企业风险管理：从COSO1992说起

当我们在谈论“企业风险管理”这一概念时，可能会感到困惑，“风险管理”和“内部控制”的边界和交叉在哪里？“企业风险管理”与“风险管理”有怎样的延申和细化？“全面风险管理”与“企业风险管理”有什么不同？“COSO”、“ISO31000”、“巴塞尔协议”、“偿二代”是什么？

审计师、内部审计师、风险管理师的角色和专业能力要求有着怎样的不同？

追根溯源，业界常用的这些名词来自哪里？

COSO是The Committee of Sponsoring Organization of The National Commission of Fraudulent Financial Reporting的缩写（即美国全国虚假财务报告委员会），更精确地讲，是该委员会下属的Treadway委员会。

1992年Treadway委员会发布第一版COSO框架，即COSO1992，全称《内部控制-整体框架》（Internal Control-Integrated Framework），报告的第一部分是概括，第二部分定义了内部控制框架的内容，介绍了内部控制系统的规则，第三部分是对外部团体的报告，是为报告编制报表中的内部控制团体提供指南的补充文件，第四部分是评价工具，提供用以评价内部控制系统的有用材料。

在1992版中，COSO提出“内部控制”的目标是“促进效率、减少资产损失风险、帮助保证财务报告的可靠性和对法律法规的遵从”，提出内部控制的三个目标：

1、促进经营更有效率，实现绩效以及利润，保障资源的获取和经营安全；

2、保证财务报告的可靠性，中期报表、合并报表中选取数据的可靠性

3、符合法律法规

从COSO1992的目标设计看，更多地着眼于财务报表的可靠性、经营流程的安全性。

COSO1992提出内部控制的五项构成要素：控制环境、风险评估、控制活动、信息和交流、监控。

COSO1992:三目标 & 五要素

控制环境包括组织人员的诚信与能力，管理层的经营模式、责任分配、人力资源管理、董事会的战略（控制环境是其他部分的基础）。

风险评估指确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据，它穗经济、行业、监管和经营条件不断变化，需建立一套机制来辨认和处理相应的风险。

控制活动是帮助执行管理指令的政策和程序，它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护与职责分离等。

信息和交流，信息的处理通过信息系统实现，包括经营、财务、守规等方面，使得对经营的控制成为可能。信息系统产生各种报告。人员应明确自己在系统中的位置和相互关系，完成自己的责任，同外部团体和股东进行有效沟通。

监控在经营过程中进行，监控管理控制活动以及员工执行职责过程中的活动，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。内部控制的缺陷应被及时上报，甚至报告到董事会。

COSO1992对角色及其责任的理解是这样的：

内部审计师评价控制系统的有效性，对公司的治理机构行使监管的职能。外部审计师提供客观独立的评价，通过财报审计直接向管理层提供有用信息。

COSO1992提出“内部控制”是一个“过程”，由前述控制环境、风险评估、控制活动、信息与交流、监控五要素组成，这五要素间的关系是贯彻交叉、反复进行的。COSO1992还强调“人”的重要性，提出“人和环境是推动企业发展的引擎”，企业员工清楚他们在内部控制系统中的位置和角色，协调一致，是推荐内部控制有效运转的前提，董事会成员同样与内部控制有关，客观、主动、有调查精神的董事会能够及时修正经理人的不合规行为。

1992年之后，对COSO内部控制框架局限性的讨论从未停止。几个常见的观点包括：

1、董事会实际上与内部控制是至关重要的关系，不仅仅是存在联系。

2、COSO建议使用“管理报告”反映内部控制运行状态，此报告的信息含量和可靠性值得怀疑。一，企业存在隐瞒问题的动机。二，报告评级某一时点的内部控制情况，不包含在时点之前存在的但已被发现和更正的内部控制缺陷。三，报告的范围仅限于“与财务报告有关的内部控制”，财报是对经营结果的反映，内部控制系统的评估和持续监测没有纳入报告的范围。

3、COSO报告中的“合理保证”、“成本效益配比”属于会计术语，易读性不足。

4、内部控制系统中不包含目标设定、战略规划、核心竞争力培育、风险评估与管理等重要经营管理活动，虽然COSO支出内部控制与管理各功能交织，内置于企业经营活动之中。

5、评价内部控制有效性标准，依赖于三类目标、五类要素的实现程度，但评价标准基本是主观判断。

6、内部控制系统中会计与审计色彩浓重，风险管理被动，与业务拓展关系疏远。

随着版本的更新，可以看到，在最新版的COSO2017中，这些问题在相当程度上被慎重考虑，并进行了部分解决，这也是为什么COSO从“内部控制框架”改名为“风险管理框架”。对于变化的核心，我个人的粗浅理解是从财报、合规为核心向业务流程更加靠拢，从静态的时点监控向主动的预测、持续的管理转型。（欢迎探讨）

尽管已经不再使用，COSO1992依然具有很高的参考意义，其所提出的内部控制的概念、对财务报告的监管、对企业经营的驱动都是对市场财务舞弊反制的有力探索。要学习今天的风险管理框架，COSO1992是值得回顾的里程碑。