战略和组织绩效是更新框架的核心

在过去的二十年中，随着企业风险管理（ERM）越来越受欢迎，企业一直在努力实施一个使所有利益相关方都认为企业正在“运用风险管理权”的程序。问题是企业风险管理不是一个程序。 事实上，它既不是一个部门，也不是一个过程。 企业风险管理或者更普遍的风险管理，是决策的一个组成部分。 这是一套与企业息息相关的技能、方法、能力、工具、文化等，是企业所拥有的一部分。 不幸的是，许多企业不会很好地执行风险管理并遭受了因此所带来的后果。

COSO最近更新了其2004年发布的COSO企业风险管理框架。 2017年的版本表明：企业风险管理与战略和绩效相结合。风险管理都是关于这两者的。

风险管理是决策的组成部分。

每个企业的每个决策所需要的风险管理都不尽相同。它应该与企业目标相协调，具有目标和风险重要性所必要的复杂程度，形式性和透明度。程序的具体活动及其形式不是重要的，重要的是管理层是否能够在这种情况下恰当应对风险。

新的COSO企业风险管理规定了改进风险管理的框架，这个框架能帮助企业做出更好的决策，并实现其目标。该框架并不是另一个企业风险管理团队或者董事会的委员会需要了解的程序。无论企业做出何种决策，它都需要纳入组织结构，提供指导，工具，流程和许多其他要素来改进风险管理。更新框架的摘要讨论了五个相互关联的组成部分：

• 治理与文化。治理确定企业的导向，加强企业风险管理的重要性并建立监督责任。文化属于道德价值观，理想行为以及实体对风险的理解。

• 战略与目标设定。企业风险管理，战略和客观环境共同作用于战略规划过程。风险偏好的确立应与战略保持一致。企业的目标将战略付诸实践，并同时作为识别、评估和应对风险的基础。

• 绩效。企业需要确定和评估可能影响战略和目标实现的风险。在风险偏好的背景下，风险的严重性应放在首要位置。然后，组织选择风险回应，并对其所承担的风险量进行投资组合模拟。这一过程的结果应向主要风险利益相关者报告。

• 审查和修订。通过审查实体绩效，组织应当考虑企业风险管理组件在一段时间内如何发挥作用，实质性变化以及需要进行哪些修订。

• 信息，沟通和报告。企业风险管理需要一个持续的过程从内部以及外部来源获取和分享必要的信息，这一过程可以在企业内上下流动。

虽然新的COSO企业风险管理框架相当简单，但在企业风险管理当中往往缺少几个关键点。

风险不是焦点。风险管理的方法不应该只单单把关注点放在风险上，而应放在可能影响战略和企业目标实现的事件上。当焦点放在风险上，而不是战略和目标时，企业风险管理就成为一个计划。 为了增加价值，企业风险管理往往必须关注于实现战略和目标。 管理层不会首先考虑风险，而是考虑提供绩效以及影响绩效的因素。

风险不是要消除的威胁。每个组织都面临风险，因为世界不是完全可预测的。 每次组织采取行动时，都会承担行动失误所带来的风险。 有时发生的事件会产生积极的影响，有时则是消极的。 风险是每个组织的基本组成部分，但它也需要进行管理。

有很多方法来应对风险。框架概述了五个基本的风险应对策略：风险承担，风险规避，风险接受，风险减轻和风险转移。 内部审计师经常认为对风险的正确反应是减轻风险。 这种减少的形式通常是实施内部控制以减少风险事件的可能性或影响。 但是，这不是唯一的选择，而其他选择可能会更好。

风险管理比流程更有技巧性。当风险管理变成一个部门，团队或流程时，它可以很容易地与管理决策区别开来。 运用风险管理权能够很好地改进决策。 虽然许多经验丰富的经理可以直观地将成功的风险管理的方面纳入其正常思维中，但几乎任何人都可以从框架提供的指导中受益。 新框架中包含明确的技能、工具和思维方式，而这些都是管理者需要学习的。

所有框架都非常重要。大多数内部审计师和风险管理人员认为风险管理在框架的“绩效”部分中，但是这并不意味着风险管理的五个组成部分都是独立存在的。 所有五个部分都是相互关联的。 没有了解企业文化，就不能设定风险偏好; 没有在组织内部沟通风险的情况下，就不能选择适当的风险策略; 没有反馈环路就不能有一个很好的风险评估方法来审查和改进基于学习的过程

企业风险管理不符合内部控制。框架消除了企业风险管理如何与内部控制相互作用的乱象。 企业风险管理将风险作为决策的一部分。 在管理风险时，可以通过内部控制来实现降低风险的愿景。 如果这是企业的目标，那么企业应该关注COSO内部控制——内部控制框架，来指导企业有效实施内部控制。

本文源于IIA