COSO企业风险管理–整合框架PresentedbyFionaLiuCOSO是Treadway委员会的发起组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)一、定义•企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的风险容量之内,并为主题目标的实现提供合理保证。二、企业风险管理的四大目标•战略目标–高层次目标,与使命相关联并支撑其使命;•经营目标–有效和高效率地利用其资源;•报告目标–报告的可靠性;•合规目标–符合适用的法律和法规。三、企业风险的构成要素•内部环境•目标设定•事项识别•风险评估•风险应对•控制活动•信息与沟通•监控四、目标与构成要素之间的关系•目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者有着直接的关系。五、内部环境内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。•风险管理理念风险管理理念是一整套共同的信念和态度,它决定着主体在做任何事情–从战略制定和执行到日常的活动时如何考虑风险。风险管理理念反映了主体的价值观,影响它的文化和经营风格,并且决定如何应用企业风险管理的构成要素,包括如何识别风险。•风险容量风险容量是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。它反映了企业的风险管理理念,进而影响了主体的文化和经营风格。•董事会一个主体的董事会是内部环境的关键部分,它对其要素有着重大影响。董事会对管理当局的独立性、其它成员的经验和才干、对活动参与和审查的程度,以及其行为的适当性都起着重要的作用。•诚信与道德价值观管理当局的诚信是一个主体活动的所有方面的道德行为的先决条件。企业风险管理的有效性不可能脱离那些创造、管理和监督主体活动的人的诚信和道德价值观。诚信和道德价值观是一个主体内部环境的关键要素,它影响着企业风险管理其他构成要素的设计、管理和监控。道德行为和管理当局的诚信是公司文化的副产品,公司文化包含道德和行为准则以及它们的沟通和强化方式。•对胜任能力的要求管理当局明确特定岗位的胜任能力水平,并把这些水平转换成所需的知识和技能。而这些必要的知识和技能可能又取决于个人的治理、培训和经验。在开发知识和技能水平的过程中考虑的因素包括一个具体岗位所运用判断的性质和程度。通常会在监督的范围和所需的胜任能力水平之间作出权衡。•组织结构一个主体的组织结构提供了计划、执行、控制和监督其活动的框架。相关的组织结构包括确定权力与责任的关键界区,以及确立恰当的报告途径。•权力和职责的分配权力和职责的分配涉及到个人和团队被授权并鼓励发挥主动性去指出问题和解决问题的程度,以及他们对权利的限制。•人力资源准则包括雇用、定位、培训、评价、咨询、晋升、付酬和采取补偿措施在内的人力资源业务向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息。•影响一个组织的内部环境对企业风险管理如何持续地实施和发挥作用具有重大影响。内部环境是应用企业风险管理其它构建的环境,它通常具有强大的正面或负面影响。一个无效的内部环境可能会导致财务损失、损害公众形象,或经营失败。六、目标设定目标设定是有效的事项识别、风险评估和风险应对的前提。目标与主体的风险容量相协调,后者决定了主体的风险容限水平。•战略目标是高层次的目标,它与主体的使命/愿景相协调,并支持后者。战略目标反映了管理当局就主体如何努力为它的利益相关者创造价值所作出的选择。•经营目标经营目标关系到主体的有效性和效率,主要反映主体运营所处的特定的经营、行业和经济环境。•报告目标可靠的报告目标为管理当局提供适合既定目的的准确而完整的信息。它支持管理当局的决策和对主体活动和业绩的监控。•合规目标主体从事活动必须符合相关的法律和法规,通常还必须采取具体措施。七、事项识别管理当局识别将会对主体产生影响的潜在事项–如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。带来正面影响的事项代表机会,管理当局可以将其反馈到战略和目标设定过程之中。在对事项进行识别时,管理当局要在组织的全部范围内考虑一系列可能带来风险和机会的内部和外部因素。•影响因素管理当局需了解外部因素和内部因素以及由此可能产生的事项的类型。外部因素包括:经济因素、自然环境因素、政治因素、社会因素、技术因素内部因素包括:基础结构、人员、流程、技术•事项识别技术主体的事项识别方法可能包含各种技术的组合,以及支持性的工具。事项识别既关注过去,也着眼于未来。•相互依赖性事项并不是鼓励地发生的。一个事项可能引发另一个事项,事项也可能同时发生。•区分风险和机会事项可能会带来正面或负面的影响。代表机会的事项被反馈到管理当局的战略或目标制订过程中,以便规划行动去抓住机会。抵消风险负面影响的事项在管理当局的风险评估和应对中予以考虑。八、风险评估•风险评估的背景在评估风险时,管理当局考虑预期事项和非预期事项。许多事项是常规性和重复性的,并且已经在管理当局的计划和经营预算中提到,而其他的事项则是非预期的。•固有风险和剩余风险固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个主体所面临的风险。剩余风险是在管理当局的风险应对之后所参与的风险。•估计可能性和影响可能性表示一个给定事项将会发生的或然率,而影响则代表它的后果。•评估技术评估方法包括定性与定量技术的结合。•事项之间的关系如果潜在的事项不相关,管理当局就对它们分别进行评估。如果事项之间存在相互关联,或者事项结合或者相互影响产生显著不同的可能性或影响时,管理当局就要它们放在一起来评估。九、风险应对•回避退出产生风险的活动。•降低采取措施降低风险的可能性或影响,或者同时降低两者。•分担通过转移来降低风险的可能性或影响或者分担一部分风险。•承受不采取任何措施去敢于风险的可能性或影响。十、控制活动控制活动是帮助确保管理当局的风险应对得以实施的政策和程序,后者指人们直接或通过对技术的应用来执行政策的行动。•与风险应对相结合选定了风险应对之后,管理当局就要确定用来帮助确保这些风险应对得以恰当地和及时地实施所需的控制活动。•政策和程序控制活动一般包括两个要素:确定应该做什么的政策,以及实现政策的程序。•对信息系统的控制处于对信息系统在经营企业和满足报告和合规目标方面的普遍依赖,需要对重要的系统进行控制。十一、信息与沟通每个企业都要识别和获取与管理该主体相关的设计到外部和内部事项和活动的广泛的信息。这些信息一保证员工能履行他们的企业风险管理和其它职责的形式和时机传递给员工。•信息来自内部的和外部来源的经营信息,包括财务的和非财务的与多个经营目标相关。设计和利用信息系统的目的是支持经营战略。•沟通沟通渠道应该确保员工能够在各个业务单元、过程或只能机构之间平行地以及向上沟通给予风险的信息。对于那些将要报告的信息,必须有畅通的沟通渠道和清晰的倾听意愿。十二、监控监控可以以两种方式进行:通过持续的活动或者个别评价。•持续监控活动它们来自定期的管理活动,可能包括差异分析、对来自不同渠道的信息的比较,以及应对非预期的突发事件。•个别评价尽管持续监控程序通常能够提供有关企业风险管理的其它构成要素的有效性的重要反馈,但是有时候采取一种新的思路直接关注企业风险管理的有效性可能是很有用的。它也能提供一个考察持续监控程序的持续有效性的机会。十三、职能与责任•董事会有效的董事会成员是客观的、有能力的和好奇的。董事会可利用下属委员会来行使他们的特定职责。•管理当局管理当局直接对一个主体的所有活动负责,包括企业风险管理。在任何主体中,首席执行官(CEO)对企业风险管理有着最终所有者的责任。•风险官员有首席执行官设立并且在其支持之下,风险官员拥有资源以帮助实现跨子公司、业务、部门、职能机构和活动的企业风险管理。风险官员可能有责任监控进展和协助其他管理人员在该主体中向上、向下或平行报告有关的风险信息。风险官员还可以作为一个补充的报告渠道。•财务官员首席财务官在制定目标、确定战略、分析风险和作出如何对影响主体的变化进行管理的决策时是一个关键的角色。•内部审计师内部审计师在评价企业风险管理的有效性以及提出改进建议方面起着关键作用。内部审计师通过对主体企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,来协助管理当局和董事会或审计委员会。十四、企业风险管理的局限性风险与未来有关,而未来本来就具有不确定性。企业风险不能对任何一类目标提供绝对保证。•决策过程中人类判断可能有存在缺点•由于类似简单差错或错误等人类失败会导致故障的存在•控制可能会通过两个或多个人的串通而被绕过•管理当局有能力凌驾于企业风险管理过程•相关的成本与效益