审阅与修订—COSO新版企业风险管理框架主体要素解读

带你用PDCA来解构COSO和ISO最新风险管理框架我们用了几个月的时间，按照每周一篇解读文章的速度，给大家把COSO委员会2017年9月最新发布的正式版《企业风险管理框架》和ISO国际标准化组织2018年2月正式发布的《风险管理指南》进行了系统、全面的解读。

其中也夹杂着过去这十几年来，协助中国企业实施企业风险管理、内部控制、内部审计工作的理解和体会。

希望可以让中国的从业者学习到最新、最前沿的风险管理理论发展成果，来指导未来的相关工作的实践。

在这个过程中，进行了大量的原文翻译，结合着这些年的经验，也借此机会好好审视了一下这些框架背后的设计原理。

从两个国际影响力最大的风险管理文件来看，虽然COSO主要侧重企业，但是其最新版一直在宣称适用于所有机构和组织；而ISO的风险管理指南，作为最开始就侧重设定一般性的原则和框架，广泛适用性是其一直以来坚持的原则，但由于盈利性法人机构这个群体是全球价值创造的主力部队，所以在企业层面实践ISO风险管理标准而获得的经验也是最丰富的。

最新版的两个文件中，提出了很多相似的论断和观点，最突出的几个共性方面包括：1、强调对主体价值的创造和保护；2、重视对支撑主体战略目标的达成；3、突出对支持决策、与其它业务的整合；4、加强领导层责任、企业风险文化的培育等方面。

其中，两个文件的框架可谓是集大成者，将其整个文件的设计思路和内容进行了高度的总结和提炼，我们在温习下两个文件的框架图。

COSO ERM 2017 企业风险管理框架ISO310002018 风险管理指南总体架构一、什么是PDCAPDCA最早应用于质量管理领域，是美国质量管理专家休哈特博士首先提出的，由戴明采纳、宣传，获得普及，所以又称戴明圆环。

全面质量管理的思想基础和方法依据就是PDCA循环。

PDCA循环的含义是将质量管理分为四个阶段，即计划（plan）、执行（do）、检查（check）、调整（Action，也有一说是Adjustment）。

coso模型的五个基本要素COSO模型的五个基本要素COSO模型是指企业风险管理和内部控制整体框架，它包含了五个基本要素，分别是控制环境、风险评估、控制活动、信息与沟通以及监控活动。

这五个基本要素相互关联，共同构成了一个完整的风险管理和内部控制体系。

下面将逐一介绍这五个基本要素的内容。

1. 控制环境控制环境是指企业内部的整体工作氛围和文化，它对内部控制的有效性起着决定性的作用。

控制环境要求企业建立一个良好的道德价值观和伦理规范，促使员工自觉遵守规章制度，并提供明确的目标和责任。

此外，控制环境还包括企业的组织结构、人员配备、培训和激励机制等方面的因素。

2. 风险评估风险评估是指企业对其面临的各种风险进行识别、评估和应对的过程。

企业需要对内外部环境进行全面的分析，确定可能对企业目标产生负面影响的各种风险。

在风险评估的基础上，企业需要制定相应的风险管理策略和措施，以降低风险的发生概率和影响程度。

3. 控制活动控制活动是指企业为实现其目标而制定和执行的各种控制措施。

控制活动需要覆盖企业的各个方面，包括财务报告、运营、合规性等。

企业需要建立适当的内部控制政策和程序，确保各项活动按照规定的流程和方法进行，并且能够有效地发现和纠正错误和违规行为。

4. 信息与沟通信息与沟通是指企业内部各个层级之间以及企业与外部利益相关方之间的信息交流和沟通。

信息与沟通的有效性对于内部控制的正常运作至关重要。

企业需要建立一个完善的信息管理系统，确保信息的准确性、及时性和完整性。

此外，企业还需要与内外部利益相关方保持良好的沟通，及时了解他们的需求和关切。

5. 监控活动监控活动是指企业对内部控制体系的评估和监督。

监控活动需要包括内部控制自评和独立评价两个方面。

企业需要建立一个有效的自评机制，定期对内部控制体系进行自我评估，及时发现和纠正问题。

同时，企业还需要进行独立评价，由内部或外部的审计机构对内部控制体系进行独立的审查和评估，确保其有效性和合规性。

【原创】COSO-ERM⼗⼤变化与五⼤误解-COSO新版企业风险管理框架系列解读（六）本⽂为COSO新版企业风险管理框架全⽂解读系列⽂章，只是对⼤致框架结合经验进⾏简要介绍，限于⽔平和能⼒，仅供个⼈学习参考。

如需详细内容，请⾃⾏购买英⽂报告全⽂。

2017年9⽉，COSO委员会正式发布了新版的ERM（Enterprise Risk Management）框架，即第⼆版企业风险管理框架。

本次框架相⽐⼗多年前的企业风险管理框架，有了翻天覆地的变化，框架发布以来，受到了全球各国风险管理界的普遍重视，我也有幸可以在第⼀时间和中国的各位风险管理界同仁和从业者介绍这份具有⾰命意义的框架⽂件。

有需要细致研究的⼈员可以关注公众号⽂章更新动态！今天和⼤家详细分享下，COSO 2017年新版企业风险管理框架和2004年第⼀版的风险管理框架的⼗⼤变化，以及2004年以来对企业风险管理⼯作的五⼤误解。

⼗⼤变化01应⽤了要素加原则的书写⽅式⾃从2013年COSO更新了1992年的企业内部控制框架（Internal Control-Integrated Framwork）以来，COSO就采⽤了这⼀国际⽂件惯⽤的书写结构，要素加原则（Componets and Principals）。

本次新版企业风险管理框架也告别了2004年版的⽴⽅体8要素框架，⽽改为今天⼤家看到的5要素20项原则的框架，如下图。

图 1:2004年版企业风险管理框架要素图 2:2017年版企业风险管理框架要素02简化了企业风险管理的定义2004年版框架对企业风险管理的定义为：过程，它由主体的董事会、管理层和其他⼈员实施，应⽤于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，在风险容量的范围内管理风险，为主体⽬ERM是⼀个过程标的实现提供合理保证。

新版框架对企业风险管理的定义为：组织在创造、保持和实现价值的过程中，结合战略制定和执⾏，赖以进⾏管理风险的⽂化、能⼒和实践⽂化、能⼒和实践。

企业风险管理框架4、风险评估风险评估可以使企业了解潜在事项如何影响企业目标的实现。

管理者应从两个方面对风险进行评估一一风险发生的可能性和影响。

风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。

对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据，这比没有任何数据的、完全的主观估计要客观得多。

根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见，能够得到比外部数据更好的结果。

但是，即使是以内部数据作为主要的资料来源，外部数据仍能用作一个检查标准或者改进分析。

当使用过去数据对未来进行预测时使用者必须小心，因为影响过去事项的有关因素可能会随着时间的推移而改变。

一个企业风险评估的方法通常是定量方法和定性分析技术的组合。

当风险本身无法量化时，或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时，管理者通常会采用定性的分析技术。

定量的分析技术通常更加精确，一般用于更为复杂多变的活动，作为定性分析的补充。

一个企业不需要在每个业务部门都使用同样的评估技术。

相反，对评估技术的选择应反映出对精确性的需要和该业务部门的文化。

在任何情况下，各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。

在衡量目标的实现程度时，管理者经常使用业绩计量指示。

当考虑某一风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。

管理者可以评估各事项之间的关系，因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。

虽然一个单一事项的影响可能很小，但是这样一系列事项则可能对企业造成重大影响。

各潜在事项之间可能并不直接相关，这时管理者可以分别对其进行评估，但是当某些风险可能在企业的多个业务部门出现时，管理者可以将所确认的风险归为一类进行评估。

通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。

COSO风险管理框架中文版COSO风险管理框架是一种广泛应用于企业风险管理的框架。

它由COSO（美国管理会计学会委员会）开发，旨在帮助企业有效管理和控制风险，并提升企业的绩效。

该框架主要由五个组成要素构成，分别是控制环境、风险评估、控制活动、信息与沟通以及监控活动。

下面我们就来详细介绍一下每个组成要素：1. 控制环境：控制环境是指企业内部的一些基础性因素，它们对风险管理至关重要。

这些因素包括企业的管理者对风险管理的关注程度、道德价值观、组织结构、人力资源策略等。

一个良好的控制环境将能够识别和理解企业所面临的风险，并为其他组成要素的实施提供支持。

2. 风险评估：风险评估是指对企业面临的风险进行识别、分析和评估。

它可以帮助企业确定风险的重要性和潜在影响，并为后续的控制活动提供依据。

风险评估可以通过内部审计、风险调查等方式进行。

3. 控制活动：控制活动是指为管理和控制风险而采取的策略、政策和程序。

这些控制活动可以包括内部控制措施、风险管理政策、员工培训等。

通过有效的控制活动，企业可以降低风险的发生概率和影响程度，并确保业务的顺利进行。

4. 信息与沟通：信息与沟通是指将与风险管理相关的信息及时传达给企业的相关利益相关者。

这些信息可以包括风险评估结果、控制活动的效果、异常报告等。

通过及时、准确地传达信息，企业可以更好地与利益相关者合作，共同管理和控制风险。

5. 监控活动：监控活动是指对企业风险管理框架的运行进行评估和监控。

企业可以通过内部审计、独立评估、风险指标等方式进行监控。

监控活动可以帮助企业发现潜在的风险和问题，并及时采取相应措施。

COSO风险管理框架通过以上五个组成要素的有机结合，帮助企业实现风险管理的全面覆盖。

它可以帮助企业建立有效的风险管理体系，提高组织的风险管理能力，降低风险对企业的不利影响。

在现今不断变化的商业环境中，企业需要密切关注风险管理，并根据COSO风险管理框架的指导原则，制定适合自身发展的风险管理策略。

coso内部控制框架和风险管理框架摘要：I.简介- 引入COSO 内部控制框架和风险管理框架II.COSO 内部控制框架- 定义COSO 内部控制框架- COSO 内部控制框架的目标- COSO 内部控制框架的五大要素III.COSO 风险管理框架- 定义COSO 风险管理框架- COSO 风险管理框架的目标- COSO 风险管理框架的八大要素IV.COSO 内部控制框架和风险管理框架的关系- 比较COSO 内部控制框架和风险管理框架- COSO 内部控制框架和风险管理框架的整合V.实施COSO 框架的挑战与展望- 实施COSO 框架的挑战- COSO 框架在未来的发展正文：I.简介COSO（Committee of Sponsoring Organizations）是一个由多个组织成员组成的委员会，致力于为企业提供内部控制和风险管理的指导。

本文将重点介绍COSO 内部控制框架和风险管理框架，以及它们之间的关系。

II.COSO 内部控制框架COSO 内部控制框架是一个为实现企业目标而设计的程序和方式，旨在提供合理的保证。

它包括以下五个要素：1.控制环境：包括员工的正直、道德价值观和能力，管理当局的理念和经营风格，以及组织结构和开发员工的方法等。

2.风险评估：为了达成组织目标而对相关的风险进行的识别和分析。

3.控制活动：在风险评估的基础上，采取措施降低风险。

4.信息与沟通：确保信息在企业内部和与外部利益相关者之间准确、及时地传递。

5.监督与评价：对内部控制系统的有效性和效率进行持续的监控和评估。

III.COSO 风险管理框架COSO 风险管理框架是一个为实现企业目标而设计的程序和方式，旨在提供合理的保证。

它包括以下八个要素：1.风险管理环境：为风险管理提供适当的基础，包括企业价值观、道德观、文化和领导力。

2.目标设定：明确企业的风险管理目标，确保与企业整体目标的一致性。

3.风险识别与评估：识别和分析可能影响企业目标实现的风险。

COSO更新版《企业风险管理框架》（5）企业风险管理框架（六）包括内部控制内部控制是企业风险管理不可分割的一部分。

这里所说的企业风险管理框架包括内部控制，为企业的管理提供了一个更强的概念基础和工具。

在《内部控制——整体框架》中已经对内部控制进行了定义和描述。

由于《内部控制—一整体框架》是现有的规则、法规和法律的基础，因此本讨论稿保留其对内部控制的定义。

整个《内部控制—整体框架》报告都是本框架的参考。

（七）企业风险管理的局限性有效的风险管理可以帮助管理者实现企业的目标，但是，无论企业风险管理设计得如何完善、运行得如何有效，它也不能保证一个企业永远成功。

企业目标的实现还要受管理过程内在局限性的影响。

政府政策或项目的改变、竞争对手的行动或经济条件都超出了管理者的控制范围。

人的决策可能会出错，因而企业很有可能由于人的简单的错误或过失而破产。

而且企业风险管理也不能把一个本来就很差的管理者变好。

此外，企业员工两人或多人合谋可以绕过控制，管理者也有权利绕过企业的风险管理过程，包括风险反应和风险控制过程等。

企业风险管理的设计必须反映企业资源稀缺的现实，而且风险管理的收益必须对应风险管理的成本。

因此，虽然企业风险管理可以帮助管理者实现企业的目标，但它并不是一颗万（八）各管理层在企业风险管理中的地位和职责一个组织的每个人在企业风险管理中都负有责任。

1.董事会企业的管理者向董事会负责，而董事会向管理者履行治理、指导和监督职能。

通过选举管理者，董事会在界定其所期望的员工的操守和价值观时起主要作用，并能够通过监督活动证实其对员工的预期。

同样，通过在某些关键的决策中保留其权限，董事会在制定战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。

董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责：了解管理者在企业内部建立有效的风险管理的程度；获知并认可企业的风险偏好：复核企业的风险组合观并与企业的风险偏好相对照；评估企业最重要的风险并评估管理者的反应是否适当。

COSO企业风险管理整体框架COSO企业风险治理整体框架概览一些公司和企业的治理者差不多在企业内部建立了一系列确认和治理风险的过程，而现在有许多企业也差不多开始或正在考虑建立自己的确认和治理风险的过程。

尽管治理者差不多把握了大量的企业风险治理的信息（包括大量公布出版的文献），但实务中却并不存在统一的术语，而且也专门少有普遍同意的原则可供治理者在构建一个有效的风险治理框架时作为指南。

COSO 委员会差不多认识到对企业风险治理概念性指南的需要，因而该委员会发起了一个建立一个概念性的、适当的风险治理框架的打算，旨在支持企业建立或评判企业风险治理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的那个框架能够作为治理者、董事、主管人员、学者和其他相关人员更好地明白得企业风险治理及其优点和局限性提供一个统一的基础，以便在风险治理问题方面进行有效地交流。

本概览列出了企业风险治理框架的关键内容，包括企业风险治理的定义、内容和差不多原则，风险治理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险治理的相关性和其与COSO 内部操纵报告的关系。

假如想更加深入地了解有关知识，请看企业风险治理框架的全文。

（一）企业风险治理的相关性企业风险治理的差不多前提是每一个企业，不管是盈利组织、非盈利组织，依旧政府机构，其存在的目的差不多上为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业治理者而言，所面临的挑战是在追求企业利益相关方价值增长的同时，决定企业预备同意的不确定性的程度。

不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。

风险治理框架确实是为治理者提供一个框架，使其能够有效处理不确定性及相应的风险和机遇，进而提高企业制造价值的能力。

1．不确定性企业经营的环境中有许多因素都会给企业带来不确定性，如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

内部控制框架的新发展——企业风险管理框架——COSO 委员会新报告《企业风险管理框架》简介引言内部控制框架是对企业内部管理结构、政策和程序的描述，通过对风险进行识别、评估和应对，以确保企业能够有效实现其目标。

近年来，COSO（委员会Sponsoring Organizationof the Treadway Commission）委员会发布了一份新的报告，《企业风险管理框架》，这标志着内部控制框架的新发展。

本文将对该报告进行简要介绍和分析。

一、COSO委员会与《企业风险管理框架》简介COSO委员会是一个非营利性组织，致力于改善和发展内部控制和风险管理的范例。

该委员会成立于1985年，由五个行业组织共同发起，其最著名的作品是1992年发布的《内部控制框架》。

随着全球商业环境的不断变化，COSO委员会于2017年发布了最新报告《企业风险管理框架》，以适应时代的需求。

《企业风险管理框架》是对内部控制框架的升级版本，更加注重风险的综合管理。

该框架由五个互相关联的组件构成，包括：企业风险管理环境、风险评估、风险处理、信息和沟通以及监控。

这些组件协同工作，为企业提供全面、系统和持续的风险管理。

值得一提的是，《企业风险管理框架》在制定过程中充分考虑了数字化、全球化和可持续发展等现代企业面临的新挑战。

二、《企业风险管理框架》的特点和意义1. 强调风险管理的重要性《企业风险管理框架》将风险管理放置在战略规划和业务运营的核心位置，强调了风险管理对于企业生存和发展的重要性。

通过明确风险管理的目标、原则和组件，帮助企业建立起更加有效的风险管理体系。

2. 强调风险管理的一体化《企业风险管理框架》强调风险管理应当贯穿于整个组织的各个层级和业务领域，而不是一个独立的功能。

风险管理需要融入到企业的文化和决策中，成为每个员工的职责和习惯，以确保风险管理的全面性和连续性。

3. 强调风险管理的动态性《企业风险管理框架》指出，风险管理是一个动态的过程，需要根据企业内外部环境的变化进行不断调整。