COSO ERM企业风险管理框架–背景和概述_会计论文

COSO ERM企业风险管理框架–背景和概述

浏览:32 次
0

COSO ERM框架是组织用来在日益动荡,不可预测的业务环境中帮助管理风险的两个广泛接受的风险管理标准之一。前面我们讨论了其他常用的ERM框架ISO 31000的背景和概述。

COSO是Treadway委员会发起人组织委员会的简称,最初是由美国的五个主要会计协会和机构在1980年代中期成立的,是国家欺诈性财务报告委员会的一部分。该委员会被称为特雷德韦委员会(Treadway Commission),以纪念其最初的主席詹姆斯·C·特雷德韦Jr.

COSO的最初任务是研究财务报告并制定预防欺诈的建议。

它的第一个“标准”内部控制–集成框架于1992年发布,它为帮助组织评估和改进其内部控制系统提供了一个全面的框架。后来变得非常流行。在2006年的一项民意调查中,有82%的受访者声称他们使用该标准来指导其内部控制和合规活动。

在内部控制框架发布后的几年中,组织很快就意识到内部控制框架存在差距。

尽管它有助于减少欺诈行为和合规性方面的风险,但无法识别和评估组织需要采取哪些控制措施。

这种认可以及安然(Enron)和类似丑闻之后对改善公司治理和风险管理标准的要求,促使COSO在2004年创建了其《企业风险管理–集成框架》。

COSO的初始标准非常重视审计,将其作为企业风险管理背后的推动力。

尽管2004年的COSO框架在企业风险管理的定义中包括了战略设置,但现实情况是,《萨班斯-奥克斯利法案》(通常称为SOX)及其对上市公司进行财务报告控制测试和认证的要求是推动企业发展的强大动力。标准。

在原始标准中,企业风险管理由四个类别组成-战略,运营,报告和合规-其中两个直接与公司治理相关。

正如NC State的’04标准摘要所解释的那样,ERM标准几乎就像内部控制标准的扩展版一样,它不仅涵盖财务报表,而且还包含整个企业的报告。

尽管原始标准将战略目标作为一个类别包含在内,但之所以加入该标准,是为了确保组织的战略“与运营,报告和合规性活动保持一致”。

最后,2004年COSO ERM框架更多地侧重于可以审计的内容,而不是识别威胁和机遇,而这正是ERM的真正价值所在。该标准非常适合由审计驱动风险的组织。

虽然最新的COSO ERM框架保留了许多与原始特征相同的特征,但它更加注重策略。

在反馈中,许多从业人员解释说,原始的COSO ERM框架仅与内部控制有关。

为了解决这个问题和其他问题,COSO与普华永道(PwC)合作,于2017年发布了更新的标准,标题为“企业风险管理–与战略和绩效相集成”。

作者表示,新的COSO ERM框架包括一些重大更改。北卡罗来纳州州企业风险管理计划主任兼COSO咨询委员会成员Mark Beasley博士解释说:

虽然原始框架中强调了风险管理与战略之间的联系,但2017年更新的框架更加强调了在设计和实施战略以实现组织绩效目标时整合风险因素的重要性。

普华永道在摘要中讨论了2004年和2017年标准之间的重大差异。

例如,结构大不相同。新标准没有使用多维数据集来说明风险管理流程的四个类别和八个组成部分之间的联系,而是使用功能区类型图,该图现在将整个组织生命周期中的五个类别交织在一起(请参见下文)。该标准解释说,图中的三个功能区代表“流过实体”的通用流程(策略/目标设定,绩效和审查/修订),而其他两个功能区则代表了企业风险管理的支持机制(治理/文化,信息和传播以及报告)。

COSO ERM Cube (2004)*

Components of ERM – 2017 COSO Standard**


除了将重点更多地放在战略目标上之外,新框架还更加注重文化,并更深入地研究风险偏好等概念,而且正如Beasley博士所解释的那样,将风险管理整合到整个组织中。

COSO的新ERM框架现在包括五个组成部分或类别,在每个组成部分中分布有20条原则。这些组件是:

治理和文化–通过提供有关董事会监督职责,运营结构,领导者的语气以及吸引,发展和保留合适人选的指导,构成其他组成部分的基础。有关更多信息,请查看为什么强大的治理基础对成功的企业风险管理至关重要。

战略与目标设定–该组件侧重于战略规划以及组织如何理解内部和外部因素对风险的影响。本节提供有关分析业务环境,定义风险偏好和制定目标的指南。

绩效–组织制定战略后,便会继续进行识别和评估可能影响其实现这些目标能力的风险。本部分不仅可以帮助指导组织的风险识别和评估,还可以帮助您确定风险的优先级和响应方式。毕竟,组织的绩效与其绩效一样好,不仅仅是风险管理。

审查和修订–在确定风险的优先级并选择行动方案后的某个时间点,组织进入评估和修订阶段,在此阶段,它评估已发生的任何更改。这也是了解如何改进组织中的ERM流程的机会。

信息,沟通和报告– COSO ERM框架的最后一个组成部分涉及在整个组织中共享来自内部和外部资源的信息。系统用于捕获,处理,管理和报告组织的风险,文化和绩效。

ERM使用迭代过程。仅仅因为组织已经发布了风险报告并不意味着工作已经完成。掌握了有关风险处理和流程的信息,就可以并且应该对治理,策略和风险管理流程进行审查和完善。

思想领袖和实践者对新的COSO ERM框架提供反馈。

与诺曼·马克(Norman Marks)等思想领袖一样,我同意新的COSO ERM框架是对15年前的原始标准的巨大改进。 ‘04版本无疑更侧重于审计,而不是战略目标和增值。

普遍的看法是,ERM不仅仅是确保目标得到实现和机会得到适当利用的系统,而更多地是文档活动。此外,许多人认为原始标准冗长而繁琐,对于及时的决策没有用,因此将ERM视为文档活动。

尽管新标准为定义目标和制定计划提供了更好的指导,以使利益相关者获得最大价值,但仍存在一些差距。

例如,诺曼·马克斯(Norman Marks)在对框架的审查中解释说,该框架仍然没有为有效的决策提供足够的指导。该框架还没有充分“将风险管理的做法从定期查看风险列表中移开。”

对我来说,我相信新的COSO ERM框架可为风险管理流程的各个阶段提供不错的指导。

但是,它似乎仍会单独考虑风险,并且是被动的而不是主动的。

此外,如果您获得标准的副本,您会注意到它很长,忙碌的高管和董事会成员无法用它来了解风险管理比合规性练习更多。

而且由于该标准几乎是在美国专门制定的,是否考虑到了国际文化和监管因素?将风险整合到组织的文化中肯定会因地区而异。

实施COSO ERM框架的注意事项–我从哪里开始?

由于其起源于合规性,审计和财务报告,因此COSO ERM框架是信用社,银行和类似组织等金融公司的首选标准。只需查看主要贡献者和COSO董事会成员的名单,就可以看出该标准仍在很大程度上依赖于审计,会计和大型咨询公司。

但是,正如我们前面解释的那样,最新版本的COSO ERM框架将其范围扩展到了审计,财务报告和合规性之外。

挑战在于确定从哪里开始。

我认为要认识的一件事很重要,那就是您不会立即实现整个框架。

第一步应该是了解您的组织相对于上述每个原则的立场。要问的一些问题包括:

从高层次看,您的组织当前的风险文化和心态是什么?
您的组织如何制定决策?
您怎么知道自己已经达到目标或麻烦正在酝酿?
该组织在哪里受到挑战?
企业面临哪些问题,ERM如何帮助解决这些问题?

回答了这样的问题后,您应该对应该从何处着手进行努力有了很好的了解。

同样,目标不应该一次尝试实施整个框架,而应该确定最紧迫的需求并从那里开始。

您的组织是否使用COSO ERM框架来指导其风险管理工作?

您觉得浏览起来容易还是难以满足组织的需求?

像其他ERM框架一样,那里有各种各样的观点和经验,这就是为什么我有兴趣听听您对COSO的想法的原因。

只需在下面发表评论或加入LinkedIn上的对话即可。

并查看ISO 31000 vs. COSO文章,以比较两种领先的风险管理标准。

如果您的组织已将COSO ERM框架确定为最合适的框架,或者您只是在尝试寻找合适的标准,请访问我的咨询网站(战略决策解决方案),以了解有关我如何帮助组织克服挑战并确保长期发展的更多信息成功。

*企业风险管理–集成框架©2004。Treadway委员会(COSO)赞助组织委员会。版权所有。经许可使用。

**企业风险管理–整合绩效战略©2017。特雷德韦委员会(COSO)赞助组织委员会。版权所有。经许可使用。

文章标签

用户评论

共有 0 条评论

猜你喜欢
  • 土地经济研究杂志万方

  • 中华人民共和国海关总署文告杂志论文发表

    11-4930/D

  • 国务院国有资产监督管理委员会公告杂志多久回复

    11-5169/D

  • 纺织服装流行趋势展望杂志认可度高吗

    10-1348/TS

  • 长江技术经济杂志影响因子

    42-1896/F

联系
站长