ACCA考试科目「出镜率」超高考点：COSO在手，“天下你有”，ACCA考试科目P1微课堂！

ACCA考试科目P1最近的考试中，考到了COSO framework，不知道大家对自己的答案是否满意。COSO framework是一个神奇的存在，你说不熟吧，它出镜率很高，只要学习到内控和风控，我们总是会把玩起这个“魔方”。你说它熟吧，当我们回忆起P1中的模型时，很多同学会想到Mendelow，却未必会想到COSO。真正让你描述COSO时，恐怕很多人会有一大堆似是而非的词句哽在喉咙，不知从何说起。希望通过这篇文章，可以帮助各位成功拼出这个“魔方”。ACCA题库，戳：ACCA题库【手机可刷+全球题库】（按照知识点进行分类配题，有知识点没有搞懂，无法解锁，直至掌握，目前阶段免费）

　　COSO&COSO’s ERM

　　首先我们来理清COSO和COSO’s ERM的区别，这是个很简单的问题，但越是简单越容易被混淆。

　　COSO即Committee of Sponsoring Organisations，是美国反虚假财务报告委员会下属的发起人委员会。最初它就是为了调查财务造假事务而存在的。随着需求的发展，不断革新，从简单的guidance，完善成了更全面更逻辑的指导框架（framework）。通过对组织的风控、内控和欺诈问题监管来提升组织的治理和运行效率。所以COSO是一个委员会。

　　我们平日里频繁提到的COSO，其实是COSO’s enterprise risk management(ERM)model的简称。它才是那个魔方。当我们看到ERM时，不该再觉得陌生，一般情况下，它就指代了COSO framework。

　　因此，是COSO这个委员会，结合实际情况总结了一个魔方似的模型，帮助组织来监管风控、内控和欺诈等问题，最终实现提高公司治理效率的目的。我们P1中主要学习和需要掌握的，自然是COSO’s ERM model,即COSO framework。

　　COSO’s ERM model的目标

　　图示的COSO模型比教材中的图例更为具体，我们以此作为介绍对象。

　　模型顶部就是执行一系列工作从而追求的目标们(strategic,operation,reporting and compliance)。

　　打出这4张牌，我们可以赢下这些问题：

　　l Role/Objectives of internal control

　　l Role/Objectives of risk management

　　l Elements of a sound internal control system

　　一个为了提高内控、风控效率而提出的模型，目标自然是围绕着内控和风控而言的。而建立一个良好的内控系统，自然要具备能实现这些目标的元素。

　　实现目标的要素

　　为了实现以上目标，模型的正面罗列了一个组织应具备的要素，其实这些就是组织应该去做的具体事情。

　　l Internal environment：这是组织的高层基调(Tone at top),这个基调会受企业风险偏好的影响(Risk appetite)。这种基调反应了组织对风控和道德(risk management&ethical values)的态度。董事会中，风控委员会和审计委员会(risk committee&audit committee)的贡献显得尤为重要。

　　Objective setting：这里的objective指的是执行过程中的具体目标。制定这些目标时必须符合公司的使命(organisation’s mission)和风险态度(risk appetite)，根据风险态度，一个组织可以定位自己能够接受风险的程度(risk tolerance)。由此制定的目标才更具备可行性。

　　Event identification：风控的前提是精确的风险识别(risk identification),而精确的风险识别前提是完善的事件识别(event identification)。此处的事件包括了内部和外部发生的所有事件，有正面影响的事件即为组织的机会，而有可能使目标无法实现的不确定性则为风险。不同事件之间会有复杂的相关联性。

　　Risk assessment：通过上一步对事件的识别，组织更好的识别到了风险，需要对风险进一步定性和定量的分析。大方向上，会对风险发生的可能性(likelihood)和影响(impact)进行评估。

　　Risk response：基于对风险的评估，公司可以采取更加合适的风险应对措施(risk response strategy)。运用的主要思路就是我们熟悉的TARA。越是规范的组织(highly regulated organisations)，其风险应对措施越是复杂。但有些风险是无法彻底规避的，因此我们需要恰当运用ALARP principle(as low as reasonably practicable).

　　Control activities：为了保证风险应对策略的有效实施，组织必须制定和执行相关的政策和流程(policies and procedures)，也就是内控行为(control activities).这些行为落实到了具体设备和个人上，本质上是对系统和人的控制管理。责任分配应该在此得到明确。

　　Information and communication：每个环节都有人的参与，信息的沟通传递就尤为重要。否则员工无法理解组织行为的目标，便会误解他的任务，从而导致责任的缺失。

　　Monitoring：为了保持企业内控系统持续的有效运行，监督是必不可少的。其间主要目的就是识别内控的弱点(weakness),对于组织而言，这些就是不断滋生的新风险。审计委员会和内审部门(audit committee and internal audit function)在这一步扮演着重要的角色。

　　理解了这些要素，就能明白每一步都是互相关联和辅助的。任何一个要素的缺失会导致其他七个要素的低效。因此，如果提到任何一个要素的重要性(eg.Importance of information),都可以通过阐述辅助其他要素的实现来解释(eg.More comprehensive information enables an organization to achieve accurate risk assessment).

　　董事会(board)，各个执行官(directors)，风控委员会(risk committee)，审计委员会(audit committee)以及相关的部门人员(eg.Risk manager,internal auditors)，他们的职责，自然是贡献于这些要素的落实从而追求目标的实现。所以当被问到这些对象的role/responsibilities in terms of internal control and risk management,都可以通过描述以上要素和目标来介绍。

　　COSO framework涉及哪些层级

　　模型的侧面展示了企业的各个单元(organisation’s units)，意为着风控和内控需要在企业的各个层级，部门，环节中贯彻(the whole scope).从上至下的沟通，由下至上的反馈。根据不同的层级，组织会选择对应的控制活动和策略(different control mix).

　　另外还有一类问题，是P1中的常见类型。考试喜欢让你正学反考，既然你知道了什么样是好的正确的，当你看到存在问题的组织时，就该能够识别其中的缺陷，并给予合适的改进建议。

　　根据很多同学的反馈，他们发现记忆这一部分知识点时总是很类似，容易记混。因为这些问题，其实都在讨论同一个框架。所以通过对COSO framework的整理介绍，希望同学们在面对各种风控和内控问题时可以更有信心，逻辑更加清晰，抛弃那些拗口句式的反复背诵。COSO在手，“天下你有”。ACCA题库，戳：ACCA题库【手机可刷+全球题库】（按照知识点进行分类配题，有知识点没有搞懂，无法解锁，直至掌握，目前阶段免费）