进内部控制有效性的实现。

（7）人力资源政策和措施——设计和实施人力资源政策和措施，以促进内部控制有效性的实现。

新框架主要有以下五项原则：

（1）组织承诺将遵守诚信的价值观及道德规范。

（2）董事会独立于管理层并对内部控制的建立和实施情况进行监督。

（3）管理层在董事会的监督下建立相应的组织结构、报告流程、恰当的授权和职责体系，以实现组织目标。

（4）组织致力于吸引、发展和保留具有职业胜任能力且与组织目标相匹配的人才。

（5）组织明确个人的内部控制职责，以实现组织目标。

对比新旧框架在控制环境方面的原则可以看出：一是诚信和道德观作为控制环境的关键因素，影响着其他内部控制要素的设计、管理和监控，因此，新框架将这条原则保留，并描述了该原则的四个特征：设定高层基调、建立行为准则、评估是否遵守行为准则以及及时强调偏差。二是新原则明确了董事会的独立性要求，以及管理层建立内部控制体系的责任及董事会监督职能，并描述了该原则的四个特征：确立董事会监督责任、保留或委派监督责任、应用相关知识、独立性以及监督行动。三是新原则明确了内部控制是以组织目标为导向，并提出了实现组织目标关键要素：恰当的组织结构、报告流程、分配和限制权责。四是新框架和旧框架一样强调了组织应提高对人才的重视。认为人力资源政策以及组织人员的职责分配将影响内部控制的设计和实施。

2.风险评估。旧框架主要有以下三项原则：

（1）目标——包括企业层面目标和操作层面目标，具体来说有经营目标、财务报告目标和合规性目标，通过识别目标，进而控制风险。

（2）风险——组织应识别并分析达成目标所面临的风险，以作为风险管理的基础。

（3）舞弊风险——组织评估达成企业目标而面临的风险时，应明确考虑因为舞弊而发生重大错误叙述的可能性。

新框架主要有以下四项原则：

（1）组织应非常清晰地明确目标，进而能够有效识别和评价与目标实现有关的风险。

（2）组织应在整个实体层面识别与目标实现有关的风险并对其进行分析，以便判断如何对这些风险进行管理。

（3）组织在评估与目标实现有关的风险时，应考虑潜在舞弊风险。

（4）组织应对可能对内部控制系统产生重大影响的变化事项进行识别与评估。

可以说，新框架延续了旧框架提出的明确目标先于风险识别和评估的说法，但新框架对目标进行了扩展，增加了对外财务报告目标、对外非财务报告目标以及内部报告目标，并具体描述了这些目标的重要特征，使企业在进行目标选择和判断时更易操作，具体特征如下：①经营目标反映管理层的选择、考虑风险容忍度、包括经营和财务业绩目标、作为配置资源的基础；②外部财务报告目标遵循会计准则、考虑重要性、反映实体活动；③外部非财务报告目标遵循已确立的外部准则和框架、考虑要求的精确度、反映实体活动；④内部报告目标反映管理层的选择、考虑要求的精确度，反映实体活动；⑤合规性目标反映外部法律和监管要求、考虑风险容忍度。应注意的是，新框架在前面三个原则的基础上，还提出组织应考虑内外部环境变化，如领导人更替、业务转型、法规变化、商业模式的变化等对内部控制体系产生的影响。在风险评估阶段，组织须对这些变化因素进行识别与评估。这说明新框架更关注组织面临的动态风险。

3.控制活动。旧框架主要有以下四项原则：

（1）与风险评估相结合——在风险评估的同时应采取相应的控制活动并使之有效。

（2）控制活动的选择和设置——控制活动的选择和设置应考虑成本效益原则。

（3）政策与程序——确定应该实施什么样的政策和实现该政策的程序。

（4）信息技术——为实现组织目标，应设计和实施适当的信息技术控制。

新框架主要有以下三项原则：

（1）组织选择并且实施控制活动，以将与实现目标有关的风险降低到可接受水平。

（2）组织针对技术选择并且实施一般控制活动，以支持目标的实现。

（3）组织通过制定能够明确控制预期的政策和能够将控制预期转换为具体行动的具体流程来贯彻控制活动。

由此可以看出，新框架同样认为风险评估应与控制活动相结合，但是相比旧框架，新框架提出了可操作的程序，如考虑实体的特殊性因素、确定相关的经营流程、评价混合控制活动、运用不同控制活动以及强调职责分离。同时，新框架强调了与技术相关的风险，并提出相关的操作程序：确定技术应用与技术一般控制的独立性、建立相应的技术设施控制活动、建立相关技术安全管理控制、建立技术获取、开发和维护控制。另外，新框架将控制活动的实施分为一般控制政策及业务流程两个层面，后者作为前者的具体实现方式。政策制定应具备明确目标，具备实践指导性，具体流程以政策为依据。

4.信息与沟通。旧框架主要有以下四项原则：

（1）信息——组织各层级识别、搜集及使用有关信息，并通过一定的方式及时传送，以支持目标的实现。

（2）信息系统——信息由信息系统来识别、掌握、加工和报告，与经营活动相整合，并支持战略创新。

（3）内部沟通——各项沟通促使并支持组织各层级了解与执行内部控制目标、流程和个人责任。

（4）外部沟通——与外部利益相关者沟通影响组织目标实现的事项。

新框架主要有以下三项原则：

（1）组织获取或者产生并使用相关的、高质量的信息，以支持内部控制系统发挥作用。

（2）组织在内部沟通相关信息（包括控制目标和职责），以支持内部控制系统发挥作用。

（3）组织与外部相关各方沟通可能对内部控制功能发挥产生影响的事项。

由此可作如下分析：第一，对于信息与沟通的有关原则，新框架并没有多大变化，仍然强调信息和沟通是整个内部控制系统发挥作用的支持要素。然而新框架提出了与获取信息有关的重要方面，如确认信息需求、捕获内外部数据源、将数据转化为信息、保证信息质量、考虑成本和收益。第二，旧框架就信息质量提出了五个方面的特征：适当性、及时性、当前性、准确性和畅通性，新框架对此进行了补充，认为高质量的信息还应包括保密性、可获得性、充分性、有效性和可验证性。这些新特征加强了组织对相关信息的识别和选择。第三，新框架提出了与内外部沟通有关的特征：沟通内部控制信息、与董事会沟通、与外部利益相关者沟通、保证内外沟通顺畅、提供独立的沟通渠道、选择沟通方法。

5.监控活动。旧框架主要有以下两项原则：

（1）持续性监控和独立评估——持续性监控和独立评估可促使管理层确认内部控制是否存在并发挥作用。

（2）报告缺陷——组织应及时识别内部控制缺陷，与有关人员沟通。必要时向高级管理层及董事会报告。

新框架主要有以下两项原则：

（1）组织选择、推动和执行持续和（或）独立的评估，以确认内部控制各要素是否存在并发挥作用。

（2）组织对内部控制进行评价，并及时将发现的内部控制缺陷报告给负责执行纠正性措施的主体，这些主体包括高级管理层、董事会，具体视缺陷情况而定。

由此看出，新框架提出了组织在引入外部服务提供商的服务时，需要理解与该服务有关的活动和控制，并考虑外包服务提供商的内部控制对本组织内部控制的影响。该新提法体现了新经营模式的出现对内部控制的影响。

二、新框架给我国内部控制带来的启示

综上所述，新框架不仅继承了旧框架的核心内容，还针对20年来内部控制环境出现的新变化和新挑战提供了应对和指导，增强了企业在复杂竞争环境中设计和实施内部控制系统并提高其有效性的可操作性。我国于2008年5月由五部委联合发布的《企业内部控制基本规范》基本上参照了旧框架。随着我国内部控制准则体系的建立完善及其在我国上市公司中的逐步应用，为检查其实施情况，财政部和证监会于2011年和2012年对境内外同时上市的公司和国有控股主板上市公司进行了内部控制检查，发现诸多问题，例如：内部控制缺陷认定标准及认定程序不科学、企业对内部控制的重视程度不够、不重视后续运行的监督和信息化手段的运用等。针对这些问题，结合我国内部控制实际，笔者认为新框架能够给我们带来以下几点启示：

（一）监管和准则层面

1.完善内部控制准则体系，提高其权威性。COSO发布新框架的精神是为各国内部控制准则的制定提供参考，并没有强制性，我国的内部控制准则体系也没有强制性，但从近两年的检查报告可以发现，企业实施内部控制的积极性和规范性较差，且在内部控制系统被披露存在缺陷时受到的惩罚也较轻。相比之下，在美国，内部控制以《萨班斯—奥克斯利法案》的形式确立并在上市公司严格执行，具有较大的强制性和权威性。因此，笔者建议我国监管机构参照COSO新框架推动修订和完善内部控制准则体系，明确企业内部控制建设责任，严惩违反内部控制准则的行为，树立其权威性。

2.提高内部控制准则的可操作性。新框架的一个重大变化是对五个核心要素归纳总结了17项原则，并提出了许多可操作的具体程序。这些原则和程序对企业设计和实施内部控制并提高其有效性具有重要指导作用，特别是我国目前很多企业还处于内部控制系统的摸索和建立阶段，这种具体的操作程序有利于企业比较容易地理解和实施内部控制。从这两年的内部控制检查也可以看出，部分企业对内部控制设计和实施的程序比较陌生，实际操作时显得较为混乱，而且对企业内部控制的缺陷认定也缺乏统一标准。因此参照新框架，有必要对我国内部控制准则进行重新梳理，提高其可操作性。

3.提高外部审计的独立性。新框架强调了识别舞弊的风险，将反舞弊提到新的高度。公司内部审计机构虽然可以从内部制度上防范和降低舞弊风险，但是由于利益关联，内部审计往往难以独立，其防范舞弊的效果也大打折扣。因此外部审计机构的引入为减少和发现舞弊提供了外部监控手段，有利于提高内部控制有效性。但是从2011年到2012年的内部控制检查可以看出，审计机构对企业内部控制审计报告出具的否定意见占比由2011年度的1.5%下降为2012年度的0.35%，否定意见内部控制审计报告总体比例偏低，很大程度上与审计意见有失客观性、独立性有关。因此有必要进一步增强审计独立性，提高审计机构识别和披露企业舞弊的可能性。

（二）企业层面

1.推进信息技术与内部控制建设相结合。强调信息技术在企业内部控制建设中的作用是本次新框架修订的重要方面之一。当前，我国上市公司基本上实现了办公自动化和信息化，企业越来越多地使用诸如财务会计系统、ERP系统等信息技术，但是这些信息技术建设却与内部控制建设相脱节，甚至无法为内部控制建设提供支持，使内部控制功能不能得到充分发挥。因此加快信息技术在内部控制系统中的应用，提高信息传播与沟通速度和质量，是企业内部控制建设的重要内容。

2.加强内部控制环境建设，特别是加强企业文化建设。新框架认为控制环境从最高层为企业内部控制建设确定了基调，因此是内部控制建设成败的关键。文化作为企业的灵魂和个性，能提高员工的认同感和归属感，在一个诚实守信、遵纪守法的文化氛围下实施内部控制，将起到事半功倍的效果。新框架提出通过企业使命与价值的论述、行为准则的制定以及相关政策实践活动，在企业中建立一种基于道德、社会环境、行为责任的文化基调，在企业员工中贯彻执行以形成特定的企业文化，这种做法值得我国企业借鉴。

3.加强监控的功能。新框架强调企业要定时对内部控制各要素进行独立评估，确定其是否存在并发挥作用，并及时向董事会或管理层报告。两部委的内部控制检查发现我国企业内部控制建设普遍存在为了迎合“合规性”要求和敷衍检查而被动实施，往往没有将内部控制系统与企业经营管理过程相结合，在建立内部控制系统后，缺乏后续监控，内部控制形同虚设。因此，为使内部控制系统真正发挥作用，加强监控活动必不可少。■

责任编辑 刘良伟