主
f体，这一点也可以从正文部分的描述中看出，有些内容中故意回避了“企业”一词来显示了对不同主体本框架的包容性。理论上来讲，只要一个主体有明确的愿景、使命和核心价值观，设定了所要期望达到的目标，风险管理框架就具备了被实施的条件。但是目前关于非盈利机构、政府部门等实施风险管理框架还是一个新的领域，我们也非常期待这些领域的最佳实践的出现。笔者曾协助中国部分政府部门设计和实施部分风险的应对方案，借助此框架的颁布协助政府部门设计一套完善的风险管理体系也许是下一步可以探讨和尝试的领域。4、关于风险管理的局限性了解COSO1992年、2004年发布的内部控制框架和企业风险管理框架的人都应该清楚，两个框架均列示了企业内部控制和风险管理工作的局限性，而且这两个框架的局限性基本一致，这也在另外一个角度印证了2004年版的企业风险管理框架还是一个大内控的“控制框架”。新版本的框架中删除了对于风险管理局限性的章节，作为一套“管理体系”而非“控制体系”，突破原来的局限性是不言自明的。5、关于风险管理和内部控制的关系在正式版新框架中，自然无法绕开关于风险管理和内部控制关系的解释，在第一册框架应用环境中，第一部分内容中就描述了风险管理和内部控制的关系：“内部控制主要聚焦在主体的运
f营和对于相关法律法规的遵从性上。”“企业风险管理的相关概念并没有包含在内部控制中（例如，风险偏好、风险承受度、战略和目标设定等概念，这些都是内部控制体系实施的前提条件）”。为了避免重复，一些在内部控制中比较常见的概念部分，风险管理新框架并未重复叙述（例如，与财务报告目标相关的舞弊风险、与合规目标相关的控制活动、与运营目标相关的持续及独立评估）。然而，一些在内部控制中概念在本框架中被进一步的研究和深化了（例如，企业风险管理中的治理和文化部分）。在COSO公布的《常见问题》解释上，COSO表明两个体系并不是相互代替或取代，而是侧重点各不相同相互补充的作用，但同时也强调了内部控制作为一种经历时间考验的企业控制体系，是企业风险管理工作的一个基础和组成部分。在历史上，COSO在表述两个体系的关系时有时暧昧、有时清晰，这样算是现阶段给两个体系的关系做了个“了断”，随着新框架在企业的实施，相信二者的关系和界限会越来越清晰。6、关于是否强制实施实施风险管理工作目的是为股东和利益相关方创造、保持和实现价值，这些并不能通过外部监管机构通过强r