内控实务讲解009：COSO ERM新框架如何重塑风险与价值的关系？

CICS内控学习 2026年02月28日 13:19 2297 admin

内控实务讲解009：COSO ERM新框架如何重塑风险与价值的关系？

在商业环境日趋复杂、不确定性显著增强的今天，企业风险管理早已超越防范损失的单一维度，转向创造价值的核心目标。COSO ERM 2017新框架从理念、结构到定位做出全面升级，不仅厘清了与旧框架、与内部控制的边界，更重塑了风险与价值的关联，将风险管理融入企业战略与运营全过程，成为现代企业管理的重要指引。

一、从旧到新：ERM框架发生了哪些关键升级？

新版企业风险管理框架最直观的变化，是采用了国际通行的要素原则结构，以五大要素、20项原则构建体系，与内控新框架保持一致，可读性与实用性大幅提升。更深层的变革在于风险定义的重塑：旧框架仅强调风险的“负面影响”，而新框架将风险定义为“影响战略和目标实现的可能性”，兼顾正面与负面效应，让风险管理从被动防控转向主动把握。

新框架还简化并升级了风险管理内涵，不再将其视为单纯流程，而是融合文化、能力与实践的价值管理过程，强调风险管理与价值创造深度绑定，彻底摆脱旧框架定义模糊、操作性不足的问题。同时，新框架紧跟全球化、数字化趋势，融入科技、数据分析与利益相关方透明度要求，更贴合现代企业治理需求。

二、战略协同：风险管理如何真正服务企业发展？

新版ERM框架的核心突破，是明确了风险管理与战略的协同关系。它不再将风险管理视为独立工作，而是嵌入战略制定与执行全过程，重点关注使命愿景与战略目标的匹配度、战略隐含风险及执行风险，从高度上重新定义风险管理定位。

与旧框架相比，新框架更强调风险管理的管理属性，而非控制属性。它鼓励企业在复杂环境中用系统化思维审视风险，将风险识别与机遇捕捉相结合，使风险管理成为支撑决策、推动运营、提升绩效的重要工具，真正实现风险与战略、绩效同向发力。

三、边界清晰：风险管理与内部控制如何互补？

长期以来，“内控即风险管理”“风险管理是大内控”等误区困扰企业。新框架从根源上厘清二者关系，结束概念纠葛。内部控制聚焦运营合规、财务报告、流程控制等具体环节，侧重执行层面的规范与约束；而企业风险管理立足治理与文化，支撑使命愿景实现，覆盖战略、决策、价值全链条。

COSO明确强调，二者不可替代、相互互补。良好内控是风险管理的基础保障，而风险管理为内控提供方向与高度。企业只有将风险管理融入决策全流程，将内控嵌入业务各环节，才能既守住合规底线，又把握发展机遇，实现稳健与发展的平衡。

COSO ERM新框架的革新，本质是风险管理从“防控工具”向“价值管理”的升级。它以更科学的结构、更精准的定义、更清晰的定位，帮助企业摆脱理念误区、理顺管理逻辑，真正重塑了风险与价值的关系。对企业而言，理解新旧框架差异、把握风险与战略、内控的关系，才能真正让风险管理成为创造价值、保障长期发展的核心能力。

来源：国际注册内部控制师CICS系列教材

009：COSO ERM新框架如何重塑风险与价值的关系？_02.png