美国反虚假财务报告委员会下属的发起机构委员会(COSO)是由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理来提高公司财务报告的质量。COSO发布的研究成果在美国国内以及全球会计界、审计界和证券界都产生了深远影响。1992年,COSO在进行深入研究后发布了一份关于内部控制的纲领性文件,即《内部控制——整体框架》。该框架提出了内部控制的5要素:控制环境、风险评估、控制活动、信息和沟通、监控。
(1)控制环境:控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他4要素的基础。控制环境包括员工的诚信度、职业道德和才能,管理哲学和经营风格,权责分配方法、人事政策,董事会的经营重点和目标等。
(2)风险评估:风险评估是为了达到企业目标而对相关风险进行确认与分析,是形成内部控制活动的基础。每个企业都面临诸多来自内部和外部的有待评估的风险。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。
(3)控制活动:控制活动是指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。
(4)信息与沟通:信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种内部与外部信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和企业外部有关方面的沟通机制等。
(5)监控:监控是企业对其内部控制制度健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。内控系统的监控可以通过持续性的监控行为、独立评估或两者的结合来实现。
内部控制制度与企业的经营行为紧密相连,因基本的商业动机而存在。内部控制5要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环境自动作出反应。内部控制5要素之间的关系如下图所示:
