爱华网系列专题:《国有企业内部控制框架》
经过两年的修改,1994年COSO委员会提出对外报告的修改篇,扩大了内部控制的范围,增加了与保障资产安全有关的控制,得到了美国审计署(GeneralAccountingOffice,GAO)的认可。与此同时AICPA全面接受COSO报告的内容,于1995年据以发布了《审计准则公告第78号》(SASN0.78),并自1997年1月起取代了《审计准则公告第55号》。 根据COSO委员会的《内部控制——整体框架》报告中的定义,内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。 图2-1内部控制整体架构COSO报告认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。如图2-1所示。 (五)企业风险管理框架 2004年4月美国COSO委员会颁布了《企业风险管理框架》正式稿。普华永道的项目参与者认为,新报告中有60%的内容得益于COSO1992年报告所做的工作。新的企业风险管理框架就是在1992年的研究成果《内部控制框架》报告的基础上发展而来;因而,有的学者认为企业风险管理是广义的企业内部控制,是企业内部控制从五要素上升到八要素,即内部控制从五分论发展到八分论。 企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素,各要素贯穿在企业的管理过程之中。 (六)内部控制框架与企业风险管理框架的关系 全面风险管理与内部控制既相互联系又有重要差异。从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。因此,全面风险管理涵盖了内部控制。如图2-2所示。 图2-2内部控制整体框架与企业风险管理框架对比图从二者的实质内容看,两者存在以下几项重要差异。一是内部控制仅是管理的一项职能,而全面风险管理属于风险范畴,贯穿于管理过程的各个方面。二是在全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),因此,该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
二、内部控制报告和评价的发展及动因 (一)最初对内部控制报告的要求 在20世纪70年代中期,美国对内部控制的关注主要集中在改善内部控制系统方式,以及如何在审计中更好地考虑内部控制上以控制审计风险。然而,受1973~1976年的“水门事件”的影响,美国政府、立法机构和其他规章制定部门开始密切关注内部控制。 为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“反国外行贿法案”(ForeignCorruptPracticesActof1977,简称FCPA-1977)。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。FCPA要求公司对外报告的披露者设计一个内部会计控制系统,并维持其有效性。
