《COSO企业风险管理?战略与绩效的整合》和ISO 31000对比解读

董贞良

信息安全管理系列之四十四

《COSO企业风险管理 战略与绩效的整合》和ISO 31000：2018《风险管理 指南》是目前在业界应用最广泛的两个框架，也是信息安全风险管理的基础标准之一。本系列在2016年第4期和第5期，分别介绍了信息安全风险管理的词汇及其相关标准，在其中对这两个标准也有涉及。下文中对这两个标准的最新版本进行了对比解读。

谢宗晓（特约编辑）

摘要：论文解读了2017版本的《COSO企业风险管理 战略与绩效的整合》和2018版本的ISO 31000《风险管理 指南》，并对两者进行了对比。

关键词： 信息安全 COSO ISO 31000 风险管理

The Comparative Interpretion of COSO Enterprise Risk Management—Integrating with Strategy and Performance and ISO 31000：2018 Risk Management—Guidelines

Dong Zhenliang   （Information Center The People's Bank Of China ）

Abstract： This article interprets COSO Enterprise Risk Management—Integrating with Strategy and Performance and ISO 31000：2018 Risk Management—Guidelines， and compares the two.

Key words： information security， COSO， ISO 31000， risk management

美国反虚假财务报告委员会下属发起的组织委员会（下文中简称COSO）1）于2004年发布了《企业风险管理 综合框架》，2017年9月，该报告更新为《企业风险管理 战略与绩效的整合》（下文中简称《COSO企业风险管理》）。2018年，国际标准化组织（ISO）更新了ISO 31000《風险管理 指南》。本文介绍上述两个标准，并围绕其中重点概念进行对比分析。

1 《COSO企业风险管理》

《COSO企业风险管理》包括两部分，第一部分提供了一个对现有的和正在发展的企业风险管理概念和应用的观点，第二部分是框架的内容，包括了不同的视角和组织结构，增强了企业在战略选择、执行和决策过程中对风险的考虑。

COSO框架广泛被应用以加强组织管理不确定性的能力，增强组织考虑可以接受的风险大小以增加组织价值。2017版更新后的框架提供了对战略和企业风险管理在战略设置和执行方面更加深入的认识，增强了组织层面业绩和企业风险管理的一致性，适应治理和监管的预期。新版主要的变化体现在，采用了一个组件和原则的结构，简化了企业风险管理的定义，强调了风险和价值的关系，重新更新了对企业风险管理整合的关注，审视了企业文化的角色，评估了战略讨论，增强了绩效和企业风险管理的整合，更加明确地关联企业风险管理和决策。

《COSO企业风险管理》对风险和风险管理的定义如下：

风险：事件将要发生并影响战略和业务目标实现的可能性。

风险管理：组织依赖的文化、能力、实践同战略制定和绩效相整合，以管理其在创造、保留和实现价值方面的风险。

《COSO企业风险管理》框架由五大关联的要素组成，该五大要素由20项关联原则提供支持，这些原则涵盖了从治理到监督的各个方面，遵循这些原则可就企业如何结合战略和业务目标进行风险管理，为董事会和管理层提供了合理预期，这20条原则也是实施企业风险管理的步骤。

1.1 治理和文化

机构的董事会对治理和风险管理的影响很大，本框架使用术语“董事会”代表治理主体，包括董事会、监管层、普通合伙人或所有者。董事会独立于管理层，在执行监督职责时可提供合适水平的行业、商业和技术保障。另一个对机构风险管理产生关键影响的是文化。文化支撑了机构使命和愿景的实现。一个具有风险管理意识文化的机构强调管理风险的重要性，鼓励风险信息透明、及时流动。

原则1：履行董事会的风险监督职能 董事会对战略实施监督，履行治理职责，支持达到战略和业务目标的管理。

原则2：建立运营架构 组织建立运营架构实现战略和业务目标。

原则3：定义理想的企业文化 组织定义可代表其理想文化的预期的行为。

原则4：致力于实现核心价值 组织彰显可实现其核心价值的承诺。

原则5：吸引、培育和留住人才 组织致力于构建符合其战略和业务目标的人力资本。

1.2 战略和目标设定

每个机构都有战略，以实现其使命和愿景，产生价值。评估战略是否与其使命、愿景、核心价值一致是具有挑战性的，该评估实施的必要性也是很有挑战的。通过整合机构风险管理和战略设置，组织可以了解战略和业务目标的风险画像和分布。这样可以指导组织强化其战略和执行战略必须的任务。机构风险管理、战略和目标制定在战略规划中应共同发挥作用。企业建立风险偏好与战略相协调，业务目标应将战略付诸于实践，并作为识别、评估和应对风险的基础。

原则6：分析业务环境 组织考虑业务环境对风险分布的影响。

原则7：定义风险偏好 组织定义在创建、保留和实现价值背景下的风险偏好。

原则8：评估备选战略 组织评估可替代的战略和对风险分布的潜在影响。

原则9：制定业务目标 组织在整合和支持战略的多个层次构建业务目标时均考虑风险。

1.3 执行

识别、评估和响应影响机构战略和业务目标实现的风险可进一步帮助组织创建、保留和实现其核心价值，并减少核心价值侵蚀。这部分框架组件关注支持组织决策和实现战略、业务目标的实践。组织使用他们的操作结构开发一个实践，这个实践可以：识别新的和正在蔓延的风险使管理层能及时采取方式部署风险响应措施;评估风险的严重程度，了解风险如何根据机构的水平变化;对风险排序，使管理层对高级别风险优先分配资源;识别和选择风险应对措施;开发一套风险组合强化组织明确其实现战略和机构层面业务目标的风险大小的能力。

原则10：识别风险 组织识别影响战略和业务目标绩效的风险。

原则11：评估风险的严重程度 组织选择合理的评估方法评估不同层次风险的严重程度。

原则12：风险排序 组织对风险进行排序，作为选择风险应对措施的基础。

原则13：执行风险应对方案 组织定义、选择、部署风险应对方案。

原则14：建立风险组合观 组织开发和评估风险的组合观。

1.4 检查与修正

组织的战略或业务目标，组织风险管理能力随时间变化应适应不断转型变化的业务环境。此外，组织操作的业务环境也会变化，导致现有的实践不再适应或足以支持当前的业务目标实现。组织必须不断修正其实践或增加其能力。

原则15：评估重大变化 组织识别和评估对战略和业务目标产生重大影响的变化。

原则16：检查风险和绩效 组织将检查活动整合到业务实践中，检查其绩效，考虑风险。

原则17：企业风险管理改进 组织抓住机会致力于组织风险管理的持续改进。

1.5 信息、沟通和报告

技术和业务的进步导致了数据规模的指数级增长，极大增加了对数据的关注。当今，组织受到数据量和数据处理、规划、存储速度增长的极大挑战。使用这些可用数据，组织会受到“信息过载”的负担。在这种环境下，组织在正确的时间，以正确的格式，提供各个层面正确的信息给正确的人非常重要。组织将数据处理为涉及利益相关者、产品、市场和竞争者行为的信息。通过他们的沟通渠道，他们可及时向目标群体提供相关信息。组织可结构化数据和信息到一致的目錄上。通过这种方式，他们可识别影响组织战略和业务目标的风险。

原则18：运用信息和技术 组织运用其信息技术和系统支持企业风险管理。

原则19：沟通风险信息 组织使用沟通渠道支持企业风险管理。

原则20：汇报风险、文化和绩效 组织在其内部的不同层面汇报风险、文化和绩效。

2 ISO 31000：2018《风险管理 指南》

ISO 31000：2018提出了实现风险管理的途径、原则和框架，适用于任何组织，提供了管理各类风险的通用方法。该标准主要为组织通过管理风险、作出决策、制定和达到目标、管理绩效以创造和保护价值的人员使用。

ISO 31000：2018提出，管理风险是一个不断迭代的过程，可帮助组织设计战略、实现目标和作出决定。管理风险是与组织相关的所有活动的一部分，包括和利益相关方的交互。管理风险要考虑内外部的环境，包括人的行为和文化因素。

同ISO 31000：2009相比，ISO 31000：2018主要有以下变化：一是审查风险管理的原则，这是风险管理成功实施的关键;二是关注最高管理者的领导，他们应该确保风险管理融入到所有组织活动中，从组织的治理开始;三是更强调风险管理的迭代性质，利用新的经验、知识和分析来修改过程每个阶段的要素、行动和控制;四是精简内容，更专注于维护开放系统模型，该模型定期与外部环境交换反馈，以适应多种需求和环境。ISO 31000：2018中对风险和风险管理的定义如下：

风险：不确定性对客体的影响。

风险管理：引导和控制组织对于风险的协调   活动。

ISO 31000：2018提出了8个风险管理原则、5个步骤组成的风险管理框架和6个要求组成的风险管理过程，见图1。与2009版相比，风险管理框架中加入了整合的要求，并提出风险管理是所有组织活动不可分的一部分，强调将风险管理与组织的所有活动整合。ISO 31000：2018还对高级管理层提出了要求，从组织治理的角度开展风险管理工作。

其他相关的风险管理的国际标准如IEC 31010：2009《风险管理 风险评估技术》，是一个ISO 31000的支持标准，为风险评估的系统性的技术选择和应用提供指导，包括术语、风险评估概念、风险评估流程、风险评估技术选择和2个参考性附录。该标准不用于认证、管理或合同使用，不专门针对安全，是通用的风险管理标准。

4 小结

通过对《COSO企业风险管理》和ISO 31000：2018《风险管理 指南》的简要介绍和对比分析，可以启发企业董事会、管理层从实践的角度把握不同框架性文件的要求，整合实施内部风险管理活动。

参考文献

谢宗晓. 信息安全管理体系实施指南（第2版）[M]. 北   京：中国质检出版社/中国标准出版社，2017.

甄杰，谢宗晓，林润辉. 治理机制、制度化与企业信息安全绩效[J]. 工业工程与管理，2018，23（03）：177-184.