【收藏】COSO新版企业风险管理框架全文解读（五）：5要素与20原则 / 开普饭

本文介绍COSO新版企业风险管理框架的第一册第一部分的第五章节：要素和原则。

自从2013年COSO更新了1992年的企业内部控制框架（Internal Control-Integrated Framwork）以来，COSO就采用了这一国际文件惯用的书写结构，要素加原则（Componets and Principals）。本次新版企业风险管理框架也告别了2004年版的立方体8要素框架，而改为今天大家看到的5要素20项原则的框架。

5大要素的变化最明显的标志就是“去风险化”和“去控制化”，五大要素中均不包含“风险”一词，而且原来框架中“控制活动”的内容都被删去。新框架不再一味的强调风险内容，而是直接从企业管理的角度将风险管理内容融入。因为ERM是一个风险“管理”框架，而不仅仅是风险“控制”框架，所以和“控制”相关的内容都留给了内部控制（Internal Control）框架。

20项原则中包含风险管理常规内容最多的是在绩效的要素内容下。整体比2016年的征求意见稿数量更少（23项删除了3项），每个原则的描述更为精炼。

一、治理与文化

治理确定了企业的基调，强调了企业风险管理的重要性和监督责任。文化则包含了道德价值观、理想行为、以及对主体风险的理解。

1、执行董事会风险监督 - 董事会对战略进行监督，肩负治理责任，支持管理层实现战略和业务目标。

2、建立运营架构– 组织建立运营架构用以实现战略和商业目标。

3、定义期望的文化– 组织对于期望行为的定义彰显了主体所追求的文化理念。

4、展现对核心价值的承诺– 组织对主体核心价值观的承诺。

5、吸引、培养并留住人才- 组织致力于培育与战略和业务目标相适应的人力资本。

二、战略与目标设定

战略规划过程中风险管理、战略和目标设定是密集联系的。风险偏好的设定以战略为基础，并与其保持一致；商业目标将战略付诸实践，并为识别、评估和应对风险的提供基础。

6、分析商业环境 – 组织应重视不同商业环境对风险状况的潜在影响。

7、定义风险偏好– 组织在创造、保持和实现价值时应定义风险偏好。

8、评估替代战略– 组织评估替代战略和对风险的潜在影响。

9、建立商业目标– 组织在建立支持战略实现的不同层次的商业目标时应对风险进行考量。

三、绩效（运行或执行）

对影响战略和商业目标实现的风险进行识别与评估。在符合风险偏好的情况下，风险按照严重程度进行排序。组织将采取一种组合的视角对风险进行评估和应对。这一过程的结果将反馈给主要风险利益相关方。

10、识别风险– 组织对影响战略和商业目标绩效的风险进行识别。

11、评估风险的严重程度– 组织对风险的严重程度进行评估。

12、风险排序– 组织对风险进行排序作为制定风险应对措施的基础。

13、实施风险应对 - 组织识别和选择风险应对措施。

14、建立风险组合观- 组织建立一种组合的视角来评估风险。

四、审查和修订

通过审视主体的绩效情况，组织可以考虑如何利用企业风险管理的要素，根据重大的变化发挥更为长期的作用，以及需要进行哪些修订。

15、评估重大变化 - 组织识别和评估可能对战略和商业目标产生重大影响的变化。

16、审阅风险和绩效 - 组织审视主体绩效的同时考虑风险。

17、企业风险管理改进 - 组织需要不断改进企业风险管理。

五、信息、沟通和报告

企业风险管理需要一个持续的过程，获取和分享内部和外部的必要信息，这些信息可以自上而下或自下而上在整个组织里流转。

18、利用信息系统 - 组织利用主体的信息和技术系统来支持企业风险管理。

19、沟通风险信息 - 组织运用沟通渠道支持企业风险管理。

20、对风险，文化和绩效进行报告 - 组织对主体各层次的风险、文化和绩效提供报告。

精华汇总