COSO企業(yè)風(fēng)險管理框架（COSOERM框架）COSO（Treadway委員會發(fā)起委員會）于2004年發(fā)布了ERM框架，并于2017年進行了更新。COSOERM標(biāo)題是《企業(yè)風(fēng)險管理——整合戰(zhàn)略和績效》。該框架旨在幫助組織設(shè)計和實現(xiàn)企業(yè)范圍有效的風(fēng)險管理方法。它介紹了ERM的關(guān)鍵概念和一種通用的ERM語言，并提供了基于原則的指導(dǎo)。它在許多組織的風(fēng)險管理工作中得到了廣泛的認(rèn)可。2017年的更新將ERM的發(fā)展作為制定健全戰(zhàn)略和通過有效的組織績效和價值創(chuàng)造促進戰(zhàn)略實現(xiàn)的一個組成部分。它解決了組織改進其風(fēng)險管理方法以滿足業(yè)務(wù)中不斷增長的需要。根據(jù)COSO企業(yè)全面風(fēng)險管理框架定義：“企業(yè)全面風(fēng)險管理是一個過程，由公司董事會、管理層和員工實施，適用于策略制定和全公司范圍，可識別對公司有影響的潛在事件，在風(fēng)險承受能力之內(nèi)管理風(fēng)險，為實現(xiàn)公司目標(biāo)提供合理保證。”COSOERM框架適用于所有行業(yè)和所有類型的風(fēng)險。從頂層開始，支持組織的使命、愿景和核心價值觀是COSO與大多數(shù)其他風(fēng)險模型的區(qū)別所在。該模型描述了戰(zhàn)略、業(yè)務(wù)目標(biāo)和績效（組織努力實現(xiàn)的目標(biāo)）與ERM組成部分（實現(xiàn)目標(biāo)所需的事項）之間的聯(lián)系。一、COSOERM框架的要素COSOERM框架由五個相互關(guān)聯(lián)的組成部分組成。其中，戰(zhàn)略和目標(biāo)設(shè)定、績效以及審查和修訂這三個組成部分代表了在組織中使用的共同流程。另外兩個組成部分，即治理和文化以及信息、溝通和報告，代表了ERM的支持方面。治理和文化：治理設(shè)置了組織的基調(diào)，強調(diào)了企業(yè)風(fēng)險管理的重要性，并建立了對企業(yè)風(fēng)險管理的監(jiān)督責(zé)任。文化涉及道德價值、期望的行為和對公司層面風(fēng)險的理解。戰(zhàn)略和目標(biāo)設(shè)定：企業(yè)風(fēng)險管理、戰(zhàn)略和目標(biāo)設(shè)定在戰(zhàn)略制定過程中是相互作用的。建立風(fēng)險偏好并與戰(zhàn)略保持一致；業(yè)務(wù)目標(biāo)將戰(zhàn)略付諸實踐，同時作為識別、評估和應(yīng)對風(fēng)險的基礎(chǔ)?？冃В盒枰R別和評估可能會影響戰(zhàn)略和業(yè)務(wù)目標(biāo)實現(xiàn)的風(fēng)險。在既定風(fēng)險偏好的背景下，風(fēng)險按嚴(yán)重程度進行優(yōu)先排序。然后，組織選擇風(fēng)險應(yīng)對，并從投資組合的角度確定其承擔(dān)的風(fēng)險。該過程的結(jié)果應(yīng)向關(guān)鍵利益相關(guān)方報告。審查和修訂：通過審查組織層面的績效，組織可以考慮企業(yè)風(fēng)險管理要素如何隨著時間而變化，以及需要進行哪些修訂。信息、溝通和報告：企業(yè)風(fēng)險管理需要一個持續(xù)的過程，從內(nèi)部和外部來源獲取和共享必要的信息，這些信息在組織內(nèi)向上、向下和跨組織流動。二、COSOERM框架的原則COSOERM框架的五個要素由20條原則支持，組織將這些原則作為企業(yè)風(fēng)險管理過程的一部分。這些原則為高級管理層和董事會提供了合理的期望，即組織理解并努力管理與其戰(zhàn)略和業(yè)務(wù)目標(biāo)相關(guān)的風(fēng)險。要素原則內(nèi)容治理和文化董事會對風(fēng)險監(jiān)督董事會對戰(zhàn)略進行監(jiān)督，并履行治理職責(zé)，以支持管理層實現(xiàn)戰(zhàn)略和業(yè)務(wù)目標(biāo)。建立運營結(jié)構(gòu)應(yīng)建立運營結(jié)構(gòu)以滿足戰(zhàn)略和業(yè)務(wù)目標(biāo)的需要。定義期望的文化定義了所期望的行為，這些行為描述了組織層面所期望的文化。展示對核心價值觀的承諾展示對組織層面核心價值觀的承諾。吸引、發(fā)展和留住有能力的人才致力于構(gòu)建符合戰(zhàn)略和業(yè)務(wù)目標(biāo)的人力資源體系。戰(zhàn)略和目標(biāo)設(shè)定分析業(yè)務(wù)環(huán)境考慮業(yè)務(wù)環(huán)境對風(fēng)險狀況的潛在影響。定義風(fēng)險偏好在創(chuàng)建、維護和實現(xiàn)價值的背景下定義風(fēng)險偏好。評估備選戰(zhàn)略評估備選戰(zhàn)略和對風(fēng)險狀況的潛在影響。制定業(yè)務(wù)目標(biāo)在確定不同層面的業(yè)務(wù)目標(biāo)時考慮風(fēng)險，以協(xié)調(diào)和支持戰(zhàn)略?？冃ёR別風(fēng)險識別對戰(zhàn)略和績效目標(biāo)產(chǎn)生影響的風(fēng)險。評估風(fēng)險的嚴(yán)重性評估風(fēng)險的嚴(yán)重程度。確定風(fēng)險的優(yōu)先級別對風(fēng)險進行優(yōu)先排序，并作為選擇風(fēng)險應(yīng)對措施的基礎(chǔ)。風(fēng)險應(yīng)對識別并選擇風(fēng)險應(yīng)對措施。開發(fā)投資組合視圖開發(fā)和評估風(fēng)險的投資組合視圖。審查和修訂評估實質(zhì)性變更識別和評估可能會對戰(zhàn)略和業(yè)務(wù)目標(biāo)產(chǎn)生重大影響的變化。評估風(fēng)險和績效檢查總體績效并考慮風(fēng)險。追求企業(yè)風(fēng)險管理系統(tǒng)的改進對企業(yè)風(fēng)險管理系統(tǒng)進行持續(xù)改進。信息、溝通和報告利用信息系統(tǒng)利用信息和技術(shù)系統(tǒng)來支持企業(yè)風(fēng)險管理。溝通風(fēng)險信息使用信息溝通渠道來支持企業(yè)風(fēng)險管理。對風(fēng)險、文化和績效進行報告在多個層級和整個組織層面上報告風(fēng)險、文化和績效。COSOERM框架的要素和原則并不代表孤立的、獨立的概念。企業(yè)風(fēng)險管理不是一成不變的，它通過日常決策被納入戰(zhàn)略規(guī)劃、業(yè)務(wù)目標(biāo)制定以及這些目標(biāo)的實施。三、COSO框架的角色和責(zé)任傳統(tǒng)上，風(fēng)險管理職責(zé)歸屬于各個業(yè)務(wù)單位；理論上，風(fēng)險管理被視為一項組織層面的措施。在實踐中，有效的風(fēng)險管理要求組織中的每個人（所有層級）的參與，生成用于識別風(fēng)險的信息，采取必要的行動來支持風(fēng)險管理，以及促進信息與溝通流程。COSO指出，董事會、管理層、首席風(fēng)險官、首席財務(wù)官、內(nèi)部審計師和某些外部各方都有其特殊的角色和責(zé)任。董事會：董事會是COSO模型中“治理和文化”要素的一部分。董事會或其同等機構(gòu)負(fù)責(zé)對ERM的文化、績效和實踐進行風(fēng)險監(jiān)督。董事會通常會將具體責(zé)任委托給管理層，同時保留對關(guān)鍵決策的權(quán)力。COSO將董事會對ERM的監(jiān)督描述為：了解管理層在組織中建立有效ERM的程度。了解并同意組織的風(fēng)險偏好。審查組織的風(fēng)險投資組合視圖，并根據(jù)組織的風(fēng)險偏好對其進行考慮。評估最重要的風(fēng)險以及管理層是否做出適當(dāng)?shù)膽?yīng)對。管理層：管理層在識別、評估和管理風(fēng)險以及使用結(jié)構(gòu)化、一致和協(xié)調(diào)的方法實施ERM方面承擔(dān)主要責(zé)任。不同級別管理者的具體責(zé)任因組織而異，通常高級管理層將風(fēng)險管理戰(zhàn)略轉(zhuǎn)化為運營，而特定流程、職能或部門的管理層在設(shè)計和執(zhí)行具體風(fēng)險管理程序時提供戰(zhàn)術(shù)性的實際作用，并且向上級管理層報告狀態(tài)和建議改進。首席執(zhí)行官（CEO）擁有企業(yè)風(fēng)險管理過程的最終所有權(quán)，同時設(shè)定“高層基調(diào)”并確保積極的內(nèi)部環(huán)境。COSO概述了首席執(zhí)行官的職責(zé)：為高級管理層提供領(lǐng)導(dǎo)力和指導(dǎo)。考慮組織的風(fēng)險偏好，評估和選擇戰(zhàn)略并設(shè)定業(yè)務(wù)目標(biāo)。保持對組織面臨的風(fēng)險進行監(jiān)督。指導(dǎo)整個組織的ERM過程的制定和開展，并委派給管理層。傳達期望和信息要求。首席風(fēng)險官：隨著風(fēng)險管理概念，特別是企業(yè)風(fēng)險管理概念的建立，曾經(jīng)在金融機構(gòu)中較為普遍的首席風(fēng)險官（CRO）職位已經(jīng)變得越來越盛行。在一些組織中，首席風(fēng)險官為整個組織的ERM提供中央?yún)f(xié)調(diào)。在首席執(zhí)行官的授權(quán)下，首席風(fēng)險官有資源與其他管理者合作，建立有效的風(fēng)險管理實務(wù)，監(jiān)控進度并協(xié)助這些管理者進行報告。COSO將首席風(fēng)險官的具體ERM職責(zé)列為：協(xié)助董事會和管理層履行風(fēng)險監(jiān)督職責(zé)。制定相關(guān)政策和持續(xù)實踐。建立和維護與管理組織風(fēng)險人員的關(guān)系。在業(yè)務(wù)單元中建立相關(guān)的權(quán)力和問責(zé)制。審查每個業(yè)務(wù)單元的ERM運作情況。與管理層溝通ERM的情況，包括嚴(yán)重風(fēng)險和新興風(fēng)險。促進將ERM實踐整合到業(yè)務(wù)規(guī)劃中并向業(yè)務(wù)單元領(lǐng)導(dǎo)者報告。根據(jù)ERM的適合性和成熟度發(fā)展組織績效。向執(zhí)行管理層報告狀態(tài)，包括建議行動。首席財務(wù)官：財務(wù)相關(guān)活動涉及所有的運營和業(yè)務(wù)單位。預(yù)算和財務(wù)計劃以及跟蹤和分析績效和報告都屬于首席財務(wù)官（CFO）或財務(wù)職能人員的工作范疇。這些人員及其各自的活動是管理層執(zhí)行風(fēng)險管理的核心。外部審計師：外部審計師提供獨立客觀的觀點，有助于組織實現(xiàn)外部財務(wù)報告目標(biāo)以及其他組織目標(biāo)。雖然大多數(shù)財務(wù)報告審計并未將重點放在ERM上，但COSO指出，所提供的信息有助于管理層履行其風(fēng)險管理職責(zé)。審計結(jié)果、分析信息和行動建議與實現(xiàn)既定目標(biāo)相關(guān)。如果外部審計發(fā)現(xiàn)風(fēng)險管理和控制方面的任何缺陷，審計師可以報告這些調(diào)查結(jié)果以及改進建議。如果法律或法規(guī)要求外部審計評估組織對財務(wù)報告的內(nèi)部控制（例如，薩班斯-奧克斯利法案），該領(lǐng)域的審計范圍將更加嚴(yán)格。立法機構(gòu)和監(jiān)管機構(gòu)：許多法律法規(guī)影響特定組織的ERM。立法機構(gòu)和監(jiān)管機構(gòu)制定規(guī)則，要求組織的風(fēng)險管理和控制系統(tǒng)滿足最低法定和監(jiān)管要求。當(dāng)監(jiān)管機構(gòu)審查組織時，組織通常會收到有用的信息，即和ERM有關(guān)所需改進的建議和指令。商業(yè)伙伴：與組織開展業(yè)務(wù)的各方（客戶、供應(yīng)商、債權(quán)人等）可以為風(fēng)險管理活動提供有用的信息渠道。例如對新產(chǎn)品和服務(wù)的需求、質(zhì)量控制問題、道德問題以及運輸或計費差異等。外包提供商：許多組織選擇將日常活動（如工資單、財務(wù)或信息技術(shù)）外包，以便將各種重要資源集中在核心業(yè)務(wù)上。外包允許組織利用提供商的專業(yè)知識，這些外包提供商可能在這些核心業(yè)務(wù)外圍的專