COSO風險管理框架演進及其新進展

楊紀紅

【摘要】2016年，COSO發布了《風險管理框架——協調風險、戰略以及業績》（征求意見稿），對其2004年的《企業風險管理框架》進行了修訂。新風險管理框架對風險的定義進行了澄清，并對新框架的結構進行了調整。本文在回顧COSO風險管理框架演進過程的基礎上，重點介紹最新風險管理框架的變化，以期為理解框架提供參考。

【關鍵詞】企業風險管理框架 風險偏好 風險容忍度 風險組合

全美反虛假財務報告委員會下設的發起人委員會（The Committee of Sponsoring Organizations of the Treadway Commission，COSO）從 2001年起就致力于企業風險管理框架的研究，并于2004年發布了《企業風險管理框架》。過去10年間，風險的復雜程度不斷加大，出現了一些新的風險，COSO對企業風險管理有了新的認識，2016年發布了題為《企業風險管理——協調風險、戰略以及業績》（以下稱新版RMF框架）的征求意見稿。本文對《新版RMF框架》進行分析解讀，以期為理解《風險管理框架——協調風險、戰略以及業績》及開展風險管理研究，提供借鑒與參考。

一、COSO風險管理框架演進過程

（一）從《內部控制整合框架》到《企業風險管理框架》

1985年，由美國注冊會計師協會、美國會計協會、財務經理人協會、內部審計師協會、管理會計師協會聯合成立了反虛假財務報告委員會，目的在于探討財務報告中舞弊產生的原因及其解決方法。1987年，該委員會的贊助機構成立了COSO委員會，致力于研究內部控制方面的問題。1992年，COSO委員會發布了著名的COSO報告——《內部控制整合框架》，并于1994年對該報告進行了增補。該框架自發布以來，在全球得到了廣泛認可和應用，理論界和實務界不斷對其提出改進建議，強調內部控制整合框架應與企業風險管理相結合。

COSO委員會從2001年開始致力于企業風險管理方面的研究，并于2004年頒布了《企業風險管理框架》（Enterprise Risk Management Framework，ERM），為企業風險管理提供了理論框架和應用指南。相對于內部控制整合框架，2004年的《企業風險管理框架》新增加了（風險組合觀）、一個目標（戰略目標）、兩個概念（風險偏好和風險容忍度）和三個要素（目標制定、事項識別和風險反應），強調內部控制是企業風險管理必不可少的一部分，風險管理框架的范圍比內部控制框架的范圍更廣泛，是對內部控制框架的擴展。

（二）從《企業風險管理框架》到《企業風險管理——協調風險、戰略以及業績》

自2004版《企業風險管理框架》發布以來，實施該框架的企業面臨各種問題：一是美國上市企業不得不全力以赴應對《薩班斯法案》的合規工作；二是企業風險管理的實施范圍往往并不面向整個組織機構，并且很少被運用到戰略制定中；三是COSO在編制框架時采用了類似于內部控制框架所使用的“立方體”結構，許多企業試圖在過于細微的層面實施該框架；四是許多組織機構將企業風險管理作為保證活動來實施，而不是將其視為更佳的企業管理方式，如運用于流程層面而非戰略制定層面，企業風險管理的實施活動也因此陷于細節的泥潭，令許多高管很快失去興趣；五是2008年金融危機所引發的經濟大蕭條，令許多企業進入危機應對模式，企業風險管理的實施也因此受到影響。因此，企業風險管理框架在早些年并未被廣泛接受和應用。

正是由于金融危機帶來的慘痛教訓，企業高管逐漸意識到有效風險管理的重要性，從而引起整個企業對有關風險事項的關注和重視。人們開始對風險管理框架做出更明晰闡釋的呼聲日漸高漲。自2014 年起，COSO啟動了修訂項目，對2004年的《企業風險管理框架》進行修訂，并于2016年發布了題為《企業風險管理——協調風險、戰略以及業績》征求意見稿。征求意見稿中重新定義了風險，放棄了原框架中的“立方體”結構，改為慣用的要素和原則結構，重點關注如何使企業風險管理在組織機構內行之有效。

二、新版《企業風險管理框架》變化

（一）采用了要素和原則結構

COSO的舊版ERM框架是從內部控制框架演變而來的，采用的是“立方體”結構，包括4個目標（合規、報告、經營、戰略）、4個層級（總部、分部、業務單位、附屬機構）、8個要素（內部環境、目標設置、事件識別、風險評估、風險反應、控制活動、信息與溝通、監控）。

新版ERM采用了要素和原則結構，包括5個要素和23條原則，其主要結構如下表所示。

新版ERM采用了要素和原則結構，設置了5個要素與相應的原則間的對應關系，是整個文件的目錄，從而增強了企業風險管理框架可讀性、有用性和內在一致性。

（二）簡化了企業風險管理的定義

1.關于風險的定義

COSO舊版ERM框架中沒有對風險提出明確的定義，但是將風險清楚地描述為：“事件可能會帶來負面的影響，也可能會帶來正面的影響，抑或二者兼而有之。帶來負面影響的事件代表風險，會妨礙價值創造或破壞現有價值。帶來正面影響的事件可能會抵消負面影響，或者說代表機會?！笨梢钥闯?，舊版ERM認為風險是純粹負面的，這種認識顯然無法滿足風險管理應用于決策過程的需要。

新版ERM框架將風險定義為：“風險——影響戰略和經營目標實現的事項發生的可能性?！睆亩x中可以看出，新版ERM框架沒有明確風險是負面的還是雙向性的。結合新版ERM框架的整體內容看，新版ERM框架中風險的定義是雙向性的。

2.關于企業風險管理的定義

COSO舊版ERM框架中對企業風險管理的定義為：“企業風險管理是企業的董事會、管理層和其他員工共同參與的一個過程，應用于企業的戰略制訂和企業的各個部門以及各項經營活動，用于確認可能影響企業的事項并在其風險偏好范圍內管理風險，對企業目標的實現提供合理保證?！?

新版ERM框架中將企業風險管理定義為：“全面風險管理——組織在創造、維護和實現價值的過程中，進行風險管理所賴以依靠的、與戰略和執行緊密結合的文化、能力和實踐?！毕啾戎拢掳鍱RM框架不只是過程，還包括文化、能力和實踐，不僅保障價值不被侵蝕，更突出價值創造。

（三）強調風險和價值間的關系

舊版ERM框架關注的重點是避免價值受到侵蝕，將風險最小化至可接受的水平。新版ERM框架強調了風險管理在創造、保留和實現價值過程中的重要作用，應將風險管理視作企業在制定戰略和識別機會，從而創造和保持價值過程中不可或缺的一部分。風險管理不再是簡單地將風險水平控制在目標水平之下，而是動態地貫穿于企業價值鏈的全過程，成為企業價值管理中不可缺少的一部分。

（四）重申ERM的整體性

新版ERM框架強調了組織運營中所有層面風險管理的整體性，將風險管理框架整合到企業戰略制定、經營目標制定及戰略和目標的執行中。新版ERM框架鼓勵使用者將風險管理視為其組織管理的有機組成部分，而不是附加的或獨立的活動。通過支撐企業的運營、管理業績從而最終為企業創造、實現和保留價值，企業風險管理的重要作用得以發揮。如新版ERM框架沒有涉及風險報告，而是強調報告風險對組織業績、戰略和經營目標實現所產生的潛在或實際影響。

（五）審視了文化的作用

文化在企業風險管理中的重要作用，被引入到新的ERM框架中。風險治理明確了組織的基調，而文化包含了組織的道德價值、期望行為及對風險的理解。文化與業務環境之間的關系反映了戰略的選擇和執行方式。在對企業風險進行監控的同時，需要研究如何塑造企業文化，并且要關注文化對其他風險管理要素的影響。如新版ERM框架在一開始就明確了文化和業務環境之間的關系，這種關系影響到企業戰略的選擇和執行。更重要的是，這種關系為風險的識別、評價以及針對風險如何分配資源，提供了環境。

（六）加強了對風險和戰略的討論

新版ERM框架認識到：當企業的戰略選擇與企業的使命、愿景、核心價值不協調時，企業可能會發生重大失敗。即使企業的戰略選擇與其使命、愿景、核心價值相協調，許多企業也沒有意識到戰略選擇對風險組合的重要性。有些企業甚至沒有意識到業務層面的細微失敗，從而使其上升到了整體層面，威脅到了企業的長期生存。

與舊版ERM框架相比，新版ERM框架提升和擴展了對風險和戰略的討論，主要關注以下三方面：一是戰略和經營目標、組織使命、愿景和價值不匹配的可能性；二是風險對已選戰略的影響；三是戰略執行中的風險。通過區分風險對戰略影響的三種可能表現形式，新版ERM框架對風險管理的重要性進行了更詳細的分析。

（七）提升了業績與風險管理的一致性

新版ERM框架強調了組織風險和其業績之間的關系。風險如何作為企業確定其經營目標和業績目標的重要組成部分，新版ERM框架主要關注以下方面：一是企業風險管理實踐支撐企業風險的識別和評估，企業的風險識別和評估可能會影響業績目標選擇；二是通過確定可接受的績效偏差，新版ERM框架的使用者能夠理解業績的變化如何影響經營目標中風險組合的變化，反之亦然；三是新版ERM框架強調風險評估和風險報告并不是為了生成風險清單，而是為了強調風險對戰略和經營目標實現產生的影響。

為了強調風險管理和組織業績間的重要關系，新版ERM框架引入了“風險組合”圖，該圖用以描述既定戰略和經營目標下，風險類型和風險程度對組織經營業績變化的影響。此外，新版ERM框架還考慮了企業的風險偏好，指出風險偏好型企業可以尋求更多機遇。通過引入風險偏好、業績、風險容忍度概念，風險組合圖中對風險提供了動態、全面的視圖，便于企業在衡量風險中做出更明智的決策選擇。

（八）將企業風險管理明確地鏈接到決策過程中

企業價值鏈的每個環節，都會涉及決策問題。由于企業要尋求創造，實現和保留價值，決策便涉及戰略選擇、經營目標和業績目標的設定及資源的分配。將風險管理的思想整合到企業的整個生命周期中，有助于企業帶有風險意識地做出決策。

新版ERM框架逐步探究了與風險組合相關的信息如何加強了整體決策。包括對風險程度和風險類型的理解，經營環境的影響，對識別和評估風險所基于假設的理解，以及企業的風險文化和風險偏好。

（九）描述了企業風險管理與內部控制的關系

為了反映技術和商業環境的變化，COSO在2013年更新了內部控制框架，涵蓋5大單元和17項原則。新版ERM框架將不會取代這個內部控制文件。這兩個框架雖然是分開設計，但內容相互補充。為避免重復，兩個報告中內部控制相同的方面沒有在新版ERM框架中重復描述，如控制活動。但內部控制整合框架中有關風險管理的監管內容，在新版ERM框架中作了進一步討論。

（十）完善了風險偏好和風險容忍度的定義

新版ERM框架完善了風險偏好和可接受的績效偏差（通常稱為風險容忍度）的概念。風險偏好仍然被定義為，企業在追求戰略和業務目標過程中愿意承受的風險量。而風險容忍度不再是風險偏好的細化指標，要與業績水平相聯系。在風險組合圖中，風險偏好與業績線的垂直交叉面表示風險容忍度。新版ERM框架在定義風險容忍度時，關注的是在業績水平給定的情況下，確定可接受的風險量。在特定的業績水平范圍內，組織能夠清楚地界定可接受風險的范圍。這使組織能夠更好地評價業績水平的變化，是否仍然保持在風險容忍度范圍內。組織在評價風險和業績時，不應將風險和業績看作靜態和相互獨立的，而應該是不斷變化和相互影響的。

三、結論與展望

新版ERM框架的標題暗示了風險與戰略以及企業績效間日益重要的關系。新框架公開征集意見工作現已結束，最終版本將于2017年正式公布。期望新版ERM框架可以實現COSO所預期，能夠被更廣泛、更有效地運用到企業的經營和決策中。

參考文獻

[1] 朱榮恩，賀欣.內部控制框架的新發展——企業風險管理框架COSO委員會新報告《企業風險管理框架》簡介[J].審計研究，2003（6）.