摘要：内部控制是企业内部管理的一个重要组成部分，对企业的生存和发展具有重要的意义。coso报告的提出了内部控制整体框架理论给理论界、实务界以深刻的启示。文章基于coso报告的内部控制整体框架理论从控制环境、风险评估、控制活动、信息与沟通、监督5个方面对我国国有企业如何完善内部控制制度问题提出了相应的建议。
 
    关键词：coso；国有企业；内部控制；完善
 
    美国coso委员会（committee of sponsoring organizations of the tread-way commission）提出的coso报告将内部控制的理论和实践都向前推进了一大步，对我国企业完善内部控制有广泛而深刻的借鉴价值。
 
    一、coso报告内部框架综述
 
    进入20世纪90年代后，受信息产业和高风险行业迅速发展的影响，内部控制的研究也进入了一个新的阶段。1992年，美国的coso报告重新界定了内部控制的概念及其包含的要素，报告中对内部控制进行了定义，认为内部控制是指企业董事会、经理以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循三项目标而提供合理保证的过程。该报告首次把内部控制从原来的平面结构发展为立体框架模式，代表着国际上在内部控制方面的最高研究水平。
 
    1996年美国注册会计师协会在coso报告的基础上，将内部控制定义为“由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。”该准则将内部控制划分为五个要素，即控制环境、风险评估、控制活动、信息与沟通、监控。这是迄今对内部控制概念最完善的定义，也是对内部控制研究的又一次飞跃。
 
    （一）控制环境
 
    控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。它包括：员工的诚实性和道德观，如有无描述可接受的商业行为，利益冲突，道德行为标准的行为准则；员工的胜任能力，如雇员是否能胜任质量管理要求；董事会或审计委员会；管理理念和经营方式，如管理层对人为操纵或错误记录的态度；组织结构，如信息是否达到合适的管理层；授予权利和责任的方式，关键管理部门的职责是否有充分规定；人力资源政策和实施，如是否有关于雇佣、培训、提升和奖励雇员的政策等。
 
    控制环境决定了一个组织的气氛，影响该组织中人们的内控意识，因此，它是整个内部控制框架的基础。
 
    （二）风险评估
 
    风险评估是指管理层识别和分析对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素（如技术发展、竞争、经济变化）和内部因素（如员工素质、公司活动性质、信息系统处理的特点）进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。
 
    （三）控制活动
 
    控制活动是指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。控制活动贯穿于整个组织的各个层次和各个部门。如对经营的效率和效果进行业绩评价；为保证业务信息的真实可靠而进行的信息处理控制；为保证资产的安全完整而进行的实物控制；为减少错误或舞弊等而进行的职责分离等。
 
    （四）信息与沟通
 
    信息与沟通是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息，并交换这些信息。信息系统提供包括经营、财务等方面信息的报告，作为经营和控制企业的依据。信息系统不仅要处理企业内部的有关信息，还要提供与企业制定决策有关的外部信息。沟通包括使员工了解其职责，保持对财务报告的控制。
 
    （五）监控
 
    监控是指评价内部控制质量的进程，即对内部控制运行及改进活动的评价。包括内部审计和与单位外部人员、团体进行交流，以保证内部控制按设计执行并随环境的变化而改进。
 
    上述五个因素是一个相互联系、综合作用的整体，它们构成对处于变化中的环境做出动态反映的整体框架。内部控制框架的定义比内部控制结构的定义更加完善。从内容上看，内部控制框架在控制环境中增强了对全体员工的诚实、职业道德和胜任能力的要求，添加了风险评估这一新的控制要素，将会计系统改为信息与沟通以扩大单位信息系统方法和记录的内涵。