COSOERM框架的新動向

周婷婷 張浩

【摘 要】 2017年9月6日，美國反虛假財務報告委員會下屬的發起人委員會（COSO）正式發布《企業風險管理——與戰略和績效的整合》，這是基于2004年《企業風險管理——整合框架》的首次更新，相較于2004版框架，這次更新是風險管理理念上的一次飛躍。2004版框架著重于風險視角下的企業管理要素的整合，2017版框架則直接從企業治理的角度將風險管理融入貫穿于企業戰略、績效和價值提升之中，為真正將風險管理融入企業治理打下了基礎。文章采用文獻研究法，梳理了COSO風險管理框架發展脈絡，解讀新框架的關鍵變化，介紹COSO風險管理的新思維，反映企業風險管理思想和實務的演變，并為我國企業更好地適應經濟全球化趨勢下的風險管理提供啟示與借鑒。

【關鍵詞】 COSO； 企業風險管理； 戰略績效； ERM框架

【中圖分類號】 F272.3 【文獻標識碼】 A 【文章編號】 1004-5937（2018）17-0082-04

一、引言

2017年9月6日，美國反虛假財務報告委員會（Treadway）下屬的發起人委員會（COSO）正式發布《企業風險管理——與戰略和業績的整合》（Enterprise Risk Management——Integrating with Strategy and Performance），簡稱ERM（2017）框架。此次更新相較于2004年的《企業風險管理——整合框架》，在風險管理理念上是一次飛躍。從2017年框架名稱的變化上就可以看出，此次更新注重的是風險管理戰略和業績的整合。自2004年《企業風險管理——整合框架》發布以來的十余年間，董事會和管理層普遍增強了風險意識，加強了對風險的監管。但同時，風險管理的復雜性也發生了深刻變化，新的風險不斷出現。各種組織特別是企業需要新的思維來應對這種變化。因此，2017年的更新是一次思想的革新，并不涉及風險管理技巧和方法。2017版框架的摘要中就指出，采用ERM（2017）框架并不是一個強制性要求，2004版《企業風險管理——應用技術》的內容依然被保留。

對COSO風險管理框架發展歷程進行了梳理，并嘗試解讀ERM（2017）框架的關鍵變化，結合未來趨勢為中國企業風險管理提出建議。

二、COSO ERM框架的歷史脈絡

內部控制是社會經濟發展的產物。內部控制理論與實踐大體上經歷了內部牽制、內部控制系統、內部控制結構和內部控制整體框架四個不同的階段，并已初步呈現內部控制與企業風險管理整合框架交融發展的趨勢[1]。

1992年，COSO發布了“三目標”和“五要素”組成的《內部控制——整合框架》，并于1994年增加了與“保障資產安全”有關的控制。基于21世紀初美國上市公司的系列財務丑聞，2002年頒布的薩班斯-奧克斯利法案（Sarbane-Oxley Act）第404條款要求公眾公司建立有效的內部控制體系，確保提供給投資者的財務報告有效可靠。盡管1992版內部控制框架獲取世界各國的廣泛認可和應用，但由于框架的局限性：過于注重財務報告，缺少關注企業風險的戰略、全局意識，2004年COSO以1992年內控框架為基礎正式頒布《企業風險管理——整合框架》，強調內部控制是企業風險管理不可或缺的部分，引入風險組合觀，正式提出并形成了全面風險管理的基本概念和框架體系。

為應對企業經營和業務環境的復雜變化，2013年5月，COSO發布修訂版內部控制框架，提議2014年12月15日以后用該框架取代1992版原框架，并修訂原框架下的2006版《較小型公眾公司財務報告內部控制指南》[2]。2014年，COSO啟動修訂ERM框架工作，于2016年6月發布征求意見稿《企業風險管理——與戰略和績效協同》（Enterprise Risk Management——Aligning Risk with Strategy and Performance）。2017年9月，COSO正式發布更新版ERM框架，聚焦風險管理工作與戰略和績效的融合，以期切實有效地提升企業價值。

COSO主席Hirth描述“風險的復雜程度日益變化，新風險也逐漸出現”，ERM（2017）框架正是面對復雜多變的外部環境和日益更新的技術變革的一次升級換代。當前世界經濟正呈現全球市場一體化、實體與虛擬經濟共存、電子商務一體化等趨勢[3]，而新框架反映了當前和不斷發展的企業風險管理的概念和應用，強調了企業風險管理的發展演進，通過改進風險管理方法滿足組織在變化發展的商業環境中的需要。具體來說，它為戰略提供了更廣闊的視角，顯示了企業風險管理與主體的戰略、商業目標和績效的協同性，包含了對治理和監管的期望，全球范圍的組織可以從企業風險管理中獲得更好的價值。

楊紀紅[4]指出，許多企業按照2004版ERM框架構建企業風險管理體系卻發現諸多問題：如風險管理實施范圍面向局部、拘于細節、認知不當等。追根溯源，主要因為2004版ERM框架是在1992版《內部控制——整合框架》的基礎上加以拓展的。兩個框架雖然愿景、目標不同，但內容重合度極高，在實務中經常會出現混淆。企業風險管理和內部控制兩者之間的模糊界限，使企業缺乏明確的指引，從而造成為滿足形式合規而發生管理混亂和資源重復投入，甚至導致大量企業倒閉破產。因此，要求出臺更加明晰的企業風險管理框架的呼聲日益高漲。據此，COSO更新框架，站在更高、更全面的角度來思考企業的管理活動以及解決內部控制體系的局限性，提出通過整合企業風險管理來創造價值并合理保障公司戰略目標的達成。

三、ERM（2017）框架的重要變化

此次框架的變化基本反映了企業風險管理的思想和實務的演變。2004版框架著重于風險視角下的企業管理要素的整合，2017版框架則直接從企業治理的角度將風險管理融入貫穿于企業戰略、績效和價值提升之中。2004版框架處處強調風險，2017版框架則化風險于無形，在2017版框架的五大要素中沒出現“風險”一詞。甚至，“風險”的內涵和外延也發生了變化。這反映出COSO將風險管理融入企業治理大框架的思想轉變。2017版框架中特別對風險框架和內控框架的關系做了明確的說明，厘清了業界長期以來認為“內控框架是風險框架的子集”的誤解。

（一）調整了框架結構

一改2004版框架由8要素、4目標、4層級所構成的立方體結構，新版框架采用的是5要素20原則的框架結構形式[5]。表1通過列表對比新舊ERM框架下的要素變化，突出了新框架關注企業治理與文化，強調風險管理與戰略、目標設定、績效的緊密關聯，從而達到保持和創造企業價值的目標。此外，新版框架所列示的每項原則代表著一個與基本要素關聯的基本概念——處于商業環境下的企業風險管理關鍵點。在2013年《內部控制——整合框架》更新時也是采用這樣的書寫形式，通過總體原則描述強調目標的實質性而非流程的形式性。這種結構的好處是加強了框架的可讀性、可操作性和內在一致性，避免了考慮一應俱全可能性的煩瑣以及因時代更迭所造成更新滯后的缺點。ERM（2017）框架5要素與20項原則詳見表2。

ERM（2017）框架中盡量避免使用“企業”一詞，而是用“組織”來體現框架對不同主體的包容性。風險管理能夠并且應當應用于任何類型的組織，從小公司、社區企業，到政府組織。目前而言，運用風險管理框架指導非營利組織和政府組織的實踐仍需要時間驗證。

（二）重新定義了風險相關概念

首先，新框架強調了風險帶來影響的雙重概率。2004版框架將風險描繪為“事項發生并給目標實現帶來負面影響的可能性，它會妨礙價值創造或者破壞現有價值”，而機會被認為是能帶來正面影響或抵消負面影響的事項[6]，可見風險被看作是一種應該被抑制的負面概率，而機會則是保持或創造價值的正面概率。新框架將風險定義為“事項發生并影響戰略和商業目標實現的可能性”，反映了COSO對風險認知的更新，結合ERM（2017）框架整體內容，這里的風險具有雙向性，既存在未能防范或降低負面影響引發的價值破壞，又突出強調可能通過主動識別和管理獲取機會和機遇從而維系或創造新價值。

其次，新框架更改了企業風險管理的定義。2004版將企業風險管理定義為“由企業全員參與實施、旨在合理保障目標實現的一個過程”。新版框架認為企業風險管理是一種將組織和戰略設定整合的“文化、能力和實踐”[7]。文化是治理和主體監管背景下主體的價值觀、行為準則和對風險的理解，需關注文化與商業環境的關系以及它們對戰略的選擇與執行所造成的影響；能力是指由于風險的不斷變化，面臨挑戰組織如何適應變化的生存和發展能力；實踐是組織在實務操作中受到文化影響和能力制約所形成的現實活動。2004版框架定義中強調風險管理是一種內控活動，新版定義中更傾向認為它是一種有利于企業價值提升的綜合治理活動，是整合融入商業運營各方面并進行主體管理決策的一部分，它涵蓋了治理、績效管理和內部控制工作。

此外，新框架優化了風險偏好與風險容忍度的概念。風險偏好被定義為一個主體為追求它的戰略和商業目標所愿意承受的風險量，但新版增加了風險的類型。新框架認為風險偏好應最先體現在企業的使命和愿景上，組織再根據自身的風險偏好來管理戰略和商業目標的風險。另一方面，風險容忍度不再是風險偏好的量化、具體化，而是用績效語言表達。通過更為直觀的圖表形式如風險績效圖，展現風險和績效兩者之間相互關聯、相互影響的關系，組織可以清晰看出一定績效目標下的可承受風險范圍，并據此評估組織可以接受績效的變化區間。

（三）厘清了內控框架和ERM框架的關系

在新框架中，內部控制被定位為企業風險管理的一個基本方面；ERM（2017）框架和2013年《內部控制——整合框架》是兩個互有側重、互為補充的非替代體系；2013年《內部控制——整合框架》包含了內控，保持了一個保障設計、運行、實施和評估內控有效性和符合法律要求的報告的可行合適框架，并會被引用到ERM（2017）框架中；ERM（2017）框架關注那些超越了內控的重要問題。為了明確劃分ERM（2017）框架和2013年內部控制框架，ERM（2017）框架的5要素均不包含“風險”一詞，也不再單獨提到風險報告，只是對影響戰略和商業目標達成以及績效實現的潛在或現存風險進行報告；全部刪除2004版ERM框架中關于“控制活動”的內容，把控制活動內容留給了內部控制框架。

（四）更加關注風險管理對戰略及績效的影響

新框架強調了風險管理和戰略及績效的關系，將其融入管理決策的各個流程環節中，特別是主體的核心業務，提升主體創造和保護最終實現價值的能力。

1.提升了風險管理戰略層面的討論

企業風險管理不再是獨立的工作，而是在參與制定戰略和商業目標的過程中與主體的戰略計劃相融合，協助管理層了解主體的整體風險狀況，提供各種替代策略應對風險狀況的影響。近年來很多事件證實，戰略選擇與主體的使命、愿景、核心價值不匹配時，企業可能經營不佳、甚至倒閉破產，如柯達公司。因此，新框架就以下方面進行了深入研討：戰略選擇與主體的使命、愿景、核心價值協同的重大現實意義；如何理解已選戰略背后的風險內涵；戰略執行中的風險等。

2.增強了風險管理與績效的協同性

風險管理除了內部控制還涉及其他主題，如治理和文化、戰略和目標設定、績效評估以及與利益相關者溝通。表2列示的20項原則中績效要素中包含的風險管理常規內容最多、最為突出（原則11-14），其他4要素均只有1或2項，這表明了風險管理與績效協同的重要性與必要性。新框架探索了企業風險管理實踐識別與評估影響績效實現風險的路徑，要求風險管理是設定商業目標、實現績效的關聯部分，并列舉多種報告風險概況圖來展示績效與商業目標下的風險概況的變化關聯性。

3.明確提出將企業風險管理納入決策流程

為了追求創造、保持和實現價值，所有主體核心價值鏈上的每個環節都會面臨大量的決策。決策的內容通常包含戰略選擇、商業目標和績效目標設定、資源配置等。因此，企業風險管理應當整合融入主體整個生命周期的各個環節中，從而支持各種具有風險意識的決策。

4.強調了險管理與價值創造的關系

舊框架僅體現了內部控制基礎上間接創造的利益相關者價值；新框架則從企業使命、愿景和核心價值觀出發，強調風險管理嵌入企業管理業務活動和核心價值鏈，以便管理層發現新的發展機遇。企業風險管理不再簡單地關注如何預防價值侵蝕和降低風險至可接受的水平，而被看作是不可或缺的戰略設定和緊抓機遇創造、保持價值的一部分。

四、借鑒與展望

總體來看，ERM（2017）框架完善了舊框架中的核心定義，不再是“大內控”框架，而是順應經濟全球化背景下市場與運營模式的變化，定位風險管理對現有的管理體系和職能的整合強化，進而更新風險管理工作者的理念和實踐活動，提出了一個更能滿足決策層和管理層需要的嶄新管理框架，直接為價值創造服務。

COCO報告指出，大數據、人工智能、自動化應用、成本控制等的發展趨勢對企業風險管理有著很大的影響。因此，中國企業應當結合新發布的ERM框架，認清當前形勢，順應變化、抓住機遇、壯大自我，盡快研究符合中國特色道路的風險管理最佳實踐。可以從以下方面入手：第一，面對“互聯網+”背景下的大數據以及數據分析速度急劇加速，企業風險管理應當更新其信息、溝通與報告的工具、手段，以全新的方式構建來源于內部和外部的數據整合，采用高級分析方法和數據可視化工具，全面理解變化中的風險和風險的雙面影響。第二，充分考慮人工智能和自動化對行業、組織的重大影響，以動態、全局的風險意識來關聯和發現新的趨勢和模式，豐富企業風險管理的信息資源和價值創造來源。第三，在風險管理實踐過程中，對比合規成本、控制活動成本、治理成本等據此創造的價值，通過整合提高效率效果，為組織創造最大化的價值。第四，緊密結合風險管理與戰略和績效的設定、實現過程，提高更新風險意識，協助組織及時識別風險，避免不利因素，抓住有利時機，實現組織的可持續發展和相關者利益最大化。

【參考文獻】

[1] 方紅星，池國華.內部控制[M].3版.大連：東北財經大學出版社，2017.

[2] 王瑞龍，張浩.COSO內控框架的最新發展及啟示[J].會計之友，2014（8）：52-55.

[3] 林斌，舒偉，李萬福.COSO框架的新發展及其評述——基于IC-IF征求意見稿的討論[J].會計研究，2012（11）：64-73，95.

[4] 楊紀紅.COSO風險管理框架演進及其新進展[J].新會計，2017（5）：62-64.

[5] COSO. Enterprise risk management-integrating with strategy and performance （2017） executive summary[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf.

[6] COSO.Enterprise risk management-integrated framework executive summary[EB/OL].（2004-09-29）[2018-01-08].https：//www.coso.org/Pages/erm-integratedframework.aspx.

[7] COSO.Enterprise risk management—integrating with strategy and performance（2017） frequently asked questions[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/COSO-ERM-FAQ-September-2017.pdf.