COSO-ERM

编者按：COSO-ERM是COSO委员会继“内部控制整体框架”（即COSO报告）后又起草的关于企业风险管理的标准框架。中国会计视野设区论坛“内部审计”版面将组织各位网友翻译该报告。以下文字（报告的第1、2部分）得力于kingfly、nosir、pengjingen三位网友的努力已经翻译完成，有些翻译的相当好，有些还需要改进，无论如何，都为我们版面乃至视野奉贤了一份辛苦和热情，在此表示感谢。目录：（页码代表原文的页码）1企业风险管理的意义.12框架概览.63内部环境.194目标设定.295风险识别.386风险评估.477风险应对.538控制措施.609信息和沟通.6810监控.7911企业风险管理的局限性.8812任务与责任.9213如何实施.102附录A 目标和方法B 企业风险管理框架（COSO-ERM）和内部控制综合框架（COSO）的关系C 参考文献D 应考虑的评论意见E 词汇1、企业风险管理的意义翻译第一部分（译者kingfly）本章小结：企业风险管理由一系列策略框架组成并且贯穿企业的经济业务活动。它使管理层能够识别、评估和管理那些表面上看无法确定的风险，以此来支持价值的创造和维持。企业风险管理使企业能结合风险偏好和策略，联系风险和企业的成长与回报，加强了应对风险能力，减少了经营中的意外和损失的发生，识别和管理贯穿整个企业的风险，面对多重风险提供综合应对方法，帮助企业抓住机会，并且能使企业的资金得到合理的安排。这里提出的企业风险管理的含义中企业包括每一个实体，不论是盈利的还是非盈利的或是政府部门，只要他们向他们的利害关系人提供价值。所有的实体都会面对一些不确定，管理层面对的挑战是去决定当企业在为增长股东的价值而努力的时候，将会面对多少不确定因素。不确定性代表了风险和机会，潜在的事件可能销减价值也可能增加企业的价值。企业风险管理为管理层提供了一个框架，能有效的应对风险，使风险和机会相结合，提升企业创造价值的能力。不确定性企业的经营环境由很多因素组成诸如全球化、技术、法规、重组、不断变化的市场、和竞争都会产生不确定性。不确定性源于无法准确的确定潜在事件发生的可能性和随之带来的结果。不确定性也由于企业战略选择的不同而产生。比如，一个企业基于向国外扩张的成长型策略。这一策略随之带来的是与该国政治环境、资源、市场、渠道、劳动力和成本相关的风险和机会。价值价值由企业经营管理层1从政策的制定到经营管理的决策日复一日的活动而产生、维持或减少。决策的固有性就是识别风险和机遇，这就要求管理层考虑相关的信息既包括内部和外部的环境，还要调动以前的资源并且调整企业的经营活动以适应不断变化的环境。通过调动资源包括人力、资本、技术和品牌，使所获得得收益大于所使用的资源最终创造价值。企业维持价值也通过集中人力、生产过程、系统和措施去创造持续的价值，包括其他因素，象产品质量、生产能力和客户满意程度。（1管理层在这里和以后所指的管理层还包括在很多企业风险管理活动中执行的非管理层人员。也会由于执行的不完全、或是因为所搜集的相关风险的信息不完整、策略的制定或执行存在缺陷而被削弱了。）当管理层的策略和目标使企业的成长、回报和相关的风险保持一个较好的平衡的时候，价值也会增加，并且在追求企业的目标的同时能有效率且有效的利用各方资源。企业风险管理能判断市场的需求、无效性和其他事件，这些都提供了创造价值的机遇或是需要管理的风险并且达到企业的目标。实体实现价值当股东获得确定的收益作为他们价值的回报时。对于公司，当股东认可从每股价值成长创造的价值时他们实现了价值。对于政府部门，当组成部门承担可接受的成本认可了有价值的服务时，实现了价值。非盈利性实体的股东实现价值当他们接受有价值的社会收益时。企业的风险管理使管理层能创造持续的价值并且把这些价值传递给股东。实体价值的衡量衡量价值时需要考虑包括相对价值、实用价值或者是实体对于股东的重要性。很多公司管理层习惯于考虑价值以财务方法象经济利益、股东附加价值、资本风险调整收益或者全体股东回报。这些财务衡量指标都有一个共同的前提在价值产生前资本的成本必须被弥补。然而，这些财务指标并不总是作为唯一的价值判断标准。衡量一个非盈利机构的价值可能要联系他们所提供的社会利益。比如，一个非盈利的为老年人服务的机构衡量其价值时考虑老年人能承受的高质且长期的医疗保障。企业风险管理的作用没有一个企业是在没有风险的环境下经营的，而企业的风险管理也不能在这样的环境下产生。所以，企业风险管理使管理层能在充满风险的环境下更有效的经营。企业风险管理的作用：使风险偏好（risk appetite）与制定的策略一致风险偏好是指公司或是其他的实体追求目标时在普遍情况下都愿意接受的风险程度。管理层首先考虑实体的风险偏好是在评价所选择的策略时，然后是在制定与所选策略一致的目标时，接着是在为了管理相关的风险而开发系统时。比如，一个制药公司的品牌价值需要保持较低的风险偏好。相应的，为了保护它的品牌，公司持有大量的协议以确定其产品的安全并且相应的投资大量的资源在早期的研发阶段，以支持品牌价值的创造。12成长性、风险性和回报的联系实体可接受的风险作为价值的创造和维持的一个部分，并且他们希望有与承担的风险相应的回报。企业风险管理提供了识别和评估风险，建立与成长和回报目标相关的可接受的风险水平。比如，一个保险公司的策略计划管理带来的是所有商业个体的成长性和回报计划。识别和加以考虑所得到的风险，选择反馈信息、根据每个商业个体和整个公司的目标调整商业单位的计划，分配资金。增强风险应对决策能力企业风险管理提供了严格的程序从多种风险应对措施中识别和选择避免风险、减少、分担还是接受。比如，一个公司对使用公司拥有和经营的汽车管理中接受那些固有的风险诸如汽车损坏和人员受伤害的成本。可选择的方式有通过有效的招募和培训司机以减小风险，通过外部承运以避免风险，利用保险转嫁风险或是仅仅去接受风险。企业风险管理提供了方法和技术为做类似的决定。减少经营中的意外和损失实体增强了识别潜在事件、评估风险和建立反应机制的能力，这就能减少意外事件的发生和相关的成本和损失。比方说，一个制造公司跟踪产品部件和设备的废品率和对平均值的偏离程度。这个公司采用多重标准评价废品率的影响，包括修理的时间、不能满足客户要求、雇员的安全性和安排与无安排的修理的成本，和反馈通过建立有序的维护时间表。识别和管理贯穿整个企业的风险每一个实体都面对无数影响该实体不同方面的风险。管理层不仅仅要管理单个的风险，而且还要了解他们之间相互的影响。比如，一个银行面对各种不同的风险，这些风险贯穿于整个企业的经济业务活动中，管理层开发了一个信息处理系统用以分析从其他内部系统中产生的交易和市场数据并结合相关的外部信息，提供一个贯穿所有经济活动的风险总概。这种信息系统还能按部门、客户或是竞争对手、交易商与交易量、按建立的分类确定与风险可容忍度相关的风险量。这种信息系统使银行能把曾经分离的数据信息相联，使用这些汇总的信息去更有效的应对风险或是根据既定的目标。对于多种风险提供综合的应对 商业过程本身就有很多固有风险，企业风险管理对管理这些风险提出综合的解决方法。比如，一个批发分销商面对的风险有供应过量或不足、稀少的供货源和不必要的高买价。管理层识别和评估在前文所提及的公司策略中风险，目标和多种的对应，并且开发了一个存货控制系统。这个系统与供应商达成联盟，共享销售和存货信息，形成战略合作伙伴，并且通过签订长期的供货合同和采用有利的价格，避免了存货短缺和不必要的运输成本。供应商变成有责任去补充存货，从而节约了更多的成本。抓住机会通过考虑所有范围内的潜在事件，而不仅仅是风险，管理层了解了具体事件是如何带来机会的。比如，一个食品公司考虑到潜在事件将可能影响到持续的收入成长目标。在估计了该事件后，管理层意识到公司的主要客户群在逐步增强健康意识并在改变他们的饮食偏好，这表明公司目前的产品在今后将会呈现需求的下降趋势。在决定风险应对时，管理层决定通过利用目前的能力去开发新的产品，使公司不仅能维持从现有客户赚取收入，而且还能够从争取更广泛的客户基础得到额外的收益。使资金的使用合理化风险信息越充分，管理层就能更有效的评估所有资金的需求，提高资金的分配。比如，一个金融机构接到新的规定通知增加资本需要量除非管理层以更细致的方式计算信贷和经营风险水平和与之相关的资本需要量。该公司根据系统开发成本与额外筹集资本成本作比较来评估风险，按照通知作出了决定以应对风险。用现存的容易更改的软件，银行开发了一种更准确的计算方法，避免了需要额外的筹集资金。企业风险管理本身并不是作为一种结果，而是作为一种实现目标的重要方法。他也不是在实体里单独的实施，而是作为一个管理程序的助手。企业风险管理通过提供存在的重大风险信息和如何去管理风险的信息给董事会使之与经营管理相关联。他通过提供风险调整方法与执行管理、和内部控制相关联。而内部控制也作为企业风险管理的一个组成部分。企业风险管理帮助实体实现他所要完成的行为和利益目标并且阻止了损失的造成。他帮助确保有效的报告。并且帮助确保实体遵循法律法规，避免声誉上的损失和其他后果。总之，他帮助一个实体沿着既定的目标发展并且避免实体落入在发展过程中可能碰到的陷阱或是意外。 2、框架概览翻译第二部分（译者nosir）本章概要：企业风险管理是一个过程，受组织的董事会、管理层和其他人员影响，企业风险管理应用于战略制定，贯穿整个企业，旨在识别影响组织的潜在事件，在组织的风险胃口范围内管理风险，为组织目标的实现提供合理的保证。这个定义很宽泛，涉及企业的方方面面。企业风险管理由八个互相关联的部分组成，这些组成部分辅助企业管理方式，并和其他管理流程有机整合。这八个部分互相关联，是评价企业风险管理是否有效的标准。本框架的一个主要目标是帮助企业或其他机构的管理层更好应对风险以实现组织目标。但是，企业风险管理的含义因人而异。一个包罗万象的标签无助于对企业风险管理达成共识。于是，就需要把众多的风险管理概念集成在一个框架之中，在框架里确立一个普遍接受的定义及确定其组成部分。这个框架融众多观点于一炉，为单个组织识别和加强企业风险管理提供一个支点，也为规则制定机构和教育界人士进一步的研究和行动提供基础。事件和风险有很多外部事件或内部事件可能影响战略的制定和目标的实现。事件可能是积极的，也可能是消极的，或者同时包含积极面和消极面。具有消极后果的事件构成风险。因此，风险就是对目标实现造成不利影响事件发生的可能性。有积极影响的事件可能会抵消消极影响，这些事件构成机会。管理层必须在战略或目标制定过程中考虑机会，这样以后的行动中就能抓住机会。管理层在制定战略，实现目标中通过考虑潜在事件的可能后果来评估风险。企业风险管理的定义企业风险管理定义为：企业风险管理是一个过程，受组织的董事会、管理层和其他人员影响，风险管理应用于战略制定，贯穿整个企业。企业风险管理旨在识别影响组织的潜在事件，在组织的风险胃口范围内管理风险，为组织目标的实现提供合理的保证。这个定义反映一些基本概念。企业风险管理：是一个过程是通向目的的手段，而不是手段本身被人影响它不仅仅只是政策、调查和表格，还涉及整个组织各个层级的人。应用于战略制定。贯穿整个企业的所有层级和单位，包括采用企业层级的风险组合观点。旨在识别影响组织的事件并在组织的风险胃口范围内管理风险为组织的管理层和董事会提供合理保证从一个或多个分开但重叠的方面实现目标。这个定义有意定的十分宽泛。它抓住一些公司或其他组织管理风险的重要概念，因此可以运用于不同类型的组织、不同行业和不同部门。它直接针对组织目标的实现。而且，这个概念还是定义企业风险管理有效性的基础，这将在本章后面讨论。上述的基本概念将在以下几段探讨。一个过程企业风险管理不是单一的事件或情况，而是渗透到企业各个作业的一系列行动。这些行动在日常企业管理中广泛分布并且潜在其中。有些人认为企业风险管理是附加在组织作业上的东西，或者看成额外的负担，但是实际上企业风险管理不是这样的。这么说不等于表示企业风险管理不需要付出额外的努力就能完成。比如，对于信用风险和汇率风险，就需要开发模型并进行必要的分析和计算。但是，这些企业风险管理机制和企业的运营作业交织在一起，并且从商业角度非常有理由存在。当这些机制融入组织的基本架构，并且是企业的根本部分时，企业风险管理最为有效。通过“植入”企业风险管理，一个组织能直接影响其战略执行和愿景或使命的实现。植入企业风险管理对成本控制也有重要意义，特别是现在很多公司面临激烈竞争的市场环境。在现有流程中额外添加一个程序增加多余开支，而通过在现有运营作业中植入风险管理可以减少不必要的流程和成本。And, a practice of building enterprise risk management into the fabric of operations helps identify new opportunities for management to seize in growing the business. 此外，把企业风险管理植入运营过程的实践也有助管理层在企业成长过程中识别新的机会。受人影响企业风险管理受董事会、管理层和其他人员影响。它的实现依赖这个组织成员，依赖于它们的所做所言。组织成员制定组织愿景、目标、战略和任务，并让企业风险管理发挥作用。同样的，企业风险管理影响人的行动。企业风险管理认识到员工并不总是理解、沟通和表现如一。每个人都有独特背景和技能，有不同需要和偏好。这些现实影响，也被企业风险管理影响。每个人都有各自视点影响了它们识别、评估风险和风险反应方式。企业风险管理为人们从组织目标角度理解风险提供一个机制。人们必须知道自己的责任和权力的限制范围。因此，在责任和执行方式以及组织的战略和目标之间必须有清晰和紧密的联系。组织的人包括董事会、管理层和其他员工。虽然董事主要提供监督，但是也提供指导以及批准战略、一些特殊交易和政策。董事会是企业风险管理一个重要因素。应用于战略制定组织设定自己的愿景和使命，制定与之一致的战略目标。组织为实现其战略目标制定战略。除此之外，它还设定一些准备实现的其他目标，从战略出发，层层分解到各个单位、部门和流程。企业风险管理应用于战略制定，表现在管理层考虑该战略相对于替代战略的风险。比如，替代战略可能是收购其他公司扩大市场份额，另外一个战略可能是削减采购成本来提高边际利润率。每个战略都有一些风险。如果管理层选择了第一个战略，可能就需要进入一个新的不太熟悉的市场，竞争对手可能乘机抢夺公司现有市场的市场份额，或者公司可能缺乏足够资源来有效执行这个战略。如果是第二个战略，风险包括使用新的技术，寻找新供应商或者建立新联盟。企业风险管理技术在制定组织战略时应用于这一层面。应用于整个企业要想实行企业风险管理，组织必须考虑全局，要各个层面的业务都考虑，从企业层面的活动如战略计划和资源配置，到下一层活动如营销和人力资源，到商业流程如生产和新客户信用审查。企业风险管理也必须运用到一些特殊项目和新的动议，这些可能在组织的科层或组织结构图中并不显示出来。企业风险管理要求组织采用风险组合的观点看问题。这可能就需要各个部门经理通力合作来对单位进行风险评估，包括业务部门、职能部门、流程和其他作业的经理。风险评估可以是定性的也可以是定量的。总览组织各个层面以后，高层管理就可以对本组织的全部风险组合和风险胃口是否匹配心里有数。管理层必须从组织层面的组合观点来看待相互交错的风险。必须识别这些相互关联的风险，并采取行动使之控制在组织风险胃口范围内。单个部门的风险可能在部门的风险容忍范围内，但是合起来可能就超过整个组织的风险胃口。组织的风险胃口通过和各个具体目标相对应的风险容忍度来层层分解下去。在采用组合观点时，管理层不应该只看到风险，还要考虑潜在事件。管理层通过考虑事件，可以对一些事件的抵消效应有所了解。比如，利率下降可能对组织的资本成本有利，但是对利息收入不利。当事件互相关联时，把事件进行分类有好处，可以促进思考相关的风险和机会。风险胃口（Risk Appetite 上文翻译成“风险偏好“）风险胃口是组织追求价值过程中愿意承受的风险大小。风险胃口可以定性考虑，如分为高、中和低，也可以定量考虑，在目标中同时反映和权衡增长、回报和风险三个因素。风险胃口和组织战略直接相关。在制定战略时就要考虑战略的期望回报必须和组织的风险胃口相适应。不同战略带来不同风险。企业风险管理帮助管理层选择和组织风险胃口相匹配的战略。组织的风险胃口指导资源配置。管理层配置资源时考虑组织的风险胃口和下属单位对投入资产产生期望回报的战略。管理层在安排组织、人员和流程时必须考虑风险胃口，并且设置必要的机制来有效监督风险和应对风险。提供合理保证 设计合理、运作有效的企业风险管理可以为管理层和董事会就企业实现目标提供合理保证。企业风险管理如果确定为有效（这在后面章节中讨论），董事会和管理层可以在以下方面获得合理保证：它们理解公司战略目标能实现到什么程度它们理解公司运营目标能实现到什么程度公司报告可靠相关法律法规都得到遵循合理保证意味着包含和未来相关的不确定性和风险，没人可以确定知道未来。限制来自多个因素：人做决策时的主观判断会出错，应对风险、实施控制要权衡成本和效益，一些人为疏失也会导致经营中断，共谋也能绕过预先设计好的控制，管理层也可能否决企业风险管理决策。这种种限制使得无法为管理层和董事会提供绝对保证，保证目标肯定会实现。实现目标在使命和愿景确定以后，管理层开始制定战略目标，选择战略和制定其他目标层层分解并符合战略要求。虽然有些目标只和单个部门相关，有些则是共享的。比如，所有组织都一样的目标有：在商界和消费者社群中获得并维持好的声誉，为利益相关者提供可靠的报告，合法经营这个框架把组织目标分成四类：战略和高层目标相关，和组织使命相一致并支持它运作和有效、高效运用组织资源有关报告和组织报告可靠性有关合规和组织遵循相关法律法规有关这个组织目标分类允许董事会和管理层对企业风险管理的不同方面分开处理。这种确定又互相重叠的分类一个目标可能同时分入不同类别满足不同组织的需要，可能也是不同主管的直接责任范围。这种分类也有助于分别对各个类别目标的期望。有些组织运用其他目标分类，“保护资源”，有时也说成“保护资产”。广义来看，指防止组织资产或资源损失，损失可能有多种原因，盗窃、浪费、低效或者仅仅是做了差劲的商业决策，比如说产品定价过低，没能挽留关键员工，没能阻止专利权侵犯，或者招致不可预见的负债。这些通常都是运营目标，虽然有些方面也可以归入其他类别。如果有相关法规规定，就变成合规性问题。另外一个角度来看，在财务报表中适当反映组织资产损失情况属于报告目标。如果从公共报告角度来说，保护资产通常运用狭义定义，是指防止和及时察觉非授权的资产获得、使用和处置。企业风险管理可以为报告可靠性和合规性目标提供合理保证。这些类别目标能否实现在组织的控制范围内，取决于组织的相关活动表现。但是，实现战略目标，诸如获取市场份额和运营目标，诸如新产品成功上线，这些并不总在组织的控制范围内。虽然企业风险管理宾不能组织错误的判断和决策，也不能阻止影响企业运营目标实现的外部事件的发生，但是企业风险管理可以提高管理层做出正确决策的可能性。对这些目标来说，企业风险管理可以为董事会、管理层及时意识到组织实现这些目标的程度。公司风险管理内容-翻译第三部分（译者pengjingen）公司风险管理由八个相关的部分构成。他们源自于商业组织的管理方法和整合到于管理程序中，这些构成包括：内部环境公司管理层树立的风险观、建立的风险偏好及承受力。 内部环境建立了组织中各级人员如何识别和看待风险的基础。组织的核心是他们所拥有的员工-他们的个人的品质，包括诚实、价值观和能力和他们运作的环境。他们是驱动组织运行的动力和所有事物的支撑。目标设定管理层必须基于目标来识别成功的潜在因素。公司风险管理确保管理层有一个程序来设定目标、选择支持和连接组织使命/远景的目标并保证和组织风险偏好相一致。 风险识别能对组织产生影响的潜在风险必须识别出来。风险识别包括内部和外部的反映潜在因素怎样影响战略执行和目标业绩的要素。这也包括区别哪些使风险、哪些是机会以及风险和机会并存的事项。管理层识别潜在事项的相关性并把这些事项加以分类，目的在于建立并强化贯穿组织的风险语言、形成以组合的观点来考虑各种事项的基本方法论。 风险评估评估识别出来的风险是为了管理风险打基础。风险与一系列目标相关联。风险评估包括固有风险和剩余风险，风险评估包括评估风险的可能性和重要性。某事项会有各种可能的结果，管理层需要同时考虑这些可能的结果。 风险反应在公司战略和目标的指引下，管理层根据风险偏好和承受力来选择方法考虑如何应对风险，包括避免、接受、减轻和分担风险。.控制措施建立和执行政策和程序保证管理层所选择的风险反应行动的有效执行。信息和沟通-在组织内部的相关信息的识别、获取和沟通能够帮助员工履行他们的职责。在组织的任何一个层次都需要信息来识别、评估风险并对风险采取行动。组织在开放思维下的上下、横向的信息交流能够形成有效的沟通。组织的员工需要明确的沟通来辨别自己的角色和承担的责任。监督整个组织的风险管理程序必须受到监督并能得到必要修正。在这种情况下，整个系统才能在条件满足的同时得到动态校正和改变。监督是通过正在执行的管理活动、个体组织风险管理程序或者两者的结合来实现的。Exhibit 2.1. 这些组织的风险管理要素以及它们的联系用一个模型来展示。见表2.1。组织风险管理是一个动态的过程。例如：风险评估驱动风险反应、控制活动或者重新考虑信息和沟通需求的必要性及监控。然而，组织风险管理不是线性的连续过程，它是一个多方向、反复的过程，在这个过程中大多数风险组成要素会或者将会影响另外的部分。没有两个组织能或者愿意采用同一种方法进行风险管理。组织和它们的风险管理能力和需求依据它们的业务类型、规模大小、文化和管理哲学各不相同。因此，当组织需要利用风险管理各要素来进行控制时，对工具、技术、风险管理的责任组成的风险管理应用框架通常不同于其他组织。目标和要素的关系组织要达到的目标和风险管理各要素之间有一个直接的关系。这个关系可以用一个三维矩阵来表示，见2.1。Exhibit 2.1 （第一维度：风险管理八要素；第二维度：组织层级企业层次、子公司、业务单位、分支机构；第三维度：组织目标战略、运作、财务报告准确性、法规遵循性）每一个风险管理组成要素所在的行都与四类目标相交叉。例如，财务和非财务的数据从内部和外部产生，这些数据是信息和沟通的一部分，它们在战略设定和有效管理商业运作，有效的报告和遵从法律各个部分都是需要的。同样的，所有分类目标都和八个构成部分中每一个相关联。 拿运作的效果和效率举例来说，对于它的业绩，所有八个部分都是可适用和重要的。组织风险管理是和整个组织或者组织中的某个经济单元都是相关联的。这种关联在立方体的第三面可以看到，组织的经济单元包括子公司、分部和其他业务单元 ，因此，每一部分都能与矩阵的任一部分相联系。表