【基于COSO框架的企业风险管理研究相关概念及理论基础综述3800字】

基于COSO框架的企业风险管理研究相关概念及理论基础综述目录TOC\o"1-3"\h\u31336基于COSO框架的企业风险管理研究相关概念及理论基础综述 148451.1相关概念 131371.1.1风险及风险管理 1204921.1.2COSO-ERM（2017） 2194641.2理论基础 5158491.1.1委托代理理论 5171421.1.2信息不对称理论 61.1相关概念1.1.1风险及风险管理关于风险的概念，比较经典的是美国人韦氏（Webster）给出的，“风险是遭受损失的一种可能性”。COSO在2004年旧版框架中，将风险定义为：风险是一个事项将会发生并给目标实现带来负面影响的可能性。2006年，国务院国有资产监督管理委员会对企业风险的定义是，未来的不确定性对企业实现其经营目标的影响《中央企业全面风险管理指引》，/n2588035/n2588320/n2588335/c4258529/content.html，2006年6月20"/n2588035/n2588320/n2588335/c4258529/content.html，2006年6月20日.风险管理是由内部控制发展而来的。1992年，COSO发布了《内部控制——整合框架》，该报告是内部控制发展的里程碑，对内部控制的含义做出了权威的阐释。但报告发布之后，大家普遍认为该报告对风险的重视不够，内部控制难以与风险管理结合，于是在21世纪初期，COSO着手开发帮助企业进行风险管理的框架，并于2004年发布了《企业风险管理——整合框架》。在该版框架中，风险管理被定义为一个过程，由董事会、管理层和其他人员实施，应用于战略制定并贯穿企业的整个流程，目的是发现可能影响企业的潜在问题，管理风险使其在风险承受能力范围内，为企业实现目标提供合理保证。在我国，中国内部审计协会将风险管理定义为：风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程《内部审计具体准则第16号——风险管理审计》，《内部审计具体准则第16号——风险管理审计》，/new/63/66/2005/5/ad39581111155002336.htm，2005年5月1日.1.1.2COSO-ERM（2017）在风险管理的研究领域，COSO扮演着非常重要的角色，2004年出版的《企业风险管理——整合框架》得到了众多国家企业和监管机构的采用和推广。随后由于风险复杂性的改变、新风险的出现以及董事会和高管对风险管理的认识的提高等原因，COSO对风险管理框架进行了更新，更新后的框架名为《企业风险管理——战略与绩效的结合》，框架结构如下图2-1所示。新框架改变了表现形式，原本的要素和原则是围绕战略和绩效，现在则集成到企业的战略、绩效和价值之中。总体来说，COSO-ERM（2017）框架以5大要素为基础，以20项原则为导向，将风险管理与战略的结合视为实现绩效目标的途径，强调企业价值的提升。使命、愿景及核心价值观使命、愿景及核心价值观战略发展价值提升实施与绩效商业目标规划战略发展价值提升实施与绩效商业目标规划治理&文化战略&目标设定绩效审阅&修订信息，沟通&报告图2-1COSO（2017）风险管理框架结构资料来源：COSO改变了2004版8要素、4层级、4目标的立方体结构，新版风险管理框架由5大要素和20项原则构成。这5大要素分别是：治理与文化（Governance&Culture），战略和目标设定（Strategy&Objective-Setting），绩效（Performance），审阅和修订（Review&Revision），信息、沟通和报告（Information,Communication,&Reporting），具体如下表2-1所示。第一个要素是治理与文化，包括5个原则。实现董事会对风险的监督强调企业是否实现了董事会和管理层对风险治理的责任分配，责任分配是否合理；建立运作模式是指组织建立完整的运营模式和报告路线；定义期望的组织文化是指树立良好的企业文化；展现对核心价值的承诺是指企业培育风险管理文化、强化问责机制，纠正偏离准则的行为；吸引、发展并留住核心人才是指企业人力资源管理体系能否吸引、培训、指导和保留各个层次的人才。第二个要素是战略和目标设定，包括4个原则。考虑业务环境要求企业在制定战略时考虑内外部不可预料的动态环境；定义风险偏好要求企业明确可以接受的风险数量和类型；评估替代战略是指战略要结合风险偏好设定，并适时进行调整；建立业务目标是指企业要设立与战略一致的各个层次的业务目标，并充分考虑风险。第三个要素是绩效，包括5个原则。识别风险是指企业要识别影响目标实现的风险；评估风险的严重程度是指评估风险发生的概率和影响大小；风险排序是指企业要根据风险偏好确定风险优先级；执行风险应对是指企业选择并实施风险应对措施；建立风险的组合观是指企业要结合风险绩效曲线从整体角度分析风险。第四个要素是审阅和修订，包括3个原则。评估重大变化是指企业要检测内外部环境；审阅风险和绩效是指审查风险管理的效果和绩效的实现；企业风险管理的改进就是要求企业要不断地完善风险管理。第五个要素是信息、沟通和报告，包括3个原则。利用信息和技术是要求企业完善信息收集技术使用高质量的信息进行风险管理；沟通风险信息要求企业与各利益相关者进行多样化的交流；对风险、文化和绩效进行报告是指企业要向董事会报告各层级的风险、文化和绩效。表2-1COSO（2004）与COSO（2017）要素对比COSO（2004）八要素COSO（2017）五要素内部环境治理与文化原则1.实现董事会对风险的监督原则1.建立运作模式原则3.定义期望的组织和文化原则4.展现对核心价值的承诺原则5.吸引、发展并留住优秀人才目标制定战略和目标设定原则6.分析业务环境原则7.定义风险偏好原则8.评估替代战略原则9.建立业务目标事项识别风险评估风险应对绩效原则10.识别风险原则11.评估风险的严重程度原则11.风险排序原则13.执行风险应对原则14.建立风险的组合观监控审阅和修订原则15.评估重大变化原则16.审阅风险和绩效原则17.企业风险管理改进信息与沟通信息、沟通和报告原则18.利用信息和技术原则19.沟通风险信息原则20.对风险、文化和绩效进行报告控制活动删除资料来源：除框架结构调整之外，从表中可看出要素也发生了变化，最明显的特征即“去风险”，不再以风险的视角强调企业治理，而是直接将风险管理嵌入企业文化、战略、绩效和价值之中。新框架定义风险管理目标是为实现企业最终经营目标，从企业绩效价值出发，将风险管理要素融汇贯彻到企业经营的整个过程中，并辅助企业实现价值和业绩提升，再次明确风险管理的实质核心价值为实现企业最终的经营业绩目标以及实现企业价值创造。从更深层次来看，新框架主要有以下三点变化：第一，新框架强调了风险和价值之间的关系。风险管理不再是为了满足合规监管的要求，也不是把风险降到可接受的水平，风险管理的角色是“创造、保持和实现价值”。风管工作需要从使命、愿景和核心价值观出发，融入企业的经营活动和价值链当中，帮助管理层洞察新的发展机遇；第二，新框架加强了风险管理和绩效管理的一致性。新框架认为风险管理工作不仅仅是为了揭示隐藏风险进行风险评估生成报告，更重要的是明确所识别的风险对绩效目标的影响，通过设定绩效的可接受波动范围，探究绩效变化所导致的风险的变化；第三，新框架重新定义了风险偏好和风险容忍度。风险偏好的定义是，主体在追求战略和经营目标的过程中愿意承受的风险类型和数量，新增了“类型”要素。风险容忍度不是简单的细化风险偏好，融合了企业的绩效，使其清晰认识到目标绩效所对应的可接受风险范围。1.2理论基础1.1.1委托代理理论上世纪30年代，随着美国市场经济的发展，企业所有权与经营权之间的冲突更加明显，基于此，美国经济学家伯利和米恩斯提出了“委托代理理论”，提倡公司的所有权和经营权分离，即公司的所有者保留剩余权益索取权，经营权让渡出去。当企业的所有权与管理决策权分开，所有者委托专业人士对企业进行代理经营，所有权和经营权之间就会发生矛盾而偏离，利益分配问题可能会导致双方心理失衡。代理经营者管理公司的经营活动并做出决策，也更加熟悉公司内部的流程体系，相对而言所有者对企业的状况没有系统明确的认识。这种情况下，受托者可能借用信息不对称的优势，利用职权追求自身利益最大化，而损害企业整体利益。企业可以通过建立有效的风险管理，规范员工的行为，并通过评价和修订使得股东和管理层对风险管理的运行情况和实施效果有更清晰的了解，从而降低代理成本。企业委托者可以通过建立良好的运营架构和企业文化，对代理经营者起到监督制衡的作用并使其认可企业的价值，同时建立完善的薪酬机制和激励机制，使代理经营者劳有所得。企业委托者也可以通过定时对公司的绩效进行审阅调查，发现异常情况时及时采取措施以降低损失。1.1.2信息不对称理论在20世纪70年代，三位美国经济学家阿克尔罗夫、斯彭斯、斯蒂格利茨分别通过研究商品交易、劳动力市场和金融市场得出了“信息不对称理论”。该理论认为，市场经济活动中的各类参与者对信息的了解水平各不相同，了解信息较多的人员往往处于有利地位，相对应的，掌握信息匮乏的人员处于不利地位。由于企业所有权和经营权分离，企业的委托者与代理经营者也存在着信息不对称。代理经营者往往比所有者更了解企业的情况，可能以权谋私侵害企业整体利益。