【摘要】美國COSO委員會出臺的《企業(yè)風(fēng)險管理——整體框架》被視為當(dāng)前最先進(jìn)的內(nèi)部控制理論。本文對《企業(yè)風(fēng)險管理——整體框架》及其前身《內(nèi)部控制——整體框架》的核心內(nèi)容進(jìn)行了分析,從最新的風(fēng)險管理框架出發(fā),提出了對完善我國企業(yè)內(nèi)部控制的幾點(diǎn)啟示,作為企業(yè)內(nèi)部控制建設(shè)的參考。

　　【關(guān)鍵詞】COSO,內(nèi)部控制,啟示

　　自美國安然公司特大財(cái)務(wù)舞弊事件發(fā)生以來,企業(yè)內(nèi)部控制問題引起了世界各國的廣泛關(guān)注。而提到內(nèi)部控制,我們不得不提到美國COSO報告。本文借鑒COSO報告,談?wù)勱P(guān)于完善我國企業(yè)內(nèi)部控制的幾點(diǎn)建議。

　　一、COSO報告

　　COSO委員會是一個由美國注冊會計(jì)師協(xié)會、美國會計(jì)學(xué)會、財(cái)務(wù)經(jīng)理人協(xié)會、內(nèi)部審計(jì)師協(xié)會和全國會計(jì)師協(xié)會共同發(fā)起并出資組成的民間組織。該組織本著通過商業(yè)倫理、有效的內(nèi)部控制和公司治理提高財(cái)務(wù)報告質(zhì)量的宗旨,有著一套嚴(yán)密的研究范式和程序。自1985年成立至2004年近20年時間,共發(fā)布了五份研究成果,對全世界的會計(jì)審計(jì)和證券界都產(chǎn)生了深遠(yuǎn)影響。本文所指的COSO報告是指COSO委員會1992年發(fā)布的《內(nèi)部控制——整體框架》和2004年發(fā)布的《企業(yè)風(fēng)險管理——整體框架》。

　　1、內(nèi)部控制整體框架

　　1992年COSO委員會發(fā)布了《內(nèi)部控制——整體框架》(Internal Control-Integrated Framework)。該報告提出了內(nèi)部控制的三項(xiàng)目標(biāo)和五大要素,指出企業(yè)內(nèi)部控制是“由企業(yè)董事會、經(jīng)理層以及其他員工共同實(shí)施的,為財(cái)務(wù)報告的準(zhǔn)確性、經(jīng)營活動的效率與效果、相關(guān)法律法規(guī)的遵循等目標(biāo)的實(shí)現(xiàn)而提供合理保證的過程”,由控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)控等五個要素構(gòu)成?！秲?nèi)部控制——整體框架》得到了美國聯(lián)邦儲備局、美國證券交易委員會、巴塞爾委員會等監(jiān)管機(jī)構(gòu)或國際組織的認(rèn)可與采納,被視為關(guān)于內(nèi)部控制的綱領(lǐng)性文件,被世界范圍內(nèi)許多企業(yè)所采用。

　　與以往的內(nèi)部控制理論及研究相比,《內(nèi)部控制——整體框架》提出了許多新的、有價值的觀點(diǎn),主要有以下幾個方面。

　　(1)明確了內(nèi)部控制的一系列基礎(chǔ)概念。該報告給出了內(nèi)部控制明確的定義,將內(nèi)部控制基本目標(biāo)準(zhǔn)確定位為幫助企業(yè)奔向經(jīng)營目標(biāo)、完成使命和減少經(jīng)營過程中的風(fēng)險,提出三類目標(biāo)、五項(xiàng)構(gòu)成要素概念。這一系列基礎(chǔ)概念的提出為評價內(nèi)部控制系統(tǒng)提供了一套完整的標(biāo)準(zhǔn),在理論和實(shí)際應(yīng)用兩個方面都較原來的內(nèi)部控制學(xué)說有了一個質(zhì)的飛躍。

　　(2)強(qiáng)調(diào)內(nèi)部控制是一種動態(tài)的過程。提出內(nèi)部控制是由控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通和監(jiān)控等五項(xiàng)要素構(gòu)成的一種“過程”。這五項(xiàng)控制要素不是內(nèi)部控制過程中有著明確先后順序的一道道工序,而是有著多方向的、交叉的、多維的聯(lián)系的。內(nèi)部控制是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的過程。企業(yè)的經(jīng)營管理環(huán)境不斷發(fā)展變化,必然要求企業(yè)內(nèi)部控制也是一個動態(tài)發(fā)展的、越來越完善的過程。

　　(3)明確企業(yè)員工的內(nèi)部控制責(zé)任,強(qiáng)調(diào)內(nèi)部控制中“人”的重要性。報告指出人和環(huán)境是推動企業(yè)發(fā)展的引擎。不僅僅是管理人員、內(nèi)部審計(jì)人員或董事會成員,組織中的每一位員工都受內(nèi)部控制的影響,并通過自身的工作影響著他人的工作和整個內(nèi)部控制系統(tǒng)。所有員工都應(yīng)對內(nèi)部控制負(fù)有責(zé)任,清楚他們在企業(yè)內(nèi)部控制系統(tǒng)中的位置和角色,并協(xié)調(diào)一致,推進(jìn)企業(yè)內(nèi)部控制的有效運(yùn)轉(zhuǎn)。

　　2、企業(yè)風(fēng)險管理整體框架

　　2001年年底以來,安然、世界通信、施樂、美國在線時代華納等上市公司財(cái)務(wù)舞弊事件的發(fā)生,集中暴露了美國公司在內(nèi)部控制上存在的問題,由此導(dǎo)致《薩班尼斯—奧克斯利法》(Sarbanes-Oxley Act,簡稱薩班斯法案、SOX法案)的出臺。SOX法案強(qiáng)化公司治理結(jié)構(gòu)并明確公司的財(cái)務(wù)報告責(zé)任,大幅增強(qiáng)了公司的財(cái)務(wù)披露義務(wù);加重了對公司管理層違法行為的處罰措施;并強(qiáng)化了內(nèi)部審計(jì)、外部審計(jì)及審計(jì)監(jiān)管。

　　2004年9月29日,COSO委員會在《內(nèi)部控制——整體框架》報告的基礎(chǔ)之上,根據(jù)SOX法案強(qiáng)化財(cái)務(wù)信息披露內(nèi)部控制有效性的規(guī)定,結(jié)合公司治理過程中應(yīng)加強(qiáng)對企業(yè)風(fēng)險管理的新形勢,發(fā)布了《企業(yè)風(fēng)險管理——整體框架》(Enterprise Risk Management -Integrated Framework,簡稱ERM)。

　　與內(nèi)部控制框架相比較,ERM框架添加了新的元素,更加突出了對企業(yè)風(fēng)險的關(guān)注,從風(fēng)險管理角度對內(nèi)部控制進(jìn)行了全新的詮釋,無論在內(nèi)容還是范圍上都有很大的改進(jìn)和完善,具體表現(xiàn)為以下幾方面。

　　(1)內(nèi)部控制目標(biāo)的定位更高,內(nèi)容更寬泛。內(nèi)部控制框架將企業(yè)內(nèi)部控制的目標(biāo)分為經(jīng)營目標(biāo)、財(cái)務(wù)報告目標(biāo)和合法性目標(biāo)。ERM框架則在此三項(xiàng)目標(biāo)基礎(chǔ)之上,新增了一個目標(biāo)——戰(zhàn)略目標(biāo),該目標(biāo)的層次比其他三個目標(biāo)更高。另外,內(nèi)部控制框架中的財(cái)務(wù)報告目標(biāo)只與公開披露的財(cái)務(wù)報表的可靠性相關(guān),而ERM框架中的財(cái)務(wù)報告目標(biāo)的范圍有很大的擴(kuò)展,覆蓋了企業(yè)編制的所有報告。

　　(2)更加突出了對企業(yè)風(fēng)險的關(guān)注。ERM框架以風(fēng)險管理為中心定位內(nèi)部控制體系,明確了內(nèi)部控制的核心就是進(jìn)行風(fēng)險管理以最終幫助企業(yè)實(shí)現(xiàn)其既定目標(biāo)。ERM框架提出了一個新的觀念——風(fēng)險組合觀,并針對風(fēng)險度量提出風(fēng)險偏好和容忍度兩個新概念,同時在內(nèi)部控制構(gòu)成要素方面增加了三個風(fēng)險管理要素——目標(biāo)制定、事項(xiàng)識別、風(fēng)險反應(yīng),并對其他五個構(gòu)成要素的內(nèi)涵進(jìn)行了更深入的闡述,擴(kuò)大了相關(guān)要素的范圍。可以說,ERM框架中列明的八個要素都是直接或間接圍繞企業(yè)風(fēng)險管理而展開的。

　　(3)更加強(qiáng)調(diào)董事會在內(nèi)部控制中的作用。內(nèi)部控制框架的控制環(huán)境要素包括組織人員的誠實(shí)、倫理價值和能力;管理層哲學(xué)和經(jīng)營模式;管理層分配權(quán)限和責(zé)任、組織、發(fā)展員工的方式;董事會提供的關(guān)注和方向等內(nèi)容。雖然將董事會與內(nèi)部控制聯(lián)系起來了,但它的這種聯(lián)系僅僅局限于企業(yè)有一些事情需要董事會審批或授權(quán),基本上把內(nèi)部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯(lián)系和制衡關(guān)注不夠。ERM框架則將內(nèi)部控制框架中的控制環(huán)境擴(kuò)展為內(nèi)部環(huán)境,并充分認(rèn)識到企業(yè)風(fēng)險管理的成功與否很大程度上依賴于董事會,董事會對內(nèi)部控制系統(tǒng)至關(guān)重要,擴(kuò)大了董事會在企業(yè)內(nèi)部控制中的地位與職責(zé)。

　　二、COSO報告對我國企業(yè)內(nèi)部控制的啟示

　　近年來,隨著我國在內(nèi)部會計(jì)控制方面逐漸形成了一個較完整的規(guī)范體系,大部分企業(yè)都建立了內(nèi)部控制制度,但在企業(yè)實(shí)際經(jīng)營管理活動中,普遍存在一些問題。COSO報告可以說是目前最完善的內(nèi)部控制框架,借鑒COSO報告可以對完善我國企業(yè)內(nèi)部控制有以下一些啟示。

　　1、建立以風(fēng)險管理為核心的企業(yè)內(nèi)部控制體系

　　新的COSO框架最突出的特點(diǎn)是提高了對企業(yè)風(fēng)險的關(guān)注程度,使企業(yè)內(nèi)部控制逐漸呈現(xiàn)與風(fēng)險管理一體化的趨勢,即以風(fēng)險管理為主導(dǎo),建立適應(yīng)企業(yè)風(fēng)險管理戰(zhàn)略的新的內(nèi)部控制。企業(yè)內(nèi)部控制開始走向范圍更寬泛的風(fēng)險管理。

　　我國企業(yè)應(yīng)加強(qiáng)對風(fēng)險的認(rèn)識,將風(fēng)險管理提升到一定的高度,逐步建立以風(fēng)險管理為核心的內(nèi)部控制體系。由于控制是需要成本的,董事會與管理層要將精力主要放在風(fēng)險管理上,而不是對所有細(xì)節(jié)的控制上。對風(fēng)險的管理是否及時、有效往往會關(guān)系到企業(yè)的生死存亡。只有將風(fēng)險管理作為核心的內(nèi)部控制才能為企業(yè)的存續(xù)和發(fā)展提供更大的支持。 企業(yè)風(fēng)險管理需要企業(yè)管理者建立一種企業(yè)總體層面上的風(fēng)險組合觀,對相關(guān)的風(fēng)險進(jìn)行識別并采取措施使企業(yè)所承擔(dān)的總體風(fēng)險在風(fēng)險偏好的范圍內(nèi)。在制定目標(biāo)時,要針對不同的目標(biāo)分析其相應(yīng)的風(fēng)險,并根據(jù)對實(shí)現(xiàn)企業(yè)目標(biāo)的潛在影響來確認(rèn)風(fēng)險,從固有風(fēng)險和殘存風(fēng)險的角度進(jìn)行風(fēng)險評估,對規(guī)避、減少、共擔(dān)和接受等風(fēng)險反應(yīng)方案,企業(yè)管理者應(yīng)比較不同方案的潛在影響,在企業(yè)風(fēng)險容忍度范圍內(nèi)的假設(shè)下考慮風(fēng)險反應(yīng)方案的選擇。

　　2、重視企業(yè)的內(nèi)部環(huán)境建設(shè),強(qiáng)化董事會的內(nèi)部控制功能

　　內(nèi)部環(huán)境有著豐富的內(nèi)涵,它由許多因素共同構(gòu)成,包括企業(yè)風(fēng)險管理理念、企業(yè)風(fēng)險偏好、董事會的監(jiān)管、企業(yè)員工的誠實(shí)性、道德標(biāo)準(zhǔn)和能力、權(quán)責(zé)的分派以及企業(yè)的人力資源政策等。內(nèi)部環(huán)境設(shè)定了企業(yè)的基調(diào),同時也是決定一個企業(yè)的內(nèi)部控制優(yōu)劣的基礎(chǔ)。企業(yè)要加強(qiáng)對內(nèi)部環(huán)境的建設(shè),只有擁有良好的內(nèi)部環(huán)境,才能保證具體內(nèi)部控制措施的實(shí)施,才能真正建立起有效的體系。

　　在構(gòu)成內(nèi)部環(huán)境的要素中,董事會是重要的組成部分,對其他要素有著重大影響,建立健全董事會功能是企業(yè)最根本的內(nèi)部控制。安然、世通等特大財(cái)務(wù)欺詐案件都直接與董事會功能失效和內(nèi)部人控制泛濫有關(guān)。而在我國,受體制等方面的影響,很多企業(yè)的董事會形同虛設(shè),內(nèi)部控制缺乏應(yīng)有的股東監(jiān)督機(jī)制,更多地維系在經(jīng)營者的覺悟上,關(guān)鍵人控制現(xiàn)象十分突出。企業(yè)應(yīng)該認(rèn)識到董事會對企業(yè)的所有活動負(fù)有最終責(zé)任,要充分發(fā)揮董事會的監(jiān)管作用,確保企業(yè)的各項(xiàng)活動符合其風(fēng)險偏好、不超出其風(fēng)險容忍度的范圍,這樣才能使企業(yè)健康地發(fā)展下去。

　　3、加強(qiáng)監(jiān)督機(jī)制,提高內(nèi)部控制效率

　　公司治理的監(jiān)督機(jī)制包括內(nèi)部監(jiān)督機(jī)制與外部監(jiān)督機(jī)制,其中內(nèi)部監(jiān)督機(jī)制是指股東大會、董事會、監(jiān)事會等監(jiān)督機(jī)制;外部監(jiān)督機(jī)制是指媒體、中介機(jī)構(gòu)等監(jiān)督機(jī)制。在目前我國很多企業(yè)缺乏完善的公司治理機(jī)制、內(nèi)部環(huán)境較差的情況下,要使內(nèi)部控制有效執(zhí)行,必須借助于企業(yè)內(nèi)、外部的監(jiān)督機(jī)制,定期和不定期地對內(nèi)部控制制度的執(zhí)行情況進(jìn)行檢查與考核,不斷發(fā)現(xiàn)問題、解決問題,從而不斷修改或調(diào)整有關(guān)的控制環(huán)節(jié)和措施,促使內(nèi)部控制日趨合理有效。

　　4、突出人的作用,增強(qiáng)內(nèi)部控制執(zhí)行的自覺性

　　無論多好的制度,若得不到切實(shí)的執(zhí)行也不能發(fā)揮其應(yīng)有的作用。內(nèi)部控制并非僅僅是政策手冊與表格,而是由具體的人來執(zhí)行和實(shí)施的。在加強(qiáng)企業(yè)內(nèi)部控制管理的過程中,人的因素十分的重要。這里所說的人,不僅僅是企業(yè)的管理人員、董事會成員或內(nèi)部審計(jì)人員,而應(yīng)包括來自企業(yè)內(nèi)每一個階層的每一個員工。一個良好的內(nèi)部控制系統(tǒng)應(yīng)確保企業(yè)內(nèi)每一個員工都能清楚地知道其所擁有的權(quán)力和承擔(dān)的責(zé)任,樹立每一個員工都應(yīng)對企業(yè)的內(nèi)部控制負(fù)有責(zé)任的觀念,促使他們團(tuán)結(jié)合作,主動實(shí)施并完善企業(yè)的內(nèi)部控制,為企業(yè)總體目標(biāo)的實(shí)現(xiàn)認(rèn)真履行自己的職責(zé)。

　　【參考文獻(xiàn)】

　　[1] 柳木華:美國COSO委員會:借鑒與啟示[J].當(dāng)代財(cái)經(jīng),2006(8).

　　[2] 李靜:美國COSO報告及其借鑒意義[J].財(cái)會月刊,2006(4).

　　[3] 朱榮恩、賀欣:內(nèi)部控制框架的新發(fā)展——企業(yè)風(fēng)險管理框架[J].審計(jì)研究,2003(6).

　　[4] 吳濤:新COSO報告對構(gòu)建我國內(nèi)部控制規(guī)范體系的啟示[J].商場現(xiàn)代化,2006(2).

　　[5] 葉雪芳:美國COSO報告及對我國內(nèi)部控制的啟示[J].商業(yè)經(jīng)濟(jì)與管理,2003(3).