UNIVERSITY OF NIScaron; FACULTY OF ECONOMICS 'ECONOMIC THEMES'

Year 50, No. 2, 2012, pp. 151-166

Address: Trg kralja Aleksandra Ujedinitelja 11, 18000 Niscaron; Phone: 381 18 528 624 Fax: 381 18 4523 268

INTERNAL CONTROL AND ENTERPRISE RISK MANAGEMENT

– FROM TRADICIONAL TO REVISED COSO MODEL

Jovаn Krstić Milicа eth;orntilde;ević

Abstract: In achieving their business activities enterprises are constantly exposed to risk. One of the most important mechanisms for risk reduction is internal control as a set of policies and procedures established by management in order to realize enterprisersquo;s objectives. In this paper, we point out development of new paradigm of internal control – risk based internal control. Therefore, we start from revised COSO model which not represents only addition of traditional risk mangement model but enables timely identification, management and monitoring enterprisersquo;s risk in contemporary business environment. Adequately designed and implemented system of internal control which is based on risk is in function of achieving objectives related to effectiveness and efficiency of enterprise, reliability of financial reporting and compliance with appropriate regulations.

Keywords: internal control, risk, Risk Management, Traditional COSO model of internal control, revised COSO model of internal control, provisions – sections 302 and 404 of SOX

Introduction

Enterprises are open and dynamic economic systems. Exercising constant interaction with the environment, enterprises are constantly changing and developing. The complexity of the environment, as well as the complexity of the relations between the environment and the enterprise itself affect the appearance of uncertainty and risk in business. In this regard, as a response to the risk, certain control systems have developed in order to successfully manage a business enterprise and achieve its goals, respectively.

• University of Niscaron;, Faculty of Economics, jovan.krstic@eknfak.ni.ac.rs, milica.djordjevic@eknfak.ni.ac.rs UDC 657.6, review paper

Received: March 07, 2012. Accepted: May 30, 2012.

Jovаn Krstić, Milicа Đorđević

One of the most important mechanisms for reducing risk is, of course, internal control. A special emphasis of its importance was realized by designing the COSO model according to which internal control provides security for the fulfillment of the goals of an enterprise by establishing and implementing appropriate policies and procedures. In doing so, defining of separate elements of internal control - risk assessment indicates that the risk management, primarily through its identification and analysis, is a significant part of internal control. Thus, the internal control is the basis of successful resistance of the enterprise to the unfavorable consequences.

However, despite the fact that risk management has always been an integral part of internal control, development of a new concept of risk management, particularly the scandals that have afflicted the worlds largest enterprises, as well as their causes, created the need for risk to be at its center. In particular, there is a change of priorities in the sense that the establishing of an adequate risk management system of an enterprise is a precondition of its success, and the internal control based on risk is one of the most important mechanisms in the process. Accordingly, the paper first makes reference to the need and importance of enterprise risk management and then points to the internal control/traditional and revised COSO model/as an important instrument for achieving the goals of an enterprise related to the effectiveness and efficiency of business, reliability of financial reporting and compliance with applicable regulations.

The Need and Importance of Enterprise Risk Management

It is known that enterprises are constantly exposed to risk during their development. In addition, although the risk usually has a negative connotation in the sense that it implies damage or loss as a result of certain behaviors or events, it can also be viewed as an opportunity to benefit and achieve success in business. Accordingly, Risk Management Standard defines risk as “a combination of the probability of an event and its consequences” (A Risk Management Standard 2002,

1. where it is important to note that those consequences can be both negative and positive.

The fact that the risk presumes the possibility of events whose outcome is not possible to estimate with the appropriate probability, initially caused the development of aversion of the enterprises towards risk. Namely, in the past, enterprises were often inclined to avoid risk, that is, taking measures that were aimed at protecting the business from a variety of losses or damages, regardless of the level of exposure to risk. This way of business management resulted in the failure of numerous opportunities to increase value, for enterprises that are focused solely on the avoiding of the risk can maintain business continuity, but cannot advance. Growth and development can be achieved only by those enterprises that manage the risk adequately, that is, enterprises which tend to familiarize with the

152

Internal Control and Enterprise Risk Management

– From Traditional to Revised COSO Model

nature of risks that occur in the environment and the enterprise itself, holders of these risks and their intensity. It follows that the way to efficient business ma

剩余内容已隐藏，支付完成后下载完整资料

内部控制与企业风险管理——从传统COSO模型到修正COSO模型

摘 要：企业在生产经营过程中时刻面临风险，降低企业风险的最重要机制之一就是内部控制，它是管理层为了实现企业目标制定的一系列政策和程序。本文将阐述内部控制的新模式——风险导向内部控制的发展情况。本文会着重介绍修正COSO模型，它不仅是对传统风险管理模型的补充，更重要的是它可以在复杂多变的现代经济环境下及时识别、管理、监控企业风险。充分设计和应用的风险导向型内部控制制度有助于保证企业的经营效率和效果、财务报表可靠性和对法律的遵守。

关键词：内部控制；风险；风险管理；传统COSO内部控制模型；修正COSO内部控制模型；塞班斯-奥克斯利法案第302节及404节

引言

企业是开放、动态的经济系统，通过与业务环境互动不断变化发展。业务环境的复杂性、业务环境与企业之间关系的复杂性都会导致不确定性和风险的产生。作为对风险的反应，特定的控制系统被开发出来用于企业管理。

降低企业风险最重要的机制之一就是内部控制。其重要性得到充分认识的一个表现就是COSO模型的出现，根据这一模型，内部控制通过建立和实施适当的政策和程序来为企业目标的实现提供保障。内部控制的独立要素——风险评估的定义表明，风险管理，尤其是对风险的识别和分析，是内部控制的重要组成部分。

尽管风险管理一直是内部控制的一个主要组成部分，在世界最大的一些企业出现一系列财务问题以后，人们意识到风险管理必须成为内部控制的核心。建立一个适当的风险管理体系已经是企业发展的最优先事项，而以风险为导向的内部控制制度是其中最为重要的机制之一。因此，本文首先介绍企业风险管理的必要性，然后介绍企业实现其目标的重要工具：传统COSO模型和修正COSO模型。

1、企业风险管理的必要性

众所周知企业在发展过程中需要始终面对风险。尽管风险通常有着消极的含义，意味着某些行为造成的损害和损失，但是风险也可以被视作是在商业行为中获利或者取得成功的机会，因此风险管理标准将风险定义为“事件及其后果的概率组合”，需要注意的是这些后果既可能是消极的也可能是积极地。事实上风险是指结果难以确切估计的事件，这在最初导致企业主动背离风险，也就是说，在过去企业往往倾向于规避风险，采取措施保护企业免受损失，而不管暴露于风险中的程度，这样的管理方式导致企业不能把握住风险中蕴含的增值机会，因为只注重规避风险的企业虽然可以保护本来的业务，却也难以实现进一步发展。采取适当的方式管理风险的企业，也就是那些愿意深入了解出现在经济环境和企业本身的风险及其诱因、强度的企业，往往能够实现成长和发展。高效的企业管理必须直面风险，必须认识到合适的风险管理不仅可以维持企业的现有业务，还可以为企业创造附加价值。因而上世纪四五十年代规避风险的理念逐渐被新的全面风险管理理念所取代。

风险管理是用以应对未来不确定性的一种合乎逻辑、有规律可循的方法，它从对未来不确定性的评估开始，首先企业会确定未来的威胁或机会可能产生的后果（通过识别、测度风险并确定其优先级别），然后针对所确定的威胁采取应对措施，这种方法被广泛接受，因为它是应对企业所面临的的挑战的最适当方法。这一概念的基本前提是最小化不利事件带来的消极影响或者利用机会来增加企业价值，当然，企业风险管理的最主要目标是最大化企业价值增量，此外还有源于这一主要目标的其他特定目标，包括：长期维持企业在市场中的地位，稳定企业收入，确保持续发展，承担社会责任等。

最初发展形成的风险管理理念，也被称作传统方法，是指在特定业务层面为识别、管理、控制风险并分配责任，这意味着某些部门需要进行孤立的风险管理，这一方法勿略了风险是相互关联的，即使是不显著、不重要的风险也可能在特定的条件下造成巨大破坏这一事实，因此这种被称为“silo”的方法在现代商业环境中逐渐失效了。因为上述原因，在二十世纪九十年代中期，被称作ERM的全新概念诞生了。ERM代表了对传统方法进行改进的结果，它的含义是：“行业中的某个企业为了保护利益相关者的短期或长期利益而评估、控制、利用、监控风险的相关准则”。内部审计师协会对其这样描述：“企业对实现其目标有影响的机会或威胁进行识别、处理、反应、报告的结构化的、一致的、持续的过程”。对新旧方法的特点的比较如下表所示：

考虑上述的ERM概念的特点，可以得到的结论是ERM给企业面对的风险及其对企业实现目标的影响提供了更高的透明度，也为企业的计划和决策进程提供了充分的基础，因此可以将ERM合理地视作“风险管理的新范式”。

2、内部控制作为企业风险管理的工具

内部控制被认为是一个企业获得成功的必要前提。在历史上，内部控制与会计领域是紧密相联的，它包括用来保证企业财产安全性、会计记录准确性的措施，然而随着时间的推移，内部控制不再局限于会计领域，现在，内部控制被视作是“管理层为了实现特定目标而建立的一系列政策和程序”。因为内部控制是实现企业高速发展不可或缺的要素，所以各界人士一直对其抱有浓厚兴趣。

内部控制对于企业的重要性导致各种内部控制框架的诞生，其中最权威并且经过实践证明有效的是由美国反虚假财务报告委员会下属的组织发起委员会提出的COSO模型。COSO模型于1992年发表，并在1994年修正形成内部控制——整合框架，用于为内部控制系统的设计和实施提供指导，这一模型通过了充分性和有效性的检验。

COSO模型对于内部控制的定义是“一个经济实体董事会、管理层以及其他工作人员共同参与的进程，旨在为实现以下目标提供合理保证”：

（1）保证企业运作的效果和效率；

（2）保证财务报表的可靠性；

（3）保证对法律法规的遵守。

内部控制是一个持续的过程并且企业全体成员都对其负有责任，它是一个可以强有力地化解风险的机制。根据COSO框架，内部控制有五个组成要素：控制环境、风险评估、控制活动、信息系统与沟通、监督。每一个要素都对内部控制的效果有着重大影响，它们一方面为企业减少潜在风险带来的消极后果，另一方面增加了企业利用风险中的机会的可能性，内部控制的成功实施取决于下图各个元素之间的相互作用（Figure 1）：

控制环境：控制环境是整个内部控制制度的基础，它的含义是企业成员在其中实施控制活动并履行相应职责的环境。控制环境由企业的历史和文化决定，并且受到很多因素的影响（管理风格、技能、经验、员工道德价值观念等），它对内部控制制度的其他要素有着直接的影响。

风险评估：风险评估包括风险识别和风险评估。风险评估是一个经常被纳入企业规划的迭代过程，是减少和管理风险的第一步，而仔细甄别可能导致风险增加的因素比风险识别方法的选择更加重要，在对风险进行识别以后，管理层往往会评估企业受风险影响的可能性，并确定他们可以接受的风险水平，然后对管理战略和管理活动进行调整，以维持可接受的风险水平。

控制活动：控制活动包括对会影响企业目标实现的风险进行识别和应对的所有政策和程序，控制活动包括三个必须被分开管理的主要功能：授权（授予开始某些活动的权限）、保护（物理控制手段）、记录（记录控制活动的证据）。

信息系统与沟通：企业信息系统与沟通方面的建设必须与自身的实际需求相适应，企业想要做出正确的决定，除了企业自身的相关信息，外部事件、活动、环境的相关信息也很重要。此外，企业各个层级之间以及本层级当中都应该有信息沟通，并且所有人员都应该明确自己在系统中的职责。

监督：对内部控制进行监督可以完善内部控制各流程，具体而言，监督的含义是“监督或者审查内部控制系统的运行，以改善其中的薄弱环节”。监督包括日常监督（管理层日常职责）和对内部控制的定期评估，并且对内部控制的定期评估需要基于日常监督过程中对风险及内部控制有效性的评价，一直以来监督都是内部审计人员的职责，根据COSO模型，监督也是内部控制的一个重要组成部分。

根据COSO模型设计和实施内部控制可以保证内部控制制度的有效性。内部控制可以保证企业业务流程的质量，帮助实现企业经营目标，保护企业资产，充分利用企业资源，预防和发现错误等，它不仅仅是企业获得成功的先决条件，更是企业处理所面对的风险的重要工具。

但是在特别强调ERM概念的当下，特别是在许多大型跨国公司被爆出财务丑闻以后，人们意识到内部控制虽然重要，但是在风险管理进程中仅仅起到了辅助性的作用。也就是说，虽然风险评估是内部控制的一个组成部分，但是并没有得到足够的重视。因此建立以风险为导向的内部控制体系是十分必要的。

3、塞班斯法案为建立以风险为导向的内部控制体系提供的指导

本世纪初有许多诸如安然公司的大型跨国企业倒闭，而人为对财务报表进行操作是这些公司财务丑闻出现的主要原因，逐渐增加的财务丑闻表明作为对抗会计欺诈的首要防线，也就是内部控制，存在重大缺陷。为了恢复利益相关者对于财务报告的信任，必须重点关注与编制财务报告相关的内部控制。

美国于2002年通过了一项联邦法案——塞班斯-奥克斯利法案或SOX法案，该法案对上市公司管理层和董事会提出了新的要求。本法案的主要目的是建立公司管理的有效体系，要求特别注意设计和实施财务报表相关的内部控制，具体要求存在于以下几节：302节-企业对财务报告应该承担的责任；404节-内部控制的管理评估。

302节特别强调了管理层，尤其是总经理和财务负责人对于审查提供给利益相关者的财务报表以及重大交易的责任，要求他们保证相关信息在所有重大领域公允地反映了企业的财务状况和经营成果，还规定与编制财务报表相关的所有必要信息的来源必须具备有效的内部控制，除了提供完整可靠的信息以外，内部控制系统还应该保证在编制财务报告期间相关信息能够及时流动。除此以外，管理层还被要求在出具报告前90天以内评估现有的内部控制体系，这就要求管理层主动寻找内部控制存在的缺陷，并且下列事项需要向外部审计师和审计委员会披露：

（1）可能对记录、处理、汇总、报告财务数据产生不利影响的所有内部控制重大缺陷；

（2）任何有管理层或内部控制体系中关键人员参与的舞弊行为。

该节强调对内部控制缺陷以及财务舞弊行为进行及时披露，以消除这些不利事项，此外，披露中应强调在对内部控制进行评估以后采取的改变（纠正措施）是否旨在消除内部控制缺陷。

404节涉及评价内部控制系统的相关内容，这部分要求企业的年度财务报表包含一份内部控制报告，其需要包括以下的内容：

（1）明确管理层负有建立并实施良好的内部控制的责任；

（2）已经在最近一个财务年度结束时对与会计报表相关的内部控制结构和程序的有效性进行了评估。

此外，美国证券交易委员会要求这份报告除了包含内部控制有效性的结论以外，还应该对用来评估内部控制有效性的框架进行说明，委员会没有强制要求企业使用某个特定的框架，但是建议使用COSO框架。另一方面，有人指出虽然COSO框架明确了有效的内部控制应该具备的组成部分和控制目标，但是并没有为管理层评估内部控制有效性提供指导，由于这方面的原因，美国反财务欺诈委员会下属的组织发起委员会于2006年6月公布了具体的指导方针。委员会认为这一指导方针有助于企业管理层更好的理解COSO框架，以及将其应用于评价与财务报表相关的内部控制。

除了改进内部控制制度之外，管理层对内部控制运行情况进行评估也很重要，因为法律要求外部审计师就评估情况发表意见。如果外部审计师没有发现实质性的内部控制缺陷，或者虽然存在缺陷，但是管理层通过对内部控制进行评估已经识别并指出，就会出具积极意见；如果外部审计师发现内部控制缺陷或者受到管理层阻挠无法正常开展工作，就会出具消极意见。此外，根据第404节，外部审计师还应该对内部控制有效性进行独立评估。

SOX法案的相关规定无疑提高了财务报告的可靠性，这从逻辑上揭示了整合SOX法案和ERM关键原则的可能性，但是鉴于ERM的关键特征和SOX法案要求之间的差异，整合工作还是存在一些明显的困难。更具体的说，SOX法案关注的焦点是财务报告相关的内部控制，因此被批评其关注点过于狭窄，仅仅降低影响财务报告质量的风险，但是ERM概念则涉及所有类别的风险（财务、经营、战略等），着眼于公司面临的整体风险。

一些公司做出了尝试，将SOX法案的规定与ERM概念的原则相结合，但是他们的努力是徒劳的，将SOX法案的规定拓展到ERM概念被认为是不可能的。理论上如果企业执行内部控制体系的全部五个要素来保证财务报表的可靠性，那么企业使用相同的流程和机制去实现ERM的其他目标应该没有问题，尽管这一假设是合乎逻辑的，但是将SOX法案与ERM进行结合还存在一个问

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[23907]，资料为PDF文档或Word文档，PDF文档可免费转换为Word