由COSO报告变革看内部控制标准发展.docVIP

由COSO报告的变革看内部控制标准的发展 　　【摘要】 内部控制问题正逐渐为全球所关注。本文依照COSO报告变化的背景，特别结合目前具有广泛影响的ERM框架的内容，阐明了风险管理思想对内部控制标准发展的贡献，旨在为内部控制制度的设计和评价提供借鉴。 　　【关键词】 COSO报告；内部控制；风险管理 　　 　　一、COSO背景 　　 　　COSO委员会是由美国注册会计师协会( AICPA )、美国会计学会( AAA )、财务经理人协会( FEI )、内部审计师协会( IIA )和管理会计师协会( IMA )共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理提高财务报告质量。COSO发布的研究成果在美国以及全球会计、审计和证券界产生了深远影响，其中的一些概念和原理被写入了教科书，成为研究人员经常引用的经典；而且，随同报告发布的实务指南也为单位组织建立内部管理架构提供了十分有益的帮助，成为评价单位组织内部控制的标准。（柳木华 . 2006）。迄今为止，COSO委员会共发布了五部研究报告。 　　1987年，COSO发布了《反欺诈性财务报告全国委员会报告》，报告对财务欺诈的研究和分析没有简单地局限于独立审计师的查错作用，而是密切关注企业法律、金融和其他咨询顾问在财务欺诈中的角色，分析了企业经理班子价值观念和会计、内审与审计委员会的作用，触及了政府管制(包括SEC)和大学会计课程设置是否充分有效等问题。报告分别向公众公司、注册会计师、SEC以及其他法律部门、教育部门等提出了约100条建议。1996年，COSO发表了《金融衍生工具使用中的内部控制问题》，该报告模型认为，“风险管理过程需要理解实体的目标和经营活动，识别市场风险和测度承担的风险，然后决定是否使用衍生产品将风险降低到可以承受的水平。只要简单的忽略与衍生产品有关的部分并代之以其他合适的降低风险行为，这个过程就具有普遍性”。报告为衍生工具用户建立、评估和改善内部控制，提供了指导性建议。1999年，COSO利用1987-1997年欺诈性财务报告公司样本，在归纳其公司特征、控制环境特征、欺诈特征的基础上，发布了《欺诈性财务报告-1987至1997：美国公众公司分析》。报告??讨了三个欺诈高发行业――信息技术、保健和金融服务业的欺诈特点，发现三个行业的欺诈手段存在显著差异，如信息技术业最常见的欺诈手段是收入欺诈，而金融服务业最常见的手段是资产欺诈和资产盗用，并且研究了财务报告欺诈与公司治理之间的关系，发现欺诈样本公司与其所在行业标准相比，具有相当弱的公司治理机制。20 世纪在经历了70年代一连串财务失败和可疑的商业行为相继爆发后，国际社会又出现了更耸人听闻的以金融机构破产为代表的财务失败事件，给纳税人最终带来超过1 500亿美元的成本。为能有效遏制这种愈演愈烈的会计舞弊活动，1992年，COSO在进行了深入研究之后发布了一份关于内部控制的纲领性文件，即《内部控制――整体框架》，它标志着内部控制理论与实践进入了整体框架的阶段。报告提出了内部控制的五个重要组成要素：控制环境、风险评估、控制活动、信息及沟通与监督，深化了内部控制的理念和应用。COSO报告一经发布便得到了业界的认可与采纳，并在世界范围内产生了广泛影响。2001年以来，以安然、世通等为代表的一些美国大公司，因财务信息造假等行为而相继倒闭破产，震撼了美国的资本市场，引起了世界的极大反响。在国际社会对改善公司治理与加强风险管理的呼声日益高涨的背景下，2004年9月，COSO委员会结合《萨班斯一奥克斯利法案》的相关要求，颁布了一个概念全新的报告：《企业风险管理――整体框架》（ERM）。框架的出台顺应了各方需求，与1992年的《内部控制――整体框架》相比，在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破，对企业风险管理做出了更为详尽的阐述。ERM并没有取代《内部控制――整体框架》，而是基于并将其融入其中，全面推进了内部控制标准的发展。 　　 　　二、COSO企业风险管理整体框架概要 　　 　　COSO为企业风险管理确立了一个可普遍接受的概念，为各组织识别风险和实施风险管理提供了理论基础。ERM框架认为：“企业风险管理是一个过程，是由企业的董事会、经理层和其他员工共同参与，应用于企业战略制定和企业内部各个层次和部门的、贯穿整个企业，旨在识别影响组织的潜在事件，为组织目标的实现提供合理的保证”。企业风险管理是由人参与的过程而并非结果，企业必须将风险管理融入在日常的经营管理之中，并涉及企业的每个员工。风险管理能够识别对企业造成影响的潜在风险，能在一定程度上帮助企业实现合理的既定目标。 　　企业风险管理包含八个相互关联的要素： 　　 　　（一）内部环境 　　内部环