COSO-ERM框架下制造類中小企業(yè)內(nèi)部控制優(yōu)化研究
——以GW公司為例

張春想 程四明

(安徽商貿(mào)職業(yè)技術(shù)學(xué)院，安徽 蕪湖 241002)

1 COSO-ERM框架的變革

上世紀(jì)八十年代財(cái)務(wù)報(bào)告虛假丑聞?lì)l繁出現(xiàn)，“反虛假財(cái)務(wù)報(bào)告委員會(huì)”經(jīng)過(guò)調(diào)查發(fā)現(xiàn)很大一部分財(cái)務(wù)欺詐源于企業(yè)內(nèi)部控制失誤。因此，成立了COSO委員會(huì)，希望能研究和制定出權(quán)威的內(nèi)部控制指導(dǎo)方針，為全球內(nèi)部控制的發(fā)展提出指導(dǎo)意見(jiàn)。在這樣一個(gè)大背景下，COSO委員會(huì)于1992年發(fā)布了首個(gè)《內(nèi)部控制——整合性框架》，但是由于其視野過(guò)于局限于財(cái)務(wù)報(bào)告，缺乏風(fēng)險(xiǎn)意識(shí)及全局意識(shí)，因此，2004年COSO委員會(huì)重新頒布了《企業(yè)風(fēng)險(xiǎn)管理——整合框架》，該框架在原整合性框架基礎(chǔ)上進(jìn)行了修訂，突出了全面風(fēng)險(xiǎn)管理概念，強(qiáng)調(diào)了風(fēng)險(xiǎn)管理在企業(yè)經(jīng)營(yíng)管理活動(dòng)全過(guò)程中的重要性。為了應(yīng)對(duì)企業(yè)愈加復(fù)雜的經(jīng)營(yíng)環(huán)境，2017年COSO委員會(huì)正式發(fā)布了最新版COSO-ERM(2017)框架，該框架明確劃分了企業(yè)風(fēng)險(xiǎn)管理及內(nèi)部控制的界限，闡明了企業(yè)風(fēng)險(xiǎn)管理與企業(yè)價(jià)值的關(guān)系，對(duì)企業(yè)風(fēng)險(xiǎn)管理與內(nèi)部控制活動(dòng)提供了有力的理論及實(shí)踐指導(dǎo)。

2 COSO-ERM(2017)框架的變化及主要特點(diǎn)

2.1 COSO-ERM(2017)框架的變化

2.1.1 框架及展現(xiàn)方式的變化

首先，2017年新COSO-ERM框架引入了企業(yè)價(jià)值創(chuàng)造模型，由原來(lái)的4目標(biāo)4層級(jí)8要素立方體框架變?yōu)楝F(xiàn)在的貫穿企業(yè)價(jià)值創(chuàng)造全過(guò)程的5要素20原則螺旋體式框架(表1)。

表1 新舊COSO-ERM框架要素變化

其次，新COSO-ERM框架在視覺(jué)上發(fā)生了很大變化，模型的呈現(xiàn)方式由原來(lái)的立方體模型變?yōu)镈NA螺旋體式模型。

2.1.2 主體適用性更為廣泛

2017年新COSO-ERM框架在正文部分的描述中故意回避了“企業(yè)”的說(shuō)法，可以看出COSO委員會(huì)期望的主體適用性已經(jīng)從企業(yè)面向了各類型、各種規(guī)模的主體，從理論上來(lái)看，任何一個(gè)設(shè)定了所要期望達(dá)到的目標(biāo)且有明確的愿景、使命和核心價(jià)值觀地主體，都可以適用2017年新COSO-ERM框架。

2.2 COSO-ERM(2017)框架的主要特點(diǎn)

2.2.1 突出了企業(yè)文化的重要作用

2017年新COSO-ERM框架將組織治理與組織文化作為第一項(xiàng)關(guān)鍵要素，其中就包括了文化這個(gè)關(guān)鍵詞。他指出企業(yè)的組織文化作為企業(yè)的一些軟要素，能夠影響企業(yè)員工的思維及行為表現(xiàn)，能夠影響企業(yè)的風(fēng)險(xiǎn)管理活動(dòng)，對(duì)企業(yè)的風(fēng)險(xiǎn)識(shí)別，風(fēng)險(xiǎn)應(yīng)對(duì)、風(fēng)險(xiǎn)管理以及風(fēng)險(xiǎn)控制等方面具有廣泛影響。

2.2.2 明確了內(nèi)部控制與風(fēng)險(xiǎn)管理的界限

很長(zhǎng)時(shí)間以來(lái)，國(guó)內(nèi)外學(xué)者及企業(yè)對(duì)如何區(qū)分風(fēng)險(xiǎn)管理及內(nèi)部控制都存在著爭(zhēng)議，COSO-ERM(2017)框架的頒布為人們指明了方向，他明確提出了公司治理、風(fēng)險(xiǎn)管理、內(nèi)部控制三者之間的關(guān)系，如圖1所示。

圖1 公司治理、風(fēng)險(xiǎn)管理、內(nèi)部控制關(guān)系圖

2.3 強(qiáng)調(diào)風(fēng)險(xiǎn)對(duì)價(jià)值的有力影響

2017年新發(fā)布的COSO-ERM框架重點(diǎn)強(qiáng)調(diào)了基于風(fēng)險(xiǎn)導(dǎo)向的管理理念，改變了以前過(guò)于絕對(duì)的將防止對(duì)企業(yè)價(jià)值有侵蝕的事件的發(fā)生和降低風(fēng)險(xiǎn)水平作為工作重點(diǎn)的理念，強(qiáng)調(diào)了企業(yè)風(fēng)險(xiǎn)管理在企業(yè)經(jīng)營(yíng)活動(dòng)各環(huán)節(jié)中的地位及作用，引導(dǎo)人們關(guān)注企業(yè)風(fēng)險(xiǎn)管理的重要性。將企業(yè)風(fēng)險(xiǎn)管理與企業(yè)管理業(yè)務(wù)和企業(yè)核心價(jià)值結(jié)合起來(lái)，強(qiáng)調(diào)其在企業(yè)價(jià)值創(chuàng)造、企業(yè)價(jià)值保持和企業(yè)價(jià)值實(shí)現(xiàn)中不可或缺的作用，對(duì)企業(yè)價(jià)值創(chuàng)造和增值起到了良好的促進(jìn)作業(yè)。

3 COSO-ERM新框架下制造類中小企業(yè)內(nèi)部控制存在的問(wèn)題及原因分析——以GW公司為例

3.1 GW公司基本情況介紹

GW科技有限責(zé)任公司(以下簡(jiǎn)稱GW公司)于2019年6月成立，注冊(cè)資本1000萬(wàn)元?，F(xiàn)有職工60余人，主要致力于包括計(jì)算機(jī)軟硬件、電子產(chǎn)品、通訊設(shè)備、一類醫(yī)療器械、儀器儀表的技術(shù)開(kāi)發(fā)、轉(zhuǎn)讓、咨詢服務(wù)。公司成立以來(lái)，經(jīng)營(yíng)良好，規(guī)模不斷擴(kuò)大，業(yè)務(wù)拓展到開(kāi)發(fā)銷售自研產(chǎn)品，電子計(jì)算機(jī)及配件、電子產(chǎn)品的銷售，商戶收單項(xiàng)目的技術(shù)服務(wù)，勞務(wù)服務(wù)及維護(hù)服務(wù)，計(jì)算機(jī)軟硬件租賃服務(wù)公司發(fā)展勢(shì)頭良好，整體處于上升趨勢(shì)。

雖然GW公司發(fā)展良好，但是也存在諸如內(nèi)部控制建設(shè)缺陷等不少問(wèn)題。盡管不同的企業(yè)內(nèi)控制設(shè)計(jì)的思路和方法存在很多相同之處，但是GW公司內(nèi)部控制制度設(shè)計(jì)照搬照抄其他公司現(xiàn)有的制度，嚴(yán)重脫離企業(yè)實(shí)際，內(nèi)部控制制度框架不完整，且與自己公司的企業(yè)文化、公司治理等情況存在矛盾，其可行性存在很大的問(wèn)題。GW公司內(nèi)部控制流于表面，且執(zhí)行過(guò)程缺乏監(jiān)督，沒(méi)有合理有效地實(shí)施，使得企業(yè)存在較大的風(fēng)險(xiǎn)隱患。

3.2 GW公司內(nèi)部控制存在的主要問(wèn)題

3.2.1 GW公司員工缺乏信息安全意識(shí)

近年來(lái)，由于病毒、木馬、惡意軟件等各類互聯(lián)網(wǎng)犯罪日益猖獗，信息安全事件“炮響”無(wú)數(shù)，商業(yè)泄密案“觸目驚心”，警鐘不斷，同時(shí)客戶對(duì)數(shù)據(jù)安全保護(hù)的要求也日益增強(qiáng)，越來(lái)越多的公司開(kāi)始重視信息安全問(wèn)題。對(duì)于主營(yíng)電子信息類產(chǎn)品公司而言，信息安全管理意義重大。目前很多企業(yè)對(duì)潛在信息安全風(fēng)險(xiǎn)缺乏必要的警覺(jué)性，更沒(méi)有建立相關(guān)的信息安全風(fēng)險(xiǎn)應(yīng)急預(yù)案，使得企業(yè)在遭遇信息安全問(wèn)題時(shí)常常會(huì)措手不及。GW公司信息安全意識(shí)缺乏，企業(yè)沒(méi)有足夠重視員工安全意識(shí)培養(yǎng)工作，新入職員工并未得到充分的IT安全培訓(xùn)便開(kāi)始訪問(wèn)機(jī)密數(shù)據(jù)，企業(yè)的安全意識(shí)宣傳項(xiàng)目設(shè)計(jì)的不夠好，很多時(shí)候，企業(yè)為了應(yīng)付合規(guī)檢查，安全意識(shí)宣傳工作往往搞成了類似研討會(huì)的形式。同時(shí)GW公司信息安全意識(shí)相對(duì)薄弱，對(duì)公司員工信息安全方面教育缺乏，一旦公司面對(duì)網(wǎng)絡(luò)攻擊，可能會(huì)受到嚴(yán)重的打擊，這要是公司長(zhǎng)期發(fā)展將面臨的最大的風(fēng)險(xiǎn)。

3.2.2 GW公司內(nèi)部各部門之間信息溝通不暢

有效的信息溝通是企業(yè)內(nèi)部控制有效實(shí)施的重要保證。一個(gè)企業(yè)所接收和傳播的信息是包羅萬(wàn)象，包括供應(yīng)商信息、客戶信息、財(cái)務(wù)信息以及行業(yè)信息等，信息的準(zhǔn)確度和能否及時(shí)接收會(huì)影響企業(yè)對(duì)于決策正確性的判斷，在紛繁復(fù)雜的信息流中如何有效地對(duì)信息進(jìn)行分類、整理、傳遞和交流，對(duì)組織實(shí)現(xiàn)戰(zhàn)略和商業(yè)目標(biāo)起著至關(guān)重要的作用。GW公司生產(chǎn)、研發(fā)、業(yè)務(wù)以及財(cái)務(wù)等各部門之間獨(dú)立運(yùn)行，沒(méi)有建設(shè)企業(yè)信息交流平臺(tái)，內(nèi)部管理信息數(shù)據(jù)無(wú)法共享和交換，各個(gè)部門的信息形成了信息孤島，使得公司信息傳遞的速度受到了嚴(yán)重影響，嚴(yán)重影響了企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

3.2.3 GW公司缺乏風(fēng)險(xiǎn)管理意識(shí)

公司風(fēng)險(xiǎn)管理尚未有針對(duì)性的監(jiān)督機(jī)制，沒(méi)有設(shè)立獨(dú)立的風(fēng)險(xiǎn)評(píng)估部門，公司現(xiàn)有的風(fēng)險(xiǎn)管理是不成體系的，甚至可以說(shuō)是一片空白。并且GW公司內(nèi)部審計(jì)形同虛設(shè)，主要任務(wù)是檢查財(cái)務(wù)賬目是否準(zhǔn)確、有無(wú)舞弊，對(duì)潛在風(fēng)險(xiǎn)缺乏必要的警覺(jué)性以及相關(guān)的風(fēng)險(xiǎn)研究，更沒(méi)有建立相關(guān)的風(fēng)險(xiǎn)應(yīng)急預(yù)案，使得企業(yè)在遭遇風(fēng)險(xiǎn)時(shí)常常會(huì)措手不及。

4 COSO-ERM新框架下GW公司內(nèi)部控制體系調(diào)整

4.1 強(qiáng)化信息安全管理，提升員工信息安全意識(shí)

提高員工信息安全意識(shí)是GW公司內(nèi)部控制體系調(diào)整的首要大事，據(jù)統(tǒng)計(jì)，一般企業(yè)數(shù)據(jù)泄露主要原因是由于企業(yè)內(nèi)部員工有意或無(wú)意造成的泄密，占總樣本數(shù)據(jù)達(dá)到百分之八十，另外百分之二十才是由于外部原因造成的。而操作不規(guī)范是企業(yè)內(nèi)部員工造成數(shù)據(jù)泄露的主要原因，甚至企業(yè)的一個(gè)保潔員錯(cuò)誤的操作都有可能對(duì)企業(yè)的信息安全造成威脅。因此，可以看出阻礙企業(yè)發(fā)展的最大障礙是企業(yè)員工信息安全意識(shí)薄弱。所以，強(qiáng)化企業(yè)信息安全管理，提升企業(yè)員工信息安全意識(shí)至關(guān)重要，一般可以從以下幾個(gè)方面入手：

(1)加強(qiáng)企業(yè)信息安全文化意識(shí)培養(yǎng)。

首先，應(yīng)加強(qiáng)企業(yè)管理人員信息安全文化意識(shí)，作為企業(yè)的風(fēng)向標(biāo)，管理層的重視向企業(yè)各部門傳遞重視信息安全文化正能量。其次，企業(yè)可以借助動(dòng)畫視頻、屏幕保護(hù)等各種新穎的形式加強(qiáng)企業(yè)信息安全文化的宣傳，在企業(yè)內(nèi)部形成一種信息安全文化的良好氛圍，將企業(yè)信息安全文化深入人心，打造企業(yè)堅(jiān)實(shí)的人員防火墻，確保企業(yè)信息安全平穩(wěn)運(yùn)行。

(2)改變信息安全培訓(xùn)頻率及方法。

打破原有定期年初培訓(xùn)制度，將員工信息安全培訓(xùn)安排在年初、月初、季初，多次少量培訓(xùn)，并在每次培訓(xùn)中引入不同方式及內(nèi)容，嘗試使用小視頻、小動(dòng)畫、安全提示等多種方法，確保員工了解如何處理和銷毀機(jī)密信息。在信息安全培訓(xùn)的同時(shí)，進(jìn)行安全制度考核，激勵(lì)員工積極關(guān)注企業(yè)數(shù)據(jù)安全。

(3)制定員工規(guī)范操作計(jì)算機(jī)的詳細(xì)規(guī)定，將信息安全教育作為員工入職培訓(xùn)的必需項(xiàng)目。

在入職開(kāi)始培養(yǎng)網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)新員工安全意識(shí)培訓(xùn)，從員工第一天到公司開(kāi)始進(jìn)行安全培訓(xùn)，建立正確的安全思維方式，這樣的培訓(xùn)并且是持續(xù)性的。

最后，信息安全不僅是企業(yè)發(fā)展的關(guān)鍵，更是需要在每個(gè)員工在心中培養(yǎng)的意識(shí)，只有公司健康發(fā)展，員工才能夠有更好的平臺(tái)。

4.2 提高信息溝通傳遞效率，建立有效地信息溝通渠道

及時(shí)有效的溝通是有效獲得企業(yè)運(yùn)行情況、防范風(fēng)險(xiǎn)以及實(shí)施內(nèi)部控制的重要途徑方法。首先，公司應(yīng)當(dāng)建立全方位覆蓋的信息系統(tǒng)，利用網(wǎng)絡(luò)技術(shù)，在企業(yè)內(nèi)部建立有效的信息溝通渠道，加強(qiáng)公司各部門之間信息傳遞與交流，及時(shí)分享內(nèi)外部的消息，及時(shí)、精準(zhǔn)的了解市場(chǎng)、政策發(fā)展的最新動(dòng)向，便于企業(yè)對(duì)這風(fēng)險(xiǎn)數(shù)據(jù)及時(shí)收集、篩選和處理。其次，公司應(yīng)當(dāng)提高各部門間信息交流水平和質(zhì)量，增強(qiáng)信息的針對(duì)性，保證信息的真實(shí)性，提高信息的時(shí)效性，挖掘信息的深度，為公司可持續(xù)的良性發(fā)展提供信息保障。

4.3 建立風(fēng)險(xiǎn)管理三道防線

建立完善的風(fēng)險(xiǎn)評(píng)估機(jī)制是增強(qiáng)中小企業(yè)內(nèi)部控制管理能力的重要方面。根據(jù)COSO-ERM(2017)要求，為了更好地開(kāi)展風(fēng)險(xiǎn)管理工作，應(yīng)當(dāng)在企業(yè)內(nèi)建立“三道防線”，以此機(jī)制來(lái)明確各相關(guān)部門的風(fēng)險(xiǎn)管理職責(zé)。GW公司可設(shè)置如下三道防線：

第一道防線是指風(fēng)險(xiǎn)所有方，即企業(yè)所有的核心業(yè)務(wù)部門。各個(gè)核心業(yè)務(wù)部門一線員工一般最先接觸到風(fēng)險(xiǎn)源，有責(zé)任做到及時(shí)識(shí)別風(fēng)險(xiǎn)并上報(bào)并作出初步風(fēng)險(xiǎn)管理，是事前風(fēng)險(xiǎn)控制的關(guān)鍵所在。

第二道防線是指風(fēng)險(xiǎn)管理，即企業(yè)的支持職能部門。企業(yè)的支持職能部門是企業(yè)始終風(fēng)險(xiǎn)控制的關(guān)鍵所在。

第三道防線是指風(fēng)險(xiǎn)保證，及企業(yè)的內(nèi)部審計(jì)部門。內(nèi)部審計(jì)部門主要負(fù)責(zé)對(duì)前兩道防線的工作進(jìn)行事后稽核、審計(jì)和監(jiān)察等，他是企業(yè)事后風(fēng)險(xiǎn)控制的關(guān)鍵所在，同時(shí)也是企業(yè)內(nèi)部控制的最后一道防線。

與COSO-ERM(2017)新框架相結(jié)合是未來(lái)企業(yè)內(nèi)部控制建設(shè)發(fā)展的新方向。

COSO-ERM(2017)新框架提出了企業(yè)不但要適應(yīng)目前復(fù)雜多變的商業(yè)環(huán)境，并且要在此環(huán)境中健康發(fā)展，就需要不斷更新自己的管理模式，中小企業(yè)要在日趨復(fù)雜的商業(yè)環(huán)境中求得生存與發(fā)展，就必須建立與新框架相適應(yīng)的內(nèi)部控制體系。COSO-ERM(2017)新框架一方面豐富了內(nèi)部控制制度框架，另一方面也提出了符合企業(yè)目標(biāo)的價(jià)值最大化的實(shí)現(xiàn)方式，他不但能夠豐富內(nèi)部控制的相關(guān)理論，也為企業(yè)的發(fā)展提供了理論指導(dǎo)。