原创|COSO
2017年COSO经过多年的酝酿,终于发布了新版的ERM。新版ERM到底有哪些变化?是否真的是颠覆性变革?本文为系列文章之首篇,后续针对每个要素各有一篇,为个人对新框架的解读。
一、名称的变化
老版:ERM - Integrated Framework
新版:ERM - Integrating with Strategy and Performance
老版是“整合框架”,个人理解,这里的整合更强调的是ERM本身五要素的整合。新版则强调了ERM与战略和绩效的整合。需要特殊说明的是,在征求意见稿中,用的是“Aligning”,而不是最终稿中的“Integrating”。Aligning是对准和对齐的意思;而Integrating则有整合和融为一体的意思。
在《原创|内控百问百答(9):管理的本质是什么?》、《原创|内控百问百答(10):管理本质对内控意味着什么?》和《原创|管理会计随笔(三):融合、坚守与意识》等文章中,我一直在反复强调一个观点“融合”。管理的本质就是要取得绩效,任何管理工具都是一种手段而已。过于强调其中一种手段,就会陷入“盲人摸象”的困境。因此,在学习和使用任何管理理论时,都需要有融合的意识和实践。
新版ERM更加强调(注意:不是新的理念,而是深化和突现)与战略和绩效的融合,是回归了管理的本质;同时,也对使用者提出了更高的要求:要从绩效结果(或管理目标)去理解风险管理(与《高效能人士的七个习惯》中的“以终为始”是异曲同工之妙),而不是就风险管理谈风险管理。
二、定义的变化
1、风险定义的变化
老版:风险是一个事项将会发生并给目标实现带来负面影响的可能性。机会是一个事项将会发生并给目标实现带来正面影响的可能性。
新版:事项发生并影响战略和业务目标之实现的可能性。
老版ERM将事项区分为风险和机会。从“企业风险管理处理风险和机会,以便创造或保持价值。它的定义如下:……”的表述看,老版ERM虽然也提到了对机会的把握,但总体上还是偏向对负面影响的控制。
新的风险定义将风险和机会等而是之,试图让风险管理者从被动防御(控制)的心态转变为主动出击(管理)的心态,让风险管理与价值创造的过程融为一体。
2、企业风险管理定义的变化
老版:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
新版:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制定和实施相结合的文化、能力和实践。
定义趋于简化,同时,更加强调风险管理与价值创造及战略的关系。老版ERM定义ERM是一个过程(过程即政策、流程、表单和系统)。新版则定义ERM是文化、能力和实践。个人看来,这种变化更多是一种文字游戏,不是实质性变化。
三、展现形式的变化
1、“立方体”改“DNA螺旋体”
这是视觉上最大的变化,也是ERM急于想摆脱IC框架影响的重要举措。老版ERM由于采用与IC类似的立方体模型,让很多人误解ERM只是IC的扩展和细化,始终不能摆脱IC的“阴影”。这次COSO是痛定思痛,希望借着换模型,能让ERM像IC一样被广泛认可和使用。
个人觉得,新的DNA螺旋体与“整合”的意境更贴切。表现了风险管理与使命愿景价值观、战略、运营和绩效等管理要素的关系。
2、要素-原则-属性(Components - Principals -Attributes)的结构
COSO早先在《财务报告内部控制——较小型公众公司指南(2006)》和《内部控制——整合框架(2013)》就采用了这种架构。这种架构我个人认为可能是从面向对象编程软件中借鉴来的,这让整个框架更层次化和系统化。
新版ERM的核心内容为5要素,20项原则。
仔细比对新版5要素(治理和文化;战略和目标设定;执行风险管理;评估和修正;信息、沟通和报告)与原8要素(内部环境;目标设定;事件识别;风险评估;风险对策;控制活动;信息和交流;监控)就会发现:没有实质变化,仅仅是重新分类合并和文字表述差异;而且结合20项原则看与IC的五要素更神似。
与征求意见稿比对后发现,最终稿的五要素中淡化了“风险”一词。如“治理和文化”要素在征求意见稿中为“风险治理和文化”。这种细微变化还是体现了“融合”(从align到integrate的转变)的理念:风险管理应融合于管理之中,而不是自成一派。
四、与ISO31000/31010的比较
风险管理领域有一个ISO标准,即ISO31000/31010(国内为GBT 24353-2009)。为了比较两者的差异,我梳理了下表,并对其中对应的部分作了标识。
从上表中我们可以大致看到,这两大风险管理模型在实质上并无本质差异,更多只是表述的逻辑和文字上的差异。