【摘要】美國COSO委員會出臺的《企業風險管理——整體框架》被視為當前最先進的內部控制理論。本文對《企業風險管理——整體框架》及其前身《內部控制——整體框架》的核心內容進行了分析,從最新的風險管理框架出發,提出了對完善我國企業內部控制的幾點啟示,作為企業內部控制建設的參考。
【關鍵詞】COSO,內部控制,啟示
自美國安然公司特大財務舞弊事件發生以來,企業內部控制問題引起了世界各國的廣泛關注。而提到內部控制,我們不得不提到美國COSO報告。本文借鑒COSO報告,談談關于完善我國企業內部控制的幾點建議。
一、COSO報告
COSO委員會是一個由美國注冊會計師協會、美國會計學會、財務經理人協會、內部審計師協會和全國會計師協會共同發起并出資組成的民間組織。該組織本著通過商業倫理、有效的內部控制和公司治理提高財務報告質量的宗旨,有著一套嚴密的研究范式和程序。自1985年成立至2004年近20年時間,共發布了五份研究成果,對全世界的會計審計和證券界都產生了深遠影響。本文所指的COSO報告是指COSO委員會1992年發布的《內部控制——整體框架》和2004年發布的《企業風險管理——整體框架》。
1、內部控制整體框架
1992年COSO委員會發布了《內部控制——整體框架》(Internal Control-Integrated Framework)。該報告提出了內部控制的三項目標和五大要素,指出企業內部控制是“由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程”,由控制環境、風險評估、控制活動、信息與溝通、監控等五個要素構成。《內部控制——整體框架》得到了美國聯邦儲備局、美國證券交易委員會、巴塞爾委員會等監管機構或國際組織的認可與采納,被視為關于內部控制的綱領性文件,被世界范圍內許多企業所采用。
與以往的內部控制理論及研究相比,《內部控制——整體框架》提出了許多新的、有價值的觀點,主要有以下幾個方面。
(1)明確了內部控制的一系列基礎概念。該報告給出了內部控制明確的定義,將內部控制基本目標準確定位為幫助企業奔向經營目標、完成使命和減少經營過程中的風險,提出三類目標、五項構成要素概念。這一系列基礎概念的提出為評價內部控制系統提供了一套完整的標準,在理論和實際應用兩個方面都較原來的內部控制學說有了一個質的飛躍。
(2)強調內部控制是一種動態的過程。提出內部控制是由控制環境、風險評估、控制活動、信息與溝通和監控等五項要素構成的一種“過程”。這五項控制要素不是內部控制過程中有著明確先后順序的一道道工序,而是有著多方向的、交叉的、多維的聯系的。內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程。企業的經營管理環境不斷發展變化,必然要求企業內部控制也是一個動態發展的、越來越完善的過程。
(3)明確企業員工的內部控制責任,強調內部控制中“人”的重要性。報告指出人和環境是推動企業發展的引擎。不僅僅是管理人員、內部審計人員或董事會成員,組織中的每一位員工都受內部控制的影響,并通過自身的工作影響著他人的工作和整個內部控制系統。所有員工都應對內部控制負有責任,清楚他們在企業內部控制系統中的位置和角色,并協調一致,推進企業內部控制的有效運轉。
2、企業風險管理整體框架
2001年年底以來,安然、世界通信、施樂、美國在線時代華納等上市公司財務舞弊事件的發生,集中暴露了美國公司在內部控制上存在的問題,由此導致《薩班尼斯—奧克斯利法》(Sarbanes-Oxley Act,簡稱薩班斯法案、SOX法案)的出臺。SOX法案強化公司治理結構并明確公司的財務報告責任,大幅增強了公司的財務披露義務;加重了對公司管理層違法行為的處罰措施;并強化了內部審計、外部審計及審計監管。
2004年9月29日,COSO委員會在《內部控制——整體框架》報告的基礎之上,根據SOX法案強化財務信息披露內部控制有效性的規定,結合公司治理過程中應加強對企業風險管理的新形勢,發布了《企業風險管理——整體框架》(Enterprise Risk Management -Integrated Framework,簡稱ERM)。
與內部控制框架相比較,ERM框架添加了新的元素,更加突出了對企業風險的關注,從風險管理角度對內部控制進行了全新的詮釋,無論在內容還是范圍上都有很大的改進和完善,具體表現為以下幾方面。
(1)內部控制目標的定位更高,內容更寬泛。內部控制框架將企業內部控制的目標分為經營目標、財務報告目標和合法性目標。ERM框架則在此三項目標基礎之上,新增了一個目標——戰略目標,該目標的層次比其他三個目標更高。另外,內部控制框架中的財務報告目標只與公開披露的財務報表的可靠性相關,而ERM框架中的財務報告目標的范圍有很大的擴展,覆蓋了企業編制的所有報告。
(2)更加突出了對企業風險的關注。ERM框架以風險管理為中心定位內部控制體系,明確了內部控制的核心就是進行風險管理以最終幫助企業實現其既定目標。ERM框架提出了一個新的觀念——風險組合觀,并針對風險度量提出風險偏好和容忍度兩個新概念,同時在內部控制構成要素方面增加了三個風險管理要素——目標制定、事項識別、風險反應,并對其他五個構成要素的內涵進行了更深入的闡述,擴大了相關要素的范圍。可以說,ERM框架中列明的八個要素都是直接或間接圍繞企業風險管理而展開的。
(3)更加強調董事會在內部控制中的作用。內部控制框架的控制環境要素包括組織人員的誠實、倫理價值和能力;管理層哲學和經營模式;管理層分配權限和責任、組織、發展員工的方式;董事會提供的關注和方向等內容。雖然將董事會與內部控制聯系起來了,但它的這種聯系僅僅局限于企業有一些事情需要董事會審批或授權,基本上把內部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯系和制衡關注不夠。ERM框架則將內部控制框架中的控制環境擴展為內部環境,并充分認識到企業風險管理的成功與否很大程度上依賴于董事會,董事會對內部控制系統至關重要,擴大了董事會在企業內部控制中的地位與職責。
二、COSO報告對我國企業內部控制的啟示
近年來,隨著我國在內部會計控制方面逐漸形成了一個較完整的規范體系,大部分企業都建立了內部控制制度,但在企業實際經營管理活動中,普遍存在一些問題。COSO報告可以說是目前最完善的內部控制框架,借鑒COSO報告可以對完善我國企業內部控制有以下一些啟示。
1、建立以風險管理為核心的企業內部控制體系
新的COSO框架最突出的特點是提高了對企業風險的關注程度,使企業內部控制逐漸呈現與風險管理一體化的趨勢,即以風險管理為主導,建立適應企業風險管理戰略的新的內部控制。企業內部控制開始走向范圍更寬泛的風險管理。
我國企業應加強對風險的認識,將風險管理提升到一定的高度,逐步建立以風險管理為核心的內部控制體系。由于控制是需要成本的,董事會與管理層要將精力主要放在風險管理上,而不是對所有細節的控制上。對風險的管理是否及時、有效往往會關系到企業的生死存亡。只有將風險管理作為核心的內部控制才能為企業的存續和發展提供更大的支持。 企業風險管理需要企業管理者建立一種企業總體層面上的風險組合觀,對相關的風險進行識別并采取措施使企業所承擔的總體風險在風險偏好的范圍內。在制定目標時,要針對不同的目標分析其相應的風險,并根據對實現企業目標的潛在影響來確認風險,從固有風險和殘存風險的角度進行風險評估,對規避、減少、共擔和接受等風險反應方案,企業管理者應比較不同方案的潛在影響,在企業風險容忍度范圍內的假設下考慮風險反應方案的選擇。
2、重視企業的內部環境建設,強化董事會的內部控制功能
內部環境有著豐富的內涵,它由許多因素共同構成,包括企業風險管理理念、企業風險偏好、董事會的監管、企業員工的誠實性、道德標準和能力、權責的分派以及企業的人力資源政策等。內部環境設定了企業的基調,同時也是決定一個企業的內部控制優劣的基礎。企業要加強對內部環境的建設,只有擁有良好的內部環境,才能保證具體內部控制措施的實施,才能真正建立起有效的體系。
在構成內部環境的要素中,董事會是重要的組成部分,對其他要素有著重大影響,建立健全董事會功能是企業最根本的內部控制。安然、世通等特大財務欺詐案件都直接與董事會功能失效和內部人控制泛濫有關。而在我國,受體制等方面的影響,很多企業的董事會形同虛設,內部控制缺乏應有的股東監督機制,更多地維系在經營者的覺悟上,關鍵人控制現象十分突出。企業應該認識到董事會對企業的所有活動負有最終責任,要充分發揮董事會的監管作用,確保企業的各項活動符合其風險偏好、不超出其風險容忍度的范圍,這樣才能使企業健康地發展下去。
3、加強監督機制,提高內部控制效率
公司治理的監督機制包括內部監督機制與外部監督機制,其中內部監督機制是指股東大會、董事會、監事會等監督機制;外部監督機制是指媒體、中介機構等監督機制。在目前我國很多企業缺乏完善的公司治理機制、內部環境較差的情況下,要使內部控制有效執行,必須借助于企業內、外部的監督機制,定期和不定期地對內部控制制度的執行情況進行檢查與考核,不斷發現問題、解決問題,從而不斷修改或調整有關的控制環節和措施,促使內部控制日趨合理有效。
4、突出人的作用,增強內部控制執行的自覺性
無論多好的制度,若得不到切實的執行也不能發揮其應有的作用。內部控制并非僅僅是政策手冊與表格,而是由具體的人來執行和實施的。在加強企業內部控制管理的過程中,人的因素十分的重要。這里所說的人,不僅僅是企業的管理人員、董事會成員或內部審計人員,而應包括來自企業內每一個階層的每一個員工。一個良好的內部控制系統應確保企業內每一個員工都能清楚地知道其所擁有的權力和承擔的責任,樹立每一個員工都應對企業的內部控制負有責任的觀念,促使他們團結合作,主動實施并完善企業的內部控制,為企業總體目標的實現認真履行自己的職責。
【參考文獻】
[1] 柳木華:美國COSO委員會:借鑒與啟示[J].當代財經,2006(8).
[2] 李靜:美國COSO報告及其借鑒意義[J].財會月刊,2006(4).
[3] 朱榮恩、賀欣:內部控制框架的新發展——企業風險管理框架[J].審計研究,2003(6).
[4] 吳濤:新COSO報告對構建我國內部控制規范體系的啟示[J].商場現代化,2006(2).
[5] 葉雪芳:美國COSO報告及對我國內部控制的啟示[J].商業經濟與管理,2003(3).
