coso企业风险管理整体框架

coso企业风险管理整体框架内容摘要：

的大小。 这对了解企业的风险组合提供了一个视角，使得管理者能够在必要时改变企业的活动以满足企业的风险偏好。 信息是沟通的基础，沟通则必须满足各部门和个人的要求，以使他们能够有效地履行其职责。 最重要的沟通渠道之一是高级管理者和董事会之间的沟通。 管理者必须使董事会了解关于企业业绩、发展、风险管理执行和其他相关事项和问题的及时信息。 沟通越畅通，董事会在执行其 监督职能、重大问题的宣传媒介职能和提供建议、咨询和指导职能时才会越有效。 反之，董事会也应向管理者传递其所需要的信息并进行反馈和指导。 管理者应提供特定的或直接的沟通渠道说明对员工的行为预期和各自的职责。 应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。 对于风险管理过程和程序的沟通应与企业预期的风险文化相结合，并作为企业风险文化的基础。 此外，信息的列示会直接影响对信息的解释和对相应的风险或机遇的看法，因此，对于沟通应有一个适当的架构。 沟通应使企业的员工了解有效地企业风险管理的重要性和相关性，了解企 业的风险偏好和风险容忍度，并在企业内执行、设计一个统一的风险用语并向员工说明他们在影响和支持企业风险管理要素中的地位和职责。 沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。 大多数情况下，企业内正常的报告路径一般是沟通的适当渠道。 而在某些情况下，需要一个单独的信息沟通途径作为防止失败机制，而为一途径在正常情况下是不用的。 在所有的情况下，让企业的员工了解企业内并不存在对报告相关信息的报复是很重要的。 外部的沟通渠道能够为企业的产品或服务的设计或品质提供非常重要的信息。 管理者 应将企业的风险偏好和风险容忍度与客户、供应商和合伙人的风险偏好和风险容忍度联系起来考虑，以保证不会通过企业的业务活动给企业带来太多的风险。 外部相关方的信息经常会为企业风险管理的运行提供重要的信息。 8．监控 对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。 企业可以通过两种方式对风险管理进行监控――持续监控和个别评估。 持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。 持续监控是对企业日常的、重复的经营活动的监控，在实时的基础上进行，是对 不断变化的环境的动态地反应，应在企业内部彻底地贯彻和执行。 如果执行得好，持续监控比个别评估更为有效。 由于个别评估是在事实发生之后才进行评估，而持续监控则会在问题一发生就很快被发现。 虽然如此，许多使用持续监控的企业仍旧进行风险管理的个别评估。 个别评估的频率是企业管理者的主观判断问题。 在决定个别评估的频率时，管理者应考虑来 自于企业内部和外部事项的变化的性质和程度以及相应的风险、企业员工进行风险反应和相应控制的能力和经验、持续监控的结果等因素。 通常，将持续监控和个别评估进行一定的结合使用会保证企业风险管理长期的 有效性。 对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。 企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评 估。 但是，适当程度的记录通常会使对风险管理的监控更为有效果和有效率。 当企业管理者打算向企业外部相关方提供关于企业风险管理效率的报告时，他们则应考虑为企业风险管理设计一套记录模式并保持有关的记录。 所有风险管理失效都会影响企业确定和执行战略的能力，影响企业实现其既定目标的能力。 对此，应将企业所有的风险管理失效都报告给适当的管理层，以保证其 采取必要的措施以纠正风险管理失效。 企业所需沟通的事项的性质根据各人处理各种情况的权限和监控者的查漏活动的不同而不同。 这里 “失效 ”是指企业风险管理过程中值得注意的某一种情形。 因此，失效可能代表一种预期的、潜在的或真实的缺陷，或者代表加强风险管理过程的一个机会，以增加企业目标实现的可能性。 在经营活动中产生的信息通常通过正常的渠道进行报告。 对于敏感性信息的报告也应有其他的沟通渠道，如非法活动或不正当的活动。 向企业内适当的管理层提供关于风险管理失效的必需的信息是非常重要的。 企业应建立一个协议来识别某一管理层决策有 效所需要的信息。 这些协议应反映一个基本原则，即一个管理者在收到实现其特定目标的有关信息外，还应收到影响其权限范围内人员的行动或行为的所有信息。 （四）风险管理要素和企业目标之间的关系 企业的风险管理框架包括四类目标和八个要素。 四类目标分别是战略目标、经营目标、报告目标和合法性目标。 八个要素分别是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控，是企业目标实现的保证。 它们相互之间存在直接的关系，可以用一个三维矩阵图来表示（如图 1 所示）。 可以看出，四个栏分别代表一个企业的四类目标， 并不是企业的某个部分或部门。 因此，例如，当考虑与报告相关的那类目标时，需要关于企业经营的大量信息，但是在这种情况下主要关注的是风险管理模型右手边中间这一栏 ——报告目标 ——而不是经营类目标。 图 2 将立方体中水平各行的内容进行扩展，说明各风险管理要素的主要内容，其中每一要素也就代表一个业务流程。 图 1 四类目标 —战略、经营、报告和合规性目标 —由垂直栏表示。 八要素 由水平行表 示。 企业和其各组织单位由矩阵中的第三维表示。 （五）有效性 企业风险管理是一个过程，企业风险管理的有效性则是某一时点的一个状态或条件。 决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个主观判断。 为使风险管理有效，企业的风险管理框架必须包括所有的八个要素，并得到贯彻执行。 但是，这并不意味着每一要素在不同的企业间，甚至是不同企业的同一管理层次上，都必须执行同样的功能。 因为不同的要素之间可能存在着作用的相互抵消。 由于企业风险管理的各种技术能够为企业不同的经营意图服务，因此，相对于某要素的技术也能够服务于通常是另一要素所体现出来的经营 意图。 此外，对某一特定风险的风险反应程度可能不同，以至于互补的风险反应模式可能各自对企业的影响都有限，合并后仍可以保持在风险容忍度的范围内。 这里所讨论的概念可以应用于所有企业，无论其规模。 某些中小企业所采用的要素的内容与大企业可能不同，但企业的风险管理仍旧有效。 对于每个要素的方法论，小企业采用的方法与大企业相比并不正式和结构化，但是，无论企业的规模，其风险管理都应包括本文所讲的基本概念。 企业风险管理可以从一个企业的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。 即使是站在某一特定的业务部门的角 度来看待风险管理，所有的八要素也都应作为基准包含在内。 一个公司可能采用联营企业、合伙或其他的投资形式，其经营可能不在母公司的直接控制之下。 为保证企业风险管理的有效性，母公司应从公司战略和目标的角度考虑与被投资方一起充分应用风险管理八要素的程度。 图 2 （六）包括内部控制 内部控制是企业风险管理不可分割的一部分。 这里所说的企业风险管理框架包括内部控制，为企业的管理提供了一个更强的概念基础和工具。 在《内部控制 ——整体框架》中已经对内部控制进行了定义和描述。 由于《内部控制 ——整体框架》是现有的 规则、法规和法律的基础，因此本讨论稿保留其对内部控制的定义。 整个《内部控制 ——整体框架》报告都是本框架的参考。 （七）企业风险管理的局限性 有效的风险管理可以帮助管理者实现企业的目标，但是，无论企业风险管理设计得如何完善、运行得如何有效，它也不能保证一个企业永远成功。 企业目标的实现还要受管理过程内在局限性的影响。 政府政策或项目的改变、竞争对手的行动或经济条件都超出了管理者的控制范围。 人的决策可能会出错，因而企业很有可能由于人的简单的错误或过失而破产。 而且企业风险管理也不能把一个本来就很差的管理者变好。 此外 ，企业员工两人或多人合谋可以绕过控制，管理者也有权利绕过企业的风险管理过程，包括风险反应和风险控制过程等。 企业风险管理的设计必须反映企业资源稀缺的现实，而且风险管理的收益必须对应风险管理的成本。 因此，虽然企业风险管理可以帮助管理者实现企业的目标，但它并不是一颗万灵丹。 （八）各管理层在企业风险管理中的地位和职责 一个组织的每个人在企业风险管理中都负有责任。 1．董事会企业的管理者向董事会负责，而董事会向管理者履行治理、指导和监督职能。 通过选举管理者，董事会在界定其所期望的员工的操守和价值观时起主要作用，并能 够通过监督活动证实其对员工的预期。 同样，通过在某些关键的决策中保留其权限，董事会在制定 战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。 董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责：－了解管理者在企业内部建立有效的风险管理的程度；－获知并认可企业的风险偏好；－复核企业的风险组合观并与企业的风险偏好相对照；－评估企业最重要的风险并评估管理者的反应是否适当。 董事会是企业内部环境的一个组成部分，必须有保证风险管理有效的必要的组织和对风险管理的关注。 2．管理者 企业的 首席执行官对企业的风险管理最终负责，即拥有企业风险管理的 “所有权 ”。 与企业内其他员工不同，首席执行官在企业的高层确定风险管理的基调，而这会影响企业内部环境中的员工操守和价值观及其他因素。 在一个大公司中，首席执行官通过向高级管理者分派领导权和提供指令并复核其管理企业的方式等来履行其职能。 高级管理者会进一步将制定更具体的风险管理政策和程序的责任分派给负责各部门运行的员工。 而在一个小企业，首席执行官对风险管理的影响则更为直接。 他们是企业的管理者，但同时也是企业的所有者。 在任何情况下，。 对其下层的职责，管理者也是其 职责范围内的一个首席执行官。 此时各职能部门的领导者也是很重要的，如法律咨询部。 、财务部、人力资源部和信息技术部，他们各自的监督活动与企业经营和其他部门的活动到处都存在着交叉。 3．风险管理者 一个风险管理者是指某一组织内的首席风险管理者或首席风险管理经理，他与企业内其他管理者一起在他们的职责范围内建立并维护有效的风险管理框架。 首席风险管理经理也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。 4．内部审计人员 内部审计人员在企业风 险管理的监控中占有重要的地位，这一职责作为其正常职责的一部分，其业绩的质量依赖高级管理者、下级管理者或部门执行人员的特殊要求。 他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。 2 5．其他员工 从某种程度上讲，企业风险管理是企业内每一个员工的责任，因此，风险管理应是企业内每一个员工的工作手册的一部分内容。 本质上，企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。 同样，企业所有的员工都有责任向上报告风险，如经营中存在的问 题，未遵守有关的行为规则的情况、其他违反政策的行为或非法活动。 许多企业外部相关方也有助于企业目标的实现。 如外部审计人员，从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核，直接有助于企业目标的实现。 同时，外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息，间接地为企业目标的实现作出贡献。 其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户，其他与企业进行交易的各方，财务分析师、债券承销商和新闻媒介等等。 但是，外部的各相关方并不对企业的风险管理负责。 （九）本报告 的用途 企业根据本报告所采取的行动还应考虑下述各方的地位和利益： 1．董事会成员 董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。 董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估，包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。 董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。 2．高级管理人员 本研究建议企业的首席执行官应评估企业风险管理的适应性。 使用本框架， CEO 就可以与企业 的其他主要经营和财务主管一道，注意企业内需要注意的地方。 使用一定的方法，CEO 可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起，讨论对企业风险管理框架适应性和有效性的最初评估。 无论讨论的形式如何，风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。 最初的评估还应该保证企业再造的监控程序确实存在、确实有效。 企业花费在风险管理评估上的时间是企业的一项投资，而且是一项有高额回报的投资。 3．企业内其他成员 企业的管理者和其他员工应该考虑他们在企业风险管理 框架中应履行何种职责，并与其上层管理者讨论有关思想以加强企业的风险管理。 内部审计人员则应该考虑其工作中关注企业风险管理的程度。 4．立法者 每个企业对企业风险管理的期望由于两个方面的影响而千差万别。 首先，由于对企业风险管理框架的硬件设施构建的不同认识，使得企业的风险管理框架各有不同。 一些观察家认为企业风险管理将会，或者应该会防止企业的经济损失，或者至少是防止企业破产。 第二，即使对企业风险管理能够做什么、不能做什么以及 “合理保证。