当前位置:文档之家 › COSO企业风险管理整合框架附录部分中文版

COSO企业风险管理整合框架附录部分中文版

  • 格式:doc
  • 大小:37.50 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

COSO企业风险管理整体框架(中文版)

COSO企业风险管理整体框架(中文版)
COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个 建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过 程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框 架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优 点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。
Page 3 of 67
COSO:Enterprise Risk Management Framework
(Exposure Draft for Public Comment)
战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险 偏好范围内管理风险,对企业目标的实现提供合理的保证。
3.可应用于企业战略的制定 一个企业要确定其预期或任务,并制定其战略目标。企业的战略目标是企业最高层次的 目标,它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标 而制定战略方案,并将战略方案分解成相应的目标,再将目标层层分解到企业的各业务部门、 行政部门和生产线。在制定企业的战略方案时,管理者应考虑与不同的战略方案相关的风险。 4.应用于整个企业 为使企业的风险管理获得成功,一个企业必须从全局,从企业总体层面上考虑企业的活 动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源 分配)到各业务部门的活动(如市场部、人力资源部),到各业务流程(如生产过程和新客 房信用审核)等等。企业风险管理还可用于特定项目和新的行动计划,尽管该项目或计划可 能在企业的管理流程或组织流程图中尚无明确的定位。 企业风险管理要求企业以风险组合的观点看待风险。这会要求企业内负责各业务部门、 行政部门、生产流程或其他活动的管理者对本部门的风险进行评估。这些评估可以是定量的, 也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险, 以决定企业总的风险组合是否与企业的风险偏好相对应。 管理者应以总体的组合观来考虑相关风险。对相关的风险应予确认并采取措施使承担的 风险落在企业风险偏好的范围内。对企业内部每个单位的风险而言,可能都落在该部门的风 险容忍度的范围内,但从总体来看,合并后的风险可能超过了企业总体的风险偏好。企业总 的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下贯彻。 5.风险偏好 风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。企业通常采 用定性的方法分析风险偏好,将风险偏好分为高、中、低三类;或者采用定量的方法分析风 险偏好,反映出企业的成长性、收益性和风险目标,并在三个目标之间进行平衡。 风险偏好与企业的战略直接相关。在制定战略时应考虑企业的风险偏好,并将战略的预 期收益与企业的风险偏好联系起来考虑。不同的战略会给企业带来不同的风险,在战略制定 时应用风险管理,其目的是帮助管理者选择与企业的风险偏好相一致的战略。 企业的风险偏好指导企业的资源配置。管理者在各业务部门间分配资源时应考虑企业的 风险偏好和各个业务部门为取得预期的收益率所采用的战略。管理者应将企业的风险偏好与 企业的组织结构、人员和业务流程联系起来考虑,并应建立对风险有效反应和监督的必要的 硬件设施。 风险容忍度是与要实现的目标相关的偏差的可接受程度。在确定某一特定的风险容忍度 时,管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。在 风险容忍度的范围之内经营更能够保证企业所承受的风险在其风险偏好的范围内。反过来, 就能够对企业目标的实现提供更高程度的保证。 6.提供合理保证 设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供 合理的保证。如果企业的风险管理有效,董事会和管理者在以下几个方面得到合理的保证: -了解企业战略目标实现的程度; -了解企业经营目标实现的程度;

2-1 COSO企业风险管理整体框架(中文版)

2-1 COSO企业风险管理整体框架(中文版)

COSO :Enterprise Risk Management FrameworkCOSO 企业风险管理整体框架概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

COSO风险管理框架中文版

COSO风险管理框架中文版

COSO风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

COSO企业风险管理整体框架(中文版)

COSO企业风险管理整体框架(中文版)

Page 4 of 67
COSO:Enterprise Risk Management Framework
(Exposure Draft for Public Comment)
一个组织的员工包括董事会成员、管理者和其他人员。尽管企业的董事主要负责监督, 但是他们同时也向管理者提供指导,核准企业的战略、某些活动和政策。因此,董事会是企 业风险管理的重要组成部分之一。 3.可应用于企业战略的制定 一个企业要确定其预期或任务, 并制定其战略目标。 企业的战略目标是企业最高层次的 目标, 它与企业的预期和任务相联系并支持预期和任务的实现。 一个企业为实现其战略目标 而制定战略方案, 并将战略方案分解成相应的目标, 再将目标层层分解到企业的各业务部门、 行政部门和生产线。 在制定企业的战略方案时, 管理者应考虑与不同的战略方案相关的风险。 4.应用于整个企业 为使企业的风险管理获得成功, 一个企业必须从全局, 从企业总体层面上考虑企业的活 动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源 分配)到各业务部门的活动(如市场部、人力资源部) ,到各业务流程(如生产过程和新客 房信用审核)等等。企业风险管理还可用于特定项目和新的行动计划,尽管该项目或计划可 能在企业的管理流程或组织流程图中尚无明确的定位。 企业风险管理要求企业以风险组合的观点看待风险。这会要求企业内负责各业务部门、 行政部门、 生产流程或其他活动的管理者对本部门的风险进行评估。 这些评估可以是定量的, 也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险, 以决定企业总的风险组合是否与企业的风险偏好相对应。 管理者应以总体的组合观来考虑相关风险。 对相关的风险应予确认并采取措施使承担的 风险落在企业风险偏好的范围内。 对企业内部每个单位的风险而言, 可能都落在该部门的风 险容忍度的范围内,但从总体来看,合并后的风险可能超过了企业总体的风险偏好。企业总 的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下贯彻。 5.风险偏好 风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。 企业通常采 用定性的方法分析风险偏好,将风险偏好分为高、中、低三类;或者采用定量的方法分析风 险偏好,反映出企业的成长性、收益性和风险目标,并在三个目标之间进行平衡。 风险偏好与企业的战略直接相关。 在制定战略时应考虑企业的风险偏好, 并将战略的预 期收益与企业的风险偏好联系起来考虑。 不同的战略会给企业带来不同的风险, 在战略制定 时应用风险管理,其目的是帮助管理者选择与企业的风险偏好相一致的战略。 企业的风险偏好指导企业的资源配置。 管理者在各业务部门间分配资源时应考虑企业的 风险偏好和各个业务部门为取得预期的收益率所采用的战略。 管理者应将企业的风险偏好与 企业的组织结构、 人员和业务流程联系起来考虑, 并应建立对风险有效反应和监督的必要的 硬件设施。 风险容忍度是与要实现的目标相关的偏差的可接受程度。 在确定某一特定的风险容忍度 时, 管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。 在 风险容忍度的范围之内经营更能够保证企业所承受的风险在其风险偏好的范围内。反过来, 就能够对企业目标的实现提供更高程度的保证。 6.提供合理保证 设计合理、 运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供 合理的保证。如果企业的风险管理有效,董事会和管理者在以下几个方面得到合理的保证: -了解企业战略目标实现的程度; -了解企业经营目标实现的程度;

COSO企业风险管理整合框架附录部分中文版

COSO企业风险管理整合框架附录部分中文版

COSO企业风险管理整合框架附录部分中文版P109企业风险管理—整合框架和内部控制—整合框架之间的关系1992年,COSO(反虚假财务报告委员会的赞助组织委员会)发布了《内部控制—整合框架》,该框架建立了内部控制结构,并提供评价工具,从而使企业和其他主体可以评估其控制系统。

该框架定义了有效进行内部控制的五个相互关联的要素。

内部控制—整合框架将内部控制定义为一个过程,该控制过程受到企业董事会、管理层和全体职工的影响,旨在提供合理保证,以实现下列目标:经营的效率和效果财务报告的可靠性法律法规的遵循性本附录概述了内部控制框架和企业风险管理框架之间的关系。

对内部控制的拓展内部控制是企业风险管理的主要组成部分。

相比较而言,企业风险管理的内容则更为深入,它扩展和详述了内部控制的范畴,这使企业风险管理成为了更加全面关注风险的更加健全的概念。

由于企业主体和其他组织只关注自身的内部控制,从而使内部控制—整合框架仍然有重要的影响。

目标分类内部控制—整合框架细分了三种目标—运营目标,财务报告目标和合规性目标。

企业风险管理也细分了三种类似的目标类别—运作目标,报告目标和合规目标。

在内部控制框架中,报告类别被认为与公布的财务报表的可靠性相关。

在企业风险管理框架中,报表的范畴被明显的扩展,涉及了主体编制的所有在内部和外部使用的报表。

包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。

P110企业风险管理—整合框架增加了一个高层次的目标,即战略目标。

战略目标来源于主体的规划,同时运营、报表和合规性的目标都要与之一致。

企业风险管理被应用于战略制定以及其他三类目标的实现。

企业风险管理框架还引入了风险偏好和风险承受能力的概念。

风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量,它为战略制定及相关目标的实现提供了参考。

COSO内部控制整合框架(中文版)

COSO内部控制整合框架(中文版)

目录管理层概述1总体构架11 1定义 13 2控制环境 23 3风险评估 33 4控制活动 49 5信息和沟通 59 6监控 69 7内部控制的局限 79 8作用和职责 83 附录A学习本文的相关事项及背景知识 93 B方法体系 99 C对定义的看法和使用 105 D反馈意见 111 E术语 119内部控制——整体构架管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。

内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。

内部控制使管理层能够应对瞬息万变的经济和竞争环境,客户不断变换的需求和偏好,并进行重组以利于公司的未来发展。

内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。

鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。

内部控制日益被视为诸多潜在问题的解决方案。

什么是内部控制内部控制对不同的人有不同的含义。

这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。

由此造成的误解和期望值的差异往往给企业带来问题。

一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。

本文是针对管理层的需要和期望而写的。

本文对内部控制的定义服务于以下目的:●确立一个满足各方需要通用的定义。

●提供一个标准——无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。

内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:●经营的效果和效率●财务报告的可靠性●法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。

第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。

第三类目标指企业经营必须符合相关的法律法规。

COSO风险管理框架中文版

COSO风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

COSO风险管理框架中文版

COSO风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

COSO风险管理框架中文版

COSO风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

2-1 COSO企业风险管理整体框架(中文版)

COSO:Enterprise Risk Management FrameworkCOSO企业风险管理整体框架概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

P109
企业风险管理—整合框架和内部控制—整合框架之间的关系
1992年,COSO(反虚假财务报告委员会的赞助组织委员会)发布了《内部控制—整合框架》,该框架建立了内部控制结构,并提供评价工具,从而使企业和其他主体可以评估其控制系统。

该框架定义了有效进行内部控制的五个相互关联的要素。

内部控制—整合框架将内部控制定义为一个过程,该控制过程受到企业董事会、管理层和全体职工的影响,旨在提供合理保证,以实现下列目标:
•经营的效率和效果
•财务报告的可靠性
•法律法规的遵循性
本附录概述了内部控制框架和企业风险管理框架之间的关系。

对内部控制的拓展
内部控制是企业风险管理的主要组成部分。

相比较而言,企业风险管理的内容则更为深入,它扩展和详述了内部控制的范畴,这使企业风险管理成为了更加全面关注风险的更加健全的概念。

由于企业主体和其他组织只关注自身的内部控制,从而使内部控制—整合框架仍然有重要的影响。

目标分类
内部控制—整合框架细分了三种目标—运营目标,财务报告目标和合规性目标。

企业风险管理也细分了三种类似的目标类别—运作目标,报告目标和合规目标。

在内部控制框架中,报告类别被认为与公布的财务报表的可靠性相关。

在企业风险管理框架中,报表的范畴被明显的扩展,涉及了主体编制的所有在内部和外部使用的报表。

包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。

P110
企业风险管理—整合框架增加了一个高层次的目标,即战略目标。

战略目标来源于主体的规划,同时运营、报表和合规性的目标都要与之一致。

企业风险管理被应用于战略制定以及其他三类目标的实现。

企业风险管理框架还引入了风险偏好和风险承受能力的概念。

风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量,它为战略制定及相关目标的实现提供了参考。

在确定风险承受能力过程中,管理层需考虑相关目标的重要性,并将其与企业风险偏好相协调。

在风险承受能力范围内经营有助于确保该主体能保持在它的风险偏好之内,进而确保该主体将会实现其目标
风险组合观点
风险组合未包含在内部控制框架之内。

对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。

因此,应从企业总体的风险组合的观点看待风险。

组成部分
在加强关注风险的同时,企业风险管理框架将内部控制的风险评估扩展为四个组成部分—目标设定(内部控制的先决条件)、事项识别、风险评估和风险应对。

内部环境
在论述环境组成方面,企业风险管理框架讨论了一种主体风险管理理念,即一整套共同的信念和态度。

描述了主体如何考虑风险,反映了它的价值观,并影响其文化和经营风格。

如上所述,此框架包含了风险偏好的概念,风险承受能力更加明确的印证了这一点。

考虑到董事会的决定性作用及其构成,为了使企业风险管理更加有效,企业风险管理框架将
内部控制框架所要求的最少独立董事的个数—正常情况下两名—扩展为独立董事的大多数。

P111
事项识别
企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素。

并且两种框架都认为风险识别对主体目标的实现有着潜在影响。

企业风险管理框架探讨了潜在事件的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。

具有积极影响的潜在事件就是机会,具有负面影响的就是风险。

企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。

风险评估
虽然内部控制和企业风险管理框架都要求对给定风险出现的可能性及其潜在影响进行评估,但企业风险管理框架建议更加透彻地看待风险管理。

从固有风险和残存风险的角度进行考虑,将风险与相关的目标相联系,并采用和风险相关目标一致的计量单位进行计量。

风险评估的时间基准应与企业的战略和目标相一致,如果可能,也应与可观测到的数据相一致。

企业风险管理框架要求对相互关联风险进行关注,它论述了单一的事项如何为企业带来多重的风险。

如上所述,企业风险管理需要管理者建立主体层面的风险组合观点。

各业务单位、职能部门、生产过程或相应的其他活动负责的管理者对其负责的部门或单位的风险应进行复合式评估,主体层面的管理从“风险组合”观点出发来考虑风险。

风险应对
企业风险管理框架明确了四种类别的风险应对方案—规避,降低,共担,接受风险。

作为企业风险管理的一部分,管理层认为潜在对策均来自于这四种,并且都趋向于使剩余风险和主体的风险承受能力相一致。

在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。

P112
控制活动
两种框架中都认为控制活动有助于确保风险应对的执行,企业风险管理框架明确表示,在某些情况下,控制活动本身就是一种风险应对策略。

信息和沟通
企业风险管理框架扩展了内部控制中的信息和沟通部分,更加关注过去,现在和潜在事件的数据。

历史数据允许实体追踪目标,计划和预期的实际表现,洞察其在过去某时段不同条件下的行为。

实时数据提供了重要的附加信息,潜在事件数据和基本因素完善了信息分析。

信息基础来源于事件框架内获得的数据和实体需求的详细程度,这种需求包括事件确认,风险的评估和应对,以及不超过风险偏好。

在围绕是否存在可替代的报告渠道讨论中,与企业风险管理框架相比,内部控制更加强调非正规报告渠道,他们认为有效的风险管理需要此渠道。

角色和职责
两种框架都关注不同组织的职能与责任,即各种组织都是内部控制和企业风险管理框架的一部分,都要向其提供重要信息。

企业风险管理框架描述了风险部门的职能与责任,并增强了主体董事会的作用。

P113
参考书目选编
美国会计师协会及加拿大特许会计师公会新兴经济中的风险管理纽约AICPA 2000
Banham,俄罗斯,高层次的偏见(A High Level of Intolerance)。

CFO,《高级财务经理》2000年4月
Barton ,Thomas L., William G. Shenkir, 和Paul L.Walker。

风险管理收益:如何引导企业实施风险管理。

《高级财务经理》。

2001
Bazerman, Max H,领导决策判断。

纽约John Wiley 和Sons,2001
COSO,内部控制—整合框架,纽约,AICPA. 1992
Crouhy, Michael, Dan Galai, and Robert Mark,风险管理,纽约,麦克劳希尔出版社,2001 Davidson, Clive,全球风险探究,证券新闻,2000.6.5
DeLoach, James W,全面风险管理:风险与机遇之间的战略联系,伦敦,财经时报,普伦蒂斯霍尔出版社
DiPiazza, Samuel A., Jr.和Robert G. Eccles,建立公众信任:关于未来合作的报告,约翰威利父子出版公司,2002
Everson, Miles,创立经营风险敏感的企业文化,风险管理协会志,2002.3.1
经济学家情报组织和安达信会计师事务所,管理商业风险—整合方法,经济学家情报组织,1995
企业风险管理—新方案的执行,经济学家情报组织,2001
国际金融教育联盟调研组织与安达信会计师事务所,风险管理:企业的远景规划。

《高级财务经理》,2002
Haubenstock,,Michael ,John Gontero,可操作风险管理:新的领域。

纽约,RMA,2001 英格兰及威尔士特许会计师协会,基于公司治理联合准则的内部控制引导,伦敦,ICAEW,1999
P114
国际标准化组织,ISO/IEC索引73,2002
Lam, James,CRO被普遍接受,风险管理,2001.4 注①好像我翻的不太对
全国舞弊性财务报告委员会, 全国舞弊性财务报告委员会报告,1987
Nottingham, Lucy,综合风险管理的构思框架,渥太华,加拿大会议局,1997
巴塞尔银行监管委员会风险管理小组,监督和管理可操作风险,2001
P115
E 对评论信件的考虑
如附录A所述,此框架的草构文件已公之于众,并期待回应。

在已收到的78封信中,囊括了关于各种问题的许多独特评论,在制定和修改最终的文件的过程中,每一条评论都被考虑在内。

此附录归纳了一些更为重要的问题,因而导致最终报告有所变动,这也为我们提供了另一个视角来解释为什么某些观点更易为他人接受。

企业风险管理的定义
股东价值实现
尽管价值的概念没有在企业风险管理的定义中明确地表述出来,但意见征求草案论述了企业风险管理如何使一个组织认识到其股东的价值。

一些被征求着建议应明确提及这个概念。

结果表明,该定义应予以保留,这个定义明确阐述了企业风险管理涉及到就实现实体目标提供的保证。

在围绕定义的表述中它还描述了企业风险管理如何使股东价值实现。

由于这种联系的存在,和有关价值的表述,也为避免不尽合理地冗长的定义(正如被征求者所建议的那样),此定义被保留了下来。