从企业内部控制走看企业全面风险管理

引子：　2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了《企业内部控制配套指引》（下称“配套指引”）。该配套指引连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前施行。施行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。政府监管部门将对相关企业施行内部控制规范体系的情况进行监督检查。企业内控基本规范和配套指引被称为中国的“萨班斯法案”和“科索报告”，这标志着我国将从企业内部控制走向全面风险管理。

一、 我国企业内部控制体系的框架结构
《企业内部控制基本规范》和《企业内部控制配套指引》初步建立起了具有中国特色的中国企业内部控制体系的框架结构。
《企业内部控制基本规范》确定了企业内部控制的5个目标、5个原则、5个要素，总计50个项目，由5个部门签发。
《企业内部控制配套指引》由21项应用指引（此次发布18项，涉及银行、证券和保险等业务的3项指引暂未发布）、《企业内部控制评价指引》和《企业内部控制审计指引》组成。其中，应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位；企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引；企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立，又相互联系，形成一个有机整体。
我国企业内部控制体系框架结构如图1所示。










　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0424/fontbr二、COSO《内部控制——整体框架》与《企业风险管理——整合框架》br />《内部控制——整体框架》是美国科索委员会COSCO（Committee of Sponsoring Organizations） 在1992年发布的、并于1994年做出局部修正的已经成为世界通行的内部控制权威研究报告。
该报告指出，内部控制是由企业董事会、管理层以及其他员工（三个层面）为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。同时指出，内部控制包括内部环境、风险评估、控制活动、信息与沟通、监控等五个相互关联的要素。这“三个层面”、“三个目标”和“五个要素”构成内部控制的整体框架（如图2所示）。








COSO《内部控制——整体框架》强调风险评估在内部控制中的重要作用以及强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。
鉴于COSO《内部控制——整体框架》发布后的到美国审计计总署和证券交易委员会（SEC）等的认可和产生的广泛影响，1995年美国注册会计师协会（AICPA）发布《审计准则公告第78号》，全面接受COSO报告。
2002年7月美国国会通过《萨班斯法案》即《2002年公众公司跨及改革和投资保护法》（Sarbanes Oxley Act of 2002）的简称。《萨班斯法案》的颁布对内部控制的研究也产生了广泛而深刻的印象。其302条款规定，上市公司的CEO和CFO要在对外披露的财务报告中声明对建立和维护本公司的内部控制负责；CEO和CFO要对本公司内部控制的有效性进行评估，并向外部审计师说明器存在的重大缺陷和不足。同时，其404条款规定，上市公司应在年度报告中增加对内部控制的报告内容；该报告应当声明公司管理层对建立和维护财务报告内部控制的责任，以及管理层对公司内部控制有效性的评估意见；公司的外部审计师应当依据上市公司会计监管委员会制定的审计准则，对管理层提交的内部控制评估意见进行再评价，并出具评价报告。
2003年3月美国审计准则委员会颁布了《审计准则——在财务报告审计过程中对于财务呈报相关的企业内部控制的审计》和《鉴证业务准则公告——对与财务呈报相关的企业内部控制的报告》，为《萨班斯法案》要求的外部审计业务提供指导。
《萨班斯法案》对通过强化企业内部控制系统，从而防范和管理风险，维护投资者的合法权益产生了积极而深远的影响。
2003年7月，COSO发布了《企业风险管理——整合框架》的征求意见稿，并于2004年9月发布正式最终文本。这标志着从企业内部控制走向企业风险管理。当管理层通过制定战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。
企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险承受能力之内，并为主体目标的实现提供合理保证。企业风险管理处理影响价值创造或保持的风险和机会。企业风险管理框架的四个目标和八个要素。企业风险管理框架力求实现主体的以下目标：战略（strategic ） 目标——高层次目标，与使命相关联并支撑其使命；经营（operations）目标——有效和高效率地利用其资源；报告（reporting）目标——报告的可靠性；合规（compliance ）目标——符合适用的法律和法规。企业风险管理包括八个相互关联的构成要素。它们来源于管理层经营企业的方式，并与管理过程整合在一起。这些构成要素是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。企业风险管理的目标与构成要素的关系如图3所示。

三、从企业内部控制走向全面风险管理
从以上COSO的两份报告来看，无论是目标的类别还是构成要素，企业风险管理包涵了企业内部控制。从目标来看，《企业风险管理——整合框架》较之《内部控制——整体框架》增加了另一类目标，即战略目标，它处于比其他目标更高的层次。战略目标来自于一个主体的使命或愿景，因而经营、报告、和合规目标必须与其相协调。企业风险管理应用在战略制订以及朝着实现其他三类目标迈进的过程中。而《企业风险管理——整合框架》的报告目标较之《内部控制——整体框架》财务报告目标，范围从财务报表拓展为不仅包含更加广泛的财务信息，而且还包含非财务信息。从构成要素来看，企业风险管理框架拓展了内部控制框架的风险评估要素，创造了四个构成要素——目标设定（他在内部控制中是先决条件）、事项识别、风险评估和风险应对。
论文检测天使-学术行为不端检测免费软件http://www.jiancetianshi.com
总之，内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。企业风险管理比内部控制更广泛，拓展和细化了内部控制。
从我国内部控制体系框架结构来看，我国的企业内部控制在形式上借鉴了COSO内部控制的框架，在内容上体现了COSO企业风险管理的实质。