COSOERM框架的新動向

周婷婷 張浩

【摘 要】 2017年9月6日，美國反虛假財務(wù)報告委員會下屬的發(fā)起人委員會（COSO）正式發(fā)布《企業(yè)風(fēng)險管理——與戰(zhàn)略和績效的整合》，這是基于2004年《企業(yè)風(fēng)險管理——整合框架》的首次更新，相較于2004版框架，這次更新是風(fēng)險管理理念上的一次飛躍。2004版框架著重于風(fēng)險視角下的企業(yè)管理要素的整合，2017版框架則直接從企業(yè)治理的角度將風(fēng)險管理融入貫穿于企業(yè)戰(zhàn)略、績效和價值提升之中，為真正將風(fēng)險管理融入企業(yè)治理打下了基礎(chǔ)。文章采用文獻研究法，梳理了COSO風(fēng)險管理框架發(fā)展脈絡(luò)，解讀新框架的關(guān)鍵變化，介紹COSO風(fēng)險管理的新思維，反映企業(yè)風(fēng)險管理思想和實務(wù)的演變，并為我國企業(yè)更好地適應(yīng)經(jīng)濟全球化趨勢下的風(fēng)險管理提供啟示與借鑒。

【關(guān)鍵詞】 COSO； 企業(yè)風(fēng)險管理； 戰(zhàn)略績效； ERM框架

【中圖分類號】 F272.3 【文獻標(biāo)識碼】 A 【文章編號】 1004-5937（2018）17-0082-04

一、引言

2017年9月6日，美國反虛假財務(wù)報告委員會（Treadway）下屬的發(fā)起人委員會（COSO）正式發(fā)布《企業(yè)風(fēng)險管理——與戰(zhàn)略和業(yè)績的整合》（Enterprise Risk Management——Integrating with Strategy and Performance），簡稱ERM（2017）框架。此次更新相較于2004年的《企業(yè)風(fēng)險管理——整合框架》，在風(fēng)險管理理念上是一次飛躍。從2017年框架名稱的變化上就可以看出，此次更新注重的是風(fēng)險管理戰(zhàn)略和業(yè)績的整合。自2004年《企業(yè)風(fēng)險管理——整合框架》發(fā)布以來的十余年間，董事會和管理層普遍增強了風(fēng)險意識，加強了對風(fēng)險的監(jiān)管。但同時，風(fēng)險管理的復(fù)雜性也發(fā)生了深刻變化，新的風(fēng)險不斷出現(xiàn)。各種組織特別是企業(yè)需要新的思維來應(yīng)對這種變化。因此，2017年的更新是一次思想的革新，并不涉及風(fēng)險管理技巧和方法。2017版框架的摘要中就指出，采用ERM（2017）框架并不是一個強制性要求，2004版《企業(yè)風(fēng)險管理——應(yīng)用技術(shù)》的內(nèi)容依然被保留。

對COSO風(fēng)險管理框架發(fā)展歷程進行了梳理，并嘗試解讀ERM（2017）框架的關(guān)鍵變化，結(jié)合未來趨勢為中國企業(yè)風(fēng)險管理提出建議。

二、COSO ERM框架的歷史脈絡(luò)

內(nèi)部控制是社會經(jīng)濟發(fā)展的產(chǎn)物。內(nèi)部控制理論與實踐大體上經(jīng)歷了內(nèi)部牽制、內(nèi)部控制系統(tǒng)、內(nèi)部控制結(jié)構(gòu)和內(nèi)部控制整體框架四個不同的階段，并已初步呈現(xiàn)內(nèi)部控制與企業(yè)風(fēng)險管理整合框架交融發(fā)展的趨勢[1]。

1992年，COSO發(fā)布了“三目標(biāo)”和“五要素”組成的《內(nèi)部控制——整合框架》，并于1994年增加了與“保障資產(chǎn)安全”有關(guān)的控制。基于21世紀(jì)初美國上市公司的系列財務(wù)丑聞，2002年頒布的薩班斯-奧克斯利法案（Sarbane-Oxley Act）第404條款要求公眾公司建立有效的內(nèi)部控制體系，確保提供給投資者的財務(wù)報告有效可靠。盡管1992版內(nèi)部控制框架獲取世界各國的廣泛認可和應(yīng)用，但由于框架的局限性：過于注重財務(wù)報告，缺少關(guān)注企業(yè)風(fēng)險的戰(zhàn)略、全局意識，2004年COSO以1992年內(nèi)控框架為基礎(chǔ)正式頒布《企業(yè)風(fēng)險管理——整合框架》，強調(diào)內(nèi)部控制是企業(yè)風(fēng)險管理不可或缺的部分，引入風(fēng)險組合觀，正式提出并形成了全面風(fēng)險管理的基本概念和框架體系。

為應(yīng)對企業(yè)經(jīng)營和業(yè)務(wù)環(huán)境的復(fù)雜變化，2013年5月，COSO發(fā)布修訂版內(nèi)部控制框架，提議2014年12月15日以后用該框架取代1992版原框架，并修訂原框架下的2006版《較小型公眾公司財務(wù)報告內(nèi)部控制指南》[2]。2014年，COSO啟動修訂ERM框架工作，于2016年6月發(fā)布征求意見稿《企業(yè)風(fēng)險管理——與戰(zhàn)略和績效協(xié)同》（Enterprise Risk Management——Aligning Risk with Strategy and Performance）。2017年9月，COSO正式發(fā)布更新版ERM框架，聚焦風(fēng)險管理工作與戰(zhàn)略和績效的融合，以期切實有效地提升企業(yè)價值。

COSO主席Hirth描述“風(fēng)險的復(fù)雜程度日益變化，新風(fēng)險也逐漸出現(xiàn)”，ERM（2017）框架正是面對復(fù)雜多變的外部環(huán)境和日益更新的技術(shù)變革的一次升級換代。當(dāng)前世界經(jīng)濟正呈現(xiàn)全球市場一體化、實體與虛擬經(jīng)濟共存、電子商務(wù)一體化等趨勢[3]，而新框架反映了當(dāng)前和不斷發(fā)展的企業(yè)風(fēng)險管理的概念和應(yīng)用，強調(diào)了企業(yè)風(fēng)險管理的發(fā)展演進，通過改進風(fēng)險管理方法滿足組織在變化發(fā)展的商業(yè)環(huán)境中的需要。具體來說，它為戰(zhàn)略提供了更廣闊的視角，顯示了企業(yè)風(fēng)險管理與主體的戰(zhàn)略、商業(yè)目標(biāo)和績效的協(xié)同性，包含了對治理和監(jiān)管的期望，全球范圍的組織可以從企業(yè)風(fēng)險管理中獲得更好的價值。

楊紀(jì)紅[4]指出，許多企業(yè)按照2004版ERM框架構(gòu)建企業(yè)風(fēng)險管理體系卻發(fā)現(xiàn)諸多問題：如風(fēng)險管理實施范圍面向局部、拘于細節(jié)、認知不當(dāng)?shù)?。追根溯源，主要因?004版ERM框架是在1992版《內(nèi)部控制——整合框架》的基礎(chǔ)上加以拓展的。兩個框架雖然愿景、目標(biāo)不同，但內(nèi)容重合度極高，在實務(wù)中經(jīng)常會出現(xiàn)混淆。企業(yè)風(fēng)險管理和內(nèi)部控制兩者之間的模糊界限，使企業(yè)缺乏明確的指引，從而造成為滿足形式合規(guī)而發(fā)生管理混亂和資源重復(fù)投入，甚至導(dǎo)致大量企業(yè)倒閉破產(chǎn)。因此，要求出臺更加明晰的企業(yè)風(fēng)險管理框架的呼聲日益高漲。據(jù)此，COSO更新框架，站在更高、更全面的角度來思考企業(yè)的管理活動以及解決內(nèi)部控制體系的局限性，提出通過整合企業(yè)風(fēng)險管理來創(chuàng)造價值并合理保障公司戰(zhàn)略目標(biāo)的達成。

三、ERM（2017）框架的重要變化

此次框架的變化基本反映了企業(yè)風(fēng)險管理的思想和實務(wù)的演變。2004版框架著重于風(fēng)險視角下的企業(yè)管理要素的整合，2017版框架則直接從企業(yè)治理的角度將風(fēng)險管理融入貫穿于企業(yè)戰(zhàn)略、績效和價值提升之中。2004版框架處處強調(diào)風(fēng)險，2017版框架則化風(fēng)險于無形，在2017版框架的五大要素中沒出現(xiàn)“風(fēng)險”一詞。甚至，“風(fēng)險”的內(nèi)涵和外延也發(fā)生了變化。這反映出COSO將風(fēng)險管理融入企業(yè)治理大框架的思想轉(zhuǎn)變。2017版框架中特別對風(fēng)險框架和內(nèi)控框架的關(guān)系做了明確的說明，厘清了業(yè)界長期以來認為“內(nèi)控框架是風(fēng)險框架的子集”的誤解。

（一）調(diào)整了框架結(jié)構(gòu)

一改2004版框架由8要素、4目標(biāo)、4層級所構(gòu)成的立方體結(jié)構(gòu)，新版框架采用的是5要素20原則的框架結(jié)構(gòu)形式[5]。表1通過列表對比新舊ERM框架下的要素變化，突出了新框架關(guān)注企業(yè)治理與文化，強調(diào)風(fēng)險管理與戰(zhàn)略、目標(biāo)設(shè)定、績效的緊密關(guān)聯(lián)，從而達到保持和創(chuàng)造企業(yè)價值的目標(biāo)。此外，新版框架所列示的每項原則代表著一個與基本要素關(guān)聯(lián)的基本概念——處于商業(yè)環(huán)境下的企業(yè)風(fēng)險管理關(guān)鍵點。在2013年《內(nèi)部控制——整合框架》更新時也是采用這樣的書寫形式，通過總體原則描述強調(diào)目標(biāo)的實質(zhì)性而非流程的形式性。這種結(jié)構(gòu)的好處是加強了框架的可讀性、可操作性和內(nèi)在一致性，避免了考慮一應(yīng)俱全可能性的煩瑣以及因時代更迭所造成更新滯后的缺點。ERM（2017）框架5要素與20項原則詳見表2。

ERM（2017）框架中盡量避免使用“企業(yè)”一詞，而是用“組織”來體現(xiàn)框架對不同主體的包容性。風(fēng)險管理能夠并且應(yīng)當(dāng)應(yīng)用于任何類型的組織，從小公司、社區(qū)企業(yè)，到政府組織。目前而言，運用風(fēng)險管理框架指導(dǎo)非營利組織和政府組織的實踐仍需要時間驗證。

（二）重新定義了風(fēng)險相關(guān)概念

首先，新框架強調(diào)了風(fēng)險帶來影響的雙重概率。2004版框架將風(fēng)險描繪為“事項發(fā)生并給目標(biāo)實現(xiàn)帶來負面影響的可能性，它會妨礙價值創(chuàng)造或者破壞現(xiàn)有價值”，而機會被認為是能帶來正面影響或抵消負面影響的事項[6]，可見風(fēng)險被看作是一種應(yīng)該被抑制的負面概率，而機會則是保持或創(chuàng)造價值的正面概率。新框架將風(fēng)險定義為“事項發(fā)生并影響戰(zhàn)略和商業(yè)目標(biāo)實現(xiàn)的可能性”，反映了COSO對風(fēng)險認知的更新，結(jié)合ERM（2017）框架整體內(nèi)容，這里的風(fēng)險具有雙向性，既存在未能防范或降低負面影響引發(fā)的價值破壞，又突出強調(diào)可能通過主動識別和管理獲取機會和機遇從而維系或創(chuàng)造新價值。

其次，新框架更改了企業(yè)風(fēng)險管理的定義。2004版將企業(yè)風(fēng)險管理定義為“由企業(yè)全員參與實施、旨在合理保障目標(biāo)實現(xiàn)的一個過程”。新版框架認為企業(yè)風(fēng)險管理是一種將組織和戰(zhàn)略設(shè)定整合的“文化、能力和實踐”[7]。文化是治理和主體監(jiān)管背景下主體的價值觀、行為準(zhǔn)則和對風(fēng)險的理解，需關(guān)注文化與商業(yè)環(huán)境的關(guān)系以及它們對戰(zhàn)略的選擇與執(zhí)行所造成的影響；能力是指由于風(fēng)險的不斷變化，面臨挑戰(zhàn)組織如何適應(yīng)變化的生存和發(fā)展能力；實踐是組織在實務(wù)操作中受到文化影響和能力制約所形成的現(xiàn)實活動。2004版框架定義中強調(diào)風(fēng)險管理是一種內(nèi)控活動，新版定義中更傾向認為它是一種有利于企業(yè)價值提升的綜合治理活動，是整合融入商業(yè)運營各方面并進行主體管理決策的一部分，它涵蓋了治理、績效管理和內(nèi)部控制工作。

此外，新框架優(yōu)化了風(fēng)險偏好與風(fēng)險容忍度的概念。風(fēng)險偏好被定義為一個主體為追求它的戰(zhàn)略和商業(yè)目標(biāo)所愿意承受的風(fēng)險量，但新版增加了風(fēng)險的類型。新框架認為風(fēng)險偏好應(yīng)最先體現(xiàn)在企業(yè)的使命和愿景上，組織再根據(jù)自身的風(fēng)險偏好來管理戰(zhàn)略和商業(yè)目標(biāo)的風(fēng)險。另一方面，風(fēng)險容忍度不再是風(fēng)險偏好的量化、具體化，而是用績效語言表達。通過更為直觀的圖表形式如風(fēng)險績效圖，展現(xiàn)風(fēng)險和績效兩者之間相互關(guān)聯(lián)、相互影響的關(guān)系，組織可以清晰看出一定績效目標(biāo)下的可承受風(fēng)險范圍，并據(jù)此評估組織可以接受績效的變化區(qū)間。

（三）厘清了內(nèi)控框架和ERM框架的關(guān)系

在新框架中，內(nèi)部控制被定位為企業(yè)風(fēng)險管理的一個基本方面；ERM（2017）框架和2013年《內(nèi)部控制——整合框架》是兩個互有側(cè)重、互為補充的非替代體系；2013年《內(nèi)部控制——整合框架》包含了內(nèi)控，保持了一個保障設(shè)計、運行、實施和評估內(nèi)控有效性和符合法律要求的報告的可行合適框架，并會被引用到ERM（2017）框架中；ERM（2017）框架關(guān)注那些超越了內(nèi)控的重要問題。為了明確劃分ERM（2017）框架和2013年內(nèi)部控制框架，ERM（2017）框架的5要素均不包含“風(fēng)險”一詞，也不再單獨提到風(fēng)險報告，只是對影響戰(zhàn)略和商業(yè)目標(biāo)達成以及績效實現(xiàn)的潛在或現(xiàn)存風(fēng)險進行報告；全部刪除2004版ERM框架中關(guān)于“控制活動”的內(nèi)容，把控制活動內(nèi)容留給了內(nèi)部控制框架。

（四）更加關(guān)注風(fēng)險管理對戰(zhàn)略及績效的影響

新框架強調(diào)了風(fēng)險管理和戰(zhàn)略及績效的關(guān)系，將其融入管理決策的各個流程環(huán)節(jié)中，特別是主體的核心業(yè)務(wù)，提升主體創(chuàng)造和保護最終實現(xiàn)價值的能力。

1.提升了風(fēng)險管理戰(zhàn)略層面的討論

企業(yè)風(fēng)險管理不再是獨立的工作，而是在參與制定戰(zhàn)略和商業(yè)目標(biāo)的過程中與主體的戰(zhàn)略計劃相融合，協(xié)助管理層了解主體的整體風(fēng)險狀況，提供各種替代策略應(yīng)對風(fēng)險狀況的影響。近年來很多事件證實，戰(zhàn)略選擇與主體的使命、愿景、核心價值不匹配時，企業(yè)可能經(jīng)營不佳、甚至倒閉破產(chǎn)，如柯達公司。因此，新框架就以下方面進行了深入研討：戰(zhàn)略選擇與主體的使命、愿景、核心價值協(xié)同的重大現(xiàn)實意義；如何理解已選戰(zhàn)略背后的風(fēng)險內(nèi)涵；戰(zhàn)略執(zhí)行中的風(fēng)險等。

2.增強了風(fēng)險管理與績效的協(xié)同性

風(fēng)險管理除了內(nèi)部控制還涉及其他主題，如治理和文化、戰(zhàn)略和目標(biāo)設(shè)定、績效評估以及與利益相關(guān)者溝通。表2列示的20項原則中績效要素中包含的風(fēng)險管理常規(guī)內(nèi)容最多、最為突出（原則11-14），其他4要素均只有1或2項，這表明了風(fēng)險管理與績效協(xié)同的重要性與必要性。新框架探索了企業(yè)風(fēng)險管理實踐識別與評估影響績效實現(xiàn)風(fēng)險的路徑，要求風(fēng)險管理是設(shè)定商業(yè)目標(biāo)、實現(xiàn)績效的關(guān)聯(lián)部分，并列舉多種報告風(fēng)險概況圖來展示績效與商業(yè)目標(biāo)下的風(fēng)險概況的變化關(guān)聯(lián)性。

3.明確提出將企業(yè)風(fēng)險管理納入決策流程

為了追求創(chuàng)造、保持和實現(xiàn)價值，所有主體核心價值鏈上的每個環(huán)節(jié)都會面臨大量的決策。決策的內(nèi)容通常包含戰(zhàn)略選擇、商業(yè)目標(biāo)和績效目標(biāo)設(shè)定、資源配置等。因此，企業(yè)風(fēng)險管理應(yīng)當(dāng)整合融入主體整個生命周期的各個環(huán)節(jié)中，從而支持各種具有風(fēng)險意識的決策。

4.強調(diào)了險管理與價值創(chuàng)造的關(guān)系

舊框架僅體現(xiàn)了內(nèi)部控制基礎(chǔ)上間接創(chuàng)造的利益相關(guān)者價值；新框架則從企業(yè)使命、愿景和核心價值觀出發(fā)，強調(diào)風(fēng)險管理嵌入企業(yè)管理業(yè)務(wù)活動和核心價值鏈，以便管理層發(fā)現(xiàn)新的發(fā)展機遇。企業(yè)風(fēng)險管理不再簡單地關(guān)注如何預(yù)防價值侵蝕和降低風(fēng)險至可接受的水平，而被看作是不可或缺的戰(zhàn)略設(shè)定和緊抓機遇創(chuàng)造、保持價值的一部分。

四、借鑒與展望

總體來看，ERM（2017）框架完善了舊框架中的核心定義，不再是“大內(nèi)控”框架，而是順應(yīng)經(jīng)濟全球化背景下市場與運營模式的變化，定位風(fēng)險管理對現(xiàn)有的管理體系和職能的整合強化，進而更新風(fēng)險管理工作者的理念和實踐活動，提出了一個更能滿足決策層和管理層需要的嶄新管理框架，直接為價值創(chuàng)造服務(wù)。

COCO報告指出，大數(shù)據(jù)、人工智能、自動化應(yīng)用、成本控制等的發(fā)展趨勢對企業(yè)風(fēng)險管理有著很大的影響。因此，中國企業(yè)應(yīng)當(dāng)結(jié)合新發(fā)布的ERM框架，認清當(dāng)前形勢，順應(yīng)變化、抓住機遇、壯大自我，盡快研究符合中國特色道路的風(fēng)險管理最佳實踐?？梢詮囊韵路矫嫒胧郑旱谝?，面對“互聯(lián)網(wǎng)+”背景下的大數(shù)據(jù)以及數(shù)據(jù)分析速度急劇加速，企業(yè)風(fēng)險管理應(yīng)當(dāng)更新其信息、溝通與報告的工具、手段，以全新的方式構(gòu)建來源于內(nèi)部和外部的數(shù)據(jù)整合，采用高級分析方法和數(shù)據(jù)可視化工具，全面理解變化中的風(fēng)險和風(fēng)險的雙面影響。第二，充分考慮人工智能和自動化對行業(yè)、組織的重大影響，以動態(tài)、全局的風(fēng)險意識來關(guān)聯(lián)和發(fā)現(xiàn)新的趨勢和模式，豐富企業(yè)風(fēng)險管理的信息資源和價值創(chuàng)造來源。第三，在風(fēng)險管理實踐過程中，對比合規(guī)成本、控制活動成本、治理成本等據(jù)此創(chuàng)造的價值，通過整合提高效率效果，為組織創(chuàng)造最大化的價值。第四，緊密結(jié)合風(fēng)險管理與戰(zhàn)略和績效的設(shè)定、實現(xiàn)過程，提高更新風(fēng)險意識，協(xié)助組織及時識別風(fēng)險，避免不利因素，抓住有利時機，實現(xiàn)組織的可持續(xù)發(fā)展和相關(guān)者利益最大化。

【參考文獻】

[1] 方紅星，池國華.內(nèi)部控制[M].3版.大連：東北財經(jīng)大學(xué)出版社，2017.

[2] 王瑞龍，張浩.COSO內(nèi)控框架的最新發(fā)展及啟示[J].會計之友，2014（8）：52-55.

[3] 林斌，舒?zhèn)?，李萬福.COSO框架的新發(fā)展及其評述——基于IC-IF征求意見稿的討論[J].會計研究，2012（11）：64-73，95.

[4] 楊紀(jì)紅.COSO風(fēng)險管理框架演進及其新進展[J].新會計，2017（5）：62-64.

[5] COSO. Enterprise risk management-integrating with strategy and performance （2017） executive summary[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf.

[6] COSO.Enterprise risk management-integrated framework executive summary[EB/OL].（2004-09-29）[2018-01-08].https：//www.coso.org/Pages/erm-integratedframework.aspx.

[7] COSO.Enterprise risk management—integrating with strategy and performance（2017） frequently asked questions[EB/OL].（2017-09-06）[2018-01-08].https：//www.coso.org/Documents/COSO-ERM-FAQ-September-2017.pdf.