ERM框架下财务报告内部控制的设计

ERM框架下财务报告内部控制的设计 包括安然、世通、施乐在内的一系列财务丑闻不仅经济使投资者蒙受巨大的损失，也暴露出美国企业在内部控制方面的缺陷。美国社会要求企业改善治理结构、提高企业风险管理能力的呼声日益高涨。在这一背景下，美国国会于2002年7月25日通过了2002年萨班斯-奥克斯利法案Sarbanes-Oxley Act of 2002，又称2002年公众公司会计和投资者保护法，其中的404条款要求上市公司管理当局对内部控制的有效性进行披露，注册会计师对上市公司内部控制的效果进行审计。国际着名的反虚假财务报告委员会也于2004年年底针对企业界频繁发生的高层管理人员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO报告，即企业风险管理总体框架 Enterprise Risk Management ， 简称ERM 。此报告虽然保留了传统内部控制的某些概念，但不论在框架上还是在要素方面，均有相当大的突破。 ERM 扩展了内部控制目标的范围和深度。1992 年COSO 内部控制目标主要包括财务报告的可靠性、经营活动的效率效果、法律法规的遵循性。ERM 框架又在此基础上将“财务报告的可靠性”发展为“报告的可靠性”，将企业的所有报告涵盖在内部控制目标范围内，在报告目标中增加了“保护资产”的内容，并提出了战略目标。 ERM 框架深化和拓展了内部控制的要素。1994 年COSO 的修订报告提出了内部控制的五个要素控制环境、风险评估、控制活动、信息和沟通、监督。而ERM框架通过引进事项和机会的概念，对这五个要素进行了深化和拓展，将其演变为八个要素，包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。一个事项会对企业产生正面的影响，也可能产生负面的影响，正面的影响对于企业来说意味着机会，而负面的影响则意味着风险。在ERM 框架下，企业首先设定目标，管理层识别出可能影响目标实现的事项；接着，根据风险可能产生的影响区分是风险和机会，如果是风险，则进行风险评估；最后，根据管理层的风险偏好和风险容忍程度，对风险采取措施，包括规避、接受、减少和共担。 ERM 框架下管理者任务的变化。在ERM 框架下，CEO 必需识别目标和战略方案，并且将其分类为战略目标、经营目标、报告目标和合规性目标四类。每一个业务单元、分部、子公司的领导都需要识别各自的目标，并与企业的总体目标相联系。设定目标后，管理层就需要对影响风险的事项进行识别，评估产生负面影响的事项风险大小，并采取相应的控制措施。 ERM 框架实现了内部控制与风险管理的统一。ERM框架认为，企业风险管理包含内部控制，内部控制是企业风险管理的重要组成部分。在实际经营过程中，风险管理与内部控制是密不可分。在企业内部的不同层次，风险管理与内部控制的重要性应该各所不同。例如在战略风险控制方面，风险管理应该发挥主导性作用，内部控制起配合作用；然后从战略风险到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性逐步发生逆转，直到到财务报告层次，内部控制发挥主导作用，风险管理起配合作用。 注正面是控制要素，顶部是控制目标，侧面是控制层次。 ERM 框架涉及的内部控制范围广泛，既包括企业战略层面的内部控制，也包括经营层面和报告层面的内部控制。虽然战略层面和经营层面内部控制缺失有可能导致企业经营不善，成为财务报告舞弊的诱因，但这种影响是间接的，报告控制仍是投资者关注的重点，同时也是评估内部控制有效性的重点，即内部控制主要还是对财务报告的可靠性提供合理保证的报告控制。本文结合某公司销售业务的情况，说明ERM 框架下报告内部控制的设计方法。 内部环境。销售部和财务部的内部控制环境由以下要素组成员工的职业技能水平、员工的职业道德、客户、信息应用系统、风险偏好和风险承受能力等。该公司管理层采取稳健谨慎的经营态度，风险偏好程度为低，风险承受能力也较低。 目标设定。根据客户的信用等级对不同客户给予不同的信用政策，并对所有的定单进行审核；经过审核的定单都已发货，并保证将正确的货物送到正确的客户手中，对已发出的货物记录正确；所有已发出的货物都已开出正确的发票；对收到的货款正确及时入账，保证总分类账的及时的及时性和正确性。 事项识别。不同事项对企业造成的影响是不同，如企业没有定单中客户要求的货物，一方面会影响企业的信誉，使企业失去已有的客户，对企业来说意味着风险；另一方面，也为企业提供了市场信息，对企业来说意味着机会，企业应及时组织生产或采购。 表1 各种事项对企业的影响 风险评估。通过事项识别确定风险后，企业需要对已识别出的风险进行分析，确定风险发生的可能性和影响程度。风险分析方法可以分为定量分析法和定性分析法。定性分析法主要依赖于分析者的个人知识、经验和对风险的理解、判断。实务中，对风险发生的可能性和影响程度通常采用定性分级的方法，如高、中、低等。该公司风险评估如表2所示 风险反应。根据风险发生的可能性和影响程度，可以确定各风险项目的重要程度，对重要程度高的项目要优先采取控制措施。管理层在企业战略目标的指引下，根据风险偏好和承受力来选择应对风险的控制方法如表3所示。 控制活动。企业收到定单后，应将定单编号；然后由销售部专人审核定单，如无存货，应立即通知采购部采购；考察客户的信用情况，并确定对该客户的信用政策；由销售部主管复核定单和授信情况；根据审核后的定单填报发货单，发货单应连续编号；将审核后的定单传递给财务部，发货单传递给仓库，由两名仓库保管员签字发货，并要求客户签收回执；将发货单传递给财务部，财务部核对定货单和发货单后为客户开具发票，由财务部经理在授权范围内复核签字；财务部将回款情况及时反馈给销售部，作为客户的信用资料保存。 信息和沟通。企业管理层应向各级部门和人员宣传企业文化，使他们了解企业的风险管理方法、企业对风险的态度和内部控制制度，知道自己所承担的责任，并与他们及时交换信息。各部门应注意采用电子邮件、电话会议、部门会议等多种方式收集企业外部信息和内部信息。 监控。各部门应进行月度绩效考评，并召开月度部门绩效考评会议，由财务部将公司有关规章制度和政策转化为具体的数字指标，实际工作成果与指标之间的差距就是下一步工作改进和提高的目标，也就是一个“差异调查纠正偏差再调查再纠正偏差”循环往复的过程。