詹曉倩

摘要：本文通過介紹西方內(nèi)部控制和風險管理理論，分析了ERM與IC-IF的關(guān)系，指出中國企業(yè)在借鑒世界發(fā)達國家的標準的同時，應結(jié)合中國企業(yè)的特點和實際情況，要有中國企業(yè)自己的內(nèi)部控制和全面風險管理標準。

關(guān)鍵詞：內(nèi)部控制風險管理ERM框架IC-IF框架

一、內(nèi)部控制的定義

那么什么是內(nèi)部控制?理論界存在各種觀點，1949年，美國會計師協(xié)會的審計程序委員會在《內(nèi)部控制：一種協(xié)調(diào)制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，對內(nèi)部控制首次作了權(quán)威性定義：“內(nèi)部控制包括組織機構(gòu)的設計和企業(yè)內(nèi)部采取的所有相互協(xié)調(diào)的方法和措施。這些方法和措施都用于保護企業(yè)的財產(chǎn)，檢查會計信息的準確性，提高經(jīng)營效率，推動企業(yè)堅持執(zhí)行既定的管理政策。”

1992年，美國“反對虛假財務報告委員會”下屬的由美國會計學會、注冊會計師協(xié)會、國際內(nèi)部審計人員協(xié)會、財務經(jīng)理協(xié)會和管理會計學會等組織參與的發(fā)起組織委員會(COSO)發(fā)布報告《內(nèi)部控制——整體框架》(即“COSO報告”)。該報告將內(nèi)部控制定義為：是受企業(yè)董事會、管理當局和其他職員的影響，目的在于取得經(jīng)營效果和效率、財務報告的可靠性、遵循適當?shù)姆ㄒ?guī)等目標而提供合理保證的一種過程。

我國1997年開始實施的《獨立審計具體準則第九號——內(nèi)部控制與審計風險》的定義是：“內(nèi)部控制是被審計單位為了保證業(yè)務活動的有效進行，保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序?！?/p>

上述三個定義具有幾個共同特點：一是都將內(nèi)部控制解釋為一種政策或程序(過程)；二是都在定義中說明了內(nèi)部控制的目標；三是都是從審計的角度做出的定義。

二、內(nèi)部控制理論發(fā)展過程

內(nèi)部控制理論的發(fā)展是一個逐步演變的過程，大致可以區(qū)分為內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架、風險管理框架五個階段。

第一，內(nèi)部牽制階段。

相互核對是此階段內(nèi)部控制的主要內(nèi)容，設定崗位分離是內(nèi)控的主要方式，這在漫長的幾千年內(nèi)被認為是一種最實用的控制方法。

第二，內(nèi)部控制制度階段。

內(nèi)部控制制度有兩類：內(nèi)部會計控制制度和內(nèi)部管理控制制度，內(nèi)部管理控制制度包括，不僅限于組織結(jié)構(gòu)的計劃，以及關(guān)于管理部門對事項核準的決策步驟上的程序與記錄。會計控制制度包括組織機構(gòu)的設計以及與財產(chǎn)保護和財務會計記錄可靠性有直接關(guān)系的各種措施。

第三，內(nèi)部控制結(jié)構(gòu)階段。

內(nèi)部控制被認為是為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序，內(nèi)部控制由三個要素組成：內(nèi)控環(huán)境、會計制度和控制程序。

第四，內(nèi)部控制整體框架階段。

1992年9月，COSO委員會提出了報告《內(nèi)部控制——整體框架》(1994年進行了增補)，該框架指出“內(nèi)部控制是受企業(yè)董事會、管理層和其他人員影響，為經(jīng)營的效率效果、財務報告的可靠性、相關(guān)法規(guī)的遵循性等目標的實現(xiàn)而提供合理保證的過程?！?/p>

第五，風險管理框架階段。

2004年9月《企業(yè)風險管理——整合框架》正式文本發(fā)布。企業(yè)風險管理整合框架認為“企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項。管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。”該框架拓展了內(nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風險管理這一更加寬泛的領(lǐng)域。

三、關(guān)于內(nèi)部控制和風險管理的研究報告

COSO發(fā)布的研究報告《內(nèi)部控制整體框架》和《企業(yè)風險管理整體框架》是美國上市的公司需要重點研究的對象。

1992年《內(nèi)部控制一整體框架》(Internal Control-Integrated Framework以下簡稱為“IC-IF”框架)報告對內(nèi)部控制的定義是：“內(nèi)部控制是一個受到董事會、經(jīng)理層和其他人員影響的過程，該過程的設計是為了提供實現(xiàn)以下三類目標的合理保證：經(jīng)營的效果和效率、財務報告的可靠性、法律法規(guī)的遵循性?！?它認為，內(nèi)部控制系統(tǒng)是由以下五要素組成：

內(nèi)控環(huán)境——內(nèi)控環(huán)境是企業(yè)的基調(diào)、氛圍，直接影響企業(yè)員工的控制意識。

風險評估——風險評估是識別、分析相關(guān)風險以實現(xiàn)既定目標，是風險管理的基礎。每個企業(yè)都面臨著諸多來自內(nèi)部和外部的風險，影響企業(yè)既定目標的實現(xiàn)。因此必須設立一個機制來識別、分析和管理影響目標實現(xiàn)的相關(guān)風險，并適時加以管理。

內(nèi)控活動——內(nèi)控活動指那些有助于管理層決策順利實施的政策和程序，是針對風險采取的控制措施。

信息與溝通——是指企業(yè)經(jīng)營管理所需信息必須被識別、獲得并以一定形式及時傳遞，以便員工履行職責。信息不僅包括內(nèi)部產(chǎn)生的信息，還包括與企業(yè)經(jīng)營決策和對外報告相關(guān)的外部信息。暢通的溝通渠道和機制使企業(yè)的員工能及時取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息，并交換這些信息。

監(jiān)督——是對內(nèi)部控制系統(tǒng)有效性進行評估的過程，可以通過持續(xù)性監(jiān)督、獨立評估或兩者的結(jié)合來實現(xiàn)對內(nèi)控系統(tǒng)的監(jiān)督。

2002年薩班斯一奧克斯利法案頻布后，COSO于2004年發(fā)布了《企業(yè)風險管理整體框架》(以下簡稱EBM框架)。ERM框架是IC-IF框架的更新補充。ERM框架對內(nèi)部控制的定義明確了以下內(nèi)容：(1)是一個過程；(2)被人影響；(3)應用于戰(zhàn)略制定；(4)貫穿整個企業(yè)的所有層級和單位；(5)旨在識別影響組織的事件并在組織的風險偏好范圍內(nèi)管理風險；㈣合理保證；(7)為了實現(xiàn)各類目標。對比原來的定義，ERM概念要細化的多。

在內(nèi)部控制整合框架五個要素的基礎上，COSO企業(yè)風險管理的構(gòu)成要素增加到八個：(1)內(nèi)部環(huán)境；(2)目標設定：(3)事項識別；(4)風險評估；(5)風險應對；(6)控制活動；(7)信息與溝通；(8)監(jiān)控。八個要素相互關(guān)聯(lián)，貫穿于企業(yè)風險管理的過程中。

COSO企業(yè)風險管理的定義：“企業(yè)風險管理是一個過程，受企業(yè)董事會、管理層和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個公司的應用，旨在為實現(xiàn)經(jīng)營的效率和效果、財務報告的可靠性以及法規(guī)的遵循提供合理保證?！盋OSO-ERM框架是一個指導性的理論框架。為公司的董事會提供了有關(guān)企業(yè)所面臨的重要風險，以及如何進行風險管理方面的重要信息。

ERM框架重視的是企業(yè)風險管理，IC-IF框架中內(nèi)部控制則是企業(yè)風險管理中不可分割的一部分。COSO在《企業(yè)風險管理框架》前言中指出，企業(yè)風險管理框架是建立在內(nèi)部控制整體框架基礎之上的，對企業(yè)風險管理內(nèi)容的關(guān)注更加廣泛與深入。ERM并非替代IC-IF，而是包容了IC-IF，在內(nèi)控的有關(guān)概念上，兩者保持了一致與連貫。企業(yè)風險管理框架不僅可以滿足企業(yè)加強內(nèi)部控制的需求，也能促進企業(yè)建立更為全面的風險管理體系。

COSO框架是目前美國使用最廣泛的框架。SEC也建議企業(yè)采用COSO框架，中國企業(yè)要實施全面內(nèi)部控制與風險管理，必然借鑒世界發(fā)達國家的標準，但不能照抄照搬，要適合中國企業(yè)的特點和實際情況，要有中國企業(yè)自己的內(nèi)部控制和全面風險管理標準。

中國企業(yè)要實施全面內(nèi)部控制與風險管理，必然借鑒世界發(fā)達國家的標準，但不能照抄照搬，要適合中國企業(yè)的特點和實際情況，要有中國企業(yè)自己的內(nèi)部控制和全面風險管理標準。