基于新COSO框架下我国企业内部控制探讨
【摘 要】 本文在分析内部控制的含义和构成要素的基础上,根据最新的内部控制研究成果——新COSO框架来分析我国企业内部控制的不足之处,并提出了具体的完善措施。
【关键词】 内部控制; COSO框架; 内部控制要素
我国企业在内部控制建设方面做得不科学、执行不力,其中存在很多问题亟需改善。比如像中国农业银行邯郸分行的盗取金库巨款买彩票、中国农行出现800亿坏账和中航油违规参与石油衍生品交易以致破产的教训不得不使我们重视我国企业内部控制的有效性。而国际上,尤其是美国在经历了安然、世通事件后,对于内部控制相关法律法规体系的建设较为严格和完善,可行性高。比如《萨-奥法案》和COSO框架的出台,值得国家在建立有关法规和企业内部建立相关制度时参照学习。本文拟借鉴新COSO的研究成果对中国企业内控存在的问题进行研究,以期帮助我国企业完善其内部控制,减少经营风险。
一、基于风险管理的内部控制框架
2004年,最新的COSO报告《内部控制——风险管理》将内部控制定义为:由一个企业的董事长,管理层和其他人员实现的过程,旨在为下列目标提供合理的保证:一是财务报告的可靠性;二是经营的效果和效率;三是符合适用的法律和法规;四是战略目标的达成。其中把内部控制要素扩展为:内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监督八个要素。内部环境是风险管理的外围和背景,是其他要素的基础,企业的内控环境要和其环境相适应,包括风险管理文化和风险偏好、诚信和企业文化、管理层、董事会等等。目标设定是风险管理的逻辑起点,无目标也就无所谓风险,风险的种类和程度大小决定于企业目标,要防范风险必须从企业目标分析入手,事项识别是对影响目标实现的因素和因素中暗含风险的分析。包括:经济因素、自然因素、社会因素、政治因素、技术因素等等。风险评估是对风险发生的可能性以及影响进行评估,对于发生可能性大而且影响大的风险实施重点管理,同时考虑各类风险的固有风险和剩余风险。风险反应是在风险评估的基础上,选择各类风险的应对措施。控制活动是风险管理的主干,是指风险反应落实的各项政策和程序,包括针对每种业务活动建立起来的清晰的授权体制,建立各项业务流程和运作标准,明确岗位职责,实施业绩评价等等。信息与沟通是风险管理的润滑剂,只有在组织内部顺畅的信息流动与顺利的沟通前提下,内控运作才会到位。监督是风险管理内控体系运作的保障。
