COSO内控框架下企业风险控制

邵晶

企业经营、发展中面临着大量风险，如内部的财务风险、人力资源风险等，外部的市场风险、政策风险等。风险控制是企业平稳经营与发展的必由之路，而COSO内控框架则在企业风险控制中发挥着指导性的作用。

COSO内控框架

COSO内控框架的构成要素 早在1949年，美国会计师协会便发布了《内部控制——调整组织各要素及管理当局和独立职业会计师的重要性》，对内部控制的含义做了规定，即企业旨在保证会计资料可靠性和准确性、保护资产、推动管理部门所制定的各项政策得以贯彻执行而制定的组织计划以及采用的各种方法和措施。美国会计师协会关于内部控制的定义，得到了广泛的认可，成为内部控制的标准定义。1992年，美国会计师协会发布了《企业内部控制基本规范》，提出了COSO内控框架。COSO内控框架由五大要素构成：内部控制环境、风险评估、控制活动、信息与沟通、监督活动。内部控制环境指内部控制实施的外部环境，如组织架构、人力资源素质、企业文化等。风险评估指在风险识别的基础上，借助一定的方法，对风险进行评估，识别出主要风险、关键风险，为风险控制提供依据。控制活动指企业为实现内部控制目标而采用的各种活动的统称。信息与沟通指企业借助特定的渠道来搜集整理信息，并做好信息在企业内外部的传递。监督活动指企业为保障内部控制的有效开展而采取的监督活动。

COSO内控框架的目标 COSO内控框架的目标有三：一是经营目标。经营目标是针对企业业务流程的目标，以保证企业的正常运营为重点，具体内容包括识别和防范企业经营中可能存在的欺诈行为、查找企业财务管理中的漏洞等。二是报告目标。COSO内控框架下的报告，既包括传统意义上的财务报告，也包括非财务报告，是反映企业内控情况的重要依据。报告目标以做好报告审查，确保报告信息的全面性、准确性、真实性为重点。三是合规目标。合规目标主要是針对企业法律风险的目标，即确保企业经营活动符合国家相关法律法规要求。

COSO内控框架下企业风险控制策略

优化风险控制环境 根据COSO内控框架，良好的内部控制环境是内部控制有效开展的先决条件。对此，要从以下三个方面优化企业风险控制环境：第一，健全风险控制组织架构。立足风险控制的重要性和必要性，在企业设立由主要领导负责的风险控制委员会，由风险控制委员会统筹负责风险控制事宜，如风险控制规程建设、风险控制计划编制、风险控制效果检查等，同时，在风险控制委员会下设立各小组，委托专门的小组负责不同领域的风险控制，有效改善风险控制政出多门的现象，提高风险控制的有效性。第二，增强风险控制意识。广大员工风险控制意识不强，对企业风险控制的开展形成了很大的制约。要加强员工风险控制培训，一方面，将风险控制的内容、要求等嵌入到岗位工作中，以具体、明确的岗位工作守则，增强员工风险控制意识，另一方面，建立健全员工培训机制，将风险控制作为员工培训的重点内容，综合利用好课程教学、实践演习、外派交流等方式，提升员工风险控制能力。第三，营造内部控制企业文化。企业文化作为企业最为重要的无形资产，不仅能够体现企业的愿景、价值观，对广大员工也有激励、引导、约束等多重作用，在企业的经营、发展中扮演着重要的角色。要深刻认识到企业文化的价值，推动风险控制与企业文化建设的深度融合，将风险控制的要素，如风险意识、沟通交流等，融入企业文化建设中，在企业内部形成良好的风险控制氛围，从而推动风险控制的高质量开展。

健全风险评估机制 风险评估既是COSO内控框架五要素之一，也是风险控制的前置性工作。COSO内控框架下企业风险控制要将健全风险评估机制作为重点内容。第一，全面识别企业风险点。企业风险具有广泛性、客观性等特点，存在于企业经营、发展的各个方面。要做好企业风险点的识别，依托事故树分析法、专家访谈法等方法，尽可能将所有风险点目录识别出来，形成企业的风险点目录。第二，加强风险评估。风险自身的差异性，决定了风险控制需要结合风险的实际情况，采取差异化的应对措施。风险评估本质上对风险的二度识别，在风险控制中有着重要的作用，一方面，风险评估能够对风险的重要性进行排序，了解各类风险的发生概率及危害范围，另一方面，风险评估也能提高风险控制的精准性，优化风险控制资源的配置，使企业将主要资源应用于重点风险的防控中。第三，做好风险分级。随着风险控制实践的不断深入，风险评估方法也在增加。当前，风险评估方法主要包括定性评估法、定量评估法以及定性定量综合评估法三类。其中，定性定量综合评估法兼有定性评估、定量评估的优势，是风险评估最为常见的方法。层次分析法为典型的定性定量综合评估法，该方法不仅能够以直观的数据指标呈现风险权重，也能结合专家访谈赋分，确定风险等级。因此，要加强层次分析法在风险评估中的应用，合理确定风险的排序，为风险控制提供参考。一般而言，依据风险的发生概率及危害程度，可将风险分为重大风险、较大风险、一般风险、低风险。

创新风险控制方法 根据COSO内控框架，控制活动是实现内部控制目标的手段，相应的，COSO框架下的企业风险控制，也应将创新风险控制方法作为重点内容。

第一，推行全面风险控制方法。全面风险控制方法是提高企业风险控制水平的有效方法，以全方位、全流程、全员风险控制为主要特点。全方位风险控制要求企业将风险控制的触角延伸到企业经营管理的各个方面，最大限度减少风险控制中的空白点。全流程风险控制要求企业将风险控制和企业的发展结合起来。全员风险控制要求企业将风险控制的责任细化，具体到每一个员工的岗位工作中。第二，加强信息技术在风险控制中的应用。信息技术在企业风险控制中有着广泛的应用价值。应根据风险评估的结果，依托信息技术，打造风险预警模型，推动风险控制从事后应对向事前预防转变，有效降低风险对企业经营发展的危害。同时，深刻认识到大数据技术的价值，充分利用好大数据技术强大的数据搜集能力以及分析能力，做好风险资料的分析工作，为企业强化风险控制提供可靠的依据。第三，强化风险控制方法的针对性。如前所言，企业风险具有系统性、全面性的特征。不同风险的表现形态、危害程度有着很大的差别。因此，要强化风险控制方法的针对性，围绕风险的类型、特点，采取好针对性的控制方法。以法律风险为例，企业法律风险主要有合同风险、税收风险、知识产权风险、内部权益风险等。应立足企业的实际情况，采取匹配程度高的风险控制方法。

加强风险控制沟通 信息沟通效率低是企业风险控制中的主要问题之一。应立足COSO内控框架，将风险控制沟通作为提高企业风险控制水平的重点。

第一，重塑企业组织架构。时至今日，不少企业采用的仍是科层制组织架构。随着企业的发展壮大，科层制组织架构的弊端日益显露，不仅导致了机构冗杂、人浮于事的局面，也影响了信息在企业内部流通的速度，增加了企业的风险。应从扁平化管理的角度出发，重塑企业组织架构，最大限度缩短中间层级的同时，推行大业务部制，将职能相同、相近的部门，整合为一个部门。扁平化管理能够提高企业的市场反应速度，减少因信息不对称而导致的风险。第二，加强企业信息化建设。信息技术的迅猛发展为企业加强风险控制沟通提供了帮助，而信息化建设则是企业风险控制沟通高效开展的关键。多数企业，特别是中大企业，信息化建设已取得了一定的成绩，但也存在着各部门信息系统不兼容等问题。信息壁垒与信息孤岛的存在，对企业风险控制带来了一定的挑战，应进一步做好企业信息化建设，打造集成化的企业信息系统，为风险控制沟通提供载体。第三，推进新媒体的运用。得益于网络通信技术的更新迭代以及大屏智能终端的高度普及，各种类型的新媒体已经成为社会大众信息获取的主要载体，人类社会步入新媒体时代。新媒体为风险控制信息传递提供了新的载体，能够有效提高风险控制信息传递效率。因此，要加强新媒体在风险控制信息传递中的应用，比如，将和风险控制相关的员工，拉到微信群中，发挥好微信群在信息即时化传播中的作用。

做好风险控制监督 监督是COSO内控框架的重要一环，在企业内部控制中发挥着保障性的作用。因此，COSO框架下企業风险控制要切实做好风险控制监督。

第一，加强制度实施的检查。为降低企业风险，保证企业的平稳经营与发展，不少企业均出台了风险控制制度，如财务管理制度、人力资源管理制度等。然而，制度的执行情况并不乐观，不少制度出台后便被束之高阁。要将制度实施的检查作为风险控制监督的重点，通过常态化检查和不定期抽查相结合的方式，提高制度的执行力度，发挥好制度在企业风险控制中的作用。第二，出具检查报告。报告目标是COSO内控框架的三大目标之一，出具检查报告也是企业风险控制监督的重要手段。应根据风险控制监督的结果，出具书面报告，细致整理风险控制中的问题，阐明风险控制问题的成因，并提出合理化的整改建议。同时，要建立基于报告制度的跟踪检查机制，重点查看整改建议的落实情况，推动企业风险控制的持续完善。第三，强化责任主体的考核评价。风险存在于企业经营管理的各个方面，贯穿企业发展的全过程。对此，一方面要立足风险控制的目标、内容，做好风险控制任务的分解，将风险控制任务分解到各分支机构、各部门、各岗位的日常工作中，打造全员参与的风险控制机制，另一方面也要加强责任主体的考核评价，借助完善的考核指标体系、科学的考核方法，准确评价各责任主体在风险控制中的表现。同时，也要加强考核评价结果的应用，构建风险控制激励机制。

COSO内控框架涵盖内控环境、风险评估、控制活动、信息沟通、监督五大要素，对企业风险控制具有重要的指导作用。要从优化风险控制环境、健全风险评估机制、创新风险控制方法、加强风险控制沟通、做好风险控制监督五个方面出发，构建基于COSO内控框架的企业风险控制机制。

（作者单位：中铁城建集团北京工程有限公司）