新版COSO《企业风险管理框架》
最新COSO企业风险管理框架
企业风险管理框架(九)本报告的用途1、董事会成员董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。
董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估,包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。
董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。
2.高级管理人员本研究建议企业的首席执行官应评估企业风险管理的适应性。
使用本框架,CEO就可以与企业的其他主要经营和财务主管一道,注意企业内需要注意的地方。
使用一定的方法,CEO可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起,讨论对企业风险管理框架适应性和有效性的最初评估。
无论讨论的形式如何,风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。
最初的评估还应该保证企业再造的监控程序确实存在、确实有效。
企业花费在风险管理评估上的时间是企业的一项投资,而且是一项有高额回报的投资。
3.企业内其他成员企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责,并与其上层管理者讨论有关思想以加强企业的风险管理。
内部审计人员则应该考虑其工作中关注企业风险管理的程度。
4.立法者每个企业对企业风险管理的期望由于两个方面的影响而千差万别。
首先,由于对企业风险管理框架的硬件设施构建的不同认识,使得企业的风险管理框架各有不同。
一些观察家认为企业风险管理将会,或者应该会防止企业的经济损失,或者至少是防止企业破产。
第二,即使对企业风险管理能够做什么、不能做什么以及“合理保证”概念有一个共同的认识,对这概念的含义和应该如何应用这些概念也存在许多不同的观点。
为了使各方对企业风险管理的认识及其作用达成共识,就应该对企业风险管理框架及其局限性达成共识。
本框架的提出就是出于这一考虑。
5.专业机构规则制定机构和其他专业组织已经提供了企业理财、审计和相关问题的指南。
COSO 企业风险管理 – 整合框架
内部审计师 内部审计师在评价企业风险管理的有效性以及提 出改进建议方面起着关键作用。内部审计师通过 对主体企业风险管理的恰当性和有效性进行检查、 评价、报告和提出改进建议,来协助管理当局和 董事会或审计委员会。
十四、 十四、企业风险管理的局限性
风险与未来有关,而未来本来就具有不确定性。 企业风险不能对任何一类目标提供绝对保证。 决策过程中人类判断可能有存在缺点 由于类似简单差错或错误等人类失败会导致故障 的存在 控制可能会通过两个或多个人的串通而被绕过 管理当局有能力凌驾于企业风险管理过程 相关的成本与效益
权力和职责的分配 权力和职责的分配涉及到个人和团队被授权并鼓 励发挥主动性去指出问题和解决问题的程度,以 及他们对权利的限制。 人力资源准则 包括雇用、定位、培训、评价、咨询、晋升、付 酬和采取补偿措施在内的人力资源业务向员工传 达着有关诚信、道德行为和胜任能力的期望水平 方面的信息。
影响 一个组织的内部环境对企业风险管理如何持续地 实施和发挥作用具有重大影响。内部环境是应用 企业风险管理其它构建的环境,它通常具有强大 的正面或负面影响。一个无效的内部环境可能会 导致财务损失、损害公众形象,或经营失败。
相互依赖性 事项并不是鼓励地发生的。一个事项可能引发另 一个事项,事项也可能同时发生。 区分风险和机会 事项可能会带来正面或负面的影响。代表机会的 事项被反馈到管理当局的战略或目标制订过程中, 以便规划行动去抓住机会。抵消风险负面影响的 事项在管理当局的风险评估和应对中予以考虑。
八、风险评估
七、事项识别
管理当局识别将会对主体产生影响的潜在事项 – 如果存在的话,并确定它们是否代表机会,或者 是否会对主体成功地实施战略和实现目标的能力 产生负面影响。带来负面影响的事项代表风险, 它要求管理当局予以评估和应对。带来正面影响 的事项代表机会,管理当局可以将其反馈到战略 和目标设定过程之中。在对事项进行识别时,管 理当局要在组织的全部范围内考虑一系列可能带 来风险和机会的内部和外部因素。
【收藏】COSO新版企业风险管理框架全文解读(一):聚焦价值
【收藏】COSO新版企业风险管理框架全文解读(一):聚焦价值本文介绍COSO新版企业风险管理框架的第一册第一部分的第一章节:框架的介绍,本部分内容作为开篇介绍了本框架的整体定位和相关主题的关系:本部分COSO阐述了整合风险管理工作贯穿于组织提升治理、战略、目标设定和日常运营决策能力的始终,协助组织更加紧密的考虑战略和商业目标的相关风险从而获得更好的业绩,整合风险管理的宗旨是为组织创造、保持和实现价值指引方向。
表明了这个框架描述了一种方法,如何使一项职能整合融入主体中正在运行的其它业务活动。
1、强调了企业风险管理对价值的影响•当我们的收益超过了资源配置成本时,就创造了价值。
•当日常运营的资源配置可以持续创造价值,那价值就会保持。
•当管理层实施了一项战略并没有达到预期收益或任务执行失败,那就损害了价值。
•当利益相关方获得了主体创造的收益,价值随之实现,这种收益可以是金钱的,也可以是非金钱的。
无论是什么类型的主体,企业风险管理工作都可以整合融入其它业务来增强利益相关方的信任和信心。
2、使命、愿景和核心价值解释•使命:主体的核心宗旨,要实现什么而成立及为什么而存在。
•愿景:主体对未来状态的愿望或者组织未来想要实现的目标。
•核心价值:主体的价值取向以及对好与坏、接受或不接受的判断标准,这些将会影响组织的行为模式。
3、阐述了企业风险管理对战略的影响企业风险管理并不能创造主体的战略,但它可以影响战略的产生和发展。
一个组织将整合企业风险管理工作融入战略设定环节,它将给管理层提供需考虑的各种替代性战略并最终采用被选中的战略的相关风险信息。
4、论证了企业风险管理与商业运营的关联企业风险管理工作整合融入与商业运营的所有方面的工作,包括治理、绩效管理和内部控制工作。
治理指出了治理的一部分属于风险管理的范畴,而治理的某些方面内容不属于企业风险管理的范畴。
绩效管理绩效管理聚焦资源的高效配置,它关注的是跟预先设定的目标相比,如何衡量这些行动、任务和职能以及确定这些目标是否被达成。
内部控制框架的新发展企业风险管理框架COSO委员会新报告《企业风险管理框架》简介
内部控制框架的新发展企业风险管理框架COSO委员会新报告《企业风险管理框架》简介一、本文概述随着全球经济的不断发展和企业规模的日益扩大,企业面临着越来越多的风险和挑战。
为了帮助企业更好地应对这些风险,提高内部控制和风险管理水平,COSO(Committee of Sponsoring Organizations of the Treadway Commission)委员会在原有的内部控制框架基础上,推出了全新的《企业风险管理框架》报告。
本文旨在对该报告进行简要介绍,阐述企业风险管理框架的新发展,并探讨其对现代企业内部控制和风险管理的重要意义。
通过本文的阅读,读者将对企业风险管理框架有一个全面的了解,从而为企业构建更加完善的风险管理体系提供有益的参考。
二、COSO委员会及其新报告概述COSO委员会,全称“美国反虚假财务报告委员会下属的发起人委员会”(Committee of Sponsoring Organizations of the Treadway Commission),自1992年发布《内部控制——整体框架》以来,一直是全球企业内部控制和风险管理的权威指导机构。
近年来,随着全球经济环境的变化和企业经营复杂性的增加,COSO委员会意识到原有的内部控制框架已不能满足企业对全面风险管理的需求。
因此,经过数年的研究和讨论,COSO委员会于2017年发布了全新的《企业风险管理框架》(Enterprise Risk Management Framework,简称ERM 框架)。
新报告《企业风险管理框架》在原有内部控制框架的基础上,进一步拓展了风险管理的范围和深度。
新框架不仅强调了内部控制的重要性,还明确提出了企业风险管理的八大要素,包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。
这些要素相互关联、相互作用,共同构成了企业风险管理的完整体系。
与旧框架相比,新框架更加注重风险管理的战略性和系统性,鼓励企业从全局视角出发,全面识别、评估和管理风险。
深度解读《COSO新版企业风险管理框架(征求意见稿)》
深度解读《COSO新版企业风险管理框架(征求意见稿)》2016年6月,美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations ofthe Treadway Commission, COSO)发布了新版企业风险管理框架“企业风险管理-与战略和绩效协同”(EnterpriseRisk Management- Aligning risk with strategy and performance)征求意见稿,这是继2004年COSO正式公布企业风险管理框架(EnterpriseRisk Management Framework, ERM)以来第一次对ERM框架进行修订和完善,更确切的说是对ERM框架大刀阔斧的进行了重新构思和设计。
新版ERM框架已经于2016年9月30日截止全球范围内收集反馈意见,并计划于2017年第一季度正式公布,但实际上正式版迟迟推到了第三季度才公布,可见其内部经历了大量的讨论乃至争执,关于正式版框架解读稍候发布。
一、新版ERM框架出台的背景众所周知,在企业风险管理和内部控制理论研究领域,COSO组织有着举足轻重的位置,从1992年出版企业内部控制整合框架(InternalControl- Integrated Framework)以来,作为在美上市公司内控体系建设的指导框架,不仅得到了美国证监会的认可,而且在全球范围内被众多国家相关企业和上市公司监管机构采用和推广,如中国财政部2008年发布的《企业内部控制基本规范》即采用了COSO 组织1992年发布的内部控制框架要素和内容。
2000年以来,企业界在实施了十来年内部控制框架之后,发现即便建立了完善的内部控制体系,仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损失案例,所以COSO组织开始从更高的一个角度来思考企业的管理活动以及内部控制体系的局限性。
内部控制体系确实对实现财务报告的可靠性和有效性提供了合理的保障(从实践经验看,内部控制体系的建立对经营和合规两个目标的支持力度并没有像财务目标那样得到很好的体现),但是企业需要从整合风险管理的角度为企业创造价值并合理保障公司战略目标的实现。
COSO更新版《企业风险管理框架》(3)
企业风险管理框架4、风险评估风险评估可以使企业了解潜在事项如何影响企业目标的实现。
管理者应从两个方面对风险进行评估一一风险发生的可能性和影响。
风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。
对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据,这比没有任何数据的、完全的主观估计要客观得多。
根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见,能够得到比外部数据更好的结果。
但是,即使是以内部数据作为主要的资料来源,外部数据仍能用作一个检查标准或者改进分析。
当使用过去数据对未来进行预测时使用者必须小心,因为影响过去事项的有关因素可能会随着时间的推移而改变。
一个企业风险评估的方法通常是定量方法和定性分析技术的组合。
当风险本身无法量化时,或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时,管理者通常会采用定性的分析技术。
定量的分析技术通常更加精确,一般用于更为复杂多变的活动,作为定性分析的补充。
一个企业不需要在每个业务部门都使用同样的评估技术。
相反,对评估技术的选择应反映出对精确性的需要和该业务部门的文化。
在任何情况下,各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。
在衡量目标的实现程度时,管理者经常使用业绩计量指示。
当考虑某一风险对实现某一特定目标的潜在影响时,使用这些计量指标同样有效。
管理者可以评估各事项之间的关系,因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。
虽然一个单一事项的影响可能很小,但是这样一系列事项则可能对企业造成重大影响。
各潜在事项之间可能并不直接相关,这时管理者可以分别对其进行评估,但是当某些风险可能在企业的多个业务部门出现时,管理者可以将所确认的风险归为一类进行评估。
通常一个潜在事项结果是一个可能的范围值,管理者应将其作为制定风险反应方案的基础。
COSO新版企业风险管理框架风险绩效曲线介绍
COSO新版企业风险管理框架风险绩效曲线介绍COSO委员会在今年9月公布的新版企业风险管理框架中,最大的一个变化就是不再孤立的谈风险管理工作,而是将其作为一个文化、能力和实践,更好的融入企业管理中,为企业实现其各层面的管理目标而服务。
为了更好的体现这种融入,新框架中介绍了一个“风险概况图”并出现数次,用来解释一个用以关联风险和绩效的曲线。
一、最基本的风险绩效曲线介绍下图就是最基本的COSO的风险绩效曲线,用横轴表示绩效(Performance),纵轴表示风险(Risk),一条蓝色曲线绘制了不同绩效目标下需承担的风险概况。
紫色的竖线是目标线,指的是绩效目标设定的大小。
红色的横线表示的是主体的风险偏好,包含了对风险类型和风险量的描述。
蓝色曲线与紫色目标线的交点指的是在既定的绩效目标下,需要承担的相应的风险概况;蓝色曲线和红色风险偏好线的交点即承担的风险达到风险偏好时,可以实现的绩效目标;或者说当绩效目标增长到某一特定值时,主体承担的相应风险达到风险偏好的总量。
如果主体的绩效目标设定在了风险偏好以上的蓝色曲线对应的X 轴的绩效值,那将是一种被视为冒险和激进的绩效目标。
二、为了体现风险与绩效关系,舍弃了风险承受度的概念为了更好的展示风险和企业绩效之间亲密无间的关系,COSO也是下了血本,生生的把风险承受度的概念给删除了,要知道这个概念在风险管理领域可是深入人心的概念。
COSO为了使风险和绩效可以直接挂钩,“不让中间商赚差价”,必须把能省的都省掉,所以风险承受度的含义就被整合进了风险偏好,而启用了“可接受的绩效波动范围”作为承受度(容忍度)的新概念。
在上图中,橙色虚线中,与横轴的两个交点之间的距离,即是代表不同的绩效值,代表着“可接受的绩效波动范围”,这就是原来对于“风险承受度”概念的直接外现。
三、什么是绩效COSO本次框架更新虽然画出了风险绩效曲线,但是并没有详细定义Y轴的绩效(Performance)到底是什么,只是对绩效管理进行了定义:绩效管理:对实现或超过战略和商业目标所做付出的度量。
实施与运行—COSO新版企业风险管理框架主体要素解读
实施与运行—COSO新版企业风险管理框架主体要素解读实施与运行部分作为新版企业风险管理框架的第三个要素,是指在既定战略和商业目标下,结合风险偏好的设置,对风险进行识别和评估的内容,一共包含五个原则:10. 识别风险11. 评估风险严重程度12. 进行风险排序13. 实施风险应对14. 建立风险组合观识别风险这部分可以概括为四个方面的关注点:根据战略和商业目标,识别其面临的相关风险,并关注风险的不断变化及新兴风险;使用风险清单对风险进行分类;将风险视为日常工作的一部分,使用多种方法识别风险(人工智能、数据跟踪、访谈、关键指标、流程分析、研讨会、问卷);相同风险的表述方式不同,会影响对风险的不同反应评估风险严重程度(风险水平)这部分包括八个方面的关注点:对风险进行评估;从组织不同层面评估风险的风险水平;选择风险评估指标,从影响程度和可能性两个方面;选择风险评估方法,从定性和定量两个方面;明确固有风险、预期剩余风险和实际剩余风险;展示风险评估结果(风险图谱、风险绩效曲线);确认触发重新评估的条件和机制;降低风险评估中的偏见进行风险排序这部分包括五个方面的关注点:建立风险排序的标准;确定风险优先级;使用风险偏好来确定风险优先级;不同层面的优先级;避免风险优先级偏见实施风险应对这部分包括四个方面的关注点:选择风险应对方式(承受、规避、追求、降低、分担等);实施风险应对;考虑成本和收益;考虑风险应对产生的新风险风险组合观这部分包括三个方面的关注点:理解风险组合观,从组织整体和组合视角考虑风险的影响;从不同层面将风险进行整合的组合视角;结合风险绩效曲线分析风险组合观讨论几点:1、对于新兴风险(Emerging Risk)的关注近些年,我们大踏步的进入信息社会,巨大的技术变革让我们面临的不确定性越来越大,也越来越难读懂未来的趋势将会给我们带来什么样的影响,在这个过程中,涌现出来一批由于环境的变化、技术的变化、目标的变化、认知的变化带来的之前没有遇到过、不易量化或觉察的风险,我们把它称之为新兴风险(Emerging Risk)。
COSO风险管理框架中文版
COSO风险管理框架中文版COSO风险管理框架是一种广泛应用于企业风险管理的框架。
它由COSO(美国管理会计学会委员会)开发,旨在帮助企业有效管理和控制风险,并提升企业的绩效。
该框架主要由五个组成要素构成,分别是控制环境、风险评估、控制活动、信息与沟通以及监控活动。
下面我们就来详细介绍一下每个组成要素:1. 控制环境:控制环境是指企业内部的一些基础性因素,它们对风险管理至关重要。
这些因素包括企业的管理者对风险管理的关注程度、道德价值观、组织结构、人力资源策略等。
一个良好的控制环境将能够识别和理解企业所面临的风险,并为其他组成要素的实施提供支持。
2. 风险评估:风险评估是指对企业面临的风险进行识别、分析和评估。
它可以帮助企业确定风险的重要性和潜在影响,并为后续的控制活动提供依据。
风险评估可以通过内部审计、风险调查等方式进行。
3. 控制活动:控制活动是指为管理和控制风险而采取的策略、政策和程序。
这些控制活动可以包括内部控制措施、风险管理政策、员工培训等。
通过有效的控制活动,企业可以降低风险的发生概率和影响程度,并确保业务的顺利进行。
4. 信息与沟通:信息与沟通是指将与风险管理相关的信息及时传达给企业的相关利益相关者。
这些信息可以包括风险评估结果、控制活动的效果、异常报告等。
通过及时、准确地传达信息,企业可以更好地与利益相关者合作,共同管理和控制风险。
5. 监控活动:监控活动是指对企业风险管理框架的运行进行评估和监控。
企业可以通过内部审计、独立评估、风险指标等方式进行监控。
监控活动可以帮助企业发现潜在的风险和问题,并及时采取相应措施。
COSO风险管理框架通过以上五个组成要素的有机结合,帮助企业实现风险管理的全面覆盖。
它可以帮助企业建立有效的风险管理体系,提高组织的风险管理能力,降低风险对企业的不利影响。
在现今不断变化的商业环境中,企业需要密切关注风险管理,并根据COSO风险管理框架的指导原则,制定适合自身发展的风险管理策略。
COSO企业风险治理框架
COSO企业风险治理框架1. 框架概述COSO企业风险治理框架由5个相互关联的组成部分组成,包括:内部环境内部环境是一个组织的基础,包括组织文化、风险承受能力和道德价值观。
这一组成部分确保组织能够有效管理风险并实现业务目标。
目标设定目标设定明确了组织的目标,并确定实现这些目标所需的资源和方法。
通过明确定义和沟通目标,组织能够更好地识别和处理风险。
事件识别事件识别是指识别可能对组织实现目标产生积极或负面影响的事件或情况。
通过早期识别和评估,组织能够及时采取措施来管理和应对风险。
风险评估风险评估涉及对已识别的风险进行分析和评估,确定其可能性和影响程度,并优先处理高风险事件。
这有助于组织在有限的资源下更有效地管理风险。
控制活动控制活动是指组织采取的措施来减轻和控制风险的行动。
这包括制定和执行内部控制措施、建立监控机制以及对风险进行持续监测和评估。
2. 应用COSO企业风险治理框架的好处应用COSO企业风险治理框架可以带来以下好处:- 提供一种系统性的方法来管理企业风险,有助于组织识别和解决风险问题。
- 通过明确的目标设定和风险评估,帮助组织更好地管理资源和应对挑战。
- 建立内部控制机制,提高组织运营的效率和效果。
- 为监管机构、投资者和其他利益相关者提供一种可信的风险管理框架,增强组织的声誉和信任度。
3. 应用COSO企业风险治理框架的要求要有效应用COSO企业风险治理框架,组织应考虑以下要求:- 高层管理人员应从组织文化和领导力方面支持和推动框架的应用。
- 组织应在内部环境、目标设定、事件识别、风险评估和控制活动五个方面建立有效的管理措施。
- 框架应根据组织的特定需求进行定制,考虑不同的业务风险和环境要素。
- 组织应持续监测和评估风险管理的有效性,并根据需要进行调整和改进。
4. 结论COSO企业风险治理框架是一种有效的风险管理工具,可以帮助组织识别、评估和应对风险,提高管理效能和组织绩效。
通过应用该框架,组织能够更好地实现业务目标并维护其声誉和信任度。
新版COSO框架完整版
原则四 企业制定完善旳政策吸引、发展、保 存人才
关注要点:
1. 制定了有关旳政策与制度 2. 关注员工旳胜任能力,并连续改善 3. 不断吸引、发展、保存人才 4. 制定了岗位继任计划
原则五 使员工各自担负起内部控制有关职责,共同 实现目旳
关注要点:
1、经过组织、权限及责任分工明确每名员工旳责任 2、 制定了绩效衡量以及鼓励惩处机制 3、 在组织内部形成遵守内部
关注要点:
1、拟定独立于信息系统运营旳信息系统一般控制 2、建立有关旳基础构架旳控制活动 3、建立有关旳信息安全管理控制活动 4、建立有关旳信息系统购置、开发、运营维护控制活
动
原则十二 组织经过合理旳政策制度和确保这些政策 制度切实执行旳流程程序,来实施控制活动
关注要点
1、建立有关旳政策和程序来落实控制活动 2、建立政策和程序执行旳责任和义务机制 3、使用有胜任能力旳员工来执行控制活动 4、注意控制活动执行旳及时性 5、定时维护并更新政策及程序
信息与沟通
原则十三 组织获取或生成,并使用有关、有质量旳 信息来支持内部控制发挥作用
关注要点:
1、辨认各环节旳信息需求 2、建立内部、外部数据获取渠道 3、将有关数据处理成有用旳信息 4、确保信息处理过程有效 5、衡量信息获取旳成本与收益
原则十四 内部控制旳目旳和责任在内旳必要信息传 达给每位员工
新COSO框架对五要素旳分解不是按照子要素来 进行旳,而是作为“原则”来呈现旳,即强调“基于 原则”旳内控实施和管理层判断旳使用。新框架并未 要求对17项原则及其关注点进行单独评估以拟定其是 否存在或有效。管理层能够自由判断新框架所提供关 注点旳合适度或有关度, 然后根据企业旳详细情况, 来选择和考虑与某一特定原则亲密有关旳关注点。能 够说,在这一点上,COSO新框架吸收了《萨班斯法 案》经过后来旧框架实施成本高旳教训,使内控实施 愈加灵活,同步节省了实施成本。
coso《企业风险管理——整合框架》在实践中存在的不足
coso《企业风险管理——整合框架》在实践中存在的不足
《企业风险管理——整合框架》是一种综合性的管理方法,用于识别、评估和应对企业所面临的各种风险。
虽然这个框架在实践中具有一定的优势,但也存在一些不足之处。
以下是一些常见的不足:
1. 信息不足:企业风险管理需要大量的信息支持,但在实践中,由于信息不全或不准确,可能导致风险评估和决策的不准确性。
2. 管理层参与不足:企业风险管理的成功需要全面的参与和支持,但在实践中,管理层可能缺乏对风险管理的重视,导致风险管理计划的实施效果不佳。
3. 方法局限性:《企业风险管理——整合框架》虽然提供了一种综合性的管理方法,但仍存在一定的局限性。
例如,在风险评估方面,缺乏具体的量化方法,使得评估结果可能主观或不准确。
4. 缺乏跨部门合作:企业风险管理需要各部门之间的紧密合作和协调,但在实践中,由于各部门的利益差异和沟通不畅,可能导致风险管理计划的实施困难。
5. 需求不匹配:《企业风险管理——整合框架》是一种通用的管理方法,但在实践中,企业的需求可能各不相同。
因此,在具体应用时,需要根据企业的特点和需求进行适当的调整和定制。
综上所述,《企业风险管理——整合框架》在实践中存在一些不足,但这并不意味着该框架无用或不重要。
企业在应用这一框架时,应该充分考虑到具体情况,并针对不足之处采取相应的措施和改进措施。
内部控制框架的新发展——企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介
内部控制框架的新发展——企业风险管理框架——COSO 委员会新报告《企业风险管理框架》简介内部控制框架的新发展——企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介近年来,随着企业经营环境的不断变化,风险管理逐渐成为企业内控的重要组成部分。
在这一背景下,COSO(内部控制框架委员会)发布了最新报告《企业风险管理框架》,为企业提供了一种新的内部控制框架。
本文将对该报告进行简要介绍和分析。
报告的核心思想是企业风险管理的重要性。
它强调,企业需要建立有效的风险管理体系,以应对内外部风险对企业经营的影响。
报告指出,一个成功的企业风险管理框架应包含以下五个组成要素:内部环境、目标设定、风险评估、风险响应和风险监控。
首先,内部环境是一个企业风险管理框架的基础。
企业需要建立一种风险管理的文化,以确保员工都意识到风险管理的重要性,并且愿意积极参与。
其次,目标设定是企业风险管理的关键步骤。
企业需要确立明确的目标,将风险管理融入到企业的战略和操作中。
只有明确的目标才能指导企业的风险管理活动。
第三,风险评估是企业风险管理的核心。
企业需要识别和评估潜在的风险,并确定它们对企业目标的影响程度。
这包括内部风险和外部风险的评估,以及识别可能造成损失的潜在事故和事件。
第四,风险响应是企业风险管理的关键环节。
报告强调,企业需要采取适当的措施来管理和应对风险。
这包括防范措施、减轻措施和转移措施。
企业还应制定应急计划和恢复计划,以便在风险发生时能够及时做出反应。
最后,风险监控是企业风险管理的必要步骤。
企业需要建立一套有效的风险监控机制,以确保风险管理策略的有效执行,并及时调整策略以应对新的风险。
除了以上五个组成要素外,报告还指出了两个关键概念:信息与沟通和监察。
信息与沟通是风险管理过程的基础,企业需要确保相关信息能够及时准确地流通,并与相关方进行有效的沟通。
监察是为了保证风险管理活动的合规性和效果,在报告中被视为一个至关重要的因素。
新版COSO《企业风险管理框架》
新版COSO《企业风险管理框架》:有哪些变化?2016-12-156月24日,反虚假财务报告委员会下属发起组织委员会(COSO)发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。
1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM)在组织机构内真正行之有效。
为什么要更新?对过去十年的回顾与总结自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。
当然框架的实施还面临其他挑战:∙企业风险管理的实施范围往往并不面向整个组织机构,并且很少被运用到战略制定中。
如此一来,COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点——“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。
∙COSO最初在编制框架时采用了类似于内部控制框架所使用的立方体。
虽然COSO对立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。
企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。
∙许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。
在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由内部审计部门主导的情况下。
∙2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。
∙最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。
简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。
内部控制框架的新发展——企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介
内部控制框架的新发展——企业风险管理框架——COSO 委员会新报告《企业风险管理框架》简介引言内部控制框架是对企业内部管理结构、政策和程序的描述,通过对风险进行识别、评估和应对,以确保企业能够有效实现其目标。
近年来,COSO(委员会Sponsoring Organizationof the Treadway Commission)委员会发布了一份新的报告,《企业风险管理框架》,这标志着内部控制框架的新发展。
本文将对该报告进行简要介绍和分析。
一、COSO委员会与《企业风险管理框架》简介COSO委员会是一个非营利性组织,致力于改善和发展内部控制和风险管理的范例。
该委员会成立于1985年,由五个行业组织共同发起,其最著名的作品是1992年发布的《内部控制框架》。
随着全球商业环境的不断变化,COSO委员会于2017年发布了最新报告《企业风险管理框架》,以适应时代的需求。
《企业风险管理框架》是对内部控制框架的升级版本,更加注重风险的综合管理。
该框架由五个互相关联的组件构成,包括:企业风险管理环境、风险评估、风险处理、信息和沟通以及监控。
这些组件协同工作,为企业提供全面、系统和持续的风险管理。
值得一提的是,《企业风险管理框架》在制定过程中充分考虑了数字化、全球化和可持续发展等现代企业面临的新挑战。
二、《企业风险管理框架》的特点和意义1. 强调风险管理的重要性《企业风险管理框架》将风险管理放置在战略规划和业务运营的核心位置,强调了风险管理对于企业生存和发展的重要性。
通过明确风险管理的目标、原则和组件,帮助企业建立起更加有效的风险管理体系。
2. 强调风险管理的一体化《企业风险管理框架》强调风险管理应当贯穿于整个组织的各个层级和业务领域,而不是一个独立的功能。
风险管理需要融入到企业的文化和决策中,成为每个员工的职责和习惯,以确保风险管理的全面性和连续性。
3. 强调风险管理的动态性《企业风险管理框架》指出,风险管理是一个动态的过程,需要根据企业内外部环境的变化进行不断调整。
审阅与修订—COSO新版企业风险管理框架主体要素解读
审阅与修订—COSO新版企业风险管理框架主体要素解读摘自COSO新版企业风险管理框架审查与修订部分作为新版企业风险管理框架的第四个要素,因为组织的风险管理实践和能力需要随着时间、环境、业务背景发生变化,所以需要适时审阅风险管理工作的适用性,一共包含三个原则:15. 评估重大变化16. 审查风险和绩效17. 企业风险管理的改进评估重大变化这部分可以概括为三个方面的关注点:▪经营过程中的整合审查,识别剧烈变动的情形;▪▪内部环境的变化引起的重大变化,如发展速度、创新技术、重大人事变革;▪▪外部环境的变化引起的重大变化,如监管和经济环境等▪审查风险和绩效这部分包括两个方面的关注点:▪经营过程中的整合审查,对风险管理的整体效果和绩效的实现情况;▪▪考量主体能力,超额完成绩效和未达成情形下的风险承担;▪企业风险管理的改进这部分包括一个方面的关注点:▪针对一些反馈持续改进企业风险管理工作。
如新技术、运行过程中的发现的缺点、组织的变动、风险偏好、风险分类、沟通的情况、行业对标、业务的发展速度等。
▪本要素并没有包含风险管理工作的监督内容,这部分内容应该也属于这个要素的一部分,本框架给出的意见是和监督相关的内容直接参考COSO内部控制框架2013版的相关监督内容部分。
两个点讨论:一、当下就面临对重大变化的评估前几年,我们协助企业进行评估时,一个重大变化必须要考虑的是重大人事变动。
如果有重要的人事变动,尤其是一把手变动时,对整个企业的风险偏好、风险承受度、风险文化等等都会产生根本性的影响,这是个在当前中国企业中不得不考虑的变动要素。
主要领导人的性格、年龄、性别、经历、特长、个人偏好等使其在管理和决策中会展现与之前的不同领导风格。
所谓不确定性中的确定性,就是组织可以建立一套可以长期被认可和实践的制度、流程和文化,打造这样的组织确定性偏好来尽量避免个人偏好的不确定性,使组织可以在大方向上不至于由于领导层的更迭而偏离太远。
COSO企业风险管理框架2017版发布!!看看有哪些变化?
COSO企业风险管理框架2017版发布!!看看有哪些变化?近期,COSO发布了新版(2017版)的企业风险管理框架:《企业风险管理—与战略和业绩的整合》。
相较于2004年发布的上一版框架《企业风险管理—整合框架》,新框架强调了制定战略和提升绩效过程中的风险。
该版本框架主要分为两个部分:第一部分提供了对当前和不断发展的企业风险管理概念和应用的看法。
第二部分为框架内容,由五种易于理解的部分构成,这五部分容纳了不同的观点和执行结构,并加强了战略和决策的制定。
2017版的框架在哪些方面做了更新呢?我们为大家做了简单的翻译整理COSO的新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关方提供价值,但在价值追求过程中会面临不确定性。
“不确定性”一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。
因此,新的框架认为:管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。
有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。
对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定:企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。
新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。
COSO表示新框架:✎更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色;✎优化了企业绩效与企业风险管理之间的协调关系;✎涵盖了治理和监督预期;✎提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性;✎提供了将风险置于更复杂商业环境下进行考量的新方法;✎将提升利益相关方透明度的预期纳入风险报告范围;✎涵盖了对决策起支持作用的科学技术进步及数据分析手段。
COSO在更新过后的框架里介绍了五大要素,并且如2013年更新内部控制框架时为每个要素罗列了相关原则。
COSO更新版《企业风险管理框架》(5)
COSO更新版《企业风险管理框架》(5)企业风险管理框架(六)包括内部控制内部控制是企业风险管理不可分割的一部分。
这里所说的企业风险管理框架包括内部控制,为企业的管理提供了一个更强的概念基础和工具。
在《内部控制——整体框架》中已经对内部控制进行了定义和描述。
由于《内部控制—一整体框架》是现有的规则、法规和法律的基础,因此本讨论稿保留其对内部控制的定义。
整个《内部控制—整体框架》报告都是本框架的参考。
(七)企业风险管理的局限性有效的风险管理可以帮助管理者实现企业的目标,但是,无论企业风险管理设计得如何完善、运行得如何有效,它也不能保证一个企业永远成功。
企业目标的实现还要受管理过程内在局限性的影响。
政府政策或项目的改变、竞争对手的行动或经济条件都超出了管理者的控制范围。
人的决策可能会出错,因而企业很有可能由于人的简单的错误或过失而破产。
而且企业风险管理也不能把一个本来就很差的管理者变好。
此外,企业员工两人或多人合谋可以绕过控制,管理者也有权利绕过企业的风险管理过程,包括风险反应和风险控制过程等。
企业风险管理的设计必须反映企业资源稀缺的现实,而且风险管理的收益必须对应风险管理的成本。
因此,虽然企业风险管理可以帮助管理者实现企业的目标,但它并不是一颗万(八)各管理层在企业风险管理中的地位和职责一个组织的每个人在企业风险管理中都负有责任。
1.董事会企业的管理者向董事会负责,而董事会向管理者履行治理、指导和监督职能。
通过选举管理者,董事会在界定其所期望的员工的操守和价值观时起主要作用,并能够通过监督活动证实其对员工的预期。
同样,通过在某些关键的决策中保留其权限,董事会在制定战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。
董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:了解管理者在企业内部建立有效的风险管理的程度;获知并认可企业的风险偏好:复核企业的风险组合观并与企业的风险偏好相对照;评估企业最重要的风险并评估管理者的反应是否适当。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新版COSCO企业风险管理框架》:有哪些变化?2016-12-156月24日,反虚假财务报告委员会下属发起组织委员会(COSO发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。
1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM在组织机构内真正行之有效。
为什么要更新?对过去十年的回顾与总结自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。
当然框架的实施还面临其他挑战:•企业风险管理的实施范围往往并不面向整个组织机构,并且很少被运用到战略制定中。
如此一来,COSO!架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点――“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。
*COSO1初在编制框架时采用了类似于内部控制框架所使用的立方体。
虽然COSO寸立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。
企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。
•许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。
在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由内部审计部门主导的情况下。
*2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。
•最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。
简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。
鉴于上述原因,企业风险管理框架在早些年并未获得施展拳脚的机会。
直至金融危机爆发,许多企业高管都并不知晓该框架抑或不确定应如何应对。
然而,金融危机爆发后,有关问题和价值主张便开始明朗起来。
众所周知,一个完全失控的行业触发了一场惨烈的全球性金融危机。
这场危机就未知事项的潜能给人们上了宝贵的一课,“黑天鹅”这种词汇也在业界流行开来。
所有的经验教训再次印证了有效风险管理的几大关键要素的重要性,包括不遗余力的董事会、全力支持的首席执行官、开放透明的企业文化、能够有效平衡长短期利益的薪酬结构,以及最为重要的一点一一管理层在察觉危险来临时能够反其道而为之的决心和毅力,而所有这些要素的获得离不开对企业风险管理持之以恒的坚持和保护。
危机过后,先行者的价值和优势更是一目了然。
董事会开始提出不同以往和更急尖锐的问题,CEO们也开始想方设法与董事会开展对话,以引起整个企业对有关风险事项的关注和重视。
值得注意的另一现象是,持续剧烈变化的商业环境正在不断关压缩商业模式的半衰期。
一种以前所未有的速度摧毁既定商业模式的强大趋势正在形成,稳步发展的数字化技术只是冰山一角,它不仅能够让消费者和企业轻而易举地获取史无前例的海量信息,而且也会快速地制造有关他们的信息。
此外,还有席卷阿拉伯世界的所谓“阿拉伯之春”的革命浪潮、日益加剧的民族情绪和紧张的地缘政治局势、人口老龄化、对网络的依赖、不断扩大的收入差距、伊斯兰国哈里发恐怖主义的兴起、涌动的难民潮,以及更近一些的油价暴跌,种种负面事件不胜枚举。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。
现实再清楚不过:要想战胜各类突发中断性事件,企业领导必须能够迅速识别有关变化的重要迹象,以及自己的市场和商业模式可能会受到的影响。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。
在此呼声中,COSO^现他们恰可以借此机会:将企业风险管理和各利益相关方的期望更明确地联系在一起;将风险与企业绩效挂钩,而非将风险作为一种独立的活动来关注;以及改善企业对未知的预期和准备。
事实上,作为先行者的企业并非只是把潜在变化当作潜在危机来对待,他们也从中寻求潜在的市场机遇。
有哪些新变化?基于风险的方法COSO勺新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关方提供价值,但在价值追求过程中会面临不确定性。
“不确定性” 一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。
因此,新的框架认为:管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。
有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。
对风险与价值之间关系的着意强调亦体现于COSO寸企业风险管理定义的简化和关注点的重新界定:企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。
新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。
cos懐示新框架:•更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色;•优化了企业绩效与企业风险管理之间的协调关系;•涵盖了治理和监督预期;•提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性;•提供了将风险置于更复杂商业环境下进行考量的新方法;・将提升利益相关方透明度的预期纳入风险报告范围;•涵盖了对决策起支持作用的科学技术进步及数据分析手段。
COS(在更新过后的框架里介绍了五大要素,并且如2013年更新内部控制框架时为每个要素罗列了相关原则。
我们将在下文讨论各大要素及其原则。
风险治理和风险文化是确保企业风险管理行之有效的强大基石。
风险治理和文化的重要性新框架的第一大要素为企业风险管理其他四大要素提供了基础。
风险治理确定企业的基调,强化并确立企业风险管理的监督职责。
文化则事关道德价值、具责任感的企业行为、对业务环境的了解,并且体现于决策过程中。
风险治理和风险文化是确保企业风险管理行之有效的强大基石。
该基本要素涉及六个原则。
风险治理和文化1.履行董事会风险监督职能2.建立治理和运营模式3.定义理想的企业行为4•恪守诚信和职业道德5.实施问责6.吸引、发展和留任优秀人才履行董事会风险监督职能 一一风险治理和文化始自企业最高层, 即董事会的影响和监督。
董 事会必须担负起风险监督的职责, 并具备提供有关监督所必需的技能、 经验和业务知识。
当 董事会大多由独立人员组成时,便可对执行管理层和整个企业起到有效的监督和制衡作用。
COSO 表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两 个维度要考虑,因为它们可能会对企业风险特征产生重大影响。
建立治理和运营模式 一一一个企业的战略执行, 体现于管理层为实现企业目标而对日常经营 活动的组织和执行中。
由于运营模式一般包含法务和管理架构以及相应的报告路径, 因此如何管理和治理该模式可能会触及一些新的和不同的风险或复杂情况, 进而影响到企业执行战略、管理风险及实现目标。
定义理想的企业行为——COSO 对理想企业行为的界定乃基于企业的核心风险价值观及态度。
不论企业认为自己是风险厌恶型、风险中立型或风险激进型,动结果认真负责的态度、 决策过程中对风险的明确考量, 征确保风险可以被纳入日常业务。
恪守诚信和职业道德一一值得注意的是,COSO^注的是贯彻于整个企业的基调。
虽然高层 基调由管理层和董事会的运营风格及个人行为所决定,但他们的基调必须渗透至企业各个层面。
这意味着中层基调必须与高层保持一致, 唯有如此,基层基调才能够反应理想的核心价值及风险态度。
横跨整个企业的基调应是无界的, 也就是说,企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。
因此,必须建立和评价有关行为准则,任何偏离这些准则的行为都必须予以及时处理。
对于如何建立恰当的基调, 坦诚地沟通有关风险及风险承担情况是至 关重要的。
实施问责一一企业各级人员都必须对企业风险管理负责。
企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。
这种问责制应始于董事会和 CEO 并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。
董事会和CEO 必须时刻保持警惕,确保企业内部的压力不会造成不负责任的和 /或违法行为。
针对这一点,COSO 表示可能导致发生上述行为的过大压力往往来自: 不切实际的绩效目标、不同利益相关方相互冲突的业务目标,以及短期财务绩效奖励与长期利益相关方预期(例如C0SO 都建议它们培养一种风 险意识文化。
这种文化的特点包括:英明果断的领导力、当仁不让的管理风格、对行动和行 以及积极开放的风险对话。
这些特企业的可持续性目标)脱节。
COSOS称,这种压力既可能来自企业内部(例如企业不合时宜的绩效奖励或战略变更),也可能来自企业外部(例如影响销售业绩的客户需求发生了变化或一项颠覆性的改变影响了企业的运营模式)。
吸引、发展和留任优秀人才一一最后,风险治理和文化还要认识到根据企业目标积累人力资本和人才的重要性。
管理层必须界定执行战略所必需的知识、技能和经验;制定适当的绩效预期;吸引、发展和留任合适的人员及战略合作伙伴;以及安排好继任计划。
从多方位关注战略制定许多企业将关注点放在识别战略执行风险上。
然而,在企业风险管理的第二大要素中,COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。
第二个维度是“战略可能会不符合”企业的使命、愿景和核心价值,而后者体现的正是企业想要实现的目标及意图采取的开展模式。
一个错位的战略将增加企业无法实现使命的风险,即使有关战略获得成功实施。
需要考虑的第三个维度是“所选战略的影响”。
COS越样表述道:管理层在制定战略以及与董事会讨论其他可能的选择时,他们会就战略中所固有的利弊做出权衡。
每个可能的战略都有其自身的风险特征一一这就是战略的影响。
董事会和管理层需要考虑有关战略是否与企业的风险偏好一致,以及它会如何推动企业制定目标,并最终对资源做出有效分配。
总之,通过明确战略制定流程需考虑的所有三个维度,cos蔚框架将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。
企业风险管理的风险战略及目标制定要素涉及五大原则。
风险战略与目标制定7.考虑风险和业务环境8.定义风险偏好9.评估替代战略10.制定业务目标时考虑风险11.界定可接受的绩效偏差考虑风险和业务环境一一新框架透过内外部环境来审视业务环境。