当前位置：搜档网 › 2-1 COSO企业风险管理整体框架(中文版)

2-1 COSO企业风险管理整体框架(中文版)

COSO：Enterprise Risk Management Framework

COSO企业风险管理整体框架

概览

一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程，而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息（包括大量公开出版的文献），但实务中却并不存在统一的术语，而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要，因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划，旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础，以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容，包括企业风险管理的定义、内容和基本原则，风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。如果想更加深入地了解有关知识，请看企业风险管理框架的全文。

（一）企业风险管理的相关性

企业风险管理的基本前提是每一个企业，无论是盈利组织、非盈利组织，还是政府机构，其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言，所面临的挑战是在追求企业利益相关方价值增长的同时，决定企业准备接受的不确定性的程度。不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架，使其能够有效处理不确定性及相应的风险和机遇，进而提高企业创造价值的能力。

1．不确定性

企业经营的环境中有许多因素都会给企业带来不确定性，如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

2．价值

从战略的制定到企业的日常经营，管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇，它要求企业的管理1应在考虑企业内、外部环境的因素的基础上，对企业的稀缺资源进行配置，并且根据环境的不断变化来调整企业的活动。

？当企业的利益相关方取得其相应价值的可确认收益时，企业的价值也得到实现。对于公司而言，当股东承认由于股价上扬所带来的价值时，他们也就承认了企业的价值。对于政府机构，当该机构以一个可接受的成本所提供的服务的收益得到确认时，机构的价值就得以实现。对于非盈利组织的利益相关方而言，当他们确认组织所提供的社会福利的价值时，他们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给利益相关方。

在本部分和以后的讨论中一旦使用“管理”一词，其意思包括非管理人员执行的许多企业风险管理活动。

3．企业风险管理的优点所有企业都是在有风险的环境下经营，而不是企业风险管理使企业面临这样的环境。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。企业风险管理使企业的管理者能够：

（1）将风险偏好和企业的战略结合在一起。

从广义来讲，风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好，其后，在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。

（2）将企业成长、风险和收益联系起来

经济主体在企业价值保值、增值的过程中也要接受相应的风险，同时预期补偿风险的相应收益。企业风险管理提高了企业确认和评估风险的能力，进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。

（3）增加风险反应决策

企业风险管理提供了确认和选择不同的风险反应方案的严格标准。企业的风险反应方案包括风险规避、风险降低、风险共担和风险接受。企业风险管理提供了进行相关决策的方法和技术。

（4）使企业的经营意外和损失最小化

经济主体可能提高确认潜在事项、评估风险和明确反应方案，最后减少经营意外的出现次数以及减少相应的成本或损失。

（5）确认和管理企业的总体风险

每一个经济主体都面临着许多风险，而不同的风险会影响企业经营的各个方面。管理不仅需要对每一种风险进行管理，还需要了解风险对企业总体的影响。

（6）针对多重风险提供完整的反应方案

企业的经营过程存在许多内在的风险，企业风险管理就是为管理风险提供一整套解决方案。

（7）抓住机遇

管理不仅要考虑风险，还需要考虑潜在的事项对企业的影响。对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。

（8）合理分配资金关于企业总体风险的更为明确的信息可以使

企业的管理者能够更加有效地评估企业总体的资金需要，改进

企业的资金配置。

企业风险管理本身并不是目的，它仅仅是实现目的的一种方式。它不能、也无法在一个经济主体内单独运行，而是企业管理过程的一个推动器。企业风险管理向董事会提供最重要的风险的信息以及这些风险应如何管理的建议，进而与公司治理相联系。而且，风险管理与企业的绩效管理也有关，风险管理通过提供风险调节的措施和内部控制来帮助企业的绩效管理。内部控制是企业风险管理的一部分。

风险管理帮助一个经济主体实现其经营和利润目标、防止资源的浪费。它还有助于确保企业报告的有效性。此外，企业风险管理还有助于保证企业遵守有关的法律、法规，避免其声誉受损并防止产生相应的不良后果。总之，企业风险管理可以帮助一个经济主体实现其目标、及在实现目标的过程中避开陷井和防止意外的发生。

（二）企业风险管理的定义企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证。

这一定义反映了一些基本概念：

1．企业的风险管理是一个过程――其本身并不是一个目的，而是实现目的的一种方式。

2．风险管理受人的影响――它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。

3．风险管理也适用于企业战略制定过程。

4．企业风险管理应在整个企业范围内应用，在每一个经营层面和每一个单位内应用，并应以一种企业总体的风险组合的观点来看待。

5．风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。

6．风险管理仅为企业的管理者和董事会提供合理的保证。

7．企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。

从广义上定义这一概念主要有几个原因：这一定义应包括公司和其他企业管理风险的几个基

本概念，并可以应用于各种组织、行业和部门。它直接针对企业目标的实现。此外，这一定义应

为定义企业风险管理的有效性提供一个基础。上述基本概念详细论述如下：

1．一个过程企业的风险管理并不是一个事项或环境，而是

渗透于企业各项活动中一系列行动。这些行动普遍存在于

管理者对企业的日常管理中，是企业日常管理所固有的。

一些人认为，企业风险管理对企业的各项活动而言是多余的，是企业必须承担的一个负担，但COSO 的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不懈的努力。例如，风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析和计算。但是，这些以及其他的企业风险管理机制与企业的经营活动是并存的，是由于最基本的商业原因而存在的。当企业风险管理机制成为企业的基础设施并真正成为企业的一部分时，企业的风险管理会最有效。通过建立风险管理，企业可以直接提高自身的战略执行能力，并提高企业预期和任务的实现能力。

建立风险管理对企业的成本构成同样有重要的影响，特别是在目前大多数企业都面临高度竞

争的市场环境的情况下。在现有工序的基础上增加新的工序会增加成本，而通过关注现有的经营

过程以及他们对实现有效风险管理的贡献，并将风险管理整合到企业的基本经营活动之中，一个

企业就能够避免不必要的工序和成本。并且，将风险管理整合到企业日常的经营过程中有助于管

理者抓住企业发展的新机遇。

2．受人的影响

企业的风险管理会受董事会、管理层和其他人员的影响，风险管理是通过组织内的人来完成的，是通过人的所做和所说实现的。是企业内的人制定企业的任务/预期，战略和目标，并实施企业的风险管理机制。

同样，企业风险管理也影响人的行动。企业风险管理要认识到人对事物的理解、沟通或执行并不总是一致的。企业中的每个人都有不同的背景和技术能力，都有不同的需求和优势。

这些因素都会影响企业的风险管理，也会受风险管理的影响。每个人的出发点都不同，这会影响他们对风险的确认、评估和反应。企业风险管理就是要提供了一个机制，帮助人们从企业总体目标的角度认识风险。企业的员工必须了解他们自己的职责和权限。因此，除了要明确员工的职责和企业的战略和目标之间的联系之外，还要明确员工的职责和他们履行职责的方式之间的联系。

一个组织的员工包括董事会成员、管理者和其他人员。尽管企业的董事主要负责监督，但是

他们同时也向管理者提供指导，核准企业的战略、某些活动和政策。因此，董事会是企业风险管

理的重要组成部分之一。

3．可应用于企业战略的制定

一个企业要确定其预期或任务，并制定其战略目标。企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略

方案，并将战略方案分解成相应的目标，再将目标层层分解到企业的各业务部门、行政部门和生

产线。在制定企业的战略方案时，管理者应考虑与不同的战略方案相关的风险。

4．应用于整个企业

为使企业的风险管理获得成功，一个企业必须从全局，从企业总体层面上考虑企业的活动。

企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动（如战略计划和资源分配）到

各业务部门的活动（如市场部、人力资源部），到各业务流程（如生产过程和新客房信用审核）

等等。企业风险管理还可用于特定项目和新的行动计划，尽管该项目或计划可能在企业的管理流

程或组织流程图中尚无明确的定位。

企业风险管理要求企业以风险组合的观点看待风险。这会要求企业内负责各业务部门、行政

部门、生产流程或其他活动的管理者对本部门的风险进行评估。这些评估可以是定量的，也可以

是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险，以决定企业

总的风险组合是否与企业的风险偏好相对应。

管理者应以总体的组合观来考虑相关风险。对相关的风险应予确认并采取措施使承担的风险落在企业风险偏好的范围内。对企业内部每个单位的风险而言，可能都落在该部门的风险容忍度的范围内，但从总体来看，合并后的风险可能超过了企业总体的风险偏好。企业总的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下贯彻。

5．风险偏好

风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。企业通常采用定性的方法分析风险偏好，将风险偏好分为高、中、低三类；或者采用定量的方法分析风险偏好，反映出企业的成长性、收益性和风险目标，并在三个目标之间进行平衡。

风险偏好与企业的战略直接相关。在制定战略时应考虑企业的风险偏好，并将战略的预期收益与企业的风险偏好联系起来考虑。不同的战略会给企业带来不同的风险，在战略制定时应用风险管理，其目的是帮助管理者选择与企业的风险偏好相一致的战略。

企业的风险偏好指导企业的资源配置。管理者在各业务部门间分配资源时应考虑企业的风险偏好和各个业务部门为取得预期的收益率所采用的战略。管理者应将企业的风险偏好与企业的组织结构、人员和业务流程联系起来考虑，并应建立对风险有效反应和监督的必要的硬件设施。

风险容忍度是与要实现的目标相关的偏差的可接受程度。在确定某一特定的风险容忍度时，管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。在风险容忍度的范围之内经营更能够保证企业所承受的风险在其风险偏好的范围内。反过来，就能够对企业目标的实现提供更高程度的保证。

6．提供合理保证设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供

合理的保证。如果企业的风险管理有效，董事会和管理者在以下几个方面得到合理的保证：－了解企业战略目标实现的程度；－了解企业经营目标实现的程度；

－企业报告的可靠性；

－相关的法律和法规遵守的情况。

“合理保证”反映了“不确定性和风险都是与未来相关，而未来是没有人可以确切地预测的”这一思想。这种局限性的其他原因包括：人们在进行决策时的判断可能出错；对风险反应的决策和所建立的控制需要考虑成本效益原则；由于人们的简单失误或错误可能导致的企业破产；可能由于两个或多个人的串通而绕过控制；管理者可能忽视企业的风险管理决策等等。这些限制使得董事会和管理者无法在企业目标实现方面得到绝对保证。

7．目标的实现

有效的风险管理应该能够为企业目标的实现提供合理的保证，包括报告的可靠性、合法合规性目标等等。这两类目标的实现都是在企业的控制范围内，其实现依赖于相关活动执行的好坏。

但是，战略目标和经营目标的实现并不总是在企业的控制范围内。对于这两类目标，企业风险管理只能合理保证管理者和董事会从宏观上及时了解企业目标实现的进度。

（三）企业风险管理的组成要素

根据管理者经营的方式划分，企业风险管理包括八个相互关联的组成要素，这八个要素渗透于企业管理的过程之中，包括：

1．内部环境

企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容，包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分，对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环

境的一部分，其职责是建立企业的风险管理理念、确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的行动计划结合起来。

让企业所有员工了解企业的风险管理理念有利于提高雇员确认和有效管理风险的能力。风险管理理念是企业对风险的信念，是企业选择处理其活动和风险的方式。它反映了一个企业期望从企业的风险管理获得一定的价值。这一理念还会影响企业风险管理要素的应用方式。管理者应将其风险管理理念通过政策说明书和其他沟通方式向企业的员工宣传。更重要的是，管理者不应仅仅是在纸面上强调风险管理理念，还应在每天的行动中贯彻执行。

风险偏好由企业的管理者设定，董事会复核，是企业制定战略的一个控制指标。通常为了实

现某一个预定的增长或收益目标，企业可以制定许多不同的战略，而每一个战略都具有不同的风险。在战略制定过程中，风险管理有助于管理者选择与企业的风险偏好相一致的战略方案。管理

者期望将企业的组织结构、人员、生产过程与硬件设施整合在一起，使得在战略的成功执行的同

时将风险控制在风险偏好的范围内。

风险文化是企业员工共同的态度、价值观和实务操作程序的组合，表明企业在其日常活动中

看待风险的方式。对于许多公司而言，风险文化来自于企业的风险理念和风险偏好。对那些不能

明确界定其风险理念的企业，其风险文化的形成可能是随机的，而导致一个企业内存在明显不同

的风险文化，甚至在一个业务部门、行政部门中都有可能存在明显不同的风险文化。

2．目标制定根据企业确定的任务或预期，管理者确定企业的战略目标，选择战略方案，确定相关的

子目标并在企业内层层分解和落实，各子目标都应遵循企业的战略方案并与战略方案相联系。在能够确定对目标的实现有潜在影响的事项之前，管理者就应确定企业的目标。而企业风险管理就是提供给管理者一个适当的过程，既能够制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且这些目标还与企业的风险偏好相一致。

企业的目标可以分为四类：

－战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期的

实现。

－经营目标是指企业经营的效率性和效果性，包括经营业绩目标和盈利能力目标，由于管

理者对企业结构和经营的不同选择，各企业的经营目标也不尽相同。

－报告目标指企业报告的有效性，包括企业内部和外部的报告，既包括财务信息，也包括

非财务信息。

－合法性目标是指企业符合相关的法律和法规。

企业目标的这种分类可以使企业的管理者和董事会注意企业风险管理的不同方面。企业的某一个特定目标可能不仅仅属于某一类目标。企业的这些目标既相互区别但又相互重叠，可以明确企业的不同需要，并且可以分派给企业的某一个执行官作为其直接职责。这种分类还可以区分企业不同类别目标的期望之间的区别。

某些企业还有另一类目标――“资源的安全”，有时也叫“资产的安全”。从广义上看，这一目标是防止企业资产或资源的流失，这种流失可以是由于偷窃、浪费、经营的无效性，也可以是由于企业商业上简单的错误决策（如以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害行为，或者是出现未预期的负债等等）所引起的流失。对某种报告目的而言，这种广义的资产安全类目标可能是一个狭义的定义，此时的资产安全概念可以仅仅指预防或及时发现对企业资产的未经授权的购买、使用或处置。

3．事项识别(Event Identification)

管理者意识到了不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分，管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技术等事项。

一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。事项识别技术既针对过去，又针对未来。针对过去的事项和趋势的识别技术主要要考虑类似支付错误的历史、商品价格的变化和浪费时间的突发事件（Lost-time accidents ）等事项，而针对未来风险的技术则主要考虑不断变化的人口统计资料、新市场和竞争者的行为等事项。

将潜在的事项进行分类对管理者而言是非常有用的。通过在企业内各水平层面上对事项进行汇总、在营运部门内部对事项进行垂直地汇总，管理者能够对事项之间的相互关系有一个了解，这些信息也可以作为风险评估的基础。

潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。对企业有潜在负面影响的事项是企业的风险，要求企业的管理者对其进行评估和建立反应方案。因此，风险的定义就是，某一事项将要发生的可能性及其对企业目标的实现造成负面影响的可能性。

对企业有潜在正面影响的事项则是企业的机遇或者可以弥补风险对企业的负面影响。机遇可以在企业战略或目标制定的过程中加以考虑，以制定有关行动抓住机遇。可能弥补风险对企业负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。

4．风险评估

风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。

风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据，这比没有任何数据的、完全的主观估计要客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见，能够得到比外部数据更好的结果。但是，即使是以内部数据作为主要的资料来源，外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未来进行预测时使用者必须小心，因为影响过去事项的有关因素可能会随着时间的推移而改变。

一个企业风险评估的方法通常是定量方法和定性分析技术的组合。当风险本身无法量化时，或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时，管理者通常会采用定性的分析技术。定量的分析技术通常更加精确，一般用于更为复杂多变的活动，作为定性分析的补充。一个企业不需要在每个业务部门都使用同样的评估技术。相反，对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下，各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。

在衡量目标的实现程度时，管理者经常使用业绩计量指标。当考虑某一风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。管理者可以评估各事项之间的关系，因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小，但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关，这时管理者可以分别对其进行评估，但是当某些风险可能在企业的多个业务部门出现时，管理者可以将所确认的风险归为一类进行评估。

通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。通过风险评估，管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响，单个事项或某类事项对企业的影响。

管理者通常只趋于关注中短期的风险，但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期，管理者因而应从长期的角度认识风险，而不能忽视远期会影响企业的风险。

首先，应对企业的固有风险进行评估。固有风险是指管理者在没有采取任何会改变风险发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险的风险反应方案，管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措施后应存在的风险。

5．风险反应

管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。

风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险则是不采取任何改变风险发生的可能性或影响的行动。作为企业风险管理的一部分，对于每一个重要的风险，企业都应按风险反应的类型考虑所有的风险反应方案，这样有助于风险反应方案的选择，这也是对“现状”提出的挑战。

选定某一个风险反应方案后，管理者应在残留风险的基础上重新评估风险，即从企业总体的风险组合的、预测的角度重新计量风险。管理者可以采取一定的方法使得每一生产部门、行政部门或业务单位的管理者可以对风险进行复合式的评估以决定该部门的风险反应方案。这种视角可以反映相对于各部门的目标和风险容忍度该部门的风险组合。在对各个独立部门的风险有一个认识的基础上，企业最高层的管理者应以组合的角度看待风险，以决定企业的风险组合与相对企业目标而言的总体的风险偏好是否相符。

管理者应认识到一定水平的残留风险总是存在的，这不仅是因为资源的有限性，还因为未来有其内在的不确定性和所有活动的固有限制。

6．控制活动

控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列过程。

由于企业的控制活动与企业的信息系统广泛相关，因此，应对企业所有的重要系统进行控制。广义来讲，对信息系统控制活动可以分为两类。一类是一般控制，这类控制应用于大多数应用系统，有助于保证系统的持续地、正确地运行。另一类是应用控制，包括用于控制技术应用的应用软件内部的电脑程序。必要时将信息系统控制与其他手工的过程控制相结合，可以保证信息的完整性、精确性和有效性。

一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。这些技术应用于所有的系统，从主机到客户端（服务端）到桌面电脑环境。信息技术管理控制主要包括明确信息技术的勘漏过程、监督和报告信息技术活动及业务改进的初步行动等等。

应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。依靠信息系统控制运行的有效可以保证当需要时每个应用程序可以在界面上产生有关数据，保证应用程序的有效和有关界面的错误可以很快地被发现。

因为每一个主体都有其自己的一套目标和执行目标的方法，因此其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构，他们的控制活动可很可能不同。每个企业的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断。而且，控制活动反映了一个企业所处的环境和行业，也会反映企业的复杂性、企业的历史和文化。

7．信息和沟通

来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。

企业内部各个管理层都需要信息来帮助识别、评估风险和对风险进行反应，以及进行经营并实现企业的目标。相对于某一类或几类目标，某一批信息是有用的。企业的信息来自于各个方面，

包括内部和外部的信息、量化的和非量化的信息，以使得企业的风险管理可以对现实世界中不断变化的条件及时作出反应。将大量的信息进行处理，提炼出或指导行动的信息是企业管理者所面临的一个挑战。解决这一问题的方法是建立一个信息系统底层结构来确认、捕捉、处理、分析和报告相关信息。这些信息系统通常是电脑系统，但也包括手工录入或人机界面。因此，这些信息系统经常是指处理企业相关业务产生的内部数据的系统。

长期以来信息系统是用来支持企业的商业战略。当业务需要变化和有关技术为企业获得战略优势提供新的机会时，这一地位就显得更为重要。

为支持有效的企业风险管理，一个企业会捕捉和使用历史和现在的数据。历史数据使企业能够将实际业绩与目标、计划和期望相比较，能够更加深入了解企业在不断变化的环境下是如何生存的，使得管理者确认相关性和趋势并预测未来的业绩。历史数据还能够对需要管理者注意的潜在事项提早提出警告。

现在或现状的数据使企业能够评估在某一特定时点所面临的风险并将其控制在风险容忍度

范围内。现状数据使得管理者可以实时地了解一个过程、职能部门或单位现存的固有风险和差异的大小。这对了解企业的风险组合提供了一个视角，使得管理者能够在必要时改变企业的活动以满足企业的风险偏好。

信息是沟通的基础，沟通则必须满足各部门和个人的要求，以使他们能够有效地履行其职责。最重要的沟通渠道之一是高级管理者和董事会之间的沟通。管理者必须使董事会了解关于企业业绩、发展、风险管理执行和其他相关事项和问题的及时信息。沟通越畅通，董事会在执行其监督职能、重大问题的宣传媒介职能和提供建议、咨询和指导职能时才会越有效。反之，董事会也应向管理者传递其所需要的信息并进行反馈和指导。

管理者应提供特定的或直接的沟通渠道说明对员工的行为预期和各自的职责。应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。对于风险管理过程和程序的沟通应与企业预期的风险文化相结合，并作为企业风险文化的基础。此外，信息的列示会直接影响对信息的解释和对相应的风险或机遇的看法，因此，对于沟通应有一个适当的架构。

沟通应使企业的员工了解有效地企业风险管理的重要性和相关性，了解企业的风险偏好和风险容忍度，并在企业内执行、设计一个统一的风险用语并向员工说明他们在影响和支持企业风险管理要素中的地位和职责。

沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。大多数情况下，企业内正常的报告路径一般是沟通的适当渠道。而在某些情况下，需要一个单独的信息沟通途径作为防止失败机制，而为一途径在正常情况下是不用的。在所有的情况下，让企业的员工了解企业内并不存在对报告相关信息的报复是很重要的。

外部的沟通渠道能够为企业的产品或服务的设计或品质提供非常重要的信息。管理者应将企业的风险偏好和风险容忍度与客户、供应商和合伙人的风险偏好和风险容忍度联系起来考虑，以保证不会通过企业的业务活动给企业带来太多的风险。外部相关方的信息经常会为企业风险管理的运行提供重要的信息。

8．监控

对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一

个过程。企业可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。

持续监控是对企业日常的、重复的经营活动的监控，在实时的基础上进行，是对不断变化的环境的动态地反应，应在企业内部彻底地贯彻和执行。如果执行得好，持续监控比个别评估更为有效。由于个别评估是在事实发生之后才进行评估，而持续监控则会在问题一发生就很快被发现。虽然如此，许多使用持续监控的企业仍旧进行风险管理的个别评估。

个别评估的频率是企业管理者的主观判断问题。在决定个别评估的频率时，管理者应考虑来自于企业内部和外部事项的变化的性质和程度以及相应的风险、企业员工进行风险反应和相应控

制的能力和经验、持续监控的结果等因素。通常，将持续监控和个别评估进行一定的结合使用会保证企业风险管理长期的有效性。

对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评

估。但是，适当程度的记录通常会使对风险管理的监控更为有效果和有效率。当企业管理者打算向企业外部相关方提供关于企业风险管理效率的报告时，他们则应考虑为企业风险管理设计一套记录模式并保持有关的记录。

所有风险管理失效都会影响企业确定和执行战略的能力，影响企业实现其既定目标的能力。对此，应将企业所有的风险管理失效都报告给适当的管理层，以保证其采取必要的措施以纠正风险管理失效。企业所需沟通的事项的性质根据各人处理各种情况的权限和监控者的查漏活动的不同而不同。这里“失效”是指企业风险管理过程中值得注意的某一种情形。因此，失效可能代表一种预期的、潜在的或真实的缺陷，或者代表加强风险管理过程的一个机会，以增加企业目标实现的可能性。在经营活动中产生的信息通常通过正常的渠道进行报告。对于敏感性信息的报告也应有其他的沟通渠道，如非法活动或不正当的活动。

向企业内适当的管理层提供关于风险管理失效的必需的信息是非常重要的。企业应建立一个协议来识别某一管理层决策有效所需要的信息。这些协议应反映一个基本原则，即一个管理者在收到实现其特定目标的有关信息外，还应收到影响其权限范围内人员的行动或行为的所有信息。（四）风险管理要素和企业目标之间的关系

企业的风险管理框架包括四类目标和八个要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标。八个要素分别是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控，是企业目标实现的保证。它们相互之间存在直接的关系，可以用一个三维矩阵图来表示（如图1 所示）。

可以看出，四个栏分别代表一个企业的四类目标，并不是企业的某个部分或部门。因此，例如，当考虑与报告相关的那类目标时，需要关于企业经营的大量信息，但是在这种情况下主要关注的是风险管理模型右手边中间这一栏——报告目标——而不是经营类目标。

图2 将立方体中水平各行的内容进行

扩展，说明各风险管理要素的主要内容，其

中每一要素也就代表一个业务流程。图1

·四类目标—战略、经营、报告和合规性目标—由垂直栏表示。·八要素

由水平行表示。

·企业和其各组织单位由矩阵中的第三维表示。

（五）有效性

企业风险管理是一个过程，企业风险管理的有效性则是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个

主观判断。

为使风险管理有效，企业的风险管理框架必须包括所有的八个要素，并得到贯彻执行。但是，这并不意味着每一要素在不同的企业间，甚至是不同企业的同一管理层次上，都必须执行同样的功能。因为不同的要素之间可能存在着作用的相互抵消。由于企业风险管理的各种技术能够为企业不同的经营意图服务，因此，相对于某要素的技术也能够服务于通常是另一要素所体现出来的经营意图。此外，对某一特定风险的风险反应程度可能不同，以至于互补的风险反应模式可能各自对企业的影响都有限，合并后仍可以保持在风险容忍度的范围内。

这里所讨论的概念可以应用于所有企业，无论其规模。某些中小企业所采用的要素的内容与大企业可能不同，但企业的风险管理仍旧有效。对于每个要素的方法论，小企业采用的方法与大企业相比并不正式和结构化，但是，无论企业的规模，其风险管理都应包括本文所讲的基本概念。

企业风险管理可以从一个企业的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的八要素也都应作为基准包含在内。

一个公司可能采用联营企业、合伙或其他的投资形式，其经营可能不在母公司的直接控制之下。为保证企业风险管理的有效性，母公司应从公司战略和目标的角度考虑与被投资方一起充分应用风险管理八要素的程度。

图2

（六）包括内部控制

内部控制是企业风险管理不可分割的一部分。这里所说的企业风险管理框架包括内部控制，为企业的管理提供了一个更强的概念基础和工具。在《内部控制——整体框架》中已经对内部控制进行了定义和描述。由于《内部控制——整体框架》是现有的规则、法规和法律的基础，因此本讨论稿保留其对内部控制的定义。整个《内部控制——整体框架》报告都是本框架的参考。

（七）企业风险管理的局限性

有效的风险管理可以帮助管理者实现企业的目标，但是，无论企业风险管理设计得如何完善、运行得如何有效，它也不能保证一个企业永远成功。

企业目标的实现还要受管理过程内在局限性的影响。政府政策或项目的改变、竞争对手的行动或经济条件都超出了管理者的控制范围。人的决策可能会出错，因而企业很有可能由于人的简单的错误或过失而破产。而且企业风险管理也不能把一个本来就很差的管理者变好。此外，企业员工两人或多人合谋可以绕过控制，管理者也有权利绕过企业的风险管理过程，包括风险反应和风险控制过程等。

企业风险管理的设计必须反映企业资源稀缺的现实，而且风险管理的收益必须对应风险管理的成本。因此，虽然企业风险管理可以帮助管理者实现企业的目标，但它并不是一颗万灵丹。（八）

各管理层在企业风险管理中的地位和职责

一个组织的每个人在企业风险管理中都负有责任。

1．董事会企业的管理者向董事会负责，而董事会向管理者履行治理、指导和监督职能。通过选

举管理者，董事会在界定其所期望的员工的操守和价值观时起主要作用，并能够通过监督活动证实其对员工的预期。同样，通过在某些关键的决策中保留其权限，董事会在制定

战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。

董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责：－了解管理者在企业内部建立有效的风险管理的程度；－获知并认可企业的风险偏好；－复核企业的风险组合观并与企业的风险偏好相对照；－评估企业最重要的风险并评估管理者的反应是否适当。

董事会是企业内部环境的一个组成部分，必须有保证风险管理有效的必要的组织和对风险管理的关注。

2．管理者

企业的首席执行官对企业的风险管理最终负责，即拥有企业风险管理的“所有权”。与企业内其他员工不同，首席执行官在企业的高层确定风险管理的基调，而这会影响企业内部环境中的员工操守和价值观及其他因素。在一个大公司中，首席执行官通过向高级管理者分派领导权和提供指令并复核其管理企业的方式等来履行其职能。高级管理者会进一步将制定更具体的风险管理政策和程序的责任分派给负责各部门运行的员工。而在一个小企业，首席执行官对风险管理的影响则更为直接。他们是企业的管理者，但同时也是企业的所有者。在任何情况下，？对其下层的职责，管理者也是其职责范围内的一个首席执行官。此时各职能部门的领导者也是很重要的，如法律咨询部？、财务部、人力资源部和信息技术部，他们各自的监督活动与企业经营和其他部门的活动到处都存在着交叉。

3．风险管理者

一个风险管理者是指某一组织内的首席风险管理者或首席风险管理经理，他与企业内其他管理者一起在他们的职责范围内建立并维护有效的风险管理框架。首席风险管理经理也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。

4．内部审计人员

内部审计人员在企业风险管理的监控中占有重要的地位，这一职责作为其正常职责的一部分，其业绩的质量依赖高级管理者、下级管理者或部门执行人员的特殊要求。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。

25．其他员工

从某种程度上讲，企业风险管理是企业内每一个员工的责任，因此，风险管理应是企业内每一个员工的工作手册的一部分内容。本质上，企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样，企业所有的员工都有责任向上报告风险，如经营中存在的问题，未遵守有关的行为规则的情况、其他违反政策的行为或非法活动。

许多企业外部相关方也有助于企业目标的实现。如外部审计人员，从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核，直接有助于企业目标的实现。同时，外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息，间接地为企业目标的实现作出贡献。其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户，其他与企业进行交易的各方，财务分析师、债券承销商和新闻媒介等等。但是，外部的各相关方并不对企业的风险管理负责。（九）本报告的用途

企业根据本报告所采取的行动还应考虑下述各方的地位和利益：

1．董事会成员

董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估，包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。

2．高级管理人员

本研究建议企业的首席执行官应评估企业风险管理的适应性。使用本框架，CEO 就可以与企业的其他主要经营和财务主管一道，注意企业内需要注意的地方。使用一定的方法，CEO 可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起，讨论对企业风险管理框架适应性和有效性的最初评估。无论讨论的形式如何，风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。最初的评估还应该保证企业再造的监控程序确实存在、确实有效。企业花费在风险管理评估上的时间是企业的一项投资，而且是一项有高额回报的投资。

3．企业内其他成员

企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责，并与其上层管理者讨论有关思想以加强企业的风险管理。内部审计人员则应该考虑其工作中关注企业风险管理的程度。

4．立法者

每个企业对企业风险管理的期望由于两个方面的影响而千差万别。首先，由于对企业风险管理框架的硬件设施构建的不同认识，使得企业的风险管理框架各有不同。一些观察家认为企业风险管理将会，或者应该会防止企业的经济损失，或者至少是防止企业破产。第二，即使对企业风险管理能够做什么、不能做什么以及“合理保证”概念有一个共同的认识，对这概念的含义和应该如何应用这些概念也存在许多不同的观点。为了使各方对企业风险管理的认识及其作用达成共识，就应该对企业风险管理框架及其局限性达成共识。本框架的提出就是出于这一考虑。

5．专业机构

规则制定机构和其他专业组织已经提供了企业理财、审计和相关问题的指南。本框架会使用这些机构颁布的有关准则和指南。这样可以减少概念和术语的多样性，而一定程度地减少概念和术语的多样性对企业内外部各方都是有利的。

6．教育机构

本框架应该是理论研究和分析的一个题目，以寻找未来改进的方向。如果这个报告作为企业风险管理通用的理论基础被广泛接受，那么其中的概念和术语就可以在学校的课本中找到。（十）报告的组织

这个概览和框架报告的正文一起构成了企业的风险管理框架。本概览为企业的CEO 和其他高级执行官、董事会成员和企业外部的立法者提供了一个高度概括的说明。而框架报告的正文部分则对企业风险管理的定义、原则和概念进行更为广泛和深入的讨论，为企业及其他组织中各层次管理者决定如何改进企业的风险管理提供了指导，并能够帮助企业的管理者和其他人员评估企业的风险管理提供帮助。

1、企业风险管理的相关性

章节摘要：企业风险管理被运用于策略制定，并贯穿于实体的各项活动中。它使得管理部门在面对不确定性的时候能够鉴别，评估并处理风险，同时有助于价值增值与保值。企业风险管理能提供更高的能力，来调整风险偏好与策略，把风险与增长及回报联系起来，

加强风险反应决断力，最小化经营上的突发状况和损失，鉴别并处理跨企业风险，对复合性风险提供整体化反应，把握机会，合理化资本投资。

企业风险管理的一个潜在假定就是，每一个实体的存在都是为其风险承担者提供价值，不论这个实体是盈利性的，非盈利性的还是政府机构。所有实体都面临着不确定性，而管理部门的挑战就是判定该实体在努力增加风险承担者价值的同时，准备承受多大程度的不确定性。不确定性既提供了风险也提供了机遇，既有可能侵蚀价值也有可能增加价值。企业风险管理就是给管理部门提供了一个体制，可以有效地处理不确定性及相关风险、机遇，从而提高增加价值的能力。

不确定性

诸如全球化、技术、监管、重组、市场变化及竞争等因素产生了不确定性，企业正是在这样的环境下经营。不确定性来源于不能精确地对潜在事件发生的可能性及相关结果进行判断。不确定性还因实体的战略性决策而产生。例如，一个实体的增长战略是基于向另一个国家扩展经营业务。这一选定的战略就产生了与该国家的政治、资源、市场、交通、人力资本及成本相关的风险和机遇。

价值

价值是由于管理部门在所有活动中的决策而产生、保持或被侵蚀的，这些活动涉及到从战略的制定至日常的企业经营。决策中固有的一点就是识别风险和机遇，要求管理部门（注）考虑内在和外在环境的信息，并根据变化着的环境来部署宝贵的资源和重新调整企业行为。

企业价值是通过部署资源（包括人力、资本、技术及品牌）而产生的，因此获得的利润要大于使用的资源。实体通过专注于人力、工序、系统和行为创造持续性价值而保值的，包括产品质量，生产能力，顾客满意度及其它一些东西。价值会由于根据风险和机遇的不完全或不充分信箱行事，或由于拙劣的战略或执行而受到侵蚀。

当管理部门的战略和目标在增长与回报及相关风险，和追求实体目标过程中对资源的效率且有效果的部署之间突然得到了一个最优平衡，价值就达到了最大化。企业风险管理则便于对市场需求、无效率和其它事件进行识别，那些事件要么会产生创造价值的机会，要么会对战略及实现实体的目标带来风险。

当风险承担者获得可确认的收益，实体就实现了价值，从而风险承担者实现价值。例如，当股东从股票增值中确认价值产生时，他们就实现了价值。对政府实体而言，在选民以可接受的成本确认收到有价服务时，价值得以实现。非营利性实体的风险承担者则是在确认收到有价社会福利时实现价值。企业风险管理就是便于管理部门既能够创造可持续性价值，又能把所创造的价值传送给风险承担者。

实体价值的计量

对价值的一种计量是该实体对其风险承担者的相对价值，效用或重要性。许多公司管理部门习惯于用财务指标来考虑价值，如经济利润、股东附加值、风险调整成本回报或整体股东回报。这些财务指标有一个基本的假定，就是价值产生前资本成本必须能得到弥补。然而，财务指标并不总是价值的唯一代表。对非盈利性机构的价值计量就是和它们所试图提供的社会福利联系在一起的。例如，一家为老年公民提供援助的非盈利性机构是根据对可接受的高质量、长期健康照顾的获得性来衡量价值的。

企业风险管理的优点

调整风险偏好与战略——风险偏好，在广泛的基础层面上，是公司或其它实体在追求目标时所愿意接受的风险程度。管理部门首先是在评估战略性选择时考虑实体的风险偏好的，然后是在根据选定的战略进行调整的目标设定，以及在发展机制来管理相关风险时考虑。例如，一家制药公司关于其品牌价值有着较低的风险偏好。因此，为保护其品牌，该企业会坚持广泛调查来确保产品的安全性，并定期在早期开发阶段投入大量资源以支

持品牌价值创造。

联系增长、风险和回报——实体是把风险视为生产和保持价值的一部分而接受风险的，同时期望回报与风险相匹配。企业风险管理提供了更强大的识别和评估风险的能力，并针对增长和回报目标确定可接受的风险水平。例如，保险公司在战略性规划方面的管理同时产生了经营单元规划以及增长与回报规划。公司识别和判断完成的风险，选择反应方式，调整经营单元规划，并在单个经营单元和全公司目标的基础上配置资本。

改善风险反应决策——企业风险管理提供在各种风险反应选项（即风险回避、减少、分配和接受）中进行严格的识别和选择。例如，一家使用公司所有并经营的交通工具的公司，其管理部门确认运输过程中的固有风险，包括交通工具的损坏和人员受伤成本。可利用的选项包括通过有效的司机招募及培训来降低风险，通过运输外部化来规避风险，通过保险来转移风险，或者索性接受风险。企业风险管理为这些决策都提供了方法和技术。

经营偏差和损失最小化——实体已增强了识别现在事件、评估风险并确立反应方式的能力，从而减少了偏差的发生及相关成本或损失。例如，制造公司依据平均水平来追踪生产部件和设备损坏率。该公司运用复合性标准评估损坏的影响，包括修理时间、无法满足顾客的需要、雇员安全、预定修理相对于非预定修理的成本，以及对据此设定维护安排的反应。

识别和管理企业范围的风险——每一个实体都会面临无数的风险，并影响到机构的不同部门。管理部门不仅需要处理单个风险，还要知道它们相互间的影响。例如，银行在与企业的交易活动中面临大量风险，管理部门就开发了一项信息系统，可以分析来源于其它内部系统的交易和市场数据，并同时依据相关的外生信息，而提供对所有交易活动风险的总体看法。该信息系统允许深入到各个层次，即部门、顾客或竞争对手、贸易商及交易，并在已确立的分类中根据风险承受能力量化风险。该信息系统使银行能够把曾经使完全不相关的数据联系起来，从而运用总括的及有目的的观点来有效地对风险做出反应。

对多重风险提供整体反应——商业过程带有许多固有风险，企业风险管理可以为处理这些风险提供整体的解决办法。例如，批发分销商面临的风险有供应过量或不足的形势供应来源稀缺，以及过高的购买价格。管理部门根据本公司的战略、目标及供选择的反应情况来确认和评估风险，并开发了一项涉及广泛的存货控制系统。该系统通过签订长期供应合同和改善定价方式与供应商结合起来，共享销售和存货信息，推动战略合作，避免缺货和不必要的运输成本。供应商的职能就是负责补充存货，进一步降低成本。

抓住机会——通过考察所有的潜在事件，而不仅仅是风险，管理部门可以了解特定的事件是如何代表机会的。例如，一家食品公司考察了可能会影响其可持续收入增长目标的潜在事件。在评估事件时，管理部门认定，该公司的主要顾客正越来越注重健康，并正在改变饮食偏好，这表明对该公司现有产品的需求将来会减少。管理部门对此做出反应，把目前的生产能力应用于开发新产品，使得公司不仅能够保持来源于现有顾客的收入，还能够吸引更广泛的顾客基础而获得额外的收入。

使资金合理化——更多关于风险的可靠信息可以使管理部门更有效地评价整体资金需求及改善资金分配。例如，一家金融机构得知新的规章制度，规定如果管理部门不更加有效地计算贷款和经营风险水平及相关资金需求，就要增加（自身）资金需求。该公司按照系统开发成本及附加资金成本的对比对风险进行了评估，并制定了一个高明的决定来处理这一风险。根据现有的、可调整的软件，该银行开发了更加精确的计算方法，避免了对附加资金来源的需求。

企业风险管理不是不是目的，而是一种达到目的的重要方法。它在实体中并不是孤立运转的，而是管理过程的启动程序。企业风险管理通过向董事会提供关于最重要风险以及怎样进行处理的信息，而与公司治理相关联。它还通过风险调整指标与业绩管理相关联，并与企

业风险管理的一个组成部分——内部控制相关联。

企业风险管理有助于实体达到经营和获利目标，并避免资源浪费；有助于确保有效的报告；还有助于确保实体遵守法律法规，避免声誉受损及其它后果。总之，它有助于实体达到所期望的目标，并自始至终避免陷阱和偏差。

注：尽管在这里及接下来的讨论中运用的是“管理部门”一词，许多企业风险管理行为都是由非管理人员完成的。

2、框架纵览

章节摘要：企业风险管理使一个过程，是由实体的董事会、管理层及其他员工实现的，被应用于战略设定并贯穿于整个企业。设计该项管理是为了识别可能影响到实体的潜在事件，把风险控制在实体的风险偏好之内，并提供达到关于实体目标的合理保证。这一定义是广义上的，与经营的方方面面相关。企业风险管理是由八个相互关联的部分组成，这些组成部分充实了管理层经营企业的方式，并与其它管理过程融为一体。它们结合在一起，充当判定企业风险管理是否有效的标准。

该框架的一个关键目标就是，帮助商业机构和其它实体的管理部门更好地处理达到实现目标时的固有风险。但是，企业风险管理对不同的人有着不同的含义。多种多样的说明和含义阻碍了对企业风险管理的一个通用的理解。那么，一个重要的目的就是把各种各样的风险管理观念综合成为一个框架，建立一般概念并确认组成部分。设计这一框架是为了协调不同的观点，并为单个实体评价和增强企业风险管理，为将来创始规划制订机构，以及为进行教育提供一个起点。

事件与风险

无数内部或外部发生的事件都有可能影响到战略的执行和目标的实现。事件可能有负面影响，也可能有正面影响，或两者兼而有之。可能有负面影响的事件代表风险。因此，风险是事件发生并对目标产生不利影响的可能性。可能有正面影响的事件会抵消负面影响，或代表机遇。管理部门把机遇引至其战略或目标设定过程，从而系统化行动以抓住机遇。管理部门通过判断潜在事件的可能影响来评估风险，以执行战略和实现目标。

企业风险管理的定义企业风险管理的定义如下：企业风险管理是一个过程，是由实体的董事会、管理层及其他员工实现的，被应用于战

略设定并贯穿于整个企业。设计该项管理是为了识别可能影响到实体的潜在事件，把风险控制在实体的风险偏好之内，并提供达到关于实体目标的合理保证。

该定义反映了特定的基本观念。企业风险管理：

z 是一个过程——它是达到目标的方法，自身不是目的。

z 由人来实现——它不仅仅是政策、调查和形式，而是涉及到机构中每一层次的人。

z 应用于战略制订。

z 应用于整个企业的每一层面和单元，还包括采取在实体层面上对待风险的观点。

z 设计用来识别可能影响实体的事件，并在实体的风险偏好范围内处理风险。

z 向实体的管理层和董事会提供合理保证。

z 准备好在一个或多个独立而又相互重叠的部门实现目标。

该定义之所以如此广泛，是由于以下几个原因。它抓住了公司和其它组织是如何管理风险的基本性的关键概念，为应用于不同类型的组织、产业和部门提供了基础。它直接集中于实现一个特定实体所确立的目标。该定义为明确企业风险管理的有效性提供了一个基础，这将在本章后面讨论。下面一些段落讨论如上列

出的基本概念。

一个过程

企业风险管理不是一个事件或环境，而是一系列渗透到企业各项活动的行为。这些行为遍布和内含于管理部门经营业务的方式中。

企业风险管理不同于一些评论者的观点，他们认为企业风险管理是附加在实体活动之外的范畴，或者是一个不可避免的负担。这并不是说有效的企业风险管理不需要额外的努力。例如，在考虑贷款和货币风险时，就需要投入额外的努力来开发所需要的模型，并作一些必要的分析和计算。然而，这些企业风险管理机制是同实体的经营活动盘绕在一起的，并由于一些基本的经营因素而存在。当这些机制深入到实体的基础结构中并成为企业核心的一部分的时候，企业风险管理是最为有效的。通过在企业风险管理方面的建设，实体可以直接影响自身履行战略和实现展望或使命的能力。

企业风险管理的建设对成本控制也具有重要含义，尤其是在许多公司所面

临的高度竞争市场。增加新的独立于已有程序之外的程序会增加成本。通过专注于现有的经营及其对有效的企业风险管理的贡献，并把风险管理与基本的经营活动结合起来，企业可以避免不必要的程序和成本。而且，把企业风险管理建入经营结构有助于管理部门识别并抓住扩大经营的新机遇。

由人实现

企业风险管理是由董事会、管理层及其他员工完成的。它是通过组织中的

人及其所做和所说而实现的。是人建立了实体的展望、使命、战略和目标，并适当地运用企业风险管理机制。

类似地，企业风险管理会影响到人的行为。企业风险管理认为，人们并不总是协调地互相理解、交流和办事。每一个人都会带来独特的背景和技术能力，并有着不同的需要和特权。

这些现实影响企业风险管理，同时也受其影响。每个人都有独特的参考观念，影响他们识别、评估风险并做出反应。企业风险管理提供了必要的机制，帮助人们根据实体目标的情况理解风险。人们必须了解自身的责任和权力的限制。相应地，在人们的职责和履行职责的方式之间，以及与实体的战略和目标之间，需要存在清晰而紧密的联系。

组织中的人包括董事会，及管理层和其他员工。尽管董事会主要是进行监管，他们也会指引方向并批准战略和特定的交易及政策。这样，董事会就是企业风险管理的一个重要元素。

应用于制订战略

实体设定使命或展望，并确立调整和支持其展望和使命的高层次战略性目标。实体确立战略的目的是实现战略性目标。实体还会设定所希望达到的相关目标，从战略深入到实体经营单元、分支机构和工序。

企业风险管理应用于制订战略，在制订时管理部门要考虑相对于备选战略的风险。例如，一项选择是并购其它公司以扩大市场份额。另一项选择则是削减采购成本以实现更高的毛收益率。每一项战略选择都会产生大量的风险。如果管理层选择第一项战略，就得进入新的且不熟悉的市场，竞争对手可能会在本公司现有市场中获得份额，或者该公司没有有效执行此项战略的能力。如果选择第二项战略，所产生的风险包括不得不使用新技术或供应商，或结成新的联盟。在这一层面就要应用企业风险管理技能来决定实体的战略。

应用于整个企业

要成功地应用企业风险管理，实体必须考虑整体活动范围。企业风险管理

要考虑组织所有层次上的活动，从企业层次的活动如战略规划和资源配置，到经营单元的活动如营销和人力资源，再到经营过程如生产和新顾客信用评估。企业风险管理还应用于特殊项目和新开发项目，这些项目可能在实体的组织结构或机构图示中还没有指定位置。

企业风险管理要求实体要有风险组合观。这可能牵涉到每一个经营单元、功能、程序或其它活动的管理负责人，为单元开展对风险的评估。该评估可能上定量的也可能上定性的。高层管理者对组织的每一个相继的层次有着组合的见解，就有责任判定实体的整体风险组合是否与其风险偏好相称。

管理部门是以实体层面的组合观点来考虑互相关联的风险。（管理部门）

需要识别关联风险并依其行动，以把全部风险控制在实体的风险偏好之内。实体中个别单元的风险可能在单元的风险承受能力之内，但加总起来可能会超过作为整体的实体的风险偏好。整体风险偏好在实体中顺次反映为特定目标确立的风险承受程度。

在形成组合观的时候，管理部门考虑的是潜在事件，而不仅仅是风险。通

过对事件的考虑，管理部门可以明白特定事件是如何具备抵消效果的。例如，利率下降会对实体的资本成本产生有利影响，但对赚取利息的资本会产生不利影响。

管理部门可以找出事件之间的相互关系所在，有助于对事件分门别类，便于考察相关风险和机遇。

风险偏好风险偏好是一个实体在追求价值的过程中所愿意接受的风险数量。实体总是定性地考虑

风险偏好，如分为高、中、低三级，或者可以采用定量的方法，反映并均衡增长、回报的目标及风险。

风险偏好是与实体的战略直接相关的。在战略设定时考虑，就是一项战略的预期回报应与实体的风险偏好相符。不同的战略将会使实体面临不同的风险。企业风险管理有助于管理部门选择与实体风险偏好一致的战略。

实体的风险偏好引导资源配置。管理部门在经营单元之间配置资源，要考虑实体的风险偏好，以及单个经营单元为实现投入资源预期回报的战略。管理部门在协调机构、员工和程序时，以及在设计有效应对和监控风险的必需的系统之各部分时，要考虑风险偏好。

提供合理保证

设计良好、有效运行的企业风险管理能够为管理部门和董事会提供关于实现实体目标的合理保证。作为有效的企业风险管理的结果，在本章后面也会提到，对实体的每一类目标，董事会和管理部门能获得如下合理保证：

z 他们能了解实体的战略性目标的完成程度；

z 他们能了解实体的经营性目标的完成程度；

z 实体的报告是可靠的；

z 适用的法律法规得到遵守。

合理保证反映了这样一个观念，即不确定性和风险是与没有人可以准确预测的将来相关联的。问题还可能是因为，人们在做决策时的判断是错误的；应对风险的决定和建立控制时需要考虑相关成本效益；出现毛病可能是由于人为失误，

比如一些简单的错误；两个或更多的人勾结起来规避控制；以及管理部门有不考虑企业风险管理决策的能力。这些问题使董事会和管理部门不可能有实现目标的绝对保证。

实现目标

在已确立使命或展望的情况下，管理部门建立战略性目标，选择战略，并在整个企业内顺次建立与战略一致和相连的目标。尽管许多目标使某一实体所特有的，但有些目标还是广泛适用的。例如，实际上对所有适用的目标有，在贸易团体及消费者群内获得并保持良好的声誉，向股东提供可以信赖的报告，以及遵守法律法规从事经营。

该框架从四个方面来看待实体目标：z 战略性——与高层次目标相关，与实体的使命一致并支持实体使命。z 经营性——与有效果且有效率地使用实体资源相关。z 报告性——与实体报告的可信赖度相关。z 遵从性——与实体遵守适用的法律法规相关。这种对实体目标的分类使得董事会和管理部门专注于企业风险管理的不同方面。这些相

互区别又有重叠的类别——一个特定目标可以归属于不止一个类别——提出了不同的实体需求，而且可能是不同高层人员所直接负责的。该法律还可以把所能期望的与目标的每一类别区分开来。

有些实体使用另一种目标类别，“资源保值”，有时称为“资产保值”。广义上来看，是关于防止实体资产或资源的减损，无论是因为偷盗、浪费、无效率或是经证明仅仅是由于错误的经营决策——比如以过低的价格销售产品，不能留住关键雇员或无法阻止（他人）冒用商标，或是产生为预期负债。这些主要是经营性目标，尽管保值的特定方面可以归属于其它类别。一旦应用到法律或法规的要求，就成为遵从性目标。另一方面，在实体的财务报告中正确地反映资产损失，就代表了报告性目标。当运用在公开报告中时，经常使用的是资产保值的较为狭窄的定义，即关于阻止或定期查明未经授权获得、使用或处置实体的资产。

企业风险管理可期望用来提供实现与报告的可靠性、遵守法律法规相关的目标的合理保证。实现那些类别的目标是处于实体的控制范围之内，并依赖于实体相关的执行效果如何。

然而，实现战略性目标，如获得特定生产份额，以及经营性目标，如成功

上马一条新生产线，并不总是在实体的控制中。尽管企业风险管理不能防止错误的判断或决策，或可能导致业务无法实现经营性目标的外在事件，它确实增加了管理部门做出更优决策的可能性。关于这些目标，企业风险管理能够合理地确保管理部门，及予以关注的董事会，能及时了解实体接近实现目标的程度。

企业风险管理的组成部分

企业风险管理由八个相互关联的部分组成，源于管理部门经营业务的方式，并与管理过程融合在一起。这些组成部分是：

内部环境——管理部门提出风险的研究并确立风险偏好。内部环境建立实

体人员如何看待风险和进行控制的基础。任何业务的核心是置于其中的人——他们的个体本性，包括诚信、道德观和能力，以及人们从事经营的环境。他们是驱动实体及基础的发动机，如何事情都依赖于该基础。

目标设定——目标必须在管理部门识别可能影响其实现的事件之前存在。

企业风险管理确保管理部门以适当的程序设定目标，并且所选定的目标支持并与实体的使命或展望一致，同时与实体的风险偏好相符。

事件识别——（管理部门）必须识别出可能会对实体产生影响的潜在事件。

事件识别包括识别原因——内在及外在的，这些因素会对潜在事件如何影响战略执行及目标实现产生作用。还包括区分代表风险的潜在事件，代表机遇的潜在事件，以及两者都代表的潜在事件。管理部门识别潜在事件之间的相互关系，并对其分类，是为了在实体内创造并加强一种普遍的风险意识，并形成以组合观来考虑风险的基础。

风险评估——对识别出的风险进行评估，是为了形成一个决定如何对其实施管理的基础。风险是与可能会受到影响的有关目标相关联的。风险是在内部及剩余的基础上进行评估，该评估同时会考虑到风险可能性及影响。一系列可能结果也许会和一项潜在事件相关，管理部门就需要把两者结合起来考虑。

风险反应——管理部门根据战略和目标选择一种方法或一套行为，使所评估的风险与实体的风险偏好一致。（管理）人员识别并评价对风险的可能反应，包括规避、接受、降低和分配风险。

控制活动——建立和执行政策及程序，是为了有助于确保管理部门选择的应对风险（方式）能得到有效实行。

信息和交流——通过以某种形式和时间结构识别、掌握并交流信息，可以使人们能够履行责任。在实体的所有层面都需要信息来识别、评估并应对风险。在更广泛的意义上也需要有效的交流在实体上上下下流动。人们需要接收关于作用和职责的明晰的交流。

监管——整个企业风险管理必须得到监管，而且要有必要的调整。这样，该系统可以充满活力，并在条件保证下转变。监管是通过持续的管理活动，分开的对企业风险管理过程的评价，或把两者结合起来，而实现的。

企业风险管理组成部分及其联系在图2.1 的模型中有所描绘。

企业风险管理是一个动态的过程。例如，风险评估驱动风险反应，影响控制活动，激起重新考虑信息和交流或实体监管活动的需求。这样，企业风险管理不是一个系列过程，即一个组成部分只会对下一个产生影响。而是一个多元化的相互作用的过程，即几乎任何组成部分都能够并将会影响另一个。

没有两个实体将会或应该以同样的方式应用企业风险管理。公司及其企业风险管理能力和需求，会因行业及规模、（企业）文化及管理哲学而有很大的不同。这样，尽管所有实体都需要每一个组成部分来维持对其活动的控制，某一公司对企业风险管理框架的应用——包括所采用的工具和技巧，以及企业风险管理的作用和职责的分配——与另一公司总会有很大的不同。

目标和组成部分之间的关系

在实体所努力达到的目标，与代表达到目标所需要的企业风险管理组成部分之间，有着直接的联系。这种关系可以用一个三维图形来描绘，如图2.1 中的立方体所示。

四个目标类别——战略性、经营性、报告性及遵从性——由纵栏表示，八个组成部分由横行表示，实体及其单元由模型的第三维表示。

每一组成部分“横穿”并适用于所有四个目标类别。例如，来源于内部和外部渠道的财务及非财务信息，这属于信息和交流部分，在战略制订、有效管理业务经营、有效报告和判定实体遵守适用法律中都有所需要。

类似地，从目标类别来看，所有八个组成部分与每一类别都相关。以经营效果及效率这一类别为例，所有八个组成部分对其实现都适用，并且重要。

企业风险管理与整体企业，或与单个经营单元相关。这一关系由第三维描述，表示子公司、分支机构和其它经营单元。这样就可以专注于模型中的任一

COSO企业风险管理整合框架附录部分中文版

P109 企业风险管理—整合框架和内部控制—整合框架之间的关系 1992年，COSO（反虚假财务报告委员会的赞助组织委员会）发布了《内部控制—整合框架》，该框架建立了内部控制结构，并提供评价工具，从而使企业和其他主体可以评估其控制系统。该框架定义了有效进行内部控制的五个相互关联的要素。内部控制—整合框架将内部控制定义为一个过程，该控制过程受到企业董事会、管理层和全体职工的影响，旨在提供合理保证，以实现下列目标： ?经营的效率和效果 ?财务报告的可靠性 ?法律法规的遵循性本附录概述了内部控制框架和企业风险管理框架之间的关系。对内部控制的拓展内部控制是企业风险管理的主要组成部分。相比较而言，企业风险管理的内容则更为深入，它扩展和详述了内部控制的范畴，这使企业风险管理成为了更加全面关注风险的更加健全的概念。由于企业主体和其他组织只关注自身的内部控制，从而使内部控制—整合框架仍然有重要的影响。目标分类内部控制—整合框架细分了三种目标—运营目标，财务报告目标和合规性目标。企业风险管理也细分了三种类似的目标类别—运作目标，报告目标和合规目标。在内部控制框架中，报告类别被认为与公布的财务报表的可靠性相关。在企业风险管理框架中，报表的范畴被明显的扩展，涉及了主体编制的所有在内部和外部使用的报表。包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。 P110 企业风险管理—整合框架增加了一个高层次的目标，即战略目标。战略目标来源于主体的规划，同时运营、报表和合规性的目标都要与之一致。企业风险管理被应用于战略制定以及其他三类目标的实现。企业风险管理框架还引入了风险偏好和风险承受能力的概念。风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量，它为战略制定及相关目标的实现提供了参考。在确定风险承受能力过程中，管理层需考虑相关目标的重要性，并将其与企业风险偏好相协调。在风险承受能力范围内经营有助于确保该主体能保持在它的风险偏好之内，进而确保该主体将会实现其目标风险组合观点风险组合未包含在内部控制框架之内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。组成部分在加强关注风险的同时，企业风险管理框架将内部控制的风险评估扩展为四个组成部分—目标设定（内部控制的先决条件）、事项识别、风险评估和风险应对。内部环境在论述环境组成方面，企业风险管理框架讨论了一种主体风险管理理念，即一整套共同的信念和态度。描述了主体如何考虑风险，反映了它的价值观，并影响其文化和经营风格。如上所述，此框架包含了风险偏好的概念，风险承受能力更加明确的印证了这一点。考虑到董事会的决定性作用及其构成，为了使企业风险管理更加有效，企业风险管理框架将

企业风险管理整合框架及其评价

企业风险管理整合框架及其评价在内部控制标准制定方面,美国发起人组织委员会(COSO) 一直是国际公认的权威机构,自其成立以来，一直致力于内部控制标准的制定，引导和代表着内部控制的发展趋势。1992年,COSO提岀了《内部控制——整合框架》,经过十多年的应用.已成为业界普遍认可的一个标准。2004 年9月,COSO又提岀了《企业风险管理一一整合框架》，它既是对《内部控制一一整合框架》的超越，也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。一、企业风险管理的性质(n ature)与定位这些年来.一系列财务失败事件的发生以及对企业风险管理的关注,使人们越来越清楚地认识到需要一个强有力的框架以便有效地识别、评估和控制风险。2001年,COSO开展了一个项目，委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的框架。但在开发这个框架期间,又发生了一系列令人瞩目的企业丑闻和失败事件,投资者、公司员工和其他利益相关者因此而遭受了巨大的损失。随之而来的便是对采用新的法律、法规和上市准则来加强公司治理和风险管理的呼吁。人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架。美国在2002 年颁布了《萨班斯-奥克斯利法案》,其他国家也已经通过或正在考虑类似的立法。这部法律扩充了长期持续的对公众公司保持内部控制制度的规定 , 要求管理当局证实、并由独立审计师鉴证这些制度。2004 年9 月,COSO 发布了《企业风险管理——整合框架》,它拓展了内部控制框架,更关注于企业风险管理这一更加宽泛的领域。按照COSO 的设想,他们不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一

企业风险管理架构(doc 143页)

企业风险管理架构(doc 143页) 部门： xxx 时间： xxx 整理范文，仅供参考，可下载自行编辑

企业风险管理——整合框架 2004年9月

目录内容摘要 (4) 1 定义 (10) 2 内部环境 (31) 3 目标设定 (44) 4 事项识别 (54) 5 风险评估 (65) 6 风险应对 (75) 7 控制活动 (84) 8 信息与沟通 (94) 9 监控 (106) 10 职能与责任 (118) 11 企业风险管理的局限 (132) 12 该做些什么 (138)

内容摘要企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。企业风险管理包括： ?协调风险容量（risk appetite）与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。 ?增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。 ?抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。 ?识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。 ?抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。 ?改善资本调配——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。事项——风险与机会事项可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响，或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中，以便制订计划去抓住机会。

《企业风险管理——整合框架》读书笔记-200119

《企业风险管理——整合框架》读书笔记广西博林企业会计服务有限公司36号李春玲曾今有人说过，在中国每10秒就有一家公司死掉，而这惨象在2018年底不断上演，中小企业大规模倒闭裁员，而各大名企也未放缓裁员的步伐，以此削减成本来渡过经济寒冬。在经济下行，人人自危的情况下，作为一个企业的掌舵人，详细的学习《企业风险管理——整合框架》一书尤其重要。以下读书笔记，是我在学习此书的感想和结合企业管理过程中所得：一、企业风险管理的意义在这样一个瞬息万变的时代，没有企业能一直躲在稳定的舒适区，失败和成功有时就是一念之差。 1、企业风险管理存在的问题与国外的企业相比，我国除了金融、保险等高风险行业十分重视风险管理外，其余大部分企业对风险管理都不够重视，风险管理还处于起步阶段。（1）分不清风险与内控的关系。在书中有明确写到，其实风险管理包含内部控制，风险是通过各要素在管理中做正确的事，内控是利用规章制度正确的做事。（2）主体人员不能正确地认识风险管理的重要性。其中包括风险管理部门的设置、流程、工作标准、权限设置模糊、风险预警机制和人员风险意识的培训等。（3）对风险片面理解。框架也强调风险有很多，通常我们会对投资风险、财务风险比较重视，而忽略了如：外部风险中的竞争对手、政治环境、法律环境等；内部风险中的产品、营销、人事等。 2、企业加强风险管理的必要性风险的本质是一种不确定性，这就意味着，风险既包含了闻风丧胆的危险，也包括了绝处逢生的机会。还记得曾经的乳制品行业巨头吗？在三聚氰胺事件后，三鹿集团连翻身的机会都没有，人们不会给一个没诚信没道德的企业任何的

生存环境。今年3月底，“碧生源上市9年亏损超4亿元总部大厦被变卖”的消息一出，其实大家并不是特别吃惊。有分析表明，碧生源的亏损是综合因素所致。最关键的原因是广告的夸大宣传，另外，随着消费者健康意识的加强，已经不太能继续忽悠消费者。诚信和道德价值观是一个主体内部环境的关键要素，影响其他要素的设计、管理和监控。一个企业风险发生之前，已经呈现亚健康状态，各个环节出现的问题没有得到应有的重视。企业风险管理使管理层能够识别、评估和管理面对不确定性的风险，它对于价值创造和保持而言有重要意义，可见懂得风险管理对企业来说多么重要。二、财会服务企业必须具备风险管理技能企业风险管理框架的要素包括8个：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督；内部控制框架包括5个要素：内部环境、风险评估、控制活动、信息与沟通、监督。内部控制是企业风险管理不可分割的一部分。我在阅读风险管理框架的时候，结合财会服务业风险管理进行了适当的理解和分析。 1、加强专业人才队伍建设内部环境，包括风险管理理念和风险容量、诚信和道德价值观，以及所处的经营环境。而人是企业的生命所在，因此团队建设培养要把好关，建立良好的氛围。财会服务业对财务管理工作人员的要求较普通企业更高，在聘请财务人员时，优先录取经验丰富的应聘者，毕竟丰富的财务风险管控经验是十分难得的。另外，要注重培训，有计划地加强进行风险管控的实战训练，以提高公司的风险防控能力。 2、准确地表述企业的目标目标设定是事件识别、风险评估和风险应对的前提，目标的实现又分为：战

新版COSO企业风险管理框架

新版COSO《企业风险管理框架》：有哪些变化？ 2016-12-15 6月24日，反虚假财务报告委员会下属发起组织委员会（COSO）发布《企业风险管理：风险与战略和绩效的协调》，以向公众征求意见，截止日期为2016年9月30日。1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新” 概念，但他们会发现新框架的关注点已截然不同，它所关注的是如何使企业风险管理（ERM）在组织机构真正行之有效。为什么要更新？对过去十年的回顾与总结自原始框架于2004年刊发以来，实施该框架的企业便面临各种问题，而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。当然框架的实施还面临其他挑战： ?企业风险管理的实施围往往并不面向整个组织机构，并且很少被运用到战略制定中。如此一来，COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点——“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。 ?COSO最初在编制框架时采用了类似于部控制框架所使用的立方体。虽然COSO对立方体右侧的容进行了修改，删除了有关活动和流程，改为侧重于围更广的实体和运营单位及分支机构，但许多企业依然试图在过于细微的层面实施该框架，例如运用于流程层面而非

战略制定。企业风险管理的实施活动也因此陷于细节的泥潭，令许多C级高管迅速失去兴趣。 ?许多组织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一种更佳的企业管理方式。在和运营单位的领导们打交道时，这种方法无疑是失败的，特别是在有关活动又由部审计部门主导的情况下。 ?2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式，企业风险管理的实施也因此受到影响。 ?最终，还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣，包括2008年的金融危机和2011年的日本海啸。简而言之，在COSO公布框架之初高管人员对它的关注度便有限，实施活动自那时起就参差不齐。鉴于上述原因，企业风险管理框架在早些年并未获得施展拳脚的机会。直至金融危机爆发，许多企业高管都并不知晓该框架抑或不确定应如何应对。然而，金融危机爆发后，有关问题和价值主便开始明朗起来。

coso企业风险管理整合框架

c o s o企业风险管理整合框架集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN]

公司治理·内部控制前沿译丛企业风险管理——整合框架（美）COSO 制定发布方红星王宏译大连制定发布机构简介 COSO是Treadway委员会（Treadway Commission，即反欺诈财务报告全国委员会（National Commission on Fraudulent Financial Reporting），通常根据其首任主席的姓名而称为Treadway委员会）的发起组织委员会（Committee of Sponsoring Organizations）的简称。Treadway委员会由美国注册会计师协会（AICPA）、美国会计学会（AAA）、国际财务经理协会（FEI）、内部审计师协会（IIA）和管理会计师协会（IMA）等5个组织于1985年发起成立。1987年，Treadway委员会发布一份报告，建议其发起组织共同协作，整合各种内部控制的概念和定义。1992年，COSO发布了着名的《内部控制——整合框架》（1994年作出局部修订），成为内部控制领域最为权威的文献之一。2003年7月，COSO发布了《企业风险管理——整合框架（征求意见稿）》，经过一年多的意见反馈、研究和修改，2004年9月发布了最终的文本。本书就是按照2004年9月正式发布的文本进行翻译的。译者简介

方红星，东北财经大学会计学院教授，博士，兼任东北财经大学出版社社长，编审，东北财经大学内部控制与风险管理研究中心研究员，三友会计研究所所长。主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。王宏，西南财经大学会计学院博士研究生，现就职于财政部会计司综合处，近年来主要致力于内部会计控制等方面的理论和政策研究。中文版前言在内部控制和风险管理的演进过程之中，COSO的突出贡献是举世公认的。它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》，已经成为世界通行的内部控制权威文献，被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。 2003年7月，COSO发布了《企业风险管理——整合框架》的征求意见稿，引起了广泛的关注，我国也有一些学者撰文介绍了相关的情况。诚然，企业风险管理整合框架并没有立即取代内部控制整合框架，但是它涵盖和拓展了后者。因此，对新的框架进行深入研究和探讨，具有十分重要的价值。2004年9月，正式的最终文本发布之后，由于着作权保护和其他方面的原因，在国内很难取得该框架最终定稿的版本。而许多学者继续按照征求意见稿来进行转述、介绍和研究，已经显得不合适了。为此，我们通过积极联络和多方努力，最终获得了正式授权，得以将这份重要的文献翻译成中文并在国内公开出版。长期以来，尤其是在2001年前后一系列令人瞩目的公司丑闻爆发之后，关于内部控制的研究和立法行动深受社会各界的重视和关注，我国也概莫能外。我国的有关部门在几年前就已经开始了制定企业内部会计控制规范的积极尝试。目前，关于研究和制定企业内部控制指

(精编)企业风险管理整合框架

(精编)企业风险管理整合框架第二章《企业风险管理——整合框架》基本理论一、《企业风险管理——整合框架》（简称ERM框架）的颁布 1992年COSO发布的《内部控制——整合框架》虽然被许多企业采用，但理论界和实务界纷纷提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。2001年，COSO委托普华永道开发一个对于管理层评价和改进他们所在组织的企业内部控制的简便易行的框架。在此期间出现了安然公司破产事件、美国国会2002年出台了《2002公众公司会计改革和投资者保护法案》（萨班斯——奥克斯利法案），该法案是继美国《1933年证券法》、《1934年证券交易法》以来又一部具有里程碑意义的法律，该法案强调了公司内部控制的重要性，从管理层、内部审计以及外部审计等几个层面对公司内部控制做了具体规定，并设置了问责机制和相应的惩罚措施，成为继20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚最严厉的公司法律。 2004年，Treadway 委员会下属的发起组织委员会(COSO)发布了《企业风险管理——整合框架》（ERM）①，该框架是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的，是内部控制整体框架的延伸和扩展，一经推出，就迅速得到了推广。这个框架的显著变化是将内部控制上升至全面风险管理的高度来认识。........................................... COSO发布《企业风险管理——整合框架》的目的与当初发布风险管理框架的目的相似，是由于实务界存在对统一的概念性指南的需要。COSO希望新框架能够成为组织董事会和管理者的一个有用工具，用来衡量组织的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理是否有效的一个标准。........................................... 二、企业风险管理的定义《企业风险管理——整合框架》（简称ERM框架）指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。........................................... 定如何应对及报告影响组织目标实现的机遇和威胁。 ①本人认为COSO发布的《企业风险管理——整合框架》，具有较强的理论可取性和实践可行性，不但涵盖了内部控制整体框架的全部内容，而且有了更多的创新，必将全面替代COSO发布的内部控制整合框架，所以本书按照COSO发布的《企业风险管理——整合框架》来阐述。

风险管理体系框架

风险控制体系第一部分：风险类别依照风险的内容和来源，根据《中央企业全面风险管理指引》将企业风险分为：1．战略风险 2．财务风险 3．市场风险 4．运营风险 5．法律风险结合我司现发展阶段，将公司风险控制系统主要划分为两大板块，即公司内部风险控制体系与公司业务风险控制体系。

? ?第二部分：内部控制体系的建立

一、战略风险控制（详见行业分析调研报告）二、财务风险控制（详见公司财务管理制度）三、运营风险控制（详见公司各项管理制度）（一）建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；（二）建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；（三）建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；（四）建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各部门、岗位、人员应负的责任和奖惩制度；（五）建立内控考核评价制度。适当考虑把各业务风险管理执行情况与绩效薪酬挂钩；四、法律风险

建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业法律顾问牵头、企业具体业务部分提供业务保障、全体员工共同参与的法律风险责任体系。对合同审批的内部控制（关键词“公司公章、合同章的管理”）公司应制定严格的合同审批程序，以防止随意签署合同。公司合同涉及到公司的法律责任、资金收付、税收支出等等，因此，必须严格执行完善的审批流程：此时的低效率有助于控制公司的风险、降低经办人员的责任。 1、对于常规合同，公司内部确定经领导、律师审核通过的标准文本；如果对方提出修改部分条款，需要走审批程序； 2、对于非常规合同，需要走经办人、经办部门经理、（财务总监）、法律顾问、总经理（乃至董事长）审批后，公司办公室、业务部门方可予以盖章。 3、主要审查：（1）合同主体；（2）业务的合法合规性；（3）交易价格是否公允、是否浮动、浮动的条款；（4）涉及到的全部税收计算；（5）相关约束商务条款是否合理；（6）权责利是否明确对等；（7）是否超过总经理、董事长、董事会的审批权限等等第二部分：业务控制体系的建立

COSO风险管理框架八大要素

风险管理框架 COSO风险管理框架把风险管理的要素分为八个：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。内部环境企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容，包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分，对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分，其职责是建立企业的风险管理理念、确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的行动计划结合起来。目标制定根据企业确定的任务或预期，管理者确定企业的战略目标，选择战略方案，确定相关的子目标并在企业内层层分解和落实，各子目标都应遵循企业的战略方案并与战略方案相联系。事项识别管理者意识到了不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分，管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技术等事项。风险评估风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险反应管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实

企业风险管理——整合框架

企业风险管理—— 整合框架内容摘要（简体中文翻译：中国东北财经大学方红星教授）

内容摘要企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。企业风险管理包括： ? 协调风险容量（risk appetite）①与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。 ? 增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。 ? 抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。 ? 识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。 ? 抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。 ? 改善资本调配——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。事项——风险与机会事项可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响，或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中，以便制订计划去抓住机会。 ①也有人将其翻译为“风险偏好”、“风险需求”、“风险承受能力”等——译者注。

企业风险管理框架

企业风险管理 ——整合框架

2004年9月

目录内容摘要 (4) 1 定义 (16) 2 内部环境 (78) 3 目标设定 (114) 4 事项识别 (141) 5 风险评估 (172) 6 风险应对 (199) 7 控制活动 (223) 8 信息与沟通 (251) 9 监控 (286) 10 职能与责任 (317) 11 企业风险管理的局限 (357) 12 该做些什么 (373)

对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。 ?识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。 ?抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。 ?改善资本调配——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。事项——风险与机会事项可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响，或者说代表机会。机会是一个事项将会发生并对目标——支

某某集团全面风险管理实施方案

关于印发《****集团公司全面风险管理体系建设实施方案》的通知各所属企业：现将《****集团公司全面风险管理体系建设实施方案》印发给你们，请结合本企业实际，认真贯彻落实。特此通知。附件：****集团公司全面风险管理体系建设实施方案二○一○年十月二十八日主题词：风险管理实施方案通知

附件: ****集团公司全面风险管理体系建设实施方案根据国务院国资委和****集团战略发展要求，集团公司决定从2010年7月至2012年12月开展全面风险管理体系建设项目，计划利用2～3年时间，最终建立****集团全面风险管理体系，进而提高集团公司及所属企业风险管理能力，促进企业科学、可持续发展。为更好的借鉴全面风险管理体系建设的经验，集团公司决定聘请咨询机构作为外部专家，指导集团公司及所属企业开展全面风险管理体系建设工作。考虑集团本部及所属企业管理模式和业务特点，坚持“总体规划、整体部署、重点突出、分步实施、逐层推进”的总体思路，走“先试点、后推广、再提高”的路线，分为两个阶段进行。一、全面风险管理项目启动、试点阶段（2010年7月～2011年12月）通过本阶段工作，集团本部及所属企业初步完成全面风险管理体系框架建设工作，为后期推广工作打下坚实基础；集团本部及试点企业全面风险管理体系建立并开始测试运转，重要领域的风险管理水平得到提升，并为第二阶段在非试点企业进行项目推广积累经验；同时风险管理信息系统的规划工作基本完成，为后期信息系统的实施打下基础。该阶段工作具体分为三个阶段：

（一）项目准备阶段（2010年07月～2010年10月）本阶段主要任务是成立领导小组和工作机构，开展调研，明确项目目标、制定项目总体方案，选定咨询机构，做好项目动员部署等其他准备工作。具体方案详见附件一。（二）项目启动阶段（2010年11月～2011年04月）本阶段主要任务：一是****集团本部及所属企业完成全面风险管理体系框架建设；二是做好风险信息收集、风险评估工作；三是确定风险管理内容和第一阶段风险管理重点项目，开展重大风险管控；四是明确试点企业，并制定各试点企业风险管理实施方案；五是2011年4月20日前完成2011年度****集团风险管理报告并报国务院国资委；六是抓好相关培训工作，为全面风险管理体系建设提供智力支持。具体工作方案详见附件二。（三）试点企业全面风险管理体系建设与实施阶段（2011年05月～2011年12月）本阶段主要任务是****集团本部及试点企业全面风险管理体系开始试运转、跟踪改进并持续提高。重点做好以下工作：一是抓好各试点企业1～2项重要风险管理项目的实施与改进工作，着力强化集团本部与试点企业重要领域风险的管理；二是各试点企业年底完成风险管理报告，并总结全面风险管理建设的经验与不足；三是编制年度全面风险管理报告，制定****集团风险管理手册；

企业风险管理框架

企业风险管理框架目标和组成部分之间的关系在实体所努力达到的目标，与代表达到目标所需要的企业风险管理组成部分之间，有着直接的联系。这种关系可以用一个三维图形来描绘，如图2.1中的立方体所示。个目标类别一战略性、经营性、报告性及遵从性—一由纵栏表示，八个组成部分由横行表示，实体及其单元由模型的第三维表示。每一组成部分“横穿”并适用于所有四个目标类别。倒如，来源于内部和外部渠道的财务及非财务信息，这属于信息和交流部分，在战略制订、有效管理业务经营、有效报告和判定实体遵守适用法律中都有所需要。类似地，从目标类别来看，所有几个组成部分与每一类别都相关。以经营效果及效率这一类别为例，所有八个组成部分对其实现都适用，并且重要。企业风险管理与整体企业，或与单个经营单元相关。这一关系由第三维描述，表示子公司、分支机构和其它经营单元。这样就可以专注于模型中的任一部分。比如，要考虑顶部右边后面的部分，它代表与特定子公司的遵从目标相关联的内部环境。应该认识到，四栏代表的是企业目标的类别，而不是实体的部分或单元。这样，在考虑比如说与报告相关的目标类别时，需要了解关于实体经营的

广泛信息，但如果是那样的话，要注意的是模型的右中栏——报告性目标——而不是经营性目标一栏。图2.2扩展了立方体组成部分行，以显示每一组成部分的关键要素，以及哪些组成部分代表一个过程流。尽管企业风险管理框架与所有实体相关且适用，管理部门应用企业风险管理的方式却随着实体性质和许多实体特有因素而有很大的不同。这些因素包括实体的经营模式，大体风险，所有权结构，经营环境，规模，复杂性，行业和监管程度，以及其它。当考虑到实体的特有情形，管理部门进行一系列的选择，都要顾及到被展开来应用企业风险管理框架组成部分的过程和方法的复杂性。管理部门可能会在某些经营单元或程序或企业风险管理组成部分中选用复杂的方法和技巧，而在其它地方决定运用更基本的方法。有效性尽管企业风险管理是一个过程，其有效性是在某一时点上的状态或情形。判定企业风险管理是否“有效”是一种主断言，取决于评估八个组成部分是否存在及真正发挥作用。要被认定为有效，所有八个组成部分都必须存在且发挥作用。然而，这并不意味着在不同实体中，每一个组成部分都应该发挥同样的作用，或者甚至在同一水平，各组成部分之间可能会存在协调。因为企业风险管理技巧能服务于各种各样的目标，相对于一

企业风险管理架构(doc 143页)

企业风险管理——整合框架 2004年9月

内部控制框架的新发展_企业风险管理框架_COSO委员会新报告_企业风险管理框架_

内部控制框架的新发展———企业风险管理框架 ———COSO委员会新报告《企业风险管理框架》简介朱荣恩贺　欣 (上海财经大学会计学院　200083　中南财经政法大学会计学院　430060) 【摘要】　2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿,并将于2004年4月颁布正式稿。该讨论稿是在1992年COSO委员会颁布的内部控制框架基础上,吸收各方风险管理研究成果基础上提出的,本文将主要讨论其与内部控制框架的区别及其主要内容。【关键词】　风险管理框架　内部控制框架　风险管理　内部控制一、企业风险管理框架与内部控制框架的联系与区别自1992年美国COSO委员会发布《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合①。新的企业风险管理框架就是在1992年的研究成果———《内部控制框架》报告的基础上,结合《萨班斯—奥克斯法案》(Sarbanes-Oxley Act)在报告方面的要求,进行扩展研究得到的。普华永道的项目参与者认为,新报告中有60%的内容得益于COSO1992年报告所做的工作。但由于风险是一个比内部控制更为广泛的概念,因此,新框架中的许多讨论比92年报告的讨论要更为全面、更为深刻。此外,COSO在其风险管理框架讨论稿中也说明,风险管理框架建立在内部控制框架的基础上,内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。概括地看,相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、 “战略目标”、 “风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门———风险管理部。新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在: 11提出一个新的观念———风险组合观(An En2 tity-level Portfolio View of Risk) 企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。 21增加一类目标———战略目标,并扩大了报告目标的范畴内部控制框架将企业的目标分为经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。此外,企业风险管理框架比内部控制框架增加了 11 ①如Stephen J.Root,Beyond COSO Internal Control to Enhance Corporate G overnance(1998);KMPG,Internal Control:a Practice Guide(1999);PricewaterhouseCoopers,Operational Risk Management: The Next Frontier(2001)等

2-1 COSO企业风险管理整体框架(中文版)

最新COSO企业风险管理框架资料

COSO企业风险管理整合框架附录部分中文版

企业风险管理整合框架及其评价

企业风险管理架构(doc 143页)

《企业风险管理——整合框架》读书笔记-200119

新版COSO企业风险管理框架

coso企业风险管理整合框架

(精编)企业风险管理整合框架

风险管理体系框架

COSO风险管理框架八大要素

企业风险管理——整合框架

企业风险管理框架

某某集团全面风险管理实施方案

企业风险管理框架

企业风险管理架构(doc 143页)

内部控制框架的新发展_企业风险管理框架_COSO委员会新报告_企业风险管理框架_

相关文档

最新文档