COSO企業(yè)內(nèi)控風險管理模式

1、COSO企業(yè)內(nèi)控風險管理模式張玉翻譯 前言10年前，COSO發(fā)布了內(nèi)部控制一整合框架來幫助企業(yè)界和其他實體評價和加強他們的內(nèi)部控制 制度。從那時起該框架被結(jié)合并入成千上萬企業(yè)的政策、規(guī)則和規(guī)定，并被企業(yè)用于更好地控制他們的活 動，朝著實現(xiàn)既定目標的方向前進。近年來，關(guān)注的重點和焦點是風險管理，人們越來越清楚地認識到健全的框架對于有效地識別、評價 和管理風險是很有必要。在 2001年，COSO提議了一個項目，并聘用普華永道會計事務所開發(fā)能方便管理 部門用于評價和改進本組織企業(yè)風險管理的框架。框架開發(fā)的整個期間出現(xiàn)了一系列具有高度標志性的企業(yè)丑聞和失敗案例，使投資者、公司人員和其 他利益相關(guān)者蒙受

2、了巨大損失。災難的后果是要求用新的法律法規(guī)和上市標準來加強公司治理和風險管理。 人們越來越多地認識到提供關(guān)鍵的原則和概念，共同語言和明確方向與指南的企業(yè)風險管理框架的必要性。COSO認為，企業(yè)風險管理-一體化框架填補了這種需要，并希望該框架能被公司、其他組織和所有的利益相關(guān)者及團體廣泛接受。在美國的發(fā)展結(jié)果是出臺了2002年的薩班斯-奧克斯利法案，其他國家也頒布了或正在考慮類似 的立法。這類法律擴展了對公營公司維護內(nèi)部控制制度的長期有效要求，要求管理層予以證實和獨立審計 師測試這些制度有效性。持續(xù)要求測試時間的內(nèi)部控制-整合框架適用于滿足報告要求的更廣泛的公認標準。企業(yè)風險管理-整合框架擴展了

3、內(nèi)部控制，提供了一種更健全的和廣泛的焦點在企業(yè)風險管理更 寬廣的題目。它的目的不是取代內(nèi)部控制框架，而是將內(nèi)部控制框架合并在一起，公司可以決定審查企業(yè) 風險管理框架，以滿足內(nèi)部控制的需要和朝著更完備風險管理過程發(fā)展。管理層所面臨的最嚴峻挑戰(zhàn)是決定本實體準備接受多大的風險，因為風險也可以經(jīng)過奮斗而創(chuàng)造價值。本報告將更好地鼓勵企業(yè)迎接這種挑戰(zhàn)。執(zhí)行總結(jié)企業(yè)風險管理的根本前提是每一實體存在的目的是為其利益相關(guān)者提供價值。所有的實體都面臨不確 定性，對管理層的挑戰(zhàn)是確定能接受多大的不確定性，因為不確定性也可以促進增加利益相關(guān)者的價值。 不確定性同時體現(xiàn)為風險機會，具有流失或增加價值的潛力。企業(yè)風險管理

4、鼓勵管理層有效地處理不確定 性和相關(guān)的風險和機會，增強創(chuàng)造價值的能力。當管理層制定的戰(zhàn)略目標能力求達到增長和利潤目標與相關(guān)風險之間的最佳平衡，并在追求本實體目 標的過程中有效地調(diào)度資源時，價值能達到最大化。企業(yè)風險管理包括： 連成一線的風險偏好與戰(zhàn)略-管理層考慮本實體的風險偏好，在評估戰(zhàn)略可選擇方案時，制定相 關(guān)目標，開發(fā)管理相關(guān)風險的機制。 增強風險反饋決策-企業(yè)風險管理提供了森嚴的識別和挑選可選擇的風險反饋-即風險回避、降低、分攤和接受的制度。 減少經(jīng)營意外事故和損失-各實體應獲得增強的能力來識別潛在事件和建立反饋，減少意外事故和相關(guān)成本或損失。 識別和管理多樣化的和交叉的企業(yè)風險-每一企

5、業(yè)都將面臨影響本組織不同方面的無數(shù)風險因素，企業(yè)風險管理能促進對相互關(guān)聯(lián)的影響做出有效反應，對多樣化的風險做出綜合的反應。 抓住機會-通過全面考慮潛在的事件，管理層被定位于識別和正面積極地抓住機會。 改進資本配置-獲得健全的風險信息，允許管理層有效地評估總體資本需要，增強資本分配。這些企業(yè)風險管理中內(nèi)在的能力有助于管理層實現(xiàn)本實體的績效和盈利能力目標，防止資源損失。企 業(yè)風險管理有助于保證有效的報告和遵守法律法規(guī)，避免本實體的聲譽受到損害和相關(guān)的后果?？傊?業(yè)風險管理有助于一個實體達到它想要實現(xiàn)的目標，避免前進過程中的陷阱和意外事故。事件-風險與機會事件可以有負面影響、正面影響，或二者兼而

6、有之。負面影響的事件表現(xiàn)為能阻礙價值創(chuàng)造或侵蝕現(xiàn) 存價值的風險。正面影響的事件可以抵消負面影響或體現(xiàn)為機會。機會是一個事件將發(fā)生并積極影響目標 實現(xiàn)、支持價值創(chuàng)造或保護價值的可能性。管理層將機會引導向其戰(zhàn)略或目標制定過程，制定抓住機會的 計劃。規(guī)定了企業(yè)風險管理企業(yè)風險管理處理影響價值創(chuàng)造或保值的風險和機會。其定義如下：“企業(yè)風險管理是一個過程，受到一個實體的董事會、管理層和其他人員的影響，適用于戰(zhàn)略制定和 在整個企業(yè)設計識別可能影響本實體的潛在事件，在風險偏好范圍內(nèi)管理風險，提供與實現(xiàn)實體目標有關(guān) 的合理保證?！痹摱x反映出一些基本的概念。企業(yè)風險管理是： 一個過程，持續(xù)并貫穿一個實體； 受

7、到一個組織每一層級人員的影響； 適用于戰(zhàn)略制定； 適用于整個企業(yè)每一層次和單位，包括所采納的實體總體層次風險業(yè)務責任觀點； 設計識別可能影響本實體的潛在事件，如果它們發(fā)生的話，在風險偏好范圍內(nèi)管理風險， 能夠為一個實體的管理層和董事會提供合理保證； 在一個或更多獨立的但重疊的分類中加速目標的實現(xiàn)。該定義的目標廣闊。它抓住公司和其他組織如何管理風險的關(guān)鍵基本概念，為整個組織、行業(yè)和部門 提供適用的依據(jù)。它把焦點直接放在實現(xiàn)由某一方面特定實體制定的目標，為定義企業(yè)風險管理的效果提 供依據(jù)。目標的實現(xiàn)在實體既定使命和遠景規(guī)劃的條件下，管理層確定戰(zhàn)略目標，選擇戰(zhàn)略和制定將整個企業(yè)連接成一線 的目標。這

8、種加速實現(xiàn)實體目標的企業(yè)風險管理框架，可陳述為四類： 戰(zhàn)略-高層目標，連接和支持其使命； 經(jīng)營-有效率和效果地使用其資源； 報告-報告的可靠性; 合規(guī)-遵守適用的法律法規(guī)。這種實體目標的分類準許把重點放在企業(yè)風險管理的各別方面。這些性質(zhì)截然不同但重疊的分類-某一特別的目標可以分成幾個分類，強調(diào)不同的實體需要并可能對不同的執(zhí)行部門負直接責任。這種分類 同樣準許從每一目標分類之間區(qū)別可以預期的結(jié)果。同樣也描述了一些實體使用的保護資源的另一分類。因為與報告可靠性和遵守法律法規(guī)相關(guān)的目標在實體的控制范圍內(nèi)，企業(yè)風險管理可以預期為實現(xiàn)這 些目標提供合理的保證。然而戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)易遭受實體控制范

9、圍之外的外部事件的影響，因 此，企業(yè)風險管理可以提供合理的保證，使管理層認識這些目標和董事會意識到其監(jiān)督作用，及時地促進 整個實體朝著實現(xiàn)目標前進。企業(yè)風險管理的組成部分企業(yè)風險管理包括八個相關(guān)組成部分。這些組成部分來自管理層經(jīng)營企業(yè)的方式，并與管理過程相結(jié) 合。這些組成部分是： 內(nèi)部環(huán)境-內(nèi)部環(huán)境包括一個組織的基調(diào)，制定作為整個實體的人們?nèi)绾螌徱暫椭匾曪L險的依 據(jù)，包括風險管理哲學和風險偏好、正直性和道德價值以及他們經(jīng)營的環(huán)境。 目標設定-在管理部門能夠識別影響其業(yè)績的潛在事件之前，必須存在有目標。企業(yè)風險管理保 證管理部門制定目標的過程到位，選定的目標支持和本實體的使命聯(lián)成一體，并與風險偏

10、好相一致。 事件識別一必須識別影響一個實體實現(xiàn)目標的內(nèi)部和外部事件，區(qū)別風險和機會。機會開辟了反 饋管理部門戰(zhàn)略或目標制定過程的渠道。 風險評估-要分析風險，考慮可能性和影響，作為決定如何管理風險的依據(jù)。在固有的和有后效 的基礎(chǔ)上評估風險。 風險反饋-管理部門選擇風險反饋-即避免、接受、降低或分攤風險，開發(fā)一系列行動，使風 險與實體的風險承受能力和風險偏好聯(lián)成一體。 控制活動-政策和程序的制定有助于保證有效地執(zhí)行風險反饋。 信息與溝通-以一種能夠促進人們履行其職責的形式和時間框架來識別、捕捉和溝通相關(guān)風險。 有效的溝通同樣發(fā)生在更廣泛的意義上，即在實體內(nèi)從上到下、相互交叉和自下而上的溝通。 監(jiān)

11、控-對企業(yè)風險管理的整體進行監(jiān)控并根據(jù)需要進行修改。通過持續(xù)的管理活動，分別評估， 或二者同時進行來實現(xiàn)監(jiān)控。企業(yè)風險管理不是一個嚴格的系列過程，一個部分只影響下一個部分。它又是一種多方向的重復的過 程，在這一過程中幾乎所有的任何部分都可能會影響另一個部分。目標與組成部分的關(guān)系在一個實體奮力實現(xiàn)的目標和體現(xiàn)實現(xiàn)目標所必須的企業(yè)風險管理組成部分之間存在一種直接的關(guān) 系。這種關(guān)系被描述為立體結(jié)構(gòu)中的三維矩陣模型。四種目標分類-戰(zhàn)略、經(jīng)營、報告和合法-由縱向欄目所代表，八個組成部分橫向排列，一個實體的單位由第三個層面所代表。這種描繪勾畫出整個企業(yè)風險管理重點的能力，或通過目標分類、組成部分、 實體單

12、位或任何子集合說明整個企業(yè)風險管理。效果確定一個實體的企業(yè)風險管理是否“有效”是對八個組成部分的表現(xiàn)以及是否有效運行進行評估的一 種判斷。這些組成部分同樣可作為有效的企業(yè)風險管理的標準。因為這幾個組成部分的存在及適當運行不 可能產(chǎn)生重大的缺陷，風險需要也已控制在一個實體的風險偏好之內(nèi)。當確定企業(yè)風險管理在四類目標的每一類中都是有效的，相應地也就為董事會和管理層提供合理的保 證，使他們了解整個實體戰(zhàn)略和經(jīng)營目標正在實現(xiàn)的程度和整個實體的報告是可靠的并遵守適用的法律法 規(guī)。八個組成部分在每一個實體的運行并不是完全相同的。例如，在中小型實體中的應用可能不那么正式，結(jié)構(gòu)不那么完整。不過，小的實體仍然可

13、以有有效的企業(yè)風險管理，只要每一個組成部分都存在并適當運 行。局限性在企業(yè)風險管理提供重要好處的同時，也存在著局限性。在上述討論的因素之外，局限性來自在決策 制定過程中人的判斷可能出現(xiàn)錯誤，反饋風險的決策，制定控制需要考慮相關(guān)成本和效益，因為人類的失 誤，例如簡單的錯誤或過失可能會造成計劃的失敗，控制可以防止兩個人或更多人勾結(jié)串通事件的發(fā)生， 但管理部門有能力否決企業(yè)風險管理決策。這些局限性會妨礙董事會和管理層對本實體目標實現(xiàn)所具有絕 對的保證。圍繞內(nèi)部控制內(nèi)部控制是企業(yè)風險管理的一個組成部分。本企業(yè)風險管理框架圍繞內(nèi)部控制，為管理部門形成一個 更健全的概念論和工具。在內(nèi)部控制 -整合框架中對

14、內(nèi)部控制進行了定義和描述。因為此框架已經(jīng)經(jīng) 受了時間的考驗，并成為現(xiàn)行法律法規(guī)和規(guī)則的依據(jù)，文件保留了內(nèi)部控制的定義和框架。在本框架中只 有內(nèi)部控制-整合框架原文部分是復制的，該框架的整體作為關(guān)聯(lián)部分已結(jié)合到本框架中。作用與職責在實體中的每一個人對企業(yè)風險管理都負有一定的責任，首席執(zhí)行官是最終的負責人，應該承擔所有 責任。其他管理人員支持本實體的風險管理哲學，促進遵守風險偏好，在職責和風險承受能力相一致的范 圍內(nèi)管理風險。風險職員、財務人員、內(nèi)部審計師和其他人員通常有重要的支持職責。其他的實體人員負 責按照既定的指令和會議記錄執(zhí)行風險管理。董事會對企業(yè)風險管理提供重要的監(jiān)督，知道并贊成本實體

15、的風險偏好。一些外部參與者，例如客戶、賣主、企業(yè)合伙人、外部審計師、監(jiān)管人員和財務分析家常常 提供對實現(xiàn)企業(yè)風險管理有用的信息，但他們并不對其效果負責任，他們也不是本實體企業(yè)風險管理的一 部分。本報告的組織本報告分為兩卷。第一卷包括本框架和執(zhí)行總結(jié)。該框架規(guī)定了企業(yè)風險管理， 描述了原則和概念, 為企業(yè)和其他組織內(nèi)部各級管理部門評估和增強企業(yè)風險管理的效果提供了方向。執(zhí)行總結(jié)是指導首席執(zhí) 行官和其他高級執(zhí)行人員、董事會成員和監(jiān)管人員的一種高層次的檢查。第二卷，應用技術(shù)提供了說明在采用本框架要素中有用的技術(shù)。本報告的使用作為本報告結(jié)果可能采取的建議行動取決于涉及的各當事方的地位和作用： 董事會-

16、董事會應與高級管理層討論本實體企業(yè)風險管理框架的狀況，提供必要的監(jiān)督。董事會 應該保證知道絕大多數(shù)重大風險和管理層正在采取的行動，以及如何保證有效的企業(yè)風險管理。董事會應 該考慮從內(nèi)部審計師、外部審計師和其他人那里尋找輸入信號。 高級管理層-此次的研究建議首席執(zhí)行官評價本組織的企業(yè)風險管理能力。在另一種方法中，首 席執(zhí)行官將經(jīng)營單位的負責人和主要職能負責人聚集在一起討論企業(yè)風險管理能力和效果的初步評價。不 管采取什么形式，初步評價應該確定在哪里需要和如何進行范圍更廣和更深入的評估。 其他實體人士 -管理人員和其他人士應該考慮他們是如何根據(jù)本框架執(zhí)行他們的職責，與更高級的人員討論加強企業(yè)風險管理

17、的想法。內(nèi)部審計師應該考慮企業(yè)風險管理重點方面的廣度。 監(jiān)管人員-本框架可以促進分享企業(yè)風險管理，包括能做的事及其局限性的看法。監(jiān)管人員對他們監(jiān)督的實體不管是根據(jù)規(guī)則或指南，還是進行檢查，在確定預期值方面可以參考本框架。 專業(yè)人士的組織-規(guī)則制定和提供財務管理、審計和相關(guān)專題指南的其他專業(yè)人士組織應該考慮根據(jù)本框架制定他們的準則和指南。消除在概念和專業(yè)術(shù)語方面的多樣化程度，使所有參與者都受益。 教育者-本框架可以作為學術(shù)研究和分析的題目，以觀察未來可以采取哪些強化措施。根據(jù)這一假定，本報告可成為公認的理解的共同基礎(chǔ)，其概念和術(shù)語應能發(fā)現(xiàn)其進入大學課程的渠道。作為共同理解的基礎(chǔ)，所有的參與者將能

18、夠用共同的語言說話和進行更有效的溝通。企業(yè)的執(zhí)行人員 將定位在對照準則評價其公司的企業(yè)風險管理的過程，并強化這一過程，使本企業(yè)朝著既定的目標前進。 進一步的研究可以發(fā)揮超出既定基礎(chǔ)的杠桿作用。立法人員和監(jiān)管人員將能夠增強對企業(yè)風險管理的理解，包括其好處和局限性。隨著所有的參與者都使用共同的企業(yè)風險管理框架，這些好處將得到實現(xiàn)。內(nèi)部環(huán)境包括一個組織的基調(diào)，制定作為整個實體的人們?nèi)绾螌徱暫椭匾曪L險的依據(jù)，包括風險管理 哲學和風險偏好、正直性和道德價值以及他們經(jīng)營的環(huán)境。 目標設定-在管理部門能夠識別影響其業(yè)績的潛在事件之前，必須存在有目標。企業(yè)風險管理保證管理部門制定目標的過程到位，選定的目標支持

19、和本實體的使命聯(lián)成一體，并與風險偏好相一致。 事件識別一必須識別影響一個實體實現(xiàn)目標的內(nèi)部和外部事件，區(qū)別風險和機會。機會開辟了反 饋管理部門戰(zhàn)略或目標制定過程的渠道。 風險評估-要分析風險，考慮可能性和影響，作為決定如何管理風險的依據(jù)。在固有的和有后效 的基礎(chǔ)上評估風險。 風險反饋-管理部門選擇風險反饋-即避免、接受、降低或分攤風險，開發(fā)一系列行動，使風 險與實體的風險承受能力和風險偏好聯(lián)成一體。 控制活動-政策和程序的制定有助于保證有效地執(zhí)行風險反饋。 信息與溝通-以一種能夠促進人們履行其職責的形式和時間框架來識別、捕捉和溝通相關(guān)風險。有效的溝通同樣發(fā)生在更廣泛的意義上，即在實體內(nèi)從上到下

20、、相互交叉和自下而上的溝通。 監(jiān)控-對企業(yè)風險管理的整體進行監(jiān)控并根據(jù)需要進行修改。通過持續(xù)的管理活動，分別評估，或二者同時進行來實現(xiàn)監(jiān)控。企業(yè)風險管理不是一個嚴格的系列過程，一個部分只影響下一個部分。它又是一種多方向的重復的過 程，在這一過程中幾乎所有的任何部分都可能會影響另一個部分。目標與組成部分的關(guān)系在一個實體奮力實現(xiàn)的目標和體現(xiàn)實現(xiàn)目標所必須的企業(yè)風險管理組成部分之間存在一種直接的關(guān)系。這種關(guān)系被描述為立體結(jié)構(gòu)中的三維矩陣模型。四種目標分類-戰(zhàn)略、經(jīng)營、報告和合法-由縱向欄目所代表，八個組成部分橫向排列，一個實體的單位由第三個層面所代表。這種描繪勾畫出整個企業(yè)風險管理重點的能力，或通過

21、目標分類、組成部分、實體單位或任何子集合說明整個企業(yè)風險管理。效果確定一個實體的企業(yè)風險管理是否“有效”是對八個組成部分的表現(xiàn)以及是否有效運行進行評估的一 種判斷。這些組成部分同樣可作為有效的企業(yè)風險管理的標準。因為這幾個組成部分的存在及適當運行不 可能產(chǎn)生重大的缺陷，風險需要也已控制在一個實體的風險偏好之內(nèi)。當確定企業(yè)風險管理在四類目標的每一類中都是有效的，相應地也就為董事會和管理層提供合理的保 證，使他們了解整個實體戰(zhàn)略和經(jīng)營目標正在實現(xiàn)的程度和整個實體的報告是可靠的并遵守適用的法律法 規(guī)。八個組成部分在每一個實體的運行并不是完全相同的。例如，在中小型實體中的應用可能不那么正式，結(jié)構(gòu)不那么

22、完整。不過，小的實體仍然可以有有效的企業(yè)風險管理，只要每一個組成部分都存在并適當運 行。局限性在企業(yè)風險管理提供重要好處的同時，也存在著局限性。在上述討論的因素之外，局限性來自在決策 制定過程中人的判斷可能出現(xiàn)錯誤，反饋風險的決策，制定控制需要考慮相關(guān)成本和效益，因為人類的失 誤，例如簡單的錯誤或過失可能會造成計劃的失敗，控制可以防止兩個人或更多人勾結(jié)串通事件的發(fā)生， 但管理部門有能力否決企業(yè)風險管理決策。這些局限性會妨礙董事會和管理層對本實體目標實現(xiàn)所具有絕 對的保證。圍繞內(nèi)部控制內(nèi)部控制是企業(yè)風險管理的一個組成部分。本企業(yè)風險管理框架圍繞內(nèi)部控制，為管理部門形成一個 更健全的概念論和工具。

23、在內(nèi)部控制-整合框架中對內(nèi)部控制進行了定義和描述。因為此框架已經(jīng)經(jīng)受了時間的考驗，并成為現(xiàn)行法律法規(guī)和規(guī)則的依據(jù)，文件保留了內(nèi)部控制的定義和框架。在本框架中只 有內(nèi)部控制-整合框架原文部分是復制的，該框架的整體作為關(guān)聯(lián)部分已結(jié)合到本框架中。作用與職責在實體中的每一個人對企業(yè)風險管理都負有一定的責任，首席執(zhí)行官是最終的負責人，應該承擔所有 責任。其他管理人員支持本實體的風險管理哲學，促進遵守風險偏好，在職責和風險承受能力相一致的范 圍內(nèi)管理風險。風險職員、財務人員、內(nèi)部審計師和其他人員通常有重要的支持職責。其他的實體人員負 責按照既定的指令和會議記錄執(zhí)行風險管理。董事會對企業(yè)風險管理提供重要的監(jiān)督，知道并贊成本實體 的風險偏好。一些外部參與者，例如客戶、賣主、企業(yè)合伙人、外部審計師、監(jiān)管人員和財務分析家常常 提供對實現(xiàn)企業(yè)風險管理有用的信息，但他們并不對其效果負責任，他們也不是本實體企業(yè)風險管理的一 部分。本報告的組織本報告分為兩卷。第一卷包括本框架和執(zhí)行總結(jié)。該框架規(guī)定了企業(yè)風險管理， 描述了原則和概念， 為企業(yè)和其他組織內(nèi)部各級管理部門評估和增強企業(yè)風險管理的效果提供了方向。執(zhí)行總結(jié)是指導首席執(zhí) 行官和其他高級執(zhí)行人員、董事會成員和監(jiān)管人員的一種高層次的檢查。第二卷，應用技術(shù)提供了說明在采用本框架要素中有用的技術(shù)。本報告的使用作為本報