COSO风险管理框架中文版

COSO风险管理框架中文版

COSO风险管理框架中文版

概览

一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程，而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息（包括大量公开出版的文献），但实务中却并不存在统一的术语，而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要，因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划，旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础，以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容，包括企业风险管理的定义、内容和基本原则，风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。如果想更加深入地了解有关知识，请看企业风险管理框架的全文。

（一）企业风险管理的相关性

企业风险管理的基本前提是每一个企业，无论是盈利组织、

非盈利组织，还是政府机构，其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言，所面临的挑战是在追求企业利益相关方价值增长的同时，决定企业准备接受的不确定性的程度。不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架，使其能够有效处理不确定性及相应的风险和机遇，进而提高企业创造价值的能力。

1．不确定性

企业经营的环境中有许多因素都会给企业带来不确定性，如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性

及其相应结果。

2．价值

从战略的制定到企业的日常经营，管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇，它要求企业的管理1应在考虑企业内、外部环境的因素的基础上，对企业的稀缺资源进行配置，并且根据环境的不断变化来调整企业的活动。

当企业的利益相关方取得其相应价值的可确认收益时，企业的价值也得到实现。对于公司而言，当股东承认由于股价上扬所带来的价值时，他们也就承认了企业的价值。对于政府机构，当该机构以一个可接受的成本所提供的服务的收益得到确

认时，机构的价值就得以实现。对于非盈利组织的利益相关方而言，当他们确认组织所提供的社会福利的价值时，他们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给利益相关方。

3．企业风险管理的优点

所有企业都是在有风险的环境下经营，而不是企业风险管理使企业面临这样的环境。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。

企业风险管理使企业的管理者能够：

（1）将风险偏好和企业的战略结合在一起。

从广义来讲，风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好，其后，在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。

（2）将企业成长、风险和收益联系起来

经济主体在企业价值保值、增值的过程中也要接受相应的风险，同时预期补偿风险的相应收益。企业风险管理提高了企业确认和评估风险的能力，进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。

（3）增加风险反应决策

企业风险管理提供了确认和选择不同的风险反应方案的严格标准。企业的风险反应方案包括风险规避、风险降低、风险

共担和风险接受。企业风险管理提供了进行相关决策的方法和技术。

（4）使企业的经营意外和损失最小化

经济主体可能提高确认潜在事项、评估风险和明确反应方案，最后减少经营意外的出现次数以及减少相应的成本或损失。

（5）确认和管理企业的总体风险

每一个经济主体都面临着许多风险，而不同的风险会影响企业经营的各个方面。管理不仅需要对每一种风险进行管理，还需要了解风险对企业总体的影响。

（6）针对多重风险提供完整的反应方案

企业的经营过程存在许多内在的风险，企业风险管理就是为管理风险提供一整套解决方案。

（7）抓住机遇

管理不仅要考虑风险，还需要考虑潜在的事项对企业的影响。对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。

（8）合理分配资金

关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总体的资金需要，改进企业的资金配置。企业风险管理本身并不是目的，它仅仅是实现目的的一种方式。它不能、也无法在一个经济主体内单独运行，而是企业管理过程的一个推动器。企业风险管理向董事会提供最重要的

风险的信息以及这些风险应如何管理的建议，进而与公司治理相联系。而且，风险管理与企业的绩效管理也有关，风险管理通过提供风险调节的措施和内部控制来帮助企业的绩效管理。内部控制是企业风险管理的一部分。风险管理帮助一个经济主体实现其经营和利润目标、防止资源的浪费。它还有助于确保企业报告的有效性。此外，企业风险管理还有助于保证企业遵守有关的法律、法规，避免其声誉受损并防止产生相应的不良后果。总之，企业风险管理可以帮助一个经济主体实现其目标、及在实现目标的过程中避开陷井和防止意外的发生。

（二）企业风险管理的定义

企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证。

这一定义反映了一些基本概念：

1．企业的风险管理是一个过程――其本身并不是一个目的，而是实现目的的一种方式。

2．风险管理受人的影响――它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。

3．风险管理也适用于企业战略制定过程。

4．企业风险管理应在整个企业范围内应用，在每一个经营层面和每一个单位内应用，并应以一种企业总体的风险组合的观点来看待。

5．风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。

6．风险管理仅为企业的管理者和董事会提供合理的保证。

7．企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。

从广义上定义这一概念主要有几个原因：这一定义应包括公司和其他企业管理风险的几个基本概念，并可以应用于各种组织、行业和部门。它直接针对企业目标的实现。此外，这一定义应为定义企业风险管理的有效性提供一个基础。上述基本概念详细论述如下：

1．一个过程

企业的风险管理并不是一个事项或环境，而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。一些人认为，企业风险管理对企业的各项活动而言是多余的，是企业必须承担的一个负担，但COSO 的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不懈的努力。例如，风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析

和计算。但是，这些以及其他的企业风险管理机制与企业的经营活动是并存的，是由于最基本的商业原因而存在的。当企业风险管理机制成为企业的基础设施并真正成为企业的一部分时，企业的风险管理会最有效。通过建立风险管理，企业可以直接提高自身的战略执行能力，并提高企业预期和任务的实现