2017版COSO新企业风险管理(ERM)框架20原则

首次全面解析2017 COSO 正式版《企业风险管理框架》（干货收藏版）2017年9月6日晚（美国时间9月6日早），全球风险管理行业翘首以盼的COSO更新版《企业风险管理框架》正式发布，距离2016年9月30日全球意见征集截止，已经过去了将近一年的时间。

在这个过程中，笔者一直和COSO主席Hirth先生保持的紧密的沟通。

当看到摘要中新框架与征求意见稿的变化如此巨大时，笔者大概理解了正式版迟迟没有推出的原因，COSO内部肯定经历了大量的讨论、争议、妥协和坚持。

9月7日一早，笔者便拿到了COSO正式发布的《企业风险管理框架》正式版，总共201页，这应该是中国第一份全文正式版文件。

其中附录B中记录了定稿这个过程中关于对1600多条反馈建议的考虑、大量的不同意见的处理以及40多场研讨会，正好证实了笔者之前的猜测。

针对2016年COSO发布的征求意见稿，笔者去年12月份曾专门翻译了其中精要并发布了征求意见稿解读（参见前期公众号文章）。

公众可以在COSO的网站上（）免费下载公开的几个介绍文件：1、企业风险管理框架-摘要；2、企业风险管理框架-常见问题；3、COSO发布正式版企业风险管理框架的新闻稿。

下面，我们就正式版《企业风险管理框架》的相关背景和主要内容进行分析介绍。

一、2017正式版（第二版）《企业风险管理框架》与2004年《企业风险管理-整合框架》的异同2004版框架发布据今已有十几年时间，这十几年间，风险的复杂性发生了重大变化，由于新环境、新技术的不断演变，新的风险也层出不穷。

在此前提下，COSO在2014年启动了首次对风险管理框架的修订工作，新版本更新的内容主要包含：变更了题目和框架展现方式；应用了要素和原则的编写结构；简化了企业风险管理的定义；强调了风险和价值之间的关联性；重新审视了企业风险管理整合框架所关注的焦点；检验了关于文化在风险管理工作中的定位；提升了对战略相关议题的研讨；增强了绩效和企业风险管理工作的协同效应；体现了企业风险管理支持更加明确的做出决策；明确了企业风险管理和内部控制的关系；优化了风险偏好和风险承受度的概念。

2017年coso企业风险管理框架原则和目的2017年COSO企业风险管理框架的原则和目的COSO企业风险管理框架是全球范围内广泛使用的企业风险管理指南，于2017年发布。

该框架旨在帮助组织建立和加强风险管理能力，以实现战略目标、提升绩效，并增加利益相关者的信心。

本文将介绍2017年COSO企业风险管理框架的原则和目的，以帮助读者更好地理解和应用该框架。

一、原则COSO企业风险管理框架基于五个核心原则，这些原则是：1. 企业风险管理是组织的责任：风险管理是每个组织成员的责任，而不仅仅是高层领导的事务。

2. 企业风险管理是战略性的：风险管理应与组织的战略目标相结合，确保风险管理与组织的整体方向一致。

3. 企业风险管理是综合性的：风险管理应该涵盖整个组织，并将风险管理纳入到组织的各个层面和业务过程中。

4. 企业风险管理是基于具体情境的：风险管理需要根据组织的具体情境而定，以适应不同的内外部环境。

5. 企业风险管理依赖于人类判断：尽管工具和技术的使用对风险管理至关重要，但最终的决策和执行仍依赖于人类的判断。

以上五个原则是COSO企业风险管理框架的核心基石，组织可以根据这些原则来制定适合自身的风险管理策略和流程。

二、目的COSO企业风险管理框架的目的是帮助组织实现以下几个方面的利益：1. 提高决策的质量：通过建立风险管理框架，组织可以更全面地了解和评估各类风险，从而使决策更加准确和科学。

2. 促进战略目标的实现：有效的风险管理可以帮助组织在追求战略目标的过程中更好地应对风险和不确定性。

3. 保护组织价值：风险管理框架能够帮助组织预防和减轻风险带来的损失，保护组织的财务和声誉价值。

4. 提升运营绩效：通过识别和管理风险，组织可以提高运营效率，减少资源的浪费，从而提升绩效和竞争力。

5. 增加利益相关者的信心：良好的风险管理可以向利益相关者展示组织对风险的敏感度和应对能力，增强其对组织的信心。

COSO企业风险管理框架的目的是为了实现上述利益，并为组织提供一个系统化的方法来管理和控制风险。

coso企业风险管理框架2017中文全文共四篇示例，供读者参考第一篇示例：企业风险管理一直是管理者们极为关注的问题。

为了帮助企业更好地应对风险挑战，COSO（委员会管理赏罚控制结构）制定了一套全面的企业风险管理框架。

该框架被认为是企业风险管理领域的国际标准，为企业提供了一个全面的方法，并将风险管理与业务战略和运营流程相结合。

2017年，COSO更新了其企业风险管理框架，这个新版本对现代企业管理需要更具挑战性和前瞻性。

在本文中，我们将深入探讨COSO企业风险管理框架2017年的相关内容。

首先，COSO框架将企业风险管理定义为“在战略、业务目标和业务流程中确定、评估和应对威胁和机会的过程。

”这一定义体现了风险管理的全面性，不仅包括风险的识别和评估，还包括了对机会的利用。

企业在制定战略和实现业务目标时，必须充分考虑可能面临的风险，以及如何在风险中找到机会。

在COSO框架中，企业风险管理被分为八个互相关联的组件，包括：内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与通信以及监督。

这些组件相互之间相互依赖，形成了一个完整的风险管理体系。

内部环境是风险管理的基础，它包括了企业文化、管理哲学、价值观和员工素质等。

一个积极的内部环境可以促进风险管理的有效实施，而缺乏关注和支持的内部环境则会成为风险管理的障碍。

目标设定则是企业风险管理框架中的核心，企业应当设定明晰的目标，并将风险管理融入其中。

只有明确的目标才能为企业提供清晰的方向，同时也能帮助企业更好地识别和评估风险。

事件识别和风险评估是风险管理的前两个步骤，企业需要识别可能影响其目标实现的事件，并评估这些事件对企业的影响程度。

在这个过程中，企业需要结合内部和外部环境的信息，综合分析风险，并确定风险应对的措施。

风险应对和控制活动则是企业决定如何应对已识别的风险并减少其影响的关键步骤。

企业可以通过采取防范措施、转移风险或接受风险等方式来应对风险，并通过内部控制活动来监测和评估措施的有效性。

2017版COSO-ERM解读将企业风险管理定义为一种文化、能力和实践，旨在实现组织的价值创造、保持和实现。

这种定义将ERM框架从一个控制框架转变为一个管理框架。

3新版ERM框架要素和原则解读新版ERM框架的五大要素1.组织目标设定2.风险评估3.风险应对4.信息、沟通与监控5.企业文化、能力和实践20项支持性原则1.组织目标设定与策略制定过程中应当考虑风险2.风险管理应当贯穿于整个组织，包括企业文化、能力和实践3.风险管理应当与组织的价值创造过程相互结合4.风险管理应当涵盖所有风险类型，包括战略、业务、操作、财务和合规性风险5.风险管理应当基于最新的信息和数据6.风险管理应当充分考虑利益相关者的需求和期望7.风险管理应当充分考虑内部和外部环境的变化8.风险管理应当充分考虑组织的文化、价值观和行为9.风险评估应当基于定量和定性的方法10.风险评估应当考虑多个时间周期11.风险评估应当考虑风险的相互关系和累积效应12.风险评估应当考虑不确定性和复杂性13.风险应对应当基于风险评估的结果14.风险应对应当充分考虑利益相关者的需求和期望15.风险应对应当充分考虑内部和外部环境的变化16.风险应对应当充分考虑组织的文化、价值观和行为17.信息、沟通与监控应当充分支持风险管理的实施18.信息、沟通与监控应当充分支持决策制定19.信息、沟通与监控应当充分支持内部控制和合规性要求20.信息、沟通与监控应当充分支持组织的研究和改进新版ERM框架的五大要素和20项支持性原则，旨在帮助组织实现风险管理的全面覆盖。

要素包括组织目标设定、风险评估、风险应对、信息、沟通与监控以及企业文化、能力和实践。

20项支持性原则则涵盖了组织目标设定、风险管理、风险评估、风险应对、信息、沟通与监控等方面。

这些要素和原则的实施可以帮助组织更好地管理风险，实现价值创造。

4新版ERM框架对企业风险管理发展的启示新版ERM框架对企业风险管理的发展提供了很多启示：1.风险管理应当贯穿于整个组织，成为一种文化、能力和实践，而不是仅仅是一个流程或程序。

COSO新企业风险管理（ERM）框架（2017版）20原则Components and Principles：要素和原则:1.Exercises Board Risk Oversight—The board of directors provides oversight of the strategy and carries out governance responsibilities to support management in achieving strategy and business objectives.1.董事会执行风险监督 - 董事会对战略进行监督，执行治理责任，支持管理实现战略和业务目标。

2.Establishes Operating Structures—The organization establishes operating structures in the pursuit of strategy and business objectives.2.建立运营机构 - 组织在追求战略和业务目标方面建立运营机构。

3.Defines Desired Culture—The organization defines the desired behaviors that characterize the entity’s desired culture.3.定义崇尚的文化- 组织定义期望的行为来描述所崇尚的文化。

4.Demonstrates Commitment to Core Values—The organization demonstratesa commitment to the entity’s core values.4.展示对核心价值的承诺 - 组织表现出对核心价值观的承诺。

5.Attracts, Develops, and Retains Capable Individuals—The organization is committed to building human capital in alignment with the strategy and business objectives.5.吸引，发展和保留有能力的个体 - 组织致力于建立符合战略和业务目标的人力资本。

【收藏】COSO新版企业风险管理框架全文解读（四）：西方的ERM与中方的全面风险管理本文介绍COSO新版企业风险管理框架的第一册第一部分的第四章节：整合风险管理。

本部分的整合风险管理章节，COSO表述了将风险管理工作与各项日常管理工作整合以支持更好的做出决策的重要性。

用以更好的权衡各种利弊，如对于风险和回报、效率和成本以及时间和质量等。

同样，像在摘要中强调的一样，指出风险管理不仅仅是一个部门和功能，而是和组织的文化、能力、实践融为一体的。

并指出主体的风险偏好越激进，整合工作的价值越大。

在迈向全面整合的阶段，指出“每一个人都是风险管理者”。

这和我们前些年倡导的“风险无时不在、风险无处不在”、“增强全员风险管理意识”、“每一个人都是一个防火墙”，内涵基本一样。

在我最开始翻阅新版企业风险管理框架时，在某些描述整合风险管理框架的段落，我觉得如果翻译成“全面风险管理”也算是恰当。

2006年6月，国务院国资委发布了《中央企业全面风险管理指引》，将全面风险管理的概念最先引入到了央企层面。

当时的全面风险管理是在中国企业界普遍流行的全面质量管理、全面预算管理的时代背景上提出的。

当时在全球范围里还没有一个合适的英文来对应中国的全面风险管理这样一个概念，对应的西方概念就是企业风险管理（Enterprisk Risk Management），或者后来发展出的企业整体层面风险管理（Enterprise-Wide Risk Management）。

我们今天来看整合风险管理框架（Integrating Enterprise Risk Management）的提法，个人看来，整合（Integration）这个词也没有十分符合中国人传统语言习惯的译法，其内涵与我们十几年前“全面风险管理”的提法有点类似的地方。

翻阅了十几年前《央企指引》出台后，我们在几十家央企的项目实践材料，对于全面风险管理工作的定位，当时的描述方式为：全面风险管理不是独立于现有管理体系的另外一个体系，而是对现有管理体系的整合与对现有管理职能的强化，实践中注重将全面风险管理的内容融入现有管理职能之中。

2017版COSO-ERM 解读•2017版COSO-ERM 的必要性•新版框架的主要变化解读•新版框架要素和原则解读•新版框架对企业风险管理发展的启示•董事会对企业风险管理能力和实践寄予厚望•利益相关者有意提高信息透明度并明确责任追究制度•企业环境愈加复杂化，逐渐趋于技术化和全球化•从近来发生的事件中吸取经验教训深有必要，且相关舆论也一直在发酵•风险专业人士希望以较前沿的方式来陈述企业风险管理理念•企业风险管理实践范围不断扩大1. 建立全新的框架结构2. 改进风险及风险管理的定义3. 将风险管理提升到战略层次4. 展示风险管理对绩效目标设定和实现的作用5. 风险管理应涵盖企业各个层面的风险【全层面】6. 风险管理融入到所有业务流程中【全流程】7. 明确将企业风险管理纳入决策流程【由事后决策-事前决策、事中决策】8. 实现风险管理对价值创造的作用新ERM框架主要变化1. 建立全新的框架结构引入企业价值创造模型建立贯穿企业价值创造过程的五大要素订立20项支持性原则， 共同阐述企业风险管理框架。

✓ 新版COSO-ERM 框架，建立了全新的框架结构，从2004版的8要素立方体框架，发展成为贯 穿企业价值创造全过程的5要素20项原则。

运行2. 改进风险及风险管理的定义✓新版框架强调了风险带来影响的双面性。

组织关注的风险通常是那些会产生负面结果的。

风险也可能产生正面的结果，例如：天气状况比预报的要好，更高的员工留职率或者更优的税率等，这些也应当考虑在内。

✓新版框架明确了目标的范围，包括战略和绩效目标，风险既有可能对经营层面产生影响，也有可能对战略层面产生影响。

2017版框架对风险的定义事项发生并影响战略和绩效目标实现的可能性。

2004版框架对风险的定义事项发生并给目标实现带来负面影响的可能性。

风险管理定义—>“…文化、能力和实践”✓将风险管理工作直接从“一个流程或程序”提升到“一种文化、能力和实践”，用以实现组织创造、保持和实现价值。

COSO新企业风险管理（ERM）框架（2017版）20原则Components and Principles：要素和原则:1.Exercises Board Risk Oversight—The board of directors provides oversight of the strategy and carries out governance responsibilities to support management in achieving strategy and business objectives.1.董事会执行风险监督- 董事会对战略进行监督，执行治理责任，支持管理实现战略和业务目标。

2.Establishes Operating Structures—The organization establishes operating structures in the pursuit of strategy and business objectives.2.建立运营机构- 组织在追求战略和业务目标方面建立运营机构。

3.Defines Desired Culture—The organization defines the desired behaviors that characterize the entity’s desired culture.3.定义崇尚的文化- 组织定义期望的行为来描述所崇尚的文化。

4.Demonstrates Commitment to Core Values—The organization demonstrates a commitment to the entity’s core values.4.展示对核心价值的承诺- 组织表现出对核心价值观的承诺。

5.Attracts, Develops, and Retains Capable Individuals—The organization is committed to building human capital in alignment with the strategy and business objectives.5.吸引，发展和保留有能力的个体- 组织致力于建立符合战略和业务目标的人力资本。