一、COSO内部控制整体框架的概念及应用

COSO是由美国Tread-way委员会（全国舞弊性财务报告委员会）成立，其成员有美国会计师学会、内部审计师协会、金融管理学会等专业团体。1992年，COSO提出了《内部控制整体框架》报告，COSO内部控制整体框架的核心内容是内部控制的定义、目标和要素。

其中，控制环境是整个内部控制框架的基础，风险评估是依据，控制活动是手段，监控是保证，信息与沟通是载体。该报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。

无论是美国SOX法案404条中规定要求的财务报告内部控制，还是巴塞尔委员会颁布的商业银行内部控制框架，都是将COSO于1992年发布、1994年增补的《内部控制——整体框架》作为理论基础加以发展、改进和应用的。

二、我国企业内部控制制度的五要素及其重要性

借鉴COSO颁布的内部控制整体框架的内容，《企业内部控制基本规范》（以下简称《基本规范》）将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部控制五大方面。这五大要素对于企业内部控制实施而言，都起着怎样的作用？以下一一列举。

（一）内部环境——内控体系的基石

除了看到公司所处的外部环境，对于企业自身能力的审视也必然是不可或缺的重要方面之一。对于企业内部管理要素，怎样能够做到有效地调整，这既是企业管理及控制的原则，也是基石。

内部环境主要包括治理机构、组织机构设置与权责分配、发展战略、内部审计、人力资源政策、企业文化、反舞弊机制、社会责任等。如图1所示。

（二）风险评估——内部控制更有效

一个公司对于风险的关注表现在公司渴望或要求规避风险。一般地，风险评估是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

当今社会，经济环境变幻莫测，企业之间竞争也是激烈异常，企业经营风险不断提高，运用内部控制，目的就是帮助企业降低风险。

（三）控制活动——内部控制的“心脏”

控制活动贯穿于企业内部各个阶层和所有职能部门，是指企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度范围之内。企业采用的控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

（四）信息与沟通——信息流畅的重要性

《企业内部控制基本规范》中明确指出，企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。如果运用不当，或者封闭信息，无法和外界及时互动，最后的结果必然是落后于同行业其他公司的发展水平。

（五）内部监督——内部控制运作的“润滑剂”

内部监督是内部控制体系中不可或缺的一部分，是内部控制得到有效实施的有力保障，具有非常重要的地位。通过内部监督，企业可以发现内部控制的缺陷，及时改善内部控制体系，促进企业内部控制的健全性、合理性；提高企业内部控制施行的有效性；也是外部监管的有力支撑。同时，还能够减少代理成本，保障股东的利益。

三、目前我国中小企业内部控制制度存在的问题

由于企业规模等各方面因素的影响，中小企业的内部控制制度一般都不够健全，也存在着许多不足的地方。主要有以下几个方面。

（一）内部控制制度不健全

目前，多数企业的内部控制制度不够全面，没有覆盖所有的部门和人员，没有渗透到企业各个业务领域和各个操作环节，使中小企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。所有这些，都与企业内部控制制度不健全密切相关。究其原因，主要表现为：与组织结构有关；与制度体系有关；与单位负责人有关。部门之间缺乏有效的协调和牵制，往往造成管理脱节，产生漏洞，使人有机可乘。

（二）缺乏有效的监督机制

为了加强监督，我国已形成了包括政府监督和社会监督在内的企业外部监督体系。但如此庞大的监督体系对中小企业的监督效果却不尽如人意。有的企业虽然有内部审计，却不能充分发挥其职能。一些企业的业务经办人员、财会人员甚至领导干部利用监督不力的漏洞，大量收受贿赂，大肆侵吞公款，利用虚假发票非法占有企业资金等。

（三）对内部控制制度认识片面

内部控制制度是企业各个业务部门或人员在业务运作过程中形成的相互影响、相互制约的一种动态机制，是具有控制功能的各种方式、措施及程序的总称，它绝不等同于规章制度，也不等同于内部管理，更不是组织计划。内部控制要以有效性为前提，其关键是作为内控制度主体的经理和员工。由于一些中小企业的经理和员工对内控制度认识上存在偏差，导致企业认识不到内控制度的重要作用，造成企业的管理混乱。

（四）内部控制制度的行为主体素质较低

中小企业财会人员的思想教育、业务培训跟不上，一些根本不具备从业资格的人员混进财会队伍，思想素质差，业务一知半解，连正常的会计业务都处理不好，更谈不上内部控制制度的运用。一些企业领导对会计制度、会计准则一窍不通，却目无法规，独断专行，势必给企业造成不可挽回的损失，使本就资金紧张的企业举步维艰。

（五）内部审计职能较弱

内部审计是企业内部控制制度的一个重要组成部分。据调查，为数不少的中小企业没有设置内部审计机构，即使具有内审机构的企业，其职能也已严重弱化，不能正确评价财务会计信息及各级管理部门的绩效。于是，各级管理部门更加有恃无恐，趁机钻了内部控制的空子。另外，内部审计机构职能的发挥从很大程度上取决于企业最高层的主观意愿。

四、加强我国中小企业内部控制的对策

（一）建立健全的内部控制体系

一是优化控制环境。控制环境是对控制程序和控制技术的选择及其有效性有着重要影响的各种因素的总和，包括外部环境和内部环境两大类，但外部环境超出了企业的控制能力，因而不能作为内部控制系统的组成部分。

二是明确控制目标。内部控制的目标与其经营目标紧密相关，企业应确定单位内部每一管理阶层所应达到的具体目标，进行目标分解，并且内部各阶层应协调合作才能达到预定目标。

三是建立健全与业务规模相适应的组织机构与权责分派体系。企业在设置组织机构时，首先要根据自身特点，按照不同的管理幅度划分不同的管理层次，设计不同的组织机构；其次，要明确规定各职能机构的权限与责任；再次，要规定各层次主管人员不仅要履行自己的职责，而且要对其下属进行有效的监督和检查，保证各层次目标的实现。

此外，还要设立一个良好的信息与沟通系统，以增强企业内部控制的效率和效果。

（二）建立员工培训机制

中小企业的员工整体素质较低，而科学的内控体系又与员工的素质密切相关。因此，企业应结合实际，建立切实可行的员工培训机制。通过培训，使员工更具工作责任感，明确自己工作的重要性，养成良好的工作习惯，逐步提高自身的思想素质和业务素质。要使员工认识到，内控制度不是哪一个人的事情，而是员工的集体行为，从而达到整体提高员工素质的目的。

（三）加强内部审计控制

内部审计机构应直接对企业最高领导层负责，保持相对独立性。企业通过内部审计制度对各级管理层的财务活动和管理活动进行评价，包括企业经营方针的贯彻执行情况、企业财务会计信息的真实性和可靠性、各级管理人员的绩效、内控环节的协调情况等。内部审计机构的组成人员应该由企业最高层直接聘任，让业务能力强、思想素质高、敢说真话、敢于坚持正义的员工从事内部审计工作。

（四）高度重视内部控制制度

一套严密的内部控制制度的顺利实施，企业负责人起着十分重要的作用。离开企业领导的高度重视，再好的控制体系也显得软弱无力而流于形式。因此，企业领导必须自觉地接受内控制度的制约，力求使内控制度在企业内部随时发挥作用。

五、总结

中小企业内部控制问题是复杂多样的，无论何种组织结构，都有其优点和不足。只有根据企业的不同情况、不同问题，采取灵活机动的方v