成都商务服务交流群

COSO:从内部控制到企业风险管理

法商领道2018-12-05 12:17:51

COSO简介

COSO是美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission)的英文缩写,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。

 

专注内部控制研究

1992年9月,COSO委员会发布《内部控制整合框架》,简称COSO报告,COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。

 

从内控向风险管理的转变

多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险。

自1992年美国COSO委员会发布《COSO内部控制整合框架》以来,该框架已在全球获得广泛的认可和应用,但是理论界和实务界一直不断对其提出一些改进建议,强调内部控制整合框架的建立应与企业风险管理相结合。

2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft),该讨论稿是在《内部控制整合框架》的基础上进行了扩展而得来的。

COSO委员会也意识到《内部控制整合框架》自身存一些问题,如过分注重财务报告,而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素,新框架必须出台以适应发展需求。2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM)。

2004版框架发布据今已有十几年时间,这十几年间,风险的复杂性发生了重大变化,由于新环境、新技术的不断演变,新的风险也层出不穷。在此前提下,COSO在2014年启动了首次对风险管理框架的修订工作,并于2017年9月发布了最新修订版《企业风险管理框架》(COSO-ERM)。

 

 

COSO——ERM新框架

管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。

对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定:企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。

 

 

COSO-ERM框架包括以下五大要素及二十项基本原则:

  • Governance & Cultural治理与文化

1.  实现董事会对风险的监督

2.  建立运作模式

3.  定义期望的组织文化

4.  展现对核心价值的承诺

5.  吸引、发展并留住人才

  • Strategy & Objective-Setting战略与目标制定

6.  考虑业务环境

7.  定义风险偏好

8.  评估替代战略

9.  建立业务目标

  • Performance绩效

10.识别风险

11.评估风险的严重程度

12.风险排序

13.执行风险应对

14.建立风险的组合观

  • Review & Revision审阅和修订

15.评估重大变化

16.审阅风险和绩效

17.企业风险管理改进

  • Information,Communication,& Reporting   信息、沟通和报告

18.利用信息和技术

19.沟通风险信息

20.对风险、文化和绩效进行报告

 

五项控制要素和二十项基本原则不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。

 

结语

COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的,应用于企业战略制定和企业内部各个层次与部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面,流程化的企业风险管理过程,它为企业目标实现提供合理保证。


Copyright © 成都商务服务交流群@2017