企业风险管理整体框架 （译文初稿）.docxVIP

COSO 企业风险管理整体框架 （译文初稿） 2004 年 9 月 1 COSO 企业风险管理框架 前言 十多年前，反虚假财务报告委员会赞助发起组织委员会(COSO) 发布了《内部控制整体框架》，以帮助企业和其他实体评估和增强其 内控体系。目前该框架已被采纳并融入政策、法令及规章， 有成千上 万个企业采用了该框架以便在朝着实现企业既定目标的道路上更好 地控制其企业的经营活动。 最近数年， 企业的风险管理成为焦点而受到突出关注； 需要一个 强有力的框架以有效地识别、评估和管理风险， 这一点越来越明确无 疑。在 2001 年 COSO 开始启动一个项目并聘用普华永道制定一套可 以很容易地供管理层采用的框架，去评估和改进其企业的风险管理。 在编写制定该框架的这段时间内， 发生了一系列引起广泛关注的 重大经营丑闻和企业破产， 在这些案例中投资者、公司员工及其他利 益相关者遭受了巨大损失。在这些事件结束后的一段时间里， 社会上 强烈呼吁采用新的法律、规章以及上市准则来强化公司治理和风险管 理。需要一个企业风险管理框架已变得愈益紧迫以提供关键的原则和 概念、普遍通用的语言以及清晰明了的指导和指引。COSO 相信本《企 业风险管理——整体框架》将会满足这个需要， 同时希望企业和其他 组织以及所有利益相关者和对此感兴趣的其他方都将广泛接受该框 架。 在美国与此相关联的发展结果是颁布了《2002 年萨班斯-奥克斯 利方案》；在其他国家也已颁布或正在考虑颁布相似的法律。该法案 2 延续了长期对上市公司的要求即维持公司的内控体系， 并要求管理层 对其内控体系的有效性进行证明， 以及要求独立审计师对该内控体系 的有效性进行验证。COSO 的“内部控制框架”会继续经受时间的考 验并作为被广泛接受的、可以满足相关财务报告要求的标准。 本“企业风险管理——整体框架”在内部控制的基础上扩展， 提 供了一个更强有力的框架， 更广泛地专注于企业的全面风险管理。尽 管该框架并不打算也不会取代内控框架， 而是将内控框架与其融合为 一体，但公司仍然可以决定依靠这个企业风险管理框架去满足其企业 内控的需要，通过采用更全面的风险管理方法使企业持续发展。 管理层所面临的最重大挑战是确定企业在努力创造价值实现其 目标的过程中准备接受并确实接受的风险的数量。本报告将能够使企 业的管理层更好地应对这个重大挑战。 3 目录 企业风险管理框架内容提要 6 1 ．事件 —— 风险和机遇 7 2 ．企业风险管理的定义 8 3 ． 目标的实现 9 4．企业风险管理构成要素 10 5． 目标和企业风险管理要素之间的关系 11 6．有效性 12 7 ．局限性 12 8．全面风险管理包含内部控制 13 9．角色和职责 13 10．本报告的内容安排 14 11．如何使用本报告 14 第一章 定义 17 1.1 不确定性和价值 17 1.2 事件 —— 风险和机遇 22 1.3 企业风险管理的定义 22 1.3.1 企业风险管理是一个过程 23 1.3.2 企业风险管理受到人的因素的影响 24 1.3.3 应用于战略制定 25 1.3.4 应用于企业内部每个层次和部门 26 1.3.5 风险偏好 27 1.3.6 提供合理的保证 28 1.3.7 目标的实现 28 1.4 企业风险管理构成要素 30 1.5 企业目标和企业风险管理要素之间的关系 32 1.6 有效性 34 1.7 企业风险管理包括内部控制 35 1.8 企业风险管理和管理过程 36 第二章 内部环境 38 2.1 风险管理理念 38 2.2 风险偏好 40 2.3 董事会 40 2.4 诚信和道德价值观 41 2. 5 胜任能力 44 2. 6 组织结构 45 2.7 权限和职责分配 46 2. 8 人力资源准则 47 2.9 相关意义 48 第三章 目标制定 50 3.1 战略目标 50 3.2 相关目标 51 3.2.1 相关的目标类别 52 4 3.2.2 经营目标 53 3.2.3 报告目标 53 3.2.4 合规性目标 53 3.2.5 子类目标 54 3.2.6 目标的重叠 54 3.3 目标的实现 55 3.4 经选择的目标 56 3.5 风险偏好 57 3.6 风险容忍度 58 第四章 事件识别 59 4.1 事件 59 4.2 起影响作用的因素 60 4.3 事件识别方法 62 4.4 事件互相依存 64