论的总结、风险管理工作的角色和责任、风险状况图示等。四、主要观点1、重新定义了风险及风险管理风险被重新定义为：事项发生并影响战略和商业目标实现的可能性。对于风险的定义，非常高兴得看到，由第一版只强调风险的“负面性”，第二版已经将风险的范畴扩大到了对风险的“正面”和“负面”影响兼顾。从个人角度而言，也有感到遗憾的地方，自从2009年国际标准化组织发布ISO31000系列标准，国际上对风险的定义就逐步趋同，风险不确定性对目标的影响，况且这一标准是国际标准组织首次采纳中国提出的定义，COSO此次并没有采用此定义，而是相对保守的采用了2000年前后出现的典型的风险定义。企业风险管理被定义为：组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。关于企业风险管理的定义变化最为彻底，直接抛弃了第一版的定义，将风险管理工作直接从“一个流程或程序”提升到“一种文化、能力和实践”，用以实现组织创造、保持和实现价值。另外，也从定义上撇清了风险管理和内部控制的模糊关系。2、一个真正的“管理框架”而不再是“控制框架”
f虽然第一版框架就强调对利益相关方价值的创造，但是从内容上讲还是一个被放大了的“控制框架”，无法直接为价值创造服务，只能间接支持价值创造活动。新的框架从企业使命、愿景和核心价值出发，定位的宗旨为提升主体的价值和业绩，强调嵌入企业管理业务活动和核心价值链，从主要的要素和内容看也进行了翻天覆地的变化，从而使得一个崭新的“管理框架”诞生，这种视角是一种新型的企业管理视角，对企业管理界来说是一场理念的变革。如果说在原有“控制框架”下，会计师事务所可以在实施内部控制框架的基础上，协助企业加强风险管理工作，但新的“管理框架”更像是企业决策者或企业管理咨询顾问关心的范畴。近年来，基于风险导向的管理理念逐渐兴起，企业管理领域中常见的公司治理、企业文化、战略管理、卓越绩效、危机管理、高效沟通等都可以应用此套框架实现更好的标准化和科学化，因为基于风险的管理理念将成为主流并渗透到企业管理的各个方面。3、更广泛的主体适用性正式版发布日期之所以一推再推，COSOHirth主席向笔者解释了其中一个原因，虽然框架名为《企业风险管理》，但COSO希望这个框架可以适用于任何类型、任何规模的组织，包括盈利机构、非盈利机构、政府部门等。所以COSO期望的主体适用性已经从企业面向了各类型的r