内部控制与风险管理（第3版）课件：COSO框架

COSO框架内部控制与风险管理学习目标CONTENTS目录2.1内部控制整合框架（1992年版）2.2风险管理整合框架（2004年版）

2.3内部控制整合框架与风险管理整合框架的比较2.4COSO内部控制与风险管理框架的修订与完善引例——海航集团破产重组的最终结局重整后海航集团将拆分为四个独立板块

2021年9月18日，海南省海航集团联合工作组组长、海航集团党委书记顾刚主持召开2021年度39周安全生产经营例会，集团高管、海航航空及各事业部经营团队、重点企业主要负责人、各体系业务骨干、一线特业员工代表近2000人参会。

顾刚表示，如果顺利完成破产重整，海航集团将拆分为四个完全独立运营的板块———航空板块、机场板块、金融板块、商业及其他板块，各自由新的实控人股东带领前行，相互完全独立，确保各板块各自回归主业、健康发展。顾刚强调，盲目多元化的道路很难走好，各公司要力争通过重整，重塑自身、提升管理、发展业务，在各自的主业领域深耕细作。海航集团官网显示，目前集团业务板块已缩减为四个，分别是：海航航空事业部、航空空港事业部、航空租赁事业部、非航空资产管理事业部。

在集中主业发展的同时，房地产开发等业务将被逐渐剥离。顾刚在此前的上市公司海航基础（600515）专研调研会上表示，如重整成功，海航基础要逐步退出房地产开发业务，紧紧围绕机场发展及免税商业发展两大核心业务板块谋篇布局。要积极谋划加速国兴大道沿线地产项目的出让与盘活，加速退出房地产类投资。重整后老股东团队股权将清零顾刚在上述例会中进一步透露，重整后老股东团队及慈航基金会在海航集团及成员企业的权益将全部清零，不再拥有相关股权。老股东团队股权将依法依规清零，这意味着陈峰等创始团队将正式退出海航集团及旗下数以千计的海航系公司，同时慈航公益基金会与海航集团的关系将彻底被切割。

顾刚表示，这一安排既是法治化、市场化破产重整的法律要求，是股东必须承担的基本责任，也是民营企业野蛮生长带来的必然后果。海航集团上下要深刻反思企业28年的发展，不断吸取过去盲目扩张、没有敬畏的教训。

走向破产重整的“重生”之路

由于无法清偿到期债务，1月29日，海航集团官网和官微以及相关上市公司齐发公告，宣告海航集团走向破产重整的“重生”之路。进入重整程序后，海航集团一直在为旗下航空主业板块、机场板块及供销大集（非航资产）招募战略投资者。

9月12日，*ST海航、*ST基础分别发布公告，确定辽宁方大集团实业有限公司为海航集团航空主业战略投资者，同时确定海南省发展控股有限公司为海航集团机场板块战略投资者，若投资完成，战略投资者可能成为公司控股股东。顾刚在经营例会中指出，如果顺利完成重整，航空主业通过引战，将达到回归主业的目的，彻底甩掉历史包袱、轻装上阵。重整完成后，以前高额的航空主业财务总费用预计将下降80%以上。

内部控制是保证公司良好运行的基础。国内外大量的公司经营失败案例告诉我们，内部控制是关系企业生死存亡的重大问题。设计一套适合自身的内部控制制度是对企业的基本要求，是内部控制有效运行的前提与基础。因此，明确规范标准至关重要。目前，在世界范围内影响力最大的内部控制制度标准当属美国COSO发布的《内部控制——整合框架》和《企业风险管理——整合框架》。本章将主要介绍这两个具有重要意义的内部控制框架及其发展。

1992年版《内部控制———整合框架》，是目前国际上认同度最高和最具有权威性的内部控制概念框架，提出了内部控制的概念、目标及其五个要素。2.1内部控制整合框架（1992年版）2.1内部控制整合框架（1992年版）2.1.1内部控制的定义2.1.2内部控制的要素2.1.3内部控制整合框架的局限性

1.内部控制的定义

《内部控制———整合框架》认为，内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。

第一，内部控制是一个过程。内部控制是实现目的的手段，而非目的本身。它是一个动态的过程，即从整体控制看，包括制度设计、制度执行和制度评价（对制度设计和执行情况的检查）等阶段；从业务控制看，一般应采取事前控制、事中控制和事后控制等措施。“进一步说明”第二，人的因素。内部控制不仅是政策手册和图标，而且受到企业董事会、经理层和其他人员的影响，是通过企业员工的言行实现的。第三，合理保证。（1）内部控制，无论设计和执行多么理想，也只能就企业目标的实现向经理层和董事会提供合理的保证。（2）“合理保证”意味着内部控制制度的设计和执行并不代表可以“包治百病”，也不意味着企业可以“万事无忧”。（3）企业目标实现的可能性受到内部控制内在局限的影响，比如人员决策可能失误,建立内部控制时需考虑成本效益原则,人为错误和失误也会带来内部控制失效。

（4）内部控制会因两个或更多人的合谋串通而失效，而且经理层可能会越权操作。案例2-1P42女白领侵吞１亿元资产暴露管理漏洞案例2-2P43京东重申“腐败零容忍”第四，目标。COSO的《内部控制——整合框架》确定了三类目标：（1）经营目标——关于企业资源利用的效率、效果；（2）财务报告目标——关于编制公开财务报表的可靠性；（3）遵循性目标——关于法律和法规的遵循性。案例2-3P45华夏银行５天连收５张罚单2.内部控制的要素图2-1内部控制五要素01）控制环境控制环境决定了企业的基调，其好坏直接影响企业员工的控制意识、企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。02）风险评估每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化，企业需要确立一套机制来识别和应对由这些变化带来的风险。03）控制活动03）控制环境控制活动指那些有助于管理层决策顺利实施的政策和程序。企业应根据风险评估的结果，采用相应的控制措施，将风险控制在可承受范围之内。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。04）信息与沟通企业应以一定的形式、在一定的时间范围内识别、获取和沟通相关信息，以使企业内部各层次员工能够顺利履行其职责。

第一，公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。第二，有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。05）监控内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。案例2-4

P47海康威视公司授权管理制度3.内部控制整合框架的局限性“内部控制的固有局限”：（1）决策人判断上的失误，由于简单差错或错误导致的失效（2）两个或更多的人联合欺诈或串通以绕过内部控制（3）管理层凌驾于内部控制之上而失效和外部不受控事件的影响（4）管理层凌驾于内部控制之上而失效和外部不受控事件的影响

——由于上述的固有局限，使得董事会和管理层无法对组织目标的实现提供绝对保证，因而内部控制提供的是合理保证而非绝对保证。管理层在选取、推进和实施内部控制时，仍应当考虑并最大可能将这些内在的局限性最小化。案例2-5

P49万年青再曝财务黑洞，内控成上市公司软肋

2004年9月，COSO发布了《企业风险管理——整合框架》（简称ERM框架），新的框架是在1992年的《内部控制——整合框架》的基础上，结合《萨班斯——奥克斯利法案》在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得益于COSO1992年报告所做的工作。2.2风险管理整合框架（2004年版）但由于风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比1992年报告的讨论更为全面、更为深刻。此外，COSO在其风险管理框架讨论稿中也说明，风险管理框架建立在内部控制整合框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制整合框架的范围更为广泛，是对内部控制整合框架的扩展，是一个主要针对风险的更为明确的概念。2.2.1风险管理的定义2.2.2风险管理整合框架的目标

2.2.4对风险管理整合框架的评价

2.2.5风险管理整合框架的局限性

2.2.3风险管理整合框架的要素

2.2风险管理整合框架（2004年版）风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。1.风险管理的定义

该定义强调：1）企业风险管理是一个过程2）企业风险管理是一个由人参与的过程3）风险管理过程可应用于战略制订4）风险管理过程可应用贯穿于整个企业5)风险管理过程旨在识别一旦发生将会影响主体的潜在事项6)设计合理、运行有效的风险管理能够向企业的管理当局和董事会在企业的各目标的实现上提供合理保证。7)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标《ERM框架》将主体的目标分成以下四类：1）战略目标:它是企业高层次的目标，与企业的使命、愿景相协调，并支持使命和愿景。2）经营目标:经营目标与企业经营的有效性和效率有关，包括业绩和盈利目标以及保护资源不受损失，它因管理层对结构和业绩的选择不同而不同。3）报告目标:报告目标与报告的可靠性有关，包括内部与外部报告，并且可能涉及财务与非财务信息。4）合规目标:合规目标与符合相关法律和法规有关，取决于外部因素。在一些情况下对所有企业都适用，在另一些情况下则在一个行业内有共性。案例2-6P52同济堂内控失效“爆雷”不断，再曝逾10亿元违规担保2.风险管理整合框架的目标3.风险管理整合框架的要素企业风险管理包括八个相互关联的构成要素，它们源于管理层经营企业的方式，并与管理过程融合在一起，这些构成要素是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。根据COSO的《ERM框架》，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一整体；同时，对内部控制要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。案例2-7P54巨石股份风控一体化建设1）内部环境管理层确立关于风险的理念，并确定风险容量。所有企业的核心都是人———他们的品性，包括诚信、道德价值观和胜任能力———以及经营所处的环境。2）目标设定企业风险管理确保管理层采取恰当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与该主体的风险容量相一致。3）事项识别必须识别可能对主体产生影响的潜在事项。事项识别是指从影响目标实现的内部或外部原因中识别潜在的事项，包括区分代表风险的事项和代表机会的事项，以及二者兼有的事项。4)风险评估要对识别的风险进行分析，以便确定对风险进行管理的依据。风险与可能被影响的目标相关联，既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。添加标题员工应识别和评价可能的风险应对，包括回避、承担、降低和分担风险等。管理层应采取一系列措施使风险与主体的风险容忍度相适应制定和实施政策与程序以确保管理层所选择的风险应对得以有效实施。企业在经营过程中须按某种形式辨识、取得确切的信息以确保员工履行其职责，并且能够借助这些信息来识别、评估和应对风险。对企业风险管理进行全面监控，必要时加以修正。通过这种方式，风险管理能够得到动态反映，并根据条件而变化。5）风险应对6）控制活动7）信息与沟通8）

监控4.对风险管理整合框架的评价《ERM框架》再一次强调了系统的概念，即在实施企业整体风险管理过程中，主体中的每个人都对企业风险管理负有责任。《ERM框架》可以为不同的利益相关者提供有效的借鉴和指导。案例2-8P59从“中兴事件”看企业风险管理5.风险管理整合框架的局限性

企业风险管理设计和运行得再好，也只能向管理层和董事会提供有关主体目标实现的合理保证。目标的实现受到所有管理过程中固有局限性的影响。第一，风险与未来有关，而未来本身就具有不确定性。第二，企业风险管理针对不同的目标在不同的层次上运行。第三，企业风险管理不能对任何一类目标提供绝对保证。

COSO内部控制被涵盖在企业风险管理框架之内，是其不可分割的一部分。企业风险管理比内部控制更广泛，引入风险管理，拓展和细化了内部控制，形成一个更全面、更强有力的关注风险的概念。2.3内部控制整合框架与风险管理整合框架的比较2.3.1引入风险组合观2.3.2新增战略目标并扩大了报告目标的范畴

2.3.4新增风险管理三要素—目标设定、事项识别、风险应对

2.3.5将“控制环境”改为“内部环境”

2.3.3引入两个新的概念—风险偏好和风险容忍度2.3.6拓展了“信息与沟通”要素2.3内部控制整合框架与风险管理整合框架的比较不仅要单独考虑各个风险，更要从总体的、组合的角度去理解风险。对企业内部的每个单位而言，风险可能落在该单位的风险可接受程度范围内，但从企业总体来看，总风险可能会超过企业总体的风险偏好范围。因此，企业风险管理要求以风险组合观看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。在《内部控制整合框架》的基础上，《ERM框架》引入了风险组合观，即在单独考虑如何实现企业各个目标的过程中《ERM框架》更看重风险因素。1.引入风险组合观2.

增加了战略目标并扩大了报告目标的范畴在《内部控制——整合框架》将企业的目标分成三类，即经营目标、报告目标、合规性目标。《ERM框架》也包含这三个目标，其中经营目标、合规性目标与内部控制这个和框架中的定义相同，但对报告目标的界定有所不同。内部控制整合框架中的报告目标只包括公开披露的财务报告，而在《ERM》框架中，报告目标有很大的扩展，覆盖了企业所编制的所有报告，既包括对内报告，也包括对外的报告；既包括法定报告，也包括向其他利益相关者提供的非法定报告；既包括财务信息，也包括非财务信息。另外，《ERM框架》还增加了一个新的目标，即战略目标，它处于比其他目标更高的层次。从广义上看，风险偏好是指企业在实现其目标的过程中所愿意接受的风险的数量，它在制定战略和选择相关目标时起到风向标的作用。从定性的角度，一般将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。风险容忍度是指在企业目标实现的过程中所能接受的偏离程度，是企业在风险偏好的基础上设定的对相关目标实现过程中对差异的可接受程度。3.引入两个新的概念—风险偏好和风险容忍度4.新增风险管理三要素—目标设定、事项识别、风险应对

《ERM框架》在《内部控制—整合框架》的基础上新增了三个风险管理要素：目标设定、事项识别、风险应对。它们将企业的管理重心更多地移向风险管理。因此，《ERM框架》拓展了COSO的风险评估要素。目标设定、事项识别、风险评估与风险应对四个要素环环相扣，共同构成了风险管理的完整过程。1）目标设定在目标设定上，在ERM框架中，由于要针对不同的目标分析其相应的风险，因此，目标设定自然成为风险管理流程的首要步骤。2）事项识别《ERM框架》讨论了潜在事项的概念，将潜在事项定义为来自企业内部或外部资源的可能影响企业战略执行或目标实现的一件或一系列的偶发事件或事项。有正面影响的潜在事项代表机会，而那些有负面影响的潜在事项代表风险。《ERM框架》采用一系列技术来识别有关事项及其起因，对企业的潜在事项以及事项的发展趋势进行计量。3）风险应对《ERM框架》中提出了四类风险应对策略：规避、降低、分担和承受。管理层应比较不同应对策略的潜在影响，在企业风险容忍度范围的假设下，考虑风险应对策略的选择。在个别和分组考虑风险的各应对策略后，企业管理层应从总体的角度考虑企业选择的所有风险应对策略组合后对企业的总体影响。案例2-9P62从乐视欠款看供应链风险管理5.将“控制环境”改为“内部环境”《ERM框架》对控制环境要素进行了深化和拓展，将内部控制整合框架中的“控制环境”改为“内部环境”，强调了董事会的风险管理理念。《ERM框架》对控制环境要素进行了深化和拓展，将内部控制整合框架中的“控制环境”改为“内部环境”，强调了董事会的风险管理理念。《ERM框架》拓展了企业信息与沟通的构成内容，认为企业的信息应包括来自过去、现在和未来的潜在事项的数据，而不仅仅关注历史信息。6.拓展了“信息与沟通”要素案例2-10P64全球零售巨头沃尔玛健全有效的内部控制解读2.4COSO内部控制与风险管理框架的修订与完善2.4.12013年版《内部控制———整合框架》

2.4.22017年版《企业风险管理———与战略和业绩的整合》2.4.3COSO内部控制与风险管理新框架对我国的影响

第一突出了原则导向

第二扩大了报告目标类型

第三强调管理层判断的使用

第四迎合了新环境下内部控制的需求注：2013年版《内部控制———整合框架》并没有推翻原有的要素框架和目标体系,在概念界定、设立原则、有效性的认定方面也基本沿袭了以前的做法。1.

2013年版《内部控制———整合框架》1）新整合框架的主要变化案例2-11P68玛氏公司（MARS）如何将风险管理融入战略和绩效2）对新框架变化的评价与1992年版《内部控制———整合框架》相比，2013年版《内部控制———整合框架》主要有三大亮点，即更实、更活、更稳。①更实：提供了内控体系建设的原则、要素和工具②更活：强调企业可有自己的判断③更稳：强调内控有效性的认定2.

2017年版《企业风险管理——与战略和业绩的整合》

1）《新ERM框架》的主要变化第一，重新定义了风险及风险管理。风险被重新定义为“事项发生并影响战略和商业目标实现的可能性”，相比《ＥＲＭ框架》只强调风险的“负面性”，新框架将风险的范畴扩大到风险的“正面”和“负面”影响。第二，是一个真正的“管理框架”而不再是“控制框架”。

新框架从企业使命、愿景和核心价值出发，宗旨为提升主体的价值和业绩，强调嵌入企业管理业务活动和核心价值链。第三，突出原则导向,重构了风险管理的要素框架。

企业新框架摒弃了原有框架的八要素设计，而是借鉴2013年版《内部控制———整合框架》应用要素和原则的编写结构，在５个要素下分别列示20项原则。案例2-12P73渝富集团全面风险管理系统的构建与运用目标定位更明确

新框架将风险管理置于组织绩效的背景下，真正融入战略和绩效管理的工作中，而不是作为一个独立运转的系统。概念边界更清晰

一方面，企业风险管理的相关概念并没有包含在内部控制中。另一方面，一些在内部控制中比较常见的概念在《新ERM框架》中并未述及。适用范围更广泛

新框架的主体适用性已经从企业拓展到各种类型的主体或组织。从理论上来讲，只要一个主体有明确的愿景、使命和核心价值观，设定了所要达到的目标，风险管理框架就具备了实施的条件。2