2017年9月，COSO委员会正式发布了新版的ERM（Enterprise Risk Management）框架，即第二版企业风险管理框架。本次框架相比十多年前的企业风险管理框架，有了翻天覆地的变化，框架发布以来，受到了全球各国风险管理界的普遍重视，我也有幸可以在第一时间和中国的各位风险管理界同仁和从业者介绍这份具有革命意义的框架文件。有需要细致研究的人员可以关注公众号文章更新动态！

今天和大家详细分享下，COSO 2017年新版企业风险管理框架和2004年第一版的风险管理框架的十大变化，以及2004年以来对企业风险管理工作的五大误解。

十大变化

自从2013年COSO更新了1992年的企业内部控制框架（Internal Control-Integrated Framwork）以来，COSO就采用了这一国际文件惯用的书写结构，要素加原则（Componets and Principals）。本次新版企业风险管理框架也告别了2004年版的立方体8要素框架，而改为今天大家看到的5要素20项原则的框架，如下图。

图 1:2004年版企业风险管理框架要素

图 2:2017年版企业风险管理框架要素

2004年版框架对企业风险管理的定义为：

• ERM是一个过程，它由主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，在风险容量的范围内管理风险，为主体目标的实现提供合理保证。

新版框架对企业风险管理的定义为：

• 组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。

旧定义被完全抛弃，重新将企业风险管理和企业价值紧密关联，做为一种文化、能力和实践提了出来。具体文化、能力和实践的含义请参见公众号前期文章《COSO新版企业风险管理框架全文解读（二）》；

新的风险定义提升了和战略及绩效的讨论，更新后的框架强调企业风险管理在创造、保持和实现价值的角色。企业风险管理不再是主要侧重在防止对企业价值的侵蚀事件和降低风险到可接受的水平。相反，它被视为不可或缺的战略设定和抓住机遇来创造和保持价值的一部分。不在简单地专注于降低风险的目标，企业风险管理成为一个动态的、管理主体整个价值链的一部分。

创造价值是一个主体存在的主要目的，虽然价值可以分为财务价值和非财务价值。风险和价值之间的紧密关联有利于风险管理帮助企业目标的实现，定位更明确。

新版框架中强调了企业风险管理工作融入到企业的所有业务流程中去。从战略目标的设定流程、到商业目标的形成、再到执行过程中完成绩效的情况，企业风险管理工作不是额外的和独立的工作。企业风险管理的角色是要参与组织运营，管理绩效完成过程中的风险并最终实现组织对价值的追求。

例如，框架中没有单独提到风险报告，而是要求对影响战略和商业目标达成以及绩效实现的潜在或现存的风险表现进行报告。

新框架中最突出一个变化之一是强调了文化在整个企业风险管理工作中的重要性。在风险治理的大背景下，要理解和认识到文化的重要性以及其如何影响到框架的所有其他要素。

例如，在框架的最开始介绍了文化和大的商业环境的关系，以及这种关系如何影响最后战略的选择和执行。更重要的是，它提供了一个风险识别和评估的条件，以及如何配置资源来应对这些风险。

06

提升了战略层面的讨论

新的框架分析到了在过去这些年发生的最明显的一些组织上的失败，是由于战略的选择有悖于主体使命、愿景和核心价值观。即便是建立了这两者的协同性，很多组织任然不明白战略选择之后对应的风险概况是什么样的。然而，很多组织把一些看上去微不足道的运营上的小失误，最后演变升级成威胁主体长期生存能力的大事件。

新版框架从下面三个方面提升和扩展了风险管理对企业战略层面的作用：

1、战略和商业目标和使命、愿景及核心价值观不一致的可能性；

2、已选战略的风险内涵；

3、战略实施中的风险。

这三个方面的内容都显示了风险对战略的影响，新框架详述了这些细节并定位了企业风险管理的重要性。

07

增强企业风险管理和绩效的协同性

就像框架的标题所表达的那样，框架强调了风险和绩效之间的关系，使风险管理成为设定商业目标、实现绩效的一部分。

• 新框架探索了企业风险管理工作如何识别和评估影响绩效实现的风险；

• 通过设定可接受的绩效波动范围，新框架中表述了绩效的变化由此导致了商业目标下的风险概况的变化，反之亦然；

• 新框架中也强调了风险评估和风险报告不是用来生成一堆潜在风险清单，而是这些风险如何影响战略和商业目标实现。

如下图展示的风险绩效图，非常清晰的表述了不同绩效目标下承担的风险量，通过对比主体承担的风险量和风险偏好的差距，还可以协助组织更好的识别和发现主体的发展机遇。

所有主体核心价值链上的每一个阶段都会面临的大量的决策，因为所有的主体都追求创造、保持和实现价值，这些决策通常都是围绕着战略目标选择、商业和绩效目标设定、以及资源分配进行。整合融入企业全寿命周期各个环节的企业风险管理工作支持了这种具有风险意识各种决策。

新框架按步骤的分析了如何组织的风险概况信息用于提升整体决策水平。这些信息包括对风险类型和严重程度，以及如何影响商业环境，理解识别和评估风险的基础假设，主体的风险文化和风险偏好等。

COSO表示企业风险管理框架不是要取代或接替2013年发布的COSO内部控制框架，两个框架各不不同但互相补充，虽然两个框架都采用了要素加原则的写法，但内容大不相同。

为了避免冗余，一些典型的内部控制内容在本框架中并未列示，也许最有代表性的就是控制活动。同样，在内部控制中介绍过的一部分内容在本框架中被进一步的发展和完善了，比如说关于治理的内容。

个人观点，一再强调风险管理和内部控制的关系，是由于前些年COSO把他们搞的太像了，非常容易混淆两项工作的范围和界限，但又不好意思直说自己原来存在的问题，所以采取的还是比较温和的描述二者关系的方式。

新框架重新定义风险偏好和风险容忍度的概念，风险偏好大致保留了原来的定义，即主体在追求战略和业务目标的过程中愿意承受的风险量。而风险容忍度不再理解为风险偏好的细化或具体化，而是用绩效的语言来表达。在风险概况图中，用风险偏好和绩效线垂直相交来表示二者的关系，具体关系见第7点图示。

通过重新定义风险容忍度，可以更加明确的表明在给定的绩效目标下应该承担多少风险，组织可以清晰的看出当前绩效下的可接受风险的边界。这些边界可以让组织评估绩效的变化是否在可接受的范围。让我们不再孤立的看风险和绩效，而需要看两个之间的相互关联和互相影响。

五大误解

自2004年COSO第一版企业风险管理框架发布以来，COSO对过去十几年出现的对原始框架的一些误解进行了澄清：

一、企业风险管理并不是仅只一种职能或部门，而是一种与公司战略制定与实施相整合的文化、能力和实践，旨在利用风险管理创造、保持和实现价值。

二、企业风险管理不仅是风险的罗列。它要求的远不止于对公司内部风险进行罗列，而是管理层用于积极管理风险的一项更为广泛并包含实践的工作。

三、企业风险管理远不止于内部控制。它还涉及其他主题，如战略制定，治理，与利益相关者沟通，以及绩效评估。其原则适用于组织的各个层面和职能。

四 、企业风险管理不是一张检查表。它是一套可适用于具体企业的原则，是一套监督、学习、改进绩效的体系。

五、企业风险管理适用于任意规模的企业。任何具有使命、战略和目标，并且在做决策时需要充分考虑风险，都能运用企业风险管理。企业风险管理能够并应当被应用于任何类型的企业，从小公司到社区企业，到政府机构乃至世界500强公司。