COSO中央企业全面风险管理.ppt

COSO风险管理框架清华大学会计研究所陈武朝副教授mail：2021年9月

主要内容COSOERM框架实施风险管理要点内控与企业风险管理的关系?中央企业全面风险管理指引?

COSOERM框架COSO认为，内部控制是风险管理的一局部。在?内部控制-整体框架?的根底上,COSO于2003年出台了?企业风险管理框架?征求意见稿，并于2004年9月正式发布。

COSOERM框架〔续〕企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于整个企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量〔风险承受范围〕之内，并为主体目标的实现提供合理保证。

COSOERM框架〔续〕企业风险管理框架COSOERM

COSOERM框架〔续〕怎样理解该定义？企业风险管理是：一个过程，它持续地流动于主体之内；由组织中各个层级的人员实施；应用于战略制订；贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。

COSOERM框架〔续〕目标的实现在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：战略〔strategic〕目标——高层次目标，与使命相关联并支撑其使命；经营〔operations〕目标——有效和高效率地利用其资源；报告〔reporting〕目标——报告的可靠性；合规〔compliance〕目标——符适宜用的法律和法规。

COSOERM框架〔续〕企业风险管理的构成要素内部环境〔InternalEnvironment〕内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了根底，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。建立一套与风险管理相关的理念。它认为，意外事项与预期事项都可能发生。建立企业风险文化。考虑组织行为如何影响其风险文化的一切其它方面。目标设定〔ObjectiveSetting〕必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。在目标设定中，应用于管理层考虑风险策略的时候制定公司的风险承受能力——从高层面观察，管理层和董事会愿意接受多大的风险风险容忍度,目标相关变量的可接受水平，与风险承受能力一致。

COSOERM框架〔续〕事项识别〔EventIdentification)必须识别影响主体目标实现的内部和外部事项，区分风险和时机。时机被反响到管理当局的战略或目标制订过程中。风险评估(RiskAssessment)通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。一个事项是指可能影响战略执行或目标实现的一个事件或发生的事情。区分风险与机遇风险是一个事项发生，并对目标实现产生负面影响的可能性。可能有积极影响的事项，代表正常抵消或机遇。风险衡量采用与相关目标相同的衡量单位。时间区间已指定，并与目标一致。

COSOERM框架〔续〕

COSOERM框架〔续〕注意：企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也确实会影响其他构成要素。

COSOERM框架〔续〕有效性认定一个主体的企业风险管理是否“有效〞，是在对八个构成要素是否存在和有效运行进行评估的根底之上所作的判断。因此，构成要素也是判定企业风险管理有效性的标准。构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险那么可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的，那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符适宜用的法律和法规的程度。八个构成要素在每个主体中的运行并不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太健全。尽管如此，当八个构成要素存在且正常运行时，小规模主体依然会拥有有效的企业风险管理。

COSOERM框架〔续〕局限尽管企业风险管理带来了重要的好处，但是仍然存在着局限。除了前面讨论过的因素之外，局限还导源于以下现实：人类在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的本钱和效益，类似简单误差或错误的个人缺失可能会导致故障的发生，控制可能会因为两