《COSO企业风险管理整合框架附录部分中文版》由会员分享,可在线阅读,更多相关《COSO企业风险管理整合框架附录部分中文版(3页珍藏版)》请在金锄头文库上搜索。
1、P109企业风险管理整合框架和内部控制整合框架之间的关系1992年,COSO(反虚假财务报告委员会的赞助组织委员会)发布了内部控制一整合框架,该框架建立了内部控制结构,并提供评价工具,从而使企业和其他主体可以评估其控制系统。该框架定义了有效进行内部控制的五个相互关联的要素。内部控制整合框架将内部控制定义为一个过程,该控制过程受到企业董事会、管理层和全体职工的影响,旨在提供合理保证,以实现下列目标:经营的效率和效果财务报告的可靠性法律法规的遵循性本附录概述了内部控制框架和企业风险管理框架之间的关系。对内部控制的拓展内部控制是企业风险管理的主要组成部分。相比较而言,企业风险管理的内容则更为深入,它
2、扩展和详述了内部控制的范畴,这使企业风险管理成为了更加全面关注风险的更加健全的概念。由于企业主体和其他组织只关注自身的内部控制,从而使内部控制整合框架仍然有重要的影响。目标分类内部控制整合框架细分了三种目标运营目标,财务报告目标和合规性目标。企业风险管理也细分了三种类似的目标类别运作目标,报告目标和合规目标。在内部控制框架中,报告类别被认为与公布的财务报表的可靠性相关。在企业风险管理框架中,报表的范畴被明显的扩展,涉及了主体编制的所有在内部和外部使用的报表。包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等,其范围也从财务报表拓展为不仅包含更加广泛的财务信
3、息,而且还包含非财务信息。P110企业风险管理整合框架增加了一个高层次的目标,即战略目标。战略目标来源于主体的规划,同时运营、报表和合规性的目标都要与之一致。企业风险管理被应用于战略制定以及其他三类目标的实现。企业风险管理框架还引入了风险偏好和风险承受能力的概念。风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量,它为战略制定及相关目标的实现提供了参考。在确定风险承受能力过程中,管理层需考虑相关目标的重要性,并将其与企业风险偏好相协调。在风险承受能力范围内经营有助于确保该主体能保持在它的风险偏好之内,进而确保该主体将会实现其目标风险组合观点风险组合未包含在内部控制框架之内。对企
4、业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。组成部分在加强关注风险的同时,企业风险管理框架将内部控制的风险评估扩展为四个组成部分目标设定(内部控制的先决条件)、事项识别、风险评估和风险应对。内部环境在论述环境组成方面,企业风险管理框架讨论了一种主体风险管理理念,即一整套共同的信念和态度。描述了主体如何考虑风险,反映了它的价值观,并影响其文化和经营风格。如上所述,此框架包含了风险偏好的概念,风险承受能力更加明确的印证了这一点。考虑到董事会的决定性作用及其构成,为了使企业风险管理更加有
5、效,企业风险管理框架将内部控制框架所要求的最少独立董事的个数正常情况下两名扩展为独立董事的大多数。P111事项识别企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素。并且两种框架都认为风险识别对主体目标的实现有着潜在影响。企业风险管理框架探讨了潜在事件的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。具有积极影响的潜在事件就是机会,具有负面影响的就是风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。风险评估虽然内部控制和企业风险管理框架都要求对给定
6、风险出现的可能性及其潜在影响进行评估,但企业风险管理框架建议更加透彻地看待风险管理。从固有风险和残存风险的角度进行考虑,将风险与相关的目标相联系,并采用和风险相关目标一致的计量单位进行计量。风险评估的时间基准应与企业的战略和目标相一致,如果可能,也应与可观测到的数据相一致。企业风险管理框架要求对相互关联风险进行关注,它论述了单一的事项如何为企业带来多重的风险。如上所述,企业风险管理需要管理者建立主体层面的风险组合观点。各业务单位、职能部门、生产过程或相应的其他活动负责的管理者对其负责的部门或单位的风险应进行复合式评估,主体层面的管理从“风险组合”观点出发来考虑风险。风险应对企业风险管理框架明确
7、了四种类别的风险应对方案规避,降低,共担,接受风险。作为企业风险管理的一部分,管理层认为潜在对策均来自于这四种,并且都趋向于使剩余风险和主体的风险承受能力相一致。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。P112控制活动两种框架中都认为控制活动有助于确保风险应对的执行,企业风险管理框架明确表示,在某些情况下,控制活动本身就是一种风险应对策略。信息和沟通企业风险管理框架扩展了内部控制中的信息和沟通部分,更加关注过去,现在和潜在事件的数据。历史数据允许实体追踪目标,计划和预期的实际表现,洞察其在过去某时段不同条件下的行为。实时
8、数据提供了重要的附加信息,潜在事件数据和基本因素完善了信息分析。信息基础来源于事件框架内获得的数据和实体需求的详细程度,这种需求包括事件确认,风险的评估和应对,以及不超过风险偏好。在围绕是否存在可替代的报告渠道讨论中,与企业风险管理框架相比,内部控制更加强调非正规报告渠道,他们认为有效的风险管理需要此渠道。角色和职责两种框架都关注不同组织的职能与责任,即各种组织都是内部控制和企业风险管理框架的一部分,都要向其提供重要信息。企业风险管理框架描述了风险部门的职能与责任,并增强了主体董事会的作用。P113参考书目选编美国会计师协会及加拿大特许会计师公会新兴经济中的风险管理纽约AICPA2000Ban
9、ham,俄罗斯,高层次的偏见(AHighLevelofIntolerance)。CFO,高级财务经理2000年4月Barton,ThomasL.,WilliamG.Shenkir,和PaulL.Walker。风险管理收益:如何引导企业实施风险管理。高级财务经理。2001Bazerman,MaxH,领导决策判断。纽约JohnWiley和Sons,2001COSO,内部控制一整合框架,纽约,AICPA.1992Crouhy,Michael,DanGalai,andRobertMark,风险管理,纽约,麦克劳希尔出版社,2001Davidson,Clive,全球风险探究,证券新闻,2000.6.5D
10、eLoach,JamesW,全面风险管理:风险与机遇之间的战略联系,伦敦,财经时报,普伦蒂斯霍尔出版社DiPiazza,SamuelA.,Jr.和RobertG.Eccles,建立公众信任:关于未来合作的报告,约翰威利父子出版公司,2002Everson,Miles,创立经营风险敏感的企业文化,风险管理协会志,2002.3.1经济学家情报组织和安达信会计师事务所,管理商业风险整合方法,经济学家情报组织,1995企业风险管理新方案的执行,经济学家情报组织,2001国际金融教育联盟调研组织与安达信会计师事务所,风险管理:企业的远景规划。高级财务经理,2002Haubenstock,,Michael
11、,JohnGontero,可操作风险管理:新的领域。纽约,RMA,2001英格兰及威尔士特许会计师协会,基于公司治理联合准则的内部控制引导,伦敦,ICAEW,1999P114国际标准化组织,ISO/IEC索引73,2002Lam,James,CRO被普遍接受,风险管理,2001.4注好像我翻的不太对全国舞弊性财务报告委员会,全国舞弊性财务报告委员会报告,1987Nottingham,Lucy,综合风险管理的构思框架,渥太华,加拿大会议局,1997巴塞尔银行监管委员会风险管理小组,监督和管理可操作风险,2001P115E对评论信件的考虑如附录A所述,此框架的草构文件已公之于众,并期待回应。在已收
12、到的78封信中,囊括了关于各种问题的许多独特评论,在制定和修改最终的文件的过程中,每一条评论都被考虑在内。此附录归纳了一些更为重要的问题,因而导致最终报告有所变动,这也为我们提供了另一个视角来解释为什么某些观点更易为他人接受。企业风险管理的定义股东价值实现尽管价值的概念没有在企业风险管理的定义中明确地表述出来,但意见征求草案论述了企业风险管理如何使一个组织认识到其股东的价值。一些被征求着建议应明确提及这个概念。结果表明,该定义应予以保留,这个定义明确阐述了企业风险管理涉及到就实现实体目标提供的保证。在围绕定义的表述中它还描述了企业风险管理如何使股东价值实现。由于这种联系的存在,和有关价值的表述,也为避免不尽合理地冗长的定义(正如被征求者所建议的那样),此定义被保留了下来。
