1、COSO 新框架下风险管理与内部控制的有机融合探讨摘要:COSO 委员会发布了2013 年内部控制整体框架 ,提出了 17 项原则及 82 个相关属性,在报告对象和报告内容两个维度上对财务报告目标进行了延伸,同时,也强调了企业的自我判断。这些变化对内部控制提出了新的要求,也引发了关于风险管理和内部控制实现有机融合的思考。 关键词:COSO 新框架;风险管理;内部控制 金融危机以来,雷曼兄弟、花旗集团等金融巨鳄的灭顶之灾,世界500 强中不乏市值大幅缩水的企业,面对危机的蔓延,更多的企业意识到风险防御的重要性。从企业失败的经验总结中,或多或少总能见到内部控制失效的结果。本文将结合美国反虚假财务报
2、告委员会下属的发起组织委员会(COSO)发布的2013 年内部控制整体框架 (以下简称“新框架” ) ,探讨企业不断完善内部控制体系,深化与风险管理有机融合的新思路。 一、新框架的“新”之所在 1992 年,COSO 委员会发布了企业内部控制整体框架 (以下简称“旧框架” ) ,并于 1994 年进行了增补。自旧框架发布以来,企业的经营环境和管理模式经历了巨大变化,新生产技术和复杂组织结构的不断涌现,防范和发现舞弊风险的日益迫切,以及愈加严格的监管要求,顺应形势要求,2010 年 9 月,COSO 委员会启动了企业内部控制整体框架审核与更新项目。2011 年 12 月,COSO 委员会发布了新
3、框架的征求意见稿,公开征求意见。2013 年 5 月 14 日,COSO 委员会正式发布了新整体框架 。新框架对旧框架的扩充和改进主要体现在以下三方面: (一)注重原则导向。新框架针对内部控制五大要素,提出了 17 项原则及 82 个相关属性,为五大要素的执行提供了明确的行动指南,也为不同的企业开展内部控制建设与评价提供了主要标准。 (二)延伸目标范畴。新框架将内部控制三大目标中的财务报告目标在报告对象和报告内容两个维度上进行了延伸。一方面,报告对象从外部监管方延伸为“既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向董事会和经理层,满足企业经营管理决策的需要。 ”另一方
4、面,报告内容不仅包括财务报告,还将“市场调查报告、资产使用报告、人力资源分析报告、内控评价报告等非财务报告”纳入其中。由此,使得内部控制的实施范围扩大了,同时,也着重强调了内部控制在企业运营中需要为企业经营战略和目标服务。 (三)强调自我判断。新框架在内部控制建设和评价中,强调依赖于企业自身的判断,而不是旧框架要求严格基于证据。一方面,增强了企业在进行内部控制建设和评价的自我控制能力。另一方面,控制能力的加强,也要求企业决策层、管理层和执行层不断提升其对于内部控制建设和评价的职业判断能力。 二、新框架带给风险管理与内部控制的新思路 面向现有内部控制建设、实施和完善过程中碰到的各种问题,聚焦新框
5、架与旧框架的不同之处,风险管理和内部控制的融合势在必行,且风险管理和内部控制的融合需实现以下特性: (一)灵敏。对于外部环境的多变及愈加复杂,以及企业运营模式的不断变化,17 项原则及 82 个属性明确要求企业的风险管理和内部控制需要跟上企业内外部环境变化的节奏。通过将风险管理和内部控制的融合,不仅企业风险识别的灵敏度需大幅提升,内部控制也需从事后的监控和完善,走向事前的防范及事中的控制。 (二)效率。新框架中财务报告目标定义的延伸也强调了,企业必须减少风险,以实现经营目标。因此内部控制必须与风险管理融合,加强风险评估,针对阻碍经营目标实现的重要风险,提升相关内部控制的实施效率和效果。同时,对
6、于失效、冗余乃至完全无效的控制,管理层应予以剔除。 (三)明晰。新框架中强调企业自我判断的概念,这也要求风险管理和内部控制能够为企业决策层、管理层和执行层提供真实、有效、可靠的信息,为其做出正确的职业判断提供明晰的方向。 三、如何借鉴新思路有机融合风险管理与内部控制 (一)设立风险管理与内部控制管理委员会。为确保风险管理和内部控制的融合力度和效果,必须从顶层管理机构入手,设立风险管理与内部控制委员会,并在委员会下设置风险管理与内部控制办公室作为常设机构,为实现风险管理和内部控制的有机融合提供组织保障。只有将决策和管理职能合二为一,执行层才能接到统一的指令,意识和行动才能得以统一。 (二)形成风
7、险管理的企业文化。在完善内部控制环境建设时,应该形成风险管理的企业文化,提升全员的风险意识,使企业员工能够自觉地将风险管理的各种方法、规定、制度落实到日常工作中,自然组成内部控制的各业务流程,各业务活动也就渗透了风险管理的因素。 (三)基于风险评估结果完善内控活动。为确保内部控制对风险应对的灵敏性和效果,在设计和完善内部控制活动时,应依据风险管理识别出的影响企业经营目标及战略实现的重要风险设计和更新关键控制点。(四)加强企业内部控制监督增强风险免疫力。通过加强企业内部控制监督机制,修正内部控制的某些薄弱环节,防患于未然,规避运营风险。首先,定期或不定期地进行内部控制自我评价、会计控制、内部审计
8、和外部监管,以便发现和解决内部控制过程中出现的问题,不断完善内部控制,增强企业的风险免疫力。 参考文献: 1 COSO 发布新的企业内部控制整体框架 (征求意见稿)Z.财政部会计司,2013. 2 COSO 内控整体框架调整升级N.财会信报,2013. 3 An update of COSOs Internal ControlIntegrated Framework.COSO,2011. 4 金或肪,李若山,徐明磊.COSO 报告下的内部控制新发展J.会计研究,2009. 5 丁友刚,胡兴国.内部控制风险控制与风险管理J.会计研究,2007. 作者简介:张晓慧(第一作者) ,中航工业西安飞行自动控制研究所财务部。 李元(第二作者) ,中航工业西安飞行自动控制研究所财务部。