(风险管理)COSO委员会对企业风险管理的报告(一)

（风险管理）COSO委员会对企业风险管理的报告

（一）

COSO委员会对企业风险管理的报告（一）

编者按（iaudit）：COSO-ERM是COSO委员会继“内部控制－整体框架”（即COSO报告）后又起草的关于企业风险管理的标准框架。中国会计视野设区论坛“内部审计”版面将组织各位网友翻译该报告。以下文字（报告的第1、2部分）得力于kingfly、nosir、pengjingen三位网友的努力已经翻译完成，有些翻译的相当好，有些还需要改进，无论如何，都为我们版面乃至视野奉献了一份辛苦和热情，在此表示感谢。附件把三部分中文部分整合起来,方便大家阅读。

目录：（页码代表原文的页码）

1．企业风险管理的意义 (1)

2．框架概览 (6)

3．内部环境 (19)

4．目标设定 (29)

5．风险识别 (38)

6．风险评估 (47)

7．风险应对 (53)

8．控制措施 (60)

9．信息和沟通 (68)

10．监控 (79)

11．企业风险管理的局限性 (88)

12．任务与责任 (92)

13．如何实施 (102)

附录：

A目标和方法

B企业风险管理框架（COSO-ERM）和内部控制――综合框架（COSO）的关系

C参考文献

D应考虑的评论意见

E词汇

1、企业风险管理的意义――翻译第一部分（译者kingfly）

本章小结：企业风险管理由一系列策略框架组成并且贯穿企业的经济业务活动。它使管理层能够识别、评估和管理那些表面上看无法确定的风险，以此来支持价值的创造和维持。企业风险管理使企业能结合风险偏好和策略，联系风险和企业的成长与回报，加强了应对风险能力，减少了经营中的意外和损失的发生，识别和管理贯穿整个企业的风险，面对多重风险提供综合应对方法，帮助企业抓住机会，并且能使企业的资金得到合理的安排。

这里提出的企业风险管理的含义中企业包括每一个实体，不论是盈利的还是非盈利的或是政府部门，只要他们向他们的利害关系人提供价值。所有的实体都会面对一些不确定，管理层面对的挑战是去决定当企业在为增长股东的价值而努力的时候，将会面对多少不确定因素。不确定性代表了风险和机会，潜在的事件可能销减价值也可能增加企业的价值。企业风险管理为管理层提供了一个框架，能有效的应对风险，使风险和机会相结合，提升企业创造价值的能力。

不确定性

企业的经营环境由很多因素组成诸如全球化、技术、法规、重组、不断变化的市场、和竞争都会产生不确定性。不确定性源于无法准确的确定潜在事件发生的可能性和随之带来的结果。不确定性也由于企业战略选择的不同而产生。比如，一个企业基于向国外扩张的成长型策略。这一策略随之带来的是与该国政治环境、资源、市场、渠道、劳动力和成本相关的风险和机会。

价值

价值由企业经营管理层①从政策的制定到经营管理的决策日复一日的活动而产生、维持或减少。决策的

固有性就是识别风险和机遇，这就要求管理层考虑相关的信息既包括内部和外部的环境，还要调动以前的资源并且调整企业的经营活动以适应不断变化的环境。

通过调动资源包括人力、资本、技术和品牌，使所获得得收益大于所使用的资源最终创造价值。企业维持价值也通过集中人力、生产过程、系统和措施去创造持续的价值，包括其他因素，象产品质量、生产能力和客户满意程度。

（①管理层――在这里和以后所指的管理层还包括在很多企业风险管理活动中执行的非管理层人员。也会由于执行的不完全、或是因为所搜集的相关风险的信息不完整、策略的制定或执行存在缺陷而被削弱了。）

当管理层的策略和目标使企业的成长、回报和相关的风险保持一个较好的平衡的时候，价值也会增加，并且在追求企业的目标的同时能有效率且有效的利用各方资源。企业风险管理能判断市场的需求、无效性和其他事件，这些都提供了创造价值的机遇或是需要管理的风险并且达到企业的目标。

实体实现价值当股东获得确定的收益作为他们价值的回报时。对于公司，当股东认可从每股价值成长创造的价值时他们实现了价值。对于政府部门，当组成部门承担可接受的成本认可了有价值的服务时，实现了价值。非盈利性实体的股东实现价值当他们接受有价值的社会收益时。企业的风险管理使管理层能创造持续的价值并且把这些价值传递给股东。

实体价值的衡量

衡量价值时需要考虑包括相对价值、实用价值或者是实体对于股东的重要性。很多公司管理层习惯于考虑价值以财务方法象经济利益、股东附加价值、资本风险调整收益或者全体股东回报。这些财务衡量指标都有一个共同的前提――在价值产生前资本的成本必须被弥补。然而，这些财务指标并不总是作为唯一的价值判断标准。衡量一个非盈利机构的价值可能要联系他们所提供的社会利益。比如，一个非盈利的为老年人服务的机构衡量其价值时考虑老年人能承受的高质且长期的医疗保障。

企业风险管理的作用

没有一个企业是在没有风险的环境下经营的，而企业的风险管理也不能在这样的环境下产生。所以，企业风险管理使管理层能在充满风险的环境下更有效的经营。

企业风险管理的作用：

使风险偏好（riskappetite）与制定的策略一致

风险偏好是指公司或是其他的实体追求目标时在普遍情况下都愿意接受的风险程度。管理层首先考虑实体的风险偏好是在评价所选择的策略时，然后是在制定与所选策略一致的目标时，接着是在为了管理相关的风险而开发系统时。比如，一个制药公司的品牌价值需要保持较低的风险偏好。相应的，为了保护它的品牌，公司持有大量的协议以确定其产品的安全并且相应的投资大量的资源在早期的研发阶段，以支持品牌价值的创造。

成长性、风险性和回报的联系――实体可接受的风险作为价值的创造和维持的一个部分，并且他们希望有与承担的风险相应的回报。企业风险管理提供了识别和评估风险，建立与成长和回报目标相关的可接受的风险水平。比如，一个保险公司的策略计划管理带来的是所有商业个体的成长性和回报计划。识别和加以考虑所得到的风险，选择反馈信息、根据每个商业个体和整个公司的目标调整商业单位的计划，分配资金。

增强风险应对决策能力

企业风险管理提供了严格的程序从多种风险应对措施中识别和选择――避免风险、减少、分担还是接受。比如，一个公司对使用公司拥有和经营的汽车管理中接受那些固有的风险诸如汽车损坏和人员受伤害的成本。可选择的方式有通过有效的招募和培训司机以减小风险，通过外部承运以避免风险，利用保险转嫁风险或是仅仅去接受风险。企业风险管理提供了方法和技术为做类似的决定。

减少经营中的意外和损失

实体增强了识别潜在事件、评估风险和建立反应机制的能力，这就能减少意外事件的发生和相关的成本和损失。比方说，一个制造公司跟踪产品部件和设备的废品率和对平均值的偏离程度。这个公司采用多