进入20世纪90年代以后,国际上对内部控制的研究到了一个新阶段。1992年,COSO报告对内部控制进行了深入的研究。并于1994年进行了修订。报告中定义,内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。
COSO框架提出五个互相关联的组成要素,即控制环境、风险评估、控制活动、信息与沟通、监控等,每个要素包括三个目标。
(1)控制环境,指构成一个单位的控制氛围,是影响内部控制其他成分的基础。包括员工的诚实性和道德观、员工的胜任能力、董事会或审计委员会、管理理念和经营方式、组织结构、授予权利和责任的方式、人力资源政策和实施等。控制环境确定了整个机构高层管理者的态度,影响员工的内控意识。该要素是内部控制所有其他组成要素的基础,提供了纪律要求和结构。
(2)风险评估,指管理层识别和分析对经营、财务报告、符合性目标有影响的内部或外部风险,包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济因素变化)和内部因素(如员工素质、公司活动性质、信息系统处理的方法)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。现代企业风险主要来自于经营环境的变化、增加员工、信息系统改变、新工艺的使用、新产品的开发、企业并购、海外投资、国家会计政策的改变等。
(3)控制活动,指对所确认的风险采取必要的措施,以保证单位目标得以实现的政策和程序。实践中,控制活动形式多样,主要包括批准、授权、核实、调节、业绩评价、信息处理、实物控制、职责分工等。
(4)信息与沟通,指为了使职员能执行其职责,企业必须识别、捕捉、交流内部和外部信息。内部信息包括管理者建立的记录和报告经济业务与事项,维护资产、负债和所有者权益的办法与记录。外部信息主要包括市场占有率、法律法规和顾客反馈等信息。沟通包括使员工了解其职责,保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作,如何与他人联系,如何对上级报告例外情况。沟通的方式主要有企业规章制度、财务制度、备查簿以及口头交流和管理示例等。
信息系统产生包含有关运营、财务和合规性的信息,帮助管理层经营和控制公司。该要素不仅报告内部产生的数据,还包括在了解各方信息的情况下进行决策和外部报告时所需的关于外部事件、活动和状况的信息。应在广泛的范围内进行有效的沟通,包括自上而下、机构内部及自下而上的沟通。管理高层必须清楚地告知所有员工他们必须严格执行各自的内控职责。员工必须理解他们在内控系统中的职责以及他们自身活动与其他人的工作之间的互动关系。员工还必须拥有向机构高层报告重要信息的途径,并且还必须与外部各方进行有效沟通,如客户、供应商、监管机构及股东。
(5)监控,指评价内部控制质量的进程,即对内部控制运行及改进活动评价。包括内部审计和外部审计等。监控通常由内部审计部门或人事部门执行,他们定期或不定期地对内部控制的设计和执行情况进行检查与评价,与有关人员交流内部控制的设计和执行情况进行检查与评价,与有关人员交流内部控制强弱方面的信息,并提出改进意见,以保证内部控制按设计执行并随环境的变化而改进。他们的评价信息来自于各种来源,包括对现行内部控制的研究、内部审计报告、对特殊控制活动的请示、外部报告、顾客的反馈等。
这五种内部控制要素包含范围广且相互关联。控制环境是其他控制要素的基础,如果没有良好的控制环境,任何健全的内部控制制度也不可能有效执行。
在规划控制活动时,必须对企业可能面临的风险进行详细分析;风险评估和控制活动必须借助于信息与沟通。同时,内部控制的设计和执行必须受到有效监督。
COSO报告的意义是深远的,主要表现在:第一,明确对内部控制的“责任”。在内部控制发展史上,COSO报告第一次明确阐述了内部控制的制定与实施的责任问题。该报告认为,不仅仅是管理人员、内部审计或董事会,组织中的每一个人都对内部控制负有责任。确立这种组织思想有利于将企业的所有员工团结一致,使其主动地维护及改善企业的内部控制,而不是与管理阶层相互对立,被动地执行内部控制。第二,强调内部控制应该与企业的经营管理过程相结合。COSO报告认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由某一个单位或部门进行,或由若干个单位或(及)部门共同进行。内部控制是企业经营过程的一个部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上。它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。第三,强调内部控制是一个“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程,企业的经营活动是不停止的,企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定,企业经营管理环境的变化必须要求企业内部控制越来越趋于完善,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。第四,强调“人”的重要性。COSO报告特别强调,内部控制受企业董事会、管理阶层及其他员工影响,透过企业之内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标,并设置控制的机制。反过来,内部控制影响着人的行为。第五,强调“软控制”的作用。相对于以前的内部控制研究成果而言,COSO报告更加强调“软控制”的作用。“软控制”主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。第六,强调风险意识。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险,管理阶层须密切注意各层级的风险,并采取必要的管理措施。第七,糅合了管理与控制的界限。在COSO报告中,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊。
传统的内部控制研究主要关注诸如财务报告,资产与记录的接触、使用和传递,授权授信,岗位分离,数据处理与信息传递等“硬控制”。企业在新经济时代的复杂内外部环境下,迫切需要重视和加强包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等“软控制”。COSO报告在内部控制理论方面有了较大的突破,如把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架,并且把“软控制”因素纳入整体框架中予以考虑。COSO报告给不同团体和职业提供了一个内部控制的交流平台,一些国家发布的有关内部控制的报告,均以COSO报告为模本。如我国的《内部会计控制规范——基本规范(试行)》和巴塞尔银行监管委员会的《银行组织的内部控制系统框架》,以及最近我国颁布的《审计机关内部控制测评准则》就是以COSO报告为基础的。