coso企业风险管理—整合框架.docx
《coso企业风险管理—整合框架.docx》由会员分享,可在线阅读,更多相关《coso企业风险管理—整合框架.docx(77页珍藏版)》请在冰豆网上搜索。
公司治理·内部控制前沿译丛
企业风险管理——整合框架
(美)COSO制定发布
方红星王宏译
大连
制定发布机构简介
COSO是Treadway委员会(TreadwayCommission,即反欺诈财务报告全国委员会(NationalCommissiononFraudulentFinancialReporting),通常根据其首任主席的姓名而称为Treadway委员会)的发起组织委员会(CommitteeofSponsoringOrganizations)的简称。
Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。
1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。
1992年,COSO发布了着名的《内部控制——整合框架》(1994年作出局部修订),成为内部控制领域最为权威的文献之一。
2003年7月,COSO发布了《企业风险管理——整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,2004年9月发布了最终的文本。
本书就是按照2004年9月正式发布的文本进行翻译的。
译者简介
方红星,东北财经大学会计学院教授,博士,兼任东北财经大学出版社社长,编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。
主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。
王宏,西南财经大学会计学院博士研究生,现就职于财政部会计司综合处,近年来主要致力于内部会计控制等方面的理论和政策研究。
中文版前言
在内部控制和风险管理的演进过程之中,COSO的突出贡献是举世公认的。
它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》,已经成为世界通行的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。
2003年7月,COSO发布了《企业风险管理——整合框架》的征求意见稿,引起了广泛的关注,我国也有一些学者撰文介绍了相关的情况。
诚然,企业风险管理整合框架并没有立即取代内部控制整合框架,但是它涵盖和拓展了后者。
因此,对新的框架进行深入研究和探讨,具有十分重要的价值。
2004年9月,正式的最终文本发布之后,由于着作权保护和其他方面的原因,在国内很难取得该框架最终定稿的版本。
而许多学者继续按照征求意见稿来进行转述、介绍和研究,已经显得不合适了。
为此,我们通过积极联络和多方努力,最终获得了正式授权,得以将这份重要的文献翻译成中文并在国内公开出版。
长期以来,尤其是在2001年前后一系列令人瞩目的公司丑闻爆发之后,关于内部控制的研究和立法行动深受社会各界的重视和关注,我国也概莫能外。
我国的有关部门在几年前就已经开始了制定企业内部会计控制规范的积极尝试。
目前,关于研究和制定企业内部控制指引的呼吁和探索也日益急迫。
在这种背景下,认真研究和参考包括企业风险管理整合框架在内的相关的国际权威文献,无疑具有十分突出的理论价值和现实意义。
本书是框架的上卷,即内容提要和基本框架部分。
书稿的翻译工作由东北财经大学方红星教授和财政部会计司王宏博士共同完成,译稿由方红星审校。
十分感谢美国内部审计师协会的LucySheets在授权过程中的大力协助,以及东北财经大学出版社的高鹏、孙冰洁编辑对书稿的仔细审读。
在2005年7月下旬在北京召开的“企业内部控制指引研讨会”上,财政部会计司刘玉廷司长、高一斌副司长、舒惠好处长、郜进兴处长、中国会计学会副秘书长周守华教授、东北财经大学刘明辉教授、西南财经大学赵德武教授、南京大学杨雄胜教授、清华大学于增彪教授等领导和专家对本书的翻译给予了肯定和关注,并提出了一些有益的指导和建议,在此谨致谢忱!
由于翻译这类框架文件本身就极具挑战性,加之时间紧迫和译者水平有限,书中错误和疏漏在所难免,恳请业内专家和广大读者不吝指正(接受批评、建议的电子信箱为)!
译者
2005年7月
企业风险管理——
整合框架
Ø内容摘要
Ø基本框架
2004年9月
Treadway委员会发起组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)
监督者
代表
COSO主席
JohnJ.Flaherty
美国会计学会(AmericanAccountingAssociation,AAA)
LarryE.Rittenberg
美国注册会计师协会(AmericanInstituteofCertifiedPublicAccountants,AICPA)
AlanW.Anderson
国际财务经理协会(FinancialExecutivesInternational,FEI)
JohnP.Jessup
NicholasS.Cyprus
管理会计师协会(InstituteofManagementAccountants,IMA)
FrankC.Minter
DennisL.Neider
内部审计师协会(TheInstituteofInternalAuditors,IIA)
WilliamG.Bishop,III
DavidA.Richards
COSO项目咨询委员会
指导者
TonyMaki,Chair
合伙人,MossAdams有限责任合伙公司
JamesW.DeLoach
执行总裁,Protiviti有限公司
JohnP.Jessup
副总裁兼司库,杜邦(E.I.duPontdeNemours)公司
MarkS.Beasley
教授,北卡罗莱纳州立大学(NorthCarolinaStateUniversity)
AndrewJ.Jackson
企业风险保证服务高级副总裁,美国运通(AmericanExpress)公司
TonyM.Knapp
高级副总裁兼主计长,摩托罗拉(Motorola)公司
JerryW.DeFoor
副总裁兼主计长,ProtectiveLife公司
StevenE.Jameson
执行副总裁,首席内部审计与风险官,CommunityTrustBancorp有限公司
DouglasF.Prawitt
教授,杨伯翰大学(BrighamYoungUniversity)
普华永道有限责任合伙公司(PricewaterhouseCoopersLLP)
作者
主要撰稿人
RichardM.Steinberg
前合伙人兼公司治理业务负责人(现Steinberg治理顾问)
MilesE.A.Everson
纽约分部合伙人兼金融服务业财务、经营、风险与合规业务负责人
FrankJ.Martens
加拿大温哥华分部客户服务部高级经理
LucyE.Nottingham
波士顿分部国内企业服务部经理
序
十几年前,Treadway委员会的发起组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,以下简称“COSO”)发布了《内部控制——整合框架》,以帮助企业和其他主体评估和增进它们的内部控制制度。
这份框架此后被纳入政策、规则和法规之中,并被数千家企业用来对它们为实现既定目标所采取的行动加以更好的控制。
近年来重点关注的焦点集中在风险管理上,人们越来越清楚地认识到需要一个强有力的框架以便有效地识别、评估和控制风险。
2001年,COSO开展了一个项目,委托普华永道(PricewaterhouseCoopers)开发一个对于管理当局评价和改进他们所在组织的企业风险管理的简便易行的框架。
正是在开发这个框架的期间,发生了一系列令人瞩目的企业丑闻和失败事件,投资者、公司员工和其他利益相关者因此而遭受了巨大的损失。
随之而来的便是对采用新的法律、法规和上市准则来加强公司治理和风险管理的呼吁。
对一个提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架的需要变得尤为迫切。
COSO相信这份《企业风险管理——整合框架》满足了这个需要,并希望它能被企业和其他组织乃至所有的利益相关者和有关各方所广泛认同。
美国的做法之一是2002年的《萨班斯—奥克斯利法案》(Sarbanes-OxleyAct,简称SOX法案),其他国家也已经通过或正在考虑类似的立法。
这部法律扩充了长期持续的对公众公司保持内部控制制度的规定,要求管理当局证实、并由独立审计师鉴证这些制度的有效性。
仍在继续接受时间考验的《内部控制——整合框架》,成为满足这类报告要求的被广泛认可的准则。
这份《企业风险管理——整合框架》拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。
尽管它并不打算、也的确没有取代内部控制框架,但是它将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。
管理当局所面临的最为重要的挑战之一是确定所在的主体在为创造价值而奋斗的同时,准备承受和实际承受了多大的风险。
这份报告将更好地帮助他们去迎接这种挑战。
JohnJ.Flaherty TonyMaki
COSO主席 COSO咨询委员会主席
目录
内容摘要 9
基本框架
1定义 16
2 内部环境 26
3 目标设定 31
4 事项识别 35
5 风险评估 40
6 风险应对 44
7 控制活动 48
8 信息与沟通 53
9 监控 58
10 职能与责任 63
11 企业风险管理的局限 69
12 该做些什么 72
附录
附录A目标与方法 73
附录B关键原则摘要 75
附录C《企业风险管理——整合框架》与《内部控制——整合框架》之间的关系 82
附录D参考文献 85
附录E对意见信的考虑 87
附录F术语 91
附录G致谢 94
企业风险管理——
整合框架
Ø内容摘要
Ø基本框架
内容摘要
企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。
所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。
不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。
企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。
当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。
企业风险管理包括:
·协调风险容量(riskappetite)也有人将其翻译为“风险偏好”、“风险需求”、“风险承受能力”等——译者注。
与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。
·增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。
·抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。
升级会员 