当前位置:文档之家 › COSO企业风险管理框架

COSO企业风险管理框架

  • 格式:doc
  • 大小:52.00 KB
  • 文档页数:15

下载文档原格式

  / 15

合集下载

企业财务风险管理研究——基于COSO-ERM框架

企业财务风险管理研究——基于COSO-ERM框架

1引言COSO-ERM框架,即风险管理整体框架。

1992年COSO 委员会发表了《内部控制-整合框架》,旨在促进企业对内部控制体系进行评价以及完善,并于1994年对该框架进行了增补。

在2004年,随着企业管理的重点逐渐转移到企业的风险管理层面,企业急需一个更为高效的风险管理框架,以帮助企业识别和应对运营风险,减少或避免运营风险给企业带来的损失,在此背景下,COSO委员会发布了《企业风险管理整合框架》(简称“COSO-ERM2004”),从风险的视角展示企业管理的各项要素。

2017年,COSO委员会发表了《企业风险管理战略与绩效整合》(简称“COSO-ERM2017”),进一步发展和完善了该理论框架,基于企业治理目标,在企业战略经营管理全过程融合风险管理要素,呈现“DNA螺旋体”架构形态,认为企业风险管理是对企业各种基本要素的整体综合性使用。

该框架包括“治理和文化”“战略和目标设定”“绩效”“审阅与修订”“信息沟通和报告”等五大要素和建立业务目标、识别风险、评估风险的严重性、企业风险管理改进、沟通风险信息等20项原则,基于企业使命、愿景和核心价值,将风险管理要素与企业战略制定、企业管理周期相整合,使之为企业的发展战略管理服务,以达到保持和创造企业价值最大化的目的。

风险管理整体框架对新时期的企业财务风险管理具有积极的指导意义。

2基于COSO-ERM框架的企业财务风险管理现状本文以A建筑公司为例,根据其运行和发展过程中的财务管理实际,结合COSO-ERM框架(COSO-ERM2017)的要素和原则,从以下7方面分析企业财务管理和风险管理的现状。

2.1治理文化COSO-ERM框架认为企业治理文化可以为企业营造良好的风险管理环境,从而保证企业的内部管理制度的有效执行。

A公司经过长期的经营发展,已经建立了一套符合企业管理的《公司章程》,在此基础上进一步完善和加强了公司的内控体系建设。

A公司的组织架构包括总经办、采购部、总工办公室、人事部、财务部、项目部等部门,各部门职责明确、分工合理。

2-1 COSO企业风险管理整体框架(中文版)

2-1 COSO企业风险管理整体框架(中文版)

COSO:Enterprise Risk Management FrameworkCOSO企业风险管理整体框架概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个,旨在支持企业建立或评判企业风险管理过程的项目提供。

另一相关的目标是使构建的这个框架、提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括,责。

本概览还强调如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是。

对企业管理者而言,所面临的挑战是在,。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

2.从战略的制定到企业的日常经营,管理者的决策。

决策的本1质就是,它要求企业的管理应在考虑企业内、外部环境的因素的基础上,对企业的,并且根据环境的不断变化来调整企业的活动。

?,企业的价值也得到实现。

对于公司而言,当股东承认由于股价上扬所带来的价值时,。

对于当该机构以一个,机构的价值就得以实现。

对于利益相关方而言,当他们确认组织所,他们也就承认了该组织的价值。

2-1 COSO企业风险管理整体框架(中文版)

2-1 COSO企业风险管理整体框架(中文版)

COSO :Enterprise Risk Management FrameworkCOSO 企业风险管理整体框架概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识,请看企业风险管理框架的全文。

(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

COSO风险管理框架八大要素

COSO风险管理框架八大要素

COSO风险管理框架八大要素要素一:内部环境内部环境是指组织内部的风险管理文化和风险意识。

它涉及到组织的价值观、道德观、风险承受能力和意识。

这个要素的关键是组织领导层的承诺和积极参与,他们需要设定明确的目标和规定组织的价值观与行为准则。

要素二:目标设定目标设定是指组织制定和明确实现目标的过程。

这个要素涉及到制定目标的方法和过程,以及确定目标的具体要求和期望结果。

目标应与组织的使命和战略一致,并向组织的利益相关者明确传达。

要素三:风险评估风险评估是指组织识别和评估可能对目标实现产生负面影响的事件或情况的过程。

这个要素涉及到制定适当的风险评估方法和工具,并使用这些方法和工具来识别和量化风险。

评估的结果需要被组织的决策者和管理层使用来评估风险的严重性和优先级。

要素四:风险响应风险响应是指组织采取一系列行动来处理和控制风险的过程。

这个要素包括制定风险管理策略和方案,选择适当的风险管理方法和措施,并执行和监控这些措施。

风险响应应该是一个连续的过程,需要不断地监控和调整。

要素五:控制活动控制活动是指为了达到目标而实施的控制措施和过程。

这个要素涉及到制定和实施控制活动的方法和措施,以及监控和检查这些控制活动的有效性。

控制活动应该是全面和有效的,可以有效地降低风险的发生概率和降低风险的影响。

要素六:信息与沟通信息与沟通是指组织获取、处理和传递信息的过程。

这个要素涉及到建立并运行有效的信息和沟通系统,以确保及时、准确和完整的信息流动。

这些信息可以帮助组织做出明智的决策,并在需要时向利益相关者提供有关风险和风险管理的信息。

要素七:监督监督是指组织对风险管理过程进行监督和评估的过程。

这个要素包括建立监督机制和程序,对风险管理过程的各个方面进行监控和评估,并进行必要的改进。

监督应该是持续的,并由独立的机构或个人进行。

要素八:信息与沟通信息与沟通是指组织获取、处理和传递信息的过程。

这个要素涉及到建立并运行有效的信息和沟通系统,以确保及时、准确和完整的信息流动。

COSO企业风险管理整体框架(中文版)

COSO企业风险管理整体框架(中文版)

1
在本部分和以后的讨论中一旦使用“管理”一词,其意思包括非管理人员执行的许多企业风险e Risk Management Framework
(Exposure Draft for Public Comment)
3.企业风险管理的优点 所有企业都是在有风险的环境下经营, 而不是企业风险管理使企业面临这样的环境。 企 业风险管理是使管理者能够在充满风险的环境中更加有效地经营。 企业风险管理使企业的管理者能够: (1)将风险偏好和企业的战略结合在一起。 从广义来讲,风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程 度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好,其后,在制定与企业战略 相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。 (2)将企业成长、风险和收益联系起来 经济主体在企业价值保值、 增值的过程中也要接受相应的风险, 同时预期补偿风险的相 应收益。 企业风险管理提高了企业确认和评估风险的能力, 进而使企业能够确定相对于企业 成长性和收益目标而言的风险的可接受水平。 (3)增加风险反应决策 企业风险管理提供了确认和选择不同的风险反应方案的严格标准。 企业的风险反应方案 包括风险规避、风险降低、风险共担和风险接受。企业风险管理提供了进行相关决策的方法 和技术。 (4)使企业的经营意外和损失最小化 经济主体可能提高确认潜在事项、 评估风险和明确反应方案, 最后减少经营意外的出现 次数以及减少相应的成本或损失。 (5)确认和管理企业的总体风险 每一个经济主体都面临着许多风险, 而不同的风险会影响企业经营的各个方面。 管理不 仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。 (6)针对多重风险提供完整的反应方案 企业的经营过程存在许多内在的风险, 企业风险管理就是为管理风险提供一整套解决方 案。 (7)抓住机遇 管理不仅要考虑风险, 还需要考虑潜在的事项对企业的影响。 对潜在事项有一个完整的 了解可以使管理对每一潜在事项表明何种机遇有一个了解。 (8)合理分配资金 关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总 体的资金需要,改进企业的资金配置。 企业风险管理本身并不是目的,它仅仅是实现目的的一种方式。它不能、也无法在一个 经济主体内单独运行, 而是企业管理过程的一个推动器。 企业风险管理向董事会提供最重要 的风险的信息以及这些风险应如何管理的建议,进而与公司治理相联系。而且,风险管理与 企业的绩效管理也有关, 风险管理通过提供风险调节的措施和内部控制来帮助企业的绩效管 理。内部控制是企业风险管理的一部分。 风险管理帮助一个经济主体实现其经营和利润目标、 防止资源的浪费。 它还有助于确保 企业报告的有效性。此外,企业风险管理还有助于保证企业遵守有关的法律、法规,避免其 声誉受损并防止产生相应的不良后果。 总之, 企业风险管理可以帮助一个经济主体实现其目 标、及在实现目标的过程中避开陷井和防止意外的发生。 (二)企业风险管理的定义 企业风险管理是企业的董事会、 管理层和其他员工共同参与的一个过程, 应用于企业的

coso-企业风险管理——整合框架

coso-企业风险管理——整合框架

公司治理·内部控制前沿译丛企业风险管理——整合框架(美)COSO 制定发布方红星王宏译大连制定发布机构简介COSO是Treadway委员会(Treadway Commission,即反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reporting),通常根据其首任主席的姓名而称为Treadway委员会)的发起组织委员会(Committee of Sponsoring Organizations)的简称。

Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。

1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。

1992年,COSO发布了著名的《内部控制——整合框架》(1994年作出局部修订),成为内部控制领域最为权威的文献之一。

2003年7月,COSO发布了《企业风险管理——整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,2004年9月发布了最终的文本。

本书就是按照2004年9月正式发布的文本进行翻译的。

译者简介方红星,东北财经大学会计学院教授,博士,兼任东北财经大学出版社社长,编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。

主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。

王宏,西南财经大学会计学院博士研究生,现就职于财政部会计司综合处,近年来主要致力于内部会计控制等方面的理论和政策研究。

中文版前言在内部控制和风险管理的演进过程之中,COSO的突出贡献是举世公认的。

它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》,已经成为世界通行的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。

COSO企业风险管理整体框架(中文版)

COSO企业风险管理整体框架(中文版)
本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原 则,风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相 关性和其与 COSO 内部控制报告的关系。如果想更加深入地了解有关知识,请看企业风险 管理框架的全文。
(一)企业风险管理的相关性 企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构, 其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者 而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定 性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减 值的风险。风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的 风险和机遇,进而提高企业创造价值的能力。 1.不确定性 企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业 重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性 及其相应结果。 2.价值 从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策 的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础 上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。 ?当企业的利益相关方取得其相应价值的可确认收益时,企业的价值也得到实现。对于 公司而言,当股东承认由于股价上扬所带来的价值时,他们也就承认了企业的价值。对于政 府机构,当该机构以一个可接受的成本所提供的服务的收益得到确认时,机构的价值就得以 实现。对于非盈利组织的利益相关方而言,当他们确认组织所提供的社会福利的价值时,他 们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值 的信息传递给利益相关方。

coso内部控制框架和风险管理框架

coso内部控制框架和风险管理框架

coso内部控制框架和风险管理框架摘要:I.简介- 引入COSO 内部控制框架和风险管理框架II.COSO 内部控制框架- 定义和背景- 目标和要素- 实施和维护III.COSO 风险管理框架- 定义和背景- 目标和要素- 实施和维护IV.二者的联系与区别- 共同点和差异- 整合应用V.实践案例与启示- 成功案例分析- 对我国企业的启示VI.总结- 回顾主要内容- 强调框架的重要性正文:I.简介COSO(Committee of Sponsoring Organizations)内部控制框架和风险管理框架是企业界和会计界广泛应用的控制和风险管理工具。

本文将对这两个框架进行概述和分析,以帮助读者了解它们的内涵、应用和价值。

II.COSO 内部控制框架1.定义和背景COSO 内部控制框架是一个为企业提供合理保证,以实现运营效益、效率和财务报告可靠性的控制体系。

该框架由美国COSO 委员会于1992 年提出,经过多次修订,目前最新版本为2013 年发布的《内部控制——整合框架》。

2.目标和要素COSO 内部控制框架的目标包括:取得经营的效率和有效性、确保财务报告的可靠性、遵循适用的法律法规。

其五大要素为:控制环境、风险评估、控制活动、信息与沟通、监督。

3.实施和维护企业应根据自身情况,制定合适的内部控制制度,并通过培训、监督、反馈等手段确保其有效实施和持续改进。

III.COSO 风险管理框架1.定义和背景COSO 风险管理框架是一个为企业提供合理保证,以实现企业目标的过程。

该框架同样由美国COSO 委员会提出,旨在帮助企业识别、评估和管理各种风险。

2.目标和要素COSO 风险管理框架的目标包括:确保企业目标的实现、促进企业价值的创造、提高企业风险管理水平。

其八大要素为:风险管理环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。

3.实施和维护企业应根据自身战略和目标,制定合适的风险管理策略,并通过培训、监督、反馈等手段确保其有效实施和持续改进。

COSO企业风险管理整体框架

COSO企业风险管理整体框架

COSO企业风险管理整体框架COSO企业风险治理整体框架概览一些公司和企业的治理者差不多在企业内部建立了一系列确认和治理风险的过程,而现在有许多企业也差不多开始或正在考虑建立自己的确认和治理风险的过程。

尽管治理者差不多把握了大量的企业风险治理的信息(包括大量公布出版的文献),但实务中却并不存在统一的术语,而且也专门少有普遍同意的原则可供治理者在构建一个有效的风险治理框架时作为指南。

COSO 委员会差不多认识到对企业风险治理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险治理框架的打算,旨在支持企业建立或评判企业风险治理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的那个框架能够作为治理者、董事、主管人员、学者和其他相关人员更好地明白得企业风险治理及其优点和局限性提供一个统一的基础,以便在风险治理问题方面进行有效地交流。

本概览列出了企业风险治理框架的关键内容,包括企业风险治理的定义、内容和差不多原则,风险治理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险治理的相关性和其与COSO 内部操纵报告的关系。

假如想更加深入地了解有关知识,请看企业风险治理框架的全文。

(一)企业风险治理的相关性企业风险治理的差不多前提是每一个企业,不管是盈利组织、非盈利组织,依旧政府机构,其存在的目的差不多上为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业治理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业预备同意的不确定性的程度。

不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。

风险治理框架确实是为治理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业制造价值的能力。

1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

coso风险管理框架

coso风险管理框架

coso风险管理框架
COSO(Committee of Sponsoring Organizations of the Treadway Commission)风险管理框架是一种国际性的、可采用的经济和管理实践,旨在帮助组织识别业务风险、评估其影响并根据此执行有效的控制。

COSO风险管理框架包括以下5个要素:
1.内部环境:内部环境是为了应对风险而设置的内部控制体系,其中包括公司文化、组织结构、人员激励、监督和管理等;
2.风险识别:风险识别是识别和评估各种业务风险的过程;
3.控制活动:控制活动指的是组织采取的措施来控制风险的活动,主要包括管理活动、信息技术活动和监督活动;
4.信息和沟通:信息和沟通是组织实施其风险管理的基础,它包括将信息传达给上级和受众,并让受众明白其意义;
5.监督:监督指的是定期评估风险管理体系的有效性,以便及时发现和解决问题。

《基于COSO-ERM框架的S银行T分行中小企业信贷风险管理研究》范文

《基于COSO-ERM框架的S银行T分行中小企业信贷风险管理研究》范文

《基于COSO-ERM框架的S银行T分行中小企业信贷风险管理研究》篇一一、引言随着中国金融市场的快速发展,中小企业信贷已成为银行重要的业务领域。

然而,信贷风险的管理成为银行面临的重要挑战。

S银行T分行作为一家重要的金融机构,其对于中小企业信贷风险的管理尤为重要。

本研究将基于COSO-ERM框架,对S银行T 分行的中小企业信贷风险管理进行深入研究,以期为银行的风险管理提供有益的参考。

二、COSO-ERM框架概述COSO-ERM(企业风险管理框架)是由美国COSO委员会提出的一种全面的风险管理框架。

该框架强调企业应建立完善的风险管理机制,包括风险识别、评估、监控和改进等环节,以实现企业风险的有效控制。

该框架为银行等金融机构提供了有效的风险管理工具,有助于提高银行的信贷风险管理水平。

三、S银行T分行中小企业信贷风险管理现状S银行T分行在中小企业信贷业务中,已经建立了一套相对完善的风险管理流程。

然而,在实际操作中,仍存在一些问题。

例如,风险识别不够全面,对一些潜在风险的预警和应对措施不足;风险评估方法单一,缺乏科学的风险评估模型;风险监控手段落后,难以实时掌握信贷风险的变化等。

四、基于COSO-ERM框架的S银行T分行中小企业信贷风险管理优化策略(一)风险识别与预警S银行T分行应建立完善的风险识别机制,通过多种渠道收集信息,全面识别信贷业务中的潜在风险。

同时,应建立风险预警系统,对可能出现的风险进行实时监测和预警,以便及时采取应对措施。

(二)风险评估S银行T分行应采用多种方法进行风险评估,包括定量分析和定性分析。

定量分析可以通过建立风险评估模型,对信贷业务的潜在风险进行量化评估;定性分析则可以通过专家评审、案例分析等方式,对信贷业务的风险进行深入分析。

此外,还应考虑企业的财务状况、经营状况、市场环境等因素,综合评估信贷风险。

(三)风险监控与报告S银行T分行应建立实时监控系统,对信贷业务的风险进行实时监控。

COSO风险管理框架八大要素

COSO风险管理框架八大要素

欧阳学文COSO风险管理框架把风险管理的要素分为八个:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。

内部环境企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。

内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。

它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。

内部环境包含很多内容,包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。

董事会是内部环境的一个重要组成部分,对其他内部环境的组成内容有重要的影响。

而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。

目标制定根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的子目标并在企业内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。

事项识别管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。

作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。

外部因素包括经济、商业、自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。

风险评估风险评估可以使企业了解潜在事项如何影响企业目标的实现。

管理者应从两个方面对风险进行评估――风险发生的可能性和影响。

风险反应管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的可能性和事项对企业的影响,并设计和执行风险反应方案。

考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。

有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。

COSO报告

COSO报告

COSO报告
COSO报告指的是由COSO(Committee of Sponsoring Organizations of the Treadway Commission)发布的《企业风险管理-综合框架》(Enterprise Risk Management - Integrated Framework)。

该报告是一种指导性框架,旨在帮助企业建立和加强风险管理体系,帮助企业管理层识别、评估和应对各种风险。

COSO报告将风险分为四个维度:环境背景、目标设定、风险评估和风险反应。

通过这四个维度,企业可以全面了解对其目标产生影响的各种风险,并制定相应的风险管理策略。

该报告还提供了一套风险管理流程,包括风险识别、评估、应对、监测和沟通等步骤。

这些步骤可以帮助企业建立风险管理体系,并对风险进行跟踪和监测,以确保风险管理的有效性和持续性。

COSO报告也强调了风险管理的重要性,它认为风险管理不仅是为了应对已经发生的风险,更重要的是通过建立有效的风险管理体系,预防和降低风险的产生和损失。

总而言之,COSO报告为企业提供了一个有力的工具,帮助企业管理层更好地识别、评估和应对各种风险,从而提高整体的风险管理水平和业绩表现。

COSO企业风险管理框架

COSO企业风险管理框架

一、导言中航油巨亏事件,对国外相关各方都产生了重大冲击和深远影响。

由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。

与中航油事件几乎同期发生在国的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和石化原董事长被捕等事件,也给我们提出了一个一样的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业部控制报告,公布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。

此报告虽然保存了局部传统部控制的某些概念,但不管在框架上、还是在要素方面,均有相当大的突破。

在如此赞誉之下的新部控制框架,它出台的背景与动机又是什么?其具体容终究是什么?它能为我国企业部控制的改善带来什么意义?这是我们需要分析的容。

二、COSO委员会新报告《企业风险管理——总体框架》解读部控制理论是随着企业控实践经历的丰富而逐渐开展起来的,大致经历了部牵制、部控制系统、部控制结构和部控制整体框架四个理论阶段(储稀梁,2004)。

由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway委员会,于1992年发表,并于1994年修订的《部控制——整体框架》报告,标志着部控制理论与实践进入了整体框架的新阶段,并被世界上许多企业所采用。

尽管如此,理论界和实务界还是认为该部控制框架有些局限性,如对风险强调不够,使得部控制无法与企业的风险管理相结合(朱荣恩,贺欣,2003)。

2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的根底上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一、导言 中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。 在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。

二、COSO委员会新报告《企业风险管理——总体框架》解读 内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面: (一)企业风险管理对内部控制内涵的发展 1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。 这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(GAO)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯.鲍雪(Charles Bowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。„„一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”(Craig James L,1993)但当时的COSO主席罗伯特.L.梅(Robert L.May)则认为,保障资产的考虑更适合作为一种经营控制(Steven J Root,2004)。由于美国审计总署的影响巨大(例如可能使银行等认为COSO报告与其无关),如果COSO报告不根据其要求进行修改的话,从一开始就可能面临被抛弃的命运。最后妥协的结果是,在1994年修订后的报告上,提出了“保障资产的内部控制”的概念,即“预防未经授权的获得、使用或处理资产,„”。可见,这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。 新报告认为“保护资产”或者“保护资源”是一个广义的概念,资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此,广义的“保护资产”目标范围集中为特定的报告目标,使得保护资产适用于所有未经授权的获得、使用、处置资产。 又如,内部控制与管理活动有什么区别?在原报告中并不清晰。有些对错误纠正的管理行为,并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。 ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。对比原来的定义,ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。同时,ERM又涵盖了内部控制所有合理的内容。 (二)企业风险管理对内部控制目标的发展 在1994年《内部控制——整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。 除此之外,新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。

(三)企业风险管理对内部控制要素的发展 1994年COSO报告《内部控制——整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展,将其演变为八个要素。例如,ERM框架引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。又如,虽然内部控制整体框架和ERM框架都强调对风险的评估,但风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析(朱荣恩,贺欣,2003)。再如,由于原报告仅提出三个目标,因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息,这就对管理层将巨量的信息处理和精炼成可控的信息(actionable information)提出了挑战。 原COSO报告仅提出风险识别,但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念,将原有的风险评估这一要素,发展为目标设定、事项识别、风险评估和风险反应四个要素,使得原有的内控五要素发展为风险管理八要素。 (四)相关角色和任务的变化 新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中,董事会都提供管理、指引和核查。虽然董事主要提供监督,但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素,也是企业风险管理重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任,并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组织的风险偏好。以前,当公司出现丑闻时,很多人问:“管理层怎么让这发生的”?现在,恐怕要问:“董事会怎么让这发生的”?(Dana R hermanson,2003)在新报告中,CEO必需识别目标和战略方案,并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的总体目标相联系(George Matyjewicz et al,2004)。一旦设定了目标,管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。 在ERM框架中,内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM。对于内审人员来说,最大的挑战是在ERM中扮演何种角色?很多内审人员可能被要求提供ERM的教育和训练,甚至“处理企业风险管理过程”。但是,新报告认为:内审人员并不对建立ERM体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。(w.R.Kinveg,2003)内审人员职责的另一个变化是从原来对CFO和内审委员会负责,现在可能要对CFO、内审委员会和风险主管(risk officer,CFO)负责。 在ERM框架中,新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,并可能是风险管理委员会的成员之一。

三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件

中国航油(新加坡)股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准,新加坡公司在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。在此期间,新加坡公司总裁陈久霖擅自扩大业务范围,从2003开始从事石油衍生品期权交易,同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外,签订了合同。陈久霖买了“看跌”期权,赌注每桶38美元,没想到国际油价一路攀升——2004年10月以后,新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同,中航油需向交易对方(银行和金融机构)支付保证金,每桶油价每上涨1美元,中航油新加坡公司要向这些银行支付5000万美元的保证金,其结果导致中航油现金流量枯竭,实际损失和潜在损失总计约5.54亿美元。(许俊,2004) 事实上,陈久霖这种石油期权投机交易,其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会发布的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业,在境外市场只能进行套期保值,不能进行投机业务。1999年6月2日国务院发布的《期货交易管理暂行条例》,也规定了国有企业的期货交易仅限于从事套期保值业务(且命令禁止场外交易),并要求期货交易总量应当与其同期现货交易量总量相适应。 然而,中航油从事以上交易时,一直未向中国航油集团公司报告,而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下,新加坡公司才向中国航油集团公司紧急报告。即