COSO VS COCO内控制整体框架比较

1992年，美国反虚假财务报告委员会下属的多个组织参与发起的组织委员会（COSO委员会）公布了《内部控制——整体框架》，即ＣＯＳＯ报告，并于1994年对其进行了增补。该报告对提高企业内部控制水平，增强企业风险防范能力，产生了积极影响，并在世界上很多国家都成为了内控制度建立的标准。但是，即使许多企业参照此报告建立起的内部控制制度仍无法避免各种风险，并且其内容仍有不妥之处。因此有必要将COSO报告与其他内控框架文件相比较，并在此基础上结合中国的实际对内部控制整体框架进行初步构建。

二、COSO报告与COCO报告的比较分析

（一）COSO报告的意义

COSO报告将内部控制定义为：“内部控制是一种由企业董事会、管理阶层和其它人员执行，由管理阶层设计，为达成有关下列目标提供合理保证的过程：营业的效果和效率；财务报告的可信力度；相关法令的遵循” [1]。在此定义的基础上，COSO报告对内部控制构建了一系列不同以往的内容和框架，展示了一些崭新的理念和思想。

1.        COSO报告认为内部控制包括三大目标：经营目标、财务报告目标和遵从法规目标，以及五个构成要素：控制环境、风险评估、控制活动、信息与沟通、监督。这三大目标贯穿于内控的五大构成要素中。这些概念的提出，为建立评价内部控制系统提供了一套完整的标准，有利于在实践中的运用。

2.        强调了“以人为本”和明确了内控的责任。COSO报告认为内部控制是由人来设计和实施的，各个组织成员都受其影响并可以反作用于内控制度。因此组织中的每个人都对内控负有责任。这种内控全员参与的思想，有利于将员工的积极性调动起来，主动地维护和改进企业的内控制度。

3.        强调风险意识。COSO报告认为，所有的企业都必然会遭遇来自企业内部或外部的不同程度的风险。企业的管理层在设计和实施内控制度时必须密切注意各种风险。

4.        强调内部控制存在于包括规划、实施和监督在内的企业经营和管理过程中的系统，内部控制并不是这些过程的补充，而是这些过程不可或缺的组成部分。同时，内控系统应该包括能适应不断变化的客观世界的机制。

5.        COSO报告着重强调：对于企业目标的实现而言，内部控制只能提供一个合理而非绝对的保证。合理与否取决于环境，如果财务报告中存在的错误累加起来不会对企业的财务状况、经营成果和现金流量造成重大影响，就可以视为合理，即这些错误是可容忍的误差。

（二）COSO报告的缺陷

1.        COSO报告具有浓重的会计和审计色彩。从COSO委员会的组织背景来看，各发起组织中美国注册会计师协会是最大、最有财力的，并具有相当的影响力和知名度；并且COSO报告的主要撰写人是永道会计师事务所。因此，COSO报告提出的三大目标之一的财务报告目标似乎是为注册会计师在评价财务报告控制有效性时推托责任。显然，从这一目标来看，COSO报告作者的主要关注点并不在于对管理过程提供帮助。

2.        COSO报告没有将保护资产安全包括到内部控制的范畴中。内部控制的基本目标是促使企业实现其经营目标，并减少经营过程中的风险。而保护资产安全无疑可以有效地减少风险并有利于企业经营目标的实现，将其排除在COSO报告的框架之外，是有悖于内控的基本目标的。

3.        COSO报告强调内部控制的只能提供“合理保证”，并把考虑“成本效益”作为内部控制的局限性。内部控制的评价应通过评价标准和评价过程的客观性和透明度来增加其科学性。显然，“合理保证”的具体程度和“成本效益”的平衡点在实践中是很难量化的，这种极具主观色彩的观点有利于注册会计师转嫁风险，但对社会公众来说，只能增加更多的争议和猜疑。

（三）COSO报告与COCO指南的比较分析

鉴于美国职业会计团体在世界上的权威地位，各国职业会计师团体一直尾随其后，因此COSO报告诞生后，一直受到追捧，并成为被广泛借鉴的模式。而加拿大特许会计师协会（CICA）负责的控制规范委员会（Criteria of Control Board, 简写为COCO）发布的“控制指南”（Guidance on Control，以下简称“COCO指南”），在不少方面都与COSO报告的标准相背离，考虑到美国公司在加拿大拥有大量业务，而多年来，CICA已经习惯于美国同行在制定审计准则、会计原则和职业规范等方面的领导地位，所以 CICA此举非常引人注目。

1.        与COSO报告中使用的“内部控制”术语相比，COCO指南更倾向于使用“控制”一词。COSO委员会有意把目标确定、战略规划、风险管理和纠错行动排除在“内部控制”外，而COCO则把这些活动看成是“控制”概念的组成部分。显然，COCO指南比COSO报告更宽泛，而且没有从注册会计师的角度作更多的考虑。

2.        COCO指南将“有效控制”定义为：使企业能够可靠地实现其目标，取决于其能在多大程度上合理保证企业实现其目标。 [2]同时，COCO指南为“有效控制”确立了几个标准：

目标：明确企业发展方向。

承诺：企业的价值观和员工的认同感。

能力：企业的竞争力和员工的胜任能力。

监督和学习：在工作中学习和发展。

COCO指南认为这几个标准之间存在一种内在的循环关系。这种循环关系旨在反映控制过程本身的连续性。

可以看出COCO指南关于控制的定义和标准比COSO报告更贴切地反映企业的组织和运行方式，它把控制看成是企业要素的一部分，并与其它要素相结合促使企业目标的实现。

3.        COSO和COCO都认为风险评估是控制的组成要素，但COCO指南更强调对机遇的把握。COCO指南认为对风险和机遇的反应和适应能力，尤其是发现和利用机遇的能力对企业是至关重要的。它认为维持企业的可容忍风险水平或把风险降至可容忍水平以下，确实可以发现一些危机，但是这与企业发现和利用机遇，保持持续竞争能力相比，这种情况并不经常发生。

可以看出，COCO指南与COSO报告相比，提出许多崭新的观点，展现了当会计师对其法律责任无甚考虑时所能达到的境界。但是，COCO指南只有32页文件（COSO报告研究范围较小，但却有118页文件），短小的篇幅难以承载如此丰富的内涵，整体框架无法充分展开，细节不够充分，实践指导性不强，这可能是COCO指南难以引起重视的原因之一。

三、对内控制度整体框架的初步构建

（一）内部控制目标的构建

西方的内部控制依次经历了：内部牵制阶段、内部控制阶段、内部控制结构和内部控制整体架构阶段。内部控制的目标也从最初的保护公司资产、确保簿记正确发展到COSO报告设定的三大目标：经营目标、财务报告目标和遵从法规目标。从西方内部控制目标的演进来看，内部控制的目标不仅包括保护资产安全完整，保证会计信息真实可靠，也包括贯彻企业的经营方针，提高经营效率。而后者在现代内部控制中的地位越来越重要。但是，2002年“安然”和“世通”事件以后，尤其是《萨班斯——奥克斯利法案》颁布以来，内部控制制度的设计越来越倾向于防范风险的目标。笔者认为这是应对会计丑闻的权益之计，与内部控制发展的大趋势是不相符的。

与国外相比，我国对内部控制的关注和研究起步较晚，迄今为止有关部门制定和实施的与内部控制相关的法规和政策所设定的内部控制的目标主要集中于保护会计资料的合法完整、保护资产的安全完整以及确保法规制度的贯彻执行，基本上属于内部会计控制的范畴。显然，与西方国家相比，我国内部控制制度目标的制定更加没有考虑对经营效率、效果的作用和影响，还属于较低层次的目标，缺乏完整性和前瞻性。

由于现代企业所有权和经营权的分离、委托代理关系的存在，不同利害关系者对企业权力和经济利益要求及其所承担责任的不同，所以对于内部控制体系的要求有所差异，形成现代企业组织结构中不同的控制主体;相应地，对内部控制体系负最终责任的管理当局为了协调好各方的利益关系，完成受托经济责任，有必要给内部控制体系搭建一个合理的目标框架。

在内部控制中，控制目标依附于企业的单位的经济目标，而这些经济目标对企业所有者而言，又转化为受托经济责任目标，内部控制依据其监督职能属性，所能做到的是有效的减少受托经济责任目标的偏差，因此可以把内部控制的总体目标设定为有效减少受托经济责任目标的偏差。这个目标与COSO报告的目标相比，拓宽了控制目标的范围，它还包含了目标确定、战略规划和财产安全控制，内容更加全面；将内部控制制度作为管理的必要构成要素和管理本身，而不只是管理的辅助工具；而且单一总目标将控制目标集中化，更直观，更容易把握。这个总目标更符合COCO指南对“有效控制”的要求。

在此基础上，可以确立两个分目标：经营目标和风险防范目标。

经营目标优先于风险防范目标，这更切合于受托经济责任目标。因为经理层的根本目标应该是股东利益的最大化，只有有效的完成经营目标才能实现股东利益，它是实现受托经济责任目标的充要条件。而风险防范目标是实现经营目标的有效保障，它是实现受托经济目标的必要条件，但不是充分条件。经营目标是基础，风险防范目标是保证，两者相互作用，相互制约，相互促进。

（二）内部控制要素（有效控制标准）的构建

COSO报告设定的内部控制五要素：控制环境、风险评估、控制活动、信息与沟通、监督，具有较强的理论可取性和牢践可行性；我国学者提出了岗位、文件、作业、流程四要素说和组织、项目、流程三要素说 [3]，虽然颇具新意，但是视角不够全面，要素之间缺乏有机的联系和衔接。因此笔者更倾向于COSO报告的五要素的设定，由于COSO报告对五要素的论述解释非常详尽，在此就不再赘述，只是在其基础上与我国的实际相结合对五要素内容略为展开和补充（尤其对生产经营目标实现的支持方面）。

1.控制环境

①员工素质。包括员工的性任能力和道德价值观，两个方面缺一不可。管理部门必须制定正式或非正式的职务说明书，逐项分析并规定各工作岗位所须具备的知识和技能；:当局应提供道德方面的指导，制作文字化的行为准则和政策声明，并用书面或口头的实例交流方式，将企业文化和行为准则传达给全体员工。

②管理哲学和经营方式，其主要内容涵盖:对待和承担经营风险的方式。

③组织结构。一个良好的组织构架具体应在设置组织结构时，坚持相互牵制的原则，以达到相互制约、相互协调、防止和纠正差错舞弊的目的，同时要确保企业整体目标能够按照组织结构分解到各个具体部门中去。

⑤责任的分配与授权方式。要为执行任务和承担职责的组织成员特别是关键岗位的人员，正式、清晰地描述工作职责，提供其所需的资源，并确保他们的经验和知识与职责权限相匹配，要使所有员工知道其工作行为以及职责担负形式和认可方式。

2.风险评估——包括对机遇的把握

风险评估可以包括确定目标、观测环境和分析风险三方面。需要强调的是在风险评估的同时，必须保持对机遇的及时反应和把握能力，这两方面分别于风险防范目标和经营目标相对应。

3.控制活动

①授权。授权政策必须由最高管理当局制定，有权进行一般授权和特定授权的员工或组织，应当具备与所审批业务的性质和重要性相称的地位，既要防止权力重叠，又要防止权力真空，所授权力不能使员工被动地等待领导，而是能够主动地面对遇到的问题，并在自己的职权范围内主动解决问题。

②职责分工。各项职责和权力须用规范化文件的方式明确地授予具体的部门、岗位和人员，以免发生越权，或在出现错误或舞弊时互相推诱。一方面，对各部门分工要明确，责权利有机结合;另一方而，每个员工的职责也要明确。并要对不相容职务进行分离。

③实物控制这项控制关系着资产安全以及财务报告的可靠性，具体包括实物安全控制、对计算机以及数据资料的接触于以授权、定期盘点以及将控制数据予以对比。

④对信息系统的控制活动。通过对资料中心、系统软件、存取安全的控制以及对应用系统的维护和发展，帮助管理阶层确保系统能持续、适当的运转。

4.信息与沟通

企业沟通包括内部沟通和外部沟通。内部沟通需要做到员工应当得到用以管理其负责活动的重要资料和来自最高管理层的需谨慎承担内部控制责任的清楚信息；必须让每个人清楚地知道个人所担负的特定任务，了解内部控制制度的各项规定、以及个人在控制系统中所扮演的角色及所承担的责任；员工必须知道其所负责的活动是怎样与他人的工作发生关联的；员工必须拥有在组织中向上沟通重要信息的方法。外部沟通应做到:顾客和供应商能经过开放的沟通管道输入重要信息，便于企业利用；外部审计人员对企业营业、相关业务问题及控制系统审计后，可以向企业管理阶层及董事会提供重要的控制信息:对于政府主要机构所报道的复核或检查的结果，

5.监督

管理当局必须监督它所建立的内部控制系统：由适当的人员，在恰当的基础上，适当及时地评估内部控制的设计和运行质且。监督活动由日常监督和个别评价所组成，既可以由内部管理人员、审计人员进行，又有与企业进行交流的外部人员和团体的参与。