内部控制创新主要体现在以下几个方面

内部控制创新主要体现在以下几个方面

 

1.内容丰富。1992年COSO报告（committeeofsponsoringorganization）内部控制分为控制环境、风险评估、控制活动、信息与沟通、监控五个要素，2004年COSO报告将企业风险管理框架的基本要素确定为内部环境、目标设置、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。与以往相比，内部控制的内容得到了极大的丰富。内部控制相关要素的划分更加清晰，使企业能够实施风险控制，从而提高控制的可操作性。风险管理的延伸远远大于内部控制。报告强调，内部控制框架的建立应与企业风险管理相结合，内部控制应作为企业风险管理的有机组成部分。新报告不再使用内部控制框架的概念，而是使用风险管理框架的概念。丰富的内容必然会促进理解的深化，促进企业管理层在建立和实施内部控制时更全面、更具战略性和前瞻性。

 

2.扩大目标。1992年的COSO报告将内部控制定义为“内部控制是一个受董事会、经理和其他人员影响的过程，旨在实现业务效率和效果、财务报告的可靠性和遵守适当的法律法规。从这个定义中可以看出，内部控制可以实现三个目标。这三个目标没有触及企业战略，而是战术层面的目标。2004年的COSO报告《企业风险管理总体框架》，即ERM框架在内部控制的定义中细化和拓展了相关目标。ERM框架（enterpriseriskmanagement）指出：内部控制是一个过程，受到影响，应用于战略制定，贯穿企业各级，旨在识别影响组织的事件，在组织风险偏好范围内管理风险，合理保障，实现各项目标。事实上，对于许多企业，特别是中小企业来说，建立和实施内部控制体系的主要目标可能是保护资产的安全和完整。在2004年的报告中，明确提出了“资产保护”或“资源保护”的概念。并在内部控制的定义中明确指出，内部控制可以实现各种目标，不仅包括前面提到的三个目标，还包括企业的战略目标。战略目标是企业的最高水平目标，是指导和限制战术目标，企业所有活动都应围绕实现战略目标，内部控制的建立和实施也不例外，如果企业在战略制定中出现真空，企业战术将失去方向，企业损失将更大，巴林银行破产和航空石油损失就是一个很好的例子，它们不是没有完美的内部控制，而是在战略制定中出现了权力真空。因此，新的首席执行官报告提出了一个新的目标——战略目标，不仅强调内部控制应与企业自身的战略制定和实施密切相关，而且强调内部控制是企业战略的第一个目标。

 

3.深化风险意识。虽然风险评估也被纳入1992年COSO报告中的内部控制一体化框架，但对风险的理解仍然非常有限，仅限于风险识别和风险分析。风险识别包括检查员工素质、公司活动性质、信息处理系统等外部因素，如技术发展、竞争、经济变化和内部因素；风险分析涉及风险估计的重要性和风险发生的可能性。在COSO的新报告中，对风险的分析更为透彻。新报告增加了三个风险管理要素：目标设置、事项识别和风险反应。现代企业的竞争日益激烈，不仅要面对国内市场的竞争，还要面对国际市场的竞争；不仅要面对产品市场的竞争，还要面对管理者市场的竞争。企业的风险比以往任何时候都要大。如何规避这些风险是企业的重中之重。说企业管理应该以风险管理为基础并不过分。风险实际上指出了内部控制的存在和必要原因，如果企业没有这些风险，就不需要内部控制。对企业风险问题的肤浅理解必然会使内部控制的建立和实施误入歧途。因此，新报告在第二个要素中明确提出，风险管理应设定目标，指出内部控制的实施方向，使内部控制更有针对性，更符合企业战略，更好地实现企业战略目标，使内部控制产生应有的效果。随后，报告对事项识别进行了深入阐述。企业的风险可能出现在各个管理层面和部门。企业风险管理框架深入探讨了潜在事项的概念，认为潜在事项是指企业内外资源可能影响企业战略实施和目标实现的一系列意外事项。具有潜在积极影响的事项代表机会，具有潜在负面影响的事项称为风险。企业的关键是识别和控制潜在的负面影响。企业风险管理框架采用一系列技术，识别相关事项，考虑相关事项的原因，衡量企业过去和未来的潜在事项和趋势。并提出了风险偏好和风险容忍度的概念。风险偏好是指企业在实现目标过程中愿意接受的风险数量。企业的风险偏好与企业的战略直接相关。企业在制定战略时，应考虑将战略的既定收益与企业的风险偏好相结合，以帮助企业管理者在不同战略之间选择与企业风险偏好相一致的战略。风险偏好的概念是基于风险容忍度的概念。风险容忍度是指在实现企业目标过程中对差异的可接受性，是企业在实现相关目标过程中根据风险偏好设定的差异的可容忍度。企业在确定各目标的风险容忍度时，应考虑相关目标的重要性，并将其与企业的风险偏好联系起来。新报告对风险的考虑更加全面透彻，有利于管理内部控制体系的建立和实施，使企业能够从更高层次、更广阔的视野理解内部控制，使人们对风险的理解从简单的风险分析和风险识别扩展到目标设置-事项识别-风险计量-风险反应-风险评估，可以实施风险管理。

4.关注整体比关注控制细节更有效。新报告名称改为“企业风险管理整体框架”的原因是强调整体效果，而不是关注微观细节的控制。风险本身就是一个系统，它的许多原因和组成要素也非常复杂。如果所有的事情都涉及到，那是不可能的，也是不值得的，因为风险管理是有成本的，我们也应该遵循成本效益的原则。目前，我国企业，特别是国有企业，在具体项目上有各种各样的控制制度。他们往往忽视企业的重大风险，导致企业的重大损失。要强调整体效果，必须遵循大大小小的原则。因此，ERM框架强调，董事会和管理层应关注可能产生的重大风险环节，而不是所有的小环节。只有当企业整体偏离风险容忍度的重大风险时，管理层才需要采取一定的控制活动。

 

5.扩大了控制环境的内涵。在2004年新报告的ERM框架中，主要要素改为内部环境，而控制环境的名称出现在1992年的内部控制结构概念和COSO报告中。这种变化不是简单的名称变化，而是范围变化和概念变化。它反映了风险管理范围的扩大。在传统的控制环境要素中，控制环境包括：商业理念、组织结构等方面，ERM框架强调内部控制环境包含组织氛围，形成组织和人员识别和看待风险的基础。它建立了企业的风险文化，不仅认识到预期的事情，而且认识到意想不到的事情，从而丰富了控制环境的内涵。