企业风险管理整体框架 （译文初稿）.pdf

COSO 企业风险管理整体框架 （译文初稿） 2004 年 9 月 COSO 企业风险管理框架 前言 十多年前，反虚假财务报告委员会赞助发起组织委员会(COSO) 发布了《内部控制整体框架》，以帮助企业和其他实体评估和增强其 内控体系。目前该框架已被采纳并融入政策、法令及规章，有成千上 万个企业采用了该框架以便在朝着实现企业既定目标的道路上更好 地控制其企业的经营活动。 最近数年，企业的风险管理成为焦点而受到突出关注；需要一个 强有力的框架以有效地识别、评估和管理风险，这一点越来越明确无 疑。在 2001 年 COSO 开始启动一个项目并聘用普华永道制定一套可 以很容易地供管理层采用的框架，去评估和改进其企业的风险管理。 在编写制定该框架的这段时间内，发生了一系列引起广泛关注的 重大经营丑闻和企业破产，在这些案例中投资者、公司员工及其他利 益相关者遭受了巨大损失。在这些事件结束后的一段时间里，社会上 强烈呼吁采用新的法律、规章以及上市准则来强化公司治理和风险管 理。需要一个企业风险管理框架已变得愈益紧迫以提供关键的原则和 概念、普遍通用的语言以及清晰明了的指导和指引。COSO 相信本《企 业风险管理——整体框架》将会满足这个需要，同时希望企业和其他 组织以及所有利益相关者和对此感兴趣的其他方都将广泛接受该框 架。 在美国与此相关联的发展结果是颁布了《2002 年萨班斯-奥克斯 利方案》；在其他国家也已颁布或正在考虑颁布相似的法律。该法案 1 延续了长期对上市公司的要求即维持公司的内控体系，并要求管理层 对其内控体系的有效性进行证明，以及要求独立审计师对该内控体系 的有效性进行验证。COSO 的“内部控制框架”会继续经受时间的考 验并作为被广泛接受的、可以满足相关财务报告要求的标准。 本“企业风险管理——整体框架”在内部控制的基础上扩展，提 供了一个更强有力的框架，更广泛地专注于企业的全面风险管理。尽 管该框架并不打算也不会取代内控框架，而是将内控框架与其融合为 一体，但公司仍然可以决定依靠这个企业风险管理框架去满足其企业 内控的需要，通过采用更全面的风险管理方法使企业持续发展。 管理层所面临的最重大挑战是确定企业在努力创造价值实现其 目标的过程中准备接受并确实接受的风险的数量。本报告将能够使企 业的管理层更好地应对这个重大挑战。 2 目录 企业风险管理框架内容提要6 1．事件 —— 风险和机遇7 2 ．企业风险管理的定义8 3 ．目标的实现9 4．企业风险管理构成要素10 5．目标和企业风险管理要素之间的关系11 6．有效性 12 7 ．局限性 12 8．全面风险管理包含内部控制13 9．角色和职责 13 10．本报告的内容安排14 11．如何使用本报告14 第一章 定义 17 1.1 不确定性和价值17 1.2 事件 —— 风险和机遇22 1.3 企业风险管理的定义22 1.3.1 企业风险管理是一个过程23 1.3.2 企业风险管理受到人的因素的影响24 1.3.3 应用于战略制定25 1.3.4 应用于企业内部每个层次和部门26 1.3.5 风险偏好27 1.3.6 提供合理的保证28 1.3.7 目标的实现28 1.4 企业风险管理构成要素3