COSO风险管理框架的新发展及启示范文

摘要：基于COSO委员会新的《企业风险管理：与战略和绩效的整合》（ERM2017），文章介绍了ERM2017变革的背景以及其在风险管理的定义、框架、要素、原则、目标和实现路径等方面的最新变化。认为COSO风险管理新框架强调风险管理与战略的融合，突出以原则为导向的风险管理实践，厘清了风险管理与内部控制边界，有助于提升企业价值；并且从政策层面和企业层面提出了对我国企业风险管理实践的启示。

关键词：COSO；企业风险管理；整合框架；价值创造

一、引言

企业身处不断变化的商业环境中，要实现健康稳定发展，必须注重风险管理。过去数十年间，“中航油”、“雷曼兄弟”等无数企业都因为风险管理失效而付出沉痛代价，警示着企业风险管理的重要性。2008年全球金融危机后，加强企业风险防范意识成为各国关注的焦点问题。目前，中国特色社会主义进入新时代，经济发展处于转型时期，经济转型导致企业面临的风险多样化和复杂化，能否有效管控风险是影响企业战略和价值的核心因素，直接关系到企业的生存与发展。强调：“今后5年，可能是我国发展面临的各方面风险不断积累甚至集中显露的时期。……我们必须把防风险摆在突出位置……”①。因此，随着我国全面深化改革工作逐步推进，面对改革带来的诸多不确定性，提升风险管理水平，成为企业实现长远发展目标的必然选择。学术界的研究也发现了风险管理的积极作用，Tufano研究发现高质量的风险管理可以有效提高权益回报率、改善公司治理结构［1］，减少企业财务困境的成本、降低企业破产率。Doyle等认为风险管理有利于降低公司收益波动性［2］。严晖提出风险管理能提高公司治理效率［3］。从公司价值角度而言，Rose等研究发现，风险管理有助于提升公司价值［4－8］。同时，Cassar研究发现，高质量的风险管理能提高管理者预期的准确性［9］。谢志华认为，某种程度上而言，企业管理实质上就是风险管理［10］，依靠全面风险管理，企业能够更好实现战略目标和价值增值。王稳和王东利用2007—2011年我国金融类上市公司的数据，实证分析了企业风险管理对公司价值具有显著的正向影响，并且采取主动性风险管理策略对公司价值的影响更为显著［11］。可见，风险管理对于提升企业价值的重要作用已成为共识。然而，由于缺少系统性指导，大部分企业无法有效识别管理过程中的风险。基于此，如何促进和提高企业风险管理水平，充分发挥风险管理在防范风险和价值创造方面的作用，成为各国企业亟特解决的现实问题。为了帮助企业和组织有效防范风险和提高风险管理水平，COSO于2004年《企业风险管理整合框架》［12］（EnterpriseRiskManagementIntegratedFramework，简称ERM2004）。朱荣恩和张宜霞等认为ERM2004首次将内部控制与风险管理结合，为董事会和管理层应对不确定性风险和增加股东利益过程中的风险承受能力提供参考［13－14］。随着风险类型和复杂程度的不断演变，为了进一步满足风险管理实践的需求，COSO对ERM2004进行了更新升级，于2017年9月6日正式风险管理的新版框架———《EnterpriseRiskManagement－IntegratingwithStrategyandPerformance》［15］（简称ERM2017）。那么，本次ERM更新的具体内容有哪些？这些更新会对企业风险管理实践与价值创造产生何种影响？对我国企业风险管理框架的建设与实施具有哪些借鉴和启示？基于此，本文通过介绍ERM的变化与发展，探讨ERM框架更新对于企业风险管理的影响，以期为我国企业风险管理规范体系的建设提供新思路，进一步推动我国企业风险管理规范的制定，促进我国经济的顺利转型。

二、COSO风险管理框架修订的背景为规范

企业内部控制，COSO委员会于1992年了《内部控制———整合框架》，该框架作为在美国上市公司内控体系建设的指导框架，不仅得到了美国证监会的认可，而且在全球范围内被广泛采用和推广。但在实施了十多年内部控制框架之后，实务界发现即使建立了完善的内部控制体系，仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损失案例，实践表明企业需要从整合风险管理的角度创造价值并保障公司战略目标的实现。“安然”事件发生后，2002年颁布的《SOX法案》也要求上市公司全面关注风险，加强风险管理。COSO委员会开始从更高角度来思考企业的管理活动以及内部控制体系的局限性，并于2004年9月正式颁布了《企业风险管理———整合框架》（ERM2004）。该框架在《内部控制———整合框架》的基础上进行升级和扩充，主要从内部控制的角度出发，研究了风险管理的过程及实施要点，将风险管理纳入到了企业的各种活动之中，并将战略目标引入风险管理［16］。ERM2004提出风险整合观，这是风险管理理念在实践运用上比较大的突破，但经过多年实践，也逐渐暴露出一些问题。一方面，COSO委员会对ERM框架的初衷和定位是正确的，但在起草ERM框架时采用在COSO内部控制框架的基础上进行升级和扩充的做法，这直接导致两个理论框架虽然愿景和目标各不相同，但内容的重合度非常高。企业在实践这两个理论体系时往往认为“内部控制就是风险管理”、“风险管理就是内部控制”，为企业风险管理实践埋下了隐患。另一方面，ERM2004距今已有14年。经济化、信息化、全球化浪潮已经席卷全世界。企业经营管理面对的风险日益增加，风险的复杂性也发生了重大变化，利益相关方更加关心风险管理对企业价值的创造，尤其是在战略的制定和执行中风险管理价值的体现以及如何增强风险管理和企业绩效之间的协同关系。ERM2004已经无法满足实践需求，风险管理框架必须更新升级。2008年金融危机后，COSO委员会也意识到了更新风险管理框架的必要性，从2014年开始着手对ERM框架进行更新，2016年5月征求意见稿，2016年9月截止征集意见。最终于2017年9月6日正式新版框架：《企业风险管理———战略与绩效的结合》（ERM2017）。COSO对ERM2017进行了颠覆性的改变，将风险管理与内部控制划清界限，强调风险管理与价值的关系，真正厘清了风险管理与战略和绩效的协同作用。同时，ERM2017提供了将风险置于更复杂商业环境下进行考量的新方法，对于企业风险管理实践具有更强的指导意义。

三、COSO风险管理框架变化的主要内容分析

COSO新版ERM2017框架借鉴内部控制整合框架（2013）更新时的理念与经验，为企业董事会和管理层提供广泛接受的要素、原则和实施标准等，展示了企业应当如何整合企业风险管理，并通过战略和目标的紧密联系，实现加速增长和提高绩效，ERM2017的框架见图1。总体来说，ERM2017在风险管理的定义、要素和原则、风险管理运行方式、企业目标方面对ERM2004进行了更新（见表1）。主要以5个基本要素为基础，以原则为导向，以实现企业绩效为目标，通过风险管理与战略相整合为路径，强调价值创造与增值。

（一）重新界定企业风险管理，强调风险与价值的关系ERM2017关于企业风险管理的定义变化最为彻底，将风险管理定义为组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。新定义将风险管理工作直接从“一个流程或程序”提升到“一种文化、能力和实践”，更加强调风险与价值的结合，突出价值创造而不只是防止损失，这样也避免了和内部控制定义的界限不清。根据ERM2017的定义，实施风险管理的工作目标是为股东和利益相关方创造、保持和实现价值，所以利益相关方需要明确实施风险管理工作并不是满足监管和合规要求，而需要从企业使命、愿景和核心价值出发，将风险管理定位为提升企业的价值和绩效，强调嵌入企业管理业务活动和核心价值链，满足企业更高层次的需求。这种视角同时也是一种新型的企业管理视角，对企业管理界来说是一场理念的变革。

（二）创新风险管理形式，定位风险管理与战略和绩效的协同作用与ERM2004相比，ERM2017注重企业风险管理的具体过程和实施方式。企业风险管理不仅包含内部控制，还涉及战略制定、公司治理以及绩效评估。ERM2017强调风险管理的主要形式是文化、能力和实践，作用环节包括战略的制定与执行，需要通过与战略和绩效的整合，实现企业价值创造和增值。ERM2017规定，ERM不应当是组织的一个额外的或是单独的活动，而是融入组织的战略和运营当中的有机部分。当企业风险管理与战略制定助记词绩效提升整合在一起，就能更好地理解以下内容：在制定战略时，使命、愿景和核心价值观如何初步描绘出企业能承受的风险程度。企业战略和目标与其愿景、使命和核心价值观不一致的可能性。组织在选择战略并承受其潜在风险的种类和程度。组织在执行战略并达成绩效目标的过程中承受风险的种类和程度。

（三）修订企业风险管理实现路径，提出价值创造流程ERM2004利用立方体模型阐述了要素、目标与管理层级间的关系。各要素相互联系，运用于企业各个层面，共同为目标的实现提供合理保证。ERM2017强调风险管理在实现企业价值创造和增值过程中的重要作用，通过风险管理运用于企业价值链，将风险管理从控制风险提高到价值创造层面，更加关注组织绩效背景下的风险，而非单独的风险管理。具体来说，ERM2017取消了原有的立方体模型，使用更加清晰的价值创造链条来阐述要素与企业使命、愿景和核心价值观的关系，以及它们如何通过战略制定和具体的业务目标来影响企业绩效。ERM2017认为企业风险管理并非静态，而是处于不断融入战略制定、日常决策直至最后的绩效评价的重复迭代过程。因此，需要在实现企业价值创造的整个过程融入风险管理，即在企业使命、愿景和核心价值观的初始阶段，战略及业务目标的执行阶段以及实现绩效提高的最终阶段，充分发挥有效的风险控制功能。

（四）整合风险管理要素，以原则为导向，构建新的风险管理原则在要素构成方面，ERM2004包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等8个基本要素。而ERM2017将原有的8个要素整合成为5个要素（见表2）。与COSO内部控制整合框架（2013）一致，ERM2017明确提出20个原则，涉及风险治理、文化、执行风险、监督风险和绩效。每个原则都代表一个要素的基础部分，并被普遍运用于风险管理中，成为有效的风险管理实践中的一部分。这些要素和原则为企业评判风险管理是否有效提供了标准和依据。在决定一个企业的风险管理是否有效时，需要与风险管理相关的要素和原则存在并以整合的方式持续运行。具体来说，5个要素如表2所示。1．治理和文化要素是其他要素的基础，由内部环境发展而来，不仅包括内部环境的内容，还明确文化是内部环境的关键构成。风险治理奠定了企业基调，加强了企业对风险管理的认知，并为此建立监督职责。文化则通过渗入道德价值观、期望行为以及风险理解等方面影响企业决策制定。2．战略和目标的确立要素是对目标制定的拓展，强调风险管理与战略制定和企业目标的关系，指出企业应当考虑组织目标实现中的风险，及时调整战略可以保障将绩效偏差控制在可接受的范围内。企业应将建立风险偏好与战略相结合，并将战略目标应用于实践中，及时识别、评估和应对风险。3．绩效要素是对事项识别、风险评估、风险反应、控制活动要素的整合。强调在提高组织绩效过程中识别并评估可能影响到战略发展目标的风险，结合风险偏好对风险的严重程度进行优先排序，选择相应的风险应对措施，以组合的角度预测风险总量。4．审查与纠正要素是在风险识别、评估和应对的基础上，将风险审查和纠正作为日常运营的一个常规部分。组织需要识别和评估那些显著影响战略和目标的风险变化，审查绩效和风险因素，调整风险应对策略，追求企业风险管理和绩效的提升。5．信息、沟通与报告是对信息和沟通要素的深化，企业风险管理是一个动态的连续过程，需要不断地从组织内外获取信息以帮助风险管理发挥作用。这些信息在整个组织自上而下、自下而上或在组织间横向流动。管理层利用信息系统获取、加工、处理和传递数据，为风险管理提供有用信息。

（五）提出新的风险视角，以在更复杂的业务背景下制定和实现目标ERM2017指出企业风险管理的终点在于为实现企业绩效提供保障，其根本在于管理企业绩效实现过程中的风险。尽管COSO委员会希望ERM2004能够为董事会和管理层提供风险管理的有效标准，但是普华永道（PWC）战略咨询部门报告显示，80％业绩较差的公司通常在战略执行方面有缺陷［17］。COSO委员会在此次修订中将风险框架的标题更新为《企业风险管理———战略与绩效的整合》，提出当前企业风险管理应当与企业总体战略相整合，不仅继续支持在战略执行过程中的风险管理，同时也开始帮助董事会和管理层考虑战略计划阶段的风险，促使企业首先拥有较好的战略计划，积极应对执行战略过程中的风险。具体来说，ERM2017拓展了ERM2004针对战略和风险的规定，将风险管理融入企业战略制定、选择和执行过程中，重点突出了管理战略实现绩效过程中的风险。其具体内容主要表现为三个维度（见图1）。1．战略风险。企业的战略风险主要指战略与企业使命、愿景和价值观不匹配时对企业价值产生的潜在影响。每个组织都有自己的使命、愿景和核心价值观，它们决定了组织要实现的目标以及具体的战略实施方式。对于多数企业来说，正确理解企业的使命和愿景是制定与企业风险偏好相匹配战略的前提。当战略与企业使命、愿景和价值观不一致时，即使战略实施很成功，企业也可能无法实现自身的目标，从而对企业价值产生影响。因此，在企业战略的计划阶段，就需要考虑与企业使命、愿景的一致性问题，及时对战略进行重新调整。2．战略选择对风险的影响。企业为实现绩效目标而制定战略，并将整体战略分解成相应的子目标。不同的企业战略都有其自身的风险组合，这些风险组合由战略本身决定，需要不同的风险控制能力保障战略实施。企业风险管理应当帮助管理者考虑与不同战略相联系的风险，以全局的风险组合观看待风险，通过合理有效的风险管理为企业各项目标的实现提供合理保证。3．实现战略与绩效的风险。主要考虑执行战略、实现绩效目标过程中风险的潜在影响。组织需识别并评估可能影响到战略发展与绩效目标实现的风险，针对风险的严重程度按照风险偏好进行排序，以选择相应的风险应对措施。综上所述，ERM2017与ERM2004相比发生了重大变化。ERM2017要求企业在战略计划阶段就要详尽考虑可能存在的风险，不仅扩大了战略方面的讨论，也促使企业将风险与战略选择结合。目前许多组织主要关注于战略执行中的风险，但是COSO委员会认为执行风险只是战略风险的一个方面，还存在战略与使命、愿景和价值观等不一致的可能性以及战略选择对风险的影响，这两个额外的维度超出了原有的战略执行风险。ERM2017将有助于实现风险管理融入战略制定与实施过程，为企业建立有效风险管理体系提供参考和借鉴。

四、ERM2017风险管理框架的评述

为适应商业环境和风险管理实践的变化，ERM2017的确发生了巨大改变，强调风险与价值的结合，创新风险管理形式，提出通过与战略和绩效的整合，实现企业价值创造和增值。整体而言，ERM2017是一个帮助企业管理者有效处理不确定性并减少风险，进而提升企业价值创造能力的框架，其主要体现了以下特点。

（一）强调风险与价值的结合，推动风险管理更好地与企业管理融合ERM2017从企业使命、愿景和核心价值出发，定位的宗旨为提升企业的价值和绩效，强调嵌入企业管理业务活动和核心价值链，对要素和内容都进行了翻天覆地的修改，从而使得一个崭新的“管理框架”诞生。这种视角是一种新型的企业管理视角，促进了基于风险导向的管理理念的发展。企业管理领域中常见的公司治理、企业文化、战略管理、卓越绩效、危机管理、高效沟通等都可以使用此套框架实现标准化和科学化，能更好地满足企业管理层的需求，促进企业价值创造和增值。

（二）以原则为导向，强调文化在企业风险管理中的作用，具有更强的实践价值ERM2017以原则为导向，有助于管理者评估和实施风险管理。COSO委员会出台ERM2017的目的在于促进企业建立有效的风险管理体系，因此提供有用的实施标准可以帮助管理层在日益复杂的经营环境中快速、准确地评估和实施风险管理，并保证最终目标的实现。ERM2017在5个要素的基础上提出20个原则，这些原则涵盖了从治理到监督的各个方面。坚持这些原则可以为企业董事会和管理层提供合理预期，更容易让企业将实际运营与预期目标相比较，从而理解与战略相关的风险，将其控制在可接受的范围内。ERM2017强调文化在企业风险管理中的作用，有助于风险管理工作的实施与运行。作为企业文化的组成部分，风险管理文化是整个组织在日常运营活动中保持持续风险意识和诚信责任的前提条件，也是影响企业全体员工行为决策的参考标准。企业文化通过强调诚信和道德价值观影响高层管理者对风险管理的态度和意识，在企业内部形成风险管理的高层基调［18］。一方面约束管理层言行一致，切实履行风险管理的职责；另一方面也对基层员工参与并维护风险管理体系起到积极的引导作用。

（三）更好地划分风险管理和内部控制的边界，消除企业风险管理实践隐患风险管理和内部控制的界限模糊一直是风险管理实践中的重要隐患。ERM2017在第一部分应用环境中描述了风险管理和内部控制的关系：“内部控制主要聚焦在主体的运营和对于相关法律法规的遵从性上。”“企业风险管理的相关概念并没有包含在内部控制中”。为了避免重复，在内部控制中比较常见的概念部分，ERM2017并未重复叙述，例如，与财务报告目标相关的舞弊风险等。而内部控制中的一些重要概念在本框架中被进一步深化了，例如，企业风险管理中的治理和文化部分。COSO在《常见问题》解释上也表明，风险管理和内部控制两个体系并不是相互代替或取代，而是侧重点各不相同，是相互补充的关系。但同时也强调了内部控制作为一种经历时间考验的企业控制体系，是企业风险管理工作的基础和重要组成部分。ERM2017给两个体系的关系做了个“了断”，有助于风险管理实践，企业界再也不必因为对两个框架的混淆而制约了风险管理在战略实现和价值创造方面的作用。随着ERM2017新框架的颁布和实施，相信二者的关系和界限会越来越清晰。

五、结论与启示

鉴于现代企业风险管理实践的需要，ERM2017在ERM2004的基础上做了较大变化：重新定义了企业风险管理，强调风险管理与价值的关系，将企业风险管理与制定战略和实现绩效联系起来；改用价值创造链条描述风险管理要素与企业使命、愿景和核心价值观的关系，以及如何通过战略制定和具体的业务目标影响企业绩效；整合风险管理基本要素，采用原则为导向的框架帮助董事会和管理层制定和评价风险管理绩效。本文认为风险管理框架的更新对于我国建立全面风险管理体系，具有重要的参考价值。

（一）在政策层面，应当建立适应中国国情的风险管理规范体系我国当前主要依靠内部控制基本规范指导企业防范和控制风险，尚未建立独立的风险管理制度。而内部控制基本规范体系的出台，很大程度上吸收了COSO内部控制整合框架（IC－IF1992）和风险管理整合框架（ERM2004）的经验，是结合中国实际国情形成的。ERM2017的修订对于我国从战略层面重视企业风险管理，提升对风险管理重要性的认识具有积极作用。虽然我国政府和监管机构早前已经开始积极尝试建设企业风险管理的制度体系，并在2006年6月6日由国务院国有资产监督委员会印发《中央企业全面风险管理指引》，首次对中央企业风险管理问题提出技术性指导意见。但是，由于我国企业风险管理起步较晚，对风险管理理论的研究也不够深入，无法形成统一的风险管理制度。与此同时，我国民营企业数量不断增加，迫切需要适应其规模和结构的风险管理标准。因此，为进一步提升企业的经营管理水平和风险防范能力，建议监管部门聚焦我国企业的实际需求，以帮助企业提升整体管理水平，保障企业持续经营，培育企业不断发展壮大为目标，尽快出台一套为中国企业量身定做的风险管理规范，并辅以相关配套指引指导企业有效开展风险管理建设和实施工作。

（二）在企业层面，应当建立适应企业的风险管理规范体系1．塑造风险管理文化，“全方位、多举措”的宣传、培训和应用。一方面，企业风险管理是一个由人参与的过程，涉及企业各个层面的员工。企业风险管理文化确立了高层管理者对风险管理的态度和基调，强化企业风险管理的重要性并确定相应的监督责任。企业高管制定战略计划，并在其领导下开展风险管理工作，在企业范围内形成表率作用。企业基层员工通过共享风险管理文化，在风险管理过程中发挥尽职和监督角色，从而提高企业风险管理的绩效。因此，通过加强宣传，强化风险管理建设和责任意识，为企业建立有效的风险管理体系奠定良好的环境基础，促使企业人员主动加入到全面风险管理的行动中来。2．企业内部建立风险管理委员会，明确关键人员职责，强化风险管理的三道防线。风险管理是一个长期动态的过程，因而建立统一的部门指导和监督，明确和分配职责定位就显得尤为重要。为了确保所有重大风险都能得到适当的解决，就必须协调和强化风险管理三道防线的关系。其中，第一道防线的运营管理主要负责使用各种方法管理和控制企业风险。第二道防线的管理层提供有关风险的专业知识，帮助指导实施战略，并协助政策和程序的执行。而处于第三道防线的内部审计则通过独立审计，向董事会和管理层报告风险和控制的有效性。这三道防线为企业提供了灵活、可操作的架构，用来支撑风险管理政策的落实。3．积极探索IT与风险管理结合，促进IT风险管理应用。毕秀玲和刘延芳认为信息技术的快速发展以及互联网的普及改变了商业运营环境，在给企业发展带来重大机遇的同时，也给企业管理带来了新问题［19］。林斌等研究发现，COSO内部控制框架对此提炼了单独的原则，日本的内部控制规定也将其作为完整的要素［20］。从企业自身风险管理过程来看，进行全面风险评估，针对“导致无法实现企业目标的风险”采取必要的控制活动是风险管理的核心阶段。而这一阶段是否有效与先进的信息和沟通系统密不可分，利用IT促进风险管理信息的整合与共享，发挥在信息和沟通中的作用，将对企业风险管理过程具有积极的促进作用。因此，企业应当充分认识到IT技术的重要性，将IT技术融入企业风险管理过程，提高风险管理水平，推动企业目标实现。

作者：舒伟1，左锐1，陈颖2，文静1 单位：1．西安财经学院商学院，2．上海立信会计金融学院