COSO是谁?为什么它发布的研究报告又刷屏了?03

一叶舟导读：

在上一篇公号文中， 我们主要讨论SO 2013年修订发布的《内部控制整合框架》。总的来说，与1992版的框架相比，2013版内部控制整合框架，主要有两个方面的重大改变。

原框架中的基本概念（fundamental ncepts），变成了新框架中的原则（principles）；

财务报告类的目标（financial reporting）被扩展为报告目标（reporting），包括非财务报告和内部报告。

order-box !important; PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; MAX-WIDTH: 100%; WORD-WRAP: break-word !important; LOR: #2a5caa; PADDING-: 0px" data-mce-style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important; lor: #2a5caa;">本文采用比较方法，讨论SO新版（2017版）企业风险管理框架。

文 | 杨小舟

全文约4400字，读完需8分钟

一、我们首先会问：SO 2004年版的《企业风险管理整合框架》（ERM-IF）不是在全球范围内都得到高度认可么？为什么还要作如此根本性的修改和更新？

SO自己的解释如下：

我们对风险的理解，以及企业风险管理的实务在过去的十多年内已经大大改善了。但是，正如世界经济论坛（World Enomic Forum）所说的「这个世界的波动性、复杂性和模糊性日益增加」。所有组织都遇到了一系列的挑战，这些挑战会影响可靠性、相关性和信任。

利益相关者的参与力比以前更强，他们希望公司在风险管理方面有更高的透明性和履职说明，同时他们也在评价公司领导层将机会（opportunities）具体化的能力。

所有组织都需要更加适应变化。他们需要从战略上思考如何管理日益增长的波动性、复杂性和模糊性，特别是对最为关键的高管层和董事会来说，更是这样。

更新后的框架，将企业风险管理与利益相关者的多重预期更清晰地联结起来；

更新后的框架，将风险在组织绩效这个大背景下进行定位，而不再是一个单独的执行主题（the subject of an isolated exercise）；

更新后的框架，可以使组织更好地预期风险、管理风险，可以使组织深刻认识到变化不仅意味着潜在的危机（potential for crises），它还能创造机会（opportunities）；

更新后的框架，更加强调了企业风险管理如何为战略和绩效管理提供更多信息，并将风险管理与战略、绩效管理整合起来。

二、与2004版企业风险管理框架相比，2017版框架有哪些重大变化呢？

我主要参考《执行纲要》（executive summary）、ERM 演示（ERM presentation）等，简要归纳如下：

1、框架名称

2004版框架的名称是《企业风险管理—整合框架》（Enterprise Risk Management – Integrated Framework），2017版标题改为《企业风险管理—整合战略与绩效》（Enterprise Risk Management—Integrating with Strategy and Performance），SO自己认为名称改变原因主要有两个：

一是充分意识到了战略与主体绩效的重要性（Regnizes the importance of strategy and entity performance） ；

二是为了进一步划清企业风险管理与内部控制的界限（Further delineates enterprise risk management from internal ntrol）。

2、框架结构

SO 2013版的内部控制整合框架，以及SO 2004版企业风险管理框架如下：

除了要素多了一些，目标加了个战略目标以外，2004年企业风险管理框架（ERM-IF）与内部控制整合框架（IC-IF）形式上一模一样。SO当时也认为，IC-IF是完全被包含在ERM-IF中的。

但2017版的企业风险管理框架则发生了根本性的变化，详见下图：

 

新的企业风险管理框架与企业的商业模型的联系更加紧密。它不再是一个单独的系统或过程，而是与企业的运营（从使命、愿景、核心价值观，战略制定，业务目标形成，执行与绩效，直至价值提升）形影相随的一种文化、能力和实践。

从框架的根本性变化来看，SO自己也不能再说IC-IF完全被包含在ERM中了，因为在SO那里，企业风险管理与内部控制已不是同一个东西，或者说两者的讨论角度已不一样。

SO认为，企业风险管理框架不能代替内部控制整合框架。因为：两个框架是独特而互补的；都是采用要素+原则的结构；在内部控制讨论的内容不再在风险管理框架中重述；内部控制中的某些内容在风险管理框架中得以深化。

The document does not replace the Internal ntrol –Integrated Framework

1. The two frameworks are distinct and mplementary;

2. Both use a mponents and principles structure;

3. Aspects of internal ntrol mmon to enterprise risk management are not repeated;

4. Some aspects of internal ntrol are developed further in this framework.

这一根本性的变革，得失如何？不同的人有不同的看法。

3、风险与企业风险管理的定义

在2004版ERM-IF中，SO深入讨论了不确定性与价值，不确定性与风险、机遇（机会）之间的关系。其对风险与机遇的定义如下：

风险指对企业目标实现有不利的影响的某一事件（事项）发生的可能性。

Risk is the possibility that an event will our and adversely affect the achievement of objectives.

机遇是指对企业目标的实现有积极影响的某一事件（事项）发生可能性。

Opportunity is the possibility that an event will our and positively affect the achievement of objectives.

所以，在2004版中，SO认为不确定性只是风险的一个必要条件，但不是充分条件。风险指的是不确定性中不利的一面。

无论是国内还是国外，对风险的这种定义都是很流行的。

而在2017版的ERM中，风险被重新定义为：影响战略和业务目标实现的某一事项发生的可能性。

The possibility of that event will our and affect the achievement of strategy and business objectives.

这时候的风险，就是一种不确定性。风险的范畴已由原来的负面影响，扩大到了对风险的「正面」和「负面」影响兼顾。

新的定义倒是有一个好处，有利于组织确定（识别）和抓住已经存在和新的机遇（Identify and pursue existing and new opportunities）

我以前在给在职研究生讲课或与企业的中高层经理们讨论内部控制或风险管理时，经常会谈到：我们不仅要识别、评估和采取相应的控制活动来管理好有负面影响的风险，同时也要识别、评估、采取相应的行动及时地抓住有正面影响的重要机遇。

SO原有的风险管理框架中对机遇的讨论太少，只是说「要将机遇融入到组织的目标设定和战略管理流程中去」。但如何评估机遇？制定和执行什么样的战略来抓住机遇，ERM-IF报告中语焉不详。

而在SO2017版框架的新定义下，风险就是概率可以估计的不确定性，已经包含了原来的风险与机遇两个方面了。

SO不仅对风险进行了重新定义，对企业风险管理的定义也作了重大修正。

2004版的定义：企业风险管理是一个过程，受主体的董事会、管理层和其他员工的影响，应用于企业的战略制定及各个方面，旨在确定（识别）可能影响主体的潜在事件，将主体的风险控制在偏好（容量）内，从而为实现企业主体目标提供合理保证。

Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprises, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.

2017版的定义：企业风险管理是组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。

Enterprise risk management is the culture, capabilities, and practices, integrated with strategy setting and its execution, that anizations rely on to manage risk in creating, preserving and realizing value.

企业风险管理的新定义，将风险管理从「一个流程（process）」转为「用以实现组织创造、保持和实现价值的一种文化、能力和实践」。

SO关于企业风险管理的定义，已经和内部控制的定义完全不一样了。在2013版的内部控制整合框架中，内部控制仍然被定义为一个过程。internal ntrol is a process,…）。

4、要素与原则

2017版的企业风险管理框架与2013版的内部控制整合框架一样，也采用了「要素+原则」的结构。

我个人认为，新的结构确实增强了框架的可读性、可操作性，以及与内部控制整合框架结构上的一致性。

三、2017版框架的5要素和20条原则的具体内容是什么呢？简介如下：

要素 1

治理与文化（ernance & Culture）

原则1：加强董事会对风险的监督。董事会通过对主体的风险监督和执行治理责任，以支持管理层实现战略和业务目标。

Exercises Board Risk Oversight—The board of directors provides oversight of the strategy and carries out ernance responsibilities to support management in achieving strategy and business objectives.

原则2：建立运营结构。组织在追求战略和业务目标的过程中建立运营结构。

Establishes Operating Structures—The anization establishes operating structures in the pursuit of strategy and business objectives.

原则3：定义期望的组织文化。组织通过定义其期望的行为来具体化组织所期望的文化的特点。

Defines Desired Culture—The anization defines the desired behaviors that characterize the entity’s desired culture.

原则4：展现对核心价值的承诺。

Demonstrates mmitment to re Values—The anization demonstrates a mmitment to the entity’s re values.

原则5：吸引、开发并留住优秀个体。组织承诺按照战略和业务目标来构建人力资本。

Attracts, Develops, and Retains Capable Individuals—The anization is mmitted to building human capital in alignment with the strategy and business objectives.

要素 2 战略与目标设定（strategy and Objective – setting）

原则6：分析业务环境。组织分析业务环境对风险图谱的潜在影响。

Analyzes Business ntext—The anization nsiders potential effects of business ntext on risk profile.

原则7：定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。

Defines Risk Appetite—The anization defines risk appetite in the ntext of creating, preserving, and realizing value.

原则8：评估可供选择的战略。组织评估可供选择的战略及其对风险图谱的潜在影响。

Evaluates Alternative Strategies—The anization evaluates alternative strategies and potential impact on risk profile.

原则9：形成业务目标。组织在建立不同层次的、与战略一致和支持战略的业务目标过程中考虑风险。

Formulates Business Objectives—The anization nsiders risk while establishing the business objectives at various levels that align and support strategy.

要素 3 绩效（Performance）

原则10：识别风险。组织识别影响战略和目标实现的风险。

Identifies Risk—The anization identifies risk that impacts the performance of strategy and business objectives.

原则11：评估风险的严重程度。

Assesses Severity of Risk—The anization assesses the severity of risk.

原则12：区分风险的优先次序。组织通过区分风险的优先次序为风险反应的选择提供基础。

Prioritizes Risks—The anization prioritizes risks as a basis for selecting responses to risks.

原则13：执行风险反应。

Implements Risk Responses—The anization identifies and selects risk responses.

原则14：建立风险组合观。组织建立和评估组织风险。

Develops Portfolio View—The anization develops and evaluates a portfolio view of risk.

要素 4 审阅与修正（Review and Revision）

原则15：评估重大的风险。组织识别和评估可能对战略和业务目标的重大影响的变化。

Assesses Substantial Change—The anization identifies and assesses changes that may substantially affect strategy and business objectives.

原则16：审阅风险与绩效。

Reviews Risk and Performance—The anization reviews entity performance and nsiders risk.

原则17：持续改进企业的风险管理。

Pursues Improvement in Enterprise Risk Management—The anization pursues improvement of enterprise risk management.

要素 5 信息、沟通与报告（Information, mmunication & Reporting）

原则18：升级信息系统。组织应充分发挥主体的信息和技术系统以支持企业风险管理。

Leverages Information Systems—The anization leverages the entity’s information and technology systems to support enterprise risk management.

原则19：沟通风险信息。组织利用沟通渠道以支持企业风险管理。

mmunicates Risk Information—The anization uses mmunication channels to support enterprise risk management.

原则20：对风险、文化和绩效进行报告。组织在各个层次、各个方面对风险、文化和绩效做出报告。

Reports on Risk, Culture, and Performance—The anization reports on risk, culture, and performance at multiple levels and across the entity.

要素与原则之间的关系，详见下图：

从五个要素的逻辑上看，遵循的是一个商业模型的顺序，而不再是一个单独的风险管理过程。

五大要素的变化最明显的标志就是「去风险化」，五大要素中的「风险」一词均被去除，不再一味的强调风险视角下的企业治理及管理要素，而是直接从企业治理和管理的视角提出将风险管理的内容嵌入，为风险管理工作真正融入战略管理、绩效管理打下坚实的基础。

四、风险管理的局限性

在2004版的《企业风险管理整合框架》中，SO列示了企业风险管理的局限性。

在2013版的《内部控制整合框架》中，SO也列示了内部控制的局限性。

但是，在2017版的企业风险管理框架中则删除了对于风险管理局限性的章节，作为与战略和绩效整合在一起的一种文化、能力和实践，其局限性不言自明。

五、内部控制与风险管理的关系

2017版框架对内部控制与风险管理的关系也做了解释。在框架上册的应用环境中，第一部分就阐述了内部控制与风险管理的关系：

「内部控制主要聚焦在主体的运营和对于相关法律法规的遵从上。」 

「企业风险管理的相关概念并没有包含在内部控制中（例如，风险偏好、风险承受度、战略和目标设定等概念，这些都是内部控制体系实施的前提条件）」。

为了避免重复，一些在内部控制中比较常见的概念部分，风险管理新框架并未重复叙述（例如，与财务报告目标相关的舞弊风险、与合规目标相关的控制活动、与运营目标相关的持续及独立评估）。

然而，一些在内部控制中概念在本框架中被进一步的研究和深化了（例如，企业风险管理中的治理和文化部分）。

在SO公布的《常见问题》解释上，SO表明两个体系并不能相互取代，而是侧重点各不相同、相互补充。但同时也强调了内部控制作为一种经历时间考验的企业控制体系，是企业风险管理工作的一个基础和组成部分。

在我国的学术界和实务界，内部控制小于、等于、大于风险管理的观点都有，如果我们系统学习了SO2013版内部控制框架和2017版企业风险管理框架，以及我国相关经济管理部门发布的各种内部控制或风险管理方面的规范、指引等，我们也会有自己的看法或认可的观点。但是，当我们讨论内部控制或风险管理问题时，首先应对风险、内部控制、风险管理等基本概念界定清楚，否则就是鸡同鸭讲，分析、讨论就不能更进一步。

六、小结

本文主要讨论了SO修订、更新企业风险管理框架的原因、主要的变化，以及2017版框架的5个要素及20原则。

至于在企业战略管理、绩效管理过程中，如何识别风险、评估风险，如何根据风险的性质和大小制定并执行好相应的风险管理策略， 我们在以后的公号文中再深入讨论。