00企业风险管理整合框架18.ppt

企业风险管理企业风险管理——整合框架整合框架7/26/20241在内部控制和风险管理的演进过程之中，在内部控制和风险管理的演进过程之中，COSO的突出贡献是举世公认的的突出贡献是举世公认的它在它在1992年所发布的、并于年所发布的、并于1994年作出局部修年作出局部修正的正的《《内部控制内部控制—整合框架整合框架》》，已经成为世界通行的，已经成为世界通行的内部控制权威文献，被国际和各国审计准则制定机构、内部控制权威文献，被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳银行监管机构和其他方面所采纳lCOSO是全国虚假财务报告委员会下属的发起人委员会（是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写的英文缩写lCOSO内部控制框架能确认出内部控制的三大主要目标，内部控制框架能确认出内部控制的三大主要目标，即运营的即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。

l此外，标准将控制环境、风险评估、控制活动、信息和沟通、监控此外，标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素，服务于上述三大目标作为框架的五大组成要素，服务于上述三大目标7/26/20242 2003年年7月，月，COSO发布了发布了《《企业风险管理企业风险管理——整合框架整合框架》》的征求意见稿，引起了广泛的关注的征求意见稿，引起了广泛的关注 2004年年9月，正式的最终文本发布月，正式的最终文本发布企业风险管理的基础性前提是每一个主体的存在企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值都是为它的利益相关者提供价值所有的主体都面临不确定性，管理当局所面临的所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性确定承受多大的不确定性不确定性可能会破坏或增加价值，因而它既代表不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会风险，也代表机会企业风险管理使管理当局能够有效地应对不确定企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。

性以及由此带来的风险和机会，增进创造价值的能力7/26/20243企业风险管理的内容企业风险管理的内容§协调风险容量协调风险容量(risk appetite) 与战略与战略Ø管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量制的过程中，需要考虑所在主体的风险容量§增进风险应对决策增进风险应对决策Ø企业风险管理为识别和在备选的风险应对企业风险管理为识别和在备选的风险应对““风险回避、降低、分担和风险回避、降低、分担和承受承受””之间进行选择提供了严密性之间进行选择提供了严密性§抑减经营意外和损失抑减经营意外和损失Ø主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失由此带来的成本或损失§识别和管理多重的和贯穿于企业的风险识别和管理多重的和贯穿于企业的风险Ø每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。

有助于有效地应对交互影响，以及整合式地应对多重风险§抓住机会抓住机会Ø通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会§改善资本调配改善资本调配Ø获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置并改进资本配置7/26/20244§事项事项—风险与机会风险与机会Ø事项可能会带来负面的影响，也可能会带来正面事项可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之的影响，抑或二者兼而有之Ø带来负面影响的事项代表风险，它会妨碍价值创带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值造或者破坏现有价值Ø带来正面影响的事项可能会抵消负面影响，或者带来正面影响的事项可能会抵消负面影响，或者说代表机会说代表机会Ø机会是一个事项将会发生并对目标机会是一个事项将会发生并对目标——支持价值创支持价值创造或保持造或保持——的实现产生正面影响的可能性的实现产生正面影响的可能性Ø管理当局把机会反馈到战略或目标制订过程中，管理当局把机会反馈到战略或目标制订过程中，以便制订计划去抓住机会。

以便制订计划去抓住机会7/26/20245所定义的企业风险管理所定义的企业风险管理§企业风险管理处理影响价值创造或保持的风险和机会，定义企业风险管理处理影响价值创造或保持的风险和机会，定义如下：如下：Ø企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证体目标的实现提供合理保证§这个定义反映几个基本概念企业风险管理是：这个定义反映几个基本概念企业风险管理是：Ø一个过程，它持续地流动于主体之内；一个过程，它持续地流动于主体之内；Ø由组织中各个层级的人员实施；由组织中各个层级的人员实施；Ø应用于战略制订；应用于战略制订；Ø贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；合观；Ø旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；量以内；Ø能够向一个主体的管理当局和董事会提供合理保证；能够向一个主体的管理当局和董事会提供合理保证；Ø力求实现一个或多个不同类型但相互交叉的目标。

力求实现一个或多个不同类型但相互交叉的目标7/26/20246目标的实现目标的实现§在主体既定的使命或愿景在主体既定的使命或愿景(vision)①①范围内，管理当局制订范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目战略目标、选择战略，并在企业内自上而下设定相应的目标企业风险管理框架力求实现主体的以下四种类型的目标企业风险管理框架力求实现主体的以下四种类型的目标：标：Ø战略战略(strategic)(strategic)目标目标 ————高层次目标，与使命相关联并支撑其使高层次目标，与使命相关联并支撑其使命；命；Ø经营经营(operations)(operations)目标目标————有效和高效率地利用其资源；有效和高效率地利用其资源；Ø报告报告(reporting)(reporting)目标目标 ————报告的可靠性；报告的可靠性；Ø合规合规(compliance)(compliance)目标目标————符合适用的法律和法规符合适用的法律和法规§对主体目标的这种分类可以使我们关注企业风险管理的不同对主体目标的这种分类可以使我们关注企业风险管理的不同侧面§这些各不相同但却相互交叉的类别这些各不相同但却相互交叉的类别——一个特定的目标可以一个特定的目标可以归入多个类别，反映了主体的不同需要，而且可能会成为归入多个类别，反映了主体的不同需要，而且可能会成为不同管理人员的直接责任。

不同管理人员的直接责任§这个分类还有助于区分从每一类目标中能够期望的是什么这个分类还有助于区分从每一类目标中能够期望的是什么一些主体采用的另一类目标一些主体采用的另一类目标——保护资源也包含在上述类保护资源也包含在上述类别之内7/26/20247企业风险管理的构成要素企业风险管理的构成要素（（1-8））§内部环境内部环境—内部环境包含组织的基调，它为主体内的人员如内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境量、诚信和道德价值观，以及他们所处的经营环境§目标设定目标设定—必须先有目标，管理当局才能识别影响目标实现必须先有目标，管理当局才能识别影响目标实现的潜在事项企业风险管理确保管理当局采取适当的程序去的潜在事项企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符且与它的风险容量相符§事项识别事项识别—必须识别影响主体目标实现的内部和外部事项，必须识别影响主体目标实现的内部和外部事项，区分风险和机会。

机会被反馈到管理当局的战略或目标制订区分风险和机会机会被反馈到管理当局的战略或目标制订过程中§风险评估风险评估—通过考虑风险的可能性和影响来对其加以分析，通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据风险评估应立足于固并以此作为决定如何进行管理的依据风险评估应立足于固有风险和剩余风险有风险和剩余风险7/26/20248§风险应对风险应对—管理当局选择风险应对管理当局选择风险应对—回避、承受、降回避、承受、降低或者分担风险低或者分担风险—采取一系列行动以便把风险控制在采取一系列行动以便把风险控制在主体的风险容限和风险容量以内主体的风险容限和风险容量以内§控制活动控制活动—制订和执行政策与程序以帮助确保风险应制订和执行政策与程序以帮助确保风险应对得以有效实施对得以有效实施§信息与沟通信息与沟通—相关的信息以确保员工履行其职责的方相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通有效沟通的含义比式和时机予以识别、获取和沟通有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动较广泛，包括信息在主体中的向下、平行和向上流动§监控监控—对企业风险管理进行全面监控，必要时加以修对企业风险管理进行全面监控，必要时加以修正。

监控可以通过持续的管理活动、个别评价或者两正监控可以通过持续的管理活动、个别评价或者两者结合来完成者结合来完成7/26/20249目标与构成要素之间的关系目标与构成要素之间的关系§目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需要什么来实现它们，二者之间有着直接的关系这种关系可以通过一个要什么来实现它们，二者之间有着直接的关系这种关系可以通过一个三维矩阵以立方体的形式表示出来三维矩阵以立方体的形式表示出来§四种类型的目标四种类型的目标——战略、经营、报告和合规战略、经营、报告和合规——用垂直方向的列表示，用垂直方向的列表示，八个构成要素八个构成要素用水平方向的行表示，而一个用水平方向的行表示，而一个主体内的各个单元主体内的各个单元则用第三则用第三个维度表示这种表示方式使我们既能够从整体上关注一个主体的企业个维度表示这种表示方式使我们既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。

的任何一个分项的角度去加以认识7/26/202410有效性有效性§认定一个主体的企业风险管理是否认定一个主体的企业风险管理是否“有效有效”，，是在对八个构成要素是否存在和有效运行进行是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断评估的基础之上所作的判断§因此，构成要素也是判定企业风险管理有效性因此，构成要素也是判定企业风险管理有效性的标准构成要素如果存在并且正常运行，那的标准构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内控制在主体的风险容量范围之内7/26/202411局限局限§尽管企业风险管理带来了重要的好处，但是仍尽管企业风险管理带来了重要的好处，但是仍然存在着局限然存在着局限§除了前面讨论过的因素之外，局限还导源于下除了前面讨论过的因素之外，局限还导源于下列现实：列现实：Ø人类在决策过程中的判断可能有纰漏，有关应对人类在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效风险和建立控制的决策需要考虑相关的成本和效益，类似简单误差或错误的个人缺失可能会导致益，类似简单误差或错误的个人缺失可能会导致故障的发生，控制可能会因为两个或多个人员的故障的发生，控制可能会因为两个或多个人员的串通而被规避，以及管理当局有能力凌驾于企业串通而被规避，以及管理当局有能力凌驾于企业风险管理决策之上。

风险管理决策之上§这些局限使得董事会和管理当局不可能就主体这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证目标的实现形成绝对的保证7/26/202412涵盖内部控制涵盖内部控制§内部控制是企业风险管理不可分割的一部分这份企内部控制是企业风险管理不可分割的一部分这份企业风险管理框架涵盖了内部控制，从而构建了一个更业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具强有力的概念和管理工具§内部控制是在内部控制是在《《内部控制内部控制—整合框架整合框架》》中加以定义和中加以定义和描述的§由于该框架经受了时间的考验，并且成为现行规则、由于该框架经受了时间的考验，并且成为现行规则、法规和法律的基础，因此那份文件对内部控制的定义法规和法律的基础，因此那份文件对内部控制的定义和框架依然有效和框架依然有效§尽管尽管《《内部控制内部控制—整合框架整合框架》》的正文中只有一部分被的正文中只有一部分被本框架所引用，但是本框架通过参考的方式把该框架本框架所引用，但是本框架通过参考的方式把该框架整体融合了进来整体融合了进来7/26/202413职能与责任职能与责任§主体中的每个人都对企业风险管理负有一定的责任。

主体中的每个人都对企业风险管理负有一定的责任Ø首席执行官首席执行官(CEO)(CEO)负有首要责任，并且应当假设其拥有所有负有首要责任，并且应当假设其拥有所有权其他管理人员支持主体的风险管理理念，促使符合其权其他管理人员支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围内依据风险容限去管理风风险容量，并在各自的责任范围内依据风险容限去管理风险Ø风险官、财务官、内部审计师风险官、财务官、内部审计师等通常负有关键的支持责任等通常负有关键的支持责任主体中的其他人员负责按照既定的指引和规程去实施企业主体中的其他人员负责按照既定的指引和规程去实施企业风险管理风险管理Ø董事会董事会对企业风险管理提供重要的监督，并察觉和认同主对企业风险管理提供重要的监督，并察觉和认同主体的风险容量体的风险容量Ø很多外部方面，例如很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师监管者和财务分析师常常提供影响企业风险管理的有用信常常提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成部分。

任何责任，而且也不是它的组成部分7/26/202414本报告的结构本报告的结构§本报告分两卷本报告分两卷§第一卷第一卷包括包括“基本框架基本框架”和本部分和本部分“内容摘要内容摘要”基本框架基本框架”给企业风险管理下定义，并给企业风险管理下定义，并讲述原则和概念，为企业和其他组织中的各级讲述原则和概念，为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理有管理人员提供用来评价和增进企业风险管理有效性的指导效性的指导§“内容提要内容提要”是一个针对首席执行官、其他高是一个针对首席执行官、其他高级管理人员、董事会成员和监管者的高度概括级管理人员、董事会成员和监管者的高度概括§第二卷第二卷《《应用技术应用技术》》(Application Techniques)，讲解，讲解在应用本框架各个要素的过程中有用的技术在应用本框架各个要素的过程中有用的技术7/26/202415本报告的使用本报告的使用§根据本报告的建议所可能采取的行动，取决于相关方根据本报告的建议所可能采取的行动，取决于相关方面的地位和职责：面的地位和职责：Ø董事会董事会————董事会应当与高级管理人员讨论主体企业风险董事会应当与高级管理人员讨论主体企业风险管理的现状，并提供必要的监督。

董事会应当确信知悉最管理的现状，并提供必要的监督董事会应当确信知悉最重大的风险，以及管理当局正在采取的行动和如何确保有重大的风险，以及管理当局正在采取的行动和如何确保有效的企业风险管理董事会应当考虑寻求内部审计师、外效的企业风险管理董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与部审计师和其他方面的参与Ø高层管理当局高层管理当局————本项研究建议首席执行官评估组织的企本项研究建议首席执行官评估组织的企业风险管理能力方法之一是，首席执行官把业务单元领业风险管理能力方法之一是，首席执行官把业务单元领导和关键职能机构人员召集到一起，讨论对企业风险管理导和关键职能机构人员召集到一起，讨论对企业风险管理能力和有效性的初步评价不管采取什么方式，初步评估能力和有效性的初步评价不管采取什么方式，初步评估应该确定是否需要以及如何进行更广泛、更深入的评价应该确定是否需要以及如何进行更广泛、更深入的评价Ø主体中的其他人员主体中的其他人员————管理人员和其他人员应该考虑如何管理人员和其他人员应该考虑如何根据本框架去履行他们的职责，并与更高层的人员讨论有根据本框架去履行他们的职责，并与更高层的人员讨论有关加强企业风险管理的看法。

内部审计师应该考虑他们关关加强企业风险管理的看法内部审计师应该考虑他们关注企业风险管理的范围注企业风险管理的范围7/26/202416Ø监管者监管者————本框架能增进有关企业风险管理的共本框架能增进有关企业风险管理的共识，包括它能干什么，以及它的局限监管者在识，包括它能干什么，以及它的局限监管者在对他们所监管的主体采用规则或指南等形式设定对他们所监管的主体采用规则或指南等形式设定期望，或进行检查时，可以参考本框架期望，或进行检查时，可以参考本框架Ø专业组织专业组织————为财务管理、审计和相关领域提供为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织应该对照本指南的规则制定机构和其他专业组织应该对照本框架去考虑它们的准则和指南消除概念和术语框架去考虑它们的准则和指南消除概念和术语方面的差别，对所有各方都有好处方面的差别，对所有各方都有好处Ø教育机构教育机构————本框架可以作为学术研究和分析的本框架可以作为学术研究和分析的对象，以便探讨在哪些方面还能作进一步的改进对象，以便探讨在哪些方面还能作进一步的改进假设本报告能够被普遍接受的话，它的概念和术假设本报告能够被普遍接受的话，它的概念和术语应该设法进入大学的课程之中。

语应该设法进入大学的课程之中7/26/202417§有了这个共同理解的基础，所有各方将能够用有了这个共同理解的基础，所有各方将能够用同一种语言讲话，更有效地进行沟通同一种语言讲话，更有效地进行沟通§企业的执行官将能够对照一套标准去评估他们企业的执行官将能够对照一套标准去评估他们公司的企业风险管理过程，强化这个过程从而公司的企业风险管理过程，强化这个过程从而使他们的企业朝着既定的目标迈进使他们的企业朝着既定的目标迈进§将来的研究可以建立在一个既定的基础之上将来的研究可以建立在一个既定的基础之上立法者和监管者将能够获得对企业风险管理的立法者和监管者将能够获得对企业风险管理的更深人的理解，包括它的好处和局限如果所更深人的理解，包括它的好处和局限如果所有各方都利用共同的企业风险管理框架，这些有各方都利用共同的企业风险管理框架，这些好处都将实现好处都将实现7/26/202418。