COSOERM框架的新动向

周婷婷 张浩

【摘 要】 2017年9月6日，美国反虚假财务报告委员会下属的发起人委员会（COSO）正式发布《企业风险管理——与战略和绩效的整合》，这是基于2004年《企业风险管理——整合框架》的首次更新，相较于2004版框架，这次更新是风险管理理念上的一次飞跃。2004版框架着重于风险视角下的企业管理要素的整合，2017版框架则直接从企业治理的角度将风险管理融入贯穿于企业战略、绩效和价值提升之中，为真正将风险管理融入企业治理打下了基础。文章采用文献研究法，梳理了COSO风险管理框架发展脉络，解读新框架的关键变化，介绍COSO风险管理的新思维，反映企业风险管理思想和实务的演变，并为我国企业更好地适应经济全球化趋势下的风险管理提供启示与借鉴。

【关键词】 COSO； 企业风险管理； 战略绩效； ERM框架

【中图分类号】 F272.3 【文献标识码】 A 【文章编号】 1004-5937（2018）17-0082-04

一、引言

2017年9月6日，美国反虚假财务报告委员会（Treadway）下属的发起人委员会（COSO）正式发布《企业风险管理——与战略和业绩的整合》（Enterprise Risk Management——Integrating with Strategy and Performance），简称ERM（2017）框架。此次更新相较于2004年的《企业风险管理——整合框架》，在风险管理理念上是一次飞跃。从2017年框架名称的变化上就可以看出，此次更新注重的是风险管理战略和业绩的整合。自2004年《企业风险管理——整合框架》发布以来的十余年间，董事会和管理层普遍增强了风险意识，加强了对风险的监管。但同时，风险管理的复杂性也发生了深刻变化，新的风险不断出现。各种组织特别是企业需要新的思维来应对这种变化。因此，2017年的更新是一次思想的革新，并不涉及风险管理技巧和方法。2017版框架的摘要中就指出，采用ERM（2017）框架并不是一个强制性要求，2004版《企业风险管理——应用技术》的内容依然被保留。

对COSO风险管理框架发展历程进行了梳理，并尝试解读ERM（2017）框架的关键变化，结合未来趋势为中国企业风险管理提出建议。

二、COSO ERM框架的历史脉络

内部控制是社会经济发展的产物。内部控制理论与实践大体上经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个不同的阶段，并已初步呈现内部控制与企业风险管理整合框架交融发展的趋势[1]。

1992年，COSO发布了“三目標”和“五要素”组成的《内部控制——整合框架》，并于1994年增加了与“保障资产安全”有关的控制。基于21世纪初美国上市公司的系列财务丑闻，2002年颁布的萨班斯-奥克斯利法案（Sarbane-Oxley Act）第404条款要求公众公司建立有效的内部控制体系，确保提供给投资者的财务报告有效可靠。尽管1992版内部控制框架获取世界各国的广泛认可和应用，但由于框架的局限性：过于注重财务报告，缺少关注企业风险的战略、全局意识，2004年COSO以1992年内控框架为基础正式颁布《企业风险管理——整合框架》，强调内部控制是企业风险管理不可或缺的部分，引入风险组合观，正式提出并形成了全面风险管理的基本概念和框架体系。

为应对企业经营和业务环境的复杂变化，2013年5月，COSO发布修订版内部控制框架，提议2014年12月15日以后用该框架取代1992版原框架，并修订原框架下的2006版《较小型公众公司财务报告内部控制指南》[2]。2014年，COSO启动修订ERM框架工作，于2016年6月发布征求意见稿《企业风险管理——与战略和绩效协同》（Enterprise Risk Management——Aligning Risk with Strategy and Performance）。2017年9月，COSO正式发布更新版ERM框架，聚焦风险管理工作与战略和绩效的融合，以期切实有效地提升企业价值。

COSO主席Hirth描述“风险的复杂程度日益变化，新风险也逐渐出现”，ERM（2017）框架正是面对复杂多变的外部环境和日益更新的技术变革的一次升级换代。当前世界经济正呈现全球市场一体化、实体与虚拟经济共存、电子商务一体化等趋势[3]，而新框架反映了当前和不断发展的企业风险管理的概念和应用，强调了企业风险管理的发展演进，通过改进风险管理方法满足组织在变化发展的商业环境中的需要。具体来说，它为战略提供了更广阔的视角，显示了企业风险管理与主体的战略、商业目标和绩效的协同性，包含了对治理和监管的期望，全球范围的组织可以从企业风险管理中获得更好的价值。

杨纪红[4]指出，许多企业按照2004版ERM框架构建企业风险管理体系却发现诸多问题：如风险管理实施范围面向局部、拘于细节、认知不当等。追根溯源，主要因为2004版ERM框架是在1992版《内部控制——整合框架》的基础上加以拓展的。两个框架虽然愿景、目标不同，但内容重合度极高，在实务中经常会出现混淆。企业风险管理和内部控制两者之间的模糊界限，使企业缺乏明确的指引，从而造成为满足形式合规而发生管理混乱和资源重复投入，甚至导致大量企业倒闭破产。因此，要求出台更加明晰的企业风险管理框架的呼声日益高涨。据此，COSO更新框架，站在更高、更全面的角度来思考企业的管理活动以及解决内部控制体系的局限性，提出通过整合企业风险管理来创造价值并合理保障公司战略目标的达成。

三、ERM（2017）框架的重要变化

此次框架的变化基本反映了企业风险管理的思想和实务的演变。2004版框架着重于风险视角下的企业管理要素的整合，2017版框架则直接从企业治理的角度将风险管理融入贯穿于企业战略、绩效和价值提升之中。2004版框架处处强调风险，2017版框架则化风险于无形，在2017版框架的五大要素中没出现“风险”一词。甚至，“风险”的内涵和外延也发生了变化。这反映出COSO将风险管理融入企业治理大框架的思想转变。2017版框架中特别对风险框架和内控框架的关系做了明确的说明，厘清了业界长期以来认为“内控框架是风险框架的子集”的误解。

（一）调整了框架结构

一改2004版框架由8要素、4目标、4层级所构成的立方体结构，新版框架采用的是5要素20原则的框架结构形式[5]。表1通过列表对比新旧ERM框架下的要素变化，突出了新框架关注企业治理与文化，强调风险管理与战略、目标设定、绩效的紧密关联，从而达到保持和创造企业价值的目标。此外，新版框架所列示的每项原则代表着一个与基本要素关联的基本概念——处于商业环境下的企业风险管理关键点。在2013年《内部控制——整合框架》更新时也是采用这样的书写形式，通过总体原则描述强调目标的实质性而非流程的形式性。这种结构的好处是加强了框架的可读性、可操作性和内在一致性，避免了考虑一应俱全可能性的烦琐以及因时代更迭所造成更新滞后的缺点。ERM（2017）框架5要素与20项原则详见表2。

ERM（2017）框架中尽量避免使用“企业”一词，而是用“组织”来体现框架对不同主体的包容性。风险管理能够并且应当应用于任何类型的组织，从小公司、社区企业，到政府组织。目前而言，运用风险管理框架指导非营利组织和政府组织的实践仍需要时间验证。

（二）重新定义了风险相关概念

首先，新框架强调了风险带来影响的双重概率。2004版框架将风险描绘为“事项发生并给目标实现带来负面影响的可能性，它会妨碍价值创造或者破坏现有价值”，而机会被认为是能带来正面影响或抵消负面影响的事项[6]，可见风险被看作是一种应该被抑制的负面概率，而机会则是保持或创造价值的正面概率。新框架将风险定义为“事项发生并影响战略和商业目标实现的可能性”，反映了COSO对风险认知的更新，结合ERM（2017）框架整体内容，这里的风险具有双向性，既存在未能防范或降低负面影响引发的价值破坏，又突出强调可能通过主动识别和管理获取机会和机遇从而维系或创造新价值。

其次，新框架更改了企业风险管理的定义。2004版将企业风险管理定义为“由企业全员参与实施、旨在合理保障目标实现的一个过程”。新版框架认为企业风险管理是一种将组织和战略设定整合的“文化、能力和实践”[7]。文化是治理和主体监管背景下主体的价值观、行为准则和对风险的理解，需关注文化与商业环境的关系以及它们对战略的选择与执行所造成的影响；能力是指由于风险的不断变化，面临挑战组织如何适应变化的生存和发展能力；实践是组织在实务操作中受到文化影响和能力制约所形成的现实活动。2004版框架定义中强调风险管理是一种内控活动，新版定义中更傾向认为它是一种有利于企业价值提升的综合治理活动，是整合融入商业运营各方面并进行主体管理决策的一部分，它涵盖了治理、绩效管理和内部控制工作。

此外，新框架优化了风险偏好与风险容忍度的概念。风险偏好被定义为一个主体为追求它的战略和商业目标所愿意承受的风险量，但新版增加了风险的类型。新框架认为风险偏好应最先体现在企业的使命和愿景上，组织再根据自身的风险偏好来管理战略和商业目标的风险。另一方面，风险容忍度不再是风险偏好的量化、具体化，而是用绩效语言表达。通过更为直观的图表形式如风险绩效图，展现风险和绩效两者之间相互关联、相互影响的关系，组织可以清晰看出一定绩效目标下的可承受风险范围，并据此评估组织可以接受绩效的变化区间。

（三）厘清了内控框架和ERM框架的关系

在新框架中，内部控制被定位为企业风险管理的一个基本方面；ERM（2017）框架和2013年《内部控制——整合框架》是两个互有侧重、互为补充的非替代体系；2013年《内部控制——整合框架》包含了内控，保持了一个保障设计、运行、实施和评估内控有效性和符合法律要求的报告的可行合适框架，并会被引用到ERM（2017）框架中；ERM（2017）框架关注那些超越了内控的重要问题。为了明确划分ERM（2017）框架和2013年内部控制框架，ERM（2017）框架的5要素均不包含“风险”一词，也不再单独提到风险报告，只是对影响战略和商业目标达成以及绩效实现的潜在或现存风险进行报告；全部删除2004版ERM框架中关于“控制活动”的内容，把控制活动内容留给了内部控制框架。

（四）更加关注风险管理对战略及绩效的影响

新框架强调了风险管理和战略及绩效的关系，将其融入管理决策的各个流程环节中，特别是主体的核心业务，提升主体创造和保护最终实现价值的能力。

1.提升了风险管理战略层面的讨论

企业风险管理不再是独立的工作，而是在参与制定战略和商业目标的过程中与主体的战略计划相融合，协助管理层了解主体的整体风险状况，提供各种替代策略应对风险状况的影响。近年来很多事件证实，战略选择与主体的使命、愿景、核心价值不匹配时，企业可能经营不佳、甚至倒闭破产，如柯达公司。因此，新框架就以下方面进行了深入研讨：战略选择与主体的使命、愿景、核心价值协同的重大现实意义；如何理解已选战略背后的风险内涵；战略执行中的风险等。

2.增强了风险管理与绩效的协同性

风险管理除了内部控制还涉及其他主题，如治理和文化、战略和目标设定、绩效评估以及与利益相关者沟通。表2列示的20项原则中绩效要素中包含的风险管理常规内容最多、最为突出（原则11-14），其他4要素均只有1或2项，这表明了风险管理与绩效协同的重要性与必要性。新框架探索了企业风险管理实践识别与评估影响绩效实现风险的路径，要求风险管理是设定商业目标、实现绩效的关联部分，并列举多种报告风险概况图来展示绩效与商业目标下的风险概况的变化关联性。

3.明确提出将企业风险管理纳入决策流程

为了追求创造、保持和实现价值，所有主体核心价值链上的每个环节都会面临大量的决策。决策的内容通常包含战略选择、商业目标和绩效目标设定、资源配置等。因此，企业风险管理应当整合融入主体整个生命周期的各个环节中，从而支持各种具有风险意识的决策。

4.強调了险管理与价值创造的关系

旧框架仅体现了内部控制基础上间接创造的利益相关者价值；新框架则从企业使命、愿景和核心价值观出发，强调风险管理嵌入企业管理业务活动和核心价值链，以便管理层发现新的发展机遇。企业风险管理不再简单地关注如何预防价值侵蚀和降低风险至可接受的水平，而被看作是不可或缺的战略设定和紧抓机遇创造、保持价值的一部分。

四、借鉴与展望

总体来看，ERM（2017）框架完善了旧框架中的核心定义，不再是“大内控”框架，而是顺应经济全球化背景下市场与运营模式的变化，定位风险管理对现有的管理体系和职能的整合强化，进而更新风险管理工作者的理念和实践活动，提出了一个更能满足决策层和管理层需要的崭新管理框架，直接为价值创造服务。

COCO报告指出，大数据、人工智能、自动化应用、成本控制等的发展趋势对企业风险管理有着很大的影响。因此，中国企业应当结合新发布的ERM框架，认清当前形势，顺应变化、抓住机遇、壮大自我，尽快研究符合中国特色道路的风险管理最佳实践。可以从以下方面入手：第一，面对“互联网+”背景下的大数据以及数据分析速度急剧加速，企业风险管理应当更新其信息、沟通与报告的工具、手段，以全新的方式构建来源于内部和外部的数据整合，采用高级分析方法和数据可视化工具，全面理解变化中的风险和风险的双面影响。第二，充分考虑人工智能和自动化对行业、组织的重大影响，以动态、全局的风险意识来关联和发现新的趋势和模式，丰富企业风险管理的信息资源和价值创造来源。第三，在风险管理实践过程中，对比合规成本、控制活动成本、治理成本等据此创造的价值，通过整合提高效率效果，为组织创造最大化的价值。第四，紧密结合风险管理与战略和绩效的设定、实现过程，提高更新风险意识，协助组织及时识别风险，避免不利因素，抓住有利时机，实现组织的可持续发展和相关者利益最大化。

【参考文献】

[1] 方红星，池国华.内部控制[M].3版.大连：东北财经大学出版社，2017.

[2] 王瑞龙，张浩.COSO内控框架的最新发展及启示[J].会计之友，2014（8）：52-55.

[3] 林斌，舒伟，李万福.COSO框架的新发展及其评述——基于IC-IF征求意见稿的讨论[J].会计研究，2012（11）：64-73，95.

[4] 杨纪红.COSO风险管理框架演进及其新进展[J].新会计，2017（5）：62-64.

[5] COSO. Enterprise risk management-integrating with strategy and performance （2017） executive summary[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf.

[6] COSO.Enterprise risk management-integrated framework executive summary[EB/OL].（2004-09-29）[2018-01-08].https：//www.coso.org/Pages/erm-integratedframework.aspx.

[7] COSO.Enterprise risk management—integrating with strategy and performance（2017） frequently asked questions[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/COSO-ERM-FAQ-September-2017.pdf.