coso企业内控风险管理模式.pdfVIP

COSO 企业内控风险管理模式 张玉 翻译 前言 10年前，COSO 发布了《内部控制整合框架》来帮助企业界和其他实体评价和加强他们的内部控制 制度。从那时起该框架被结合并入成千上万企业的政策、规则和规定，并被企业用于更好地控制他们的活 动，朝着实现既定目标的方向前进。 近年来，关注的重点和焦点是风险管理，人们越来越清楚地认识到健全的框架对于有效地识别、评价 和管理风险是很有必要。在2001年，COSO 提议了一个项目，并聘用普华永道会计事务所开发能方便管理 部门用于评价和改进本组织企业风险管理的框架。 框架开发的整个期间出现了一系列具有高度标志性的企业丑闻和失败案例，使投资者、公司人员和其 他利益相关者蒙受了巨大损失。灾难的后果是要求用新的法律法规和上市标准来加强公司治理和风险管理。 人们越来越多地认识到提供关键的原则和概念，共同语言和明确方向与指南的企业风险管理框架的必要性。 COSO 认为，企业风险管理一体化框架填补了这种需要，并希望该框架能被公司、其他组织和所有的利 益相关者及团体广泛接受。 在美国的发展结果是出台了《2002年的萨班斯奥克斯利法案》，其他国家也颁布了或正在考虑类似 的立法。这类法律扩展了对公营公司维护内部控制制度的长期有效要求，要求管理层予以证实和独立审计 师测试这些制度有效性。持续要求测试时间的《内部控制整合框架》适用于满足报告要求的更广泛的公 认标准。 《企业风险管理整合框架》扩展了内部控制，提供了一种更健全的和广泛的焦点在企业风险管理更 宽广的题目。它的目的不是取代内部控制框架，而是将内部控制框架合并在一起，公司可以决定审查企业 风险管理框架，以满足内部控制的需要和朝着更完备风险管理过程发展。 管理层所面临的最严峻挑战是决定本实体准备接受多大的风险，因为风险也可以经过奋斗而创造价值。 本报告将更好地鼓励企业迎接这种挑战。 执行总结 企业风险管理的根本前提是每一实体存在的目的是为其利益相关者提供价值。所有的实体都面临不确 定性，对管理层的挑战是确定能接受多大的不确定性，因为不确定性也可以促进增加利益相关者的价值。 不确定性同时体现为风险机会，具有流失或增加价值的潜力。企业风险管理鼓励管理层有效地处理不确定 性和相关的风险和机会，增强创造价值的能力。 当管理层制定的战略目标能力求达到增长和利润目标与相关风险之间的最佳平衡，并在追求本实体目 标的过程中有效地调度资源时，价值能达到最大化。企业风险管理包括： ● 连成一线的风险偏好与战略管理层考虑本实体的风险偏好，在评估战略可选择方案时，制定相 关目标，开发管理相关风险的机制。 ● 增强风险反馈决策企业风险管理提供了森严的识别和挑选可选择的风险反馈即风险回避、降 低、分摊和接受的制度。 ● 减少经营意外事故和损失各实体应获得增强的能力来识别潜在事件和建立反馈，减少意外事故 和相关成本或损失。 ● 识别和管理多样化的和交叉的企业风险每一企业都将面临影响本组织不同方面的无数风险因素， 企业风险管理能促进对相互关联的影响做出有效反应，对多样化的风险做出综合的反应。 ● 抓住机会通过全面考虑潜在的事件，管理层被定位于识别和正面积极地抓住机会。 ● 改进资本配置获得健全的风险信息，允许管理层有效地评估总体资本需要，增强资本分配。 这些企业风险管理中内在的能力有助于管理层实现本实体的绩效和盈利能力目标，防止资源损失。企 业风险管理有助于保证有效的报告和遵守法律法规，避免本实体的声誉受到损害和相关的后果。总之，企 业风险管理有助于一个实体达到它想要实现的目标，避免前进过程中的陷阱和意外事故。 事件风险与机会 事件可以有负面影响、正面影响，或二者兼而有之。负面影响的事件表现为能阻碍价值创造或侵蚀现 存价值的风险。正面影响的事件可以抵消负面影响或体现为机会。机会是一个事件将发生并积极影响目标 实现、支持价值创造或保护价值的可能性。管理层将机会引导向其战略或目标制定过程，制定抓住机会的 计划。 规定了企业风险管理 企业风险管理处理影响价值创造或保值的风险和机会。其定义如下： “企业风险管理是一个过程，受到一个实体的董事会、管理层和其他人员的影响，适用于战略制定和在 整个企业设计识别可能影响本实体的潜在事件，在风险偏好范围内管理风险，提供与实现实体目标有关的 合理