下载后可任意编辑 COSO 内部控制与企业风险管理整合框架的比较COSO 内部控制被涵盖在企业风险管理框架之内,是其不可分割的一部分
企业风险管理比内部控制更广泛,引入风险管理,拓展和细化了内部控制,形成了一个更全面、更强有力的关注风险的概念
具体看来,企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念,一个战略目标,两个概念和三个要素
即风险组合观,战略目标,风险偏好、风险容限的概念以及目标设定、事项识别、风险应对要素
正对企业风险管理的需要、风险框架要求设立一个新的部门——风险管理部,并相应设立首席风险官(CRO),全面地、集中化地推动企业风险管理
一、引入风险组合观在内部控制郑和框架的基础上,企业风险管理框架引入了风险组合观(An Entity Level Portfolio View of Risk),即在单独考虑如何事先企业各个目标的过程中,企业风险管理整合框架更看中风险因素
对企业内部而言,其风险可能落在该单位的风险容限范围内,但从企业总体来看,总风险可能会超过企业总体的风险偏好范围
因此企业风险管理要求以风险组合观看待风险,对相关的风险进行识别并实行措施使企业所承担的风险在风险偏好的范围内
二、企业风险管理整合框架中的战略目标内部控制整合框架将企业的目标分成三类,即经营目标、报告目标、合规性目标
其中经营目标、合规性目标与风险管理框架相同,但报告目标有所不同
企业风险管理整合框架中,报告被大大地拓展为企业所编制的所有报告,包括对内、对外的报告,而且内容不仅包含更加广泛的财务信息,而且包含非财务信息
另外,企业风险管理整合框架增加一大目标,即战略目标,它处于比其他目标更高的层次
战略目标来自一个企业的使命或愿景,因而经营目标、报告目标和合规性目标必须与其相协调
企业的风险管理在实现其他三类目标的时候,首先应该从企业战略目标出发
三、风险管理偏好及风险
