企业风险管理:从COSO1992说起

当我们在谈论“企业风险管理”这一概念时,可能会感到困惑,“风险管理”和“内部控制”的边界和交叉在哪里?“企业风险管理”与“风险管理”有怎样的延申和细化?“全面风险管理”与“企业风险管理”有什么不同?“COSO”、“ISO31000”、“巴塞尔协议”、“偿二代”是什么?

审计师、内部审计师、风险管理师的角色和专业能力要求有着怎样的不同?

追根溯源,业界常用的这些名词来自哪里?

COSOThe Committee of Sponsoring Organization of The National Commission of Fraudulent Financial Reporting的缩写(即美国全国虚假财务报告委员会),更精确地讲,是该委员会下属的Treadway委员会。

1992年Treadway委员会发布第一版COSO框架,即COSO1992,全称《内部控制-整体框架》(Internal Control-Integrated Framework),报告的第一部分是概括,第二部分定义了内部控制框架的内容,介绍了内部控制系统的规则,第三部分是对外部团体的报告,是为报告编制报表中的内部控制团体提供指南的补充文件,第四部分是评价工具,提供用以评价内部控制系统的有用材料。

在1992版中,COSO提出“内部控制”的目标是“促进效率、减少资产损失风险、帮助保证财务报告的可靠性和对法律法规的遵从”,提出内部控制的三个目标

1、促进经营更有效率,实现绩效以及利润,保障资源的获取和经营安全;

2、保证财务报告的可靠性,中期报表、合并报表中选取数据的可靠性

3、符合法律法规

从COSO1992的目标设计看,更多地着眼于财务报表的可靠性、经营流程的安全性。

COSO1992提出内部控制的五项构成要素:控制环境、风险评估、控制活动、信息和交流、监控。



COSO1992:三目标 & 五要素

控制环境包括组织人员的诚信与能力,管理层的经营模式、责任分配、人力资源管理、董事会的战略(控制环境是其他部分的基础)。

风险评估指确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据,它穗经济、行业、监管和经营条件不断变化,需建立一套机制来辨认和处理相应的风险。

控制活动是帮助执行管理指令的政策和程序,它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护与职责分离等。

信息和交流,信息的处理通过信息系统实现,包括经营、财务、守规等方面,使得对经营的控制成为可能。信息系统产生各种报告。人员应明确自己在系统中的位置和相互关系,完成自己的责任,同外部团体和股东进行有效沟通。

监控在经营过程中进行,监控管理控制活动以及员工执行职责过程中的活动,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。内部控制的缺陷应被及时上报,甚至报告到董事会。

COSO1992对角色及其责任的理解是这样的:

内部审计师评价控制系统的有效性,对公司的治理机构行使监管的职能。外部审计师提供客观独立的评价,通过财报审计直接向管理层提供有用信息。

COSO1992提出“内部控制”是一个“过程”,由前述控制环境、风险评估、控制活动、信息与交流、监控五要素组成,这五要素间的关系是贯彻交叉、反复进行的。COSO1992还强调“人”的重要性,提出“人和环境是推动企业发展的引擎”,企业员工清楚他们在内部控制系统中的位置和角色,协调一致,是推荐内部控制有效运转的前提,董事会成员同样与内部控制有关,客观、主动、有调查精神的董事会能够及时修正经理人的不合规行为。

1992年之后,对COSO内部控制框架局限性的讨论从未停止。几个常见的观点包括:

1、董事会实际上与内部控制是至关重要的关系,不仅仅是存在联系。

2、COSO建议使用“管理报告”反映内部控制运行状态,此报告的信息含量和可靠性值得怀疑。一,企业存在隐瞒问题的动机。二,报告评级某一时点的内部控制情况,不包含在时点之前存在的但已被发现和更正的内部控制缺陷。三,报告的范围仅限于“与财务报告有关的内部控制”,财报是对经营结果的反映,内部控制系统的评估和持续监测没有纳入报告的范围。

3、COSO报告中的“合理保证”、“成本效益配比”属于会计术语,易读性不足。

4、内部控制系统中不包含目标设定、战略规划、核心竞争力培育、风险评估与管理等重要经营管理活动,虽然COSO支出内部控制与管理各功能交织,内置于企业经营活动之中。

5、评价内部控制有效性标准,依赖于三类目标、五类要素的实现程度,但评价标准基本是主观判断。

6、内部控制系统中会计与审计色彩浓重,风险管理被动,与业务拓展关系疏远。

随着版本的更新,可以看到,在最新版的COSO2017中,这些问题在相当程度上被慎重考虑,并进行了部分解决,这也是为什么COSO从“内部控制框架”改名为“风险管理框架”。对于变化的核心,我个人的粗浅理解是从财报、合规为核心向业务流程更加靠拢,从静态的时点监控向主动的预测、持续的管理转型。(欢迎探讨)

尽管已经不再使用,COSO1992依然具有很高的参考意义,其所提出的内部控制的概念、对财务报告的监管、对企业经营的驱动都是对市场财务舞弊反制的有力探索。要学习今天的风险管理框架,COSO1992是值得回顾的里程碑。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容