企業研究論文-由報告的變革看內部控制標準的發展【摘要】內部控制問題正逐漸為全球所關注。本文依照COSO報告變化的背景，特別結合目前具有廣泛影響的ERM框架的內容，闡明了風險管理思想對內部控制標準發展的貢獻，旨在為內部控制制度的設計和評價提供借鑒。【關鍵詞】COSO報告；內部控制；風險管理一、COSO背景COSO委員會是由美國注冊會計師協會(AICPA)、美國會計學會(AAA)、財務經理人協會(FEI)、內部審計師協會(IIA)和管理會計師協會(IMA)共同發起并出資組成的民間組織。該組織的宗旨在于通過商業倫理、有效的內部控制和公司治理提高財務報告質量。COSO發布的研究成果在美國以及全球會計、審計和證券界產生了深遠影響，其中的一些概念和原理被寫入了教科書，成為研究人員經常引用的經典；而且，隨同報告發布的實務指南也為單位組織建立內部管理架構提供了十分有益的幫助，成為評價單位組織內部控制的標準。（柳木華.2006）。迄今為止，COSO委員會共發布了五部研究報告。1987年，COSO發布了反欺詐性財務報告全國委員會報告，報告對財務欺詐的研究和分析沒有簡單地局限于獨立審計師的查錯作用，而是密切關注企業法律、金融和其他咨詢顧問在財務欺詐中的角色，分析了企業經理班子價值觀念和會計、內審與審計委員會的作用，觸及了政府管制(包括SEC)和大學會計課程設置是否充分有效等問題。報告分別向公眾公司、注冊會計師、SEC以及其他法律部門、教育部門等提出了約100條建議。1996年，COSO發表了金融衍生工具使用中的內部控制問題，該報告模型認為，“風險管理過程需要理解實體的目標和經營活動，識別市場風險和測度承擔的風險，然后決定是否使用衍生產品將風險降低到可以承受的水平。只要簡單的忽略與衍生產品有關的部分并代之以其他合適的降低風險行為，這個過程就具有普遍性”。報告為衍生工具用戶建立、評估和改善內部控制，提供了指導性建議。1999年，COSO利用1987-1997年欺詐性財務報告公司樣本，在歸納其公司特征、控制環境特征、欺詐特征的基礎上，發布了欺詐性財務報告-1987至1997：美國公眾公司分析。報告探討了三個欺詐高發行業信息技術、保健和金融服務業的欺詐特點，發現三個行業的欺詐手段存在顯著差異，如信息技術業最常見的欺詐手段是收入欺詐，而金融服務業最常見的手段是資產欺詐和資產盜用，并且研究了財務報告欺詐與公司治理之間的關系，發現欺詐樣本公司與其所在行業標準相比，具有相當弱的公司治理機制。20世紀在經歷了70年代一連串財務失敗和可疑的商業行為相繼爆發后，國際社會又出現了更聳人聽聞的以金融機構破產為代表的財務失敗事件，給納稅人最終帶來超過1500億美元的成本。為能有效遏制這種愈演愈烈的會計舞弊活動，1992年，COSO在進行了深入研究之后發布了一份關于內部控制的綱領性文件，即內部控制整體框架，它標志著內部控制理論與實踐進入了整體框架的階段。報告提出了內部控制的五個重要組成要素：控制環境、風險評估、控制活動、信息及溝通與監督，深化了內部控制的理念和應用。COSO報告一經發布便得到了業界的認可與采納，并在世界范圍內產生了廣泛影響。2001年以來，以安然、世通等為代表的一些美國大公司，因財務信息造假等行為而相繼倒閉破產，震撼了美國的資本市場，引起了世界的極大反響。在國際社會對改善公司治理與加強風險管理的呼聲日益高漲的背景下，2004年9月，COSO委員會結合薩班斯一奧克斯利法案的相關要求，頒布了一個概念全新的報告：企業風險管理整體框架（ERM）。框架的出臺順應了各方需求，與1992年的內部控制整體框架相比，在內部控制的內涵、目標、要素以及內部控制責任承擔等層面有了全新的突破，對企業風險管理做出了更為詳盡的闡述。ERM并沒有取代內部控制整體框架，而是基于并將其融入其中，全面推進了內部控制標準的發展。二、COSO企業風險管理整體框架概要COSO為企業風險管理確立了一個可普遍接受的概念，為各組織識別風險和實施風險管理提供了理論基礎。ERM框架認為：“企業風險管理是一個過程，是由企業的董事會、經理層和其他員工共同參與，應用于企業戰略制定和企業內部各個層次和部門的、貫穿整個企業，旨在識別影響組織的潛在事件，為組織目標的實現提供合理的保證”。企業風險管理是由人參與的過程而并非結果，企業必須將風險管理融入在日常的經營管理之中，并涉及企業的每個員工。風險管理能夠識別對企業造成影響的潛在風險，能在一定程度上幫助企業實現合理的既定目標。企業風險管理包含八個相互關聯的要素：（一）內部環境內部環境是其他風險管理要素的基礎，它由內部控制整體框架要素中的“控制環境”演變而來，但包含了更為豐富的內容，如風險文化和風險偏好、管理哲學和經營風險、權力和責任分配、實踐操守和價值觀等。（二）目標設定ERM框架認為，企業的管理層在評估風險之前必須確立目標，并針對不同的目標分析相應的風險，這樣管理當局才能識別影響目標實現的潛在事項。企業的目標可以分成四類：1.戰略目標。與企業的使命相一致，是較高層次的目標；2.經營目標。與企業經營的效果與效率相關，旨在使企業能夠有效地使用資源；3.報告目標。企業組織報告的可靠性，分為對內報告和對外報告，涉及財務和非財務信息；4.遵循目標。即企業經營是否遵循相關的法律法規。（三）事件識別指識別影響事件的內外部因素。潛在的事項，對企業可能有正面影響，也可能有負面影響。識別風險旨在于抓住機遇，或者在風險評估和應對階段彌補風險對企業的影響。（四）風險評估是決定如何管理風險的基礎，風險得到識別后，就需要對風險進行分析評估，這樣，管理層就能根據被識別風險的重要程度來進行規劃和組織，使通過風險管理這個過程識別和分析風險，并采取減弱風險影響的行動來管理風險。風險評估可根據不同的風險目標確定相應的風險評估方法，主要為定量分析和定性分析相結合的方法。（五）風險對策是在評估了相關的風險之后，所做出的應對、控制、轉移、補償風險的各種策略和措施。通常將風險對策分為規避風險、減少風險、共擔風險和接受風險等四類。企業應在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事件發生的可能性和事項對企業的影響，并設計和執行風險應對方案。COSO認為，有效的風險管理是管理者的選擇能使企業風險發生的可能性和影響都落在風險的容忍度內。（六）控制活動是有助于保證風險應對方案得到執行的相關政策和程序。管理當局應對企業所有系統進行控制，包括對信息系統的控制，通常控制活動和風險評估過程是聯系在一起的。（七）信息與溝通信息是溝通的基礎