COSO框架的演化及其对我国的启示

框架的演化及其对我国的启示 框架的演化及其对我国的启示 摘要 文章通过对比 COSO 项目组前后发布的两个 COSO 框架 深入分析 COSO 框架的演化路径 总结出了内 部控制理论发展的趋向 以为我国企业完善内部控制和加强 风险管理提供借鉴 关键词 COSO 框架 演化 启示 一 问题的提出 针对层出不穷的财务舞弊案例 COSO 委员会于 1992 年 发布了 内部控制 整体框架 即 COSO 框架 简称 IC IF 框架 该框架一发布便受到理论界和实务界的广泛认可 得到了美国联邦储备局 美国证券交易委员会 巴塞尔委员 会等监管机构或国际组织的认可与采纳 其中的许多定义 建议及思想被吸收到立法与规则制定中 在全世界范围内产 生了广泛的影响 然而十多年后 随着安然 世通 施乐等公 司财务舞弊案为代表的新一轮会计丑闻的爆发 全世界范围 内掀起了加强企业风险管理的浪潮 要求提高企业风险管理 能力的呼声日益高涨 在这一背景下 COSO 委员会在 1992 年 COSO 报告的基础上 结合 萨班斯 奥克斯利法案 于 2004 年发布了 COSO 新框架 简称 ERM 框架 此报告 涵盖了 IC IF 框架的内容 其范围和内容更加广泛 目前 我国大部分企业仍处于加强内部控制的建设阶段 缺乏必要的全面风险管理意识 更没有建立科学的企业风险 管理体系 因此 充分理解 ERM 框架的理论内涵和实践价 值以及内部控制与风险管理的关系 对完善我国企业内部控 制和建立企业风险管理体系 无疑有着积极的借鉴意义 二 COSO 报告演化的趋向 任何企业都面临着不确定性 如何有效地处理不确定性 及相应的风险和机遇 提升企业创造价值的能力 是所有企 业管理层面临的挑战 ERM 框架即为企业管理者提供了一 个评价和提高企业风险管理水平的概念性指南 ERM 框架无论是在内部控制的内涵方面 还是在目标 要素和管理者任务等方面均有相当大的突破 从 IC IF 框架 到 ERM 框架的演化 影射出了内部控制理论发展的趋向 一 内部控制内涵的拓展凸显了内部控制理论发展的风 险趋向 IC IF 框架指出 内部控制是一个受董事会 管理层和其 他人员影响的 为企业经营的效率和效果 财务报告的可靠 性以及法律法规的遵循性等目标的实现提供合理保证的过 程 ERM 框架在 IC IF 框架的基础上 吸收了风险管理理论 的最新研究成果 对内部控制的内涵进行了扩展并重新表述 为 企业风险管理是一个受董事会 管理层和其他人员影响 的 应用于企业战略制定 各部门和各项经营活动 识别可 能对企业造成潜在影响的事项并在其风险偏好范围内管理 风险的 为企业各类目标的实现提供合理保证的过程 从内 部控制和企业管理的定义可以看出 ERM 框架将风险管理 提升到前所未有的高度 除了涵盖内部控制的所有合理内容 以外 还首次明确提出了风险偏好 风险容忍度等概念 使 内部控制的定义更加明确与具体 二 内部控制要素的扩展凸显了内部控制理论的 目标 风险 控制 趋向 传统的内部控制逻辑范式是 控制一风险一目标 ERM 框架从以下几个方面扩展了内部控制的要素 一是将控制环 境扩展为内部环境 二是增加了目标制定 事项识别和风险 应对三个要素 首先 ERM 框架将目标制定作为风险管理的 首要步骤 针对不同层级的且标分析其风险 从而使风险管 理的目标更加明确 其次 ERM 框架彻底更新了风险观念 区分了风险与机遇 将风险定义为可能有负面影响的事项 将战略机遇与企业风险联系起来考虑 并强调了 IC IF 框架 从未涉及的风险组合观 即从各个层次识别风险 从企业整 体出发管理风险 最后 ERM 框架在事项识别的基础上 提 出了规避 减少 共担和接受四种具体的风险应对措施 三 是 ERM 框架扩展了信息与沟通要素的内容 由于 IC IF 框 架仅提出三个目标 因此 信息与沟通 中的信息仅仅指与这 三个目标相关的信息 而 ERM 框架包括了与组织的各个层 级 目标相关的信息 为董事会和管理层充分把握机遇和识 别风险提供了基础和可能 也对管理层将巨量信息处理和精 炼为可控的信息提出了挑战 由此可以看出 ERM 框架对内 部控制要素的扩展革新了传统的内部控制逻辑范式 凸显了 目标 风险 控制 的新内部控制逻辑范式 三 内部控制目标层次的提高凸显了内部控制理论发展 的战略趋向 IC IF 框架的内部控制的目标仅涉及经营活动 财务报告 和合规性三个方面 其中 财务报告目标仅与公开披露的财 务报告的可靠性相关 而 ERM 框架将风险管理的目标扩展 为战略目标 经营目标 报告目标和合规性目标 可以看出 ERM 框架一方面扩展了原来的财务报告目标 将 财务报告 的可靠性 发展为 报告的可靠性 即是将财务报告拓展到 内部和外部的报告 财务和非财务的报告 涵盖了企业所 有的报告 另一方面还增加了企业最高层次的战略目标 将 风险管理应用于企业战略的制定 凸显了内部扩控制理论发 展的战略趋向 四 内部控制责任的上移凸显了内部控 制理论发展的公司治理趋向 IC IF 框架和 ERM 框架都将董事会 管理层 内部审计 师和其他员工看成是相关责任人 认为董事会负责管理 指 引和核查 但 ERM 框架将内部控制的重心进一步上移 并 更加明确地划分了各个层级的相关责任主体 具体表现在 一是 ERM 框架将内部控制的重心上移至董事会 要求董事 会在风险管理方面扮演更加重要的角色 负总体责任 且 变得更加机警 董事会需要批准企业的风险偏好 复核企业 的风险组合观并与企业的风险偏好相比较 评估企业最重要 的风险并评估管理者的风险反应是否适当 二是 ERM 框架 要求 CEO 必须确定目标和战略方案 并将其分为战略目标 经营目标 报告目标和遵循目标 目标设定后 管理层就需 要识别风险和影响风险的事项 评估风险 采取控制措施 在风险管理方面负首要责任 其他经理人员起支持作用 三 是 ERM 框架增加了首席风险师的角色 首席风险师除了需 要和其他管理人员一样 在自己的职责范围内建立起风险管 理外 还要帮助其他管理人员在企业内向上 向下和横向报 告有关的风险信息 并成为企业风险管理委员会的一员 四 是 ERM 框架要求内部审计人员通过监督 评价 检查 报告 和改革企业 ERM 框架来协助管理层和董事会 在风险管理 的监控中负重要责任 五是其他人员负有按确定的指示进行 企业风险管理的责任 三 COSO 框架的演化对我国的启示 他山之石 可以攻玉 COSO 框架的演进对完善我国企 业的内部控制具有一定启发和借鉴意义 一 以风险为导向来进行内部控制 COSO 框架演化的最大变化就是将企业内部控制的内涵 拓展为企业风险管理 在我国 几乎所有的大企业都有一套 严密 完整的内部控制制度 但董事会和管理层只将精力集 中在各种细小的控制上 忽视了企业潜在的重大风险 结果 导致了许多企业的失败 ERM 框架告诉我们 企业应将风险 管理作为内部控制的重心和主要内容 我国企业要在完善原 有 IC IF 框架的基础上 建立有效的风险管理体系 提升内 部控制的效果 二 树立风险组合的观念 风险组合观是 ERM 框架的一大亮点 企业的高层管理者 在风险管理的过程中 要站在全局的角度 以风险组合的观 点来分析风险 不仅要将企业每个部门的风险控制在其各自 风险容忍度的范围内 而且汇总后的总风险也要控制在股东 其他利益相关者认可的风险偏好范围之内 三 将风险管理提升到战略层面 近几年来 我国企业加强了内部控制的建设 逐步建立 完善了内部控制流程和规章制度 提高了人员素质 但是 依旧还存在就事论事思考问题的习惯 内部控制手段比较单 调 很少从整体 长期的角度来考虑应该采取的战略 因此 风险管理需要提升到公司长期和谐发展的战略高度 ERM 框架提供了从战略高度管理风险的指导 我国企业应遵循 目标 风险 控制 的逻辑范式 结合自身优势与外部环境 设定战略目标 并采取相应的风险管理措施 将企业的整体 风险水平控制在企业的风险容忍度范围之内 四 提升董事会在风险管理中的责任 设立首席风险师职 位并增强其职能 加大内部审计人员的风险监控力度 目前 我国多数企业 一股独大 现象仍很突出 法人治理 结构不完善 很少有企业设有真正的董事会 有些企业即使 设立了董事会也是