COSO企业风险管理C整合框架

1、COSO企业风险管理-整合框架 Presented by Fiona Liu COSO是Treadway委员会的发起组织委 员会 (Committee of S pon sori ng Organiza廿ons of the Treadway Commissi on ) 企业风险管理是个过程，它由一个主体 的革爭会、管理当局和其他人W实施，应 用丁战略制怎并贯穿丁企业之屮，旨在识 别口能会影响匸体的风险容量之内，并为 主题H标的实现提供合理保证。 企业风险管理的四大目标 战略U标-咼层次U标，J使命相关联并支 撑其使命； 经营H标-冇效和高效率地利用其资源； -报告H标-报吿的町靠性； 合规U

2、标-符合适用的法律和法规。 三、企业风险的构成要素 内部环境 R标设启 事项识别 风险评估 风险应对 控制活动 倍息与沟通 监控 四、目标与构成要素之间的关系 -冃标是扌旨个丄体力图实现什么，企业风 险管理的构成要索则意味着需要什么来实 现它们，二者右着直妾的关系。 Internal Environment Objctiv B Setting Eventide itiricatian Risk Ass Bssmant Ri5kR sponse Control kctivHies mation &( ommunic Moni oring Info tion i 五、内部环境 内部环境包含组织的基

3、调，它为主休内的人员 如何认识和対待风险设怎了皐础，包括风险管 翻舰妙籍藕诚信和道徳价值观以及 风险耸理理念 风险囊理理念是一整套共同的信念和态度，= 决定若i体做任何书怙-从战略制定和执彳丁 到日常的活动时如何考虑风险。风险管理理念 反映了主休的价值观，影响它的文化和经营风 ft,并且决定如何应用企上风险管理的构成要 秦，包括如何识别风险。 风险容量 风险容暈是个主体存追求价值的过程中所愿意 承担的广泛意义上的风险的数量。它反映了企业 的风险管理理念，进而影响了主体的文化和经营 风格。 董事会 一个主休的董爭会是内部环境的关键部分，它对 其耍素有着重大影响。堇事会对管理当局的独立 性、其它成

4、员的经验和才、对活动参与和审杳 的程度，以及其行为的适当性都起着重要的作 用。 诚信与道徳价值观 管理当局的诚信是一个i体活动的所有方面的道 徳行为的先决条件。企业风险管理的冇效性不可 能脱离那些创造、管理和监督卞体活动的人的诚 信和道德价值观。诚信和道德价值观是个主体 内部环境的关键耍索，它影响若企业风险管理其 他构成要素的设计、管理和监控。 道徳行为和管理当局的诚信是公词文化的副产品, 公司文化包含道德和行为准则以及它们的沟通和 强化方式。 -对胜任能力的要求 管理为局明确特足卤位的胜任能力水平，并把这 些水平转换成所盂的知识和技能。而这些必要的 知识和技能可能乂取决于个人的治理、培训和经

5、 验。在开发知识和技能水平的过程屮考虑的冈素 包括一个具休岗位所运川判断的性质和程度。通 常会在监侈的范圉和所需的胜任能力水平Z间作 出权衡。 组织结构 一个主休的组织结构提供了计划、执行、控制和 监督其活动的框架。相关的组织结构包括确定权 丿J与责任的关键界区，以及确立恰当的报告途径. 权力和职责的分西己 权力和职责的分丙己涉及到个人和团队被授权并鼓 励发挥主动性去指出问题和解决问题的程度，以 及他们对权利的限制。 人力资源准则 包括雇用、沱位、培训、评价、咨询、普升、付 酬和采取补偿措施在内的人力资源业务向员丁传 达着仃关诚信、道德行为和胜任能力的期望水平 方面的信息。 -影响 一个组织的

6、内部环境对企业风险管理如何持续地 实施和发挥作用具冇重人影响。内部环境是应用 企业风险管理其它构建的环境，它通常具有强人 的正而或负而影响。个无效的内部环境可能会 导致财务损失、损書公众形象，或经营失败。 六、目标设定 n标设定是有效的爭项识别、风险评佔和风险 应对的前提。H标与丄体的风险容量相协调， 后者决定了主体的风险容限水平。 -战略U标 是高层次的冃标，它与主休的便命/愿景相协 调，并支持后者。战略H标反映了管理当局就 主休如何努力为它的利益相关者创造价值所作 出的选择。 经营目标 经营H标关系到上体的有效性和效率，主要反映 主体运营所处的特定的经营、行业和经济环境。 报告n标 可靠的

7、报告H标为管理当局提供适合既定II的的 准确而完整的信息。它支持管理出局的决策和对 主体活动和业绩的监控。 合规冃标 主体从事活动必须符合相关的法律和法规，通常 还必须采取具体措施。 七、事项识别 管理当局识别将会对i体产生影响的潜在事项- 如果存在的话，并确泄它们是否代表机会，或者 是否会对主体成功地实施战略和实现H标的能力 产生负而影响。带來负而影响的事项代表风险， 它要求管理当局了以评估和应对。带來正面影响 的事项代表机会，管理当局可以将英反馈到战略 和冃标设定过程之屮。在对爭项进行识别时，管 理当局要在组织的全部范围内考虑一系列nJ能带 来风险和机会的内部和外部因素。 -影响因素 管理

8、为局需了解外部W素和内部因素以及宙此町 能产生的出项的类型。 外部W素包扌舌：经济W索、口然环境W索、政治 因素、社会因素、技术因素 内部W索包括：基础结构、人员、流程、技术 事项识别技术 匸体的事项识别方法可能包含各种技术的组合, 以及支持性的丁貝。 事项识别既关注过去，也着眼于未來。 相互依赖性 4项并不是鼓励地发生的。一个半项对能引发另 一个爭项，爭项也11J能同时发生。 区分风险和机会 專项可能会带来止血或负血的影响。代表机会的 事项被反馈到管理局的战略或冃标制订过程中, 以便规划行动去抓住机会。抵消风险负|何影响的 事项在管理局的风险评佔和应对中了以考虑。 八、风险评估 -风险评估的

9、背景 在评估风险时，管理当局考虑预期事项和非预 期事项。许多事项是常规性和朿复性的，并1- 己经在管理当局的计划和经营预算中提到，而 其他的屮项则是非预期的。 周有风险和剩余风险 固仃风险是管理当局没仃采取任何牯施来改变 风险的可能性或影响的怙况卜，一个主体所面 临的风险。剩余风险是A管理为局的风险应对 之后所参与的风险。 估计可能性和影响 町能性表示一个给定事项将会发生的或然率，而 影响则代表它的后果。 评估技术 评估方法包括定性与定量技术的结合。 爭项之间的关系 如果潜在的出项不相关，管理当局就対它们分别 进行评估。如果事项之间存rn相互关联，或者事 项结合或者和互影响产生显著不同的可能性

10、或影 响时，管理当局就耍它们放在一起来评估。 九、风险应对 冋避 退出产生风险的活动。 -降低 采取措施降低风险的叮能性或影响，或者同时降低两者。 分担 通过转移來降低风险的可能件或影响或者分担一部分风险。 承受 不采取任何措施去敢于风险的町能件或影响。 十、控制活动 控制活动是帮助确保管理当局的风险应对得以实 施的政策和程序，后者指人们直接或通过对技术 的应用来执行政策的行动。 与风险应对和结合 选定了风险应对Z后，管理当局就要确定用来帮 助确保这些风险应対得以恰当地和及时地实施所 需的牡制活动。 政策和程序 控制活动一般包括两个耍索：确怎应该做什么的 政策，以及实现政策的程序。 -对佶息系

11、统的控制 处丁对信息系统在经营企业和满足报告和合规R 标方面的遍依赖，需耍对重耍的系统进行控制C 十一、信息与沟通 每个企业都要识別和获取I一管埋该主体和关的设 汁到外部和内部事项和活动的广泛的佶息。这些 信息你证员匸能履行他们的企业风险管理和其 它职责的形式和时机传递给员T。 信息 來n内部的和外部來源的经营信息，包括财务的 和非财务的与多个经营忖标相关。 设计和利用信息系统的H的是支持经营战略。 沟通 沟通渠道应该确保员丁能够在各个业务单元、过 程或只能机构之间平行地以及向上沟通给予风险 的信息。 对于那些将要报告的信息，必须冇畅通的沟通渠 道和清晰的倾听意愿。 监控 监控可以以两种方式进

12、彳门 通过持续的活动或者个别评价。 -持续监控活动 它们来门定期的管理活动，可能包括差杲分析、对來门不 同渠道的信息的比较，以及应对申预期的突发出件。 -个别评价 尽管持续监控程序通常能够捉供有关企业风险管理的其 它构成耍素的有效性的亟耍反馈，但是仃时候釆取一种新 的思路宜接关注企业风险管理的有效性可能是很有用的。 它也能提供个考察持续监控程序的持续冇效性的机会。 十三、职能与责任 董事会 何效的董事会成员足客观的、有能力的和好奇的 革爭会町利用下属委员会來行便他们的特定职 责。 管理当局 管理当局直接对个体的所有活动负责，包 括企业风险管理。在任何丄体中，首席执行 (CEO)对企业风险筲理有着最终所有者的责任, 风险官员 有首席执行官设立并H在其支持2下，风险官员拥 有资源以帮助实现跨子公司、业务、部门、职能机 构和活动的企业风险管理。风险官员可能有贵任监 控进展和协助其他管理人员在该主体屮向上、向下 或平行报告有关的风险信息。风险官员还可以作为 一个补充的报告渠道。 财务官员 首席财务官在制定H标、确定战略、分析风险和作 出如何对彩响4休的变化进行管理的决策时是一个 关键的/n色。 内部审计师 内部审计师在评价金业风险管理的有效性以及提 出改进建议方而起着关键作用。内部审计师通过 对