COSO报告的演进与启示杨清香渊博士冤渊华中科技大学管理学院武汉430074冤【摘要】本文通过深入剖析COSO报告的演进路径,总结出了内部控制理论发展的四大导向,以期为我国企业完善内部控制和加强风险管理提供借鉴。【关键词】COSO报告演进导向启示一、问题的提出层级都要坚持同样的目标,并从以上八个方面进行风险管理。20世纪80年代以来,美国发生的一系列财务丑闻导致从IC-IF框架到ERM框架的演进,凸显了内部控制理许多金融机构破产。这一背景促成了COSO委员会的诞生。论发展的四大导向。COSO委员会于1992年发布了《内部控制——整体框架》,1.内部控制内涵的拓展强化了内部控制理论发展的风即COSO报告(简称“IC-IF框架”),这一框架对美国乃至其险导向。IC-IF框架指出,“内部控制是一个受董事会、管理他国家各大公司重新认识内部控制和建立科学的内部控制体层和其他人员影响的,为企业经营的效率和效果、财务报告的系起到了很大的作用。然而十多年以后,安然、世通等新一轮可靠性以及法律法规的遵循性等目标的实现提供合理保证的财务丑闻的相继上演,在世界范围内掀起了加强企业风险管过程”。ERM框架在继承IC-IF框架合理内核的基础上,吸理的浪潮,要求完善公司治理结构与提高企业风险管理能力收风险管理理论的最新研究成果,对内部控制的内涵进行扩的呼声日益高涨。在这一背景下,COSO委员会在1992年充和重新表述,即“企业风险管理是一个受董事会、管理层和COSO报告的基础上,结合《萨班斯-奥克斯利法案》的相关其他人员影响的,应用于企业战略制定、各部门和各项经营活要求,于2004年9月正式发布了《企业风险管理——整体框动、识别可能对企业造成潜在影响的事项并在其风险偏好范架》,即COSO新报告(简称“ERM框架”)。ERM框架虽然继围内管理风险的,为企业各类目标的实现提供合理保证的过承了IC-IF框架的部分内容,但无论是在内涵、目标还是在程”。从内部控制和企业风险管理的定义可看出,ERM框架将要素方面均有重大突破,标志着内部控制理论进入了新的发风险管理提升到前所未有的高度(IC-IF框架也提及风险问展阶段。题,但重视不够),首次明确提出了风险偏好、风险容忍度等概目前,我国大部分企业仍处于加强内部控制建设阶段,缺念,使内部控制(在ERM框架中更名为风险管理)的定义更乏必要的全面风险管理意识,更没有建立科学的企业风险管加明确、具体。ERM框架对内部控制理论和风险管理理论的理体系。因此,充分理解ERM框架的理论内涵和实践价值以有机整合,强化了内部控制理论发展的风险导向。及内部控制与风险管理的关系,对完善我国企业内部控制和2.内部控制目标层次的提高反映了内部控制理论发展建立企业风险管理体系,无疑有着积极的借鉴意义。的战略导向。从内部控制的定义可以看出,IC-IF框架的内部二、COSO报告演进的四大导向控制的目标涉及经营活动、财务报告和合规性三个方面。其任何企业都面临着不确定性,如何有效处理不确定性及中,财务报告目标仅与公开披露的财务报表的可靠性相关,包相应的风险和机遇,提升企业创造价值的能力,是所有企业管括中期和简要财务报表以及从这些财务报表中摘录的数据,理层面临的挑战。ERM框架为企业管理者提供了一个评价和如利润分配数据。而ERM框架将风险管理的目标扩展为战提高企业风险管理水平的概念性指南。ERM框架辩证地指略目标、经营目标、报告目标和合规性目标。与前者相比,出,不确定性既代表风险也代表机遇,对于企业管理层而言,ERM框架一方面扩展了报告目标,即ERM框架中的报告目应当在努力实现企业价值的同时确定企业所能接受的不确定标不仅涉及公开披露的财务报表及其附注,也包括管理层的性程度。讨论分析报告以及其他提交给监管机构的报告等;另一方面ERM框架将组织目标划分为战略性目标、经营性目标、还增加了企业最高层次的战略目标,将风险管理应用于企业报告性目标、遵循性目标,同时在内部控制五要素的基础上进战略的制定。这表明企业各级管理者要对各单位或部门的具行深化,把风险管理扩展为八要素,即内部环境、目标设定、事体经营活动、报告过程和法律遵循进行风险管理,管理层在制项识别、风险评估、风险反应、控制活动、信息和沟通、监控。企定企业战略时,也要从总体层面上考虑与不同战略相关的风业风险管理的八个要素都是为实现企业目标服务的。企业各险。可见,ERM框架对内部控制目标的扩展和提升,反映了内阴窑82窑财会月刊渊综合冤援
部控制理论发展的战略导向。三、COSO报告演进对我国的启示3.内部控制要素的扩展强化了内部控制理论的“目1.以风险导向确定控制重心。COSO报告演进的最大变标——风险——控制”导向。COSO报告的演进革新了内化,就是将企业内部控制的内涵拓展为企业风险管理,这一变部控制逻辑的范式,即从原来的“控制——风险——目标”到化的特殊意义在于指明了企业内部控制的重心。在我国,几乎“目标——风险——控制”,而内部控制要素的扩展则进一步所有的大公司都有一套严密、完整的内部控制制度,董事会和强化了这一导向。具体体现在:譹訛ERM框架将第一要素控制管理层认为,贯彻执行这些条条框框就是内部控制的所有内环境扩展为内部环境,引入风险管理哲学、风险偏好和风险文容。然而,我国企业的失败案件或重大事件无一例外地证明,化,并对风险度量提出两个全新的概念——风险偏好和风险将主要精力用于所有细小甚至微不足道的控制上,不仅浪费容忍度。譺訛ERM框架新增了目标制定、事项识别和风险应对管理资源,还可能因小失大,忽视企业潜在的重大风险。ERM三个要素,并对其内涵做了深入的阐述。首先,ERM框架将框架告诉我们,关注企业风险比关注企业细节控制更为重目标制定作为风险管理的首要步骤,针对不同层级的目标分要,董事会和管理层要将精力主要放在可能产生重大风险的析其风险,从而使风险管理的目标更为明确。其次,ERM框环节上,将风险管理作为内部控制的重心和最主要的内容。架澄清了风险的定义,提出了风险组合观。ERM框架运用辩因此,我国各大公司要在完善原有IC-IF框架的基础上,建证的方法深刻地分析了风险的内涵,区分风险与机遇,将风险立有效的企业风险管理体系,通过风险管理创造价值,增强竞定义为可能有负面影响的事项,彻底更新了风险观念,将战略争优势。机遇与企业风险联系起来考虑。同时,ERM框架还强调了2.以组合观念管理企业风险。风险组合观是ERM框架IC-IF框架从未涉及的风险组合观,即从各个层次识别风险,的一大亮点,即ERM框架要求企业管理者以风险组合的观从企业整体出发管理风险。最后,ERM框架在事项识别的基念看待风险,对相关的风险进行识别并采取措施,使企业所承础上,提出了应对不同风险分别采取规避、减少、共担和接受担的风险控制在企业总体风险偏好范围内。按照IC-IF框架四种具体措施。譻訛ERM框架更强调从固有风险和剩余风险的的要求,我国公司的管理层在提高风险意识、关注各层级风险角度来看待风险,对风险影响采用简单算术平均数、最差情形并采取必要的管理措施等方面有所进步,但从近年来发生的下的估计值或者事项分布等技术来分析,从而对风险管理的一些事件看,企业管理层看待和管理风险缺乏整体意识和全研究更加透彻。譼訛ERM框架扩大了信息与沟通要素的内容,局观念,容易忽略那些个别影响很小但累积影响重大的单一包括了与组织的各个阶层、各类目标相关的信息,为董事会和事项。ERM框架告诉我们,以组合观管理企业风险才能真正管理层充分把握机遇和识别风险提供了基础与可能。地控制风险。为此,管理层必须树立风险组合观念,从企业总4.内部控制的责任划分与重心上移体现了内部控制理体把握风险,即不仅企业每个部门的风险要落在其各自风险论发展的公司治理导向。IC-IF框架和ERM框架都将董事容忍度范围内,而且汇总后的累积风险或总风险也不能超过会、管理层、内部审计师和其他员工看成是相关责任人,认为企业总体的风险偏好范围。这不仅有助于识别企业面临的主董事会负责管理、指引和核查。但ERM框架更加明确地划分要风险,而且有利于企业管理和优化风险组合。了各个层级的相关责任主体,使内部控制的重心进一步上移,3.以多维目标拓展控制空间。ERM框架是一个包括经表现在:譹訛ERM框架将内部控制的重心上移至董事会,使董营、报告、合规和战略在内的多维目标体系。战略目标在企业事会在企业风险管理方面扮演更为重要的角色——负总体责所有目标中处于最高层次,它的制定与实施直接影响其他三任。在企业组织中,董事会需要规范组织的风险偏好,企业风个目标的制定与实现。国内外许多财务欺诈案件表明,会计信险管理成功与否在很大程度上取决于董事会,因此ERM框息失真的根源不在于财务本身,而在于企业的经营管理甚至架要求董事会更加注重风险管理。譺訛管理层在风险管理方面战略制定。单纯从财务角度建立内部控制,无法真正解决会计负首要责任。ERM框架要求CEO必须识别各类目标和战略信息失真的问题,也无法有效发挥内部控制的作用。ERM框方案,对于与这些目标相联系的风险和影响风险的事项进行架告诉我们,企业风险管理的空间应延伸至企业战略制定阶识别、评估并采取控制措施,其他经理人员起支持作用。譻訛新段,从源头上加强内部控制和风险管理才是解决问题的关键。增首席风险管理者角色,要求企业建立并维护有效的风险管因此,我国企业要遵循“目标——风险——控制”思路,建立以理框架,首席风险管理者负有监督风险管理进度和沟通风险战略目标为首的多级目标体系,加强各级尤其是战略风险管信息等职责。譼訛内部审计人员在企业风险管理的监控中负重理与控制,从而真正发挥内部控制的有效作用。要责任。他们通过监督、评价、检查、报告和改革ERM框架来主要参考文献协助管理层和董事会或审计委员会。譽訛其他人员负有按确定1.金彧昉袁李若山袁徐明磊.COSO报告下的内部控制新的指示和协议进行企业风险管理的责任。发展.会计研究袁2005曰2综上所述,ERM框架不仅是对IC-IF框架的拓展与深2.张砚.内部控制历史发展的组织演化研究.会计研究袁化,而且是对内部控制理论与风险管理理论的整合与发展,必2005曰2将更有力地推动各国公司内部控制和风险管理的理论和实践3.储稀梁.COSO内部控制整体框架:背景尧内容尧理论进一步发展。贡献与启示.金融会计袁2004曰6援财会月刊渊综合冤窑83窑阴
