1、.：.；COSO委員會對企業風險管理的報告一編者按iaudit：COSO-ERM是COSO委員會繼“內部控制整體框架即COSO報告后又起草的關于企業風險管理的規范框架。中國會計視野設區論壇“內部審計版面將組織各位網友翻譯該報告。以下文字報告的第1、2部分得力于kingfly、nosir、pengjingen三位網友的努力曾經翻譯完成，有些翻譯的相當好，有些還需求改良，無論如何，都為我們版面乃至視野奉獻了一份辛勞和熱情，在此表示贊賞。附件把三部分中文部分整合起來,方便大家閱讀。 目錄：頁碼代表原文的頁碼1企業風險管理的意義.12框架概覽.63內部環境.194目的設定.295風險識別.386風險評

2、價.477風險應對.538控制措施.609信息和溝通.6810監控.7911企業風險管理的局限性.8812義務與責任.9213如何實施.102 附錄：A 目的和方法B 企業風險管理框架COSO-ERM和內部控制綜合框架COSO的關系C 參考文獻D 應思索的評論意見E 詞匯 1、企業風險管理的意義翻譯第一部分譯者kingfly 本章小結：企業風險管理由一系列戰略框架組成并且貫穿企業的經濟業務活動。它使管理層可以識別、評價和管理那些外表上看無法確定的風險，以此來支持價值的發明和維持。企業風險管理使企業能結合風險偏好和戰略，聯絡風險和企業的生長與報答，加強了應對風險才干，減少了運營中的不測和損失的發

3、生，識別和管理貫穿整個企業的風險，面對多重風險提供綜合應對方法，協助 企業抓住時機，并且能使企業的資金得到合理的安排。 這里提出的企業風險管理的含義中企業包括每一個實體，不論是盈利的還是非盈利的或是政府部門，只需他們向他們的利害關系人提供價值。一切的實體都會面對一些不確定，管理層面對的挑戰是去決議當企業在為增長股東的價值而努力的時候，將會面對多少不確定要素。不確定性代表了風險和時機，潛在的事件能夠銷減價值也能夠添加企業的價值。企業風險管理為管理層提供了一個框架，能有效的應對風險，使風險和時機相結合，提升企業發明價值的才干。 不確定性 企業的運營環境由很多要素組成諸如全球化、技術、法規、重組、不

4、斷變化的市場、和競爭都會產生不確定性。不確定性源于無法準確確實定潛在事件發生的能夠性和隨之帶來的結果。不確定性也由于企業戰略選擇的不同而產生。比如，一個企業基于向國外擴張的生長型戰略。這一戰略隨之帶來的是與該國政治環境、資源、市場、渠道、勞動力和本錢相關的風險和時機。 價值 價值由企業運營管理層從政策的制定到運營管理的決策日復一日的活動而產生、維持或減少。決策的固有性就是識別風險和機遇，這就要求管理層思索相關的信息既包括內部和外部的環境，還要調動以前的資源并且調整企業的運營活動以順應不斷變化的環境。 經過調動資源包括人力、資本、技術和品牌，使所獲得得收益大于所運用的資源最終發明價值。企業維持價

5、值也經過集中人力、消費過程、系統和措施去發明繼續的價值，包括其他要素，象產質量量、消費才干和客戶稱心程度。 管理層在這里和以后所指的管理層還包括在很多企業風險管理活動中執行的非管理層人員。也會由于執行的不完全、或是由于所搜集的相關風險的信息不完好、戰略的制定或執行存在缺陷而被減弱了。 當管理層的戰略和目的使企業的生長、報答和相關的風險堅持一個較好的平衡的時候，價值也會添加，并且在追求企業的目的的同時能有效率且有效的利用各方資源。企業風險管理能判別市場的需求、無效性和其他事件，這些都提供了發明價值的機遇或是需求管理的風險并且到達企業的目的。 實體實現價值當股東獲得確定的收益作為他們價值的報答時。

6、對于公司，當股東認可從每股價值生長發明的價值時他們實現了價值。對于政府部門，當組成部門承當可接受的本錢認可了有價值的效力時，實現了價值。非盈利性實體的股東實現價值當他們接受有價值的社會收益時。企業的風險管理使管理層能發明繼續的價值并且把這些價值傳送給股東。 實體價值的衡量 衡量價值時需求思索包括相對價值、適用價值或者是實體對于股東的重要性。很多公司管理層習慣于思索價值以財務方法象經濟利益、股東附加價值、資本風險調整收益或者全體股東報答。這些財務衡量目的都有一個共同的前提在價值產生前資本的本錢必需被彌補。然而，這些財務目的并不總是作為獨一的價值判別規范。衡量一個非盈利機構的價值能夠要聯絡他們所提

7、供的社會利益。比如，一個非盈利的為老年人效力的機構衡量其價值時思索老年人能接受的高質且長期的醫療保證。 企業風險管理的作用 沒有一個企業是在沒有風險的環境下運營的，而企業的風險管理也不能在這樣的環境下產生。所以，企業風險管理使管理層能在充溢風險的環境下更有效的運營。 企業風險管理的作用： 使風險偏好risk appetite與制定的戰略一致 風險偏好是指公司或是其他的實體追求目的時在普遍情況下都情愿接受的風險程度。管理層首先思索實體的風險偏好是在評價所選擇的戰略時，然后是在制定與所選戰略一致的目的時，接著是在為了管理相關的風險而開發系統時。比如，一個制藥公司的品牌價值需求堅持較低的風險偏好。相

8、應的，為了維護它的品牌，公司持有大量的協議以確定其產品的平安并且相應的投資大量的資源在早期的研發階段，以支持品牌價值的發明。 生長性、風險性和報答的聯絡實體可接受的風險作為價值的發明和維持的一個部分，并且他們希望有與承當的風險相應的報答。企業風險管理提供了識別和評價風險，建立與生長和報答目的相關的可接受的風險程度。比如，一個保險公司的戰略方案管理帶來的是一切商業個體的生長性和報答方案。識別和加以思索所得到的風險，選擇反響信息、根據每個商業個體和整個公司的目的調整商業單位的方案，分配資金。 加強風險應對決策才干 企業風險管理提供了嚴厲的程序從多種風險應對措施中識別和選擇防止風險、減少、分擔還是接

9、受。比如，一個公司對運用公司擁有和運營的汽車管理中接受那些固有的風險諸如汽車損壞和人員受損傷的本錢?？蛇x擇的方式有經過有效的招募和培訓司機以減小風險，經過外部承運以防止風險，利用保險轉嫁風險或是僅僅去接受風險。企業風險管理提供了方法和技術為做類似的決議。 減少運營中的不測和損失 實體加強了識別潛在事件、評價風險和建立反響機制的才干，這就能減少不測事件的發生和相關的本錢和損失。比如說，一個制造公司跟蹤產品部件和設備的廢品率和對平均值的偏離程度。這個公司采用多重規范評價廢品率的影響，包括修繕的時間、不能滿足客戶要求、雇員的平安性和安排與無安排的修繕的本錢，和反響經過建立有序的維護時間表。 識別和管

10、理貫穿整個企業的風險 每一個實體都面對無數影響該實體不同方面的風險。管理層不僅僅要管理單個的風險，而且還要了解他們之間相互的影響。比如，一個銀行面對各種不同的風險，這些風險貫穿于整個企業的經濟業務活動中，管理層開發了一個信息處置系統用以分析從其他內部系統中產生的買賣和市場數據并結合相關的外部信息，提供一個貫穿一切經濟活動的風險總概。這種信息系統還能按部門、客戶或是競爭對手、買賣商與買賣量、按建立的分類確定與風險可容忍度相關的風險量。這種信息系統使銀行能把曾經分別的數據信息相聯，運用這些匯總的信息去更有效的應對風險或是根據既定的目的。 對于多種風險提供綜合的應對 商業過程本身就有很多固有風險，企

11、業風險管理對管理這些風險提出綜合的處理方法。比如，一個零售分銷商面對的風險有供應過量或缺乏、稀少的供貨源和不用要的高買價。管理層識別和評價在前文所提及的公司戰略中風險，目的和多種的對應，并且開發了一個存貨控制系統。這個系統與供應商達成聯盟，共享銷售和存貨信息，構成戰略協作同伴，并且經過簽署長期的供貨合同和采用有利的價錢，防止了存貨短缺和不用要的運輸本錢。供應商變成有責任去補充存貨，從而節約了更多的本錢。 抓住時機 經過思索一切范圍內的潛在事件，而不僅僅是風險，管理層了解了詳細事件是如何帶來時機的。比如，一個食品公司思索到潛在事件將能夠影響到繼續的收入生長目的。在估計了該事件后，管理層認識到公司

12、的主要客戶群在逐漸加強安康認識并在改動他們的飲食偏好，這闡明公司目前的產品在今后將會呈現需求的下降趨勢。在決議風險應對時，管理層決議經過利用目前的才干去開發新的產品，使公司不僅能維持從現有客戶賺取收入，而且還可以從爭取更廣泛的客戶根底得到額外的收益。 使資金的運用合理化 風險信息越充分，管理層就能更有效的評價一切資金的需求，提高資金的分配。比如，一個金融機構接到新的規定通知添加資本需求量除非管理層以更細致的方式計算信貸和運營風險程度和與之相關的資本需求量。該公司根據系統開發本錢與額外籌集資本本錢作比較來評價風險，按照通知作出了決議以應對風險。用現存的容易更改的軟件，銀行開發了一種更準確的計算方

13、法，防止了需求額外的籌集資金。 企業風險管理本身并不是作為一種結果，而是作為一種實現目的的重要方法。他也不是在實體里單獨的實施，而是作為一個管理程序的助手。企業風險管理經過提供存在的艱苦風險信息和如何去管理風險的信息給董事會使之與運營管理相關聯。他經過提供風險調整方法與執行管理、和內部控制相關聯。而內部控制也作為企業風險管理的一個組成部分。 企業風險管理協助 實體實現他所要完成的行為和利益目的并且阻止了損失的呵斥。他協助 確保有效的報告。并且協助 確保實體遵照法律法規，防止聲譽上的損失和其他后果?？傊?，他協助 一個實體沿著既定的目的開展并且防止實體落入在開展過程中能夠碰到的圈套或是不測。2、框

14、架概覽翻譯第二部分譯者nosir 本章概要：企業風險管理是一個過程，受組織的董事會、管理層和其他人員影響，企業風險管理運用于戰略制定，貫穿整個企業，旨在識別影響組織的潛在事件，在組織的風險胃口范圍內管理風險，為組織目的的實現提供合理的保證。這個定義很廣泛，涉及企業的方方面面。企業風險管理由八個相互關聯的部分組成，這些組成部分輔助企業管理方式，并和其他管理流程有機整合。這八個部分相互關聯，是評價企業風險管理能否有效的規范。 本框架的一個主要目的是協助 企業或其他機構的管理層更好應對風險以實現組織目的。但是，企業風險管理的含義因人而異。一個包羅萬象的標簽無助于對企業風險管理達成共識。于是，就需求把

15、眾多的風險管理概念集成在一個框架之中，在框架里確立一個普遍接受的定義及確定其組成部分。這個框架融眾多觀念于一爐，為單個組織識別和加強企業風險管理提供一個支點，也為規那么制定機構和教育界人士進一步的研討和行動提供根底。 事件和風險 有很多外部事件或內部事件能夠影響戰略的制定和目的的實現。事件能夠是積極的，也能夠是消極的，或者同時包含積極面和消極面。具有消極后果的事件構成風險。因此，風險就是對目的實現呵斥不利影響事件發生的能夠性。有積極影響的事件能夠會抵消消極影響，這些事件構成時機。管理層必需在戰略或目的制定過程中思索時機，這樣以后的行動中就能抓住時機。管理層在制定戰略，實現目的中經過思索潛在事件

16、的能夠后果來評價風險。 企業風險管理的定義 企業風險管理定義為：企業風險管理是一個過程，受組織的董事會、管理層和其他人員影響，風險管理運用于戰略制定，貫穿整個企業。企業風險管理旨在識別影響組織的潛在事件，在組織的風險胃口范圍內管理風險，為組織目的的實現提供合理的保證。 這個定義反映一些根本概念。企業風險管理： 是一個過程是通向目的的手段，而不是手段本身 被人影響它不僅僅只是政策、調查和表格，還涉及整個組織各個層級的人。 運用于戰略制定。 貫穿整個企業的一切層級和單位，包括采用企業層級的風險組合觀念。 旨在識別影響組織的事件并在組織的風險胃口范圍內管理風險 為組織的管理層和董事會提供合理保證 從

17、一個或多個分開但重疊的方面實現目的。 這個定義有意定的非常廣泛。它抓住一些公司或其他組織管理風險的重要概念，因此可以運用于不同類型的組織、不同行業和不同部門。它直接針對組織目的的實現。而且，這個概念還是定義企業風險管理有效性的根底，這將在本章后面討論。上述的根本概念將在以下幾段討論。 一個過程 企業風險管理不是單一的事件或情況，而是浸透到企業各個作業的一系列行動。這些行動在日常企業管理中廣泛分布并且潛在其中。 有些人以為企業風險管理是附加在組織作業上的東西，或者看成額外的負擔，但是實踐上企業風險管理不是這樣的。這么說不等于表示企業風險管理不需求付出額外的努力就能完成。比如，對于信譽風險和匯率風

18、險，就需求開發模型并進展必要的分析和計算。但是，這些企業風險管理機制和企業的運營作業交錯在一同，并且從商業角度非常有理由存在。當這些機制融入組織的根本架構，并且是企業的根本部分時，企業風險管理最為有效。經過“植入企業風險管理，一個組織能直接影響其戰略執行和愿景或使命的實現。 植入企業風險管理對本錢控制也有重要意義，特別是如今很多公司面臨猛烈競爭的市場環境。在現有流程中額外添加一個程序添加多余開支，而經過在現有運營作業中植入風險管理可以減少不用要的流程和本錢。 And, a practice of building enterprise risk management into the fabr

19、ic of operations helps identify new opportunities for management to seize in growing the business. 此外，把企業風險管理植入運營過程的實際也有助管理層在企業生長過程中識別新的時機。 受人影響 企業風險管理受董事會、管理層和其他人員影響。它的實現依賴這個組織成員，依賴于它們的所做所言。組織成員制定組織愿景、目的、戰略和義務，并讓企業風險管理發揚作用。 同樣的，企業風險管理影響人的行動。企業風險管理認識到員工并不總是了解、溝通和表現如一。每個人都有獨特背景和技藝，有不同需求和偏好。 這些現實影響，也被

20、企業風險管理影響。每個人都有各自視點影響了它們識別、評價風險和風險反響方式。企業風險管理為人們從組織目的角度了解風險提供一個機制。人們必需知道本人的責任和權益的限制范圍。因此，在責任和執行方式以及組織的戰略和目的之間必需有明晰和嚴密的聯絡。 組織的人包括董事會、管理層和其他員工。雖然董事主要提供監視，但是也提供指點以及同意戰略、一些特殊買賣和政策。董事會是企業風險管理一個重要要素。 運用于戰略制定 組織設定本人的愿景和使命，制定與之一致的戰略目的。組織為實現其戰略目的制定戰略。除此之外，它還設定一些預備實現的其他目的，從戰略出發，層層分解到各個單位、部門和流程。 企業風險管理運用于戰略制定，表

21、如今管理層思索該戰略相對于替代戰略的風險。比如，替代戰略能夠是收買其他公司擴展市場份額，另外一個戰略能夠是削減采購本錢來提高邊沿利潤率。每個戰略都有一些風險。假設管理層選擇了第一個戰略，能夠就需求進入一個新的不太熟習的市場，競爭對手能夠乘機爭奪公司現有市場的市場份額，或者公司能夠缺乏足夠資源來有效執行這個戰略。假設是第二個戰略，風險包括運用新的技術，尋覓新供應商或者建立新聯盟。企業風險管理技術在制定組織戰略時運用于這一層面。 運用于整個企業 要想實行企業風險管理，組織必需思索全局，要各個層面的業務都思索，從企業層面的活動如戰略方案和資源配置，到下一層活動如營銷和人力資源，到商業流程如消費和新客

22、戶信譽審查。企業風險管理也必需運用到一些特殊工程和新的動議，這些能夠在組織的科層或組織構造圖中并不顯示出來。 企業風險管理要求組織采用風險組合的觀念看問題。這能夠就需求各個部門經理通力協作來對單位進展風險評價，包括業務部門、職能部門、流程和其他作業的經理。風險評價可以是定性的也可以是定量的?？傆[組織各個層面以后，高層管理就可以對本組織的全部風險組合和風險胃口能否匹配心里有數。 管理層必需從組織層面的組合觀念來對待相互交錯的風險。必需識別這些相互關聯的風險，并采取行動使之控制在組織風險胃口范圍內。單個部門的風險能夠在部門的風險容忍范圍內，但是合起來能夠就超越整個組織的風險胃口。組織的風險胃口經過

23、和各個詳細目的相對應的風險容忍度來層層分解下去。 在采用組合觀念時，管理層不應該只看到風險，還要思索潛在事件。管理層經過思索事件，可以對一些事件的抵消效應有所了解。比如，利率下降能夠對組織的資本本錢有利，但是對利息收入不利。 當事件相互關聯時，把事件進展分類有益處，可以促進思索相關的風險和時機。 風險胃口Risk Appetite 上文翻譯成“風險偏好“ 風險胃口是組織追求價值過程中情愿接受的風險大小。風險胃口可以定性思索，如分為高、中和低，也可以定量思索，在目的中同時反映和權衡增長、報答和風險三個要素。 風險胃口和組織戰略直接相關。在制定戰略時就要思索戰略的期望報答必需和組織的風險胃口相順應

24、。 不同戰略帶來不同風險。企業風險管理協助 管理層選擇和組織風險胃口相匹配的戰略。 組織的風險胃口指點資源配置。管理層配置資源時思索組織的風險胃口和下屬單位對投入資產產生期望報答的戰略。管理層在安排組織、人員和流程時必需思索風險胃口，并且設置必要的機制來有效監視風險和應對風險。 提供合理保證 設計合理、運作有效的企業風險管理可以為管理層和董事會就企業實現目的提供合理保證。企業風險管理假設確定為有效這在后面章節中討論，董事會和管理層可以在以下方面獲得合理保證： 它們了解公司戰略目的能實現到什么程度 它們了解公司運營目的能實現到什么程度 公司報告可靠 相關法律法規都得到遵照 合理保證意味著包含和未

25、來相關的不確定性和風險，沒人可以確定知道未來。限制多個要素：人做決策時的客觀判別會出錯，應對風險、實施控制要權衡本錢和效益，一些人為疏失也會導致運營中斷，共謀也能繞過預先設計好的控制，管理層也能夠否決企業風險管理決策。這種種限制使得無法為管理層和董事會提供絕對保證，保證目的一定會實現。 實現目的 在使命和愿景確定以后，管理層開場制定戰略目的，選擇戰略和制定其他目的層層分解并符合戰略要求。雖然有些目的只和單個部門相關，有些那么是共享的。比如，一切組織都一樣的目的有：在商界和消費者社群中獲得并維持好的聲譽，為利益相關者提供可靠的報告， 合法運營 這個框架把組織目的分成四類： 戰略和高層目的相關，和

26、組織使命相一致并支持它 運作和有效、高效運用組織資源有關 報告和組織報告可靠性有關 合規和組織遵照相關法律法規有關 這個組織目的分類允許董事會和管理層對企業風險管理的不同方面分開處置。這種確定又相互重疊的分類一個目的能夠同時分入不同類別滿足不同組織的需求，能夠也是不同主管的直接責任范圍。這種分類也有助于分別對各個類別目的的期望。 有些組織運用其他目的分類，“維護資源，有時也說成“維護資產。廣義來看，指防止組織資產或資源損失，損失能夠有多種緣由，盜竊、浪費、低效或者僅僅是做了差勁的商業決策，比如說產品定價過低，沒能挽留關鍵員工，沒能阻止專利權進犯，或者招致不可預見的負債。這些通常都是運營目的，雖

27、然有些方面也可以歸入其他類別。假設有相關法規規定，就變成合規性問題。另外一個角度來看，在財務報表中適當反映組織資產損失情況屬于報告目的。假設從公共報告角度來說，維護資產通常運用狹義定義，是指防止和及時覺察非授權的資產獲得、運用和處置。 企業風險管理可以為報告可靠性和合規性目的提供合理保證。這些類別目的能否實如今組織的控制范圍內，取決于組織的相關活動表現。 但是，實現戰略目的，諸如獲取市場份額和運營目的，諸如新產品勝利上線，這些并不總在組織的控制范圍內。雖然企業風險管理賓不能組織錯誤的判別和決策，也不能阻止影響企業運營目的實現的外部事件的發生，但是企業風險管理可以提高管理層做出正確決策的能夠性。

28、對這些目的來說，企業風險管理可以為董事會、管理層及時認識到組織實現這些目的的程度。3、公司風險管理內容-翻譯第三部分譯者pengjingen 公司風險管理由八個相關的部分構成。他們源自于商業組織的管理方法和整合到于管理程序中，這些構成包括： 內部環境公司管理層樹立的風險觀、建立的風險偏好及接受力。 內部環境建立了組織中各級人員如何識別和對待風險的根底。組織的中心是他們所擁有的員工-他們的個人的質量，包括老實、價值觀和才干和他們運作的環境。 他們是驅動組織運轉的動力和一切事物的支撐。 目的設定管理層必需基于目的來識別勝利的潛在要素。 公司風險管理確保管理層有一個程序來設定目的、選擇支持和銜接組織

29、使命/遠景的目的并保證和組織風險偏好相一致。 風險識別能對組織產生影響的潛在風險必需識別出來。 風險識別包括內部和外部的反映潛在要素怎樣影響戰略執行和目的業績的要素。這也包括區別哪些使風險、哪些是時機以及風險和時機并存的事項。管理層識別潛在事項的相關性并把這些事項加以分類，目的在于建立并強化貫穿組織的風險言語、構成以組合的觀念來思索各種事項的根本方法論。 風險評價評價識別出來的風險是為了管理風險打根底。 風險與一系列目的相關聯。風險評價包括固有風險和剩余風險，風險評價包括評價風險的能夠性和重要性。某事項會有各種能夠的結果，管理層需求同時思索這些能夠的結果。 風險反響在公司戰略和目的的指引下，管

30、理層根據風險偏好和接受力來選擇方法思索如何應對風險，包括防止、接受、減輕和分擔風險。 控制措施建立和執行政策和程序保證管理層所選擇的風險反響行動的有效執行。 信息和溝通-在組織內部的相關信息的識別、獲取和溝通可以協助 員工履行他們的職責。在組織的任何一個層次都需求信息來識別、評價風險并對風險采取行動。組織在開放思想下的上下、橫向的信息交流可以構成有效的溝通。組織的員工需求明確的溝通來區分本人的角色和承當的責任。 監視整個組織的風險管理程序必需遭到監視并能得到必要修正。在這種情況下，整個系統才干在條件滿足的同時得到動態校正和改動。監視是經過正在執行的管理活動、個體組織風險管理程序或者兩者的結合來

31、實現的。 這些組織的風險管理要素以及它們的聯絡用一個模型來展現。見表2.1。組織風險管理是一個動態的過程。例如：風險評價驅動風險反響、控制活動或者重新思索信息和溝通需求的必要性及監控。然而，組織風險管理不是線性的延續過程，它是一個多方向、反復的過程，在這個過程中大多數風險組成要素會或者將會影響另外的部分。 沒有兩個組織能或者情愿采用同一種方法進展風險管理。組織和它們的風險管理才干和需求根據它們的業務類型、規模大小、文化和管理哲學各不一樣。因此，當組織需求利用風險管理各要素來進展控制時，對工具、技術、風險管理的責任組成的風險管理運用框架通常不同于其他組織。 目的和要素的關系 組織要到達的目的和風

32、險管理各要素之間有一個直接的關系。這個關系可以用一個三維矩陣來表示，見表2.1。 Exhibit 2.1 第一維度：風險管理八要素；第二維度：組織層級企業層次、子公司、業務單位、分支機構；第三維度：組織目的戰略、運作、財務報告準確性、法規遵照性 每一個風險管理組成要素所在的行都與四類目的相交叉。例如，財務和非財務的數據從內部和外部產生，這些數據是信息和溝通的一部分，它們在戰略設定和有效管理商業運作，有效的報告和服從法律各個部分都是需求的。同樣的，一切分類目的都和八個構成部分中每一個相關聯。 拿運作的效果和效率舉例來說，對于它的業績，一切八個部分都是可適用和重要的。組織風險管理是和整個組織或者組織中的某個經濟單元都是相關聯的。這種關聯在立方體的第三面可以看到，組織的經濟單元包括子公司、分部和其他業務單元 ，因此，每一部分都能與矩陣的任一部分相聯絡。表2.2擴