全面解析COSO-ERM: 2017正式版《企业风险管理框架》
2017年9月6日晚(美国时间9月6日早),全球风险管理行业翘首以盼的COSO更新版《企业风险管理框架》正式发布,距离2016年9月30日全球意见征集截止,已经过去了将近一年的时间。在这个过程中,笔者一直和COSO主席Hirth先生保持的紧密的沟通。当看到摘要中新框架与征求意见稿的变化如此巨大时,笔者大概理解了正式版迟迟没有推出的原因,COSO内部肯定经历了大量的讨论、争议、妥协和坚持。
2017年9月7日一早,笔者便拿到了COSO正式发布的《企业风险管理框架》正式版,总共201页,这应该是中国第一份全文正式版文件。其中附录B中记录了定稿这个过程中关于对1600多条反馈建议的考虑、大量的不同意见的处理以及40多场研讨会,正好证实了笔者之前的猜测。
针对2016年COSO发布的征求意见稿,笔者曾专门翻译了其中精要并发布了征求意见稿解读(参见前期公众号文章)。
公众可以在COSO的网站上(www.coso.org)免费下载公开的几个介绍文件:
1、企业风险管理框架-摘要;
2、企业风险管理框架-常见问题;
3、COSO发布正式版企业风险管理框架的新闻稿。
下面,我们就正式版《企业风险管理框架》的相关背景和主要内容进行分析介绍。
一、2017正式版(第二版)《企业风险管理框架》与2004年《企业风险管理-整合框架》的异同
2004版框架发布据今已有十几年时间,这十几年间,风险的复杂性发生了重大变化,由于新环境、新技术的不断演变,新的风险也层出不穷。在此前提下,COSO在2014年启动了首次对风险管理框架的修订工作,新版本更新的内容主要包含十大变化:
应用了要素和原则的编写结构;
简化了企业风险管理的定义;
强调了风险和价值之间的关联性;
重新审视了企业风险管理整合框架所关注的焦点;
检验了关于文化在风险管理工作中的定位;
提升了对战略相关议题的研讨;
增强了绩效和企业风险管理工作的协同效应;
体现了企业风险管理支持更加明确的做出决策;
明确了企业风险管理和内部控制的关系;
优化了风险偏好和风险承受度的概念。
没有变化的部分是保留了2004年出版的《企业风险管理-应用技术》一册,只是对《框架》一册进行了更新,风险管理工作者仍然可以使用2004年发行的风险管理相关工具和技术。
二、正式版与征求意见稿的异同
1、标题
首先,正式版框架的名字与征求意见稿发生了变动,从Enterprise Risk Management Aligning with Strategy and Performance变成了Enterprise Risk Management Integrating with Strategy and Performance, 从“Aligning”到“Integrating”,虽然只变化了一个词,但含义大不相同,这个词的变化直接体现了整个框架从征求意见稿到正式版发布的核心理念的变化,对比两个文件的全文会发现,内容变化的核心正是体现了从“Aligning”到“Integrating”两个词义的不同。
“Aligning”可以意为协同、相协调、保持一致等,表达企业风险管理工作应该和企业战略与绩效相协同、相协调;
“Integrating”意为整合、集成、融为一体等,表达企业风险管理工作和企业战略与绩效是一个有机的、密不可分的整体;
仅仅一个词的变化,就把企业风险管理工作进行了重新定位,从作为一个看似独立的工作与战略和绩效相协同,到抛弃自我真正融入战略和绩效管理的工作中去,这种变化其实恰恰能描述我们一直以来倡导的风险管理工作融入企业管理和业务的最佳实践。
笔者期望可以用比较简单形象的表达方式让大家理解清楚其中的区别,如下图。
2、整体框架的展现方式
从征求意见稿到正式版,企业风险管理框架中的要素和原则从围绕企业战略和绩效,变成了贯穿融入企业战略、绩效和价值提升,也是对题目一词进行变更后,正文整体内容变化的一个直接体现。
3、五大要素的变化
五大要素的变化最明显的标志就是“去风险化”,五大要素中的“风险”一词均被去除,不再一味的强调风险视角下的企业治理及管理要素,而是直接从企业治理和管理的角度提出将风险管理内容嵌入,为风险管理工作的真正融入治理与管理打下了基础。
当一个组织可以接受卖什么不吆喝什么的时候,它的精神境界就提升了一个层次。
另外,把“执行中的风险”(Risk in Execution)直接改为了“绩效”,理解更为直接,而且避免了“执行中的风险”在全球不同区域的理解差异。
4、二十项基本原则的变化
正式版将征求意见稿中五大要素的23项基本原则改为了20项,因为在征求意见过程中有意见表示23个原则太多了,并且部分内容不太实用。所以在治理和文化中有两条原则合并成了一条,更侧重核心价值的体现;同时,在战略和目标设定方面,原第10和11条原则合并成为一条,即设定商业目标;最后,在信息、交流和报告方面,利用相关信息和利用信息系统被合二为一,新原则更加关注信息和技术在支持企业风险管理上的应用。
三、正式版文件的结构和主要内容
正文的内容除了摘要部分,分为了第一册(Volume I)和第二册(VolumeII),第一部分框架部分又分三块介绍了本框架的应用环境、框架介绍和术语表;第二部分介绍了项目背景和框架修订的方法、公共评论的总结、风险管理工作的角色和责任、风险概况图示等。
四、主要观点
1、重新定义了风险及风险管理
风险被重新定义为:
事项发生并影响战略和商业目标实现的可能性。
对于风险的定义,非常高兴得看到,由第一版只强调风险的“负面性”,第二版已经将风险的范畴扩大到了对风险的“正面”和“负面”影响兼顾。
从个人角度而言,也有感到遗憾的地方,自从2009年国际标准化组织发布 ISO31000 系列标准,国际上对风险的定义就逐步趋同,风险—不确定性对目标的影响,况且这一标准是国际标准组织首次采纳中国提出的定义,COSO此次并没有采用此定义,而是相对保守的采用了2000年前后出现的典型的风险定义。
企业风险管理被定义为:
组织在创造、保持和实现价值的过程中,结合战略制定和执行,赖以进行管理风险的文化、能力和实践。
关于企业风险管理的定义变化最为彻底,直接抛弃了第一版的定义,将风险管理工作直接从“一个流程或程序”提升到“一种文化、能力和实践”,用以实现组织创造、保持和实现价值。另外,也从定义上撇清了风险管理和内部控制的模糊关系。
2、一个真正的“管理框架”而不再是“控制框架”
虽然第一版框架就强调对利益相关方价值的创造,但是从内容上讲还是一个被放大了的“控制框架”,无法直接为价值创造服务,只能间接支持价值创造活动。
新的框架从企业使命、愿景和核心价值出发,定位的宗旨为提升主体的价值和业绩,强调嵌入企业管理业务活动和核心价值链,从主要的要素和内容看也进行了翻天覆地的变化,从而使得一个崭新的“管理框架”诞生,这种视角是一种新型的企业管理视角,对企业管理界来说是一场理念的变革。如果说在原有“控制框架”下,会计师事务所可以在实施内部控制框架的基础上,协助企业加强风险管理工作,但新的“管理框架”更像是企业决策者或企业管理咨询顾问关心的范畴。
近年来,基于风险导向的管理理念逐渐兴起,企业管理领域中常见的公司治理、企业文化、战略管理、卓越绩效、危机管理、高效沟通等都可以应用此套框架实现更好的标准化和科学化,因为基于风险的管理理念将成为主流并渗透到企业管理的各个方面。
3、更广泛的主体适用性
正式版发布日期之所以一推再推,COSO Hirth主席向笔者解释了其中一个原因,虽然框架名为《企业风险管理》,但COSO希望这个框架可以适用于任何类型、任何规模的组织,包括盈利机构、非盈利机构、政府部门等。
所以COSO期望的主体适用性已经从企业面向了各类型的主体,这一点也可以从正文部分的描述中看出,有些内容中故意回避了“企业”一词来显示了对不同主体本框架的包容性。
理论上来讲,只要一个主体有明确的愿景、使命和核心价值观,设定了所要期望达到的目标,风险管理框架就具备了被实施的条件。
但是目前关于非盈利机构、政府部门等实施风险管理框架还是一个新的领域,我们也非常期待这些领域的最佳实践的出现。
笔者曾协助中国部分政府部门设计和实施部分风险的应对方案,借助此框架的颁布协助政府部门设计一套完善的风险管理体系也许是下一步可以探讨和尝试的领域。
4、关于风险管理的局限性
了解COSO 1992年、2004年发布的内部控制框架和企业风险管理框架的人都应该清楚,两个框架均列示了企业内部控制和风险管理工作的局限性,而且这两个框架的局限性基本一致,这也在另外一个角度印证了2004年版的企业风险管理框架还是一个大内控的“控制框架”。
新版本的框架中删除了对于风险管理局限性的章节,作为一套“管理体系”而非“控制体系”,突破原来的局限性是不言自明的。
5、关于风险管理和内部控制的关系
在正式版新框架中,自然无法绕开关于风险管理和内部控制关系的解释,在第一册框架应用环境中,第一部分内容中就描述了风险管理和内部控制的关系:“内部控制主要聚焦在主体的运营和对于相关法律法规的遵从性上。” “企业风险管理的相关概念并没有包含在内部控制中(例如,风险偏好、风险承受度、战略和目标设定等概念,这些都是内部控制体系实施的前提条件)”。
为了避免重复,一些在内部控制中比较常见的概念部分,风险管理新框架并未重复叙述(例如,与财务报告目标相关的舞弊风险、与合规目标相关的控制活动、与运营目标相关的持续及独立评估)。然而,一些在内部控制中概念在本框架中被进一步的研究和深化了(例如,企业风险管理中的治理和文化部分)。
在COSO公布的《常见问题》解释上,COSO表明两个体系并不是相互代替或取代,而是侧重点各不相同相互补充的作用,但同时也强调了内部控制作为一种经历时间考验的企业控制体系,是企业风险管理工作的一个基础和组成部分。
在历史上,COSO在表述两个体系的关系时有时暧昧、有时清晰,这样算是现阶段给两个体系的关系做了个“了断”,随着新框架在企业的实施,相信二者的关系和界限会越来越清晰。
6、关于是否强制实施
实施风险管理工作目的是为股东和利益相关方创造、保持和实现价值,这些并不能通过外部监管机构通过强制的方式来执行,所有需要监管机构强制要求的工作都是控制类而非价值创造类。所以各类主体的利益相关方需要明确实施风险管理工作并不是满足监管和合规要求,真正的目的是为了实现价值和达成业绩,支持主体使命、愿景和核心价值的实现,这是为了满足更高层次的诉求。
五、关于中文版出版
Hirth主席向笔者介绍了和中国财政部在2013年《内部控制框架》引进方面的合作,并表示前期与财政部已达成意向由中国财政部引进新版《企业风险管理框架》,并希望笔者可以在中文版引进的过程中与COSO及中国财政部加强沟通,并给予必要的协助!笔者希望推动中文版尽早发布,与中国众多企业管理者、风险管理从业者和研究人员共飨!
截至目前,COSO此文件官方中文版还未发布。