稼轩分享｜COSO-ERM内部控制框架的前生今世及企业推行的重要意义

文｜陕西稼轩律师事务所  吴世军

预计阅读时间：8分钟

引言：

2020时至庚子鼠年，还没等到大家共迎新春佳节，2019新型冠状病毒已经开始在全球肆虐，中华大地尤为严重。接着西贝、海底捞等众多企业深受“病毒”之害，发言称企业“抗疫”危机。对于公司而言，此次疫情作为公司运营外部影响环境，由于不可预见，已然对众多公司带来挑战，或倒逼转型，或静观其变，或关门弃员。“病毒”或许只是公司运营外部复杂环境的一个缩写，企业如何构建“铜墙铁壁”来应对不断变化的外部或内部环境，值得我们深思。

20世纪90年代，发生在美国的一系列会计丑闻，如大家熟知的安然事件，直接催生了COSO的诞生。它是美国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission）的英文缩写，该组织的主要职责就是制定一套明确的内部控制概念的统一框架。最新COSO内部控制框架经历了1992版、2013版和现行的2017版。2017版内部控制框架的修订结合了当前经济形势和新的商业和运营环境，进而反应企业内部框架体系的新变化、新思维，以适应各种因素对企业带来的新的挑战。

美国注册会计师协会(AICPA)通过的以《审计准则公告》(Statement on Auditing Standards，SAS)第一号文件对内部控制定义如下：“内部控制是企业所制定的旨在保护资产，保证会计资料可靠性和准确性，提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。

传统的内部控制定义认为，内部控制包括组织计划以及所有在商业活动中为保护资产安全、核查会计数据的准确性与可靠性、提升运营效率、鼓励遵守规定的管理政策而采取的协调方法。但是内部控制具有系统性、体系性特征，因此，它涉及到公司运营一系列与内部控制系统相关的活动。

根据COSO2017版，其中，控制要素较之前版本，有20个重要原则。分别是：

1. 实现董事会对风险的监督；

2. 建立运作模式；

3. 定义期望的组织文化；

4. 展现对核心价值的承诺；

5. 吸引、发展和留任优秀人才；

6. 考虑业务环境；

7. 定义风险偏好；

8. 评估替代战略；

9. 建立业务目标；

10. 识别风险；

11. 评估风险的严重程度；

12. 风险排序；

13. 执行风险应对；

14. 建立风险合规；

15. 评估重大变化；

16. 审阅风险和绩效；

17. 企业风险管理改进；

18. 利用信息和技术；

19. 沟通风险信息；

20. 对风险、文化和绩效进行报告。

内部控制框架大致分为如下五个控制要素，三个控制类别，五个原则，如图：

内部控制是避免企业经营失败的主要防线。公司的管理层及全体员工应该遵循已定的内部控制系统，共同利用机遇和应对风险来实现公司目标。内部控制也是公司治理系统和风险管理能力的重要组成部分，在实现公司目标的同时，最大程度的创造、维护并增加股东利益。内部控制虽然不能使公司百分之百避免和应对所有风险，但是它能随时提醒管理者关注潜在问题发生的可能性。

（后续，笔者将分别阐述内部控制框架的五大要素，敬请关注内部控制系列文章。）

编辑｜稼轩文编社