COSO风险管理框架中文版

COSO风险管理框架中文版
概览
一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程，而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。

虽然管理者已经掌握了大量的企业风险管理的信息（包括大量公开出版的文献），但实务中却并不存在统一的术语，而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要，因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划，旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。

另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础，以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容，包括企业风险管理的定义、内容和基本原则，风险管理的优点、局限性以及各相关方的地位和职责。

本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。

如果想更加深入地了解有关知识，请看企业风险管理框架的全文。

（一）企业风险管理的相关性
企业风险管理的基本前提是每一个企业，无论是盈利组织、非盈利组织，还是政府机构，其存在的目的都是为其利益相关方带来价值。

所有的企业都要面对不确定性。

对企业管理者而言，所面临的挑战是在追求企业利益相关方价值增长的同时，决定企业准备接受的不确定性的程度。

不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。

风险管理框架就是为管理者提供一个框架，使其能够有效处理不确定性及相应的风险和机遇，进而提高企业创造价值的能力。

1．不确定性
企业经营的环境中有许多因素都会给企业带来不确定性，如全球化、技术、法规、企业重构、多变的市场以及竞争等。

不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

2．价值
从战略的制定到企业的日常经营，管理者的决策会创造、保持或减少企业的价值。

决策的本质就是确认风险和机遇，它要求企业的管理1应在考虑企业内、外部环境的因素的基础上，对企业的稀缺资源进行配置，并且根据环境的不断变化来调整企业的活动。

当企业的利益相关方取得其相应价值的可确认收益时，企业的价值也得到实现。

对于公司而言，当股东承认由于股价上扬所带来的价值时，他们也就承认了企业的价值。

对于政府机构，当该机构以一个可接受的成本所提供的服务的收益得到确认时，机构的价值就得以实现。

对于非盈利组织的利益相关方而言，当他们确认组织所提供的社会福利的价值时，他们也就承认了该组织的价值。

企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给利益相关方。

3．企业风险管理的优点
所有企业都是在有风险的环境下经营，而不是企业风险管理使企业面临这样的环境。

企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。

企业风险管理使企业的管理者能够：
（1）将风险偏好和企业的战略结合在一起。

从广义来讲，风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。

管理者在评估企业的战略方案时首先要考虑企业的风险偏好，其后，在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。

（2）将企业成长、风险和收益联系起来
经济主体在企业价值保值、增值的过程中也要接受相应的风险，同时预期补偿风险的相应收益。

企业风险管理提高了企业确认和评估风险的能力，进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。

（3）增加风险反应决策
企业风险管理提供了确认和选择不同的风险反应方案的严格标准。

企业的风险反应方案包括风险规避、风险降低、风险共担和风险接受。

企业风险管理提供了进行相关决策的方法和技术。

（4）使企业的经营意外和损失最小化
经济主体可能提高确认潜在事项、评估风险和明确反应方案，最后减少经营意外的出现次数以及减少相应的成本或损失。

（5）确认和管理企业的总体风险
每一个经济主体都面临着许多风险，而不同的风险会影响企业经营的各个方面。

管理不仅需要对每一种风险进行管理，还需要了解风险对企业总体的影响。

（6）针对多重风险提供完整的反应方案
企业的经营过程存在许多内在的风险，企业风险管理就是为管理风险提供一整套解决方案。

（7）抓住机遇
管理不仅要考虑风险，还需要考虑潜在的事项对企业的影响。

对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。

（8）合理分配资金
关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总体的资金需要，改进企业的资金配置。

企业风险管理本身并不是目的，它仅仅是实现目的的一种方式。

它不能、也无法在一个经济主体内单独运行，而是企业管理过程的一个推动器。

企业风险管理向董事会提供最重要的风险的信息以及这些风险应如何管理的建议，进而与公司治理相联系。

而且，风险管理与企业的绩效管理也有关，风险管理通过提供风险调节的措施和内部控制来帮助企业的绩效管理。

内部控制是企业风险管理的一部分。

风险管理帮助一个经济主体实现其经营和利润目标、防止资源的浪费。

它还有助于确保企业报告的有效性。

此外，企业风险管理还有助于保证企业遵守有关的法律、法规，避免其声誉受损并防止产生相应的不良后果。

总之，企业风险管理可以帮助一个经济主体实现其目标、及在实现目标的过程中避开陷井和防止意外的发生。

（二）企业风险管理的定义
企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证。

这一定义反映了一些基本概念：
1．企业的风险管理是一个过程――其本身并不是一个目的，而是实现目的的一种方式。

2．风险管理受人的影响――它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。

3．风险管理也适用于企业战略制定过程。

4．企业风险管理应在整个企业范围内应用，在每一个经营层面和每一个单位内应用，并应以一种企业总体的风险组合的观点来看待。

5．风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。

6．风险管理仅为企业的管理者和董事会提供合理的保证。

7．企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。

从广义上定义这一概念主要有几个原因：这一定义应包括公司和其他企业管理风险的几个基本概念，并可以应用于各种组织、行业和部门。

它直接针对企业目标的实现。

此外，这一定义应为定义企业风险管理的有效性提供一个基础。

上述基本概念详细论述如下：
1．一个过程
企业的风险管理并不是一个事项或环境，而是渗透于企业各项活动中一系列行动。

这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。

一些人认为，企业风险管理对企业的各项活动而言是多余的，是企业必须承担的一个负担，但COSO 的讨论稿则并不这样认为。

但有效的企业风险管理仍旧需要企业各管理层不懈的努力。

例如，风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析和计算。

但是，这些以及其他的企业风险管理机制与企业的经营活动是并存的，是由于最基本的商业原因而存在的。

当企业风险管理机制成为企业的基础设施并真正成为企业的一部分时，企业的风险管理会最有效。

通过建立风险管理，企业可以直接提高自身的战略执行能力，并提高企业预期和任务的实现能力。

建立风险管理对企业的成本构成同样有重要的影响，特别是在目前大多数企业都面临高度竞争的市场环境的情况下。

在现有工序的基础上增加新的工序会增加成本，而通过关注现有的经营过程以及他们对实现有效风险管理的贡献，并将风险管理整合到企业的基本经营活动之中，一个企业就能够避免不必要的工序和成本。

并且，将风险管理整合到企业日常的经营过程中有助于管理者抓住企业发展的新机遇。

2．受人的影响
企业的风险管理会受董事会、管理层和其他人员的影响，风险管理是通过组织内的人来完成的，是通过人的所做和所说实现的。

是企业内的人制定企业的任务/预期，战略和目标，并实施企业的风险管理机制。

同样，企业风险管理也影响人的行动。

企业风险管理要认识到人对事物的理解、沟通或执行并不总是一致的。

企业中的每个人都有不同的背景和技术能力，都有不同的需求和优势。

这些因素都会影响企业的风险管理，也会受风险管理的影响。

每个人的出发点都不同，这会影响他们对风险的确认、评估和反应。

企业风险管理就是要提供了一个机制，帮助人们从企业总体目标的角度认识风险。

企业的员工必须了解他们自己的职责和权限。

因此，除了要明确员工的职责和企业的战略和目标之间的联系之外，还要明确员工的职责和他们履行职责的方式之间的联系。

__一个组织的员工包括董事会成员、管理者和其他人员。

尽管企业的董事主要负责监督，但是他们同时也向管理者提供指导，核准企业的战略、某些活动和政策。

因此，董事会是企业风险管理的重要组成部分之一。

3．可应用于企业战略的制定
一个企业要确定其预期或任务，并制定其战略目标。

企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。

一个企业为实现其战略目标而制定战略方案，并将战略方案分解成相应的目标，再将目标层层分解到企业的各业务部门、行政部门和生产线。

在制定企业的战略方案时，管理者应考虑与不同的战略方案相关的风险。

4．应用于整个企业
为使企业的风险管理获得成功，一个企业必须从全局，从企业总体层面上考虑企业的活动。

企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动（如战略计划和资源分配）到各业务部门的活动（如市场部、人力资源部），到各业务流程（如生产过程和新客房信用审核）等等。

企业风险管理还可用于特定项目和新的行动计划，尽管该项目或计划可能在企业的管理流程或组织流程图中尚无明确的定位。

企业风险管理要求企业以风险组合的观点看待风险。

这会要求企业内负责各业务部门、行政部门、生产流程或其他活动的管理者对本部门的风险进行评估。

这些评估可以是定量的，也可以是定性的。

企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险，以决定企业总的风险组合是否与企业的风险偏好相对应。

管理者应以总体的组合观来考虑相关风险。

对相关的风险应予确认并采取措施使承担的风险落在企业风险偏好的范围内。

对企业内部每个单位的风险而言，可能都落在该部门的风险容忍度的范围内，但从总体来看，合并后的风险可能超过了企业总体的风险偏好。

企业总的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下贯彻。

5．风险偏好
风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。

企业通常采用定性的方法分析风险偏好，将风险偏好分为高、中、低三类；或者采用定量的方法分析风险偏好，反映出企业的成长性、收益性和风险目标，并在三个目标之间进行平衡。

风险偏好与企业的战略直接相关。

在制定战略时应考虑企业的风险偏好，并将战略的预期收益与企业的风险偏好联系起来考虑。

不同的战略会给企业带来不同的风险，在战略制定时应用风险管理，其目的是帮助管理者选择与企业的风险偏好相一致的战略。

企业的风险偏好指导企业的资源配置。

管理者在各业务部门间分配资源时应考虑企业的风险偏好和各个业务部门为取得预期的收益率所采用的战略。

管理者应将企业的风险偏好与企业的组织结构、人员和业务流程联系起来考虑，并应建立对风险有效反应和监督的必要的硬件设施。

风险容忍度是与要实现的目标相关的偏差的可接受程度。

在确定某一特定的风险容忍度时，管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。

在风险容忍度的范围之内经营更能够保证企业所承受的风险在其风险偏好的范围内。

反过来，就能够对企业目标的实现提供更高程度的保证。

6．提供合理保证
设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供合理的保证。

如果企业的风险管理有效，董事会和管理者在以下几个方面得到合理的保证：
－了解企业战略目标实现的程度；
－了解企业经营目标实现的程度；__－企业报告的可靠性；
－相关的法律和法规遵守的情况。

“合理保证”反映了“不确定性和风险都是与未来相关，而未来是没有人可以确切地预测的”这一思想。

这种局限性的其他原因包括：人们在进行决策时的判断可能出错；对风险反应的决策和所建立的控制需要考虑成本效益原则；由于人们的简单失误或错误可能导致的企业破产；可能由于两个或多个人的串通而绕过控制；管理者可能忽视企业的风险管理决策等等。

这些限制使得董事会和管理者无法在企业目标实现方面得到绝对保证。

7．目标的实现
有效的风险管理应该能够为企业目标的实现提供合理的保证，包括报告的可靠性、合法合规性目标等等。

这两类目标的实现都是在企业的控制范围内，其实现依赖于相关活动执行的好坏。

但是，战略目标和经营目标的实现并不总是在企业的控制范围内。

对于这两类目标，企业风险管理只能合理保证管理者和董事会从宏观上及时了解企业目标实现的进度。

（三）企业风险管理的组成要素
根据管理者经营的方式划分，企业风险管理包括八个相互关联的组成要素，这八个要素渗透于企业管理的过程之中，包括：
1．内部环境
企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。

内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。

它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。

内部环境包含很多内容，包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。

董事会是内部环境的一个重要组成部分，对其他内部环境的组成内容有重要的影响。

而企业的管理者也是内部环境的一部分，其职责是建立企业的风险管理理念、确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的行动计划结合起来。

让企业所有员工了解企业的风险管理理念有利于提高雇员确认和有效管理风险的能力。

风险管理理念是企业对风险的信念，是企业选择处理其活动和风险的方式。

它反映了一个企业期望从企业的风险管理获得一定的价值。

这一理念还会影响企业风险管理要素的应用方式。

管理者应将其风险管理理念通过政策说明书和其他沟通方式向企业的员工宣传。

更重要的是，管理者不应仅仅是在纸面上强调风险管理理念，还应在每天的行动中贯彻执行。

风险偏好由企业的管理者设定，董事会复核，是企业制定战略的一个控制指标。

通常为了实现某一个预定的增长或收益目标，企业可以制定许多不同的战略，而每一个战略都具有不同的风险。

在战略制定过程中，风险管理有助于管理者选择与企业的风险偏好相一致的战略方案。

管理者期望将企业的组织结构、人员、生产过程与硬件设施整合在一起，使得在战略的成功执行的同时将风险控制在风险偏好的范围内。

风险文化是企业员工共同的态度、价值观和实务操作程序的组合，表明企业在其日常活动中看待风险的方式。

对于许多公司而言，风险文化来自于企业的风险理念和风险偏好。

对那些不能明确界定其风险理念的企业，其风险文化的形成可能是随机的，而导致一个企业内存在明显不同的风险文化，甚至在一个业务部门、行政部门中都有可能存在明显不同的风险文化。

2．目标制定
根据企业确定的任务或预期，管理者确定企业的战略目标，选择战略方案，确定相关的子目标并在企内层层分解和落实，各子目标都应遵循企业的战略方案并与战略方案相联系。

在能够确定对目标的实现有潜在影响的事项之前，管理者就应确定企业的目标。

而企业风险管理就是提供给管理者一个适当的过程，既能够制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且这些目标还与企业的风险偏好相一致。

企业的目标可以分为四类：－战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期的实现。

－经营目标是指企业经营的效率性和效果性，包括经营业绩目标和盈利能力目标，由于管理者对企业结构和经营的不同选择，各企业的经营目标也不尽相同。

－报告目标指企业报告的有效性，包括企业内部和外部的报告，既包括财务信息，也包括非财务信息。

－合法性目标是指企业符合相关的法律和法规。

企业目标的这种分类可以使企业的管理者和董事会注意企业风险管理的不同方面。

企业的某一个特定目标可能不仅仅属于某一类目标。

企业的这些目标既相互区别但又相互重叠，可以明确企业的不同需要，并且可以分派给企业的某一个执行官作为其直接职责。

这种分类还可以区分企业不同类别目标的期望之间的区别。

某些企业还有另一类目标――“资源的安全”，有时也叫“资产的安全”。

从广义上看，这一目标是防止企业资产或资源的流失，这种流失可以是由于偷窃、浪费、经营的无效性，也可以是由于企业商业上简单的错误决策（如以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害行为，或者是出现未预期的负债等等）所引起的流失。

对某种报告目的而言，这种广义的资产安全类目标可能是一个狭义的定义，此时的
资产安全概念可以仅仅指预防或及时发现对企业资产的未经授权的购买、使用或处置。

3．事项识别
管理者意识到了不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。

作为事项识别的一部分，管理者应考虑会影响事项发生的各种企业内外部的因素。

外部因素包括经济、商业、自然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技术等事项。

一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。

事项识别技术既针对过去，又针对未来。

针对过去的事项和趋势的识别技术主要要考虑类似支付错误的历史、商品价格的变化和浪费时间的突发事件（Lost-time accidents）等事项，而针对未来风险的技术则主要考虑不断变化的人口统计资料、新市场和竞争者的行为等事项。

将潜在的事项进行分类对管理者而言是非常有用的。

通过在企业内各水平层面上对事项进行汇总、在营运部门内部对事项进行垂直地汇总，管理者能够对事项之间的相互关系有一个了解，这些信息也可以作为风险评估的基础。

潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。

对企业有潜在负面影响的事项是企业的风险，要求企业的管理者对其进行评估和建立反应方案。

因此，风险的定义就是，某一事项将要发生的可能性及其对企业目标的实现造成负面影响的可能性。

对企业有潜在正面影响的事项则是企业的机遇或者可以弥补风险对企业的负面影响。

机遇可以在企业战略或目标制定的过程中加以考虑，以制定有关行动抓住机遇。

可能弥补风险对企业负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。

4．风险评估
风险评估可以使企业了解潜在事项如何影响企业目标的实现。

管理者应从两个方面对风险进行评估――风险发生的可能性和影响。

风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。

对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据，这比没有任何数据的、完全的主观估计要客观得多。

根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见，能够得到比外部数据更好的结果。

但是，即使是以内部数据作为主要的资料来源，外部数据仍能用作一个检查标准或者改进分析。

当使用过去数据对未来进行预测时使用者必须小心，因为影响过去事项的有关因素可能会随着时间的推移而改变。

一个企业风险评估的方法通常是定量方法和定性分析技术的组合。

当风险本身无法量化时，或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时，管理者通常会采用定性的分析技术。

定量的分析技术通常更加精确，一般用于更为复杂多变的活动，作为定性分析的补充。

一个企业不需要在每个业务部门都使用同样的评估技术。

相反，对评估技术的选择应反映出对精确性的需要和该业务部门的文化。

在任何情况下，各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。

在衡量目标的实现程度时，管理者经常使用业绩计量指标。

当考虑某一风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。

管理者可以评估各事项之间的关系，因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。

虽然一个单一事项的影响可能很小，但是这样一系列事项则可能对企业造成重大影响。

各潜在事项之间可能并不直接相关，这时管理者可以分别对其进行评估，但是某些风险可能在企业的多个业务部门出现时，管理者可以将所确认的风险归为一类进行评估。

通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。

通过风险评估，管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响，单个事项或某类事项对企业的影响。

管理者通常只趋于关注中短期的风险，但风险应在企业战略和目标的前提下进行评估。

由于战略方向和目标的某些要素涉及较长时期，管理者因而应从长期的角度认识风险，而不能忽视远期会影响企业的风险。

首先，应对企业的固有风险进行评估。

固有风险是指管理者在没有采取任何会改变风险发生的可能性或影响的管理措施的情况下企业所面临的风险。

一旦确定了对固有风险的风险反应方案，管理者就可以使用风险评估技术确定企业的残留风险。

残留风险是指管理者采取了有关风险管理措施后应存在的风险。

5．风险反应
管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。

考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。

有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。

风险反应可分为规避风险、减少风险、共担风险和接受风险四类。

规避风险是指采取措施退出会给企业带来风险的活动。

减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。

共担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。

接受风险则是不采取任何改变风险发生的可能性或影响的行动。

作为企业风险管理的一部分，对于每一个重要的风险，企业都应按风险反应的类型考虑。