最新COSO企业风险管理框架

企业风险管理框架
（九）本报告的用途
1、董事会成员
董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。

董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估，包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。

董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。

2.高级管理人员
本研究建议企业的首席执行官应评估企业风险管理的适应性。

使用本框架，CEO就可以与企业的其他主要经营和财务主管一道，注意企业内需要注意的地方。

使用一定的方法，CEO可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起，讨论对企业风险管理框架适应性和有效性的最初评估。

无论讨论的形式如何，风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。

最初的评估还应该保证企业再造的监控程序确实存在、确实有效。

企业花费在风险管理评估上的时间是企业的一项投资，而且是一项有高额回报的投资。

3.企业内其他成员
企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责，并与其上层管理者讨论有关思想以加强企业的风险管理。

内部审计人员则应该考虑其工作中关注企业风险管理的程度。

4.立法者
每个企业对企业风险管理的期望由于两个方面的影响而千差万别。

首先，由于对企业风险管理框架的硬件设施构建的不同认识，使得企业的风险管理框架各有不同。

一些观察家认为企业风险管理将会，或者应该会防止企业的经济损失，或者至少是防止企业破产。

第二，即使对企业风险管理能够做什么、不能做什么以及“合理保证”概念有一个共同的认识，对这概念的含义和应该如何应用这些概念也存在许多不同的观点。

为了使各方对企业风险管理的认识及其作用达成共识，就应该对企业风险管理框架及其局限性达成共识。

本框架的提出就是出于这一考虑。

5.专业机构
规则制定机构和其他专业组织已经提供了企业理财、审计和相关问题的指南。

本框架会使用这些机构颁布的有关准则和指南。

这样可以减少概念和术语的多样性，而一定程度地减少概念和术语的多样性对企业内外部各方都是有利的。

6.教育机构
本框架应该是理论研究和分析的一个题目，以寻找未来改进的方向。

如果这个报告作为企业风险管理通用的理论基础被广泛接受，那么其中的概念和术语就可以在学校的课本中找到。

（十）报告的组织
这个概览和框架报告的正文一起构成了企业的风险管理框架。

本概览为企业的CEO和其他高级执行官、董事会成员和企业外部的立法者提供了一个高度概括的说明。

而框架报告的正文部分则对企业风险管理的定义、原则和概念进行更为广泛和深入的讨论，为企业及其他组织中各层次管理者决定如何改进企业的风险管理提供了指导，并能够帮助企业的管理者和其他人员评估企业的风险管理提供帮助。

1、企业风险管理的相关性
章节摘要：企业风险管理被运用于策略制定，并贯穿于实体的各项活动中。

它使得管理部门
在面对不确定性的时候能够鉴别，评估并处理风险，同时有助于价值增值与保值。

企业风险
管理能提供更高的能力，来调整风险偏好与策略，把风险与增长及回报联系起来，加强风险
反应决断力，最小化经营上的突发状况和损失，鉴别并处理跨企业风险，对复合性风险提供
整体化反应，把提机会，合理化资本投资。

企业风险管理的一个潜在假定就是，每一个实体的存在都是为其风险承担者提供价值，不论
这个实体是盈利性的，非盈利性的还是政府机构。

所有实体都面临着不确定性，而管理部门
的挑战就是判定该实体在努力增加风险承担者价值的同时，准备承受多大程度的不确定性。

不确定性既提供了风险也提供了机遇，既有可能侵蚀价值也有可能增加价值。

企业风险管理
就是给管理部门提供了一个体制，可以有效地处理不确定性及相关风险、机遇，从而提高增
加价值的能力。

不确定性
诸如全球化、技术、监管、重组、市场变化及竞争等因素产生了不确定性，企业正是在这样
的环境下经营。

不确定性来源于不能精确地对潜在事件发生的可能性及相关结果进行判断。

不确定性还因实体的战略性决策而产生。

例如，一个实体的增长战略是基于向另一个国家扩
展经营业务。

这一选定的战略就产生了与该国家的政治、资源、市场、交通、人力资本及成
本相关的风险和机遇。

价值
价值是由于管理部门在所有活动中的决策而产生、保持或被侵蚀的，这些活动涉及到从战略
的制定至日常的企业经营。

决策中固有的一点就是识别风险和机遇，要求管理部门（注）考
虑内在和外在环境的信息，并根据变化着的环境来部署宝贵的资源和重新调整企业行为。

企
业价值是通过部署资源（包括人力、资本、技术及品牌）而产生的，因此获得的利润要大于
使用的资源。

实体通过专注于人力、工序、系统和行为创造持续性价值而保值的，包括产品
质量，生产能力，顾客满意度及其它一些东西。

价值会由于根据风险和机遇的不完全或不充
分信箱行事，或由于拙劣的战略或执行而受到侵蚀。

当管理部门的战略和目标在增长与回报
及相关风险，和追求实体目标过程中对资源的效率且有效果的部署之间突然得到了一个最优
平衡，价值就达到了最大化。

企业风险管理则便于对市场需求、无效率和其它事件进行识别，那些事件要么会产生创造价值的机会，要么会对战略及实现实体的目标带来风险。

当风险承
担者获得可确认的收益，实体就实现了价值，从而风险承担者实现价值。

例如，当股东从股
票增值中确认价值产生时，他们就实现了价值。

对政府实体而言，在选民以可接受的成本确
认收到有价服务时，价值得以实现。

非营利性实体的风险承担者则是在确认收到有价社会福
利时实现价值。

企业风险管理就是便于管理部门既能够创造可持续性价值，又能把所创造的
价值传送给风险承担者。

实体价值的计量
对价值的一种计量是该实体对其风险承担者的相对价值，效用或重要性。

许多公司管理部门
习惯于用财务指标来考虑价值，如经济利润、股东附加值、风险调整成本回报或整体股。

然而，财务指标并不总是价值的唯一代表。

对非盈利性机构的价值计量就是和它们所试图提供
的社会福利联系在一起的。

例如，一家为老年公民提供援助的非盈利性机构是根据对可接受
的高质量、长期健康照顾的获得性来衡量价值的。