COSO内部控制与企业风险管理.pdfVIP

COSO内部控制与企业风险管理

COSO内部控制与企业风险管理

1985年，由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人

协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务

报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原

因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO

（CommitteeofSponsoringOrganization，COSO）委员会，专门研究内部

控制问题。1992年9月，COSO委员会发布《内部控制整合框架》（COSO-IC），

简称COSO报告，1994年进行了增补。这些成果马上得到了美国审计署(GAO)

的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了

《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部

控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在

业内倍受推崇，在美国及全球得到广泛推广和应用。

→在《COSO内部控制整合框架》中，内部控制定义为：由一个企业的董事会、

管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告

的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。《COSO内部

控制整合框架》把内部控制划分为五个相互关联的要素，分别是（1）控制环境；

（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。每个要素均承载

三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。

→自1992年美国COSO委员会发布《COSO内部控制整合框架》以来，该框

架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些

改进建议，强调内部控制整合框架的建立应与企业风险管理相结合。2002年颁

布的萨班斯法案也要求上市公司全面关注风险，加强风险管理，在客观上也推

动了内部控制整体框架的进一步发展。与此同时，COSO委员会也意识到《内

部控制整合框架》自身也存一些问题，如过分注重财务报告，而没有从企业全

局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素，新框

架必须出台以适应发展需求。

→2003年7月，美国COSO委员根据萨班斯法案的相关要求，颁布了“企业风

险管理整合框架”的讨论稿(Draft)，该讨论稿是在《内部控制整合框架》的基础

上进行了扩展而得来的，2004年9月正式颁布了《企业风险管理整合框架》

（COSO-ERM），标志COSO委员会必威体育精装版的内部控制研究成果面世。

→COSO企业风险管理的定义：“企业风险管理是一个过程，受企业董事会、

管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在

为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保

证。”COSO-ERM框架是一个指导性的理论框架，为公司的董事会提供了有关

企业所面临的重要风险，以及如何进行风险管理方面的重要信息。企业风险管

理本身是一个由企业董事会、管理层、和其他员工共同参与的，应用于企业战

略制定和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事

项并在其风险偏好范围内进行多层面，流程化的企业风险管理过程，它为企业

目标实现提供合理保证。

→在内部控制整合框架五个要素的基础上，COSO企业风险管理的构成要素增

加到八个：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）

风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，

贯穿于企业风险管理的过程中

COSO是全国虚假财务报告委员会下属的发

起人委员会（TheCommitteeofSponsoring

OrganizationsofTheNational

CommissionofFraudulentFinancial

Reporting）