最近的系列解讀文章發(fā)布后，引起了眾多機(jī)構(gòu)爭相轉(zhuǎn)載，作者特將前文完善后匯總發(fā)出，方便大家參考閱讀！

2017年9月6日晚（美國時(shí)間9月6日早），全球風(fēng)險(xiǎn)管理行業(yè)翹首以盼的COSO更新版《企業(yè)風(fēng)險(xiǎn)管理框架》正式發(fā)布，距離2016年9月30日全球意見征集截止，已經(jīng)過去了將近一年的時(shí)間。在這個(gè)過程中，筆者一直和COSO主席Hirth先生保持的緊密的溝通。當(dāng)看到摘要中新框架與征求意見稿的變化如此巨大時(shí)，筆者大概理解了正式版遲遲沒有推出的原因，COSO內(nèi)部肯定經(jīng)歷了大量的討論、爭議、妥協(xié)和堅(jiān)持。

9月7日一早，筆者便拿到了COSO正式發(fā)布的《企業(yè)風(fēng)險(xiǎn)管理框架》正式版，總共201頁，這應(yīng)該是中國第一份全文正式版文件。其中附錄B中記錄了定稿這個(gè)過程中關(guān)于對1600多條反饋建議的考慮、大量的不同意見的處理以及40多場研討會，正好證實(shí)了筆者之前的猜測。

針對2016年COSO發(fā)布的征求意見稿，筆者去年12月份曾專門翻譯了其中精要并發(fā)布了征求意見稿解讀（參見前期公眾號文章）。

公眾可以在COSO的網(wǎng)站上（www.coso.org）免費(fèi)下載公開的幾個(gè)介紹文件：

1、企業(yè)風(fēng)險(xiǎn)管理框架-摘要；

2、企業(yè)風(fēng)險(xiǎn)管理框架-常見問題；

3、COSO發(fā)布正式版企業(yè)風(fēng)險(xiǎn)管理框架的新聞稿。

下面，我們就正式版《企業(yè)風(fēng)險(xiǎn)管理框架》的相關(guān)背景和主要內(nèi)容進(jìn)行分析介紹。

一、2017正式版（第二版）《企業(yè)風(fēng)險(xiǎn)管理框架》與2004年《企業(yè)風(fēng)險(xiǎn)管理-整合框架》的異同

2004版框架發(fā)布據(jù)今已有十幾年時(shí)間，這十幾年間，風(fēng)險(xiǎn)的復(fù)雜性發(fā)生了重大變化，由于新環(huán)境、新技術(shù)的不斷演變，新的風(fēng)險(xiǎn)也層出不窮。在此前提下，COSO在2014年啟動了首次對風(fēng)險(xiǎn)管理框架的修訂工作，新版本更新的內(nèi)容主要包含十大變化：

• 應(yīng)用了要素和原則的編寫結(jié)構(gòu)；

• 簡化了企業(yè)風(fēng)險(xiǎn)管理的定義；

• 強(qiáng)調(diào)了風(fēng)險(xiǎn)和價(jià)值之間的關(guān)聯(lián)性；

• 重新審視了企業(yè)風(fēng)險(xiǎn)管理整合框架所關(guān)注的焦點(diǎn)；

• 檢驗(yàn)了關(guān)于文化在風(fēng)險(xiǎn)管理工作中的定位；

• 提升了對戰(zhàn)略相關(guān)議題的研討；

• 增強(qiáng)了績效和企業(yè)風(fēng)險(xiǎn)管理工作的協(xié)同效應(yīng)；

• 體現(xiàn)了企業(yè)風(fēng)險(xiǎn)管理支持更加明確的做出決策；

• 明確了企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系；

• 優(yōu)化了風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受度的概念。

參考文章：詳解COSO-ERM十大變化，點(diǎn)擊打開

沒有變化的部分是保留了2004年出版的《企業(yè)風(fēng)險(xiǎn)管理-應(yīng)用技術(shù)》一冊，只是對《框架》一冊進(jìn)行了更新，風(fēng)險(xiǎn)管理工作者仍然可以使用2004年發(fā)行的風(fēng)險(xiǎn)管理相關(guān)工具和技術(shù)。

二、正式版與征求意見稿的異同

1、標(biāo)題

首先，正式版框架的名字與征求意見稿發(fā)生了變動，從Enterprise Risk Management Aligning with Strategy and Performance 變成了Enterprise Risk Management Integrating with Strategy and Performance, 從“Aligning”到“Integrating”，雖然只變化了一個(gè)詞，但含義大不相同，這個(gè)詞的變化直接體現(xiàn)了整個(gè)框架從征求意見稿到正式版發(fā)布的核心理念的變化，對比兩個(gè)文件的全文會發(fā)現(xiàn)，內(nèi)容變化的核心正是體現(xiàn)了從“Aligning”到“Integrating”兩個(gè)詞義的不同。

“Aligning”可以意為協(xié)同、相協(xié)調(diào)、保持一致等，表達(dá)企業(yè)風(fēng)險(xiǎn)管理工作應(yīng)該和企業(yè)戰(zhàn)略與績效相協(xié)同、相協(xié)調(diào)；

“Integrating”意為整合、集成、融為一體等，表達(dá)企業(yè)風(fēng)險(xiǎn)管理工作和企業(yè)戰(zhàn)略與績效是一個(gè)有機(jī)的、密不可分的整體；

僅僅一個(gè)詞的變化，就把企業(yè)風(fēng)險(xiǎn)管理工作進(jìn)行了重新定位，從作為一個(gè)看似獨(dú)立的工作與戰(zhàn)略和績效相協(xié)同，到拋棄自我真正融入戰(zhàn)略和績效管理的工作中去，這種變化其實(shí)恰恰能描述我們一直以來倡導(dǎo)的風(fēng)險(xiǎn)管理工作融入企業(yè)管理和業(yè)務(wù)的最佳實(shí)踐。

筆者期望可以用比較簡單形象的表達(dá)方式讓大家理解清楚其中的區(qū)別，如下圖。

2、整體框架的展現(xiàn)方式

從征求意見稿到正式版，企業(yè)風(fēng)險(xiǎn)管理框架中的要素和原則從圍繞企業(yè)戰(zhàn)略和績效，變成了貫穿融入企業(yè)戰(zhàn)略、績效和價(jià)值提升，也是對題目一詞進(jìn)行變更后，正文整體內(nèi)容變化的一個(gè)直接體現(xiàn)。

3、五大要素的變化

五大要素的變化最明顯的標(biāo)志就是“去風(fēng)險(xiǎn)化”，五大要素中的“風(fēng)險(xiǎn)”一詞均被去除，不再一味的強(qiáng)調(diào)風(fēng)險(xiǎn)視角下的企業(yè)治理及管理要素，而是直接從企業(yè)治理和管理的角度提出將風(fēng)險(xiǎn)管理內(nèi)容嵌入，為風(fēng)險(xiǎn)管理工作的真正融入治理與管理打下了基礎(chǔ)。

當(dāng)一個(gè)組織可以接受賣什么不吆喝什么的時(shí)候，它的精神境界就提升了一個(gè)層次。

另外，把“執(zhí)行中的風(fēng)險(xiǎn)”（Risk in Execution）直接改為了“績效”，理解更為直接，而且避免了“執(zhí)行中的風(fēng)險(xiǎn)”在全球不同區(qū)域的理解差異。

4、二十項(xiàng)基本原則的變化

正式版將征求意見稿中五大要素的23項(xiàng)基本原則改為了20項(xiàng)，因?yàn)樵谡髑笠庖娺^程中有意見表示23個(gè)原則太多了，并且部分內(nèi)容不太實(shí)用。所以在治理和文化中有兩條原則合并成了一條，更側(cè)重核心價(jià)值的體現(xiàn)；同時(shí)，在戰(zhàn)略和目標(biāo)設(shè)定方面，原第10和11條原則合并成為一條，即設(shè)定商業(yè)目標(biāo)；最后，在信息、交流和報(bào)告方面，利用相關(guān)信息和利用信息系統(tǒng)被合二為一，新原則更加關(guān)注信息和技術(shù)在支持企業(yè)風(fēng)險(xiǎn)管理上的應(yīng)用。

三、正式版文件的結(jié)構(gòu)和主要內(nèi)容

正文的內(nèi)容除了摘要部分，分為了第一冊（Volume I）和第二冊（VolumeII），第一部分框架部分又分三塊介紹了本框架的應(yīng)用環(huán)境、框架介紹和術(shù)語表；第二部分介紹了項(xiàng)目背景和框架修訂的方法、公共評論的總結(jié)、風(fēng)險(xiǎn)管理工作的角色和責(zé)任、風(fēng)險(xiǎn)概況圖示等。

四、主要觀點(diǎn)

1、重新定義了風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)被重新定義為：

事項(xiàng)發(fā)生并影響戰(zhàn)略和商業(yè)目標(biāo)實(shí)現(xiàn)的可能性。

對于風(fēng)險(xiǎn)的定義，非常高興得看到，由第一版只強(qiáng)調(diào)風(fēng)險(xiǎn)的“負(fù)面性”，第二版已經(jīng)將風(fēng)險(xiǎn)的范疇擴(kuò)大到了對風(fēng)險(xiǎn)的“正面”和“負(fù)面”影響兼顧。

從個(gè)人角度而言，也有感到遺憾的地方，自從2009年國際標(biāo)準(zhǔn)化組織發(fā)布 ISO31000 系列標(biāo)準(zhǔn)，國際上對風(fēng)險(xiǎn)的定義就逐步趨同，風(fēng)險(xiǎn)—不確定性對目標(biāo)的影響，況且這一標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)組織首次采納中國提出的定義，COSO此次并沒有采用此定義，而是相對保守的采用了2000年前后出現(xiàn)的典型的風(fēng)險(xiǎn)定義。

企業(yè)風(fēng)險(xiǎn)管理被定義為：

組織在創(chuàng)造、保持和實(shí)現(xiàn)價(jià)值的過程中，結(jié)合戰(zhàn)略制定和執(zhí)行，賴以進(jìn)行管理風(fēng)險(xiǎn)的文化、能力和實(shí)踐。

關(guān)于企業(yè)風(fēng)險(xiǎn)管理的定義變化最為徹底，直接拋棄了第一版的定義，將風(fēng)險(xiǎn)管理工作直接從“一個(gè)流程或程序”提升到“一種文化、能力和實(shí)踐”，用以實(shí)現(xiàn)組織創(chuàng)造、保持和實(shí)現(xiàn)價(jià)值。另外，也從定義上撇清了風(fēng)險(xiǎn)管理和內(nèi)部控制的模糊關(guān)系。

2、一個(gè)真正的“管理框架”而不再是“控制框架”

雖然第一版框架就強(qiáng)調(diào)對利益相關(guān)方價(jià)值的創(chuàng)造，但是從內(nèi)容上講還是一個(gè)被放大了的“控制框架”，無法直接為價(jià)值創(chuàng)造服務(wù)，只能間接支持價(jià)值創(chuàng)造活動。

新的框架從企業(yè)使命、愿景和核心價(jià)值出發(fā)，定位的宗旨為提升主體的價(jià)值和業(yè)績，強(qiáng)調(diào)嵌入企業(yè)管理業(yè)務(wù)活動和核心價(jià)值鏈，從主要的要素和內(nèi)容看也進(jìn)行了翻天覆地的變化，從而使得一個(gè)嶄新的“管理框架”誕生，這種視角是一種新型的企業(yè)管理視角，對企業(yè)管理界來說是一場理念的變革。如果說在原有“控制框架”下，會計(jì)師事務(wù)所可以在實(shí)施內(nèi)部控制框架的基礎(chǔ)上，協(xié)助企業(yè)加強(qiáng)風(fēng)險(xiǎn)管理工作，但新的“管理框架”更像是企業(yè)決策者或企業(yè)管理咨詢顧問關(guān)心的范疇。

近年來，基于風(fēng)險(xiǎn)導(dǎo)向的管理理念逐漸興起，企業(yè)管理領(lǐng)域中常見的公司治理、企業(yè)文化、戰(zhàn)略管理、卓越績效、危機(jī)管理、高效溝通等都可以應(yīng)用此套框架實(shí)現(xiàn)更好的標(biāo)準(zhǔn)化和科學(xué)化，因?yàn)榛陲L(fēng)險(xiǎn)的管理理念將成為主流并滲透到企業(yè)管理的各個(gè)方面。

3、更廣泛的主體適用性

正式版發(fā)布日期之所以一推再推，COSO Hirth主席向筆者解釋了其中一個(gè)原因，雖然框架名為《企業(yè)風(fēng)險(xiǎn)管理》，但COSO希望這個(gè)框架可以適用于任何類型、任何規(guī)模的組織，包括盈利機(jī)構(gòu)、非盈利機(jī)構(gòu)、政府部門等。

所以COSO期望的主體適用性已經(jīng)從企業(yè)面向了各類型的主體，這一點(diǎn)也可以從正文部分的描述中看出，有些內(nèi)容中故意回避了“企業(yè)”一詞來顯示了對不同主體本框架的包容性。

理論上來講，只要一個(gè)主體有明確的愿景、使命和核心價(jià)值觀，設(shè)定了所要期望達(dá)到的目標(biāo)，風(fēng)險(xiǎn)管理框架就具備了被實(shí)施的條件。

但是目前關(guān)于非盈利機(jī)構(gòu)、政府部門等實(shí)施風(fēng)險(xiǎn)管理框架還是一個(gè)新的領(lǐng)域，我們也非常期待這些領(lǐng)域的最佳實(shí)踐的出現(xiàn)。

筆者曾協(xié)助中國部分政府部門設(shè)計(jì)和實(shí)施部分風(fēng)險(xiǎn)的應(yīng)對方案，借助此框架的頒布協(xié)助政府部門設(shè)計(jì)一套完善的風(fēng)險(xiǎn)管理體系也許是下一步可以探討和嘗試的領(lǐng)域。

4、關(guān)于風(fēng)險(xiǎn)管理的局限性

了解COSO 1992年、2004年發(fā)布的內(nèi)部控制框架和企業(yè)風(fēng)險(xiǎn)管理框架的人都應(yīng)該清楚，兩個(gè)框架均列示了企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理工作的局限性，而且這兩個(gè)框架的局限性基本一致，這也在另外一個(gè)角度印證了2004年版的企業(yè)風(fēng)險(xiǎn)管理框架還是一個(gè)大內(nèi)控的“控制框架”。

新版本的框架中刪除了對于風(fēng)險(xiǎn)管理局限性的章節(jié)，作為一套“管理體系”而非“控制體系”，突破原來的局限性是不言自明的。

5、關(guān)于風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系

在正式版新框架中，自然無法繞開關(guān)于風(fēng)險(xiǎn)管理和內(nèi)部控制關(guān)系的解釋，在第一冊框架應(yīng)用環(huán)境中，第一部分內(nèi)容中就描述了風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系：“內(nèi)部控制主要聚焦在主體的運(yùn)營和對于相關(guān)法律法規(guī)的遵從性上?！?“企業(yè)風(fēng)險(xiǎn)管理的相關(guān)概念并沒有包含在內(nèi)部控制中（例如，風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)承受度、戰(zhàn)略和目標(biāo)設(shè)定等概念，這些都是內(nèi)部控制體系實(shí)施的前提條件）”。

為了避免重復(fù)，一些在內(nèi)部控制中比較常見的概念部分，風(fēng)險(xiǎn)管理新框架并未重復(fù)敘述（例如，與財(cái)務(wù)報(bào)告目標(biāo)相關(guān)的舞弊風(fēng)險(xiǎn)、與合規(guī)目標(biāo)相關(guān)的控制活動、與運(yùn)營目標(biāo)相關(guān)的持續(xù)及獨(dú)立評估）。然而，一些在內(nèi)部控制中概念在本框架中被進(jìn)一步的研究和深化了（例如，企業(yè)風(fēng)險(xiǎn)管理中的治理和文化部分）。

在COSO公布的《常見問題》解釋上，COSO表明兩個(gè)體系并不是相互代替或取代，而是側(cè)重點(diǎn)各不相同相互補(bǔ)充的作用，但同時(shí)也強(qiáng)調(diào)了內(nèi)部控制作為一種經(jīng)歷時(shí)間考驗(yàn)的企業(yè)控制體系，是企業(yè)風(fēng)險(xiǎn)管理工作的一個(gè)基礎(chǔ)和組成部分。

在歷史上，COSO在表述兩個(gè)體系的關(guān)系時(shí)有時(shí)曖昧、有時(shí)清晰，這樣算是現(xiàn)階段給兩個(gè)體系的關(guān)系做了個(gè)“了斷”，隨著新框架在企業(yè)的實(shí)施，相信二者的關(guān)系和界限會越來越清晰。

6、關(guān)于是否強(qiáng)制實(shí)施

實(shí)施風(fēng)險(xiǎn)管理工作目的是為股東和利益相關(guān)方創(chuàng)造、保持和實(shí)現(xiàn)價(jià)值，這些并不能通過外部監(jiān)管機(jī)構(gòu)通過強(qiáng)制的方式來執(zhí)行，所有需要監(jiān)管機(jī)構(gòu)強(qiáng)制要求的工作都是控制類而非價(jià)值創(chuàng)造類。所以各類主體的利益相關(guān)方需要明確實(shí)施風(fēng)險(xiǎn)管理工作并不是滿足監(jiān)管和合規(guī)要求，真正的目的是為了實(shí)現(xiàn)價(jià)值和達(dá)成業(yè)績，支持主體使命、愿景和核心價(jià)值的實(shí)現(xiàn)，這是為了滿足更高層次的訴求。

五、關(guān)于中文版出版

Hirth主席向筆者介紹了和中國財(cái)政部在2013年《內(nèi)部控制框架》引進(jìn)方面的合作，并表示前期與財(cái)政部已達(dá)成意向由中國財(cái)政部引進(jìn)新版《企業(yè)風(fēng)險(xiǎn)管理框架》，并希望筆者可以在中文版引進(jìn)的過程中與COSO及中國財(cái)政部加強(qiáng)溝通，并給予必要的協(xié)助！筆者希望推動中文版盡早發(fā)布，與中國眾多企業(yè)管理者、風(fēng)險(xiǎn)管理從業(yè)者和研究人員共饗！

延伸干貨閱讀：

2016年COSO企業(yè)風(fēng)險(xiǎn)管理框架（征求意見稿）全面解讀 - 作者：孫友文

由于正式版框架部分內(nèi)容和2016年發(fā)布的征求意見稿一致，原作者去年撰寫的征求意見稿中部分解讀仍非常具有參考意義，特引述至此，方便大家參閱！

2016年6月，美國反欺詐財(cái)務(wù)報(bào)告委員會（The Committee of Sponsoring Organizations ofthe Treadway Commission, COSO）發(fā)布了新版企業(yè)風(fēng)險(xiǎn)管理框架“企業(yè)風(fēng)險(xiǎn)管理-與戰(zhàn)略和績效協(xié)同一致”（EnterpriseRisk Management- Aligning risk with strategy and performance）征求意見稿，這是繼2004年COSO正式公布企業(yè)風(fēng)險(xiǎn)管理框架（EnterpriseRisk Management Framework, ERM）以來第一次對ERM框架進(jìn)行修訂和完善，更確切的說是對ERM框架大刀闊斧的進(jìn)行了重新構(gòu)思和設(shè)計(jì)。

新版ERM框架已經(jīng)于2016年9月30日截止全球范圍內(nèi)收集反饋意見，并計(jì)劃于2016年底或2017年第一季度正式公布。

一、新版ERM框架出臺的背景

眾所周知，在企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制理論研究領(lǐng)域，COSO組織有著舉足輕重的位置，從1992年出版企業(yè)內(nèi)部控制整合框架（InternalControl- Integrated Framework）以來，作為在美上市公司內(nèi)控體系建設(shè)的指導(dǎo)框架，不僅得到了美國證監(jiān)會的推薦和認(rèn)可，而且在全球范圍內(nèi)被眾多國家相關(guān)企業(yè)和上市公司監(jiān)管機(jī)構(gòu)采用和推廣，如中國財(cái)政部2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》即采用了COSO組織1992年發(fā)布的內(nèi)部控制框架要素和內(nèi)容。

2000年以來，企業(yè)界在實(shí)施了十來年內(nèi)部控制框架之后，發(fā)現(xiàn)即便建立了完善的內(nèi)部控制體系，仍然會出現(xiàn)企業(yè)倒閉、破產(chǎn)、經(jīng)營失敗或預(yù)期不達(dá)標(biāo)等風(fēng)險(xiǎn)損失案例，所以COSO組織開始從更高的一個(gè)角度來思考企業(yè)的管理活動以及內(nèi)部控制體系的局限性。內(nèi)部控制體系確實(shí)對實(shí)現(xiàn)財(cái)務(wù)報(bào)告的可靠性和有效性提供了合理的保障（從實(shí)踐經(jīng)驗(yàn)看，內(nèi)部控制體系的建立對經(jīng)營和合規(guī)兩個(gè)目標(biāo)的支持力度并沒有像財(cái)務(wù)目標(biāo)那樣得到很好的體現(xiàn)），但是企業(yè)需要從整合風(fēng)險(xiǎn)管理的角度為企業(yè)創(chuàng)造價(jià)值并合理保障公司戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。

COSO組織對ERM框架的初衷和定位是正確的，但在起草ERM框架時(shí)采用了在COSO內(nèi)部控制框架的基礎(chǔ)上進(jìn)行升級和擴(kuò)充的做法，這直接導(dǎo)致了兩個(gè)理論框架雖然愿景和目標(biāo)各不相同，但內(nèi)容的重合度非常高。我回顧過去這些年企業(yè)在實(shí)踐這兩個(gè)理論體系時(shí)出現(xiàn)的種種說法，如“內(nèi)部控制就是風(fēng)險(xiǎn)管理”、“風(fēng)險(xiǎn)管理就是內(nèi)部控制”、“風(fēng)險(xiǎn)管理是“大內(nèi)控””等，在當(dāng)時(shí)發(fā)布起草ERM框架時(shí)就埋下了隱患。

圖1：內(nèi)部控制框架和企業(yè)風(fēng)險(xiǎn)管理框架

2014年，COSO組織開始著手對ERM框架的升級換代，用其自身的闡述，原因在于過去十年間外部環(huán)境的復(fù)雜變化，利益相關(guān)方更加關(guān)心風(fēng)險(xiǎn)管理對企業(yè)價(jià)值的創(chuàng)造，尤其是在戰(zhàn)略的制定和執(zhí)行中風(fēng)險(xiǎn)管理價(jià)值的體現(xiàn)，以及增強(qiáng)風(fēng)險(xiǎn)管理和企業(yè)績效之間的協(xié)同關(guān)系。想必COSO組織也非常清楚過去十年間關(guān)于內(nèi)部控制和風(fēng)險(xiǎn)管理之間關(guān)系的爭論和對企業(yè)實(shí)際開展工作造成的影響，只好痛定思痛，著眼于未來了，這一點(diǎn)從新版的ERM框架中可以看出來。COSO組織對新版ERM框架進(jìn)行了顛覆性的變化，起碼從表面上來看，沒有一點(diǎn)從前的影子了，看來是有意和內(nèi)控及2004版風(fēng)險(xiǎn)管理劃清界限，結(jié)束這十年來的兩者的糾葛和紛爭。

圖2：COSO新版企業(yè)風(fēng)險(xiǎn)管理框架

很多從事和熟悉風(fēng)險(xiǎn)管理工作的人，對ERM新框架一開始的感覺都是陌生和不適應(yīng)，我在第一時(shí)間就拿到了征求意見稿，將其發(fā)送給國內(nèi)權(quán)威專家參考時(shí)，部分專家也提出“這是對歷史的一種背叛”、“新框架太荒唐”等批判性的反饋意見。我理解這是人們對于熟悉環(huán)境的突然變化出現(xiàn)的抵觸心理，待各位專家平復(fù)心情仔細(xì)研讀后，還是非?？隙ㄐ驴蚣茏龀龅挠赂易兓皩︼L(fēng)險(xiǎn)管理工作的重新定位。

二、新版ERM框架和舊框架的區(qū)別與聯(lián)系

1、新框架采用了國際文件慣用的要素加原則的結(jié)構(gòu)（Components and Principals）

新版框架使用了構(gòu)成元素+原則的結(jié)構(gòu)，包括5個(gè)構(gòu)成元素，細(xì)分為23條原則。2013年COSO組織更新了企業(yè)內(nèi)部控制框架的部分內(nèi)容，在文章的整體結(jié)構(gòu)上就是采用的這種結(jié)構(gòu)，新的結(jié)構(gòu)加強(qiáng)了新框架的可讀性、可用性和一致性。

2、修訂了風(fēng)險(xiǎn)的定義

舊版框架中對風(fēng)險(xiǎn)的定義為：

風(fēng)險(xiǎn)是一個(gè)事項(xiàng)將會發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來負(fù)面影響的可能性。

新版框架對風(fēng)險(xiǎn)的定義為：

事項(xiàng)發(fā)生并影響戰(zhàn)略和商業(yè)目標(biāo)實(shí)現(xiàn)的可能性。

可以看到，舊定義只強(qiáng)調(diào)了負(fù)面影響，而新定義的主要改動是兼顧了正面和負(fù)面的影響。這和國際風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)ISO 31000及中國風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)GB-T24353是一致的，中國早在2006年國務(wù)院國資委發(fā)布的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》文件中對這種認(rèn)識就有體現(xiàn)。

3、簡化和重新定義了ERM

同時(shí)我們還可以比較ERM的定義。舊版框架對ERM的定義為：

ERM是一個(gè)過程，它由一個(gè)主體的董事會、管理層和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)。并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證。

而新版框架對ERM的定義為：

組織在創(chuàng)造、保持和實(shí)現(xiàn)價(jià)值的過程中，結(jié)合戰(zhàn)略制定和執(zhí)行，賴以進(jìn)行管理風(fēng)險(xiǎn)的文化、能力和實(shí)踐。

可以看到，新版框架簡化了對ERM的定義以方便閱讀和記憶。新定義方便所有讀者的理解，而不只是風(fēng)險(xiǎn)管理從業(yè)者，新定義包括文化和能力而不只是過程，更加強(qiáng)調(diào)風(fēng)險(xiǎn)與價(jià)值的相結(jié)合，突出價(jià)值創(chuàng)造而不只是防止損失，這樣也避免了和內(nèi)部控制定義的界限不清。

4、強(qiáng)調(diào)風(fēng)險(xiǎn)與價(jià)值的關(guān)系

新版框架中，ERM被視為戰(zhàn)略制定的重要組成和識別機(jī)遇、創(chuàng)造和保留價(jià)值的必要部分。新版框架中ERM不再是主體的一個(gè)額外的或是單獨(dú)的活動，而是融入主體的戰(zhàn)略和運(yùn)營當(dāng)中的有機(jī)部分。

5、真正定位了風(fēng)險(xiǎn)管理與戰(zhàn)略的協(xié)同作用

新版框架注意到了自舊版框架發(fā)布以來，組織在實(shí)踐ERM過程中遇到的一些問題，包括對風(fēng)險(xiǎn)管理工作的定位，風(fēng)險(xiǎn)管理工作的范圍和目標(biāo)等，新版框架定義了風(fēng)險(xiǎn)管理工作的高度，包括：戰(zhàn)略和業(yè)務(wù)目標(biāo)與使命、愿景和價(jià)值觀不匹配的可能性；選定的戰(zhàn)略所隱含的意義；執(zhí)行戰(zhàn)略過程中的風(fēng)險(xiǎn)。

6、重新定義了風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受度

舊版框架中，風(fēng)險(xiǎn)承受度（Risk Tolerance）只是量化的、更細(xì)化的風(fēng)險(xiǎn)偏好（Risk Appetite）。新版本中，風(fēng)險(xiǎn)偏好基本保留了原來的定義，即主體在追求戰(zhàn)略和業(yè)務(wù)目標(biāo)的過程中愿意承受的風(fēng)險(xiǎn)量，而將風(fēng)險(xiǎn)承受度重新確定為可接受的績效變動區(qū)間（Accepted Variation in Performance），新的定義更加明確和可度量，有助于組織在給定績效目標(biāo)下計(jì)算可以承受的風(fēng)險(xiǎn)邊界。

三、新版ERM框架主要內(nèi)容解讀

新版ERM框架的五要素和23個(gè)原則

圖3：新版框架五要素和23條原則

風(fēng)險(xiǎn)治理和文化

風(fēng)險(xiǎn)治理和文化組成了ERM所有其他部分的基礎(chǔ)。風(fēng)險(xiǎn)治理定下主體的基本基調(diào)，加強(qiáng)ERM的重要性并確立ERM的監(jiān)管責(zé)任的分配；文化則是主體的價(jià)值觀、行為準(zhǔn)則和對風(fēng)險(xiǎn)的理解。

圖4：風(fēng)險(xiǎn)光譜

風(fēng)險(xiǎn)、戰(zhàn)略和目標(biāo)設(shè)定

ERM通過制定戰(zhàn)略和業(yè)務(wù)目標(biāo)的過程與主體的戰(zhàn)略計(jì)劃融合在一起。通過對商業(yè)環(huán)境的理解，組織可以得到對內(nèi)在和外在因素的看法以及它們對風(fēng)險(xiǎn)的影響。組織在戰(zhàn)略制定中確定其風(fēng)險(xiǎn)偏好，而業(yè)務(wù)目標(biāo)使得戰(zhàn)略得以實(shí)踐并形成主體日常的運(yùn)營。

執(zhí)行中的風(fēng)險(xiǎn)

組織識別并評估可能影響其實(shí)現(xiàn)戰(zhàn)略和業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)，結(jié)合企業(yè)的風(fēng)險(xiǎn)偏好，對風(fēng)險(xiǎn)按照其嚴(yán)重程度排分優(yōu)先次序，組織選擇風(fēng)險(xiǎn)應(yīng)對的方法并對績效進(jìn)行監(jiān)控以做出調(diào)整。這樣，企業(yè)對追求戰(zhàn)略和業(yè)務(wù)目標(biāo)時(shí)所面臨的風(fēng)險(xiǎn)量建立起一個(gè)組合的觀念。

圖5：風(fēng)險(xiǎn)熱力圖

風(fēng)險(xiǎn)信息、溝通和報(bào)告

溝通是在主體中不斷迭代地取得并分享信息的過程。管理層利用從內(nèi)部和外部取得的有效信息來支持企業(yè)風(fēng)險(xiǎn)管理工作，組織利用信息系統(tǒng)來捕捉、處理和管理數(shù)據(jù)和信息。通過利用應(yīng)用于所有組成部分的信息，組織就風(fēng)險(xiǎn)、文化和績效做出報(bào)告。

監(jiān)控ERM效果

通過監(jiān)控ERM的效果，組織可以判斷ERM的各組成部分的長期運(yùn)作是否良好并獲知有哪些實(shí)質(zhì)性的變化。

四、重點(diǎn)內(nèi)容—風(fēng)險(xiǎn)績效曲線介紹

新版框架中數(shù)十次出現(xiàn)了一個(gè)新提出的曲線—風(fēng)險(xiǎn)績效曲線，提出了將風(fēng)險(xiǎn)與績效相結(jié)合并給出了圖形化的解釋。單個(gè)的風(fēng)險(xiǎn)和績效并不總是一一相關(guān)的，但是整體的風(fēng)險(xiǎn)與績效是相關(guān)的。為了提供相關(guān)指導(dǎo)，新版框架對風(fēng)險(xiǎn)和績效的關(guān)系提供了圖形化的表達(dá)和示例。為了完成對風(fēng)險(xiǎn)輪廓的描述，組織需要理解下面內(nèi)容：戰(zhàn)略和業(yè)務(wù)目標(biāo)、績效目標(biāo)和可接受的浮動范圍、風(fēng)險(xiǎn)承受能力和風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)對達(dá)成戰(zhàn)略和業(yè)務(wù)目標(biāo)的影響程度。

如下圖中所示，橫坐標(biāo)代表績效，縱坐標(biāo)代表組織所承受的風(fēng)險(xiǎn)。圖中的藍(lán)色曲線代表風(fēng)險(xiǎn)-績效曲線，即風(fēng)險(xiǎn)總體上隨著績效的升高而升高。紅色水平線條表示組織確定的風(fēng)險(xiǎn)容限，而紫色垂直線條表示組織的績效目標(biāo)。可以看到，c點(diǎn)表示目標(biāo)績效下組織所承受的風(fēng)險(xiǎn)，c點(diǎn)到a點(diǎn)的距離則代表實(shí)際風(fēng)險(xiǎn)與風(fēng)險(xiǎn)容限的差距，距離越短，表示企業(yè)的風(fēng)險(xiǎn)偏好越激進(jìn)。而b點(diǎn)代表達(dá)到100%風(fēng)險(xiǎn)容限時(shí)，組織所能達(dá)成的最大績效，但這也意味著組織承擔(dān)的風(fēng)險(xiǎn)總量已經(jīng)處于飽和狀態(tài)。

圖6：風(fēng)險(xiǎn)績效曲線

可以看出，風(fēng)險(xiǎn)績效曲線是新版框架的創(chuàng)新，它成功地將風(fēng)險(xiǎn)、風(fēng)險(xiǎn)偏好、績效、目標(biāo)績效、績效偏差等概念的關(guān)系用圖形的方式展現(xiàn)出來，簡單形象，方便理解。此示意圖是風(fēng)險(xiǎn)-績效曲線的最基本的一張圖，在新版框架的附錄中還有更詳盡的解釋。

但是，我們需要注意，風(fēng)險(xiǎn)績效曲線試圖將風(fēng)險(xiǎn)和績效進(jìn)行量化對比，在實(shí)際操作中有一定的難度。目標(biāo)績效雖然容易設(shè)置（通過收入、收益率、利潤、市場占有率等確定），但是風(fēng)險(xiǎn)如何加總量化是一個(gè)復(fù)雜的問題。除此之外，示意圖中風(fēng)險(xiǎn)與績效的關(guān)系是一條平滑的曲線，但是實(shí)際情況是，風(fēng)險(xiǎn)和績效的關(guān)系不會如此單純，所以如果沒有數(shù)據(jù)積累和大量分析，精確繪制這條實(shí)際的藍(lán)色曲線是非常困難的。筆者曾經(jīng)帶領(lǐng)團(tuán)隊(duì)試圖從一個(gè)項(xiàng)目風(fēng)險(xiǎn)評估中繪制風(fēng)險(xiǎn)績效曲線，但碰到的障礙很多，希望COSO在正式發(fā)布ERM框架時(shí)，可以給出更具操作性的指導(dǎo)。

五、幾點(diǎn)探討及觀點(diǎn)

1、更好的區(qū)分風(fēng)險(xiǎn)管理和內(nèi)部控制的邊界

本文背景介紹中已經(jīng)對風(fēng)險(xiǎn)管理和內(nèi)部控制的情況作了簡單介紹，在企業(yè)風(fēng)險(xiǎn)管理體系和內(nèi)部控制體系建設(shè)方面，中國企業(yè)積累的經(jīng)驗(yàn)在全球范圍內(nèi)獨(dú)樹一幟，源于過去十幾年中國企業(yè)走過的坎坷之路。

2006年，國務(wù)院國資委發(fā)布《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，開啟了中國企業(yè)尤其是中央和地方國有企業(yè)建設(shè)全面風(fēng)險(xiǎn)管理體系的浪潮，在國務(wù)院國資委的推動下，絕大多數(shù)中央企業(yè)幾年內(nèi)建立起了全面風(fēng)險(xiǎn)管理體系。

2008年，財(cái)政部發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，要求大中型企業(yè)尤其是上市公司建立健全企業(yè)內(nèi)部控制體系，2013年，這些要求又在中央企業(yè)推廣和落實(shí)。

對于部分企業(yè)來說，無論是企業(yè)風(fēng)險(xiǎn)管理還是內(nèi)部控制都屬于新生事物，這兩個(gè)體系從兩個(gè)國家部委的角度一前一后進(jìn)行要求和推廣，很多企業(yè)感到迷惑，不知道如何處理這兩個(gè)體系以及這兩個(gè)體系和企業(yè)管理之間的關(guān)系，造成了一定的管理混亂和資源重復(fù)投入，這些問題從最開始理論框架的設(shè)計(jì)上確實(shí)沒有劃分清晰的界限。

對于風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系，2013年COSO發(fā)布的內(nèi)部控制框架更新版文件附錄中提出，企業(yè)風(fēng)險(xiǎn)管理是企業(yè)治理中的組成部分，企業(yè)內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理中的組成部分，從中國理論和實(shí)踐經(jīng)驗(yàn)看，大部分專家還是比較認(rèn)可這種關(guān)系界定。

圖7：風(fēng)險(xiǎn)管理和內(nèi)部控制關(guān)系圖

此次ERM新框架中，對于風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系也做了進(jìn)一步的闡述，新框架中有意規(guī)避了舊框架中對于控制活動的描述，把控制活動的內(nèi)容留給了內(nèi)部控制體系，而突出了風(fēng)險(xiǎn)的治理和文化的內(nèi)容，以及強(qiáng)調(diào)和戰(zhàn)略及績效的關(guān)系，算是給兩個(gè)體系“分家”做了個(gè)“了斷”，關(guān)于兩者的關(guān)系比較及經(jīng)驗(yàn)總結(jié)限于篇幅，此處不再展開。

期待COSO公布正式版之后，實(shí)踐界可以盡快研究如何應(yīng)用，盡快形成企業(yè)風(fēng)險(xiǎn)管理體系建設(shè)的行業(yè)最佳實(shí)踐。

2、推動風(fēng)險(xiǎn)管理更好的和企業(yè)管理的融合

真正的風(fēng)險(xiǎn)管理工作是要支持管理決策的，而不僅僅是建立內(nèi)部控制制度和流程，雖然COSO新版的ERM框架已經(jīng)開始回到“正軌”，國際上某些一流的鋒線管理咨詢公司多年前為客戶提供的風(fēng)險(xiǎn)管理方法論就是為企業(yè)的戰(zhàn)略和管理決策提供支持，將風(fēng)險(xiǎn)管理工作融入管理決策的各個(gè)流程環(huán)節(jié)中，我們一直認(rèn)為這是風(fēng)險(xiǎn)管理的真正價(jià)值所在。

3、關(guān)于新框架正式版和中文版發(fā)布

筆者聯(lián)系了COSO委員會的主席RobertHirth 先生，表達(dá)了翻譯ERM新框架的中文版的愿望，Hirth先生表示中國財(cái)政部前期已經(jīng)在接觸，如果最后沒有成行，會和我們聯(lián)系中文版翻譯出版事宜，預(yù)計(jì)中文版會比英文版稍晚發(fā)布。

獲取更多權(quán)威解讀，請查看風(fēng)險(xiǎn)管理世界公眾號歷史文章！