ＣＯＳＯ框架的演化及其對我國的啟示

　　[摘要]文章通過對比COSO項目組前后發(fā)布的兩個COSO框架，深入分析COSO框架的演化路徑，總結出了內(nèi)部控制理論發(fā)展的趨向，以為我國企業(yè)完善內(nèi)部控制和加強風險管理提供借鑒。
　　[關鍵詞]COSO框架；演化；啟示
　　
　　一、問題的提出
　　
　　針對層出不窮的財務舞弊案例，COSO委員會于1992年發(fā)布了《內(nèi)部控制——整體框架》，即COSO框架(簡稱“IC-IF框架”)，該框架一發(fā)布便受到理論界和實務界的廣泛認可，得到了美國聯(lián)邦儲備局、美國證券交易委員會、巴塞爾委員會等監(jiān)管機構或國際組織的認可與采納，其中的許多定義、建議及思想被吸收到立法與規(guī)則制定中，在全世界范圍內(nèi)產(chǎn)生了廣泛的影響。然而十多年后，隨著安然、世通、施樂等公司財務舞弊案為代表的新一輪會計丑聞的爆發(fā)，全世界范圍內(nèi)掀起了加強企業(yè)風險管理的浪潮，要求提高企業(yè)風險管理能力的呼聲日益高漲。在這一背景下，COSO委員會在1992年COSO報告的基礎上，結合《薩班斯——奧克斯利法案》，于2004年發(fā)布了COSO新框架(簡稱“ERM框架”)，此報告涵蓋了IC--IF框架的內(nèi)容，其范圍和內(nèi)容更加廣泛。
　　目前，我國大部分企業(yè)仍處于加強內(nèi)部控制的建設階段，缺乏必要的全面風險管理意識，更沒有建立科學的企業(yè)風險管理體系。因此，充分理解ERM框架的理論內(nèi)涵和實踐價值以及內(nèi)部控制與風險管理的關系，對完善我國企業(yè)內(nèi)部控制和建立企業(yè)風險管理體系，無疑有著積極的借鑒意義。
　　
　　二、COSO報告演化的趨向
　　
　　任何企業(yè)都面臨著不確定性，如何有效地處理不確定性及相應的風險和機遇，提升企業(yè)創(chuàng)造價值的能力，是所有企業(yè)管理層面臨的挑戰(zhàn)。ERM框架即為企業(yè)管理者提供了一個評價和提高企業(yè)風險管理水平的概念性指南。
　　ERM框架無論是在內(nèi)部控制的內(nèi)涵方面，還是在目標、要素和管理者任務等方面均有相當大的突破。從IC-IF框架到ERM框架的演化，影射出了內(nèi)部控制理論發(fā)展的趨向。
　　
　　(一)內(nèi)部控制內(nèi)涵的拓展凸顯了內(nèi)部控制理論發(fā)展的風險趨向
　　IC-IF框架指出，“內(nèi)部控制是一個受董事會、管理層和其他人員影響的，為企業(yè)經(jīng)營的效率和效果、財務報告的可靠性以及法律法規(guī)的遵循性等目標的實現(xiàn)提供合理保證的過程。”ERM框架在IC-IF框架的基礎上，吸收了風險管理理論的最新研究成果，對內(nèi)部控制的內(nèi)涵進行了擴展并重新表述為“企業(yè)風險管理是一個受董事會、管理層和其他人員影響的，應用于企業(yè)戰(zhàn)略制定、各部門和各項經(jīng)營活動、識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的，為企業(yè)各類目標的實現(xiàn)提供合理保證的過程。”從內(nèi)部控制和企業(yè)管理的定義可以看出，ERM框架將風險管理提升到前所未有的高度，除了涵蓋內(nèi)部控制的所有合理內(nèi)容以外，還首次明確提出了風險偏好、風險容忍度等概念，使內(nèi)部控制的定義更加明確與具體。
　　
　　(二)內(nèi)部控制要素的擴展凸顯了內(nèi)部控制理論的“目標—風險—控制”趨向
　　傳統(tǒng)的內(nèi)部控制邏輯范式是“控制一風險一目標”。ERM框架從以下幾個方面擴展了內(nèi)部控制的要素：一是將控制環(huán)境擴展為內(nèi)部環(huán)境。二是增加了目標制定、事項識別和風險應對三個要素。首先，ERM框架將目標制定作為風險管理的首要步驟，針對不同層級的且標分析其風險。從而使風險管理的目標更加明確。其次。ERM框架徹底更新了風險觀念，區(qū)分了風險與機遇，將風險定義為可能有負面影響的事項，將戰(zhàn)略機遇與企業(yè)風險聯(lián)系起來考慮，并強調(diào)了IC-IF框架從未涉及的風險組合觀，即從各個層次識別風險，從企業(yè)整體出發(fā)管理風險。最后，ERM框架在事項識別的基礎上，提出了規(guī)避、減少、共擔和接受四種具體的風險應對措施。三是ERM框架擴展了信息與溝通要素的內(nèi)容。由于IC-IF框架僅提出三個目標，因此“信息與溝通”中的信息僅僅指與這三個目標相關的信息，而ERM框架包括了與組織的各個層級、目標相關的信息，為董事會和管理層充分把握機遇和識別風險提供了基礎和可能，也對管理層將巨量信息處理和精煉為可控的信息提出了挑戰(zhàn)。由此可以看出，ERM框架對內(nèi)部控制要素的擴展革新了傳統(tǒng)的內(nèi)部控制邏輯范式，凸顯了“目標—風險—控制”的新內(nèi)部控制邏輯范式。
　　
　　(三)內(nèi)部控制目標層次的提高凸顯了內(nèi)部控制理論發(fā)展的戰(zhàn)略趨向
　　IC-IF框架的內(nèi)部控制的目標僅涉及經(jīng)營活動、財務報告和合規(guī)性三個方面。其中，財務報告目標僅與公開披露的財務報告的可靠性相關。而ERM框架將風險管理的目標擴展為戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)性目標。可以看出，ERM框架一方面擴展了原來的財務報告目標，將“財務報告的可靠性”發(fā)展為“報告的可靠性”，即是將財務報告拓展到“內(nèi)部和外部的報告”、“財務和非財務的報告”，涵蓋了企業(yè)所有的報告；另一方面還增加了企業(yè)最高層次的戰(zhàn)略目標，將風險管理應用于企業(yè)戰(zhàn)略的制定，凸顯了內(nèi)部擴控制理論發(fā)展的戰(zhàn)略趨向。
　　
　　(四)內(nèi)部控制責任的上移凸顯了內(nèi)部控制理論發(fā)展的公司治理趨向
　　IC-IF框架和ERM框架都將董事會、管理層、內(nèi)部審計師和其他員工看成是相關責任人，認為董事會負責管理、指引和核查。但ERM框架將內(nèi)部控制的重心進一步上移，并更加明確地劃分了各個層級的相關責任主體。具體表現(xiàn)在：一是ERM框架將內(nèi)部控制的重心上移至董事會，要求董事會在風險管理方面扮演更加重要的角色——負總體責任，且變得更加機警。董事會需要批準企業(yè)的風險偏好，復核企業(yè)的風險組合觀并與企業(yè)的風險偏好相比較，評估企業(yè)最重要的風險并評估管理者的風險反應是否適當。二是ERM框架要求CEO必須確定目標和戰(zhàn)略方案，并將其分為戰(zhàn)略目標、經(jīng)營目標、報告目標和遵循目標。目標設定后，管理層就需要識別風險和影響風險的事項，評估風險，采取控制措施，在風險管理方面負首要責任，其他經(jīng)理人員起支持作用。三是ERM框架增加了首席風險師的角色。首席風險師除了需要和其他管理人員一樣，在自己的職責范圍內(nèi)建立起風險管理外，還要幫助其他管理人員在企業(yè)內(nèi)向上、向下和橫向報告有關的風險信息，并成為企業(yè)風險管理委員會的一員。四是ERM框架要求內(nèi)部審計人員通過監(jiān)督、評價、檢查、報告和改革企業(yè)ERM框架來協(xié)助管理層和董事會，在風險管理的監(jiān)控中負重要責任。五是其他人員負有按確定的指示進行企業(yè)風險管理的責任。
　　
　　三、COSO框架的演化對我國的啟示
　　
　　“他山之石，可以攻玉”。COSO框架的演進對完善我國企業(yè)的內(nèi)部控制具有一定啟發(fā)和借鑒意義。
　　
　　(一)以風險為導向來進行內(nèi)部控制
　　COSO框架演化的最大變化就是將企業(yè)內(nèi)部控制的內(nèi)涵拓展為企業(yè)風險管理。在我國，幾乎所有的大企業(yè)都有一套嚴密、完整的內(nèi)部控制制度，但董事會和管理層只將精力集中在各種細小的控制上，忽視了企業(yè)潛在的重大風險，結果導致了許多企業(yè)的失敗。ERM框架告訴我們，企業(yè)應將風險管理作為內(nèi)部控制的重心和主要內(nèi)容。我國企業(yè)要在完善原有IC-IF框架的基礎上，建立有效的風險管理體系，提升內(nèi)部控制的效果。
　　
　　(二)樹立風險組合的觀念
　　風險組合觀是ERM框架的一大亮點。企業(yè)的高層管理者在風險管理的過程中，要站在全局的角度，以風險組合的觀點來分析風險，不僅要將企業(yè)每個部門的風險控制在其各自風險容忍度的范圍內(nèi)，而且匯總后的總風險也要控制在股東、其他利益相關者認可的風險偏好范圍之內(nèi)。
　　
　　(三)將風險管理提升到戰(zhàn)略層面
　　近幾年來，我國企業(yè)加強了內(nèi)部控制的建設，逐步建立、完善了內(nèi)部控制流程和規(guī)章制度，提高了人員素質(zhì)。但是，依舊還存在就事論事思考問題的習慣，內(nèi)部控制手段比較單調(diào)，很少從整體、長期的角度來考慮應該采取的戰(zhàn)略。因此，風險管理需要提升到公司長期和諧發(fā)展的戰(zhàn)略高度。ERM框架提供了從戰(zhàn)略高度管理風險的指導，我國企業(yè)應遵循“目標—風險—控制”的邏輯范式，結合自身優(yōu)勢與外部環(huán)境設定戰(zhàn)略目標，并采取相應的風險管理措施，將企業(yè)的整體風險水平控制在企業(yè)的風險容忍度范圍之內(nèi)。
　　
　　(四)提升董事會在風險管理中的責任，設立首席風險師職位并增強其職能，加大內(nèi)部審計人員的風險監(jiān)控力度
　　目前，我國多數(shù)企業(yè)“一股獨大”現(xiàn)象仍很突出，法人治理結構不完善，很少有企業(yè)設有真正的董事會，有些企業(yè)即使設立了董事會也是形同虛設。董事會功能的缺失是導致風險的一個重要原因。同時，我國多數(shù)企業(yè)都沒有設置首席風險師這一職位，內(nèi)部審計人員的風險監(jiān)督力度也較弱。ERM框架為提升董事會在風險管理中的責任、設立首席風險師職位并增強其職能、加大內(nèi)部審計人員的風險監(jiān)控力度提供了理論指導，我國企業(yè)應借鑒ERM框架，形成一套有利于企業(yè)風險管理的組織體系以提高我國企業(yè)內(nèi)部控制的效