全球内部控制发展动向

COSO报告

　　内部控制与风险管理有着密切的联系。COSO委员会于2004年9月正式发布了新COSO报告--《企业风险管理框架》，并提出将取代COSO报告。新COSO报告将内部控制定义为“一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程”。

　　新COSO报告继承并包含了1992年发布的《内部控制-整体框架》的主体内容，同时扩展了三个要素，增加了一个目标，更新了一些观念，旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。它可以简单地用“348”的框架来描述，即：

　　三个维度：企业目标、全面风险管理要素、企业的各个层级；

　　四个方面：企业目标包括四个方面，战略目标、经营目标、报告目标、合规目标；

　　八个要素：风险管理要素有八个，内部环境、目标设定、事件识别、风险评估、风险反应(对策)、控制活动、信息与沟通、监控。

　　企业风险管理框架相对于内部控制框架来说，进步之处可通过下图来表示：

图  内部控制框架与企业风险管理框架的比较

　　COSO还在2006年发布了《财务报告内控--小规模公众公司指南》。该指南的提出并非要取代或修改COSO报告控制框架，而是通过提供具体控制实例，如：小企业如何达到财务目标，来证明COSO报告广泛的适用性。其应用会为中小企业执行内控的相关规定节约大量成本。

　　巴塞尔协议

　　2004年6月，历时五年、经过三次征求意见稿向全球各国银行界和监管当局及国际金融组织征求意见并修改的《巴塞尔协议II》最终正式定稿并公布。从表面上看，《巴塞尔协议II》侧重的是商业银行的风险管理和监管当局的监督。其实，《新巴塞尔协议》在更深层次上，是一份商业银行内部控制的规范文件。

　　首先，商业银行内部控制的诸多内容中的核心部分就是风险控制。商业银行在经营过程中所面临的风险有信用风险、流动性风险、市场风险等，《巴塞尔协议II》在根据不同的资产面临的风险提供不同的风险系数的基础上，提出内部评级法，使资本充足率与银行面对的风险更紧密的联系在一起。

　　其次，《新巴塞尔协议》在制定之前，吸收了2003年7月美国COSO《风险管理整体框架》（草案）的理念，即八个因素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。《新巴塞尔协议》对其理念的吸收，说明加强内部控制，提高风险管理水平，不仅是企业界的共识，还是商业银行经营满足安全性、赢利性和流动性要求的重要方面。

　　另外，实施《巴塞尔协议II》，必然迫使商业银行改变风险资产机构，提高资本充足比率。这个过程，会带动商业银行多方面的改变：通过有效的资产负债管理和表外项目的控制；对资产相对收益和风险进行比较，实现资产组合优化；协调统一的资本比率和风险权数也有利于商业银行之间的比较，以便迅速找到不足，提高营运效率。

　　2006年9月，中国银监会主席刘明康表示，中国大型商业银行将在2010年左右实施新巴塞尔协议，2010年~2012年，中国大型商业银行将逐步实施新巴塞尔协议第二支柱（监管）和第三支柱（信息披露）的要求。这无疑对我国的商业银行的操作风险管理形成了倒逼机制。为此，我国商业银行应加紧研究借鉴国际银行业操作风险管理的理论成果和实践经验，切实提高操作风险管理能力，逐步满足新巴塞尔协议对操作风险管理的要求。

　　2010年9月12日，巴塞尔银行监管委员会经过近九个月的磋商和讨价还价，旨在加强全球银行体系资本要求的《巴塞尔协议III》已经出炉。根据这一最新协议，到2015年1月，全球各商业银行的一级资本充足率下限将从现行的4％上调至6％；而由普通股构成的“核心”一级资本占银行风险资产的下限则提高得更为明显，将达到7%，其中包括2.5%的资本留存缓冲。现行的核心一级资本充足率下限仅为2％。此外，新协议还对银行资本的定义和风险评估做出了更加严格的界定。

　　萨奥法案

　　安然、世通等系列财务丑闻事件以后，美国立法界为了提升公司依证券法所做披露的正确性和可靠性，并希冀达到保护投资者以及其他目的，《萨班斯--奥克斯利法案》应运而生。该法案的颁布实施标志着美国会计监管改革的根本性思想转变：由事后披露管制转向面向过程的实质性管制。

　　《萨奥法案》主要是围绕会计职业监管、公司治理、证券市场监管等诸方面拟定了多项严格的制度规定。其第404条款，又称为内部控制条款，是最为严格的条款，主要明确了上市公司（包括场外交易市场的挂牌企业）管理层及外部审计师对于公司财务内部控制的责任和义务。该条款主要包含两方面的要求：

　　第一，内部控制方面，要求上市公司按《1934年证券交易法》第13节（a）或15节（d）的要求，在编制的年度报告中要包括内部控制报告。不仅强调公司管理层在建立和维护内部控制系统及相应控制程序方面应充分有效地承担责任，而且管理层应在最近财政年度末对内部控制体系及控制程序的有效性进行评价。

　　第二，内部控制评价报告方面，要求上市公司管理层要自我进行内部控制的评价，担任公司年报审计的会计师事务所应当对其进行测试和评价，并出具评价报告。

　　《萨奥法案》的重要意义在于其强制要求上市公司实现内部控制，公司管理层尤其是CEO和CFO是公司内部控制系统建设及完善的责任主体。如果公司管理层，尤其是CEO和CFO不履行建立与完善内部控制的职能，将受到严厉的经济与刑事处罚。