COSO框架演化及其对我国启示.docVIP

COSO框架的演化及其对我国的启示 　　[摘要]文章通过对比COSO项目组前后发布的两个COSO框架，深入分析COSO框架的演化路径，总结出了内部控制理论发展的趋向，以为我国企业完善内部控制和加强风险管理提供借鉴。 　　[关键词]COSO框架；演化；启示 　　 　　一、问题的提出 　　 　　针对层出不穷的财务舞弊案例，COSO委员会于1992年发布了《内部控制――整体框架》，即COSO框架(简称“IC-IF框架”)，该框架一发布便受到理论界和实务界的广泛认可，得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳，其中的许多定义、建议及思想被吸收到立法与规则制定中，在全世界范围内产生了广泛的影响。然而十多年后，随着安然、世通、施乐等公司财务舞弊案为代表的新一轮会计丑闻的爆发，全世界范围内掀起了加强企业风险管理的浪潮，要求提高企业风险管理能力的呼声日益高涨。在这一背景下，COSO委员会在1992年COSO报告的基础上，结合《萨班斯――奥克斯利法案》，于2004年发布了COSO新框架(简称“ERM框架”)，此报告涵盖了IC--IF框架的内容，其范围和内容更加广泛。 　　目前，我国大部分企业仍处于加强内部控制的建设阶段，缺乏必要的全面风险管理意识，更没有建立科学的企业风险管理体系。因此，充分理解ERM框架的理论内涵和实践价值以及内部控制与风险管理的关系，对完善我国企业内部控制和建立企业风险管理体系，无疑有着积极的借鉴意义。 　　 　　二、COSO报告演化的趋向 　　 　　任何企业都面临着不确定性，如何有效地处理不确定性及相应的风险和机遇，提升企业创造价值的能力，是所有企业管理层面临的挑战。ERM框架即为企业管理者提供了一个评价和提高企业风险管理水平的概念性指南。 　　ERM框架无论是在内部控制的内涵方面，还是在目标、要素和管理者任务等方面均有相当大的突破。从IC-IF框架到ERM框架的演化，影射出了内部控制理论发展的趋向。 　　 　　(一)内部控制内涵的拓展凸显了内部控制理论发展的风险趋向 　　IC-IF框架指出，“内部控制是一个受董事会、管理层和其他人员影响的，为企业经营的效率和效???、财务报告的可靠性以及法律法规的遵循性等目标的实现提供合理保证的过程。”ERM框架在IC-IF框架的基础上，吸收了风险管理理论的最新研究成果，对内部控制的内涵进行了扩展并重新表述为“企业风险管理是一个受董事会、管理层和其他人员影响的，应用于企业战略制定、各部门和各项经营活动、识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业各类目标的实现提供合理保证的过程。”从内部控制和企业管理的定义可以看出，ERM框架将风险管理提升到前所未有的高度，除了涵盖内部控制的所有合理内容以外，还首次明确提出了风险偏好、风险容忍度等概念，使内部控制的定义更加明确与具体。 　　 　　(二)内部控制要素的扩展凸显了内部控制理论的“目标―风险―控制”趋向 　　传统的内部控制逻辑范式是“控制一风险一目标”。ERM框架从以下几个方面扩展了内部控制的要素：一是将控制环境扩展为内部环境。二是增加了目标制定、事项识别和风险应对三个要素。首先，ERM框架将目标制定作为风险管理的首要步骤，针对不同层级的且标分析其风险。从而使风险管理的目标更加明确。其次。ERM框架彻底更新了风险观念，区分了风险与机遇，将风险定义为可能有负面影响的事项，将战略机遇与企业风险联系起来考虑，并强调了IC-IF框架从未涉及的风险组合观，即从各个层次识别风险，从企业整体出发管理风险。最后，ERM框架在事项识别的基础上，提出了规避、减少、共担和接受四种具体的风险应对措施。三是ERM框架扩展了信息与沟通要素的内容。由于IC-IF框架仅提出三个目标，因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息，而ERM框架包括了与组织的各个层级、目标相关的信息，为董事会和管理层充分把握机遇和识别风险提供了基础和可能，也对管理层将巨量信息处理和精炼为可控的信息提出了挑战。由此可以看出，ERM框架对内部控制要素的扩展革新了传统的内部控制逻辑范式，凸显了“目标―风险―控制”的新内部控制逻辑范式。 　　 　　(三)内部控制目标层次的提高凸显了内部控制理论发展的战略趋向 　　IC-IF框架的内部控制的目标仅涉及经营活动、财务报告和合规性三个方面。其中，财务报告目标仅与公开披露的财务报告的可靠性相关。而ERM框架将风险管理的目标扩展为战略目标、经营目标、报告目标和合规性目标。可以看出，ERM框架一方面扩展了原来的财务报告目标，将“财务报告的可靠性”发展为“报告的可靠性”，即是将财务报告拓展到“内部和外部的报告”、“财务和非财务的报告”，涵盖了企业所