新版COSO企业风险管理框架

由天下分享时间：2024/9/8 0:52:41 加入收藏我要投稿点赞

新版COSO《企业风险管理框架》：有哪些变化？

2016-12-15

6月24日，反虚假财务报告委员会下属发起组织委员会（COSO）发布《企业风险管理：风险与战略和绩效的协调》，以向公众征求意见，截止日期为2016年9月30日。1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念，但他们会发现新框架的关注点已截然不同，它所关注的是如何使企业风险管理（ERM）在组织机构真正行之有效。

为什么要更新？对过去十年的回顾与总结

自原始框架于2004年刊发以来，实施该框架的企业便面临各种问题，而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。

当然框架的实施还面临其他挑战：

企业风险管理的实施围往往并不面向整个组织机构，并且很少被运用到战略制定中。

如此一来，COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点——“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。

? COSO最初在编制框架时采用了类似于部控制框架所使用的立方体。虽然COSO对

立方体右侧的容进行了修改，删除了有关活动和流程，改为侧重于围更广的实体和运营单位及分支机构，但许多企业依然试图在过于细微的层面实施该框架，例如运用于流程层面而非

专业资料

战略制定。企业风险管理的实施活动也因此陷于细节的泥潭，令许多C级高管迅速失去兴趣。

许多组织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一种更佳

的企业管理方式。在和运营单位的领导们打交道时，这种方法无疑是失败的，特别是在有关活动又由部审计部门主导的情况下。

? 2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式，企业风险管理

的实施也因此受到影响。

? 最终，还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣，包

括2008年的金融危机和2011年的日本海啸。

简而言之，在COSO公布框架之初高管人员对它的关注度便有限，实施活动自那时起就参差不齐。

鉴于上述原因，企业风险管理框架在早些年并未获得施展拳脚的机会。直至金融危机爆发，许多企业高管都并不知晓该框架抑或不确定应如何应对。然而，金融危机爆发后，有关问题和价值主便开始明朗起来。

专业资料

众所周知，一个完全失控的行业触发了一场惨烈的全球性金融危机。这场危机就未知事项的潜能给人们上了宝贵的一课，“黑天鹅”这种词汇也在业界流行开来。所有的经验教训再次印证了有效风险管理的几大关键要素的重要性，包括不遗余力的董事会、全力支持的首席执行官、开放透明的企业文化、能够有效平衡长短期利益的薪酬结构，以及最为重要的一点——管理层在察觉危险来临时能够反其道而为之的决心和毅力，而所有这些要素的获得离不开对企业风险管理持之以恒的坚持和保护。

危机过后，先行者的价值和优势更是一目了然。董事会开始提出不同以往和更急尖锐的问题，CEO们也开始想方设法与董事会开展对话，以引起整个企业对有关风险事项的关注和重视。

值得注意的另一现象是，持续剧烈变化的商业环境正在不断关压缩商业模式的半衰期。一种以前所未有的速度摧毁既定商业模式的强大趋势正在形成，稳步发展的数字化技术只是冰山一角，它不仅能够让消费者和企业轻而易举地获取史无前例的海量信息，而且也会快速地制造有关他们的信息。此外，还有席卷阿拉伯世界的所谓“阿拉伯之春”的革命浪潮、日益加剧的民族情绪和紧的地缘政治局势、人口老龄化、对网络的依赖、不断扩大的收入差距、伊斯兰国哈里发恐怖主义的兴起、涌动的难民潮，以及更近一些的油价暴跌，种种负面事件不胜枚举。

总的来说，在2004版框架实施水平参差不齐，2004年以来各种戏剧性风险管理失效事件并发，以及商业环境日益复杂的共同叠加作用影响下，对框架做出更明晰阐释的呼声日渐高涨。

专业资料

现实再清楚不过：要想战胜各类突发中断性事件，企业领导必须能够迅速识别有关变化的重要迹象，以及自己的市场和商业模式可能会受到的影响。

总的来说，在2004版框架实施水平参差不齐，2004年以来各种戏剧性风险管理失效事件并发，以及商业环境日益复杂的共同叠加作用影响下，对框架做出更明晰阐释的呼声日渐高涨。在此呼声中，COSO发现他们恰可以借此机会：将企业风险管理和各利益相关方的期望更明确地联系在一起；将风险与企业绩效挂钩，而非将风险作为一种独立的活动来关注；以及改善企业对未知的预期和准备。事实上，作为先行者的企业并非只是把潜在变化当作潜在危机来对待，他们也从中寻求潜在的市场机遇。有哪些新变化？基于风险的方法

COSO的新框架基于以下这样一个基本假设：即每个企业存在的目的均旨在为利益相关方提供价值，但在价值追求过程中会面临不确定性。“不确定性”一词被定义为未知的事项，而“风险”则定义为，该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。因此，新的框架认为：

管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性，亦即多少风险。有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时，提升企业创造、保护和最终实现价值的能力。

专业资料

对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定：

企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。

新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。COSO表示新框架：

? ? ? ?

更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色；优化了企业绩效与企业风险管理之间的协调关系；涵盖了治理和监督预期；

提及了市场和运营的持续全球化趋势，以及在不同地域采取通用（尽管亦有量体裁

衣之考量）做法的必要性；

? ? ?

提供了将风险置于更复杂商业环境下进行考量的新方法；将提升利益相关方透明度的预期纳入风险报告围；涵盖了对决策起支持作用的科学技术进步及数据分析手段。