COSO企业内控风险管理模式

COSO企业内控风险管理模式

张玉翻译前言

10年前，COSO公布了《内部操纵----整合框架》来关心企业界和其他实体评判和加强他们的内部操纵

制度。从那时起该框架被结合并入成千上万企业的政策、规则和规定，并被企业用于更好地操纵他们的活动，朝着实现既定目标的方向前进。

近年来，关注的重点和焦点是风险治理，人们越来越清晰地认识到健全的框架关于有效地识不、评判和治理风险是专门有必要。在2001年，COSO提议了一个项目，并聘用普华永道会计事务所开发能方便治理部门用于评判和改进本组织企业风险治理的框架。

框架开发的整个期间显现了一系列具有高度标志性的企业丑闻和失败案例，使投资者、公司人员和其他利益相关者蒙受了庞大缺失。灾难的后果是要求用新的法律法规和上市标准来加强公司治理和风险治理。人们越来越多地认识到提供关键的原则和概念，共同语言和明确方向与指南的企业风险治理框架的必要性。

COSO认为，企业风险治理----一体化框架填补了这种需要，并期望该框架能被公司、其他组织和所有的利益相关者及团体广泛同意。

在美国的进展结果是出台了《2002年的萨班斯----奥克斯利法案》，其他国家也颁布了或正在考虑类似的立法。这类法律扩展了对公营公司爱护内部操纵制度的长期有效要求，要求治理层予以证实和独立审计师测试这些制度有效性。连续要求测试时刻的《内部操纵----整合框架》适用于满足报告要求的更广泛的公认标准。

《企业风险治理----整合框架》扩展了内部操纵，提供了一种更健全的和广泛的焦点在企业风险治理更

宽广的题目。它的目的不是取代内部操纵框架，而是将内部操纵框架合并在一起，公司能够决定审查企业风险治理框架，以满足内部操纵的需要和朝着更完备风险治理过程进展。

治理层所面临的最严肃挑战是决定本实体预备同意多大的风险，因为风险也能够通过奋斗而制造价值。本报告将更好地鼓舞企业迎接这种挑战。

执行总结

企业风险治理的全然前提是每一实体存在的目的是为其利益相关者提供价值。所有的实体都面临不确定性，对治理层的挑战是确定能同意多大的不确定性，因为不确定性也能够促进增加利益相关者的价值。不确定性同时表达为风险机会，具有流失或增加价值的潜力。企业风险治理鼓舞治理层有效地处理不确定性和相关的风险和机会，增强制造价值的能力。

当治理层制定的战略目标能力求达到增长和利润目标与相关风险之间的最佳平稳，并在追求本实体目标的过程中有效地调度资源时，价值能达到最大化。企业风险治理包括：

●连成一线的风险偏好与战略----治理层考虑本实体的风险偏好，在评估战略可选择方案时，制定相关目标，开发治理相关风险的机制。

●增强风险反馈决策----企业风险治理提供了森严的识不和选择可选择的风险反馈----即风险回避、降低、分摊和同意的制度。

●减少经营意外事故和缺失----各实体应获得增强的能力来识不潜在事件和建立反馈，减少意外事故和相关成本或缺失。

●识不和治理多样化的和交叉的企业风险----每一企业都将面临阻碍本组织不同方面的许多风险因素，企业风险治理能促进对相互关联的阻碍做出有效反应，对多样化的风险做出综合的反应。

●抓住机会----通过全面考虑潜在的事件，治理层被定位于识不和正面积极地抓住机会。

●改进资本配置----获得健全的风险信息，承诺治理层有效地评估总体资本需要，增强资本分配。

这些企业风险治理中内在的能力有助于治理层实现本实体的绩效和盈利能力目标，防止资源缺失。企业风险治理有助于保证有效的报告和遵守法律法规，幸免本实体的声誉受到损害和相关的后果。总之，企业风险治理有助于一个实体达到它想要实现的目标，幸免前进过程中的陷阱和意外事故。

事件----风险与机会

事件能够有负面阻碍、正面阻碍，或二者兼而有之。负面阻碍的事件表现为能阻碍价值制造或腐蚀现存价值的风险。正面阻碍的事件能够抵消负面阻碍或表达为机会。机会是一个事件将发生并积极阻碍目标实现、支持价值制造或爱护价值的可能性。治理层将机会引导向其战略或目标制定过程，制定抓住机会的打算。

规定了企业风险治理

企业风险治理处理阻碍价值制造或保值的风险和机会。其定义如下：

“企业风险治理是一个过程，受到一个实体的董事会、治理层和其他人员的阻碍，适用于战略制定和在整个企业设计识不可能阻碍本实体的潜在事件，在风险偏好范畴内治理风险，提供与实现实体目标有关的合理保证。”

该定义反映出一些差不多的概念。企业风险治理是：

●一个过程，连续并贯穿一个实体；

●受到一个组织每一层级人员的阻碍；

●适用于战略制定；

●适用于整个企业每一层次和单位，包括所采纳的实体总体层次风险业务责任观点；

●设计识不可能阻碍本实体的潜在事件，假如它们发生的话，在风险偏好范畴内治理风险，

●能够为一个实体的治理层和董事会提供合理保证；

●在一个或更多独立的但重叠的分类中加速目标的实现。

该定义的目标宽敞。它抓住公司和其他组织如何治理风险的关键差不多概念，为整个组织、行业和部门提供适用的依据。它把焦点直截了当放在实现由某一方面特定实体制定的目标，为定义企业风险治理的成效提供依据。

目标的实现

在实体既定使命和远景规划的条件下，治理层确定战略目标，选择战略和制定将整个企业连接成一线的目标。这种加速实现实体目标的企业风险治理框架，可陈述为四类：

●战略----高层目标，连接和支持其使命；

●经营----有效率和成效地使用其资源；

●报告----报告的可靠性；

●合规----遵守适用的法律法规。

这种实体目标的分类准许把重点放在企业风险治理的各不方面。这些性质截然不同但重叠的分类----

某一专门的目标能够分成几个分类，强调不同的实体需要并可能对不同的执行部门负直截了当责任。这种分类同样准许从每一目标分类之间区不能够预期的结果。同样也描述了一些实体使用的爱护资源的另一分类。

因为与报告可靠性和遵守法律法规相关的目标在实体的操纵范畴内，企业风险治理能够预期为实现这些目标提供合理的保证。然而战略目标和经营目标的实现易遭受实体操纵范畴之外的外部事件的阻碍，因此，企业风险治理能够提供合理的保证，使治理层认识这些目标和董事会意识到其监督作用，及时地促进整个实体朝着实现目标前进。

企业风险治理的组成部分

企业风险治理包括八个相关组成部分。这些组成部分来自治理层经营企业的方式，并与治理过程相结合。这些组成部分是：

●内部环境----内部环境包括一个组织的基调，制定作为整个实体的人们如何凝视和重视风险的依据，包括风险治理哲学和风险偏好、正直性和道德价值以及他们经营的环境。

●目标设定----在治理部门能够识不阻碍其业绩的潜在事件之前，必须存在有目标。企业风险治理保证治理部门制定目标的过程到位，选定的目标支持和本实体的使命联成一体，并与风险偏好相一致。

●事件识不----必须识不阻碍一个实体实现目标的内部和外部事件，区不风险和机会。机会开创了反馈治理部门战略或目标制定过程的渠道。

●风险评估----要分析风险，考虑可能性和阻碍，作为决定如何治理风险的依据。在固有的和有后效的基础上评估风险。

●风险反馈----治理部门选择风险反馈----即幸免、同意、降低或分摊风险，开发一系列行动，使风险与实体的风险承担能力和风险偏好联成一体。

●操纵活动----政策和程序的制定有助于保证有效地执行风险反馈。

●信息与沟通----以一种能够促进人们履行其职责的形式和时刻框架来识不、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上，即在实体内从上到下、相互交叉和自下而上的沟通。

●监控----对企业风险治理的整体进行监控并依照需要进行修改。通过连续的治理活动，分不评估，