COSO-ERM框架下制造类中小企业内部控制优化研究
——以GW公司为例

张春想 程四明

(安徽商贸职业技术学院，安徽 芜湖 241002)

1 COSO-ERM框架的变革

上世纪八十年代财务报告虚假丑闻频繁出现，“反虚假财务报告委员会”经过调查发现很大一部分财务欺诈源于企业内部控制失误。因此，成立了COSO委员会，希望能研究和制定出权威的内部控制指导方针，为全球内部控制的发展提出指导意见。在这样一个大背景下，COSO委员会于1992年发布了首个《内部控制——整合性框架》，但是由于其视野过于局限于财务报告，缺乏风险意识及全局意识，因此，2004年COSO委员会重新颁布了《企业风险管理——整合框架》，该框架在原整合性框架基础上进行了修订，突出了全面风险管理概念，强调了风险管理在企业经营管理活动全过程中的重要性。为了应对企业愈加复杂的经营环境，2017年COSO委员会正式发布了最新版COSO-ERM(2017)框架，该框架明确划分了企业风险管理及内部控制的界限，阐明了企业风险管理与企业价值的关系，对企业风险管理与内部控制活动提供了有力的理论及实践指导。

2 COSO-ERM(2017)框架的变化及主要特点

2.1 COSO-ERM(2017)框架的变化

2.1.1 框架及展现方式的变化

首先，2017年新COSO-ERM框架引入了企业价值创造模型，由原来的4目标4层级8要素立方体框架变为现在的贯穿企业价值创造全过程的5要素20原则螺旋体式框架(表1)。

表1 新旧COSO-ERM框架要素变化

其次，新COSO-ERM框架在视觉上发生了很大变化，模型的呈现方式由原来的立方体模型变为DNA螺旋体式模型。

2.1.2 主体适用性更为广泛

2017年新COSO-ERM框架在正文部分的描述中故意回避了“企业”的说法，可以看出COSO委员会期望的主体适用性已经从企业面向了各类型、各种规模的主体，从理论上来看，任何一个设定了所要期望达到的目标且有明确的愿景、使命和核心价值观地主体，都可以适用2017年新COSO-ERM框架。

2.2 COSO-ERM(2017)框架的主要特点

2.2.1 突出了企业文化的重要作用

2017年新COSO-ERM框架将组织治理与组织文化作为第一项关键要素，其中就包括了文化这个关键词。他指出企业的组织文化作为企业的一些软要素，能够影响企业员工的思维及行为表现，能够影响企业的风险管理活动，对企业的风险识别，风险应对、风险管理以及风险控制等方面具有广泛影响。

2.2.2 明确了内部控制与风险管理的界限

很长时间以来，国内外学者及企业对如何区分风险管理及内部控制都存在着争议，COSO-ERM(2017)框架的颁布为人们指明了方向，他明确提出了公司治理、风险管理、内部控制三者之间的关系，如图1所示。

图1 公司治理、风险管理、内部控制关系图

2.3 强调风险对价值的有力影响

2017年新发布的COSO-ERM框架重点强调了基于风险导向的管理理念，改变了以前过于绝对的将防止对企业价值有侵蚀的事件的发生和降低风险水平作为工作重点的理念，强调了企业风险管理在企业经营活动各环节中的地位及作用，引导人们关注企业风险管理的重要性。将企业风险管理与企业管理业务和企业核心价值结合起来，强调其在企业价值创造、企业价值保持和企业价值实现中不可或缺的作用，对企业价值创造和增值起到了良好的促进作业。

3 COSO-ERM新框架下制造类中小企业内部控制存在的问题及原因分析——以GW公司为例

3.1 GW公司基本情况介绍

GW科技有限责任公司(以下简称GW公司)于2019年6月成立，注册资本1000万元。现有职工60余人，主要致力于包括计算机软硬件、电子产品、通讯设备、一类医疗器械、仪器仪表的技术开发、转让、咨询服务。公司成立以来，经营良好，规模不断扩大，业务拓展到开发销售自研产品，电子计算机及配件、电子产品的销售，商户收单项目的技术服务，劳务服务及维护服务，计算机软硬件租赁服务公司发展势头良好，整体处于上升趋势。

虽然GW公司发展良好，但是也存在诸如内部控制建设缺陷等不少问题。尽管不同的企业内控制设计的思路和方法存在很多相同之处，但是GW公司内部控制制度设计照搬照抄其他公司现有的制度，严重脱离企业实际，内部控制制度框架不完整，且与自己公司的企业文化、公司治理等情况存在矛盾，其可行性存在很大的问题。GW公司内部控制流于表面，且执行过程缺乏监督，没有合理有效地实施，使得企业存在较大的风险隐患。

3.2 GW公司内部控制存在的主要问题

3.2.1 GW公司员工缺乏信息安全意识

近年来，由于病毒、木马、恶意软件等各类互联网犯罪日益猖獗，信息安全事件“炮响”无数，商业泄密案“触目惊心”，警钟不断，同时客户对数据安全保护的要求也日益增强，越来越多的公司开始重视信息安全问题。对于主营电子信息类产品公司而言，信息安全管理意义重大。目前很多企业对潜在信息安全风险缺乏必要的警觉性，更没有建立相关的信息安全风险应急预案，使得企业在遭遇信息安全问题时常常会措手不及。GW公司信息安全意识缺乏，企业没有足够重视员工安全意识培养工作，新入职员工并未得到充分的IT安全培训便开始访问机密数据，企业的安全意识宣传项目设计的不够好，很多时候，企业为了应付合规检查，安全意识宣传工作往往搞成了类似研讨会的形式。同时GW公司信息安全意识相对薄弱，对公司员工信息安全方面教育缺乏，一旦公司面对网络攻击，可能会受到严重的打击，这要是公司长期发展将面临的最大的风险。

3.2.2 GW公司内部各部门之间信息沟通不畅

有效的信息沟通是企业内部控制有效实施的重要保证。一个企业所接收和传播的信息是包罗万象，包括供应商信息、客户信息、财务信息以及行业信息等，信息的准确度和能否及时接收会影响企业对于决策正确性的判断，在纷繁复杂的信息流中如何有效地对信息进行分类、整理、传递和交流，对组织实现战略和商业目标起着至关重要的作用。GW公司生产、研发、业务以及财务等各部门之间独立运行，没有建设企业信息交流平台，内部管理信息数据无法共享和交换，各个部门的信息形成了信息孤岛，使得公司信息传递的速度受到了严重影响，严重影响了企业的长远发展。

3.2.3 GW公司缺乏风险管理意识

公司风险管理尚未有针对性的监督机制，没有设立独立的风险评估部门，公司现有的风险管理是不成体系的，甚至可以说是一片空白。并且GW公司内部审计形同虚设，主要任务是检查财务账目是否准确、有无舞弊，对潜在风险缺乏必要的警觉性以及相关的风险研究，更没有建立相关的风险应急预案，使得企业在遭遇风险时常常会措手不及。

4 COSO-ERM新框架下GW公司内部控制体系调整

4.1 强化信息安全管理，提升员工信息安全意识

提高员工信息安全意识是GW公司内部控制体系调整的首要大事，据统计，一般企业数据泄露主要原因是由于企业内部员工有意或无意造成的泄密，占总样本数据达到百分之八十，另外百分之二十才是由于外部原因造成的。而操作不规范是企业内部员工造成数据泄露的主要原因，甚至企业的一个保洁员错误的操作都有可能对企业的信息安全造成威胁。因此，可以看出阻碍企业发展的最大障碍是企业员工信息安全意识薄弱。所以，强化企业信息安全管理，提升企业员工信息安全意识至关重要，一般可以从以下几个方面入手：

(1)加强企业信息安全文化意识培养。

首先，应加强企业管理人员信息安全文化意识，作为企业的风向标，管理层的重视向企业各部门传递重视信息安全文化正能量。其次，企业可以借助动画视频、屏幕保护等各种新颖的形式加强企业信息安全文化的宣传，在企业内部形成一种信息安全文化的良好氛围，将企业信息安全文化深入人心，打造企业坚实的人员防火墙，确保企业信息安全平稳运行。

(2)改变信息安全培训频率及方法。

打破原有定期年初培训制度，将员工信息安全培训安排在年初、月初、季初，多次少量培训，并在每次培训中引入不同方式及内容，尝试使用小视频、小动画、安全提示等多种方法，确保员工了解如何处理和销毁机密信息。在信息安全培训的同时，进行安全制度考核，激励员工积极关注企业数据安全。

(3)制定员工规范操作计算机的详细规定，将信息安全教育作为员工入职培训的必需项目。

在入职开始培养网络安全意识，加强新员工安全意识培训，从员工第一天到公司开始进行安全培训，建立正确的安全思维方式，这样的培训并且是持续性的。

最后，信息安全不仅是企业发展的关键，更是需要在每个员工在心中培养的意识，只有公司健康发展，员工才能够有更好的平台。

4.2 提高信息沟通传递效率，建立有效地信息沟通渠道

及时有效的沟通是有效获得企业运行情况、防范风险以及实施内部控制的重要途径方法。首先，公司应当建立全方位覆盖的信息系统，利用网络技术，在企业内部建立有效的信息沟通渠道，加强公司各部门之间信息传递与交流，及时分享内外部的消息，及时、精准的了解市场、政策发展的最新动向，便于企业对这风险数据及时收集、筛选和处理。其次，公司应当提高各部门间信息交流水平和质量，增强信息的针对性，保证信息的真实性，提高信息的时效性，挖掘信息的深度，为公司可持续的良性发展提供信息保障。

4.3 建立风险管理三道防线

建立完善的风险评估机制是增强中小企业内部控制管理能力的重要方面。根据COSO-ERM(2017)要求，为了更好地开展风险管理工作，应当在企业内建立“三道防线”，以此机制来明确各相关部门的风险管理职责。GW公司可设置如下三道防线：

第一道防线是指风险所有方，即企业所有的核心业务部门。各个核心业务部门一线员工一般最先接触到风险源，有责任做到及时识别风险并上报并作出初步风险管理，是事前风险控制的关键所在。

第二道防线是指风险管理，即企业的支持职能部门。企业的支持职能部门是企业始终风险控制的关键所在。

第三道防线是指风险保证，及企业的内部审计部门。内部审计部门主要负责对前两道防线的工作进行事后稽核、审计和监察等，他是企业事后风险控制的关键所在，同时也是企业内部控制的最后一道防线。

与COSO-ERM(2017)新框架相结合是未来企业内部控制建设发展的新方向。

COSO-ERM(2017)新框架提出了企业不但要适应目前复杂多变的商业环境，并且要在此环境中健康发展，就需要不断更新自己的管理模式，中小企业要在日趋复杂的商业环境中求得生存与发展，就必须建立与新框架相适应的内部控制体系。COSO-ERM(2017)新框架一方面丰富了内部控制制度框架，另一方面也提出了符合企业目标的价值最大化的实现方式，他不但能够丰富内部控制的相关理论，也为企业的发展提供了理论指导。