COSO企业风险管理整合框架附录部分中文版.pdf

COSO企业风险管理整合框架附录部分中文版

P109

企业风险管理—整合框架和内部控制—整合框架之间的关系

1992年，COSO（反虚假财务报告委员会的赞助组织委员会）发

布了《内部控制—整合框架》，该框架建立了内部控制结构，并提供

评价工具，从而使企业和其他主体可以评估其控制系统。该框架定义

了有效进行内部控制的五个相互关联的要素。

内部控制—整合框架将内部控制定义为一个过程，该控制过程受

到企业董事会、管理层和全体职工的影响，旨在提供合理保证，以实

现下列目标：

经营的效率和效果

财务报告的可靠性

法律法规的遵循性

本附录概述了内部控制框架和企业风险管理框架之间的关系。

对内部控制的拓展

内部控制是企业风险管理的主要组成部分。相比较而言，企业风

险管理的内容则更为深入，它扩展和详述了内部控制的范畴，这使企

业风险管理成为了更加全面关注风险的更加健全的概念。由于企业主

体和其他组织只关注自身的内部控制，从而使内部控制—整合框架仍

然有重要的影响。

目标分类

内部控制—整合框架细分了三种目标—运营目标，财务报告目标

和合规性目标。企业风险管理也细分了三种类似的目标类别—运作目

标，报告目标和合规目标。在内部控制框架中，报告类别被认为与公

布的财务报表的可靠性相关。在企业风险管理框架中，报表的范畴被

明显的扩展，涉及了主体编制的所有在内部和外部使用的报表。包括

管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者

的报告和监管申报材料等,其范围也从财务报表拓展为不仅包含更加广

泛的财务信息,而且还包含非财务信息。

P110

企业风险管理—整合框架增加了一个高层次的目标，即战略目标。

战略目标来源于主体的规划，同时运营、报表和合规性的目标都要与

之一致。企业风险管理被应用于战略制定以及其他三类目标的实现。

企业风险管理框架还引入了风险偏好和风险承受能力的概念。风

险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的

数量，它为战略制定及相关目标的实现提供了参考。在确定风险承受

能力过程中，管理层需考虑相关目标的重要性，并将其与企业风险偏

好相协调。在风险承受能力范围内经营有助于确保该主体能保持在它

的风险偏好之内，进而确保该主体将会实现其目标

风险组合观点

风险组合未包含在内部控制框架之内。对企业内每个单位而言，

其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总

风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险

组合的观点看待风险。

组成部分

在加强关注风险的同时，企业风险管理框架将内部控制的风险评

估扩展为四个组成部分—目标设定（内部控制的先决条件）、事项识

别、风险评估和风险应对。

内部环境

在论述环境组成方面，企业风险管理框架讨论了一种主体风险管

理理念，即一整套共同的信念和态度。描述了主体如何考虑风险，反

映了它的价值观，并影响其文化和经营风格。如上所述，此框架包含

了风险偏好的概念，风险承受能力更加明确的印证了这一点。

考虑到董事会的决定性作用及其构成，为了使企业风险管理更加

有效，企业风险管理框架将

内部控制框架所要求的最少独立董事的个数—正常情况下两名—

扩展为独立董事的大多数。P111

事项识别

企业风险管理和内部控制框架都承认风险来自于企业内、外部各

种因素。并且两种框架都认为风险识别对主体目标的实现有着潜在影

响。

企业风险管理框架探讨了潜在事件的概念，认为潜在事项是指来

自于企业内部和外部资源的，可能影响企业战略的执行和目标实现的

一件或者一系列偶发事项。具有积极影响的潜在事件就是机会，具有

负面影响的就是风险。企业风险管理框架采用一系列技术来识别有关

事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项

的发生趋势进行计量。风险评估

虽然内部控制和企业风险管理框架都要求对给定风险出现的可能

性及其潜在影响进行评估，但企业风险管理框架建议更加透彻地看待

风险管理。从固有风险和残存风险的角度进行考虑，将风险与相关的

目标相联系，并采用和风险相关目标一致的计量单位进行计量。风险

评估的时间基准应与企业的战略和目标相一致，如果可能，也应与可

观测到的数据相一致。企业风险管理框架要求对相互关联风险进行关