COSO委员会对企业风险管理的报告（一）

COSO委员会对企业风险管理的报告（一）编者按（iaudit）：COSO-ERM是COSO委员会继“内部控制－整体框架”（即COSO报告）后又起草的关于企业风险管理的标准框架。中国会计视野设区论坛“内部审计”版面将组织各位网友翻译该报告。以下文字（报告的第1、2部分）得力于kingfly、nosir、pengjingen三位网友的努力已经翻译完成，有些翻译的相当好，有些还需要改进，无论如何，都为我们版面乃至视野奉献了一份辛苦和热情，在此表示感谢。附件把三部分中文部分整合起来,方便大家阅读。目录：（页码代表原文的页码）1．企业风险管理的意义..................................12．框架概览............................................63．内部环境...........................................194．目标设定...........................................295．风险识别...........................................386．风险评估...........................................477．风险应对...........................................538．控制措施...........................................609．信息和沟通.........................................6810．监控..............................................7911．企业风险管理的局限性..............................8812．任务与责任........................................9213．如何实施..........................................102附录：A目标和方法B企业风险管理框架（COSO-ERM）和内部控制――综合框架（COSO）的关系C参考文献D应考虑的评论意见E词汇1、企业风险管理的意义――翻译第一部分（译者kingfly）本章小结：企业风险管理由一系列策略框架组成并且贯穿企业的经济业务活动。它使管理层能够识别、评估和管理那些表面上看无法确定的风险，以此来支持价值的创造和维持。企业风险管理使企业能结合风险偏好和策略，联系风险和企业的成长与回报，加强了应对风险能力，减少了经营中的意外和损失的发生，识别和管理贯穿整个企业的风险，面对多重风险提供综合应对方法，帮助企业抓住机会，并且能使企业的资金得到合理的安排。这里提出的企业风险管理的含义中企业包括每一个实体，不论是盈利的还是非盈利的或是政府部门，只要他们向他们的利害关系人提供价值。所有的实体都会面对一些不确定，管理层面对的挑战是去决定当企业在为增长股东的价值而努力的时候，将会面对多少不确定因素。不确定性代表了风险和机会，潜在的事件可能销减价值也可能增加企业的价值。企业风险管理为管理层提供了一个框架，能有效的应对风险，使风险和机会相结合，提升企业创造价值的能力。不确定性企业的经营环境由很多因素组成诸如全球化、技术、法规、重组、不断变化的市场、和竞争都会产生不确定性。不确定性源于无法准确的确定潜在事件发生的可能性和随之带来的结果。不确定性也由于企业战略选择的不同而产生。比如，一个企业基于向国外扩张的成长型策略。这一策略随之带来的是与该国政治环境、资源、市场、渠道、劳动力和成本相关的风险和机会。价值价值由企业经营管理层①从政策的制定到经营管理的决策日复一日的活动而产生、维持或减少。决策的固有性就是识别风险和机遇，这就要求管理层考虑相关的信息既包括内部和外部的环境，还要调动以前的资源并且调整企业的经营活动以适应不断变化的环境。通过调动资源包括人力、资本、技术和品牌，使所获得得收益大于所使用的资源最终创造价值。企业维持价值也通过集中人力、生产过程、系统和措施去创造持续的价值，包括其他因素，象产品质量、生产能力和客户满意程度。（①管理层――在这里和以后所指的管理层还包括在很多企业风险管理活动中执行的非管理层人员。也会由于执行的不完全、或是因为所搜集的相关风险的信息不完整、策略的制定或执行存在缺陷而被削弱了。）当管理层的策略和目标使企业的成长、回报和相关的风险保持一个较好的平衡的时候，价值也会增加，并且在追求企业的目标的同时能有效率且有效的利用各方资源。企业风险管理能判断市场的需求、无效性和其他事件，这些都提供了创造价值的机遇或是需要管理的风险并且达到企业的目标。实体实现价值当股东获得确定的收益作为他们价值的回报时。对于公司，当股东认可从每股价值成长创造的价值时他们实现了价值。对于政府部门，当组成部门承担可接受的成本认可了有价值的服务时，实现了价值。非盈利性实体的股东实现价值当他们接受有价值的社会收益时。企业的风险管理使管理层能创造持续的价值并且把这些价值传递给股东。实体价值的衡量衡量价值时需要考虑包括相对价值、实用价值或者是实体对于股东的重要性。很多公司管理层习惯于考虑价值以财务方法象经济利益、股东附加价值、资本风险调整收益或者全体股东回报。这些财务衡量指标都有一个共同的前提――在价值产生前资本的成本必须被弥补。然而，这些财务指标并不总是作为唯一的价值判断标准。衡量一个非盈利机构的价值可能要联系他们所提供的社会利益。比如，一个非盈利的为老年人服务的机构衡量其价值时考虑老年人能承受的高质且长期的医疗保障。企业风险管理的作用没有一个企业是在没有风险的环境下经营的，而企业的风险管理也不能在这样的环境下产生。所以，企业风险管理使管理层能在充满风险的环境下更有效的经营。企业风险管理的作用：使风险偏好（riskappetite）与制定的策略一致风险偏好是指公司或是其他的实体追求目标时在普遍情况下都愿意接受的风险程度。管理层首先考虑实体的风险偏好是在评价所选择的策略时，然后是在制定与所选策略一致的目标时，接着是在为了管理相关的风险而开发系统时。比如，一个制药公司的品牌价值需要保持较低的风险偏好。相应的，为了保护它的品牌，公司持有大量的协议以确定其产品的安全并且相应的投资大量的资源在早期的研发阶段，以支持品牌价值的创造。成长性、风险性和回报的联系――实体可接受的风险作为价值的创造和维持的一个部分，并且他们希望有与承担的风险相应的回报。企业风险管理提供了识别和评估风险，建立与成长和回报目标相关的可接受的风险水平。比如，一个保险公司的策略计划管理带来的是所有商业个体的成长性和回报计划。识别和加以考虑所得到的风险，选择反馈信息、根据每个商业个体和整个公司的目标调整商业单位的计划，分配资金。增强风险应对决策能力企业风险管理提供了严格的程序从多种风险应对措施中识别和选择――避免风险、减少、分担还是接受。比如，一个公司对使用公司拥有和经营的汽车管理中接受那些固有的风险诸如汽车损坏和人员受伤害的成本。可选择的方式有通过有效的招募和培训司机以减小风险，通过外部承运以避免风险，利用保险转嫁风险或是仅仅去接受风险。企业风险管理提供了方法和技术为做类似的决定。减少经营中的意外和损失实体增强了识别潜在事件、评估风险和建立反应机制的能力，这就能减少意外事件的发生和相关的成本和损失。比方说，一个制造公司跟踪产品部件和设备的废品率和对平均值的偏离程度。这个公司采用多重标准评价废品率的影响，包括修理的时间、不能满足客户要求、雇员的安全性和安排与无安排的修理的成本，和反馈通过建立有序的维护时间表。识别和管理贯穿整个企业的风险每一个实体都面对无数影响该实体不同方面的风险。管理层不仅仅要管理单个的风险，而且还要了解他们之间相互的影响。比如，一个银行面对各种不同的风险，这些风险贯穿于整个企业的经济业务活动中，管理层开发了一个信息处理系统用以分析从其他内部系统中产生的交易和市场数据并结合相关的外部信息，提供一个贯穿所有经济活动的风险总概。这种信息系统还能按部门、客户或是竞争对手、交易商与交易量、按建立的分类确定与风险可容忍度相关的风险量。这种信息系统使银行能把曾经分离的数据信息相联，使用这些汇总的信息去更有效的应对风险或是根据既定的目标。对于多种风险提供综合的应对商业过程本身就有很多固有风险，企业风险管理对管理这些风险提出综合的解决方法。比如，一个批发分销商面对的风险有供应过量或不足、稀少的供货源和不必要的高买价。管理层识别和评估在前文所提及的公司策略中风险，目标和多种的对应，并且开发了一个存货控制系统。这个系统与供应商达成联盟，共享销售和存货信息，形成战略合作伙伴，并且通过签订长期的供货合同和采用有利的价格，避免了存货短缺和不必要的运输成本。供应商变成有责任去补充存货，从而节约了更多的成本。抓住机会通过考虑所有范围内的潜在事件，而不仅仅是风险，管理层了解了具体事件是如何带来机会的。比如，一个食品公司考虑到潜在事件将可能影响到持续的收入成长目标。在估计了该事件后，管理层意识到公司的主要客户群在逐步增强健康意识并在改变他们的饮食偏好，这表明公司目前的产品在今后将会呈现需求的下降趋势。在决定风险应对时，管理层决定通过利用目前的能力去开发新的产品，使公司不仅能维持从现有客户赚取收入，而且还能够从争取更广泛的客户基础得到额外的收益。使资金的使用合理化风险信息越充分，管理层就能更有效的评估所有资金的需求，提高资金的分配。比如，一个金融机构接到新的规定通知增加资本需要量除非管理层以更细致的方式计算信贷和经营风险水平和与之相关的资本需要量。该公司根据系统开发成本与额外筹集资本成本作比较来评估风险，按照通知作出了决定以应对风险。用现存的容易更改的软件，银行开发了一种更准确的计算方法，避免了需要额外的筹集资金。企业风险管理本身并不是作为一种结果，而是作为一种实现目标的重要方法。他也不是在实体里单独的实施，而是作为一个管理程序的助手。企业风险管理通过提供存在的重大风险信息和如何去管理风险的信息给董事会使之与经营管理相关联。他通过提供风险调整方法与执行管理、和内部控制相关联。而内部控制也作为企业风险管理的一个组成部分。企业风险管理帮助实体实现他所要完成的行为和利益目标并且阻止了损失的造成。他帮助确保有效的报告。并且帮助确保实体遵循法律法规，避免声誉上的损失和其他后果。总之，他帮助一个实体沿着既定的目标发展并且避免实体落入在发展过程中可能碰到的陷阱或是意外。2、框架概览－翻译第二部分（译者nosir）本章概要：企业风险管理是一个过程，受组织的董事会、管理层和其他人员影响，企业风险管理应用于战略制定，贯穿整个企业，旨在识别影响组织的潜在事件，在组织的风险胃口范围内管理风险，为组织目标的实现提供合理的保证。这个定义很宽泛，涉及企业的方方面面。企业风险管理由八个互相关联的部分组成，这些组成部分辅助企业管理方式，并和其他管理流程有机整合。这八个部分互相关联，是评价企业风险管理是否有效的标准。本框架的一个主要目标是帮助企业或其他机构的管理层更好应对风险以实现组织目标。但是，企业风险管理的含义因人而异。一个包罗万象的标签无助于对企业风险管理达成共识。于是，就需要把众多的风险管理概念集成在一个框架之中，在框架里确立一个普遍接受的定义及确定其组成部分。这个框架融众多观点于一炉，为单个组织识别和加强企业风险管理提供一个支点，也为规则制定机构和教育界人士进一步的研究和行动提供基础。事件和风险有很多外部事件或内部事件可能影响战略的制定和目标的实现。事件可能是积极的，也可能是消极的，或者同时包含积极面和消极面。具有消极后果的事件构成风险。因此，风险就是对目标实现造成不利影响事件发生的可能性。有积极影响的事件可能会抵消消极影响，这些事件构成机会。管理层必须在战略或目标制定过程中考虑机会，这样以后的行动中就能抓住机会。管理层