ＣＯＳＯ框架的演化及其對我國的啟示

　　[摘要]文章通過對比COSO項目組前后發布的兩個COSO框架，深入分析COSO框架的演化路徑，總結出了內部控制理論發展的趨向，以為我國企業完善內部控制和加強風險管理提供借鑒。
　　[關鍵詞]COSO框架；演化；啟示
　　
　　一、問題的提出
　　
　　針對層出不窮的財務舞弊案例，COSO委員會于1992年發布了《內部控制——整體框架》，即COSO框架(簡稱“IC-IF框架”)，該框架一發布便受到理論界和實務界的廣泛認可，得到了美國聯邦儲備局、美國證券交易委員會、巴塞爾委員會等監管機構或國際組織的認可與采納，其中的許多定義、建議及思想被吸收到立法與規則制定中，在全世界范圍內產生了廣泛的影響。然而十多年后，隨著安然、世通、施樂等公司財務舞弊案為代表的新一輪會計丑聞的爆發，全世界范圍內掀起了加強企業風險管理的浪潮，要求提高企業風險管理能力的呼聲日益高漲。在這一背景下，COSO委員會在1992年COSO報告的基礎上，結合《薩班斯——奧克斯利法案》，于2004年發布了COSO新框架(簡稱“ERM框架”)，此報告涵蓋了IC--IF框架的內容，其范圍和內容更加廣泛。
　　目前，我國大部分企業仍處于加強內部控制的建設階段，缺乏必要的全面風險管理意識，更沒有建立科學的企業風險管理體系。因此，充分理解ERM框架的理論內涵和實踐價值以及內部控制與風險管理的關系，對完善我國企業內部控制和建立企業風險管理體系，無疑有著積極的借鑒意義。
　　
　　二、COSO報告演化的趨向
　　
　　任何企業都面臨著不確定性，如何有效地處理不確定性及相應的風險和機遇，提升企業創造價值的能力，是所有企業管理層面臨的挑戰。ERM框架即為企業管理者提供了一個評價和提高企業風險管理水平的概念性指南。
　　ERM框架無論是在內部控制的內涵方面，還是在目標、要素和管理者任務等方面均有相當大的突破。從IC-IF框架到ERM框架的演化，影射出了內部控制理論發展的趨向。
　　
　　(一)內部控制內涵的拓展凸顯了內部控制理論發展的風險趨向
　　IC-IF框架指出，“內部控制是一個受董事會、管理層和其他人員影響的，為企業經營的效率和效果、財務報告的可靠性以及法律法規的遵循性等目標的實現提供合理保證的過程。”ERM框架在IC-IF框架的基礎上，吸收了風險管理理論的最新研究成果，對內部控制的內涵進行了擴展并重新表述為“企業風險管理是一個受董事會、管理層和其他人員影響的，應用于企業戰略制定、各部門和各項經營活動、識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業各類目標的實現提供合理保證的過程。”從內部控制和企業管理的定義可以看出，ERM框架將風險管理提升到前所未有的高度，除了涵蓋內部控制的所有合理內容以外，還首次明確提出了風險偏好、風險容忍度等概念，使內部控制的定義更加明確與具體。
　　
　　(二)內部控制要素的擴展凸顯了內部控制理論的“目標—風險—控制”趨向
　　傳統的內部控制邏輯范式是“控制一風險一目標”。ERM框架從以下幾個方面擴展了內部控制的要素：一是將控制環境擴展為內部環境。二是增加了目標制定、事項識別和風險應對三個要素。首先，ERM框架將目標制定作為風險管理的首要步驟，針對不同層級的且標分析其風險。從而使風險管理的目標更加明確。其次。ERM框架徹底更新了風險觀念，區分了風險與機遇，將風險定義為可能有負面影響的事項，將戰略機遇與企業風險聯系起來考慮，并強調了IC-IF框架從未涉及的風險組合觀，即從各個層次識別風險，從企業整體出發管理風險。最后，ERM框架在事項識別的基礎上，提出了規避、減少、共擔和接受四種具體的風險應對措施。三是ERM框架擴展了信息與溝通要素的內容。由于IC-IF框架僅提出三個目標，因此“信息與溝通”中的信息僅僅指與這三個目標相關的信息，而ERM框架包括了與組織的各個層級、目標相關的信息，為董事會和管理層充分把握機遇和識別風險提供了基礎和可能，也對管理層將巨量信息處理和精煉為可控的信息提出了挑戰。由此可以看出，ERM框架對內部控制要素的擴展革新了傳統的內部控制邏輯范式，凸顯了“目標—風險—控制”的新內部控制邏輯范式。
　　
　　(三)內部控制目標層次的提高凸顯了內部控制理論發展的戰略趨向
　　IC-IF框架的內部控制的目標僅涉及經營活動、財務報告和合規性三個方面。其中，財務報告目標僅與公開披露的財務報告的可靠性相關。而ERM框架將風險管理的目標擴展為戰略目標、經營目標、報告目標和合規性目標。可以看出，ERM框架一方面擴展了原來的財務報告目標，將“財務報告的可靠性”發展為“報告的可靠性”，即是將財務報告拓展到“內部和外部的報告”、“財務和非財務的報告”，涵蓋了企業所有的報告；另一方面還增加了企業最高層次的戰略目標，將風險管理應用于企業戰略的制定，凸顯了內部擴控制理論發展的戰略趨向。
　　
　　(四)內部控制責任的上移凸顯了內部控制理論發展的公司治理趨向
　　IC-IF框架和ERM框架都將董事會、管理層、內部審計師和其他員工看成是相關責任人，認為董事會負責管理、指引和核查。但ERM框架將內部控制的重心進一步上移，并更加明確地劃分了各個層級的相關責任主體。具體表現在：一是ERM框架將內部控制的重心上移至董事會，要求董事會在風險管理方面扮演更加重要的角色——負總體責任，且變得更加機警。董事會需要批準企業的風險偏好，復核企業的風險組合觀并與企業的風險偏好相比較，評估企業最重要的風險并評估管理者的風險反應是否適當。二是ERM框架要求CEO必須確定目標和戰略方案，并將其分為戰略目標、經營目標、報告目標和遵循目標。目標設定后，管理層就需要識別風險和影響風險的事項，評估風險，采取控制措施，在風險管理方面負首要責任，其他經理人員起支持作用。三是ERM框架增加了首席風險師的角色。首席風險師除了需要和其他管理人員一樣，在自己的職責范圍內建立起風險管理外，還要幫助其他管理人員在企業內向上、向下和橫向報告有關的風險信息，并成為企業風險管理委員會的一員。四是ERM框架要求內部審計人員通過監督、評價、檢查、報告和改革企業ERM框架來協助管理層和董事會，在風險管理的監控中負重要責任。五是其他人員負有按確定的指示進行企業風險管理的責任。
　　
　　三、COSO框架的演化對我國的啟示
　　
　　“他山之石，可以攻玉”。COSO框架的演進對完善我國企業的內部控制具有一定啟發和借鑒意義。
　　
　　(一)以風險為導向來進行內部控制
　　COSO框架演化的最大變化就是將企業內部控制的內涵拓展為企業風險管理。在我國，幾乎所有的大企業都有一套嚴密、完整的內部控制制度，但董事會和管理層只將精力集中在各種細小的控制上，忽視了企業潛在的重大風險，結果導致了許多企業的失敗。ERM框架告訴我們，企業應將風險管理作為內部控制的重心和主要內容。我國企業要在完善原有IC-IF框架的基礎上，建立有效的風險管理體系，提升內部控制的效果。
　　
　　(二)樹立風險組合的觀念
　　風險組合觀是ERM框架的一大亮點。企業的高層管理者在風險管理的過程中，要站在全局的角度，以風險組合的觀點來分析風險，不僅要將企業每個部門的風險控制在其各自風險容忍度的范圍內，而且匯總后的總風險也要控制在股東、其他利益相關者認可的風險偏好范圍之內。
　　
　　(三)將風險管理提升到戰略層面
　　近幾年來，我國企業加強了內部控制的建設，逐步建立、完善了內部控制流程和規章制度，提高了人員素質。但是，依舊還存在就事論事思考問題的習慣，內部控制手段比較單調，很少從整體、長期的角度來考慮應該采取的戰略。因此，風險管理需要提升到公司長期和諧發展的戰略高度。ERM框架提供了從戰略高度管理風險的指導，我國企業應遵循“目標—風險—控制”的邏輯范式，結合自身優勢與外部環境設定戰略目標，并采取相應的風險管理措施，將企業的整體風險水平控制在企業的風險容忍度范圍之內。
　　
　　(四)提升董事會在風險管理中的責任，設立首席風險師職位并增強其職能，加大內部審計人員的風險監控力度
　　目前，我國多數企業“一股獨大”現象仍很突出，法人治理結構不完善，很少有企業設有真正的董事會，有些企業即使設立了董事會也是形同虛設。董事會功能的缺失是導致風險的一個重要原因。同時，我國多數企業都沒有設置首席風險師這一職位，內部審計人員的風險監督力度也較弱。ERM框架為提升董事會在風險管理中的責任、設立首席風險師職位并增強其職能、加大內部審計人員的風險監控力度提供了理論指導，我國企業應借鑒ERM框架，形成一套有利于企業風險管理的組織體系以提高我國企業內部控制的效