风险管理和内部控制关系浅析.docVIP

内部控制框架的新发展——企业风险管理框架 ——COSO委员会新报告《企业风险管理框架》简介 朱荣恩　　　　　　贺　欣 (上海财经大学　200083) 　(中南财经政法大学　430060) 【摘　要】美国Treadway委员会的发起人组织委员会于2003年7月颁布了企业风险管理框架的讨论稿，并将于2004年4月颁布正式稿。讨论稿是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的，本文将主要讨论其与内部控制框架的区别及其主要内容。 【关键词】风险管理框架　内部控制框架　风险管理　内部控制 2003年7月15日，美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上，公布了《企业风险管理框架》(Enterprise Risk Management Framework)讨论稿，并将于2004年4月颁布正式稿。讨论稿在1992年COSO的内部控制框架报告的基础上建立企业风险管理框架，将企业管理的重心由内部控制转向以风险管理为中心。对于新的风险管理框架与原内部控制框架既有区别又有联系，本文主要分析企业风险管理框架与内部控制框架的联系与区别，并简要说明企业风险管理框架的主要内容。 企业风险管理框架与内部控制框架的联系与区别 自1992年美国COSO委员会发布《内部控制框架》（简称COSO报告）以来，内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架的建立应与企业的风险管理相结合 如Stephen J. Root, Beyond COSO Internal Control to Enhance Corporate Governance(1998); KMPG, Internal Control: a Practice Guide(1999); PricewaterhouseCoopers, Operational Risk Management: The Next Frontier(2001)等。新的企业风险管理框架就是在COSO1992年的研究成果——《内部控制框架》报告的基础上，结合《萨班斯―奥克法案》（Sarbanes-Oxley Act）在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得益于COSO1992年报告所做的工作。但是，由于风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比92年报告的讨论要更为全面、更为深刻 GAP Enterprises, Ltd., New COSO Framework, 2003 如Stephen J. Root, Beyond COSO Internal Control to Enhance Corporate Governance(1998); KMPG, Internal Control: a Practice Guide(1999); PricewaterhouseCoopers, Operational Risk Management: The Next Frontier(2001)等 GAP Enterprises, Ltd., New COSO Framework, 2003 简单地看，相对于内部控制框架而言，新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要，新框架还要求企业设立一个新的部门——风险管理部。新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高，具体表现在： 1．提出一个新的观念――风险组合观（An Entity-level Portfolio View of Risk） 在单独考虑如何实现企业各个目标的过程中，企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外，更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在单位的风险容忍度范围内，但从企业总体来看，总风险可以超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。 2．增加一类目标——战略目标，并扩大了报告目标的范畴 内部控制框架将企业的目标分为三类――经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，目标覆盖了企业编制的所有