COSO 企业风险管理 – 整合框架

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2008-6-2,#,COSO,企业风险管理,整合框架,Presented by Fiona Liu,COSO,是,Treadway,委员会的发,起,起组织委员,会,会（,Committeeof Sponsoring Organizations oftheTreadway Commission,）,一、定义,企业风险管,理,理是一个过,程,程，它由一,个,个主体的董,事,事会、管理,当,当局和其他,人,人员实施，,应,应用于战略,制,制定并贯穿,于,于企业之中,，,，旨在识别,可,可能会影响,主,主体的风险,容,容量之内，,并,并为主题目,标,标的实现提,供,供合理保证,。,。,二、企业风,险,险管理的四,大,大目标,战略目标,高层次目标,，,，与使命相,关,关联并支撑,其,其使命；,经营目标,有效和高效,率,率地利用其,资,资源；,报告目标,报告的可靠,性,性；,合规目标,符合适用的,法,法律和法规,。,。,三、企业风,险,险的构成要,素,素,内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通,监控,四、目标与,构,构成要素之,间,间的关系,目标是指一,个,个主体力图,实,实现什么，,企,企业风险管,理,理的构成要,素,素则意味着,需,需要什么来,实,实现它们，,二,二者有着直,接,接的关系。,五、内部环,境,境,内部环境包,含,含组织的基,调,调，它为主,体,体内的人员,如,如何认识和,对,对待风险设,定,定了基础，,包,包括风险管,理,理理念和风,险,险容量、诚,信,信和道德价,值,值观，以及,他,他们所处的,经,经营环境。,风险管理理,念,念,风险管理理,念,念是一整套,共,共同的信念,和,和态度，它,决,决定着主体,在,在做任何事,情,情,从战略制定,和,和执行到日,常,常的活动时,如,如何考虑风,险,险。风险管,理,理理念反映,了,了主体的价,值,值观，影响,它,它的文化和,经,经营风格，,并,并且决定如,何,何应用企业,风,风险管理的,构,构成要素，,包,包括如何识,别,别风险。,风险容量,风险容量是,一,一个主体在,追,追求价值的,过,过程中所愿,意,意承担的广,泛,泛意义上的,风,风险的数量,。,。它反映了,企,企业的风险,管,管理理念，,进,进而影响了,主,主体的文化,和,和经营风格,。,。,董事会,一个主体的,董,董事会是内,部,部环境的关,键,键部分，它,对,对其要素有,着,着重大影响,。,。董事会对,管,管理当局的,独,独立性、其,它,它成员的经,验,验和才干、,对,对活动参与,和,和审查的程,度,度，以及其,行,行为的 适,当,当性都起着,重,重要的作用,。,。,诚信与道德,价,价值观,管理当局的,诚,诚信是一个,主,主体活动的,所,所有方面的,道,道德行为的,先,先决条件。,企,企业风险管,理,理的有效性,不,不可能脱离,那,那些创造、,管,管理和监督,主,主体活动的,人,人的诚信和,道,道德价值观,。,。诚信和道,德,德价值观是,一,一个主体内,部,部环境的关,键,键要素，它,影,影响着企业,风,风险管理其,他,他构成要素,的,的设计、管,理,理和监控。,道德行为和,管,管理当局的,诚,诚信是公司,文,文化的副产,品,品，公司文,化,化包含道德,和,和行为准则,以,以及它们的,沟,沟通和强化,方,方式。,对胜任能力,的,的要求,管理当局明,确,确特定岗位,的,的胜任能力,水,水平，并把,这,这些水平转,换,换成所需的,知,知识和技能,。,。而这些必,要,要的知识和,技,技能可能又,取,取决于个人,的,的治理、培,训,训和经验。,在,在开发知识,和,和技能水平,的,的过程中考,虑,虑的因素包,括,括一个具体,岗,岗位所运用,判,判断的性质,和,和程度。通,常,常会在监督,的,的范围和所,需,需的胜任能,力,力水平之间,作,作出权衡。,组织结构,一个主体的,组,组织结构提,供,供了计划、,执,执行、控制,和,和监督其活,动,动的框架。,相,相关的组织,结,结构包括确,定,定权力与责,任,任的关键界,区,区，以及确,立,立恰当的报,告,告途径。,权力和职责,的,的分配,权力和职责,的,的分配涉及,到,到个人和团,队,队被授权并,鼓,鼓励发挥主,动,动性去指出,问,问题和解决,问,问题的程度,，,，以及他们,对,对权利的限,制,制。,人力资源准,则,则,包括雇用、,定,定位、培训,、,、评价、咨,询,询、晋升、,付,付酬和采取,补,补偿措施在,内,内的人力资,源,源业务向员,工,工传达着有,关,关诚信、道,德,德行为和胜,任,任能力的期,望,望水平方面,的,的信息。,影响,一个组织的,内,内部环境对,企,企业风险管,理,理如何持续,地,地实施和发,挥,挥作用具有,重,重大影响。,内,内部环境是,应,应用企业风,险,险管理其它,构,构建的环境,，,，它通常具,有,有强大的正,面,面或负面影,响,响。一个无,效,效的内部环,境,境可能会导,致,致财务损失,、,、损害公众,形,形象，或经,营,营失败。,六、目标设,定,定,目标设定是,有,有效的事项,识,识别、风险,评,评估和风险,应,应对的前提,。,。目标与主,体,体的风险容,量,量相协调，,后,后者决定了,主,主体的风险,容,容限水平。,战略目标,是高层次的,目,目标，它与,主,主体的使命,/,愿景相协调,，,，并支持后,者,者。战略目,标,标反映了管,理,理当局就主,体,体如何努力,为,为它的利益,相,相关者创造,价,价值所作出,的,的选择。,经营目标,经营目标关,系,系到主体的,有,有效性和效,率,率，主要反,映,映主体运营,所,所处的特定,的,的经营、行,业,业和经济环,境,境。,报告目标,可靠的报告,目,目标为管理,当,当局提供适,合,合既定目的,的,的准确而完,整,整的信息。,它,它支持管理,当,当局的决策,和,和对主体活,动,动和业绩的,监,监控。,合规目标,主体从事活,动,动必须符合,相,相关的法律,和,和法规，通,常,常还必须采,取,取具体措施,。,。,七、事项识,别,别,管理当局识,别,别将会对主,体,体产生影响,的,的潜在事项,如果存在的,话,话，并确定,它,它们是否代,表,表机会，或,者,者是否会对,主,主体成功地,实,实施战略和,实,实现目标的,能,能力产生负,面,面影响。带,来,来负面影响,的,的事项代表,风,风险，它要,求,求管理当局,予,予以评估和,应,应对。带来,正,正面影响的,事,事项代表机,会,会，管理当,局,局可以将其,反,反馈到战略,和,和目标设定,过,过程之中。,在,在对事项进,行,行识别时，,管,管理当局要,在,在组织的全,部,部范围内考,虑,虑一系列可,能,能带来风险,和,和机会的内,部,部和外部因,素,素。,影响因素,管理当局需,了,了解外部因,素,素和内部因,素,素以及由此,可,可能产生的,事,事项的类型,。,。,外部因素包,括,括：经济因,素,素、自然环,境,境因素、政,治,治因素、社,会,会因素、技,术,术因素,内部因素包,括,括：基础结,构,构、人员、,流,流程、技术,事项识别技,术,术,主体的事项,识,识别方法可,能,能包含各种,技,技术的组合,，,，以及支持,性,性的工具。,事项识别既,关,关注过去，,也,也着眼于未,来,来。,相互依赖性,事项并不是,鼓,鼓励地发生,的,的。一个事,项,项可能引发,另,另一个事项,，,，事项也可,能,能同时发生,。,。,区分风险和,机,机会,事项可能会,带,带来正面或,负,负面的影响,。,。代表机会,的,的 事项被,反,反馈到管理,当,当局的战略,或,或目标制订,过,过程中，以,便,便规划行动,去,去抓住机会,。,。抵消风险,负,负面影响的,事,事项在管理,当,当局的风险,评,评估和应对,中,中予以考虑,。,。,八、风险评,估,估,风险评估的,背,背景,在评估风险,时,时，管理当,局,局考虑预期,事,事项和非预,期,期事项。许,多,多事项是常,规,规性和重复,性,性的，并且,已,已经在管理,当,当局的计划,和,和经营预算,中,中提到，而,其,其他的事项,则,则是非预期,的,的。,固有风险和,剩,剩余风险,固有风险是,管,管理当局没,有,有采取任何,措,措施来改变,风,风险的可能,性,性或影响的,情,情况下，一,个,个主体所面,临,临的风险。,剩,剩余风险是,在,在管理当局,的,的风险应对,之,之后所参与,的,的风险。,估计可能性,和,和影响,可能性表示,一,一个给定事,项,项将会发生,的,的或然率，,而,而影响则代,表,表它的后果,。,。,评估技术,评估方法包,括,括定性与定,量,量技术的结,合,合。,事项之间的,关,关系,如果潜在的,事,事项不相关,，,，管理当局,就,就对它们分,别,别进行评估,。,。如果事项,之,之间存在相,互,互关联，或,者,者事项结合,或,或者相互影,响,响产生显著,不,不同的可能,性,性或影响时,，,，管理当局,就,就要它们放,在,在一起来评,估,估。,九、风险应,对,对,回避,退出产生风,险,险的活动。,降低,采取措施降,低,低风险的可,能,能性或影响,，,，或者同时,降,降低两者。,分担,通过转移来,降,降低风险的,可,可能性或影,响,响或者分担,一,一部分风险,。,。,承受,不采取任何,措,措施去敢于,风,风险的可能,性,性或影响。,十、控制活,动,动,控制活动,是,是帮助确,保,保管理当,局,局的风险,应,应对得以,实,实施的政,策,策和程序,，,，后者指,人,人们直接,或,或通过对,技,技术的应,用,用来执行,政,政策的行,动,动。,与风险应,对,对相结合,选定了风,险,险应对之,后,后，管理,当,当局就要,确,确定用来,帮,帮助确保,这,这些风险,应,应对得以,恰,恰当地和,及,及时地实,施,施所需的,控,控制活动,。,。,政策和程,序,序,控制活动,一,一般包括,两,两个要素,：,：确定应,该,该做什么,的,的政策，,以,以及实现,政,政策的程,序,序。,对信息系,统,统的控制,处于对信,息,息系统在,经,经营企业,和,和满足报,告,告和合规,目,目标方面,的,的普遍依,赖,赖，需要,对,对重要的,系,系统进行,控,控制。,十一、信,息,息与沟通,每个企业,都,都要识别,和,和获取与,管,管理该主,体,体相关的,设,设计到外,部,部和内部,事,事项和活,动,动的广泛,的,的信息。,这,这些信息,一,一保证员,工,工能履行,他,他们的企,业,业风险管,理,理和其它,职,职责的形,式,式和时机,传,传递给员,工,工。,信息,来自内部,的,的和外部,来,来源的经,营,营信息，,包,包括财务,的,的和非财,务,务的与多,个,个经营目,标,标相关。,设计和利,用,用信息系,统,统的目的,是,是支持经,营,营战略。,沟通,沟通渠道,应,应该确保,员,员工能够,在,在各个业,务,务单元、,过,过程或只,能,能机构之,间,间平行地,以,以及向上,沟,沟通给予,风,风险的信,息,息。,对于那些,将,将要报告,的,的信息，,必,必须有畅,通,通的沟通,渠,渠道和清,晰,晰的倾听,意,意愿。,十二、监,控,控,监控可以,以,以两种方,式,式进行：,通,通过持续,的,的活动或,者,者个别评,价,价。,持续监控,活,活动,它们来自,定,定期的管,理,理活动，,可,可能包括,差,差异分析,、,、对来自,不,不同渠道,的,的信息的,比,比较，以,及,及应对非,预,预期的突,发,发事件。,个别评价,尽管持续,监,监控程序,通,通常能够,提,提供有关,企,企业风险,管,管理的其,它,它构成要,素,素的有效,性,性的重要,反,反馈，但,是,是有时候,采,采取一种,新,新的思路,直,直接关注,企,企业风险,管,管理的有,效,效性可能,是,是很有用,的,的。它也,能,能提供一,个,个考察持,续,续监控程,序,序的持续,有,有效性的,机,机会。