内部控制是什么?一般人认为内部控制是组织为了减少风险造成的损失而对组织内部进行自我控制,包括自我监督。COSO对内部控制下过定义:“内部控制是一种由企业董事会、管理阶层和其他人员执行,由管理阶层设计,为达成有关下列目标提供合理保证的过程:营业的效果和效率;财务报告可信赖度;相关法令的遵循。”COSO认为内部控制是一个流动的过程,应当贯穿于企业经营运作的整个过程。同时一个优秀的内部控制体系,不应当是书面上的理论研究和规章制度,它应该和企业内部的人结合起来,并自觉去维护体系的建设和改进。一个良好的企业内部控制是随着企业不断成长的,它在为企业在风险防范提供指导的同时,也随着企业的发展而不断丰富自身。
COSO框架在发展中,对内部控制的定义也逐渐往风险管理理念靠拢。在COSO框架下,风险管理和内部控制二者都强调主动应对企业风险,包括对企业进行风险评估和强化风险应对措施。但在内部控制上是对单个风险进行管理,不同于风险管理基于风险度量和风险两重性对风险的管理。来自优W尔Y论W文C网WWw.YoueRw.com 加QQ7520,18766
相对于我国而言,国外资本市场发达,企业在内部控制上的理论体系相对成熟。在市场发展中,国外先后出现了ISO31000、英国标准BS31100、IRN标准以及COSO内部控制框架和特恩布尔指南等内部控制标准。但对比于业内其他内部控制框架对企业风险管理内容的强调,COSO框架体现更多的则是企业风险管理流程,把侧重点放在了对本身框架内容的描述。虽然COSO框架没有提出具体有效的措施,但它提供的纲领性要求强化了企业自身的要求。而在COSO框架自身上,从1992年首次提出以来,该框架就经历过不同形态的结构模型,包括金字塔式、立方体、倒立方体以及环状结构。
我国在经济体制转变的过程中,复杂多变的市场环境使得我国企业面临着多种多样的内外部风险。针对我国企业内部控制过程中出现的风险,我国学习吸收借鉴西方COSO框架的基础上,先后发布了《企业内部控制基本规范》、《企业内部控制规范配套指引》,为我国企业内部控制体系的建设提供纲领性文件。而在理论发展方面罗喜英在《完善中国COSO体系应注意的问题》中提出完善公司治理机制、加强外部监管和强化执行三点建设性意见。业界也在不断吸收借鉴国外优秀的内部控制体系,研究适合我国国情的内部控制框架。
本文通过案例分析法,将辉山乳业作为我国企业内部控制缺失的一个缩影。基于COSO-ERM内部控制框架,来分析我国企业内部控制存在的问题。通过对COSO内部控制框架的研究,结合我国国情提出四点规范内部控制建设的可行性建议。
二、COSO框架概述
(一) COSO框架的提出和修订
20世纪70年代中期,美国对内部控制的研究集中在制度的设计和审计方面,追求改进内部控制制度。1972年美国爆发水门事件,在对其中进行调查时发现美国公司进行违法的国内捐款和贿赂外国政府官员情况,这使得业界开始注意加强内部控制的问题。针对调查的结果,美国国会于1979年通过了《反国外贿赂法》(简称FCPA),其中不仅规定了关于反贿赂的条款,还涉及了与会计及内部控制有关的条款。1985年,美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会自愿组建了反虚假财务报告委员会(The Committee of Sponsoring Organizations of the Treadway Commission),COSO是改委员会的缩写。1992年COSO委员会签署《内部控制—整体框架》的报告,这就是COSO报告的首次提出,并与1994年做了增补。