新版COSO全面风险管理框架及内控新启示

新版COSO全面风险管理框架及内控新启示

2017年9月6日，美国反虚假财务报告委员会的发起人委

员会（The Committee of Sponsoring Organizations of the

Treadway Commis赵家峁 sion，以下简称COSO）正式发布全球

管理学领域，特别是风控界期盼已久的更新版《企业风险管

理-与战略和绩效相整合》框架文件（Enterpri Risk

Management–Integrating with Strategy and

Performance）。这个更新版风险管理框架，于2016年9

月发布讨论稿，向全球公开征求意见。先后计划在2017年

一季度发布，后推迟到二季度，并再次延迟到三季度才发

布，经历了近一年的讨论和反复修订、上千条意见反馈和几

十场研讨会，在外审与内控之间博弈，在战略与风险、绩效

与控制之间反复斟酌和权衡。可以期待它对现代企业发展和

风险管理，必将产生深刻影响。

新版风险管理框架从全球征求意见稿，到正代县美食 式发布，第一个

变化就是把标题名称从《企业风险管理-与战略和绩效相协

调》框架（Enterpri Risk Management–Aligning with

Strategy and Performance）修订为《企业风险管理-与战略

和绩效相整合》框架（Enterpri Risk Management–

Integratingwith Strategy and Performance）。虽然仅有一

词之差，却画龙点睛，准确表达了更新修订版的一个核心意

图---旨在弥合（Delineate）风险管理和内控，明晰企业风险

管理与企业战略、绩效密不可分的整体理念。而这一理念，

已经充分贯穿于整个新版全面风险管理框架内容之中。

更新版框架与其前身---2004年发布、在全球范围内影响深

远的原版《企业风险管理-整合框架》（Enterpri Risk

Management–IntegratedFramework）相比，在经历了

2008年美国次贷危机、网络技术革命等社会经济技术变化

给机构带来重大风险意识冲击的背景下，不仅内容上做出了

诸多全新调整，更在字里行冬天的九寨沟 间潜藏了对企业核心价值、文化

等重大背景理念性的重新认识。

以下几个重点修订内容，不仅在观念上警示我们，一个机构

在面对市场和技术诱惑时，仍应不忘初心，坚守使命，回归

创设时的初衷和起点；更将在实践中，推动机构对其战略设

定、风险管理模式进行重新思考和定位。同时，在今后相当

一段时期内，对传统的审计和内控日渐显露出新的挑战和职

责扩展的具体需求。

风险是可以靠加强内控和审计“管住”的吗？

建立并实施严格的内控机制，就能守住风险？答案是否定

的。更新版框架表示，内控只是关注主体运营对于相关法律

法规的遵从性。可见它不过是在公司治理的董事会、监事

会、高级管理层威胁造句 治理结构确立之后，为保证经营管理层合

法、合规履职所建立的控制性机制。“企业风险管理的相关

概念并没有包含在内部控制中（如风险偏好、风险承受度、

战略和目标设定等，但却是内部控制体系实施的前提）。”

换言之，不能指望以内部控制去有效约束董监高管理层本

身。另一方面，由于经营管理治便秘的芒硝用法 层本身作为代理人，可能出现

对内控制对外蒙蔽内情的弊端，还可能给委托人制造新的风

险。

更新版的风险管理框架明确，董监高对风险监督负有重要责

任。其中，风险被定义为事项发生并影响战略和商业目标实

现的可能性。相应的，企业风险管理指“组织在创造、保持

和实现价值的过程中，结合战略制定和执行，赖以进行管理

风险的文化、能力和实践”。可见企业风险肇始于董监高最

初对企业战略、风险偏好、企业文化的设定和企业资本资源

的承受能力。简言之，风险管理的初始点需要提升

（Elevate）至设定战略和目标的董监高经营管理层层面。要

有效防范风险，什么是偶数 更新版框架强调企业应明晰战略风险，首先

董事会对主体的风险监督应负首要责任（我国银行业风险管

理的三道防线中，称之为“最终责任”），确认董事会和管理

层对风险治理的责任分配。

通过严格的内外部审计，是否就能规避企业风险？回答也是

否定的。迄今为止的审计，都不过是“为了查明有关经济活

动和经济现象与已制定标准之间的一致程度，而收集和评估

证据，并将结果传递给相关方使用的过程”。因此，无论是

内部审计还是社会中介第三方审计等形式，只能被动给出现

状与标准之间的差距，却不能对标准的设置和战略的制定提

出出于企业风险管理目的的战略调整要求、或标准修订意

见。与内控相比，审计不过是一种对执行过程和结果的评

估。况且内部人控制问题依然存在，与内控相比甚至有过之

而无不及。

在更新版风险管理框架下，风险管理被提升到了战略的高

度，包括战略和业务目标与企业使命、愿景和价值观不匹配

的可能性；选定的战略制定所隐含的、执行过程中才出现的

风险。这是目前内控和审计力所不逮的地方，或许也正是内

控和审计今后在风险防范中需要特别关注的风险导向型审计

的扩展方向。

在美国爆发的次贷危机中，雷曼兄弟的倒闭是一个被经常引

述的经典案例。这家158年老店所虽拥有成熟内控机制，加

上作为全球四大之一的安永会计师事务所常年审计，却未能

有效防控企业风险，就是个最好的说明。

企业经营的目标就是 “利润最大化”“价值最大化”吗？

企业经营就是要创造尽可能多的利润？更新版的企业风险管

理框架，通过图示甚至是以量化的方式，否定了企业无限追

求最大利润的风险制约条件。

企业的绩效往往跟风险正相关，并且随绩效花叶绿萝 的增长风险呈加

速增长态势（如图中蓝色部分）。而企业的可利用资源多寡

决定了其抗风险能力高低。最大抗风险能力限额（如绿横

线）、企业经营战略、风险偏好（即主体在追求战略和业务

目标的过程中愿意承受的最大风险量，如图中的红色横线）

一经设定，企业的绩效目标（图中紫色竖线）就基本确定。

因为市场波动带来的绩效波动（图中围绕紫线的红色虚线

框）可能带来的最大风险点A必须控制在市场风险形态和

抗风险能力边界范围内。

显然，企业经营的战略设定，决定了绩效目标和可接受的浮

动范围。然而，实践中企业绩效考核往往直接或间接与利润

挂钩，或与企业价值挂钩，变相鼓励了对利润的最大化追求

而忽视了资源限制和风险的剧增。回到前面提到的雷曼兄弟

破产案例，其抗风险的自有资产比率低，而公司高层对其明

星交易德育基地 员债券衍生品高回报、高风险交易视若无睹，片面追

求利润和绩效，在市场波动时超过了其抗风险边界，是最终

未能抵御企业破产风险的直接原因。追求企业价值最大化有

什么错吗？长期以来，很多企业特别是上市公司，宣称企业

经营的目标就是要为股东创造最大企业价值（现值或者远

期）。这个口号听起来的确振振有词，但不免让人感觉过于

粗放和缺乏人文精神，至少没有风险意识。

从上图看，在更新版风险管理框架中，在既定的企业资源和

设定的战略目标下，管理层一旦确定风险偏好，市场波动区

间基本上就限定了绩效目标水平和绩效的可能波动区间（虚

线部分）。换言之，确定的绩效目标是否达成是根本，争取

绩效最大化的空间不过是极其有限的市场波动区间。企业价

值增值主要来源于所创造的绩效。

显然，在风险和战略、绩效相整合的情况下，不顾资源、战

略和风险偏好制约枉谈企业价值最大化，并无多大的实际意

义。企业片面追求价值最大化的一个不良激励是企业过分注

重扩张资产负债规模，而不考虑经营的效益和资源使用的效

率。从会计和资产负债表意义上，企业规模在持续扩大，利

润总额继续增长。但在经青春与爱情 济学意义上机会成本不断增大，资

源使用的边际效益却在持续递减。正如英国经济学家舒马赫

在《小的是美好的》一书中所言，那些仍旧痴迷于对“大”进

行追求的企业，往往以资源的大量消耗、浪费和环境的破坏

为代价。正如在宏观层面片面求GDP一样。从新版风险管

理框架看，既非“大的是美好的”也未必“小的是美好的”，适

宜的才是最好的。如何才是适宜的？这就需要回归到企业或

机构创始的使命、愿景和价值上来。

企业文化与核心价值是否真的虚无？

“全面风控、全员风控”。风控，那是风控部的事---对吗？

这对现代企业来说已经不成其为一个问题。然而实践中，

“业务开发和市场营销部门的职责就是奋力开拓产品和市

场，至于风险，会有专司风险管理的风控部门去制衡和把

控。”---这是在市场竞争加剧状态下，诸多竞争中企业风险

追管理文化氛围的典型写照。新版风险管理框架则要求，无

论身居各个不同业务部门，从董事会到普通员工，必须通过

时常的检视（Examine），自上到下始终全面贯彻保持企业

风险文化的一致性。

新框架倡导将风险管理框架设置提前到企业战略目标设定和

文化建设的始发端，认为建立一个所有员工都贯彻一致的企

业文化对于企业抓住绩效机遇、规避风险至关重要。为此，

从企业创立的源头开始梳理、从企业使命、愿景和核心价值

出发，应将风险管理定位始于董事会，直至每一位基层员

工，将其作为绩效管理不可分割的组成部分，而不仅仅是一

个风控部门业务管理的操作流程。这对企业风险管理来说是

一场观念的变革，它要求企业全体员工增强主人翁精神和风

险担当意识。有此担当，企业风控、内控、内审和外部审计

的压力将得到大幅缓释，内控和审计将更多地转向以风险导

向的审计工作和战略决策、管理咨询业务。

“不忘初心，方得始终。”企业，要在激烈的市场竞争中生

存，就要不择手段强大自我，遵守丛林法则---是吗？君不

见，沧海横流大浪淘沙，“卑鄙是卑鄙者的通行证，高尚是

高尚者的墓志铭”；多少企业“英雄”不问出路，活在当下不

择手段，不管何种产品和业务有钱放手赚。然而，更新版风

险管理框架却站在人文关怀的角度，倡导企业发展和风险管

理应不受诱惑，坚守企业创设的使命、愿景和核心价值初

衷，将风险管理从传统的“管理流程或程序”提升到难以理解

的“一种文化、能力和实践”，这种高位初看难免让人匪夷所

思。

如果放眼历史的长河，从企业生存发展生命曲线的角度，纵

观众多让人尊重和敬仰的企业，有多少已然陨落，又有多少

依然灿烂辉煌？据称兰德公司跟踪研究了世界上众多百年老

店，得出的重要结论是，长寿企业都遵循人的价值高于物的

价值、共同价值高于个人价值、社会价值高于利润价罗马历史 值、用

户价值高于生产的价值。苹果公司的乔布斯认为，苹果公司

的动力“来自产品，而非利润”；杜邦公司的核心价值观是

“责任与关怀”；谷歌公司的一个著名核心价值观是“不作恶”

（Don'tbeevil）。

在重大风险抉择面前，发挥决定性作用的，往往取决于企业

使命、愿景和核心价值，以及面对诱惑或威胁，是否仍坚守

如初。为此，新版风险管理框架还特别提出了全面风险管理

应吸引、发展并留住优秀的个体，致力于根据战略和业务目

标构筑人力资本，通过在不同层面建立人力资源管理体系来

吸引、培训和指导人才，评价和留住人才，通过人文关怀落

实企业文化和愿景初衷。

（责任编辑：滕延妮）