新版COSO《企业风险管理框架》

新版COSCO企业风险管理框架》：有哪些变化?

2016-12-15

6月24日，反虚假财务报告委员会下属发起组织委员会（COSO发布《企业风险管理：风

险与战略和绩效的协调》，以向公众征求意见，截止日期为2016年9月30日。1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念，但他们会发现新框架的关注点已截然不同，它所关注的是如何使企业风险管理（ERM在组织机构内真正行之有效。

为什么要更新？对过去十年的回顾与总结

自原始框架于2004年刊发以来，实施该框架的企业便面临各种问题，而最大的干扰来自在

美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。

当然框架的实施还面临其他挑战：

•企业风险管理的实施范围往往并不面向整个组织机构，并且很少被运用到战略制定中。如此一来，COSO!架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点

――“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。

*COSO1初在编制框架时采用了类似于内部控制框架所使用的立方体。虽然COSO寸立方体右侧的内容进行了修改，删除了有关活动和流程，改为侧重于范围更广的实体和运营单位及分

支机构，但许多企业依然试图在过于细微的层面实施该框架，例如运用于流程层面而非战略制定。企业风险管理的实施活动也因此陷于细节的泥潭，令许多C级高管迅速失去兴趣。

•许多组织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一种更佳的企业管理方式。在和运营单位的领导们打交道时，这种方法无疑是失败的，特别是在有关活动又由

内部审计部门主导的情况下。

*2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式，企业风险管理的实施也因此受到影响。

•最终，还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣，包括2008年的金融危机和2011年的日本海啸。

简而言之，在COSO公布框架之初高管人员对它的关注度便有限，实施活动自那时起就参差

不齐。

鉴于上述原因，企业风险管理框架在早些年并未获得施展拳脚的机会。直至金融危机爆发，

许多企业高管都并不知晓该框架抑或不确定应如何应对。然而，金融危机爆发后，有关问题和价值主张便开始明朗起来。

众所周知，一个完全失控的行业触发了一场惨烈的全球性金融危机。这场危机就未知事项的潜能给人们上了宝贵的一课，“黑天鹅”这种词汇也在业界流行开来。所有的经验教训再次印证了有效风险管理的几大关键要素的重要性，包括不遗余力的董事会、全力支持的首席执

行官、开放透明的企业文化、能够有效平衡长短期利益的薪酬结构，以及最为重要的一点一一管理层在察觉危险来临时能够反其道而为之的决心和毅力，而所有这些要素的获得离不开对

企业风险管理持之以恒的坚持和保护。

危机过后，先行者的价值和优势更是一目了然。董事会开始提出不同以往和更急尖锐的问题，

CEO们也开始想方设法与董事会开展对话，以引起整个企业对有关风险事项的关注和重视。

值得注意的另一现象是，持续剧烈变化的商业环境正在不断关压缩商业模式的半衰期。一种以前所未有的速度摧毁既定商业模式的强大趋势正在形成，稳步发展的数字化技术只是冰山

一角，它不仅能够让消费者和企业轻而易举地获取史无前例的海量信息，而且也会快速地制造有关他们的信息。此外，还有席卷阿拉伯世界的所谓“阿拉伯之春”的革命浪潮、日益加剧的民族情绪和紧张的地缘政治局势、人口老龄化、对网络的依赖、不断扩大的收入差距、伊斯兰国哈里发恐怖主义的兴起、涌动的难民潮，以及更近一些的油价暴跌，种种负面事件

不胜枚举。

总的来说，在2004版框架实施水平参差不齐，2004年以来各种戏剧性风险管理失效事件并发，以及商业环境日益复杂的共同叠加作用影响下，对框架做出更明晰阐释的呼声日渐高涨。

现实再清楚不过：要想战胜各类突发中断性事件，企业领导必须能够迅速识别有关变化的重

要迹象，以及自己的市场和商业模式可能会受到的影响。

总的来说，在2004版框架实施水平参差不齐，2004年以来各种戏剧性风险管理失效事件并

发，以及商业环境日益复杂的共同叠加作用影响下，对框架做出更明晰阐释的呼声日渐高涨。

在此呼声中，COSO^现他们恰可以借此机会：将企业风险管理和各利益相关方的期望更明确地联系在一起；将风险与企业绩效挂钩，而非将风险作为一种独立的活动来关注；以及改

善企业对未知的预期和准备。事实上，作为先行者的企业并非只是把潜在变化当作潜在危机来对待，他们也从中寻求潜在的市场机遇。

有哪些新变化？基于风险的方法

COSO勺新框架基于以下这样一个基本假设：即每个企业存在的目的均旨在为利益相关方提

供价值，但在价值追求过程中会面临不确定性。“不确定性” 一词被定义为未知的事项，而

“风险”则定义为，该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。因

此，新的框架认为：

管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性，亦即多少风险。有效

的“企业风险管理”能够使管理层在权衡风险和机遇的同时，提升企业创造、保护和最终实

现价值的能力。

对风险与价值之间关系的着意强调亦体现于COSO寸企业风险管理定义的简化和关注点的重

新界定：

企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实

践。

新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。cos懐示新框

架：

•更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色；

•优化了企业绩效与企业风险管理之间的协调关系；

•涵盖了治理和监督预期；

•提及了市场和运营的持续全球化趋势，以及在不同地域采取通用（尽管亦有量体裁衣之考量）做法的必要性；

•提供了将风险置于更复杂商业环境下进行考量的新方法；

・将提升利益相关方透明度的预期纳入风险报告范围；

•涵盖了对决策起支持作用的科学技术进步及数据分析手段。

COS（在更新过后的框架里介绍了五大要素，并且如2013年更新内部控制框架时为每个要素罗列了相关原则。我们将在下文讨论各大要素及其原则。

风险治理和风险文化是确保企业风险管理行之有效的强大基石。

风险治理和文化的重要性

新框架的第一大要素为企业风险管理其他四大要素提供了基础。风险治理确定企业的基调,

强化并确立企业风险管理的监督职责。文化则事关道德价值、具责任感的企业行为、对业务

环境的了解，并且体现于决策过程中。风险治理和风险文化是确保企业风险管理行之有效的强大基石。该基本要素涉及六个原则。

风险治理和文化

1.履行董事会风险监督职能

2.建立治理和运营模式

3.定义理想的企业行为

4•恪守诚信和职业道德

5.实施问责

6.吸引、发展和留任优秀人才