“萨式”挑战的游戏规则分析

　　长期关注该领域的中国内部审计协会副秘书长张玉说，新标准是美国反欺诈性财务报告委员会管理组织（以下简称COSO）在2004年9月发布的8要素“新框架”，即《企业风险管理整合框架》，老标准是COSO在1994年的5要素“老框架”，即《内部控制整合框架》。

　　她表示，由于在美国上市的外国公司主要应遵循《萨班斯法案》的302条款———“公司对财务报告责任”和404条款———“管理层对内部控制的评价”，这两部分条款都要求，上市公司要将自身执行的内部控制流程，与COSO的内控框架进行对比，披露存在的不足和改进措施。

　　张玉认为，COSO的“新框架”比“老框架”更具有可操作性，而且将规避和控制包括虚假财务信息的披露、公司高管的欺诈行为、白领犯罪等风险的主要责任放在了公司治理层面。

　　“老框架”的来龙去脉

　　20世纪80年代，美国出现了由于一连串金融机构破产而引起的严重财务失败事件。这些银行的破产使美国纳税人为之付出的成本超过1500亿美元。随后的调查发现，几乎所有的案件中，审计师都没有发出危险信号。1985年，由于出现众多财务报告舞弊现象，导致了一个由5个职业协会（美国注册会计师协会[AICPA]、美国会计师学会[AAA]、美国财务执行官协会[FEI]、美国国际内部审计师协会[IIA]和美国管理会计师协会[IMA]）组成的团体，他们另外建立了一个委员会，该委员会正式命名为“美国反欺诈性财务报告委员会管理组织”，即COSO。

　　1987年，COSO提交了报告，强调了内部控制的重要性，因为该委员会发现，它所研究的欺诈性财务报告案例中，50％的原因是内部控制失效的缘故。为此，1992年，COSO发布了《内部控制整合框架》，也被称为《内部控制一体化框架》。

　　COSO提出的内部控制定义是：“受企业董事会、管理部门和其他职员的影响，旨在取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标，而提供合理保证的一种过程。”COSO的内部控制整合框架包括：控制环境、风险评估、控制活动、信息和沟通、监控5个组成部分。由于美国会计总署（GAO）等一些机构对该框架的内容有一些不同看法，故COSO于1994年发布了该框架的补充说明。此后，美国会计总署认可了COSO框架。

　　“新框架”的核心内容

　　2004年9月，根据《萨班斯法案》强化财务信息披露内部控制有效性的规定，以及公司治理过程中应加强对企业风险管理的新形势，COSO发布了《企业风险管理整合框架》。该框架由内部环境、目标设定、事件识别、风险评估、风险反馈、控制活动、信息与沟通、监控8个部分组成。

　　张玉介绍说，新老两个框架的内在关系是：“新框架”在保持“老框架”5个组成部分的基础上，做了两点改进。一是将“老框架”中“控制环境”的三大要素，细化为“新框架”的“内部环境、目标设定、事件识别”三部分；二是“新框架”中“风险反馈”部分是“老框架”中“风险评估”部分的应对措施。而其余三个组成部分，即“控制活动、信息与沟通、监控”则保持不变。

　　由此可见，COSO力图通过加强企业“控制环境”的建设，从源头上管理和控制企业风险。“控制环境”的建设包括：确定企业的管理基调、道德观和价值观，制定整个企业重视风险的依据；设定明确的企业总体目标和与之相配套的具体目标；识别可能影响企业实现目标的内部和外部事件，区别风险与机会。此外，在风险评估发现问题后，及时向管理部门反馈风险，以便管理部门选择避免、接受、降低、或分摊风险的应对措施。