ERM框架下财务报告内部控制的设计

时间:2020-10-19 12:22:49 财务管理毕业论文 我要投稿

ERM框架下财务报告内部控制的设计

包括安然、世通、施乐在内的一系列财务丑闻不仅经济使投资者蒙受巨大的损失,也暴露出美国企业在内部控制方面的缺陷。美国社会要求企业改善治理结构、进步企业风险治理能力的呼声日益高涨。在这一背景下,美国国会于2002年7月25日通过了《2002年萨班斯-奥克斯利法案》(Sarbanes-Oxley Act of 2002),又称《2002年公众公司会计和投资者保***》,其中的404条款要求上市公司治理当局对内部控制的有效性进行表露,注册会计师对上市公司内部控制的效果进行审计。国际著名的反虚假财务报告委员会也于2004年年底针对企业界频繁发生的高层治理职员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告,即《企业风险治理——总体框架》 ( Enterprise Risk Management , 简称ERM) 。此报告固然保存了传统内部控制的某些概念,但不论在框架上还是在要素方面,均有相当大的突破。
(一)ERM 扩展了内部控制目标的范围和深度。1992 年COSO 内部控制目标主要包括财务报告的可靠性、经营活动的效率效果、法律法规的遵循性。ERM 框架又在此基础上将“财务报告的可靠性”发展为“报告的可靠性”,将企业的所有报告涵盖在内部控制目标范围内,在报告目标中增加了“保护资产”的内容,并提出了战略目标。
(二)ERM 框架深化和拓展了内部控制的要素。1994 年COSO 的修订报告提出了内部控制的五个要素:控制环境、风险评估、控制活动、信息和沟通、监视。而ERM框架通过引进事项和机会的概念,对这五个要素进行了深化和拓展,将其演变为八个要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。一个事项会对企业产生正面的影响,也可能产生负面的影响,正面的影响对于企业来说意味着机会,而负面的影响则意味着风险。在ERM 框架下,企业首先设定目标,治理层识别出可能影响目标实现的事项;接着,根据风险可能产生的影响区分是风险和机会,假如是风险,则进行风险评估;最后,根据治理层的风险偏好和风险容忍程度,对风险采取措施,包括规避、接受、减少和共担。
(三)ERM 框架下治理者任务的变化。在ERM 框架下,CEO 必须识别目标和战略方案,并且将其分类为战略目标、经营目标、报告目标和合规性目标四类。每一个业务单元、分部、子公司的领导都需要识别各自的目标,并与企业的总体目标相联系。设定目标后,治理层就需要对影响风险的事项进行识别,评估产生负面影响的事项风险大小,并采取相应的控制措施。
(四)ERM 框架实现了内部控制与风险治理的同一。ERM框架以为,企业风险治理包含内部控制,内部控制是企业风险治理的重要组成部分。在实际经营过程中,风险治理与内部控制是密不可分。在企业内部的不同层次,风险治理与内部控制的重要性应该各所不同。例如在战略风险控制方面,风险治理应该发挥主导性作用,内部控制起配合作用;然后从战略风险到经营风险、财务风险,最后到财务报告,风险治理与内部控制的相对重要性逐步发生逆转,直到到财务报告层次,内部控制发挥主导作用,风险治理起配合作用。



注:正面是控制要素,顶部是控制目标,侧面是控制层次。
ERM 框架涉及的内部控制范围广泛,既包括企业战略层面的内部控制,也包括经营层面和报告层面的内部控制。固然战略层面和经营层面内部控制缺失有可能导致企业经营不善,成为财务报告舞弊的诱因,但这种影响是间接的,报告控制还是投资者关注的重点,同时也是评估内部控制有效性的重点,即内部控制主要还是对财务报告的可靠性提供公道保证的报告控制。本文结合某公司销售业务的情况,说明ERM 框架下报告内部控制的设计方法。
(一)内部环境。销售部和财务部的内部控制环境由以下要素组成:员工的职业技能水平、员工的职业道德、客户、信息应用系统、风险偏好和风险承受能力等。该公司治理层采取稳健谨慎的'经营态度,风险偏好程度为低,风险承受能力也较低。