COSO1992的全稱(chēng)是《內(nèi)部控制-整體框架》(Internal Control-Integrated Framework)，主要內(nèi)容是三目標(biāo)五要素，三目標(biāo)是經(jīng)營(yíng)增效、財(cái)報(bào)質(zhì)量和法律合規(guī)，五要素是控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和交流、監(jiān)控。

在實(shí)踐過(guò)程中，COSO1992被認(rèn)為存在一些方面的局限性，包括對(duì)董事會(huì)作用認(rèn)識(shí)的不夠充分、內(nèi)部控制管理報(bào)告內(nèi)容局限于財(cái)報(bào)和固定時(shí)點(diǎn)、內(nèi)部控制系統(tǒng)不涉及戰(zhàn)略規(guī)劃/風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)管理、內(nèi)部控制的有效性評(píng)價(jià)方法基本是主管判斷等。作為COSO1992的起草者，COSO委員會(huì)即美國(guó)全國(guó)虛假財(cái)務(wù)報(bào)告委員會(huì)The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting（下屬Treadway委員會(huì)）對(duì)1992版本進(jìn)行了重大更新，并于2004年9月提出了新版本的框架-《企業(yè)風(fēng)險(xiǎn)管理-整體框架》(Enterprise Risk Management-Integrated Framework)。

值得一提的是，2006年，我國(guó)國(guó)資委發(fā)布《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，指引借鑒了COSO1992、COSO2004、薩班斯法案及其他各國(guó)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，提出企業(yè)風(fēng)險(xiǎn)管理包括三部分：風(fēng)險(xiǎn)管理流程、風(fēng)險(xiǎn)管理體系和風(fēng)險(xiǎn)管理解決方案。流程包括初始信息收集、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理策略、解決方案的設(shè)計(jì)和實(shí)施、監(jiān)督和改進(jìn)。管理體系包括組織體系和信息系統(tǒng)。管理文化包括目標(biāo)、內(nèi)涵和培育方法。

對(duì)比國(guó)資委《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》和COSO1992、COSO2004，可以看出風(fēng)險(xiǎn)管理概念在20世紀(jì)末、21世紀(jì)初國(guó)內(nèi)國(guó)際的一系列風(fēng)險(xiǎn)事件爆發(fā)后，逐漸深入人心，被廣為接受。COSO2004作為引領(lǐng)潮流的風(fēng)險(xiǎn)管理框架，具體是什么內(nèi)容呢？

首先回顧1992版本與2004版本在主要結(jié)構(gòu)與內(nèi)容上的區(qū)別：

COSO2004:企業(yè)風(fēng)險(xiǎn)管理整合框架的四目標(biāo)八要素

在框架內(nèi)容上，從三目標(biāo)五要素更新為四目標(biāo)八要素；在實(shí)施對(duì)象上，從業(yè)務(wù)單位-具體活動(dòng)的簡(jiǎn)單結(jié)構(gòu)擴(kuò)張到董事會(huì)-部門(mén)-業(yè)務(wù)單位-附屬機(jī)構(gòu)的多維度結(jié)構(gòu)。

圖中COSO2004為英文，其四目標(biāo)的中文含義是：戰(zhàn)略、經(jīng)營(yíng)、報(bào)告與合規(guī)。做適當(dāng)?shù)难由昀斫?，其含義應(yīng)當(dāng)是支持戰(zhàn)略決策、提升經(jīng)營(yíng)績(jī)效、保證報(bào)告質(zhì)量、符合法律法規(guī)。八要素的中文含義是：內(nèi)部環(huán)境、目標(biāo)設(shè)置、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、控制活動(dòng)、信息與溝通、監(jiān)督檢查。側(cè)面的實(shí)施對(duì)象為董事會(huì)-部門(mén)-業(yè)務(wù)單位-附屬機(jī)構(gòu)。

與COSO2004內(nèi)部控制框架一樣，目標(biāo)與要素的關(guān)系是相互交叉關(guān)聯(lián)的，每一個(gè)要素的實(shí)施都與目標(biāo)的達(dá)成有關(guān)。對(duì)比2004與1992版本中要素的區(qū)別，風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、監(jiān)控、信息與溝通依然保留，控制環(huán)境被內(nèi)部環(huán)境取代，增加了目標(biāo)設(shè)置、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)應(yīng)對(duì)三個(gè)要素。而目標(biāo)在兩個(gè)版本中的區(qū)別則非常明顯，2004版增加了戰(zhàn)略。

聯(lián)系目標(biāo)與要素的變化，要素目標(biāo)設(shè)置的含義被解釋為管理者制定企業(yè)的戰(zhàn)略目標(biāo)、選擇戰(zhàn)略方案、確定相關(guān)的子目標(biāo)并在企業(yè)內(nèi)層層分解和落實(shí)?？梢哉J(rèn)為直接與戰(zhàn)略目標(biāo)的實(shí)現(xiàn)相關(guān)。

事項(xiàng)識(shí)別要素可以認(rèn)為是對(duì)原風(fēng)險(xiǎn)評(píng)估要素的延申細(xì)化，事項(xiàng)識(shí)別要素的含義是管理者考慮會(huì)影響事項(xiàng)發(fā)生的各種企業(yè)內(nèi)外因素，嘗試識(shí)別某一事項(xiàng)是否會(huì)發(fā)生、何時(shí)發(fā)生、結(jié)果如何。風(fēng)險(xiǎn)評(píng)估使企業(yè)了解潛在事項(xiàng)如何影響企業(yè)目標(biāo)的實(shí)現(xiàn)，管理者應(yīng)從風(fēng)險(xiǎn)發(fā)生的可能性與造成的影響程度評(píng)估風(fēng)險(xiǎn)。事項(xiàng)識(shí)別-風(fēng)險(xiǎn)評(píng)估-風(fēng)險(xiǎn)應(yīng)對(duì)密不可分。

風(fēng)險(xiǎn)應(yīng)對(duì)要素的出現(xiàn)應(yīng)當(dāng)被視為2004版本框架相對(duì)于1992版本的重要改變，是對(duì)1992內(nèi)部控制框架被動(dòng)風(fēng)險(xiǎn)管理局限性的修正。提出了風(fēng)險(xiǎn)容忍度與成本效益原則下風(fēng)險(xiǎn)反應(yīng)方案的設(shè)計(jì)與執(zhí)行。這是主動(dòng)的、預(yù)測(cè)性的風(fēng)險(xiǎn)管理措施。

從1992框架的“控制環(huán)境”到2004版本的“內(nèi)部環(huán)境”，將風(fēng)險(xiǎn)管理框架的要求拓展到控制系統(tǒng)之外，涵蓋了組織、戰(zhàn)略、文化的部分，我認(rèn)為是此處變化的主要含義，歡迎探討。

除了這些重大變化，2004版本框架對(duì)重要概念的定義也是我們所關(guān)心的。

在這一版本中，“風(fēng)險(xiǎn)”被定義為“一個(gè)事項(xiàng)將會(huì)發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來(lái)負(fù)面影響的可能性”。而與之相對(duì)的，“機(jī)會(huì)”被定義為“一個(gè)事項(xiàng)將會(huì)發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來(lái)正面影響的可能性”。價(jià)值的保值與增值被認(rèn)為是“機(jī)會(huì)”所特有的。“事項(xiàng)”被認(rèn)為是“源于內(nèi)部或外部的影響目標(biāo)實(shí)現(xiàn)的事故或事件”。

“企業(yè)風(fēng)險(xiǎn)管理”被定義為“一個(gè)過(guò)程，由一個(gè)主體的董事會(huì)、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證”。具體的目標(biāo)內(nèi)容不屬于企業(yè)風(fēng)險(xiǎn)管理的范疇，但制定該目標(biāo)的過(guò)程則是企業(yè)風(fēng)險(xiǎn)管理關(guān)心的一部分。

首先，企業(yè)風(fēng)險(xiǎn)管理被認(rèn)為是一個(gè)過(guò)程；其次，風(fēng)險(xiǎn)容量在這個(gè)過(guò)程中至關(guān)重要，在既定戰(zhàn)略之下將指導(dǎo)資源配置。風(fēng)險(xiǎn)容量被認(rèn)為是主體內(nèi)部環(huán)境的一部分。

那么，如何評(píng)價(jià)COSO2004框架下企業(yè)風(fēng)險(xiǎn)管理的有效性呢？

1、這八個(gè)要素都必須正常存在和運(yùn)行。在小型機(jī)構(gòu)之中，各個(gè)構(gòu)成要素的方法可能不太正式或健全，但在每一個(gè)主體中這些基本的概念都應(yīng)當(dāng)存在。

2、通常一個(gè)主體作為整體評(píng)價(jià)風(fēng)險(xiǎn)管理有效性，例如董事會(huì)必須存在。但也存在單獨(dú)評(píng)價(jià)一個(gè)業(yè)務(wù)單元的情況，此時(shí)，只有存在類(lèi)似的機(jī)構(gòu)提供此要素的功能，該單元的風(fēng)險(xiǎn)管理才能被認(rèn)為有效。

實(shí)際上如何檢驗(yàn)和確保有效性的問(wèn)題，并未在框架中得到一個(gè)明顯的解決方案。如何評(píng)價(jià)風(fēng)險(xiǎn)管理的有效性是我非常困惑的地方。

最后還有一個(gè)明顯的疑問(wèn)：“內(nèi)部控制與風(fēng)險(xiǎn)管理的關(guān)系是怎樣的？”

COSO2004給出了觀點(diǎn)“內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理不可分割的一部分，這份企業(yè)風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制，從而構(gòu)建一個(gè)更強(qiáng)有力的概念和管理工具”：

1、全面風(fēng)險(xiǎn)管理（企業(yè)風(fēng)險(xiǎn)管理的另一個(gè)名字）涵蓋了內(nèi)部控制，內(nèi)部控制是風(fēng)險(xiǎn)管理的子系統(tǒng)。

2、內(nèi)部控制是全面風(fēng)險(xiǎn)管理的必要環(huán)節(jié)。內(nèi)部控制的動(dòng)力來(lái)自企業(yè)對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)和管理。對(duì)于企業(yè)面臨的大部分運(yùn)營(yíng)風(fēng)險(xiǎn)、或者說(shuō)企業(yè)的所有業(yè)務(wù)流程之中的風(fēng)險(xiǎn)，內(nèi)部控制系統(tǒng)是必要的、有效的風(fēng)險(xiǎn)管理方法。同時(shí)，維持充分的內(nèi)控系統(tǒng)也是國(guó)內(nèi)外許多法律法規(guī)的基本要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風(fēng)險(xiǎn)管理體系建設(shè)起來(lái)之后應(yīng)該達(dá)到的狀態(tài)。

3、兩者在活動(dòng)上不一致，全面風(fēng)險(xiǎn)管理包含的風(fēng)險(xiǎn)管理目標(biāo)和戰(zhàn)略的設(shè)定、風(fēng)險(xiǎn)評(píng)估方法的選擇、管理人員的聘用、有關(guān)的預(yù)算和行政管理以及報(bào)告程序等活動(dòng)都不在內(nèi)部控制的范圍內(nèi)。而對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估、控制活動(dòng)、信息與交流活動(dòng)及監(jiān)察糾正是都包含的。內(nèi)部控制沒(méi)有將企業(yè)戰(zhàn)略考慮在框架之中。這也是上文中強(qiáng)調(diào)的COSO1992與COSO2004在目標(biāo)上的區(qū)別。

4、兩者對(duì)風(fēng)險(xiǎn)的對(duì)策不一致，全面風(fēng)險(xiǎn)管理提出風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)容忍度、風(fēng)險(xiǎn)對(duì)策、壓力測(cè)試、情景分析等概念與方法，有利于企業(yè)的發(fā)展戰(zhàn)略與風(fēng)險(xiǎn)偏好相適配，聯(lián)系風(fēng)險(xiǎn)、增長(zhǎng)與匯報(bào)，參與經(jīng)濟(jì)資本的分配，支持業(yè)務(wù)決策。內(nèi)部控制缺乏這些手段?？梢哉f(shuō)這是COSO1992與COSO2004在目標(biāo)-要素上的區(qū)別。