基于COSO-ERM框架的公司內(nèi)部控制有效性評價分析

內(nèi)部控制是公司治理的重要組成部分，對公司實現(xiàn)戰(zhàn)略目標(biāo)、保障資產(chǎn)安全、提高運營效率具有重要意義。近年來，隨著經(jīng)濟(jì)環(huán)境的不斷變化，公司面臨的風(fēng)險也日益增多。在這種情況下，傳統(tǒng)的內(nèi)部控制模式已難以滿足公司發(fā)展的需要。因此，加強內(nèi)部控制質(zhì)量管理，提升內(nèi)部控制的有效性已成為公司發(fā)展的必然選擇。本文分析了當(dāng)前公司內(nèi)部控制質(zhì)量管理存在的問題，并構(gòu)建了基于COSO-ERM框架的內(nèi)部控制質(zhì)量管理體系。該體系以風(fēng)險管理為導(dǎo)向，強調(diào)內(nèi)部控制的系統(tǒng)化和過程化管理，并通過PDCA循環(huán)（計劃、執(zhí)行、檢查、行動）進(jìn)行持續(xù)改進(jìn)，以提升公司內(nèi)部控制的有效性。

一、當(dāng)前公司內(nèi)部控制質(zhì)量管理存在的問題

（一）內(nèi)控工作未圍繞內(nèi)控目標(biāo)開展

在實施內(nèi)部控制的過程中，部分公司的內(nèi)部控制目標(biāo)不明確，其過于關(guān)注監(jiān)管要求，而忽略了內(nèi)部控制的根本目標(biāo)。內(nèi)部控制不僅僅是為了滿足外部監(jiān)管需求，更重要的是保障公司的長期利益，幫助公司實現(xiàn)可持續(xù)發(fā)展目標(biāo)。然而，部分公司并未真正將內(nèi)部控制與自身戰(zhàn)略目標(biāo)及風(fēng)險管理相結(jié)合，缺乏明確的目標(biāo)導(dǎo)向，導(dǎo)致內(nèi)部控制無法充分發(fā)揮作用。

（二）缺乏系統(tǒng)化管理

公司缺乏系統(tǒng)化管理的主要表現(xiàn)是內(nèi)部控制制度不完善，各個部門之間缺乏有效的溝通和協(xié)作。由于缺乏系統(tǒng)化管理，部分公司的內(nèi)部控制體系呈現(xiàn)出碎片化的特點，且存在漏洞，導(dǎo)致內(nèi)部控制效果不佳。另外，部分公司各部門之間缺乏溝通和協(xié)作，導(dǎo)致出現(xiàn)重復(fù)勞動、資源浪費等問題，有些部門甚至存在工作盲點和遺漏事項，使公司面臨更多的風(fēng)險和挑戰(zhàn)。

（三）過程管理不足

部分公司過于關(guān)注事前控制，而忽視了事中和事后的監(jiān)督及檢查，這不僅會影響內(nèi)部控制效果，還可能使公司面臨更多潛在的風(fēng)險。同時，過度關(guān)注事前控制意味著公司可能只專注于制定和執(zhí)行內(nèi)部控制措施，而沒有認(rèn)識到對內(nèi)部控制效果進(jìn)行監(jiān)督和反饋的重要性。這種做法使得公司難以及時發(fā)現(xiàn)潛在的問題或漏洞，從而導(dǎo)致內(nèi)部控制效果不佳。

（四）內(nèi)部控制人員素質(zhì)參差不齊

當(dāng)前，部分公司的內(nèi)部控制人員缺乏必要的專業(yè)知識和技能，無法勝任復(fù)雜的內(nèi)部控制工作，從而影響內(nèi)部控制的質(zhì)量和有效性。這一問題的產(chǎn)生原因是部分公司未對內(nèi)部控制人員進(jìn)行專業(yè)培訓(xùn)，或在選拔內(nèi)部控制人員時缺乏嚴(yán)格的選拔標(biāo)準(zhǔn)和程序。當(dāng)內(nèi)部控制人員專業(yè)素質(zhì)不高時，他們可能無法充分理解內(nèi)部控制的要求和目標(biāo)，難以有效識別和應(yīng)對潛在風(fēng)險。這不僅會降低內(nèi)部控制工作的執(zhí)行效率，還可能影響公司的運營效率，增加公司的經(jīng)營風(fēng)險。

二、公司內(nèi)部控制質(zhì)量管理與COSO-ERM框架的融合策略

（一）引入COSO-ERM框架優(yōu)化內(nèi)部控制質(zhì)量管理

COSO-ERM框架強調(diào)從內(nèi)外部環(huán)境入手，系統(tǒng)識別潛在的風(fēng)險因素，它可以為公司內(nèi)部控制質(zhì)量管理提供重要的理論指導(dǎo)。公司通過利用COSO-ERM框架提供的方法和工具，可以系統(tǒng)識別內(nèi)外部環(huán)境中的各種風(fēng)險。在此基礎(chǔ)上，公司可以對這些風(fēng)險進(jìn)行定量或定性評估，明確其對公司發(fā)展目標(biāo)的影響程度?；谠u估結(jié)果，公司可以采取相應(yīng)的措施來降低、轉(zhuǎn)移、規(guī)避或化解這些風(fēng)險，以確保內(nèi)部控制的有效性和公司發(fā)展目標(biāo)的實現(xiàn)。

（二）以風(fēng)險控制為基礎(chǔ)，構(gòu)建系統(tǒng)化和過程化的內(nèi)部控制體系

COSO-ERM框架可以為公司管理各類風(fēng)險提供全面且系統(tǒng)化的框架，為公司建立健全內(nèi)部控制體系提供重要指導(dǎo)。公司應(yīng)根據(jù)COSO-ERM框架的基本原則，建立符合自身實際需求的內(nèi)部控制體系，實現(xiàn)全面覆蓋、有效執(zhí)行和跨部門協(xié)作的目標(biāo)。其中，全面覆蓋是指確保內(nèi)部控制措施覆蓋公司所有關(guān)鍵領(lǐng)域，包括財務(wù)、運營、合規(guī)、信息技術(shù)等。有效執(zhí)行是指通過制定內(nèi)部控制政策和程序，明確各部門的職責(zé)和權(quán)限，確保內(nèi)部控制措施得到有效落實。為應(yīng)對復(fù)雜多變的內(nèi)外部環(huán)境，公司還應(yīng)建立跨部門溝通和協(xié)作機(jī)制，促進(jìn)信息共享和資源整合。通過建立健全內(nèi)部控制體系，公司能夠有效管理各種風(fēng)險，提高內(nèi)部控制的整體效能。

（三）將PDCA循環(huán)與COSO-ERM框架結(jié)合，提升內(nèi)部控制的有效性

PDCA循環(huán)是COSO-ERM框架的實施路徑，包括計劃（Plan）、執(zhí)行（Do）、檢查（Check）和行動（Act）四個階段。公司可以將PDCA循環(huán)應(yīng)用于內(nèi)部控制質(zhì)量管理中，以提升內(nèi)部控制的有效性。在計劃階段，公司應(yīng)確定內(nèi)部控制目標(biāo)和計劃，并制定相應(yīng)的內(nèi)部控制政策和程序。在執(zhí)行階段，公司應(yīng)按照計劃實施內(nèi)部控制措施，并全程監(jiān)督內(nèi)部控制措施的執(zhí)行情況。在檢查階段，公司應(yīng)評估和審查內(nèi)部控制的執(zhí)行情況，及時發(fā)現(xiàn)并解決問題。在行動階段，公司應(yīng)根據(jù)檢查結(jié)果采取相應(yīng)的行動，調(diào)整和改進(jìn)內(nèi)部控制措施，進(jìn)一步提高內(nèi)部控制的有效性。PDCA循環(huán)與COSO-ERM框架的結(jié)合能夠?qū)L(fēng)險管理融入內(nèi)部控制體系的各個環(huán)節(jié)，形成一個閉環(huán)管理機(jī)制，不斷提升內(nèi)部控制的有效性和效率。

三、基于COSO-ERM框架的內(nèi)部控制質(zhì)量管理體系的構(gòu)建

（一）治理與文化

1.內(nèi)部控制負(fù)責(zé)人的管理理念

內(nèi)部控制負(fù)責(zé)人的管理理念對公司內(nèi)部控制體系的有效運作至關(guān)重要，內(nèi)部控制負(fù)責(zé)人的管理和決策將直接影響公司內(nèi)部控制的質(zhì)量和有效性。在COSO-ERM框架下，內(nèi)部控制負(fù)責(zé)人應(yīng)秉持風(fēng)險導(dǎo)向的管理理念，將風(fēng)險管理融入公司的日常經(jīng)營管理中。同時，內(nèi)部控制負(fù)責(zé)人需要意識到，風(fēng)險管理不只是風(fēng)險部門的職責(zé)，而是需要各個部門和員工的共同參與。另外，內(nèi)部控制負(fù)責(zé)人還應(yīng)正確理解內(nèi)部控制體系與業(yè)務(wù)目標(biāo)的關(guān)系，將加強內(nèi)部控制視為支持業(yè)務(wù)目標(biāo)實現(xiàn)的重要手段。

2.內(nèi)部控制人員的道德價值觀和專業(yè)能力

內(nèi)部控制體系的有效運行不僅需要管理層的有力支持，還要求內(nèi)部控制人員具備良好的道德價值觀和較高的專業(yè)能力。在COSO-ERM框架下，內(nèi)部控制人員應(yīng)具備誠信、公正等道德品質(zhì)，嚴(yán)格遵循公司內(nèi)部控制政策和程序，忠實履行職責(zé)，維護(hù)公司利益。同時，內(nèi)部控制人員應(yīng)具備必要的專業(yè)知識和技能，能夠理解和應(yīng)用風(fēng)險管理方法與工具，有效識別、評估和應(yīng)對各種風(fēng)險。內(nèi)部控制人員還應(yīng)密切關(guān)注風(fēng)險管理領(lǐng)域的發(fā)展趨勢，不斷提高自身專業(yè)能力，以確保內(nèi)部控制質(zhì)量管理體系的有效運行。

（二）制定內(nèi)部控制戰(zhàn)略與目標(biāo)

在內(nèi)部控制戰(zhàn)略與目標(biāo)制定階段（P階段），公司內(nèi)部控制的重點是確立清晰的內(nèi)部控制目標(biāo)，并將其分解為具體目標(biāo)，以確保內(nèi)部控制體系能夠有效支持戰(zhàn)略目標(biāo)的實現(xiàn)。

首先，公司可以通過分析和評估業(yè)務(wù)模式、市場環(huán)境、競爭對手、法律法規(guī)等，明確自身戰(zhàn)略目標(biāo)以及可能面臨的風(fēng)險與挑戰(zhàn)。

其次，公司應(yīng)將自身戰(zhàn)略目標(biāo)轉(zhuǎn)化為具體的內(nèi)部控制目標(biāo)。這些內(nèi)部控制目標(biāo)應(yīng)是具體、可衡量且可實現(xiàn)的，并能夠有效支持公司戰(zhàn)略目標(biāo)的實現(xiàn)。同時，內(nèi)部控制目標(biāo)應(yīng)涵蓋多個方面，包括確保財務(wù)報告的準(zhǔn)確性、保證資產(chǎn)安全、確保經(jīng)營管理合法合規(guī)等。

最后，公司應(yīng)將總體的內(nèi)部控制目標(biāo)分解為各部門、各環(huán)節(jié)的具體目標(biāo)，細(xì)化為具體的任務(wù)和責(zé)任，并分配給相應(yīng)的部門和負(fù)責(zé)人，以確保內(nèi)部控制目標(biāo)在各個層級和崗位得到貫徹落實。

（三）實施風(fēng)險導(dǎo)向控制

在風(fēng)險導(dǎo)向控制實施階段（D階段），公司應(yīng)評估內(nèi)部控制風(fēng)險，并實施風(fēng)險導(dǎo)向控制，以有效管理和應(yīng)對各種風(fēng)險，實現(xiàn)戰(zhàn)略目標(biāo)。

1.評估內(nèi)部控制風(fēng)險

公司應(yīng)全面評估外部環(huán)境中可能對自身產(chǎn)生影響的風(fēng)險，如市場風(fēng)險、競爭風(fēng)險、法律法規(guī)風(fēng)險等，并制定相應(yīng)的風(fēng)險應(yīng)對措施。同時，公司還應(yīng)評估內(nèi)部可能存在的各種風(fēng)險，如內(nèi)部流程、人員、系統(tǒng)、數(shù)據(jù)等方面的風(fēng)險。

2.實施風(fēng)險導(dǎo)向控制

在風(fēng)險評估的基礎(chǔ)上，公司應(yīng)實施風(fēng)險導(dǎo)向控制，如制定相應(yīng)的內(nèi)部控制政策和程序、建立風(fēng)險管理框架和流程，以充分發(fā)揮內(nèi)部控制的作用，有效識別、評估和應(yīng)對各種風(fēng)險。公司還應(yīng)建立監(jiān)督和反饋機(jī)制，定期審查和評估內(nèi)部控制的有效性，并及時調(diào)整和改進(jìn)內(nèi)部控制措施，以適應(yīng)不斷變化的風(fēng)險環(huán)境。

（四）審查與修正

在審查與修正階段（C和A階段），公司需要強化內(nèi)部控制問責(zé)制度，并進(jìn)行內(nèi)部控制質(zhì)量監(jiān)控，以確保內(nèi)部控制的有效性。

1.強化內(nèi)部控制問責(zé)制度

為確保內(nèi)部控制工作的有效開展，公司應(yīng)建立健全內(nèi)部控制問責(zé)機(jī)制，明確內(nèi)部控制各環(huán)節(jié)的責(zé)任主體，確保各部門、各崗位人員都清楚自身在內(nèi)部控制體系中的責(zé)任與義務(wù)。一旦出現(xiàn)內(nèi)部控制失效的情況，公司就需要嚴(yán)肅處理相關(guān)責(zé)任人員，以確保內(nèi)部控制的有效性和權(quán)威性。

2.內(nèi)部控制質(zhì)量監(jiān)控

（1）內(nèi)部監(jiān)控。公司應(yīng)建立內(nèi)部控制自我評估制度，定期評估內(nèi)部控制效果，及時發(fā)現(xiàn)并解決內(nèi)部控制存在的問題。同時，公司應(yīng)建立內(nèi)部控制缺陷整改制度，及時整改內(nèi)部控制缺陷，以確保內(nèi)部控制的有效性。

（2）外部評估。外部審計師會對公司內(nèi)部控制提出改進(jìn)建議，因此，公司應(yīng)聘請外部審計師定期審計評估內(nèi)部控制體系，以確保內(nèi)部控制的有效性和合規(guī)性。公司還應(yīng)積極參加外部監(jiān)管機(jī)構(gòu)組織的內(nèi)部控制評價活動，接受外部監(jiān)管機(jī)構(gòu)的監(jiān)督和評估，以便從多視角發(fā)現(xiàn)并解決內(nèi)部控制存在的問題。

（五）內(nèi)部控制信息的溝通與報告

1.構(gòu)建輔助內(nèi)控系統(tǒng)

公司應(yīng)建立內(nèi)部控制信息系統(tǒng)，利用現(xiàn)代信息技術(shù)手段，及時收集、處理和傳遞內(nèi)部控制相關(guān)信息，例如：建立內(nèi)部控制信息數(shù)據(jù)庫和平臺，記錄并管理內(nèi)部控制相關(guān)數(shù)據(jù)和信息，以便內(nèi)部控制人員能夠隨時獲取所需信息。同時，公司應(yīng)搭建內(nèi)部控制溝通平臺，促進(jìn)內(nèi)部控制人員之間的溝通與協(xié)作，例如：建立內(nèi)部控制溝通網(wǎng)絡(luò)和會議機(jī)制，定期組織與內(nèi)部控制相關(guān)的交流會議和培訓(xùn)活動等。

2.內(nèi)部控制質(zhì)量管理信息與溝通

公司應(yīng)定期向高層管理人員和董事會提交內(nèi)部控制質(zhì)量管理報告，介紹內(nèi)部控制質(zhì)量管理的整體情況、存在的問題、改進(jìn)措施等，并接受審查和指導(dǎo)。同時，公司還可以通過內(nèi)部通知、會議、報告等方式，向內(nèi)部控制人員傳遞內(nèi)部控制工作進(jìn)展情況、存在的缺陷、應(yīng)對措施等信息，以確保內(nèi)部控制人員能夠及時了解內(nèi)部控制工作的最新動態(tài)。

四、結(jié)語

本文分析了當(dāng)前公司內(nèi)部控制質(zhì)量管理存在的問題，構(gòu)建了基于COSO-ERM框架的內(nèi)部控制質(zhì)量管理體系。在該體系的支持下，公司不僅能夠系統(tǒng)地識別、評估和管理風(fēng)險，還能夠?qū)?nèi)部控制與公司戰(zhàn)略目標(biāo)緊密結(jié)合，從而確保內(nèi)部控制的有效性和適應(yīng)性。未來，公司應(yīng)繼續(xù)深化對COSOERM框架的理解和應(yīng)用，不斷優(yōu)化內(nèi)部控制體系，以更好地應(yīng)對日益復(fù)雜的市場環(huán)境和挑戰(zhàn)。

（作者單位：重慶市渝地土地整治開發(fā)有限公司）