达信:深度解读COSO新版企业风险管理框架(ERM)

达信：深度解读COSO新版企业风险管理框架（ERM）

2016年6⽉，美国反欺诈财务报告委员会（The Committee of Sponsoring Organizations of the Treadway Commission, COSO）发布了新版企业风险管理框

架“企业风险管理-服务于企业战略和绩效的实现” （Enterpri Risk Management- Aligning risk with strategy and performance）征求意见稿，这是继2004年

COSO正式公布企业风险管理框架（Enterpri Risk Management Framework, ERM）以来第⼀次对ERM框架进⾏修订和完善，更确切的说是对ERM框架⼤⼑

阔斧的进⾏了重新构思和设计。

新版ERM框架已经于2016年9⽉30⽇截⽌全球范围内收集反馈意见，并计划于2017年第⼀季度正式公布。

1. 新版ERM框架出台的背景

众所周知，在企业风险管理和内部控制理论研究领域，COSO组织有着举⾜轻重的位置，从1992年出版企业内部控制整合框架（Internal Control- Integrated

Framework）以来，作为在美上市公司内控体系建设的指导框架，不仅得到了美国证监会的认可，⽽且在全球范围内被众多国家相关企业和上市公司监管机构

采⽤和推⼴，如中国财政部2008年发布的《企业内部控制基本规范》即采⽤了COSO组织1992年发布的内部控制框架要素和内容。

2000年以来，企业界在实施了⼗来年内部控制框架之后，发现即便建⽴了完善的内部控制体系，仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损

失案例，所以COSO组织开始从更⾼的⼀个⾓度来思考企业的管理活动以及内部控制体系的局限性。

内部控制体系确实对实现财务报告的可靠性和有效性提供了合理的保障（从实践经验看，内部控制体系的建⽴对经营和合规两个⽬标的⽀持⼒度并没有像财务⽬

标那样得到很好的体现），但是企业需要从整合风险管理的⾓度为企业创造价值并合理保障公司战略⽬标的实现。

COSO组织对ERM框架的初衷和定位是正确的，但在起草ERM框架时采⽤了在COSO内部控制框架的基础上进⾏升级和扩充的做法，这直接导致了两个理论框

架虽然愿景和⽬标各不相同，但内容的重合度⾮常⾼，回想过去这些年企业在实践这两个理论体系时出现的种种说法“内部控制就是风险管理”、“风险管理就是

内部控制”、“风险管理是“⼤内控””等，在当时发布起草ERM框架时就埋下了隐患。

图1：内部控制框架和企业风险管理框架

2014年，COSO组织开始着⼿对ERM框架的升级换代，⽤其⾃⾝的阐述，原因在于过去⼗年间外部环境的复杂变化，利益相关⽅更加关⼼风险管理对企业价值

的创造，尤其是在战略的制定和执⾏中风险管理价值的体现，以及增强风险管理和企业绩效之间的协同关系。

想必COSO组织也⾮常清楚过去⼗年间关于内部控制和风险管理之间关系的争论和对企业实际开展⼯作造成的影响，只好痛定思痛，着眼于未来，这⼀点从新版

的ERM框架中可以看出来。COSO组织对新版ERM框架进⾏了颠覆性的变化，起码从表⾯上来看，没有⼀点从前的影⼦了，看来是有意和内控及2004版风险管

理划清界限，结束这⼗年来的两者的纠葛和纷争。

图2：COSO新版企业风险管理框架

很多从事和熟悉风险管理⼯作的⼈，对ERM新框架⼀开始的感觉都是陌⽣和不适应，最开始将征求意见稿发送给国内权威专家参考时，部分专家也提出“这是对

历史的⼀种背叛”、“新框架太荒唐”等批判性的反馈意见，但这是⼈们对于熟悉环境突然变化的抵触⼼理，待各位专家平复⼼情仔细研读后，还是⾮常肯定新框

架做出的勇敢变化及对风险管理⼯作的准确定位。

2. 新版ERM框架和旧框架的区别与联系

1. 新框架采⽤了国际⽂件惯⽤的要素加原则的结构(Components and Principals)

新版框架使⽤了构成元素+原则的结构，包括5个构成元素，细分为23条原则，2013年COSO组织更新了企业内部控制框架的部分内容，在⽂章的整体结构上就

是采⽤的这种结构，新的结构加强了新框架的可读性、可⽤性和⼀致性。

2. 修订了风险的定义

旧版框架中对风险的定义为：

风险是⼀个事项将会发⽣并给⽬标实现带来负⾯影响的可能性。

新版框架中对风险的定义为：

事项发⽣并影响战略和业务⽬标之实现的可能性。

可以看到，旧定义只强调了负⾯影响，⽽新定义的主要改动是兼顾了正⾯和负⾯的影响，这和国际风险管理标准ISO 31000及中国风险管理标准GB-T 24353是

⼀致的，这种认识中国早在2006年国务院国资委发布的《中央企业全⾯风险管理指引》⽂件中就有体现。

3. 简化和重新定义了ERM

同时我们还可以⽐较ERM的定义。

旧版框架对ERM的定义为：

ERM是⼀个过程，它由⼀个主体的董事会、管理层和其他⼈员实施，应⽤于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使

其在该主体的风险容量之内。并为主体⽬标的实现提供合理保证。

新版框架对ERM的定义为：

组织在创造、保存、实现价值的过程中赖以进⾏风险管理的，与战略制定和实施相结合的⽂化、能⼒和实践。

可以看到，新版框架简化了对ERM的定义以⽅便阅读和记忆。新定义⽅便所有读者的理解，⽽不只是风险管理从业者，新定义包括⽂化和能⼒⽽不只是过程，

更加强调风险与价值的相结合，突出价值创造⽽不只是防⽌损失，这样也避免了和内部控制定义的界限不清。

4. 强调风险与价值的关系

新版框架中，ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的⼀个额外的或是单独的活动，⽽是融⼊

主体的战略和运营当中的有机部分。

5. 真正定位了风险管理与战略的协同作⽤

新版框架注意到了⾃旧版框架发布以来，组织在实践ERM过程中遇到的⼀些问题，包括对风险管理⼯作的定位，风险管理⼯作的范围和⽬标等，新版框架定义

了风险管理⼯作的⾼度，包括：战略和业务⽬标与使命、愿景和价值观不匹配的可能性；选定的战略所隐含的意义；执⾏战略过程中的风险。

6. 重新定义了风险偏好和风险容量

旧版框架中，风险容量（Risk Tolerance）只是颗粒化的、更细节的风险偏好（Risk Appetite）。新版本中，风险偏好保留了原来的定义，即主体在追求战略和

业务⽬标的过程中愿意承受的风险量，⽽将风险容量重新确定为可接受的绩效变动区间（Accepted Variation in Performance），新的定义更加明确和可度量，

有助于组织在给定绩效⽬标下计算可以承受的风险边界。

3. 新版ERM框架主要内容解读

图3：新版ERM框架的五要素和23个原则

风险管理和⽂化

风险治理和⽂化组成了ERM所有其他部分的基础。风险治理定下主体的基本基调，加强ERM的重要性并确⽴ERM的监管责任的分配；⽂化则是主体的价值观、

⾏为准则和对风险的理解。

1. 实现董事会对风险的监督

董事会对主体的风险监督负有⾸要责任。⾸先要确认董事会和管理层对风险治理的责任分配。⼀般来说，董事会成员具有丰富的⾏业经验和技能，且独⽴于管理

层。这使得他们能提供风险治理的整体战略和独⽴视⾓，并将风险管理的⽇常责任交给管理层或者特定的委员会，如风险管理委员会。

2. 建⽴治理和运作模式

在明确的责任分配下，组织应该建⽴完整的运营模式和汇报体系。影响组织建⽴何种运营模式的因素有很多，例如企业的战略⽬标，规模、⾏业、区域分布、财

务税务等⽅⾯的法律法规等等。管理层结合企业的使命、愿景和核⼼价值来计划、组织并执⾏企业战略。

⼀般来说，管理层通过授权给特定委员会的形式来掌握、管理与战略相关的风险。对于⼤型组织来说，这样的委员会可能不⽌⼀个，这就需要不同的委员会之间

明确权责的分配并共享对风险的理解。明确权责⼗分重要，这能激发⼈们在授权范围内的能动性。⽽随着组织的发展，运营模式和授权-报告体系也需要做出相

应调整。

3. 定义期望的组织⾏为

董事会和管理层通过定义其期望的⾏为来将组织核⼼价值和对风险的态度具体化。建⽴⼀个所有员⼯都接受的企业⽂化对于企业抓住机遇、规避风险来说⾄关重

要。表现在下图所⽰的风险光谱上，风险激进的组织更倾向于接受追求战略和业务⽬标时所需承担的不同类型和数量的风险。

图4：风险光谱

4. 展现对诚实和道德的承诺

组织制定基调，建⽴员⼯⾏为准则并对偏离准则的⾏为做出回应。即使组织明确展⽰了对诚实和道德的承诺，还是难免发⽣违背企业的价值观的⾏为。这种⾏为

可能是好⼈犯了错误，好⼈⼀时意志软弱，或者坏⼈蓄意造成破坏。因此需要对⾏为进⾏详尽的评估并制定细节的应对措施。关键是将个体的⾏为和组织⽂化结

合起来，这需要管理层在⽇常⼯作中不断解读、强调和践⾏企业⽂化。

5. 加强问责

组织确保各个层级的个体在风险管理⽅⾯的职责明确，并确保其⾃⾝在提供准则和指导⽅⾯的职责明确。管理层向董事会负责，员⼯向管理层负责。个体是否负

责受到奖励机制的很⼤影响，董事会和管理层应该在组织的各个层级建⽴奖励机制，这种建⽴可能是薪酬⽅⾯的，也可以是⾮物质的，⽐如授予更重要的⼯作。

6. 吸引、发展并留住优秀的个体

致⼒于根据战略和业务⽬标构筑⼈⼒资本。组织需要建⽴在各个层级评价⼯作能⼒的机制。董事会评价管理层的能⼒，管理层评价各个业务单元或者职能部门的

能⼒。管理层通过在不同层⾯建⽴⼈⼒资源管理体系来吸引、培训、指导⼈才，评价和留住⼈才。

风险、战略和⽬标设定

ERM通过制定战略和业务⽬标的过程与主体的战略计划融合在⼀起。通过对商业环境的理解，组织可以得到对内在和外在因素的看法以及它们对风险的影响。

组织在战略制定中确定其风险偏好，⽽业务⽬标使得战略得以实践并形成主体⽇常的运营。

7. 考虑风险和业务环境

组织考虑业务环境对风险图谱的潜在影响。组织要理解业务环境，考虑内部和外部的环境和不同的利益相关者。外部环境包括政治、经济、社会、科技、法律和

环境等⽅⾯，内部环境包括资本、⼈⼒、流程和技术等⽅⾯。

8. 定义风险偏好

组织在创造、保存和实现价值的过程中定义风险偏好。负责确定风险偏好的董事会和管理层必须完全了解不同风险偏好所代表的取舍和利害关系。对于⼀些组织

来说，“⾼风险偏好”或“低风险偏好”已经⾜够区分，对已另外⼀些组织来说，风险偏好必须是可以量化的。风险偏好可以有“⽬标”、“范围”、“上限”、“下限”等不

同的表达和设定⽅式。

9. 评估可供选择的战略

阶段调整战略。

10. 建⽴业务⽬标的同时考虑风险

组织建⽴不同层次的业务⽬标以制定和⽀持战略的同时考虑风险。业务⽬标可以使财务表现、客户满意度、卓越运营、合规、效率提升或者领先⾏业的创新等

等。组织必须理解不同的业务⽬标所隐含的意义并确定不同的绩效度量⽅式和⽬标。

11. 定义可接受的绩效浮动区间

可接受的绩效浮动也可以理解为风险容忍度。衡量绩效的完成度可以是定量的也可以是定性的。前者如资本回报率等，后者如品牌知名度、媒体评价等。

执⾏中的风险

组织识别并评估可能影响其实现战略和业务⽬标的风险，结合企业的风险偏好，对风险按照其严重程度排分优先次序，组织选择风险应对的⽅法并对绩效进⾏监

控以做出调整。这样，企业对追求战略和业务⽬标时所⾯临的风险量建⽴起⼀个组合的观念。

12. 识别执⾏中的风险

组织识别执⾏过程中影响业务⽬标实现的风险。风险识别的⽅法包括专题研讨会、访谈、流程分析、关键风险指标和数据追踪等。风险和机遇并存，识别风险的

过程也是识别机遇的过程。

13 评估风险的严重程度

风险评估的重要⼯具是风险热⼒图，热⼒图从风险发⽣的可能性和影响程度两⽅⾯对风险进⾏评级。风险评价要从固有风险、⽬标剩余风险和实际剩余风险三个

层级进⾏。

图5：风险热⼒图

14. 区分风险的优先次序

监控ERM效果

通过监控ERM的效果，组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。

22. 对重⼤变化进⾏监控

组织识别和评估可能对战略和业务⽬标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来⾃内部的原因，例如快速成长、新技术或者

管理层及其他⼈事变动；可能来⾃外部环境，例如法规和经济环境的变化；还可能来⾃组织⽂化⽅⾯，例如并购和重组带来的⽂化冲击。

23. 对ERM进⾏监控

组织应监控ERM的效果并随时准备对其进⾏效率上和实⽤性上的改善。做出这些完善的机遇可能存在于以下任何领域：新技术、历史短板、组织⽅式转变、风

险偏好、风险分类、沟通、同业对⽐、变化的速率。组织同样要明确未来理想中的ERM状态，如此才能做出持续改进。

4. 风险绩效曲线介绍

新版框架中数⼗次出现了⼀个新提出的曲线—风险绩效曲线，提出了将风险与绩效相结合并给出了图形化的解释。单个的风险和绩效并不总是⼀⼀相关的，但是

整体的风险与绩效是相关的。

为了提供相关指导，新版框架对风险和绩效的关系提供了图形化的表达和⽰例。为了完成对风险轮廓的描述，组织需要理解下⾯内容：战略和业务⽬标、绩效⽬

标和可接受的浮动范围、风险承受能⼒和风险偏好、风险对达成战略和业务⽬标的影响程度。

如下图中所⽰，横坐标代表绩效，纵坐标代表组织所承受的风险。图中的蓝⾊曲线代表风险-绩效曲线，即风险总体上随着绩效的升⾼⽽升⾼。红⾊⽔平线条表

⽰组织确定的风险容限，⽽紫⾊垂直线条表⽰组织的绩效⽬标。

图6：风险绩效曲线

可以看到，c点表⽰⽬标绩效下组织所承受的风险，c点到a点的距离则代表实际风险与风险容限的差距，距离越短，表⽰企业的风险偏好越激进。⽽b点代表达

到100%风险容限时，组织所能达成的最⼤绩效，但这也意味着组织承担的风险总量已经处于饱和状态。

可以看出，风险绩效曲线是新版框架的创新，它成功地将风险、风险偏好、绩效、⽬标绩效、绩效偏差等概念的关系⽤图形的⽅式展现出来，简单形象，⽅便理

解。此⽰意图是风险-绩效曲线的最基本的⼀张图，在新版框架的附录中还有更详尽的解释。

但是，我们需要注意，风险绩效曲线试图将风险和绩效进⾏量化对⽐，在实际操作中有⼀定的难度。⽬标绩效虽然容易设置（通过收⼊、收益率、利润、市场占

有率等确定），但是风险如何加总量化是⼀个复杂的问题。除此之外，⽰意图中风险与绩效的关系是⼀条平滑的曲线，但是实际情况是，风险和绩效的关系不会

如此单纯，所以如果没有数据积累和⼤量分析，精确绘制这条实际的蓝⾊曲线是⾮常困难的。我们风险管理咨询的同事曾经带领团队试图从⼀个项⽬风险评估中

绘制风险绩效曲线，但碰到的障碍很多，希望COSO在正式发布ERM框架时，可以给出更具操作性的指导。

5. ⼏点探讨及观点

1. 更好的区分风险管理和内部控制的边界

本⽂背景介绍中已经对风险管理和内部控制的情况作了简单介绍，在企业风险管理体系和内部控制体系建设⽅⾯，中国企业积累的经验在全球范围内独树⼀帜，

源于过去⼗⼏年中国企业⾛过的坎坷之路。

2006年，国务院国资委发布《中央企业全⾯风险管理指引》，开启了中国企业尤其是中央和地⽅国有企业建设全⾯风险管理体系的浪潮，在国务院国资委的推

动下，绝⼤多数中央企业⼏年内建⽴起了全⾯风险管理体系。

2008年，财政部发布《企业内部控制基本规范》，要求⼤中型企业尤其是上市公司建⽴健全企业内部控制体系，2013年，这些要求⼜在中央企业推⼴和落实。

对于部分企业来说，⽆论是企业风险管理还是内部控制都属于新⽣事物，这两个体系从两个国家部委的⾓度⼀前⼀后进⾏要求和推⼴，很多企业感到迷惑，不知

道如何处理这两个体系以及这两个体系和企业管理之间的关系，造成了⼀定的管理混乱和资源重复投⼊，这些问题从最开始理论框架的设计上确实没有划分清晰

的界限。

对于风险管理和内部控制的关系，2013年COSO发布的内部控制框架更新版⽂件附录中提出，企业风险管理是企业治理中的组成部分，企业内部控制是企业风

险管理中的组成部分，从中国理论和实践经验看，⼤部分专家还是⽐较认可这种关系界定。

图7：风险管理和内部控制关系图

此次ERM新框架中，对于风险管理和内部控制的关系也做了进⼀步的阐述，新框架中有意规避了旧框架中对于控制活动的描述，把控制活动的内容留给了内部

控制体系，⽽突出了风险的治理和⽂化的内容，以及强调和战略及绩效的关系，算是给两个体系“分家”做了个“了断”，关于两者的关系⽐较及经验总结限于篇

幅，此处不再展开。

期待COSO公布正式版之后，实践界可以尽快研究如何应⽤，尽快形成企业风险管理体系建设的⾏业最佳实践。

2. 推动风险管理更好的和企业管理的融合

真正的风险管理⼯作是要⽀持管理决策的，⽽不仅仅是建⽴内部控制制度和流程，虽然COSO新版的ERM框架已经开始回到“正轨”，其实有些国际的知名风险管

理咨询公司并未受到COSO原有框架的局限性影响，如达信的风险管理咨询服务及我们的姐妹公司奥纬咨询（Oliver Wyman Consulting）,我们⼀直坚持为客户

提供的风险管理⽅法论就是为企业的战略和管理决策提供⽀持，将风险管理⼯作融⼊管理决策的各个流程环节中，我们⼀直认为这是风险管理的真正价值所在。