论COSO内部控制框架中风险评估的变化与启示

●冯浩 王璐

论COSO内部控制框架中风险评估的变化与启示

●冯浩 王璐

风险评估作为内部控制的要素之一，在企业内部控制中起着举足轻重的作用，重视风险并且不断完善风险评估体系，有利于企业健康可持续发展。本文在对COSO内部控制框架中风险评估的变化进行总结和比较的基础上，结合我国企业内部控制基本规范中风险评估相关内容，提出了完善我国企业内部控制风险评估的改进意见。

内部控制 风险评估 变化启示

历史学家汤因比说过：“一个国家乃至一个民族，其衰亡是从内部开始的，外部力量不过是其衰亡前的最后一击。”在市场竞争日趋激烈的情况下，企业一般面临着两个基本问题：一是如何适应外部环境的变化；二是如何协调内部资源的有效利用。由于企业对外部环境的适应性建立在内部协调性的基础之上，因此，加强企业内部控制，是企业最基础的工作，也是企业生存和发展的保证。加强对企业管理中风险的重视程度，并不断完善风险评估体系，有利于对企业内部进行控制，进而更加有利于企业的可持续发展。风险存在于企业的各个阶段的各个层次，任何一项风险都有可能影响企业的整体运营情况甚至阻碍企业的发展，加强对风险的重视，防患于未然，这样可以将不利于企业发展的风险因素消除在萌芽阶段。进行有效和全面的风险评估同时也是降低企业各项风险发生的基础。对于阻碍企业发展的风险因素的识别也是重要内容，也只有一套全面有效的风险评估，才能准确判断风险的类型并采取相应的风险应对措施，将风险给企业带来的损失降至最低。

一、COSO内部控制框架中风险评估的变化

（一）1992年《内部控制——整合框架》中的风险评估内容

1992年COSO发布的《内部控制——整合框架》，主要是针对企业内部控制进行的一种制约，以帮助企业和其他组织机构评估和加强他们的内部控制制度。此框架提出，内部控制包括控制环境、风险评估、控制活动、信息与沟通和监控五大要素；保证企业财务报告的可靠性、经营的效率和效果以及遵循现行法规的三大目标，与此同时，风险评估被定义为：对相关风险进行鉴别和分析，以实现目标，形成风险管理的基础。

该框架指出风险分为内部风险和外部风险，并且强调风险评估的前提条件是要确定目标，只有对目标加以确认才能确定在实现目标的过程中的风险并且对风险采取相应措施。风险存在于不同类型的企业的各个组织机构中，可以说只要有经营就会有风险，而且这些风险会因企业不同、组织机构作用的不同表现出不同的特点。没有哪一种固定的风险处理措施能把风险减少至零，将风险尽力控制在一定的可控制水平，也是就是风险承受度范围之内，才是明智之举。

框架将风险评估的内容划分为几个部分，首先是对目标的说明，风险评估首先要确定目标；接着便是目标的种类，目标分为经营目标、财务报告目标、遵循性目标；再者是考虑到各种目标之间的交叉重叠问题，有一定的区别但也有相互联系的地方；最后则是目标的实现。

其次是对风险的说明，框架分为以下几个部分对风险进行讨论：首先是风险识别，从企业层面和操作层面进行说明和分析；然后是风险分析，其中包括估计风险的重要性程度，评估风险发生的可能性以及考虑如何管理风险；接着是说明风险处在变化的环境中，我们要面对哪些变化，如何与时俱进的应对变化；最后部分则是总体概况评估内容，从目标开始到风险再到应对变化。

1992年内部控制框架对风险评估内容有了大致的阐释，首次将风险评估纳入到内部控制框架之中来，但并未特别强调风险评估的重要性，风险评估与其他四大要素一并存在于内部控制框架中，没有特别说明，而且并没有提出实用的风险评估方法和评估模型，从而对风险进行定性和定量的分析。主要原因也是因为在这个时期，内部控制整合框架的出现是基于企业内部控制的一种相互牵制、防范错误发生的一种应急措施和制度。

（二）2004年《企业风险管理——整合框架》中风险评估内容

在谈到2004年内部控制中的风险管理时，我们不得不把目光聚焦到2002年7月出台的《萨班斯—奥克斯利法案》（Sarbanes-Oxley Act 2002 USA,简称SOX法案），其中“第302节”和“第404节”要求公司在年报中披露内部控制评价报告，并聘请注册会计师对公司财务报告内控有效性出具审计报告。21世纪初，一系列上市公司财务造假和操纵案在美国爆发，其中安然、世通、施乐等著名上市公司首当其冲，而这些财务丑闻对于美国很多投资者来说无疑是一次沉重的打击，使他们对美国资本主义市场失去了信心。这个时期的资本主义市场动荡，引起了人们对于政府对上市公司监管不力的议论，很多人对于企业内部控制的管制提出了质疑。SOX法案也是基于应对发生的一系列财务丑闻和美国股市危机、重树投资者们的信心的目的颁布的，它目的明确，在第一句话就强调了本法案是为了“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的”。

SOX法案的颁布无疑是企业内部控制的指明灯，在1992年COSO发布的《内部控制——整合框架》之后，人们对内部控制制度有了一个初步了解，但是它并未单独强调风险评估的重要性，对风险评估这一要素也只是一个大概的说明。近年来发生了一系列会计丑闻之后，企业内部控制的重点慢慢聚焦到风险管理上来，《内部控制——整合框架》中对于风险评估的说明就显得不足。2004年《企业风险管理——整合框架》也是在此基础上应运而生，社会各界对于要加强企业风险管理方面的呼声越来越高，这个框架也是满足了这个需要，更进一步的讨论了企业管理中风险管理的相关问题。

旧框架（1992年的框架）从定义、控制环境、风险评估、控制活动、信息与沟通、监控、内部控制的局限以及作用和职责方面对内部控制进行的阐述，2004年的《企业风险管理——整合框架》则对此进行了拓展和修改，从定义、内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控、职能与责任、企业风险管理的局限以及该做些什么这几个方面进行阐述。可以看到，总体来说2004年的框架更加具体和详细，并且相比旧框架更加突出了风险评估相关内容。将目标设定单独拿出来讨论，并且分别对风险评估和风险应对进行说明。

一是在对风险管理目标的类别的阐述上，内部控制框架是将目标分为经营目标、财务报告目标以及合规性目标；相比而言，在企业风险管理框架中，财务报告目标则被拓展为包含主体编制的所有的报告内容，包括对内和对外的报告，并且在此基础上增加了战略目标，与此同时提出了风险容量和风险容限的概念。

二是在旧框架中，没有提及风险的组合，但实际上风险的出现并不是单一的，有可能是不同种类型组合而成的，在企业风险管理框架中就提出这个观点，除了在分别考虑实现主体目标的过程中关注的风险之外，强调关注复合风险问题。

三是在企业风险管理框架中，除了风险评估这一内容之外，专门对风险应对作为一个模块进行讲解，并强调风险应对主要有以下几种类型：其一是回避。这是在风险发生之前就预知风险的发生，从而采取远离回避风险的一种措施；其二是降低。如果在无法回避风险的情况下，面对风险也可以采取许多经营决策，从而有利于降低风险；其三是分担。分担风险可以降低风险给企业带来的损失；其四是接受。这是在无法回避，不能降低或者分担的情况下选择的一种无奈之举，但是这种情况只有在衡量了风险发生的可能性和现有风险承受度，才能决定是否接受风险。

《企业风险管理——整合框架》在更大程度上拓展了内部控制相关内容，并且更全面具体关注于企业风险管理这一领域，它并非是要取代《内部控制——整合框架》，只是将其包含其中，公司不仅可以借助这个企业风险管理框架完善其内部控制制度，并且可以有助于企业将重点放到风险管理方面上来。

（三）《2013版COSO内部控制实施指南》中风险评估内容

从整体内容上来看，《2013版COSO内部控制实施指南》着重强调的是原则导向，并且扩大了财务报告目标的类别，这区别于1992年框架中局限于对外的财务报告，它的内容可以概括为：一个定义、三类目标、五大要素和十七项原则。

新版COSO框架从风险评估的原则、风险识别与分析、风险应对策略、舞弊风险分析几个方面对风险评估进行说明和阐释。风险管理在COSO风险评估要素中的基本定义为：“风险管理是任何一个企业战略管理的中心环节。它是指企业可以有条不紊地管理风险的过程，而这种风险指的是附着在每一种战略组合之上，以实现持续营利为目标的风险。”

2013年发布的COSO内部控制指引中有一些重大变化，在风险评估原则上，主要有以下几点核心概念：一是组织需要制定足够清晰的目标，确保风险识别和评估与其目标相关。二是组织应当识别影响目标实现的相关风险，对此类风险的分析是风险管理的决策基础。三是企业应当考虑潜在的影响目标实现的舞弊风险。四是企业应当识别与评估对内部控制有效性产生重大影响的变化因素。

2001年以来，相继爆发了安然事件、世界通信和全球通信等一连串的上市公司财务舞弊案件，致使很多跨国公司倒闭破产，严重打击了投资者们的信心。2002年7月出台的《萨班斯—奥克斯利法案》，使人们对舞弊性财务活动的担忧达到了顶峰。在过去很长一段时间以来，内外部的审计师都认为审计人员并不具备发现和调整舞弊行为的能力，也没必要承担发现舞弊行为的责任，而他们认为对舞弊行为的分析更应该是法律监管部门的责任。于是2013版COSO内部控制框架就新增了一条原则：考虑阻碍目标实现的舞弊风险。可以看出舞弊风险已经开始引起人们的重视。所以，在风险评估的过程中应该包括管理层对资产安全性和财务报表舞弊的风险分析评估。这也是新版框架中风险评估一项突出强调的内容。

在新版COSO框架中，仍然强调目标设定是风险评估的前提，只是不再将目标放在风险评估里面进行说明，而是单独拿出一章阐述“目标、要素和原则”，风险评估中也不再像1992年COSO框架中那样讨论目标的种类、目标之间的联系和区别，这样更加具体详细的分别介绍目标和风险评估要素。

新框架更着重关注对报告目标、运营目标和合规目标清晰的表达，这样就能更快识别、评估与这些目标相关的任何风险，与此同时，也着重强调评估这些目标作为评估内部控制有效性的基础的适当性。此外，不仅仅只是讨论风险的影响以及可能性，在此基础上更加强调风险发生的频率以及持续性，并且在对可接受风险水平的评估过程中，考虑到风险的容忍度相关问题。

二、我国《企业内部控制基本规范》中的风险评估

财政部等五部委于2008年5月发布了《企业内部控制基本规范》，于2010年4月又发布了《企业内部控制配套指引》，其中包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》等，以上内容的发布，是适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系建成的重要标志。

《企业内部控制基本规范》中明确概括了“三五”：五个目标、五个原则、五个要素等内容。而风险评估作为五大要素之一，主要确定的是企业什么地方可能会出错，而这些错误又有什么影响。针对企业有可能发生的风险，内部控制基本规范也大概总结出七大步骤：第一步是明确各个不同单位每项经济活动的相关业务流程；第二步是梳理各类业务的相关环节；第三步是全面具体分析各项经济活动可能承担的风险；第四步是根据分析结果确定相关的风险点；第五步是针对有关风险点选取相应的风险应对策略；第六步是根据国家相关规定，建立全面的单位各项内部管理制度；第七步是监督相关人员执行相应措施。

三、COSO框架中风险评估内容的变化对我国的启示

COSO框架的变化对于我国在美国上市的企业影响最为直接，而国内企业主要还是依照财政部、证监会、审计署、银监会、保监会五部委发布的《企业内部控制基本规范》以及相应的配套指引。但是无论是在美国上市的企业还是国内企业，都可以借鉴COSO框架，从而完善自身内部控制制度中的风险评估制度。

第一，COSO内部控制框架从1992年到2004年再到2013年逐步认识到风险评估对企业内部控制的重要性，2004版框架在1992版基础上更加着重强调风险评估的相关内容，2013版则是在2004版基础上对风险评估进行补充说明和进一步完善。而在对风险评估的认识方面，我国并没有COSO框架那么充分，总体上也不是给予足够的重视，也许是因为社会发展和国情不一样，但是我国也应该对即将可能发生的风险防患于未然，从思想根源上加强对风险评估的重视程度。在必要的时候，可以设置与风险评估相关的一系列部门或岗位。

第二，在我国，风险管理的应用深度和广度不够，而且大部分只是停留在学术研究层面上，与国外从实践角度相比，远远不及其研究领域之深。我们应该加强实践，将其和理论结合起来，才能更好发挥理论作用。

第三，COSO框架从1992年开始在风险评估内容中强调目标对于风险评估的重要性，到最新版COSO框架中，再一次将目标设定单独进行说明和阐释。在我国企业内部控制中也应该加强对目标的管理，提高对目标的重视程度。在分析每项业务流程时，梳理好每一步骤，针对可能发生风险的地方找到对应措施，明确业务目的，有的放矢，才能有效地进行风险评估。

第四，1992年COSO发布的《内部控制——整合框架》强调了风险评估中舞弊风险的相关内容，这在我国企业也并不是不常见的情况，而我国企业内部控制规范中并未进行具体说明，结合COSO框架中的相关内容，可以促使我们将舞弊风险作为一项特别内容加强重视。

第五，在分析风险因素的时候，要全面，不要片面，从企业各个层面来进行分析，如在财务风险方面、市场风险方面、运营风险方面等各个方面都要进行全面考量；不要单一地分析某一风险，应该进行风险组合分析，大部分情况风险都是以组合形式出现的，也就是所谓的复合风险。这也是2004版COSO框架中所强调的风险组合问题。

第六，在借鉴COSO内部框架相关内容时，要避免盲目趋同。每个国家的国情和社会发展都不尽相同，我们要立足于我国国情，结合我国自身情况制定适合我国的内部控制体系和风险评估制度。总之，风险评估一直都是国内外大中小企业内部控制的一个重点内容，如何对风险进行全面分析和有效评估，无论是发达国家还是发展中国家都要结合国情制定适合自己国家的风险评估措施。COSO内部控制框架在风险评估的修改和总结上无疑给我国企业内部控制提供了很好的借鉴作用，但我们也要结合实际情况取之优点，不能盲目效仿。

（作者单位：湖北大学商学院）

1.COSO．1992.Internal Control:Integrated Framework[A].

2.COSO．2003.Internal Control:Integrated Framework[A].

3.财政部会计司.2010.企业内部控制规范讲解[M].北京：经济科学出版社。

4.陈芳、许良虎.2009.建立我国企业内部控制的风险评估体系[J].会计之友，10。

5.李雅琴.2009.基于风险管理的企业内部控制探析[J].会计之友，7。

6.李玉环.2008.内部控制中的风险评估［J］.会计之友，10。

7.梁雯.2013.企业风险评估系统构建[J].经营管理，10。

8.穆勒、秦荣生、张庆龙（译）.2015.2013版COSO内部控制实施指南(美)[M].北京：电子工业出版社。

9.施君.2009.解读美国萨班斯法案404条款及其立法启示［J］．扬州大学学报，5。

10.孙雪乔、王宏波.2014.浅论企业内部控制及风险评估[J].企业会计，4。

11.王立勇.2002.企业内部控制中的风险评估研究［J］.交通财会，2。