双维视角下内部控制研究.docVIP

双维视角下内部控制研究 　　摘要：随着社会经济的持续发展，企业内部控制也在不断发展变化，并日益受到广泛的关注与重视。本文从风险管理与公司治理结构的双重角度，对企业内部控制的发展进行了探讨。在2004年颁布的新COSO报告下，从内涵、目标和要素等方面分析了新COSO报告对内部控制的发展，进而得出风险管理对我国企业内部控制的借鉴意义；从公司治理结构出发，比较了公司治理与内部控制之间的区别与联系，并在此基础上提出了公司治理结构下提高内部控制有效性的途径。 　　关键词：风险管理　公司治理结构　内部控制 　　 　　在现代经济领域中风险无处不在，既包含了导致失败的根源，同时又蕴藏着成功。而企业内部控制系统就是对威胁其目的实现的风险进行管理，但企业的内部控制能否发挥作用，还必须考虑企业面临的风险因素与治理结构。企业内部审计除了关注传统的内部控制外，更为关注有效的风险管理机制和健全的公司治理结构，使得企业内部控制也逐渐从内部财务控制的狭窄范围中跳出来，进入到为企业创造价值的领域中来。笔者认为有必要从风险管理与公司治理结构的双维角度对内部控制的发展进行研究。 　　 　　 　　一、企业风险管理下的内部控制研究 　　 　　(一)企业风险管理下内部控制的新发展 内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的，大体经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个阶段(储稀梁，2004)。COSO于1992年发表并于1994年修订的《内部控制――整体框架》报告，标志着内部控制理论与实践进入了新阶段，并被世界上许多企业所采用。尽管如此，理论界和实务界还是认为该内部控制框架有局限性，如对风险强调不够，使得内部控制无法与企业的风险管理相结合(朱荣恩等，2003)。2004年发布的企业风险管理(Enterprise Risk Management，ERM)框架就是在1992年报告的基础上，结合《萨班斯――奥克斯法案》(sarbanes-Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比，新框架有了较多的变化，主要表现在以下方面： 　　(1)企业风险管理对内部控制内涵的发展。1992年COSO报告对内部控制的定??是：内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。内部控制的定义明确了四个要点：同一过程；人为影响；达到目标；合理保证。这一定义尽管非常广泛，但从某种角度讲，又比较模糊，存在某些片面性。 　　故原COSO报告1992年出版后不久，就有声音批评该报告缺乏保障资产的概念。如美国审计总署(GAO)认为，这个文件对于内部控制的重要性的强调还不够，丧失了提高内部控制监督和评估的机会。(CraigJamesl，The CPA Journal，ABI/INFORM Global，1993)但当时的COSO主席罗伯特?L?梅(RobeflL.May)则认为，保障资产的考虑更适合作为一种经营控制。由于美国审计总署的影响巨大(如可能使银行等认为COSO报告与其无关)，如果COSO报告不根据其要求进行修改，从一开始就可能面临被抛弃的命运。最后妥协的结果是，在1994年修订后的报告上，提出了“保障资产的内部控制”的概念，即“预防未经授权的获得、使用或处理资产”。可见，这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架明确了对保护资产概念的运用。新报告认为“保护资产”或者“保护资源”是非常广义的概念，资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此，广义的“保护资产”目标范围集中为特定的报告目标，使得保护资产适用于所有未经授权的获得、使用、处置资产。又如内部控制与管理活动有何区别在原报告中并不清晰。有些对错误纠正的管理行为，并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。 　　ERM框架对内部控制的定义明确了以下内容：是一个过程；被人影响；应用于战略制定；贯穿整个企业的所有层级和单位；旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；合理保证；为了实现各类目标。对比原来的定义,ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。同时,ERM又涵盖了内部控制所有合理的内容。 　　(2)企业风险管理对内部控制目标的发展。1994年《内部控制――整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告