内部控制里的风险和风险管理的风险是一回事吗

内部控制里的风险和风险管理的风险是一回事吗？

2017年发布的新版COSO风险管理框架中，为了和内部控制框架实现切割，了却长久以来内部控制和风险管理纠缠不清的现状，重新设计了风险管理框架的内容。

其中一个比较显著的变化是将控制活动的内容从风险管理体系中都删除了，全部留给了内部控制体系。

这是2017年COSO发布ERM框架时的考虑，但是，在2013年更新COSO内部控制框架时，并没有考虑如何从两个体系的关系上考虑这些安排。也就是说，COSO在2013年发布内控框架时，并没有考虑将哪些内容弱化一些，留给风险管理框架。

如果下次COSO再更新内部控制框架时，有可能会有一定安排，因为它需要考虑两个框架之间的内容偏重，特别是我们今天要介绍的这一风险评估要素，需要进一步明确内部控制中的风险评估内容留下哪些，因为很多内容在2017年的ERM框架的Performance（运行）要素中已经包含了。

在2013年COSO内控框架中，风险被定义为：事件发生并对目标实现产生负面影响的可能性。强调了风险是针对负面的影响，同时，将机会作为和风险对应的一个反义词。

之前我们讨论风险定义时，曾大篇幅的讨论过这个话题，在这就不展开了，感兴趣的可以翻一翻之前的文章：一场风险、机会与不确定性之间的终极对话。

COSO明确提出，对于机会的识别不属于内部控制体系的范畴。

对于风险评估的前提，是需要设定明确的目标，而目标设定也不属于内部控制的范畴，

而是风险管理最关注的内容。

我们具体看一下风险评估中的几个原则和关注点。

原则6：组织应设定明确的目标，以识别和评估与目标相关的风险

这里提的设定明确目标是要求，而不是具体设定目标的工作。

目标的设定有一般性的要求，如SMART原则：

S代表具体(Specific)，指目标或指标设定要明确、具体，不能笼统；

M代表可度量(Measurable)，指目标可被数量化或者行为化，可以对目标的实现程度进行验证；

A代表可实现(Attainable)，指目标在付出努力的情况下可以实现，避免设立过高或过低的目标；

R代表相关性(Relevant），指目标是与其它目标是相关联的；

T代表有时限(Time-bound)，注重完成目标是有时间的。

那需要设定的目标有哪些？

在第二篇解读文章中我们介绍过，内部控制的几个控制目标包括：运营目标、合规目标以及报告目标。

而报告目标又分为了四种报告类别：对外的财务报告目标（最重点），对外的非财务报告目标、对内的财务报告目标、对内的非财务报告目标。

制定这类的目标均需要考虑和目标相关的一些针对性要求，比如管理层的选择和决策、主体所处的法律监管环境、对风险容忍度的考虑、会计准则和精确的要求等等。

原则7：组织应对影响目标实现的风险进行全范围识别分析，并在此基础上决定如何管理风险

围绕着既定目标，风险识别的范围应该涵盖所有职能和层级，就像立方体框架的层面列示的那样。

我们一般将风险评估的步骤分为三个阶段，分析识别、风险分析、风险评价，根据风险评估的结果再制定风险应对方案。

但风险评估是一个动态的不断反复进行的过程，需要时刻关注内外部环境的变化。

评估风险不仅需要考虑公司整体层面的风险，如社会、经济、技术、环境、监管等对公司整体发展产生影响的要素，还需要识别具体业务层面面临的风险，如采购、销售、研发等（可参照财政部发布的1内部控制应用指引），因为这些风险影响了控制目标的是否达成。

我们目前评估风险的维度一般使用可能性和影响程度两个，但面对日益复杂和快速变化的环境，这两个维度可能没有办法很好的体现一个风险的属性，所以，有必要对风险的分析加入新的维度，如风险冲击的速度和持续的时间，以及组织自身对此类风险的韧性程

度如何。

另外，在当下的环境下千万不要忽略小概率事件，因为很多用之前经验判断的小概率事件，今后可能变的出现频率加大，在这种环境下用概率回归模型以回溯分析的方式来预判风险有可能会失效。

如果一个工厂认为被陨石砸中的概率几乎不存在，但是如果这个工厂坐落于机场附近，至少为飞机失事落入工厂做些考虑。

原则8：组织应在评估影响目标实现的风险时，考虑潜在的舞弊行为

舞弊种类可以分为以下三种：

1、故意编制虚假报告；如安然事件。

2、未经授权获取、使用或处置资产，造成资产安全；如近两年上市公司披露的大股东违规占用上市公司资金。

3、中饱私囊和商业往来的行为。

管理层逾越控制之上，也是非常容易出现舞弊行为的一个原因。

关于舞弊事件的防范，我们之前文章介绍过一个舞弊三角形理论，需要从压力、机会、自我合理化三个方面。

原则9：组织应识别并评估对内部控制可能造成重大影响的变化

重大的变化是风险评估中非常关注的内容，也是影响控制环境和内控控制是否持续有效的因素，这些重大的变化可能来自于：

1、外部环境的重大变化

如监管的重大变动，如近两年P2P行业遭遇的危机，对真个行业都是致命打击。

2、重大变革或并购重组

包括商业模式的演进、新技术的出现，最典型的例子就是柯达相机从胶片时代的王者到数码时代的衰落，还有诺基亚作为2G时代的王者到智能手机时代的衰落等。

3、重大领导变动

领导层的变化将会对一个企业某些方面产生深刻的变化，这一点中国企业体会更深刻，所以重大领导层的变化确实是一个需要着重考虑的风险（机会）点。

内控的风险和风险管理的风险一样吗？

回到我们题目提的问题，按照COSO内控框架描述的风险评估内容，这应该是一个涉及全范围全类型的风险评估工作，按说这样的工作应该是风险管理体系的一部分而不全是内部控制的范畴，或者说内部控制关注的风险只是全部风险其中的一部分。

我们通常风险的应对方式包括接受、规避、降低和分担，其实，内部控制关注的风险，仅仅是需要用降低（控制）应对的那一部分风险。