由ＣＯＳＯ報告的變革看內(nèi)部控制標準的發(fā)展

　　【摘要】 內(nèi)部控制問題正逐漸為全球所關注。本文依照COSO報告變化的背景，特別結合目前具有廣泛影響的ERM框架的內(nèi)容，闡明了風險管理思想對內(nèi)部控制標準發(fā)展的貢獻，旨在為內(nèi)部控制制度的設計和評價提供借鑒。
　　【關鍵詞】 COSO報告；內(nèi)部控制；風險管理
　　
　　一、COSO背景
　　
　　COSO委員會是由美國注冊會計師協(xié)會( AICPA )、美國會計學會( AAA )、財務經(jīng)理人協(xié)會( FEI )、內(nèi)部審計師協(xié)會( IIA )和管理會計師協(xié)會( IMA )共同發(fā)起并出資組成的民間組織。該組織的宗旨在于通過商業(yè)倫理、有效的內(nèi)部控制和公司治理提高財務報告質量。COSO發(fā)布的研究成果在美國以及全球會計、審計和證券界產(chǎn)生了深遠影響，其中的一些概念和原理被寫入了教科書，成為研究人員經(jīng)常引用的經(jīng)典；而且，隨同報告發(fā)布的實務指南也為單位組織建立內(nèi)部管理架構提供了十分有益的幫助，成為評價單位組織內(nèi)部控制的標準。（柳木華 . 2006）。迄今為止，COSO委員會共發(fā)布了五部研究報告。
　　1987年，COSO發(fā)布了《反欺詐性財務報告全國委員會報告》，報告對財務欺詐的研究和分析沒有簡單地局限于獨立審計師的查錯作用，而是密切關注企業(yè)法律、金融和其他咨詢顧問在財務欺詐中的角色，分析了企業(yè)經(jīng)理班子價值觀念和會計、內(nèi)審與審計委員會的作用，觸及了政府管制(包括SEC)和大學會計課程設置是否充分有效等問題。報告分別向公眾公司、注冊會計師、SEC以及其他法律部門、教育部門等提出了約100條建議。1996年，COSO發(fā)表了《金融衍生工具使用中的內(nèi)部控制問題》，該報告模型認為，“風險管理過程需要理解實體的目標和經(jīng)營活動，識別市場風險和測度承擔的風險，然后決定是否使用衍生產(chǎn)品將風險降低到可以承受的水平。只要簡單的忽略與衍生產(chǎn)品有關的部分并代之以其他合適的降低風險行為，這個過程就具有普遍性”。報告為衍生工具用戶建立、評估和改善內(nèi)部控制，提供了指導性建議。1999年，COSO利用1987-1997年欺詐性財務報告公司樣本，在歸納其公司特征、控制環(huán)境特征、欺詐特征的基礎上，發(fā)布了《欺詐性財務報告-1987至1997：美國公眾公司分析》。報告探討了三個欺詐高發(fā)行業(yè)——信息技術、保健和金融服務業(yè)的欺詐特點，發(fā)現(xiàn)三個行業(yè)的欺詐手段存在顯著差異，如信息技術業(yè)最常見的欺詐手段是收入欺詐，而金融服務業(yè)最常見的手段是資產(chǎn)欺詐和資產(chǎn)盜用，并且研究了財務報告欺詐與公司治理之間的關系，發(fā)現(xiàn)欺詐樣本公司與其所在行業(yè)標準相比，具有相當弱的公司治理機制。20 世紀在經(jīng)歷了70年代一連串財務失敗和可疑的商業(yè)行為相繼爆發(fā)后，國際社會又出現(xiàn)了更聳人聽聞的以金融機構破產(chǎn)為代表的財務失敗事件，給納稅人最終帶來超過1 500億美元的成本。為能有效遏制這種愈演愈烈的會計舞弊活動，1992年，COSO在進行了深入研究之后發(fā)布了一份關于內(nèi)部控制的綱領性文件，即《內(nèi)部控制——整體框架》，它標志著內(nèi)部控制理論與實踐進入了整體框架的階段。報告提出了內(nèi)部控制的五個重要組成要素：控制環(huán)境、風險評估、控制活動、信息及溝通與監(jiān)督，深化了內(nèi)部控制的理念和應用。COSO報告一經(jīng)發(fā)布便得到了業(yè)界的認可與采納，并在世界范圍內(nèi)產(chǎn)生了廣泛影響。2001年以來，以安然、世通等為代表的一些美國大公司，因財務信息造假等行為而相繼倒閉破產(chǎn)，震撼了美國的資本市場，引起了世界的極大反響。在國際社會對改善公司治理與加強風險管理的呼聲日益高漲的背景下，2004年9月，COSO委員會結合《薩班斯一奧克斯利法案》的相關要求，頒布了一個概念全新的報告：《企業(yè)風險管理——整體框架》（ERM）?？蚣艿某雠_順應了各方需求，與1992年的《內(nèi)部控制——整體框架》相比，在內(nèi)部控制的內(nèi)涵、目標、要素以及內(nèi)部控制責任承擔等層面有了全新的突破，對企業(yè)風險管理做出了更為詳盡的闡述。ERM并沒有取代《內(nèi)部控制——整體框架》，而是基于并將其融入其中，全面推進了內(nèi)部控制標準的發(fā)展。
　　
　　二、COSO企業(yè)風險管理整體框架概要
　　
　　COSO為企業(yè)風險管理確立了一個可普遍接受的概念，為各組織識別風險和實施風險管理提供了理論基礎。ERM框架認為：“企業(yè)風險管理是一個過程，是由企業(yè)的董事會、經(jīng)理層和其他員工共同參與，應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的、貫穿整個企業(yè)，旨在識別影響組織的潛在事件，為組織目標的實現(xiàn)提供合理的保證”。企業(yè)風險管理是由人參與的過程而并非結果，企業(yè)必須將風險管理融入在日常的經(jīng)營管理之中，并涉及企業(yè)的每個員工。風險管理能夠識別對企業(yè)造成影響的潛在風險，能在一定程度上幫助企業(yè)實現(xiàn)合理的既定目標。
　　企業(yè)風險管理包含八個相互關聯(lián)的要素：
　　
　?。ㄒ唬﹥?nèi)部環(huán)境
　　內(nèi)部環(huán)境是其他風險管理要素的基礎，它由《內(nèi)部控制——整體框架》要素中的“控制環(huán)境”演變而來，但包含了更為豐富的內(nèi)容，如風險文化和風險偏好、管理哲學和經(jīng)營風險、權力和責任分配、實踐操守和價值觀等。
　　
　?。ǘ┠繕嗽O定
　　ERM框架認為，企業(yè)的管理層在評估風險之前必須確立目標，并針對不同的目標分析相應的風險，這樣管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)的目標可以分成四類：1.戰(zhàn)略目標。與企業(yè)的使命相一致，是較高層次的目標；2.經(jīng)營目標。與企業(yè)經(jīng)營的效果與效率相關，旨在使企業(yè)能夠有效地使用資源；3.報告目標。企業(yè)組織報告的可靠性，分為對內(nèi)報告和對外報告，涉及財務和非財務信息；4.遵循目標。即企業(yè)經(jīng)營是否遵循相關的法律法規(guī)。
　　
　?。ㄈ┦录R別
　　指識別影響事件的內(nèi)外部因素。潛在的事項，對企業(yè)可能有正面影響，也可能有負面影響。識別風險旨在于抓住機遇，或者在風險評估和應對階段彌補風險對企業(yè)的影響。
　　
　?。ㄋ模╋L險評估
　　是決定如何管理風險的基礎，風險得到識別后，就需要對風險進行分析評估，這樣，管理層就能根據(jù)被識別風險的重要程度來進行規(guī)劃和組織，使通過風險管理這個過程識別和分析風險，并采取減弱風險影響的行動來管理風險。風險評估可根據(jù)不同的風險目標確定相應的風險評估方法，主要為定量分析和定性分析相結合的方法。
　　
　?。ㄎ澹╋L險對策
　　是在評估了相關的風險之后，所做出的應對、控制、轉移、補償風險的各種策略和措施。通常將風險對策分為規(guī)避風險、減少風險、共擔風險和接受風險等四類。企業(yè)應在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事件發(fā)生的可能性和事項對企業(yè)的影響，并設計和執(zhí)行風險應對方案。COSO認為，有效的風險管理是管理者的選擇能使企業(yè)風險發(fā)生的可能性和影響都落在風險的容忍度內(nèi)。
　　
　　（六）控制活動
　　是有助于保證風險應對方案得到執(zhí)行的相關政策和程序。管理當局應對企業(yè)所有系統(tǒng)進行控制，包括對信息系統(tǒng)的控制，通常控制活動和風險評估過程是聯(lián)系在一起的。
　　
　?。ㄆ撸┬畔⑴c溝通
　　信息是溝通的基礎，溝通必須滿足不同團體和個人的期望。企業(yè)內(nèi)部和外部的信息必須以一定的方式進行確認和傳遞，以保證員工各自職責的執(zhí)行和企業(yè)風險管理的有效運行。
　　
　　（八）監(jiān)督
　　COSO將監(jiān)督作為評估企業(yè)風險管理質量過程的一個部分，即評估風險管理要素的內(nèi)容和運行，以及評價某一時期執(zhí)行質量的一個過程。該過程包括持續(xù)監(jiān)督、個別評估或者兩者的結合。
　　企業(yè)風險管理的八個要素是一個有機整體。風險管理不只是一個直線的過程，而是一個多元化的相互作用的過程。 各要素之間的關系是：內(nèi)部環(huán)境是企業(yè)風險管理的基礎，為企業(yè)風險管理所有其他要素的運行提供了平臺和組織結構；企業(yè)目標的制定，是風險管理的起點，是其他步驟的軀動力量；在企業(yè)目標已定的前提下，企業(yè)需要對影響目標的風險進行事件識別，進而對識別事件進行風險評估，風險評估馭動風險反應，影響控制活動；信息與溝通和監(jiān)督貫穿于企業(yè)風險管理的全過程，并且可對其他各個組成要素進行修正（吳永澎 . 2006）。
　　
　　
　　三、COSO企業(yè)風險管理框架對內(nèi)部控制標準的發(fā)展
　　
　?。ㄒ唬┴S富了內(nèi)部控制的內(nèi)涵
　　COSO在《內(nèi)部控制——整體框架》中將內(nèi)部控制定義為一個受董事會、經(jīng)理層和其他人員影響的過程，提出內(nèi)部控制是為了實現(xiàn)三個目標，即：經(jīng)營的效果和效率、財務報告的可靠性、法律法規(guī)的遵循性。該定義明確了以下要點：內(nèi)部控制是一個過程；內(nèi)部控制是一個受人影響的過程；內(nèi)部控制為了實現(xiàn)三個目標；內(nèi)部控制過程的設計是為了提供實現(xiàn)內(nèi)部控制目標的合理保證。這個定義比較寬泛，從某些角度來說，也存在一些片面性。而新的ERM框架則更加明確了對風險管理和保護資產(chǎn)概念的運用，并將糾正錯誤的管理行為明確地列為控制活動之一。ERM框架在原《內(nèi)部控制——整體框架》所明確的要點基礎上，進一步明確了以下內(nèi)容：即，內(nèi)部控制應用于戰(zhàn)略制定；內(nèi)部控制貫穿整個企業(yè)的所有層級和單位；內(nèi)部控制旨在識別影響組織的事件并在組織的風險偏好范圍內(nèi)管理風險。由于ERM框架提出了風險偏好、風險容忍度等概念，使得ERM的定義更加明確、具體，同時又涵蓋了內(nèi)部控制所有合理的內(nèi)容。
　　
　?。ǘ┌l(fā)展了內(nèi)部控制的目標
　　針對《內(nèi)部控制——整體框架》對企業(yè)戰(zhàn)略管理方面關注不夠的缺陷，ERM在目標中增加了一個新的目標——“戰(zhàn)略目標”。使企業(yè)在追求短期利益的同時，從戰(zhàn)略高度關注企業(yè)的長遠目標和可持續(xù)發(fā)展。該目標的層次比其他三個目標更高。風險管理既應用于實現(xiàn)企業(yè)其他三類目標的過程中，也應用于企業(yè)的戰(zhàn)略制定階段。特定的戰(zhàn)略目標雖然可以通過不同的戰(zhàn)略來實現(xiàn)，然而不同的戰(zhàn)略目標會給企業(yè)帶來不同的風險。戰(zhàn)略制定和風險偏好存在直接關系，在考慮達到戰(zhàn)略目標的具體目標時，管理當局要鑒別與戰(zhàn)略選擇相關的風險，并且要考慮對這些風險的應對措施的運用（吳永澎. 2006）。此外，ERM整體框架還將“財務報告的可靠性”發(fā)展為“報告的可靠性”。原COSO報告將財務報告的可靠性界定為“編制可靠的公開財務報表，包括中期和簡要財務報表，以及從這些財務報表中摘出的數(shù)據(jù)，如利潤分配數(shù)據(jù)”。新報告則將報告拓展到“內(nèi)部的和外部的”、“財務的和非財務的報告”，該目標涵蓋了企業(yè)的所有報告。
　　
　?。ㄈ┩卣沽藘?nèi)部控制的要素
　　COSO在《內(nèi)部控制——整體框架》中提出了五個要素：即控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)督。ERM框架對這五個要素進行了深化和拓展，將其演變?yōu)榘藗€要素。引入了風險偏好、風險容忍度和風險文化等概念，將原有的“控制環(huán)境”擴展為“內(nèi)部環(huán)境”。這一修改使企業(yè)關注的范圍不再局限于控制方面，而是從更寬闊的視野，以及更綜合、更直接的角度考慮各種因素對風險的影響。并且將原有的“風險評估”要素發(fā)展為“事件識別”、“風險評估”和“風險反應”。這不只是對原“風險評估”進行的簡單細化，而是意味著企業(yè)風險意識的增強和主動地管理風險。也就是企業(yè)風險管理綜合框架強調(diào)應對所有事件，包括正面事件和負面事件進行綜合識別，并且應將其以適當?shù)慕M合方式加以看侍，并通過對固有風險和剩余風險的綜合評價做出適當?shù)娘L險應對措施，以減少經(jīng)營偏差的發(fā)生及相關成本和損失，有利于企業(yè)抓住機會，及時調(diào)整策略，避免資源浪費，實現(xiàn)經(jīng)營獲利目標。
　　
　　（四）明確了內(nèi)部控制的責任關系
　　ERM框架認為，組織的每個成員都應對企業(yè)風險管理承擔責任，并進一步劃分了責任主體的等級：董事會在風險管理中扮演更加重要的角色——負總體責任，并被要求變得更加謹慎。企業(yè)風險管理的成功與否主要依賴于董事會，因為董事會需要批準組織的風險偏好；在企業(yè)風險管理中，CEO負有首要責任，并應對所有權負責，其他經(jīng)理人員則起支持作用；風險部門管理者，財務部門管理者和內(nèi)部審計人員等負有關鍵性責任；其他的企業(yè)人員負有按確定的指示和協(xié)議執(zhí)行企業(yè)風險管理的責任。另外，企業(yè)外部利益相關者如客戶、賣主、商業(yè)伙伴、外部審計師、監(jiān)督者和財務分析師經(jīng)常提供影響企業(yè)風險管理的有用信息。雖然他們并不為企業(yè)風險管理負責，但卻是企業(yè)實施風險管理必須考慮的因素。
　　
　?。ㄎ澹﹦?chuàng)新了內(nèi)部控制的風險觀念
　　ERM 框架指出，企業(yè)風險管理的基本假設是，每一主體存在的目的是為其所有者創(chuàng)造價值。所有主體都面臨不確定性，管理層的挑戰(zhàn)就是確定在其為所有者創(chuàng)造價值的過程中，須在多大程度上接受不確定性。ERM把事件區(qū)分為風險和機會，事件可能有消極的影響、積極的影響或兩者兼有。消極影響事件意味著風險，它妨礙價值創(chuàng)造或削弱現(xiàn)存價值；積極影響事件可以抵銷消極影響或意味著機會。機會是一種可能性，即事件將會發(fā)生并積極影響目標實現(xiàn)、支持價值創(chuàng)造或價值保持。一個組織必須識別影響其目標實現(xiàn)的內(nèi)、外部事件，區(qū)分哪些是風險、哪些是機會。管理當局要密切注意各層級的風險，并采取積極的管理措施。內(nèi)部控制的目的不應是消極控制或防范風險，而是要主動管理風險。風險管理能使管理層有效地處理不確定性及與之相關的風險和機會，增進創(chuàng)造價值的能力，并在追求主體目標的過程中有效地配置資源，實現(xiàn)價值最大化。
　　
　　【參考文獻】
　　[1] 賈國軍，李陽，楊秀玲. “從美國COSO報告