COSO报告对公司治理的影响

美国安然等系列财务舞弊案的爆发，使人们更深刻地认识到公司治理中内部控制的重要性。在公司治理体系中，内部审计是必不可少的组成部分。早在1992年，美国全美反舞弊性财务报告委员会（又称COSO委员会）就发布了《内部控制——整体框架》（以下称《COSO报告》），以加强公司内部控制。COSO报告为企事业单位构建起一个三维立体的全面风险防范体系。它们给企业以立体、全方位、多层次的内部审计和风险防范，这对于企业的内部控制和风险管理具有重要的意义，也为在公司治理框架下加强内部控制提供了方向。

（一）COSO内部控制体系

《COSO报告》将内部控制定义为：内部控制是一个过程，它受到董事会、管理人员和其他职员的影响，以期为实现经营的效果和效率、财务报告的可靠性及遵守相关的法律法规提供合理保证。

《COSO报告》提出，内部控制由五个要素组成，即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能对变化的环境作出反应的系统。控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。

《COSO报告》认为，企业内部每一成员在实施内部控制方面都扮演着一定的角色，对内部控制也都负有一定的责任，报告也对企业中各层次人员的控制职责作出如下具体设计：

管理层。CEO对整个控制系统负责。

董事会。管理层对董事会负责，由董事会设计治理结构，指导监管的进行。

内部审计师。内部审计对评价控制系统的有效性具有重要作用，对公司的治理结构行使着监管的职能。

内部其他人员。明确各自的职责，积极主动参与、配合内部控制制度的实施。

外部人员。公司的外部人员也有助于控制目标的实现，而且由于其相对独立于企业的身份，更具有可靠性。

（二）内部控制与公司治理

从主要功能上来说，公司治理的范围可以包括：股东、董事会——决策者；管理阶层——执行者；审计人员（包括内部审计人员及外部审计人员）——监督者；其他利益相关者（例如顾客、供应商、债权人及员工等）——影响者；等等。从这个角度来讲，内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统。因此，会计信息系统本身是公司治理结构的组成部分，而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的大小。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件，而有效的审计监督制度是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计，并对其公允性发表审计意见，从而起到增强会计信息可信性的作用。而内部审计处于公司内部，对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解，与外部审计人员相比，内部审计对公司治理发挥的作用在层面上更为深入，在范围上更为广泛。

（三）《COSO报告》对公司治理的启示

鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用，内部审计理应成为公司治理的关键一环。结合《COSO报告》提出的内部控制框架，公司治理应作出相应的制度安排。⑴

第一，公司治理规范必须对内部控制机制的构建提出基本要求。为保证多级委托代理链组成的公司运行能够维护所有股东的平等地位和权利，承担对股东的诚信义务，公司治理规范中必须提出对内部控制构建的基本要求，从而保证内部控制目标与公司治理目标的高度一致性。没有公司治理做后盾，内部控制系统的不断完善将失去动力。因此，公司治理理应涵盖内部控制系统。事实上，各国有关公司治理的法规和准则中都对内部控制作出了基本要求。例如，美国内部控制从制度发展到三要素构成的结构和五要素构成的框架，与美国《反海外腐败法》（Foreign Corrupt Practices Act，FCPA）的颁布与完善是分不开的。该法除了禁止各种形式的行贿和具有可疑行贿的行为之外，还要求在证券交易委员会管辖下的每一家公司都建立内部控制制度，并详细规定：美国公司有责任保证其海外下属公司妥善保存财务报表和记录，并建立和实施内部监控制度，不得非法向外国政府公职人员或国际公共组织官员支付财物，即使海外下属公司在母公司不知情的情况下发生与上述行为有关的不适当行为，母公司也不能免责。2002年1月，中国证监会颁布了《上市公司治理准则》，从六个方面作出了公司治理的规范：平等对待所有股东，保护股东合法权益；强化董事的诚信与勤勉义务；发挥监事会的监督作用；建立健全绩效评价与激励约束机制；保障利益相关者的合法权利；强化信息披露，增加公司透明度。上述六个方面的要求需要通过科学严密的内部控制系统来保障，否则相应的要求就难以落到实处。

第二，保证董事会在内控中的核心地位。公司的董事会是联结出资者和经营者的桥梁，为股权资本出资者和经理人员的职业合同提供了合理的保障。尽管在契约未预见的事项发生的情况下，出资者可以利用剩余控制权作出决策，但由于基于股权分散的事实产生的投资者行使剩余控制权的高额成本以及信息不对称，行使控制权的重心客观上要求落在董事会身上。内部控制是董事会抑制管理人员机会主义倾向，保证法律、公司政策及董事会决议切实贯彻实施的措施；内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可靠的重要手段；而确保信息质量是董事会不可推卸的责任。董事会在内部控制中的核心地位是通过公司治理结构和机制的安排来实现的。因此，应通过优化董事提名机制、董事会形成机制以及董事责任追究与免责机制，强化董事会专业委员会建设，确保董事会的独立勤勉，从而保证其在内部控制中发挥核心作用。

第三，强化监事会的监督职能。内部控制框架的五大要素之一是“监督与纠偏”，在“控制环境”这一要素中，也要求建立与内控相应的监督机构。在以董事会为核心的内部控制框架中，董事会下包括审计委员会在内的专业委员会的建立，以及经理层下属的审计部在对内部控制制度运行过程的监督和效果评价方面的作用越来越明显。但是，监事会对处于内部控制核心地位的董事会的监督却长期弱化。在完善的内部控制体系中，监事会的监督作用是重要一环。

第四，建立有效的反向制衡机制。决策与执行相互分离是内部控制框架中不相容职务分离的五大内容之一。这种分离不仅包含了当事人间的相互制约，而且还包括反向制衡。在《COSO报告》的信息与沟通部分和监督部分，要求各内控执行主体在经营中要相互监督，有权拒绝明显违法的事项并通过信息沟通反映经营管理中的不适当行为。在解决了董事会成员和经理层的高度重合、董事长与总经理交叉任职的基础上，在治理机制设计上启用反向制衡程序对杜绝大股东侵占中小股东合法利益、实际控制人通过牺牲公司利益来实现个人利益显得十分必要。国家有关公司治理的法规和企业的公司章程中应明确规定总经理有权抵制股东会或董事会（股东或董事）抽逃资本、利用关联交易侵犯中小股东利益等违法行为。已颁布的有关公司治理的规定已在反向制衡机制构建方面进行了有益的尝试，例如，中国证监会2004年3月颁布的《期货经纪公司治理准则（试行）》第五章“经理层”中明确规定了经理对股东大会、董事会违规违法行为的抵制权以及经理层之间的制约措施。