COSO框架在FRM考試中經常出現(xiàn),接下來跟著高頓網校FRM小編來了解一下吧。
COSO是全國反虛假財務報告委員會下屬的發(fā)起人委員會(The Committee of Sponsoring Organizations of the Treadway Commission)的英文縮寫。 1985年,由美國注冊會計師協(xié)會、美國會計協(xié)會、財務經理人協(xié)會、內部審計師協(xié)會、管理會計師協(xié)會聯(lián)合創(chuàng)建了反虛假財務報告委員會,旨在探討財務報告中的舞弊產生的原因,并尋找解決之道。兩年后,基于該委員會的建議,其贊助機構成立COSO委員會,專門研究內部控制問題。1992年9月,COSO委員會發(fā)布《內部控制整合框架》,簡稱COSO報告,1994年進行了增補。
COSO企業(yè)風險管理的定義 :
“企業(yè)風險管理是一個過程,受企業(yè)董事會、管理層和其他員工的影響,包括內部控制及其在戰(zhàn)略和整個公司的應用,旨在為實現(xiàn)經營的效率和效果、財務報告的可靠性以及法規(guī)的遵循提供合理保證。”COSO-ERM框架是一個指導性的理論框架,為公司的董事會提供了有關企業(yè)所面臨的重要風險,以及如何進行風險管理方面的重要信息。企業(yè)風險管理本身是一個由企業(yè)董事會、管理層、和其他員工共同參與的,應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次與部門的,用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內進行多層面,流程化的企業(yè)風險管理過程,它為企業(yè)目標實現(xiàn)提供合理保證。
內部組成
1.控制環(huán)境(Control environment)
它包括組織人員的誠實、倫理價值和能力;管理層哲學和經營模式;管理層分配權限和責任、組織、發(fā)展員工的方式;董事會提供的關注和方向??刂骗h(huán)境影響員工的管理意識,是其他部分的基礎。
2.風險評估(risk assessment)
是確認和分析實現(xiàn)目標過程中的相關風險,是形成管理何種風險的依據(jù)。它隨經濟、行業(yè)、監(jiān)管和經營條件而不斷變化,需建立一套機制來辨認和處理相應的風險。
3.控制活動(control activities)
是幫助執(zhí)行管理指令的政策和程序。它貫穿整個組織、各種層次和功能,包括各種活動如批準、授權、證實、調整、經營績效評價、資產保護和職責分離等。
4.信息的溝通與交流(information and communication)
信息系統(tǒng)產生各種報告,包括經營、財務、守規(guī)等方面,使得對經營的控制成為可能。處理的信息包括內部生成的數(shù)據(jù),也包括可用于經營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統(tǒng)中所處的位置,以及相互的關系;必須認真對待控制賦予自己的責任,同時也必須同外部團體如客戶、供貨商、監(jiān)管機構和股東進行有效的溝通。
5.對環(huán)境的監(jiān)控(monitoring)
監(jiān)控在經營過程中進行,通過對正常的管理和控制活動以及員工執(zhí)行職責過程中的活動進行監(jiān)控,來評價系統(tǒng)運作的質量。不同評價的范圍和步驟取決于風險的評估和執(zhí)行中的監(jiān)控程序的有效性。對于內部控制的缺陷要及時向上級報告,嚴重的問題要報告到管理層高層和董事會。
管理框架:
COSO風險管理框架把風險管理的要素分為八個:內部環(huán)境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監(jiān)督。
1.內部環(huán)境
企業(yè)的內部環(huán)境是其他所有風險管理要素的基礎,為其他要素提供規(guī)則和結構。內部環(huán)境影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務活動的組織和風險的識別、評估和執(zhí)行等等。它還影響企業(yè)控制活動的設計和執(zhí)行、信息和溝通系統(tǒng)以及監(jiān)控活動。內部環(huán)境包含很多內容,包括企業(yè)員工的道德觀和勝任能力、人員的培訓、管理者的經營模式、分配權限和職責的方式等。董事會是內部環(huán)境的一個重要組成部分,對其他內部環(huán)境的組成內容有重要的影響。而企業(yè)的管理者也是內部環(huán)境的一部分,其職責是建立企業(yè)的風險管理理念、確定企業(yè)的風險偏好,營造企業(yè)的風險文化,并將企業(yè)的風險管理和相關的行動計劃結合起來。
2.目標制定
根據(jù)企業(yè)確定的任務或預期,管理者確定企業(yè)的戰(zhàn)略目標,選擇戰(zhàn)略方案,確定相關的子目標并在企業(yè)內層層分解和落實,各子目標都應遵循企業(yè)的戰(zhàn)略方案并與戰(zhàn)略方案相聯(lián)系。
3.事項識別
管理者意識到了不確定性的存在,即管理者不能確切地知道某一事項是否會發(fā)生、何時發(fā)生或者如果發(fā)生其結果如何。作為事項識別的一部分,管理者應考慮會影響事項發(fā)生的各種企業(yè)內外部的因素。外部因素包括經濟、商業(yè)、自然環(huán)境、政治、社會和技術因素等,內部因素反映出管理者所做的選擇,包括企業(yè)的基礎設施、人員、生產過程和技術等事項。
4.風險評估
風險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估――風險發(fā)生的可能性和影響。
5.風險反應
管理者可以制定不同風險反應方案,并在風險容忍度和成本效益原則的前提下,考慮每個方案如何影響事項發(fā)生的可能性和事項對企業(yè)的影響,并設計和執(zhí)行風險反應方案。考慮各風險反應方案并選擇和執(zhí)行一個風險反應方案是企業(yè)風險管理不可分割的一部分。有效的風險管理要求管理者選擇一個可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度范圍之內的風險反應方案。
6.控制活動
控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序??刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門。控制活動是企業(yè)努力實現(xiàn)其商業(yè)目標的過程的一部分。通常包括兩個要素:確定應該做什么的一個政策和影響該政策的一系列過程。
7.信息和溝通
來自于企業(yè)內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞,以保證企業(yè)的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通,包括企業(yè)內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關的信息與企業(yè)外部相關方的有效溝通和交換,如客戶、供應商、行政管理部門和股東等。
8.監(jiān)控
對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控――持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內各管理層面和各部門持續(xù)得到執(zhí)行。