随着时间的推移,COSO发布了许多附加性的指南文件,对1992年版《内部控制——整合框架》进行细化。2010年,COSO委员会正式启动了对1992年版《内部控制——整合框架》的修订项目,于2011年12月发布征求意见稿,最终于2013年5月正式发布。
2013年版《内部控制——整合框架》结合新的商业和经营环境,反映企业内部控制框架体系的新变化、新思维,以适应更为复杂的控制链条,更好地实现多元共治,驱动企业战略,更好地利用IT新技术成果。其最大的变化体现在结构设计上,着重强调原则导向,并设置了若干重点关注点,目的是增强实操性。此外,还扩大了报告目标的类别,将财务报告以外的其他外部报告,以及包括财务与非财务报告在内的内部报告纳入指导范围。相比而言,1992年版《内部控制——整合框架》仅局限于对外财务报告。
总的来说,2013年版《内部控制——整合框架》可以概括为:1个定义、3类目标、5大要素、17项原则和82个关注点。由于2013年版《内部控制——整合框架》继承了原框架中关于内部控制的定义,对于内控要素、目标、有效性的评价标准也基本上沿用原框架的观点,因此,2013年版《内部控制——整合框架》通常被看作是1992年版《内部控制——整合框架》的升级版。(www.daowen.com)
2004年版《企业风险管理——整合框架》发布至今已有十几年。在这十几年间,风险的复杂性发生了重大变化,由于新环境、新技术的不断演变,新的风险也层出不穷,基于风险导向的COSO理念逐渐兴起并将成为主流,渗透到企业管理的方方面面。在此前提下,COSO在2014年启动了对《企业风险管理——整合框架》的修订工作,并委托普华永道会计师事务所着手进行框架的更新。这项计划旨在于日益复杂的商业环境中提高企业风险管理的相关性,反映风险管理理论和实践的新发展,以便从风险管理中获得价值的提升。2017年9月,COSO正式发布了一份名为《企业风险管理——与战略和业绩的整合》(Enterprise Risk Management —Integrating with Strategy and Performance)的报告文件。《新企业风险管理——整合框架》不是对原有框架的简单升级,而是大刀阔斧地重构与变革,并将其目标定在为包括企业在内的ERM主体提供一个“管理框架”,而非“控制框架”。与《企业风险管理——整合框架》相比,《新企业风险管理——整合框架》在以下多个方面进行了优化:①应用要素和原则的编写;②简化企业风险管理的定义;③强调风险和价值的关联性;④重新审视《企业风险管理——整合框架》所关注的焦点;⑤检验关于文化在风险管理工作中的定位;⑥提升对战略相关议题的研讨;⑦增强绩效和企业风险管理工作的协同效应;⑧体现风险管理支持企业更加明确地做出决策;⑨明确企业风险管理和内部控制的关系;⑩优化风险偏好和风险承受度的概念。没有变化的部分是保留了“企业风险管理——应用技术”的内容,风险管理工作者仍然可以使用2004年发行的ERM相关工具和技术。
《新企业风险管理——整合框架》着重强调了企业风险管理对战略规划和提升绩效的重要意义,认为风险管理应嵌入整个组织,并指出风险不但来自执行层面,也来自战略制定和战略驱动。它摒弃了1992年版《内部控制——整合框架》的八要素设计,并借鉴了2013年版《内部控制——整合框架》中应用的要素和原则来编写结构,在五要素下分别列示了20项原则,这些要素和原则贯穿企业战略、绩效和价值提升。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。