COSO内部控制与风险管理框架的实践——访COS0主席拉瑞#183;瑞丁伯格博士,本文主要内容关键词为:内部控制论文,风险管理论文,伯格论文,框架论文,主席论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
为了促进我国企业完善内部控制和强化风险管理,由中国内部审计协会主办,安永华明会计师事务所协办的“COS0内部控制与风险管理框架实践”研讨会,于2007年6月22日在北京王府半岛酒店举行。会议主题围绕COS0两大架构的互动及如何在中国的实践展开。与会代表提出了许多有关内部控制与企业风险管理方面普遍关心的核心问题。我们与COS0主席拉瑞·瑞丁伯格(Larry Rittenberg)就10个主要问题展开了充分的讨论,现将讨论情况整理如下,谨与国内内部审计专家学者分享:
问题1:内部控制部门与风险管理部门之间有怎样的关系?从观念上及实用角度上,您有什么建议?
拉瑞先生:美国和欧洲大多把内部审计部门分为两个部分:一个是传统的、关注内部控制和财务以及运营的内部审计部门;一个是牵头了解企业风险管理的内部审计部门,这通常也是内部审计的第二个职能,主要协助协调企业的风险管理工作。但是在许多全球性企业中,单独成立内部控制部或风险管理部也是日渐普及的模式。无论风险管理是设在内部审计部门范围之内,还是独立的风险管理部门,在公司的业务领域之内,有效实施风险管理的关键是管理部门对企业风险管理的认可。而且,重要的是要明白业务管理者在风险管理中是一个很重要的角色。业务管理部门负责管理公司,管理责任应该扩展到识别和管理所负责领域风险的范畴。以此类推,内部审计应是促进公司风险管理有效实施的推动者。
问题2:内部控制的架构和风险管理架构是否可以相互融合并相互代替?
拉瑞先生:所有的公司都应首先关注内部控制框架,因为这是公司运营的基础。风险管理框架是内部控制框架的延伸,所有内部控制框架的要素同样适用于企业风险管理框架。当公司开始对风险和管理理念有了一定了解的时候,就该实施风险管理框架,这两个框架在横向和纵向都应是一致的,不会有冲突。企业风险管理是两个框架中含义比较广的一个。内部控制框架与具体的控制目标相关,而企业风险管理则超越控制、超越财务报告,总体把握企业的战略以及同企业运营相关的风险。我们倾向于所有公司都实施企业风险管理框架,但是这需要一个过程,每个公司都应该从良好的内部控制开始,然后发展到良好的企业风险管理。
问题3:内部控制与公司治理有什么样的关系?
拉瑞先生:内部控制和公司治理是完全相互联系的。没有良好的公司治理,则难以建立良好的内部控制。因为随着公司不断发展,管理层报酬随之增多,对管理层的有效监控的需求也随之增加。这种监控根据文化的不同会有多种方式。然而,监督机制的建立和管理是公司治理的一个重要部分。因此独立董事会非常重要,内部审计部门和审计委员会的直接关系非常重要,内部审计部门与审计委员会主席互动关系也很重要。良好的公司治理会通常体现于有独立的审计委员会(或类似机构),并对监督控制、财务报告以及风险管理承担直接和重要的责任。审计委员会需要利用内部审计(或其他内部控制部门)人员的工作以及公司内部的其他资源来完成这个重要的任务。因此,内部控制和公司治理是完全相结合的。
问题4:建立内部控制体系固然非常重要,然而,设置内部控制流程可能会影响某些重要决策,从而造成利润下降,如何解决这个问题?
拉瑞先生:良好的内部控制带来良好的企业运营。因为良好的内部控制可以为管理层提供更准确、更及时以及可信赖的信息以帮助他们做决策。有很多内部控制失效、公司经营则失败的案例。美国威斯康星州曾做过一个案例研究,成立一个委员会审查州立保险委员会对于保险信息的使用情况,这些信息是用以在保险公司出现问题时确定民事责任和保障保险客户权益的。在查阅了所有失败的保险公司的详细报告后,发现所有这些公司都存在两个失败因素。一个因素是过分主观的领导行为。这些公司领导认为公司内部存在的所有问题都能够通过更多的销售来解决。另一个因素是内部控制不够或是没有内部控制。在美国,拥有良好内部控制和风险管理的公司,能使管理层做出更好的决策,因为管理层能够及早发现问题,例如库存过多或是信用政策的变化等问题。因此,内部控制能够影响决策过程,增加公司成功的可能性。应该说,合宜的内部控制不会影响企业的重要决策。但是没有良好的内部控制,却会影响公司及时做出决策。在审阅COS0内部控制或者企业风险管理框架的时候,重要的是要明白,重点永远是企业目标的实现。比如:一个目标是关于财务报告的可靠性。COS0 2006指引指出,关注控制目标以及公司怎样更加有效地实现这些控制目标是非常重要的。公司经常错误地认为,应把重点放在控制及制定各项制度政策上,认为这个控制或者那个控制必须存在。其实,许多不同的控制方法可以用来实现企业的目标;但是管理层及内部审计师应该寻找最有效的控制方法来实现企业目标并且使组织结构更加有效率。
问题5:要想建立有效的内部控制系统,企业应从哪里开始?
拉瑞先生:每个有效的内部控制系统都源于企业的高层。如果管理层、财务总监和董事会不致力于建立有效的内部控制,并提供资源以保证内部控制的有效实施,想要建立有效的内部控制系统是很难的。企业必须从一个最高最广的视角来思考对企业最有效控制目标的实现方法。最容易入手的地方是确保所有交易流程系统是有效的,且在整个公司内是一致的。从这些系统入手,是因为在许多公司内,尤其是一个有很多分支机构的公司,可以通过一致与标准化来获得提高绩效的机会。因此,优化控制以及提高控制有效性的一个做法是找到使基本交易系统间的流程标准化的方法。这需要从公司层面的视角出发,对公司实现控制目标最有效的方法给予前瞻性的考虑。一旦交易系统得到控制,下一步则应该考虑财务报表了,因为我们的目标是降低财务报表中出现严重错误的风险。所以,公司必须在他们的账目中识别重要的科目。我们建议,公司应该优先考虑那些重要的,但至今没有得到控制关注的领域,尤其是需要做会计判断的区域。其中包括所得税账户、确认负债,比如养老金或其他债务、与资产或者公允资产价值相关的区域。另外,包含在财务报表附注中的披露信息对于报表使用者来说也是至关重要的。例如,准备金的披露对于公司和投资者来说都是非常重要的。因此,我们必须关注是否对财务报表附注中的数据建立了有效的控制。
问题6:内部审计、内部控制与风险管理在公司结构中是否由一个部门实施?如由几个部门共同实施,这些部门间应如何合作?
拉瑞先生:发展COSO内部控制框架是为了确保我们有一种通用的方法来描述控制和风险,并且有一套通用术语应用于整个机构。但是,究竟由谁来实施的问题并不是简单的由谁来做这份工作以及是否需要多个部门来协同工作的问题,而是要理解公司的目标及与实现这些目标相关部门所应扮演的角色。如果我们能够有效地进行企业风险控制,那么,每个部门经理都应该会说:“我负责我们部门的风险评估,并且负责把风险控制在可接受的范围之内,以及确保高级管理层理解风险。”从上到下的一致性非常重要。譬如说如果一个金融机构交易金融产品,那么需要有人建立这个机构的风险偏好。风险偏好应该是高级管理层建立的。有效的风险管理意味着不管谁主管交易的金融工具,这个人也负责查明并管理相关的风险及交易结果。如果我们考虑贷款活动,那么,负责管理贷款的那个人就应该对该部门的企业风险管理负责。内部审计部门在执行过程中完全不需介入。内部审计在风险管理工作中的职责是评估整个机构是否存在理解、识别和评估风险的一个系统流程。此外,它应当决定企业是否已经有效地管理或把相关风险降低到与该组织的战略和目标一致的可接受的水平。在某些情况下,一个企业可能没有实施任何步骤以有效地应对风险。在这种情况下,内部审计部门或者内部控制部门都应该在管理层的支持下牵头建立对企业发展有效的风险管理流程。内部审计部门可以成为一个十分有效的风险管理工作的推动者。
问题7:监管机构要求公司分别出具内部控制自我报告与风险评估报告,请问两者之间是否能够互相取代并有互相重叠的部分?
拉瑞先生:如果企业风险管理报告的范围是与整个企业相关,那么,两者是不能互相取代的。在美国,内部控制报告是一份同企业的财务报告目标相一致的具体的报告。这种报告要比COSO内部控制框架范围狭窄得多,因为它不直接涉及运作与合规目标。国际内部审计师协会的秘书长大卫·理查德和COSO董事成员强调,良好的内部控制报告是超越于财务报告的,应包括运营与合规活动。因此,美国内部控制报告的范围同企业风险管理的范围或者与COSO框架内部控制有效性的报告相比,它的范围要窄得多。从全球来看,只有很少的公司真正执行了全面的风险管理。但是许多企业正很谨慎地一步一步在推行相关的工作。目前,重要的是,大家要明白,想要企业实施有效的风险管理,需要大量的时间使每个部门经理能够了解并思考企业风险管理,然后应用于工作中的各个方面。所以,一份企业风险管理报告的范围要比一份有关财务报告的内部控制有效性报告的范围广得多。在美国,多数公司正在开展第一步工作,即有效的财务报告的内部控制。企业风险管理报告的实施仍需几年的时间。有效的风险管理不仅仅是简单地调查管理层、询问他们重要的风险是什么,以及这些风险是如何被解决的,而是意味着一个组织拥有不断监控环境的流程、理解正在发生的变化、识别企业所面临的新风险以及对于这些风险企业应采取的战略决策。企业风险管理是十分重要的,应该在每个企业中实施。有些公司,比如,一些在英国的公司,就要求主管们对于是否认为管理层已经识别和管理了重要的风险加以报告。这个报告比企业风险管理报告少很多内容,并且由于术语没有像COSO框架中那样定义,往往报告很难理解。公司应该运用一致的术语并实施有效风险管理工作。在某些方面,市场反应将告诉企业投资人在一些领域,比如经营或战略方面,是否有效地管理了风险。
问题8:在美国企业实践中,通常是如何处理内部控制在财务报告层面与其他内部控制的关系的?另外,中国正在制定内部控制规范,应该如何吸纳美国公司的经验?
拉瑞先生:当前在美国,监管者要求管理层报告有关财务报告层面的内部控制,并且要求独立审计师对此内部控制加以评估。由于曾经出现过财务报表欺诈问题,这个报告有其必要性。这个法律的制定是用来提高财务报告的完整性、真实性,使投资者可以做出更好的、更具广泛信息价值的决策。这个法律有值得称赞的目标,并且,在很大程度上,这些目标正在实现。目前,在美国,人们普遍认为关于合规以及运营方面报告的其他问题,由股东指定的代理人来处理最好。换句话说,人们通常认为合规以及运营方面的行为报告应该由董事会和董事会下属的审计委员会所关注。监管组织还没意识到对于内部控制的其他两个目标也需要报告。比如,如果公司没有遵守相关法律规定或是没有遵守环保要求,此公司就可能存在间接财务风险。所以在合规目标与财务风险相互联系的地方,也应该有一个报告机制,因为这与财务报告的内部控制相关。除此之外,在美国,我们把合规和运营方面控制的评估报告给董事会,这也是我们特别关注董事会职能运作的原因。COSO企业风险管理框架适用于全球的企业,并且在识别与管理风险方面的结构设计具有逻辑性。但是,公司必须先学会走路再开跑。因此,我们的建议是缓慢地进行。建议监管机构要认真考虑他们的目标以及目标能否通过监控或者董事会监督,另外,在目前的时间框架里,在符合成本效益的情况下,公司能否实现这些目标。基于这些原因,每个企业都应有责任证明他们已经通过拥有对于财务报告的内部控制而实现了的目标。一个可行的方法是侧重于与所有报告有关的内部控制目标,挑战管理层实现这些目标,要求管理层列示他们已经实现了这些目标。另外,审计师也应该签证管理层在财务报表方面已经实施了适当的内部控制。作为制度制定者,应考虑不要求每一个企业对必须实施的特殊控制做过多的说明或过分标准化的要求。对此谨慎的原因是:一是当流程和风险变化时,控制也会随之变化;二是每个公司对于实现控制目标的方法可能会与同行业中其他企业的方法不同。通过COSO的框架我们可以看到,企业需要控制以保证所有交易都被正确地记录并在正确的期间里;通过正确的估价和汇总,在财务报表中将企业财务状况准确报告出来。要做好上述事情可能没有单一的最好方法,相反,我们相信每个企业都会有能力设立适合其企业的有效的控制。当然在中国的传统企业中,培训宣导需要较大的力度,也可能是一段较长的过程。
问题9:内部控制框架与企业风险管理框架是五个要素还是八个要素,这些要素的具体内容是什么?
拉瑞先生:首先,两个框架是一致的。企业风险管理框架是一个更广泛的框架,同内部控制框架相比,它包含了更多的风险领域。内部控制框架是企业风险管理框架的一个分支。企业风险管理的要素是这样定义的:一是“控制环境”的概念已经被“内部环境”所取代。两个术语本质上是一样的,但是由于除了控制活动,风险还关注于方法,我们认为最好有一个更加广泛的描述。二是将目标设定纳入于框架之中,充分反应对内部环境的认知与体现。三是内部控制框架中的风险识别要素被细化到风险识别、风险评估和风险反馈。风险反馈也可能包括控制活动,但是同样可以包括诸如共享风险、避免风险,或者接受风险的行为。四是企业风险管理框架的目标从财务,运营,合规延伸到包括战略考量。
问题10:为什么在COSO企业风险管理框架里面加上了战略要素,而在内部控制框架里却没有此要素?
拉瑞先生:记得在1992年,所有的五个COSO发起机构都是会计组织。那时,我们对于内部控制没有像现在这么广泛的探讨。随着对企业风险管理的了解,我们认为风险不能从公司战略中分离出来。这两个概念是彼此紧密相连的,你无法在不理解企业发展战略的基础上考虑风险管理。如果不考虑公司广义的战略目标,企业就不能实施有效的内部控制和风险管理。另外,在当今社会环境下,有效的内部控制和财务报告要求决策者了解公司的战略,因为主观判断有可能影响到财务报告。
结束语:强化企业内部控制和风险管理机制的建设是企业持续发展的客观要求。就我国的企业来说,建立健全内部控制制度、强化风险管理迫在眉睫,严格执行内部控制制度任重道远。理解内部控制和风险管理的概念和作用,对于中国企业制定全面风险管理的战略体系,有效防范经营风险,确保企业持续有效经营具有重大的意义。
拉瑞·瑞丁伯格(Larry E.Rittenberg)博士简介
Rittenberg是美国注册会计师及注册内部审计师。
Rittenberg被《商业与金融》2005年1月号列为2005年50位对会计领域最具影响力的人;被《风险与财政》列为2007年100位金融领域最具影响力的人。在审计与公司治理领域,Rittenberg是全球公认的大师级人物。
Rittenberg现为反虚假财务报告委员会发起组织委员会(COSO)主席。COSO曾发表全球遵循的内部控制框架及风险管理框架,并于近期出台了中小企业执行财务报告相关的内部控制指引,一直致力于推行倡导对内部控制有效性的监控。Rittenberg曾直接参与主导COSO在2004年出台的企业风险管理框架。
Rittenberg曾任国际内部审计师协会(IIA)研究基金会主席,负责发展专业框架与内部审计标准;之前,Rittenberg指引编写并修改了内部控制定义、领导撰写IIA分析外包审计对独立性影响的白皮书。
Rittenberg负责起草美国企业董事协会的《董事职业化研究报告》。
Rittenberg有数十本著作及专业论文。
张翌轩(Stanley Chang)博士简介
张翌轩先生是安永华明会计师事务所企业风险管理部在北京的合伙人,现任IIA巡回大使和国际内部审计准则委员会委员。
张翌轩先生曾在1997年至2003年担任IIA理事,并于1999年至2002年期间担任IIA亚洲联盟首任秘书长。他曾获IIA颁赠的教育成就奖及杰出服务奖,也曾得到美国、南非及菲律宾的研究奖项及专任讲座。
张翌轩先生在美国获得密苏里大学会计硕士和德州理工大学会计博士,是美国注册会计师、注册政府审计师、注册内部审计师、注册管理会计师、注册政府财务经理和注册内部控制自我评估师。
张翌轩先生在公司治理、风险管理和内部审计方面编写了2本著作,发表了50多篇文章,分别用7种文字发表。
标签:内部控制论文; 风险管理论文; 财务报告论文; 内部审计论文; coso论文; 企业内部控制与风险管理论文; 企业内部控制审计指引论文; 管理控制论文; 工作管理论文; 财会论文;