美国企业风险管理框架.docxVIP

美国企业风险管理框架 一、 扩展的理论研究 自1992年美国coor总委员会（coor总委员会）发布内部控制框架以来，已由许多公司采用。然而，理论和实践界对内部控制结构提出了一些改进建议，强调内部控制结构的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上, 结合《萨班斯—奥克斯法案》 (Sarbanes-Oxley Act) 在报告方面的要求, 进行扩展研究得到的。普华永道的项目参与者认为, 新报告中有60%的内容得益于COSO1992年报告所做的工作。但由于风险是一个比内部控制更为广泛的概念, 因此, 新框架中的许多讨论比92年报告的讨论要更为全面、更为深刻。此外, COSO在其风险管理框架讨论稿中也说明, 风险管理框架建立在内部控制框架的基础上, 内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛, 是对内部控制框架的扩展, 是一个主要针对风险的更为明确的概念。 概括地看, 相对于内部控制框架而言, 新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素, 即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要, 新框架还要求企业设立一个新的部门——风险管理部。新的风险管理框架比起内部控制框架, 无论在内容还是范围上都有所扩大和提高, 具体表现在: 1. 风险的偏好不同 企业风险管理要求企业管理者以风险组合的观点看待风险, 对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言, 其风险可能落在该单位的风险容忍度范围内, 但从企业总体来看, 总风险可能超过企业总体的风险偏好范围。因此, 应从企业总体的风险组合的观点看待风险。 2. 财务目标的界定 内部控制框架将企业的目标分为经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标, 但是其中只有两个目标与内部控制框架中的定义相同, 财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关, 而企业风险管理框架中的报告目标的范围有很大的扩展, 该目标覆盖了企业编制的所有报告。 此外, 企业风险管理框架比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中, 也应用于企业的战略制定阶段。 3. 企业风险偏好的内涵 针对企业目标实现过程中所面临的风险, 风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看, 风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关, 企业在制定战略时, 应考虑将该战略的既定收益与企业的风险偏好结合起来, 目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。 风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度, 是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时, 企业应考虑相关目标的重要性, 并将其与企业风险偏好联系起来。 4. 制定“事项识别”和风险反应 企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”。此外, 针对企业将管理的重心移至风险管理, 风险管理框架更加深入地阐述了其他要素的内涵, 并扩大了相关要素的范围。 (1) 目标制定与风险控制 在风险管理框架中, 由于要针对不同的目标分析其相应的风险, 因此目标的制定自然就成为风险管理流程的首要步骤, 并将其确认为风险管理框架的一部分。 (2) 潜在风险的认定 企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素, 而且可能在企业的各个层面上出现, 并且应根据对实现企业目标的潜在影响来确认风险。但是, 企业风险管理框架深入探讨了潜在事项的概念, 认为潜在事项是指来自于企业内部和外部资源的, 可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇, 而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因, 对企业过去和未来的潜在事项以及事项的发生趋势进行计量。 (3) 险管理方案的影响 企业风险管理框架提出对风险的四种反应方案:规避、减少、共担和接受风险。作为风险管理的一部分, 管理者应比较不同方案的潜在影响, 并且应在企业风险容忍度范围内的假设下, 考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后, 企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对