ERM框架下财务报告内部控制的设计

包括安然、世通、施乐在内的一系列财务丑闻不仅使投资者蒙受巨大的损失，也暴露出美国在内部控制方面的缺陷。美国社会要求企业改善治理结构、提高企业风险管理能力的呼声日益高涨。在这一背景下，美国国会于2002年7月25日通过了《2002年萨班斯-奥克斯利法案》(Sarbanes-Oxley Act of 2002)，又称《2002年公众公司和投资者保护法》，其中的404条款要求上市公司管理当局对内部控制的有效性进行披露，注册会计师对上市公司内部控制的效果进行审计。国际著名的反虚假财务报告委员会也于2004年年底针对企业界频繁发生的高层管理人员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO报告，即《企业风险管理——总体框架》 ( Enterprise Risk Management ， 简称ERM) 。此报告虽然保留了传统内部控制的某些概念，但不论在框架上还是在要素方面，均有相当大的突破。
（一）ERM 扩展了内部控制目标的范围和深度。1992 年COSO 内部控制目标主要包括财务报告的可靠性、经营活动的效率效果、法规的遵循性。ERM 框架又在此基础上将“财务报告的可靠性”为“报告的可靠性”，将企业的所有报告涵盖在内部控制目标范围内，在报告目标中增加了“保护资产”的内容，并提出了战略目标。
（二）ERM 框架深化和拓展了内部控制的要素。1994 年COSO 的修订报告提出了内部控制的五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。而ERM框架通过引进事项和机会的概念，对这五个要素进行了深化和拓展，将其演变为八个要素，包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。一个事项会对企业产生正面的影响，也可能产生负面的影响，正面的影响对于企业来说意味着机会，而负面的影响则意味着风险。在ERM 框架下，企业首先设定目标，管理层识别出可能影响目标实现的事项；接着，根据风险可能产生的影响区分是风险和机会，如果是风险，则进行风险评估；最后，根据管理层的风险偏好和风险容忍程度，对风险采取措施，包括规避、接受、减少和共担。
（三）ERM 框架下管理者任务的变化。在ERM 框架下，CEO 必需识别目标和战略方案，并且将其分类为战略目标、经营目标、报告目标和合规性目标四类。每一个业务单元、分部、子公司的领导都需要识别各自的目标，并与企业的总体目标相联系。设定目标后，管理层就需要对影响风险的事项进行识别，评估产生负面影响的事项风险大小，并采取相应的控制措施。
（四）ERM 框架实现了内部控制与风险管理的统一。ERM框架认为，企业风险管理包含内部控制，内部控制是企业风险管理的重要组成部分。在实际经营过程中，风险管理与内部控制是密不可分。在企业内部的不同层次，风险管理与内部控制的重要性应该各所不同。例如在战略风险控制方面，风险管理应该发挥主导性作用，内部控制起配合作用；然后从战略风险到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性逐步发生逆转，直到到财务报告层次，内部控制发挥主导作用，风险管理起配合作用。



注：正面是控制要素，顶部是控制目标，侧面是控制层次。
ERM 框架涉及的内部控制范围广泛，既包括战略层面的内部控制，也包括经营层面和报告层面的内部控制。虽然战略层面和经营层面内部控制缺失有可能导致企业经营不善，成为财务报告舞弊的诱因，但这种影响是间接的，报告控制仍是投资者关注的重点，同时也是评估内部控制有效性的重点，即内部控制主要还是对财务报告的可靠性提供合理保证的报告控制。本文结合某公司销售业务的情况，说明ERM 框架下报告内部控制的设计方法。
（一）内部环境。销售部和财务部的内部控制环境由以下要素组成：员工的职业技能水平、员工的职业道德、客户、信息应用系统、风险偏好和风险承受能力等。该公司管理层采取稳健谨慎的经营态度，风险偏好程度为低，风险承受能力也较低。
（二）目标设定。根据客户的信用等级对不同客户给予不同的信用政策，并对所有的定单进行审核；经过审核的定单都已发货，并保证将正确的货物送到正确的客户手中，对已发出的货物记录正确；所有已发出的货物都已开出正确的发票；对收到的货款正确及时入账，保证总分类账的及时的及时性和正确性。
（三）事项识别。不同事项对企业造成的影响是不同（具体见表1），如企业没有定单中客户要求的货物，一方面会影响企业的信誉，使企业失去已有的客户，对企业来说意味着风险；另一方面，也为企业提供了市场信息，对企业来说意味着机会，企业应及时组织生产或采购。
表1 各种事项对企业的影响

（四）风险评估。通过事项识别确定风险后，企业需要对已识别出的风险进行分析，确定风险发生的可能性和影响程度。风险分析方法可以分为定量分析法和定性分析法。定性分析法主要依赖于分析者的个人知识、经验和对风险的理解、判断。实务中，对风险发生的可能性和影响程度通常采用定性分级的方法，如高、中、低等。该公司风险评估如表2所示：
（五）风险反应。根据风险发生的可能性和影响程度，可以确定各风险项目的重要程度，对重要程度高的项目要优先采取控制措施。管理层在企业战略目标的指引下，根据风险偏好和承受力来选择应对风险的控制方法(如表3所示)。
（六）控制活动。企业收到定单后，应将定单编号；然后由销售部专人审核定单，如无存货，应立即通知采购部采购；考察客户的信用情况，并确定对该客户的信用政策；由销售部主管复核定单和授信情况；根据审核后的定单填报发货单，发货单应连续编号；将审核后的定单传递给财务部，发货单传递给仓库，由两名仓库保管员签字发货，并要求客户签收回执；将发货单传递给财务部，财务部核对定货单和发货单后为客户开具发票，由财务部经理在授权范围内复核签字；财务部将回款情况及时反馈给销售部，作为客户的信用资料保存。
（七）信息和沟通。企业管理层应向各级部门和人员宣传企业文化，使他们了解企业的风险管理方法、企业对风险的态度和内部控制制度，知道自己所承担的责任，并与他们及时交换信息。各部门应注意采用邮件、电话会议、部门会议等多种方式收集企业外部信息和内部信息。
（八）监控。各部门应进行月度绩效考评，并召开月度部门绩效考评会议，由财务部将公司有关规章制度和政策转化为具体的数字指标，实际工作成果与指标之间的差距就是下一步工作改进和提高的目标，也就是一个“差异调查—纠正偏差—再调查—再纠正偏差”循环往复的过程。