COSO企业风险管理整体框架解析_宋怡萱
利用COSO框架评估企业风险管理体系
利用COSO框架评估企业风险管理体系企业风险管理体系对企业健康可持续发展起着至关重要的作用。
因此,对风险进行科学的评估及控制显得尤为重要。
COSO则是评估企业风险管理体系的常用框架之一。
本文将从COSO框架的介绍、实施过程和优势几个方面阐述COSO框架在企业风险管理体系评估中的应用。
一、COSO框架简介COSO框架是Committee of Sponsoring Organizations of the Treadway Commission(导向标准委员会)制定的用于评估企业风险管理体系的标准,包括了风险管理体系的五个元素。
分别是:控制环境、风险评估、控制活动、信息和通信以及监控。
控制环境:指风险管理的基础设置、组织文化及组织结构等方面的管理,需要通过审慎的确定风险管理指导方针、完善的信息传递机制、明确的职责分工、开放的沟通机制、适度的员工激励、和充分监控的机制等多方面来实现。
风险评估:对风险进行全面评估,以便识别出具有重大影响的风险,以及对企业进行管理和控制所需的资源。
同时,它还能提供重要的信息,让企业了解自身内部和外部环境中存在的机遇和威胁,并实施具有前瞻性的控制措施。
控制活动:用于减少风险可能产生的影响,包括制定策略和管理措施、设计和实施控制程序,以及监督执行控制程序等等。
信息和通信:通过有效的沟通和信息的分析和利用,确保风险管理信息得到正确、完整和及时的纵深传递。
即是要建立和健全风险管理信息交流和处理的机制,以及有效的沟通渠道,并要确保风险信息可以获得和计算。
监控:通过内部监控和外部监控,评价风险管理系统的有效性和可行性。
即是需要建立完善的制度和流程,并拥有完成全面检查和定期评估能力的专业团队,协助公司内部对风险评估和控制情况进行监测和及时反馈,并按计划及时纠正不当行为。
以上五个元素可以协调开展,用以建立健全的企业风险管理体系,实现相应的风险控制和管理。
二、实施过程为了使企业能够有效实施风险管理,需要从以下几方面全面考虑并有序开展:首先,在项目立项之初应根据实际情况,制定出符合企业情况的风险管理计划、组织目标和风险管理措施。
全面风险管理COSO风险管理体系
全面风险管理框架下财务再保险的实施
一、利用财务再保险优化保险公司经营
保险公司的获利与亏损都会因概率大小有所变化,当拥有 较多获得的情况下,为了能能未雨绸缪,保险公司可以适 当将部分盈余提拔至再保险公司为其设立的专户,由再保 险公司为其管理,如果未来某一年出现较大亏损,就可由 此专户的基金弥补亏损。更重要的而是,同时保险公司的 财务也能符合风险资本的要求。此外从税收角度考虑,财 务再保险也能给保险公司带来极大的收益。我国税法规定, 纳税人发生年度亏损的,可以用下一纳税年度的所得弥补; 下一纳税年度的所得不足以弥补的,可以逐年延续弥补, 但延续弥补期最长不超过5年,保险公司所得税税率为33%。 从中我们可以发现,虽然采用财务再保险虽然不可能产生 了新的利润,但是可以利用其调节各年的利润水平,从而 达到合理避税的目的,增加保险公司的现金流。
保险公司内部控制制度需求分析
提供有效信息 信息和沟通是全面风险管理制度框架中的要素之一,信息 有效性是控制信息不对称而产生风险的有效措施。信息管 理控制主要的途径是加强信息化建设,建立完善信息系统, 提高信息质量。沟通包括外部沟通和内部沟通两个方面, 作为服务行业,外部沟通对于保险公司来说同样重要,因 而需要在内部控制制度中建立促进外部沟通的机制。
降低不确定性
内部控制制度的机制还应该能够通过降低不确定性进而降 低交易成本。在内部控制体系中,保险公司的财务控制、 资金运用和业务控制等控制活动的某些措施从一定意义来 说,就是为了保持公司运营的稳健,降低不确定性。
抑制机会主义
保险公司的机会主义风险包括内部和外部两类,内 部的机会主义风险包括股东、管理层、员工、代理 人和投保人等,对于保险公司来说信息不对称、资 产专用属性等都会加大机会主义风险。因此,在健 全内部控制中的财务会计、资金运用、业务控制等 控制之外,还需要加强信息和沟通的有效性。
2-1 COSO企业风险管理整体框架(中文版)
COSO :Enterprise Risk Management FrameworkCOSO 企业风险管理整体框架概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。
虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。
COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。
另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。
本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。
本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。
如果想更加深入地了解有关知识,请看企业风险管理框架的全文。
(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。
所有的企业都要面对不确定性。
对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。
不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。
风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。
1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。
【收藏】COSO新版企业风险管理框架全文解读(一):聚焦价值
【收藏】COSO新版企业风险管理框架全文解读(一):聚焦价值本文介绍COSO新版企业风险管理框架的第一册第一部分的第一章节:框架的介绍,本部分内容作为开篇介绍了本框架的整体定位和相关主题的关系:本部分COSO阐述了整合风险管理工作贯穿于组织提升治理、战略、目标设定和日常运营决策能力的始终,协助组织更加紧密的考虑战略和商业目标的相关风险从而获得更好的业绩,整合风险管理的宗旨是为组织创造、保持和实现价值指引方向。
表明了这个框架描述了一种方法,如何使一项职能整合融入主体中正在运行的其它业务活动。
1、强调了企业风险管理对价值的影响•当我们的收益超过了资源配置成本时,就创造了价值。
•当日常运营的资源配置可以持续创造价值,那价值就会保持。
•当管理层实施了一项战略并没有达到预期收益或任务执行失败,那就损害了价值。
•当利益相关方获得了主体创造的收益,价值随之实现,这种收益可以是金钱的,也可以是非金钱的。
无论是什么类型的主体,企业风险管理工作都可以整合融入其它业务来增强利益相关方的信任和信心。
2、使命、愿景和核心价值解释•使命:主体的核心宗旨,要实现什么而成立及为什么而存在。
•愿景:主体对未来状态的愿望或者组织未来想要实现的目标。
•核心价值:主体的价值取向以及对好与坏、接受或不接受的判断标准,这些将会影响组织的行为模式。
3、阐述了企业风险管理对战略的影响企业风险管理并不能创造主体的战略,但它可以影响战略的产生和发展。
一个组织将整合企业风险管理工作融入战略设定环节,它将给管理层提供需考虑的各种替代性战略并最终采用被选中的战略的相关风险信息。
4、论证了企业风险管理与商业运营的关联企业风险管理工作整合融入与商业运营的所有方面的工作,包括治理、绩效管理和内部控制工作。
治理指出了治理的一部分属于风险管理的范畴,而治理的某些方面内容不属于企业风险管理的范畴。
绩效管理绩效管理聚焦资源的高效配置,它关注的是跟预先设定的目标相比,如何衡量这些行动、任务和职能以及确定这些目标是否被达成。
COSO 企业风险管理整体框架解析
作者简介: 女, 河南许昌人, 中南财经政法大学会计学院硕士研究生 宋怡萱( 1981- ), 张 翮( 1980- ), 陕西西安人, 长安大学本部图书馆
27
宋怡萱
张 翮: COSO 企业风险管理整体框架解析
参与, 应用于企业战略制定和企业内部各个层次和部门的, 贯穿整个企业旨在识别影响组织的潜在事件, 为组织目标的实现提供合 理的保证。 ”这是一个包容性很强的风险管理定义, 没有针对性, 可适用于各类行业、 组织和部门。 但究其含义, 仍能提炼出几个必不 可少的要素: 企业风险管理是一个由人参与的过程而非结果, 因此企业必须将风险管理融入在日常的经营管理之中, 并涉及企业的 每一个员工; 风险管理能够识别对企业造成影响的潜在风险; 企业风险管理能在一定程度上能够帮助企业实现合理的既定目标。 ( 二 )构 成 要 素 )。 内 部 环 境 是 企 业 风 险 管 理 企业风险管理包含八个相互关联的要素: ( 1 )内 部 环 境( Internal Environment 所有要素的基础, 对其它要素的各方面都能产生影响。 它由《内部控制整体框架》五个要素之一的控制环境发展演变而来, 较之控制 环境, 内部环境的视野更加广泛, 包含了多方面的内容, 如风险文化、 操守和价值观、 管理方法和经营模式、 职责和权限的分配等。控 制环境仅仅关注一切可控的或与控制相关的事务, 从而忽视了一些看似不可控却与企业的生存发展息息相关, 如员工诚实性、 道德 观等风险文化层次的考虑, 因此作为八大要素之首, 内部环境能为建立企业风险管理体系提供更全面、 深刻架构基础。 ( 2 )目标设定 ( ObjectiveSetting)。报告认为企业的管理层在可以有意义的评估风险之前必须确立目标, 针对不同的目标分析相应的风险, 并且拥 有一套能将企业目标与企业使命紧密联系并与企业风险容忍度和风险偏好相一致的制定目标的流程。企业的风险管理所有具体的 较高层次的目标, 与企业的使命相一致, 企业所有的经营管理活动 或活动层次的目标都可归入其类型中的一类或几类: ! 战略目标。 包括业绩指标与盈利指标, 旨在使企业能够有效及高效 必须长期有效的支持该使命。 " 运营目标。与企业经营的效果与效率相关, 的使用资源。# 报告目标。企业组织报告的可靠性, 分为对内报告和对外报告, 涉及财务和非财务信息。$ 遵循目标。层次较低, 也 )。报告认为事件可分为正面影响、 负面 是最基础的目标, 指企业经营是否遵循相关的法律法规。 ( 3 )事件识别( Event Identification 影响或者两者兼而有之三种。风险是带有负面影响的, 能阻止价值创造或侵蚀现有价值的事件发生的可能性; 机遇则是一种将会对 目标实现发生正面影响的可能性的事件。现如今各种不确定性因素充斥着社会的各个角落, 学会识别风险、 把握机遇是企业求生的 必备法则之一。管理层应当全面考虑影 响 事 件 发 生 的 各 种 因 素 , 结合相应方法, 正 确 识 别 和 规 避 风 险 以 把 握 机 遇 。( 4 )风 险 评 估 ( Risk Assessment)。 COSO 将 风 险 评 估 定 义 为 识 别 和 分 析 实 现 目 标 的 过 程 中 存 在 的 重 要 风 险 , 它 是 决 定 如 何 管 理 风 险 的 基 础 ( COSO , ), 一旦风险得到识别, 就应该对风险进行分析评估。 这样, 管理层就能根据被识别的风险的重要性来计划如何管 Framework 理, 即通过风险管理这个过程识别和分析风险并采取减弱风险效果的行动来管理风险。 内部控制框架和风险管理框架都强调对风险 的评估, 但风险管理框架建议更加透彻地看待风险管理, 即从固有风险和残存风险的角度来看待风险, 对风险影响的分析则采用简 企业风险评估的方法有多种, 主要分为定 单算术平均数、 最差的情形下的估计值或事项的分布等技术来分析(朱荣恩、 贺欣, 2003 )。 量分析和定性分析两种。企业无须对所有的风险采用同样一种评估方法, 可根据不同的风险目标确定相应的风险评估方法, 达到成 所做出的防范、 本最低情况下的效益最大化目的。 ( 5 )风险对策( Risk Response)。风险对策是指管理层在评估了相关的风险之后, 控制、 转移、 补偿风险的各种策略和措施。《框架》将风险对策又细分为规避风险、 减少风险、 共担风险和接受风险四种方式, 要求管 理者既要考虑成本和效益, 又要从企业总体角度出发在期望的风险容忍度内选择可以带来预期可能性和影响的风险方案。COSO 认 )。 为, 有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。 ( 6 )控制活动( ControlActivities 所以控制 COSO 把控制活动定义为帮助确保管理层的指示得到实施的政策和程序。由于控制活动是被作为适当的管理风险的工具, )。 《框架》并没有对信息和沟通下统一的定 活动和风险评估过程是联系在一起的。 ( 7 )信息与沟通( Informationand Communication 义,可能是因为它们通常的意义已经广为人知,它认为信息尤其是大量的财务和经营信息对治理企业和实现目标来说是必不可少 的; 沟通是信息系统固有的部分, 在更广泛的意义上, 沟通在处理预期、 责任和其他重要事项时都必须占有一席之地。信息时沟通的 基础, 沟通必须满足不同团体和个人的期望, 使他们能够有效履行自己的职责。沟通越有效, 管理层就能更好的行使其监督职能, 企 )。 这个过 业就越容易达到既定的目标。 ( 8 )监督( Monitoring COSO 把监督看成评估企业各个时期的风险管理质量过程的一个部分, 程包括持续监督、 个别评估或者两者的结合, 而持续监督和个别评估的频率则取决于评估过程中所包含的风险水平。COSO 认为, 要 使每种类型的风险管理真正有效, 这八个要素必须包含在内, 因为它们可以共同为企业风险管服务。 企业风险管理是一个动态的、 多 方向反复的过程, 在这个过程中大多数风险组成要素会影响另外的部分, 因此当企业需要利用风险管理各要素进行控制时, 应综合 考虑八个要素的影响, 并结合企业实际情况, 以求做出最科学的决策。 三、 COSO 《框架》发展与突破 内部控制是风险管理不可分割的一部分。《框架》将内部控制融入其中形成一套更 基于新旧 COSO 报告的比较研究我们发现, 为健全的概念体系与管理工具, 强调内部控制的持续有效性, 并从定义、 目标、 构成要素各个方面将《内部控制整体框架》进行了拓 —战略目标。风险管理扩大了报告目标的范畴, 将战略目标纳 展。具体来讲, 即增加了一个目标, 两个观念和三个要素: ( 1 )目标—— 入其中, 该目标层次高于其他三个, 即企业在确立了发展计划后应先制定出战略目标, 随之保证运营、 报告、 遵循目标与其一致; 企业 在实现这三个目标的同时也要保证战略目标的实现。 ( 2 )观念—— —风险组合观和整体风险管理观。风险组合观, 即企业在实现各个 目标的过程中, 对每个单位而言, 其风险可能在该单位的容忍范围以内, 但就企业整体来讲, 总风险很有可能超过企业整体的风险偏 好范围。因此, 要求管理者从企业层面上总体把握分散于各个层次和部门的风险, 防止头痛医头, 脚痛医脚的现象发生, 即整体风险 管理观。这两个观点的重大意义在于意识到不同的风险事件以及风险对策之间存在交互影响性,只有在统一考虑这些风险事件的 —目标制定、 事件识别和风险对策。《框架》将目标实现作为主体 正、 负相关性, 才能科学的统筹制定出风险管理方案。( 3 )要素——
COSO企业风险管理C整合框架
五、内部环境
内部环境包含组织的基调,它为主体内的人员 如何认识
和对待风险设定了基础,包插风险管 S 理警和风险J 量、诚信和道徳价值观,以及
•风险管理理念
风险管理理念是」整套共同的信念和态度,它 决是着壬体右:做任何事情-从战略制定和执行 到H 常的活动时如
何考虑风险。
风险管理理念 反映了主体的价值观,影响
它的文化和经营风 瘙,并fl 决定如何应用企业风佥管理的构成要 累,包括加何识别风险。
Objectiv 3 Setting
Event Idej ttificatio n
Risk Ass assment
Risk Re sponse
Control i activities
Infol m ation &< ^ommunic
ition Monii o ring
7
6。
COSO全面风险管理框架
COSO全面风险管理框架2007年9月14日COSO, the Co mmittee of Sponsoring Organizations of the Treadway CommissionCOSO 是一个自发组建的私立机构,其宗旨是通过提升商业伦理、完善内部控制和企业管治,来改善财务报告的质量。
在1985年COSO成立之初,其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。
美国反财务报告舞弊调查委员会是由美国的主要5家金融专业人员从业协会所组建的,包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及[美国]全国会计人员协会(现更名为管理会计协会)。
该反财务报告舞弊调查委员会与所有赞助其成立的各家机构之间,相互独立,且容纳了来自于产业界、公众会计师业、投资银行以及纽约证券交易所的人士。
而该委员会的主席,James C. Treadway, Jr., (詹姆士-崔迪威)曾担任美国证监会的前主席,也因此其名字被广泛提及于该委员发布的理论框架中。
COSO自身的发展经历了一个由内部控制框架向全面风险管理框架转变的过程,这其中经过了近20年的专业实践。
COSO对于全面风险管理的定义:全面风险管理(Enterprise-wide Risk Management, 简称ERM)——一些文章也将ERM翻译为:企业风险管理。
-全面风险管理是一个过程。
这个过程与董事会、管理层和其他人员相互影响。
这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并进行风险管理,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。
在最初的COSO内部控制框架中,其内容包括:随后,经过近20年的演变,2004年版本的COSO全面风险管理框架则如下图所示:全面风险管理的目标和要素:-战略(Strategic):与公司发展目标相结合的较高层次的战略目标,例如购并其他公司增加市场份额;降低成本提高毛利率等。
深度解读《COSO新版企业风险管理框架(征求意见稿)》
深度解读《COSO新版企业风险管理框架(征求意见稿)》2016年6月,美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations ofthe Treadway Commission, COSO)发布了新版企业风险管理框架“企业风险管理-与战略和绩效协同”(EnterpriseRisk Management- Aligning risk with strategy and performance)征求意见稿,这是继2004年COSO正式公布企业风险管理框架(EnterpriseRisk Management Framework, ERM)以来第一次对ERM框架进行修订和完善,更确切的说是对ERM框架大刀阔斧的进行了重新构思和设计。
新版ERM框架已经于2016年9月30日截止全球范围内收集反馈意见,并计划于2017年第一季度正式公布,但实际上正式版迟迟推到了第三季度才公布,可见其内部经历了大量的讨论乃至争执,关于正式版框架解读稍候发布。
一、新版ERM框架出台的背景众所周知,在企业风险管理和内部控制理论研究领域,COSO组织有着举足轻重的位置,从1992年出版企业内部控制整合框架(InternalControl- Integrated Framework)以来,作为在美上市公司内控体系建设的指导框架,不仅得到了美国证监会的认可,而且在全球范围内被众多国家相关企业和上市公司监管机构采用和推广,如中国财政部2008年发布的《企业内部控制基本规范》即采用了COSO 组织1992年发布的内部控制框架要素和内容。
2000年以来,企业界在实施了十来年内部控制框架之后,发现即便建立了完善的内部控制体系,仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损失案例,所以COSO组织开始从更高的一个角度来思考企业的管理活动以及内部控制体系的局限性。
内部控制体系确实对实现财务报告的可靠性和有效性提供了合理的保障(从实践经验看,内部控制体系的建立对经营和合规两个目标的支持力度并没有像财务目标那样得到很好的体现),但是企业需要从整合风险管理的角度为企业创造价值并合理保障公司战略目标的实现。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
作者简介: 女, 河南许昌人, 中南财经政法大学会计学院硕士研究生 宋怡萱( 1981- ), 张 翮( 1980- ), 陕西西安人, 长安大学本部图书馆
27
宋怡萱
张 翮: COSO 企业风险管理整体框架解析
参与, 应用于企业战略制定和企业内部各个层次和部门的, 贯穿整个企业旨在识别影响组织的潜在事件, 为组织目标的实现提供合 理的保证。 ”这是一个包容性很强的风险管理定义, 没有针对性, 可适用于各类行业、 组织和部门。 但究其含义, 仍能提炼出几个必不 可少的要素: 企业风险管理是一个由人参与的过程而非结果, 因此企业必须将风险管理融入在日常的经营管理之中, 并涉及企业的 每一个员工; 风险管理能够识别对企业造成影响的潜在风险; 企业风险管理能在一定程度上能够帮助企业实现合理的既定目标。 ( 二 )构 成 要 素 )。 内 部 环 境 是 企 业 风 险 管 理 企业风险管理包含八个相互关联的要素: ( 1 )内 部 环 境( Internal Environment 所有要素的基础, 对其它要素的各方面都能产生影响。 它由《内部控制整体框架》五个要素之一的控制环境发展演变而来, 较之控制 环境, 内部环境的视野更加广泛, 包含了多方面的内容, 如风险文化、 操守和价值观、 管理方法和经营模式、 职责和权限的分配等。控 制环境仅仅关注一切可控的或与控制相关的事务, 从而忽视了一些看似不可控却与企业的生存发展息息相关, 如员工诚实性、 道德 观等风险文化层次的考虑, 因此作为八大要素之首, 内部环境能为建立企业风险管理体系提供更全面、 深刻架构基础。 ( 2 )目标设定 ( ObjectiveSetting)。报告认为企业的管理层在可以有意义的评估风险之前必须确立目标, 针对不同的目标分析相应的风险, 并且拥 有一套能将企业目标与企业使命紧密联系并与企业风险容忍度和风险偏好相一致的制定目标的流程。企业的风险管理所有具体的 较高层次的目标, 与企业的使命相一致, 企业所有的经营管理活动 或活动层次的目标都可归入其类型中的一类或几类: ! 战略目标。 包括业绩指标与盈利指标, 旨在使企业能够有效及高效 必须长期有效的支持该使命。 " 运营目标。与企业经营的效果与效率相关, 的使用资源。# 报告目标。企业组织报告的可靠性, 分为对内报告和对外报告, 涉及财务和非财务信息。$ 遵循目标。层次较低, 也 )。报告认为事件可分为正面影响、 负面 是最基础的目标, 指企业经营是否遵循相关的法律法规。 ( 3 )事件识别( Event Identification 影响或者两者兼而有之三种。风险是带有负面影响的, 能阻止价值创造或侵蚀现有价值的事件发生的可能性; 机遇则是一种将会对 目标实现发生正面影响的可能性的事件。现如今各种不确定性因素充斥着社会的各个角落, 学会识别风险、 把握机遇是企业求生的 必备法则之一。管理层应当全面考虑影 响 事 件 发 生 的 各 种 因 素 , 结合相应方法, 正 确 识 别 和 规 避 风 险 以 把 握 机 遇 。( 4 )风 险 评 估 ( Risk Assessment)。 COSO 将 风 险 评 估 定 义 为 识 别 和 分 析 实 现 目 标 的 过 程 中 存 在 的 重 要 风 险 , 它 是 决 定 如 何 管 理 风 险 的 基 础 ( COSO , ), 一旦风险得到识别, 就应该对风险进行分析评估。 这样, 管理层就能根据被识别的风险的重要性来计划如何管 Framework 理, 即通过风险管理这个过程识别和分析风险并采取减弱风险效果的行动来管理风险。 内部控制框架和风险管理框架都强调对风险 的评估, 但风险管理框架建议更加透彻地看待风险管理, 即从固有风险和残存风险的角度来看待风险, 对风险影响的分析则采用简 企业风险评估的方法有多种, 主要分为定 单算术平均数、 最差的情形下的估计值或事项的分布等技术来分析(朱荣恩、 贺欣, 2003 )。 量分析和定性分析两种。企业无须对所有的风险采用同样一种评估方法, 可根据不同的风险目标确定相应的风险评估方法, 达到成 所做出的防范、 本最低情况下的效益最大化目的。 ( 5 )风险对策( Risk Response)。风险对策是指管理层在评估了相关的风险之后, 控制、 转移、 补偿风险的各种策略和措施。《框架》将风险对策又细分为规避风险、 减少风险、 共担风险和接受风险四种方式, 要求管 理者既要考虑成本和效益, 又要从企业总体角度出发在期望的风险容忍度内选择可以带来预期可能性和影响的风险方案。COSO 认 )。 为, 有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。 ( 6 )控制活动( ControlActivities 所以控制 COSO 把控制活动定义为帮助确保管理层的指示得到实施的政策和程序。由于控制活动是被作为适当的管理风险的工具, )。 《框架》并没有对信息和沟通下统一的定 活动和风险评估过程是联系在一起的。 ( 7 )信息与沟通( Informationand Communication 义,可能是因为它们通常的意义已经广为人知,它认为信息尤其是大量的财务和经营信息对治理企业和实现目标来说是必不可少 的; 沟通是信息系统固有的部分, 在更广泛的意义上, 沟通在处理预期、 责任和其他重要事项时都必须占有一席之地。信息时沟通的 基础, 沟通必须满足不同团体和个人的期望, 使他们能够有效履行自己的职责。沟通越有效, 管理层就能更好的行使其监督职能, 企 )。 这个过 业就越容易达到既定的目标。 ( 8 )监督( Monitoring COSO 把监督看成评估企业各个时期的风险管理质量过程的一个部分, 程包括持续监督、 个别评估或者两者的结合, 而持续监督和个别评估的频率则取决于评估过程中所包含的风险水平。COSO 认为, 要 使每种类型的风险管理真正有效, 这八个要素必须包含在内, 因为它们可以共同为企业风险管服务。 企业风险管理是一个动态的、 多 方向反复的过程, 在这个过程中大多数风险组成要素会影响另外的部分, 因此当企业需要利用风险管理各要素进行控制时, 应综合 考虑八个要素的影响, 并结合企业实际情况, 以求做出最科学的决策。 三、 COSO 《框架》发展与突破 内部控制是风险管理不可分割的一部分。《框架》将内部控制融入其中形成一套更 基于新旧 COSO 报告的比较研究我们发现, 为健全的概念体系与管理工具, 强调内部控制的持续有效性, 并从定义、 目标、 构成要素各个方面将《内部控制整体框架》进行了拓 —战略目标。风险管理扩大了报告目标的范畴, 将战略目标纳 展。具体来讲, 即增加了一个目标, 两个观念和三个要素: ( 1 )目标—— 入其中, 该目标层次高于其他三个, 即企业在确立了发展计划后应先制定出战略目标, 随之保证运营、 报告、 遵循目标与其一致; 企业 在实现这三个目标的同时也要保证战略目标的实现。 ( 2 )观念—— —风险组合观和整体风险管理观。风险组合观, 即企业在实现各个 目标的过程中, 对每个单位而言, 其风险可能在该单位的容忍范围以内, 但就企业整体来讲, 总风险很有可能超过企业整体的风险偏 好范围。因此, 要求管理者从企业层面上总体把握分散于各个层次和部门的风险, 防止头痛医头, 脚痛医脚的现象发生, 即整体风险 管理观。这两个观点的重大意义在于意识到不同的风险事件以及风险对策之间存在交互影响性,只有在统一考虑这些风险事件的 —目标制定、 事件识别和风险对策。《框架》将目标实现作为主体 正、 负相关性, 才能科学的统筹制定出风险管理方案。( 3 )要素——
20 世纪在经了 70 年代一连串财务失败和可疑的商业行为相继爆发之后,国际社会上又出现了另一连串更为耸人听闻的以金 导致这些失败的因素有很多, 如 融机构破产为代表的财务失败事件, 这些银行惨败事件给纳税人最终带来超过 1500 亿美元的成本。
波动的利率, 过度的投机等, 但在随后的调查中发现, 几乎所有的案件中审计师都没有发出危险的信号。这些会计造假案的层出不 —COSO ( The Committeeof 穷, 导致了 1985 年美国国会反财务舞弊委员会( NCFR)五个发起组织另外联合成立了一个新的委员会—— ), 来考虑哪些财 务 报 告 舞 弊 破 坏 了 财 务 报 告 的 诚 实 性 , 研究独立会计师在检测舞 SponsoringOrganizationsof the TreadwayCommittee 弊中的作用, 并识别可能导致舞弊行为的公司的结构特征等, 最终旨在遏制这种愈演愈烈的会计舞弊活动。 1992 年, COSO 在进行了 深入研究 之 后 发 布 了 一 份 关 于 内 部 控 制 的 纲 领 性 文 件 , 即《 内 部 控 制 整 体 框 架 》 ( Internal Control-Integrated Framework ), 强调了内 部控制的重要性, 提出内部控制的五个重要组成要素: 控制环境、 风险评估、 控制活动、 信息及沟通以及监督, 深化了内部控制的理念 其中的许多定义、 建议及思想被吸收到立法与规则制定中, 并在全世界范 和应用。COSO 报告一经发布便得到了业界的认可与采纳, 围内产生了广泛的影响。 2001 年以来, 安然、 世通、 施乐等公司财务舞弊案的相继爆发, 不但重创了美国资本市场及经济, 同时也集 —奥克斯利法》 ( The Sarbanes-Oxley Act)。该法案 中暴露出美国公司在内部控制上存在的问题, 由此导致美国通过了《萨班尼斯—— 明确了公司管理者 CEO 及财务主管 CFO 对内部控制负直接责任,井将承担经济与刑事后果;大幅度提高了对会计舞弊的处罚力 对中国的证券市场来讲是灰色的: 伊利股份董事长被拘、 开开上 度; 强化了内部审计、 外部审计及审计监管。到 2004 年  ̄2005 年初, 市公司的高级管理人员携款潜逃、 创维数码董事局主席以及金正数码和深圳石化原董事长被捕事件, 将内地与香港资本市场搞得沸 对国内外相关各方更产生了重大冲击和深远影响, 中航油的国企背 沸扬扬(李若山, 2005 )。与此几乎同时发生的中航油巨亏事件, 景也对我国的国家信用及我国企业海外上市前景都产生了负面作用。 中国是国际市场的重要组成部分, 在这一系列企业丑闻与失败 的背后, 隐藏着巨大的危机, 对会计造假舞弊现象的遏制和打击任重而道远。 在高层管理人员的监督问题愈渐突出, 国际社会对改善 反财务舞弊委员( NCFR)在广泛听取了各方意见和建议之后, 结合《萨班尼斯 - 奥克 公司治理的呼声日益高涨的背景下, 2004 年, 《企业风险管理总体框架》 ( Enterprise Risk Management-IntegratedFrame- 斯利法案》相关要求, 颁布了一个概念全新的 COSO 报告: 以下简称《框架》)。 《框架》的出台不但顺应了各方需求, 更拓展了内部控制的内涵, 对企业风险管理这一更宽泛的主题做出 work, 了更详尽的阐述, 其不旨在实际上也未曾取代《内部控制整体框架》, 而是基于并将其融入其中, 使内部控制得到了新的发展。尽管 《企业风险管理总体框架》刚出台不久, 我们仍能预测它将会如当初的《内部控制整体框架》一样, 经受住时间的考验, 被社会广泛 接纳并产生深远的影响。 二、 COSO 《框架》概要 参与《框架》指南的制定的项目参与者认为, 新报告中有 60% 的内容得益于 COSO 在 1992 年 报 告 所 做 的 工 作( 朱 荣 恩 、 贺欣, 虽然建立在内部控制的基础上, 但包含更全面、 更深层次的意义。因此, 《框架》从定义及 2003 )。风险管理作为一个更宽泛的概念, 其意义、 构成要素、 有效性和局限性、 与内部控制的关系等多个方面把企业风险管理这一概念进行了全新、 精辟和更详尽的阐述。 (一)定义及其意义 ・ “尽管许多人在谈论风险, 但是对于风险管理还没有形成一个 COSO 委员会主席 John J Flaherty 曾说过: 可普遍接受的定义, 也没有一个全面的框架, 能够刻画出风险管理的执行程序, 在董事会与管理层遭遇困难和挫折时能够对风险进 该定义融入众多观点并达成共识, 为各 行沟通(张志明, 2004 )。”因此, COSO 首先为企业风险管理确立பைடு நூலகம்一个可普遍接受的定义, 组织识别风险和加强对风险管理提供的坚实理论基础, 即“企业风险管理是一个过程, 是由企业的董事会、 管理层和其他员工共同