COSO企业风险管理整体框架解析
coso-企业风险管理——整合框架
公司治理·内部控制前沿译丛企业风险管理——整合框架(美)COSO 制定发布方红星王宏译大连制定发布机构简介COSO是Treadway委员会(Treadway Commission,即反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reporting),通常根据其首任主席的姓名而称为Treadway委员会)的发起组织委员会(Committee of Sponsoring Organizations)的简称。
Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。
1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。
1992年,COSO发布了著名的《内部控制——整合框架》(1994年作出局部修订),成为内部控制领域最为权威的文献之一。
2003年7月,COSO发布了《企业风险管理——整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,2004年9月发布了最终的文本。
本书就是按照2004年9月正式发布的文本进行翻译的。
译者简介方红星,东北财经大学会计学院教授,博士,兼任东北财经大学出版社社长,编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。
主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。
王宏,西南财经大学会计学院博士研究生,现就职于财政部会计司综合处,近年来主要致力于内部会计控制等方面的理论和政策研究。
中文版前言在内部控制和风险管理的演进过程之中,COSO的突出贡献是举世公认的。
它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》,已经成为世界通行的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。
利用COSO框架评估企业风险管理体系
利用COSO框架评估企业风险管理体系企业风险管理体系对企业健康可持续发展起着至关重要的作用。
因此,对风险进行科学的评估及控制显得尤为重要。
COSO则是评估企业风险管理体系的常用框架之一。
本文将从COSO框架的介绍、实施过程和优势几个方面阐述COSO框架在企业风险管理体系评估中的应用。
一、COSO框架简介COSO框架是Committee of Sponsoring Organizations of the Treadway Commission(导向标准委员会)制定的用于评估企业风险管理体系的标准,包括了风险管理体系的五个元素。
分别是:控制环境、风险评估、控制活动、信息和通信以及监控。
控制环境:指风险管理的基础设置、组织文化及组织结构等方面的管理,需要通过审慎的确定风险管理指导方针、完善的信息传递机制、明确的职责分工、开放的沟通机制、适度的员工激励、和充分监控的机制等多方面来实现。
风险评估:对风险进行全面评估,以便识别出具有重大影响的风险,以及对企业进行管理和控制所需的资源。
同时,它还能提供重要的信息,让企业了解自身内部和外部环境中存在的机遇和威胁,并实施具有前瞻性的控制措施。
控制活动:用于减少风险可能产生的影响,包括制定策略和管理措施、设计和实施控制程序,以及监督执行控制程序等等。
信息和通信:通过有效的沟通和信息的分析和利用,确保风险管理信息得到正确、完整和及时的纵深传递。
即是要建立和健全风险管理信息交流和处理的机制,以及有效的沟通渠道,并要确保风险信息可以获得和计算。
监控:通过内部监控和外部监控,评价风险管理系统的有效性和可行性。
即是需要建立完善的制度和流程,并拥有完成全面检查和定期评估能力的专业团队,协助公司内部对风险评估和控制情况进行监测和及时反馈,并按计划及时纠正不当行为。
以上五个元素可以协调开展,用以建立健全的企业风险管理体系,实现相应的风险控制和管理。
二、实施过程为了使企业能够有效实施风险管理,需要从以下几方面全面考虑并有序开展:首先,在项目立项之初应根据实际情况,制定出符合企业情况的风险管理计划、组织目标和风险管理措施。
COSO企业内部控制整体框架
COSO企业内部控制整体框架引言:企业内部控制是指企业为实现目标,通过内部控制环境、风险评估、控制活动、信息与沟通、监控等要素的有机组合,以合理的成本,为企业提供合理保证的一系列制度、方法和措施。
在现代企业管理中,企业内部控制起到了至关重要的作用,不仅有助于实现企业经营目标,提高效益,还可以预防风险,加强监管,提升整体竞争力。
COSO企业内部控制整体框架是国际上公认的一种内部控制管理模型,本文将对其进行详细的阐述。
一、内部控制环境内部控制环境是企业内部控制的基础,包括企业文化、管理团队、组织结构等要素。
首先,企业应建立积极的企业文化,强调诚实、诚信、责任,使员工形成正确的价值观念,从而使控制环境更加稳定。
其次,企业应组建一支高效的管理团队,确保内部控制措施得到有效监督和执行。
第三,合理的组织结构和授权机制可以确保企业内部的职责分工明确,权责一致,减少内部冲突和风险。
二、风险评估风险评估是企业内部控制框架中的重要环节,通过识别和评估风险,可以为企业提供有效的控制措施。
企业应设立专门的风险管理部门或委员会负责风险评估工作,及时掌握和分析外部和内部风险,制定相应的应对策略。
在风险评估过程中,企业还应注重风险的量化和定性分析,确定风险的发生概率和影响程度,为内部控制策略的制定提供科学依据。
三、控制活动控制活动是企业内部控制的核心环节,包括管理控制和操作控制。
管理控制主要是指企业管理层通过内部控制措施,确保企业务实现策略目标的过程。
操作控制主要是指企业内部各个岗位的员工在日常工作中采取的各项控制措施。
企业应根据实际情况,合理设定控制活动,确保企业内部各个环节的有效管控。
此外,企业还应建立完善的内部审计和风险监控机制,及时发现和纠正内部控制缺陷。
四、信息与沟通信息与沟通是企业内部控制的关键环节,包括信息采集和信息传递等方面。
企业应建立健全的信息系统,确保信息安全、准确、及时地采集和传递。
此外,企业还应加强内外部信息交流和沟通,形成信息共享机制,有效防范和应对风险。
COSO 企业风险管理 – 整合框架
内部审计师 内部审计师在评价企业风险管理的有效性以及提 出改进建议方面起着关键作用。内部审计师通过 对主体企业风险管理的恰当性和有效性进行检查、 评价、报告和提出改进建议,来协助管理当局和 董事会或审计委员会。
十四、 十四、企业风险管理的局限性
风险与未来有关,而未来本来就具有不确定性。 企业风险不能对任何一类目标提供绝对保证。 决策过程中人类判断可能有存在缺点 由于类似简单差错或错误等人类失败会导致故障 的存在 控制可能会通过两个或多个人的串通而被绕过 管理当局有能力凌驾于企业风险管理过程 相关的成本与效益
权力和职责的分配 权力和职责的分配涉及到个人和团队被授权并鼓 励发挥主动性去指出问题和解决问题的程度,以 及他们对权利的限制。 人力资源准则 包括雇用、定位、培训、评价、咨询、晋升、付 酬和采取补偿措施在内的人力资源业务向员工传 达着有关诚信、道德行为和胜任能力的期望水平 方面的信息。
影响 一个组织的内部环境对企业风险管理如何持续地 实施和发挥作用具有重大影响。内部环境是应用 企业风险管理其它构建的环境,它通常具有强大 的正面或负面影响。一个无效的内部环境可能会 导致财务损失、损害公众形象,或经营失败。
相互依赖性 事项并不是鼓励地发生的。一个事项可能引发另 一个事项,事项也可能同时发生。 区分风险和机会 事项可能会带来正面或负面的影响。代表机会的 事项被反馈到管理当局的战略或目标制订过程中, 以便规划行动去抓住机会。抵消风险负面影响的 事项在管理当局的风险评估和应对中予以考虑。
八、风险评估
七、事项识别
管理当局识别将会对主体产生影响的潜在事项 – 如果存在的话,并确定它们是否代表机会,或者 是否会对主体成功地实施战略和实现目标的能力 产生负面影响。带来负面影响的事项代表风险, 它要求管理当局予以评估和应对。带来正面影响 的事项代表机会,管理当局可以将其反馈到战略 和目标设定过程之中。在对事项进行识别时,管 理当局要在组织的全部范围内考虑一系列可能带 来风险和机会的内部和外部因素。
COSO与ISO风险管理框架全面解读
作者简介
作者简介
这是《COSO与ISO风险管理框架全面解读》的读书笔记,暂无该书作者的介绍。
谢谢观看
精彩摘录
精彩摘录
在当今复杂多变的企业环境中,风险管理的重要性日益凸显。然而,要充分 理解和有效实施风险管理,需要一种全面的、结构化的框架。在这方面,COSO和 ISO的风险管理框架为全球的企业提供了参考和指导。
精彩摘录
COSO(美国全国虚假财务报告委员会下属的发起人委员会)发布的《内部控 制-整合框架》是全球范围内广为接受的内部控制框架,为企业的风险管理提供 了基础和指导。它定义了内部控制的五个主要元素:控制环境、风险评估、控制 活动、信息与沟通、监控。这五个元素为企业在规划和实施风险管理时提供了全 面的视角。
阅读感受
在阅读这本书的过程中,我不仅对风险管理的理论有了更深入的理解,同时 也学到了很多实用的方法和技术。例如,书中介绍的基于风险的企业管理方法, 以及用于评估风险的风险地图等工具,都让我感到非常实用和具有启发性。这些 方法和工具将有助于我在未来的工作中更好地识别、评估和控制风险。
阅读感受
我也认识到风险管理并非一蹴而就的过程,而是需要持续的努力和投入。只 有不断地提高风险意识,加强风险文化建设,才能有效地防范和应对可能出现的 风险。企业也需要不断地更新和完善自身的风险管理机制,以适应不断变化的市 场环境。
COSO与ISO风险管理框架全面解 读
读书笔记
01 思维导图
03 精彩摘录 05 目录分析
目录
02 内容摘要 04 阅读感受 06 作者简介
思维导图
本书关键字分析思维导图
coso
风险管理
读者
风险
财务
组织
通过
全面
COSO内部控制整合框架解读
COSO内部控制整合框架解读2篇COSO内部控制整合框架解读(上)内部控制是企业管理中非常重要的一个环节,对于保障企业的财务安全、有效运作和持续发展具有重要意义。
而COSO(Committee of Sponsoring Organizations of the Treadway Commission)的内部控制整合框架为企业提供了一个全面而系统的内部控制指南,被广泛应用于各个行业和企业。
本文将对COSO内部控制整合框架进行解读,帮助读者更好地理解和应用于实践。
COSO内部控制整合框架包含了五个组件,分别是控制环境、风险评估、控制活动、信息与沟通以及监督。
这些组件相互之间联系紧密,构成了一个完整的内部控制体系。
首先,控制环境是内部控制的基础,它涉及到企业的内部文化、道德伦理、风险意识和管理风格。
在建立健全的控制环境时,企业需要设立明确的目标,并向各级人员传达这些目标的重要性和整体意义,以激发员工的积极性和责任心。
此外,企业还应制定相关政策和程序,并建立有效的内部控制沟通机制,确保员工能够理解和遵循内部控制要求。
风险评估是COSO内部控制整合框架的第二个组件。
在风险评估过程中,企业需要确定可能影响实现目标的各种内部和外部风险,并进行风险评估和分类。
通过对风险的评估,企业可以制定相应的控制措施和应对策略,减小风险带来的影响。
此外,风险评估还可以帮助企业优化资源配置,提高运作效率,促进持续发展。
控制活动是COSO内部控制整合框架的核心组件。
控制活动涉及到制定和实施各种控制措施,以确保企业运作符合预期目标并遵守相关法律法规。
在制定控制措施时,企业需要根据风险评估的结果确定相应的控制策略,并确保控制措施的合理性、有效性和可操作性。
此外,企业还应建立相应的制度和机制来监督和评估控制措施的执行情况,及时发现和纠正问题。
信息与沟通是COSO内部控制整合框架的第四个组件。
信息和沟通的有效性对于内部控制的实施和运作至关重要。
2017年coso企业风险管理框架原则和目的
2017年coso企业风险管理框架原则和目的2017年COSO企业风险管理框架的原则和目的COSO企业风险管理框架是全球范围内广泛使用的企业风险管理指南,于2017年发布。
该框架旨在帮助组织建立和加强风险管理能力,以实现战略目标、提升绩效,并增加利益相关者的信心。
本文将介绍2017年COSO企业风险管理框架的原则和目的,以帮助读者更好地理解和应用该框架。
一、原则COSO企业风险管理框架基于五个核心原则,这些原则是:1. 企业风险管理是组织的责任:风险管理是每个组织成员的责任,而不仅仅是高层领导的事务。
2. 企业风险管理是战略性的:风险管理应与组织的战略目标相结合,确保风险管理与组织的整体方向一致。
3. 企业风险管理是综合性的:风险管理应该涵盖整个组织,并将风险管理纳入到组织的各个层面和业务过程中。
4. 企业风险管理是基于具体情境的:风险管理需要根据组织的具体情境而定,以适应不同的内外部环境。
5. 企业风险管理依赖于人类判断:尽管工具和技术的使用对风险管理至关重要,但最终的决策和执行仍依赖于人类的判断。
以上五个原则是COSO企业风险管理框架的核心基石,组织可以根据这些原则来制定适合自身的风险管理策略和流程。
二、目的COSO企业风险管理框架的目的是帮助组织实现以下几个方面的利益:1. 提高决策的质量:通过建立风险管理框架,组织可以更全面地了解和评估各类风险,从而使决策更加准确和科学。
2. 促进战略目标的实现:有效的风险管理可以帮助组织在追求战略目标的过程中更好地应对风险和不确定性。
3. 保护组织价值:风险管理框架能够帮助组织预防和减轻风险带来的损失,保护组织的财务和声誉价值。
4. 提升运营绩效:通过识别和管理风险,组织可以提高运营效率,减少资源的浪费,从而提升绩效和竞争力。
5. 增加利益相关者的信心:良好的风险管理可以向利益相关者展示组织对风险的敏感度和应对能力,增强其对组织的信心。
COSO企业风险管理框架的目的是为了实现上述利益,并为组织提供一个系统化的方法来管理和控制风险。
COSO框架–内部控制框架
COSO框架–内部控制框架COSO框架-内部控制框架在当今各行业中,内部控制是保障企业规范运营和权益保护的重要手段。
COSO框架(内部控制—整体框架)是企业内部控制的全球公认标准,旨在帮助企业制定和维护一个有效的内部控制系统。
本文将深入探讨COSO框架的核心组成、实施要点以及一系列不同产业应用的案例分析。
一、COSO框架介绍COSO框架是一个基于企业目标的全面内部控制环境框架,由美国国际专业会计师协会(AICPA)旗下的企业管理机构COSO(内部控制-整体框架)提出并开发。
该框架侧重于企业内部控制的重要性,以及它们如何通过制定和执行一系列目标导向的控制措施来提高运营效率和减少风险。
二、COSO框架的核心组成1. 控制环境控制环境是内部控制的基础,是指领导层对内部控制的态度、原则和理念,并通过明确的组织结构、职责分配以及道德和道德规范的建立来确保内部控制的有效执行。
2. 风险评估风险评估是指企业确定和分析存在的内部和外部风险,以便制定适当的控制目标和措施。
通过对风险的全面评估,企业可以识别潜在的威胁并采取相应的预防措施。
3. 控制活动控制活动是指制定和执行一系列控制措施,以确保事务按照企业的政策和程序进行。
这包括审计、审批、核查和处理等一系列的过程,以及相关的记录和报告机制。
4. 信息与沟通信息与沟通是指确保内部和外部信息在企业内部流动的有效和透明。
这包括确保准确完整的信息,以及及时有效的内部和外部沟通机制。
5. 监督监督是指领导层监督内部控制的有效性和合规性。
这包括内部审计、独立董事会以及其他内部和外部监督机构。
三、COSO框架的实施要点1. 领导层的参与COSO框架的实施需要企业领导层的参与和支持,他们应当树立榜样,传递内部控制的重要性,并在组织内部制定明确的控制目标。
2. 内部控制意识的提升企业应该加强对员工的内部控制培训和教育,提高员工的风险意识和控制意识。
通过定期的内部控制培训和沟通,员工能够更好地理解和遵守内部控制制度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
20 世纪在经了 70 年代一连串财务失败和可疑的商业行为相继爆发之后,国际社会上又出现了另一连串更为耸人听闻的以金 导致这些失败的因素有很多, 如 融机构破产为代表的财务失败事件, 这些银行惨败事件给纳税人最终带来超过 1500 亿美元的成本。
波动的利率, 过度的投机等, 但在随后的调查中发现, 几乎所有的案件中审计师都没有发出危险的信号。这些会计造假案的层出不 —COSO ( The Committeeof 穷, 导致了 1985 年美国国会反财务舞弊委员会( NCFR)五个发起组织另外联合成立了一个新的委员会—— ), 来考虑哪些财 务 报 告 舞 弊 破 坏 了 财 务 报 告 的 诚 实 性 , 研究独立会计师在检测舞 SponsoringOrganizationsof the TreadwayCommittee 弊中的作用, 并识别可能导致舞弊行为的公司的结构特征等, 最终旨在遏制这种愈演愈烈的会计舞弊活动。 1992 年, COSO 在进行了 深入研究 之 后 发 布 了 一 份 关 于 内 部 控 制 的 纲 领 性 文 件 , 即《 内 部 控 制 整 体 框 架 》 ( Internal Control-Integrated Framework ), 强调了内 部控制的重要性, 提出内部控制的五个重要组成要素: 控制环境、 风险评估、 控制活动、 信息及沟通以及监督, 深化了内部控制的理念 其中的许多定义、 建议及思想被吸收到立法与规则制定中, 并在全世界范 和应用。COSO 报告一经发布便得到了业界的认可与采纳, 围内产生了广泛的影响。 2001 年以来, 安然、 世通、 施乐等公司财务舞弊案的相继爆发, 不但重创了美国资本市场及经济, 同时也集 —奥克斯利法》 ( The Sarbanes-Oxley Act)。该法案 中暴露出美国公司在内部控制上存在的问题, 由此导致美国通过了《萨班尼斯—— 明确了公司管理者 CEO 及财务主管 CFO 对内部控制负直接责任,井将承担经济与刑事后果;大幅度提高了对会计舞弊的处罚力 对中国的证券市场来讲是灰色的: 伊利股份董事长被拘、 开开上 度; 强化了内部审计、 外部审计及审计监管。到 2004 年  ̄2005 年初, 市公司的高级管理人员携款潜逃、 创维数码董事局主席以及金正数码和深圳石化原董事长被捕事件, 将内地与香港资本市场搞得沸 对国内外相关各方更产生了重大冲击和深远影响, 中航油的国企背 沸扬扬(李若山, 2005 )。与此几乎同时发生的中航油巨亏事件, 景也对我国的国家信用及我国企业海外上市前景都产生了负面作用。 中国是国际市场的重要组成部分, 在这一系列企业丑闻与失败 的背后, 隐藏着巨大的危机, 对会计造假舞弊现象的遏制和打击任重而道远。 在高层管理人员的监督问题愈渐突出, 国际社会对改善 反财务舞弊委员( NCFR)在广泛听取了各方意见和建议之后, 结合《萨班尼斯 - 奥克 公司治理的呼声日益高涨的背景下, 2004 年, 《企业风险管理总体框架》 ( Enterprise Risk Management-IntegratedFrame- 斯利法案》相关要求, 颁布了一个概念全新的 COSO 报告: 以下简称《框架》)。 《框架》的出台不但顺应了各方需求, 更拓展了内部控制的内涵, 对企业风险管理这一更宽泛的主题做出 work, 了更详尽的阐述, 其不旨在实际上也未曾取代《内部控制整体框架》, 而是基于并将其融入其中, 使内部控制得到了新的发展。尽管 《企业风险管理总体框架》刚出台不久, 我们仍能预测它将会如当初的《内部控制整体框架》一样, 经受住时间的考验, 被社会广泛 接纳并产生深远的影响。 二、 COSO 《框架》概要 参与《框架》指南的制定的项目参与者认为, 新报告中有 60% 的内容得益于 COSO 在 1992 年 报 告 所 做 的 工 作( 朱 荣 恩 、 贺欣, 虽然建立在内部控制的基础上, 但包含更全面、 更深层次的意义。因此, 《框架》从定义及 2003 )。风险管理作为一个更宽泛的概念, 其意义、 构成要素、 有效性和局限性、 与内部控制的关系等多个方面把企业风险管理这一概念进行了全新、 精辟和更详尽的阐述。 (一)定义及其意义 ・ “尽管许多人在谈论风险, 但是对于风险管理还没有形成一个 COSO 委员会主席 John J Flaherty 曾说过: 可普遍接受的定义, 也没有一个全面的框架, 能够刻画出风险管理的执行程序, 在董事会与管理层遭遇困难和挫折时能够对风险进 该定义融入众多观点并达成共识, 为各 行沟通(张志明, 2004 )。”因此, COSO 首先为企业风险管理确立了一个可普遍接受的定义, 组织识别风险和加强对风险管理提供的坚实理论基础, 即“企业风险管理是一个过程, 是由企业的董事会、 管理层和其他员工共同
作者简介: 女, 河南许昌人, 中南财经政法大学会计学院硕士研究生 宋怡萱( 1981- ), 张 翮( 1980- ), 陕西西安人, 长安大学本部图书馆
27
宋怡萱
张 翮: COSO 企业风险管理整体框架解析
参与, 应用于企业战略制定和企业内部各个层次和部门的, 贯穿整个企业旨在识别影响组织的潜在事件, 为组织目标的实现提供合 理的保证。 ”这是一个包容性很强的风险管理定义, 没有针对性, 可适用于各类行业、 组织和部门。 但究其含义, 仍能提炼出几个必不 可少的要素: 企业风险管理是一个由人参与的过程而非结果, 因此企业必须将风险管理融入在日常的经营管理之中, 并涉及企业的 每一个员工; 风险管理能够识别对企业造成影响的潜在风险; 企业风险管理能在一定程度上能够帮助企业实现合理的既定目标。 ( 二 )构 成 要 素 )。 内 部 环 境 是 企 业 风 险 管 理 企业风险管理包含八个相互关联的要素: ( 1 )内 部 环 境( Internal Environment 所有要素的基础, 对其它要素的各方面都能产生影响。 它由《内部控制整体框架》五个要素之一的控制环境发展演变而来, 较之控制 环境, 内部环境的视野更加广泛, 包含了多方面的内容, 如风险文化、 操守和价值观、 管理方法和经营模式、 职责和权限的分配等。控 制环境仅仅关注一切可控的或与控制相关的事务, 从而忽视了一些看似不可控却与企业的生存发展息息相关, 如员工诚实性、 道德 观等风险文化层次的考虑, 因此作为八大要素之首, 内部环境能为建立企业风险管理体系提供更全面、 深刻架构基础。 ( 2 )目标设定 ( ObjectiveSetting)。报告认为企业的管理层在可以有意义的评估风险之前必须确立目标, 针对不同的目标分析相应的风险, 并且拥 有一套能将企业目标与企业使命紧密联系并与企业风险容忍度和风险偏好相一致的制定目标的流程。企业的风险管理所有具体的 较高层次的目标, 与企业的使命相一致, 企业所有的经营管理活动 或活动层次的目标都可归入其类型中的一类或几类: ! 战略目标。 包括业绩指标与盈利指标, 旨在使企业能够有效及高效 必须长期有效的支持该使命。 " 运营目标。与企业经营的效果与效率相关, 的使用资源。# 报告目标。企业组织报告的可靠性, 分为对内报告和对外报告, 涉及财务和非财务信息。$ 遵循目标。层次较低, 也 )。报告认为事件可分为正面影响、 负面 是最基础的目标, 指企业经营是否遵循相关的法律法规。 ( 3 )事件识别( Event Identification 影响或者两者兼而有之三种。风险是带有负面影响的, 能阻止价值创造或侵蚀现有价值的事件发生的可能性; 机遇则是一种将会对 目标实现发生正面影响的可能性的事件。现如今各种不确定性因素充斥着社会的各个角落, 学会识别风险、 把握机遇是企业求生的 必备法则之一。管理层应当全面考虑影 响 事 件 发 生 的 各 种 因 素 , 结合相应方法, 正 确 识 别 和 规 避 风 险 以 把 握 机 遇 。( 4 )风 险 评 估 ( Risk Assessment)。 COSO 将 风 险 评 估 定 义 为 识 别 和 分 析 实 现 目 标 的 过 程 中 存 在 的 重 要 风 险 , 它 是 决 定 如 何 管 理 风 险 的 基 础 ( COSO , ), 一旦风险得到识别, 就应该对风险进行分析评估。 这样, 管理层就能根据被识别的风险的重要性来计划如何管 Framework 理, 即通过风险管理这个过程识别和分析风险并采取减弱风险效果的行动来管理风险。 内部控制框架和风险管理框架都强调对风险 的评估, 但风险管理框架建议更加透彻地看待风险管理, 即从固有风险和残存风险的角度来看待风险, 对风险影响的分析则采用简 企业风险评估的方法有多种, 主要分为定 单算术平均数、 最差的情形下的估计值或事项的分布等技术来分析(朱荣恩、 贺欣, 2003 )。 量分析和定性分析两种。企业无须对所有的风险采用同样一种评估方法, 可根据不同的风险目标确定相应的风险评估方法, 达到成 所做出的防范、 本最低情况下的效益最大化目的。 ( 5 )风险对策( Risk Response)。风险对策是指管理层在评估了相关的风险之后, 控制、 转移、 补偿风险的各种策略和措施。《框架》将风险对策又细分为规避风险、 减少风险、 共担风险和接受风险四种方式, 要求管 理者既要考虑成本和效益, 又要从企业总体角度出发在期望的风险容忍度内选择可以带来预期可能性和影响的风险方案。COSO 认 )。 为, 有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。 ( 6 )控制活动( ControlActivities 所以控制 COSO 把控制活动定义为帮助确保管理层的指示得到实施的政策和程序。由于控制活动是被作为适当的管理风险的工具, )。 《框架》并没有对信息和沟通下统一的定 活动和风险评估过程是联系在一起的。 ( 7 )信息与沟通( Informationand Communication 义,可能是因为它们通常的意义已经广为人知,它认为信息尤其是大量的财务和经营信息对治理企业和实现目标来说是必不可少 的; 沟通是信息系统固有的部分, 在更广泛的意义上, 沟通在处理预期、 责任和其他重要事项时都必须占有一席之地。信息时沟通的 基础, 沟通必须满足不同团体和个人的期望, 使他们能够有效履行自己的职责。沟通越有效, 管理层就能更好的行使其监督职能, 企 )。 这个过 业就越容易达到既定的目标。 ( 8 )监督( Monitoring COSO 把监督看成评估企业各个时期的风险管理质量过程的一个部分, 程包括持续监督、 个别评估或者两者的结合, 而持续监督和个别评估的频率则取决于评估过程中所包含的风险水平。COSO 认为, 要 使每种类型的风险管理真正有效, 这八个要素必须包含在内, 因为它们可以共同为企业风险管服务。 企业风险管理是一个动态的、 多 方向反复的过程, 在这个过程中大多数风险组成要素会影响另外的部分, 因此当企业需要利用风险管理各要素进行控制时, 应综合 考虑八个要素的影响, 并结合企业实际情况, 以求做出最科学的决策。 三、 COSO 《框架》发展与突破 内部控制是风险管理不可分割的一部分。《框架》将内部控制融入其中形成一套更 基于新旧 COSO 报告的比较研究我们发现, 为健全的概念体系与管理工具, 强调内部控制的持续有效性, 并从定义、 目标、 构成要素各个方面将《内部控制整体框架》进行了拓 —战略目标。风险管理扩大了报告目标的范畴, 将战略目标纳 展。具体来讲, 即增加了一个目标, 两个观念和三个要素: ( 1 )目标—— 入其中, 该目标层次高于其他三个, 即企业在确立了发展计划后应先制定出战略目标, 随之保证运营、 报告、 遵循目标与其一致; 企业 在实现这三个目标的同时也要保证战略目标的实现。 ( 2 )观念—— —风险组合观和整体风险管理观。风险组合观, 即企业在实现各个 目标的过程中, 对每个单位而言, 其风险可能在该单位的容忍范围以内, 但就企业整体来讲, 总风险很有可能超过企业整体的风险偏 好范围。因此, 要求管理者从企业层面上总体把握分散于各个层次和部门的风险, 防止头痛医头, 脚痛医脚的现象发生, 即整体风险 管理观。这两个观点的重大意义在于意识到不同的风险事件以及风险对策之间存在交互影响性,只有在统一考虑这些风险事件的 —目标制定、 事件识别和风险对策。《框架》将目标实现作为主体 正、 负相关性, 才能科学的统筹制定出风险管理方案。( 3 )要素——