内部控制与ERM框架比较
开篇:润墨网以专业的文秘视角,为您筛选了一篇内部控制与ERM框架比较范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
一、内部控制整体框架
COSO报告第一次提出了内部控制框架理论,为内部控制主要构成的建立提出了总体性的思路。其基本要素包括以下五个方面:
1、控制环境。它是内部控制组成要素的基础,是所有控制方式与方法赖以存在与运行的环境。它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用;也直接影响着企业内部控制的贯彻和执行,影响着企业经营目标及整体战略目标的实现。
2、风险评估。就是分析和辨认实现企业目标可能发生的风险概率,然后通过抑制风险来提高企业在实现目标中的效果。每个企业都面临着来自内部和外部的不同风险,对这些风险都必须加以评估,最终提高企业内部控制效率和效果。风险评估是决定应如何管理的基础。当今社会经济环境的风云变化,风险概率不断提高,其内部控制的执行也深受影响,对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部风险因素,因而辨认并处理这些风险自然就十分必要。
3、控制活动。控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助企业完成目标而避免风险所采取的必要行动。企业各阶层和各种职能部门均渗透有不同的控制活动,诸如核准、授权、调节、审核营业绩效、保障资产安全,以及职务分工,等等。由于企业性质、规模、组织方式等不同,其控制也有所不同,但控制活动通常包括两个要素:政策和程序。其中,政策规定应该做什么;程序则是保证政策产生效果的措施,政策是程序的基础,程序是政策的延伸。
4、信息与沟通。企业在其经营活动过程中需要大量的信息,以便指导预测、决策经营业务,并保证信息在企业内部运转通畅。企业信息系统能产生各种报告,包括与运营、财务及遵循法令有关的资料和信息,这些信息反映了企业业务运行状况,便于管理者采取控制措施。一个良好的信息系统有助于企业处理内部与外部发生的经济事项,并提高其内部控制的效率和效果。有效的沟通,包括组织内部上下沟通及横向沟通,也包括与外界沟通。单位所有员工必须自最高管理阶层开始,清楚须谨慎承担责任的各种信息;必须了解自己在内部控制制度中所扮演的角色,以及每个人的活动对他人工作的影响,企业必须有向上沟通重要信息的方法,也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。
5、监督。监督是一种随着时间的经过而评估内部控制制度执行质量的过程。企业内部控制是一个过程,这个过程需要通过纳入管理过程的大量制度及活动实现,即需要被监督。因此,要确保内部控制制度被切实地执行且保证执行的效果良好,内部控制能够随时适应新情况等,内部控制就必须被监督。监督方式有持续监督、个别评估及综合监督等。持续监督是指在运营过程中的监督,包括理性管理和监督活动,以及其职工为履行其职务所采取的行为。个别评估的范围及频率,应根据评估风险的大小及持续监督程序的有效性而定。持续监督和个别评估一起进行,称之为综合监督。各种监督中发现的内部控制的缺失必须向上级呈报,严重者则向最高管理阶层及董事会呈报。上述五要素相互关联与配合,形成一个整合系统。这个系统可对改变的环境做出动态反应。内部控制是因企业的基本业务需求才存在,与企业的经营活动交织在一起。只有当内部控制能纳入企业的基础建设之内,而且是企业机体的一部分时,才最为有效。也只有纳入运营活动的控制,才能帮助企业提高管理水平和管理质量,才能避免不必要的成本,能对改变的环境做出快速反应。
为了实现其目标,一个企业应当在培育一种积极的内部控制环境的基础上,识别、衡量和评估经营管理活动中所涉及的各种突出风险点,然后针对这些风险点设置各种控制机制,并不断地对上述整个过程的适当性和有效性进行监督与评审;内部管理信息系统则为这个过程提供了方便,这五个要素便形成了一个有机的、动态的系统。
2004年12月,国际著名的反虚假财务报告委员会(即Treadway鲜委员会)针对国际企业界频繁发生的高层管理人员舞弊现象,颁布了一个概念全新的COSO报告《企业风险管理――整体框架》(简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上,还是在要素方面,均有相当大的突破。ERM框架就是在1992年报告的基础上,结合《萨班斯――奥克斯法案》的相关要求扩展研究得到的。
根据ERM框架,“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并在企业的风险偏好之内管理风险,从而合理确保企业取得既定的目标。”ERM框架有三个维度:第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。全面风险管理要素有八个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个纬度的关系是:全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层级都必须从以上八个方面进行风险管理,该框架适合各种类型企业或机构的风险管理。
三、ERM框架与内部控制框架的联系与比较
与传统内部控制内容相比,新框架有了较多的变化。比如,ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿于整个企业的所有层级和单位;(5)旨在识别影响组织的事件,并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。由于新COSO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。同时,ERM又涵盖了内部控制所有合理的内容。
在1994年《内部控制――整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标――战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。最后,1994年COSO报告《内部控制―整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展,将其演变为八个要素。例如,ERM框架引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。又如,虽然内部控制整体框架和ERM框架都强调对风险的评估,但ERM框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析。原COSO报告仅提出风险识别,但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念,将原有的风险评估这一要素,发展为目标设定、事项识别、风险评估和风险反应四个要素,使得原有的内部控制五要素发展为风险管理八要素。
从COSO的ERM框架和内部控制框架比较可以看出,全面风险管理与内部控制既相互联系又有重要差异。从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除包括了内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素,因此全面风险管理涵盖了内部控制。
从二者的实质内容看,存在以下几项重要差异。一是内部控制仅是管理的一项职能,而全面风险管理属于风险范畴,贯穿于管理过程的各个方面。二是在全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),因此,该框架可以涵盖信用风险、.市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试,、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
但是,ERM并不是内部控制整体框架的替代,而是对内部控制框架的包含与深化。ERM并不是企图替代1992年的内控框架,而是代表了内部控制理论新的发展方向。新COSO报告指明,“内部控制是企业风险管理的一个不可或缺的部分,风险管理框架继承包含了内部控制框架的主要内容。报告仍保留其对内部控制的定义,但某些内部控制框架的部分在新框架中被重新描述了,整个内部控制框架报告都是新框架的参考。”从ERM对企业内部控制的完善来看,企业内部控制逐渐呈现与风险管理靠拢和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从内部控制走向风险管理。由此可见,内部控制理论的发展已经进入风险管理阶段。
(作者单位:中国移动泰州分公司)