第二节COSO之企业风险管理程序.pptVIP

第六章 COSO之企業風險管理 授課教師：________ 本章大綱 第一節 COSO之企業風險管理架構 第二節 COSO之企業風險管理程序 第一節 COSO之企業風險管理架構(1/10) 1992年：COSO發表「內部控制整合架構」(Internal Control - Integrated Framework，COSO-IC) 2002年：美國公司治理的法令提出要重視風險管理的觀念 2004年：COSO制定一個架構，稱為「企業風險管理整合架構」(Enterprise Risk Management – Integrated Framework, COSO-ERM) 第一節 COSO之企業風險管理架構(2/10) COSO企業風險管理之定義 企業風險管理是一種程序 它是由公司的董事會、管理階層以及其他員工所設立並完成 這個風險管理程序可以應用在整個企業的策略擬定上 它可確認會影響公司的潛在風險事件 並且管理風險使其符合公司的風險胃納 以合理確保公司目標的達成 第一節 COSO之企業風險管理架構(3/10) COSO認為企業風險管理(ERM)應具有下列特質： ERM是一個程序，持續流動並遍佈整個企業 ERM程序是由組織中的所有層級的人來執行 ERM可以用於設定策略，因而會影響全公司的組織 ERM乃是可以應用於整個企業，包括公司各層級與各單位 ERM確認潛在風險事件，並將其影響控制在企業的風險胃納之下 ERM提供管理階層與董事會合理之信心去經營企業，但是它並不能確保企業目標一定達成 ERM是為了協助達成企業目標，二者的目的一致 第一節 COSO之企業風險管理架構(4/10) COSO的企業風險管理架構(COSO-ERM) 第一個面向 八個相關聯的企業風險管理組成要素 第二個面向 公司的四個主要目標，包括策略目標、作業目標、報告目標、以及法規遵循目標 第三個面向 公司的各個活動或事業單位 第一節 COSO之企業風險管理架構(6/10) COSO-ERM架構提供企業進行風險管理一個具體可行的指導原則 ERM程序的應用相當有彈性 每個組織層級都可使用該八步驟程序，去設定一至四個目標。 第一節 COSO之企業風險管理架構(7/10) COSO-ERM的組成要素 內部環境 包括風險管理的哲學，風險文化、董事會、職業倫理與價值觀、組織結構、風險胃納、管理哲學、授權與責任、員工能力與工作投入程度，以及人力資源政策與實務等。 目標設定 包括策略目標、經營目標、財務目標以及其他特定的目標，以及公司的風險胃納和風險容忍度等。 風險事件確認 對於那些影響策略或目標的風險事件必須將其列出，並且考慮風險事件彼此之相關性。此外，也應考慮一些確認風險之方法與技術。 第一節 COSO之企業風險管理架構(8/10) COSO-ERM的組成要素(續) 風險評量 計算天生風險或殘餘風險的機率與幅度，包括其方法與技術等。 風險回應 確認風險的回應方式、評估各種可能的風險的回應方式、選擇風險回應方式，並且需有整合性的觀念。 控管活動 將各種風險回應加以整合，以及列出可能的控管活動，包括一般控管與特定應用的控管。 資訊與溝通 提供公司擬定策略所需之資訊、電腦資訊技術的處理、部門之間的溝通等問題。 監督 定期地回顧檢討此風險管理的架構。 第一節 COSO之企業風險管理架構(9/10) COSO-ERM對於風險的看法 重視風險管理與企業經營的關聯性 採用群組整合的方式來看待風險，認為每個風險事件對於公司經營的影響，並非只是獨立地影響該曝險的單位，可能還會連帶影響其他單位。 COSO-ERM認為企業風險管理的要素，與公司的目標以及組織層級都是互有關聯，這種三維面向的思考是它的特色。 第一節 COSO之企業風險管理架構(10/10) 傳統上風險管理大多是針對意外或偶發事故 通常由發生事故的單位負責事前預防或事後救難 這種風險管理處理方式，常被稱為是「穀倉式」(silo)的風險管理方法 理論基礎：大數法則(law of large numbers)與資產組合理論(portfolio theory) 第二節 COSO之企業風險管理程序 (1/15) COSO-ERM與COSO-IC比較 目標以及用途不相同 管理程序與步驟不相同 不應該將COSO-ERM視為只是COSO-IC架構的擴充 第二節 COSO之企業風險管理程序(2/15) COSO-ERM程序 內部環境 目標之設定 風險事件確認 風險評量 風險回應 控管活動 資訊與溝通 監督 第二節 COSO之企業風險管理程序(3/15) COSO 認為ERM是在組織當中實施，因此首先必須考慮組織本身的內部環境，也就是它的文化。 COSO之「內部環境」包括下列項目： 風險管理的哲學 風險胃納 董事會的態度 業道德與倫理價值觀