达信：深度解读COSO新版企业风险管理框架（ERM）

http://www.sohu.com/a/124375769_489979

2016年6月，美国反欺诈财务报告委员会（The Committee of Sponsoring Organizations of the Treadway Commission, COSO）发布了新版企业风险管理框架“企业风险管理-服务于企业战略和绩效的实现” （Enterprise Risk Management- Aligning risk with strategy and performance）征求意见稿，这是继2004年COSO正式公布企业风险管理框架（Enterprise Risk Management Framework, ERM）以来第一次对ERM框架进行修订和完善，更确切的说是对ERM框架大刀阔斧的进行了重新构思和设计。

新版ERM框架已经于2016年9月30日截止全球范围内收集反馈意见，并计划于2017年第一季度正式公布。

1. 新版ERM框架出台的背景

众所周知，在企业风险管理和内部控制理论研究领域，COSO组织有着举足轻重的位置，从1992年出版企业内部控制整合框架（Internal Control- Integrated Framework）以来，作为在美上市公司内控体系建设的指导框架，不仅得到了美国证监会的认可，而且在全球范围内被众多国家相关企业和上市公司监管机构采用和推广，如中国财政部2008年发布的《企业内部控制基本规范》即采用了COSO组织1992年发布的内部控制框架要素和内容。

2000年以来，企业界在实施了十来年内部控制框架之后，发现即便建立了完善的内部控制体系，仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损失案例，所以COSO组织开始从更高的一个角度来思考企业的管理活动以及内部控制体系的局限性。

内部控制体系确实对实现财务报告的可靠性和有效性提供了合理的保障（从实践经验看，内部控制体系的建立对经营和合规两个目标的支持力度并没有像财务目标那样得到很好的体现），但是企业需要从整合风险管理的角度为企业创造价值并合理保障公司战略目标的实现。

COSO组织对ERM框架的初衷和定位是正确的，但在起草ERM框架时采用了在COSO内部控制框架的基础上进行升级和扩充的做法，这直接导致了两个理论框架虽然愿景和目标各不相同，但内容的重合度非常高，回想过去这些年企业在实践这两个理论体系时出现的种种说法“内部控制就是风险管理”、“风险管理就是内部控制”、“风险管理是“大内控””等，在当时发布起草ERM框架时就埋下了隐患。

图1：内部控制框架和企业风险管理框架

2014年，COSO组织开始着手对ERM框架的升级换代，用其自身的阐述，原因在于过去十年间外部环境的复杂变化，利益相关方更加关心风险管理对企业价值的创造，尤其是在战略的制定和执行中风险管理价值的体现，以及增强风险管理和企业绩效之间的协同关系。

想必COSO组织也非常清楚过去十年间关于内部控制和风险管理之间关系的争论和对企业实际开展工作造成的影响，只好痛定思痛，着眼于未来，这一点从新版的ERM框架中可以看出来。COSO组织对新版ERM框架进行了颠覆性的变化，起码从表面上来看，没有一点从前的影子了，看来是有意和内控及2004版风险管理划清界限，结束这十年来的两者的纠葛和纷争。

图2：COSO新版企业风险管理框架

很多从事和熟悉风险管理工作的人，对ERM新框架一开始的感觉都是陌生和不适应，最开始将征求意见稿发送给国内权威专家参考时，部分专家也提出“这是对历史的一种背叛”、“新框架太荒唐”等批判性的反馈意见࿰