风险管理与内部控制关系浅析.docVIP

内部控制框架的新发展——企业风险管理框架 ——COSO委员会新报告《企业风险管理框架》简介 朱荣恩　　　　　　贺　欣 (上海财经大学　200083) 　(中南财经政法大学　430060) 【摘　要】美国Treadway委员会的发起人组织委员会于2003年7月颁布了企业风险管理框架的讨论稿，并将于2004年4月颁布正式稿。该讨论稿是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的，本文将主要讨论其与内部控制框架的区别及其主要内容。 【关键词】风险管理框架　内部控制框架　风险管理　内部控制 2003年7月15日，美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上，公布了《企业风险管理框架》(Enterprise Risk Management Framework)讨论稿，并将于2004年4月颁布正式稿。该讨论稿在1992年COSO的内部控制框架报告的基础上建立企业风险管理框架，将企业管理的重心由内部控制转向以风险管理为中心。对于新的风险管理框架与原内部控制框架既有区别又有联系，本文主要分析企业风险管理框架与内部控制框架的联系与区别，并简要说明企业风险管理框架的主要内容。 企业风险管理框架与内部控制框架的联系与区别 自1992年美国COSO委员会发布《内部控制框架》（简称COSO报告）以来，该内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在COSO1992年的研究成果——《内部控制框架》报告的基础上，结合《萨班斯―奥克法案》（Sarbanes-Oxley Act）在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得益于COSO1992年报告所做的工作。但是，由于风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比92年报告的讨论要更为全面、更为深刻。此外，COSO在其风险管理框架讨论稿中也说明，风险管理框架建立在内部控制框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念。 简单地看，相对于内部控制框架而言，新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要，新框架还要求企业设立一个新的部门——风险管理部。新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高，具体表现在： 1．提出一个新的观念――风险组合观（An Entity-level Portfolio View of Risk） 在单独考虑如何实现企业各个目标的过程中，企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外，更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可以超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。 2．增加一类目标——战略目标，并扩大了报告目标的范畴 内部控制框架将企业的目标分为三类――经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告，既包括内部报告，也包括外部报告；既包括企业内部管理者使用的报告，也包括向外部提供的报告；既包括法定报告，也包括向其他利益相关者年的非法定报告；既包括财务信息，也包括非财务信息。 此外，企业风险管理框架比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对未来的预期，经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。 3．针对风险度量提出两个新概念——风险偏好（Risk Appetite）和风险容忍度(Risk Tolerances) 风险管理框架是针对企业目标实现过程中所面临的风险，对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外