ISO和COSO风险管理框架哪个适用范围更广？

一
内容概要

各种类型和规模的组织都面临着外部和内部因素及影响，这些因素和影响使得组织实现其目标面临一定的不确定性。

管理风险是治理和领导力的一部分，对于组织在各个层面的管理至关重要。它有助于改进管理体系。

管理风险是组织所有活动的一部分，包括与利益相关方的交流和沟通。

01
适用范围

本文件提供了管理任何类型风险的通用方法，并非行业或行业特定的。

该文件可用于组织的整个生命周期，可应用于任何活动，包括各层级的决策。
02
规范性引用文件

本文档中没有规范性引用文件。
03
术语和定义

3.1 风险

不确定性对目标的影响

注1：影响是与预期的偏差。它可以是积极的、消极的或两者兼而有之，并且可以锁定、创造或导致机遇和威胁。

3.2 风险管理

指导和控制组织风险（3.1）的协调活动

3.3 利益相关方

对一个决策或活动可以产生影响或受其影响、或将会受影响的个人或组织

注1：“利害关系方”一词可以用作代替“利益相关方”。

3.4 风险源

单独或组合在一起可能会导致风险（3.1）的要素

3.5 事件

一种特定状况的发生或变化

注1：事件可能是一次或多次事件，并可能有多个原因和多个后果（3.6）。

3.6 后果

事件（3.5）影响目标的结果

注1：后果可能是确定的或不确定的，可能对目标产生正面或负面、直接或间接的影响。

3.7 可能性

事情发生的几率

注1：在风险管理（3.2）术语中，“可能性”一词用于指发生事件的几率，无论是客观地还是主观地、定性地还是定量地进行定义、测

度或确定，并且使用一般术语或数学描述（例如给定时间段内的概率或频率）。

注2：.....在风险管理术语中，“可能性”应该与“概率”一词在除英语以外的语言中，具有相同的广义解释。

3.8 控制

保持和/或调整风险（3.1）的措施

注1：控制包括但不限于保持和/或调整风险的任何流程、政策、设备、实践或其它条件和/或行动。

二
重点拾遗

01
ISO31000和COSO:ERM哪个适用范围更广？

去年，在解读COSO:ERM新版企业风险管理框架时，我曾提到过，为什么COSO推迟了将近一年才公布正式版文件。按照COSO的主席Hirth先

生向我透露的信息，其中一个重要原因是想让新版企业风险管理框架可以适用于更广的组织类型，而不仅仅是企业的层面，所以后来调

整了很多和商业（business）相关的词汇，可以使框架向其宣称的那样也适用于政府、企业、非盈利机构以及其他任何类型和规模的组

织。的确，在美国，美国国防部（DOD）、NASA、审计署（GAO）等都发布了其相应的ERM政策，而这些政策并不是针对企业的，也不一定

是基于COSO内核的。可见，ERM这个词在美国已经不仅仅是代表企业风险管理，而成为了一个整合风险管理方式的代名词。从这个角度而

言，从趋势上来看，我们目前中国在行政部门和单位推行的内部控制只是一个阶段性的建设任务，除此之外，也需要对其风险管理能力

提出政策和要求。

ISO本次更新标准的适用范围，一以贯之的将其定位“任何组织、任何类型、全寿命周期、任何活动”，强调本标准在风险管理领域的普

遍适用性。的确，ISO31000风险管理指南虽然只有短短十几页的内容，但提供的都是定位、原则、方向、方针等大是大非的问题，这些

问题对任何情况下开展风险管理工作均适用。

描述宏观规律，篇幅必不能太长，篇幅越长越会落入微观，一落入微观领域就会产生局限性。就像老子用了一句“一生二、二生三、三

生万物”就描述了整个宇宙一样。

按照我们的理解，ISO确实为风险管理提供了一个纲领性的文件，也是任何类型组织、任何时候、任何活动都应该遵循的风险管理工作指

南。如果要谈缺点，那肯定是由于宏观原因，没有给出任何实施细则和操作步骤，导致有些人看完之后也不知道怎么下手开展工作，这

和文件的定位有关。而这一版比上一版更加的简化，ISO试图解决的是思想意识和顶层设计问题。

而COSO发布的是几百页的框架文件，从内容的丰富程度上肯定更好一些，但尽管COSO如此宣称不限制任何组织，但其在企业（盈利性商

业主体）风险管理领域的影响力还是要高于其他任何领域。所以COSO再怎么修改，里面所有的内容还是从原来商业（business）的原型

上修改而来的，这也在一定程度上限制了其普遍适用性。在对风险管理工作定位上，前些年COSO是走偏了，但最新发布的COSO和ISO文件

，在精神内核上已经趋同。
02
风险管理应该是自上而下的进行

根据ISO表述，风险管理是企业治理和领导力的一部分，表明了风险管理工作应该从企业的最高层从最高点，从上往下贯彻，而不是自下

而上的形成。自下而上传递的是反馈，而不是工作开展的依据。

COSO在解释风险管理的定义是一种文化、能力和实践的具体内容时，也同样提供了这样的观点。

所以我们前些年谈，这项工作是一个一把手工程，要想有效果，必须一把手推动，其实反过来也是为一把手服务。有些领导领悟了之后

，会发现它的极大价值，执风险管理之剑，一把手可以贯彻管理理念、推动管理变革、行诸多不易行之事。希望我们的从业人员，能将

这样的特殊价值定位尽快传递给一把手，也希望一把手能够尽早明白此中奥秘。

03
风险等重点定义

本次标准发布的定义和术语部分，和上一版相比，内容被大幅的缩减，只留了几个重点定义，其余的更多词语解释都留在了ISO GUIDE

73 《风险管理术语》中。

关于风险的定义沿用了第一版的定义方式：“不确定性对目标的影响”，沿用了使用不确定性（uncertainty）定义风险的方式，这个定

义也是2009年以来广泛被各方参考和采用的一个定义方式，COSO和这个定义不太一致，COSO一直沿用的是用可能性（possibility）来定

义风险。

对于风险的定义一直在演变，从全球的视角看，到现在为止，还没有一个定义可以形成最广泛的共识。从最开始人们对于风险的认识，

到后来大数法则、保险业的出现，风险一直都是被人们以概率的形式来描述。后来芝加哥大学著名经济学家弗兰克·奈特在其代表作中

，将能够通过计算发生概率的那些不确定性称之为风险，之后的几十年人们一直用发生概率来定义风险。

再到后来人们认识到除了发生概率，影响程度也是一个非常重要的衡量条件，所以后来有一些定义采用一个发生概率和影响程度联合体

（combination）的方式来定义风险。ISO的定义将其推回到了弗兰克·奈特的不确定性，但是扩充了不能计算概率的风险内容。

从文件中几个重点定义来看，我们可以提炼出许多关键词：如定性、定量；正面、负面；主观、客观；直接、间接；几率、概率、可能

性；真是“乱花渐入迷人眼”。可想而知，在这些前提条件下，把一个风险搞明白有多难。我十几年前研究风险、驱动因素、分类框架

时就感受到了，复杂的交错关系真的如同一个风险管理宇宙，又像人类大脑的神经网络，也许今天具备AI自我进化的智能工具才能分析

出个一二。
在一线实践的各位同仁可能会问，定义重要吗？我天天干活并没有感觉和定义有什么关系。当然重要！如果你觉得不重要，只能说明你

的思考和接触的工作还没到那个高度。思想决定行动，认知决定结果，现在很多人在工作中有迷惑，都是不了解根在哪里的问题，根不

正则干必歪！

以上这些，从另外一个角度说明，风险管理绝不能仅仅停留来“术”的层面，这也是为什么COSO将风险管理定义为一个“文化、能力和实践”。