企业研究论文-COSO报告及对我国企业内部控制的启示.doc

企业研究论文-COSO报告及对我国企业内部控制的启示【摘要】美国COSO委员会出台的企业风险管理整体框架被视为当前最先进的内部控制理论。本文对企业风险管理整体框架及其前身内部控制整体框架的核心内容进行了分析,从最新的风险管理框架出发,提出了对完善我国企业内部控制的几点启示,作为企业内部控制建设的参考。【关键词】COSO内部控制启示自美国安然公司特大财务舞弊事件发生以来,企业内部控制问题引起了世界各国的广泛关注。而提到内部控制,我们不得不提到美国COSO报告。本文借鉴COSO报告,谈谈关于完善我国企业内部控制的几点建议。一、COSO报告COSO委员会是一个由美国注册会计师协会、美国会计学会、财务经理人协会、内部审计师协会和全国会计师协会共同发起并出资组成的民间组织。该组织本着通过商业伦理、有效的内部控制和公司治理提高财务报告质量的宗旨,有着一套严密的研究范式和程序。自1985年成立至2004年近20年时间,共发布了五份研究成果,对全世界的会计审计和证券界都产生了深远影响。本文所指的COSO报告是指COSO委员会1992年发布的内部控制整体框架和2004年发布的企业风险管理整体框架。1、内部控制整体框架1992年COSO委员会发布了内部控制整体框架(InternalControl-IntegratedFramework)。该报告提出了内部控制的三项目标和五大要素,指出企业内部控制是“由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程”,由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素构成。内部控制整体框架得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,被视为关于内部控制的纲领性文件,被世界范围内许多企业所采用。与以往的内部控制理论及研究相比,内部控制整体框架提出了许多新的、有价值的观点,主要有以下几个方面。(1)明确了内部控制的一系列基础概念。该报告给出了内部控制明确的定义,将内部控制基本目标准确定位为帮助企业奔向经营目标、完成使命和减少经营过程中的风险,提出三类目标、五项构成要素概念。这一系列基础概念的提出为评价内部控制系统提供了一套完整的标准,在理论和实际应用两个方面都较原来的内部控制学说有了一个质的飞跃。(2)强调内部控制是一种动态的过程。提出内部控制是由控制环境、风险评估、控制活动、信息与沟通和监控等五项要素构成的一种“过程”。这五项控制要素不是内部控制过程中有着明确先后顺序的一道道工序,而是有着多方向的、交叉的、多维的联系的。内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。企业的经营管理环境不断发展变化,必然要求企业内部控制也是一个动态发展的、越来越完善的过程。(3)明确企业员工的内部控制责任,强调内部控制中“人”的重要性。报告指出人和环境是推动企业发展的引擎。不仅仅是管理人员、内部审计人员或董事会成员,组织中的每一位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所有员工都应对内部控制负有责任,清楚他们在企业内部控制系统中的位置和角色,并协调一致,推进企业内部控制的有效运转。2、企业风险管理整体框架2001年年底以来,安然、世界通信、施乐、美国在线时代华纳等上市公司财务舞弊事件的发生,集中暴露了美国公司在内部控制上存在的问题,由此导致萨班尼斯奥克斯利法(Sarbanes-OxleyAct,简称萨班斯法案、SOX法案)的出台。SOX法案强化公司治理结构并明确公司的财务报告责任,大幅增强了公司的财务披露义务；加重了对公司管理层违法行为的处罚措施；并强化了内部审计、外部审计及审计监管。2004年9月29日,COSO委员会在内部控制整体框架报告的基础之上,根据SOX法案强化财务信息披露内部控制有效性的规定,结合公司治理过程中应加强对企业风险管理的新形势,发布了企业风险管理整体框架(EnterpriseRiskManagement-IntegratedFramework,简称ERM)。与内部控制框架相比较,ERM框架添加了新的元素,更加突出了对企业风险的关注,从风险管理角度对内部控制进行了全新的诠释,无论在内容还是范围上都有很大的改进和完善,具体表现为以下几方面。(1)内部控制目标的定位更高,内容更宽泛。内部控制框架将企业内部控制的目标分为经营目标、财务报告目标和合法性目标。ERM框架则在此三项目标基础之上,新增了一个目标战略目标,该目标的层次比其他三个目标更高。另外,内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而ERM框架中的财务报告目标的范围有很大的扩展,覆盖了企业编制的所有报告。(2)更加突出了对企业风险的关注。ERM框架以风险管理为中心定位内部控制体系,明确了内部控制的核心就是进行风险管理以最终帮助企业实现其既定目标。ERM框架提出了一个新的观念风险组合观,并针对风险度量提出风险偏好和容忍度两个新概念,同时在内部控制构成要素方面增加了三个风险管理要素目标制定、事项识别、风险反应,并对其他五个构成要素的内涵进行了更深入的阐述,扩大了相关要素的范围。可以说,ERM框架中列明的八个要素都是直接或间接围绕企业风险管理而展开的。(3)更加强调董事会在内部控制中的作用。内部控制框架的控制环境要素包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向等内容。虽然将董事会与内部控制联系起来了,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。ERM框架则将内部控制框架中的控制环境扩展为内部环境,并充分认识到企业风险管理的成功与否很大程度上依赖于董事会,董事会对内部控制系统至关重要,扩大了董事会在企业内部控制中的地位与职责。二、COSO报告对我国企业内部控制的启示近年来,随着我国在内部会计控制方面逐渐形成了一个较完整的规范体系,大部分企业都建立了内部控制制度,但在企业实际经营管理活动中,普遍存在一些问题。COSO报告可以说是目前最完善的内部控制框架,借鉴COSO报告可以对完善我国企业内部控制有以下一些启示。1、建立以风险管理为核心的企业内部控制体系新的COSO框架最突出的特点是提高了对企业风险的关注程度,使企业内部控制逐渐呈现与风险管理一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制。企业内部控制开始走向范围更宽泛的风险管理。我国企业应加强对风险的认识,将风险管理提升到一定的高度,逐步建立以风险管理为核心的内部控制体系。由于控制是需要成本的,董事会与管理层要将精力主要放在风险管理上,而不是对所有细节的控制上。对风险的管理是否及时、有效往往会关系到企业的生死存亡。只有将风险管理作为核心的内部控制才能为企业的存续和发展提供更大的支持。企业风险管理需要企业管理者建立一种企业总体层面上的风险组合观,对相关的风险进行识别并采取措施使企业所承担的总体风险在风险偏好的范围内。在制定目标时,要针对不同的目标分析其相应的风险,并根据对实现企业目标的潜在影响来确认风险,从固有风险和残存风险的角度进行风险评估,对规避、减少、共担和接受等风险反应方案,企业管理者应比较不同方案的潜在影响,在企业风险容忍度范围内的假设下考虑风险反应方案的选择。2、重视企业的内部环境建设,强化董事会的内部控制功能内部环境有着丰富的内涵,它由许多因素共同构成,包括企业风险管理理念、企业风险偏好、董事会的监管、企业员工的诚实性、道德标准和能力、权责的分派以及企业的人力资源政策等。内部环境设定了企业的基调,同时也是决定一个企业的内部控制优劣的基础。企业要加强对内部环境的建设,只有拥有良好的内部环境,才能保证具体内部控制措施的实施,才能真正建立起有效的体系。在构成内部环境的要素中,董事会是重要的组成部分,对其他要素有着重大