COSO全面风险管理框架2007年9月14日COSO,theCommitteeofSponsoringOrganizationsoftheTreadwayCommissionCOSO是一个自发组建的私立机构，其宗旨是通过提升商业伦理、完善内部控制和企业管治，来改善财务报告的质量。在1985年COSO成立之初，其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。美国反财务报告舞弊调查委员会是由美国的主要5家金融专业人员从业协会所组建的，包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及[美国]全国会计人员协会（现更名为管理会计协会）。该反财务报告舞弊调查委员会与所有赞助其成立的各家机构之间，相互独立，且容纳了来自于产业界、公众会计师业、投资银行以及纽约证券交易所的人士。而该委员会的主席，JamesC.Treadway,Jr.,(詹姆士-崔迪威)曾担任美国证监会的前主席，也因此其名字被广泛提及于该委员发布的理论框架中。COSO自身的发展经历了一个由内部控制框架向全面风险管理框架转变的过程，这其中经过了近20年的专业实践。COSO对于全面风险管理的定义：全面风险管理（Enterprise-wideRiskManagement,简称ERM）——一些文章也将ERM翻译为：企业风险管理。－全面风险管理是一个过程。这个过程与董事会、管理层和其他人员相互影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并进行风险管理，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。在最初的COSO内部控制框架中，其内容包括：随后，经过近20年的演变，2004年版本的COSO全面风险管理框架则如下图所示：全面风险管理的目标和要素：－战略（Strategic）：与公司发展目标相结合的较高层次的战略目标，例如购并其他公司增加市场份额；降低成本提高毛利率等。战略目标的实现可以通过全面风险管理的风险分析、风险控制的途径实现。－经营（Operation）：经济有效地使用公司资源。－报告（Reporting）：公司报告包括财务报告的可靠性。－合规（Compliance）：相关法律法规的遵循度全面风险管理的目标和要素的关系如下：–全面风险管理目标是企业努力实现的目标。全面风险管理要素是企业为实现目标所需进行的步骤。–每一个要素贯穿（cutsacross)四个目标。例如：公司内部的财务和非财务数据是“信息和交流”这一风险管理要素的一部分，这些数据将被用于战略的制定；有效地经营运作；报告的有效性和符合有关法律法规。–同样的，每一个目标也是由八个要素贯穿实现的。例如：为实现经营的有效性这一目标，八个要素的每一要素都是实现这个目标的重要步骤。COSO对于内部控制的定义：内部控制是一个过程。这个过程与董事会、管理层和其他人员相互影响。设计这个过程的目的是为了在合理的确保达到以下目标：•业务经营的效果和效率•财务报告的可靠性•对相关法律。法规的遵循度同时,•内部控制是一个过程，意味着它是一个达到目标的工具，而不是目标本身。•内部控制与人员相互影响。内部控制决不只是一套手册、表格，而是由活生生的人在不同级别所执行的活动。•只能期望内部控制对实现目标提供合理确保，而不是绝对保证。•内部控制集合在一起，以实现一个、多个或交叉的几个业务流程的目标。•尽管内部控制本身是一个过程，但其有效性却是某个时点或某几个时点的当前状态。COSO的历史演变过程：COSO中经常用到的名词：公司层面–指处于一个机构中的、最高层次的控制，它能够规定其他控制，有时能自行构成一个控制实体。依据COSO内部控制框架所进行的评估正式在公司层面进行的。流程或业务活动层面–指企业中各种各样的业务流程，在这些业务流程中，业务活动按既定程序发生，并最终反映在财务报告中。风险–指导致流程“可能出错”的因素。与风险相对应的，即是“控制目标”。管理层认定–指财务报告的目标关键控制–在减小风险时所最为倚重的控制。并非所有的控制点都是关键控制，也因此并非都需要测试。COSO的财务报告认定（控制所围绕的目标）：•存在与发生–资产、负债及所有者权益在某时点存在。记录的交易代表在一定期间内真实存在的经济事项。•完整性–在一定期间内发生的，应该予以记录的所有交易、业务活动及情况，均被记录。也因此，不应存在未被记录的资产、负债、交易，也不应有遗漏的应披露事项。•权利与义务–于资产负债表上披露的资产和负债是当时真正的权利和义务。•估价与分摊–资产、负债、收入、费用等被按照相关会计准则，以适当金额记录。•表达与披露–在财务报告中列示的项目被正确描述和分类，并被公允地表