企业风险管理:COSO2004-辨析内部控制与风险管理
kuaidi.ping-jia.net 作者:佚名 更新日期:2024-07-04
COSO1992的全称是《内部控制-整体框架》( Internal Control-Integrated Framework ),主要内容是三目标五要素,三目标是经营增效、财报质量和法律合规,五要素是控制环境、风险评估、控制活动、信息和交流、监控。
在实践过程中,COSO1992被认为存在一些方面的局限性,包括对董事会作用认识的不够充分、内部控制管理报告内容局限于财报和固定时点、内部控制系统不涉及战略规划/风险评估/风险管理、内部控制的有效性评价方法基本是主管判断等。作为COSO1992的起草者,COSO委员会即美国全国虚假财务报告委员会The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting(下属Treadway委员会)对1992版本进行了重大更新,并于2004年9月提出了新版本的框架-《 企业风险管理-整体框架 》( Enterprise Risk Management-Integrated Framework )。
值得一提的是,2006年,我国国资委发布《 中央企业全面风险管理指引 》,指引借鉴了COSO1992、COSO2004、萨班斯法案及其他各国风险管理标准,提出企业风险管理包括三部分: 风险管理流程 、 风险管理体系 和 风险管理解决方案 。流程包括初始信息收集、风险评估、风险管理策略、解决方案的设计和实施、监督和改进。管理体系包括组织体系和信息系统。管理文化包括目标、内涵和培育方法。
对比国资委《中央企业全面风险管理指引》和COSO1992、COSO2004,可以看出风险管理概念在20世纪末、21世纪初国内国际的一系列风险事件爆发后,逐渐深入人心,被广为接受。COSO2004作为引领潮流的风险管理框架,具体是什么内容呢?
首先回顾1992版本与2004版本在主要结构与内容上的区别:
在框架内容上,从三目标五要素更新为四目标八要素;在实施对象上,从业务单位-具体活动的简单结构扩张到董事会-部门-业务单位-附属机构的多维度结构。
图中COSO2004为英文,其四目标的中文含义是: 战略、经营、报告 与 合规 。做适当的延申理解,其含义应当是支持战略决策、提升经营绩效、保证报告质量、符合法律法规。八要素的中文含义是: 内部环境、目标设置、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查 。侧面的实施对象为董事会-部门-业务单位-附属机构。
与COSO2004内部控制框架一样,目标与要素的关系是相互交叉关联的,每一个要素的实施都与目标的达成有关。对比2004与1992版本中要素的区别,风险评估、控制活动、监控、信息与沟通依然保留,控制环境被内部环境取代,增加了 目标设置 、 事项识别 、 风险应对 三个要素。而目标在两个版本中的区别则非常明显,2004版增加了 战略 。
联系目标与要素的变化,要素目标设置的含义被解释为管理者制定企业的战略目标、选择战略方案、确定相关的子目标并在企业内层层分解和落实。可以认为直接与战略目标的实现相关。
事项识别要素可以认为是对原风险评估要素的延申细化,事项识别要素的含义是管理者考虑会影响事项发生的各种企业内外因素,尝试识别某一事项是否会发生、何时发生、结果如何。风险评估使企业了解潜在事项如何影响企业目标的实现,管理者应从风险发生的可能性与造成的影响程度评估风险。事项识别-风险评估-风险应对密不可分。
风险应对要素的出现应当被视为2004版本框架相对于1992版本的重要改变,是对1992内部控制框架被动风险管理局限性的修正。提出了风险容忍度与成本效益原则下风险反应方案的设计与执行。这是主动的、预测性的风险管理措施。
从1992框架的“控制环境”到2004版本的“内部环境”,将风险管理框架的要求拓展到控制系统之外,涵盖了组织、战略、文化的部分,我认为是此处变化的主要含义,欢迎探讨。
除了这些重大变化,2004版本框架对重要概念的定义也是我们所关心的。
在这一版本中,“风险”被定义为“一个事项将会发生并给目标实现带来负面影响的可能性”。而与之相对的,“机会”被定义为“一个事项将会发生并给目标实现带来正面影响的可能性”。价值的保值与增值被认为是“机会”所特有的。“事项”被认为是“源于内部或外部的影响目标实现的事故或事件”。
“企业风险管理”被定义为“一个过程,由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。具体的目标内容不属于企业风险管理的范畴,但制定该目标的过程则是企业风险管理关心的一部分。
首先,企业风险管理被认为是一个过程;其次,风险容量在这个过程中至关重要,在既定战略之下将指导资源配置。风险容量被认为是主体内部环境的一部分。
那么,如何评价COSO2004框架下企业风险管理的有效性呢?
1、这八个要素都必须正常存在和运行。在小型机构之中,各个构成要素的方法可能不太正式或健全,但在每一个主体中这些基本的概念都应当存在。
2、通常一个主体作为整体评价风险管理有效性,例如董事会必须存在。但也存在单独评价一个业务单元的情况,此时,只有存在类似的机构提供此要素的功能,该单元的风险管理才能被认为有效。
实际上如何检验和确保有效性的问题,并未在框架中得到一个明显的解决方案。如何评价风险管理的有效性是我非常困惑的地方。
最后还有一个明显的疑问:“内部控制与风险管理的关系是怎样的?”
COSO2004给出了观点“内部控制是企业风险管理不可分割的一部分,这份企业风险管理框架涵盖了内部控制,从而构建一个更强有力的概念和管理工具”:
1、全面风险管理(企业风险管理的另一个名字)涵盖了内部控制,内部控制是风险管理的子系统。
2、内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。对于企业面临的大部分运营风险、或者说企业的所有业务流程之中的风险,内部控制系统是必要的、有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的基本要求。因此,满足内部控制系统的要求也是企业风险管理体系建设起来之后应该达到的状态。
3、两者在活动上不一致,全面风险管理包含的风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动都不在内部控制的范围内。而对风险进行评估、控制活动、信息与交流活动及监察纠正是都包含的。内部控制没有将企业战略考虑在框架之中。这也是上文中强调的COSO1992与COSO2004在目标上的区别。
4、两者对风险的对策不一致,全面风险管理提出风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念与方法,有利于企业的发展战略与风险偏好相适配,联系风险、增长与汇报,参与经济资本的分配,支持业务决策。内部控制缺乏这些手段。可以说这是COSO1992与COSO2004在目标-要素上的区别。
《COSO风险管理整合框架》于( )年9月提出了企业风险管理的整合...
答:【答案】:B 企业风险管理框架是由美国Treadway委员会所属的发起人委员会(COSO)委托普华永道会计师事务所开发的《COSO风险管理整合框架》,其在内部控制框架的基础上,于2004年9月提出了企业风险管理的整合概念。
COSO主要讲的是什么?
答:COSO本身是一个委员会,COSO内控基本框架诞生于1992年,由五要素和相关目标组成(目前中国监管机构模仿的主要是这个模型)coso-ERM,企业风险管理模型,诞生于2004年,将COSO内控框架五个要素扩展到八个要素,其起源于像安然和世通财务舞弊案件后的反思。它将审计的范围由简单的对账核对报表扩展到针对企业的...
企业风险管理体系包括哪些
答:这就要求企业在生产经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及生产经营造成的消极影响,使生产能够持续进行。可见,风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。\x0d\x0a风险的识别\x0d\x0a风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上...
coso企业风险管理框架的最高层次的目标是
答:coso企业风险管理框架的最高层次的目标是战略目标。COSO是美国反虚假财务报告委员会下属的发起人委员会的英文缩写,1985年,由美国管理会计师协会、美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。1987...
COSO报告COSO报告对我国企业的启示
答:企业作为多重契约关系的集合,其内部控制系统的核心始于法人治理结构的构建,特别是股东会与董事会、董事会与经理团队之间的委托代理关系。COSO报告强调建立健全董事会的功能,因为“安然”、“施乐”和“世通”等重大财务欺诈案就源于董事会功能失效和内部人控制的过度。企业与外部关系的经济联系和契约关系...
【我国企业内部控制建设研究】 我国企业内部控制规范体系的内容_百度知 ...
答:它从20世纪40年代前的内部牵制,发展到20世纪40~70年代的内部控制,再到20世纪70~90年代的内部控制结构,最后发展成为20世纪90年代后的内部控制整体框架,其中以COSO2004年9月发布的《企业风险管理——整合框架》最为著名。该整合框架为我国企业内部控制规范体系的建立提供了有效借鉴,也为我国企业实施该...
全面风险管理内部控制
答:当谈论风险管理,一个核心概念是企业内部控制。然而,许多企业对其与全面风险管理的区分和关联存在误解,要么视为孤立,要么混淆两者。实际上,COSO(全国虚假财务报告委员会发起的委员会)在2004年的《企业风险管理整合框架》中,为两者的关系提供了清晰的解释。首先,全面风险管理包含了内部控制。在COSO框架...
COSO内部控制与企业风险管理整合框架的比较
答:1、COSO内部控制框架认为,内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用其模型表示。2、企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念,一个战略目标,两个概念和三个要素。即风险...
1 内部审计机构应该隶属于( )。 A.组织的最高管理层 B.组织的财务部门...
答:6.COSO委员会于2004年9月颁布了《企业风险管理——综合框架》,将内部控制五要素变为八个要素,其中保留的要素是( )。A.风险评估B.目标制定C.事项识别D.风险反应 【正确答案】:A 【解析】:COSO委员会于2004年9月颁布了《企业风险管理——综合框架》,五要素变为八个要素,分别是控制环境、...
风险管理实践和理论起源?
答:所以,按照有关企业风险管理的标准定期的评估企业风险及企业风险管理的有效性,不断的完善风险管理机制显得尤为重要。企业风险管理进入21世纪,企业风险管理(Enterprise Risk Management,简称ERM)已形成了特定的概念,它来自于美国全美反虚假财务报告委员会发起人机构(简称COSO委员会)于2004年9月发布的《...
在实践过程中,COSO1992被认为存在一些方面的局限性,包括对董事会作用认识的不够充分、内部控制管理报告内容局限于财报和固定时点、内部控制系统不涉及战略规划/风险评估/风险管理、内部控制的有效性评价方法基本是主管判断等。作为COSO1992的起草者,COSO委员会即美国全国虚假财务报告委员会The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting(下属Treadway委员会)对1992版本进行了重大更新,并于2004年9月提出了新版本的框架-《 企业风险管理-整体框架 》( Enterprise Risk Management-Integrated Framework )。
值得一提的是,2006年,我国国资委发布《 中央企业全面风险管理指引 》,指引借鉴了COSO1992、COSO2004、萨班斯法案及其他各国风险管理标准,提出企业风险管理包括三部分: 风险管理流程 、 风险管理体系 和 风险管理解决方案 。流程包括初始信息收集、风险评估、风险管理策略、解决方案的设计和实施、监督和改进。管理体系包括组织体系和信息系统。管理文化包括目标、内涵和培育方法。
对比国资委《中央企业全面风险管理指引》和COSO1992、COSO2004,可以看出风险管理概念在20世纪末、21世纪初国内国际的一系列风险事件爆发后,逐渐深入人心,被广为接受。COSO2004作为引领潮流的风险管理框架,具体是什么内容呢?
首先回顾1992版本与2004版本在主要结构与内容上的区别:
在框架内容上,从三目标五要素更新为四目标八要素;在实施对象上,从业务单位-具体活动的简单结构扩张到董事会-部门-业务单位-附属机构的多维度结构。
图中COSO2004为英文,其四目标的中文含义是: 战略、经营、报告 与 合规 。做适当的延申理解,其含义应当是支持战略决策、提升经营绩效、保证报告质量、符合法律法规。八要素的中文含义是: 内部环境、目标设置、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查 。侧面的实施对象为董事会-部门-业务单位-附属机构。
与COSO2004内部控制框架一样,目标与要素的关系是相互交叉关联的,每一个要素的实施都与目标的达成有关。对比2004与1992版本中要素的区别,风险评估、控制活动、监控、信息与沟通依然保留,控制环境被内部环境取代,增加了 目标设置 、 事项识别 、 风险应对 三个要素。而目标在两个版本中的区别则非常明显,2004版增加了 战略 。
联系目标与要素的变化,要素目标设置的含义被解释为管理者制定企业的战略目标、选择战略方案、确定相关的子目标并在企业内层层分解和落实。可以认为直接与战略目标的实现相关。
事项识别要素可以认为是对原风险评估要素的延申细化,事项识别要素的含义是管理者考虑会影响事项发生的各种企业内外因素,尝试识别某一事项是否会发生、何时发生、结果如何。风险评估使企业了解潜在事项如何影响企业目标的实现,管理者应从风险发生的可能性与造成的影响程度评估风险。事项识别-风险评估-风险应对密不可分。
风险应对要素的出现应当被视为2004版本框架相对于1992版本的重要改变,是对1992内部控制框架被动风险管理局限性的修正。提出了风险容忍度与成本效益原则下风险反应方案的设计与执行。这是主动的、预测性的风险管理措施。
从1992框架的“控制环境”到2004版本的“内部环境”,将风险管理框架的要求拓展到控制系统之外,涵盖了组织、战略、文化的部分,我认为是此处变化的主要含义,欢迎探讨。
除了这些重大变化,2004版本框架对重要概念的定义也是我们所关心的。
在这一版本中,“风险”被定义为“一个事项将会发生并给目标实现带来负面影响的可能性”。而与之相对的,“机会”被定义为“一个事项将会发生并给目标实现带来正面影响的可能性”。价值的保值与增值被认为是“机会”所特有的。“事项”被认为是“源于内部或外部的影响目标实现的事故或事件”。
“企业风险管理”被定义为“一个过程,由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。具体的目标内容不属于企业风险管理的范畴,但制定该目标的过程则是企业风险管理关心的一部分。
首先,企业风险管理被认为是一个过程;其次,风险容量在这个过程中至关重要,在既定战略之下将指导资源配置。风险容量被认为是主体内部环境的一部分。
那么,如何评价COSO2004框架下企业风险管理的有效性呢?
1、这八个要素都必须正常存在和运行。在小型机构之中,各个构成要素的方法可能不太正式或健全,但在每一个主体中这些基本的概念都应当存在。
2、通常一个主体作为整体评价风险管理有效性,例如董事会必须存在。但也存在单独评价一个业务单元的情况,此时,只有存在类似的机构提供此要素的功能,该单元的风险管理才能被认为有效。
实际上如何检验和确保有效性的问题,并未在框架中得到一个明显的解决方案。如何评价风险管理的有效性是我非常困惑的地方。
最后还有一个明显的疑问:“内部控制与风险管理的关系是怎样的?”
COSO2004给出了观点“内部控制是企业风险管理不可分割的一部分,这份企业风险管理框架涵盖了内部控制,从而构建一个更强有力的概念和管理工具”:
1、全面风险管理(企业风险管理的另一个名字)涵盖了内部控制,内部控制是风险管理的子系统。
2、内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。对于企业面临的大部分运营风险、或者说企业的所有业务流程之中的风险,内部控制系统是必要的、有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的基本要求。因此,满足内部控制系统的要求也是企业风险管理体系建设起来之后应该达到的状态。
3、两者在活动上不一致,全面风险管理包含的风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动都不在内部控制的范围内。而对风险进行评估、控制活动、信息与交流活动及监察纠正是都包含的。内部控制没有将企业战略考虑在框架之中。这也是上文中强调的COSO1992与COSO2004在目标上的区别。
4、两者对风险的对策不一致,全面风险管理提出风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念与方法,有利于企业的发展战略与风险偏好相适配,联系风险、增长与汇报,参与经济资本的分配,支持业务决策。内部控制缺乏这些手段。可以说这是COSO1992与COSO2004在目标-要素上的区别。
答:【答案】:B 企业风险管理框架是由美国Treadway委员会所属的发起人委员会(COSO)委托普华永道会计师事务所开发的《COSO风险管理整合框架》,其在内部控制框架的基础上,于2004年9月提出了企业风险管理的整合概念。
答:COSO本身是一个委员会,COSO内控基本框架诞生于1992年,由五要素和相关目标组成(目前中国监管机构模仿的主要是这个模型)coso-ERM,企业风险管理模型,诞生于2004年,将COSO内控框架五个要素扩展到八个要素,其起源于像安然和世通财务舞弊案件后的反思。它将审计的范围由简单的对账核对报表扩展到针对企业的...
答:这就要求企业在生产经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及生产经营造成的消极影响,使生产能够持续进行。可见,风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。\x0d\x0a风险的识别\x0d\x0a风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上...
答:coso企业风险管理框架的最高层次的目标是战略目标。COSO是美国反虚假财务报告委员会下属的发起人委员会的英文缩写,1985年,由美国管理会计师协会、美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。1987...
答:企业作为多重契约关系的集合,其内部控制系统的核心始于法人治理结构的构建,特别是股东会与董事会、董事会与经理团队之间的委托代理关系。COSO报告强调建立健全董事会的功能,因为“安然”、“施乐”和“世通”等重大财务欺诈案就源于董事会功能失效和内部人控制的过度。企业与外部关系的经济联系和契约关系...
答:它从20世纪40年代前的内部牵制,发展到20世纪40~70年代的内部控制,再到20世纪70~90年代的内部控制结构,最后发展成为20世纪90年代后的内部控制整体框架,其中以COSO2004年9月发布的《企业风险管理——整合框架》最为著名。该整合框架为我国企业内部控制规范体系的建立提供了有效借鉴,也为我国企业实施该...
答:当谈论风险管理,一个核心概念是企业内部控制。然而,许多企业对其与全面风险管理的区分和关联存在误解,要么视为孤立,要么混淆两者。实际上,COSO(全国虚假财务报告委员会发起的委员会)在2004年的《企业风险管理整合框架》中,为两者的关系提供了清晰的解释。首先,全面风险管理包含了内部控制。在COSO框架...
答:1、COSO内部控制框架认为,内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用其模型表示。2、企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念,一个战略目标,两个概念和三个要素。即风险...
答:6.COSO委员会于2004年9月颁布了《企业风险管理——综合框架》,将内部控制五要素变为八个要素,其中保留的要素是( )。A.风险评估B.目标制定C.事项识别D.风险反应 【正确答案】:A 【解析】:COSO委员会于2004年9月颁布了《企业风险管理——综合框架》,五要素变为八个要素,分别是控制环境、...
答:所以,按照有关企业风险管理的标准定期的评估企业风险及企业风险管理的有效性,不断的完善风险管理机制显得尤为重要。企业风险管理进入21世纪,企业风险管理(Enterprise Risk Management,简称ERM)已形成了特定的概念,它来自于美国全美反虚假财务报告委员会发起人机构(简称COSO委员会)于2004年9月发布的《...
