[摘要]文章通過對(duì)比COSO項(xiàng)目組前后發(fā)布的兩個(gè)COSO框架，深入分析COSO框架的演化路徑，總結(jié)出了內(nèi)部控制理論發(fā)展的趨向，以為我國(guó)企業(yè)完善內(nèi)部控制和加強(qiáng)風(fēng)險(xiǎn)管理提供借鑒。
　　[關(guān)鍵詞]COSO框架；演化；啟示
　　
　　一、問題的提出
　　
　　針對(duì)層出不窮的財(cái)務(wù)舞弊案例，COSO委員會(huì)于1992年發(fā)布了《內(nèi)部控制——整體框架》，即COSO框架(簡(jiǎn)稱“IC-IF框架”)，該框架一發(fā)布便受到理論界和實(shí)務(wù)界的廣泛認(rèn)可，得到了美國(guó)聯(lián)邦儲(chǔ)備局、美國(guó)證券交易委員會(huì)、巴塞爾委員會(huì)等監(jiān)管機(jī)構(gòu)或國(guó)際組織的認(rèn)可與采納，其中的許多定義、建議及思想被吸收到立法與規(guī)則制定中，在全世界范圍內(nèi)產(chǎn)生了廣泛的影響。然而十多年后，隨著安然、世通、施樂等公司財(cái)務(wù)舞弊案為代表的新一輪會(huì)計(jì)丑聞的爆發(fā)，全世界范圍內(nèi)掀起了加強(qiáng)企業(yè)風(fēng)險(xiǎn)管理的浪潮，要求提高企業(yè)風(fēng)險(xiǎn)管理能力的呼聲日益高漲。在這一背景下，COSO委員會(huì)在1992年COSO報(bào)告的基礎(chǔ)上，結(jié)合《薩班斯——奧克斯利法案》，于2004年發(fā)布了COSO新框架(簡(jiǎn)稱“ERM框架”)，此報(bào)告涵蓋了IC--IF框架的內(nèi)容，其范圍和內(nèi)容更加廣泛。
　　目前，我國(guó)大部分企業(yè)仍處于加強(qiáng)內(nèi)部控制的建設(shè)階段，缺乏必要的全面風(fēng)險(xiǎn)管理意識(shí)，更沒有建立科學(xué)的企業(yè)風(fēng)險(xiǎn)管理體系。因此，充分理解ERM框架的理論內(nèi)涵和實(shí)踐價(jià)值以及內(nèi)部控制與風(fēng)險(xiǎn)管理的關(guān)系，對(duì)完善我國(guó)企業(yè)內(nèi)部控制和建立企業(yè)風(fēng)險(xiǎn)管理體系，無疑有著積極的借鑒意義。
　　
　　二、COSO報(bào)告演化的趨向
　　
　　任何企業(yè)都面臨著不確定性，如何有效地處理不確定性及相應(yīng)的風(fēng)險(xiǎn)和機(jī)遇，提升企業(yè)創(chuàng)造價(jià)值的能力，是所有企業(yè)管理層面臨的挑戰(zhàn)。ERM框架即為企業(yè)管理者提供了一個(gè)評(píng)價(jià)和提高企業(yè)風(fēng)險(xiǎn)管理水平的概念性指南。
　　ERM框架無論是在內(nèi)部控制的內(nèi)涵方面，還是在目標(biāo)、要素和管理者任務(wù)等方面均有相當(dāng)大的突破。從IC-IF框架到ERM框架的演化，影射出了內(nèi)部控制理論發(fā)展的趨向。
　　
　　(一)內(nèi)部控制內(nèi)涵的拓展凸顯了內(nèi)部控制理論發(fā)展的風(fēng)險(xiǎn)趨向
　　IC-IF框架指出，“內(nèi)部控制是一個(gè)受董事會(huì)、管理層和其他人員影響的，為企業(yè)經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及法律法規(guī)的遵循性等目標(biāo)的實(shí)現(xiàn)提供合理保證的過程?！盓RM框架在IC-IF框架的基礎(chǔ)上，吸收了風(fēng)險(xiǎn)管理理論的最新研究成果，對(duì)內(nèi)部控制的內(nèi)涵進(jìn)行了擴(kuò)展并重新表述為“企業(yè)風(fēng)險(xiǎn)管理是一個(gè)受董事會(huì)、管理層和其他人員影響的，應(yīng)用于企業(yè)戰(zhàn)略制定、各部門和各項(xiàng)經(jīng)營(yíng)活動(dòng)、識(shí)別可能對(duì)企業(yè)造成潛在影響的事項(xiàng)并在其風(fēng)險(xiǎn)偏好范圍內(nèi)管理風(fēng)險(xiǎn)的，為企業(yè)各類目標(biāo)的實(shí)現(xiàn)提供合理保證的過程。”從內(nèi)部控制和企業(yè)管理的定義可以看出，ERM框架將風(fēng)險(xiǎn)管理提升到前所未有的高度，除了涵蓋內(nèi)部控制的所有合理內(nèi)容以外，還首次明確提出了風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)容忍度等概念，使內(nèi)部控制的定義更加明確與具體。
　　
　　(二)內(nèi)部控制要素的擴(kuò)展凸顯了內(nèi)部控制理論的“目標(biāo)—風(fēng)險(xiǎn)—控制”趨向
　　傳統(tǒng)的內(nèi)部控制邏輯范式是“控制一風(fēng)險(xiǎn)一目標(biāo)”。ERM框架從以下幾個(gè)方面擴(kuò)展了內(nèi)部控制的要素：一是將控制環(huán)境擴(kuò)展為內(nèi)部環(huán)境。二是增加了目標(biāo)制定、事項(xiàng)識(shí)別和風(fēng)險(xiǎn)應(yīng)對(duì)三個(gè)要素。首先，ERM框架將目標(biāo)制定作為風(fēng)險(xiǎn)管理的首要步驟，針對(duì)不同層級(jí)的且標(biāo)分析其風(fēng)險(xiǎn)。從而使風(fēng)險(xiǎn)管理的目標(biāo)更加明確。其次。ERM框架徹底更新了風(fēng)險(xiǎn)觀念，區(qū)分了風(fēng)險(xiǎn)與機(jī)遇，將風(fēng)險(xiǎn)定義為可能有負(fù)面影響的事項(xiàng)，將戰(zhàn)略機(jī)遇與企業(yè)風(fēng)險(xiǎn)聯(lián)系起來考慮，并強(qiáng)調(diào)了IC-IF框架從未涉及的風(fēng)險(xiǎn)組合觀，即從各個(gè)層次識(shí)別風(fēng)險(xiǎn)，從企業(yè)整體出發(fā)管理風(fēng)險(xiǎn)。最后，ERM框架在事項(xiàng)識(shí)別的基礎(chǔ)上，提出了規(guī)避、減少、共擔(dān)和接受四種具體的風(fēng)險(xiǎn)應(yīng)對(duì)措施。三是ERM框架擴(kuò)展了信息與溝通要素的內(nèi)容。由于IC-IF框架僅提出三個(gè)目標(biāo)，因此“信息與溝通”中的信息僅僅指與這三個(gè)目標(biāo)相關(guān)的信息，而ERM框架包括了與組織的各個(gè)層級(jí)、目標(biāo)相關(guān)的信息，為董事會(huì)和管理層充分把握機(jī)遇和識(shí)別風(fēng)險(xiǎn)提供了基礎(chǔ)和可能，也對(duì)管理層將巨量信息處理和精煉為可控的信息提出了挑戰(zhàn)。由此可以看出，ERM框架對(duì)內(nèi)部控制要素的擴(kuò)展革新了傳統(tǒng)的內(nèi)部控制邏輯范式，凸顯了“目標(biāo)—風(fēng)險(xiǎn)—控制”的新內(nèi)部控制邏輯范式。
　　
　　(三)內(nèi)部控制目標(biāo)層次的提高凸顯了內(nèi)部控制理論發(fā)展的戰(zhàn)略趨向
　　IC-IF框架的內(nèi)部控制的目標(biāo)僅涉及經(jīng)營(yíng)活動(dòng)、財(cái)務(wù)報(bào)告和合規(guī)性三個(gè)方面。其中，財(cái)務(wù)報(bào)告目標(biāo)僅與公開披露的財(cái)務(wù)報(bào)告的可靠性相關(guān)。而ERM框架將風(fēng)險(xiǎn)管理的目標(biāo)擴(kuò)展為戰(zhàn)略目標(biāo)、經(jīng)營(yíng)目標(biāo)、報(bào)告目標(biāo)和合規(guī)性目標(biāo)?？梢钥闯?，ERM框架一方面擴(kuò)展了原來的財(cái)務(wù)報(bào)告目標(biāo)，將“財(cái)務(wù)報(bào)告的可靠性”發(fā)展為“報(bào)告的可靠性”，即是將財(cái)務(wù)報(bào)告拓展到“內(nèi)部和外部的報(bào)告”、“財(cái)務(wù)和非財(cái)務(wù)的報(bào)告”，涵蓋了企業(yè)所有的報(bào)告；另一方面還增加了企業(yè)最高層次的戰(zhàn)略目標(biāo)，將風(fēng)險(xiǎn)管理應(yīng)用于企業(yè)戰(zhàn)略的制定，凸顯了內(nèi)部擴(kuò)控制理論發(fā)展的戰(zhàn)略趨向。
　　
　　(四)內(nèi)部控制責(zé)任的上移凸顯了內(nèi)部控制理論發(fā)展的公司治理趨向
　　IC-IF框架和ERM框架都將董事會(huì)、管理層、內(nèi)部審計(jì)師和其他員工看成是相關(guān)責(zé)任人，認(rèn)為董事會(huì)負(fù)責(zé)管理、指引和核查。但ERM框架將內(nèi)部控制的重心進(jìn)一步上移，并更加明確地劃分了各個(gè)層級(jí)的相關(guān)責(zé)任主體。具體表現(xiàn)在：一是ERM框架將內(nèi)部控制的重心上移至董事會(huì)，要求董事會(huì)在風(fēng)險(xiǎn)管理方面扮演更加重要的角色——負(fù)總體責(zé)任，且變得更加機(jī)警。董事會(huì)需要批準(zhǔn)企業(yè)的風(fēng)險(xiǎn)偏好，復(fù)核企業(yè)的風(fēng)險(xiǎn)組合觀并與企業(yè)的風(fēng)險(xiǎn)偏好相比較，評(píng)估企業(yè)最重要的風(fēng)險(xiǎn)并評(píng)估管理者的風(fēng)險(xiǎn)反應(yīng)是否適當(dāng)。二是ERM框架要求CEO必須確定目標(biāo)和戰(zhàn)略方案，并將其分為戰(zhàn)略目標(biāo)、經(jīng)營(yíng)目標(biāo)、報(bào)告目標(biāo)和遵循目標(biāo)。目標(biāo)設(shè)定后，管理層就需要識(shí)別風(fēng)險(xiǎn)和影響風(fēng)險(xiǎn)的事項(xiàng)，評(píng)估風(fēng)險(xiǎn)，采取控制措施，在風(fēng)險(xiǎn)管理方面負(fù)首要責(zé)任，其他經(jīng)理人員起支持作用。三是ERM框架增加了首席風(fēng)險(xiǎn)師的角色。首席風(fēng)險(xiǎn)師除了需要和其他管理人員一樣，在自己的職責(zé)范圍內(nèi)建立起風(fēng)險(xiǎn)管理外，還要幫助其他管理人員在企業(yè)內(nèi)向上、向下和橫向報(bào)告有關(guān)的風(fēng)險(xiǎn)信息，并成為企業(yè)風(fēng)險(xiǎn)管理委員會(huì)的一員。四是ERM框架要求內(nèi)部審計(jì)人員通過監(jiān)督、評(píng)價(jià)、檢查、報(bào)告和改革企業(yè)ERM框架來協(xié)助管理層和董事會(huì)，在風(fēng)險(xiǎn)管理的監(jiān)控中負(fù)重要責(zé)任。五是其他人員負(fù)有按確定的指示進(jìn)行企業(yè)風(fēng)險(xiǎn)管理的責(zé)任。
　　
　　三、COSO框架的演化對(duì)我國(guó)的啟示
　　
　　“他山之石，可以攻玉”。COSO框架的演進(jìn)對(duì)完善我國(guó)企業(yè)的內(nèi)部控制具有一定啟發(fā)和借鑒意義。
　　
　　(一)以風(fēng)險(xiǎn)為導(dǎo)向來進(jìn)行內(nèi)部控制
　　COSO框架演化的最大變化就是將企業(yè)內(nèi)部控制的內(nèi)涵拓展為企業(yè)風(fēng)險(xiǎn)管理。在我國(guó)，幾乎所有的大企業(yè)都有一套嚴(yán)密、完整的內(nèi)部控制制度，但董事會(huì)和管理層只將精力集中在各種細(xì)小的控制上，忽視了企業(yè)潛在的重大風(fēng)險(xiǎn)，結(jié)果導(dǎo)致了許多企業(yè)的失敗。ERM框架告訴我們，企業(yè)應(yīng)將風(fēng)險(xiǎn)管理作為內(nèi)部控制的重心和主要內(nèi)容。我國(guó)企業(yè)要在完善原有IC-IF框架的基礎(chǔ)上，建立有效的風(fēng)險(xiǎn)管理體系，提升內(nèi)部控制的效果。
　　
　　(二)樹立風(fēng)險(xiǎn)組合的觀念
　　風(fēng)險(xiǎn)組合觀是ERM框架的一大亮點(diǎn)。企業(yè)的高層管理者在風(fēng)險(xiǎn)管理的過程中，要站在全局的角度，以風(fēng)險(xiǎn)組合的觀點(diǎn)來分析風(fēng)險(xiǎn)，不僅要將企業(yè)每個(gè)部門的風(fēng)險(xiǎn)控制在其各自風(fēng)險(xiǎn)容忍度的范圍內(nèi)，而且匯總后的總風(fēng)險(xiǎn)也要控制在股東、其他利益相關(guān)者認(rèn)可的風(fēng)險(xiǎn)偏好范圍之內(nèi)。
　　
　　(三)將風(fēng)險(xiǎn)管理提升到戰(zhàn)略層面
　　近幾年來，我國(guó)企業(yè)加強(qiáng)了內(nèi)部控制的建設(shè)，逐步建立、完善了內(nèi)部控制流程和規(guī)章制度，提高了人員素質(zhì)。但是，依舊還存在就事論事思考問題的習(xí)慣，內(nèi)部控制手段比較單調(diào)，很少?gòu)恼w、長(zhǎng)期的角度來考慮應(yīng)該采取的戰(zhàn)略。因此，風(fēng)險(xiǎn)管理需要提升到公司長(zhǎng)期和諧發(fā)展的戰(zhàn)略高度。ERM框架提供了從戰(zhàn)略高度管理風(fēng)險(xiǎn)的指導(dǎo)，我國(guó)企業(yè)應(yīng)遵循“目標(biāo)—風(fēng)險(xiǎn)—控制”的邏輯范式，結(jié)合自身優(yōu)勢(shì)與外部環(huán)境設(shè)定戰(zhàn)略目標(biāo)，并采取相應(yīng)的風(fēng)險(xiǎn)管理措施，將企業(yè)的整體風(fēng)險(xiǎn)水平控制在企業(yè)的風(fēng)險(xiǎn)容忍度范圍之內(nèi)。
　　
　　(四)提升董事會(huì)在風(fēng)險(xiǎn)管理中的責(zé)任，設(shè)立首席風(fēng)險(xiǎn)師職位并增強(qiáng)其職能，加大內(nèi)部審計(jì)人員的風(fēng)險(xiǎn)監(jiān)控力度
　　目前，我國(guó)多數(shù)企業(yè)“一股獨(dú)大”現(xiàn)象仍很突出，法人治理結(jié)構(gòu)不完善，很少有企業(yè)設(shè)有真正的董事會(huì)，有些企業(yè)即使設(shè)立了董事會(huì)也是形同虛設(shè)。董事會(huì)功能的缺失是導(dǎo)致風(fēng)險(xiǎn)的一個(gè)重要原因。同時(shí)，我國(guó)多數(shù)企業(yè)都沒有設(shè)置首席風(fēng)險(xiǎn)師這一職位，內(nèi)部審計(jì)人員的風(fēng)險(xiǎn)監(jiān)督力度也較弱。ERM框架為提升董事會(huì)在風(fēng)險(xiǎn)管理中的責(zé)任、設(shè)立首席風(fēng)險(xiǎn)師職位并增強(qiáng)其職能、加大內(nèi)部審計(jì)人員的風(fēng)險(xiǎn)監(jiān)控力度提供了理論指導(dǎo)，我國(guó)企業(yè)應(yīng)借鑒ERM框架，形成一套有利于企業(yè)風(fēng)險(xiǎn)管理的組織體系以提高我國(guó)企業(yè)內(nèi)部控制的效