COSO內控框架下企業風險控制

邵晶

企業經營、發展中面臨著大量風險，如內部的財務風險、人力資源風險等，外部的市場風險、政策風險等。風險控制是企業平穩經營與發展的必由之路，而COSO內控框架則在企業風險控制中發揮著指導性的作用。

COSO內控框架

COSO內控框架的構成要素 早在1949年，美國會計師協會便發布了《內部控制——調整組織各要素及管理當局和獨立職業會計師的重要性》，對內部控制的含義做了規定，即企業旨在保證會計資料可靠性和準確性、保護資產、推動管理部門所制定的各項政策得以貫徹執行而制定的組織計劃以及采用的各種方法和措施。美國會計師協會關于內部控制的定義，得到了廣泛的認可，成為內部控制的標準定義。1992年，美國會計師協會發布了《企業內部控制基本規范》，提出了COSO內控框架。COSO內控框架由五大要素構成：內部控制環境、風險評估、控制活動、信息與溝通、監督活動。內部控制環境指內部控制實施的外部環境，如組織架構、人力資源素質、企業文化等。風險評估指在風險識別的基礎上，借助一定的方法，對風險進行評估，識別出主要風險、關鍵風險，為風險控制提供依據?？刂苹顒又钙髽I為實現內部控制目標而采用的各種活動的統稱。信息與溝通指企業借助特定的渠道來搜集整理信息，并做好信息在企業內外部的傳遞。監督活動指企業為保障內部控制的有效開展而采取的監督活動。

COSO內控框架的目標 COSO內控框架的目標有三：一是經營目標。經營目標是針對企業業務流程的目標，以保證企業的正常運營為重點，具體內容包括識別和防范企業經營中可能存在的欺詐行為、查找企業財務管理中的漏洞等。二是報告目標。COSO內控框架下的報告，既包括傳統意義上的財務報告，也包括非財務報告，是反映企業內控情況的重要依據。報告目標以做好報告審查，確保報告信息的全面性、準確性、真實性為重點。三是合規目標。合規目標主要是針對企業法律風險的目標，即確保企業經營活動符合國家相關法律法規要求。

COSO內控框架下企業風險控制策略

優化風險控制環境 根據COSO內控框架，良好的內部控制環境是內部控制有效開展的先決條件。對此，要從以下三個方面優化企業風險控制環境：第一，健全風險控制組織架構。立足風險控制的重要性和必要性，在企業設立由主要領導負責的風險控制委員會，由風險控制委員會統籌負責風險控制事宜，如風險控制規程建設、風險控制計劃編制、風險控制效果檢查等，同時，在風險控制委員會下設立各小組，委托專門的小組負責不同領域的風險控制，有效改善風險控制政出多門的現象，提高風險控制的有效性。第二，增強風險控制意識。廣大員工風險控制意識不強，對企業風險控制的開展形成了很大的制約。要加強員工風險控制培訓，一方面，將風險控制的內容、要求等嵌入到崗位工作中，以具體、明確的崗位工作守則，增強員工風險控制意識，另一方面，建立健全員工培訓機制，將風險控制作為員工培訓的重點內容，綜合利用好課程教學、實踐演習、外派交流等方式，提升員工風險控制能力。第三，營造內部控制企業文化。企業文化作為企業最為重要的無形資產，不僅能夠體現企業的愿景、價值觀，對廣大員工也有激勵、引導、約束等多重作用，在企業的經營、發展中扮演著重要的角色。要深刻認識到企業文化的價值，推動風險控制與企業文化建設的深度融合，將風險控制的要素，如風險意識、溝通交流等，融入企業文化建設中，在企業內部形成良好的風險控制氛圍，從而推動風險控制的高質量開展。

健全風險評估機制 風險評估既是COSO內控框架五要素之一，也是風險控制的前置性工作。COSO內控框架下企業風險控制要將健全風險評估機制作為重點內容。第一，全面識別企業風險點。企業風險具有廣泛性、客觀性等特點，存在于企業經營、發展的各個方面。要做好企業風險點的識別，依托事故樹分析法、專家訪談法等方法，盡可能將所有風險點目錄識別出來，形成企業的風險點目錄。第二，加強風險評估。風險自身的差異性，決定了風險控制需要結合風險的實際情況，采取差異化的應對措施。風險評估本質上對風險的二度識別，在風險控制中有著重要的作用，一方面，風險評估能夠對風險的重要性進行排序，了解各類風險的發生概率及危害范圍，另一方面，風險評估也能提高風險控制的精準性，優化風險控制資源的配置，使企業將主要資源應用于重點風險的防控中。第三，做好風險分級。隨著風險控制實踐的不斷深入，風險評估方法也在增加。當前，風險評估方法主要包括定性評估法、定量評估法以及定性定量綜合評估法三類。其中，定性定量綜合評估法兼有定性評估、定量評估的優勢，是風險評估最為常見的方法。層次分析法為典型的定性定量綜合評估法，該方法不僅能夠以直觀的數據指標呈現風險權重，也能結合專家訪談賦分，確定風險等級。因此，要加強層次分析法在風險評估中的應用，合理確定風險的排序，為風險控制提供參考。一般而言，依據風險的發生概率及危害程度，可將風險分為重大風險、較大風險、一般風險、低風險。

創新風險控制方法 根據COSO內控框架，控制活動是實現內部控制目標的手段，相應的，COSO框架下的企業風險控制，也應將創新風險控制方法作為重點內容。

第一，推行全面風險控制方法。全面風險控制方法是提高企業風險控制水平的有效方法，以全方位、全流程、全員風險控制為主要特點。全方位風險控制要求企業將風險控制的觸角延伸到企業經營管理的各個方面，最大限度減少風險控制中的空白點。全流程風險控制要求企業將風險控制和企業的發展結合起來。全員風險控制要求企業將風險控制的責任細化，具體到每一個員工的崗位工作中。第二，加強信息技術在風險控制中的應用。信息技術在企業風險控制中有著廣泛的應用價值。應根據風險評估的結果，依托信息技術，打造風險預警模型，推動風險控制從事后應對向事前預防轉變，有效降低風險對企業經營發展的危害。同時，深刻認識到大數據技術的價值，充分利用好大數據技術強大的數據搜集能力以及分析能力，做好風險資料的分析工作，為企業強化風險控制提供可靠的依據。第三，強化風險控制方法的針對性。如前所言，企業風險具有系統性、全面性的特征。不同風險的表現形態、危害程度有著很大的差別。因此，要強化風險控制方法的針對性，圍繞風險的類型、特點，采取好針對性的控制方法。以法律風險為例，企業法律風險主要有合同風險、稅收風險、知識產權風險、內部權益風險等。應立足企業的實際情況，采取匹配程度高的風險控制方法。

加強風險控制溝通 信息溝通效率低是企業風險控制中的主要問題之一。應立足COSO內控框架，將風險控制溝通作為提高企業風險控制水平的重點。

第一，重塑企業組織架構。時至今日，不少企業采用的仍是科層制組織架構。隨著企業的發展壯大，科層制組織架構的弊端日益顯露，不僅導致了機構冗雜、人浮于事的局面，也影響了信息在企業內部流通的速度，增加了企業的風險。應從扁平化管理的角度出發，重塑企業組織架構，最大限度縮短中間層級的同時，推行大業務部制，將職能相同、相近的部門，整合為一個部門。扁平化管理能夠提高企業的市場反應速度，減少因信息不對稱而導致的風險。第二，加強企業信息化建設。信息技術的迅猛發展為企業加強風險控制溝通提供了幫助，而信息化建設則是企業風險控制溝通高效開展的關鍵。多數企業，特別是中大企業，信息化建設已取得了一定的成績，但也存在著各部門信息系統不兼容等問題。信息壁壘與信息孤島的存在，對企業風險控制帶來了一定的挑戰，應進一步做好企業信息化建設，打造集成化的企業信息系統，為風險控制溝通提供載體。第三，推進新媒體的運用。得益于網絡通信技術的更新迭代以及大屏智能終端的高度普及，各種類型的新媒體已經成為社會大眾信息獲取的主要載體，人類社會步入新媒體時代。新媒體為風險控制信息傳遞提供了新的載體，能夠有效提高風險控制信息傳遞效率。因此，要加強新媒體在風險控制信息傳遞中的應用，比如，將和風險控制相關的員工，拉到微信群中，發揮好微信群在信息即時化傳播中的作用。

做好風險控制監督 監督是COSO內控框架的重要一環，在企業內部控制中發揮著保障性的作用。因此，COSO框架下企業風險控制要切實做好風險控制監督。

第一，加強制度實施的檢查。為降低企業風險，保證企業的平穩經營與發展，不少企業均出臺了風險控制制度，如財務管理制度、人力資源管理制度等。然而，制度的執行情況并不樂觀，不少制度出臺后便被束之高閣。要將制度實施的檢查作為風險控制監督的重點，通過常態化檢查和不定期抽查相結合的方式，提高制度的執行力度，發揮好制度在企業風險控制中的作用。第二，出具檢查報告。報告目標是COSO內控框架的三大目標之一，出具檢查報告也是企業風險控制監督的重要手段。應根據風險控制監督的結果，出具書面報告，細致整理風險控制中的問題，闡明風險控制問題的成因，并提出合理化的整改建議。同時，要建立基于報告制度的跟蹤檢查機制，重點查看整改建議的落實情況，推動企業風險控制的持續完善。第三，強化責任主體的考核評價。風險存在于企業經營管理的各個方面，貫穿企業發展的全過程。對此，一方面要立足風險控制的目標、內容，做好風險控制任務的分解，將風險控制任務分解到各分支機構、各部門、各崗位的日常工作中，打造全員參與的風險控制機制，另一方面也要加強責任主體的考核評價，借助完善的考核指標體系、科學的考核方法，準確評價各責任主體在風險控制中的表現。同時，也要加強考核評價結果的應用，構建風險控制激勵機制。

COSO內控框架涵蓋內控環境、風險評估、控制活動、信息溝通、監督五大要素，對企業風險控制具有重要的指導作用。要從優化風險控制環境、健全風險評估機制、創新風險控制方法、加強風險控制溝通、做好風險控制監督五個方面出發，構建基于COSO內控框架的企業風險控制機制。

（作者單位：中鐵城建集團北京工程有限公司）