文档库 最新最全的文档下载
当前位置:文档库 › COSO企业风险管理框架

COSO企业风险管理框架

COSO企业风险管理框架
COSO企业风险管理框架

一、导言

中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。

在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。

二、COSO委员会新报告《企业风险管理——总体框架》解读

内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计

师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway 委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世

界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的

风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面:

(一)企业风险管理对内部控制内涵的发展

1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。

这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(GAO)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯.鲍雪(Charles Bowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信

贷组合的有关内部控制的财务报告是没有任何用处的。”(Craig James L,1993)但当时的COSO主席罗伯特.L.梅(Robert L.May)则认为,保障资产的考虑更适合作为一种经营控制(Steven J Root,2004)。由于美国审计总署的影响巨大(例如可能使银行等认为COSO报告与

其无关),如果COSO报告不根据其要求进行修改的话,从一开始就可

能面临被抛弃的命运。最后妥协的结果是,在1994年修订后的报告上,提出了“保障资产的内部控制”的概念,即“预防未经授权的获得、使用或处理资产,…”。可见,这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。

新报告认为“保护资产”或者“保护资源”是一个广义的概念,资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此,广义的“保护资产”目标范围集中为特定的报告目标,使得保

护资产适用于所有未经授权的获得、使用、处置资产。

又如,内部控制与管理活动有什么区别?在原报告中并不清晰。有些对错误纠正的管理行为,并不包括在原有COSO报告的内部控制活

动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。

ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单

位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。对比原来的定义,ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念,

使得ERM的定义更加明确、具体。同时,ERM又涵盖了内部控制所有合理的内容。

(二)企业风险管理对内部控制目标的发展

在1994年《内部控制——整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。

除此之外,新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。

(三)企业风险管理对内部控制要素的发展

1994年COSO报告《内部控制——整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展,将其演变为八个要素。例如,ERM框架引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。又如,虽然内部控制整体框架和ERM框架都强调对风险的评估,但风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、

最差情形下的估计值或者事项分布等技术来分析(朱荣恩,贺

欣,2003)。再如,由于原报告仅提出三个目标,因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息,这就对管理层将巨量的信息处理和精炼成可控的信息(actionable information)提出了挑战。

原COSO报告仅提出风险识别,但是并没有区分风险和机会。ERM 框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念,将原有的风险评估这一要素,发展为目标设定、事项识别、风险评估和风险反应四个要素,使得原有的内控五要素发展为风险管理八要素。

(四)相关角色和任务的变化

新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中,董事会都提供管理、指引和核查。虽然董事主要提供监督,但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素,也是企业风险管理重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任,并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组织的风险偏好。以前,当公司出现丑闻时,很多人问:“管理层怎么让这发生的”?现在,恐怕要问:“董事会怎么让这发生的”?(Dana R hermanson,2003)在新报告中,CEO必需识别目标和战略方案,并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个

业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的总体目标相联系(George Matyjewicz et al,2004)。一旦设定了目标,管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。

在ERM框架中,内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM。对于内审人员来说,最大的挑战是在ERM中扮演何种角色?很多内审人员可能被要求提供ERM的教育和训练,甚至“处理企业风险管理过程”。但是,新报告认为:内审人员并不对建立ERM体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。

(w.R.Kinveg,2003)内审人员职责的另一个变化是从原来对CFO和内审委员会负责,现在可能要对CFO、内审委员会和风险主管(risk officer,CFO)负责。

在ERM框架中,新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,并可能是风险管理委员会的成员之一。

三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件

中国航油(新加坡)股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准,新加坡公司在取得中国航油集团

公司授权后,自2003年开始做油品套期保值业务。在此期间,新加坡公司总裁陈久霖擅自扩大业务范围,从2003开始从事石油衍生品期权交易,同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外,签订了合同。陈久霖买了“看跌”期权,赌注每桶38美元,没想到国际油价一路攀升——2004年10月以后,新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同,中航油需向交易对方(银行和金融机构)支付保证金,每桶油价每上涨1美元,中航油新加坡公司要向这些银行支付5000万美元的保证金,其结果导致中航油现金流量枯竭,实际损失和潜在损失总计约5.54亿美元。(许俊,2004)

事实上,陈久霖这种石油期权投机交易,其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会发布的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业,在境外市场只能进行套期保值,不能进行投机业务。1999年6月2日国务院发布的《期货交易管理暂行条例》,也规定了国有企业的期货交易仅限于从事套期保值业务(且命令禁止场外交易),并要求期货交易总量应当与其同期现货交易量总量相适应。

然而,中航油从事以上交易时,一直未向中国航油集团公司报告,而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下,新加坡公司才向中国航油集团公司紧急报告。即

便如此,中航油公司也没有向集团公司说明实情。而且为了掩饰公司的违法行为,中航油开始向上级公司提供假账,2004年6月,中航油就已经在石油期货交易上面临3580万美元的潜在亏损。但公司仍然一意孤行,继续追加了错误方向“做空”资金,但在财务账面上没有任

何显示。由于陈久霖在场外进行交易,集团通过正常的财务报表没有发现陈久霖的秘密,新加坡当地的监督机构也没有发现其有违规现象,因此,才使得中航油事件从一个并不很大的失误开始,酿成为石破天

惊的大案、要案。根据上述中航油事件,我们对比ERM框架,认为有如下几个方面非常值得关注:

(一)关注企业风险比关注企业细节控制更为重要

ERM框架最大的变化,就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。事实上,包括中航油公司在内,几乎所有的公司都有一大套管理制度。这些制度大到包括对外投资、小到包括差旅费报销等,应有尽有。因此,企业董事会与管理层认为,这些制度的贯彻与执行,就是内部控制的所有内容。其实,企业的管理资源是有限的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控制上,往往会舍本求目,如有些企业在差旅费报销的规

定上,长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理

资源,还会忽视企业重大风险。所以,ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上,将

风险管理作为内部控制的最主要内容,这是一个革命性的变化。事实上,中航油公司曾在2003年被新加坡证券监督部门列为最具透明的

企业,说明该企业确实在细节方面的内部控制做得非常周到。但是,

从事后暴露出的结果来看,恰恰是在经营风险管理上出了问题。所以,ERM框架要求董事会将主要精力放在风险管理上,而不是所有细节的控制上,是非常值得关注的变化。

(二)执行ERM框架比设计内部控制框架更为重要

应该说,任何一个公司都或多或少存在一定的内部控制,否则,

公司是无法正常运行的。事实上,中航油公司本身也有一整套内部控制制度,为了追求制度的完美,他们还聘请了国际四大会计师事务所

之一的安永会计师事务所制定了《风险管理手册》,在该手册中规定:损失超过500万美元,必须报告董事会,并立即采取止损措施等。然而,当陈久霖在处理期货头寸的过程中,这些规定的流程成为形式,设定

的风险管理体系并没有发挥任何作用。由此可见,公司在设计内部控制时,是花了相当大的精力,而在如何保证实施制度方面,则缺乏应有的措施。这一点,ERM框架有明确指示。为了保证所设计的制度能够得到执行,在ERM框架中的第七与第八个要素中,再一次强调了通过

控制活动的设置,建立独立的监督部门来保证框架实施的可行性。这二要素包括建立、实施某些程序,保证有效进行风险反应。控制活动在整个组织的各个层级和各种活动中都发生,包括对申请和一般信息技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设备的控制等不同方法。而监督则指企业整个风险管理过程均应被监督,并且在必要时对所发现的偏离进行必要修正。或者通过正在实行的管理活动以及分别评价风险管理过程,双管齐下来监督其他要素的有效

性。这些内容均是监督要素的核心。事实上,作为一个现代企业组织,最为忌讳的是,在开展业务过程中出现暗箱操作行为,这往往是发生舞弊的前奏。因此,将所有业务活动分离出授权、批准、执行、记录及监督,并将这些职能分别授于不同部分执行,形成一个相互牵制、相互制约的过程,是内部控制的精髓。从中航油事件来看,陈久霖作为一个管理人员,如果其有授权功能,按照控制活动原则,就不应有执行的功能。即使其有执行功能,按照控制活动原则,他就不应有检查与监督功能。

但是,在陈久霖越权从事石油金融衍生产品投机过程中,没有任何阻拦与障碍,而在事后还能一手摭天、隐瞒真实信息,足见该公司在职能分工方面,特别是控制活动与监督这两个要素存在严重问题。由于存在这些缺陷,所以就很难保证已有设计好的内部控制能够到执行。通常,在比较规范的海外公司中,为了保证内部控制的实施,一般来说,除了财务上必须既向公司总经理汇报,又应向董事会汇报外,还有一个不受总经理制约的内部审计委员会。通过这些机构的设置,以保证董事会不仅有知情权,还有干预权。使得公司的运作是以股东利益最大化为最终目的。所以,从中航油事件中我们得到这样一个教训,保证ERM框架的实施,比设计一个内部控制更为重要。

(三)注意ERM框架中的新要素:内部环境、目标设定及事件设别

对比传统的内部控制内容,新ERM有了四个要素方面的变化。这四个要素的变化,对重新认识中航油事件,可能有一定的借鉴意义。

1.将控制环境改变为内部环境

传统内部控制将第一要素定义为控制环境,而新ERM框架却将其改为内部环境,这一要素的变化体现了企业风险管理的范围更大了,

应该关注的环境视野比过去更广了。在该新要素中,强调了内部环境包含了一个组织的气氛,形成一个组织的人员识别和看待风险的基础。内部环境主要包括:风险管理哲学和风险偏好;员工诚实性和道德观以及企业经营环境。内部环境要素确立了企业的风险文化,它既要认可预期发生的事项,也要认可未预期发生的事项。这与传统控制环境要素中只关注与控制有关的事项相比,有了更丰富的内涵。从中航油公司的内部环境来看,确实存在非常严重的问题。陈久霖败走狮城,技术层面的原因非常简单。但是深入挖掘,企业的内部环境起了很大的作用。作为创业性的管理层为主导的企业,经常会发生“挟企业过去优秀业绩,以令股东”的管理氛围。这样的企业文化、对待风险控制的态度,往往以管理层好恶为宗旨。中航油管理层在期货交易中,

根本没有意识到风险,而是相信自己的判断:油价冲高后必然会落。而在事情完全败露以后,陈久霖还认为:“只要再有一笔钱,就能挺过去,就能翻身。”CEO如此看待风险,其独断专行之霸气,其企业内部环境之恶劣,可见一斑。而集团公司由于过于看重陈久霖过去为集团公司所做的贡献,因此,即使知道了陈久霖因场外期货交易发生了严重损失,不仅没有果断采取止损措施,减少亏损。反而通过出售部分股权,进一步融资再次进行投机,使中航油损失达到了天文数字。所以,极端的风险偏好、畸形的风险文化和畸形的管理结构体现了中航油极为恶劣的内部环境。因此,在考虑由创业性管理层建立起来的公司文化时,

我们应该专门制定出一套符合中国国情的新企业文化,不然的话。类似于中航油事件的灾难还会发生。这是新的ERM给我们的启示。

2.目标设定及事件识别要素的创新

在传统内部控制定义中并没有这二个要素。但是,COSO报告在调查许多大公司舞弊案中发现,许多内部控制的失败,往往是在一开始确立公司目标时就已经铸定了。与此同时,公司在经营过程中,对什么事件应采取什么对策并不清晰,特别是高风险事项,也采用一般程序来处理,这也是导致公司内部控制失败的主要成因之一。所以,在新的ERM框架中,特别设置了这二个新要素。对比中航油事件,我们觉得,确实有独特的意义。

一般来说,公司在认识到影响其业绩的潜在事项之前,必须有一定的目标。ERM使得管理人员能适当的设立目标,并且使选择的目标能支持、连接企业的使命,并与其风险偏好相一致。该要素适用于管理层在确立目标时考虑风险战略。目标设立形成了一个组织风险偏好——从高处展望管理层和董事会将接受多大的风险。从中航油的发展史来看,从1997年起,在经历了两年亏损和两年休眠期后,恢复运营之后的中航油先后进行了两次战略转型:第一次转型是从一家船务经纪公司重新定位为以航油采购为主的贸易公司,第二次转型是从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型的实体企业,成为以中国为依托的石油类跨国企业。2001年,在母公司支持下,中航油以中国航油垄断采购上的概念成功登陆新加坡资本市场。然而,中航油总裁陈久霖并不满足于单纯

的油品现货贸易。在其推动下,中航油从上市伊始就开始涉足石油期货。在取得初步成功之后,中航油公司管理层在没有向董事会报告并取得批准的情况下,无视国家法律法规的禁止,擅自将企业战略目标移位于投机性期货交易,这种目标设立的随意性,以及对目标风险的藐视,最终将企业陷入惊涛骇浪之中。事实上,中航油集团最初在海外设立上市公司的初衷是非常明确的,就是为了取得一个价格相对平稳的国际油价。但是,这一目标最后却被陈久霖擅自改变为通过投机性场外交易来博击利差的主要手段。可见,目标的随意更改,导致了中航油最终受到毁灭性的打击。因此,在风险防范方面,目标设立起到非常大的作用。

其次,一个组织必须识别影响其目标实现的内、外部事项,区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险。可能有正面影响的事项代表了能抵消负面作用的机会,通过事项识别,能引导管理层战略或者目标始终能保持不被偏离。2002年中航油的年报显示其当年的投机交易盈利,2003年下半年,中航油进入石油期权交易市场,到年底也赚了钱。事实上,这正是事项识别中的机会与风险问题。

当我们看到该事项为公司赚取了大量利润的同时,应该清醒地认识到,该事项可能产生的巨大风险。从最后结果来看,中航油最终的巨亏也是因为期货交易。这里就涉及到企业应当如何正确区分机会和风险问题了。如果陈久霖能认清形势,在赚取巨额利润时,清醒地意识到可能产生的风险,或许中航油的历史会改写。因此,利用事项识别技巧

(例如事项目录、流程分析、主要事项指针等)来区分机会和风险,显得十分重要。这也是新报告中符合时代要求的一个重要要素。

四、《企业风险管理——总体框架》对我国企业的借鉴意义

《企业风险管理——总体框架》对我国其他企业也有很多可供借鉴的地方。如近来发生的伊利股份、创维数码、四川长虹等失败案例或重大事件,或多或少都与企业风险管理缺失有关:2004年12月17日,内蒙古自治区检察院对内蒙古伊利实业股份公司董事长郑俊怀等5名高管人员的经济问题正式进行立案调查,其主要原因是郑俊怀等人在2000年和2001年间未经董事会同意,先后挪用1590万元和1400万元,分别给了呼和浩特华世商贸有限公司和启元有限责任公司用于经营。事后得知:华世商贸公司是伊利公司的第五大股东,它是由郑俊怀、杨桂琴等人以亲属名义注册的私人企业;而启元公司企业法人就是董事长郑俊怀。无独有偶,2004年1 1月30日,创维数码董事局主席黄宏生,无视公司外部股东利益,绕开现有的董事会,私自将上市公司款项打人自己创办的企业,因此涉嫌盗取公司资金4800多万元,被香港廉政公署拘捕。而老牌上市公司四川长虹则折戟国际市场——因其合作伙伴美国APEx家电进口公司拖欠4.6亿美元巨款而遭受巨大坏账损失,也使得舆论评价四川长虹风光不再。在该案例中,虽然APEX 公司是长虹在美国最大的合作伙伴,但是在确定信用政策时,长虹考虑坏账风险的策略是令人难以理解的。因为,长虹是在A:PEX公司拖欠国内多家公司的巨额欠款情况下,还与其签订了巨额赊销合同,如

果长虹有合理的内部控制制度,这些情况或许不会发生。

上述案例的发生,或是董事会功能缺失、或是有内部控制制度但在实际业务中没有得到应有执行、或是根本就没有制度。因此,认真学习ERM框架中的所有内容,并将其与企业经济业务紧密结合起来,我们认为对我国企业内部控制制度的重新调整,有一定借鉴意义,也为我们在当前环境下如何建立起一套适合中国国情的内部控制措施,提供了一个新的理论基础。例如,新框架要求,以后再发生类似高级管理人员舞弊问题时,不是问总经理在哪儿?而是要问董事会在哪儿?因此,发挥董事会在内部控制方面的作用是新框架中的一个重要内容。另外,企业风险管理要求高级管理人员将企业风险、而不是所有细节作为控制的主要对象,是新框架中又一主要变化。因此,我们应当关注COSO报告中有关ERM的新发展,这对我们建立一个科学的企业现代制度是大有裨益的。

最新COSO企业风险管理框架资料

一、导言 中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。 在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。 二、COSO委员会新报告《企业风险管理——总体框架》解读

内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway 委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世 界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的 风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面: (一)企业风险管理对内部控制内涵的发展 1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。 这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺

COSO企业风险管理整合框架附录部分中文版

P109 企业风险管理—整合框架和内部控制—整合框架之间的关系 1992年,COSO(反虚假财务报告委员会的赞助组织委员会)发布了《内部控制—整合框架》,该框架建立了内部控制结构,并提供评价工具,从而使企业和其他主体可以评估其控制系统。该框架定义了有效进行内部控制的五个相互关联的要素。 内部控制—整合框架将内部控制定义为一个过程,该控制过程受到企业董事会、管理层和全体职工的影响,旨在提供合理保证,以实现下列目标: ?经营的效率和效果 ?财务报告的可靠性 ?法律法规的遵循性 本附录概述了内部控制框架和企业风险管理框架之间的关系。 对内部控制的拓展 内部控制是企业风险管理的主要组成部分。相比较而言,企业风险管理的内容则更为深入,它扩展和详述了内部控制的范畴,这使企业风险管理成为了更加全面关注风险的更加健全的概念。由于企业主体和其他组织只关注自身的内部控制,从而使内部控制—整合框架仍然有重要的影响。 目标分类 内部控制—整合框架细分了三种目标—运营目标,财务报告目标和合规性目标。企业风险管理也细分了三种类似的目标类别—运作目标,报告目标和合规目标。在内部控制框架中,报告类别被认为与公布的财务报表的可靠性相关。在企业风险管理框架中,报表的范畴被明显的扩展,涉及了主体编制的所有在内部和外部使用的报表。包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。 P110 企业风险管理—整合框架增加了一个高层次的目标,即战略目标。战略目标来源于主体的规划,同时运营、报表和合规性的目标都要与之一致。企业风险管理被应用于战略制定以及其他三类目标的实现。 企业风险管理框架还引入了风险偏好和风险承受能力的概念。风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量,它为战略制定及相关目标的实现提供了参考。在确定风险承受能力过程中,管理层需考虑相关目标的重要性,并将其与企业风险偏好相协调。在风险承受能力范围内经营有助于确保该主体能保持在它的风险偏好之内,进而确保该主体将会实现其目标 风险组合观点 风险组合未包含在内部控制框架之内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。 组成部分 在加强关注风险的同时,企业风险管理框架将内部控制的风险评估扩展为四个组成部分—目标设定(内部控制的先决条件)、事项识别、风险评估和风险应对。 内部环境 在论述环境组成方面,企业风险管理框架讨论了一种主体风险管理理念,即一整套共同的信念和态度。描述了主体如何考虑风险,反映了它的价值观,并影响其文化和经营风格。如上所述,此框架包含了风险偏好的概念,风险承受能力更加明确的印证了这一点。 考虑到董事会的决定性作用及其构成,为了使企业风险管理更加有效,企业风险管理框架将

企业风险管理整合框架及其评价

企业风险管理整合框架及其评价 在内部控制标准制定方面,美国发起人组织委员会(COSO) 一直是国际公认的权威机构,自其成立以来,一直致力于内部控制标准的制定,引导和代表着内部控制的发展趋势。1992年,COSO提岀了《内部控制——整合框架》,经过十多年的应用.已成为业界普遍认可的一个标准。2004 年9月,COSO又提岀了《企业风险管理一一整合框架》,它既是对《内部控制一一整合框架》的超越,也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。 一、企业风险管理的性质(n ature)与定位 这些年来.一系列财务失败事件的发生以及对企业风险管理的关注,使人们越来越清楚地认识 到需要一个强有力的框架以便有效地识别、评估和控制风险。2001年,COSO开展了一个项目, 委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的框架。但在开发这个框架期间,又发生了一系列令人瞩目的企业丑闻和失败事件,投资者、公司员工和其他利益相 关者因此而遭受了巨大的损失。随之而来的便是对采用新的法律、法规和上市准则来加强公司治 理和风险管理的呼吁。人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架。美国在2002 年颁布了《萨班斯-奥克斯利法案》,其他国家也已经通过或正在考虑类似的立法。这部法律扩充了长期持续的对公众公司保持内部控制制度的规定 , 要求管理当局证实、并由独立审计师鉴证这些制度。2004 年9 月,COSO 发布了《企业风险管理——整合框架》,它拓展了内部控制框架,更关注于企业风险管理这一更加宽泛的领域。按照COSO 的设想,他们不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳 入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一

企业风险管理架构(doc 143页)

企业风险管理架构(doc 143页) 部门: xxx 时间: xxx 整理范文,仅供参考,可下载自行编辑

企业风险管理——整合框架 2004年9月

目录 内容摘要 (4) 1 定义 (10) 2 内部环境 (31) 3 目标设定 (44) 4 事项识别 (54) 5 风险评估 (65) 6 风险应对 (75) 7 控制活动 (84) 8 信息与沟通 (94) 9 监控 (106) 10 职能与责任 (118) 11 企业风险管理的局限 (132) 12 该做些什么 (138)

内容摘要 企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。 当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括: ?协调风险容量(risk appetite)与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。 ?增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。 ?抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增 强,抑减了意外情况以及由此带来的成本或损失。 ?识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。 ?抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。 ?改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。 企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。 事项——风险与机会 事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。

《企业风险管理——整合框架》读书笔记-200119

《企业风险管理——整合框架》读书笔记 广西博林企业会计服务有限公司36号李春玲 曾今有人说过,在中国每10秒就有一家公司死掉,而这惨象在2018年底不断上演,中小企业大规模倒闭裁员,而各大名企也未放缓裁员的步伐,以此削减成本来渡过经济寒冬。 在经济下行,人人自危的情况下,作为一个企业的掌舵人,详细的学习《企业风险管理——整合框架》一书尤其重要。以下读书笔记,是我在学习此书的感想和结合企业管理过程中所得: 一、企业风险管理的意义 在这样一个瞬息万变的时代,没有企业能一直躲在稳定的舒适区,失败和成功有时就是一念之差。 1、企业风险管理存在的问题 与国外的企业相比,我国除了金融、保险等高风险行业十分重视风险管理外,其余大部分企业对风险管理都不够重视,风险管理还处于起步阶段。 (1)分不清风险与内控的关系。在书中有明确写到,其实风险管理包含内部控制,风险是通过各要素在管理中做正确的事,内控是利用规章制度正确的做事。 (2)主体人员不能正确地认识风险管理的重要性。其中包括风险管理部门的设置、流程、工作标准、权限设置模糊、风险预警机制和人员风险意识的培训等。 (3)对风险片面理解。框架也强调风险有很多,通常我们会对投资风险、财务风险比较重视,而忽略了如:外部风险中的竞争对手、政治环境、法律环境等;内部风险中的产品、营销、人事等。 2、企业加强风险管理的必要性 风险的本质是一种不确定性,这就意味着,风险既包含了闻风丧胆的危险,也包括了绝处逢生的机会。还记得曾经的乳制品行业巨头吗?在三聚氰胺事件后,三鹿集团连翻身的机会都没有,人们不会给一个没诚信没道德的企业任何的

生存环境。 今年3月底,“碧生源上市9年亏损超4亿元总部大厦被变卖”的消息一出,其实大家并不是特别吃惊。有分析表明,碧生源的亏损是综合因素所致。最关键的原因是广告的夸大宣传,另外,随着消费者健康意识的加强,已经不太能继续忽悠消费者。 诚信和道德价值观是一个主体内部环境的关键要素,影响其他要素的设计、管理和监控。 一个企业风险发生之前,已经呈现亚健康状态,各个环节出现的问题没有得到应有的重视。 企业风险管理使管理层能够识别、评估和管理面对不确定性的风险,它对于价值创造和保持而言有重要意义,可见懂得风险管理对企业来说多么重要。 二、财会服务企业必须具备风险管理技能 企业风险管理框架的要素包括8个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督;内部控制框架包括5个要素:内部环境、风险评估、控制活动、信息与沟通、监督。内部控制是企业风险管理不可分割的一部分。 我在阅读风险管理框架的时候,结合财会服务业风险管理进行了适当的理解和分析。 1、加强专业人才队伍建设 内部环境,包括风险管理理念和风险容量、诚信和道德价值观,以及所处的经营环境。而人是企业的生命所在,因此团队建设培养要把好关,建立良好的氛围。 财会服务业对财务管理工作人员的要求较普通企业更高,在聘请财务人员时,优先录取经验丰富的应聘者,毕竟丰富的财务风险管控经验是十分难得的。另外,要注重培训,有计划地加强进行风险管控的实战训练,以提高公司的风险防控能力。 2、准确地表述企业的目标 目标设定是事件识别、风险评估和风险应对的前提,目标的实现又分为:战

新版COSO企业风险管理框架

新版COSO《企业风险管理框架》:有哪些变化? 2016-12-15 6月24日,反虚假财务报告委员会下属发起组织委员会(COSO)发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新” 概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM)在组织机构真正行之有效。 为什么要更新?对过去十年的回顾与总结 自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。 当然框架的实施还面临其他挑战: ?企业风险管理的实施围往往并不面向整个组织机构,并且很少被运用到战略制定中。 如此一来,COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点——“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。 ?COSO最初在编制框架时采用了类似于部控制框架所使用的立方体。虽然COSO对立方体右侧的容进行了修改,删除了有关活动和流程,改为侧重于围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非

战略制定。企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。 ?许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由部审计部门主导的情况下。 ?2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。 ?最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。 简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。 鉴于上述原因,企业风险管理框架在早些年并未获得施展拳脚的机会。直至金融危机爆发,许多企业高管都并不知晓该框架抑或不确定应如何应对。然而,金融危机爆发后,有关问题和价值主便开始明朗起来。

coso企业风险管理整合框架

c o s o企业风险管理整合 框架 集团标准化办公室:[VV986T-J682P28-JP266L8-68PNN]

公司治理·内部控制前沿译丛 企业风险管理——整合框架 (美)COSO 制定发布 方红星王宏译 大连 制定发布机构简介 COSO是Treadway委员会(Treadway Commission,即反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reporting),通常根据其首任主席的姓名而称为Treadway委员会)的发起组织委员会(Committee of Sponsoring Organizations)的简称。Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。1992年,COSO发布了着名的《内部控制——整合框架》(1994年作出局部修订),成为内部控制领域最为权威的文献之一。2003年7月,COSO发布了《企业风险管理——整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,2004年9月发布了最终的文本。本书就是按照2004年9月正式发布的文本进行翻译的。 译者简介

方红星,东北财经大学会计学院教授,博士,兼任东北财经大学出版社社长,编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。 王宏,西南财经大学会计学院博士研究生,现就职于财政部会计司综合处,近年来主要致力于内部会计控制等方面的理论和政策研究。 中文版前言 在内部控制和风险管理的演进过程之中,COSO的突出贡献是举世公认的。它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》,已经成为世界通行的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。 2003年7月,COSO发布了《企业风险管理——整合框架》的征求意见稿,引起了广泛的关注,我国也有一些学者撰文介绍了相关的情况。诚然,企业风险管理整合框架并没有立即取代内部控制整合框架,但是它涵盖和拓展了后者。因此,对新的框架进行深入研究和探讨,具有十分重要的价值。2004年9月,正式的最终文本发布之后,由于着作权保护和其他方面的原因,在国内很难取得该框架最终定稿的版本。而许多学者继续按照征求意见稿来进行转述、介绍和研究,已经显得不合适了。为此,我们通过积极联络和多方努力,最终获得了正式授权,得以将这份重要的文献翻译成中文并在国内公开出版。 长期以来,尤其是在2001年前后一系列令人瞩目的公司丑闻爆发之后,关于内部控制的研究和立法行动深受社会各界的重视和关注,我国也概莫能外。我国的有关部门在几年前就已经开始了制定企业内部会计控制规范的积极尝试。目前,关于研究和制定企业内部控制指

(精编)企业风险管理整合框架

(精编)企业风险管理整合框架 第二章《企业风险管理——整合框架》基本理论 一、《企业风险管理——整合框架》(简称ERM框架)的颁布 1992年COSO发布的《内部控制——整合框架》虽然被许多企业采用,但理论界和实务界纷纷提出改进建议,认为其对风险强调不够,使得内部控制无法与企业风险管理相结合。2001年,COSO委托普华永道开发一个对于管理层评价和改进他们所在组织的企业内部控制的简便易行的框架。在此期间出现了安然公司破产事件、美国国会2002年出台了《2002公众公司会计改革和投资者保护法案》(萨班斯——奥克斯利法案),该法案是继美国《1933年证券法》、《1934年证券交易法》以来又一部具有里程碑意义的法律,该法案强调了公司内部控制的重要性,从管理层、内部审计以及外部审计等几个层面对公司内部控制做了具体规定,并设置了问责机制和相应的惩罚措施,成为继20世纪30年代美国经济危机以来,政府制定的涉及范围最广、处罚最严厉的公司法律。 2004年,Treadway 委员会下属的发起组织委员会(COSO)发布了《企业风险管理——整合框架》(ERM)①,该框架是在1992年COSO委员会颁布的内部控制框架基础上,吸收各方风险管理研究成果基础上提出的,是内部控制整体框架的延伸和扩展,一经推出,就迅速得到了推广。这个框架的显著变化是将内部控制上升至全面风险管理的高度来认识。........................................... COSO发布《企业风险管理——整合框架》的目的与当初发布风险管理框架的目的相似,是由于实务界存在对统一的概念性指南的需要。COSO希望新框架能够成为组织董事会和管理者的一个有用工具,用来衡量组织的管理团队处理风险的能力,并希望该框架能够成为衡量企业风险管理是否有效的一个标准。........................................... 二、企业风险管理的定义 《企业风险管理——整合框架》(简称ERM框架)指出,“全面风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项、管理风险,以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。........................................... 定如何应对及报告影响组织目标实现的机遇和威胁。 ①本人认为COSO发布的《企业风险管理——整合框架》,具有较强的理论可取性和实践可行性,不但涵盖了内部控制整体框架的全部内容,而且有了更多的创新,必将全面替代COSO发布的内部控制整合框架,所以本书按照COSO发布的《企业风险管理——整合框架》来阐述。

风险管理体系框架

风险控制体系 第一部分:风险类别 依照风险的内容和来源,根据《中央企业全面风险管理指引》将企业风险分为:1.战略风险 2.财务风险 3.市场风险 4.运营风险 5.法律风险 结合我司现发展阶段,将公司风险控制系统主要划分为两大板块,即公司内部风险控制体系与公司业务风险控制体系。

? ?第二部分:内部控制体系的建立

一、战略风险控制 (详见行业分析调研报告) 二、财务风险控制 (详见公司财务管理制度) 三、运营风险控制 (详见公司各项管理制度) (一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定; (二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等; (三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任; (四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各部门、岗位、人员应负的责任和奖惩制度; (五)建立内控考核评价制度。适当考虑把各业务风险管理执行情况与绩效薪酬挂钩; 四、法律风险

建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业法律顾问牵头、企业具体业务部分提供业务保障、全体员工共同参与的法律风险责任体系。 对合同审批的内部控制(关键词“公司公章、合同章的管理”)公司应制定严格的合同审批程序,以防止随意签署合同。 公司合同涉及到公司的法律责任、资金收付、税收支出等等,因此,必须严格执行完善的审批流程:此时的低效率有助于控制公司的风险、降低经办人员的责任。 1、对于常规合同,公司内部确定经领导、律师审核通过的标准文本;如果对方提出修改部分条款,需要走审批程序; 2、对于非常规合同,需要走经办人、经办部门经理、(财务总监)、法律顾问、总经理(乃至董事长)审批后,公司办公室、业务部门方可予以盖章。 3、主要审查: (1)合同主体;(2)业务的合法合规性;(3)交易价格是否公允、是否浮动、浮动的条款;(4)涉及到的全部税收计算;(5)相关约束商务条款是否合理;(6)权责利是否明确对等;(7)是否超过总经理、董事长、董事会的审批权限等等 第二部分:业务控制体系的建立

COSO风险管理框架八大要素

风险管理框架 COSO风险管理框架把风险管理的要素分为八个:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。 内部环境 企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容,包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分,对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。 目标制定 根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的子目标并在企业内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。 事项识别 管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。 风险评估 风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。 风险反应 管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的可能性和事项对企业的影响,并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险 反应方案。 控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实

企业风险管理——整合框架

企业风险管理—— 整合框架 内容摘要(简体中文翻译:中国东北财经大学方红星教授)

内容摘要 企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。 当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括: ? 协调风险容量(risk appetite)①与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容 量。 ? 增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。 ? 抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。 ? 识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。 ? 抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。 ? 改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。 企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。 事项——风险与机会 事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。 ①也有人将其翻译为“风险偏好”、“风险需求”、“风险承受能力”等——译者注。

企业风险管理框架

企业风险管理 ——整合框架

2004年9月

目录 内容摘要 (4) 1 定义 (16) 2 内部环境 (78) 3 目标设定 (114) 4 事项识别 (141) 5 风险评估 (172) 6 风险应对 (199) 7 控制活动 (223) 8 信息与沟通 (251) 9 监控 (286) 10 职能与责任 (317) 11 企业风险管理的局限 (357) 12 该做些什么 (373)

内容摘要 企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。 当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括: ?协调风险容量(risk appetite)与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。 ?增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。 ?抑减经营意外和损失——主体识别潜在事项和实施应

对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。 ?识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。 ?抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。 ?改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。 企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。 事项——风险与机会 事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标——支

某某集团全面风险管理实施方案

关于印发《****集团公司全面风险 管理体系建设实施方案》的通知 各所属企业: 现将《****集团公司全面风险管理体系建设实施方案》印发给你们,请结合本企业实际,认真贯彻落实。 特此通知。 附件:****集团公司全面风险管理体系建设实施方案 二○一○年十月二十八日 主题词:风险管理实施方案通知

附件: ****集团公司 全面风险管理体系建设实施方案 根据国务院国资委和****集团战略发展要求,集团公司决定从2010年7月至2012年12月开展全面风险管理体系建设项目,计划利用2~3年时间,最终建立****集团全面风险管理体系,进而提高集团公司及所属企业风险管理能力,促进企业科学、可持续发展。 为更好的借鉴全面风险管理体系建设的经验,集团公司决定聘请咨询机构作为外部专家,指导集团公司及所属企业开展全面风险管理体系建设工作。考虑集团本部及所属企业管理模式和业务特点,坚持“总体规划、整体部署、重点突出、分步实施、逐层推进”的总体思路,走“先试点、后推广、再提高”的路线,分为两个阶段进行。 一、全面风险管理项目启动、试点阶段(2010年7月~2011年12月) 通过本阶段工作,集团本部及所属企业初步完成全面风险管理体系框架建设工作,为后期推广工作打下坚实基础;集团本部及试点企业全面风险管理体系建立并开始测试运转,重要领域的风险管理水平得到提升,并为第二阶段在非试点企业进行项目推广积累经验;同时风险管理信息系统的规划工作基本完成,为后期信息系统的实施打下基础。 该阶段工作具体分为三个阶段:

(一)项目准备阶段(2010年07月~2010年10月) 本阶段主要任务是成立领导小组和工作机构,开展调研,明确项目目标、制定项目总体方案,选定咨询机构,做好项目动员部署等其他准备工作。具体方案详见附件一。 (二)项目启动阶段(2010年11月~2011年04月) 本阶段主要任务:一是****集团本部及所属企业完成全面风险管理体系框架建设;二是做好风险信息收集、风险评估工作;三是确定风险管理内容和第一阶段风险管理重点项目,开展重大风险管控;四是明确试点企业,并制定各试点企业风险管理实施方案;五是2011年4月20日前完成2011年度****集团风险管理报告并报国务院国资委;六是抓好相关培训工作,为全面风险管理体系建设提供智力支持。具体工作方案详见附件二。 (三)试点企业全面风险管理体系建设与实施阶段(2011年05月~2011年12月) 本阶段主要任务是****集团本部及试点企业全面风险管理体系开始试运转、跟踪改进并持续提高。 重点做好以下工作: 一是抓好各试点企业1~2项重要风险管理项目的实施与改进工作,着力强化集团本部与试点企业重要领域风险的管理; 二是各试点企业年底完成风险管理报告,并总结全面风险管理建设的经验与不足; 三是编制年度全面风险管理报告,制定****集团风险管理手册;

企业风险管理框架

企业风险管理框架 目标和组成部分之间的关系 在实体所努力达到的目标,与代表达到目标所需要的企业风险管理组成部分之间,有着直接的联系。这种关系可以用一个三维图形来描绘,如图2.1中的立方体所示。个目标类别一战略性、经营性、报告性及遵从性—一由纵栏表示,八个组成部分由横行表示,实体及其单元由模型的第三维表示。每一组成部分“横穿”并适用于所有四个目标类别。倒如,来源于内部和外部渠道的财务及非财务信息,这属于信息和交流部分,在战略制订、有效管理业务经营、有效报告和判定实体遵守适用法律中都有所需要。类似地,从目标类别来看,所有几个组成部分与每一类别都相关。以经营效果及效率这一类别为例,所有八个组成部分对其实现都适用,并且重要。企业风险管理与整体企业,或与单个经营单元相关。这一关系由第三维描述,表示子公司、分支机构和其它经营单元。这样就可以专注于模型中的任一部分。比如,要考虑顶部右边后面的部分,它代表与特定子公司的遵从目标相关联的内部环境。应该认识到,四栏代表的是企业目标的类别,而不是实体的部分或单元。这样,在考虑比如说与报告相关的目标类别时,需要了解关于实体经营的

广泛信息,但如果是那样的话,要注意的是模型的右中栏——报告性目标——而不是经营性目标一栏。图2.2扩展了立方体组成部分行,以显示每一组成部分的关键要素,以及哪些组成部分代表一个过程流。尽管企业风险管理框架与所有实体相关且适用,管理部门应用企业风险管理的方式却随着实体性质和许多实体特有因素而有很大的不同。这些因素包括实体的经营模式,大体风险,所有权结构,经营环境,规模,复杂性,行业和监管程度,以及其它。当考虑到实体的特有情形,管理部门进行一系列的选择,都要顾及到被展开来应用企业风险管理框架组成部分的过程和方法的复杂性。管理部门可能会在某些经营单元或程序或企业风险管理组成部分中选用复杂的方法和技巧,而在其它地方决定运用更基本的方法。有效性尽管企业风险管理是一个过程,其有效性是在某一时点上的状态或情形。判定企业风险管理是否“有效”是一种主断言,取决于评估八个组成部分是否存在及真正发挥作用。要被认定为有效,所有八个组成部分都必须存在且发挥作用。然而,这并不意味着在不同实体中,每一个组成部分都应该发挥同样的作用,或者甚至在同一水平,各组成部分之间可能会存在协调。因为企业风险管理技巧能服务于各种各样的目标,相对于一

企业风险管理架构(doc 143页)

企业风险管理架构(doc 143页)

企业风险管理——整合框架 2004年9月

内容摘要 企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。 当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括: ?协调风险容量(risk appetite)与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。 ?增进风险应对决策——企业风险管理为识别和在备选的风险应对——风 险回避、降低、分担和承受——之间进行选择提供了严密性。 ?抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。 ?识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织 的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。 ?抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。 ?改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。 企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。 事项——风险与机会 事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。

内部控制框架的新发展_企业风险管理框架_COSO委员会新报告_企业风险管理框架_

内部控制框架的新发展———企业风险管理框架 ———COSO委员会新报告《企业风险管理框架》简介 朱荣恩 贺 欣 (上海财经大学会计学院 200083 中南财经政法大学会计学院 430060) 【摘要】 2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿,并将于2004年4月颁布正式稿。该讨论稿是在1992年COSO委员会颁布的内部控制框架基础上,吸收各方风险管理研究成果基础上提出的,本文将主要讨论其与内部控制框架的区别及其主要内容。 【关键词】 风险管理框架 内部控制框架 风险管理 内部控制 一、企业风险管理框架与内部控制框架的联系与区别 自1992年美国COSO委员会发布《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合①。新的企业风险管理框架就是在1992年的研究成果———《内部控制框架》报告的基础上,结合《萨班斯—奥克斯法案》(Sarbanes-Oxley Act)在报告方面的要求,进行扩展研究得到的。普华永道的项目参与者认为,新报告中有60%的内容得益于COSO1992年报告所做的工作。但由于风险是一个比内部控制更为广泛的概念,因此,新框架中的许多讨论比92年报告的讨论要更为全面、更为深刻。此外,COSO在其风险管理框架讨论稿中也说明,风险管理框架建立在内部控制框架的基础上,内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。 概括地看,相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、 “战略目标”、 “风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门———风险管理部。新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在: 11提出一个新的观念———风险组合观(An En2 tity-level Portfolio View of Risk) 企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。 21增加一类目标———战略目标,并扩大了报告目标的范畴 内部控制框架将企业的目标分为经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。 此外,企业风险管理框架比内部控制框架增加了 11 ①如Stephen J.Root,Beyond COSO Internal Control to Enhance Corporate G overnance(1998);KMPG,Internal Control:a Practice Guide(1999);PricewaterhouseCoopers,Operational Risk Management: The Next Frontier(2001)等

相关文档
相关文档 最新文档