coso企业风险管理框架的内容及启示

《coso企业风险管理框架的内容及启示》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

COSO企业风险管理框架的内容及启示摘要：曾记否---10年前COSO委员会因发表的COSO报告而引起的轰动。今年7月，COSO委员会又发表了《企业风险管理框架》（征求意见稿），框架详细解释了企业风险管理中的重要组成部分和概念，也指明了企业风险管理和内部控制的内在关系。它代表了国际社会在企业风险管理方面理论的最新成果和趋势。作者预感到该文件的发表必将会对会计、审计、内部控制等领域的理论和实务产生重大影响。本文就COSO-企业风险管理框架的八大要素、四大目标及其意义和作用作一简要的介绍，并提出它对做好企业风险管理的启示。关键词：企业风险管理框架定义和要素意义和作用启示ERMFRAMEWORKANTITSSUGGESTIONSummary:DoyoustillrememberthesignificancecausedbytheCOSOCommittee’spublicationofTheCOSOReporttenyearsago?TheCOSOCommitteehaspublishedERMFramework(draft)thisJuly,whichinterpretimportantcomponentsandconcept,atthesametimedesignatetheinherentrelationbetweenERMandinternalcontrol.ERMframeworkrepresentsthenewestachievementandtrendinthefieldoftheworld’sERMTheory.TheauthoranticipatesthatthepublicationofthisdraftwillinfluencethetheoriesandpracticeinthefieldsofAccountant,Audit,InternalControlandsoon.ThispapergivesabriefintroductiontotheeightandthefouraimsoftheERMFramework,anditssignificanceandfunction,andalsomakessomerevelationaboutERM.Keywords:ERMframework,definitionandcomponents,significanceandfunction,revelation我们研究企业经营问题就不能不研究风险，研究风险又不能不涉及内部控制，而说内部控制就不能不讲C0SO。1985年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）及管理会计师协会（IMA）等多个专业团体共同发起成立了“反虚假财务报告委员会”。该委员会所探讨的问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。基于该委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会----COSO委员会CommitteeOfSponsoringOrganizationsOfTheTreadwayCommission。1992年，COSO委员会发表了题为《内部控制——整体框架》的研究报告，这就是著名的COSO报告。最近，COSO委员会又发表了《企业风险管理框架》的报告。在COSO报告发表10年后的今天，COSO委员会发表《企业风险管理框架》（EnterpriseRiskManagementFramework简称COSO-ERM），它代表了国际社会在企业风险管理方面理论的最新成果和趋势。COSO-ERM的发表必将会对会计、审计、内部控制等领域的理论和实务产生重大影响。这不能不引起我们的高度重视。8 一、企业风险管理框架的定义和要素（一）企业风险管理的定义COSO委员会认为：企业风险管理是一个过程，受组织的董事会、管理层和其他人员影响，风险管理应用于战略制定，贯穿整个企业。企业风险管理旨在识别影响组织的潜在事件，在组织的风险偏好范围内管理风险，为组织目标的实现提供合理的保证。COSO委员会对企业风险管理的上述定义反映了一些基本概念：首先，企业风险管理（以下简称ERM）是一个过程——它是通向目的的手段，而不是目的本身；第二，这个过程受到人的影响——它不仅仅只是政策、调查和表格，还涉及整个组织各个层级的人；第三，ERM应用于组织的战略制定；第四，它贯穿整个企业的所有层次和单位，包括采用企业层次的风险组合观点；第五，ERM旨在识别影响组织的事件并在组织的风险偏好（riskappetite）范围内管理风险；第六，ERM为组织的管理层和董事会提供合理保证，它有一定的局限性；第七，ERM从一个或多个分开但搭接的方面进行协调来实现目标。COSO-ERM的定义很宽泛，涉及企业的方方面面。它抓住一些公司或其他组织管理风险的重要概念，因此可以运用于不同类型的组织、不同行业和不同部门。它直接针对组织目标的实现，而且，这个概念还是衡量企业风险管理有效性的基础。（二）ERM的要素和目标COSO委员会认为：ERM由八大的要素和四大目标组成。ERM的八大要素为：内部环境、目标设定、风险识别、风险评估、风险应对、控制措施、信息与沟通、监控。这些组成要素互相关联辅助企业管理方式，并和其他管理流程有机整合。这八个要素是评价ERM是否有效的标准。ERM的四大目标为：战略目标——和高层目标相关，和组织使命相一致并支持它；运作目标——和有效、高效运用组织资源有关；报告目标——和组织报告可靠性有关；合规目标——和组织遵循相关法律法规有关。这个组织目标分类允许董事会和管理层对ERM的不同方面分开处理。这种确定又互相重叠的分类，一个目标可能同时分入不同类别——满足不同组织的需要，可能也是不同主管的直接责任范围。这种分类也有助于分别对各个类别目标的期望。1、内部环境（InternalEnvironment）8 内部环境是公司管理层树立的风险观、建立的风险偏好及承受力。内部环境建立了组织中各级人员如何识别和看待风险的基础。组织的核心是他们所拥有的员工----他们的个人的品质，包括诚实、价值观和能力和他们运作的环境。他们是驱动组织运行的动力和所有事物的支撑。2、目标设定（ObjectiveSetting）目标设定是指管理层必须基于目标来识别成功的潜在因素。ERM确保管理层有一个程序来设定目标、选择支持和连接组织使命/远景的目标并保证和组织风险偏好相一致。3、风险识别（EventIdentification）即识别对组织目标实现产生影响的潜在风险。风险识别包括内部和外部的反映潜在因素怎样影响战略执行和目标业绩的要素。这也包括区别哪些是风险、哪些是机会以及风险和机会并存的事项。管理层识别潜在事项的相关性并把这些事项加以分类，目的在于建立并强化贯穿组织的风险语言、形成以组合的观点来考虑各种事项的基本方法论。4、风险评估（RiskAssessment）评估识别出来的风险是为了管理风险打基础。风险与一系列目标相关联。风险评估包括固有风险和剩余风险，风险评估包括评估风险的可能性和重要性。某事项会有各种可能的结果，管理层需要同时考虑这些可能的结果。5、风险反应（RiskResponse）在公司战略和目标的指引下，管理层根据风险偏好和承受力来选择方法考虑如何应对风险，包括避免、接受、减轻和分担风险。6、控制措施（ControlActivities）建立和执行政策和程序，以保证管理层所选择的风险反应行动的有效执行。7、信息和沟通（Informationandcommunication）在组织内部的相关信息的识别、获取和沟通能够帮助员工履行他们的职责。在组织的任何一个层次都需要信息来识别、评估风险并对风险采取行动。组织在开放思维下的纵向、横向的信息交流能够形成有效的沟通。组织的员工需要明确的沟通来辨别自己的角色和承担的责任。8、监督（Monitoring）整个组织的风险管理程序必须受到监督并能得到必要修正。在这种情况下，整个系统才能在条件满足的同时得到动态校正和改变。监督是通过正在执行的管理活动、个体组织风险管理程序或者两者的结合来实现的。8 上述ERM的八大要素是相互联系的，例如：风险评估驱动风险反应、控制活动或者重新考虑信息和沟通需求的必要性及监控。然而，组织风险管理不是线性的连续过程，它是一个多方向、反复的过程，在这个过程中大多数风险组成要素会或者将会影响另外的部分。（三）ERM要素与组织目标和层次的关系组织的目标、层次和风险管理各要素之间有一定的直接关系。这个关系可以用一个三维矩阵来表示：第一维度是风险管理八要素；第二维度是组织层次----企业层次、子公司、业务单位、分支机构；第三维度是组织目标-----战略、运作、财务报告准确性、法规遵循性。每一个风险管理要素所在的行都与四类目标相交叉。同样的，所有分类目标都和八个要素中每一个相关联。ERM是和整个组织或者组织中的某个经济单元都是相关联的。因此，每一部分都能与矩阵的任一部分相联系。ERM是否有效需要看八个要素是否存在以及是否起作用。当这八个要素都存在并且起作用时，ERM是有效的。然而，这并不意味着每个要素应该等同地作用，或在同一水平上应用。在不同的组织中，各种平衡关系会存在于各个要素之间。因为ERM技巧可以服务于不同的目的，所以应用于一个要素的相关技巧可以为通常显示于其它要素中的目的而服务。另外，风险管理各要素可以随风险的程度的变化而变化。值得一提的是没有两个组织能或者愿意采用同一种方法进行风险管理。组织和它们的风险管理能力和需求依据它们的业务类型、规模大小、文化和管理哲学各不相同。因此，当组织需要利用风险管理各要素来进行控制时，对工具、技术、风险管理的责任组成的风险管理应用框架通常不同于其他组织。二、企业风险管理框架的意义和作用ERM由一系列策略框架组成并且贯穿于企业的经济业务活动。它使管理层能够识别、评估和管理那些表面上看无法确定的风险，以此来支持价值的创造和维持。ERM使企业能结合风险偏好和策略，联系风险和企业的成长与回报，加强了应对风险能力，减少了经营中的意外和损失的发生，识别和管理贯穿整个企业的风险，面对多重风险提供综合应对方法，帮助企业抓住机会，并且能使企业的资金得到合理的安排。没有一个企业是在没有风险的环境下经营的，而ERM也不能在没有风险的环境下产生。ERM能使管理层在充满风险的环境下更有效的经营。1、使风险偏好与制定的策略一致风险偏好（riskappetite）是指公司或是其他的组织追求目标时在普遍情况下都愿意接受的风险程度。管理层首先考虑组织的风险偏好是在评价所选择的策略时，然后是在制定与所选策略一致的目标时，接着是在为了管理相关的风险而开发系统时。比如，一个公司的品牌价值需要保持较低的风险偏好。相应的，为了保护它的品牌，公司持有大量的协议以确定其产品的安全并且相应的投资大量的资源在早期的研发阶段，以支持品牌价值的创造。8 2、提供与回报目标相关的风险水平组织可接受的风险作为价值的创造和维持的一个部分，并且他们希望有与承担的风险相应的回报。ERM提供了识别和评估风险，建立与成长和回报目标相关的可接受的风险水平。比如，一个保险公司的策略计划管理带来的是所有商业个体的成长性和回报计划。识别和加以考虑所得到的风险，选择反馈信息、根据每个商业个体和整个公司的目标调整商业单位的计划，分配资金。3、增强应对风险决策能力ERM提供了严格的程序在多种风险应对措施中识别和选择――避免风险、减少、分担还是接受。比如，一个公司对使用公司拥有和经营的汽车管理中接受那些固有的风险诸如汽车损坏和人员受伤害的成本。可选择的方式有通过有效的招募和培训司机以减小风险，通过外部承运以避免风险，利用保险转嫁风险或是仅仅去接受风险。ERM提供了方法和技术为做类似的决定。4、减少经营中的意外和损失组织增强了识别潜在事件、评估风险和建立反应机制的能力，这就能减少意外事件的发生和相关的成本和损失。比方说，一个制造公司跟踪产品部件和设备的废品率和对平均值的偏离程度。这个公司采用多重标准评价废品率的影响，包括修理的时间、不能满足客户要求、雇员的安全性和安排与无安排的修理的成本，和反馈通过建立有序的维护时间表。5、利于识别和管理贯穿整个企业的风险每一个组织都面对无数影响该组织不同方面的风险。管理层不仅仅要管理单个的风险，而且还要了解他们之间相互的影响。比如，一个银行面对各种不同的风险，这些风险贯穿于整个企业的经济业务活动中，管理层开发了一个信息处理系统用以分析从其他内部系统中产生的交易和市场数据并结合相关的外部信息，提供一个贯穿所有经济活动的风险总概。这种信息系统还能按部门、客户或是竞争对手、交易商与交易量、按建立的分类确定与风险可容忍度相关的风险量。这种信息系统使银行能把曾经分离的数据信息相联，使用这些汇总的信息去更有效的应对风险或是根据既定的目标。6、对于多种风险提供综合的应对方法商业过程本身就有很多固有风险，ERM对管理这些风险提出综合的解决方法。比如，一个批发分销商面对的风险有供应过量或不足、稀少的供货源和不必要的高买价。管理层识别和评估在前文所提及的公司策略中风险，目标和多种的对应，并且开发了一个存货控制系统。这个系统与供应商达成联盟，共享销售和存货信息，形成战略合作伙伴，并且通过签订长期的供货合同和采用有利的价格，避免了存货短缺和不必要的运输成本。供应商变成有责任去补充存货，从而节约了更多的成本。8 7、帮助企业抓住机会通过考虑所有范围内的潜在事件，而不仅仅是风险，管理层了解了具体事件是如何带来机会的。比如，一个食品公司考虑到潜在事件将可能影响到持续的收入成长目标。在估计了该事件后，管理层意识到公司的主要客户群在逐步增强健康意识并在改变他们的饮食偏好，这表明公司目前的产品在今后将会呈现需求的下降趋势。在决定风险应对时，管理层决定通过利用目前的能力去开发新的产品，使公司不仅能维持从现有客户赚取收入，而且还能够从争取更广泛的客户基础得到额外的收益。8、使资金的使用合理化风险信息越充分，管理层就能更有效的评估所有资金的需求，提高资金的分配。比如，一个金融机构接到新的规定通知增加资本需要量除非管理层以更细致的方式计算信贷和经营风险水平和与之相关的资本需要量。该公司根据系统开发成本与额外筹集资本成本作比较来评估风险，按照通知做出了决定以应对风险。用现存的容易更改的软件，银行开发了一种更准确的计算方法，避免了需要额外的筹集资金。ERM帮助组织实现所要完成的行为和利益目标，并且阻止了资源的损失。它帮助组织确保到有效的报告。并且帮助组织确保遵循法规，避免出现声誉上的损失和其他后果。总而言之，它帮助一个组织沿着既定的道路达到目标，并且避免可能遇到的失误和意外。三、企业风险管理框架给我们的启示从上述COSO-ERM定义、要素、作用的讨论中，我们可得到如下启示：1、风险与机会并存有很多外部事件或内部事件可能影响战略的制定和目标的实现。事件可能是积极的，也可能是消极的，或者同时包含积极面和消极面。具有消极后果的事件构成风险。因此，风险就是对目标实现造成不利影响事件发生的可能性。有积极影响的事件可能会抵消消极影响，这些事件构成机会。管理层在战略或目标制定过程中不仅要考虑到风险，也要考虑到机会，这样在以后的行动中就能抓住机会。管理层在制定战略，实现目标中通过考虑潜在事件的可能后果来评估风险。2、将ERM镶嵌在组织运营中ERM本身并不是一种结果，而是作为一种实现目标的重要方法。它也不是在组织里单独的实施，而是作为一个管理程序的助手，渗透到企业各个作业中的一系列行动。这些行动在日常企业管理中广泛分布并且镶在其中。ERM通过提供存在的重大风险信息和如何去管理风险的信息给董事会使之与经营管理相关联。它通过提供风险调整方法与执行管理和内部控制相关联，而内部控制也作为ERM的一个组成部分。8 不要认为ERM是附加在组织作业上的东西，或者看成额外的负担。同时也并不等于表示ERM不需要付出额外的努力就能完成。比如，对于信用风险和汇率风险，就需要开发模型并进行必要的分析和计算。但是，这些ERM机制和企业的运营作业交织在一起，并且从商业角度非常有理由存在。当这些机制融入组织的基本架构，并且成为企业的有机组成部分时，ERM最为有效。通过将ERM镶嵌在组织运营中，一个组织能直接影响其战略执行和憧憬或使命的实现。在现有运营中嵌镶ERM对成本控制也有重要意义，特别是现在很多公司面临激烈竞争的市场环境。在现有流程中额外添加一个程序会增加多余开支，而通过在现有运营作业中嵌镶ERM可以减少不必要的流程和成本。此外，把ERM镶嵌在运营过程中的实践也有助于管理层在企业成长过程中识别新的机会。3、始终重视人的因素ERM受董事会、管理层和其他人员影响。它的实现依赖这个组织成员，依赖于他们的行动。ERM应该成为企业文化的重要组成部分，并建设一个良好的ERM的内部环境。组织成员制定组织的憧憬、战略、目标和任务，并让ERM发挥作用。同样的，ERM也影响人的行动。每个人都有独特背景和技能，有不同需要和偏好。每个人都有各自视点影响了它们识别、评估风险和风险反应方式。ERM为人们从组织目标角度理解风险提供一个机制。人们必须知道自己的责任和权力的限制范围。因此，在责任和执行方式以及组织的战略和目标之间必须有清晰和紧密的联系。组织的人包括董事会、管理层和其他员工。虽然董事会主要是提供监督，但是也提供指导以及批准战略、一些特殊交易和政策。董事会是ERM一个重要因素。4、ERM应用于战略制定组织设定自己的憧憬和使命，制定与之一致的战略目标。组织还设定一些准备实现的其他目标，从战略出发，层层分解到各个单位、部门和流程。ERM应用于战略制定，表现在管理层考虑该战略相对于替代战略的风险。比如，替代战略可能是收购其他公司扩大市场份额，另外一个战略可能是削减采购成本来提高边际利润率。每个战略都有一些风险。如果管理层选择了第一个战略，可能就需要进入一个新的不太熟悉的市场，竞争对手可能乘机抢夺公司现有市场的市场份额，或者公司可能缺乏足够资源来有效执行这个战略。如果是第二个战略，风险包括使用新的技术，寻找新供应商或者建立新联盟。ERM技术在制定组织战略时应用于这一层面。5、学会运用风险组合观点要想实行ERM，组织必须考虑全局，要各个层面的业务都考虑，从企业层面的活动如战略计划和资源配置，到下一层活动如营销和人力资源，到商业流程如生产和新客户信用审查。ERM也必须运用到一些特殊项目。这些可能在组织的层次或组织结构图中并不显示出来。ERM要求组织采用风险组合的观点看问题。这可能就需要各个部门经理通力合作来对单位进行风险评估，包括业务部门、职能部门、流程和其他作业的经理。风险评估可以是定性的也可以是定量的。总览组织各个层面以后，高层管理就可以对本组织的全部风险组合和风险偏好是否匹配心里有数。8 管理层必须从组织层面的组合观点来看待相互交错的风险。必须识别这些相互关联的风险，并采取行动使之控制在组织风险偏好范围内。单个部门的风险可能在部门的风险容忍范围内，但是合起来可能就超过整个组织的风险偏好。组织的风险偏好通过和各个具体目标相对应的风险容忍度来层层分解下去。在采用组合观点时，管理层不应该只看到风险，还要考虑潜在事件。管理层通过考虑事件，可以对一些事件的抵消效应有所了解。比如，利率下降可能对组织的资本成本有利，但是对利息收入不利。当事件互相关联时，把事件进行分类有好处，可以促进思考相关的风险和机会。8