周婷婷 張浩

【摘 要】 2017年9月6日，美國反虛假財務報告委員會下屬的發(fā)起人委員會（COSO）正式發(fā)布《企業(yè)風險管理——與戰(zhàn)略和績效的整合》，這是基于2004年《企業(yè)風險管理——整合框架》的首次更新，相較于2004版框架，這次更新是風險管理理念上的一次飛躍。2004版框架著重于風險視角下的企業(yè)管理要素的整合，2017版框架則直接從企業(yè)治理的角度將風險管理融入貫穿于企業(yè)戰(zhàn)略、績效和價值提升之中，為真正將風險管理融入企業(yè)治理打下了基礎。文章采用文獻研究法，梳理了COSO風險管理框架發(fā)展脈絡，解讀新框架的關鍵變化，介紹COSO風險管理的新思維，反映企業(yè)風險管理思想和實務的演變，并為我國企業(yè)更好地適應經(jīng)濟全球化趨勢下的風險管理提供啟示與借鑒。

【關鍵詞】 COSO； 企業(yè)風險管理； 戰(zhàn)略績效； ERM框架

【中圖分類號】 F272.3 【文獻標識碼】 A 【文章編號】 1004-5937（2018）17-0082-04

一、引言

2017年9月6日，美國反虛假財務報告委員會（Treadway）下屬的發(fā)起人委員會（COSO）正式發(fā)布《企業(yè)風險管理——與戰(zhàn)略和業(yè)績的整合》（Enterprise Risk Management——Integrating with Strategy and Performance），簡稱ERM（2017）框架。此次更新相較于2004年的《企業(yè)風險管理——整合框架》，在風險管理理念上是一次飛躍。從2017年框架名稱的變化上就可以看出，此次更新注重的是風險管理戰(zhàn)略和業(yè)績的整合。自2004年《企業(yè)風險管理——整合框架》發(fā)布以來的十余年間，董事會和管理層普遍增強了風險意識，加強了對風險的監(jiān)管。但同時，風險管理的復雜性也發(fā)生了深刻變化，新的風險不斷出現(xiàn)。各種組織特別是企業(yè)需要新的思維來應對這種變化。因此，2017年的更新是一次思想的革新，并不涉及風險管理技巧和方法。2017版框架的摘要中就指出，采用ERM（2017）框架并不是一個強制性要求，2004版《企業(yè)風險管理——應用技術》的內(nèi)容依然被保留。

對COSO風險管理框架發(fā)展歷程進行了梳理，并嘗試解讀ERM（2017）框架的關鍵變化，結合未來趨勢為中國企業(yè)風險管理提出建議。

二、COSO ERM框架的歷史脈絡

內(nèi)部控制是社會經(jīng)濟發(fā)展的產(chǎn)物。內(nèi)部控制理論與實踐大體上經(jīng)歷了內(nèi)部牽制、內(nèi)部控制系統(tǒng)、內(nèi)部控制結構和內(nèi)部控制整體框架四個不同的階段，并已初步呈現(xiàn)內(nèi)部控制與企業(yè)風險管理整合框架交融發(fā)展的趨勢[1]。

1992年，COSO發(fā)布了“三目標”和“五要素”組成的《內(nèi)部控制——整合框架》，并于1994年增加了與“保障資產(chǎn)安全”有關的控制?；?1世紀初美國上市公司的系列財務丑聞，2002年頒布的薩班斯-奧克斯利法案（Sarbane-Oxley Act）第404條款要求公眾公司建立有效的內(nèi)部控制體系，確保提供給投資者的財務報告有效可靠。盡管1992版內(nèi)部控制框架獲取世界各國的廣泛認可和應用，但由于框架的局限性：過于注重財務報告，缺少關注企業(yè)風險的戰(zhàn)略、全局意識，2004年COSO以1992年內(nèi)控框架為基礎正式頒布《企業(yè)風險管理——整合框架》，強調內(nèi)部控制是企業(yè)風險管理不可或缺的部分，引入風險組合觀，正式提出并形成了全面風險管理的基本概念和框架體系。

為應對企業(yè)經(jīng)營和業(yè)務環(huán)境的復雜變化，2013年5月，COSO發(fā)布修訂版內(nèi)部控制框架，提議2014年12月15日以后用該框架取代1992版原框架，并修訂原框架下的2006版《較小型公眾公司財務報告內(nèi)部控制指南》[2]。2014年，COSO啟動修訂ERM框架工作，于2016年6月發(fā)布征求意見稿《企業(yè)風險管理——與戰(zhàn)略和績效協(xié)同》（Enterprise Risk Management——Aligning Risk with Strategy and Performance）。2017年9月，COSO正式發(fā)布更新版ERM框架，聚焦風險管理工作與戰(zhàn)略和績效的融合，以期切實有效地提升企業(yè)價值。

COSO主席Hirth描述“風險的復雜程度日益變化，新風險也逐漸出現(xiàn)”，ERM（2017）框架正是面對復雜多變的外部環(huán)境和日益更新的技術變革的一次升級換代。當前世界經(jīng)濟正呈現(xiàn)全球市場一體化、實體與虛擬經(jīng)濟共存、電子商務一體化等趨勢[3]，而新框架反映了當前和不斷發(fā)展的企業(yè)風險管理的概念和應用，強調了企業(yè)風險管理的發(fā)展演進，通過改進風險管理方法滿足組織在變化發(fā)展的商業(yè)環(huán)境中的需要。具體來說，它為戰(zhàn)略提供了更廣闊的視角，顯示了企業(yè)風險管理與主體的戰(zhàn)略、商業(yè)目標和績效的協(xié)同性，包含了對治理和監(jiān)管的期望，全球范圍的組織可以從企業(yè)風險管理中獲得更好的價值。

楊紀紅[4]指出，許多企業(yè)按照2004版ERM框架構建企業(yè)風險管理體系卻發(fā)現(xiàn)諸多問題：如風險管理實施范圍面向局部、拘于細節(jié)、認知不當?shù)取Ｗ犯菰?，主要因?004版ERM框架是在1992版《內(nèi)部控制——整合框架》的基礎上加以拓展的。兩個框架雖然愿景、目標不同，但內(nèi)容重合度極高，在實務中經(jīng)常會出現(xiàn)混淆。企業(yè)風險管理和內(nèi)部控制兩者之間的模糊界限，使企業(yè)缺乏明確的指引，從而造成為滿足形式合規(guī)而發(fā)生管理混亂和資源重復投入，甚至導致大量企業(yè)倒閉破產(chǎn)。因此，要求出臺更加明晰的企業(yè)風險管理框架的呼聲日益高漲。據(jù)此，COSO更新框架，站在更高、更全面的角度來思考企業(yè)的管理活動以及解決內(nèi)部控制體系的局限性，提出通過整合企業(yè)風險管理來創(chuàng)造價值并合理保障公司戰(zhàn)略目標的達成。

三、ERM（2017）框架的重要變化

此次框架的變化基本反映了企業(yè)風險管理的思想和實務的演變。2004版框架著重于風險視角下的企業(yè)管理要素的整合，2017版框架則直接從企業(yè)治理的角度將風險管理融入貫穿于企業(yè)戰(zhàn)略、績效和價值提升之中。2004版框架處處強調風險，2017版框架則化風險于無形，在2017版框架的五大要素中沒出現(xiàn)“風險”一詞。甚至，“風險”的內(nèi)涵和外延也發(fā)生了變化。這反映出COSO將風險管理融入企業(yè)治理大框架的思想轉變。2017版框架中特別對風險框架和內(nèi)控框架的關系做了明確的說明，厘清了業(yè)界長期以來認為“內(nèi)控框架是風險框架的子集”的誤解。

（一）調整了框架結構

一改2004版框架由8要素、4目標、4層級所構成的立方體結構，新版框架采用的是5要素20原則的框架結構形式[5]。表1通過列表對比新舊ERM框架下的要素變化，突出了新框架關注企業(yè)治理與文化，強調風險管理與戰(zhàn)略、目標設定、績效的緊密關聯(lián)，從而達到保持和創(chuàng)造企業(yè)價值的目標。此外，新版框架所列示的每項原則代表著一個與基本要素關聯(lián)的基本概念——處于商業(yè)環(huán)境下的企業(yè)風險管理關鍵點。在2013年《內(nèi)部控制——整合框架》更新時也是采用這樣的書寫形式，通過總體原則描述強調目標的實質性而非流程的形式性。這種結構的好處是加強了框架的可讀性、可操作性和內(nèi)在一致性，避免了考慮一應俱全可能性的煩瑣以及因時代更迭所造成更新滯后的缺點。ERM（2017）框架5要素與20項原則詳見表2。

ERM（2017）框架中盡量避免使用“企業(yè)”一詞，而是用“組織”來體現(xiàn)框架對不同主體的包容性。風險管理能夠并且應當應用于任何類型的組織，從小公司、社區(qū)企業(yè)，到政府組織。目前而言，運用風險管理框架指導非營利組織和政府組織的實踐仍需要時間驗證。

（二）重新定義了風險相關概念

首先，新框架強調了風險帶來影響的雙重概率。2004版框架將風險描繪為“事項發(fā)生并給目標實現(xiàn)帶來負面影響的可能性，它會妨礙價值創(chuàng)造或者破壞現(xiàn)有價值”，而機會被認為是能帶來正面影響或抵消負面影響的事項[6]，可見風險被看作是一種應該被抑制的負面概率，而機會則是保持或創(chuàng)造價值的正面概率。新框架將風險定義為“事項發(fā)生并影響戰(zhàn)略和商業(yè)目標實現(xiàn)的可能性”，反映了COSO對風險認知的更新，結合ERM（2017）框架整體內(nèi)容，這里的風險具有雙向性，既存在未能防范或降低負面影響引發(fā)的價值破壞，又突出強調可能通過主動識別和管理獲取機會和機遇從而維系或創(chuàng)造新價值。

其次，新框架更改了企業(yè)風險管理的定義。2004版將企業(yè)風險管理定義為“由企業(yè)全員參與實施、旨在合理保障目標實現(xiàn)的一個過程”。新版框架認為企業(yè)風險管理是一種將組織和戰(zhàn)略設定整合的“文化、能力和實踐”[7]。文化是治理和主體監(jiān)管背景下主體的價值觀、行為準則和對風險的理解，需關注文化與商業(yè)環(huán)境的關系以及它們對戰(zhàn)略的選擇與執(zhí)行所造成的影響；能力是指由于風險的不斷變化，面臨挑戰(zhàn)組織如何適應變化的生存和發(fā)展能力；實踐是組織在實務操作中受到文化影響和能力制約所形成的現(xiàn)實活動。2004版框架定義中強調風險管理是一種內(nèi)控活動，新版定義中更傾向認為它是一種有利于企業(yè)價值提升的綜合治理活動，是整合融入商業(yè)運營各方面并進行主體管理決策的一部分，它涵蓋了治理、績效管理和內(nèi)部控制工作。

此外，新框架優(yōu)化了風險偏好與風險容忍度的概念。風險偏好被定義為一個主體為追求它的戰(zhàn)略和商業(yè)目標所愿意承受的風險量，但新版增加了風險的類型。新框架認為風險偏好應最先體現(xiàn)在企業(yè)的使命和愿景上，組織再根據(jù)自身的風險偏好來管理戰(zhàn)略和商業(yè)目標的風險。另一方面，風險容忍度不再是風險偏好的量化、具體化，而是用績效語言表達。通過更為直觀的圖表形式如風險績效圖，展現(xiàn)風險和績效兩者之間相互關聯(lián)、相互影響的關系，組織可以清晰看出一定績效目標下的可承受風險范圍，并據(jù)此評估組織可以接受績效的變化區(qū)間。

（三）厘清了內(nèi)控框架和ERM框架的關系

在新框架中，內(nèi)部控制被定位為企業(yè)風險管理的一個基本方面；ERM（2017）框架和2013年《內(nèi)部控制——整合框架》是兩個互有側重、互為補充的非替代體系；2013年《內(nèi)部控制——整合框架》包含了內(nèi)控，保持了一個保障設計、運行、實施和評估內(nèi)控有效性和符合法律要求的報告的可行合適框架，并會被引用到ERM（2017）框架中；ERM（2017）框架關注那些超越了內(nèi)控的重要問題。為了明確劃分ERM（2017）框架和2013年內(nèi)部控制框架，ERM（2017）框架的5要素均不包含“風險”一詞，也不再單獨提到風險報告，只是對影響戰(zhàn)略和商業(yè)目標達成以及績效實現(xiàn)的潛在或現(xiàn)存風險進行報告；全部刪除2004版ERM框架中關于“控制活動”的內(nèi)容，把控制活動內(nèi)容留給了內(nèi)部控制框架。

（四）更加關注風險管理對戰(zhàn)略及績效的影響

新框架強調了風險管理和戰(zhàn)略及績效的關系，將其融入管理決策的各個流程環(huán)節(jié)中，特別是主體的核心業(yè)務，提升主體創(chuàng)造和保護最終實現(xiàn)價值的能力。

1.提升了風險管理戰(zhàn)略層面的討論

企業(yè)風險管理不再是獨立的工作，而是在參與制定戰(zhàn)略和商業(yè)目標的過程中與主體的戰(zhàn)略計劃相融合，協(xié)助管理層了解主體的整體風險狀況，提供各種替代策略應對風險狀況的影響。近年來很多事件證實，戰(zhàn)略選擇與主體的使命、愿景、核心價值不匹配時，企業(yè)可能經(jīng)營不佳、甚至倒閉破產(chǎn)，如柯達公司。因此，新框架就以下方面進行了深入研討：戰(zhàn)略選擇與主體的使命、愿景、核心價值協(xié)同的重大現(xiàn)實意義；如何理解已選戰(zhàn)略背后的風險內(nèi)涵；戰(zhàn)略執(zhí)行中的風險等。

2.增強了風險管理與績效的協(xié)同性

風險管理除了內(nèi)部控制還涉及其他主題，如治理和文化、戰(zhàn)略和目標設定、績效評估以及與利益相關者溝通。表2列示的20項原則中績效要素中包含的風險管理常規(guī)內(nèi)容最多、最為突出（原則11-14），其他4要素均只有1或2項，這表明了風險管理與績效協(xié)同的重要性與必要性。新框架探索了企業(yè)風險管理實踐識別與評估影響績效實現(xiàn)風險的路徑，要求風險管理是設定商業(yè)目標、實現(xiàn)績效的關聯(lián)部分，并列舉多種報告風險概況圖來展示績效與商業(yè)目標下的風險概況的變化關聯(lián)性。

3.明確提出將企業(yè)風險管理納入決策流程

為了追求創(chuàng)造、保持和實現(xiàn)價值，所有主體核心價值鏈上的每個環(huán)節(jié)都會面臨大量的決策。決策的內(nèi)容通常包含戰(zhàn)略選擇、商業(yè)目標和績效目標設定、資源配置等。因此，企業(yè)風險管理應當整合融入主體整個生命周期的各個環(huán)節(jié)中，從而支持各種具有風險意識的決策。

4.強調了險管理與價值創(chuàng)造的關系

舊框架僅體現(xiàn)了內(nèi)部控制基礎上間接創(chuàng)造的利益相關者價值；新框架則從企業(yè)使命、愿景和核心價值觀出發(fā)，強調風險管理嵌入企業(yè)管理業(yè)務活動和核心價值鏈，以便管理層發(fā)現(xiàn)新的發(fā)展機遇。企業(yè)風險管理不再簡單地關注如何預防價值侵蝕和降低風險至可接受的水平，而被看作是不可或缺的戰(zhàn)略設定和緊抓機遇創(chuàng)造、保持價值的一部分。

四、借鑒與展望

總體來看，ERM（2017）框架完善了舊框架中的核心定義，不再是“大內(nèi)控”框架，而是順應經(jīng)濟全球化背景下市場與運營模式的變化，定位風險管理對現(xiàn)有的管理體系和職能的整合強化，進而更新風險管理工作者的理念和實踐活動，提出了一個更能滿足決策層和管理層需要的嶄新管理框架，直接為價值創(chuàng)造服務。

COCO報告指出，大數(shù)據(jù)、人工智能、自動化應用、成本控制等的發(fā)展趨勢對企業(yè)風險管理有著很大的影響。因此，中國企業(yè)應當結合新發(fā)布的ERM框架，認清當前形勢，順應變化、抓住機遇、壯大自我，盡快研究符合中國特色道路的風險管理最佳實踐?？梢詮囊韵路矫嫒胧郑旱谝?，面對“互聯(lián)網(wǎng)+”背景下的大數(shù)據(jù)以及數(shù)據(jù)分析速度急劇加速，企業(yè)風險管理應當更新其信息、溝通與報告的工具、手段，以全新的方式構建來源于內(nèi)部和外部的數(shù)據(jù)整合，采用高級分析方法和數(shù)據(jù)可視化工具，全面理解變化中的風險和風險的雙面影響。第二，充分考慮人工智能和自動化對行業(yè)、組織的重大影響，以動態(tài)、全局的風險意識來關聯(lián)和發(fā)現(xiàn)新的趨勢和模式，豐富企業(yè)風險管理的信息資源和價值創(chuàng)造來源。第三，在風險管理實踐過程中，對比合規(guī)成本、控制活動成本、治理成本等據(jù)此創(chuàng)造的價值，通過整合提高效率效果，為組織創(chuàng)造最大化的價值。第四，緊密結合風險管理與戰(zhàn)略和績效的設定、實現(xiàn)過程，提高更新風險意識，協(xié)助組織及時識別風險，避免不利因素，抓住有利時機，實現(xiàn)組織的可持續(xù)發(fā)展和相關者利益最大化。

【參考文獻】

[1] 方紅星，池國華.內(nèi)部控制[M].3版.大連：東北財經(jīng)大學出版社，2017.

[2] 王瑞龍，張浩.COSO內(nèi)控框架的最新發(fā)展及啟示[J].會計之友，2014（8）：52-55.

[3] 林斌，舒?zhèn)ィ钊f福.COSO框架的新發(fā)展及其評述——基于IC-IF征求意見稿的討論[J].會計研究，2012（11）：64-73，95.

[4] 楊紀紅.COSO風險管理框架演進及其新進展[J].新會計，2017（5）：62-64.

[5] COSO. Enterprise risk management-integrating with strategy and performance （2017） executive summary[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf.

[6] COSO.Enterprise risk management-integrated framework executive summary[EB/OL].（2004-09-29）[2018-01-08].https：//www.coso.org/Pages/erm-integratedframework.aspx.

[7] COSO.Enterprise risk management—integrating with strategy and performance（2017） frequently asked questions[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/COSO-ERM-FAQ-September-2017.pdf.