1、COSO風險管理框架,清華大學會計研究所 陳武朝副教授 電話：62772083 Email： 2008年9月,主要內容,COSO ERM框架 實施風險管理要點 內控與企業(yè)風險管理的關系 中央企業(yè)全面風險管理指引,COSO ERM框架,COSO認為，內部控制是風險管理的一部分。 在內部控制-整體框架的基礎上,COSO于2003年出臺了企業(yè)風險管理框架 征求意見稿，并于2004年9月正式發(fā)布。,COSO ERM框架（續(xù)）,企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于整個企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量（風險

2、承受范圍）之內，并為主體目標的實現提供合理保證。,COSO ERM框架（續(xù)）,企業(yè)風險管理框架,COSO ERM,COSO ERM框架（續(xù)）,怎樣理解該定義？企業(yè)風險管理是： 一個過程，它持續(xù)地流動于主體之內； 由組織中各個層級的人員實施； 應用于戰(zhàn)略制訂； 貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀； 旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內； 能夠向一個主體的管理當局和董事會提供合理保證； 力求實現一個或多個不同類型但相互交叉的目標。,COSO ERM框架（續(xù)）,目標的實現 在主體既定的使命或愿景范圍內，管理當局制訂戰(zhàn)略目標、選擇戰(zhàn)略，并在企

3、業(yè)內自上而下設定相應的目標。企業(yè)風險管理框架力求實現主體的以下四種類型的目標： 戰(zhàn)略（strategic）目標高層次目標，與使命相關聯并支撐其使命； 經營（operations）目標有效和高效率地利用其資源； 報告（reporting）目標報告的可靠性； 合規(guī)（compliance）目標符合適用的法律和法規(guī)。,COSO ERM框架（續(xù)）,企業(yè)風險管理的構成要素 內部環(huán)境（Internal Environment） 內部環(huán)境包含組織的基調，它為主體內的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經營環(huán)境。 建立一套與風險管理相關的理念。它認為，意

4、外事項與預期事項都可能發(fā)生。 建立企業(yè)風險文化。 考慮組織行為如何影響其風險文化的一切其它方面。 目標設定（Objective Setting） 必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業(yè)風險管理確保管理當局采取適當的程序去設定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。 在目標設定中，應用于管理層考慮風險策略的時候 制定公司的風險承受能力從高層面觀察，管理層和董事會愿意接受多大的風險 風險容忍度, 目標相關變量的可接受水平，與風險承受能力一致。,COSO ERM框架（續(xù)）,事項識別（Event Identification) 必須識別影響主體目標實現

5、的內部和外部事項，區(qū)分風險和機會。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。 風險評估(Risk Assessment) 通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩余風險。 一個事項是指可能影響戰(zhàn)略執(zhí)行或目標實現的一個事件或發(fā)生的事情。 辨別風險與機遇 風險是一個事項發(fā)生，并對目標實現產生負面影響的可能性。 可能有積極影響的事項，代表正常抵消或機遇。 風險衡量采用與相關目標相同的衡量單位。 時間區(qū)間已指定，并與目標一致。,COSO ERM框架（續(xù)）,風險應對(Risk Response) 管理當局選擇風險應對回避、承受、降低或者分

6、擔風險采取一系列行動以便把風險控制在主體的風險容限（risk tolerance）和風險容量以內。 控制活動(Control Activities) 制訂和執(zhí)行政策與程序以幫助確保風險應對得以有效實施。 信息與溝通(Information & Communication) 相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。 監(jiān)控(Monitoring) 對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結合來完成。,COSO ERM框架（續(xù)）,注意： 企業(yè)風險管理并不是一個嚴格的

7、順次過程，一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程，在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。,COSO ERM框架（續(xù)）,有效性 認定一個主體的企業(yè)風險管理是否“有效”，是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷。因此，構成要素也是判定企業(yè)風險管理有效性的標準。 構成要素如果存在并且正常運行，那么就可能沒有重大缺陷，而風險則可能已經被控制在主體的風險容量范圍之內。 如果確定企業(yè)風險管理在所有四類目標上都是有效的，那么董事會和管理當局就可以合理保證他們了解主體實現其戰(zhàn)略和經營目標、主體的報告可靠以及符合適用的法律和

8、法規(guī)的程度。 八個構成要素在每個主體中的運行并不是千篇一律的。例如，在中小規(guī)模主體中的應用可能不太正式，不太健全。盡管如此，當八個構成要素存在且正常運行時，小規(guī)模主體依然會擁有有效的企業(yè)風險管理。,COSO ERM框架（續(xù)）,局限 盡管企業(yè)風險管理帶來了重要的好處， 但是仍然存在著局限。除了前面討論過的因素之外，局限還導源于下列現實： 人類在決策過程中的判斷可能有紕漏， 有關應對風險和建立控制的決策需要考慮相關的成本和效益， 類似簡單誤差或錯誤的個人缺失可能會導致故障的發(fā)生， 控制可能會因為兩個或多個人員的串通而被規(guī)避，以及 管理當局有能力凌駕于企業(yè)風險管理決策之上。 這些局限使得董事會和管理

9、當局不可能就主體目標的實現形成絕對的保證。,COSO ERM框架（續(xù)）,涵蓋內部控制 內部控制是企業(yè)風險管理不可分割的一部分。 企業(yè)風險管理框架涵蓋了內部控制，從而構建了一個更強有力的概念和管理工具。 內部控制是在內部控制整合框架中加以定義和描述的。由于該框架經受了時間的考驗，并且成為現行規(guī)則、法規(guī)和法律的基礎，因此內部控制整合框架對內部控制的定義和框架依然有效。盡管內部控制整合框架的正文中只有一部分被該框架所引用，但是ERM通過參考的方式把該框架整體融合了進來。,COSO ERM框架（續(xù)）,職能與責任 主體中的每個人都對企業(yè)風險管理負有一定的責任。 CEO負有首要責任，并且應當假設其擁有所有

10、權。 其他管理人員支持主體的風險管理理念，促使符合其風險容量，并在各自的責任范圍內依據風險容限去管理風險。 風險官、財務官、內部審計師等通常負有關鍵的支持責任。 主體中的其他人員負責按照既定的指引和規(guī)程去實施企業(yè)風險管理。 董事會對企業(yè)風險管理提供重要的監(jiān)督，并察覺和認同主體的風險容量。 很多外部方面，例如顧客、賣主、商業(yè)伙伴、外部審計師、監(jiān)管者和財務分析師常常提供影響企業(yè)風險管理的有用信息，但是他們不但不對主體的企業(yè)風險管理的有效性承擔任何責任，而且也不是它的組成部分。,COSO ERM框架（續(xù)）,比內控的概念更廣 對公司管理至關重要 目標范圍更寬，為戰(zhàn)略提供反饋 風險管理辦法更穩(wěn)健,COS

11、O ERM框架（續(xù)）,企業(yè)風險管理的關鍵觀念 以組合觀點評價風險。 管理層與董事會協(xié)商必須樹立廣義的風險承受能力。 側重平衡價值、增長與風險,COSO ERM框架（續(xù)）,怎么辦？ 更廣的風險觀： 一個公司目前的風險比以前所有風險都高。 我們不會因為以前做的決定來評估目前的情況。 風險可能就在我們的決策框架和激勵機制中。 必須關注外部環(huán)境 風險討論必須上升到董事會層面,COSO ERM框架（續(xù)）,提高風險意識 內控 擴展到財務報告討論層面以上。不能在不了解風險的情況下討論控制。 必須考慮外部環(huán)境： 環(huán)境變化 可持續(xù)性 競爭性行為 潛在競爭性行為,COSO ERM框架（續(xù)）,提升風險管理 必須采用

12、正確的衡量標準 外部：美國和歐洲正發(fā)展為更加知識化的經濟 公司的投資方向在哪里？ 怎樣衡量風險？ 怎樣將這些與現有會計方法做對比？,COSO ERM框架（續(xù)）,最新的觀點 內控工作結合風險管理，對實現公司的經營目標十分重要； 在評估公司如何實施風險管理方面，需要公司董事會的參與，并發(fā)表明確的意見； 建議將內控納入公司正常管理和治理流程中，建議不要將內控看作獨立的監(jiān)管工作。,COSO ERM框架（續(xù)）,企業(yè)風險管理是兩個框架中最穩(wěn)健的，但從開始就要求做更多的工作。 企業(yè)風險管理能夠，并應該融入公司文化中。這將帶來很大的成本效益。,COSO ERM框架（續(xù)）,以目標為起點 應用于各級組織的活動中

13、八個要素 事項和風險 風險承受能力和風險容忍度 組合模型,基礎方面,關鍵概念,實施全面風險管理要點,組織設計 建立一個全面風險管理的組織 實施風險評價 確定總體風險容量（ risk appetite ） 確定風險相應（ risk responses ） 溝通風險結果 監(jiān)控（ Monitoring ） 管理層監(jiān)督（ Oversight ）與定期復核,實施全面風險管理要點（續(xù)）,組織設計 企業(yè)戰(zhàn)略 關鍵目標 使得企業(yè)達到（？）關鍵目標的相關目標 對組織單位及其負責人的職責分配,實施全面風險管理要點（續(xù)）,例： 使命 提供高質量的、可得到的、可承擔的社區(qū)醫(yī)療服務 戰(zhàn)略目標 成為中等規(guī)模城市的第一或第

14、二大能的所有醫(yī)療服務提供者 相關目標 與10個經營狀況不佳的醫(yī)院負責人對話，年內與其中兩個醫(yī)院達成協(xié)議,實施全面風險管理要點（續(xù)）,2.建立一個全面風險管理的組織 確定風險哲學 調查風險文化 考慮組織的道德價值觀 決定角色與責任,例：全面風險管理組織架構,風險管理官員 (ERM Director),副總或首席風險官（CRO）,公司信用風險經理 (Corporate Credit Risk Manager),保險風險經理 （Insurance Risk Manager）,風險經理 （ERM Manager）,風險經理 （ERM Manager）,職員,職員,職員,社區(qū)風險 管理官員,實施全面風險

15、管理要點（續(xù)）,3.實施風險評價 風險評價是識別、分析達成目標所面臨的風險。這是管理風險的基礎 例： 環(huán)境風險 資本籌集 監(jiān)管、政治、法律 金融市場、股東關系 流程風險 運營風險 授權風險 信息處理/技術風險 完整性風險 財務風險 決策所需信息 運營風險 財務風險 戰(zhàn)略風險,Source: Business Risk Assessment. 1998 The Institute of Internal Auditors,風險分析,實施全面風險管理要點（續(xù)）,4.確定總體風險容量（ risk appetite ） 應采用定性或定量術語（如，對利潤的影響，對聲譽的影響），并考慮風險容限（ risk

16、 tolerance ）。 關鍵問題： 組織無法接受哪些風險？ 如，環(huán)境或服務質量打折 組織擬主動承受哪些風險？ 如新業(yè)務 組織出于競爭性目標擬接收哪些風險？ 如毛利或市場份額,實施全面風險管理要點（續(xù)）,5.確定風險響應（ risk responses ） 量化風險敞口 組織的選擇 承擔=監(jiān)控 規(guī)避=減少 減少（對沖）=組織控制 分擔=與合作者分擔風險，如買保險,風險影響與發(fā)生可能性,控制(Control),分擔（Share),監(jiān)控與控制(Mitigate & Control),承擔(Accept),高風險,中等風險,中等風險,低風險,低,高,高,影響,可能性,風險影響與發(fā)生可能性-客服中心

17、風險評價,會計分錄出錯 設備過時 相同問題不斷反映,電話掉線 計算機丟失,信用風險 客戶等待時間長 客戶不能打通電話 客戶問題得不到答復,舞弊 失去交易 員工士氣,高風險,中等風險,中等風險,低風險,低,高,高,影響,可能性,控制 風險控制目標活動,完整性重大交易復核已記錄賬面 未記錄債務 結賬后將發(fā)票與賬面負債相互核對,例: 應付賬款處理,實施全面風險管理要點（續(xù)）,6.溝通風險結果 表：列出風險及風險響應 流程圖：說明關鍵控制點 文字說明：目標以及相應的運營風險以及風險響應 列表：被監(jiān)控的關鍵控制 管理層應理解關鍵業(yè)務的風險責任及其分派 7.監(jiān)控 收集信息 進行分析 風險被恰當地識別 控制

18、活動恰當地發(fā)揮作用以減小風險,實施全面風險管理要點（續(xù)）,8.管理層監(jiān)督與定期復核 管理層對風險管理具有受托責任（ Accountability ） 及時更新 業(yè)務目標變化時 系統(tǒng)變化時 流程變化時,內控與企業(yè)風險管理的關系,有效的內控財務報告,Set OBJECTIVES,識別威脅目標實現的風險,執(zhí)行有效的控制環(huán)境，作為防范風險的第一防線,設計并執(zhí)行有效的控制活動，以解決風險,開展有效的信息與溝通，以協(xié)助組織實現其目標,建立有效控制之后，開展監(jiān)控活動，以保證控制繼續(xù)有效運行。,事項識別,風險評估,風險應對,設定目標,內控與企業(yè)風險管理的關系（續(xù)）,內控框架,企業(yè)風險管理框架,中央企業(yè)全面風險

19、管理指引,為指導 國資委履行出資人職責的企業(yè)(即中央企業(yè))開展全面風險管理工作，增強企業(yè)競爭力，提高投資回報，促進企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展，根據中華人民共和國公司法、企業(yè)國有資產監(jiān)督管理暫行條例等法律法規(guī)，國資委制定了該指引。,中央企業(yè)全面風險管理指引,指引的主要內容 中央企業(yè)開展全面風險管理工作的總體原則 基本流程 風險評估 風險管理策略 風險管理解決方案 監(jiān)督與改進 組織體系 風險管理信息系統(tǒng) 風險管理文化 培訓,中央企業(yè)全面風險管理指引,企業(yè)風險的定義 指未來的不確定性對企業(yè)實現其經營目標的影響。 一般可分為 戰(zhàn)略風險 財務風險 市場風險 運營風險 法律風險等 以能否為企業(yè)帶來盈利等機會

20、為標志，可以分為 純粹風險(只有帶來損失一種可能性) 機會風險(帶來損失和盈利的可能性并存),中央企業(yè)全面風險管理指引(續(xù)),全面風險管理的定義 指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供合理保證的過程和方法。包括 風險管理策略 風險理財措施 風險管理的組織職能體系 風險管理信息系統(tǒng) 內部控制系統(tǒng),中央企業(yè)全面風險管理指引(續(xù)),風險管理基本流程 包括 收集風險管理初始信息 進行風險評估 制定風險管理策略 提出和實施風險管理解決方案 風險管理的監(jiān)督與改進,中央企業(yè)全面風險

21、管理指引(續(xù)),風險管理總體目標 確保將風險控制在與總體目標相適應并可承受的范圍內； 確保內外部，尤其是企業(yè)與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告； 確保遵守有關法律法規(guī)； 確保企業(yè)有關規(guī)章制度和為實現經營目標而采取重大措施的貫徹執(zhí)行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性； 確保企業(yè)建立針對各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失,中央企業(yè)全面風險管理指引(續(xù)),建立健全全面風險管理體系的思路 企業(yè)應本著從實際出發(fā)，務求實效的原則，以對重大風險、重大事件(指重大風險發(fā)生后的事實)的管理

22、和重要流程的內部控制為重點，積極開展全面風險管理工作。 具備條件的企業(yè)應全面推進，盡快建立全面風險管理體系； 其他企業(yè)應制定開展全面風險管理的總體規(guī)劃，分步實施，可先選擇發(fā)展戰(zhàn)略、投資收購、財務報告、內部審計、衍生產品交易、法律事務、安全生產、應收賬款管理等一項或多項業(yè)務開展風險管理工作，建立單項或多項內部控制子系統(tǒng)。 企業(yè)開展全面風險管理工作應與其他管理工作緊密結合，把風險管理的各項要求融入企業(yè)管理和業(yè)務流程中。具備條件的企業(yè)可建立風險管理三道防線： 各有關職能部門和業(yè)務單位為第一道防線； 風險管理職能部門和董事會下設的風險管理委員會為第二道防線； 內部審計部門和董事會下設的審計委員會為第三

23、道防線。,中央企業(yè)全面風險管理指引(續(xù)),風險管理初始信息 企業(yè)應廣泛、持續(xù)不斷地收集與本企業(yè)風險和風險管理相關的內部、外部初始信息，包括歷史數據和未來預測。應把收集初始信息的職責分工落實到各有關職能部門和業(yè)務單位。 針對不同類型的風險，企業(yè)應搜集不同的信息。,中央企業(yè)全面風險管理指引(續(xù)),風險評估 包括： 風險辨識 指查找企業(yè)各業(yè)務單元、各項重要經營活動及其重要業(yè)務流程中有無風險，有哪些風險。 風險分析 對辨識出的風險及其特征進行明確的定義描述，分析和描述風險發(fā)生可能性的高低、風險發(fā)生的條件 風險評價 評估風險對企業(yè)實現目標的影響程度、風險的價值等 定性與定量方法相結合 定性方法問卷調查、

24、集體討論、專家咨詢、情景分析、政策分析、行業(yè)標桿比較、管理層訪談、由專人主持的工作訪談和調查研究等。 定量方法用統(tǒng)計推論(如集中趨勢法)、計算機模擬(如蒙特卡羅分析法)、失效模式與影響分析、事件樹分析等,中央企業(yè)全面風險管理指引(續(xù)),中央企業(yè)全面風險管理指引(續(xù)),中央企業(yè)全面風險管理指引(續(xù)),中央企業(yè)全面風險管理指引(續(xù)),對風險發(fā)生可能性的高低和風險對目標影響程度進行定性或定量評估后，依據評估結果繪制風險坐標圖。,中央企業(yè)全面風險管理指引(續(xù)),繪制風險坐標圖的目的在于對多項風險進行直觀的比較，從而確定各風險管理的優(yōu)先順序和策略。如：某公司繪制了如下風險坐標圖，并將該圖劃分為A、B、C

25、三個區(qū)域，公司決定承擔A區(qū)域中的各項風險且不再增加控制措施；嚴格控制B區(qū)域中的各項風險且專門補充制定各項控制措施；確保規(guī)避和轉移C區(qū)域中的各項風險且優(yōu)先安排實施各項防范措施。,中央企業(yè)全面風險管理指引(續(xù)),關鍵風險指標管理 關鍵風險指標管理是對引起風險事件發(fā)生的關鍵成因指標進行管理的方法。具體操作步驟： 1分析風險成因，從中找出關鍵成因。 2將關鍵成因量化，確定其度量，分析確定導致風險事件發(fā)生（或極有可能發(fā)生）時該成因的具體數值。 3以該具體數值為基礎，以發(fā)出風險預警信息為目的，加上或減去一定數值后形成新的數值，該數值即為關鍵風險指標。 4建立風險預警系統(tǒng)，即當關鍵成因數值達到關鍵風險指標時

26、，發(fā)出風險預警信息。 5制定出現風險預警信息時應采取的風險控制措施。 6跟蹤監(jiān)測關鍵成因數值的變化，一旦出現預警，即實施風險控制措施。,中央企業(yè)全面風險管理指引(續(xù)),壓力測試 指在極端情景下，分析評估風險管理模型或內控流程的有效性，發(fā)現問題，制定改進措施的方法，目的是防止出現重大損失事件。具體操作步驟： 1針對某一風險管理模型或內控流程，假設可能會發(fā)生哪些極端情景。 2評估極端情景發(fā)生時，該風險管理模型或內控流程是否有效，并分析對目標可能造成的損失。 3制定相應措施，進一步修改和完善風險管理模型或內控流程。,中央企業(yè)全面風險管理指引(續(xù)),風險管理策略 指企業(yè)根據自身條件和外部環(huán)境，圍繞企業(yè)發(fā)展戰(zhàn)略，確定風險偏好、風險承受度、風險管理有效性標準，選擇適合的風險管理工具的總體策略，并確定風險管理所需人力和財力資源的配置原則。 一般情況下， 對戰(zhàn)略、財務、運營和法律風險風險承擔、風險規(guī)避、風險轉換、風險控制等方法。 對能夠通過保險、期貨、對沖等金融手段進行理財的風險風險轉移、風險對沖、風險補償等方法。,中央企業(yè)全面風險管理指引(續(xù)),風險管理解決方案 方案一般應包括 風險解決的具體目標， 所需的組織領導， 所涉及的管理及業(yè)務流程， 所需的條件、手段等資源， 風險事件發(fā)生前、中、后所采取的具體應對措施以及風險管理工具(如：關鍵風險指標管理、損失事件管理等)。,中央企業(yè)全面風險管理指引