COSO报告及对我国企业内部控制的启示

　　【摘要】美国COSO委员会出台的《企业风险管理——整体框架》被视为当前最先进的内部控制理论。本文对《企业风险管理——整体框架》及其前身《内部控制——整体框架》的核心内容进行了分析,从最新的风险管理框架出发,提出了对完善我国企业内部控制的几点启示,作为企业内部控制建设的参考。

　　【关键词】COSO,内部控制,启示

　　自美国安然公司特大财务舞弊事件发生以来,企业内部控制问题引起了世界各国的广泛关注。而提到内部控制,我们不得不提到美国COSO报告。本文借鉴COSO报告,谈谈关于完善我国企业内部控制的几点建议。

　　一、COSO报告

　　COSO委员会是一个由美国注册会计师协会、美国会计学会、财务经理人协会、内部审计师协会和全国会计师协会共同发起并出资组成的民间组织。该组织本着通过商业伦理、有效的内部控制和公司治理提高财务报告质量的宗旨,有着一套严密的研究范式和程序。自1985年成立至2004年近20年时间,共发布了五份研究成果,对全世界的会计审计和证券界都产生了深远影响。本文所指的COSO报告是指COSO委员会1992年发布的《内部控制——整体框架》和2004年发布的《企业风险管理——整体框架》。

　　1、内部控制整体框架

　　1992年COSO委员会发布了《内部控制——整体框架》(Internal Control-Integrated Framework)。该报告提出了内部控制的三项目标和五大要素,指出企业内部控制是“由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程”,由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素构成。《内部控制——整体框架》得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,被视为关于内部控制的纲领性文件,被世界范围内许多企业所采用。

　　与以往的内部控制理论及研究相比,《内部控制——整体框架》提出了许多新的、有价值的观点,主要有以下几个方面。

　　(1)明确了内部控制的一系列基础概念。该报告给出了内部控制明确的定义,将内部控制基本目标准确定位为帮助企业奔向经营目标、完成使命和减少经营过程中的风险,提出三类目标、五项构成要素概念。这一系列基础概念的提出为评价内部控制系统提供了一套完整的标准,在理论和实际应用两个方面都较原来的内部控制学说有了一个质的飞跃。

　　(2)强调内部控制是一种动态的过程。提出内部控制是由控制环境、风险评估、控制活动、信息与沟通和监控等五项要素构成的一种“过程”。这五项控制要素不是内部控制过程中有着明确先后顺序的一道道工序,而是有着多方向的、交叉的、多维的联系的。内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。企业的经营管理环境不断发展变化,必然要求企业内部控制也是一个动态发展的、越来越完善的过程。

　　(3)明确企业员工的内部控制责任,强调内部控制中“人”的重要性。报告指出人和环境是推动企业发展的引擎。不仅仅是管理人员、内部审计人员或董事会成员,组织中的每一位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所有员工都应对内部控制负有责任,清楚他们在企业内部控制系统中的位置和角色,并协调一致,推进企业内部控制的有效运转。

　　2、企业风险管理整体框架

　　2001年年底以来,安然、世界通信、施乐、美国在线时代华纳等上市公司财务舞弊事件的发生,集中暴露了美国公司在内部控制上存在的问题,由此导致《萨班尼斯—奥克斯利法》(Sarbanes-Oxley Act,简称萨班斯法案、SOX法案)的出台。SOX法案强化公司治理结构并明确公司的财务报告责任,大幅增强了公司的财务披露义务;加重了对公司管理层违法行为的处罚措施;并强化了内部审计、外部审计及审计监管。

　　2004年9月29日,COSO委员会在《内部控制——整体框架》报告的基础之上,根据SOX法案强化财务信息披露内部控制有效性的规定,结合公司治理过程中应加强对企业风险管理的新形势,发布了《企业风险管理——整体框架》(Enterprise Risk Management -Integrated Framework,简称ERM)。

　　与内部控制框架相比较,ERM框架添加了新的元素,更加突出了对企业风险的关注,从风险管理角度对内部控制进行了全新的诠释,无论在内容还是范围上都有很大的改进和完善,具体表现为以下几方面。

　　(1)内部控制目标的定位更高,内容更宽泛。内部控制框架将企业内部控制的目标分为经营目标、财务报告目标和合法性目标。ERM框架则在此三项目标基础之上,新增了一个目标——战略目标,该目标的层次比其他三个目标更高。另外,内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而ERM框架中的财务报告目标的范围有很大的扩展,覆盖了企业编制的所有报告。

　　(2)更加突出了对企业风险的关注。ERM框架以风险管理为中心定位内部控制体系,明确了内部控制的核心就是进行风险管理以最终帮助企业实现其既定目标。ERM框架提出了一个新的观念——风险组合观,并针对风险度量提出风险偏好和容忍度两个新概念,同时在内部控制构成要素方面增加了三个风险管理要素——目标制定、事项识别、风险反应,并对其他五个构成要素的内涵进行了更深入的阐述,扩大了相关要素的范围。可以说,ERM框架中列明的八个要素都是直接或间接围绕企业风险管理而展开的。

　　(3)更加强调董事会在内部控制中的作用。内部控制框架的控制环境要素包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向等内容。虽然将董事会与内部控制联系起来了,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。ERM框架则将内部控制框架中的控制环境扩展为内部环境,并充分认识到企业风险管理的成功与否很大程度上依赖于董事会,董事会对内部控制系统至关重要,扩大了董事会在企业内部控制中的地位与职责。

　　二、COSO报告对我国企业内部控制的启示

　　近年来,随着我国在内部会计控制方面逐渐形成了一个较完整的规范体系,大部分企业都建立了内部控制制度,但在企业实际经营管理活动中,普遍存在一些问题。COSO报告可以说是目前最完善的内部控制框架,借鉴COSO报告可以对完善我国企业内部控制有以下一些启示。

　　1、建立以风险管理为核心的企业内部控制体系

　　新的COSO框架最突出的特点是提高了对企业风险的关注程度,使企业内部控制逐渐呈现与风险管理一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制。企业内部控制开始走向范围更宽泛的风险管理。

　　我国企业应加强对风险的认识,将风险管理提升到一定的高度,逐步建立以风险管理为核心的内部控制体系。由于控制是需要成本的,董事会与管理层要将精力主要放在风险管理上,而不是对所有细节的控制上。对风险的管理是否及时、有效往往会关系到企业的生死存亡。只有将风险管理作为核心的内部控制才能为企业的存续和发展提供更大的支持。 企业风险管理需要企业管理者建立一种企业总体层面上的风险组合观,对相关的风险进行识别并采取措施使企业所承担的总体风险在风险偏好的范围内。在制定目标时,要针对不同的目标分析其相应的风险,并根据对实现企业目标的潜在影响来确认风险,从固有风险和残存风险的角度进行风险评估,对规避、减少、共担和接受等风险反应方案,企业管理者应比较不同方案的潜在影响,在企业风险容忍度范围内的假设下考虑风险反应方案的选择。

　　2、重视企业的内部环境建设,强化董事会的内部控制功能

　　内部环境有着丰富的内涵,它由许多因素共同构成,包括企业风险管理理念、企业风险偏好、董事会的监管、企业员工的诚实性、道德标准和能力、权责的分派以及企业的人力资源政策等。内部环境设定了企业的基调,同时也是决定一个企业的内部控制优劣的基础。企业要加强对内部环境的建设,只有拥有良好的内部环境,才能保证具体内部控制措施的实施,才能真正建立起有效的体系。

　　在构成内部环境的要素中,董事会是重要的组成部分,对其他要素有着重大影响,建立健全董事会功能是企业最根本的内部控制。安然、世通等特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。而在我国,受体制等方面的影响,很多企业的董事会形同虚设,内部控制缺乏应有的股东监督机制,更多地维系在经营者的觉悟上,关键人控制现象十分突出。企业应该认识到董事会对企业的所有活动负有最终责任,要充分发挥董事会的监管作用,确保企业的各项活动符合其风险偏好、不超出其风险容忍度的范围,这样才能使企业健康地发展下去。

　　3、加强监督机制,提高内部控制效率

　　公司治理的监督机制包括内部监督机制与外部监督机制,其中内部监督机制是指股东大会、董事会、监事会等监督机制;外部监督机制是指媒体、中介机构等监督机制。在目前我国很多企业缺乏完善的公司治理机制、内部环境较差的情况下,要使内部控制有效执行,必须借助于企业内、外部的监督机制,定期和不定期地对内部控制制度的执行情况进行检查与考核,不断发现问题、解决问题,从而不断修改或调整有关的控制环节和措施,促使内部控制日趋合理有效。

　　4、突出人的作用,增强内部控制执行的自觉性

　　无论多好的制度,若得不到切实的执行也不能发挥其应有的作用。内部控制并非仅仅是政策手册与表格,而是由具体的人来执行和实施的。在加强企业内部控制管理的过程中,人的因素十分的重要。这里所说的人,不仅仅是企业的管理人员、董事会成员或内部审计人员,而应包括来自企业内每一个阶层的每一个员工。一个良好的内部控制系统应确保企业内每一个员工都能清楚地知道其所拥有的权力和承担的责任,树立每一个员工都应对企业的内部控制负有责任的观念,促使他们团结合作,主动实施并完善企业的内部控制,为企业总体目标的实现认真履行自己的职责。

　　【参考文献】

　　[1] 柳木华:美国COSO委员会:借鉴与启示[J].当代财经,2006(8).

　　[2] 李静:美国COSO报告及其借鉴意义[J].财会月刊,2006(4).

　　[3] 朱荣恩、贺欣:内部控制框架的新发展——企业风险管理框架[J].审计研究,2003(6).

　　[4] 吴涛:新COSO报告对构建我国内部控制规范体系的启示[J].商场现代化,2006(2).

　　[5] 叶雪芳:美国COSO报告及对我国内部控制的启示[J].商业经济与管理,2003(3).