【摘要】美国COSO委员会出台的《企业风险管理——整体框架》被视为当前最先进的内部控制理论。本文对《企业风险管理——整体框架》及其前身《内部控制——整体框架》的核心内容进行了分析,从最新的风险管理框架出发,提出了对完善我国企业内部控制的几点启示,作为企业内部控制建设的参考。
【关键词】COSO,内部控制,启示
自美国安然公司特大财务舞弊事件发生以来,企业内部控制问题引起了世界各国的广泛关注。而提到内部控制,我们不得不提到美国COSO报告。本文借鉴COSO报告,谈谈关于完善我国企业内部控制的几点建议。
一、COSO报告
COSO委员会是一个由美国注册会计师协会、美国会计学会、财务经理人协会、内部审计师协会和全国会计师协会共同发起并出资组成的民间组织。该组织本着通过商业伦理、有效的内部控制和公司治理提高财务报告质量的宗旨,有着一套严密的研究范式和程序。自1985年成立至2004年近20年时间,共发布了五份研究成果,对全世界的会计审计和证券界都产生了深远影响。本文所指的COSO报告是指COSO委员会1992年发布的《内部控制——整体框架》和2004年发布的《企业风险管理——整体框架》。
1、内部控制整体框架
1992年COSO委员会发布了《内部控制——整体框架》(Internal Control-Integrated Framework)。该报告提出了内部控制的三项目标和五大要素,指出企业内部控制是“由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程”,由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素构成。《内部控制——整体框架》得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,被视为关于内部控制的纲领性文件,被世界范围内许多企业所采用。
与以往的内部控制理论及研究相比,《内部控制——整体框架》提出了许多新的、有价值的观点,主要有以下几个方面。
(1)明确了内部控制的一系列基础概念。该报告给出了内部控制明确的定义,将内部控制基本目标准确定位为帮助企业奔向经营目标、完成使命和减少经营过程中的风险,提出三类目标、五项构成要素概念。这一系列基础概念的提出为评价内部控制系统提供了一套完整的标准,在理论和实际应用两个方面都较原来的内部控制学说有了一个质的飞跃。
(2)强调内部控制是一种动态的过程。提出内部控制是由控制环境、风险评估、控制活动、信息与沟通和监控等五项要素构成的一种“过程”。这五项控制要素不是内部控制过程中有着明确先后顺序的一道道工序,而是有着多方向的、交叉的、多维的联系的。内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。企业的经营管理环境不断发展变化,必然要求企业内部控制也是一个动态发展的、越来越完善的过程。
(3)明确企业员工的内部控制责任,强调内部控制中“人”的重要性。报告指出人和环境是推动企业发展的引擎。不仅仅是管理人员、内部审计人员或董事会成员,组织中的每一位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所有员工都应对内部控制负有责任,清楚他们在企业内部控制系统中的位置和角色,并协调一致,推进企业内部控制的有效运转。
2001年年底以来,安然、世界通信、施乐、美国在线时代华纳等上市公司财务舞弊事件的发生,集中暴露了美国公司在内部控制上存在的问题,由此导致《萨班尼斯—奥克斯利法》(Sarbanes-Oxley Act,简称萨班斯法案、SOX法案)的出台。SOX法案强化公司治理结构并明确公司的财务报告责任,大幅增强了公司的财务披露义务;加重了对公司管理层违法行为的处罚措施;并强化了内部审计、外部审计及审计监管。
2004年9月29日,COSO委员会在《内部控制——整体框架》报告的基础之上,根据SOX法案强化财务信息披露内部控制有效性的规定,结合公司治理过程中应加强对企业风险管理的新形势,发布了《企业风险管理——整体框架》(Enterprise Risk Management -Integrated Framework,简称ERM)。
与内部控制框架相比较,ERM框架添加了新的元素,更加突出了对企业风险的关注,从风险管理角度对内部控制进行了全新的诠释,无论在内容还是范围上都有很大的改进和完善,具体表现为以下几方面。
(1)内部控制目标的定位更高,内容更宽泛。内部控制框架将企业内部控制的目标分为经营目标、财务报告目标和合法性目标。ERM框架则在此三项目标基础之上,新增了一个目标——战略目标,该目标的层次比其他三个目标更高。另外,内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而ERM框架中的财务报告目标的范围有很大的扩展,覆盖了企业编制的所有报告。
(2)更加突出了对企业风险的关注。ERM框架以风险管理为中心定位内部控制体系,明确了内部控制的核心就是进行风险管理以最终帮助企业实现其既定目标。ERM框架提出了一个新的观念——风险组合观,并针对风险度量提出风险偏好和容忍度两个新概念,同时在内部控制构成要素方面增加了三个风险管理要素——目标制定、事项识别、风险反应,并对其他五个构成要素的内涵进行了更深入的阐述,扩大了相关要素的范围。可以说,ERM框架中列明的八个要素都是直接或间接围绕企业风险管理而展开的。
(3)更加强调董事会在内部控制中的作用。内部控制框架的控制环境要素包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向等内容。虽然将董事会与内部控制联系起来了,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。ERM框架则将内部控制框架中的控制环境扩展为内部环境,并充分认识到企业风险管理的成功与否很大程度上依赖于董事会,董事会对内部控制系统至关重要,扩大了董事会在企业内部控制中的地位与职责。