1 COSO的内部控制整体框架和风险管理整体框架

COSO是美国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of TheNational Commis s ion of Fraudulent Financial Reporting）的英文缩写。该委员会专门致力于研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》（COSO-IC），简称COSO报告，1994年进行了增补。

2004年，COSO发布了其研究报告《企业风险管理———整体框架》。COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，在业内倍受推崇，在美国及全球得到广泛推广和应用。

1.1 COSO的内部控制整体框架

1.1.1控制环境。对企业控制的建立以及实施有重大影响的一系列因素的总称，包括员工的道德观、价值观、管理哲学、经营方式、组织结构、管理当局确立权威性和责任、组织和开发员工的方法等。

1.1.2风险评估。为了达成组织目标而对相关的风险所进行的辨别和分析，是提高企业内部控制效率和效果的关键，包括风险辨析和风险识别。

1.1.3控制活动。为了确保实现管理当局的目标而采取的政策和程序，包括业绩评价、信息处理控制、实物控制、职务分离、经营业绩的复核、资产的安全性等。

1.1.4信息与沟通。指信息在企业内部纵向之间、横向之间以及企业与外界之间进行有效的沟通，是为了确保员工履行责任而必须识别、获取的信息，这有助于提高内部控制的效率，及时为企业的生产经营决策提供准确并且全面的信息。

1.1.5监督。随着时间的推移及内外部因素的不断变化而对企业的内部控制框架进行检查以及评价的过程。

1.2 COSO的风险管理整体框架

2004年，COSO发布了其研究报告《企业风险管理———整体框架》。风险管理整体框架（ERM）是在内部控制整体框架基础上发展而来的。COSO指出，风险管理框架不想也没有替代内部控制框架，但它将内部控制框架整合在内，采用这一框架，企业既可以满足内部控制的需要，也可以建立一个完整的风险管理过程。

1.2.1内部环境。内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其他要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。

1.2.2目标设定。在管理层辨别影响其目标实现的潜在事项之前，必须有目标。企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，同时与其风险偏好相一致。

1.2.3事项识别。即识别那些影响组织目标实现的内外部事项，并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。

1.2.4风险评估。必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。

1.2.5风险应对。管理层应在不同的风险应对（包括回避、接受、降低、分担风险）中做出选择，从而采取一系列与组织的风险容忍度（risk tolerances）和风险偏好相一致的行动。

1.2.6控制活动。应建立相关的政策和程序，以确保风险应对策略得到有效的执行。控制活动通常包括两个要素：确定应从事何种活动的政策、执行政策的程序。

1.2.7信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息，并加以传递沟通，从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上，包括向下、向上以及平行交互沟通。

1.2.8监控。整个企业风险管理都应当加以监控，并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。

2内部控制与风险管理实务中存在的问题

2.1内部控制和风险管理的环境有待改善内部控制理论认为，内部环境对于企业战略目标的制定、业务活动的组织以及风险的识别都有着非常深刻的影响。企业内部控制不能充分发挥其作用，在很大程度上是由于缺乏一个良好的内部控制环境。另外，很多企业主要是从会计控制的角度来规范内部控制，这是远远不够的。

2.2内部控制和风险管理责任主体单一

目前，很多企业的内部控制和风险管理制度往往都是由经理层制定的，使经理层成为唯一的责任主体，导致企业出现“内部人控制”现象。内部控制和风险管理的主体应该是一条自上而下的链条，董事会、管理层和员工都是这个链条上不可缺少的环节。因此，有必要让企业所有的利益相关者，尤其是公司的股东和董事会认识到内部控制、风险管理的重要性和必要性，从而加强对内部控制的制定和监督。

2.3管理人员对内部控制和风险管理的认识和理解存在偏差

内部控制并不是各项规章制度的简单汇总，而是包括了制度的制定、执行以及对执行结果的考核。很多企业的管理人员风险管理意识淡薄，对内部控制认识不清，有些员工甚至认为内部控制、风险管理仅仅是企业高层的事情，这种责任与自己无关。

2.4某些企业缺乏明确的发展战略

某些企业缺乏明确的发展战略，没有制定适合自身发展的业务战略，为了短期目标常常转换行业，短期行为倾向非常明显，内部控制和风险管理水平亟待提升。

3 COSO报告对内部控制和风险管理的几点启示

3.1建立以风险管理为核心的企业内部控制体系

COSO框架最突出的特点是提高了对企业风险的关注程度，使企业内部控制逐渐呈现与风险管理一体化的趋势，即以风险管理为主导，建立适应企业发展战略新的内部控制体系。企业内部控制开始走向范围更宽泛的风险管理。企业应加强对风险的认识，将风险管理提升到一定的高度，逐步建立以风险管理为核心的内部控制体系。由于控制是需要成本的，董事会与管理层要将精力主要放在风险管理上，而不是对所有细节的控制上。对风险的管理是否及时、有效往往会关系到企业的生死存亡。只有将风险管理作为核心的内部控制才能为企业的存续和发展提供更大的支持。

3.2建立一个良好的内部控制环境，强化董事会的内部控制功能

内部控制环境不仅影响企业内部控制的贯彻执行，而且制约企业整体战略目标的实现。企业高层人员必须增强内部控制和风险管理的意识，注重企业文化建设，完善公司治理结构。在构成内部环境的要素中，董事会是重要的组成部分，对其他要素有着重大影响。在我国，受体制等方面的影响，很多企业的董事会形同虚设，内部控制缺乏应有的股东监督机制，更多地维系在经营者的觉悟上，关键人控制现象十分突出。应该认识到，董事会对企业的所有活动负有最终责任，要充分发挥董事会的监管作用，确保企业的各项活动符合其风险偏好、不超出其风险容忍度的范围，这样才能使企业健康地发展下去。

3.3加强监督机制，提高内部控制效率

公司治理的监督机制包括内部监督机制与外部监督机制。其中，内部监督机制是指股东大会、董事会、监事会等监督机制；外部监督机制指媒体、中介机构等监督机制。在目前很多企业缺乏完善的公司治理机制、内部环境较差的情况下，要使内部控制有效执行，必须借助于企业内、外部的监督机制，定期和不定期地对内部控制制度的执行情况进行检查与考核，不断发现问题、解决问题，从而不断修改或调整有关的控制环节和措施，促使内部控制日趋合理有效。

3.4强调全员参与，增强内部控制和风险管理的自觉性

全员管理是现代企业内部控制和风险管理的重要特征，在加强企业内部控制和风险管理的过程中，人的因素十分重要。这里所说的人，不仅仅是企业的管理人员、董事会成员或内部审计人员，而应包括来自企业的每一个员工。企业应当使所有员工了解自己在风险管理中的作用，确保企业内每一个员工都能清楚地知道其所拥有的权力和承担的责任，为企业总体目标的实现认真履行自己的职责。

3.5强调信息与沟通

信息和沟通对于良好的风险管理和内部控制相当重要，公司上层要及时向员工及外部了解企业面临的重大风险及其管理情况，下层要了解公司的风险管理战略和政策、措施，并有顺畅地向上反映及沟通风险管理和内部控制情况的渠道。