COSO内部控制框架，不仅仅是审计师的紧箍咒，更是企业长青的隐形护盾

作为一名在注会行业摸爬滚打多年的从业者，我见过太多企业对“内部控制”这四个字的反应，有的老板一听就皱眉，觉得那是花钱买麻烦；有的财务总监一听就头大，觉得那是堆砌底稿应付审计的“紧箍咒”。

但说实话，这种误解真的太深了，如果我们把企业比作一辆在高速公路上飞驰的赛车，那么COSO内部控制框架绝对不是那个只会滴滴报警的限速器，而是这辆车的刹车系统、转向助力、导航仪甚至是底盘结构的总设计师，没有它，你或许能跑得很快，但只要遇到一个弯道或者一颗石子,车毁人亡就在一瞬间。

我想抛开那些晦涩难懂的教科书定义，用咱们平时聊天的方式，结合我这些年审计生涯中见过的活生生的例子，来好好聊聊这个COSO框架，为什么它那么重要？它到底是怎么运作的？以及，我们该怎么用“人”的眼光去看待它。

COSO到底是什么？别被名字吓跑了

咱们得把COSO这个“洋名”给捋顺了，全称叫Committee of Sponsoring Organizations of the Treadway Commission，翻译过来就是“美国反虚假财务报告委员会下属的发起人委员会”，这名字长得让人绝望,所以咱们就记住COSO就行。

它是在1992年发布的，后来在2013年进行了更新，虽然它是个“洋玩意儿”，但咱们中国的《企业内部控制基本规范》基本上也是照着它的逻辑来的，你可以把它看作是全球企业管理界公认的“武林秘籍”或者“建筑蓝图”。

COSO框架的核心，就是五个相互关联的要素：控制环境、风险评估、控制活动、信息与沟通、监督活动。

这就好比咱们要想做一顿丰盛的大餐：

控制环境就是你的厨房够不够大，刀快不快,你作为一个大厨有没有那个手艺和心态；
风险评估就是你要判断今天这桌客人的口味，有没有人过敏,火候该大还是该小；
控制活动就是具体的切菜、炒菜、调味的动作；
信息与沟通就是帮厨和传菜员能不能听懂你的指令,客人说咸了能不能及时反馈给你；
监督活动就是你在出菜前最后尝一口味道,或者老板站在旁边盯着你有没有乱放盐。

这五个要素缺一不可，而且它们不是孤立的,是像DNA双螺旋一样缠绕在一起的。

控制环境：企业的“家风”与“空气”

排在第一位的，永远是控制环境，很多企业做内控，一上来就买最贵的软件，定最繁琐的流程，结果最后还是一团糟，为什么？因为“地基”没打好。

控制环境，说穿了，就是企业的“基调”，是企业的“家风”。

生活实例： 我想起前几年去审计的一家初创科技公司，那个老板特别有个人魅力，技术大牛出身，但他有个毛病，就是特别讨厌流程，他在大会上经常说：“那些流程都是大公司的官僚主义，咱们要狼性，要结果，别管那么多条条框框，把东西做出来就行！”

结果呢？他的销售团队为了业绩，开始阴阳合同；研发团队为了赶进度，完全不做测试就直接上线，财务想去管，老板一句话：“别阻碍业务发展。”

这就是典型的控制环境崩塌，就像一个家庭，如果家长天天在家打麻将骂脏话，你却指望孩子在学校里彬彬有礼、诚实守信,这可能吗？

个人观点： 我认为，控制环境中最关键的不是写在墙上的标语，而是高层基调，COSO框架里强调的“诚信与道德价值观”，不是靠HR培训出来的，是靠老板的一言一行做出来的。如果老板想钻空子，下面的人一定会把那个空子钻成黑洞，作为审计师，我进一家企业第一件事，不是看账，而是看这家公司的员工走路是不是带风，说话是不是实在，开会时是不是只有老板一个人在说话，那种氛围，骗不了人，控制环境就是企业的空气，空气浑浊,什么花都开不好。

风险评估：不要等到车掉下悬崖才看路

接下来是风险评估，很多管理者觉得这是风控部门的事，其实不然，在COSO的逻辑里,这是每个管理层每天都要做的事。

风险评估的核心，就是要搞清楚：我们的目标是什么？阻碍我们实现目标的障碍（风险）有哪些？这些障碍发生的概率有多大？后果我们能不能承受？

生活实例： 举个大家都懂的例子——买房。假设你的目标是买一套学区房。风险是什么？风险不仅仅是房价跌。

如果你是贷款买房,利率上升就是风险；
如果你的工作是不稳定的,失业就是风险；
如果你身体不好,生场大病需要用钱就是风险。

如果你不做评估，硬着头皮上车，一旦遇到风吹草动,房子可能就被收走了。

我审计过一家传统外贸企业，以前他们的风险评估很简单：汇率别波动太大就行，但随着互联网发展，他们的风险完全变了，但我去的时候发现，他们还在用十年前的老一套，完全没有意识到“跨境电商平台封号”这种毁灭性风险，结果第二年，他们的主要账号因为违规被平台封禁,公司资金链瞬间断裂。

个人观点： 这里我要发表一个比较尖锐的观点：大多数企业的风险评估是“静态”的，甚至是“死后验尸”的。 很多公司做风险评估只是为了应付上市合规或者年度检查，写出一堆漂亮的PPT，然后就锁在抽屉里，真正的风险评估必须是动态的，就像开车，你不能出发前看一眼地图就完了，你得时刻盯着路况，前面突然修路了（市场环境变了），你得马上变道。 COSO强调的“识别和分析风险”，必须是一个持续的、前瞻性的过程，如果你等到风险变成了危机才去反应，那不叫管理,那叫救火。

控制活动：让事情做对的“肌肉”与“抓手”

有了好的家风，有了看路的眼光，接下来就是具体的干活了，这就是控制活动。

这部分是大家最熟悉的，也是最容易“走火入魔”的地方，审批流、职责分离、对账、盘点……这些都是控制活动。

生活实例： 咱们生活中最常见的控制活动就是“职责分离”。最经典的例子就是咱们家里的钱，谁负责赚钱（比如丈夫），谁负责管账（比如妻子），或者反过来，如果一个人既负责赚钱又负责管账，还负责花钱，那这个家庭的财务风险就极高。在公司里，最经典的禁忌就是：出纳不能兼任会计，管钱的人（出纳）和记账的人（会计）必须是分开的，如果这俩人是同一个人，或者是夫妻，那他完全可以左手把钱偷走，右手在账上做平,天衣无缝。

但我见过太多中小企业，老板为了省钱，就让一个亲戚既管钱又管账，老板跟我说：“那是我亲小姨子，我信得过！” 这里我要说一句：制度设计是基于人性本恶的，不是基于你对你小姨子的信任。 哪怕她不想偷，但如果她生病了、被人要挟了，或者仅仅是算错了，因为没有第二个人去核对,风险就是敞口的。

个人观点： 关于控制活动，我最大的感触是：过犹不及。 很多大公司得了“大企业病”，买个笔都要盖五个章，出差报销要走三个月流程，这虽然杜绝了舞弊，但也扼杀了效率。 COSO框架并没有要求我们把所有风险都降为零，它要求的是“合理保证”，我们在设计控制活动时，一定要考虑成本效益原则。就像为了防盗，你给门装三把锁是安全的，但如果你每天回家进门要花半小时开锁，把自己累个半死，这锁装得还有意义吗？好的控制活动，应该像自动门一样，该拦的时候拦，该让行的时候让行,润物细无声。

信息与沟通：企业的“神经系统”

第四个要素是信息与沟通，如果说前面的控制活动是肌肉，那这个就是神经系统，如果大脑发不出指令，或者手脚的感觉传不到大脑,这个人就是瘫痪的。

在COSO 2013版里,特别强调了信息的质量和相关性。

生活实例： 想象一下，你在家里带孩子，老婆在厨房做饭。如果你闻到了焦味（风险信号），但你厨房的门隔音太好，或者你老婆戴着耳机听歌（沟通受阻），你没喊她，她也没听到，最后这顿饭就烧糊了。在企业里，这种情况太常见了。我做过一个项目，是关于存货管理的，仓库那边明明发现有一批原材料生锈了，不能用了（风险信号），但仓库系统和采购系统是不通的，仓库员以为采购肯定知道，采购以为仓库肯定没动，结果生产线等着米下锅，采购还在傻傻地等着旧库存用完，最后停工三天,损失几百万。

个人观点： 现在的企业，最不缺的就是数据，最缺的是有效信息。 ERP系统里存着几亿条数据，但如果决策者看不到，或者看不懂，那就是垃圾。我认为，信息与沟通的关键不在于买了多贵的软件，而在于打破部门墙，很多时候，沟通的障碍不是技术，是人心，销售不想把客户的真实反馈告诉研发，怕被甩锅；财务不想把资金压力告诉采购，怕被骂没本事。作为审计师，我们经常通过“穿行测试”来检查这个链条，很多时候，我们发现链条在“人”的那个环节断了，建立一种鼓励说真话、鼓励跨部门协作的文化,比升级系统更重要。

监督活动：照镜子和定期体检

最后一个是监督活动,这是COSO框架的闭环机制。

就算你前面四点做得再好，时间久了，人会懒，机器会坏，环境会变，所以你需要一个机制,时不时检查一下这套系统还好不好用。

监督分两种：一种是日常的持续监督，一种是单独的评价（比如内部审计）。

生活实例： 这就好比我们减肥。每天早上上秤（持续监督），如果发现重了两斤，晚上就少吃两口，这叫持续监督，成本低，见效快。如果不管不顾，一年才去体检一次（单独评价），发现血脂高得吓人,那就得住院大动干戈了。

我见过一家上市公司，他们的内控手册做得那是漂亮，放在会议室里像砖头一样厚，他们竟然没有内部审计部门，老板觉得外聘的会计师事务所每年来审一次就行了。结果，就在两次审计的间隙中间（那可是12个月啊），分公司经理搞了个小金库，挪用了上千万资金，等外审会计师进场时，钱早就没了,人也跑了。

个人观点： “信任是好事，但控制更好。” 监督活动不是不信任员工，而是为了保护系统。我个人非常推崇“持续监督”，与其搞一年一次的轰轰烈烈的大检查，不如把检查嵌入到日常的业务流程里。财务系统里设个自动预警，如果某张发票金额超过预算，自动弹窗给财务总监，这就是一种高效的持续监督。不要把监督当成是“警察抓小偷”，而要把它当成是“体检”，体检是为了让你更健康地活下去,而不是为了把你查出病来吓死你。