COSO风险管理框架PPT.pptx

COSO风险管理框架 清华大学会计研究所 陈武朝副教授 电话：Email：chenwzh2@sem.tsinghua.edu.cn 2008年9月 1 主要内容 . COSO ERM框架 . 实施风险管理要点 . 内控与企业风险管理的关系 . 《中央企业全面风险管理指引》 2 COSO ERM框架 . COSO认为，内部控制是风险管理的一部分。 . 在《内部控制-整体框架》的基础上,COSO于2003年出台了 《企业风险管理框架》 征求意见稿，并于2004年9月正式 发布。 3 COSO ERM框架（续） . 企业风险管理是一个过程，它由一个主体的董事会、管理 当局和其他人员实施，应用于战略制订并贯穿于整个企业 之中，旨在识别可能会影响主体的潜在事项， 管理风险以 使其在该主体的风险容量（风险承受范围） 之内，并为主 体目标的实现提供合理保证。 4 COSO ERM框架（续） 企业风险管理框架 COSO ERM 5 COSO ERM框架（续） . 怎样理解该定义？企业风险管理是： . 一个过程，它持续地流动于主体之内； . 由组织中各个层级的人员实施； . 应用于战略制订； . 贯穿于企业，在各个层级和单元应用， 还包括采取主体 层级的风险组合观； . 旨在识别一旦发生将会影响主体的潜在事项，并把风险 控制在风险容量以内； . 能够向一个主体的管理当局和董事会提供合理保证； . 力求实现一个或多个不同类型但相互交叉的目标。 6 COSO ERM框架（续） . 目标的实现 在主体既定的使命或愿景范围内，管理当局制订战略目标、 选择战略，并在企业内自上而下设定相应的目标。企业 风险管理框架力求实现主体的以下四种类型的目标： . 战略（strategic）目标—— 高层次目标，与使命相关联 并支撑其使命； . 经营（operations）目标——有效和高效率地利用其资 源； . 报告（reporting）目标——报告的可靠性； . 合规（compliance）目标——符合适用的法律和法规。 7 COSO ERM框架（续） 企业风险管理的构成要素 . 内部环境（Internal Environment） . 内部环境包含组织的基调，它为主体内的人员如何认识和对待风险 设定了基础，包括风险管理理念和风险容量、诚信和道德价值观， 以及他们所处的经营环境。  建立一套与风险管理相关的理念。它认为，意外事项与预期事项都 可能发生。  建立企业风险文化。  考虑组织行为如何影响其风险文化的一切其它方面。 . 目标设定（Objective Setting） . 必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业 风险管理确保管理当局采取适当的程序去设定目标，确保所选定的 目标支持和切合该主体的使命，并且与它的风险容量相符。  在目标设定中，应用于管理层考虑风险策略的时候  制定公司的风险承受能力——从高层面观察，管理层和董事会愿意 接受多大的风险  风险容忍度, 目标相关变量的可接受水平，与风险承受能力一致。 8 COSO ERM框架（续） . 事项识别（Event Identification) . 必须识别影响主体目标实现的内部和外部事项，区分风险和机会。 机会被反馈到管理当局的战略或目标制订过程中。 . 风险评估(Risk Assessment) . 通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如 何进行管理的依据。风险评估应立足于固有风险和剩余风险。  一个事项是指可能影响战略执行或目标实现的一个事件或发生的事 情。  辨别风险与机遇  风险是一个事项发生，并对目标实现产生负面影响的可能性。  可能有积极影响的事项，代表正常抵消或机遇。  风险衡量采用与相关目标相同的衡量单位。  时间区间已指定，并与目标一致。 9 COSO ERM框架（续） . 风险应对(Risk Response) . 管理当局选择风险应对—— 回避、承受、降低或者分担风险——采 取一系列行动以便把风险控制在主体的风险容限（risk tolerance）和风险容量以内。 . 控制活动(Control Activities) . 制订和执行政策与程序以帮助确保风险应对得以有效实施。 . 信息与沟通(Information Communication) . 相关的信息以确保员工履行其职责的方式和时机予以识别、获取和 沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行 和向上流动。 . 监控(Monitoring) . 对企业风险管理进行全面监控，必要时加以修正。监控可以通过持 续的管理活动、个别评价或者两者结合来完成。 10