COSO企业风险管理框架！.doc

一、导言 　　中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。　　在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。 　　二、COSO委员会新报告《企业风险管理——总体框架》解读 　　内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面:　　(一)企业风险管理对内部控制内涵的发展　　1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。　　这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(GAO)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯.鲍雪(Charles Bowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”(Craig James L,1993)但当时的COSO主席罗伯特.L.梅(Robert L.May)则认为,保障资产的考虑更适合作为一种经营控制(Steven J Root,2004)。由于美国审计总署的影响巨大(例如可能使银行等认为COSO报告与其无关),如果COSO报告不根据其要求进行修改的话,从一开始就可能面临被抛弃的命运。最后妥协的结果是,在1994年修订后的报告上,提出了“保障资产的内部控制”的概念,即“预防未经授权的获得、使用或处理资产,…”。可见,这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。　　新报告认为“保护资产”或者“保护资源”是一个广义的概念,资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此,广义的“保护资产”目标范围集中为特定的报告目标,使得保护资产适用于所有未经授权的获得、使用、处置资产。　　又如,内部控制与管理活动有什么区别?在原报告中并不清晰。有些对错误纠正的管理行为,并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。　　ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。对比原来的定义,ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念,使