一 美国内部控制框架的演进及最新框架分析

(一)美国内部控制框架的演进

美国是世界上最早发布内部控制相关准则的国家,也是影响最大的国家。大致经历了六个阶段。

第一阶段是一分论,通常称为“内部牵制”阶段,20世纪40年代之前。内部控制包括组织结构的设计和企业内部采取的所有相互协调的方法和措施。这一阶段内部控制的基本目标以查错防弊为主,以职务分离和账目核对为主要手段,以钱、账、物为主要控制对象。其标志性文告为1949年美国审计程序委员会发布的《内部控制:一种协调制度要素及其对管理层和独立审计师的重要性》。

第二阶段是二分论,通常称为“内部控制制度”阶段,20世纪40年代至80年代。内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施,分为内部会计控制和内部管理控制。其代表性文告是美国审计程序委员会于1958年发布的《审计程序公告第29号》、1963年发布的《审计程序公告第33号》和1972年发布的《审计程序公告第54号》。

第三阶段是三分论,通常称为“内部控制结构”阶段,1988~1994年。企业内部控制结构包括企业为实现特定目标提供合理保证而建立的各种政策和程序,由控制环境、会计系统和控制程序构成。本阶段特别强调企业管理层对内部控制的态度、人事和行为等控制环境的重要作用;标志性文告是美国注册会计师协会于1988年5月发布的《审计准则公告第55号:在财务报表审计中对内部控制结构的考虑》。

第四阶段是五分论,通常称为“内部控制整合框架”阶段,1994~2003年。“内部控制是由企业董事会、经理层及其他员工实施的,为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息和沟通、监督五个相互联系的要素构成;标志性文告是COSO于1992年9月首次发布、1994年修订后正式发布的纲领性文件《内部控制——整合框架(1994)》(Internal Control—Integrated Framework 1994)。

第五阶段是八分论,通常称为“企业风险管理整合框架”阶段,2004~2013年。企业风险管理是“由企业董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各层次和部门的,用于识别可能对企业造成影响的事项,并在其风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程”〔美〕 COSO:《企业风险管理——整合框架》,方红星、王宏译,东北财经大学出版社,2005,第4~5页。。企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素构成。标志性文告是COSO于2004年9月发布的《企业风险管理-整合框架》(Enterprise Risk Management—Integrated Framework)。该框架是在《内部控制——整合框架》基础上,结合《萨班斯——奥克斯利法案(2002)》(Sarbanes-Oxley Act of 2002,简称SOX)在报告方面的要求的重大发展,被誉为内部控制里程碑式的重要文献〔美〕 COSO:《企业风险管理——整合框架》。

第六阶段是回归五分论,可将其称为“回归内部控制整合框架”阶段。2013年至今。其标志性文告是COSO于2013年5月正式发布的《内部控制——整合框架(2013)》及其配套指南,涵盖了内容摘要、具体内容、多份附录、一份应用指南(提供解释性工具)以及一份概要(提供方法和示例说明在财务报告内部控制上的应用)。

在这一阶段,美国COSO也对其《企业风险管理——整合框架》进行了修订,发展为“整合战略与业绩”阶段,其标志是2017年6月正式发布的《企业风险管理——整合战略与业绩》。这是因为,自2004年之后,风险的复杂性在变化,新的重大风险也开始滋生,董事会开始增强自身风险意识,加强对风险管理的监管,同时也进一步对风险报告提出了要求,旧的风险管理框架已经无法满足各使用者的需求。COSO期望用先进的企业风险管理理念和应用程序帮助世界范围内的各组织,使其能够从风险管理中获取更大的价值、利益;重新认可和重视风险管理策略和企业业绩之间的联系;提出了更先进的风险管理理念和应用程序,使其适应不同的组织结构,并且从战略的选择、执行以及决策制定等方面为各组织提供更为全面完善的应对风险的思路。

(二)美国最新内部控制框架分析

目前,美国最新的内部控制框架有两个:一个是COSO于2013年5月正式发布的《内部控制——整合框架(2013)》及其配套指南;另一个是2017年6月正式发布的《企业风险管理——整合战略与业绩》。

1.美国最新内部控制框架分析

COSO于2013年5月正式发布的《内部控制——整合框架(2013)》及其配套指南,是美国最新的企业内部控制框架。下文主要内容摘译自COSO《内部控制——整合框架(2013)》。COSO强调,本框架适用于所有的组织,包括非营利组织。

与《内部控制——整合框架(1994)》比较,《内部控制——整合框架(2013)》保留了对内部控制的概念、目标和要素的基本不变,但拓展了相应内容。其框架结构演进如图2-1所示。

图2-1 COSO1994与2013内部控制框架比较

(1)主要发展变化王瑞龙、张浩:《COSO内部控制框架的最新发展及启示》,《会计之友》2014年第8期。

在整体框架方面:①内部控制五大要素虽然保持不变,但其排列顺序整个逆转,如图2-1所示。这种调整强化了五要素之间的顺承关系,表明“控制环境”作为内部控制体系的外围和背景,需支撑整个内部控制框架。②控制目标范围得到扩展,如“财务报告”改为“报告”,范围扩大,包括财务报告和非财务报告,对外报告和对内报告。③组织维度更加细化,包括“主体”(Entity)、“分支机构”(Division)、“业务单位”(Operating Unit)、“职能”(Function)。

在内容方面:①报告类别大大扩展。外部财务报告包括年度财务报告、中期财务报告、盈余公告等;外部非财务报告包括内部控制报告、可持续发展报告、供应链管理或托管资产报告、质量管理报告等;内部财务报告包括分部财务报告、现金流/预算、银行合同等;内部非财务报告包括人力资源分析、资产利用、客户满意度调查、主要风险指标、董事会报告等。②原则导向化,即从内部控制五大要素的核心内容中提炼出17项原则,还详细描述了与这些原则相关的81项重要特征(Attributes)和关注要点(Points of Focus)。这样,使内部控制框架更加简洁明了,可以帮助董事会和管理层设计、执行、维护内部控制系统,并评价其是否存在且正常运行,并不容易被规避。林斌、舒伟、李万福:《COSO框架的新发展及其评述——基于IC -IF征求意见稿的讨论》,《会计研究》2012年第11期。③注重适应组织和经济环境的变化。主要包括信息技术、公司治理环境和商业模式变化等。这将导致组织的信息与沟通、控制环境、价值链和价值传递途径等发生变化,需要采取新的应对措施以保证内部控制的持续有效性。④增加了反舞弊反欺诈的内容。将管理层评估舞弊与欺诈风险上升为内部控制的17项基本原则之一,并提炼了五个主要特征与关注点,给予更多的解释和重视,以帮助企业在风险评估阶段对舞弊风险进行考量。

(2)主要启示

美国内部控制框架最新进展的启示:①总结归纳17项基本原则及其对应的81项主要特征和关注点,注重和提高了内部控制框架的可操作性;②重视对舞弊与欺诈风险的评估与应对,提高组织反欺诈和反舞弊的能力与有效性;③扩展了报告类别与内容,重视各类信息对内、对外的有效沟通;④强调全员性,明确各级员工的内部控制责任,注重考核与评价,建立并执行责任追究制度,实施奖惩,以提高内部控制的执行力和有效性;⑤重视对内部控制有效性性进行持续评价和独立评价,注重评价结果沟通与缺陷的督促整改;⑥强调企业内部控制要适应组织和环境的重大变化,要持续改进内部控制。

2016年6月14日,COSO发布的题为《企业风险管理——协调风险与战略和业绩》征求意见稿是对其2004年《企业风险管理——整合框架》的修订和发展,2017年6月正式发布稿则为《企业风险管理——整合战略与业绩》。2004年《企业风险管理——整合框架》的执行摘要和框架都被更新,但应用技术部分保持不变;名称也由《企业风险管理——整合框架》更名为《企业风险管理——整合战略与业绩》,体现出风险管理策略和企业业绩之间的联系得到了新的认可和重视,强调在战略制定过程和驱动业绩中考虑风险的重要性,突出将企业风险管理贯穿于战略规划并嵌入整个组织之中。这是因为风险、战略和业绩影响所有的部门和职能。其框架结构及其对应原则如图2-2所示。

(1)主要发展变化

采用单元和原则的结构。包括5个相互关联的单元以及20项支撑原则,内容涵盖了治理与文化、战略与目标设定、业绩、检查与修正、信息与沟通和报告。①治理与文化:治理设定了组织的基调,重新强化了企业风险管理的重要意义,确立了企业风险管理的监管职责;文化确定了道德价值观、期望的行为和对风险的理解。②战略与目标设定:企业风险管理、战略和目标设定工作应当融入战略规划过程中;风险偏好需与战略同步制定并协调;经营目标将战略付诸实施,并将其作为识别、评估和应对风险的基础。③业绩:风险可能影响战略和经营目标的实现,因而需被识别与评估;风险应当按其在风险偏好中的严重程度进行排序;组织据此选择恰当的风险应对措施,采取风险组合措施将其控制在可承受的风险总额内;这个过程的结果需要向关键风险利益相关者报告。④检查与修正:通过检查主体业绩,组织能够考虑企业风险管理单元在过去是否能够发挥作用,并根据所发生的实质性变化确定应当做出的修正。⑤信息、沟通和报告:企业风险管理要求具有一个获得和分享必要信息的持续过程,这些信息可能来自企业内部也可能来自企业外部,且应当在组织的上下、左右之间进行流动。

简化风险和企业风险管理的定义。风险被定义为“事件将要发生并影响战略和经营目标实现的可能性”;企业风险管理被定义为“组织在创造、维护和实现价值的过程中,进行风险管理所赖以依靠的、与战略设定和执行紧密结合的文化、能力和实践”。这可增强可记性和可读性,有助于读者的理解定义,并将风险和价值更好地协调。

强调风险和价值之间的关系。强调企业风险管理在创造、保留、实现企业价值方面的作用,强调抓住那些可以创造、保留企业价值的机会。

图2-2 COSO企业风险管理框架结构

重新专注于企业风险管理的整体性。将企业风险管理的整体性融入组织经营的方方面面,包括融入战略设定程序、经营目标设定以及风险管理执行中,以支持企业的经营、管理企业业绩以及从根本上创造、实现和提升企业价值。

重视文化的作用。企业文化影响组织风险管理和监督的文化环境,进而影响企业风险管理框架中其他要素,影响企业对战略的选择和执行。企业文化也提供了识别、评估风险的环境,以及应对这些风险需要对资源进行的分配。

加强战略讨论。组织最严重的失败主要归因于该组织战略选择与其目标任务、愿景及核心价值观没有很好地协调。更新后的框架深入讨论了战略和风险的三个理念:战略和经营目标必须与组织使命、愿景和企业价值相匹配;战略选择的含义;执行战略的风险。

强调提升业绩与企业风险管理的一致性。新的框架加强风险和业绩之间的关系,认为风险是经营目标和业绩目标设定中不可或缺的一部分。

更加明确了企业风险管理与决策之间的关系。决策制定发生在价值链的每一个环节,关乎战略的选择、经营目标和业绩目标的设定以及资源的协调。新的框架将企业风险管理整合、融入企业的整个生命周期中,聚焦风险预测如何促进整个决策的制定。

描述了企业风险管理与内部控制之间的关系。新的框架并没有取代2013年《内部控制——整合框架》,这两个框架是互补的,并都使用单元和原则结构。

完善风险偏好和业绩的可接受变动范围。新的框架完善了风险偏好和业绩可接受变动范围的相关理念。风险和业绩不再被看作静态的、相互分离的,而是持续变化并且相互影响的。

(2)主要启示

美国最新《企业风险管理——整合风险与战略》的启示是:①将企业风险管理置于企业战略与经营目标中,并以提升企业业绩为目标,将风险与战略、经营目标、业绩相协调,使企业风险管理发生实质性变化。②企业风险管理需要与其他所有方面进行整合,包括治理结构、战略、业绩管理和内部控制。③强化受托责任以及责任追究,企业应当要求所有层级的员工对企业风险管理承担责任,并且企业自身也要对提供风险管理标准和指南承担责任。④重视企业文化在企业风险管理中的地位与作用,并对企业文化建设提出要求。⑤强调企业文化对企业风险管理、战略与经营目标具有重要影响。⑥强调各层级经营目标与风险管理的关系,将企业风险管理寓于各层级经营目标中,促使全员有风险意识与经营目标意识。