COSO风险管理框架演进及其新进展

杨纪红

【摘要】2016年，COSO发布了《风险管理框架——协调风险、战略以及业绩》（征求意见稿），对其2004年的《企业风险管理框架》进行了修订。新风险管理框架对风险的定义进行了澄清，并对新框架的结构进行了调整。本文在回顾COSO风险管理框架演进过程的基础上，重点介绍最新风险管理框架的变化，以期为理解框架提供参考。

【关键词】企业风险管理框架 风险偏好 风险容忍度 风险组合

全美反虚假财务报告委员会下设的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，COSO）从 2001年起就致力于企业风险管理框架的研究，并于2004年发布了《企业风险管理框架》。过去10年间，风险的复杂程度不断加大，出现了一些新的风险，COSO对企业风险管理有了新的认识，2016年发布了题为《企业风险管理——协调风险、战略以及业绩》（以下称新版RMF框架）的征求意见稿。本文对《新版RMF框架》进行分析解读，以期为理解《风险管理框架——协调风险、战略以及业绩》及开展风险管理研究，提供借鉴与参考。

一、COSO风险管理框架演进過程

（一）从《内部控制整合框架》到《企业风险管理框架》

1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合成立了反虚假财务报告委员会，目的在于探讨财务报告中舞弊产生的原因及其解决方法。1987年，该委员会的赞助机构成立了COSO委员会，致力于研究内部控制方面的问题。1992年，COSO委员会发布了著名的COSO报告——《内部控制整合框架》，并于1994年对该报告进行了增补。该框架自发布以来，在全球得到了广泛认可和应用，理论界和实务界不断对其提出改进建议，强调内部控制整合框架应与企业风险管理相结合。

COSO委员会从2001年开始致力于企业风险管理方面的研究，并于2004年颁布了《企业风险管理框架》（Enterprise Risk Management Framework，ERM），为企业风险管理提供了理论框架和应用指南。相对于内部控制整合框架，2004年的《企业风险管理框架》新增加了（风险组合观）、一个目标（战略目标）、两个概念（风险偏好和风险容忍度）和三个要素（目标制定、事项识别和风险反应），强调内部控制是企业风险管理必不可少的一部分，风险管理框架的范围比内部控制框架的范围更广泛，是对内部控制框架的扩展。

（二）从《企业风险管理框架》到《企业风险管理——协调风险、战略以及业绩》

自2004版《企业风险管理框架》发布以来，实施该框架的企业面临各种问题：一是美国上市企业不得不全力以赴应对《萨班斯法案》的合规工作；二是企业风险管理的实施范围往往并不面向整个组织机构，并且很少被运用到战略制定中；三是COSO在编制框架时采用了类似于内部控制框架所使用的“立方体”结构，许多企业试图在过于细微的层面实施该框架；四是许多组织机构将企业风险管理作为保证活动来实施，而不是将其视为更佳的企业管理方式，如运用于流程层面而非战略制定层面，企业风险管理的实施活动也因此陷于细节的泥潭，令许多高管很快失去兴趣；五是2008年金融危机所引发的经济大萧条，令许多企业进入危机应对模式，企业风险管理的实施也因此受到影响。因此，企业风险管理框架在早些年并未被广泛接受和应用。

正是由于金融危机带来的惨痛教训，企业高管逐渐意识到有效风险管理的重要性，从而引起整个企业对有关风险事项的关注和重视。人们开始对风险管理框架做出更明晰阐释的呼声日渐高涨。自2014 年起，COSO启动了修订项目，对2004年的《企业风险管理框架》进行修订，并于2016年发布了题为《企业风险管理——协调风险、战略以及业绩》征求意见稿。征求意见稿中重新定义了风险，放弃了原框架中的“立方体”结构，改为惯用的要素和原则结构，重点关注如何使企业风险管理在组织机构内行之有效。

二、新版《企业风险管理框架》变化

（一）采用了要素和原则结构

COSO的旧版ERM框架是从内部控制框架演变而来的，采用的是“立方体”结构，包括4个目标（合规、报告、经营、战略）、4个层级（总部、分部、业务单位、附属机构）、8个要素（内部环境、目标设置、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控）。

新版ERM采用了要素和原则结构，包括5个要素和23条原则，其主要结构如下表所示。

新版ERM采用了要素和原则结构，设置了5个要素与相应的原则间的对应关系，是整个文件的目录，从而增强了企业风险管理框架可读性、有用性和内在一致性。

（二）简化了企业风险管理的定义

1.关于风险的定义

COSO旧版ERM框架中没有对风险提出明确的定义，但是将风险清楚地描述为：“事件可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。带来负面影响的事件代表风险，会妨碍价值创造或破坏现有价值。带来正面影响的事件可能会抵消负面影响，或者说代表机会。”可以看出，旧版ERM认为风险是纯粹负面的，这种认识显然无法满足风险管理应用于决策过程的需要。

新版ERM框架将风险定义为：“风险——影响战略和经营目标实现的事项发生的可能性。”从定义中可以看出，新版ERM框架没有明确风险是负面的还是双向性的。结合新版ERM框架的整体内容看，新版ERM框架中风险的定义是双向性的。

2.关于企业风险管理的定义

COSO旧版ERM框架中对企业风险管理的定义为：“企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制订和企业的各个部门以及各项经营活动，用于确认可能影响企业的事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理保证。”

新版ERM框架中将企业风险管理定义为：“全面风险管理——组织在创造、维护和实现价值的过程中，进行风险管理所赖以依靠的、与战略和执行紧密结合的文化、能力和实践。”相比之下，新版ERM框架不只是过程，还包括文化、能力和实践，不仅保障价值不被侵蚀，更突出价值创造。

（三）强调风险和价值间的关系

旧版ERM框架关注的重点是避免价值受到侵蚀，将风险最小化至可接受的水平。新版ERM框架强调了风险管理在创造、保留和实现价值过程中的重要作用，应将风险管理视作企业在制定战略和识别机会，从而创造和保持价值过程中不可或缺的一部分。风险管理不再是简单地将风险水平控制在目标水平之下，而是动态地贯穿于企业价值链的全过程，成为企业价值管理中不可缺少的一部分。

（四）重申ERM的整体性

新版ERM框架强调了组织运营中所有层面风险管理的整体性，将风险管理框架整合到企业战略制定、经营目标制定及战略和目标的执行中。新版ERM框架鼓励使用者将风险管理视为其组织管理的有机组成部分，而不是附加的或独立的活动。通过支撑企业的运营、管理业绩从而最终为企业创造、实现和保留价值，企业风险管理的重要作用得以发挥。如新版ERM框架没有涉及风险报告，而是强调报告风险对组织业绩、战略和经营目标实现所产生的潜在或实际影响。

（五）审视了文化的作用

文化在企业风险管理中的重要作用，被引入到新的ERM框架中。风险治理明确了组织的基调，而文化包含了组织的道德价值、期望行为及对风险的理解。文化与业务环境之间的关系反映了战略的选择和执行方式。在对企业风险进行监控的同时，需要研究如何塑造企业文化，并且要关注文化对其他风险管理要素的影响。如新版ERM框架在一开始就明确了文化和业务环境之间的关系，这种关系影响到企业战略的选择和执行。更重要的是，这种关系为风险的识别、评价以及针对风险如何分配资源，提供了环境。

（六）加强了对风险和战略的讨论

新版ERM框架认识到：当企业的战略选择与企业的使命、愿景、核心价值不协调时，企业可能会发生重大失败。即使企业的战略选择与其使命、愿景、核心价值相协调，许多企业也没有意识到战略选择对风险组合的重要性。有些企業甚至没有意识到业务层面的细微失败，从而使其上升到了整体层面，威胁到了企业的长期生存。

与旧版ERM框架相比，新版ERM框架提升和扩展了对风险和战略的讨论，主要关注以下三方面：一是战略和经营目标、组织使命、愿景和价值不匹配的可能性；二是风险对已选战略的影响；三是战略执行中的风险。通过区分风险对战略影响的三种可能表现形式，新版ERM框架对风险管理的重要性进行了更详细的分析。

（七）提升了业绩与风险管理的一致性

新版ERM框架强调了组织风险和其业绩之间的关系。风险如何作为企业确定其经营目标和业绩目标的重要组成部分，新版ERM框架主要关注以下方面：一是企业风险管理实践支撑企业风险的识别和评估，企业的风险识别和评估可能会影响业绩目标选择；二是通过确定可接受的绩效偏差，新版ERM框架的使用者能够理解业绩的变化如何影响经营目标中风险组合的变化，反之亦然；三是新版ERM框架强调风险评估和风险报告并不是为了生成风险清单，而是为了强调风险对战略和经营目标实现产生的影响。

为了强调风险管理和组织业绩间的重要关系，新版ERM框架引入了“风险组合”图，该图用以描述既定战略和经营目标下，风险类型和风险程度对组织经营业绩变化的影响。此外，新版ERM框架还考虑了企业的风险偏好，指出风险偏好型企业可以寻求更多机遇。通过引入风险偏好、业绩、风险容忍度概念，风险组合图中对风险提供了动态、全面的视图，便于企业在衡量风险中做出更明智的决策选择。

（八）将企业风险管理明确地链接到决策过程中

企业价值链的每个环节，都会涉及决策问题。由于企业要寻求创造，实现和保留价值，决策便涉及战略选择、经营目标和业绩目标的设定及资源的分配。将风险管理的思想整合到企业的整个生命周期中，有助于企业带有风险意识地做出决策。

新版ERM框架逐步探究了与风险组合相关的信息如何加强了整体决策。包括对风险程度和风险类型的理解，经营环境的影响，对识别和评估风险所基于假设的理解，以及企业的风险文化和风险偏好。

（九）描述了企业风险管理与内部控制的关系

为了反映技术和商业环境的变化，COSO在2013年更新了内部控制框架，涵盖5大单元和17项原则。新版ERM框架将不会取代这个内部控制文件。这两个框架虽然是分开设计，但内容相互补充。为避免重复，两个报告中内部控制相同的方面没有在新版ERM框架中重复描述，如控制活动。但内部控制整合框架中有关风险管理的监管内容，在新版ERM框架中作了进一步讨论。

（十）完善了风险偏好和风险容忍度的定义

新版ERM框架完善了风险偏好和可接受的绩效偏差（通常称为风险容忍度）的概念。风险偏好仍然被定义为，企业在追求战略和业务目标过程中愿意承受的风险量。而风险容忍度不再是风险偏好的细化指标，要与业绩水平相联系。在风险组合图中，风险偏好与业绩线的垂直交叉面表示风险容忍度。新版ERM框架在定义风险容忍度时，关注的是在业绩水平给定的情况下，确定可接受的风险量。在特定的业绩水平范围内，组织能够清楚地界定可接受风险的范围。这使组织能够更好地评价业绩水平的变化，是否仍然保持在风险容忍度范围内。组织在评价风险和业绩时，不应将风险和业绩看作静态和相互独立的，而应该是不断变化和相互影响的。

三、结论与展望

新版ERM框架的标题暗示了风险与战略以及企业绩效间日益重要的关系。新框架公开征集意见工作现已结束，最终版本将于2017年正式公布。期望新版ERM框架可以实现COSO所预期，能够被更广泛、更有效地运用到企业的经营和决策中。

参考文献

[1] 朱荣恩，贺欣.内部控制框架的新发展——企业风险管理框架COSO委员会新报告《企业风险管理框架》简介[J].审计研究，2003（6）.