一 美國內部控制框架的演進及最新框架分析

（一）美國內部控制框架的演進

美國是世界上最早發布內部控制相關準則的國家，也是影響最大的國家。大致經歷了六個階段。

第一階段是一分論，通常稱為“內部牽制”階段，20世紀40年代之前。內部控制包括組織結構的設計和企業內部采取的所有相互協調的方法和措施。這一階段內部控制的基本目標以查錯防弊為主，以職務分離和賬目核對為主要手段，以錢、賬、物為主要控制對象。其標志性文告為1949年美國審計程序委員會發布的《內部控制：一種協調制度要素及其對管理層和獨立審計師的重要性》。

第二階段是二分論，通常稱為“內部控制制度”階段，20世紀40年代至80年代。內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施，分為內部會計控制和內部管理控制。其代表性文告是美國審計程序委員會于1958年發布的《審計程序公告第29號》、1963年發布的《審計程序公告第33號》和1972年發布的《審計程序公告第54號》。

第三階段是三分論，通常稱為“內部控制結構”階段，1988～1994年。企業內部控制結構包括企業為實現特定目標提供合理保證而建立的各種政策和程序，由控制環境、會計系統和控制程序構成。本階段特別強調企業管理層對內部控制的態度、人事和行為等控制環境的重要作用；標志性文告是美國注冊會計師協會于1988年5月發布的《審計準則公告第55號：在財務報表審計中對內部控制結構的考慮》。

第四階段是五分論，通常稱為“內部控制整合框架”階段，1994～2003年。“內部控制是由企業董事會、經理層及其他員工實施的，為財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循性等目標的實現而提供合理保證的過程。”內部控制整體框架由控制環境、風險評估、控制活動、信息和溝通、監督五個相互聯系的要素構成；標志性文告是COSO于1992年9月首次發布、1994年修訂后正式發布的綱領性文件《內部控制——整合框架（1994）》（Internal Control—Integrated Framework 1994）。

第五階段是八分論，通常稱為“企業風險管理整合框架”階段，2004～2013年。企業風險管理是“由企業董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各層次和部門的，用于識別可能對企業造成影響的事項，并在其風險偏好范圍內管理風險，為企業目標的實現提供合理保證的過程”。企業風險管理框架由內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控等八個相互關聯的要素構成。標志性文告是COSO于2004年9月發布的《企業風險管理-整合框架》（Enterprise Risk Management—Integrated Framework）。該框架是在《內部控制——整合框架》基礎上，結合《薩班斯——奧克斯利法案（2002）》（Sarbanes-Oxley Act of 2002，簡稱SOX）在報告方面的要求的重大發展，被譽為內部控制里程碑式的重要文獻。

第六階段是回歸五分論，可將其稱為“回歸內部控制整合框架”階段。2013年至今。其標志性文告是COSO于2013年5月正式發布的《內部控制——整合框架（2013）》及其配套指南，涵蓋了內容摘要、具體內容、多份附錄、一份應用指南（提供解釋性工具）以及一份概要（提供方法和示例說明在財務報告內部控制上的應用）。

在這一階段，美國COSO也對其《企業風險管理——整合框架》進行了修訂，發展為“整合戰略與業績”階段，其標志是2017年6月正式發布的《企業風險管理——整合戰略與業績》。這是因為，自2004年之后，風險的復雜性在變化，新的重大風險也開始滋生，董事會開始增強自身風險意識，加強對風險管理的監管，同時也進一步對風險報告提出了要求，舊的風險管理框架已經無法滿足各使用者的需求。COSO期望用先進的企業風險管理理念和應用程序幫助世界范圍內的各組織，使其能夠從風險管理中獲取更大的價值、利益；重新認可和重視風險管理策略和企業業績之間的聯系；提出了更先進的風險管理理念和應用程序，使其適應不同的組織結構，并且從戰略的選擇、執行以及決策制定等方面為各組織提供更為全面完善的應對風險的思路。

（二）美國最新內部控制框架分析

目前，美國最新的內部控制框架有兩個：一個是COSO于2013年5月正式發布的《內部控制——整合框架（2013）》及其配套指南；另一個是2017年6月正式發布的《企業風險管理——整合戰略與業績》。

1．美國最新內部控制框架分析

COSO于2013年5月正式發布的《內部控制——整合框架（2013）》及其配套指南，是美國最新的企業內部控制框架。

與《內部控制——整合框架（1994）》比較，《內部控制——整合框架（2013）》保留了對內部控制的概念、目標和要素的基本不變，但拓展了相應內容。其框架結構演進如圖2-1所示。

（1）主要發展變化

在整體框架方面：①內部控制五大要素雖然保持不變，但其排列順序整個逆轉，如圖2-1所示。這種調整強化了五要素之間的順承關系，表明“控制環境”作為內部控制體系的外圍和背景，需支撐整個內部控制框架。②控制目標范圍得到擴展，如“財務報告”改為“報告”，范圍擴大，包括財務報告和非財務報告，對外報告和對內報告。③組織維度更加細化，包括“主體”（Entity）、“分支機構”（Division）、“業務單位”（Operating Unit）、“職能”（Function）。

在內容方面：①報告類別大大擴展。外部財務報告包括年度財務報告、中期財務報告、盈余公告等；外部非財務報告包括內部控制報告、可持續發展報告、供應鏈管理或托管資產報告、質量管理報告等；內部財務報告包括分部財務報告、現金流/預算、銀行合同等；內部非財務報告包括人力資源分析、資產利用、客戶滿意度調查、主要風險指標、董事會報告等。②原則導向化，即從內部控制五大要素的核心內容中提煉出17項原則，還詳細描述了與這些原則相關的81項重要特征（Attributes）和關注要點（Points of Focus）。這樣，使內部控制框架更加簡潔明了，可以幫助董事會和管理層設計、執行、維護內部控制系統，并評價其是否存在且正常運行，并不容易被規避。③注重適應組織和經濟環境的變化。主要包括信息技術、公司治理環境和商業模式變化等。這將導致組織的信息與溝通、控制環境、價值鏈和價值傳遞途徑等發生變化，需要采取新的應對措施以保證內部控制的持續有效性。④增加了反舞弊反欺詐的內容。將管理層評估舞弊與欺詐風險上升為內部控制的17項基本原則之一，并提煉了五個主要特征與關注點，給予更多的解釋和重視，以幫助企業在風險評估階段對舞弊風險進行考量。

（2）主要啟示

美國內部控制框架最新進展的啟示：①總結歸納17項基本原則及其對應的81項主要特征和關注點，注重和提高了內部控制框架的可操作性；②重視對舞弊與欺詐風險的評估與應對，提高組織反欺詐和反舞弊的能力與有效性；③擴展了報告類別與內容，重視各類信息對內、對外的有效溝通；④強調全員性，明確各級員工的內部控制責任，注重考核與評價，建立并執行責任追究制度，實施獎懲，以提高內部控制的執行力和有效性；⑤重視對內部控制有效性性進行持續評價和獨立評價，注重評價結果溝通與缺陷的督促整改；⑥強調企業內部控制要適應組織和環境的重大變化，要持續改進內部控制。

2016年6月14日，COSO發布的題為《企業風險管理——協調風險與戰略和業績》征求意見稿是對其2004年《企業風險管理——整合框架》的修訂和發展，2017年6月正式發布稿則為《企業風險管理——整合戰略與業績》。2004年《企業風險管理——整合框架》的執行摘要和框架都被更新，但應用技術部分保持不變；名稱也由《企業風險管理——整合框架》更名為《企業風險管理——整合戰略與業績》，體現出風險管理策略和企業業績之間的聯系得到了新的認可和重視，強調在戰略制定過程和驅動業績中考慮風險的重要性，突出將企業風險管理貫穿于戰略規劃并嵌入整個組織之中。這是因為風險、戰略和業績影響所有的部門和職能。其框架結構及其對應原則如圖2-2所示。

（1）主要發展變化

采用單元和原則的結構。包括5個相互關聯的單元以及20項支撐原則，內容涵蓋了治理與文化、戰略與目標設定、業績、檢查與修正、信息與溝通和報告。①治理與文化：治理設定了組織的基調，重新強化了企業風險管理的重要意義，確立了企業風險管理的監管職責；文化確定了道德價值觀、期望的行為和對風險的理解。②戰略與目標設定：企業風險管理、戰略和目標設定工作應當融入戰略規劃過程中；風險偏好需與戰略同步制定并協調；經營目標將戰略付諸實施，并將其作為識別、評估和應對風險的基礎。③業績：風險可能影響戰略和經營目標的實現，因而需被識別與評估；風險應當按其在風險偏好中的嚴重程度進行排序；組織據此選擇恰當的風險應對措施，采取風險組合措施將其控制在可承受的風險總額內；這個過程的結果需要向關鍵風險利益相關者報告。④檢查與修正：通過檢查主體業績，組織能夠考慮企業風險管理單元在過去是否能夠發揮作用，并根據所發生的實質性變化確定應當做出的修正。⑤信息、溝通和報告：企業風險管理要求具有一個獲得和分享必要信息的持續過程，這些信息可能來自企業內部也可能來自企業外部，且應當在組織的上下、左右之間進行流動。

簡化風險和企業風險管理的定義。風險被定義為“事件將要發生并影響戰略和經營目標實現的可能性”；企業風險管理被定義為“組織在創造、維護和實現價值的過程中，進行風險管理所賴以依靠的、與戰略設定和執行緊密結合的文化、能力和實踐”。這可增強可記性和可讀性，有助于讀者的理解定義，并將風險和價值更好地協調。

強調風險和價值之間的關系。強調企業風險管理在創造、保留、實現企業價值方面的作用，強調抓住那些可以創造、保留企業價值的機會。

重新專注于企業風險管理的整體性。將企業風險管理的整體性融入組織經營的方方面面，包括融入戰略設定程序、經營目標設定以及風險管理執行中，以支持企業的經營、管理企業業績以及從根本上創造、實現和提升企業價值。

重視文化的作用。企業文化影響組織風險管理和監督的文化環境，進而影響企業風險管理框架中其他要素，影響企業對戰略的選擇和執行。企業文化也提供了識別、評估風險的環境，以及應對這些風險需要對資源進行的分配。

加強戰略討論。組織最嚴重的失敗主要歸因于該組織戰略選擇與其目標任務、愿景及核心價值觀沒有很好地協調。更新后的框架深入討論了戰略和風險的三個理念：戰略和經營目標必須與組織使命、愿景和企業價值相匹配；戰略選擇的含義；執行戰略的風險。

強調提升業績與企業風險管理的一致性。新的框架加強風險和業績之間的關系，認為風險是經營目標和業績目標設定中不可或缺的一部分。

更加明確了企業風險管理與決策之間的關系。決策制定發生在價值鏈的每一個環節，關乎戰略的選擇、經營目標和業績目標的設定以及資源的協調。新的框架將企業風險管理整合、融入企業的整個生命周期中，聚焦風險預測如何促進整個決策的制定。

描述了企業風險管理與內部控制之間的關系。新的框架并沒有取代2013年《內部控制——整合框架》，這兩個框架是互補的，并都使用單元和原則結構。

完善風險偏好和業績的可接受變動范圍。新的框架完善了風險偏好和業績可接受變動范圍的相關理念。風險和業績不再被看作靜態的、相互分離的，而是持續變化并且相互影響的。

（2）主要啟示

美國最新《企業風險管理——整合風險與戰略》的啟示是：①將企業風險管理置于企業戰略與經營目標中，并以提升企業業績為目標，將風險與戰略、經營目標、業績相協調，使企業風險管理發生實質性變化。②企業風險管理需要與其他所有方面進行整合，包括治理結構、戰略、業績管理和內部控制。③強化受托責任以及責任追究，企業應當要求所有層級的員工對企業風險管理承擔責任，并且企業自身也要對提供風險管理標準和指南承擔責任。④重視企業文化在企業風險管理中的地位與作用，并對企業文化建設提出要求。⑤強調企業文化對企業風險管理、戰略與經營目標具有重要影響。⑥強調各層級經營目標與風險管理的關系，將企業風險管理寓于各層級經營目標中，促使全員有風險意識與經營目標意識。