COSO 达信：深度解读COSO新版企业风险管理框架（ERM）

2016年6月，COSO胎面委员会赞助组织委员会发布了新版企业风险管理框架草案"企业风险管理----将风险与战略和业绩挂钩"。这是自2004年COSO正式宣布机构风险管理框架以来，机构风险管理框架首次得到修订和改进。更准确地说，机构风险管理框架已经过彻底的重新设计和设计。

截至2016年9月30日，新的企业风险管理框架已经收集了全球反馈，并计划在2017年第一季度正式宣布。

1.新的机构风险管理框架的背景

众所周知，COSO在企业风险管理和内部控制理论研究领域发挥着重要作用。自1992年《内部控制-综合框架》公布以来，COSO作为美国上市公司内部控制制度建设的指导框架，不仅得到了美国证监会的认可，而且被世界上许多国家的相关企业和上市公司的监管机构所采纳和推广。例如，中国财政部2008年发布的《企业内部控制基本准则》采用了COSO 1992年发布的内部控制框架的要素和内容。

自2000年以来，在实施内部控制框架十多年后，企业界发现，即使建立了完善的内部控制体系，仍然会出现企业倒闭、破产、经营失败或未能达到预期等风险和损失的情况。因此，COSO开始从更高的角度思考企业的管理活动和内部控制制度的局限性。

内部控制制度确实为财务报告的可靠性和有效性提供了合理的保证(从实践经验来看，内部控制制度的建立并不支持经营和合规两个目标以及财务目标)，但企业需要从综合风险管理的角度为企业创造价值，合理保证公司战略目标的实现。

COSO组织对企业风险管理框架的初衷和定位是正确的，但在起草企业风险管理框架时，采用了在COSO内部控制框架的基础上升级和扩展的方法，这直接导致了两个理论框架之间的高度重叠，尽管它们的愿景和目标不同。回顾过去几年企业实践这两个理论体系的各种说法，“内部控制就是风险管理”，“风险管理就是内部控制”，“风险管理就是大内部控制”

图1:内部控制框架和企业风险管理框架

2014年，由于过去十年外部环境的复杂变化，COSO开始升级自身解释的企业风险管理框架，利益相关者更加关注风险管理对企业价值的创造，特别是风险管理价值在战略制定和实施中的体现，增强了风险管理与企业绩效的协同作用。

想必，COSO组织也非常清楚过去十年关于内部控制和风险管理之间关系的争论及其对企业实际工作的影响，因此它必须吸取痛苦的经验教训，着眼于未来，这可以从新的企业风险管理框架中看出。COSO对新的机构风险管理框架进行了颠覆性的修改。表面上看，至少没有过去的影子。似乎是有意要和2004年的内控和风险管理划清界限，结束这十年来两者之间的纠缠和纷争。

图2: COSO新企业风险管理框架

许多从事和熟悉风险管理工作的人在开始时对新的机构风险管理框架不熟悉，也不舒服。在咨询稿首次送国内权威专家参考时，也有专家提出“这是对历史的背叛”、“新框架太荒谬”等批评性反馈意见。但是，这是人对环境熟悉程度突然变化的抗拒。经过专家的仔细研究，他们对新框架做出的勇敢改变和风险管理工作的准确定位非常有把握。

2.新的机构风险管理框架和旧框架之间的区别和联系

1.新框架采用了国际文件中常用的要素和原则的结构

新版框架采用构成要素+原则的结构，包括5个构成要素，细分为23个原则。2013年，COSO更新了企业内部控制框架的一部分，在张文的整体结构中采用。新结构增强了新框架的可读性、可用性和一致性。

2.修订了风险的定义

旧框架中风险的定义是:

风险是事件发生并对目标实现产生负面影响的可能性。

新框架中风险的定义是:

事件发生并影响战略和业务目标实现的可能性。

可以看出，旧定义只强调了负面影响，而新定义的主要变化兼顾了正面和负面影响，这与国际风险管理标准ISO 31000和中国风险管理标准GB-T 24353是一致的。这一认识体现在2006年国务院国有资产监督管理委员会发布的文件《中央企业全面风险管理指引》中。

3.简化并重新定义企业风险管理

同时可以对比一下ERM的定义。

旧框架中机构风险管理的定义是:

企业风险管理是一个过程，由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿整个企业，旨在识别可能影响主体的潜在事项，并管理风险，使其处于主体的风险能力范围内。并为主要目标的实现提供合理的保障。

新框架将机构风险管理定义为:

一个组织在创造、保持和实现价值的过程中进行风险管理所依赖的文化、能力和实践，它与战略的制定和实施相结合。

可见，新框架简化了ERM的定义，便于阅读和记忆。新定义方便所有读者理解，不仅仅是风险管理从业者。新的定义包括文化和能力，而不仅仅是过程。它强调风险和价值的结合，强调价值创造，而不仅仅是防止损失，从而避免了与内部控制定义的界限不清。

4.强调风险和价值之间的关系

在新框架中，机构风险管理被视为战略制定的一个重要组成部分，也是发现机会、创造和保留价值的一个必要部分。新框架中的机构风险管理不再是主体的一项附加或单独的活动，而是主体战略和运作的有机组成部分。

5.真正定位风险管理和战略之间的协同作用

新版框架注意到了旧版框架发布以来企业风险管理实践中遇到的一些问题，包括风险管理工作的定位、风险管理工作的范围和目标等。新版本的框架界定了风险管理工作的高度，包括:战略和业务目标与使命、愿景和价值观不匹配的可能性；所选策略的隐含意义；战略实施过程中的风险。

6.重新定义风险偏好和风险承受能力

在旧框架中，风险承受能力只是更精细和更详细的风险偏好。在新版本中，保留了风险偏好的原始定义，即主体在追求战略和业务目标的过程中愿意承担的风险量，而风险能力被重新定义为可接受的绩效变化。新的定义更加清晰和可测量，有助于组织在给定的绩效目标下计算可容忍的风险边界。

3.对新的机构风险管理框架主要内容的解释

图3:新的机构风险管理框架的五个要素和23项原则

风险管理和文化

风险治理和文化构成了机构风险管理所有其他部分的基础。风险管理确定了主题的基本基调，加强了机构风险管理的重要性，并确定了机构风险管理监管责任的分配；文化是主体的价值观、行为准则和对风险的理解。

1.实现董事会对风险的监管

董事会对主体的风险监管负有主要责任。首先，我们应该确定董事会和管理层在风险管理方面的责任分配。一般来说，董事会成员具有丰富的行业经验和技能，独立于管理层。这使他们能够提供风险管理的总体战略和独立视角，并将风险管理的日常责任移交给管理层或特定委员会，如风险管理委员会。

2.建立治理和运营模式

在明确的责任分配下，组织应建立完整的运行模式和报告制度。影响一个组织运作模式的因素很多，比如企业的战略目标，关于规模、行业、区域分布、财税等方面的法律法规等等。管理层根据企业的使命、愿景和核心价值观规划、组织和执行企业战略。

一般来说，管理层通过授权特定委员会来掌握和管理与战略相关的风险。对于大型组织来说，可能会有多个这样的委员会，这要求不同的委员会明确分配责任并共享对风险的理解。明确权利和责任非常重要，在授权范围内可以激发人的主动性。随着组织的发展，运营模式和授权报告系统需要相应调整。

3.定义预期的组织行为

董事会和管理层定义他们的预期行为，以具体化核心价值观和对风险的态度。建立一种被全体员工接受的企业文化，对于企业抓住机遇、规避风险至关重要。在下图所示的风险谱中，具有攻击性风险的组织在追求战略和业务目标时，倾向于接受不同类型和数量的风险。

图4:风险谱

4.表现出对诚实和道德的承诺

组织定调，建立员工行为准则，应对偏离准则的行为。即使组织明确表明了对诚信和道德的承诺，也不可避免地会违背企业的价值观。这种行为可能是好人犯错，好人一时软弱，也可能是坏人故意造成伤害。因此，有必要对行为进行详细评估，并制定详细的对策。关键是将个人行为与组织文化相结合，这就要求管理层在日常工作中不断解读、强调和实践企业文化。

5.加强问责制

本组织确保各级人员在风险管理方面有明确的责任，并在提供准则和指导方面有自己的责任。管理层对董事会负责，员工对管理层负责。个人是否负责任，很大程度上受奖励机制的影响。董事会和管理层应该在组织的各个层面建立一个奖励机制，可以是工资，也可以是非物质的，比如奖励更重要的工作。

6.吸引、培养和留住优秀的个人

致力于根据战略和业务目标建立人力资本。组织需要建立一个评估各级工作能力的机制。董事会评估管理层的能力，管理层评估各业务单元或职能部门的能力。管理层通过建立不同层次的人力资源管理系统来吸引、培训、指导、评估和留住人才。

风险、战略和目标设定

企业风险管理通过制定战略和业务目标的过程与主体的战略计划相结合。通过了解业务环境，组织可以获得他们对内部和外部因素及其对风险的影响的看法。组织在战略制定中确定其风险偏好，而业务目标使战略得以实践并形成主体的日常运作。

7.考虑风险和商业环境

组织考虑业务环境对风险图的潜在影响。组织应该了解业务环境，考虑内部和外部环境以及不同的利益相关者。外部环境包括政治、经济、社会、科技、法律和环境，内部环境包括资本、人力、流程和技术。

8.定义风险偏好

组织在创造、保存和实现价值的过程中定义风险偏好。负责确定风险偏好的董事会和管理层必须充分理解不同风险偏好所代表的权衡和利益。对于一些组织来说，“高风险偏好”或“低风险偏好”已经被充分区分，而对于其他组织来说，风险偏好必须是可量化的。风险偏好可以通过“目标”、“范围”、“上限”、“下限”等不同方式表达和设定。

9.评估替代策略

组织评估替代策略及其对风险情况的影响。组织必须明确战略的意义和不同战略选择的含义，共同考虑战略和风险偏好，并根据不同的情况和阶段调整战略。

10.建立业务目标时考虑风险

组织在不同的层次建立业务目标，在考虑风险的同时制定和支持策略。业务目标可以导致领先行业的财务绩效、客户满意度、卓越运营、合规性、效率提高或创新。组织必须理解不同业务目标的含义，并确定不同的绩效衡量方法和目标。

11.定义可接受的性能浮动范围

可接受的性能波动也可以理解为风险承受能力。衡量绩效的完成程度可以是定量的，也可以是定性的。前者像是资本回报率，后者像是品牌认知度和媒体评价。

实施中的风险

组织识别和评估可能影响其战略和业务目标实现的风险，根据企业的风险偏好，根据风险的严重程度对风险进行优先级排序，选择风险应对方法，并监控绩效进行调整。这样，企业就为追求战略和业务目标时所面临的风险量建立了一个组合概念。

12.识别实施中的风险

组织在实施过程中识别影响业务目标实现的风险。风险识别方法包括研讨会、访谈、过程分析、关键风险指标和数据跟踪。风险和机遇并存，识别风险的过程也是识别机遇的过程。

13评估风险的严重性

风险评估的一个重要工具是风险热图，它从发生的可能性和影响的程度两个方面对风险进行分级。风险评估应从固有风险、目标剩余风险和实际剩余风险三个层面进行。

图5:风险热点图

14.优先考虑风险

根据风险偏好，组织选择风险排序的优先级标准，然后对所有已识别的风险进行排序。

15.识别和选择风险应对措施

应对风险有不同的方式，包括承担风险、规避风险、追逐风险、降低风险和分担风险。管理层根据业务环境、成本绩效、法律法规、风险优先级、风险严重程度和风险偏好选择并实施风险应对措施。一旦选择了风险应对措施，就需要有效的控制活动来确保应对措施的实施。这些控制活动已在内部控制-整合框架中引入。

16.评估实施中的风险

组织需要监控绩效。如果绩效浮动范围超出可接受范围，可能需要重新考虑业务目标或策略；调整目标绩效，重新评估风险；对风险优先级重新排序；重新制定风险应对措施；重新建立风险偏好。

17.建立风险的投资组合视图

管理层需要从整个组织的角度考虑风险，将组织风险作为一个整体与实现绩效目标所需的风险进行比较，而不是将其视为个体和分散的风险。

风险信息、沟通和报告

沟通是主体之间反复获取和分享信息的过程。管理层使用从内部和外部获得的有效信息来支持企业风险管理，组织使用信息系统来捕获、处理和管理数据和信息。通过利用应用于所有组件的信息，组织报告风险、文化和绩效。

18.使用相关信息

利用支持企业风险管理的信息，组织首先考虑可用的信息源，然后衡量获取信息的成本，最后确定需要哪些信息源。外部来源包括:公开指数、政府发布的地缘政治报告和研究、市场调研服务、客户满意度问卷、社交媒体和博客、第三方发布的应用报告和报告、行业报告和同行公司的财务报告。

内部来源包括:董事会和管理层会议、财务报表和投资回报分析、道德和行为相关培训、交易结果和尽职调查、工作时间报告、库存报告和举报热线报告。这些信息需要是可获得的、准确的、真实的、适当的、可靠的和及时的。

19.信息系统的使用

信息系统可以是正式的，也可以是非正式的。组织应该应用分类法来管理与机构风险管理相关的信息，并根据组织的规模和复杂性细分风险。管理层应及时维护信息系统，并根据内部和外部环境进行调整。

20.传达风险信息

沟通的对象包括内部员工、董事会、股东和其他外部利益相关者。沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会以及内部文件。

21.风险、文化和绩效报告

组织报告所有级别的风险、文化和绩效。首先，组织应该确定这些报告的用户及其责任。报告有多种形式和类型，包括:总体风险判断、风险图、根本原因分析、敏感性分析、新兴和变化风险分析、KPI(关键绩效指标)、趋势分析、事故、违规和损失的披露以及对企业风险管理计划和举措的跟踪。管理层需要确定报告的频率，并对其质量负责。

监测机构风险管理的效果

通过监测机构风险管理的效果，组织可以判断机构风险管理各组成部分的长期运作是否良好，并知道发生了哪些实质性变化。

22.监控重大变化

组织识别并评估可能对战略和业务目标的实现产生重大影响的内部和外部变化。导致这些实质性影响的变化可能来自内部原因，如快速增长、新技术或管理以及其他人员变化；可能来自外部环境，如法律法规和经济环境的变化；也可能来源于组织文化，比如并购重组带来的文化冲击。

23.监测机构风险管理

各组织应监测机构风险管理的有效性，并准备提高其效率和实用性。做出这些改进的机会可能存在于以下任何领域:新技术、历史缺陷、组织变化、风险偏好、风险分类、沟通、同行比较和变化率。组织还应该定义未来理想的ERM状态，以便不断改进。

4.风险绩效曲线介绍

在新的框架下，新提出的曲线——风险绩效曲线出现了几十次，提出了风险与绩效的结合，并给出了图形化的解释。个别风险和绩效并不总是一一相关的，但整体风险和绩效是相关的。

为了提供相关指导，新框架提供了风险和绩效之间关系的图形表达和示例。为了完成风险简介的描述，组织需要了解以下内容:战略和业务目标、绩效目标和可接受的浮动范围、风险承受能力和风险偏好，以及风险对实现战略和业务目标的影响程度。

如下图所示，横坐标代表绩效，纵坐标代表组织的风险。图中蓝色曲线代表风险-绩效曲线，即风险一般随着绩效的提高而增加。红色横线代表组织确定的风险承受能力，紫色竖线代表组织的绩效目标。

图6:风险绩效曲线

可以看出，C点代表组织在目标绩效下承担的风险，C点到A点的距离代表实际风险与风险承受能力的差距。距离越短，企业的风险偏好越激进。虽然B点代表了一个组织在达到100%风险容忍度时可以达到的最大绩效，但它也意味着该组织承担的风险总量已经饱和。

可以看出，风险-绩效曲线是新框架的创新，它成功地将风险、风险偏好、绩效、目标绩效和绩效偏差等概念之间的关系以图形的方式展示出来，简单易懂。该图是风险-绩效曲线的最基本的图片，在新框架的附录中有更详细的解释。

但是，我们需要注意的是，风险-绩效曲线试图定量比较风险和绩效，这在实践中是很困难的。虽然目标业绩容易设定(由收入、收益率、利润、市场份额等决定。)，如何聚合风险是一个复杂的问题。另外，示意图中的风险与绩效的关系是一条平滑的曲线，但实际情况是风险与绩效的关系并没有那么简单，所以没有数据积累和大量分析，很难准确绘制出这条实际的蓝色曲线。我们风险管理咨询的同事曾经带领团队试图从一个项目风险评估中画出风险绩效曲线，但是遇到了很多障碍。希望COSO在正式发布ERM框架时，能给予更多的操作指导。

5.一些讨论和意见

1.更好地区分风险管理和内部控制的界限

在本文的背景介绍中，简要介绍了风险管理和内部控制的现状。在企业风险管理体系和内部控制体系的建设中，中国企业积累的经验是世界上独一无二的，这源于中国企业在过去十年中走过的坎坷道路。

2006年，国务院国有资产监督管理委员会发布了《中央企业综合风险管理指引》，启动了中国企业特别是中央和地方国有企业构建综合风险管理体系的浪潮。在国务院国资委的推动下，大多数央企在几年内建立了全面的风险管理体系。

2008年，财政部发布了《企业内部控制基本准则》，要求大中型企业特别是上市公司建立和完善企业内部控制制度。2013年，这些要求在中央企业得到推广和实施。

对于一些企业来说，企业风险管理和内部控制都是新事物。从两个国家部委的角度来看，这两个系统是需要和促进的。很多企业很迷茫，不知道如何处理这两个系统以及这两个系统与企业管理的关系，造成一定的管理混乱，重复投入资源。这些问题从一开始就没有在理论框架的设计中明确界定。

关于风险管理与内部控制的关系，2013年COSO发布的最新版内部控制框架附录提出，企业风险管理是企业治理的组成部分，企业内部控制是企业风险管理的组成部分。从我国的理论和实践经验来看，大多数专家仍然同意这种关系的定义。

图7:风险管理和内部控制之间的关系

在这一新的机构风险管理框架中，进一步阐述了风险管理和内部控制之间的关系。新框架有意规避旧框架中对控制活动的描述，将控制活动的内容留给内部控制体系，同时突出风险治理和文化的内容，以及强调与战略和绩效的关系，可以看作是两个体系“分离”的“终结”。两个系统之间的关系比较和经验总结仅限于篇幅，这里不展开

预计COSO发布正式版本后，实务界可以尽快研究如何应用，尽快形成企业风险管理体系建设的最佳行业实践。

2.促进风险管理和企业管理的更好结合

真正的风险管理工作是支持管理决策，而不仅仅是建立内部控制系统和流程。虽然COSO新的企业风险管理框架已经开始回归“正轨”，但事实上，一些国际知名的风险管理咨询公司并没有受到COSO原有框架的限制，如达信的风险管理咨询服务公司和我们的姊妹公司奥利弗·怀曼咨询公司。我们始终坚持为客户提供的风险管理方法论是支持企业的战略和管理决策，将风险管理融入管理决策的所有流程环节。我们一直认为这才是风险管理的真正价值。

*本文由达信风险管理咨询专家孙佑文基于新框架的咨询版，结合工作经验撰写，仅供参考。