COSO風險管理框架的新發展及啟示范文

本站小編為你精心準備了COSO風險管理框架的新發展及啟示參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：基于coso委員會新的《企業風險管理：與戰略和績效的整合》（ERM2017），文章介紹了ERM2017變革的背景以及其在風險管理的定義、框架、要素、原則、目標和實現路徑等方面的最新變化。認為COSO風險管理新框架強調風險管理與戰略的融合，突出以原則為導向的風險管理實踐，厘清了風險管理與內部控制邊界，有助于提升企業價值；并且從政策層面和企業層面提出了對我國企業風險管理實踐的啟示。

關鍵詞：COSO；企業風險管理；整合框架；價值創造

一、引言

企業身處不斷變化的商業環境中，要實現健康穩定發展，必須注重風險管理。過去數十年間，“中航油”、“雷曼兄弟”等無數企業都因為風險管理失效而付出沉痛代價，警示著企業風險管理的重要性。2008年全球金融危機后，加強企業風險防范意識成為各國關注的焦點問題。目前，中國特色社會主義進入新時代，經濟發展處于轉型時期，經濟轉型導致企業面臨的風險多樣化和復雜化，能否有效管控風險是影響企業戰略和價值的核心因素，直接關系到企業的生存與發展。強調：“今后5年，可能是我國發展面臨的各方面風險不斷積累甚至集中顯露的時期。……我們必須把防風險擺在突出位置……”①。因此，隨著我國全面深化改革工作逐步推進，面對改革帶來的諸多不確定性，提升風險管理水平，成為企業實現長遠發展目標的必然選擇。學術界的研究也發現了風險管理的積極作用，Tufano研究發現高質量的風險管理可以有效提高權益回報率、改善公司治理結構［1］，減少企業財務困境的成本、降低企業破產率。Doyle等認為風險管理有利于降低公司收益波動性［2］。嚴暉提出風險管理能提高公司治理效率［3］。從公司價值角度而言，Rose等研究發現，風險管理有助于提升公司價值［4－8］。同時，Cassar研究發現，高質量的風險管理能提高管理者預期的準確性［9］。謝志華認為，某種程度上而言，企業管理實質上就是風險管理［10］，依靠全面風險管理，企業能夠更好實現戰略目標和價值增值。王穩和王東利用2007—2011年我國金融類上市公司的數據，實證分析了企業風險管理對公司價值具有顯著的正向影響，并且采取主動性風險管理策略對公司價值的影響更為顯著［11］。可見，風險管理對于提升企業價值的重要作用已成為共識。然而，由于缺少系統性指導，大部分企業無法有效識別管理過程中的風險。基于此，如何促進和提高企業風險管理水平，充分發揮風險管理在防范風險和價值創造方面的作用，成為各國企業亟特解決的現實問題。為了幫助企業和組織有效防范風險和提高風險管理水平，COSO于2004年《企業風險管理整合框架》［12］（EnterpriseRiskManagementIntegratedFramework，簡稱ERM2004）。朱榮恩和張宜霞等認為ERM2004首次將內部控制與風險管理結合，為董事會和管理層應對不確定性風險和增加股東利益過程中的風險承受能力提供參考［13－14］。隨著風險類型和復雜程度的不斷演變，為了進一步滿足風險管理實踐的需求，COSO對ERM2004進行了更新升級，于2017年9月6日正式風險管理的新版框架———《EnterpriseRiskManagement－IntegratingwithStrategyandPerformance》［15］（簡稱ERM2017）。那么，本次ERM更新的具體內容有哪些？這些更新會對企業風險管理實踐與價值創造產生何種影響？對我國企業風險管理框架的建設與實施具有哪些借鑒和啟示？基于此，本文通過介紹ERM的變化與發展，探討ERM框架更新對于企業風險管理的影響，以期為我國企業風險管理規范體系的建設提供新思路，進一步推動我國企業風險管理規范的制定，促進我國經濟的順利轉型。

二、COSO風險管理框架修訂的背景為規范

企業內部控制，COSO委員會于1992年了《內部控制———整合框架》，該框架作為在美國上市公司內控體系建設的指導框架，不僅得到了美國證監會的認可，而且在全球范圍內被廣泛采用和推廣。但在實施了十多年內部控制框架之后，實務界發現即使建立了完善的內部控制體系，仍然會出現企業倒閉、破產、經營失敗或預期不達標等風險損失案例，實踐表明企業需要從整合風險管理的角度創造價值并保障公司戰略目標的實現。“安然”事件發生后，2002年頒布的《SOX法案》也要求上市公司全面關注風險，加強風險管理。COSO委員會開始從更高角度來思考企業的管理活動以及內部控制體系的局限性，并于2004年9月正式頒布了《企業風險管理———整合框架》（ERM2004）。該框架在《內部控制———整合框架》的基礎上進行升級和擴充，主要從內部控制的角度出發，研究了風險管理的過程及實施要點，將風險管理納入到了企業的各種活動之中，并將戰略目標引入風險管理［16］。ERM2004提出風險整合觀，這是風險管理理念在實踐運用上比較大的突破，但經過多年實踐，也逐漸暴露出一些問題。一方面，COSO委員會對ERM框架的初衷和定位是正確的，但在起草ERM框架時采用在COSO內部控制框架的基礎上進行升級和擴充的做法，這直接導致兩個理論框架雖然愿景和目標各不相同，但內容的重合度非常高。企業在實踐這兩個理論體系時往往認為“內部控制就是風險管理”、“風險管理就是內部控制”，為企業風險管理實踐埋下了隱患。另一方面，ERM2004距今已有14年。經濟化、信息化、全球化浪潮已經席卷全世界。企業經營管理面對的風險日益增加，風險的復雜性也發生了重大變化，利益相關方更加關心風險管理對企業價值的創造，尤其是在戰略的制定和執行中風險管理價值的體現以及如何增強風險管理和企業績效之間的協同關系。ERM2004已經無法滿足實踐需求，風險管理框架必須更新升級。2008年金融危機后，COSO委員會也意識到了更新風險管理框架的必要性，從2014年開始著手對ERM框架進行更新，2016年5月征求意見稿，2016年9月截止征集意見。最終于2017年9月6日正式新版框架：《企業風險管理———戰略與績效的結合》（ERM2017）。COSO對ERM2017進行了顛覆性的改變，將風險管理與內部控制劃清界限，強調風險管理與價值的關系，真正厘清了風險管理與戰略和績效的協同作用。同時，ERM2017提供了將風險置于更復雜商業環境下進行考量的新方法，對于企業風險管理實踐具有更強的指導意義。

三、COSO風險管理框架變化的主要內容分析

COSO新版ERM2017框架借鑒內部控制整合框架（2013）更新時的理念與經驗，為企業董事會和管理層提供廣泛接受的要素、原則和實施標準等，展示了企業應當如何整合企業風險管理，并通過戰略和目標的緊密聯系，實現加速增長和提高績效，ERM2017的框架見圖1。總體來說，ERM2017在風險管理的定義、要素和原則、風險管理運行方式、企業目標方面對ERM2004進行了更新（見表1）。主要以5個基本要素為基礎，以原則為導向，以實現企業績效為目標，通過風險管理與戰略相整合為路徑，強調價值創造與增值。

（一）重新界定企業風險管理，強調風險與價值的關系ERM2017關于企業風險管理的定義變化最為徹底，將風險管理定義為組織在創造、保持和實現價值的過程中，結合戰略制定和執行，賴以進行管理風險的文化、能力和實踐。新定義將風險管理工作直接從“一個流程或程序”提升到“一種文化、能力和實踐”，更加強調風險與價值的結合，突出價值創造而不只是防止損失，這樣也避免了和內部控制定義的界限不清。根據ERM2017的定義，實施風險管理的工作目標是為股東和利益相關方創造、保持和實現價值，所以利益相關方需要明確實施風險管理工作并不是滿足監管和合規要求，而需要從企業使命、愿景和核心價值出發，將風險管理定位為提升企業的價值和績效，強調嵌入企業管理業務活動和核心價值鏈，滿足企業更高層次的需求。這種視角同時也是一種新型的企業管理視角，對企業管理界來說是一場理念的變革。

（二）創新風險管理形式，定位風險管理與戰略和績效的協同作用與ERM2004相比，ERM2017注重企業風險管理的具體過程和實施方式。企業風險管理不僅包含內部控制，還涉及戰略制定、公司治理以及績效評估。ERM2017強調風險管理的主要形式是文化、能力和實踐，作用環節包括戰略的制定與執行，需要通過與戰略和績效的整合，實現企業價值創造和增值。ERM2017規定，ERM不應當是組織的一個額外的或是單獨的活動，而是融入組織的戰略和運營當中的有機部分。當企業風險管理與戰略制定助記詞績效提升整合在一起，就能更好地理解以下內容：在制定戰略時，使命、愿景和核心價值觀如何初步描繪出企業能承受的風險程度。企業戰略和目標與其愿景、使命和核心價值觀不一致的可能性。組織在選擇戰略并承受其潛在風險的種類和程度。組織在執行戰略并達成績效目標的過程中承受風險的種類和程度。

（三）修訂企業風險管理實現路徑，提出價值創造流程ERM2004利用立方體模型闡述了要素、目標與管理層級間的關系。各要素相互聯系，運用于企業各個層面，共同為目標的實現提供合理保證。ERM2017強調風險管理在實現企業價值創造和增值過程中的重要作用，通過風險管理運用于企業價值鏈，將風險管理從控制風險提高到價值創造層面，更加關注組織績效背景下的風險，而非單獨的風險管理。具體來說，ERM2017取消了原有的立方體模型，使用更加清晰的價值創造鏈條來闡述要素與企業使命、愿景和核心價值觀的關系，以及它們如何通過戰略制定和具體的業務目標來影響企業績效。ERM2017認為企業風險管理并非靜態，而是處于不斷融入戰略制定、日常決策直至最后的績效評價的重復迭代過程。因此，需要在實現企業價值創造的整個過程融入風險管理，即在企業使命、愿景和核心價值觀的初始階段，戰略及業務目標的執行階段以及實現績效提高的最終階段，充分發揮有效的風險控制功能。

（四）整合風險管理要素，以原則為導向，構建新的風險管理原則在要素構成方面，ERM2004包括內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控等8個基本要素。而ERM2017將原有的8個要素整合成為5個要素（見表2）。與COSO內部控制整合框架（2013）一致，ERM2017明確提出20個原則，涉及風險治理、文化、執行風險、監督風險和績效。每個原則都代表一個要素的基礎部分，并被普遍運用于風險管理中，成為有效的風險管理實踐中的一部分。這些要素和原則為企業評判風險管理是否有效提供了標準和依據。在決定一個企業的風險管理是否有效時，需要與風險管理相關的要素和原則存在并以整合的方式持續運行。具體來說，5個要素如表2所示。1．治理和文化要素是其他要素的基礎，由內部環境發展而來，不僅包括內部環境的內容，還明確文化是內部環境的關鍵構成。風險治理奠定了企業基調，加強了企業對風險管理的認知，并為此建立監督職責。文化則通過滲入道德價值觀、期望行為以及風險理解等方面影響企業決策制定。2．戰略和目標的確立要素是對目標制定的拓展，強調風險管理與戰略制定和企業目標的關系，指出企業應當考慮組織目標實現中的風險，及時調整戰略可以保障將績效偏差控制在可接受的范圍內。企業應將建立風險偏好與戰略相結合，并將戰略目標應用于實踐中，及時識別、評估和應對風險。3．績效要素是對事項識別、風險評估、風險反應、控制活動要素的整合。強調在提高組織績效過程中識別并評估可能影響到戰略發展目標的風險，結合風險偏好對風險的嚴重程度進行優先排序，選擇相應的風險應對措施，以組合的角度預測風險總量。4．審查與糾正要素是在風險識別、評估和應對的基礎上，將風險審查和糾正作為日常運營的一個常規部分。組織需要識別和評估那些顯著影響戰略和目標的風險變化，審查績效和風險因素，調整風險應對策略，追求企業風險管理和績效的提升。5．信息、溝通與報告是對信息和溝通要素的深化，企業風險管理是一個動態的連續過程，需要不斷地從組織內外獲取信息以幫助風險管理發揮作用。這些信息在整個組織自上而下、自下而上或在組織間橫向流動。管理層利用信息系統獲取、加工、處理和傳遞數據，為風險管理提供有用信息。

（五）提出新的風險視角，以在更復雜的業務背景下制定和實現目標ERM2017指出企業風險管理的終點在于為實現企業績效提供保障，其根本在于管理企業績效實現過程中的風險。盡管COSO委員會希望ERM2004能夠為董事會和管理層提供風險管理的有效標準，但是普華永道（PWC）戰略咨詢部門報告顯示，80％業績較差的公司通常在戰略執行方面有缺陷［17］。COSO委員會在此次修訂中將風險框架的標題更新為《企業風險管理———戰略與績效的整合》，提出當前企業風險管理應當與企業總體戰略相整合，不僅繼續支持在戰略執行過程中的風險管理，同時也開始幫助董事會和管理層考慮戰略計劃階段的風險，促使企業首先擁有較好的戰略計劃，積極應對執行戰略過程中的風險。具體來說，ERM2017拓展了ERM2004針對戰略和風險的規定，將風險管理融入企業戰略制定、選擇和執行過程中，重點突出了管理戰略實現績效過程中的風險。其具體內容主要表現為三個維度（見圖1）。1．戰略風險。企業的戰略風險主要指戰略與企業使命、愿景和價值觀不匹配時對企業價值產生的潛在影響。每個組織都有自己的使命、愿景和核心價值觀，它們決定了組織要實現的目標以及具體的戰略實施方式。對于多數企業來說，正確理解企業的使命和愿景是制定與企業風險偏好相匹配戰略的前提。當戰略與企業使命、愿景和價值觀不一致時，即使戰略實施很成功，企業也可能無法實現自身的目標，從而對企業價值產生影響。因此，在企業戰略的計劃階段，就需要考慮與企業使命、愿景的一致性問題，及時對戰略進行重新調整。2．戰略選擇對風險的影響。企業為實現績效目標而制定戰略，并將整體戰略分解成相應的子目標。不同的企業戰略都有其自身的風險組合，這些風險組合由戰略本身決定，需要不同的風險控制能力保障戰略實施。企業風險管理應當幫助管理者考慮與不同戰略相聯系的風險，以全局的風險組合觀看待風險，通過合理有效的風險管理為企業各項目標的實現提供合理保證。3．實現戰略與績效的風險。主要考慮執行戰略、實現績效目標過程中風險的潛在影響。組織需識別并評估可能影響到戰略發展與績效目標實現的風險，針對風險的嚴重程度按照風險偏好進行排序，以選擇相應的風險應對措施。綜上所述，ERM2017與ERM2004相比發生了重大變化。ERM2017要求企業在戰略計劃階段就要詳盡考慮可能存在的風險，不僅擴大了戰略方面的討論，也促使企業將風險與戰略選擇結合。目前許多組織主要關注于戰略執行中的風險，但是COSO委員會認為執行風險只是戰略風險的一個方面，還存在戰略與使命、愿景和價值觀等不一致的可能性以及戰略選擇對風險的影響，這兩個額外的維度超出了原有的戰略執行風險。ERM2017將有助于實現風險管理融入戰略制定與實施過程，為企業建立有效風險管理體系提供參考和借鑒。

四、ERM2017風險管理框架的評述

為適應商業環境和風險管理實踐的變化，ERM2017的確發生了巨大改變，強調風險與價值的結合，創新風險管理形式，提出通過與戰略和績效的整合，實現企業價值創造和增值。整體而言，ERM2017是一個幫助企業管理者有效處理不確定性并減少風險，進而提升企業價值創造能力的框架，其主要體現了以下特點。

（一）強調風險與價值的結合，推動風險管理更好地與企業管理融合ERM2017從企業使命、愿景和核心價值出發，定位的宗旨為提升企業的價值和績效，強調嵌入企業管理業務活動和核心價值鏈，對要素和內容都進行了翻天覆地的修改，從而使得一個嶄新的“管理框架”誕生。這種視角是一種新型的企業管理視角，促進了基于風險導向的管理理念的發展。企業管理領域中常見的公司治理、企業文化、戰略管理、卓越績效、危機管理、高效溝通等都可以使用此套框架實現標準化和科學化，能更好地滿足企業管理層的需求，促進企業價值創造和增值。

（二）以原則為導向，強調文化在企業風險管理中的作用，具有更強的實踐價值ERM2017以原則為導向，有助于管理者評估和實施風險管理。COSO委員會出臺ERM2017的目的在于促進企業建立有效的風險管理體系，因此提供有用的實施標準可以幫助管理層在日益復雜的經營環境中快速、準確地評估和實施風險管理，并保證最終目標的實現。ERM2017在5個要素的基礎上提出20個原則，這些原則涵蓋了從治理到監督的各個方面。堅持這些原則可以為企業董事會和管理層提供合理預期，更容易讓企業將實際運營與預期目標相比較，從而理解與戰略相關的風險，將其控制在可接受的范圍內。ERM2017強調文化在企業風險管理中的作用，有助于風險管理工作的實施與運行。作為企業文化的組成部分，風險管理文化是整個組織在日常運營活動中保持持續風險意識和誠信責任的前提條件，也是影響企業全體員工行為決策的參考標準。企業文化通過強調誠信和道德價值觀影響高層管理者對風險管理的態度和意識，在企業內部形成風險管理的高層基調［18］。一方面約束管理層言行一致，切實履行風險管理的職責；另一方面也對基層員工參與并維護風險管理體系起到積極的引導作用。

（三）更好地劃分風險管理和內部控制的邊界，消除企業風險管理實踐隱患風險管理和內部控制的界限模糊一直是風險管理實踐中的重要隱患。ERM2017在第一部分應用環境中描述了風險管理和內部控制的關系：“內部控制主要聚焦在主體的運營和對于相關法律法規的遵從性上。”“企業風險管理的相關概念并沒有包含在內部控制中”。為了避免重復，在內部控制中比較常見的概念部分，ERM2017并未重復敘述，例如，與財務報告目標相關的舞弊風險等。而內部控制中的一些重要概念在本框架中被進一步深化了，例如，企業風險管理中的治理和文化部分。COSO在《常見問題》解釋上也表明，風險管理和內部控制兩個體系并不是相互代替或取代，而是側重點各不相同，是相互補充的關系。但同時也強調了內部控制作為一種經歷時間考驗的企業控制體系，是企業風險管理工作的基礎和重要組成部分。ERM2017給兩個體系的關系做了個“了斷”，有助于風險管理實踐，企業界再也不必因為對兩個框架的混淆而制約了風險管理在戰略實現和價值創造方面的作用。隨著ERM2017新框架的頒布和實施，相信二者的關系和界限會越來越清晰。

五、結論與啟示

鑒于現代企業風險管理實踐的需要，ERM2017在ERM2004的基礎上做了較大變化：重新定義了企業風險管理，強調風險管理與價值的關系，將企業風險管理與制定戰略和實現績效聯系起來；改用價值創造鏈條描述風險管理要素與企業使命、愿景和核心價值觀的關系，以及如何通過戰略制定和具體的業務目標影響企業績效；整合風險管理基本要素，采用原則為導向的框架幫助董事會和管理層制定和評價風險管理績效。本文認為風險管理框架的更新對于我國建立全面風險管理體系，具有重要的參考價值。

（一）在政策層面，應當建立適應中國國情的風險管理規范體系我國當前主要依靠內部控制基本規范指導企業防范和控制風險，尚未建立獨立的風險管理制度。而內部控制基本規范體系的出臺，很大程度上吸收了COSO內部控制整合框架（IC－IF1992）和風險管理整合框架（ERM2004）的經驗，是結合中國實際國情形成的。ERM2017的修訂對于我國從戰略層面重視企業風險管理，提升對風險管理重要性的認識具有積極作用。雖然我國政府和監管機構早前已經開始積極嘗試建設企業風險管理的制度體系，并在2006年6月6日由國務院國有資產監督委員會印發《中央企業全面風險管理指引》，首次對中央企業風險管理問題提出技術性指導意見。但是，由于我國企業風險管理起步較晚，對風險管理理論的研究也不夠深入，無法形成統一的風險管理制度。與此同時，我國民營企業數量不斷增加，迫切需要適應其規模和結構的風險管理標準。因此，為進一步提升企業的經營管理水平和風險防范能力，建議監管部門聚焦我國企業的實際需求，以幫助企業提升整體管理水平，保障企業持續經營，培育企業不斷發展壯大為目標，盡快出臺一套為中國企業量身定做的風險管理規范，并輔以相關配套指引指導企業有效開展風險管理建設和實施工作。

（二）在企業層面，應當建立適應企業的風險管理規范體系1．塑造風險管理文化，“全方位、多舉措”的宣傳、培訓和應用。一方面，企業風險管理是一個由人參與的過程，涉及企業各個層面的員工。企業風險管理文化確立了高層管理者對風險管理的態度和基調，強化企業風險管理的重要性并確定相應的監督責任。企業高管制定戰略計劃，并在其領導下開展風險管理工作，在企業范圍內形成表率作用。企業基層員工通過共享風險管理文化，在風險管理過程中發揮盡職和監督角色，從而提高企業風險管理的績效。因此，通過加強宣傳，強化風險管理建設和責任意識，為企業建立有效的風險管理體系奠定良好的環境基礎，促使企業人員主動加入到全面風險管理的行動中來。2．企業內部建立風險管理委員會，明確關鍵人員職責，強化風險管理的三道防線。風險管理是一個長期動態的過程，因而建立統一的部門指導和監督，明確和分配職責定位就顯得尤為重要。為了確保所有重大風險都能得到適當的解決，就必須協調和強化風險管理三道防線的關系。其中，第一道防線的運營管理主要負責使用各種方法管理和控制企業風險。第二道防線的管理層提供有關風險的專業知識，幫助指導實施戰略，并協助政策和程序的執行。而處于第三道防線的內部審計則通過獨立審計，向董事會和管理層報告風險和控制的有效性。這三道防線為企業提供了靈活、可操作的架構，用來支撐風險管理政策的落實。3．積極探索IT與風險管理結合，促進IT風險管理應用。畢秀玲和劉延芳認為信息技術的快速發展以及互聯網的普及改變了商業運營環境，在給企業發展帶來重大機遇的同時，也給企業管理帶來了新問題［19］。林斌等研究發現，COSO內部控制框架對此提煉了單獨的原則，日本的內部控制規定也將其作為完整的要素［20］。從企業自身風險管理過程來看，進行全面風險評估，針對“導致無法實現企業目標的風險”采取必要的控制活動是風險管理的核心階段。而這一階段是否有效與先進的信息和溝通系統密不可分，利用IT促進風險管理信息的整合與共享，發揮在信息和溝通中的作用，將對企業風險管理過程具有積極的促進作用。因此，企業應當充分認識到IT技術的重要性，將IT技術融入企業風險管理過程，提高風險管理水平，推動企業目標實現。

作者：舒偉1，左銳1，陳穎2，文靜1 單位：1．西安財經學院商學院，2．上海立信會計金融學院