浅述COSO新框架下企业内部控制与风险管理的思考

韩冰

摘 要：内部控制是全面风险管理的必要环节，其动力来自企业对风险的认识和管理。对此，我们必须尽快转换长期以来固化的观念和思维定式，努力构建体现全面风险管理的内部控制新机制，赋予内部控制新的内容。企业风险管理涉及的风险和机会影响价值的创造或保持。它是一个从战略制定日常经营过程中对待风险的一系列信念与态度，目的是确定可能影响企业的潜在事项，并进行管理，为实现企业的目标提供合理的保证。本文将结合最新修订版的ERM框架浅述COSO新框架下企业内部控制与风险管理的思考，研究分析目前我国部分企业在内部控制中存在的问题，为我国目前一些企业提供相关建设性的内部控制与风险管理建议。

关键词：COSO新框架；内部控制；风险管理

一、关于COSO新内控框架对国内企业的实施的影响

COSO全称为The Committee of Sponsoring Organizations of the Treadway Commission，中文名为反虚假财务报告委员会，其创立的宗旨是为了研究分析财务报告中舞弊问题产生的原因并寻求解决方案。COSO在1992年发布《内部控制-整体框架》，其针对公司的行政总裁、董事、监管部门、立法部门以及其他高级执行官的内部控制进行了高度的概括。2004年在《内部控制-整体框架》的基础上扩展发布《企业风险管理整合框架》，随着国际经济形势的不断变化以及新技术的不断发展，COSO对风险管理框架进行修订并于2017年发布最新修订版COSO-ERM。在COSO新框架中对于企业内部控制与风险管理的定义为：企业的风险管理受多方面的影响，包括管理层、董事会以及其他员工，包括内部控制在整个企业所有运营活动中的应用，通过风险管理可使企业的经营活动更加高效，实现资源的合理配置，提高财务报告的真实性和可靠性，减少企业的潜在风险。2013年5月14日，美国COSO如期发表了新的内部控制框架。因为正值国内的内部控制实施的高潮，COSO新的内控框架在国内引起了很多兴趣。

对按照COSO的内控框架实施内控的在美上市公司，COSO新内控框架的影响不大，因为SEC和PACOB已经在前几年做了大量的工作。这些工作在一定程度上，弥补了COSO老内控框架的缺点，特别是在帮助中小企业实施内控方面，如缓解了中小企业内部控制的成本。可以说，在一定程度上，这次COSO的新内控框架是对SEC和PCAOB的工作的承认。而且，对上市公司的内控的审计，依据的是SEC和PCAOB的规定文件。这次COSO新内控框架的发表并不意味着SEC和PCAOB会做出相应的调整。对国内没有在美上市的公司，COSO新内控框架基本没有实质的影响，因为国内公司的内控主要依据是财政部的《企业内部控制基本规范》和相应的配套指引。当然，无论是否在美上市，国内的公司都可以借鉴COSO的新内控框架，改进自身的内部控制。

二、风险管理的概念

1.风险管理的意义及发展现状

风险是企业运营管理过程中必然存在的因素，对企业正常的发展与运营有着极为重要的影响。风险管理最为主要的意义就是避免由于风险造成的损失。随着经济的快速发展，企业发展也迈向了新的高度，对于风险管理的要求就和以往有了很大的差别，对风险管理的要求更高更全面。现阶段的企业风险管理，形成了对风险的预防、控制、利用相结合的体系，风险评估、分析、判断以及应对的方法更加全面，实现了对企业运营风险的有效控制，防患于未然，避免损失。

当前一部分企业对风险管理缺乏意识，企业管理者过于重视经济利益，规避风险的工作也只是局限于财务部门。企业内部没有形成系统完整的风险管理机制，其原因就在于管理层对风险管理的认识不够深刻，缺乏风险管理的理念，没有专门的风险管理部门，风险评估工作不全面，使现代企业的风险管理工作陷入僵局，在当前的经济形势下，对企业的发展运营发展不利。风险管理工作得不到贯彻和落实，极大地增加了企业运营當中的风险，严重制约企业的发展。

2.风险管理的内涵

内控管理事件可能产生不利影响或者有利影响，也可能两者兼而有之。产生负面影响的事件代表了风险，阻碍创造价值或削弱现有的价值。产生正面影响的事件能够抵销不利影响或带来机会。机会是指事件发生的可能性以及对于目标实现、支持创造价值或保持价值的积极影响。

企业风险管理涉及的风险和机会影响价值的创造或保持。它是一个从战略制定日常经营过程中对待风险的一系列信念与态度，目的是确定可能影响企业的潜在事项，并进行管理，为实现企业的目标提供合理的保证。

整体来说，企业风险管理的内涵包括：一个正在进行并贯穿整个企业的过程（全过程管理）；受到企业各个层次人员的影响（全员参与）；战略制定时得到应用（属于战略管理范畴）；适用于各个级别和单位的企业，包括考虑风险组合（具有普遍适用性）；识别能够影响企业及其风险管理的潜在事项（管理的重点）；能够对企业的管理层和董事会提供合理保证（管理的局限性）；致力于实现一个或多个单独但是类别相互重叠的目标（管理目标）。

3.风险偏好与风险承受度

风险偏好和风险承受度是风险管理概念的重要组成部分。风险偏好是企业希望承受的风险范围，分析风险偏好要回答的问题是公司希望承担什么风险和承担多少风险。风险承受度是指企业风险偏好的边界，分析风险承受度可以将其作为企业采取行动的预警指标，企业可以设置若干承受度指标，以显示不同的警示级别。传统风险管理理念认为风险只是灾难，被动地将风险管理作为成本中心；而全面风险管理的理念认为风险具有二重性，风险总是与机遇并存。企业风险管理要在机遇和风险中寻求平衡点，以实现企业价值最大化的目标。

因此，风险偏好概念提出的意义在于研究企业风险和收益的关系，明确了企业的风险偏好和风险承受度，就能够把握企业在风险和收益之间的平衡点如何选择。

三、我国企业内部控制与风险管理存在的问题与不足

虽然自从改革开放以来，我国企业规模越来越大，但是与国外的大多数企业相比缺乏竞争力，很難走出国门，主要原因之一就是内部控制与风险管理体系的不完善，存在较大问题。

第一，企业没有形成自身的企业文化与形象，由于企业文化的匮乏导致即使企业有内部管理制度，也会由于执行力不到位使相关的管理制度成为一纸空文。第二，企业内部控制的环境与制度相对不完善。这一问题在中小规模企业中尤为突出，与大规模企业相比，中小企业只有较少部分董事会按照规章进行运作，很少会召开会议商讨重大决策。另一方面，企业的权力过于集中在少数的股东手中，而这些股东缺乏长远的目光，过于看重眼前的利益，很少会在企业内部管理与风险控制方面投入过多的成本。第三，对潜在风险的认识不足，风险评估体系不到位。在经济全球化的趋势中，企业承受各种各样的风险，但是相关决策部门对实际的国际形势与国际政策不能有效的分析，对于眼前有利可图的项目盲目投资，导致承受巨大的潜在风险。另一方面，部分中小企业由于受到资金成本的限制，缺乏风险控制和管理部门。第四，企业内部监督审计制度的不完善。虽然有些企业设有内部审计部门，但是未能引进专业的审计人员，大多数在职的审计人员知识技能相对缺乏，职业素养较低，很难发挥内部审计的重要作用。其次，在大多数中小企业中，内部审计部门往往在高层管理的管辖范围之内，如果在管理中出现舞弊现象，往往束手无策。第五，企业内部沟通不密切。在当前社会中，讲究的是团队合作，在企业中更是如此，企业是一个整体只有密切沟通才能健康发展。然而，企业中各个部门为了各自的业绩往往缺少沟通，包括横向沟通与纵向沟通。横向沟通主要是部门之间的沟通，很多业务并不是一个部门能独立完成的，由于部门之间缺少沟通，导致业务效率低下。纵向沟通主要是上级部门和员工之间的沟通。上级部门对员工简单的下达命令，但是员工对于细节却一知半解，很容易出现业务问题。

四、COSO新框架完善企业内部控制与风险管理体系的建议与对策

在COSO新管理框架中，风险管理的主要要素有八个，分别是内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。结合新框架下的这八个要素，根据目前国内部分企业存在的问题提出几点建设性意见。

1.提高企业内部的整体环境。首先是对企业内部股权结构的改革，目前很多企业内部的股权集中在少数人手中，权力过于集中，有时个人或者少数人的权利会凌驾在内部控制之上，内部控制便形同虚设。所以应当改善企业的股权结构，适当的放权，企业的经营权与管理权应当进行分离。其次是对于董事会的建设，董事会是企业的经营者与企业所有者联系的桥梁，在内部控制与风险管理中拥有最高的权利，所以董事会的建立必须独立，并且对于董事会的成员应当严格把控。同时在董事会之下设立决策机构，可以显著提高董事会的效率。最后是对企业品牌文化的建设以及员工素养的提高。

2.加强对潜在风险的评估以及应对风险的能力。随着世界经济的发展，传统的内部控制如财务会计已经不能满足当今的需求，所以应当建立相应的风险管理机制，如可以将财务会计向管理会计转变，并重视风险导向，并且对企业的各种业务活动进行评估，一旦发现问题应及时采取相应的措施。企业发现潜在的风险之后首先要评估自身的风险承受能力，并做好应对各种风险的对策，应当避免在风险降临时后知后觉。

3.将强企业内部审计和监督。内部审计与监督在企业内部控制中发挥着重要作用，所以企业应当引进专业的审计人员，并且审计部门应独立于其他部门，避免受到管理层的控制，让审计与监督部门不能发挥有利的作用。

4.加强预算的管理。企业在进行所有业务活动之前，相关部门应当对业务活动进行评估预算，一旦确定好预算不得随意更改，如果一定要更改，必须按照相关程序进行审批。对于预算的控制可以实现企业内部资源的合理配置。

五、结束语

针对目前我国企业内部控制与风险管理存在的问题进行分析研究，借鉴COSO框架下内部控制体系，为我国企业内部控制与风险管理体系的建立与完善提供建设性的建议，从而提高企业的效益，促进企业资源的合理配置，减少企业在运营过程中的风险。企业内部控制不仅要关心企业的现实生存，还要关注企业未来的健康发展，风险管理不是简单的对于风险的规避，更是科学进行风险管理。在COSO新框架下，企业的内部控制与风险管理同企业的生存与发展密切相关，只有完善内部控制与风险管理体系，企业才有在竞争日益激烈的当今社会占有一席之地。

参考文献：

[1]王萃彦.COSO风险管理框架下跨国公司内部控制探讨[J].财会通讯，2015（10）：32-34.

[2]祁保华.基于COSO框架下的XX财产保险公司内部控制研究[J].财会学习，2017（5）：210-212.

[3]袁春燕.全面风险管理视角下企业内部控制体系构建研究[D].甘肃政法学院，2015.

[4]张晓慧，李元.COSO新框架下风险管理与内部控制的有机融合探讨[J].经营者：学术版，2013，27（6）：72-72.