COCO內部控制(COCO內部控制框架)

在隨後的幾年中，COCO委員會又陸續發布了一系列指導性檔案，為COCO內部控制框架的套用提供了具體詳盡的操作規範。COCO內部控制框架在一定程度上借鑑了美國的COSO內部控制框架，同時也提出了有別於COSO內部控制框架的先進觀點。COCO內部控制框架日益顯示出了它的前瞻性和適用性，從而獲得了越來越多的企業的青睞。

加拿大COCO委員會的內部控制框架性檔案──《控制指南》不僅僅是若干個控制要素的簡單概括，相反該指南對內部控制的定義與作用、內部控制的要素、內部控制標準、內部控制的參與者皆進行了闡述。COCO委員會在其後陸續發布的一系列指導性檔案中，又為COCO內部控制框架的套用提供了具體詳盡的操作規範，這些檔案共同形成了一個包含內部控制系統設計、評估和報告的完整的內部控制理論體系。

早在1976年，加拿大特許會計師協會就在《審計推薦草案》中指出：“內部控制由組織體制的設計和企業管理人員制定的所有協調製度組成，就其實用方面而論，是為取得確定的管理目標，促進企業的業務有秩序和有效率的進行，保證資產的安全、會計記錄的可靠和及時地提供準確的財務資料”。COCO委員會作為加拿大特許會計師協會的下屬機構，自然而然地繼承了這個定義，並將其進行了擴展。它將“內部控制”的概念擴展到“控制”，定義為“是一個企業中的要素集合體，包括資源、系統、過程、文化、結構和任務等，這些要素結合在一起，支持達成該企業的目標”。此外，還從系統論的角度來研究與控制有關的企業外部環境，淡化企業內部與外部的界限。

在構成要素方面，COCO內部控制框架選取的四要素與COSO內部控制框架的五要素截然不同。它認為在任何一個企業中，控制均包括目的（Purpose）、承諾（Commitment）、能力（Capability）、監控和學習（Monitoring and Learning）等四個最基本的要素。其中目的是對企業發展方向的描述，它包括企業的戰略目標、企業願景、風險和機遇、經營方針、短期計畫、業績目標及其評價指標等；承諾是對企業特質的描述，它涉及到企業的文化觀念、價值觀、道德標準、人力資源政策、權力和責任的分配以及員工之間的相互信任等；能力是指企業相對於給定任務的勝任程度，它涉及到知識、技能和工具、信息及信息的傳遞、協調和控制活動；監控和學習則著眼於企業的發展，它包括對企業內、外部環境的考察、對經營業績的考核、對相關假設的質疑、對信息需求與信息系統的重新評價、追蹤調查及後續行動程式的建立以及對控制有效性的評估。

在COCO委員會提出的《控制指南》中，不僅提綱挈領地歸納出極具特色的四要素框架，同時還引入內部控制標準來充實框架。內部控制標準是內部控制理論與實務的橋樑，它既豐富了COCO內部控制框架的內容，也為內部控制實務使用COCO內部控制框架提供了導向。COCO內部控制標準一共有20條，按照框架的四要素歸屬劃分為四個組：

（1）企業應擬定與溝通各種目標。目標包括企業的使命、願景、戰略、經營計畫、甚至是較低層次上的具體目標。目標的確立是確定必須達到的要求以及識別和權衡相關風險和機會的過程，它是一個連續的過程，有利於企業管理者、員工能夠對他們的工作有更好的理解。COCO還在2000年4月發布的《董事指南──應對董事會的風險》中，指明戰略計畫審查是董事會的責任。

（2）企業應識別與評估組織在達成目標期間所面臨重大性的內部與外部風險。企業應當基於發展變化的視角來考察企業所面對的重大內外部風險，並在適當的時候以適當的方式對變化作出反應。風險的識別和評估應當基於對內外部環境的了解，同時還要估計風險事件發生的機率和風險事件後果的嚴重性，以便採取適當的措施或策略應對風險。

（3）企業應制訂、溝通與實施為支持組織目標達成與風險管理所設計的政策，使得成員了解組織對自身的期望以及他們能自主行動的範疇。這一標準充分體現了分權思想，每個管理人員和員工都應當在被賦予的權責利範圍內進行工作，不得跨越自己的許可權。

（4）企業應當制定相關的計畫並向企業員工有效地傳遞關於這些計畫的信息。計畫包括在企業內部有效地配置各種物質資源和人力資源。

（5）目標和相關的計畫應當包括可計量的業績目標及其評價指標。為了便於準確評價目標和計畫的執行狀況，必須在制定該目標和計畫時將其量化，或轉化成相應的評價指標。

（1）企業應當確立包括誠信正直等在內的共同道德標準，同時要通過溝通讓企業的所有成員理解並遵循這些道德標準。道德標準是企業文化的組成部分，也是維繫良好內部環境的基礎。

（2）企業的人力資源政策與實務應與組織道德價值觀以及目標達成一致性。人力資源政策包括新員工招聘、員工晉升、員工離職、員工獎勵政策都必須同企業的道德價值觀保持一致。

（3）企業應清楚界定權力、職責與其應負責任並與組織目標一致，並能由適當的人完成決策。企業內的任何團體和個人必須擁有與其工作相應的職權和職責，並對工作的結果承擔相應的責任。

（4）應當在企業內部培養一種相互信任的氛圍，以促進企業員工之間的信息交流並使他們為達成企業目標而作出努力。

（1）企業員工應當擁有必要的知識和技能以幫助企業實現其目標，或在特定情況下利用外部服務來滿足企業需求。

（2）信息溝通過程應能支持組織的價值觀並能促其達成企業目標。這一原則適用於企業內部傳達命令、協商資源分配、協調行動、搜尋信息以及關於風險和機會的信息緊急傳遞等情況。

（3）企業應當充分、及時地識別並向企業員工傳遞相關的信息資訊，以便企業員工能夠執行其職責。

（4）企業內部不同部門之間的決策和行動應當相互協調。不同部門的決策必須以企業整體目標為導向，儘量避免小團體主義的利益爭奪。

（5）控制作業的設計應為組織不可分割的一部分，並考慮到組織目標、達成這些目標所面臨的風險以及控制元素之間的關聯性。其中控制活動是指為保證企業的運作按計畫進行並且符合企業相關政策的要求而確立的例行程式。控制活動及其相關的政策和程式可以通過非正式的方式傳達給企業員工，或者在工作手冊中正式加以說明。

（1）企業應監督外部與內部環境以獲得資訊，這些資訊可能發出需要重新評估組織目標或控制的信號。

（2）對企業的經營業績進行監控並和企業戰略計畫中確定的業績目標及相關的指標進行比較。再根據比較結果對企業的組織目標和相關指標進行修正。

（3）應該定期對確立企業目標所依賴的假設重新進行審視。

（4）當企業目標發生變化或發現內部控制缺陷時，應對企業的信息需求以及相關的信息系統實行重新評估。

（5）企業應當建立並切實執行追蹤調查制度以確保發生的偏差得到糾止或已對偏差採取了適當的行動。

（6）管理層應當定期對內部控制的有效性進行評估，並把評估的結果反饋給對各項控制負責的人員。

COCO委員會在1999年發布了《評估控制指南》（Guidance on assessing Control），該指南描述了形成一份評估報告的10步程式，其中評估的重點是關於目標的信息和相關風險的管理。COCO對內部控制的評估更多著眼於企業未來，而不是對過去的評價。例如評估未來持續成功的機會和風險；審查與未來業績表現、機遇和風險相關的信息；評價需要特殊關注和監督的控制要素信息；以及戰略審查、項目批准和準備如何應付突發事件等。

與其他內部控制理論框架相比，COCO內部控制框架尤其重視內部控制參與者，即人的作用。COCO框架中的四個要素目的、承諾、能力、監控和學習均與人休戚有關。COCO委員會認為：企業員工在執行企業所指派的任務時，將以他對企業目的的理解為指南，並以其能力（包括所擁有的信息、資源、技能、工具等）作為支撐。員工的承諾或者說對企業的忠誠是員工在長時期內充分發揮自己能力和保持最優努力水平的保證。此外，員工必須對自身的工作業績和外部環境進行監控以便及時採取適當的後續行動，並在調整自身行動以適應環境變化的過程中學會更好地完成工作。