中美内部控制监控比较

作者简介：吕俊俊（1988-），女，土家族，湖北阳县人，湖北大学商学院会计系研究生，研究方向：财务管理。

摘 要：内部监督是确保内部监控持续有效进行的重要保证，有效的内部监控能够帮助企业提高监控质量，降低企业内部风险。中美内部控制法规都对内部控制监控作出了相关规定，2013年新COSO框架的颁布对监控要素进一步提出了原则性指导。针对中美内部控制监控之间的差异进行对比分析，提出了完善我国内部监控体系的相关建议。

关键词：监控；内控审计；内控评价；内控体系管理

中图分类号：F74 文献标识码：A 文章编号：16723198（2014）03008302

1992年，美国COSO委员会发布了内部控制——整体框架（下称“旧COSO框架”），提出内部控制由控环境、风险评估、控制活动、信息与沟通、监控五个相互影响的要素构成；2004年，COSO委员会发布了企业风险管理——整体框架（下称“风险管理框架”），对原来的五个要素进行深化和拓展，将其演变为八个要素，分别是内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监督；2013年，美国COSO委员会发布《2013年内部控制——整体框架》（下称“新COSO框架”）及其配套指南，在基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均与旧COSO框架相同，有变化的则是依据具体形势所做出的相关内控管理措施。

2008年，我国颁布的《企业内部控制基本规范》（下称“基本规范”）规定，内部监督是内部控制的五要素之一；2010年，我国颁布的《企业内部控制应用指引》（下称“应用指引”），阐述了与监控相关的内容，进一步补充和完善了基本规范。

1 内部控制监控的内涵比较

旧COSO框架认为，监控是内控系统所需要的，这是一个评估系统在一定时期内运行质量的过程。内部控制监控因素包括持续性监控行为、独立评估、报告缺陷等。监控过程通过持续性的监控行为、独立的评估或两者的结合来实现。持续性的监控行为包括日常管理以及监管行为，和其他人在履行职责时所发生的行为。独立评估的范围和频率主要是依赖于风险评估和持续性监控程序的有效性。内部控制中的报告缺陷应实行自下而上的模式进行报告，重要事项应报告高层管理人员和董事会。风险管理框架认为，监控是随时对框架中构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控行为发生在管理活动的正常进程中，个别评价的范围和频率主要取决于风险的重大性以及对风险的评估和持续监控程序的有效性。企业风险管理的缺陷应向上报告，重大问题报知高层管理人员和董事会。

新COSO框架认为，监督机制是为确保组织内控体系的正常运转而建立的。监督机制可以执行持续监督，也可以采取单独评价的方式。从组织层次上监督可划分为两类：业务层面以及组织层面。新COSO框架提出了17条核心内控原则，从而大幅度的增强了五要素的可操作性。其中，最后两条原则是针对监控要素提出的。

我国基本规范认为，内部监督是企业对内部控制建立和实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。监督情况应当形成包括揭示内部控制重要缺陷的书面报告，并应有流畅的报告渠道，从而确保发现的重要问题能够到达经理层和管理层等。基本规范和应用指引中都明确的提出应该定期对内部控制体系的有效性进行自我评价和第三方评价。

可以看出，中美都认为监督是内部控制的重要组成部分，内部监督是保证整个内部控制系统有效运行和完善的重要保证。美国COSO框架中监控的概念与我国基本规范中内部监督的概念是一致的。但是，美国COSO框架中指出监控是通过持续性行为、个别评价或二者的结合实现对内部控制进行监控，而我国将重点放在了内部控制年度自我评价以及第三方评价上，没有充分利用内部监控的持续性、动态性，从而不利于内部监控的有效性。另外，新COSO框架以原则为导向，关于监控提出了更先进的观点，如对管理层的内控相关工作进行持续监督、加强对处于运行状态的技术系统进行监控以及要监督外部服务提供商等。

美国COSO框架对内部监控方式的划分主要包括持续性监控活动、个别评价。我国内部控制方式的划分与美国COSO框架的划分几乎相同。我国内部规范中规定监控分为日常监督和专项监督。其中，日常监督实际上就是持续监控活动。而自我评价其实质也相当于个别评价。但是新COSO框架在内部控制建设与评价中，并不像原来那样严格要求以证据为基础，而是强调依赖于董事会、管理层和内审人员的判断力，相比于我国的基本规范及其配套指引，显得更加灵活。

2 中美内部控制监控有效性影响因素的比较

2.1 中美内控审计比较

旧COSO框架中指出，内部审计对监控起着很重要的作用，内审人员对于企业的内控系统有效性方面起着重要的评价、维护作用。风险管理框架指出，内部审计师在评价企业风险管理的有效性以及提出改进建议方面起着关键作用，在风险管理的监控中占据重要地位。在新COSO框架中的第16条原则中明确指出，监督机制在组织层次类别上可以划分为组织层面的独立监督（如内部审计），而监督机制是为确保组织内控体系的正常运转所必须建立的。这里进一步强调了内部审计在影响监督机制有效性上的作用。

我国基本规范中强调，企业应当根据基本规范及其配套指引，制定内部控制监督制度、明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限、规范内部监督的程序、方法和要求。内部审计机构对于内部控制监督的有效性起着重要作用。内部审计人员根据内部缺陷认定标准，检查出内部控制的缺陷后，应当依照企业制定的内部审计程序报告；在监控中发现内部控制存在重大缺陷，可直接向上级（董事会和审计委员会）报告。

中美都强调了内部审计在监控中的作用，是影响监控有效性的一个重要因素。但是，美国COSO框架没有对内部审计进行详尽的规定和扩展，只是在控制环境中的组织结构中强调了它的重要性。而我国的基本规范虽然是在借鉴美国COSO框架的基础上形成的，但是仍较多的结合了我国的国情，有较大的调整。我国基本规范及其配套指引都对内部审计进行了明确的规定，提出了内部审计机构（或经授权的其他监督机构）在内部监督中的职责权限、职能发挥要求、内部监督的程序和方法等。

2.2 中美内控评价比较

旧COSO框架中指出，个别评价是从某一角度对内部控制进行测试，它直接关注内部控制的系统有效性。内部控制评价的范围和频率受所控制风险的大小和内部控制在减小风险中的重要性程度的影响而不同。而整个内部控制系统的评价取决于主要战略及管理层的变更，重大收购或处置，经营活动或财务处理方法的重大变化。此外，其评价范围和频率也受每个内部控制要素和目标的影响。风险管理框架中指出，持续性监控程序和个别评价都能够在持续性监控的有效性方面发挥重要作用。其范围和频率的大小取决于风险的重大性和风险应对及管理风险过程中相关控制的重要性。对于风险管理整体风险的评价范围还与战略、经营、报告和合规中的何种目标类别密切相关。新COSO框架在内部控制建设与评价中，突出了董事会、管理层和内审人员的“判断力”这一因素。强调评价要发挥管理层自身的判断力作用，而不是和以前一样，完全依赖于证据。

我国基本规范中企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，并出具内部控制自我评价报告。企业应根据经营业务调整、经营环境变化、业务发展状况和实际风险水平等自行确定内部控制自我评价的方式、范围、程序和频率。内部监督是自我评价的基础，自我评价的实施保证了内部监督的有效性。应用指引中提到对于重要业务要注意的主要风险，对相关风险的评价也是内部控制自我评价的一个重要方面。

在评价制度的规定方面，中美并没有太大的区别，不同之处在于，新COSO框架的出台突出了个别评价的灵活性与效率性，不再是规范性的去实施内部控制、内部评价。扩大了董事会、管理层和内审人员的职责范围，设立评价机制对企业内部控制予以评价，使决策管理层通过评价结果进行判断，从而提升控制的效率。而我国基本规范以及指引并没有充分强调决策层的判断力作用，此外，我国基本规范对自我评价指标体系没有规定，没有一个系统、全面的指标体系。由于各个企业的评价指标存在差异，会使信息使用者难以接收到准确的信息，同时也影响了监控的有效性。

2.3 中美内控体系管理的比较

旧COSO框架中指出，企业内控系统的缺陷源自很多方面，包括企业的持续性监控行为，内控系统的独立评估，以及外部因素。风险管理框架中指出，所发现的企业管理缺陷通常应该报告给负责所涉及的职能或活动的人员以及该人员之上的至少一个层级的管理当局。新COSO框架中进一步指出监督所识别的内控缺陷，应有效传达至董事会或高级管理层，并由后者实施相应的改制，以及时弥补内控缺陷。

我国基本规范中指出，企业发现内部控制缺陷时，需要及时认定和报告缺陷。企业还应该根据内部控制缺陷的整改情况结合内部控制中发现的重大缺点，向相关负责人或负责单位追究责任。

相对于美国COSO框架，我国基本规范和配套指引均未能对重大缺陷的具体认定等问题提出明确的标准。我国部分企业尚不具备系统的内控缺陷识别及进行有效弥补的能力，而不能及时发现风险隐患进行改制。

3 完善我国内部控制监控的建议

综上所述，中美内部控制监控规定之间大体相同，略有差异。但由于我国内部监控的建设相对滞后，实施过程中仍然存在一些问题，学习美国COSO框架，特别是新COSO框架，对我国的内部控制体系的完善具有较大的指导意义。

（1）强化公司内部审计，增强内部审计部门的独立性。独立性原则是企业内部审计区别于其它部门的一项重要标志。企业应保证审计部门的有效独立性，使审计部门人员能及时实施监控并上报给董事会或高级管理层。

（2）贯彻落实以人为本的理念，充分发挥人的作用。在董事会及高级管理层方面，要加大其自主性，使董事会及高级管理层能够根据企业自身情况结合内部控制的特点，建设适合企业发展的内控模式。在内部控制监控评价中，董事会及高级管理层要能灵活的运用判断力，注重与效率的结合，根据自我评价结果来探索与企业发展相适应的内部控制制度。

（3）明确内控缺陷认定标准，细化缺陷认定细则。对于内部控制缺陷认定标准的规范，监管层采用规则式与原则式相结合的制定思路能够有效避免两种原则单独使用所带来的弊端。对于缺陷的严重程度分类，我国基本规范中是从一般、重要和重大三个角度进行划分，但在实际操作中很难把握这个量化的过程。要将定性与定量结合起来，利用关键点认定法和公司认定法等详细的制定规则，从而有效的提高内部控制监控质量，完善内部控制监控体系。

参考文献

[1]李玉环.关于内部控制中的内部监督[J].会计之友，2008，（12）.

[2]陈铃.关于我国内部控制规范建，设的思考[J].会计研究，2001，（8）.

[3]谢希德.COSO内控整体框架升级[N].财会信报，2013529（8）.

[4]（美）COSO制定发布，方红星、王宏（译）.企业风险管理——整合框架[M].大连：东北财经出版社，2005.

[5]财政部、证监会、审计署、银监会、保监会.企业内部控制基本规范[S].2008.

[6]董美霞，陈艳.中美内部控制监管机制比较研究[J].财经问题研究，2009，（4）.