由ＣＯＳＯ报告的变革看内部控制标准的发展

　　【摘要】 内部控制问题正逐渐为全球所关注。本文依照COSO报告变化的背景，特别结合目前具有广泛影响的ERM框架的内容，阐明了风险管理思想对内部控制标准发展的贡献，旨在为内部控制制度的设计和评价提供借鉴。
　　【关键词】 COSO报告；内部控制；风险管理
　　
　　一、COSO背景
　　
　　COSO委员会是由美国注册会计师协会( AICPA )、美国会计学会( AAA )、财务经理人协会( FEI )、内部审计师协会( IIA )和管理会计师协会( IMA )共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理提高财务报告质量。COSO发布的研究成果在美国以及全球会计、审计和证券界产生了深远影响，其中的一些概念和原理被写入了教科书，成为研究人员经常引用的经典；而且，随同报告发布的实务指南也为单位组织建立内部管理架构提供了十分有益的帮助，成为评价单位组织内部控制的标准。（柳木华 . 2006）。迄今为止，COSO委员会共发布了五部研究报告。
　　1987年，COSO发布了《反欺诈性财务报告全国委员会报告》，报告对财务欺诈的研究和分析没有简单地局限于独立审计师的查错作用，而是密切关注企业法律、金融和其他咨询顾问在财务欺诈中的角色，分析了企业经理班子价值观念和会计、内审与审计委员会的作用，触及了政府管制(包括SEC)和大学会计课程设置是否充分有效等问题。报告分别向公众公司、注册会计师、SEC以及其他法律部门、教育部门等提出了约100条建议。1996年，COSO发表了《金融衍生工具使用中的内部控制问题》，该报告模型认为，“风险管理过程需要理解实体的目标和经营活动，识别市场风险和测度承担的风险，然后决定是否使用衍生产品将风险降低到可以承受的水平。只要简单的忽略与衍生产品有关的部分并代之以其他合适的降低风险行为，这个过程就具有普遍性”。报告为衍生工具用户建立、评估和改善内部控制，提供了指导性建议。1999年，COSO利用1987-1997年欺诈性财务报告公司样本，在归纳其公司特征、控制环境特征、欺诈特征的基础上，发布了《欺诈性财务报告-1987至1997：美国公众公司分析》。报告探讨了三个欺诈高发行业——信息技术、保健和金融服务业的欺诈特点，发现三个行业的欺诈手段存在显著差异，如信息技术业最常见的欺诈手段是收入欺诈，而金融服务业最常见的手段是资产欺诈和资产盗用，并且研究了财务报告欺诈与公司治理之间的关系，发现欺诈样本公司与其所在行业标准相比，具有相当弱的公司治理机制。20 世纪在经历了70年代一连串财务失败和可疑的商业行为相继爆发后，国际社会又出现了更耸人听闻的以金融机构破产为代表的财务失败事件，给纳税人最终带来超过1 500亿美元的成本。为能有效遏制这种愈演愈烈的会计舞弊活动，1992年，COSO在进行了深入研究之后发布了一份关于内部控制的纲领性文件，即《内部控制——整体框架》，它标志着内部控制理论与实践进入了整体框架的阶段。报告提出了内部控制的五个重要组成要素：控制环境、风险评估、控制活动、信息及沟通与监督，深化了内部控制的理念和应用。COSO报告一经发布便得到了业界的认可与采纳，并在世界范围内产生了广泛影响。2001年以来，以安然、世通等为代表的一些美国大公司，因财务信息造假等行为而相继倒闭破产，震撼了美国的资本市场，引起了世界的极大反响。在国际社会对改善公司治理与加强风险管理的呼声日益高涨的背景下，2004年9月，COSO委员会结合《萨班斯一奥克斯利法案》的相关要求，颁布了一个概念全新的报告：《企业风险管理——整体框架》（ERM）。框架的出台顺应了各方需求，与1992年的《内部控制——整体框架》相比，在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破，对企业风险管理做出了更为详尽的阐述。ERM并没有取代《内部控制——整体框架》，而是基于并将其融入其中，全面推进了内部控制标准的发展。
　　
　　二、COSO企业风险管理整体框架概要
　　
　　COSO为企业风险管理确立了一个可普遍接受的概念，为各组织识别风险和实施风险管理提供了理论基础。ERM框架认为：“企业风险管理是一个过程，是由企业的董事会、经理层和其他员工共同参与，应用于企业战略制定和企业内部各个层次和部门的、贯穿整个企业，旨在识别影响组织的潜在事件，为组织目标的实现提供合理的保证”。企业风险管理是由人参与的过程而并非结果，企业必须将风险管理融入在日常的经营管理之中，并涉及企业的每个员工。风险管理能够识别对企业造成影响的潜在风险，能在一定程度上帮助企业实现合理的既定目标。
　　企业风险管理包含八个相互关联的要素：
　　
　　（一）内部环境
　　内部环境是其他风险管理要素的基础，它由《内部控制——整体框架》要素中的“控制环境”演变而来，但包含了更为丰富的内容，如风险文化和风险偏好、管理哲学和经营风险、权力和责任分配、实践操守和价值观等。
　　
　　（二）目标设定
　　ERM框架认为，企业的管理层在评估风险之前必须确立目标，并针对不同的目标分析相应的风险，这样管理当局才能识别影响目标实现的潜在事项。企业的目标可以分成四类：1.战略目标。与企业的使命相一致，是较高层次的目标；2.经营目标。与企业经营的效果与效率相关，旨在使企业能够有效地使用资源；3.报告目标。企业组织报告的可靠性，分为对内报告和对外报告，涉及财务和非财务信息；4.遵循目标。即企业经营是否遵循相关的法律法规。
　　
　　（三）事件识别
　　指识别影响事件的内外部因素。潜在的事项，对企业可能有正面影响，也可能有负面影响。识别风险旨在于抓住机遇，或者在风险评估和应对阶段弥补风险对企业的影响。
　　
　　（四）风险评估
　　是决定如何管理风险的基础，风险得到识别后，就需要对风险进行分析评估，这样，管理层就能根据被识别风险的重要程度来进行规划和组织，使通过风险管理这个过程识别和分析风险，并采取减弱风险影响的行动来管理风险。风险评估可根据不同的风险目标确定相应的风险评估方法，主要为定量分析和定性分析相结合的方法。
　　
　　（五）风险对策
　　是在评估了相关的风险之后，所做出的应对、控制、转移、补偿风险的各种策略和措施。通常将风险对策分为规避风险、减少风险、共担风险和接受风险等四类。企业应在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事件发生的可能性和事项对企业的影响，并设计和执行风险应对方案。COSO认为，有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。
　　
　　（六）控制活动
　　是有助于保证风险应对方案得到执行的相关政策和程序。管理当局应对企业所有系统进行控制，包括对信息系统的控制，通常控制活动和风险评估过程是联系在一起的。
　　
　　（七）信息与沟通
　　信息是沟通的基础，沟通必须满足不同团体和个人的期望。企业内部和外部的信息必须以一定的方式进行确认和传递，以保证员工各自职责的执行和企业风险管理的有效运行。
　　
　　（八）监督
　　COSO将监督作为评估企业风险管理质量过程的一个部分，即评估风险管理要素的内容和运行，以及评价某一时期执行质量的一个过程。该过程包括持续监督、个别评估或者两者的结合。
　　企业风险管理的八个要素是一个有机整体。风险管理不只是一个直线的过程，而是一个多元化的相互作用的过程。 各要素之间的关系是：内部环境是企业风险管理的基础，为企业风险管理所有其他要素的运行提供了平台和组织结构；企业目标的制定，是风险管理的起点，是其他步骤的躯动力量；在企业目标已定的前提下，企业需要对影响目标的风险进行事件识别，进而对识别事件进行风险评估，风险评估驭动风险反应，影响控制活动；信息与沟通和监督贯穿于企业风险管理的全过程，并且可对其他各个组成要素进行修正（吴永澎 . 2006）。
　　
　　
　　三、COSO企业风险管理框架对内部控制标准的发展
　　
　　（一）丰富了内部控制的内涵
　　COSO在《内部控制——整体框架》中将内部控制定义为一个受董事会、经理层和其他人员影响的过程，提出内部控制是为了实现三个目标，即：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。该定义明确了以下要点：内部控制是一个过程；内部控制是一个受人影响的过程；内部控制为了实现三个目标；内部控制过程的设计是为了提供实现内部控制目标的合理保证。这个定义比较宽泛，从某些角度来说，也存在一些片面性。而新的ERM框架则更加明确了对风险管理和保护资产概念的运用，并将纠正错误的管理行为明确地列为控制活动之一。ERM框架在原《内部控制——整体框架》所明确的要点基础上，进一步明确了以下内容：即，内部控制应用于战略制定；内部控制贯穿整个企业的所有层级和单位；内部控制旨在识别影响组织的事件并在组织的风险偏好范围内管理风险。由于ERM框架提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体，同时又涵盖了内部控制所有合理的内容。
　　
　　（二）发展了内部控制的目标
　　针对《内部控制——整体框架》对企业战略管理方面关注不够的缺陷，ERM在目标中增加了一个新的目标——“战略目标”。使企业在追求短期利益的同时，从战略高度关注企业的长远目标和可持续发展。该目标的层次比其他三个目标更高。风险管理既应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。特定的战略目标虽然可以通过不同的战略来实现，然而不同的战略目标会给企业带来不同的风险。战略制定和风险偏好存在直接关系，在考虑达到战略目标的具体目标时，管理当局要鉴别与战略选择相关的风险，并且要考虑对这些风险的应对措施的运用（吴永澎. 2006）。此外，ERM整体框架还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告将财务报告的可靠性界定为“编制可靠的公开财务报表，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”，该目标涵盖了企业的所有报告。
　　
　　（三）拓展了内部控制的要素
　　COSO在《内部控制——整体框架》中提出了五个要素：即控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展，将其演变为八个要素。引入了风险偏好、风险容忍度和风险文化等概念，将原有的“控制环境”扩展为“内部环境”。这一修改使企业关注的范围不再局限于控制方面，而是从更宽阔的视野，以及更综合、更直接的角度考虑各种因素对风险的影响。并且将原有的“风险评估”要素发展为“事件识别”、“风险评估”和“风险反应”。这不只是对原“风险评估”进行的简单细化，而是意味着企业风险意识的增强和主动地管理风险。也就是企业风险管理综合框架强调应对所有事件，包括正面事件和负面事件进行综合识别，并且应将其以适当的组合方式加以看侍，并通过对固有风险和剩余风险的综合评价做出适当的风险应对措施，以减少经营偏差的发生及相关成本和损失，有利于企业抓住机会，及时调整策略，避免资源浪费，实现经营获利目标。
　　
　　（四）明确了内部控制的责任关系
　　ERM框架认为，组织的每个成员都应对企业风险管理承担责任，并进一步划分了责任主体的等级：董事会在风险管理中扮演更加重要的角色——负总体责任，并被要求变得更加谨慎。企业风险管理的成功与否主要依赖于董事会，因为董事会需要批准组织的风险偏好；在企业风险管理中，CEO负有首要责任，并应对所有权负责，其他经理人员则起支持作用；风险部门管理者，财务部门管理者和内部审计人员等负有关键性责任；其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。另外，企业外部利益相关者如客户、卖主、商业伙伴、外部审计师、监督者和财务分析师经常提供影响企业风险管理的有用信息。虽然他们并不为企业风险管理负责，但却是企业实施风险管理必须考虑的因素。
　　
　　（五）创新了内部控制的风险观念
　　ERM 框架指出，企业风险管理的基本假设是，每一主体存在的目的是为其所有者创造价值。所有主体都面临不确定性，管理层的挑战就是确定在其为所有者创造价值的过程中，须在多大程度上接受不确定性。ERM把事件区分为风险和机会，事件可能有消极的影响、积极的影响或两者兼有。消极影响事件意味着风险，它妨碍价值创造或削弱现存价值；积极影响事件可以抵销消极影响或意味着机会。机会是一种可能性，即事件将会发生并积极影响目标实现、支持价值创造或价值保持。一个组织必须识别影响其目标实现的内、外部事件，区分哪些是风险、哪些是机会。管理当局要密切注意各层级的风险，并采取积极的管理措施。内部控制的目的不应是消极控制或防范风险，而是要主动管理风险。风险管理能使管理层有效地处理不确定性及与之相关的风险和机会，增进创造价值的能力，并在追求主体目标的过程中有效地配置资源，实现价值最大化。
　　
　　【参考文献】
　　[1] 贾国军，李阳，杨秀玲. “从美国COSO报告