ERM框架下財務報告內部控制的設計

ERM框架下財務報告內部控制的設計

包括安然、世通、施樂在內的一系列財務丑聞不僅經濟使投資者蒙受巨大的損失，也暴露出美國企業在內部控制方面的缺陷。美國社會要求企業改善治理結構、進步企業風險治理能力的呼聲日益高漲。在這一背景下，美國國會于2002年7月25日通過了《2002年薩班斯-奧克斯利法案》(Sarbanes-Oxley Act of 2002)，又稱《2002年公眾公司會計和投資者保***》，其中的404條款要求上市公司治理當局對內部控制的有效性進行表露，注冊會計師對上市公司內部控制的效果進行審計。國際著名的反虛假財務報告委員會也于2004年年底針對企業界頻繁發生的高層治理職員舞弊現象，廢除了沿用很久的企業內部控制報告，頒布了一個概念全新的COSO報告，即《企業風險治理——總體框架》 ( Enterprise Risk Management ， 簡稱ERM) 。此報告固然保存了傳統內部控制的某些概念，但不論在框架上還是在要素方面，均有相當大的突破。
（一）ERM 擴展了內部控制目標的范圍和深度。1992 年COSO 內部控制目標主要包括財務報告的可靠性、經營活動的效率效果、法律法規的遵循性。ERM 框架又在此基礎上將“財務報告的可靠性”發展為“報告的可靠性”，將企業的所有報告涵蓋在內部控制目標范圍內，在報告目標中增加了“保護資產”的內容，并提出了戰略目標。
（二）ERM 框架深化和拓展了內部控制的要素。1994 年COSO 的修訂報告提出了內部控制的五個要素：控制環境、風險評估、控制活動、信息和溝通、監視。而ERM框架通過引進事項和機會的概念，對這五個要素進行了深化和拓展，將其演變為八個要素，包括內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控。一個事項會對企業產生正面的影響，也可能產生負面的影響，正面的影響對于企業來說意味著機會，而負面的影響則意味著風險。在ERM 框架下，企業首先設定目標，治理層識別出可能影響目標實現的事項；接著，根據風險可能產生的影響區分是風險和機會，假如是風險，則進行風險評估；最后，根據治理層的風險偏好和風險容忍程度，對風險采取措施，包括規避、接受、減少和共擔。
（三）ERM 框架下治理者任務的變化。在ERM 框架下，CEO 必須識別目標和戰略方案，并且將其分類為戰略目標、經營目標、報告目標和合規性目標四類。每一個業務單元、分部、子公司的領導都需要識別各自的目標，并與企業的總體目標相聯系。設定目標后，治理層就需要對影響風險的事項進行識別，評估產生負面影響的事項風險大小，并采取相應的控制措施。
（四）ERM 框架實現了內部控制與風險治理的同一。ERM框架以為，企業風險治理包含內部控制，內部控制是企業風險治理的重要組成部分。在實際經營過程中，風險治理與內部控制是密不可分。在企業內部的不同層次，風險治理與內部控制的重要性應該各所不同。例如在戰略風險控制方面，風險治理應該發揮主導性作用，內部控制起配合作用；然后從戰略風險到經營風險、財務風險，最后到財務報告，風險治理與內部控制的相對重要性逐步發生逆轉，直到到財務報告層次，內部控制發揮主導作用，風險治理起配合作用。



注：正面是控制要素，頂部是控制目標，側面是控制層次。
ERM 框架涉及的內部控制范圍廣泛，既包括企業戰略層面的內部控制，也包括經營層面和報告層面的內部控制。固然戰略層面和經營層面內部控制缺失有可能導致企業經營不善，成為財務報告舞弊的誘因，但這種影響是間接的，報告控制還是投資者關注的重點，同時也是評估內部控制有效性的重點，即內部控制主要還是對財務報告的可靠性提供公道保證的報告控制。本文結合某公司銷售業務的情況，說明ERM 框架下報告內部控制的設計方法。
（一）內部環境。銷售部和財務部的內部控制環境由以下要素組成：員工的職業技能水平、員工的職業道德、客戶、信息應用系統、風險偏好和風險承受能力等。該公司治理層采取穩健謹慎的經營態度，風險偏好程度為低，風險承受能力也較低。
（二）目標設定。根據客戶的信用等級對不同客戶給予不同的信用政策，并對所有的定單進行審核；經過審核的定單都已發貨，并保證將正確的貨物送到正確的客戶手中，對已發出的貨物記錄正確；所有已發出的貨物都已開出正確的發票；對收到的貨款正確及時進賬，保證總分類賬的及時的及時性和正確性。
（三）事項識別。不同事項對企業造成的影響是不同（具體見表1），如企業沒有定單中客戶要求的貨物，一方面會影響企業的信譽，使企業失往已有的客戶，對企業來說意味著風險；另一方面，也為企業提供了市場信息，對企業來說意味著機會，企業應及時組織生產或采購。
表1 各種事項對企業的影響

（四）風險評估。通過事項識別確定風險后，企業需要對已識別出的風險進行分析，確定風險發生的可能性和影響程度。風險分析方法可以分為定量分析法和定性分析法。定性分析法主要依靠于分析者的個人知識、經驗和對風險的理解、判定。實務中，對風險發生的可能性和影響程度通常采用定性分級的方法，如高、中、低等。該公司風險評估如表2所示：
（五）風險反應。根據風險發生的可能性和影響程度，可以確定各風險項目的重要程度，對重要程度高的項目要優先采取控制措施。治理層在企業戰略目標的指引下，根據風險偏好和承受力來選擇應對風險的控制方法(如表3所示)。
（六）控制活動。企業收到定單后，應將定單編號；然后由銷售部專人審核定單，如無存貨，應立即通知采購部采購；考察客戶的信用情況，并確定對該客戶的信用政策；由銷售部主管復核定單和授信情況；根據審核后的定單填報發貨單，發貨單應連續編號；將審核后的定單傳遞給財務部，發貨單傳遞給倉庫，由兩名倉庫保管員簽字發貨，并要求客戶簽收回執；將發貨單傳遞給財務部，財務部核對定貨單和發貨單后為客戶開具發票，由財務部經理在授權范圍內復核簽字；財務部將回款情況及時反饋給銷售部，作為客戶的信用資料保存。
（七）信息和溝通。企業治理層應向各級部分和職員宣傳企業文化，使他們了解企業的風險治理方法、企業對風險的態度和內部控制制度，知道自己所承擔的責任，并與他們及時交換信息。各部分應留意采用電子郵件、電話會議、部分會議等多種方式收集企業外部信息和內部信息。
（八）監控。各部分應進行月度績效考評，并召開月度部分績效考評會議，由財務部將公司有關規章制度和政策轉化為具體的數字指標，實際工作成果與指標之間的差距就是下一步工作改進和進步的目標，也就是一個“差異調查—糾正偏差—再調查—再糾正偏差”循環往復的過程。

【ERM框架下財務報告內部控制的設計】相關文章：

風險管理框架下的內部審計03-23

從財務報告信息供給鏈看內部控制和財務報告的關系01-09

淺論內部審計與內部控制的關系03-02

關于內部控制中的內部監視03-21

基于戰略控制的內部控制模式03-22

淺析內部控制執行12-04

內部控制審計經典論文05-23

內部控制的發展與創新03-21

內部控制環境的研究03-21