2017年COSO经过多年的酝酿，终于发布了新版的ERM。新版ERM到底有哪些变化？是否真的是颠覆性变革？本文为系列文章之首篇，后续针对每个要素各有一篇，为个人对新框架的解读。

一、名称的变化

老版：ERM - Integrated Framework

新版：ERM - Integrating with Strategy and Performance

老版是“整合框架”，个人理解，这里的整合更强调的是ERM本身五要素的整合。新版则强调了ERM与战略和绩效的整合。需要特殊说明的是，在征求意见稿中，用的是“Aligning”，而不是最终稿中的“Integrating”。Aligning是对准和对齐的意思；而Integrating则有整合和融为一体的意思。

在《原创｜内控百问百答（9）：管理的本质是什么？》、《原创｜内控百问百答（10）：管理本质对内控意味着什么？》和《原创｜管理会计随笔（三）：融合、坚守与意识》等文章中，我一直在反复强调一个观点“融合”。管理的本质就是要取得绩效，任何管理工具都是一种手段而已。过于强调其中一种手段，就会陷入“盲人摸象”的困境。因此，在学习和使用任何管理理论时，都需要有融合的意识和实践。

新版ERM更加强调（注意：不是新的理念，而是深化和突现）与战略和绩效的融合，是回归了管理的本质；同时，也对使用者提出了更高的要求：要从绩效结果（或管理目标）去理解风险管理（与《高效能人士的七个习惯》中的“以终为始”是异曲同工之妙），而不是就风险管理谈风险管理。

二、定义的变化

1、风险定义的变化

老版：风险是一个事项将会发生并给目标实现带来负面影响的可能性。机会是一个事项将会发生并给目标实现带来正面影响的可能性。

新版：事项发生并影响战略和业务目标之实现的可能性。

老版ERM将事项区分为风险和机会。从“企业风险管理处理风险和机会，以便创造或保持价值。它的定义如下：……”的表述看，老版ERM虽然也提到了对机会的把握，但总体上还是偏向对负面影响的控制。

新的风险定义将风险和机会等而是之，试图让风险管理者从被动防御（控制）的心态转变为主动出击（管理）的心态，让风险管理与价值创造的过程融为一体。

2、企业风险管理定义的变化

老版：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

新版：组织在创造、保存、实现价值的过程中赖以进行风险管理的，与战略制定和实施相结合的文化、能力和实践。

定义趋于简化，同时，更加强调风险管理与价值创造及战略的关系。老版ERM定义ERM是一个过程（过程即政策、流程、表单和系统）。新版则定义ERM是文化、能力和实践。个人看来，这种变化更多是一种文字游戏，不是实质性变化。

三、展现形式的变化

1、“立方体”改“DNA螺旋体”

这是视觉上最大的变化，也是ERM急于想摆脱IC框架影响的重要举措。老版ERM由于采用与IC类似的立方体模型，让很多人误解ERM只是IC的扩展和细化，始终不能摆脱IC的“阴影”。这次COSO是痛定思痛，希望借着换模型，能让ERM像IC一样被广泛认可和使用。

个人觉得，新的DNA螺旋体与“整合”的意境更贴切。表现了风险管理与使命愿景价值观、战略、运营和绩效等管理要素的关系。

2、要素-原则-属性（Components - Principals -Attributes）的结构

COSO早先在《财务报告内部控制——较小型公众公司指南（2006）》和《内部控制——整合框架（2013）》就采用了这种架构。这种架构我个人认为可能是从面向对象编程软件中借鉴来的，这让整个框架更层次化和系统化。

新版ERM的核心内容为5要素，20项原则。

仔细比对新版5要素（治理和文化；战略和目标设定；执行风险管理；评估和修正；信息、沟通和报告）与原8要素（内部环境；目标设定；事件识别；风险评估；风险对策；控制活动；信息和交流；监控）就会发现：没有实质变化，仅仅是重新分类合并和文字表述差异；而且结合20项原则看与IC的五要素更神似。

与征求意见稿比对后发现，最终稿的五要素中淡化了“风险”一词。如“治理和文化”要素在征求意见稿中为“风险治理和文化”。这种细微变化还是体现了“融合”（从align到integrate的转变）的理念：风险管理应融合于管理之中，而不是自成一派。

四、与ISO31000/31010的比较

风险管理领域有一个ISO标准，即ISO31000/31010（国内为GBT 24353-2009）。为了比较两者的差异，我梳理了下表，并对其中对应的部分作了标识。

从上表中我们可以大致看到，这两大风险管理模型在实质上并无本质差异，更多只是表述的逻辑和文字上的差异。