企业风险管理：COSO2004

COSO1992的全称是《内部控制-整体框架》(Internal Control-Integrated Framework)，主要内容是三目标五要素，三目标是经营增效、财报质量和法律合规，五要素是控制环境、风险评估、控制活动、信息和交流、监控。

在实践过程中，COSO1992被认为存在一些方面的局限性，包括对董事会作用认识的不够充分、内部控制管理报告内容局限于财报和固定时点、内部控制系统不涉及战略规划/风险评估/风险管理、内部控制的有效性评价方法基本是主管判断等。作为COSO1992的起草者，COSO委员会即美国全国虚假财务报告委员会The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting（下属Treadway委员会）对1992版本进行了重大更新，并于2004年9月提出了新版本的框架-《企业风险管理-整体框架》(Enterprise Risk Management-Integrated Framework)。

值得一提的是，2006年，我国国资委发布《中央企业全面风险管理指引》，指引借鉴了COSO1992、COSO2004、萨班斯法案及其他各国风险管理标准，提出企业风险管理包括三部分：风险管理流程、风险管理体系和风险管理解决方案。流程包括初始信息收集、风险评估、风险管理策略、解决方案的设计和实施、监督和改进。管理体系包括组织体系和信息系统。管理文化包括目标、内涵和培育方法。

对比国资委《中央企业全面风险管理指引》和COSO1992、COSO2004，可以看出风险管理概念在20世纪末、21世纪初国内国际的一系列风险事件爆发后，逐渐深入人心，被广为接受。COSO2004作为引领潮流的风险管理框架，具体是什么内容呢？

首先回顾1992版本与2004版本在主要结构与内容上的区别：

COSO2004:企业风险管理整合框架的四目标八要素

在框架内容上，从三目标五要素更新为四目标八要素；在实施对象上，从业务单位-具体活动的简单结构扩张到董事会-部门-业务单位-附属机构的多维度结构。

图中COSO2004为英文，其四目标的中文含义是：战略、经营、报告与合规。做适当的延申理解，其含义应当是支持战略决策、提升经营绩效、保证报告质量、符合法律法规。八要素的中文含义是：内部环境、目标设置、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查。侧面的实施对象为董事会-部门-业务单位-附属机构。

与COSO2004内部控制框架一样，目标与要素的关系是相互交叉关联的，每一个要素的实施都与目标的达成有关。对比2004与1992版本中要素的区别，风险评估、控制活动、监控、信息与沟通依然保留，控制环境被内部环境取代，增加了目标设置、事项识别、风险应对三个要素。而目标在两个版本中的区别则非常明显，2004版增加了战略。

联系目标与要素的变化，要素目标设置的含义被解释为管理者制定企业的战略目标、选择战略方案、确定相关的子目标并在企业内层层分解和落实。可以认为直接与战略目标的实现相关。

事项识别要素可以认为是对原风险评估要素的延申细化，事项识别要素的含义是管理者考虑会影响事项发生的各种企业内外因素，尝试识别某一事项是否会发生、何时发生、结果如何。风险评估使企业了解潜在事项如何影响企业目标的实现，管理者应从风险发生的可能性与造成的影响程度评估风险。事项识别-风险评估-风险应对密不可分。

风险应对要素的出现应当被视为2004版本框架相对于1992版本的重要改变，是对1992内部控制框架被动风险管理局限性的修正。提出了风险容忍度与成本效益原则下风险反应方案的设计与执行。这是主动的、预测性的风险管理措施。

从1992框架的“控制环境”到2004版本的“内部环境”，将风险管理框架的要求拓展到控制系统之外，涵盖了组织、战略、文化的部分，我认为是此处变化的主要含义，欢迎探讨。

除了这些重大变化，2004版本框架对重要概念的定义也是我们所关心的。

在这一版本中，“风险”被定义为“一个事项将会发生并给目标实现带来负面影响的可能性”。而与之相对的，“机会”被定义为“一个事项将会发生并给目标实现带来正面影响的可能性”。价值的保值与增值被认为是“机会”所特有的。“事项”被认为是“源于内部或外部的影响目标实现的事故或事件”。

“企业风险管理”被定义为“一个过程，由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。具体的目标内容不属于企业风险管理的范畴，但制定该目标的过程则是企业风险管理关心的一部分。

首先，企业风险管理被认为是一个过程；其次，风险容量在这个过程中至关重要，在既定战略之下将指导资源配置。风险容量被认为是主体内部环境的一部分。

那么，如何评价COSO2004框架下企业风险管理的有效性呢？

1、这八个要素都必须正常存在和运行。在小型机构之中，各个构成要素的方法可能不太正式或健全，但在每一个主体中这些基本的概念都应当存在。

2、通常一个主体作为整体评价风险管理有效性，例如董事会必须存在。但也存在单独评价一个业务单元的情况，此时，只有存在类似的机构提供此要素的功能，该单元的风险管理才能被认为有效。

实际上如何检验和确保有效性的问题，并未在框架中得到一个明显的解决方案。如何评价风险管理的有效性是我非常困惑的地方。

最后还有一个明显的疑问：“内部控制与风险管理的关系是怎样的？”

COSO2004给出了观点“内部控制是企业风险管理不可分割的一部分，这份企业风险管理框架涵盖了内部控制，从而构建一个更强有力的概念和管理工具”。