美国的风险管理发展历程

美国的风险管理发展历程

英国的公司治理和内部控制发展历程映射出了当代风险管理的理念，而美国作为当前全球对风险管理控制最为严厉的国家，从美国具有代表意义的内部控制发展到其风险管理构架完善的过程中，更能深刻把握风险和风险管理的含义，更有助于我们全盘理解风险管理的特征。

纵观美国对风险管理的发展历程，可以如表2-2所列分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架与整体内部控制和企业全面风险管理5个不同阶段。

表2-2　美国风险管理的5个阶段

续　表

以上内部控制的各阶段的发展过程中相应重要的法案、法规和纲领性文件则如下表2-3所示。

表2-3　美国风险管理过程中的主要法规

续　表

续　表

在美国内部控制制度和风险管理的发展历程中，COSO委员会在1992年提出的报告《内部控制——整体框架》、2002年的萨班斯—奥克斯利法案和COSO在2004年颁布的《企业风险管理——整合框架》，即企业全面风险管理的框架，是最值得解读品味的。

1．1992年COSO的《内部控制——整体框架》

（1）COSO的渊源

COSO全称为“发起机构委员会”（Committee of Sponsoring Organi-zations of the Treadway Commission），是一个致力于通过商业道德、有效的内部控制和公司治理结构从而改善财务报告的美国民间组织。COSO最早成立于1985年，是“反对虚假财务报告委员会”（National Commission on Fraudulent Financial Reporting）的发起组织。该委员会由美国5个主要财务职业协会联合成立：AAA（美国会计学会）、AICPA（美国注册会计师协会）、FEI（财务经理协会）、IIA（内部审计师协会）和NAA（全国会计师协会，现为IMA、管理会计师协会），但同时，该委员会也完全独立于各主办组织，委员会委员分别来自美国各个行业、独立会计师、投资公司和纽约证券交易所（NYSE，New York Stock Exchange）。由于该委员会的第一任主席是James C．Treadway，因此通常称为Treadway委员会。

Treadway委员会研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师、SEC（美国证券交易委员会）和其他监管机构以及教育机构提供建议。在1992年，Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布了《内部控制——整体框架》（Internal Control—Integrated Framework）报告，即通称的COSO报告。该报告从当时来看，从整合的角度对企业内部控制制度进行了规范，开创了风险管理崭新的一页。

（2）COSO的内部控制——整合框架

美国的证券交易委员会（SEC，Securities and Exchange Commis-sion）对上市公司作出如是规定，管理层必须依据一个公认恰当的控制框架来制定公司的内部控制制度，防范风险并保护投资者的利益。“公认恰当”的框架必须由某一机构或团体依据既定程序的步骤来建立，并广泛接受公众的评论。美国证券交易委员会还要求一个“合适的框架”必须达到以下特质：第一，不受偏见左右；第二，允许公司合理连续地对内部控制进行定性与定量评测；第三，有完整的结构以保证任何影响公司内部控制有效性评估结论的相关因素都不被遗漏；第四，与对财务报告内部控制的评估有关。美国证券交易委员会认为COSO的内部控制——整合框架（Internal Control Integrated Framework）满足这一要求。

Treadway委员会通过COSO报告，对企业全面的内部控制制度进行了深度的阐述。整个报告涵盖了概括、框架定义（完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则）、外部报告（即为报告编制报表中的内部控制的团体提供指南的补充文件）和评价工具（提供用以评价内部控制系统的有用材料）共四个部分。

COSO内部控制——整合框架将内部控制定义为“由一个实体的董事会、管理层与其他人员所实施的一个流程，用于提供实现以下几方面目标的合理保证：第一，财务报告的可靠性；第二，运营的有效性与效率；第三，符合相关法律法规”。

图2-2　COSO三维整合框架资料来源：《COSO内部控制——整合框架》

如图2-2正方体所示，COSO的三维整合框架为管理层提供了评估内部控制所需的标准：

第一，内部控制的设计旨在合理保证实现公司以下目标：运营的有效性与效率（包括资产保护）、财务报告的可靠性以及符合相关的法律法规。

第二，内部控制制度在公司内部贯穿的范围：部门单位层（Entity Level）与行动层（Activities Level，或称流程层）。公司必须在这两个层次上对其内部控制进行评估：部门单位层、行动层或流程层。

第三，内部控制制度的五大要素包括：

●控制环境——决定公司的基调并影响着公司员工的控制意识，这是其他四大内部控制构件的基础，提供纪律与框架；

●风险评估——识别各个部门，分析实现目标的有关风险，为决定如何管理风险提供基础；

●控制活动——帮助确保管理指令得到的一些政策与程序；

●信息与沟通——在合理的时间内与方式下，支持识别、获取和交换信息以帮助员工执行其职责的程序和系统；

●监控——对内部控制实施的持续管理、评价和改进。

上述三维结构中的三个层面构成了整体的内部控制制度框架（如图2-2所示）。对其直截了当的描述就是，对于任意给定的目标（例如财务报告的可靠性），管理层必须在部门单位层与行动层（或流程层）对内部控制的五大构件进行评估。

（3）COSO报告中对公司人员在内部控制中的阐述

COSO报告在其内控框架体系中对各层次人员的控制职责作了设计。具体包括：

●管理层：公司执行总裁（CEO）最终负责整个控制系统。对于大公司而言，执行总裁可把权限分配给高级经理，并评价其控制活动。然后，高级经理具体制定控制的程序和人员责任；对于小公司而言，只要由最高经理具体执行即可。

●董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的执行。有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，杜绝有意歪曲事实来掩盖管理的缺陷。

●内部审计师：内审对评价控制系统的有效性具有重要作用，对公司的治理结构行使监管和督导职能。

●内部其他人员：明确各自的职责，提供系统所需的信息，实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。

●外部人员。公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另外如法律顾问、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。

COSO的内部控制——整合框架，将人员和内部控制结合起来，从执行的层面强调了人员在整个内部控制体系中各自的职责，进一步强调了人员和内部控制制度的融合，才是有效内控的根本。

（4）COSO框架的部门单位层应用

COSO框架的应用层面表现在两个层次上：部门单位层与行动层（或流程层）。在部门单位层，框架的五大构件会被细分为具体的属性来协助评估工作。“属性”是用来定义构件的性质，如图2-3所示。以控制环境这一构件来看，就可以用7项属性来进行描述。对于每项属性，COSO都会提出相应的“关注点”，即与本属性有关的一些更重要的问题。在控制环境中的人事政策和实践属性中，COSO就提出了下述关注点：

图2-3　从部门单位层面来解释COSO

●是否有聘用、偿付、晋升、培训与解雇员工的政策、程序和有效流程？

●员工是否了解企业希望他们扮演的角色、承担的权责和完成的业绩？

●是否清楚阐述了每位员工的控制责任？

●员工是否对个人表现负责；是否采取相应的绩效评测手段来强化员工的业绩预期？

●员工留用与晋升标准是否规定清楚；绩效评估程序是否有效？

●对违反规定与程序的做法，管理层是否采取相应的改正措施？

●是否会在必要时强化已确立的行为准则，采取惩罚性行动？

●在雇用新员工时是否核实其个人背景、经历，获得第三者意见？

但是，并非所有的关注点都一定跟每个部门/业务单位相关；某些部门/业务单位可能需要更多的关注点。COSO建议，为了对控制进行有效评估，每个公司和公司的业务部门应当根据自身的实际情况来确定关注点。例如，对一些小公司来说，由于它们的管理层经常接触日常运营事务，对业务具体情况相当了解，这些公司采用的方式就与管理阶层等级分明的大公司不同。

【相关链接】

COSO构件属性的补充说明

设计人事政策与程序的目的在于招募并留住优秀的员工，因为他们能够帮助实现公司既定目标并有效执行公司的战略。图2　3中提到的有关“人事政策与实践”的关注点仅供参考，并不是一份全面的清单。正如上文中提到那样，管理层可根据组织的自身情况提出相应的关注点，也就是说，管理层可对关注点进行增删与修改。针对每个关注点，管理层还可提出更详细更具体的问题或事项。例如，图2　3中的第一个关注点是：“是否有聘用、偿付、晋升、培训与解雇员工的政策、程序和有效流程？”对于这一点，可以提出更加详细的标准，例如：

·确保人事政策的有效沟通，公司需要：（a）招募与培养能干有诚信的人才；（b）鼓励与激励这些人才来支持有效的内部控制系统。

·在招募与培养能干有诚信的人才时，公司现有的人事程序与流程符合既定的政策，并且执行有效。

·在鼓励与激励人才支持有效的内部控制系统时，公司采用的人事制度与程序符合公司既定的政策，并且能保持执行中的有效性。

·强调招聘进入公司人员的素质，并培训他们按公司的既定制度和流程办事。

·管理层定期审阅招聘人员能力品性的要求。

·对在工作中遇到困难的员工进行辅导，或者解雇工作表现不达标的员工并在离职前当面告知原因时，都要将人事政策和这些员工进行有效沟通。

·对在工作中有困难的员工进行辅导，或者解雇工作表现不达标的员工并在离职前当面告知原因时，现行的程序和流程必须符合公司既定的政策，并且能够有效执行。

COSO框架中，对于在各个业务层面实施的内部控制的五大构件，都给出了一些属性，对于每条属性，COSO也制定出了相应的基本关注点，甚至包括更为细化的标准，以供评估之用。但同时，在业务部门层面进行评估时，COSO还作出了如下建议：

●对每个关注问题的回答都应记录下来，而对更细化的标准则无需如此。问题的回答应该基于管理层的论断，即政策、流程、合格员工、报告、方法与系统确实存在并运行有效。不应简单用“是”与“否”作答，而应具体回答各实体如何针对某项关注所采取的措施。

●管理层应该根据特定属性支持特定构件的原则，对内部控制进行有效性评估。如上文提到的那样，每个回答应提供与特定关注点有关的信息，并能够支持管理层对每项属性的评估结论。例如，管理层应当对控制环境的7项属性（包括人事政策与实践）都做出评估结论。

●对每个COSO构件做出一个整体评价。整体评价的结果应基于每个相关属性结论的累计权重。这样，管理层就可以根据控制环境的有效性做出整体评价，并以此来综合对控制环境7大属性的个别评价。

●如果对给定属性的回答是“缺乏效果”或是“需要改进”，这并不一定意味着相关构件在部门单位层面上缺乏效果。因为其他领域可能存在着补偿性的控制环节。

●如果对给定属性的回答是“缺乏效果”或是“需要改进”，管理层则须评估是否需要改进内部控制，是否需要采取相应的步骤来弥补不足？如果管理层认同这样一种观点，即公司缺乏某项或多项控制环节，而且如果在其他领域又没有相应的补救措施，那么重大控制风险的可能性就会增加，公司就必须尽快采取行动。而且，这样的情况很可能就是重大缺陷，必须向审计委员会与独立公众会计

师进行报告。

概括来说，管理层对合并报表实体的控制程度、运营与业务单元的不同类型和性质、各单元内在的不同风险，和其他一些因素，综合影响着企业内部控制体系中各个实体层面上风险控制的效果。

（5）COSO框架在行动或程序层应用

COSO框架不仅在部门单位层上应用，也同时应用于行动或流程层。比如说在评估流程层财务报告内部控制的“设计有效性”并记录评估结果时，应当对COSO的五大构件作如下考虑（参见图2-4）。

图2-4　财务报告认定和COSO构件

COSO还对业务流程层的五大构件所需要考虑的问题，罗列了诸多方面的考虑和衡量，以供企业在设定整体内部控制制度时参考之用。

●风险评估

业务流程总是面临各种各样的内外部风险。必须评估这些风险对流程目标实现的影响。流程负责人必须建立一个流程，或本身就是现有流程的某一部分，才能有效地识别与评估内外部环境中的风险。这些风险威胁到流程目标的实现。风险评估过程中建议考虑的问题如表2-4所示。

表2-4　风险评估过程中建议考虑的问题

●控制环境

流程负责人必须创造一个有效的控制环境，为流程内的控制提供制度的强制性和结构的约束性基础。这个控制环境包括控制负责人、其他负责流程执行的人员，以及这些人所工作的环境。它为这些流程的有效运作定下了基调，同时也影响着流程控制人员的控制意识。控制环境是流程内其他内部控制构件的基础。控制环境中建议考虑的问题如表2-5所示。

表2-5　控制环境中建议考虑的问题

续　表

●信息与沟通

为了解外部环境与部门单位业务流程中到底发生了什么，必须要掌握相关的可靠信息。为了保证在整个流程中传达与内部控制有关的重要信息，公司必须要设计正确的绩效评估指标和有效的沟通流程。信息与沟通过程中建议考虑的问题如表2-6所示。

表2-6　信息与沟通过程中建议考虑的问题

●控制活动

控制活动是指负责人为了将会带来负面效果风险事件的出现几率降到可接受范围之内所采用的政策、程序、报告、方法与系统。公司需要对这些行为进行指导、实施与定期评估。财务报告控制贯穿着信息流程的全过程。设计这些控制活动的目的在于阻止影响财务报告的错误与遗漏产生，或对其纠正。

在公司日常的控制活动中，一般包括普遍流程控制（Pervasive Process Controlls）与信息流程控制（Information Process Controlls）。这些控制体现在财务报告流程层控制活动中，COSO列举了下列具体且必要的措施（如图2-5所示）。

图2-5　财务报告流程层控制活动

●监控

监控注重的是评估控制活动的实施情况与控制流程的结果，确保这些情况与结果符合报告实体的目标和预定的流程运行标准。监控包括持续监控与单独评审。

在流程层面，监控工作主要是保证流程中各主要控制活动的有效性以及控制环境、风险评估和信息/沟通构件的有效性。监控包括持续监控与单独评审。持续监控包括一般商业运行中的常规管理与监督活动、比较活动、调整活动以及其他正式与非正式机制，它们为内部控制有效性提供持续的反馈。内部控制制度层面中监控层面的具体措施如表2-7所示。

表2-7　内部控制制度中监控层面的具体措施

监控需要确立获取、报告与追踪缺陷的规定与流程，以确保所有重大或潜在重大缺陷都能及时得到解决。

总而言之，COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告中内部控制制度的五个要素相辅相成，缺一不可。控制环境包括：管理哲学和经营模式，影响着员工的风险管理意识，是其他部分的基础；风险评估是确认和分析实现目标过程中相关风险的环节，指导其他内控要素的实施；控制活动回应着确认的风险，是内控制度目标的保障；信息和交流代表着公司各个层面的有效沟通，这使得对经营的控制成为了可能；而持续的监控体系则确保了整个内控制度的有效运行。

尽管COSO的定位仍然局限在内部控制，而不是真正意义上对风险全面的考量和应对，但仍然在内部控制这个相对狭小的空间带来了公司整体管理的新理念。也正是在此基础上，才催生了2004年COSO《企业风险管理——整合框架》，将风险管理演绎在企业整体的领域。

2．2002年的萨班斯—奥克斯利法案

（1）萨班斯—奥克斯利法案的成因

进入了21世纪初的美国，经济的空前繁荣却催化了另一种恶劣的造假行为。一些著名大公司接连发生财务丑闻，这些会计丑闻使得股东利益蒙受巨大损失。而且，其手段之恶劣令人瞠目结舌，使得美国公众对企业财务和股市交易产生了严重的信任危机。我们不妨再听一下这些耳熟能详的名字（参见表2-8）。

表2-8　美国21世纪初的公司造假事件

正是出于挽回投资者的信心，彻底清洗公司造假的污陋面，2002年7月美国国会通过了萨班斯—奥克斯利法案（SOX），从立法的角度，以严厉的罚则和严格的监管，来减少财务欺诈，保护投资者的利益。

（2）萨班斯—奥克斯利法案概要

总体而言，萨班斯—奥克斯利法案的目的就是规范财务报告，降低企业风险，提高投资者信心，改善投资环境，并“根据《证券法》及其他有关规定，保护投资者利益，改善公司信息披露的准确性及可靠性”。除了法案当中针对公司内控的规定，还包括以下内容：

●独立有实效的审核委员会；

●高层管理人员负责制，高层管理人员须在财务报告上签字负责；

●操守、起诉程序完全到位；

●加强审计委员会控制活动。

萨班斯—奥克斯利法案主要包括以下一系列条款（参见表2-9）。

表2-9　萨班斯—奥克斯利法案的主要条款

续　表

续　表

续　表

续　表

续　表

综合萨班斯—奥克斯利法案的所有条款，该法案是为了确保公司董事和高级管理人士的勤勉尽责，以及整个证券市场保护投资者利益的机制有效性而颁布。同时，美国证券交易委员会也建议美国的上市公司参考COSO的内部控制——整体框架来实施公司的内部控制体系，以遵循萨班斯—奥克斯利法案，特别是其中的404条款的规定。结合这些内容，萨班斯—奥克斯利法案的精髓可以通过下述各个要点来描述。

●禁止向本公司董事或高管人员提供私人贷款；在养老金计划管制

期内，公司的董事和高层管理人员不能直接或间接交易或持有该公司股票或从中获益的其他行为；对于有违反证券法规情节的有关人士，美国证监会可以禁止他们担任公司的管理人员或者董事等。

●上市公司所有定期报告（包括公司依照1934年证券交易法规定编制的会计报表）应附有公司首席执行官与首席财务官签署的承诺函；承诺函中的内容包括：确保本公司定期报告所含会计报表及信息披露的适当性，并且保证此会计报表及信息披露在所有重大方面都公正地反映了公司的经营成果及财务状况。

●在公司定期报告中若发现因实质性违反监管法规而被要求重编会计报表时，公司的CEO/CFO应当返还给公司12个月内从公司收到的所有奖金、红利、其他形式的激励性报酬以及买卖本公司股票所得收益；如果公司CEO/CFO事先知道违规事项，但仍提交承诺函，最多可以判处10年监禁，以及100万美元的罚款；对于故意做出虚假承诺的，最多可以被监禁20年并判处500万美元的罚款。

●提高财务报告披露的及时性。将年度报告期由90天缩短为60天；季度报告由45天缩短为35天。年报及季报都需要注册会计师的审计；强化上市公司内控及报告制度，要求公司年度报告中提供“内部控制报告”，说明公司内部控制制度及其实施的有效性，“内部控制报告”要出具注册会计师的意见；提高对公司信息披露可用性的要求，包括定期报告中披露所有的资产负债表外交易、财务状况的预测性信息、高层财务人员的道德守则、所有由注册会计师出具的实质性的纠正调整、临时报告中公司财务状况或财务经营状况的实质性变化等。

●公司的审计委员会必须完全由“独立董事”组成，独立董事不得是公司或者其子公司的关联人士，其中至少一人应是财务专家；独立董事不得从公司接受任何咨询费、顾问费或者其他酬金；公司聘用会计师事务所及报酬方式要由审计委员会批准，并接受审计委员会的监督；会计师事务所在审计过程中遇到的重大事项必须及时报告审计委员会；为保证审计委员会能够及时发现公司的会计和审计问题，还需要建立一套处理举报或投诉的工作程序以及相应的监测系统、反应机制。

●禁止会计师事务所在进行审计业务的同时提供非审计业务；强制实行注册会计师定期轮换制。规定会计师事务所的主审会计师，或者复核审计项目的会计师，为同一公司连续提供审计服务不得超过5年；限制注册会计师去被审公司任职；实行会计师事务所注册备案制度，规定从事上市公司审计业务的会计师事务所，必须在会计监督委员会进行注册，并且要定期更新注册信息；注册会计师有保管审计工作底稿的责任，要求会计师事务所审计上市公司的工作底稿至少保存7年。

●要求美国证券交易委员会制定相关的规定和细则，以避免证券分析师在其研究报告或公开场合向投资者推荐股票时“见利忘义”，以提高研究报告的客观性，向投资者提供更为有用和可靠的信息；规定一定期限内担任或即将担任公开发行股票承销商或坐市商（Dealers）的经纪人和交易商不得公开发布关于该股票或发行人的研究报告；在执业的经纪人和交易商内部建立制度架构体系，将证券分析师划分为复核、强制（Pressure）、监察等不同的工作部门，以避免参与投资银行业务的人员存有潜在的偏见；要求证券分析师、经纪人和交易商在研究报告公布的同时，披露已知的和应当知晓的利益冲突事项。

●任何人通过信息欺诈或价格操纵在证券市场获取利益，最多可监禁25年或处以罚款；对违法的注册会计师可被判处10年以下监禁或罚款；延长了对证券欺诈的追诉期，起诉时间可以延长至非法行为发现的2年内，或者非法行为实施后的5年内；新的规定将保护公司检举揭发的员工，对举报者进行打击报复的，最高可判处10年监禁，还规定了对举报者的具体的补偿措施，比如恢复职务、补发报酬及其他损失等。

（3）萨班斯—奥克斯利法案404条款对公司IT系统的影响

萨班斯—奥克斯利法案适用于所有在美国证券交易委员会（SEC）注册的美国上市交易的公司和有公共借款的非上市公司。萨班斯—奥克斯利法案带来了诸多新规定，是一部具有深远影响的法律。这部法案将关注点大部分放在了对财务报告相关的内控制度上。其中，影响最大的是404条款：评估内部控制。它要求公司每个年度报告都应包含“内部控制报告”，它应该具有如下部分：

●应有健全的内控结构以及财务报告程序。

●每财政年度的年报应含有真实有效、合乎规则的财务报告。

尽管萨班斯—奥克斯利法案中影响力最大的404条款基本是针对财务报告流程的，但在当前环境下，IT系统驱动着财务报告流程已经是不争的事实。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的启动、授权、记录、处理和报告一整套过程中。就其本身而言，IT系统和整个财务报告流程也是紧密联系的，因此，从某种意义上来看，遵循萨班斯—奥克斯利法案，也是对IT内部控制有效性的挑战。而其中，IT治理结构就是整个公司IT体系的灵魂。

IT治理主要用于敦促企业或者政府采取有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标。其主要使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。在IT治理中，确保IT投资的有效性和高效性是核心焦点。

正是在这个基础和萨班斯法案404条款的市场驱动下，信息及相关技术的控制目标（COBIT，Control Objectives for Information and Re-lated Technology），作为IT治理的一个开放性标准，由美国IT治理研究院开发并在市场上进行推广，已经成为国际上公认的最先进、最权威的信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认标准，以辅助公司决策层进行IT治理。该标准体系已在世界上100多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织、系统获得和实施、交付与支持，以及信息系统运行性能监控。该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用^[2]（参见图2-6）。

图2-6　COBIT模型资料来源：ISACA

（4）萨班斯—奥克斯利法案实施的短板和误区

萨班斯—奥克斯利法案推出的目的，是希望能对市场上层出不穷的财务丑闻标本兼治。然而，从法案颁布后的情况来看，萨班斯—奥克斯利法案仅仅提出了内部控制中财务报告的重要性，这就使得生产经营中的内控地位变得较为不重要，甚至被完全忽视了，这显然和会计报告的初衷大相径庭了。而且，经过几年的实践，萨班斯—奥克斯利法案404条款的执行和审计，反而徘徊到了一个欲罢不能的误区。

考问之一：正确地做事还是做正确的事。先抛开这是否是批判萨班斯—奥克斯利法案实施的伪命题，但实践中的情况确实如此。萨班斯—奥克斯利法案404条款规定的会计师必须对公司的内部控制发表意见，已经演变成为对凭证和文档的审核了。只要按照公司的规定，在形式上进行了签阅，并能够提供相应的书面审计证据，就算是404条款审计的大道了。然而，其中真正的风险，真正的可控和失控，已经被排除在外了。

考问之二：纸面工作还是风险导向。毋庸置疑，404条款审计带来最大的一个变化，除了整个公司财务人员在审计时的战战兢兢外，更大的一个不同点就是本来不需要打印成文稿的现在必须要打印了。在每一张文件上盖上了文件机密红印，并让相应的人员签上已阅字样后，这些文档背后确切的含义反而变得不怎么重要了。而企业运作真正的财务风险和业务风险，却被很大程度地忽略了。

考问之三：独立会计师对公司经营风险的把握和胜任能力。内部控制不同于一般的财务报表审计，内部控制体系更多地反映了公司对风险防范、识别、控制和管理的能力。目不转睛地注视三张财务报表，而不从公司具体的盈利模式、供应链和价值链着手，是无法对公司的内部控制制度做出合理评价的。然而，目前的404条款审计，已经几乎全盘放弃了经营风险的衡量，这不禁让人们质疑公众公司会计监察委员会和各大会计师事务所对内控制度的解读能力，让人们无法排除404条款或多或少为了解决因安达信会计师事务所倒闭而失业的众多会计师就业问题之嫌疑。

当然，市场已经看到了该法案实施中潜移默化的改变，听到了众多企业的呼声，特别是那些以灵活和创新作为核心竞争力的公司。尽管萨班斯—奥克斯利法案的内容不可能在这个大环境中改变，但是在404条款的内部控制测试外部审计师审核的实务中，正进一步朝向以风险为导向的模式转变，真正为企业带来有用的价值。

3．2004年的COSO《企业风险管理——整合框架》

早在1992年，COSO颁布了《内部控制——整合框架》（ICIF）以帮助企业实体或其他机构评估及加强其内部控制体系。自此，该内控理论框架为众多企业所广泛使用，以通过对其活动的控制更好地达到企业既定的目标，同时，该框架也为有关的政策、法规、制度等采纳。然而，进入了21世纪以来风险管理课题的日益凸显，要求一个内涵更为丰富的理论框架以有效地识别、评估与管理风险。在广泛吸收各国理论界（例如：英国的Turnbull、加拿大的COCO）和实务界（例如：银行业的BaselⅡ）等研究结果的基础之上，并且经过充分的意见征求与讨论之后，COSO将其理论体系进行了进一步的丰富与提升，并于2004年9月在《内部控制——整合框架》理论的基础之上推出了《企业风险管理——整合框架》（ERM）。

COSO这两个框架最为重要的转变在于：从纯粹的内部控制转向了以风险为导向的管理。将企业的管理重心由既定目标下的内部控制扩展至参与目标制定过程的风险管理。也就是，风险管理和企业价值链的形成机制最终在COSO的企业风险管理——整合框架中得到了淋漓尽致的演绎。因此，理解COSO两个框架的具体变化，无疑能够从本质上理解内部控制和全面风险管理的区别。

COSO的企业风险管理——整合框架并未完全抛离内部控制——整合框架所建立的内部控制理论体系，相反，它建立在内控理论的基础之上，结合萨班斯—奥克斯利法案在报告方面的要求，进行了更为多面化的扩展。但是，由于风险管理是一个比内部控制更为广泛的概念，因此，风险管理框架中的许多讨论比1992年的讨论要更为全面、深刻。毋庸置疑，风险管理是建立在内部控制框架的基础上，而内部控制则是风险管理框架必不可少的一部分。风险管理是在比内部控制更为宽泛的层面，是从企业战略制定到运作实践整体层面各个不确定因素管理进而产生价值的整个流程。

从内部控制整体框架基础之上发展起来的企业风险管理框架，尽管已经有所不同，但其内在联系是显而易见的：如图2-7所示，新框架虽然在企业整体各个层面的不同维度有了内容的增减变化，但是，基本结构仍旧采用与内部控制模型相同的三维立体形式。

图2-7　COSO两个框架的比较

这种多维立体的表现形式，有助于全面深入地理解控制和管理对象，分析解决管理控制中存在的复杂问题。更为重要的是，这种多维立体的魔方还蕴藏着“全息论”的概念：控制/管理要素（正面维度）和目标（上面维度）是紧密相联的，就像一个人体的细胞包含了人体的各种信息那样，组织中的任何一个机构、一项业务或一位成员（侧面维度）都应包含或反映出该组织中的目标和控制/管理要素等各种信息。而企业能否健康发展，就好像人体如何才能保持健康的问题一样，其答案通常只有一个：只有细胞与细胞之间的和谐统一，承载人体的正常信息而没有出现突变/例外时，人体才是处于健康状态的。

从上文的简单比较来看，风险管理——整体框架较内部控制——整体框架最为重要的突破在于概念上的一大飞跃和升华，从其纯粹的控制概念发展至以风险为导向的管理概念。这些变化，具体表现在下面的各个方面。

（1）概念的扩大

从内部控制向风险管理概念的变化，是COSO理论框架的重大突破。尽管迄今为止，理论界对于管理概念的解释还存在认识上的差异尚未统一，但基本概念并无矛盾，即：管理是指一定组织中的管理者，通过实施计划、组织、人员配备、指导与领导、控制等职能来协调他人的活动，使别人同自己一起实现既定目标的活动过程。从理论定义看，控制属于管理的一个重要方面，是确保活动执行的一种手段，但并不涉及目标的设定等决策行为；而管理则更为广泛，覆盖了从开始的决策，到最终的执行等各方面的活动。

控制与管理作为确保COSO内部控制——整合框架和企业风险管理——整合框架新旧两个理论框架得以有效运行的不同手段，决定了全面风险管理较内控框架更有前瞻性与预防性，不仅解决了内部控制所关注的事件执行流程，即“将事情做正确”，更在事情的选择阶段就发挥了作用，即要“做正确的事情”。

（2）目标的发展

●层次与内涵的提升。从目标纬度的数量上看，风险管理——整合框架比内部控制——整合框架增加了一个目标——战略目标。该目标的层次比其他三个目标（即：经营、报告和合规目标）更高。战略目标源自企业的使命、愿景、价值观，其余三个目标都是战略目标的具体表现。企业的风险管理既应用于实现企业其他三类目标的过程中，又应用于企业的战略制定阶段。如前文“总体说明”中所谈及的，风险管理——整合框架较内部控制——整体框架的突破在于其层次与内涵的提升，也就是“概念扩大”中所阐述的将“内部控制”概念扩大至“风险管理”，这一概念突破在框架中的具体体现就是战略目标的引入。

要清楚上文的理解，有必要先明确企业风险管理框架中四个目标的概念与相互之间的关系。

如前文所述战略目标源自企业使命、愿景、价值观。使命是企业存在的原因，是企业的目的。它给我们提供了方向，而不是具体工作。愿景是未来所创造的图画，回答“企业将成为什么”的问题，是实实在在的目标。价值观是在我们追寻使命过程中的生活方式，回答“企业如何采取行动”的问题，是企业决策时的试金石。如果单纯地从目标体系看，使命、愿景、价值观是企业第一层面的目标，是企业生存、发展的基石。在此基础之上确定的战略目标，属于第二层面的目标，是对第一层面目标的具体阐述，也就是我们通常所说的企业长远和整体的计划规划。相关目标（经营、报告、合规）则是战略目标的进一步细化，经营目标讲述的是企业短期内要做什么的问题，而在解决该问题的过程中，外界环境决定了企业不能为实现此目标而不遵从所处环境的相关法规，而内部环境（比如管理层/股东的决策需求）也决定了企业不能违反数据信息的可靠性、完整性和及时性。

之所以引入战略目标，我们也可以换种角度进行理解。借鉴“零缺陷”管理中的“质量免费”的概念，我们知道对企业来说“钱”始终是考虑的重点。这个“钱”不仅是节约，更重要的是增加。如果可以采取“预防”的体系，可以让每一个人在做每一件事时都建立风险的意识，他们就会“一次把事做对”，这样对企业来说实际上并看不出在风险管理上支付了成本，但风险管理已经自动在公司运作了。如果不从战略开始，如果不从公司层面开始，如果不从文化开始，企业是不可能做到“风险免费”的。从这一点出发，我们可以作出如下判断：有效的管理一定是能创造效益的，不可能仅仅是一个单纯的成本。

●范围的扩大。对于风险管理中低于战略目标的三个相关目标，除报告目标之外的两个目标与内部控制（也将企业的目标分为三类：经营、财务报告和合法性目标）一致。内控框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而风险管理框架中的报告目标的范围则有很大的扩展。报告目标覆盖了企业编制的所有报告：既包括供企业内部管理者使用的报告，也包括向外部提供的报告，比如说法定报告，也包括向其他利益相关者提供的非法定报告；既包括财务信息，也包括非财务信息。

（3）操作性的提升

●应用范围的扩展。相对于“内部控制”的概念而言，风险管理的核心概念“风险管理”的应用范围更为广泛。如前文所述，风险管理既可以应用于实现企业其他三类目标的过程中，又可以应用于企业的战略制定阶段，目的在于将管理活动拓展至决策层面，从而为企业的决策提供有效支持，确保企业“做正确的事”；而内控框架中的核心概念“内部控制”则更侧重于执行层面，通过内部控制活动以避免与既定目标发生偏离，其目的在于确保企业“将事情做正确”。从这一点来看，风险管理的应用范围较内部控制有了关键性的扩展。这种理论的发展，恰恰是因为有鉴于近年多数重大商业案件，对其追根溯源，往往最终都聚焦在来自于决策层面的失误。

●风险度量的精确。针对风险的度量，ERM引入了两个新概念：风险偏好（Risk Appetite）和风险容忍度（Risk Tolerances），从而，更有助于管理层进行目标的制定/选择，以及风险的管理工作。从广义上看，风险偏好是指企业在实现其使命/愿景的过程中愿意接受的风险的金额。在企业战略目标、相关目标制定阶段所进行的风险管理工作的一部分，就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险容忍度是指在企业目标实现的过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。将风险控制在风险容忍度之内能够在更大程度上保证企业的风险被控制在风险偏好的范围内，也就能够从更高程度上保证企业目标的实现。

●风险评价角度的深化。相对于COSO内部控制框架，企业风险管理框架提出一个新的观念——风险组合观（An Entity-level Portfolio View of Risk）。除单独考虑各个风险因素之外，企业风险管理框架认为更有必要从总体的、组合的角度理解风险。ERM要求企业管理者以风险组合的观点看待风险，对相关联的风险进行识别并采取措施使企业所承担的风险组合在风险偏好的范围内。举个简单的例子，对企业内每个业务单元而言，其风险可能落在该业务单元的风险容忍度范围内，但从企业总体来看，风险组合的风险可能超过企业总体的风险偏好范围。因此，有必要从企业整体角度看待风险组合。

（4）要素的发展

全面风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险对策”。此外，针对企业将管理的重心移至风险管理，全面风险管理框架更加深入地阐述了其他要素的内涵，并扩大了相关要素的范围。

●内部环境（Internal Environment）。较ICIF对于公司治理环境要素侧重于与控制相关的要素，比如：诚信（Integrity）、能力（Competence）等而言，ERM所关注的环境要素更为广泛。在企业环境要素中，全面风险管理旗帜鲜明地提出了风险的概念。比如，在探讨环境要素的构成时，全面风险管理更直接地关注风险管理哲学。所谓的风险管理哲学，是指公司内部针对企业如何看待风险而共有的态度、信仰等，它反映了企业的价值观并且影响企业的文化与经营风格。如前文所述，内部环境也包含了企业的风险偏好概念。而这些在内部控制框架中未曾提及。又如，考虑到董事会及其下属委员会的重要性，在内部控制框架所要求的董事会中至少有两名独立董事的基础之上，全面风险管理进一步提升了该方面的要求，绝大多数的董事会成员应该为外部独立董事，以达到更为有效地进行企业风险管理的目的。

●目标制定（Objective Setting）。如前文所述，风险管理框架较内部控制框架的一个重大拓展即在于：突破了内部控制仅仅局限于执行层面，而不涉及决策层面的状况。风险管理由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤。

●事件识别（Event Identification）。风险管理框架和内部控制框架都承认风险来自企业内、外部各种因素，而且可能在企业的各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。但是，全面风险管理深入探讨了潜在事件的概念，将潜在事件定义为来自企业内部和外部资源的，可能影响企业战略执行和目标实现的一件或者一系列偶发事件。存在潜在积极影响的事件代表机遇，而存在潜在负面影响的事项则称为风险。全面风险管理框架介绍了识别潜在事件的一系列方法和技术，这些方法和技术充分考虑了企业的过去和发展趋势，同时，该框架还包括如何探究潜在事件发生的原因。

●风险评估（Risk Assessment）。风险管理框架和内部控制框架都提倡通过评估特定风险发生的可能性和潜在影响来评估风险，但风险管理建议更加透彻地看待风险管理，即从固有风险和剩余风险的角度来看待风险，对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项的分布等技术来分析。企业风险管理框架还要求注意相互关联的风险，确定一件单一的事项如何为企业带来多重的风险。正如前面所说，企业风险管理需要管理者建立一种企业总体层面上的风险组合观。在风险评估方面体现为，在各业务单位的单位层面、职能部门、流程或相应的其他活动负责的管理者对其风险应进行综合评估后，企业高层管理者就能运用风险组合的方式从企业总体层面上考虑相互关联的风险和企业的总风险。

●风险反应（Risk Response）。风险管理框架提出对风险的四种反应方案——规避、降低、共担和承担风险。作为风险管理的一部分，管理者应比较不同反应方案的潜在影响，并且在确保剩余风险处于企业风险容忍度范围内的前提下，考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后，企业管理者应从总体的角度考虑企业选择的风险反应方案组合对企业的总体影响。

●控制活动（Control Activities）。两个框架都将控制活动定位为确保企业管理者所做出的风险反应得到执行。风险管理框架明确指出，在一些情况下，控制活动本身就是风险反应。

●信息和沟通（Information and Communications）。全面风险管理扩大了企业信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、计划和预期相比较，以深入了解企业在过去不断变化的市场条件下是如何经营的；现在状况的数据可以向企业管理者提供更多重要的信息；而未来潜在事项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据，其收集数据的详细程度则视企业风险识别、评估和反应的需要而定，并保证将风险维持在风险偏好的范围内。

（5）相关角色、责任的变化

此外，由于各管理层是企业风险管理（或者内部控制）的组成部分，并为企业的风险管理（或者内部控制）提供信息，因此，两个框架对不同管理层的地位和责任都比较关注。但相对于内部控制——整合框架，风险管理框架提出设立新的风险管理部门并规定了风险管理官的地位和职责，同时扩大了董事会的职责。

总的来讲，新的框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现并在企业战略制定阶段就予以考虑，而企业在对其下属部门进行风险管理时，应对风险进行加总，从组织的顶端、以一种全局的风险组合观来看待风险。此外，根据风险管理的需要，对企业目标进行重新的分类，明确战略目标在风险管理中的地位。

从内部控制整体框架基础之上发展起来的企业全面风险管理框架，是COSO的理论体系自身与时俱进的结果。1992年的内部控制整体框架，将企业置身于相对封闭的内部控制体系，主要侧重于通过单纯的内部控制来确保企业经营活动执行层面的可靠、有效，而并未过多关注企业因所面对外部日新月异的变化而带来的方向性的选择问题，当然，这也是内部控制整体框架本身固有缺陷（如目标制定等决策活动并非内控所关注的范围）所导致的必然结果。2004年的全面风险管理框架，则将前一理论所依赖的控制手段提升到以风险为导向的管理手段。这一根本性的变化，标志着以此理论框架为管理思路的企业打破了原先封闭的内部控制体系，借助以风险为导向的全面风险管理活动来提高企业决策的能力，从而更好地面对开放的、日新月异的外部环境所带来的挑战，最终实现企业价值的最大化。