ERM風險管理框架的新發展、啟示與借鑒

潘夢雪，羅春華

（杭州電子科技大學 會計學院，浙江 杭州 310018）

一、引言

現代意義上的風險管理思想起源于20世紀50年代，并隨著時間推移與環境變化，在實踐中不斷發展和完善。最初風險管理主要依賴保險手段，并且和內部控制有著“剪不斷、理還亂”的關系：20世紀70年代，在美國《國外腐敗實務法案》影響下，內部控制審計職業標準逐漸成形；1983年《101條風險管理準則》通過；1992年COSO發布《企業內部控制-整體框架》。多年的實踐經驗讓人們意識到，通過單項業務、單個部門的角度來考慮風險遠遠不夠，內部控制僅僅是風險管理的一部分，必須要以貫穿的角度來看待風險，即全面風險管理。21世紀初美國安然公司倒閉、世通公司財務欺詐，加之一系列的會計舞弊案件使得企業風險管理問題受到整個社會的關注，美國國會于2002年7月通過薩班斯法案，目的是規范企業內部控制，降低上市公司舞弊風險。2004年，COSO委員會在1992年報告基礎上結合《薩班斯法案》要求，發布《企業風險管理-整體框架》[1]，COSOERM（2004）逐漸成為世界范圍內使用最廣泛的企業風險管理框架，我國也于2006年頒布了《中央企業全面風險管理指引》。自2008年金融危機和2011年日本海嘯發生以來，各種戲劇性風險管理失效事件頻發，加上在商業環境日益復雜的共同疊加作用影響下，風險管理框架的更新和修訂呼聲日漸高漲。COSO于2014年10月宣布ERM更新項目，2016年6月24日發布征求意見稿，2017年正式公布新版企業風險管理框架。

COSO為什么要進行ERM框架修訂？企業風險管理框架新在哪里？對我國的企業風險管理有何借鑒？基于以上問題，本文從ERM風險管理框架的最新發展著手，以期能夠為我國企業的風險管理帶來啟示與借鑒。

二、COSO-ERM框架的修訂動機和過程

（一）修訂動機

COSO委員會于2004年發布了“企業風險管理-整體框架”，在過去十年中該框架的實施得到了多方認可。但是隨著時間的推移，風險的復雜性發生了變化，重大的新的風險出現。世界經濟論壇指出：“世界的波動性、復雜性和模糊性正與日俱增。”組織面臨著愈加復雜的業務與經營環境，董事會風險管理意識增強，加大了風險監督力度，并要求改進風險報告；利益相關者對公司治理的參與程度日益加深，為管理風險尋求更高的透明度和更嚴格的問責制[2]。這些變化均要求組織更加適應變革，ERM需要根據新的環境進行調整。

（二）修訂過程

基于以上動機，COSO于2014年正式啟動對2004版ERM的修訂。普華永道會計師事務所（PwC）作為原有的“企業風險管理-綜合框架”的作者，以其強大的專業團隊和較強的連續性，仍然擔任此次修訂的負責人。COSO-ERM特成立顧問委員會對項目的進展保持關注，以確保獲得的觀點公平公正、具有廣泛的代表性。該委員會成員囊括了學術界和實務界，包括政府部門、企業與非營利組織等。ERM框架的修訂過程分為四個階段：（1）調研、征求意見（Assess and Envision）；（2）撰寫草稿（Build and Design）；（3）公開征求意見（Public Exposure）；（4）修訂、定稿（Finalization）。2016 年 6月24日COSO發布征求意見稿向全球公開征求意見，2016年9月30日公開征求意見結束，2017年9月新版ERM框架將正式面世（見圖1）。

圖1 企業風險管理框架修訂過程

三、COSO-ERM框架的最新變化

（一）框架的變化

2004版企業風險管理框架幫助企業對風險定義形成統一認識，并提供一致方式識別企業的整體風險；新版ERM框架在此基礎上描述風險與績效和戰略之間的關系，強調企業應當更深刻地了解戰略。

2004版ERM框架是在COSO立方體（cube）基礎上進行升級和擴充，表現形式也為立方體，包括戰略、經營、報告、合規4個目標以及內部環境、目標設定、事件識別、風險評估、風險反應、控制活動、信息與溝通和監控8項要素[3]；新版ERM框架采用“元素+原則”結構，在表現形式上有一個徹底的顛覆。它摒棄了立方體的形式，一軸分三段，分別為使命、愿景和核心價值、戰略和商業目標以及績效提高；五環構成5大單元風險，又具體包含23條原則（見表1）。

表1 新版ERM風險管理框架基本要素、原則和屬性

從表1可以看出，新的23項原則是對原來8項要素的擴充，因此兩個框架之間既有不同又有聯系。新框架的5個基本要素相較于原框架表達更加精煉，例如執行中的風險這一要素歸并了舊框架的事項識別、風險評估、風險應對和控制活動四個要素；23項原則并不完全是全新的概念，它們和2004版ERM框架有著千絲萬縷的聯系。風險治理和文化奠定了整個框架的基調，與之相關的6個原則幫助董事會和高管建立企業風險管理的整體行為準則和文化基調，原則3、4著重強調了文化的重要性；與風險、戰略和目標設定要素有關的5個原則構成了企業訂立目標的基礎，其中原則9重點強調了戰略（strategy）的評估和選擇；風險信息、溝通和報告要素相關的四個原則將風險溝通流程重新梳理，關注數字、信息的有效利用；監控風險管理效果的兩個原則主要是將監控集成到企業的業務流程當中，并及時地進行改進。

（二）內容的變化

1.著重強調文化與價值在企業風險管理過程中的基礎作用

調查反饋意見表明，04版ERM僅適用于風險管理者，受眾面較窄，其風險功能以外的清晰度不明顯；新框架對風險的定義更清晰易懂，它強調風險需要和文化、價值相結合，價值創造不僅僅只是止損，風險管理不僅只是一個獨立的活動或是過程，而是組織管理有機組成部分的一個整體，幫助識別戰略機會和價值創造。

新框架強調的文化元素奠定了整個ERM框架的基礎，從戰略設定到執行中的風險再到信息與溝通，文化貫穿了整個框架，在風險管理和實體監督背景下，理解和塑造文化十分的重要。文化和商業背景之間的關系是在“框架”一開始就確立的，這種關系影響了企業如何選擇和執行策略。更重要的是，它提供了識別和評估風險的背景，以及如何進行資源分配來應對這些風險。

過去企業風險管理的主要目標為控制和規避風險，防止企業價值受到侵蝕。在新版框架中，企業風險管理不是簡單地將風險降低到目標狀態，它被視為戰略設定、創造與維持價值的一部分，是整個企業價值鏈管理的動態組成部分，新框架強調企業風險管理是抓住一切正面或是負面的可能性，來應對遇到的新機遇與新挑戰。

2.深入探討企業風險管理在戰略制定和執行中扮演的角色

經過前期調查、文獻綜述等得出，近些年一些重要組織的經營失敗往往是因為選擇了不符合組織愿景與核心價值的戰略，不了解其所選擇的戰略對自身風險狀況的影響，其在業務層面的決策失敗帶來的負面影響往往會升級并威脅到企業的持續經營能力。新版ERM重點關注以下三個概念，提升和擴大了2004年ERM框架對戰略與風險的討論：（1）戰略和業務目標不符合任務、愿景和價值觀的可能性；（2）所選戰略的影響；（3）執行戰略的風險。

3.優化企業績效與企業風險管理之間的協調關系

如新標題所示，新版ERM增強了風險與績效之間的關系，強調風險是建立業務目標與績效目標的組成部分：（1）探討企業風險管理如何識別和評估可能影響績效的風險；（2）通過確定可接受的變化，使用者可以了解變化是如何導致業務目標的風險概況發生變化的；（3）強調風險評估和風險報告并不是為了制定一份長期的潛在風險列表，而是強調風險可能會影響戰略和業務目標的實現。新版ERM引入了風險概況新圖形描述兩者之間關系的重要性，它將風險偏好、績效與風險三者融入到單一的圖形，提供一個動態、全面的風險觀點，表明風險和績效之間密不可分，相互影響。

4.提供了將風險置于更復雜商業環境下進行考量的新方法

（1）信息系統環境下持續風險管理概念的提出。運營中的實體在高度動態環境中會經歷例如客戶期望轉變、監管要求不斷發展、全球化和技術創新等變化，作為回應，信息系統有必要進行技術調整：①改變客戶期望。可能需要更改系統，以便更及時地收集信息并更積極地監督社會評論、媒體報道。②技術創新。可能提出改變和改進信息系統的替代方案。例如，可以通過視頻會議和替代現場會議的實時工具來進行風險討論，并且可以使用云服務與更廣泛受眾的電子設備，如手機、平板來實時共享風險信息。

（2）企業風險管理分類法，在特定領域內開發風險分類法，如內部審計，信息管理或操作風險管理。使用分類法幫助組織一致地整合風險數據和信息，以了解風險并確定風險集中度。更有價值的是使用分類法來識別風險，并考慮可能影響實體戰略和業務目標的風險。

5.涵蓋了對決策起支持作用的科學技術進步及數據分析手段

新框架強調了風險管理過程中數據的重要性。技術（IT）和業務的進步導致了數據呈指數型增長，引起各方高度關注。數據存儲空間、存儲速度以及各種數據類型和來源為組織的風險管理帶來諸多挑戰。再加之當下技術應用環境發展迅猛，例如實時應用環境可以跨越多個組織、系統、技術以及處理方法，使得影響企業風險管理的要素變得更加復雜，更需要通過大量數據的分析處理來獲得風險控制點與風險范圍，一改傳統的風險管控方式。新框架同時提出企業風險管理框架下需要構建數據管理架構與標準，組織應當實施標準并提供結構化信息的規則，使數據可以可靠地讀取、分類、索引，與內部和外部利益相關者共享，最終保護其長期價值。

四、啟示

可以看出，不管是在形式上還是內容上ERM風險管理框架都有了長足改進，更加適應不斷變化的全球環境。整個修訂過程也為我們帶來了寶貴的啟示：

1.將風險管理活動置于一個動態的環境中考量。環境不是一成不變的，與之對應的風險也是。信息技術的迅速發展勢必會對企業的組織結構、商業模式和治理環境產生深刻影響，我們應當學會識別環境的影響，敏銳地捕捉風險的變化，即時采取措施進行風險應對。

2.敢于革新，對舊標準、舊制度進行修訂和完善。時代在不斷發展，市場在不斷完善，舊標準、舊制度被取而代之是社會發展規律，我們需要大膽創新，制定出與時俱進的標準和制度。

五、借鑒

（一）積極推動計算機技術與風險管理相結合，建立企業風險管理信息數據庫

“互聯網+”環境下云計算、大數據信息技術迅猛發展，企業面臨愈加復雜的業務環境，其運營模式也逐步走向“虛擬化”，拘泥于傳統商業模式和經營理念終將脫離時代潮流，對信息數據的處理將成為企業進行風險管理的重要手段之一。信息價值挖掘與新版ERM強調的企業文化和價值理念不謀而合，我們應當建立企業風險信息數據庫，對海量的企業信息搜集、篩選、存儲、分析和報告，挖掘數據背后的價值，識別風險管控點，讓數據“說話”，同時在企業內建立數據網絡，共享風險信息；與此同時企業應當學會識別、評估計算機環境下的新風險。

（二）幫助企業風險管理與績效考核更好地結合，促進風險管理的建設與實施

ERM原則中指出要“定義可接受的績效浮動”，并對績效進行報告，旨在強調企業風險管理是績效評價過程的重要組成部分。企業應當適時建立以內部風險管理人員為主、外部專家為輔的全面風險管理業績評價體系；建立風險預警機制與防范機制，將財務風險與經營風險盡可能降至最低水平；與此同時，為了確保企業內部信息有效傳達、內部員工責任落實，有必要建立風險信息管理系統，進行風險管理績效的評估再反饋，幫助企業健康發展。

（三）促進企業戰略目標設立與風險管理深度融合

企業戰略是一個企業的靈魂，新版ERM框架將風險管理追溯到戰略選擇和文化建設的風險治理發源地，幫助企業認識到想要為自身、為國家、為世界創造價值，必須告別勞動力、土地等廉價要素，培育人力資本、技術創新和管理新優勢；整合資源、優化資源配置、促進生產要素內外流動；深刻貫徹“一帶一路”政策，樹立“走出去”的義利觀與價值觀。作為全球經濟的重要一員，我國有責任積極參與世界經濟建設、展示人文關懷。

（四）繼續施行并完善企業風險管理制度，積極推動與國際高標準風險管理框架相趨同

在運行風險管理體系的初期，許多組織都是摸著石頭過河，從陌生到熟悉，從模仿借鑒到自成一派、各有特色。我國在風險管理體系建設方面一直不斷積極探索，并有所成就，例如2006年國資委發布的《中央企業全面風險管理指引》，其主要流程為收集風險管理初始信息、進行風險評估、制定風險管理策略、風險管理解決方案、監督與改進，同時在風險管理信息系統和文化上也制定了相應的條例，可以看出整個指引較大程度上受到2004版風險管理框架的影響。然而隨著時間的推移和環境變化，風險管理已經被賦予了新的內容，新版ERM框架也已經制定并逐漸推廣。我們應該繼續堅定地實施并完善風險管理框架體系，積極推動和ERM新框架等國際風險管理標準的趨同，取其精華、去其糟粕，擴大我國在風險管理標準制定中的影響力。

[1]羅伯特·R·穆勒.2013版COSO內部控制實施指南[M].秦榮生，張慶龍，韓菲，譯.北京：電子工業出版社，2015：243-271.

[2]COSO，2016.Enterprise Risk Management-Aligning Risk with Strategy and Performance，http：//www.coso.org.

[3]COSO，2004.Enterprise Risk Management-Integrated Framework，http：//www.coso.org.