内部控制框架的新发展 ) ) ) 企业风险管理框架
) ) ) COSO 委员会新报告 5企业风险管理框架 6简介
朱荣恩 贺 欣
( 上海财经大学会计学院 200083 中南财经政法大学会计学院 430060)
=摘要> 2003 年 7 月美国 COSO 委员会颁布了企业风险管理框架的讨论稿 , 并将于 2004 年 4 月颁布正式
稿。该讨论稿是在 1992 年 COSO 委员会颁布的内部控制框架基础上 , 吸收各方风险管理研究成果基础上提
出的 , 本文将主要讨论其与内部控制框架的区别及其主要内容 。
=关键词 > 风险管理框架 内部控制框架 风险管理 内部控制
一、 企业风险管理框架与内部控制框架的联系
与区别
自 1992 年美国 COSO 委员会发布 5内部控制框
架6( 简称 COSO 报告 ) 以来 , 该内部控制框架 已经
被世界上许多企业所采用 , 但理论界和实务界纷纷
对内部控制框架提出一些改进建议 , 强调内部控制
框架的建立应与企业的风险管理相结合
1
。新的企
业风险管理框架就是在 1992 年的研究成果 ) ) ) 5内
部控制框架 6报告的基础上 , 结合 5萨班斯 ) 奥克斯
法案6( Sarbanes- Ox ley Act) 在报告方面的要求 , 进
行扩展研究得到的。普华永道的项目参与者认为 ,
新报告中有 60% 的内容得益 于 COSO1992 年报告
所做的工作。但由于风险是一个比内部控制更为广
泛的概念 , 因此 , 新框架中的许多讨论比 92 年报告
的讨论要更为全面、 更为深刻。此外 , COSO 在其风
险管理框架讨论稿中也说明 , 风险管理框架建立在
内部控制框架的基础上 , 内部控制则是企业风险管
理必不可少的一部分。风险管理框架的范围比内部
控制框架的范围更为广泛 , 是对内部控制框架的扩
展, 是一个主要针对风险的更为明确的概念。
概括 地 看, 相 对 于 内 部 控 制框 架 而 言 , 新 的
COSO报告新增加了一个观念、 一个目标、两个概念
和三个要素 , 即/ 风险组合观 0、/ 战略目标 0、/ 风险偏
好0和/ 风险容忍度 0的概念以及 / 目标制定 0、/ 事项
识别0和/ 风险反应 0要素。对应风险管理的需要 , 新
框架还要 求企业设立一 个新的部门 ) ) ) 风险管 理
部。新的风险管理框架比起内部控制框架 , 无论在
内容还是范围上都有所扩大和提高 , 具体表现在 :
11 提出一个新的观念 ) ) ) 风险组合观 ( An En-
tity- level Portfolio View of Risk)
企业风险管理要求企业管理者以风险组合的观
点看待风险 , 对相关的风险进行识别并采取措施使
企业所承担的风险在风险偏好的范围内。对企业内
每个单位而言 , 其风险可能落在该单位的风险容忍
度范围内 , 但从企业总体来看 , 总风险可能超过企业
总体的风险偏好范围。因此 , 应从企业总体的风险
组合的观点看待风险。
21 增加一类目标 )) ) 战略目标 , 并扩大了报告
目标的范畴
内部控制框架将企业的目标分为经营、 财务报
告和合法性目标。企业风险管理框架也包含三个类
似的目标 , 但是其中只有两个目标与内部控制框架
中的定义相同 , 财务报告 目标的界定则有 所区别。
内部控制框架中的财务报告目标只与公开披露的财
务报表的可靠性相关 , 而企业风险管理框架中的报
告目标的范围有很大的扩展 , 该目标覆盖了企业编
制的所有报告。
此外, 企业风险管理框架比内部控制框架增加了
11
审计研究 2003 年 6 期
1
如 Stephen J.Root, Beyond COSO Internal Control to Enhance
Corporate Governance ( 1998) ; KM PG, Internal Control: a Practice
Guide( 1999) ; Pricew aterhouseCoopers,Operational Risk M anagement:
The Next Frontier( 2001) 等
评论2