COSO企业内控风险管理模式张玉翻译前言10年前，COSO公布了《内部操纵----整合框架》来关心企业界和其他实体评判和加强他们的内部操纵制度。

从那时起该框架被结合并入成千上万企业的政策、规则和规定，并被企业用于更好地操纵他们的活动，朝着实现既定目标的方向前进。

近年来，关注的重点和焦点是风险治理，人们越来越清晰地认识到健全的框架关于有效地识不、评判和治理风险是专门有必要。

在2001年，COSO提议了一个项目，并聘用普华永道会计事务所开发能方便治理部门用于评判和改进本组织企业风险治理的框架。

框架开发的整个期间显现了一系列具有高度标志性的企业丑闻和失败案例，使投资者、公司人员和其他利益相关者蒙受了庞大缺失。

灾难的后果是要求用新的法律法规和上市标准来加强公司治理和风险治理。

人们越来越多地认识到提供关键的原则和概念，共同语言和明确方向与指南的企业风险治理框架的必要性。

COSO认为，企业风险治理----一体化框架填补了这种需要，并期望该框架能被公司、其他组织和所有的利益相关者及团体广泛同意。

在美国的进展结果是出台了《2002年的萨班斯----奥克斯利法案》，其他国家也颁布了或正在考虑类似的立法。

这类法律扩展了对公营公司爱护内部操纵制度的长期有效要求，要求治理层予以证实和独立审计师测试这些制度有效性。

连续要求测试时刻的《内部操纵----整合框架》适用于满足报告要求的更广泛的公认标准。

《企业风险治理----整合框架》扩展了内部操纵，提供了一种更健全的和广泛的焦点在企业风险治理更宽广的题目。

它的目的不是取代内部操纵框架，而是将内部操纵框架合并在一起，公司能够决定审查企业风险治理框架，以满足内部操纵的需要和朝着更完备风险治理过程进展。

治理层所面临的最严肃挑战是决定本实体预备同意多大的风险，因为风险也能够通过奋斗而制造价值。

本报告将更好地鼓舞企业迎接这种挑战。

执行总结企业风险治理的全然前提是每一实体存在的目的是为其利益相关者提供价值。

所有的实体都面临不确定性，对治理层的挑战是确定能同意多大的不确定性，因为不确定性也能够促进增加利益相关者的价值。

不确定性同时表达为风险机会，具有流失或增加价值的潜力。

企业风险治理鼓舞治理层有效地处理不确定性和相关的风险和机会，增强制造价值的能力。

当治理层制定的战略目标能力求达到增长和利润目标与相关风险之间的最佳平稳，并在追求本实体目标的过程中有效地调度资源时，价值能达到最大化。

企业风险治理包括：●连成一线的风险偏好与战略----治理层考虑本实体的风险偏好，在评估战略可选择方案时，制定相关目标，开发治理相关风险的机制。

●增强风险反馈决策----企业风险治理提供了森严的识不和选择可选择的风险反馈----即风险回避、降低、分摊和同意的制度。

●减少经营意外事故和缺失----各实体应获得增强的能力来识不潜在事件和建立反馈，减少意外事故和相关成本或缺失。

●识不和治理多样化的和交叉的企业风险----每一企业都将面临阻碍本组织不同方面的许多风险因素，企业风险治理能促进对相互关联的阻碍做出有效反应，对多样化的风险做出综合的反应。

●抓住机会----通过全面考虑潜在的事件，治理层被定位于识不和正面积极地抓住机会。

●改进资本配置----获得健全的风险信息，承诺治理层有效地评估总体资本需要，增强资本分配。

这些企业风险治理中内在的能力有助于治理层实现本实体的绩效和盈利能力目标，防止资源缺失。

企业风险治理有助于保证有效的报告和遵守法律法规，幸免本实体的声誉受到损害和相关的后果。

总之，企业风险治理有助于一个实体达到它想要实现的目标，幸免前进过程中的陷阱和意外事故。

事件----风险与机会事件能够有负面阻碍、正面阻碍，或二者兼而有之。

负面阻碍的事件表现为能阻碍价值制造或腐蚀现存价值的风险。

正面阻碍的事件能够抵消负面阻碍或表达为机会。

机会是一个事件将发生并积极阻碍目标实现、支持价值制造或爱护价值的可能性。

治理层将机会引导向其战略或目标制定过程，制定抓住机会的打算。

规定了企业风险治理企业风险治理处理阻碍价值制造或保值的风险和机会。

其定义如下：“企业风险治理是一个过程，受到一个实体的董事会、治理层和其他人员的阻碍，适用于战略制定和在整个企业设计识不可能阻碍本实体的潜在事件，在风险偏好范畴内治理风险，提供与实现实体目标有关的合理保证。

”该定义反映出一些差不多的概念。

企业风险治理是：●一个过程，连续并贯穿一个实体；●受到一个组织每一层级人员的阻碍；●适用于战略制定；●适用于整个企业每一层次和单位，包括所采纳的实体总体层次风险业务责任观点；●设计识不可能阻碍本实体的潜在事件，假如它们发生的话，在风险偏好范畴内治理风险，●能够为一个实体的治理层和董事会提供合理保证；●在一个或更多独立的但重叠的分类中加速目标的实现。

该定义的目标宽敞。

它抓住公司和其他组织如何治理风险的关键差不多概念，为整个组织、行业和部门提供适用的依据。

它把焦点直截了当放在实现由某一方面特定实体制定的目标，为定义企业风险治理的成效提供依据。

目标的实现在实体既定使命和远景规划的条件下，治理层确定战略目标，选择战略和制定将整个企业连接成一线的目标。

这种加速实现实体目标的企业风险治理框架，可陈述为四类：●战略----高层目标，连接和支持其使命；●经营----有效率和成效地使用其资源；●报告----报告的可靠性；●合规----遵守适用的法律法规。

这种实体目标的分类准许把重点放在企业风险治理的各不方面。

这些性质截然不同但重叠的分类----某一专门的目标能够分成几个分类，强调不同的实体需要并可能对不同的执行部门负直截了当责任。

这种分类同样准许从每一目标分类之间区不能够预期的结果。

同样也描述了一些实体使用的爱护资源的另一分类。

因为与报告可靠性和遵守法律法规相关的目标在实体的操纵范畴内，企业风险治理能够预期为实现这些目标提供合理的保证。

然而战略目标和经营目标的实现易遭受实体操纵范畴之外的外部事件的阻碍，因此，企业风险治理能够提供合理的保证，使治理层认识这些目标和董事会意识到其监督作用，及时地促进整个实体朝着实现目标前进。

企业风险治理的组成部分企业风险治理包括八个相关组成部分。

这些组成部分来自治理层经营企业的方式，并与治理过程相结合。

这些组成部分是：●内部环境----内部环境包括一个组织的基调，制定作为整个实体的人们如何凝视和重视风险的依据，包括风险治理哲学和风险偏好、正直性和道德价值以及他们经营的环境。

●目标设定----在治理部门能够识不阻碍其业绩的潜在事件之前，必须存在有目标。

企业风险治理保证治理部门制定目标的过程到位，选定的目标支持和本实体的使命联成一体，并与风险偏好相一致。

●事件识不----必须识不阻碍一个实体实现目标的内部和外部事件，区不风险和机会。

机会开创了反馈治理部门战略或目标制定过程的渠道。

●风险评估----要分析风险，考虑可能性和阻碍，作为决定如何治理风险的依据。

在固有的和有后效的基础上评估风险。

●风险反馈----治理部门选择风险反馈----即幸免、同意、降低或分摊风险，开发一系列行动，使风险与实体的风险承担能力和风险偏好联成一体。

●操纵活动----政策和程序的制定有助于保证有效地执行风险反馈。

●信息与沟通----以一种能够促进人们履行其职责的形式和时刻框架来识不、捕捉和沟通相关风险。

有效的沟通同样发生在更广泛的意义上，即在实体内从上到下、相互交叉和自下而上的沟通。

●监控----对企业风险治理的整体进行监控并依照需要进行修改。

通过连续的治理活动，分不评估，或二者同时进行来实现监控。

企业风险治理不是一个严格的系列过程，一个部分只阻碍下一个部分。

它又是一种多方向的重复的过程，在这一过程中几乎所有的任何部分都可能会阻碍另一个部分。

目标与组成部分的关系在一个实体奋力实现的目标和表达实现目标所必须的企业风险治理组成部分之间存在一种直截了当的关系。

这种关系被描述为立体结构中的三维矩阵模型。

四种目标分类----战略、经营、报告和合法----由纵向栏目所代表，八个组成部分横向排列，一个实体的单位由第三个层面所代表。

这种描画勾画出整个企业风险治理重点的能力，或通过目标分类、组成部分、实体单位或任何子集合讲明整个企业风险治理。

成效确定一个实体的企业风险治理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判定。

这些组成部分同样可作为有效的企业风险治理的标准。

因为这几个组成部分的存在及适当运行不可能产生重大的缺陷，风险需要也已操纵在一个实体的风险偏好之内。

当确定企业风险治理在四类目标的每一类中差不多上有效的，相应地也就为董事会和治理层提供合理的保证，使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。

八个组成部分在每一个实体的运行并不是完全相同的。

例如，在中小型实体中的应用可能不那么正式，结构不那么完整。

只是，小的实体仍旧能够有有效的企业风险治理，只要每一个组成部分都存在并适当运行。

局限性在企业风险治理提供重要好处的同时，也存在着局限性。

在上述讨论的因素之外，局限性来悠闲决策制定过程中人的判定可能显现错误，反馈风险的决策，制定操纵需要考虑相关成本和效益，因为人类的失误，例如简单的错误或过失可能会造成打算的失败，操纵能够防止两个人或更多人勾结串通事件的发生，但治理部门有能力否决企业风险治理决策。

这些局限性会阻碍董事会和治理层对本实体目标实现所具有绝对的保证。

围绕内部操纵内部操纵是企业风险治理的一个组成部分。

本企业风险治理框架围绕内部操纵，为治理部门形成一个更健全的概念论和工具。

在《内部操纵----整合框架》中对内部操纵进行了定义和描述。

因为此框架差不多经受了时刻的考查，并成为现行法律法规和规则的依据，文件保留了内部操纵的定义和框架。

在本框架中只有《内部操纵----整合框架》原文部分是复制的，该框架的整体作为关联部分已结合到本框架中。

作用与职责在实体中的每一个人对企业风险治理都负有一定的责任，首席执行官是最终的负责人，应该承担所有责任。

其他治理人员支持本实体的风险治理哲学，促进遵守风险偏好，在职责和风险承担能力相一致的范畴内治理风险。

风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。

其他的实体人员负责按照既定的指令和会议记录执行风险治理。

董事会对企业风险治理提供重要的监督，明白并赞成本实体的风险偏好。

一些外部参与者，例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险治理有用的信息，但他们并不对其成效负责任，他们也不是本实体企业风险治理的一部分。

本报告的组织本报告的使用作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用：●董事会----董事会应与高级治理层讨论本实体企业风险治理框架的状况，提供必要的监督。