从企业内部控制迈向风险管理

从企业内部控制迈向风险管理COSO?风险框架?推动国企审计新变化上海市审计局经贸处 鲁心逸2021年4月20日【摘要】COSO?风险框架?是企业应对不确定世界的权威性管理操作指南。本文以COSO?内控框架?向?风险框架?转变为视角，解读?风险框架?“内部环境、“目标设定、“事项识别和“风险应对等新要素对现代企业管理的影响，并探讨企业风险管理和国企审计风险的互动关系，寻找识别国企审计风险中的“中国元素，着眼于推动国企审计的创新。【关键字】不确定 内部控制 风险管理 审计风险美国COSO委员会于2004年9月正式公布?企业风险管理整合框架?以下简称?风险框架?，在全球业内备受关注，得到广泛认同。这份现代企业风险管理务实性操作文件，被誉为企业界风险管理的“圣经，享有极高的专业权威。作为现代企业管理指导性文件，?风险框架?既是工作原那么和操作指南也是思维方法和学术观点，认真解读、理解并消化其中各项条款，对于推动国企审计十分重要。 一、?风险框架?拓宽企业管理新视域1、?风险框架?完成企业管理由内部控制向风险管理的跨越1994年，COSO正式发布?内部控制整合框架?，成为世界通行的权威性文献，被国际和各国审计准那么制定机构和银行监管机构和其他方面采纳。但是，由于长期以来，特别是2001年前后，发生在一些全球著名跨国公司中的财务丑闻和企业失败事件，使得COSO把关注焦点集中到风险应对和管理之上，并认为，需要一个强有力的框架以有效识别、评估、控制和应对企业面临的各类风险。因此，COSO于2004年正式发布?风险框架?。COSO关于从企业内部控制转向风险管理的成熟观点内含于?风险框架?的新增要素之中见表1。由于“战略目标同“目标设定相互关联，“风险组合观同“风险应对相互关联，所以，新四要素“内部环境、“目标设定、“事项识别、“风险应对在?风险框架?中占重要位置。从一定意义上说，?风险框架?是通过新四要素实现企业管理从内部控制向风险管理跨越的。表1：COSO ?内控框架?与?风险框架?比拟表类型COSO?内控框架?COSO ?风险框架?目标经营目标财务报告目标合规性目标战略目标新增经营目标财务报告目标合规性目标风险观没有提出风险组合观，只有风险评估从企业总体层面，提出风险组合观新增环境管理层及员工的内部控制观念管理层及员工的风险观念，并提出风险偏好概念要素控制环境风险评估控制活动信息与沟通监控内部环境更广义目标设定新增事项识别新增风险评估风险应对新增控制活动信息与沟通监控2“内部环境使得企业风险管理的覆盖面扩大且保障程度提高相对于?内控框架?中的“控制环境，“内部环境的主要变化在于两处，一是增加“风险理念和“风险容量子要素，二是将“董事会子要素的位置顺序提前。该变化向我们传递出两个信息，首先，企业风险管理必须有文化理念的精神保障，因为文化理念是企业各层面行为的内在选择依据。其次，企业风险管理必须有最高管理当局的组织保障，因为管理当局是企业各业务层面的外在行为指引。?风险框架?“内部环境从文化和组织两个层面扩大了?内控框架?“内控环境的覆盖范围,这样的变化恰当地反映了企业如何应对不确定的内在需要，是现代企业风险管理的经验总结。我们可以从大量的企业管理案例中找到由于企业文化和管理当局原因而使得企业经营失败的教训，其中对由于企业管理当局的原因导致企业重大失误的教训更是发人深省。据COSO报告显示，在1987-1997年期间提供虚假财务报告的美国公司中，83%以上的舞弊案件涉及首席执行官或财务主管。 3.“目标设定使得企业风险管理与战略目标紧密相连当今社会到处存在机遇，尤其是商务电子化、信息网络化、经济全球化等已经极大地拓展了企业活动的空间和范围。但是，在不确定世界中，机遇往往和风险并存，因此，做正确的事比正确地做事更重要。COSO“目标设定提示我们，企业风险管理必须同企业目标联系在一起，把企业行为同企业战略目标联系起来对于企业活动十分关键。COSO从两个方面提出“目标设定与企业风险管理的关系，一是从要素协同层面把“目标设定同“战略目标、“相关目标、“目标实现、“目标设定、“风险容量以及“风险容限联系在一起；二是从管理系统层面把“目标设定同“战略目标、“经营目标、“报告目标以及“合规目标联系在一起，形成企业风险管理中的“目标资源风险控制的逻辑顺序，由此丰富了企业应对不确定的思想认识。4.“事项识别要素使得企业风险管理由事后转向事前在充满不确定性的社会中，机遇难得而转瞬即逝是一种现实，对机遇稍微处理失当便会转为危机也是一种现实。对企业来说，如何在不确定中抓住机遇和妥善处理机遇，已经越来越被深刻理解为是成功企业的核心竞争能力。?内控框架?向我们提供的是一套应对经常而重复发生业务的静态内控体系，实践证明，已经无法满足大量出现的不确定动态管理的要求。?风险框架?通过“事项识别新要素向企业引入一套全新的事先预控机制，指导企业有效识别风险和机遇、有条不紊地快速应对来自内部和外界的风险，从而实现持续开展。同时，“事项识别新要素的本身也向企业引入事项间“相互依赖性的观念，在风险组合观的指导下，通过“影响因素、“事项识别技术、“识别类别以及“区分风险类别和时机等诸子要素共同作用，从处理技术上把“事项识别落到实处。“事项识别新要素的出现使得企业风险管理从事后转向事前，从而大大提高了企业成功的概率。5、“风险应对使得企业的风险管理策略由封闭走向开放COSO以?风险框架?取代?内控框架?是在全球从后工业社会逐步向信息社会转变的大背景下完成的。在后工业时代，企业的经营环境相对稳定，因此风险管理策略以“承受和“化解为主，而且企业通常能够以组织的“控制活动机制化解其内外所有的不确定因素。但是，当信息化时代来临，企业面临的机遇和挑战正如?风险框架?的卷首语所述：“所有的主体都面临不确定性，对于管理当局的挑战在于确定在被迫增加利益相关者价值的同时，准备承受多少不确定性。也就是说，由于外部资本投资的诱惑繁多，而企业的自身资源有限，因此理性地做出“风险应对选择已成为企业的生存智慧。?风险框架?“风险应对新要素向我们展示了四类风险应对的智慧，即躲避、降低、分担和承受。“风险应对新要素还指导企业管理层从“风险组合观的角度，即着眼整个企业集团的步调统一、各个业务板块的经营协调，考虑所有的风险反响方案组合对企业的系统影响，由此开拓了企业管理层应对不确定性的视野。 二、?风险框架?提出国企审计新要求1、?风险框架?拓展了识别企业审计风险的范围首先，?风险框架?要素工程数量的增加意味着企业风险管理范围的拓展。企业风险管理的有效依赖于?风险框架?诸要素整体功能有效。?风险框架?指出：“确定企业风险管理是否有效，是在对八个构成要素是否存在和有效运行的评估根底之上所做出的判断。同时，?风险框架?把要素包括子要素、目标、和主体从三个维度关联起来，整体形成内在联系，构成维护企业健康开展的实质性载体。?风险框架?新要素数量的增加使得企业风险管理的范围得到拓展。其次，?风险框架?要素功能覆盖面的扩大意味着企业风险管理范围的拓展。?风险框架?沿两条路径扩大了风险管理要素功能的覆盖面：一是扩大了处于构成风险管理秩序根底部位的“内部环境要素的功能。二是延伸了处于第二层面的其他要素的逻辑顺序。可以这样理解?风险框架?八要素之间的关系：八要素相互关联是一个有机整体，但“内部环境同其他七要素分处两个层面。“内部环境是企业风险管理秩序的提供根底保证，通过董事会、文化气氛等子要素，支持其余七要素发挥作用和有效实施，它像一把伞，把七要素保护起来见图1。“内部环境保护伞范围的扩大意味企业风险管理根底的扩大。相对于“内部环境，其余七要素那么同处于形成风险管理秩序的另一层面，按照“风险控制的逻辑顺序排列，而“目标设定和“事项识别的出现，使得诸要素排列向左得到延伸，形成“目标风险控制的新的逻辑顺序排列。?风险框架?诸要素功能拓展和排列延伸使得企业风险管理的范围得到拓展。目标设定内部环境信息与沟通风险应对风险评估监督事项识别控制活动图1：企业风险管理八要素关系图第三，新要素提供了识别国企审计风险的新线索。关注企业风险管理新要素的实质是，寻找识别国企审计风险新线索。从企业风险管理与企业审计风险互动关系来说，新要素既是推行企业风险管理的依据，也是评价企业风险管理的依据，更是识别对其审计风险的依据。我们的目标是，沿着企业风险管理新要素的开展路径找到识别国企审计风险的新线索，并依据我国国企实际情况开展识别审计风险的工作创新，最终提高国企审计工作的效率。由于COSO?风险框架?是以国际背景特别是美国背景为依据的，因此，寻找新要素的“中国元素对诊断国企审计风险具有重要的现实意义。2.把识别审计风险的线索延伸到“内部环境中组织和理念的源头相对于?内控框架?，?风险框架?“内部环境变化的实质是，把改善企业风险管理内部环境的努力沿两个方向作充分延伸，即一方面向作为企业组织结构源头的董事会延伸，另一方面向作为企业文化源头的风险理念和风险容量延伸。按照?风险框架?判断，在这两者之间，董事会份量更大，“管理层的管理理念是企业识别、承当和管理风险的方式和风格的出发点，企业风险管理的责任应更多地要由董事会承当，而非公司执行人员。事实上，现代企业舞弊案多发于管理层，远非?控制框架?“控制环境所能防范，因此，应当把“董事会子要素作为识别“内部环境是否存在审计风险的重点。由于我国国企经营环境较之兴旺国家更为复杂，识别反响在“内部环境方面的审计风险范围还应相应扩大，另有三项子要素应当引起重视，即“行政当局不少国企法人治理结构处于虚拟状态，董事会成员由上级行政指派，有的实际就是上级行政领导本人、“经理团队不少国企战略管理内驱缺乏，满足于眼前过得去，经理团队强势、“员工认同(国企多数员工视企业为其赖以维持生计的依据，会对企业秩序做出客观评价)。3.把识别审计风险的线索延伸到“目标设定中战略管理的源头任何企业风险都是相对于目标而言，反映在企业运营的各个层面。面对不确定现实，多数表达企业开展的目标都会伴随风险，而企业最大的风险产生于战略目标的选择之中，企业战略目标的失误是最大的失误，为实现战略目标而产生的风险是最大的风险，应当给予特别关注。COSO把企业风险管理的目标延伸至战略管理的源头，也把评价企业风险管理秩序的范围延伸至战略管理的源头，因此，识别国企审计风险在目标设定的范围也应延伸至战略管理的源头，即把“目标设定中“战略目标子要素作为识别审计风险的关键。由于我国特殊的国企运营环境，评价范围还应再有扩大，另有三项子要素对企业秩序十分重要，应当引起特别重视，即“目标改动频率不少国企视战略目标制定为纸上谈兵，稍遇变化即时常变更、“目标改动程序不少国企变动重大目标的程序形同虚设，在制度层面上存在不确定、“目标偏移幅度不少国企制定目标缺乏科学依据，常常凭借领导者主观愿望确定而实际脱离，使得最终结果偏移原定目标很大。4.把识别审计风险的线索延伸到“事项识别中事先掌控的源头在不确定世界中，所谓风险不是当下的现实，而是将来可能发生的现实，故应对风险的措施起点不在内部控制，而在事先判断并预先设防。COSO?风险框架?把企业风险管理的范围扩展到防患于未然，以“事项识别要素来表达如何应对不确定，是提升对企业风险管理水平的奉献，具有重要现实意义。显然，对国企审计而言，我们也应当按照?风险框架?这一思路，把识别审计风险的线索延伸到表达事先掌控的“事项识别要素上，沿着“影响因素、“事项识别技术、“相互依赖性等子要素的提示进行评价识别。同样，由于我国情况的特殊性，比照国企经营现状，另有三项子要素对企业风险管理秩序也很重要，应当给与关注，即“同行比照面对相同市场波动，管理当局的经营同业比拟是审计发现企业事项识别力的窗口、“关注焦点面对市场波动，管理层从识别到应对风险的时间跨度及相应程序、“历史记录审计人员应同时了解国企管理层在审计期间及前后一段时间的经营表现。5、把识别审计风险的线索延伸到“风险应对中系统思维的源头COSO?风险框架?提出的“风险应对是四方面子要素共同作用的结果，即对风险组合观念、风险应对策略、选择风险应对、衡量剩余风险相互关联作用成效的选择。凡风险应对，都是为阻止风险转变成危机，甚至沦为灾难的预先设防。从理论上讲，作为不确定，风险存在于一切方面，必须采用系统思维加以应对。所谓企业的风险应对是以企业作为系统，进行整体性思考，系统关注风险应对措施可能形成的附加风险、系统估计风险应对措施可能导致的剩余风险、系统检查风险应对措施可能给企业各业务板块产生的冲击等，考察企业受到的损害。参照我国情况，国企建立风险管理机制的历史短暂，内部控制机制也起步较晚，风险应对尚不成熟，政府审计需要站在社会系统的角度，关注国企风险应对的策略和措施对经济社会可能造成的影响。因此，三项子要素十分重要：即维护经济秩序一些国企会以法律法规不允许的方式转移风险，对经济秩序形成冲击、维护社会秩序一些国企会以社会责任和政治责任不相符的方式转移风险，对社会稳定形成伤害、当好经济谋士政府审计应运用行业优势，站高一层，给被审企业予以咨询和指导。三、结语?风险框架?是企业从内部控制迈向风险管理的务实型操作指南。国企审计在实际工作中，机械地以?风险框架?几个要素为依据进行风险管理评价，是不能想象的。但是，如果我们把COSO?风险框架?作为是一种思维、一组观点、一套策略，运用于不断变化的具体实际，就一定能创造出丰富多彩的成功经验，把国企审计提升到更高的境界。让我们共同期待！主要参考文献：1COSO，方红星等译，2004，?企业风险管理整合框架?:东北财经大学出版社2Steven J. Root，2004， 超越COSO：加强公司治理的内部控制：清华大学出版社3赵保卿，2005，内部会计控制制度设计：复旦大学出版社4胡为民，2021，内部控制与企业风险管理实务操作指南：电子工业出版社5牛成喆，2005，COSO框架下的内部控制：经济科学出版社 可修改 欢送下载 精品 Word