近期，COSO发布了新版（2017版）的企业风险管理框架：《企业风险管理—与战略和业绩的整合》。相较于2004年发布的上一版框架《企业风险管理—整合框架》，新框架强调了制定战略和提升绩效过程中的风险。

该版本框架主要分为两个部分：

第一部分提供了对当前和不断发展的企业风险管理概念和应用的看法。

第二部分为框架内容，由五种易于理解的部分构成，这五部分容纳了不同的观点和执行结构，并加强了战略和决策的制定。

2017版的框架在哪些方面做了更新呢？我们为大家做了简单的翻译整理

COSO的新框架基于以下这样一个基本假设：即每个企业存在的目的均旨在为利益相关方提供价值，但在价值追求过程中会面临不确定性。“不确定性”一词被定义为未知的事项，而“风险”则定义为，该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。因此，新的框架认为：

管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性，亦即多少风险。有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时，提升企业创造、保护和最终实现价值的能力。

对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定：

企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。

新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。COSO表示新框架：

更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色；

优化了企业绩效与企业风险管理之间的协调关系；

涵盖了治理和监督预期；

提及了市场和运营的持续全球化趋势，以及在不同地域采取通用（尽管亦有量体裁衣之考量）做法的必要性；

提供了将风险置于更复杂商业环境下进行考量的新方法；

将提升利益相关方透明度的预期纳入风险报告范围；

涵盖了对决策起支持作用的科学技术进步及数据分析手段。

COSO在更新过后的框架里介绍了五大要素，并且如2013年更新内部控制框架时为每个要素罗列了相关原则。我们将在下文讨论各大要素及其原则。

风险治理和文化的重要性

新框架的第一大要素为企业风险管理其他四大要素提供了基础。风险治理确定企业的基调，强化并确立企业风险管理的监督职责。文化则事关道德价值、具责任感的企业行为、对业务环境的了解，并且体现于决策过程中。风险治理和风险文化是确保企业风险管理行之有效的强大基石。该基本要素涉及六个原则。

1.履行董事会风险监督职能

风险治理和文化始自企业最高层，即董事会的影响和监督。董事会必须担负起风险监督的职责，并具备提供有关监督所必需的技能、经验和业务知识。当董事会大多由独立人员组成时，便可对执行管理层和整个企业起到有效的监督和制衡作用。

2.建立治理和运营模式

一个企业的战略执行，体现于管理层为实现企业目标而对日常经营活动的组织和执行中。由于运营模式一般包含法务和管理架构以及相应的报告路径，因此如何管理和治理该模式可能会触及一些新的和不同的风险或复杂情况，进而影响到企业执行战略、管理风险及实现目标。

3.定义理想的企业行为

COSO对理想企业行为的界定乃基于企业的核心风险价值观及态度。不论企业认为自己是风险厌恶型、风险中立型或风险激进型，COSO都建议它们培养一种风险意识文化。这种文化的特点包括：英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量，以及积极开放的风险对话。这些特征确保风险可以被纳入日常业务。

4.恪守诚信和职业道德

值得注意的是，COSO关注的是贯彻于整个企业的基调。虽然高层基调由管理层和董事会的运营风格及个人行为所决定，但他们的基调必须渗透至企业各个层面。这意味着中层基调必须与高层保持一致，唯有如此，基层基调才能够反应理想的核心价值及风险态度。

横跨整个企业的基调应是无界的，也就是说，企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。因此，必须建立和评价有关行为准则，任何偏离这些准则的行为都必须予以及时处理。对于如何建立恰当的基调，坦诚地沟通有关风险及风险承担情况是至关重要的。

5.实施问责

企业各级人员都必须对企业风险管理负责。企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。这种问责制应始于董事会和CEO，并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。董事会和CEO必须时刻保持警惕，确保企业内部的压力不会造成不负责任的和/或违法行为。

针对这一点，COSO表示可能导致发生上述行为的过大压力往往来自：不切实际的绩效目标、不同利益相关方相互冲突的业务目标，以及短期财务绩效奖励与长期利益相关方预期（例如企业的可持续性目标）脱节。COSO还称，这种压力既可能来自企业内部（例如企业不合时宜的绩效奖励或战略变更），也可能来自企业外部（例如影响销售业绩的客户需求发生了变化或一项颠覆性的改变影响了企业的运营模式）。

6.吸引、发展和留任优秀人才

最后，风险治理和文化还要认识到根据企业目标积累人力资本和人才的重要性。管理层必须界定执行战略所必需的知识、技能和经验；制定适当的绩效预期；吸引、发展和留任合适的人员及战略合作伙伴；以及安排好继任计划。

从多方位关注战略制定

许多企业将关注点放在识别战略执行风险上。然而，在企业风险管理的第二大要素中，COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度，还有另外两个维度要考虑，因为它们可能会对企业风险特征产生重大影响。第二个维度是“战略可能会不符合”企业的使命、愿景和核心价值，而后者体现的正是企业想要实现的目标及意图采取的开展模式。一个错位的战略将增加企业无法实现使命的风险，即使有关战略获得成功实施。

需要考虑的第三个维度是“所选战略的影响”。COSO这样表述道↓

管理层在制定战略以及与董事会讨论其他可能的选择时，他们会就战略中所固有的利弊做出权衡。每个可能的战略都有其自身的风险特征——这就是战略的影响。董事会和管理层需要考虑有关战略是否与企业的风险偏好一致，以及它会如何推动企业制定目标，并最终对资源做出有效分配。

总之，通过明确战略制定流程需考虑的所有三个维度，COSO新框架将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。企业风险管理的风险战略及目标制定要素涉及五大原则。

7.考虑风险和业务环境

新框架透过内外部环境来审视业务环境。它也考虑内外部利益相关方的角色，因为他们可能会给内外部环境带来重大改变。重要的是管理层必须考虑业务环境变化所产生的风险，并在执行战略和实现业务目标的过程中予以灵活应对。

8.定义风险偏好

企业依据价值的创造、保护和实现来界定风险偏好。制定战略要考虑风险偏好声明，管理层要做好有关沟通，董事会需全力支持，并且要整合至整个企业。风险偏好受到企业使命、愿景和核心价值观的影响，此外亦需考虑企业的风险特征、风险容量、风险能力和成熟度、文化，以及业务环境。

9.评估替代战略

替代战略乃基于不同的假设，而这些假设可能对不同的变化非常敏感。企业在对各种战略选项进行评估后制定出可用以提升企业价值的战略，同时亦考虑所选战略或会带来的风险。但关键因素的变化可能会令制定战略时所采用的假设失效，因此，董事会和执行管理层在批准一项战略之前应当首先了解这些敏感因素，即有关战略的影响。如果战略获得通过，那么可能会导致关键假设失效的环境因素也必须得到识别和长期监控。

10.制定业务目标时考虑风险

管理层在企业的各个层面制定与战略相符并为战略提供支持的业务目标。这些目标应当考虑并与企业的风险偏好保持一致。事实上，一个企业的业务目标应当由上至下贯穿到不同的分支机构、运营单位及职能单位。

11.界定可接受的绩效偏差

COSO将“可接受的绩效偏差”（有时称作风险容忍度）定义为：与实现某项特定业务目标相关的可接受的结果范围。尽管风险偏好是广义的，可接受的绩效偏差却是战术和运营层面的。可接受的绩效偏差把风险偏好与特定的业务目标绑定在一起，并且可以提供用来识别影响这些目标实现风险的度量指标。业务目标的风险度量方法通常是一样的，不论目标是否有关满足客户需求、成本绩效、交货时间、流程和产品创新，抑或员工表现。在可接受的绩效偏差范围内运营，可以让管理层更加确信企业并未超出其风险偏好。从而，亦可令管理层放心企业将以一种符合其使命、愿景及核心价值的方式实现其业务目标。

牢牢把握风险

企业需要识别和评估可能会影响战略和业务目标实现的风险。必须根据严重程度和风险偏好来确定那些“执行中的风险”的优先级。然后企业会选择风险应对方案，并对其所承担的风险数量采取一种风险组合观点。企业风险管理的第三大要素由六个原则提供支撑。

12.识别执行中的风险

企业识别新风险和新兴风险，以及与战略执行和实现业务目标有关的已知风险所发生的变化。风险识别流程应当考虑源于业务环境变化的风险，以及已经存在但尚不可知的风险。

13.评估风险的严重程度

COSO建议可以根据所预期的风险严重程度采用定性和定量的评估方法。

当风险不适合量化或大量的数据收集工作不切实际或不够经济有效时，可以使用定性的评估方法。如COSO所称，管理层可以利用情景分析来评估可能会产生极端影响的风险，或者采用模拟法来评估多个事件的影响。相反，高频率低影响的风险更适合利用数据分析或内部信息，以及小组讨论和会谈等方式来确定风险的严重程度。对于更容易量化，或者对细节或精确度有特别要求的情况，则可以选择可能性建模法。

14.划分风险的优先级

采用恰当的标准来划分风险优先级是企业筛选风险应对方案的基础。风险标准可以包括适应性、复杂性、速度、持久性和恢复程度。此外，对于接近企业既定业务目标可接受绩效偏差或风险偏好边缘的风险，一般会给予较高优先级。

15.识别并筛选风险应对方案

对于已识别风险，管理层会选择和部署合适的风险应对方案。风险应对方案可以包括：接受风险、规避风险、利用风险、降低风险以及共担风险。在选择应对方案时，管理层会考虑诸如业务环境、成本和效益、责任和预期、风险的优先级和严重程度，以及企业的风险偏好等因素。

16.评估执行中的风险

一旦选定风险应对方案并付诸实施，就必须进行评估，以确定方案是否按计划发挥作用。评估风险应对措施的任务一般由负责对已识别风险进行有效管理的人员，以及提供保证服务的人员来担任，后者亦同时负责了解企业的绩效及风险应对有效性。在履行其治理和监督职责时，管理层和董事会必须及时获悉就企业关键风险所开展的风险应对措施评估结果。

17.建立风险组合观

企业风险管理需要企业从整体或组合的角度来考虑风险。COSO表示“组合观”即指对企业所面临相关业务目标风险的一种综合观点。这种角度使管理层和董事会得以考虑风险的性质、可能性、相对大小、彼此相互依存的关系，以及它们会如何影响绩效。通过组合观，企业可以识别出重大的风险，并确定其剩余风险特征是否与企业的总体风险偏好一致。

实现风险信息和报告的价值最大化

第四大企业风险管理要素揭示了从内外部渠道持续获取和分享相关信息的重要性，用于决策的信息必须能够在整个企业得到全方位的沟通和传达。该流程可以为关键利益相关方提供必要的信息和洞见。该要素由四个原则提供支持。

18.使用相关信息

COSO将“相关信息”定义为有助于做出知情决策的信息。有关信息越有助于提高决策的灵活性、积极主动性以及就绪程度，它的相关度就越高，而企业成功实施战略、实现业务目标和建立可持续竞争优势的可能性也就越高。

19.充分利用信息系统

由人员、数据和技术组成的信息系统能够为企业提供支持企业风险管理所需要的数据和信息。COSO表示并不存在放诸四海皆准的系统，然而，如何选择支撑企业信息系统的技术和/或工具，却对执行战略和实现业务目标至关重要。影响技术选择和实施的因素包括：企业目标、市场需求、竞争要求，以及相关成本与效益。

20.沟通风险信息

企业应实施多层次、跨企业的风险报告机制，可以通过不同的渠道向内外部利益相关方沟通风险数据和信息。这些渠道使管理层在董事会的监督下能够做出更加知情的决策，从而推动战略的实施和既定业务目标的实现。

21.汇报风险、文化和绩效

风险汇报所涵盖的信息不仅可以支持或改善决策流程，亦可以促使董事会及其他管理人员履行其风险监督职责。有关风险、文化和绩效的报告类型林林总总。这些包含定量和定性风险信息的报告视乎企业的规模、范围、级别和复杂程度均有不同的呈现形式，既可以简单明了也可以颇为复杂。

风险信息可以专注于企业的某个特定领域或分部，抑或某一类风险或风险组别。风险报告也可以根据需要为企业的不同层级编制，以为企业决策流程提供支持。不过，管理层在使用报告数据和信息以及进行关键决策时依然要运用自身的专业判断。

监控重要事项

第五个也是最后一个要素关注的是企业应如何对风险管理绩效，以及企业风险管理职能各大要素的长期有效性进行监控，尤其是在发生重大变更的情况下。有效的监控流程使企业领导得以深入了解风险和绩效之间的关系，以及战略风险会如何影响绩效，并且识别与实现战略有关的新兴风险。该要素由两大原则提供支持。

22.监控重大变化

如果不及时考虑有关变化，可能会造成与竞争对手的绩效鸿沟，或令有关战略的关键假设失效。对重大变化的监控应当纳入日常业务运营流程，并实时执行。

23.监控企业风险管理

与其他任何流程一样，企业风险管理也需要不断予以优化。即使是实施了成熟的企业风险管理流程的企业亦可以通过持续优化来获得事半功倍的价值贡献。在企业风险管理整合至整个企业后，嵌入的持续评估便可以自动识别改进机会。单独的评估活动（例如由内部审计开展的）亦可提供机会优化企业风险管理流程。

对董事会和管理层的影响和启示

COSO的新企业风险管理框架为企业领导提供了可认真思考的大量信息和资料。框架所代表的基于风险的方法也表明并不存在放诸四海皆准的实施方案。每个企业都不尽相同，不论是所处行业、战略、架构、文化、商业模式还是资金基础。从实战的角度而言，企业可以采取一种最符合自身情况和环境的方式来实施该框架。我们认为，企业领导可以尝试使用新框架来评估其风险管理方法，因为这在强化其风险管理能力的同时能够让他们更加自信地面对未来。有些问题可能仍富有争议，例如风险与战略制定的有机结合等。但是，如若忽略有关问题，对于在当今不可预知的世界挣扎求存的企业来说，代价可能是高昂的，甚至是致命的。

总结

COSO在更新其企业风险管理框架时重申企业需要更好地适应变化，而管理层需要就如何管理日益动荡、复杂和不确定的市场做出更多的思考。COSO的新版框架旨在满足董事会及执行管理层的需求，即采取一种基于风险的方法来整合风险以及战略和绩效。

本文来源于风控在线微信公众号（ID:fengkongzaixian），作者锐思咨询研发部、浦翰咨询。