论文部分内容阅读
[摘要]文章通过对比COSO项目组前后发布的两个COSO框架,深入分析COSO框架的演化路径,总结出了内部控制理论发展的趋向,以为我国企业完善内部控制和加强风险管理提供借鉴。
[关键词]COSO框架;演化;启示
一、问题的提出
针对层出不穷的财务舞弊案例,COSO委员会于1992年发布了《内部控制——整体框架》,即COSO框架(简称“IC-IF框架”),该框架一发布便受到理论界和实务界的广泛认可,得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,其中的许多定义、建议及思想被吸收到立法与规则制定中,在全世界范围内产生了广泛的影响。然而十多年后,随着安然、世通、施乐等公司财务舞弊案为代表的新一轮会计丑闻的爆发,全世界范围内掀起了加强企业风险管理的浪潮,要求提高企业风险管理能力的呼声日益高涨。在这一背景下,COSO委员会在1992年COSO报告的基础上,结合《萨班斯——奥克斯利法案》,于2004年发布了COSO新框架(简称“ERM框架”),此报告涵盖了IC--IF框架的内容,其范围和内容更加广泛。
目前,我国大部分企业仍处于加强内部控制的建设阶段,缺乏必要的全面风险管理意识,更没有建立科学的企业风险管理体系。因此,充分理解ERM框架的理论内涵和实践价值以及内部控制与风险管理的关系,对完善我国企业内部控制和建立企业风险管理体系,无疑有着积极的借鉴意义。
二、COSO报告演化的趋向
任何企业都面临着不确定性,如何有效地处理不确定性及相应的风险和机遇,提升企业创造价值的能力,是所有企业管理层面临的挑战。ERM框架即为企业管理者提供了一个评价和提高企业风险管理水平的概念性指南。
ERM框架无论是在内部控制的内涵方面,还是在目标、要素和管理者任务等方面均有相当大的突破。从IC-IF框架到ERM框架的演化,影射出了内部控制理论发展的趋向。
(一)内部控制内涵的拓展凸显了内部控制理论发展的风险趋向
IC-IF框架指出,“内部控制是一个受董事会、管理层和其他人员影响的,为企业经营的效率和效果、财务报告的可靠性以及法律法规的遵循性等目标的实现提供合理保证的过程。”ERM框架在IC-IF框架的基础上,吸收了风险管理理论的最新研究成果,对内部控制的内涵进行了扩展并重新表述为“企业风险管理是一个受董事会、管理层和其他人员影响的,应用于企业战略制定、各部门和各项经营活动、识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业各类目标的实现提供合理保证的过程。”从内部控制和企业管理的定义可以看出,ERM框架将风险管理提升到前所未有的高度,除了涵盖内部控制的所有合理内容以外,还首次明确提出了风险偏好、风险容忍度等概念,使内部控制的定义更加明确与具体。
(二)内部控制要素的扩展凸显了内部控制理论的“目标—风险—控制”趋向
传统的内部控制逻辑范式是“控制一风险一目标”。ERM框架从以下几个方面扩展了内部控制的要素:一是将控制环境扩展为内部环境。二是增加了目标制定、事项识别和风险应对三个要素。首先,ERM框架将目标制定作为风险管理的首要步骤,针对不同层级的且标分析其风险。从而使风险管理的目标更加明确。其次。ERM框架彻底更新了风险观念,区分了风险与机遇,将风险定义为可能有负面影响的事项,将战略机遇与企业风险联系起来考虑,并强调了IC-IF框架从未涉及的风险组合观,即从各个层次识别风险,从企业整体出发管理风险。最后,ERM框架在事项识别的基础上,提出了规避、减少、共担和接受四种具体的风险应对措施。三是ERM框架扩展了信息与沟通要素的内容。由于IC-IF框架仅提出三个目标,因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息,而ERM框架包括了与组织的各个层级、目标相关的信息,为董事会和管理层充分把握机遇和识别风险提供了基础和可能,也对管理层将巨量信息处理和精炼为可控的信息提出了挑战。由此可以看出,ERM框架对内部控制要素的扩展革新了传统的内部控制逻辑范式,凸显了“目标—风险—控制”的新内部控制逻辑范式。
(三)内部控制目标层次的提高凸显了内部控制理论发展的战略趋向
IC-IF框架的内部控制的目标仅涉及经营活动、财务报告和合规性三个方面。其中,财务报告目标仅与公开披露的财务报告的可靠性相关。而ERM框架将风险管理的目标扩展为战略目标、经营目标、报告目标和合规性目标。可以看出,ERM框架一方面扩展了原来的财务报告目标,将“财务报告的可靠性”发展为“报告的可靠性”,即是将财务报告拓展到“内部和外部的报告”、“财务和非财务的报告”,涵盖了企业所有的报告;另一方面还增加了企业最高层次的战略目标,将风险管理应用于企业战略的制定,凸显了内部扩控制理论发展的战略趋向。
(四)内部控制责任的上移凸显了内部控制理论发展的公司治理趋向
IC-IF框架和ERM框架都将董事会、管理层、内部审计师和其他员工看成是相关责任人,认为董事会负责管理、指引和核查。但ERM框架将内部控制的重心进一步上移,并更加明确地划分了各个层级的相关责任主体。具体表现在:一是ERM框架将内部控制的重心上移至董事会,要求董事会在风险管理方面扮演更加重要的角色——负总体责任,且变得更加机警。董事会需要批准企业的风险偏好,复核企业的风险组合观并与企业的风险偏好相比较,评估企业最重要的风险并评估管理者的风险反应是否适当。二是ERM框架要求CEO必须确定目标和战略方案,并将其分为战略目标、经营目标、报告目标和遵循目标。目标设定后,管理层就需要识别风险和影响风险的事项,评估风险,采取控制措施,在风险管理方面负首要责任,其他经理人员起支持作用。三是ERM框架增加了首席风险师的角色。首席风险师除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他管理人员在企业内向上、向下和横向报告有关的风险信息,并成为企业风险管理委员会的一员。四是ERM框架要求内部审计人员通过监督、评价、检查、报告和改革企业ERM框架来协助管理层和董事会,在风险管理的监控中负重要责任。五是其他人员负有按确定的指示进行企业风险管理的责任。
三、COSO框架的演化对我国的启示
“他山之石,可以攻玉”。COSO框架的演进对完善我国企业的内部控制具有一定启发和借鉴意义。
(一)以风险为导向来进行内部控制
COSO框架演化的最大变化就是将企业内部控制的内涵拓展为企业风险管理。在我国,几乎所有的大企业都有一套严密、完整的内部控制制度,但董事会和管理层只将精力集中在各种细小的控制上,忽视了企业潜在的重大风险,结果导致了许多企业的失败。ERM框架告诉我们,企业应将风险管理作为内部控制的重心和主要内容。我国企业要在完善原有IC-IF框架的基础上,建立有效的风险管理体系,提升内部控制的效果。
(二)树立风险组合的观念
风险组合观是ERM框架的一大亮点。企业的高层管理者在风险管理的过程中,要站在全局的角度,以风险组合的观点来分析风险,不仅要将企业每个部门的风险控制在其各自风险容忍度的范围内,而且汇总后的总风险也要控制在股东、其他利益相关者认可的风险偏好范围之内。
(三)将风险管理提升到战略层面
近几年来,我国企业加强了内部控制的建设,逐步建立、完善了内部控制流程和规章制度,提高了人员素质。但是,依旧还存在就事论事思考问题的习惯,内部控制手段比较单调,很少从整体、长期的角度来考虑应该采取的战略。因此,风险管理需要提升到公司长期和谐发展的战略高度。ERM框架提供了从战略高度管理风险的指导,我国企业应遵循“目标—风险—控制”的逻辑范式,结合自身优势与外部环境设定战略目标,并采取相应的风险管理措施,将企业的整体风险水平控制在企业的风险容忍度范围之内。
(四)提升董事会在风险管理中的责任,设立首席风险师职位并增强其职能,加大内部审计人员的风险监控力度
目前,我国多数企业“一股独大”现象仍很突出,法人治理结构不完善,很少有企业设有真正的董事会,有些企业即使设立了董事会也是形同虚设。董事会功能的缺失是导致风险的一个重要原因。同时,我国多数企业都没有设置首席风险师这一职位,内部审计人员的风险监督力度也较弱。ERM框架为提升董事会在风险管理中的责任、设立首席风险师职位并增强其职能、加大内部审计人员的风险监控力度提供了理论指导,我国企业应借鉴ERM框架,形成一套有利于企业风险管理的组织体系以提高我国企业内部控制的效率。
[关键词]COSO框架;演化;启示
一、问题的提出
针对层出不穷的财务舞弊案例,COSO委员会于1992年发布了《内部控制——整体框架》,即COSO框架(简称“IC-IF框架”),该框架一发布便受到理论界和实务界的广泛认可,得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,其中的许多定义、建议及思想被吸收到立法与规则制定中,在全世界范围内产生了广泛的影响。然而十多年后,随着安然、世通、施乐等公司财务舞弊案为代表的新一轮会计丑闻的爆发,全世界范围内掀起了加强企业风险管理的浪潮,要求提高企业风险管理能力的呼声日益高涨。在这一背景下,COSO委员会在1992年COSO报告的基础上,结合《萨班斯——奥克斯利法案》,于2004年发布了COSO新框架(简称“ERM框架”),此报告涵盖了IC--IF框架的内容,其范围和内容更加广泛。
目前,我国大部分企业仍处于加强内部控制的建设阶段,缺乏必要的全面风险管理意识,更没有建立科学的企业风险管理体系。因此,充分理解ERM框架的理论内涵和实践价值以及内部控制与风险管理的关系,对完善我国企业内部控制和建立企业风险管理体系,无疑有着积极的借鉴意义。
二、COSO报告演化的趋向
任何企业都面临着不确定性,如何有效地处理不确定性及相应的风险和机遇,提升企业创造价值的能力,是所有企业管理层面临的挑战。ERM框架即为企业管理者提供了一个评价和提高企业风险管理水平的概念性指南。
ERM框架无论是在内部控制的内涵方面,还是在目标、要素和管理者任务等方面均有相当大的突破。从IC-IF框架到ERM框架的演化,影射出了内部控制理论发展的趋向。
(一)内部控制内涵的拓展凸显了内部控制理论发展的风险趋向
IC-IF框架指出,“内部控制是一个受董事会、管理层和其他人员影响的,为企业经营的效率和效果、财务报告的可靠性以及法律法规的遵循性等目标的实现提供合理保证的过程。”ERM框架在IC-IF框架的基础上,吸收了风险管理理论的最新研究成果,对内部控制的内涵进行了扩展并重新表述为“企业风险管理是一个受董事会、管理层和其他人员影响的,应用于企业战略制定、各部门和各项经营活动、识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业各类目标的实现提供合理保证的过程。”从内部控制和企业管理的定义可以看出,ERM框架将风险管理提升到前所未有的高度,除了涵盖内部控制的所有合理内容以外,还首次明确提出了风险偏好、风险容忍度等概念,使内部控制的定义更加明确与具体。
(二)内部控制要素的扩展凸显了内部控制理论的“目标—风险—控制”趋向
传统的内部控制逻辑范式是“控制一风险一目标”。ERM框架从以下几个方面扩展了内部控制的要素:一是将控制环境扩展为内部环境。二是增加了目标制定、事项识别和风险应对三个要素。首先,ERM框架将目标制定作为风险管理的首要步骤,针对不同层级的且标分析其风险。从而使风险管理的目标更加明确。其次。ERM框架彻底更新了风险观念,区分了风险与机遇,将风险定义为可能有负面影响的事项,将战略机遇与企业风险联系起来考虑,并强调了IC-IF框架从未涉及的风险组合观,即从各个层次识别风险,从企业整体出发管理风险。最后,ERM框架在事项识别的基础上,提出了规避、减少、共担和接受四种具体的风险应对措施。三是ERM框架扩展了信息与沟通要素的内容。由于IC-IF框架仅提出三个目标,因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息,而ERM框架包括了与组织的各个层级、目标相关的信息,为董事会和管理层充分把握机遇和识别风险提供了基础和可能,也对管理层将巨量信息处理和精炼为可控的信息提出了挑战。由此可以看出,ERM框架对内部控制要素的扩展革新了传统的内部控制逻辑范式,凸显了“目标—风险—控制”的新内部控制逻辑范式。
(三)内部控制目标层次的提高凸显了内部控制理论发展的战略趋向
IC-IF框架的内部控制的目标仅涉及经营活动、财务报告和合规性三个方面。其中,财务报告目标仅与公开披露的财务报告的可靠性相关。而ERM框架将风险管理的目标扩展为战略目标、经营目标、报告目标和合规性目标。可以看出,ERM框架一方面扩展了原来的财务报告目标,将“财务报告的可靠性”发展为“报告的可靠性”,即是将财务报告拓展到“内部和外部的报告”、“财务和非财务的报告”,涵盖了企业所有的报告;另一方面还增加了企业最高层次的战略目标,将风险管理应用于企业战略的制定,凸显了内部扩控制理论发展的战略趋向。
(四)内部控制责任的上移凸显了内部控制理论发展的公司治理趋向
IC-IF框架和ERM框架都将董事会、管理层、内部审计师和其他员工看成是相关责任人,认为董事会负责管理、指引和核查。但ERM框架将内部控制的重心进一步上移,并更加明确地划分了各个层级的相关责任主体。具体表现在:一是ERM框架将内部控制的重心上移至董事会,要求董事会在风险管理方面扮演更加重要的角色——负总体责任,且变得更加机警。董事会需要批准企业的风险偏好,复核企业的风险组合观并与企业的风险偏好相比较,评估企业最重要的风险并评估管理者的风险反应是否适当。二是ERM框架要求CEO必须确定目标和战略方案,并将其分为战略目标、经营目标、报告目标和遵循目标。目标设定后,管理层就需要识别风险和影响风险的事项,评估风险,采取控制措施,在风险管理方面负首要责任,其他经理人员起支持作用。三是ERM框架增加了首席风险师的角色。首席风险师除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他管理人员在企业内向上、向下和横向报告有关的风险信息,并成为企业风险管理委员会的一员。四是ERM框架要求内部审计人员通过监督、评价、检查、报告和改革企业ERM框架来协助管理层和董事会,在风险管理的监控中负重要责任。五是其他人员负有按确定的指示进行企业风险管理的责任。
三、COSO框架的演化对我国的启示
“他山之石,可以攻玉”。COSO框架的演进对完善我国企业的内部控制具有一定启发和借鉴意义。
(一)以风险为导向来进行内部控制
COSO框架演化的最大变化就是将企业内部控制的内涵拓展为企业风险管理。在我国,几乎所有的大企业都有一套严密、完整的内部控制制度,但董事会和管理层只将精力集中在各种细小的控制上,忽视了企业潜在的重大风险,结果导致了许多企业的失败。ERM框架告诉我们,企业应将风险管理作为内部控制的重心和主要内容。我国企业要在完善原有IC-IF框架的基础上,建立有效的风险管理体系,提升内部控制的效果。
(二)树立风险组合的观念
风险组合观是ERM框架的一大亮点。企业的高层管理者在风险管理的过程中,要站在全局的角度,以风险组合的观点来分析风险,不仅要将企业每个部门的风险控制在其各自风险容忍度的范围内,而且汇总后的总风险也要控制在股东、其他利益相关者认可的风险偏好范围之内。
(三)将风险管理提升到战略层面
近几年来,我国企业加强了内部控制的建设,逐步建立、完善了内部控制流程和规章制度,提高了人员素质。但是,依旧还存在就事论事思考问题的习惯,内部控制手段比较单调,很少从整体、长期的角度来考虑应该采取的战略。因此,风险管理需要提升到公司长期和谐发展的战略高度。ERM框架提供了从战略高度管理风险的指导,我国企业应遵循“目标—风险—控制”的逻辑范式,结合自身优势与外部环境设定战略目标,并采取相应的风险管理措施,将企业的整体风险水平控制在企业的风险容忍度范围之内。
(四)提升董事会在风险管理中的责任,设立首席风险师职位并增强其职能,加大内部审计人员的风险监控力度
目前,我国多数企业“一股独大”现象仍很突出,法人治理结构不完善,很少有企业设有真正的董事会,有些企业即使设立了董事会也是形同虚设。董事会功能的缺失是导致风险的一个重要原因。同时,我国多数企业都没有设置首席风险师这一职位,内部审计人员的风险监督力度也较弱。ERM框架为提升董事会在风险管理中的责任、设立首席风险师职位并增强其职能、加大内部审计人员的风险监控力度提供了理论指导,我国企业应借鉴ERM框架,形成一套有利于企业风险管理的组织体系以提高我国企业内部控制的效率。