【特约】对话COSO委员会主席,从风险定义的变化看对风险态度的变化
在我的第一篇《风险到底如何定义?一场全球专家的认知混战》的文章发布以来,无意间引起了一场风险管理业界对于风险本质的大讨论,过去的几周,我们特约了几位国内的风险管理领域顶级专家,就他们对风险本质的理解进行了分享。本周开始,我们进入国际专家分享时间!
今天,我们首先给大家带来的是COSO主席罗伯特•赫斯先生对于如何认识风险内涵的观点,他是COSO新版风险管理框架工作的总负责人。熟悉我们风险管理世界公众号的朋友都知道,去年9月6号COSO发布新版企业风险管理框架以来,我们作为中国第一个引进并系统解读的平台,用了十几篇的文章为大家介绍了这个新版的框架,期间,我们也和COSO组织保持实时沟通和联系,尤其是赫斯先生在新框架征求意见期间和出台前后和我们分享的信息,让我们可以第一时间传递给国内的企业和风险管理界同仁,与国际保持同步,而我参与的中国一些企业对于COSO新版框架的实践工作,可能都是走在世界前列的。
在我启动了对于风险本质认知的讨论时,我向赫斯先生也表达了希望COSO可以对此给予支持并分享观点,他也欣然接受并就此与我进行了沟通,本周的分享就来自于与赫斯先生的对话总结。下面我就带着大家看看COSO对于风险定义的演进和对风险理解的变化。
一、COSO企业风险管理框架对于风险定义的变化
在2004年COSO发布第一版企业风险管理框架时,将风险的定义表述如下:
The possibility that an event will occur and adversely affect the achievement of objectives.
事项发生并给目标实现带来负面影响的可能性。
在2017年9月更新的企业风险管理框架中对风险的定义改为:
The possibility that events will occur and affect the achievement of strategy and business objectives.
事项发生并影响战略和商业目标实现的可能性。
两者最大的变化就是将风险的负面影响删除了,新版的风险定义变成了一个中性的表述。
二、关于风险的正面还是负面
值得一提的是,在2004年的第一版框架中,COSO不仅定义了什么是风险,还定义了什么是机会:
The possibility that an event will occur and positively affect the achievement of objectives.
事项发生并给目标实现带来正面影响的可能性。
所以在第一版框架中,COSO的态度比较明确,就是对目标产生负面影响的叫风险,产生正面影响的称作机会。
在新版框架中,虽然定义变为了一个中性的表述,但是,COSO还在定义下方描述的一段话:
Organizations commonly focus on those risks that may result in a negative outcome.
组织通常关注是带来负面结果的风险。
三、赫斯先生对于风险定义变化的解释
我和赫斯先生就COSO两次文件中对于风险定义的变化进行了沟通,我也对两版文件的变化表达了自己的看法,他的观点可以总结为如下两点:
COSO出台的框架是一个指引文件,更新版文件并不是要完全取代第一版,COSO也没有声明把2004年的文件作废,如果有的组织觉得第一版文件更好,可以选择使用第一版文件,包括其中的观点和定义。
在COSO新版框架的附录中表述了对于风险定义COSO的考虑,制定过程中风险定义参考了其他框架和主流的一些意见,并与COSO其他文件对风险的认识保持了一致。
对于第一个观点,我觉得这是与我沟通到最后的一种折中的表述,这种表述方式在COSO几个版本框架谈论到风险管理和内部控制的关系时也曾经出现过。我其实并不喜欢这种似是而非的表达,因为COSO提到了新框架中的观点,体现了COSO的最新认知,所以虽然2004年的框架没有失效,显然COSO认为更新版框架中的观点更具有代表性。
第二个观点,我看完后专门把附录中的内容仔细核对了一遍,关于其中提到的其他框架和主流意见,我首先想到了ISO31000的风险表述方式,我认为他提到的其他参考文件肯定包括ISO31000,我先将COSO的附录部分摘录到此,供大家参考:
“After careful review and analysis of definitions from other standards and frameworks, it was decided the exposure draft’s definitions would be kept. The COSO Board believes those definitions best reflect COSO’s present view of risk and enterprise risk management and align with other COSO frameworks and thought leadership.”
“经过对其他标准、框架的定义进行仔细审阅和分析,我们保留了征求意见稿中的定义。COSO董事会认为这些定义体现了COSO对于风险和企业风险管理的最新观点,并且与COSO的其他框架和主流意见保持了一致”
所以,我直接询问赫斯先生,COSO采取的风险定义是否参考了ISO31000对风险的中性定义?
他给出了非常明确的否定答复,称对风险的定义从没有任何倾向要与ISO保持一致的想法。意思大概是如有雷同,纯属巧合!对于汇集了美国专家的COSO委员会和澳大利亚专家主导的ISO31000,其实背后还有很多故事以后可以聊。
COSO和赫斯先生都提到,最新的风险定义考虑了和COSO其他框架保持一致的因素,于是我将所有的COSO这些年发布的文件又重新翻了一遍,没有找到中性定义的来源。遂又与赫斯先生沟通,请他明示关于与其他框架保持一致指的是COSO的哪个框架?
他也找了很久,然后告诉我说是COSO最著名的企业内部控制整合框架。然而,对于这个1992年首发和2013年更新的内控框架,其中1992年没有给出对于风险的定义,而2013年更新时,对于风险的定义在术语表中是这么表述的:
事项发生并给目标实现带来负面影响的可能性。
与2004年第一版文件一致。至此,我没有再追问下去,如果大家有看过我在今年年初写的一篇关于和国际专家对话的文章:《如何让国际专家尊重中国经验》,其中我在给赫斯先生的信中说过一句话:“COSO-2017版企业风险管理框架把ERM拉回了正轨,但是也很遗憾的看到有些本应该坚持的东西却丢掉了。” 我其实当时指的就是对于风险的基本认知方面,在没有完全理解清晰的前提下,COSO也采取了随波逐流的做法。
总体来讲,虽然对某些基本问题有待进一步讨论,我们不可否认COSO新版风险管理框架的进步性,和2004年第一版框架来比,是大刀阔斧、翻天覆地的变化。这就是我们这周分享的内容,不再做过多的点评,希望留给大家思考的空间,下周我们同样特约了权威国际专家带来对风险认知观点的分享!
意外收获!
相信看过COSO新版文件的同仁,对COSO新提出的5要素中的第3个“Performance”的真正含义可能会有疑问,我们前期都想当然的翻译为“绩效”,通过与COSO主席的交流,我终于理解了Performance的真正含义,下周六晚八点,准备给大家加餐一篇,详细解释下Performance的正确中文理解,敬请关注!
点击查看:
第四回合:对话COSO主席,从风险定义的变化看对风险态度的变化
第五回合:未完待续......
注:以上文章均为作者授权原创文章,如需转载或引用请联系作者本人或本公众号!
经典阅读:
ISO31000:2017《风险管理原则与指南》送审版先睹为快