【正文】 COCO從四個基本要素出發(fā)，制定出了有效控制的20個規(guī)范標準。有效的控制需要保持獨立和整體、穩(wěn)定和適應變化之間的平衡。COCO將“內(nèi)部控制”的概念擴展到“控制”，其定義為“是一個企業(yè)中的要素集合體，包括資源、系統(tǒng)、過程、文化、結構和任務等，這些要素結合在一起，支持達成該企業(yè)的目標”。COCO專門對控制系統(tǒng)的設計、評估和報告進行研究和發(fā)布指南。2002年中國人民銀行頒布的《商業(yè)銀行內(nèi)部控制指引》中指出“商業(yè)銀行內(nèi)部控制應當貫徹全面、審慎、有效、獨立的原則”?！　“腿麪枀f(xié)議認同和發(fā)展了COSO內(nèi)部控制框架?！　“腿麪栥y行監(jiān)管委員會在英國的Cadbury、美國COSO報告和加拿大COCO報告和實踐經(jīng)驗的基礎上，于1998年9月發(fā)布了《銀行組織內(nèi)部控制系統(tǒng)框架》?！　。?）明確職責分工的內(nèi)部控制。高級管理層必須建立一個適當?shù)目刂平Y構，以確保有效地進行內(nèi)部控制，限定每個業(yè)務層面的控制活動。主要的內(nèi)部控制措施有：內(nèi)部審計、遵守法律法規(guī)、避免與毒品犯罪或洗錢犯罪發(fā)生聯(lián)系、欺詐的控制?！　“腿麪枀f(xié)議的內(nèi)部控制思想：　　（1）審慎監(jiān)管的內(nèi)部控制原則。巴塞爾銀行監(jiān)管委員會提出的《新資本協(xié)議》定于2005年推行，屆時將會取代《1988年資本協(xié)議》。在巴塞爾協(xié)議中特別強調(diào)三個支柱：最低資本規(guī)定、監(jiān)管當局的監(jiān)督檢查、市場紀律。適當?shù)膬?nèi)部控制制度包括雙人控制、職責分離、風險限制等原則，以及審計、風險控制和信息管理系統(tǒng)。巴塞爾銀行監(jiān)管委員會自1975年成立以來，其頒布的各項監(jiān)管原則統(tǒng)稱為巴塞爾協(xié)議。第17節(jié)：國有企業(yè)內(nèi)部控制框架(17)　　（二）巴塞爾協(xié)議　　巴塞爾協(xié)議是國際上規(guī)范銀行內(nèi)部控制、提高銀行經(jīng)營效率的核心體系。每一個組成要素適用于所有的目標類別，每一個組成要素也都與每一個目標有關。整個內(nèi)部控制的過程必須施以恰當?shù)谋O(jiān)督，通過監(jiān)督活動在必要時對其加以修正。這些系統(tǒng)使企業(yè)內(nèi)部的員工能取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息，并交換這些信息。　?。?）信息和溝通(informationandmunication)?！　。?）控制活動(controlactivity)。企業(yè)必須制定目標，該目標必須和銷售、生產(chǎn)、行銷、財務等作業(yè)相結合。環(huán)境要素是推動企業(yè)發(fā)展的引擎，也是其他一切要素的核心。任何企業(yè)的核心是企業(yè)中的人及其活動。COSO委員會提出，內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程?！　』赥readway委員會的建議，其贊助機構又組成了一個專門研究內(nèi)部控制問題的委員會，COSO委員會（CommitteeofSponsoringOrganizationsOfTheTreadwayCommission)。　　第二節(jié)企業(yè)內(nèi)部控制框架體系介紹　　一、國際企業(yè)內(nèi)部控制框架體系介紹　　（一）美國的COSO框架　　1985年，由AICPA、美國審計總署(AAA)、FEI、I隊及管理會計師協(xié)會(1MA)共同贊助成立了全國舞弊性財務報告委員會(NationalCommissionOnFraudulentFinancialReporting)，即Treadway委員會，該委員會所探討的問題之一就是舞弊性財務報告產(chǎn)生的原因，其中包括內(nèi)部控制不健全問題。審計準則第2號于2004年6月獲得SEC的批準，適用于SOX法案要求的財務報告內(nèi)部控制的審計?！　∨浜蟂OX法案的實施，美國SEC提出了財務報告內(nèi)部控制?！　OX法案的一個主要目標是提高財務報告的質(zhì)量，增加投資者對金融市場的信心，提出建立和維持財務報告內(nèi)部控制是管理層的一項重要責任。薩班斯法案的核心條款如表22所示。為了提高民眾對美國金融市場及對政府經(jīng)濟政策的信心，美國國會于2002年7月25日出臺了《2002年公眾公司會計改革和投資者保護法案》（簡稱“薩班斯法案”或“SOX法案”）。　?。ㄈ㏒OX法案對財務報告內(nèi)部控制審計的強制要求　　2002年發(fā)生“安然”、“世通”等公司的破產(chǎn)揭露出一系列的財務欺詐丑聞，暴露出美國公司治理結構不平衡和外部監(jiān)督缺失?！　OSO委員會于1999年3月，發(fā)布了一個重要報告，即《欺詐性財務報告：19871997對美國上市公司的分析》。COSO把內(nèi)部控制界定為一個過程，內(nèi)部控制有3個目標、5個組成要素：3個目標為經(jīng)營的效果和效率目標、財務報告的可靠性目標和法律法規(guī)的遵循性目標；5個要素為控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控?！　OSO委員會于1992年專題報告了《內(nèi)部控制——整體框架》。報告中寫道：大約50%的欺詐性財務報告是因為內(nèi)部控制失效引起，指出薄弱的內(nèi)部控制是許多欺詐性財務報告發(fā)生的主要原因。Treadway委員會的主要目標是識別引發(fā)欺詐性財務報告的各種常見因素，并為減少這些事件的發(fā)生提供建議?！　≈钡?985年，由于一系列公司破產(chǎn)和審計失敗訴訟案的發(fā)生，公眾的注意力才真正地集中在內(nèi)部控制上，因為公眾對企業(yè)管理當局的行為、財務報告的適當性以及外部獨立審計的有效性發(fā)生懷疑?！　?980年后，內(nèi)部控制審計的職業(yè)標準逐漸成形，并且內(nèi)部控制的專業(yè)準則得到了很大發(fā)展，這些專業(yè)準則逐漸得到了監(jiān)管者和立法者的認可。由于FCPA立法和FEI內(nèi)部控制報告建議的推動，美國注冊會計師協(xié)會于1979年成立了內(nèi)部控制特別顧問委員會，即Minahan委員會，以對建立和評價內(nèi)部控制提供指南。1978年，科恩委員會發(fā)布科恩報告：一是建議公司管理層在披露財務報表時，提交一份關于內(nèi)部控制系統(tǒng)的報告；二是建議外部獨立審計師對管理者內(nèi)部控制報告提出審計報告。FCPA要求公司對外報告的披露者設計一個內(nèi)部會計控制系統(tǒng)，并維持其有效性。該法案除了反腐敗條款外，還包含了要求公司管理層加強會計內(nèi)部控制的條款。然而，受1973~1976年的“水門事件”的影響，美國政府、立法機構和其他規(guī)章制定部門開始密切關注內(nèi)部控制。這些內(nèi)容都是內(nèi)部控制框架中沒有的，也是其所不能做到的。二是在全面風險管理框架中，由于把風險明確定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”（將產(chǎn)生正面影響的事件視為機會），因此，該框架可以涵蓋信用風險、市場風險、操作風險、戰(zhàn)略風險、聲譽風險及業(yè)務風險等各種風險；內(nèi)部控制框架沒有區(qū)分風險和機會?！　D22內(nèi)部控制整體框架與企業(yè)風險管理框架對比圖從二者的實質(zhì)內(nèi)容看，兩者存在以下幾項重要差異。因此，全面風險管理涵蓋了內(nèi)部控制?！　。﹥?nèi)部控制框架與企業(yè)風險管理框架的關系　　全面風險管理與內(nèi)部控制既相互聯(lián)系又有重要差異?！　∑髽I(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。普華永道的項目參與者認為，新報告中有60％的內(nèi)容得益于COSO1992年報告所做的工作。如圖21所示?！　「鶕?jù)COSO委員會的《內(nèi)部控制——整體框架》報告中的定義，內(nèi)部控制是受公司董事會、管理層和其他人員影響的，為達到經(jīng)營活動的效率效果、財務報告的可靠性、遵循相關法律法規(guī)等目標提供合理保證而設計的過程。第14節(jié)：國有企業(yè)內(nèi)部控制框架(14)　　經(jīng)過兩年的修改，1994年COSO委員會提出對外報告的修改篇，擴大了內(nèi)部控制的范圍，增加了與保障資產(chǎn)安全有關的控制，得到了美國審計署(GeneralAccountingOffice，GAO)的認可。它包括下列內(nèi)容:經(jīng)濟業(yè)務和經(jīng)濟活動的批準權；明確各個人員的職責分工，防止有關人員對正常業(yè)務圖謀不軌的隱藏錯弊；職責分工包括:指派不同人員分別承擔批準業(yè)務、記錄業(yè)務和保管財產(chǎn)的職責；憑證和賬單的設置和使用，應保證業(yè)務和活動得到正確的記載：對財產(chǎn)及其記錄的接觸和使用要有效保護措施；對已登記的業(yè)務及其計價要進行復核。在財務報表中恰當?shù)乇硎鼋?jīng)濟業(yè)務以及對有關內(nèi)容進行揭示。將各項經(jīng)濟業(yè)務按適當?shù)呢泿艃r值計價，以列入財務報表。健全的會計系統(tǒng)應實現(xiàn)下列目標:鑒定和登記一切合法的經(jīng)濟業(yè)務。例如由銀行指定代理人的檢查等。董事會及其所屬委員會，特別是審計委員會發(fā)揮的職能；確定職權和責任的方法。　　:“企業(yè)的內(nèi)部控制結構包括為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序”，并且明確了內(nèi)部控制結構的內(nèi)容:　　　　控制環(huán)境是指對建立、加強或削弱特定政策和程序效率發(fā)生影響的各種因素，具體包括管理者的思想和經(jīng)營作風。該文告首次以內(nèi)部控制結構(InternalControlStructure)一詞取代原有的“內(nèi)部控制”一詞，該文告的頒布和實施可視為內(nèi)部控制理論研究的一個新的突破性成果?！　?972年，《第54號審計程序公告》對內(nèi)部會計控制進行了重新定義，認為內(nèi)部會計控制是組織計劃以及關于保護資產(chǎn)安全完整和財務記錄有效性的程序和記錄，并對下列事項提供合理的保證：交易經(jīng)過合理的授權進行；公司對交易進行了必要的紀錄，以確保財務報表的編制與公認會計原則保持一致；資產(chǎn)的使用和處置經(jīng)過管理層的適當授權；在合理期間內(nèi)，對現(xiàn)存資產(chǎn)與資產(chǎn)的會計記錄之間的任何差異采取了恰當?shù)男袆?。管理控制通常只對財務記錄產(chǎn)生間接的影響，因此，審計人員可以不對其作評價?！　?963年，審計程序委員會在《審計程序公告第33號》的結論是:獨立審計師應主要檢查會計控制。1936年，美國注冊會計師協(xié)會對內(nèi)部控制制度定義為：為保證公司現(xiàn)金和其他資產(chǎn)的安全，檢查賬簿的準確性而采取的各種措施和方法。1934年美國《證券交易法》，首先提出了“內(nèi)部會計控制”(Internalaccountingcontrolsystem)的概念。企業(yè)風險管理分為八個相互關聯(lián)的要素：①內(nèi)部環(huán)境；②目標制定；③事項識別；④風險評估；⑤風險反應；⑥控制活動；⑦信息和溝通；⑧監(jiān)控2004年4月美國COSO委員會頒布的《企業(yè)風險管理框架》（一）內(nèi)部會計控制　　最初的內(nèi)部控制定義是內(nèi)部牽制(Internalcheck)，它基本是以查錯防弊為目的，以職務分離和賬目核對為手法，以錢、賬、物等會計事項為主要控制對象。表21內(nèi)部控制發(fā)展五階段　　，以決定其可依賴和作為制定審計測試程序的依據(jù)的程度　　　?。–AP）頒布的《審計準則暫行公告》中現(xiàn)場工作準則　　《內(nèi)部控制：一種協(xié)調(diào)制度要素及其對管理當局和獨立性注冊會計師的重要性》，從廣義包括會計控制，又有管理特征的控制　　……但是，如果獨立審計師認為某些管理控制可能對財務記錄可靠性有影響，他應當考慮評價管理控制　　……《審計程序公告》第29號（）　　《審計程序公告》第33號《審計程序公告》（）　?。ˋSB）頒布的《審計準則公告》（）第三階段內(nèi)部控制結構三分論企業(yè)的內(nèi)部控制結構包括為實現(xiàn)企業(yè)目標提供合理保證而建立的各種政策規(guī)定和程序，具體內(nèi)容包括：①控制環(huán)境；②會計制度；③控制程序1988年審計準則委員會第55號《審計準則公告》（）（續(xù)）　　階段統(tǒng)稱特征相關概念文告依據(jù)第四階段內(nèi)部控制整體框架五分論內(nèi)部控制是一個過程，受企業(yè)董事會、管理當局和其他員工影響，旨在為下列目標提供合理保證：①財務報告的可靠性；②經(jīng)營的效果和效率；③現(xiàn)行法規(guī)的遵循。第一節(jié)企業(yè)內(nèi)部控制理論的發(fā)展　　一、內(nèi)部控制的核心理論發(fā)展　　內(nèi)部控制概念的演變大致可劃分四個階段，即內(nèi)部控制一分論、內(nèi)部控制二分論、內(nèi)部控制三分論、內(nèi)部控制五分論，也有的把企業(yè)風險管理框架看作是內(nèi)部控制的第五發(fā)展階段，即內(nèi)部控制八分論階段。同時，要經(jīng)過比較分析，挖掘我國企業(yè)內(nèi)部控制建設中的閃光點，發(fā)揮我國企業(yè)已有內(nèi)部控制體系的優(yōu)勢。同時，我們還應當結合我國國有資產(chǎn)管理體制，研究出資人對企業(yè)內(nèi)部控制的監(jiān)督評價方法，創(chuàng)新建立科學嚴謹?shù)膬?nèi)部控制評價指標、標準和方法體系，規(guī)范企業(yè)內(nèi)部控制評價報告，提高企業(yè)內(nèi)部控制體系的運行質(zhì)量，促進國有企業(yè)健康持續(xù)發(fā)展和國有資本保值增值。在構建企業(yè)內(nèi)部控制的進程中，不可脫離我國企業(yè)改革發(fā)展的實際情況和我國企業(yè)特殊的管理環(huán)境與管理習慣，就理論論理論，而應當理論聯(lián)系實際，積極探索適合我國國有企業(yè)的內(nèi)部控制機制，以規(guī)范企業(yè)行為，提高經(jīng)營的效率和效果，促進國有資產(chǎn)保值增值，實現(xiàn)企業(yè)價值最大化。　?。ㄒ唬├碚撆c實踐相結合　　理論只有與實際相結合，才能產(chǎn)生巨大的推動力。相反，企業(yè)內(nèi)部控制不健全，企業(yè)管理水平也就薄弱。當然，企業(yè)管理的方法和工具較多，如六西格瑪管理、7S管理體系等，企業(yè)內(nèi)部控制從控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督等角度系統(tǒng)地提出了完善企業(yè)管理的方法。企業(yè)管理是一個非常寬泛的概念，不但涉及企業(yè)的內(nèi)部經(jīng)營管理，而且涉及企業(yè)的外部關系。領導就是運用行政職權，采取適當?shù)拇胧?，保證組織按照計劃運轉。計劃主要是制定組織的目標。所謂企業(yè)管理，就是指由企業(yè)管理層或管理機構對企業(yè)的經(jīng)濟活動過程進行計劃、組織、指揮、協(xié)調(diào)、控制，以提高經(jīng)濟效益的一系列活動的總和。內(nèi)部審計則是持續(xù)不斷的檢查評價行為，并且，針對不同的審計對象發(fā)揮不同的監(jiān)督作用。相應的，內(nèi)部控制是內(nèi)部審計的工作對象之一，內(nèi)部控制需要內(nèi)部審計對內(nèi)部控制的設計是否合理、執(zhí)行是否有效等方面進行檢查、反饋，從而實現(xiàn)自身的不斷完善和提高?！　∫话阏J為，內(nèi)部審計是企業(yè)為保證目標的實現(xiàn)，在企業(yè)內(nèi)部通過審查和評價自身經(jīng)營活動、財務行為、內(nèi)部控制等的合法、適當、有效而開展的獨立的監(jiān)督評價活動。而內(nèi)部控制更加重視實施，嵌入到企業(yè)各業(yè)務流程的具體業(yè)務活動中，融合在企業(yè)的各項規(guī)章制度之中，使企業(yè)在正常運營過程中自發(fā)地防止錯誤，提高效率，從而合理保證目標的實現(xiàn)。同時風險管理的技術方法也常運用到內(nèi)部控制的過程中。在實際操作中，內(nèi)部控制的實施經(jīng)常運用風險管理的方法，內(nèi)部控制是基于風險的控制過程，是對風險進行評估和管理的必要過程?！　?nèi)部控制與風險管理既有聯(lián)系，又各有側重，不存在包涵或被包涵關系，也無法完全互相替代。而風險管理是指圍繞特定目標，通過各種手段對風險進行管理，為實現(xiàn)目標提供合理保證的過程和方法。一般認為內(nèi)部控制是為了達到某些目的而進行的一種動態(tài)的