从COSO框架报告看内部控制与风险管理的异同_董月超.pdfVIP

审计研究 2009 年4 期 从COSO 框架报告看内部控制与 风险管理的异同∗ 董月超 【摘 要】 风险管理是对内部控制的继承与发展，两者都强调了全员参与、运用相关技术手段，主动应对 风险，对目标提供合理保证；但是风险管理包含了对战略目标的管理，能够直接产生效益，且强调风险的 自然对冲。内部控制属于企业管理范畴，风险管理属于企业治理范畴。 【关键词】风险 内部控制 风险管理 美国 COSO 委员会在 1992 年发布了《内部控 内部控制是一个过程，该过程受到公司董事 制-整合框架》报告（1994 年又提出了该报告的修 会、管理层和其他人员的影响，其目的是为下列目 改篇）， 标的实现提供合理保证。这些目标包括：经营的有 2004 年又发布了 《企业风险管理-整合框架》 报告。COSO 这两个框架报告分别对内部控制和风 效性和效率、财务报告的可靠性、法律法规的遵从 险管理理论进行了详细阐述，并对实践提出了指导 性。该框架文件将内部控制的要素分为五个：控制 性意见。从这两个报告看，COSO 提出的内部控制 环境、风险评估、控制活动、信息与沟通、监督。 和风险管理这两个概念有着十分密切的联系，但又 （内部控制框架示意图如下） 存在明显的不同。本文旨在根据这两个框架报告对 两者的异同进行分析。 一、风险管理概念是对内部控制概念的继承和 发展 内部控制概念由来以久，但是直到 20 世纪 80 年代，美国爆发了储蓄及信贷机构崩溃事件，财务 丑闻发展到了极至，才使人们感到对内部控制的理 解和研究还很不够，于是 1992 年 9 月美国“反对 此外，英国的 Cadbury 报告、加拿大的 COCO 虚假财务报告委员会”所属的“内部控制专门研究 报告、日本的《企业内部控制大纲》、南非的 King 委员会发起机构委员会”或称“杜德威小组” 报告、法国的 Vienot 报告和我国的《独立审计具体 （ Committee of Sponsoring Organizations of the 准则第 9 号》、《内部审计具体准则第5 号》等都从 Treadway Commission ，简称 COSO 委员会）对内部 不同角度对内部控制进行了诠释。 控制提出专题报告：《内部控制 -整合框架》( 以下简 内部控制框架得到了广泛的认可，美国公共监 称内部控制框架) ，1994 年又提出了该报告的修改 督委员会（Public Oversight Board ，POB ）不仅专门 篇。《 2002 年上市公司会计改革和投资者保护法》 为此文件发布了推荐公告，还建议证券交易委员会 (Sarbanes-Oxley Act of 2002，简称《萨奥法案》)则 （Securities and Exchange Commission，SEC ）要求 从法律角度明确了公共会计师的责任，也弥补了公 上市公司在其包含年度财务报表的公司年报中，提 共会计师对内部控制进行审计法律依据的不足。内 交管理层对与财务报告有关的企业内部控制系统 部控制框架对内部控制的定义表述是： * 董月超，中国矿业大学（北京）管理学院、中国石油天然气集团公司财务资产部，邮政编码：100007，电子邮箱：dyckeele@ 。 94 审计研究 2009 年4 期 有效性声明，并将内部控制框架预设为评价企业内 内部控制、风险管理的起源、发展与继承示意 部控制有效性的标准。 图如下： SEC 没有否认 COSO 内控框架的先