四、关注企业风险管理新要素的中国环境-上海税务局.docVIP

从企业内部控制迈向风险管理 －－COSO《风险框架》推动国企审计新变化 上海市审计局经贸处 鲁心逸 2009年4月20日 【摘要】COSO《风险框架》是企业应对不确定世界的权威性管理操作指南。本文以COSO《内控框架》向《风险框架》转变为视角，解读《风险框架》“内部环境”、“目标设定”、“事项识别”和“风险应对”等新要素对现代企业管理的影响，并探讨企业风险管理和国企审计风险的互动关系，寻找识别国企审计风险中的“中国元素”，着眼于推动国企审计的创新。 【关键字】不确定 内部控制 风险管理 审计风险 美国COSO委员会于2004年9月正式颁布《企业风险管理整合框架》（以下简称《风险框架》），在全球业内备受关注，得到广泛认同。这份现代企业风险管理务实性操作文件，被誉为企业界风险管理的“圣经”，享有极高的专业权威。 作为现代企业管理指导性文件，《风险框架》既是工作原则和操作指南也是思维方法和学术观点，认真解读、理解并消化其中各项条款，对于推动国企审计十分重要。 一、《风险框架》拓宽企业管理新视域 1、《风险框架》完成企业管理由内部控制向风险管理的跨越 1994年，COSO正式发布《内部控制——整合框架》，成为世界通行的权威性文献，被国际和各国审计准则制定机构和银行监管机构和其他方面采纳。但是，由于长期以来，特别是2001年前后，发生在一些全球著名跨国公司中的财务丑闻和企业失败事件，使得COSO把关注焦点集中到风险应对和管理之上，并认为，需要一个强有力的框架以有效识别、评估、控制和应对企业面临的各类风险。因此，COSO于2004年正式发布《风险框架》。 COSO关于从企业内部控制转向风险管理的成熟观点内含于《风险框架》的新增要素之中（见表1）。由于“战略目标”同“目标设定”相互关联，“风险组合观”同“风险应对”相互关联，所以，新四要素（“内部环境”、“目标设定”、“事项识别”、“风险应对”）在《风险框架》中占重要位置。从一定意义上说，《风险框架》是通过新四要素实现企业管理从内部控制向风险管理跨越的。 表1：COSO 《内控框架》与《风险框架》比较表 类型 COSO《内控框架》 COSO 《风险框架》 目标 经营目标 财务报告目标 合规性目标 战略目标（新增） 经营目标 财务报告目标 合规性目标 风险观 没有提出风险组合观，只有风险评估 从企业总体层面，提出风险组合观（新增） 环境 管理层及员工的内部控制观念 管理层及员工的风险观念，并提出风险偏好概念 要素 控制环境 风险评估 控制活动 信息与沟通 监控 内部环境（更广义） 目标设定（新增） 事项识别（新增） 风险评估 风险应对（新增） 控制活动 信息与沟通 监控 2．“内部环境”使得企业风险管理的覆盖面扩大且保障程度提高 相对于《内控框架》中的“控制环境”，“内部环境”的主要变化在于两处，一是增加“风险理念”和“风险容量”子要素，二是将“董事会”子要素的位置顺序提前。该变化向我们传递出两个信息，首先，企业风险管理必须有文化理念的精神保障，因为文化理念是企业各层面行为的内在选择依据。其次，企业风险管理必须有最高管理当局的组织保障，因为管理当局是企业各业务层面的外在行为指引。《风险框架》“内部环境”从文化和组织两个层面扩大了《内控框架》“内控环境”的覆盖范围,这样的变化恰当地反映了企业如何应对不确定的内在需要，是现代企业风险管理的经验总结。我们可以从大量的企业管理案例中找到由于企业文化和管理当局原因而使得企业经营失败的教训，其中对由于企业管理当局的原因导致企业重大失误的教训更是发人深省。据COSO报告显示，在1987-1997年期间提供虚假财务报告的美国公司中，83%以上的舞弊案件涉及首席执行官或财务主管。 3.“目标设定”使得企业风险管理与战略目标紧密相连 当今社会到处存在机遇，尤其是商务电子化、信息网络化、经济全球化等已经极大地拓展了企业活动的空间和范围。但是，在不确定世界中，机遇往往和风险并存，因此，做正确的事比正确地做事更重要。COSO“目标设定”提示我们，企业风险管理必须同企业目标联系在一起，把企业行为同企业战略目标联系起来对于企业活动十分关键。COSO从两个方面提出“目标设定”与企业风险管理的关系，一是从要素协同层面把“目标设定”同“战略目标”、“相关目标”、“目标实现”、“目标设定”、“风险容量”以及“风险容限”联系在一起；二是从管理系统层面把“目标设定”同“战略目标”、“经营目标”、“报告目标”以及“合规目标”联系在一起，形成企业风险管理中的“目标——资源——风险——控制”的逻辑顺序，由此丰富了企业应对不确定的思想认识。 4.“事项识别”要素使得企业风险管理由事后转向事前 在充满不确定性的社会中，机遇难得而转瞬即逝是一种现实