COSO每一步的原则

COSO风险管理框架原则
3.内部环境
内部环境包含一个组织的基调，影响其员工的风险意识，同时还是企业风险管理所有其它组成部分的基石，提供纪律和结构。

内部环境受到实体的历史和文化的影响。

风险管理哲学
风险管理哲学是指实体关于风险的信念。

有效的风险管理哲学要为所有员工所理解，能促进雇员识别和有效管理风险的能力。

哲学要反映实体从企业风险管理所寻求的价值，并反应企业风险管理组成部分是如何运用的。

风险管理哲学反映在政策综述和其它信息传达中。

因此管理部门不仅通过言词，还要通过日常行为来加强该哲学。

风险偏好
风险偏好是实体在追求价值时所愿意接受的风险程度。

风险偏好可用定性衡量，分成高、中、低三类；或者采用定量的方法，反应并均衡增长、回报的目标和风险。

风险偏好要与实体的战略直接相关，管理部门要根据风险偏好选择相一致的战略。

风险文化
风险文化是表现实体如何在日常活动中考虑风险的一套共用的看法、价值观和惯例。

风险文化主要来源于实体的风险哲学和风险偏好。

管理部门要考虑风险文化是如何产生影响并与企业风险管理的其它要素协调。

如果存在不协调，管理部门要采取步骤来改造文化——也许重新思考风险哲学和风险态度，或改造应用企业风险管理的方式。

为形成中集的风险文化，管理部门可定期给员工派发一张卡片，里面有一些专注于风险的问题，如：什么是风险？此事件会影响到其他什么人？需要告知其他什么人？这些问题会鼓励员工考虑潜在事件
对其它部门以及对整个实体的影响。

因此会形成一种良好的风险文化。

不同部门可以有稍微不同的风险文化，但不同的文化要共同反映实体的期望风险偏好和哲学。

员工可能会形成与高层管理部门相同的关于对与错（及关于风险和控制）的态度。

董事会
实体董事会是内部环境的重要部分，并对其它内部环境要素产生显著影响。

董事会相对于管理部门要有独立性。

董事会成员要拥有适当程度的管理、技术和其它专家意见，还要有履行监管职责的必要的注意。

、董事会成员必须有大部分外部董事。

诚信和道德价值观
管理部门的诚信和对价值观的承诺会影响优先选择和价值判断，被认为是行为标准。

诚信和道德价值是环境的核心要素，影响着设计、管理和监管其它企业风险管理组成部分。

建立道德价值要考虑几个方面的利害关系，管理价值必须协调企业、雇员、供应商、客户、竞争对手和公众的利益。

要建立良好的诚信和道德价值观，管理层要消除或减少不正确的动机和诱惑，遵循合理且获利的经营实践。

道德价值不仅仅传达下去，还要有关于对错的清晰指导伴随，这要求高层管理部门的行为做出良好的榜样。

2.目标设定
目标设定是风险事件识别、风险评估和设定风险对策的基础。

本报告根据企业的任务或预期确定企业的战略目标，并确定相关的子目标，在企业内层层分解和落实。

2.1.1战略目标
战略目标是跟公司的长远目标一致的高水平目标，反映公司如何创造价值。

2.1.2相关目标
✧相关目标是根据战略目标建立并支持最终目标的实现，包括经营目标、报告目标、合法目
标。

✧经营目标是指经营的有效性和效率。

✧报告目标是指报告的可靠性、正确性和有效性。

✧合规目标是指公司遵循相关的政策法规。

2.1.3目标重和
✧目标重和是指目标之间相互重叠和支持，如向管理层提供的有效信息数据即符合经营目标，
也符合报告目标和合规目标。

2.1.4目标选定
✧选定目标是指对已经制定的目标进行审阅，保证这些目标与公司的长远目标和风险偏好相
一致，如果不一致就要进行修改和剔除。

2.1.5风险偏好
✧风险偏好是指由管理当局制定并经董事会复核的，是企业在战略设定中的路标，可以表达为风
险和利益之间可接受的平衡，也可能是风险调整后的股东价值。

2.1.6风险容忍度
✧风险容忍指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对
相关目标实现过程中所出现差异的可容忍限度。

✧在设定风险可容忍水平时，管理层要考虑相关目标的相对重要性并将风险偏好和风险容忍水平
结合起来，确保企业维持在风险偏好之内。

✧风险容忍度较大，说明企业承受风险的能力较强，在容忍度范围内的小风险可以采取通常日常
应对措施。

5、事件识别
5.1事件识别遵循的原则
✧事件识别是指管理层对影响一个企业成功实现战略达到目标的能力的潜在事件进行识别。

✧多种内部和外部的因素会引起事件的发生。

✧管理层要对具有潜在负面影响的事件进行评价并做出反应，而对具有潜在积极影响的事件引回到
战略和目标设定过程。

✧管理层在识别潜在的事项时，要从整个企业范围内加以考虑。

✧管理层要在企业经营和风险接受度内考虑事项的相互关系。

✧事件是指源于内部或外部的可能影响企业战略贯彻或目标达成的事项。

✧潜在事件可能是明显的，也可能是模糊的，其影响可能是正面的，也可能是负面的。

✧管理层初始阶段考虑一系列的潜在事件，不必要关注该事件的潜在影响是正面的还是负面的。

✧管理层在事件识别阶段不应该忽略发生的可能性很小但一旦发生对目标影响很大的潜在事件。

✧一个事件可以引起另一个事件，不同的事件也可以同时发生，在事件识别中，管理层应该了解事
件之间是如何相互关联的。

✧公司要将潜在的事件进行分类，通过横向汇总和经营单位的纵向汇总对事件之间的内在联系有了
了解，从而获得进一步的信息，并将其作为一个风险评估的基础。

5.2影响战略和目标的因素
员工要认识到了解外部和内部因素的重要性以及事件发生的类型。

管理层要考虑当前的因素以及那些可能在将来出现的因素。

外部的因素包括：
经济和商业——相关的事件可以包括新兴的竞争者和市场的变动。

管理层考虑诸如物价变动的宏观因素，以及诸如具有新替代产品的竞争者的出现等微观条件。

自然环境——这类事件可能包括诸如洪水、火灾或地震等自然灾害以及可持续发展因素。

政治因素——事件包括新近选举的政府官员，行政议程以及新的法律法规。

社会因素——包括人口变动、新的食品生产和准备方法，家庭结构变动以及工作/生活取向等等事件。

科技因素——包括电子商务的发展、数据有用性的扩张以及间接成本的降低等事件。

事件也可能源自管理层关于其如何运作所作的选择。

企业的能力和生产量反映了以前的选择，影响将来的事件并影响管理层的决策。

内部因素包括：
间接成本——事件包括未预期的修理成本或设备不能满足生产需求等。

员工——事件包括在职事故数量的增加、人为错误或舞弊行为的增加等。

程序——包括产品质量缺陷、未预期的停工或服务延期。

工艺——包括不能维持足够的持续工作时间、处理增加的数量、所需数据的传输完整或公司所需系统的修正。

一旦确定了主要的影响因素，管理层就能够考虑这些因素的重要性，并在可能的情况下将内部和外部因素与影响目标的潜在事件的识别联系在一起。

在大多数情况下，为了设定的或潜在的目标，需要识别不同的因素和相关的事件。

除了从企业的层次来识别事件外，还需要从活动的层次来确定事件，如销售、生产、市场开拓、技术开发以及研发等。

5.3事件识别方法和技术
事件列表——这些是一个特定行业中的公司，或者行业中一个特定的程序或活动中经常发生的潜在事件的详细列表。

内部分析——这项工作可以作为企业计划循环过程的一项常规部分，典型地是通过企业部门的员工会议来进行。

内部分析有时使用其它利益相关者的信息（客户、供货商、其他企业部门）或者部门外的专家意见（内部或外部的专家或内部审计人员）。

增加或极限扳机——这些扳机让管理层通过对当前交易或事项与预先确定的原则进行比较，警惕应关注的潜在区域，一旦触发，管理层需要对事件进行进一步的评估或立即采取应对措施。

推动讨论和会谈——这些技术通过有组织的讨论来利用管理层、员工以及其他的利益相关者所累积的知识和经验，从而确定相关的事件。

主要的事件指示器——通过监控与事件相关的数据，公司确定可能引起事件发生的条件的存在性——通常被称为主要的事件指示器。

损失事件数据法——过去单个损失事件的数据库是用来确定发展趋势和根源的一个有用的信息渠道。

一旦确定了根源，管理层可以发现，对事件进行评价和处理是一个比关注单个事件更有效的解决方法。

流程分析——这个技术将投入、人物、责任和产出结合起来考虑并使之形成一个程序。

通过考虑影响投入或一个程序的行动的外部和内部因素，企业确定能影响程序目标实现的事件。

不同公司之间在事件识别的深度、广度、时间跨度以及培训方面有很大的不同。

管理层选择适用于其风险文化的方法，并确保公司建立所需的事件识别能力以及支持技术和工具在恰当的位置发挥作用。

总的来说，公司需要完备的事件识别方法，因为这是风险评估和风险应对部分的基础。

6. 风险评估
✧企业通过风险评估来考虑潜在事件对目标达成的影响程度。

✧管理层应从可能性和影响两个方面对事件进行评估，可能性代表了一个特定事件发生的可能性，
而影响则代表了该事件产生的后果。

通常将定量和定性方法结合起来考虑。

✧管理层要评估潜在事件的正负两方面影响，根据单个事件或者根据类别进行。

✧对潜在负面影响的事件应分别从固有风险和剩余风险的基础上进行评估。

✧固有风险是指一个企业缺乏任何用来改变风险的可能性或影响的措施时面临的风险。

✧剩余风险则是指在管理层对风险采取了应对措施之后剩余的风险。

✧风险评估首先对固有风险进行。

一旦建立了风险应对措施，管理层开始使用风险评估技术对剩
余风险进行评估。

✧在对风险进行评价时，管理层需要考虑预期和未预期潜在事件的影响。

不可预期的事件通常发
生的可能性很低但其潜在的影响却很大。

✧在采用业绩计量指标来决定所达成目标的程度时，管理层要在考虑一项风险对特定目标的实现
的潜在影响时，最好使用相同的计量指标。

✧管理层要使用从过去可观察的事件中得出的数据来估计风险的可能性和影响，避免主观评估
✧公司要在所有的单位中使用通用的评估技术，对技术的选择应该反映该单位中的文化以及所需
的精确度。

然而，单个企业部门采用的方法应该有利于整个企业的风险评估。

✧管理层可以对事件如何相关、事件结合的后果以及相互作用产生不同的可能性或影响进行评估。

✧管理层要观察事件的可能性和影响的相互关系，风险评估应该根据固有风险和伴随风险应对措
施而来的风险来进行。

评估的方法和技术
基准法——一个组别企业之间的合作过程，基准方法关注特定事件或程序，采用普通的度量方法将计量指标和结果进行比较，并确定改进的机会。

事件、程序以及计量的数据用来比较业绩。

概率模型——概率模型根据已定的假设将一系列事件及导致的后果与那些事件的可能性联系起来。

根据历史数据或者类似的反映未来行为假设的产出来评价可能性和影响。

非概率模型——非概率模型使用主观的假设来估计一个没有定性的相关可能性事件的影响。

包括敏感性测量、压力测试和情景分析。

使用定性评价技术，企业可以采用事件识别时相同的方法，比如会谈和工作组方式。

风险自我评价过程采用描述性的或者数字化的度量指标来抓住参与者对未来事件潜在的可能性和影响的观点。

7.风险应对
已经评价了相关风险，管理层应决定采取相应的应对措施。

7.1风险应对的步骤和原则
确认风险应对措施
规避——采取措施退出引起风险的活动。

在其他应对措施的成本超过期望的收益，或者可供选择的措施不能将影响和可能性降低到一个可接受的水平的情况下采取的。

减轻——采取措施来减轻风险的可能性和/或影响，可以包括企业日常经营活动中的任何一个决策中；
分担——采取措施，通过转移和分担一部分风险来减少风险的可能性或影响，包括购买保险产品、风险共担技术、进行套期保值交易或者将一项业务外包。

接受——不采取任何措施来影响可能性或风险。

在固有风险在企业的风险承受度以内的情况下采用。

评价可能的风险应对措施
✧在考虑风险应对措施时，管理层考虑成本效益关系，根据企业期望的风险承受度，选择一个可
带来预期可能性和影响的应对措施。

✧在评估风险的可能性和影响的潜在应对措施时，可以考虑过去的事件及其趋势，以及潜在的未
来情况。

✧评价选择的应对措施的固有风险时，要考虑可能来自该应对措施本身的风险，这可能在管理层
形成最终决策前迅速执行一个迭代程序，要考虑来自应对措施的风险，包括那些可能不会立即
发生的风险，这些新的风险也应作为因素放入到风险应对措施分析中去。

✧管理层要从一个企业全局的或者组合的观点来决定企业的风险观是否适应于与其目标相对应的
整个风险偏好。

✧在单个部门的风险承受度以内的风险可能存在于不同的部门，但结合起来看，这些风险就可能
超过整个企业的风险偏好，这种情况下需要额外的或者不同的风险应对措施。

相反，可能风险在企业内部自然的抵消，或者单个部门可以是风险相对的，当风险组合起来时，可能被认为低于企业的风险偏好。

✧如果一个风险应对会导致剩余风险超过风险容限，管理当局就要对该应对进行相应的反思和修
改。

平衡风险与风险容限可能涉及一个反复的过程。

✧留意风险应对措施可能带来的机遇。

对于在处理某种特定风险时，还应当善于发现对公司持续
目标带来积极影响的潜在可能机会。

选择合适的风险应对措施
✧有效的风险管理要求选择一个应对措施或者将几个应对措施结合起来，将预期的风险可能性和
影响控制在风险承受度内。

✧管理当局要选择一个旨在使风险的可能性和影响处于风险容限之内的应对或者应对组合。

✧特定的应对措施可能解决多种潜在事件的风险，不必采取额外的措施。

✧企业要选择一个备选应对措施，并考虑其可能带来的附加风险。

评价剩余风险
✧一旦管理层选择了一个应对措施，就要建立一个执行计划来将此应对措施进行贯彻（控制活动），
确保风险应得以实施。

✧在评价应对措施的选择时，管理层要考虑风险应对措施产生的新风险，公司应当进行相应的分
析与评估。

✧随着方案的执行和应用，管理层总会发现剩余风险的存在。

选定某一风险反应方案后，管理者
应在剩余风险的基础上重新评估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。

各职能部分或者业务部门的管理者应该采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。

8. 控制活动
✧控制活动是指为确保管理层的风险应对措施被执行而采取的政策和程序。

✧控制活动在整个企业的各个部分、各个层面以及各个职能上发生，包括一系列的活动——如批准、
授权、审核、调整、经营业绩评价、资产安全以及职责分离。

✧控制活动是人们为贯彻政策而采取的政策和程序，来确保管理层的风险应对措施得到执行。

✧控制活动分别应用于四类目标中的每一类中——战略、经营、报告、执行。

✧在选择控制活动时，管理层要考虑他们是如何相互关联的，一个公司可以依靠一个单一的控制
活动来应付多重风险，可能有必要针对一项风险应对措施考虑多种控制活动。

✧控制活动是企业在努力实现其经营目标过程中的一个重要组成部分，控制活动不是单纯为了它
们自身的目标而执行的，或者因为看起来是应该做的“正确或恰当”的事情。

✧控制活动作为管理目标达成的机制，通常直接建立在管理者的程序中。

✧控制活动包括两个要素：建立一个应做什么的政策，以及使该政策生效的程序。

✧政策不管以口头还是以书面的形式，必须加以认真的执行。

如果机械地执行，没有一个明显的、
持续的政策指导文件的关注，一个程序可能是无用的。

控制活动的类型
✧直接运营管理——管理者活动业绩报告评价。

✧信息处理——为检查业务的准确性、完整性以及授权情况，企业采取了很多的控制：所输入的数
据服从于在线编辑检查或与批准的文件相匹配。

✧实物控制——设备、存货、证券、现金以及其他资产应保证实物安全，并定期清点，与控制记录
上显示的金额进行比较；
✧业绩指标——将不同集合的数据相互联系起来，并与相互联系的分析以及检查和更正活动一起，
作为一项控制活动。

9. 信息与沟通
信息原则
✧信息系统使用内部生成的数据以及外部事件、活动和条件的数据，为管理与企业目标相关的企
业风险和决策提供信息。

✧企业组织的所有层面需要信息来辨别、评估风险，并对其采取一定的应对措施，来管理企业并
使其达到目标。

✧每个企业要采集与企业管理相关的信息——财务的与非财务的，与外部和内部事件、活动相关的
信息。

✧信息要以一种能使员工履行其企业风险管理和其他职责的形式和时间表进行传递。

✧管理层要将一些信息进行处理并提炼，通过信息系统使之成为可运用的信息。

✧信息系统可以是正式的，也可以是非正式的。

✧企业的信息系统构建必须足够灵活，并能与新的客户和商业合作伙伴灵活有效地结为一体。

✧信息系统要用来支持企业的战略。

✧信息系统与经营活动结为一体，使管理者即刻获得财务和经营的信息，从而更有效地控制企业
的活动。

✧风险管理的信息要作为管理层持续程序的一部分来进行采集和开发。

✧信息的基础来源要和采集的数据纳入一个时间框架，并将其与企业需要识别的风险、评估的风
险以及对风险采取的应对措施保持一致，并维持在企业的风险承受度以内。

✧信息流的及时性需要与企业的变动率以及内外部环境保持一致。

✧信息要以一种可行动的、合理的、易于使用的形式和时间框架来提供，并与设定的责任相关联。

✧管理层要保证正确的信息以正确的方式和恰当的详细程度、在恰当的时间传递给合适的人员。

✧在开发信息基础设施时，应考虑每个使用者和部门独特的信息需求，以及不同管理层所需要的
信息的总水平。

✧要保证数据的可靠性，不准确的数据可能导致未识别的风险或风险评估不足、管理层决策失误。

信息质量包括是否确定：
✧内容是恰当的——详尽程度是否合适？
✧信息是及时的——是否在需要时提供？
✧信息是最新的——是否是最近的可获取的信息？
✧信息是准确的——数据是否正确无误？
✧信息是可以取得的——需要的人员是否可以容易获得这些信息？
✧为确保数据的质量，企业建立全公司范围的数据管理程序，包括数据和管理信息的采集、维护
和传递。

✧必要的信息可以存在与企业的内部、外部，并且必须在经常性的不同系统内无阻碍地自由流动。

沟通原则
✧沟通是信息系统的内在要求，有效的沟通应在企业的横向纵向流动中发生。

✧企业必须有一个向上沟通重要信息的方式，同时也存在与外部集团的有效沟通。

✧沟通可以采用政策手册、备忘录、电子邮件、广告牌布告、网络发布和录像带信息的形式。

✧内部
✧管理层要为员工的行为期望和责任提供特定的和直接的沟通，包括一个清晰的关于企业风险管
理哲学和方法的申明，以及一个明确的授权，过程和程序的沟通应该与期望的风险文化保持一致。

沟通应有效地：
✧确保对有效的企业风险管理重要性和相关性的意识；
✧沟通企业的风险偏好和风险承受力；
✧使用和支持通用的风险术语；
✧对员工在有效和支持企业风险管理构成要素中的角色和责任进行建议。

✧所有员工，要从高级管理者那里的到一个明确的信息，即企业风险管理必须严肃地对待。

✧公司必须有一个开放的沟通渠道和一个清晰的自发倾听意愿，员工必须相信他们的上级确实想
了解问题并有效地解决这些问题。

✧沟通渠道也应保证员工能通过经营单位、程序或功能来沟通风险基础的信息。

例如鼓励员工报
告可疑的违反企业行为守则的行为。

✧最关键的沟通渠道是高级管理层和董事会之间的沟通渠道，管理层必须让董事会了解最新的业
绩、发展、风险以及企业风险管理的功能和其他相关的事务，沟通的越好，董事会执行监察的职能就越有效，通过充当一个仔细调查的董事会，对关键事务提供建议、忠告和指导；同样，董事会也应与管理层沟通需要什么样的信息并提供反馈和指导。

外部
✧公司要有一个开放的外部沟通渠道，让顾客和供应商为产品或劳务的设计或质量提供重要的信
息，使公司了解顾客需求或偏好的演进。

✧通过外部沟通，管理层要考虑如何将其风险偏好或风险承受力与合作伙伴保持一致，保证不会
不经意的承担起合作伙伴的太多风险。

10. 监控
✧监控要通过持续监控活动、单独评价或者两者的结合得以实现。

持续监控出现在企业的日常管
理活动中，而单独评价的范围和频率则主要依赖于风险评估以及持续监控程序的有效性。

✧企业经营互动中发现的风险管理缺陷应该向上报告，对于严重的事件，应该报告给上层管理者
和董事会。

✧持续监控的程度和有效性越好，单独评价就会显得越不必要。

管理层为企业风险管理的有效性
提供合理的单独评价的频率依赖于管理层的判断。

✧企业风险管理的评价在范围和频率上有所不同，依赖于风险的重要性以及管理风险过程中的风
险应对和相关控制的重要性。

优先考虑的风险区域和应对措施将更为频繁地评价。

企业风险管理的整体评价与特定要素的评价相比通常频率较低。

✧通常情况下，评价是以自我评估的形式进行，由那些特定单位或职能部门负责的人员来决定他
们的活动所涉及的企业风险管理的有效性。

✧分析是以管理层对每一个构成要素设立的标准为背景进行的，最终的目标是决定该过程是否对
设定的目标提供合理的保证。

✧恰当水平的文件记录通常使监控活动更为有效。

当管理层对外部集团报告企业风险管理有效性
时，应考虑建立和保持文件记录来支持这个报告。

✧所有的影响一个企业建立和执行其战略和达到其设定目标的企业风险管理缺陷都应该向那些执
行必要活动的位置的人员报告。

✧进行交流的事件的属性可能有所不同，依赖于个人的对发生环境处理的授权以及上级的检查活
动。

✧企业应该存在可供选择的沟通渠道，用来报告一些敏感的信息，比如非法行为或不恰当的行为
等。

企业风险管理缺陷的发现通常不仅需要向参与该职能或活动的人员报告，而且向比该人员至少高一个级别的管理者报告。

✧企业应该建立草案来明确一个特定水平上有效决策所需的信息内容。

管理人员应该向下级详细
说明报告草案。

持续监控活动
许多活动是用来监控企业正常经营活动中企业风险管理的有效性。

这些活动包括定期的管理和监督活动、变量分析、压力测试、以及比较、调节和其他的常规活动。

经营报告与报告系统结合或协调起来，用来持续的管理经营活动。

在险价值模型用来评价潜在市场变动对企业财务状况的影响，决定企业的单位或职能部门是否仍处于确定的风险承受度内；。