COSO风险管理框架.ppt

1、COSO风险管理框架,清华大学会计研究所 陈武朝副教授 电话：62772083 Email： 2008年9月,主要内容,COSO ERM框架 实施风险管理要点 内控与企业风险管理的关系 中央企业全面风险管理指引,COSO ERM框架,COSO认为，内部控制是风险管理的一部分。 在内部控制-整体框架的基础上,COSO于2003年出台了企业风险管理框架 征求意见稿，并于2004年9月正式发布。,COSO ERM框架（续）,企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于整个企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量（风险

2、承受范围）之内，并为主体目标的实现提供合理保证。,COSO ERM框架（续）,企业风险管理框架,COSO ERM,COSO ERM框架（续）,怎样理解该定义？企业风险管理是： 一个过程，它持续地流动于主体之内； 由组织中各个层级的人员实施； 应用于战略制订； 贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观； 旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内； 能够向一个主体的管理当局和董事会提供合理保证； 力求实现一个或多个不同类型但相互交叉的目标。,COSO ERM框架（续）,目标的实现 在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企

3、业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标： 战略（strategic）目标高层次目标，与使命相关联并支撑其使命； 经营（operations）目标有效和高效率地利用其资源； 报告（reporting）目标报告的可靠性； 合规（compliance）目标符合适用的法律和法规。,COSO ERM框架（续）,企业风险管理的构成要素 内部环境（Internal Environment） 内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。 建立一套与风险管理相关的理念。它认为，意

4、外事项与预期事项都可能发生。 建立企业风险文化。 考虑组织行为如何影响其风险文化的一切其它方面。 目标设定（Objective Setting） 必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。 在目标设定中，应用于管理层考虑风险策略的时候 制定公司的风险承受能力从高层面观察，管理层和董事会愿意接受多大的风险 风险容忍度, 目标相关变量的可接受水平，与风险承受能力一致。,COSO ERM框架（续）,事项识别（Event Identification) 必须识别影响主体目标实现

5、的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。 风险评估(Risk Assessment) 通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。 一个事项是指可能影响战略执行或目标实现的一个事件或发生的事情。 辨别风险与机遇 风险是一个事项发生，并对目标实现产生负面影响的可能性。 可能有积极影响的事项，代表正常抵消或机遇。 风险衡量采用与相关目标相同的衡量单位。 时间区间已指定，并与目标一致。,COSO ERM框架（续）,风险应对(Risk Response) 管理当局选择风险应对回避、承受、降低或者分

6、担风险采取一系列行动以便把风险控制在主体的风险容限（risk tolerance）和风险容量以内。 控制活动(Control Activities) 制订和执行政策与程序以帮助确保风险应对得以有效实施。 信息与沟通(Information & Communication) 相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。 监控(Monitoring) 对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。,COSO ERM框架（续）,注意： 企业风险管理并不是一个严格的

7、顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。,COSO ERM框架（续）,有效性 认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此，构成要素也是判定企业风险管理有效性的标准。 构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。 如果确定企业风险管理在所有四类目标上都是有效的，那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和

8、法规的程度。 八个构成要素在每个主体中的运行并不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太健全。尽管如此，当八个构成要素存在且正常运行时，小规模主体依然会拥有有效的企业风险管理。,COSO ERM框架（续）,局限 尽管企业风险管理带来了重要的好处， 但是仍然存在着局限。除了前面讨论过的因素之外，局限还导源于下列现实： 人类在决策过程中的判断可能有纰漏， 有关应对风险和建立控制的决策需要考虑相关的成本和效益， 类似简单误差或错误的个人缺失可能会导致故障的发生， 控制可能会因为两个或多个人员的串通而被规避，以及 管理当局有能力凌驾于企业风险管理决策之上。 这些局限使得董事会和管理

9、当局不可能就主体目标的实现形成绝对的保证。,COSO ERM框架（续）,涵盖内部控制 内部控制是企业风险管理不可分割的一部分。 企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。 内部控制是在内部控制整合框架中加以定义和描述的。由于该框架经受了时间的考验，并且成为现行规则、法规和法律的基础，因此内部控制整合框架对内部控制的定义和框架依然有效。尽管内部控制整合框架的正文中只有一部分被该框架所引用，但是ERM通过参考的方式把该框架整体融合了进来。,COSO ERM框架（续）,职能与责任 主体中的每个人都对企业风险管理负有一定的责任。 CEO负有首要责任，并且应当假设其拥有所有

10、权。 其他管理人员支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围内依据风险容限去管理风险。 风险官、财务官、内部审计师等通常负有关键的支持责任。 主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。 董事会对企业风险管理提供重要的监督，并察觉和认同主体的风险容量。 很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成部分。,COSO ERM框架（续）,比内控的概念更广 对公司管理至关重要 目标范围更宽，为战略提供反馈 风险管理办法更稳健,COS

11、O ERM框架（续）,企业风险管理的关键观念 以组合观点评价风险。 管理层与董事会协商必须树立广义的风险承受能力。 侧重平衡价值、增长与风险,COSO ERM框架（续）,怎么办？ 更广的风险观： 一个公司目前的风险比以前所有风险都高。 我们不会因为以前做的决定来评估目前的情况。 风险可能就在我们的决策框架和激励机制中。 必须关注外部环境 风险讨论必须上升到董事会层面,COSO ERM框架（续）,提高风险意识 内控 扩展到财务报告讨论层面以上。不能在不了解风险的情况下讨论控制。 必须考虑外部环境： 环境变化 可持续性 竞争性行为 潜在竞争性行为,COSO ERM框架（续）,提升风险管理 必须采用

12、正确的衡量标准 外部：美国和欧洲正发展为更加知识化的经济 公司的投资方向在哪里？ 怎样衡量风险？ 怎样将这些与现有会计方法做对比？,COSO ERM框架（续）,最新的观点 内控工作结合风险管理，对实现公司的经营目标十分重要； 在评估公司如何实施风险管理方面，需要公司董事会的参与，并发表明确的意见； 建议将内控纳入公司正常管理和治理流程中，建议不要将内控看作独立的监管工作。,COSO ERM框架（续）,企业风险管理是两个框架中最稳健的，但从开始就要求做更多的工作。 企业风险管理能够，并应该融入公司文化中。这将带来很大的成本效益。,COSO ERM框架（续）,以目标为起点 应用于各级组织的活动中

13、八个要素 事项和风险 风险承受能力和风险容忍度 组合模型,基础方面,关键概念,实施全面风险管理要点,组织设计 建立一个全面风险管理的组织 实施风险评价 确定总体风险容量（ risk appetite ） 确定风险相应（ risk responses ） 沟通风险结果 监控（ Monitoring ） 管理层监督（ Oversight ）与定期复核,实施全面风险管理要点（续）,组织设计 企业战略 关键目标 使得企业达到（？）关键目标的相关目标 对组织单位及其负责人的职责分配,实施全面风险管理要点（续）,例： 使命 提供高质量的、可得到的、可承担的社区医疗服务 战略目标 成为中等规模城市的第一或第

14、二大能的所有医疗服务提供者 相关目标 与10个经营状况不佳的医院负责人对话，年内与其中两个医院达成协议,实施全面风险管理要点（续）,2.建立一个全面风险管理的组织 确定风险哲学 调查风险文化 考虑组织的道德价值观 决定角色与责任,例：全面风险管理组织架构,风险管理官员 (ERM Director),副总或首席风险官（CRO）,公司信用风险经理 (Corporate Credit Risk Manager),保险风险经理 （Insurance Risk Manager）,风险经理 （ERM Manager）,风险经理 （ERM Manager）,职员,职员,职员,社区风险 管理官员,实施全面风险

15、管理要点（续）,3.实施风险评价 风险评价是识别、分析达成目标所面临的风险。这是管理风险的基础 例： 环境风险 资本筹集 监管、政治、法律 金融市场、股东关系 流程风险 运营风险 授权风险 信息处理/技术风险 完整性风险 财务风险 决策所需信息 运营风险 财务风险 战略风险,Source: Business Risk Assessment. 1998 The Institute of Internal Auditors,风险分析,实施全面风险管理要点（续）,4.确定总体风险容量（ risk appetite ） 应采用定性或定量术语（如，对利润的影响，对声誉的影响），并考虑风险容限（ risk

16、 tolerance ）。 关键问题： 组织无法接受哪些风险？ 如，环境或服务质量打折 组织拟主动承受哪些风险？ 如新业务 组织出于竞争性目标拟接收哪些风险？ 如毛利或市场份额,实施全面风险管理要点（续）,5.确定风险响应（ risk responses ） 量化风险敞口 组织的选择 承担=监控 规避=减少 减少（对冲）=组织控制 分担=与合作者分担风险，如买保险,风险影响与发生可能性,控制(Control),分担（Share),监控与控制(Mitigate & Control),承担(Accept),高风险,中等风险,中等风险,低风险,低,高,高,影响,可能性,风险影响与发生可能性-客服中心

17、风险评价,会计分录出错 设备过时 相同问题不断反映,电话掉线 计算机丢失,信用风险 客户等待时间长 客户不能打通电话 客户问题得不到答复,舞弊 失去交易 员工士气,高风险,中等风险,中等风险,低风险,低,高,高,影响,可能性,控制 风险控制目标活动,完整性重大交易复核已记录账面 未记录债务 结账后将发票与账面负债相互核对,例: 应付账款处理,实施全面风险管理要点（续）,6.沟通风险结果 表：列出风险及风险响应 流程图：说明关键控制点 文字说明：目标以及相应的运营风险以及风险响应 列表：被监控的关键控制 管理层应理解关键业务的风险责任及其分派 7.监控 收集信息 进行分析 风险被恰当地识别 控制

18、活动恰当地发挥作用以减小风险,实施全面风险管理要点（续）,8.管理层监督与定期复核 管理层对风险管理具有受托责任（ Accountability ） 及时更新 业务目标变化时 系统变化时 流程变化时,内控与企业风险管理的关系,有效的内控财务报告,Set OBJECTIVES,识别威胁目标实现的风险,执行有效的控制环境，作为防范风险的第一防线,设计并执行有效的控制活动，以解决风险,开展有效的信息与沟通，以协助组织实现其目标,建立有效控制之后，开展监控活动，以保证控制继续有效运行。,事项识别,风险评估,风险应对,设定目标,内控与企业风险管理的关系（续）,内控框架,企业风险管理框架,中央企业全面风险

19、管理指引,为指导 国资委履行出资人职责的企业(即中央企业)开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，根据中华人民共和国公司法、企业国有资产监督管理暂行条例等法律法规，国资委制定了该指引。,中央企业全面风险管理指引,指引的主要内容 中央企业开展全面风险管理工作的总体原则 基本流程 风险评估 风险管理策略 风险管理解决方案 监督与改进 组织体系 风险管理信息系统 风险管理文化 培训,中央企业全面风险管理指引,企业风险的定义 指未来的不确定性对企业实现其经营目标的影响。 一般可分为 战略风险 财务风险 市场风险 运营风险 法律风险等 以能否为企业带来盈利等机会

20、为标志，可以分为 纯粹风险(只有带来损失一种可能性) 机会风险(带来损失和盈利的可能性并存),中央企业全面风险管理指引(续),全面风险管理的定义 指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。包括 风险管理策略 风险理财措施 风险管理的组织职能体系 风险管理信息系统 内部控制系统,中央企业全面风险管理指引(续),风险管理基本流程 包括 收集风险管理初始信息 进行风险评估 制定风险管理策略 提出和实施风险管理解决方案 风险管理的监督与改进,中央企业全面风险

21、管理指引(续),风险管理总体目标 确保将风险控制在与总体目标相适应并可承受的范围内； 确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告； 确保遵守有关法律法规； 确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性； 确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失,中央企业全面风险管理指引(续),建立健全全面风险管理体系的思路 企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件(指重大风险发生后的事实)的管理

22、和重要流程的内部控制为重点，积极开展全面风险管理工作。 具备条件的企业应全面推进，尽快建立全面风险管理体系； 其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。 企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线： 各有关职能部门和业务单位为第一道防线； 风险管理职能部门和董事会下设的风险管理委员会为第二道防线； 内部审计部门和董事会下设的审计委员会为第三

23、道防线。,中央企业全面风险管理指引(续),风险管理初始信息 企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。 针对不同类型的风险，企业应搜集不同的信息。,中央企业全面风险管理指引(续),风险评估 包括： 风险辨识 指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。 风险分析 对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件 风险评价 评估风险对企业实现目标的影响程度、风险的价值等 定性与定量方法相结合 定性方法问卷调查、

24、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。 定量方法用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等,中央企业全面风险管理指引(续),中央企业全面风险管理指引(续),中央企业全面风险管理指引(续),中央企业全面风险管理指引(续),对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后，依据评估结果绘制风险坐标图。,中央企业全面风险管理指引(续),绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定各风险管理的优先顺序和策略。如：某公司绘制了如下风险坐标图，并将该图划分为A、B、C

25、三个区域，公司决定承担A区域中的各项风险且不再增加控制措施；严格控制B区域中的各项风险且专门补充制定各项控制措施；确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。,中央企业全面风险管理指引(续),关键风险指标管理 关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤： 1分析风险成因，从中找出关键成因。 2将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。 3以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。 4建立风险预警系统，即当关键成因数值达到关键风险指标时

26、，发出风险预警信息。 5制定出现风险预警信息时应采取的风险控制措施。 6跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。,中央企业全面风险管理指引(续),压力测试 指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。具体操作步骤： 1针对某一风险管理模型或内控流程，假设可能会发生哪些极端情景。 2评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目标可能造成的损失。 3制定相应措施，进一步修改和完善风险管理模型或内控流程。,中央企业全面风险管理指引(续),风险管理策略 指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。 一般情况下， 对战略、财务、运营和法律风险风险承担、风险规避、风险转换、风险控制等方法。 对能够通过保险、期货、对冲等金融手段进行理财的风险风险转移、风险对冲、风险补偿等方法。,中央企业全面风险管理指引(续),风险管理解决方案 方案一般应包括 风险解决的具体目标， 所需的组织领导， 所涉及的管理及业务流程， 所需的条件、手段等资源， 风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。,中央企业全面风险管理指引