潘梦雪，罗春华

（杭州电子科技大学 会计学院，浙江 杭州 310018）

一、引言

现代意义上的风险管理思想起源于20世纪50年代，并随着时间推移与环境变化，在实践中不断发展和完善。最初风险管理主要依赖保险手段，并且和内部控制有着“剪不断、理还乱”的关系：20世纪70年代，在美国《国外腐败实务法案》影响下，内部控制审计职业标准逐渐成形；1983年《101条风险管理准则》通过；1992年COSO发布《企业内部控制-整体框架》。多年的实践经验让人们意识到，通过单项业务、单个部门的角度来考虑风险远远不够，内部控制仅仅是风险管理的一部分，必须要以贯穿的角度来看待风险，即全面风险管理。21世纪初美国安然公司倒闭、世通公司财务欺诈，加之一系列的会计舞弊案件使得企业风险管理问题受到整个社会的关注，美国国会于2002年7月通过萨班斯法案，目的是规范企业内部控制，降低上市公司舞弊风险。2004年，COSO委员会在1992年报告基础上结合《萨班斯法案》要求，发布《企业风险管理-整体框架》[1]，COSOERM（2004）逐渐成为世界范围内使用最广泛的企业风险管理框架，我国也于2006年颁布了《中央企业全面风险管理指引》。自2008年金融危机和2011年日本海啸发生以来，各种戏剧性风险管理失效事件频发，加上在商业环境日益复杂的共同叠加作用影响下，风险管理框架的更新和修订呼声日渐高涨。COSO于2014年10月宣布ERM更新项目，2016年6月24日发布征求意见稿，2017年正式公布新版企业风险管理框架。

COSO为什么要进行ERM框架修订？企业风险管理框架新在哪里？对我国的企业风险管理有何借鉴？基于以上问题，本文从ERM风险管理框架的最新发展着手，以期能够为我国企业的风险管理带来启示与借鉴。

二、COSO-ERM框架的修订动机和过程

（一）修订动机

COSO委员会于2004年发布了“企业风险管理-整体框架”，在过去十年中该框架的实施得到了多方认可。但是随着时间的推移，风险的复杂性发生了变化，重大的新的风险出现。世界经济论坛指出：“世界的波动性、复杂性和模糊性正与日俱增。”组织面临着愈加复杂的业务与经营环境，董事会风险管理意识增强，加大了风险监督力度，并要求改进风险报告；利益相关者对公司治理的参与程度日益加深，为管理风险寻求更高的透明度和更严格的问责制[2]。这些变化均要求组织更加适应变革，ERM需要根据新的环境进行调整。

（二）修订过程

基于以上动机，COSO于2014年正式启动对2004版ERM的修订。普华永道会计师事务所（PwC）作为原有的“企业风险管理-综合框架”的作者，以其强大的专业团队和较强的连续性，仍然担任此次修订的负责人。COSO-ERM特成立顾问委员会对项目的进展保持关注，以确保获得的观点公平公正、具有广泛的代表性。该委员会成员囊括了学术界和实务界，包括政府部门、企业与非营利组织等。ERM框架的修订过程分为四个阶段：（1）调研、征求意见（Assess and Envision）；（2）撰写草稿（Build and Design）；（3）公开征求意见（Public Exposure）；（4）修订、定稿（Finalization）。2016 年 6月24日COSO发布征求意见稿向全球公开征求意见，2016年9月30日公开征求意见结束，2017年9月新版ERM框架将正式面世（见图1）。

图1 企业风险管理框架修订过程

三、COSO-ERM框架的最新变化

（一）框架的变化

2004版企业风险管理框架帮助企业对风险定义形成统一认识，并提供一致方式识别企业的整体风险；新版ERM框架在此基础上描述风险与绩效和战略之间的关系，强调企业应当更深刻地了解战略。

2004版ERM框架是在COSO立方体（cube）基础上进行升级和扩充，表现形式也为立方体，包括战略、经营、报告、合规4个目标以及内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通和监控8项要素[3]；新版ERM框架采用“元素+原则”结构，在表现形式上有一个彻底的颠覆。它摒弃了立方体的形式，一轴分三段，分别为使命、愿景和核心价值、战略和商业目标以及绩效提高；五环构成5大单元风险，又具体包含23条原则（见表1）。

表1 新版ERM风险管理框架基本要素、原则和属性

从表1可以看出，新的23项原则是对原来8项要素的扩充，因此两个框架之间既有不同又有联系。新框架的5个基本要素相较于原框架表达更加精炼，例如执行中的风险这一要素归并了旧框架的事项识别、风险评估、风险应对和控制活动四个要素；23项原则并不完全是全新的概念，它们和2004版ERM框架有着千丝万缕的联系。风险治理和文化奠定了整个框架的基调，与之相关的6个原则帮助董事会和高管建立企业风险管理的整体行为准则和文化基调，原则3、4着重强调了文化的重要性；与风险、战略和目标设定要素有关的5个原则构成了企业订立目标的基础，其中原则9重点强调了战略（strategy）的评估和选择；风险信息、沟通和报告要素相关的四个原则将风险沟通流程重新梳理，关注数字、信息的有效利用；监控风险管理效果的两个原则主要是将监控集成到企业的业务流程当中，并及时地进行改进。

（二）内容的变化

1.着重强调文化与价值在企业风险管理过程中的基础作用

调查反馈意见表明，04版ERM仅适用于风险管理者，受众面较窄，其风险功能以外的清晰度不明显；新框架对风险的定义更清晰易懂，它强调风险需要和文化、价值相结合，价值创造不仅仅只是止损，风险管理不仅只是一个独立的活动或是过程，而是组织管理有机组成部分的一个整体，帮助识别战略机会和价值创造。

新框架强调的文化元素奠定了整个ERM框架的基础，从战略设定到执行中的风险再到信息与沟通，文化贯穿了整个框架，在风险管理和实体监督背景下，理解和塑造文化十分的重要。文化和商业背景之间的关系是在“框架”一开始就确立的，这种关系影响了企业如何选择和执行策略。更重要的是，它提供了识别和评估风险的背景，以及如何进行资源分配来应对这些风险。

过去企业风险管理的主要目标为控制和规避风险，防止企业价值受到侵蚀。在新版框架中，企业风险管理不是简单地将风险降低到目标状态，它被视为战略设定、创造与维持价值的一部分，是整个企业价值链管理的动态组成部分，新框架强调企业风险管理是抓住一切正面或是负面的可能性，来应对遇到的新机遇与新挑战。

2.深入探讨企业风险管理在战略制定和执行中扮演的角色

经过前期调查、文献综述等得出，近些年一些重要组织的经营失败往往是因为选择了不符合组织愿景与核心价值的战略，不了解其所选择的战略对自身风险状况的影响，其在业务层面的决策失败带来的负面影响往往会升级并威胁到企业的持续经营能力。新版ERM重点关注以下三个概念，提升和扩大了2004年ERM框架对战略与风险的讨论：（1）战略和业务目标不符合任务、愿景和价值观的可能性；（2）所选战略的影响；（3）执行战略的风险。

3.优化企业绩效与企业风险管理之间的协调关系

如新标题所示，新版ERM增强了风险与绩效之间的关系，强调风险是建立业务目标与绩效目标的组成部分：（1）探讨企业风险管理如何识别和评估可能影响绩效的风险；（2）通过确定可接受的变化，使用者可以了解变化是如何导致业务目标的风险概况发生变化的；（3）强调风险评估和风险报告并不是为了制定一份长期的潜在风险列表，而是强调风险可能会影响战略和业务目标的实现。新版ERM引入了风险概况新图形描述两者之间关系的重要性，它将风险偏好、绩效与风险三者融入到单一的图形，提供一个动态、全面的风险观点，表明风险和绩效之间密不可分，相互影响。

4.提供了将风险置于更复杂商业环境下进行考量的新方法

（1）信息系统环境下持续风险管理概念的提出。运营中的实体在高度动态环境中会经历例如客户期望转变、监管要求不断发展、全球化和技术创新等变化，作为回应，信息系统有必要进行技术调整：①改变客户期望。可能需要更改系统，以便更及时地收集信息并更积极地监督社会评论、媒体报道。②技术创新。可能提出改变和改进信息系统的替代方案。例如，可以通过视频会议和替代现场会议的实时工具来进行风险讨论，并且可以使用云服务与更广泛受众的电子设备，如手机、平板来实时共享风险信息。

（2）企业风险管理分类法，在特定领域内开发风险分类法，如内部审计，信息管理或操作风险管理。使用分类法帮助组织一致地整合风险数据和信息，以了解风险并确定风险集中度。更有价值的是使用分类法来识别风险，并考虑可能影响实体战略和业务目标的风险。

5.涵盖了对决策起支持作用的科学技术进步及数据分析手段

新框架强调了风险管理过程中数据的重要性。技术（IT）和业务的进步导致了数据呈指数型增长，引起各方高度关注。数据存储空间、存储速度以及各种数据类型和来源为组织的风险管理带来诸多挑战。再加之当下技术应用环境发展迅猛，例如实时应用环境可以跨越多个组织、系统、技术以及处理方法，使得影响企业风险管理的要素变得更加复杂，更需要通过大量数据的分析处理来获得风险控制点与风险范围，一改传统的风险管控方式。新框架同时提出企业风险管理框架下需要构建数据管理架构与标准，组织应当实施标准并提供结构化信息的规则，使数据可以可靠地读取、分类、索引，与内部和外部利益相关者共享，最终保护其长期价值。

四、启示

可以看出，不管是在形式上还是内容上ERM风险管理框架都有了长足改进，更加适应不断变化的全球环境。整个修订过程也为我们带来了宝贵的启示：

1.将风险管理活动置于一个动态的环境中考量。环境不是一成不变的，与之对应的风险也是。信息技术的迅速发展势必会对企业的组织结构、商业模式和治理环境产生深刻影响，我们应当学会识别环境的影响，敏锐地捕捉风险的变化，即时采取措施进行风险应对。

2.敢于革新，对旧标准、旧制度进行修订和完善。时代在不断发展，市场在不断完善，旧标准、旧制度被取而代之是社会发展规律，我们需要大胆创新，制定出与时俱进的标准和制度。

五、借鉴

（一）积极推动计算机技术与风险管理相结合，建立企业风险管理信息数据库

“互联网+”环境下云计算、大数据信息技术迅猛发展，企业面临愈加复杂的业务环境，其运营模式也逐步走向“虚拟化”，拘泥于传统商业模式和经营理念终将脱离时代潮流，对信息数据的处理将成为企业进行风险管理的重要手段之一。信息价值挖掘与新版ERM强调的企业文化和价值理念不谋而合，我们应当建立企业风险信息数据库，对海量的企业信息搜集、筛选、存储、分析和报告，挖掘数据背后的价值，识别风险管控点，让数据“说话”，同时在企业内建立数据网络，共享风险信息；与此同时企业应当学会识别、评估计算机环境下的新风险。

（二）帮助企业风险管理与绩效考核更好地结合，促进风险管理的建设与实施

ERM原则中指出要“定义可接受的绩效浮动”，并对绩效进行报告，旨在强调企业风险管理是绩效评价过程的重要组成部分。企业应当适时建立以内部风险管理人员为主、外部专家为辅的全面风险管理业绩评价体系；建立风险预警机制与防范机制，将财务风险与经营风险尽可能降至最低水平；与此同时，为了确保企业内部信息有效传达、内部员工责任落实，有必要建立风险信息管理系统，进行风险管理绩效的评估再反馈，帮助企业健康发展。

（三）促进企业战略目标设立与风险管理深度融合

企业战略是一个企业的灵魂，新版ERM框架将风险管理追溯到战略选择和文化建设的风险治理发源地，帮助企业认识到想要为自身、为国家、为世界创造价值，必须告别劳动力、土地等廉价要素，培育人力资本、技术创新和管理新优势；整合资源、优化资源配置、促进生产要素内外流动；深刻贯彻“一带一路”政策，树立“走出去”的义利观与价值观。作为全球经济的重要一员，我国有责任积极参与世界经济建设、展示人文关怀。

（四）继续施行并完善企业风险管理制度，积极推动与国际高标准风险管理框架相趋同

在运行风险管理体系的初期，许多组织都是摸着石头过河，从陌生到熟悉，从模仿借鉴到自成一派、各有特色。我国在风险管理体系建设方面一直不断积极探索，并有所成就，例如2006年国资委发布的《中央企业全面风险管理指引》，其主要流程为收集风险管理初始信息、进行风险评估、制定风险管理策略、风险管理解决方案、监督与改进，同时在风险管理信息系统和文化上也制定了相应的条例，可以看出整个指引较大程度上受到2004版风险管理框架的影响。然而随着时间的推移和环境变化，风险管理已经被赋予了新的内容，新版ERM框架也已经制定并逐渐推广。我们应该继续坚定地实施并完善风险管理框架体系，积极推动和ERM新框架等国际风险管理标准的趋同，取其精华、去其糟粕，扩大我国在风险管理标准制定中的影响力。

[1]罗伯特·R·穆勒.2013版COSO内部控制实施指南[M].秦荣生，张庆龙，韩菲，译.北京：电子工业出版社，2015：243-271.

[2]COSO，2016.Enterprise Risk Management-Aligning Risk with Strategy and Performance，http：//www.coso.org.

[3]COSO，2004.Enterprise Risk Management-Integrated Framework，http：//www.coso.org.