楊紀(jì)紅

【摘要】2016年，COSO發(fā)布了《風(fēng)險管理框架——協(xié)調(diào)風(fēng)險、戰(zhàn)略以及業(yè)績》（征求意見稿），對其2004年的《企業(yè)風(fēng)險管理框架》進行了修訂。新風(fēng)險管理框架對風(fēng)險的定義進行了澄清，并對新框架的結(jié)構(gòu)進行了調(diào)整。本文在回顧COSO風(fēng)險管理框架演進過程的基礎(chǔ)上，重點介紹最新風(fēng)險管理框架的變化，以期為理解框架提供參考。

【關(guān)鍵詞】企業(yè)風(fēng)險管理框架 風(fēng)險偏好 風(fēng)險容忍度 風(fēng)險組合

全美反虛假財務(wù)報告委員會下設(shè)的發(fā)起人委員會（The Committee of Sponsoring Organizations of the Treadway Commission，COSO）從 2001年起就致力于企業(yè)風(fēng)險管理框架的研究，并于2004年發(fā)布了《企業(yè)風(fēng)險管理框架》。過去10年間，風(fēng)險的復(fù)雜程度不斷加大，出現(xiàn)了一些新的風(fēng)險，COSO對企業(yè)風(fēng)險管理有了新的認(rèn)識，2016年發(fā)布了題為《企業(yè)風(fēng)險管理——協(xié)調(diào)風(fēng)險、戰(zhàn)略以及業(yè)績》（以下稱新版RMF框架）的征求意見稿。本文對《新版RMF框架》進行分析解讀，以期為理解《風(fēng)險管理框架——協(xié)調(diào)風(fēng)險、戰(zhàn)略以及業(yè)績》及開展風(fēng)險管理研究，提供借鑒與參考。

一、COSO風(fēng)險管理框架演進過程

（一）從《內(nèi)部控制整合框架》到《企業(yè)風(fēng)險管理框架》

1985年，由美國注冊會計師協(xié)會、美國會計協(xié)會、財務(wù)經(jīng)理人協(xié)會、內(nèi)部審計師協(xié)會、管理會計師協(xié)會聯(lián)合成立了反虛假財務(wù)報告委員會，目的在于探討財務(wù)報告中舞弊產(chǎn)生的原因及其解決方法。1987年，該委員會的贊助機構(gòu)成立了COSO委員會，致力于研究內(nèi)部控制方面的問題。1992年，COSO委員會發(fā)布了著名的COSO報告——《內(nèi)部控制整合框架》，并于1994年對該報告進行了增補。該框架自發(fā)布以來，在全球得到了廣泛認(rèn)可和應(yīng)用，理論界和實務(wù)界不斷對其提出改進建議，強調(diào)內(nèi)部控制整合框架應(yīng)與企業(yè)風(fēng)險管理相結(jié)合。

COSO委員會從2001年開始致力于企業(yè)風(fēng)險管理方面的研究，并于2004年頒布了《企業(yè)風(fēng)險管理框架》（Enterprise Risk Management Framework，ERM），為企業(yè)風(fēng)險管理提供了理論框架和應(yīng)用指南。相對于內(nèi)部控制整合框架，2004年的《企業(yè)風(fēng)險管理框架》新增加了（風(fēng)險組合觀）、一個目標(biāo)（戰(zhàn)略目標(biāo)）、兩個概念（風(fēng)險偏好和風(fēng)險容忍度）和三個要素（目標(biāo)制定、事項識別和風(fēng)險反應(yīng)），強調(diào)內(nèi)部控制是企業(yè)風(fēng)險管理必不可少的一部分，風(fēng)險管理框架的范圍比內(nèi)部控制框架的范圍更廣泛，是對內(nèi)部控制框架的擴展。

（二）從《企業(yè)風(fēng)險管理框架》到《企業(yè)風(fēng)險管理——協(xié)調(diào)風(fēng)險、戰(zhàn)略以及業(yè)績》

自2004版《企業(yè)風(fēng)險管理框架》發(fā)布以來，實施該框架的企業(yè)面臨各種問題：一是美國上市企業(yè)不得不全力以赴應(yīng)對《薩班斯法案》的合規(guī)工作；二是企業(yè)風(fēng)險管理的實施范圍往往并不面向整個組織機構(gòu)，并且很少被運用到戰(zhàn)略制定中；三是COSO在編制框架時采用了類似于內(nèi)部控制框架所使用的“立方體”結(jié)構(gòu)，許多企業(yè)試圖在過于細微的層面實施該框架；四是許多組織機構(gòu)將企業(yè)風(fēng)險管理作為保證活動來實施，而不是將其視為更佳的企業(yè)管理方式，如運用于流程層面而非戰(zhàn)略制定層面，企業(yè)風(fēng)險管理的實施活動也因此陷于細節(jié)的泥潭，令許多高管很快失去興趣；五是2008年金融危機所引發(fā)的經(jīng)濟大蕭條，令許多企業(yè)進入危機應(yīng)對模式，企業(yè)風(fēng)險管理的實施也因此受到影響。因此，企業(yè)風(fēng)險管理框架在早些年并未被廣泛接受和應(yīng)用。

正是由于金融危機帶來的慘痛教訓(xùn)，企業(yè)高管逐漸意識到有效風(fēng)險管理的重要性，從而引起整個企業(yè)對有關(guān)風(fēng)險事項的關(guān)注和重視。人們開始對風(fēng)險管理框架做出更明晰闡釋的呼聲日漸高漲。自2014 年起，COSO啟動了修訂項目，對2004年的《企業(yè)風(fēng)險管理框架》進行修訂，并于2016年發(fā)布了題為《企業(yè)風(fēng)險管理——協(xié)調(diào)風(fēng)險、戰(zhàn)略以及業(yè)績》征求意見稿。征求意見稿中重新定義了風(fēng)險，放棄了原框架中的“立方體”結(jié)構(gòu)，改為慣用的要素和原則結(jié)構(gòu)，重點關(guān)注如何使企業(yè)風(fēng)險管理在組織機構(gòu)內(nèi)行之有效。

二、新版《企業(yè)風(fēng)險管理框架》變化

（一）采用了要素和原則結(jié)構(gòu)

COSO的舊版ERM框架是從內(nèi)部控制框架演變而來的，采用的是“立方體”結(jié)構(gòu)，包括4個目標(biāo)（合規(guī)、報告、經(jīng)營、戰(zhàn)略）、4個層級（總部、分部、業(yè)務(wù)單位、附屬機構(gòu)）、8個要素（內(nèi)部環(huán)境、目標(biāo)設(shè)置、事件識別、風(fēng)險評估、風(fēng)險反應(yīng)、控制活動、信息與溝通、監(jiān)控）。

新版ERM采用了要素和原則結(jié)構(gòu)，包括5個要素和23條原則，其主要結(jié)構(gòu)如下表所示。

新版ERM采用了要素和原則結(jié)構(gòu)，設(shè)置了5個要素與相應(yīng)的原則間的對應(yīng)關(guān)系，是整個文件的目錄，從而增強了企業(yè)風(fēng)險管理框架可讀性、有用性和內(nèi)在一致性。

（二）簡化了企業(yè)風(fēng)險管理的定義

1.關(guān)于風(fēng)險的定義

COSO舊版ERM框架中沒有對風(fēng)險提出明確的定義，但是將風(fēng)險清楚地描述為：“事件可能會帶來負(fù)面的影響，也可能會帶來正面的影響，抑或二者兼而有之。帶來負(fù)面影響的事件代表風(fēng)險，會妨礙價值創(chuàng)造或破壞現(xiàn)有價值。帶來正面影響的事件可能會抵消負(fù)面影響，或者說代表機會?！笨梢钥闯觯f版ERM認(rèn)為風(fēng)險是純粹負(fù)面的，這種認(rèn)識顯然無法滿足風(fēng)險管理應(yīng)用于決策過程的需要。

新版ERM框架將風(fēng)險定義為：“風(fēng)險——影響戰(zhàn)略和經(jīng)營目標(biāo)實現(xiàn)的事項發(fā)生的可能性。”從定義中可以看出，新版ERM框架沒有明確風(fēng)險是負(fù)面的還是雙向性的。結(jié)合新版ERM框架的整體內(nèi)容看，新版ERM框架中風(fēng)險的定義是雙向性的。

2.關(guān)于企業(yè)風(fēng)險管理的定義

COSO舊版ERM框架中對企業(yè)風(fēng)險管理的定義為：“企業(yè)風(fēng)險管理是企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應(yīng)用于企業(yè)的戰(zhàn)略制訂和企業(yè)的各個部門以及各項經(jīng)營活動，用于確認(rèn)可能影響企業(yè)的事項并在其風(fēng)險偏好范圍內(nèi)管理風(fēng)險，對企業(yè)目標(biāo)的實現(xiàn)提供合理保證?！?

新版ERM框架中將企業(yè)風(fēng)險管理定義為：“全面風(fēng)險管理——組織在創(chuàng)造、維護和實現(xiàn)價值的過程中，進行風(fēng)險管理所賴以依靠的、與戰(zhàn)略和執(zhí)行緊密結(jié)合的文化、能力和實踐。”相比之下，新版ERM框架不只是過程，還包括文化、能力和實踐，不僅保障價值不被侵蝕，更突出價值創(chuàng)造。

（三）強調(diào)風(fēng)險和價值間的關(guān)系

舊版ERM框架關(guān)注的重點是避免價值受到侵蝕，將風(fēng)險最小化至可接受的水平。新版ERM框架強調(diào)了風(fēng)險管理在創(chuàng)造、保留和實現(xiàn)價值過程中的重要作用，應(yīng)將風(fēng)險管理視作企業(yè)在制定戰(zhàn)略和識別機會，從而創(chuàng)造和保持價值過程中不可或缺的一部分。風(fēng)險管理不再是簡單地將風(fēng)險水平控制在目標(biāo)水平之下，而是動態(tài)地貫穿于企業(yè)價值鏈的全過程，成為企業(yè)價值管理中不可缺少的一部分。

（四）重申ERM的整體性

新版ERM框架強調(diào)了組織運營中所有層面風(fēng)險管理的整體性，將風(fēng)險管理框架整合到企業(yè)戰(zhàn)略制定、經(jīng)營目標(biāo)制定及戰(zhàn)略和目標(biāo)的執(zhí)行中。新版ERM框架鼓勵使用者將風(fēng)險管理視為其組織管理的有機組成部分，而不是附加的或獨立的活動。通過支撐企業(yè)的運營、管理業(yè)績從而最終為企業(yè)創(chuàng)造、實現(xiàn)和保留價值，企業(yè)風(fēng)險管理的重要作用得以發(fā)揮。如新版ERM框架沒有涉及風(fēng)險報告，而是強調(diào)報告風(fēng)險對組織業(yè)績、戰(zhàn)略和經(jīng)營目標(biāo)實現(xiàn)所產(chǎn)生的潛在或?qū)嶋H影響。

（五）審視了文化的作用

文化在企業(yè)風(fēng)險管理中的重要作用，被引入到新的ERM框架中。風(fēng)險治理明確了組織的基調(diào)，而文化包含了組織的道德價值、期望行為及對風(fēng)險的理解。文化與業(yè)務(wù)環(huán)境之間的關(guān)系反映了戰(zhàn)略的選擇和執(zhí)行方式。在對企業(yè)風(fēng)險進行監(jiān)控的同時，需要研究如何塑造企業(yè)文化，并且要關(guān)注文化對其他風(fēng)險管理要素的影響。如新版ERM框架在一開始就明確了文化和業(yè)務(wù)環(huán)境之間的關(guān)系，這種關(guān)系影響到企業(yè)戰(zhàn)略的選擇和執(zhí)行。更重要的是，這種關(guān)系為風(fēng)險的識別、評價以及針對風(fēng)險如何分配資源，提供了環(huán)境。

（六）加強了對風(fēng)險和戰(zhàn)略的討論

新版ERM框架認(rèn)識到：當(dāng)企業(yè)的戰(zhàn)略選擇與企業(yè)的使命、愿景、核心價值不協(xié)調(diào)時，企業(yè)可能會發(fā)生重大失敗。即使企業(yè)的戰(zhàn)略選擇與其使命、愿景、核心價值相協(xié)調(diào)，許多企業(yè)也沒有意識到戰(zhàn)略選擇對風(fēng)險組合的重要性。有些企業(yè)甚至沒有意識到業(yè)務(wù)層面的細微失敗，從而使其上升到了整體層面，威脅到了企業(yè)的長期生存。

與舊版ERM框架相比，新版ERM框架提升和擴展了對風(fēng)險和戰(zhàn)略的討論，主要關(guān)注以下三方面：一是戰(zhàn)略和經(jīng)營目標(biāo)、組織使命、愿景和價值不匹配的可能性；二是風(fēng)險對已選戰(zhàn)略的影響；三是戰(zhàn)略執(zhí)行中的風(fēng)險。通過區(qū)分風(fēng)險對戰(zhàn)略影響的三種可能表現(xiàn)形式，新版ERM框架對風(fēng)險管理的重要性進行了更詳細的分析。

（七）提升了業(yè)績與風(fēng)險管理的一致性

新版ERM框架強調(diào)了組織風(fēng)險和其業(yè)績之間的關(guān)系。風(fēng)險如何作為企業(yè)確定其經(jīng)營目標(biāo)和業(yè)績目標(biāo)的重要組成部分，新版ERM框架主要關(guān)注以下方面：一是企業(yè)風(fēng)險管理實踐支撐企業(yè)風(fēng)險的識別和評估，企業(yè)的風(fēng)險識別和評估可能會影響業(yè)績目標(biāo)選擇；二是通過確定可接受的績效偏差，新版ERM框架的使用者能夠理解業(yè)績的變化如何影響經(jīng)營目標(biāo)中風(fēng)險組合的變化，反之亦然；三是新版ERM框架強調(diào)風(fēng)險評估和風(fēng)險報告并不是為了生成風(fēng)險清單，而是為了強調(diào)風(fēng)險對戰(zhàn)略和經(jīng)營目標(biāo)實現(xiàn)產(chǎn)生的影響。

為了強調(diào)風(fēng)險管理和組織業(yè)績間的重要關(guān)系，新版ERM框架引入了“風(fēng)險組合”圖，該圖用以描述既定戰(zhàn)略和經(jīng)營目標(biāo)下，風(fēng)險類型和風(fēng)險程度對組織經(jīng)營業(yè)績變化的影響。此外，新版ERM框架還考慮了企業(yè)的風(fēng)險偏好，指出風(fēng)險偏好型企業(yè)可以尋求更多機遇。通過引入風(fēng)險偏好、業(yè)績、風(fēng)險容忍度概念，風(fēng)險組合圖中對風(fēng)險提供了動態(tài)、全面的視圖，便于企業(yè)在衡量風(fēng)險中做出更明智的決策選擇。

（八）將企業(yè)風(fēng)險管理明確地鏈接到?jīng)Q策過程中

企業(yè)價值鏈的每個環(huán)節(jié)，都會涉及決策問題。由于企業(yè)要尋求創(chuàng)造，實現(xiàn)和保留價值，決策便涉及戰(zhàn)略選擇、經(jīng)營目標(biāo)和業(yè)績目標(biāo)的設(shè)定及資源的分配。將風(fēng)險管理的思想整合到企業(yè)的整個生命周期中，有助于企業(yè)帶有風(fēng)險意識地做出決策。

新版ERM框架逐步探究了與風(fēng)險組合相關(guān)的信息如何加強了整體決策。包括對風(fēng)險程度和風(fēng)險類型的理解，經(jīng)營環(huán)境的影響，對識別和評估風(fēng)險所基于假設(shè)的理解，以及企業(yè)的風(fēng)險文化和風(fēng)險偏好。

（九）描述了企業(yè)風(fēng)險管理與內(nèi)部控制的關(guān)系

為了反映技術(shù)和商業(yè)環(huán)境的變化，COSO在2013年更新了內(nèi)部控制框架，涵蓋5大單元和17項原則。新版ERM框架將不會取代這個內(nèi)部控制文件。這兩個框架雖然是分開設(shè)計，但內(nèi)容相互補充。為避免重復(fù)，兩個報告中內(nèi)部控制相同的方面沒有在新版ERM框架中重復(fù)描述，如控制活動。但內(nèi)部控制整合框架中有關(guān)風(fēng)險管理的監(jiān)管內(nèi)容，在新版ERM框架中作了進一步討論。

（十）完善了風(fēng)險偏好和風(fēng)險容忍度的定義

新版ERM框架完善了風(fēng)險偏好和可接受的績效偏差（通常稱為風(fēng)險容忍度）的概念。風(fēng)險偏好仍然被定義為，企業(yè)在追求戰(zhàn)略和業(yè)務(wù)目標(biāo)過程中愿意承受的風(fēng)險量。而風(fēng)險容忍度不再是風(fēng)險偏好的細化指標(biāo)，要與業(yè)績水平相聯(lián)系。在風(fēng)險組合圖中，風(fēng)險偏好與業(yè)績線的垂直交叉面表示風(fēng)險容忍度。新版ERM框架在定義風(fēng)險容忍度時，關(guān)注的是在業(yè)績水平給定的情況下，確定可接受的風(fēng)險量。在特定的業(yè)績水平范圍內(nèi)，組織能夠清楚地界定可接受風(fēng)險的范圍。這使組織能夠更好地評價業(yè)績水平的變化，是否仍然保持在風(fēng)險容忍度范圍內(nèi)。組織在評價風(fēng)險和業(yè)績時，不應(yīng)將風(fēng)險和業(yè)績看作靜態(tài)和相互獨立的，而應(yīng)該是不斷變化和相互影響的。

三、結(jié)論與展望

新版ERM框架的標(biāo)題暗示了風(fēng)險與戰(zhàn)略以及企業(yè)績效間日益重要的關(guān)系。新框架公開征集意見工作現(xiàn)已結(jié)束，最終版本將于2017年正式公布。期望新版ERM框架可以實現(xiàn)COSO所預(yù)期，能夠被更廣泛、更有效地運用到企業(yè)的經(jīng)營和決策中。

參考文獻

[1] 朱榮恩，賀欣.內(nèi)部控制框架的新發(fā)展——企業(yè)風(fēng)險管理框架COSO委員會新報告《企業(yè)風(fēng)險管理框架》簡介[J].審計研究，2003（6）.