揭秘COSO-ERM为什么推迟了一年才发布?-COSO新版企业风险管理框架系列解读(七)
2016年6月份,COSO发布了第二版企业风险管理框架更新版文件征求意见稿,用3个月的时间在全球范围内征求意见,时至2016年9月30日截止,并且发布消息称正式版文件将于2016年底发布。
但是之后对于正式版文件的发布一拖再拖,最终发布时间定在2017年9月6日。距离征求意见截止日期过去了将近一年的时间,这期间到底发生了什么,导致了COSO多次爽约。就像我评论《征求意见稿》相比于2004年第一版框架带来的冲击那样,《框架正式版》对于《征求意见稿》推出的框架又进行了翻天覆地的变化,这中间经历了什么?
本文带大家看一下COSO新版风险管理框架出台前的那些事儿。
一、征求意见期间的一些统计数据
自COSO发布的征求意见稿在2016年的6月15日向大众公开。这份具有革命性的风险管理框架文件引起了广泛的国际性关注,大约有近10000的下载量,其中约46%的下载来自美国以外的地区。从这个角度来讲,征求意见的54%都是来自美国本土。
普华永道(PWC)是这个框架起草项目的撰稿人,并定期向COSO的董事会汇报。其团队包括许多之前参与过COSO项目的负责人,他们对最初的框架有着非常深入的了解,COSO董事会也组织了一个代表行业、学界、政府机构、非营利组织的顾问委员会,同时还邀请了观察员去参与每次关于框架文件的讨论会议。
征求意见期间起草团队总共收到了约48份评论信件,以及超过200份的网络问卷答复。评论信件中大约包含1600多条意见,在线调查给出了约400多条意见。起草团队还在媒体上发布了相关文章,点击量超过280万,答复超过3000条。
所有这些评论都是在修订定稿过程中主要的考虑因素。
除了公开征求意见外,普华永道团队也通过40多次的会议、论坛和研讨会向大众获取不同的意见。
二、主要的征求修改建议
1、支持的内容:
关于COSO提出的加强风险管理和战略及业绩方面的关系,许多反馈者都表示了支持COSO这样的倡议,强调将风险管理融入公司运行有利于支持各项决策。
2、主要的分歧:
一些人建议要对征求意见稿中提出的框架进行大刀阔斧的重新设计,但有些人表示框架最好保持一致性,只需要对特定的部分需要修改。关于征求意见稿和正式版本的区别,我曾专门撰文详细进行了解读,请点击查看:
1. 【原创】首次全面解析 2017 COSO 正式版《企业风险管理框架》
2. 【原创】全面解读 2016 COSO征求意见版《企业风险管理框架》
下文将就有争议的部分内容进行详细介绍:
关于风险的定义;
新版本框架中风险被重新定义为:
The possibility that events will occur and affect the achievement of strategy and business objectives.
事项发生并影响战略和商业目标实现的可能性。
与2016年征求意见版定义保持一致,但与2004年版本有明显的不同,2004版本的定义为:
Risk is the possibility that an event will occur and adversely affect the achievement of objectives.
事项发生并给目标实现带来负面影响的可能性。
但两个版本的定义都是将风险落脚在可能性上,征求意见过程中,有人建议将风险仅定义为影响;有的建议延续2004年对风险的定义,将风险分为威胁和机会;还有建议关注风险的不确定性。
同样的,在ISO31000风险管理指南出台的过程中对于风险的定义也是经历了大量的讨论,甚至是出台后,ISO内部的各种标准对于风险的表述也是五花八门。如2015年出台ISO9000中,将ISO31000的风险定义改为不确定性的影响,内部的不协调性和不严肃性可见一斑。
不管是COSO还是ISO,都代表着被全球范围认可最广的机构,对于风险的认识如此莫衷一是,让我也是见识了这帮国际专家的水平。
前段时间,我专门写了一封长信给COSO现任主席,表达了对于这样的情况COSO在部分内容的摇摆中迷失了方向,有的应该坚持的却丢掉了,有的应该丢掉的却坚持了。所有这些,我们在中国已经研究和实践了十几年,我们有自己独特的见解,就像COSO框架中说的那样,风险管理工作是一项实践。因此,我们有底气和这些所谓的国际专家切磋交流。
关于风险管理的定义
新版本中关于风险管理的定义为:
The culture, capabilities, and practices, integrated with strategy-setting and performance, that organizations rely on to manage risk in creating, preserving, and realizing value.
组织在创造、保持和实现价值的过程中,结合战略制定和绩效,赖以进行管理风险的文化、能力和实践。
与征求意见稿的差别是将原来的执行(execution) 改成了绩效(performance),这和主体框架中把原来一章名为执行中的风险(Risk in execution) 改成绩效(Performance)相呼应,COSO的解释这种变动是因为在全球不同区域对于执行中的风险的理解不一致。
征求意见中,有人建议将新版本定义中的“创造、保持和实现价值”去掉,以区别企业风险管理和风险管理的差别,以便于使本框架可以在更广泛的主体类型中适用。但通过审慎考虑,最后这样的定义还是被坚持了下来。
另外,新版的企业风险管理定义为一个“文化、能力和实践”,有人建议将企业风险管理定义为一个功能而非能力,但最终没有被采纳。因为COSO认为风险管理工作应该更注重能力和实践,而非是一个单独的功能。
与2004年的风险管理框架相比,企业风险管理的定义:
Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.
企业风险管理是一个流程,受董事会、管理层和其他人员影响,应用于战略设定并贯穿整个企业,设计如何识别影响主体的潜在事件,管理风险使其在风险偏好的范围内,为主体目标的实现提供合理保证。
这个企业风险管理定义脱胎于1992年的企业内部控制的定义,是一个控制框架的定义方式,而不是一个管理框架的定义方式。所以2004年版的企业风险管理定义其实没有被大规模的研究和引用,起码在中国是这样。
风险管理与决策制定的联系;
新框架中倡导的风险管理工作要支持企业的各层更好的做出决策,与2004年之后出现的“风险导向”不同,新框架倡导的是“决策导向”,或称“目标导向”。
关于风险容忍度;
新框架中,为了避免为了风险而谈风险,删除了原来风险承受度的概念,用绩效波动的可接受程度来代替,这样有利于紧密的将风险和企业绩效关联在一起。
但一些人反对用绩效波动代替风险承受度的做法,并强烈要求继续沿用2004年框架中对于风险承受度概念的表述。最终COSO还是坚持了目标导向的原则,用绩效的波动区间替代了原有的风险承受度的概念。
另外,在修订过程中,大量的不同意见还来自于:对文化角色的定义;对企业风险管理与内部控制的关系;对于风险评估技术实用性(包括风险量化)的问题;对于是否可以给出更多实操性指导等等方面。
无论如何,新版的企业风险管理框架还是给了全球风险管理从业者一定的启发和参考,特别是自我革命的精神还是值得称赞,再有就是提供了一个清晰的思路,将风险管理工作融入企业管理活动,这个定位给了曾经出现的风险管理工作的错位进行了矫正。