内部控制的目标、要素及原则——COSO新版内部控制框架解读（二）

第一章给大家介绍了内部控制的定义，今天介绍第二章，目标、要素及原则，本章是对这三个方面的内容进行概况性介绍，这些内容也是贯穿整个框架的最主体的内容。

下图的立方体是2013年COSO公布内部控制框架图，形状和内容与其1992年的立方体保持了一致，将目标、要素及其包括的原则均包括在内，比较明显的变化是将五要素的展示顺序由自下而上，改成了现在的自上而下。

顶层我们称之为目标层，列示了内部控制框架涉及的三个方面的目标：运营目标、报告目标、合规目标，沿着顶端纵向白色的线，按照三个目标所在区域，可以将立方体分为三块。

正对着我们的这一层叫要素层，自上而下一共五个方面的内容，我们称之为五要素，沿着正面横向的几条白线，按照五要素所在区域，可将立方体可分为“五片”。

2008年中国财政部联合五部委颁布的《内部控制基本规范》就是采用的同样的五要素框架。

侧面我们称之为范围层，指出内部控制应该在什么范围内实施，此图中列示了公司层面、分支机构、业务单位、职能部门四个方面，实质的含义是内部控制是涵盖和应用于组织所有层面的，可以按照组织的各个层面的工作内容将内部控制框架切割成一个“若干片”。

举例：离我们最近的右上角的小立方体代表的是什么呢？

是公司层面支持合规目标实现的控制环境要素中的内容，其它以此类推。

一、目标层

需要特别强调的一点是，关于组织的目标，内部控制框架内容本身不涉及设计和制定目标的内容，也就是说，有明确的目标是内部控制的工作前提（但却是风险管理工作的一部分），从这个角度而言，内部控制更多的是侧重为实现目标的执行过程而非设计过程，但实现目标的过程需要对控制进行设计，这并不矛盾。

就内部控制的目标而言，东西方的理念还是有所差异，中国的内部控制目标在此基础上增加了两个——战略目标和资产安全目标，对于资产安全目标本来就属于运营目标的一个子项，但对于增加战略目标是否恰当一说，不同人还是有不同的看法。

1、运营目标：

一个组织可以设定不同维度的运营目标来驱动组织达到理想的运营状态，如产量、成本、质量，包括资产的安全性等等。

运营目标和经营目标的区别？

可以试着想一下我们平时说一个领导懂经营和一个领导擅长运营的区别。

经营更多的是侧重于抓市场和挖效益，专注对外部的把握和市场需求的满足。

运营更多是侧重提升效率和控制成本，专注内部资源的优化配置和改进。

内部控制支持的是运营目标而非经营目标，从“内部”控制的名字上也可以略见一二。

2、报告目标：

这也是本次框架中做的一个比较大的扩展，从1992年COSO内控框架的“财务报告”目标，扩展到了更加综合的“报告”目标，将原来的重点从合理保障对外财务报告的真实性、准确性，增加到了包括对内财务报告、对内非财务报告、对外非财务报告等四个子目标维度。

但是，从成熟资本市场的角度，对外财务报告目标仍然是它最基本、最重要的目标之一，对上市公司也是有强制要求的内容。

今天，我们看到最近瑞幸财务造假事件闹得沸沸扬扬，大家觉得最大的问题是因为它今年实际只有20亿左右的收入，而不是40亿吗？如果是这样那瑞幸的股价砍去50%就可以了，为什么要跌下去90%，甚至面临退市风险。

不是，是因为你的财务报告是假的，欺骗了投资者，让他们无法做出正确的决策，让所有投资者蒙受了损失（准确的说应该是在二级市场高价买入的投资者），除了对你商业模式的质疑外，还需要缴纳“道德罚金”。

这就是内部控制被强制要求用来尽力防范这样严重造假事件的原因。如果一个企业有重大的内控缺陷，是不值得信任的，投资者应该非常谨慎。而如果一个企业的内部控制体系建设的特别完善，表明公司的基础管理好，不容易犯基本错误，应该得到投资溢价。

但是，外部监管机构的强制要求仅限于上市公司，如果是私有企业，老板愿意做假自己骗自己开心，那是他自己的事。总之，就是谁是股东谁关心，并最终承担后果。

一般非疏忽的蓄意造假，都是含有特定目的的，就是利用信息不对称性进行非法得利，其实是一种风险和收益在不同群体之间的错配。

内部控制就是利用一种确定的手段，让信息可以最大程度降低不对称性，因为在掌握公司经营真实信息面前，广大中小投资机构和投资者永远都是弱势群体。

3、合规目标：

组织应该保证在符合法律法规和政策要求的范围内运行，这是组织的底线目标。当然，很多组织发现突破底线后有更好的发展或更丰厚的利润，就忍不住突破了，也有一些组织在灰色地带盘旋，这些都是管理层的风险偏好，内部控制无法阻止这些冒险行为。

COSO内控框架中谈到的合规，仅限于对外部法律法规和政策规章的遵从性，以及由此而制定的与其要求相当乃至更高标准的外规内化的内容。

这一点和我们目前谈到的“大合规”概念有所不同，按照我们解读的中央企业合规管理指引中的描述，我们把合规的概念扩展到了对于企业内部规章制度的遵从上，这会引起一些问题，因为内部的规是企业自行制定的，制度设计是合规的前提，所以不能一味要求合规，还有“立规”。

企业实现合规经营目标，内部控制一直是其重要的抓手和解决方案。今天很多的企业在建立合规管理体系，合规管理其实与很多企业现有的管理体系都有交叉，特别是内控体系，如果要以合规管理体系作为一个单独体系来拎的话，那其实是在管理体系中将与其有关联的管理活动拎了出来，再进一步补充完善、明确和强化。

建议企业不要将企业现有的管理体系中的合规管理内容推倒重来，亦或是从零开始建立企业合规体系，合规管理最终还是要融入到管理和业务里面去。

二、要素层

本次COSO框架采用了国际通用的要素加原则的书写方式，用5个要素17个原则外加82个关注点的架构形成了本框架的所有主体内容。

我们把这5个要素及17个原则先列到如下，供大家参考，后面我们再细讲：

1、控制环境

• 对诚信和道德价值的承诺

• 体现监督责任

• 建立组织结构、权限分配及责任

• 体现胜任能力

• 加强内控问责机制

2、风险评估

• 有明确恰当的目标

• 识别风险并分析风险

• 评估舞弊风险

• 识别并分析重大变化

3、控制活动

• 选择并执行控制活动

• 选择并执行信息技术相关一般控制活动

• 遵循政策与程序

4、信息与沟通

• 使用相关的信息

• 内部沟通

• 外部沟通

5、监督活动

• 进行持续监控和独立评价

• 对缺陷进行评价和沟通

转至:大风控