1.1.3 COSO内部控制整体框架

下面我们来拆分一下COSO内部控制整体框架（简称COSO内部控制框架）中的两个维度。

1.内部控制目标（Objectives）

内部控制的三个目标分别是：财务报告（Reporting）的可靠性，经营（Operating）的效率效果和合法合规（Compliance）。

（1）财务报告（Reporting）的可靠性：企业的经营结果是反映在财务报表中的，所以一切控制都要首先保证财务报表的可靠和准确，2002年的SOX法案针对此目标而不遗余力，力求以准确和公允的财务会计信息提振投资人信心。

（2）经营（Operating）的效率效果：企业的任何活动都要围绕达成经营效果、提升经营效率而展开。

（3）合法合规（Compliance）：企业要在不违反法律法规的大条件下开展经营活动，这是企业生存发展的必要条件。

2.内部控制要素（Components）

COSO内部控制框架下的五要素分别是控制环境（Control Environment）、风险评估（Risk Assessment）、控制活动（Control Activities）、信息与沟通（Information and Communication）、监控活动（Monitoring Activities）。

（1）控制环境（Control Environment）：控制环境包括诚信和职业道德价值观、董事会对内部控制机制的监督、管理层的授权及责任与目标相适应、组织对目标兑现的承诺、人员在追求目标时对内部控制负责。

在企业活动的各个方面，诚信是职业道德行为的前提条件。高管是组织的核心灵魂，其行为通常奠定了组织的道德基调。

案例1-2

针对员工虚开差旅费发票，管理层态度决定了内部控制在企业中的执行力度。对不恰当行为的惩罚轻微，或不为人知，会失去它作为威慑物的价值。

在民营企业A公司，某员工利用其直属领导因请病假不在公司且该领导工作由他人代理的机会，谎报多次出差，虚开酒店住宿费发票。财务人员在审核其发票时发现，多次不同日期出差的宾馆住宿费发票是连号的，遂产生怀疑。调取监控后发现，该员工并没有出差而出现在了办公室里。财务人员对该员工此恶劣行为立即通报公司高层，要求按照制度予以全公司通报及开除处理，但最终高层以该员工目前的工作不可替代为由，仅在小组内进行了批评，并要求该员工退回报销款。这件事在公司流传开来，员工认为违规的成本不大，财务人员在后续的费用审核中依然发现违规事件，且屡禁不止。当制度成为摆设时，人人都可以去践踏和破坏它。在没有内部控制环境的企业中，再好的内部控制制度也没法发挥作用。

（2）风险评估（Risk Assessment）：企业有足够的信息去识别和评估风险、能够决策如何管理风险、评估可能的舞弊风险、评估重大的变化对内部控制的影响。

（3）控制活动（Control Activities）：企业选择和构建能够把风险降低到可接受程度的控制、使用信息技术作为有力工具、将相关的控制融入制度和政策当中予以贯彻。

首先强调一个大前提：所有的控制活动都是针对风险而言的，不讲风险只谈控制是毫无意义的。通常构建控制活动的步骤如下。

① 寻找企业各个流程中的风险点。

② 评估风险的重要性水平：针对找出的风险点，判断风险的重要性水平，风险重要性水平=可能性（概率）×危害（损失金额）。图1-3为风险矩阵图，这是一种定性的评估风险的方法。

③ 找出应对高风险的控制活动：企业管理者根据自己的管理风格，制定出一个可接受的风险水平，在这个风险水平以上的，需要设计出有效的控制活动去降低风险，直到风险可被接受。

④ 实施相关的控制活动：控制活动只有在日常的运营中被贯彻执行，才能保证风险被控制在可接受水平以下。

以案例1-3来说明以上的控制活动构建方法。

案例1-3　报销中的假发票

在处理员工报销的时候，财务人员偶然会发现假发票的存在，如果这些假发票没有在报销时被财务人员发现，就会记入企业的账务系统。

① 寻找风险点。这些发票会有不能税前扣除的风险，严重的话还可能影响企业的税务评级。

② 评估风险的重要性水平。概率：由于每天都有大量的员工报销，风险发生的概率比较高。后果：金额较大的发票对账务影响大，金额较小的发票影响较小。

③ 制定可接受风险水平。经过对整年报销的分析，总报销金额1200万元，其中960万元的发票单张金额超过200元。根据成本效益原则，管理层决定接受80%发票被检查的风险水平，而剩下的20%的发票被认为不重大，作为剩余风险或者可接受风险留在企业中。

④ 制定针对高风险的控制活动。

a.预防性控制（Preventive Control）。要求财务人员在处理报销发票之前，检查金额在200元以上发票的真伪，假发票一律退回。预防性控制是一种在事前的、阻止风险发生的更积极有效的控制。

b.检查性控制（Detective Control）。安排内部审计部门核查已经报销凭证中金额超过200元的发票的真伪，发现假发票再进行调整。检查性控制是一种在事后的，为了找到错误而进行的消极控制。

c.程序控制（Application Control）。企业可以开发与金税发票数据库相联系的应用程序，提取发票的电子数据，自动进行发票真伪的校验。这是一种有效的控制程序，同时又能提高效率，但前期需要花费大量的开发成本。

⑤ 根据制定的控制执行。将以上的控制以工作规范或手册的形式传递给执行者，要求其按照要求执行。

（4）信息与沟通（Information and Communication）：企业利用有用和相关的信息以支持内部控制和内部交换、与外部机构交流与内部控制相关的事务。

（5）监控活动（Monitoring Activities）：企业持续不断地对内部控制进行有效的评估，对评估发现的缺陷要及时地与管理层进行沟通并进行更正。