请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

CCOSE论坛

 找回密码
 立即注册
查看: 78|回复: 1

转载|COSO-ERM(2017)解读新版ERM的变化

[复制链接]

333

主题

460

帖子

1708

积分

论坛元老

Rank: 7Rank: 7Rank: 7

积分
1708
发表于 2018-5-6 08:30:53 | 显示全部楼层 |阅读模式

2017年COSO经过多年的酝酿,终于发布了新版的ERM。新版ERM到底有哪些变化?是否真的是颠覆性变革?本文为系列文章之首篇,后续针对每个要素各有一篇,为个人对新框架的解读。


一、名称的变化


老版:ERM - Integrated Framework

新版:ERM - Integrating with Strategy and Performance


老版是“整合框架”,个人理解,这里的整合更强调的是ERM本身五要素的整合。新版则强调了ERM与战略和绩效的整合。需要特殊说明的是,在征求意见稿中,用的是“Aligning”,而不是最终稿中的“Integrating”。Aligning是对准和对齐的意思;而Integrating则有整合和融为一体的意思。


《原创|内控百问百答(9):管理的本质是什么?》原创|内控百问百答(10):管理本质对内控意味着什么?原创|管理会计随笔(三):融合、坚守与意识等文章中,我一直在反复强调一个观点“融合”。管理的本质就是要取得绩效,任何管理工具都是一种手段而已。过于强调其中一种手段,就会陷入“盲人摸象”的困境。因此,在学习和使用任何管理理论时,都需要有融合的意识和实践。


新版ERM更加强调(注意:不是新的理念,而是深化和突现)与战略和绩效的融合,是回归了管理的本质;同时,也对使用者提出了更高的要求:要从绩效结果(或管理目标)去理解风险管理(与《高效能人士的七个习惯》中的“以终为始”是异曲同工之妙),而不是就风险管理谈风险管理。


二、定义的变化


1、风险定义的变化


老版:风险是一个事项将会发生并给目标实现带来负面影响的可能性。机会是一个事项将会发生并给目标实现带来正面影响的可能性。

新版:事项发生并影响战略和业务目标之实现的可能性。


老版ERM将事项区分为风险和机会。从“企业风险管理处理风险和机会,以便创造或保持价值。它的定义如下:……”的表述看,老版ERM虽然也提到了对机会的把握,但总体上还是偏向对负面影响的控制。


新的风险定义将风险和机会等而是之,试图让风险管理者从被动防御(控制)的心态转变为主动出击(管理)的心态,让风险管理与价值创造的过程融为一体。


2、企业风险管理定义的变化


老版:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。

新版:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制定和实施相结合的文化、能力和实践。


定义趋于简化,同时,更加强调风险管理与价值创造及战略的关系。老版ERM定义ERM是一个过程(过程即政策、流程、表单和系统)。新版则定义ERM是文化、能力和实践。个人看来,这种变化更多是一种文字游戏,不是实质性变化。


三、展现形式的变化


1、“立方体”改“DNA螺旋体”

ERM.jpg



这是视觉上最大的变化,也是ERM急于想摆脱IC框架影响的重要举措。老版ERM由于采用与IC类似的立方体模型,让很多人误解ERM只是IC的扩展和细化,始终不能摆脱IC的“阴影”。这次COSO是痛定思痛,希望借着换模型,能让ERM像IC一样被广泛认可和使用。


个人觉得,新的DNA螺旋体与“整合”的意境更贴切。表现了风险管理与使命愿景价值观、战略、运营和绩效等管理要素的关系。


2、要素-原则-属性(Components - Principals -Attributes)的结构


COSO早先在《财务报告内部控制——较小型公众公司指南(2006)》和《内部控制——整合框架(2013)》就采用了这种架构。这种架构我个人认为可能是从面向对象编程软件中借鉴来的,这让整个框架更层次化和系统化。


新版ERM的核心内容为5要素,20项原则。


仔细比对新版5要素(治理和文化;战略和目标设定;执行风险管理;评估和修正;信息、沟通和报告)与原8要素(内部环境;目标设定;事件识别;风险评估;风险对策;控制活动;信息和交流;监控)就会发现:没有实质变化,仅仅是重新分类合并和文字表述差异;而且结合20项原则看与IC的五要素更神似。


与征求意见稿比对后发现,最终稿的五要素中淡化了“风险”一词。如“治理和文化”要素在征求意见稿中为“风险治理和文化”。这种细微变化还是体现了“融合”(从align到integrate的转变)的理念:风险管理应融合于管理之中,而不是自成一派。


四、与ISO31000/31010的比较


风险管理领域有一个ISO标准,即ISO31000/31010(国内为GBT 24353-2009)。为了比较两者的差异,我梳理了下表,并对其中对应的部分作了标识。


Table1.jpg

从上表中我们可以大致看到,这两大风险管理模型在实质上并无本质差异,更多只是表述的逻辑和文字上的差异。


原帖地址:http://bbs.esnai.com/thread-5320157-1-1.html


回复

使用道具 举报

333

主题

460

帖子

1708

积分

论坛元老

Rank: 7Rank: 7Rank: 7

积分
1708
 楼主| 发表于 2018-5-6 08:38:22 | 显示全部楼层
屏幕快照 2018-05-06 08.37.14.png

在与时俱进。

屏幕快照 2018-05-06 08.37.42.png
最新版的风险管理涵盖了22项具体活动。


屏幕快照 2018-05-06 08.38.07.png

作为一个企业,要努力防止内部欺诈引发的风险。
作为一个组织,也是如此,这也是当前“全面从严治党”的出发点。
作为一个国家,要努力构建信用社会。



回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

 

QQ|京ICP备17005959号|IAC-16|Archiver|手机版|小黑屋|CCOSE论坛    

GMT+8, 2018-5-28 07:01 , Processed in 0.079895 second(s), 44 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表