爱华网在2003年7月,COSO发布了《企业风险管理-整合框架(征求意见稿)》,经过一年多的研究与修改,于2004年9月发布了最终文稿,标志着内部控制由此进入了拓展期。
《企业风险管理-整合框架》指出,当管理当局通过制定战略和目标,力求在增长和相关的风险之间实现最优平衡,并且在追求实现目标的过程中有效地配置资源,是公司价值得以最大化。企业风险管理包括协调风险容量与战略、增进风险应对决策、减少经营意外和损失、识别和管理多重的和贯穿于企业的风险、发现并抓住机会、改善资本配置。
根据公司既定的使命或愿景,管理当局制订战略目标、选择战略,并在公司内自上而下设置相应的目标。企业风险管理框架力求实现战略目标、经营目标、报告目标、合规目标。
企业风险管理框架在八个构成要素的基础上运行,分别是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
企业风险管理的目标是企业力图实现什么,构成要素则意味着需要什么来实现该目标。
识别一个公司的风险管理是否有效,需要对八个构成要素是否存在和有效运行做出判断,构成要素就是判定风险管理有效性的标准。构成要素如果存在并且正常运行,那么公司就可能没有重大缺陷,而风险则可能已经被控制在公司的风险容量范围之内。
《企业风险管理-整合框架》拓展了内部控制,它将内部控制框架纳入其中,公司既可以借助风险管理框架来满足内部控制的需要也可以由此进入更加全面的风险管理过程中。
