由ＣＯＳＯ報告的變革看內部控制標準的發展

　　【摘要】 內部控制問題正逐漸為全球所關注。本文依照COSO報告變化的背景，特別結合目前具有廣泛影響的ERM框架的內容，闡明了風險管理思想對內部控制標準發展的貢獻，旨在為內部控制制度的設計和評價提供借鑒。
　　【關鍵詞】 COSO報告；內部控制；風險管理
　　
　　一、COSO背景
　　
　　COSO委員會是由美國注冊會計師協會( AICPA )、美國會計學會( AAA )、財務經理人協會( FEI )、內部審計師協會( IIA )和管理會計師協會( IMA )共同發起并出資組成的民間組織。該組織的宗旨在于通過商業倫理、有效的內部控制和公司治理提高財務報告質量。COSO發布的研究成果在美國以及全球會計、審計和證券界產生了深遠影響，其中的一些概念和原理被寫入了教科書，成為研究人員經常引用的經典；而且，隨同報告發布的實務指南也為單位組織建立內部管理架構提供了十分有益的幫助，成為評價單位組織內部控制的標準。（柳木華 . 2006）。迄今為止，COSO委員會共發布了五部研究報告。
　　1987年，COSO發布了《反欺詐性財務報告全國委員會報告》，報告對財務欺詐的研究和分析沒有簡單地局限于獨立審計師的查錯作用，而是密切關注企業法律、金融和其他咨詢顧問在財務欺詐中的角色，分析了企業經理班子價值觀念和會計、內審與審計委員會的作用，觸及了政府管制(包括SEC)和大學會計課程設置是否充分有效等問題。報告分別向公眾公司、注冊會計師、SEC以及其他法律部門、教育部門等提出了約100條建議。1996年，COSO發表了《金融衍生工具使用中的內部控制問題》，該報告模型認為，“風險管理過程需要理解實體的目標和經營活動，識別市場風險和測度承擔的風險，然后決定是否使用衍生產品將風險降低到可以承受的水平。只要簡單的忽略與衍生產品有關的部分并代之以其他合適的降低風險行為，這個過程就具有普遍性”。報告為衍生工具用戶建立、評估和改善內部控制，提供了指導性建議。1999年，COSO利用1987-1997年欺詐性財務報告公司樣本，在歸納其公司特征、控制環境特征、欺詐特征的基礎上，發布了《欺詐性財務報告-1987至1997：美國公眾公司分析》。報告探討了三個欺詐高發行業——信息技術、保健和金融服務業的欺詐特點，發現三個行業的欺詐手段存在顯著差異，如信息技術業最常見的欺詐手段是收入欺詐，而金融服務業最常見的手段是資產欺詐和資產盜用，并且研究了財務報告欺詐與公司治理之間的關系，發現欺詐樣本公司與其所在行業標準相比，具有相當弱的公司治理機制。20 世紀在經歷了70年代一連串財務失敗和可疑的商業行為相繼爆發后，國際社會又出現了更聳人聽聞的以金融機構破產為代表的財務失敗事件，給納稅人最終帶來超過1 500億美元的成本。為能有效遏制這種愈演愈烈的會計舞弊活動，1992年，COSO在進行了深入研究之后發布了一份關于內部控制的綱領性文件，即《內部控制——整體框架》，它標志著內部控制理論與實踐進入了整體框架的階段。報告提出了內部控制的五個重要組成要素：控制環境、風險評估、控制活動、信息及溝通與監督，深化了內部控制的理念和應用。COSO報告一經發布便得到了業界的認可與采納，并在世界范圍內產生了廣泛影響。2001年以來，以安然、世通等為代表的一些美國大公司，因財務信息造假等行為而相繼倒閉破產，震撼了美國的資本市場，引起了世界的極大反響。在國際社會對改善公司治理與加強風險管理的呼聲日益高漲的背景下，2004年9月，COSO委員會結合《薩班斯一奧克斯利法案》的相關要求，頒布了一個概念全新的報告：《企業風險管理——整體框架》（ERM）。框架的出臺順應了各方需求，與1992年的《內部控制——整體框架》相比，在內部控制的內涵、目標、要素以及內部控制責任承擔等層面有了全新的突破，對企業風險管理做出了更為詳盡的闡述。ERM并沒有取代《內部控制——整體框架》，而是基于并將其融入其中，全面推進了內部控制標準的發展。
　　
　　二、COSO企業風險管理整體框架概要
　　
　　COSO為企業風險管理確立了一個可普遍接受的概念，為各組織識別風險和實施風險管理提供了理論基礎。ERM框架認為：“企業風險管理是一個過程，是由企業的董事會、經理層和其他員工共同參與，應用于企業戰略制定和企業內部各個層次和部門的、貫穿整個企業，旨在識別影響組織的潛在事件，為組織目標的實現提供合理的保證”。企業風險管理是由人參與的過程而并非結果，企業必須將風險管理融入在日常的經營管理之中，并涉及企業的每個員工。風險管理能夠識別對企業造成影響的潛在風險，能在一定程度上幫助企業實現合理的既定目標。
　　企業風險管理包含八個相互關聯的要素：
　　
　　（一）內部環境
　　內部環境是其他風險管理要素的基礎，它由《內部控制——整體框架》要素中的“控制環境”演變而來，但包含了更為豐富的內容，如風險文化和風險偏好、管理哲學和經營風險、權力和責任分配、實踐操守和價值觀等。
　　
　　（二）目標設定
　　ERM框架認為，企業的管理層在評估風險之前必須確立目標，并針對不同的目標分析相應的風險，這樣管理當局才能識別影響目標實現的潛在事項。企業的目標可以分成四類：1.戰略目標。與企業的使命相一致，是較高層次的目標；2.經營目標。與企業經營的效果與效率相關，旨在使企業能夠有效地使用資源；3.報告目標。企業組織報告的可靠性，分為對內報告和對外報告，涉及財務和非財務信息；4.遵循目標。即企業經營是否遵循相關的法律法規。
　　
　　（三）事件識別
　　指識別影響事件的內外部因素。潛在的事項，對企業可能有正面影響，也可能有負面影響。識別風險旨在于抓住機遇，或者在風險評估和應對階段彌補風險對企業的影響。
　　
　　（四）風險評估
　　是決定如何管理風險的基礎，風險得到識別后，就需要對風險進行分析評估，這樣，管理層就能根據被識別風險的重要程度來進行規劃和組織，使通過風險管理這個過程識別和分析風險，并采取減弱風險影響的行動來管理風險。風險評估可根據不同的風險目標確定相應的風險評估方法，主要為定量分析和定性分析相結合的方法。
　　
　　（五）風險對策
　　是在評估了相關的風險之后，所做出的應對、控制、轉移、補償風險的各種策略和措施。通常將風險對策分為規避風險、減少風險、共擔風險和接受風險等四類。企業應在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事件發生的可能性和事項對企業的影響，并設計和執行風險應對方案。COSO認為，有效的風險管理是管理者的選擇能使企業風險發生的可能性和影響都落在風險的容忍度內。
　　
　　（六）控制活動
　　是有助于保證風險應對方案得到執行的相關政策和程序。管理當局應對企業所有系統進行控制，包括對信息系統的控制，通常控制活動和風險評估過程是聯系在一起的。
　　
　　（七）信息與溝通
　　信息是溝通的基礎，溝通必須滿足不同團體和個人的期望。企業內部和外部的信息必須以一定的方式進行確認和傳遞，以保證員工各自職責的執行和企業風險管理的有效運行。
　　
　　（八）監督
　　COSO將監督作為評估企業風險管理質量過程的一個部分，即評估風險管理要素的內容和運行，以及評價某一時期執行質量的一個過程。該過程包括持續監督、個別評估或者兩者的結合。
　　企業風險管理的八個要素是一個有機整體。風險管理不只是一個直線的過程，而是一個多元化的相互作用的過程。 各要素之間的關系是：內部環境是企業風險管理的基礎，為企業風險管理所有其他要素的運行提供了平臺和組織結構；企業目標的制定，是風險管理的起點，是其他步驟的軀動力量；在企業目標已定的前提下，企業需要對影響目標的風險進行事件識別，進而對識別事件進行風險評估，風險評估馭動風險反應，影響控制活動；信息與溝通和監督貫穿于企業風險管理的全過程，并且可對其他各個組成要素進行修正（吳永澎 . 2006）。
　　
　　
　　三、COSO企業風險管理框架對內部控制標準的發展
　　
　　（一）豐富了內部控制的內涵
　　COSO在《內部控制——整體框架》中將內部控制定義為一個受董事會、經理層和其他人員影響的過程，提出內部控制是為了實現三個目標，即：經營的效果和效率、財務報告的可靠性、法律法規的遵循性。該定義明確了以下要點：內部控制是一個過程；內部控制是一個受人影響的過程；內部控制為了實現三個目標；內部控制過程的設計是為了提供實現內部控制目標的合理保證。這個定義比較寬泛，從某些角度來說，也存在一些片面性。而新的ERM框架則更加明確了對風險管理和保護資產概念的運用，并將糾正錯誤的管理行為明確地列為控制活動之一。ERM框架在原《內部控制——整體框架》所明確的要點基礎上，進一步明確了以下內容：即，內部控制應用于戰略制定；內部控制貫穿整個企業的所有層級和單位；內部控制旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險。由于ERM框架提出了風險偏好、風險容忍度等概念，使得ERM的定義更加明確、具體，同時又涵蓋了內部控制所有合理的內容。
　　
　　（二）發展了內部控制的目標
　　針對《內部控制——整體框架》對企業戰略管理方面關注不夠的缺陷，ERM在目標中增加了一個新的目標——“戰略目標”。使企業在追求短期利益的同時，從戰略高度關注企業的長遠目標和可持續發展。該目標的層次比其他三個目標更高。風險管理既應用于實現企業其他三類目標的過程中，也應用于企業的戰略制定階段。特定的戰略目標雖然可以通過不同的戰略來實現，然而不同的戰略目標會給企業帶來不同的風險。戰略制定和風險偏好存在直接關系，在考慮達到戰略目標的具體目標時，管理當局要鑒別與戰略選擇相關的風險，并且要考慮對這些風險的應對措施的運用（吳永澎. 2006）。此外，ERM整體框架還將“財務報告的可靠性”發展為“報告的可靠性”。原COSO報告將財務報告的可靠性界定為“編制可靠的公開財務報表，包括中期和簡要財務報表，以及從這些財務報表中摘出的數據，如利潤分配數據”。新報告則將報告拓展到“內部的和外部的”、“財務的和非財務的報告”，該目標涵蓋了企業的所有報告。
　　
　　（三）拓展了內部控制的要素
　　COSO在《內部控制——整體框架》中提出了五個要素：即控制環境、風險評估、控制活動、信息和溝通、監督。ERM框架對這五個要素進行了深化和拓展，將其演變為八個要素。引入了風險偏好、風險容忍度和風險文化等概念，將原有的“控制環境”擴展為“內部環境”。這一修改使企業關注的范圍不再局限于控制方面，而是從更寬闊的視野，以及更綜合、更直接的角度考慮各種因素對風險的影響。并且將原有的“風險評估”要素發展為“事件識別”、“風險評估”和“風險反應”。這不只是對原“風險評估”進行的簡單細化，而是意味著企業風險意識的增強和主動地管理風險。也就是企業風險管理綜合框架強調應對所有事件，包括正面事件和負面事件進行綜合識別，并且應將其以適當的組合方式加以看侍，并通過對固有風險和剩余風險的綜合評價做出適當的風險應對措施，以減少經營偏差的發生及相關成本和損失，有利于企業抓住機會，及時調整策略，避免資源浪費，實現經營獲利目標。
　　
　　（四）明確了內部控制的責任關系
　　ERM框架認為，組織的每個成員都應對企業風險管理承擔責任，并進一步劃分了責任主體的等級：董事會在風險管理中扮演更加重要的角色——負總體責任，并被要求變得更加謹慎。企業風險管理的成功與否主要依賴于董事會，因為董事會需要批準組織的風險偏好；在企業風險管理中，CEO負有首要責任，并應對所有權負責，其他經理人員則起支持作用；風險部門管理者，財務部門管理者和內部審計人員等負有關鍵性責任；其他的企業人員負有按確定的指示和協議執行企業風險管理的責任。另外，企業外部利益相關者如客戶、賣主、商業伙伴、外部審計師、監督者和財務分析師經常提供影響企業風險管理的有用信息。雖然他們并不為企業風險管理負責，但卻是企業實施風險管理必須考慮的因素。
　　
　　（五）創新了內部控制的風險觀念
　　ERM 框架指出，企業風險管理的基本假設是，每一主體存在的目的是為其所有者創造價值。所有主體都面臨不確定性，管理層的挑戰就是確定在其為所有者創造價值的過程中，須在多大程度上接受不確定性。ERM把事件區分為風險和機會，事件可能有消極的影響、積極的影響或兩者兼有。消極影響事件意味著風險，它妨礙價值創造或削弱現存價值；積極影響事件可以抵銷消極影響或意味著機會。機會是一種可能性，即事件將會發生并積極影響目標實現、支持價值創造或價值保持。一個組織必須識別影響其目標實現的內、外部事件，區分哪些是風險、哪些是機會。管理當局要密切注意各層級的風險，并采取積極的管理措施。內部控制的目的不應是消極控制或防范風險，而是要主動管理風險。風險管理能使管理層有效地處理不確定性及與之相關的風險和機會，增進創造價值的能力，并在追求主體目標的過程中有效地配置資源，實現價值最大化。
　　
　　【參考文獻】
　　[1] 賈國軍，李陽，楊秀玲. “從美國COSO報告