coo五要素分析,企业风险管理COSO2004-辨析内部控制与风险管理

文章目录：

• coso五要素分析
• 企业风险管理：COSO2004-辨析内部控制与风险管理
• coso五要素及每个要素的地位关于教育的小思考
• coso五要素是什么

coso五要素分析

COSO本身是一个委员会，COSO内控基本框架诞生于1992年,由五要素和相关目标组成（目前中国监管机构模仿的主要是这个模型）coso-ERM，企业风险管理模型，诞生于2004年，将COSO内控框架五个要素扩展到八个要素，其起源于像安然和世通财务舞弊案件后的反思。

它将审计的范围由简单的对账核对报表扩展到针对企业的内部控制制度设计和执行情况鉴证。企业也用这个模型来管理风险。

企业风险管理：COSO2004-辨析内部控制与风险管理

COSO1992的全称是《内部控制-整体框架》InternalControl-IntegratedFramework，主要内容是三目标五要素，三目标是经营增效、财报质量和法律合规，五要素是控制环境、风险评估、控制活动、信息和交流、监控。

在实践过程中，COSO1992被认为存在一些方面的局限性，包括对董事会作用认识的不够充分、内部控制管理报告内容局限于财报和固定时点、内部控制系统不涉及战略规划/风险评估/风险管理、内部控制的有效性评价方法基本是主管判断等。作为COSO1992的起草者，COSO委员会即美国全国虚假财务报告委员会TheCommitteeofSoponsoringOrganizationofTheNationalCommissionofFraudulentFinancialReporting（下属Treadway委员会）对1992版本进行了重大更新，并于2004年9月提出了新版本的框架-《企业风险管理-整体框架》EnterpriseRiskManagement-IntegratedFramework。

值得一提的是，2006年，我国国资委发布《中央企业全面风险管理指引》，指引借鉴了COSO1992、COSO2004、萨班斯法案及其他各国风险管理标准，提出企业风险管理包括三部分：风险管理流程、风险管理体系和风险管理解决方案。流程包括初始信息收集、风险评估、风险管理策略、解决方案的设计和实施、监督和改进。管理体系包括组织体系和信息系统。管理文化包括目标、内涵和培育方法。

对比国资委《中央企业全面风险管理指引》和COSO1992、COSO2004，可以看出风险管理概念在20世纪末、21世纪初国内国际的一系列风险事件爆发后，逐渐深入人心，被广为接受。COSO2004作为引领潮流的风险管理框架，具体是什么内容呢？

首先回顾1992版本与2004版本在主要结构与内容上的区别：

在框架内容上，从三目标五要素更新为四目标八要素；在实施对象上，从业务单位-具体活动的简单结构扩张到董事会-部门-业务单位-附属机构的多维度结构。

图中COSO2004为英文，其四目标的中文含义是：战略、经营、报告与合规。做适当的延申理解，其含义应当是支持战略决策、提升经营绩效、保证报告质量、符合法律法规。八要素的中文含义是：内部环境、目标设置、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查。侧面的实施对象为董事会-部门-业务单位-附属机构。

与COSO2004内部控制框架一样，目标与要素的关系是相互交叉关联的，每一个要素的实施都与目标的达成有关。对比2004与1992版本中要素的区别，风险评估、控制活动、监控、信息与沟通依然保留，控制环境被内部环境取代，增加了目标设置、事项识别、风险应对三个要素。而目标在两个版本中的区别则非常明显，2004版增加了战略。

联系目标与要素的变化，要素目标设置的含义被解释为管理者制定企业的战略目标、选择战略方案、确定相关的子目标并在企业内层层分解和落实。可以认为直接与战略目标的实现相关。

事项识别要素可以认为是对原风险评估要素的延申细化，事项识别要素的含义是管理者考虑会影响事项发生的各种企业内外因素，尝试识别某一事项是否会发生、何时发生、结果如何。风险评估使企业了解潜在事项如何影响企业目标的实现，管理者应从风险发生的可能性与造成的影响程度评估风险。事项识别-风险评估-风险应对密不可分。

风险应对要素的出现应当被视为2004版本框架相对于1992版本的重要改变，是对1992内部控制框架被动风险管理局限性的修正。提出了风险容忍度与成本效益原则下风险反应方案的设计与执行。这是主动的、预测性的风险管理措施。

从1992框架的“控制环境”到2004版本的“内部环境”，将风险管理框架的要求拓展到控制系统之外，涵盖了组织、战略、文化的部分，我认为是此处变化的主要含义，欢迎探讨。

除了这些重大变化，2004版本框架对重要概念的定义也是我们所关心的。

在这一版本中，“风险”被定义为“一个事项将会发生并给目标实现带来负面影响的可能性”。而与之相对的，“机会”被定义为“一个事项将会发生并给目标实现带来正面影响的可能性”。价值的保值与增值被认为是“机会”所特有的。“事项”被认为是“源于内部或外部的影响目标实现的事故或事件”。

“企业风险管理”被定义为“一个过程，由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。具体的目标内容不属于企业风险管理的范畴，但制定该目标的过程则是企业风险管理关心的一部分。

首先，企业风险管理被认为是一个过程；其次，风险容量在这个过程中至关重要，在既定战略之下将指导资源配置。风险容量被认为是主体内部环境的一部分。

那么，如何评价COSO2004框架下企业风险管理的有效性呢？

1、这八个要素都必须正常存在和运行。在小型机构之中，各个构成要素的方法可能不太正式或健全，但在每一个主体中这些基本的概念都应当存在。

2、通常一个主体作为整体评价风险管理有效性，例如董事会必须存在。但也存在单独评价一个业务单元的情况，此时，只有存在类似的机构提供此要素的功能，该单元的风险管理才能被认为有效。

实际上如何检验和确保有效性的问题，并未在框架中得到一个明显的解决方案。如何评价风险管理的有效性是我非常困惑的地方。

最后还有一个明显的疑问：“内部控制与风险管理的关系是怎样的？”

COSO2004给出了观点“内部控制是企业风险管理不可分割的一部分，这份企业风险管理框架涵盖了内部控制，从而构建一个更强有力的概念和管理工具”：

1、全面风险管理（企业风险管理的另一个名字）涵盖了内部控制，内部控制是风险管理的子系统。

2、内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。对于企业面临的大部分运营风险、或者说企业的所有业务流程之中的风险，内部控制系统是必要的、有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的基本要求。因此，满足内部控制系统的要求也是企业风险管理体系建设起来之后应该达到的状态。

3、两者在活动上不一致，全面风险管理包含的风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动都不在内部控制的范围内。而对风险进行评估、控制活动、信息与交流活动及监察纠正是都包含的。内部控制没有将企业战略考虑在框架之中。这也是上文中强调的COSO1992与COSO2004在目标上的区别。

4、两者对风险的对策不一致，全面风险管理提出风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念与方法，有利于企业的发展战略与风险偏好相适配，联系风险、增长与汇报，参与经济资本的分配，支持业务决策。内部控制缺乏这些手段。可以说这是COSO1992与COSO2004在目标-要素上的区别。

coso五要素及每个要素的地位关于教育的小思考

教育投资的回报可能不只是在一代，可能是两代甚至是第三代都会得以体现。也许是事情离自己越近所以感触也就越大。

从教育来说，不说其他，就从英语说起，在上海的任何地方对英语的要求都不会太低。有次同事在午餐时间说起自己家的小朋友在幼儿园，感觉口语不是很好，准备送去外教。还有次在学校教室遇到一个小朋友拿着平板和外教在视频，虽然说的单词都不是很难，但是小朋友的口语真的很标准。想起考研时，听伟哥谈起他们家的一一，五六岁可以和外国人无障碍的交流，从小看的就是英文原著故事，一个小朋友的单词量就不言而喻了。这样的例子太多太多，很多人会怀疑，觉得绑架了小朋友的童年，但是有时候恰恰相反，英语本来就是一种语言，就像我们从小学习的普通话或者是方言，在好奇中不自觉的就形成了语言体系。

在此之前看到青少年英语演讲大赛，很多选手逻辑性太强，语言流畅性，在场上的自如状态，让我叹为观止，顺便感叹自己被拍在了沙滩上。

上一代的无法改变，能改变的就是自身这一代，如果还要为了下一代做好准备，那就得需要加倍的努力。教育是回报率最高的投资，转换思维把教育学习当做是不那么痛苦的事情，保持好奇心，KeepLearning。

还有一个想说的话题就是，会计，这个职业。上次说到Corrie升职成CEO，在国际报刊上都有进行报道，确实收到很大鼓舞和感触，其中她的旧职务就是CFO，开会的时候也提到她其实不只是在财务方面很在行，而且对Business的部分也是了解的很清楚，会计如果对业务都不懂，那被财务机器人的替代掉的可能性是极大的。这学期上课提到最多的一个关联词就是“内部控制”，就算把COSO五个要素背的再清楚，但是我还是不能了解什么是真正的内控和怎么做才能做好内控。如果会计人员对业务有所熟悉，那么在做工作的时候就会对某些事情的舞弊产生职业怀疑并采取相应的行动，不管事前事中还是事后的，这应该也算是内控的一部分吧。

以前总觉的考个证书就能找好工作然后就能被带动，后来发现自己逻辑反了，要现在工作中主动并且加考证辅助然后才能有点作用，老师上课说到一个案例就是有个公司的CFO是上海交大数学系的学生，考过注会，司法等证书，但是公司预算总是做的不那么好，后来老师去看了一下问题，实际原因是老总把预算丢给CFO，但是CFO毕竟和其他部门老大都是平级的，说话的作用不是那么大，还有个原因是虽然CFO很牛逼的难考的证书都考过了，但是对管理会计的理解还不是那么深。老哥和我就说过很扎心的话……他觉得考试来说就是很简单的事，当然人家说这话是有资本的。考证不是目的啊喂！

感觉今天说的问题真的其实可讨论的太多，我也只能先分析分析这么浅层的，抛砖引玉，欢迎大家发表意见。

Thebesttimetoplantatreeistwentyyearsago.Thesecondbesttimeisnow.——《DeadAid》

coso五要素是什么