第五章主要内容COSO是全国虚假财务报告委员会下属的发起人委员会（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文缩写。1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制—整合框架》，简称COSO报告，1994年进行了增补。2004年颁布《企业风险管理框架—整合框架》。内部控制是“由一个董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性，经营的效果和效率，符合适用的法律和法规”。具体由控制环境、风险评估、控制活动、信息与沟通、监控五部分构成。——COSO国际上引用最普遍的、是由美国风险管理与内部控制方面的权威机构COSO给出的界定：ERM是一个实体的董事会、管理层和其他员工实施、适用于战略制订和整个组织范围的程序(process)；该程序用于识别可能影响该实体的事件，管理风险使之处于其偏好范围之内，并为实体目标的实现提供合理的保证。这是一个非常宽泛的界定，它囊括了所有的风险，适用于包括企业在内的各种类型的社会组织。COSO希望藉此为有关ERM的讨论提供一个统一的框架。COSO-1992《内部控制-整合框架》2002-《萨班斯-奥科萨利法案》COSO-2004《企业风险管理-整合框架》案例1：巴林银行的倒闭巴林银行倒闭的原因案例2：安然公司的崩溃安然为何突然破产内部审计学一、风险的定义企业失败的六种常见风险二、风险管理三、企业风险管理的八大要素三、企业风险管理的八大要素三、企业风险管理的八大要素三、企业风险管理的八大要素三、企业风险管理的八大要素三、企业风险管理的八大要素事件辨认——事件的发生对企业可能带来正面或负面的影响，识别这些事件，区分风险和机会，并将机会反馈到管理层的战略和目标制定过程中。影响企业目标实现的事件包括内部和外部两类。——外部因素：经济环境、自然环境、政治社会环境等——内部因素：企业的基础设施、人事、程序和技术等。事件的识别方法有很多种，常见的有：事件汇总列表法、小组讨论法等。三、企业风险管理的八大要素风险评估企业应对辨识出的事件进行评估，通过对考虑事件带来风险的可能性和影响程度进行分析和评估，并以此作为决定如何进行管理的依据。风险评估同时使用定性分析和定量分析两种方法，来评估潜在事项的不确定性程度。三、企业风险管理的八大要素风险回应当管理层对相关风险进行评估之后，其必须考虑可能采取的风险回应方式及其影响，为了达到有效的风险管理效果，所选择的风险回应方式不能超出企业所能承受的风险范围。风险回应的方式主要有：风险回避、风险承担、风险降低或者风险分担等。风险回避：是指在完成项目风险分析与评价后，如果发现项目风险发生的概率很高，而且可能的损失也很大，又没有其他有效的对策来降低风险时，应采取放弃项目、放弃原有计划或改变目标等方法，使其不发生或不再发展，从而避免可能产生的潜在损失。内部审计学三、企业风险管理的八大要素控制活动制定和执行政策与程序以帮助确保风险应对措施得以有效实施控制活动类型多样，包括预防性控制、发现性控制、手工控制。计算机控制和管理控制等。信息系统控制●一般控制——对IT管理架构、软件的购置与维修、资料存取的安全等●应用控制——确保咨询处理的完整、正确及有效。三、企业风险管理的八大要素信息与沟通信息包括业务信息和财务信息，可以是正式也可以是非正式的。信息有助于企业把握风险和机会，可以确保员工履行职责的的方式和时机。有效的沟通含义较广泛，包括信息在企业的向下、向上和平行流动。有效的沟通可以确保员工认识到企业全面风险管理的重要性和适当性，明确每一个职员在执行和支持企业风险管理中的职责，从而确保企业战略目标的实现。三、企业风险管理的八大要素监督全面风险管理是不断变化的过程，会随内外部环境的变化而变化，因此需要对企业风险管理进行全面的监督。监督的方式包括持续监督和个别监督。——持续监督建立在经营活动中，能随时不断进行；——个别监督在事实发生之后进行。企业风险管理并不是一个严格的顺次过程，其是一个多方向、反复的相互关联的程序，几乎每一个构成要素都能够也的确会影响其他构成要素。内部环境包括组织的风险管理理念、偏好、道德观及组织运营的环境，它是塑造组织ERM的重要因素，同时又受ERM运行实践的影响。目标设定、事件识别、风险评估、风险回应和