从COSO框架报告看内部控制与风险管理的异同

94审计研究2009年4期从COSO框架报告看内部控制与风险管理的异同∗董月超【摘要】风险管理是对内部控制的继承与发展，两者都强调了全员参与、运用相关技术手段，主动应对风险，对目标提供合理保证；但是风险管理包含了对战略目标的管理，能够直接产生效益，且强调风险的自然对冲。内部控制属于企业管理范畴，风险管理属于企业治理范畴。【关键词】风险内部控制风险管理*董月超，中国矿业大学（北京）管理学院、中国石油天然气集团公司财务资产部，邮政编码：100007，电子邮箱：dyckeele@yahoo.com.cn。美国COSO委员会在1992年发布了《内部控制-整合框架》报告（1994年又提出了该报告的修改篇），2004年又发布了《企业风险管理-整合框架》报告。COSO这两个框架报告分别对内部控制和风险管理理论进行了详细阐述，并对实践提出了指导性意见。从这两个报告看，COSO提出的内部控制和风险管理这两个概念有着十分密切的联系，但又存在明显的不同。本文旨在根据这两个框架报告对两者的异同进行分析。一、风险管理概念是对内部控制概念的继承和发展内部控制概念由来以久，但是直到20世纪80年代，美国爆发了储蓄及信贷机构崩溃事件，财务丑闻发展到了极至，才使人们感到对内部控制的理解和研究还很不够，于是1992年9月美国“反对虚假财务报告委员会”所属的“内部控制专门研究委员会发起机构委员会”或称“杜德威小组”（CommitteeofSponsoringOrganizationsoftheTreadwayCommission，简称COSO委员会）对内部控制提出专题报告：《内部控制-整合框架》(以下简称内部控制框架)，1994年又提出了该报告的修改篇。《2002年上市公司会计改革和投资者保护法》(Sarbanes-OxleyActof2002，简称《萨奥法案》)则从法律角度明确了公共会计师的责任，也弥补了公共会计师对内部控制进行审计法律依据的不足。内部控制框架对内部控制的定义表述是：内部控制是一个过程，该过程受到公司董事会、管理层和其他人员的影响，其目的是为下列目标的实现提供合理保证。这些目标包括：经营的有效性和效率、财务报告的可靠性、法律法规的遵从性。该框架文件将内部控制的要素分为五个：控制环境、风险评估、控制活动、信息与沟通、监督。（内部控制框架示意图如下）此外，英国的Cadbury报告、加拿大的COCO报告、日本的《企业内部控制大纲》、南非的King报告、法国的Vienot报告和我国的《独立审计具体准则第9号》、《内部审计具体准则第5号》等都从不同角度对内部控制进行了诠释。内部控制框架得到了广泛的认可，美国公共监督委员会（PublicOversightBoard，POB）不仅专门为此文件发布了推荐公告，还建议证券交易委员会（SecuritiesandExchangeCommission，SEC）要求上市公司在其包含年度财务报表的公司年报中，提交管理层对与财务报告有关的企业内部控制系统95审计研究2009年4期有效性声明，并将内部控制框架预设为评价企业内部控制有效性的标准。SEC没有否认COSO内控框架的先进性，但迄今为止，SEC并没有采纳将内部控制框架作为内部控制强制性标准的建议。笔者认为SEC没有把该框架作为内部控制强制性标准的主要原因如下。①该框架中给予财务报告目标的重视程度显然是不太合适的，职业经理人、广大股东实际上很难接受财务报告的可靠性要比其他公开信息更重要的看法。在现实的实务操作和企业管理中，财务报告也没有该框架中描述得那么重要，实际上不充分的财务报告和财务报告程序一般不会导致企业失败；②作为一个主要有财务、会计、审计领域人员组成的COSO委员会，并没有将其调查、研讨以及收集到的相关意见同内部控制框架一起公布于众，而上述人士在满足公众利益和自身利益间有明显的冲突；③该框架以董事会和管理层能充分了解企业经营目标得以实现、财务报告编报可靠、法律法规得以遵守作为判断内部控制有效性的依据，这样的依据显然不充分。综合以上原因，若用内部控制框架作为评价内部控制有效性的法定标准，就会使企业忽略上述不足，带来风险，也就是说该框架无法给股东带来超额回报。为昀大限度规避上述不足，给股东带来超额回报，COSO委员会在2004年发布了《企业风险管理—整合框架》（以下简称风险管理框架）。该框架对风险管理的定义表述是：风险管理是一个过程，它由公司董事会、管理层以及其他员工执行，适用于公司战略的制定和整个公司范围，用来识别可能对公司产生影响的潜在事项，并将风险控制在企业可以承受的水平以内，为公司目标的实现提供合理保证。这些目标包括四类：战略目标、运营目标、报告目标、合规目标。该框架文件把风险管理的要素分为八个：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督（风险管理框架示意图如下）。内部控制、风险管理的起源、发展与继承示意图如下：-实物牵制-薄记牵制COSO内部控制框架COSO风险管理框架内控评价内部审计进展40年代前40-70年代80-90年代90年代后2004年后内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息与沟通-监督-建立内控-数据准确一致-内控可靠性-内部环境-目标制定-事件识别-风险评估-风险反应-控制活动-信息与沟通-监督二、内部控制与风险管理概念的相同点1．对参与主体要求相同两者都要求“企业董事会、管理层以及其他人员共同实施”，这既明确了参与主体，也强调了全员参与。参与各方角色与职责分工基本相同：董事会负责制定风险管理战略目标，风险所有权归高级管理层，剩余风险归执行管理层，风险的识别、评估、减轻和监督归运营层。内部控制和风险管理都要求企业所有员工从立足长远、着眼全局的高度出发，全过程、全方位参与。2．都对企业实现目标提供合理保证两者都不是万能的，都有自己固有的局限性，因此两者都提出“提供合理保证”。“合理保证”的提法是出于受托责任和义务的考虑，同时这个提法也为不道德行为或管理失误的抗辩以及对内部控制和风险管理进行再监督提供了依据。实际上人类活动所取得成就的局限性决定了“合理而非绝对”的事实存在。例如，从影响企业目标实现的外部因素来看，两者都不能左右外部监管者的政策，不能左右竞争对手的行为和客观经济条件的变化等等；从影响企业目标的内部因素来看，内部勾结合谋、管理层故意违规以及由于人、财、物等物质资源的约束限制造成内部控制和风险管理措施不健全等，都会影响内部控制和风险管理的效率和效果。3．都强调要主动应对风险两者都是企业调动和利用自身资源积极主动应对风险的行为，都明确了风险管控的责任、方式、方法以及关注的重点等内容，都对企业可能发生的损失或面临的机遇，在事前、事中进行管理控制，或者在事后进行补救、修正、改进等，并主动建立风险预警机制等；两者都是连环不间断的动态连续96审计研究2009年4期管理过程，而不是简单的静态制度文件、技术模型和检查评估等断续工作，同时两者又都是融入企业日常管理过程中的常规运行体系。这些内容不同于以往任何被动接受或者被动防御风险的策略。4．都需要运用多种技术和方法两者都是集管理学、经济学、审计学、会计学、统计学等等学科于一体的边缘学科，这就需要在实际工作中综合借鉴、开发继承多学科的技术方法。比如在内部控制和风险管理过程中经常用到的压力测试、蒙特卡洛分析、统计抽样、非统计抽样、跟单测试、健全性测试、符合性测试、实质性测试、综合评价方法、流程图等就分别来自不同的学科，并且有些技术方法还根据需要赋予了新的内涵，所以两者都具有专业性。三、内部控制与风险管理概念存在的不同1．目标体系不同风险管理框架的目标有四类，其中经营类目标和合规类目标与内部控制框架的目标基本重合。风险管理框架增加了战略目标，内部控制框架未提及该目标，战略目标的制定是企业治理层面要参与解决的问题，这表明风险管理属于企业治理层次，内部控制属于企业管理层次；风险管理框架把财务目标扩展为报告目标，报告目标不仅包括财务报告目标，还包括对内对外发布的所有非财务类报告，这既扩大了目标范围，也弥补了内部控制目标体系因明显受到公共会计师影响而造成的重财务信息轻其他信息的缺陷。2．组成要素不同风险管理框架增加了“目标设定、事件识别和风险反应”三个要素，“控制环境”要素也改成了“内部环境”。“目标设定、事件识别和风险反应”不仅丰富和完善了风险管理内容，还体现了风险组合观；“内部环境”要素内容除包括“控制环境”要素内容外，还增加了风险管理哲学、风险偏好等内容；在名称相同的要素中，风险管理框架对相关内容都进行了补充和提升，具体体现为：“风险评估”要素除包含内部控制框架中该要素的全部内容外，还考虑了企业内在风险与剩余风险，以期望值、昀坏情形值或概率分布度量风险、风险偏好以及风险对冲等；“信息与沟通”要素中，信息部分强调了获取与分析处理以往、现在及潜在未来事件数据的重要性，同时指出信息的深度以满足企业识别、评估和应对风险并将其维持在风险承受度范围内的需要为准；沟通部分强调并申明：在正常报告之外应有替代沟通渠道。3．产生效益的方式不同从内部控制框架的目标体系和定义不难看出，内部控制是在企业经营权与所有权分离的条件下对股东和利益相关者的利益保护机制，也就是说内部控制是对纯粹风险的防控，不直接产生效益，而是昀大可能地避免股东和利益相关者的损失来保护其利益，规避威胁。风险管理框架指出:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险，发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致，将风险与增长及回报统筹考虑，促进应对风险的决策，减小经营风险与损失，识别与管理企业交叉风险，为多种风险提供整体的对策，捕捉机遇以使资本的利用合理化。”这表明风险管理不仅要保护资产安全和规避一切威胁，还包括积极利用和创造一切可能的机会为股东和利益相关者创造价值。4．风险管理理念不同内部控制是对单个风险进行管理或者说是根据业务单元的划分来管理风险。风险管理则借用现代金融理论中的资产组合等理论，引入了整体风险管理、风险偏好、风险容量、风险对策、风险组合观、风险对冲、风险承受度、风险管理目标和战略的设定等概念和方法。可以说，风险管理是基于风险度量和风险两重性的基础上对风险的管理，这种管理理念有利于保障企业风险管理措施与发展战略、风险偏好相一致，风险管理与价值回报相联系，也有利于企业内部资源合理配置以支持董事会和高级管理层实现风险管理目标。风险管理要求从企业整体层面上总体把握分散于内部各业务单元的风险，统筹风险事件之间的相互影响，综合考虑风险对策，并防止两种倾向：一是每个业务单元的风险处于其独自的风险承受度之内，但总体风险水平却超出企业的风险承受度；二是个别业务单元的风险超过其风险承受度，但总体风险水平并没超出企业的承受范围。风险管理要求按照风险组合与整体管理的思路，综合考虑风险事件之间以及风险对策之间的交互影响，统筹制定风险管理方案，这些内容都是内部控制做不到的。（下转第80页）80审计研究2009年4期Journal(January):79-93.Weinstein,1977,“ForeignInvestmentsbyServiceFirms:TheCaseofMultinationalAdvertisingAgencies”.JournalofInternationalBusinessStudies(Spring/Summer):83-91.TheMotivation,ModeandClientDevelopmentofAuditFirms’Internationalization——ThecaseofBigFourinChinamarketHanXiaomeiXuLinglingAbstract:Basedonliteratureandlogicalanalysis,wemakedeductionsaboutthemotivation,modeandclientdevelopmento