如何定义内部控制的有效性——COSO新版内部控制框架解读（三）

阳光男孩007007 2020-04-19

展开全文

前我们介绍了内部控制的定义和内部控制的目标、要素及原则，本章我们介绍下什么叫有效的内部控制。

一、内部控制的目标是管理风险

我们经常谈起建立有效的内部控制、保持内部控制的有效性，到底如何评价内部控制的有效性呢？

按照COSO的说法，有效的内部控制的目标是什么？

将影响目标实现的风险降低至可接受的水平！

请仔细读一下这句话，有效的内部控制是为了降低风险到可接受的程度，以增大实现组织运营、报告、合规目标的把握，这句话其实明确了以风险为导向的内部控制，也明确了内部控制是风险管理的一部分，或者说是风险管理中风险控制或应对的一种手段，这是风险管理和内部控制两者之间关系的又一例证。

当然，COSO在发布2013年内控框架时，采用的风险定义还是老版本：

风险：事件发生并对目标实现产生负面影响的可能性。

不管是哪个版本，COSO表述内控目标的那句话其实是个重复病句，这个我们不怪COSO，很多人理解不到那个程度，如果表述更准确一些可以这么说：

将影响目标实现的不确定性降低至可接受的水平。

如果你还记得我们对风险的独家定义：影响目标实现的不确定性（Uncertainty of achieving objectives）。

看看，这才和我们定义对上了，逻辑才通顺，或者表述为：

将相关风险降低至可接受的水平。

而这个降低至可接受水平的过程就是风险管理。

二、如何实现内部控制的目标

上篇我们讲了，内部控制的目标有三个：实现组织运营的效率和效果、真实可靠的内外部报告、法律法规及政策的遵从性。

本内部控制框架提供了一个五要素、17项原则、82个关注点的主体内容，如果要建立和维持一个有效的内部控制，组织需要：

1、要素和原则均存在；

在设计和运行内控体系时，要确定这些要素和原则已被考虑并存在。

2、要素和原则持续运行；

不仅是存在，是需要持续存在，不能间断或在运行过程中消失。

3、要素和原则相互关联、共同运行；

不仅要存在、持续存在，还要以一种相互关联的持续存在，各要素和原则的运行不是孤立的。

COSO认为本框架提出的五要素和17个原则是普适性的，任何的组织要评价自身内控的有效性时，都应该涵盖这些要素和其对应的这些原则，除非在一些特殊环境下（行业、监管、治理、技术应用），经过充分论证才可以决定某原则不适用或不与其要素直接关联。

但是，对于82个关注点是否需要和要素及原则一样需要持续存在和共同运行，COSO为了保持其框架的灵活性，在最终稿里删除了这样的要求。也就是说，COSO不强制要求对本框架中所列关注点进行单独评估以得出内部控制是否有效的结论，企业根据自身情况，如有必要，可以对某一原则的体现方式——关注点进行统一评价或增删修订。

但就17项原则的具体体现而言，COSO罗列的这些关注点确实是都有很强的代表性和系统性。

四、内部控制缺陷

内部控制缺陷是指影响内部控制有效实施的控制薄弱环节或漏洞，会导致组织无法实现控制目标。

如果组织中存在一项重大的内部控制缺陷，表明这个组织对应的内部控制要素或原则一定有一个或多个不存在或并未持续运行或未共同运行。

在这种情况下，就可得出内部控制无效的结论。但是，重大缺陷的判定标准需要企业自行制定，不论是COSO还是中国的内控基本规范都没有给出定量的标准，看一下我国内部控制评价指引中对于缺陷的定义：

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。
重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。
一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。
重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。

我们看一份今年的无效内部控制评价结论的例子：

上个月天津港披露了自己的内部控制评价报告，出具了无效意见，审计机构也出具了否定意见的内部控制审计报告。

天津港如何定义的重大缺陷标准以及重大缺陷是什么呢？

与财务报告相关的内部控制缺陷评价定量标准：