学海泛舟新版COSO内部控制框架的运用

学海泛⾈新版COSO内部控制框架的运⽤

编者按：

为提⾼会计领军学员集训学习效果，⿎励学员深度思考和经验总结，根据会计领军培养⼤纲，学习期间学员需要完成集

训⼩结、研讨报告、读书笔记等作业。国会⼤学堂着⼒打造领军⼈分享⼼得体会与学习成果的平台，现择优推送会计领

军学员作业，以飨读者。

⼀、2013年COSO更新版内部控制框架指导原则对该框架运⽤上的实质意义

（⼀）2013年COSO内部控制框架更新的背景

美国反虚假财务报告全国委员会(Treadway)的发起组织委员会(COSO)1992年9⽉发布了《内部控制——整合框架》，

旨在帮助公司或组织制定和评价其经营、合规和财务报告⽬标的内部控制体系。安然、世通等丑闻爆发后，为了保护投

资者利益，美国于2002年通过萨班斯—奥克斯利法案(SOX)，要求上市公司执⾏财务报告的内部控制，由此内部控制引

起了世界的⼴泛关注，逐渐成为世界上使⽤最⼴泛的内部控制框架，中国也于2008年颁布了中国版SOX法案——《企

业内部控制基本规范》。

从《内部控制——整合框架》颁布到2013年近20年的时间，“组织的业务和经营环境发⽣了巨⼤的变化，如互联⽹的⼴

泛使⽤、科学技术的进步、商业模式的改变以及全球⼀体化等。与此同时，利益相关者更多地参与治理过程，并且寻求

更透明和更负责的内控体系来⽀持决策和组织的治理”，这些变化都要求《内部控制——整合框架》需要适应环境进⾏

调整。⾦融危机爆发以后，股东和其他主要利益相关者越来越关注风险以及如何控制风险，因为他们认为不充分的风险

管理是导致⾦融危机的主要原因，这进⼀步加速了COSO对《内部控制——整合框架》的修订步伐。

（⼆）2013年更新版COSO内部控制框架与1992年版内部控制框架⽐较

1、两者相同之处

两者在以下三个⽅⾯没有变化：⼀是内部控制的核⼼定义基本保持不变；⼆是内部控制五要素基本保持不变，都包括控

制环境、风险评估、控制活动、信息与沟通以及监控活动等五⼤要素；三是评估内控有效性的原则与⽅法基本保持不

变。

2、两者不同之处

2013年新框架与1992年旧框架在以下两个⽅⾯有所变化。第⼀，内部控制⽬标进⼀步扩展。与旧框架相⽐，COSO新

框架扩⼤了报告⽬标范围，将原有的财务报告⽬标扩展到⾮财务报告⽬标。第⼆，COSO 新框架最重⼤的变化，就是明

确列出了17项原则。所有原则均适⽤于运营、报告及合规三类控制⽬标，从⽽使新框架更加以原则为导向。为更精确地

理解每项原则，新框架还提供了79个关注点，进⼀步充实了内部控制体系的内容，为企业实施新框架提供了更多的⽀持

与指导。

三、2013年COSO更新版内部控制框架指导原则对该框架运⽤上的实质意义

2013年COSO更新版框架指导原则对该框架的运⽤⽅⾯有重要的意义。表现为：

第⼀，通过评估COSO新框架的主要变化，以及这些变化对于公司内部控制体系建设及评价的影响。按新框架下的“17

项原则+79个关注点”开展⼯作，可以全⾯深⼊对现有控制⼿册中的流程或控制进⾏补充与完善，弥补旧框架下有关内容

的不⾜或簿弱环节，增加风险防控能⼒。

第⼆，便于利于新版框架确定的原则与关注点，完善公司的内控⾃我评价的⽅法和流程，提升有关⾃我评价的技术与⽅

法。

第三，有利于运⽤新框架的原则与关注点对公司进⾏整体评估，从⽽实现公司的战略⽬标、合规⽬标和财务⽬标。

第四，根据新框架的原则编制并形成相应的⽂档资料，并就⽅法、流程中的重⼤变化与审计委员会进⾏必要的沟通，有

利于公司⽬标的实现，也有利于监督⼯作的开展。

⼆、中国内部控制框架与COSO更新版内部控制框架的⽐较

⼆、中国内部控制框架与COSO更新版内部控制框架的⽐较

（⼀）中国内部控制框架

2008年6⽉28⽇，国家财政部、审计署、证监会、银监会、保监会等五部委联合发布了我国第⼀部《企业内部控制基本

规范》（财会【2008】7号⽂），并于2009年7⽉1⽇起⾸先在上市公司实施。它被称为中国版的萨班斯—奥克斯利法案

(SOX)。五部委⼜于2010年4⽉26⽇联合发布《企业内部控制配套指引》，包括18项《企业内部控制应⽤指引》，以及

《企业内部控制评价指引》和《企业内部控制审计指引》（财会【2010】11号⽂）。上述“⼀个基本规范和三个指引”构

成了中国内部控制的框架。

（⼆）中国内部控制框架与2013年更新版内部控制框架的⽐较

1、两者相同之处

（1）对内部控制的认识基本相同

我国《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员⼯实施的、旨在实现控制⽬

标的过程。COSO报告认为，内部控制是由董事会、管理层和员⼯共同设计并实施的，旨在为实现组织⽬标提供合理保

证的过程。COSO报告认为内部控制是⼀过程，是实现⽬标的⼿段，是与管理过程融合在⼀起的，是⼀个不断发现和解

决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的⼀种状态。

（2）内部控制的构成要素形式上相同

我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架，与COSO报告的五个要素相同，包括控制环

境、风险评估、控制活动、信息和沟通及监督。

2、两者不同之处

（1）内部控制的⽬标不同

我国《企业内部控制基本规范》指出内部控制旨在实现以下五类⽬标：企业战略；经营的效率和效果；财务报告及管理

信息的真实、完整；资产安全；遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了COSO报告的⽬标，同

时考虑到我国国有⼤型企业⽐重⼤、国有资产流失严重的国情，增加了资产安全⽬标，这是我国内部控制规范对COSO

报告的补充。

新版COSO报告指出，内部控制是为实现以下三类⽬标提供合理保证：运营⽬标——组织运营的效果和效率，包括运营

和财务绩效⽬标，资产安全不受损失；报告⽬标——内、外部的财务和⾮财务报告的可靠性、及时性、透明度，以及其

他监管者、公认的标准制定机构和组织政策所要求的⽅⾯；遵循⽬标——遵守对组织适⽤的法律法规。

（2）内部控制的责任主体不同

我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进⾏规定：事会负责内部控制的建⽴健全和有

效实施；监事会对董事会建⽴与实施内部控制进⾏监督；经理层负责组织领导企业内部控制的⽇常运⾏。

在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性

并对外发布内部控制报告。

（3）原则与关注点不同

我国的《企业内部控制基本规范》规定了五项原则，它是企业建⽴与实施内部控制应当遵循的基本准绳，它包括全⾯性

原则、重要性原则、制衡性原则、适应性原则和成本效益原则。我国的《企业内部控制基本规范》没有明确各原则对应

的关注点。

新版COSO中明确列出了17项原则。所有原则均适⽤于运营、报告及合规三类控制⽬标，从⽽使新框架更加以原则为导

向。为更精确地理解每项原则，新框架还提供了79个关注点，进⼀步充实了内部控制体系的内容。

（4）内部控制规范法律地位不同

（4）内部控制规范法律地位不同

我国《企业内部控制基本规范》及配套指引是由财政部等五部委联合发起成⽴的企业内部控制标准委员会研究制定，制

定机制属于政府主导型，它具有很强的权威性和公信⼒，能够协调各⽅利益，较少地受到有关利益⽅的影响，为建⽴健

全我国企业内部控制标准体系提供政策指导和咨询服务。我国《企业内部控制基本规范》及配套指引由财政部以⽂件形

式发布，是部门规范性⽂件，具有法律效⼒，但法律的层次不⾼。

新版COSO框架是由美国COSO委员会这⼀民间组织制定，属民间主导型。由于美国市场经济发达，市场化程度⾼，民

间专业团体影响⼒⼤，由于参与基础⾮常⼴泛，其制定的法规也很容易取得⼴泛认可。同时也得到了美国法律的认可，

具有较⾼的法律效⼒。

三、COSO内部控制框架及其指导原则的应⽤

中国电信股份有限公司为中国第⼆⼤电信运营商，主要在中国提供固定及移动通信服务、互联⽹接⼊服务、信息服务，

以及其他增值电信服务。截⽌2017年底，公司拥有约2.50亿移动⽤户、约1.34亿有线宽带⽤户及约1.22亿固定电话⽤

户。公司发⾏的H股及美国存托股份分别在⾹港联合交易所有限公司（0728）和纽约证券交易所挂牌上市（CHA.N）。

为了满⾜SEC对在美国上市公司实施《萨班斯—奥克斯利法案(SOX)》的要求，中国电信股份有限公司成⽴了内部控制

建设团队和内控评估评估团队开展适应《萨班斯—奥克斯利法案(SOX)》五要素要求的内部控制建设和评估⼯作，公司

分别印发了《内部控制⼿册及权限列表》和《内部控制⾃我评价⼿册》等有关制度。

（⼀）控制环境

公司从企业价值取向、治理结构、管理哲学和经营风格、组织结构、权责划分等⽅⾯对公司的控制环境进⾏控制并颁布

了相关的规章制度。

公司根据国家有关法律法规和企业章程，建⽴规范的公司治理结构和议事规则，明确决策、执⾏、监督等⽅⾯的职责权

限，形成科学有效的职责分⼯和制衡机制。股东⼤会享有法律法规和企业章程规定的合法权利，依法⾏使企业经营⽅

针、筹资、投资、利润分配等重⼤事项的表决权。董事会对股东⼤会负责，依法⾏使企业的经营决策权。监事会对股东

⼤会负责，监督企业董事、经理和其他⾼级管理⼈员依法履⾏职责。管理层负责组织实施股东⼤会、董事会决议事项，

主持企业的⽣产经营管理⼯作。

（⼆）风险评估

公司的风险评估程序能够确认公司层次和经营活动层次的相关风险并考虑其影响。风险评估程序考虑了外部和内部影响

⽬标实现的因素，全⾯、系统、持续地收集相关信息，结合实际情况，及时进⾏风险评估。公司开展了全⾯风险管理⼯

作，并发布了《关于推进全⾯风险管理⼯作的指导意见》，对开展全⾯风险管理⼯作的⽬标、责任体系和⼯作的政策和

程序进⾏了说明。

公司从识别内外部风险、确定风险承受度、评估风险、风险防范、风险分析等⼏个层⾯开展风险管理⼯作。

（三）控制活动

公司以风险为导向设计控制活动，综合考量监管部门的要求、管理和经营活动的需要、风险评估的结果以及内外部审计

的发现等因素，通过修订、更新和完善内控⼿册，确保内控⼿册防范的风险与风险评估的结果相⼀致，且所有风险均有

恰当的控制活动予以对应。

公司将“内部控制业务流程”分16个⼤类共46个业务流程，对公司主要的内部控制业务流程进⾏了详细规定，合理保证企

业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提⾼经营效率和效果，促进企业实现发展战略。

（四）信息和沟通

公司通过信息系统确认、收集、处理和报告信息。相关信息包括从外部获取的⾏业、经济和监管信息以及内部产⽣的信

息。公司根据整体战略开发或修改信息系统，从⽽促进公司层次⽬标和活动层次⽬标的实现。公司印发了《企业信息化

战略规划（ITSP）》，按照“统⼀规划，分步实施，数据共享，应⽤导向”的⽅针，建设⼀个先进的信息化体系，全⾯⽀

撑企业的运营和管理。

在信息的处理中，沟通是必要的环节。公司针对不同的沟通⽬标群体，建⽴了对应的沟通机制，并建⽴了相关的制度和

实施细则，确保公司内部的上⾏、下达和同级传递以及公司与外部的沟通，包括与外部投资者、债权⼈、客户、供应

商、中介机构和监管部门等有关⽅⾯之间的沟通顺畅。

（五）监督

公司通过制定《内部控制评价办法》、《内部控制⾃我评估操作指南》和《内部控制独⽴评估操作⼿册》等规定，保证

了评估程序的规范性。

公司内控⾃我评估采取⾃上⽽下的⽅式，加强了对控制环境和与重⼤会计报表科⽬对应控制点的评估⼒度；内控⾃我评

估坚持风险导向原则，在全⾯评估的基础上，重点评估通过风险分析⽽确定的关键控制领域和控制点。

公司上下都⾮常重视内控缺陷整改⼯作。针对⾃我评估、独⽴评估和内控审计⼯作中发现的缺陷，公司督促各单位落实