），但是企业需要从整合风险管理的角度为企业创造价值并合理保障公司战略目标的实现。COSO组织对ERM框架的初衷和定位是正确的，但在起草ERM框架时采用了在COSO内部控制框架的基础上进行升级和扩充的做法，这直接导致了两个理论框架虽然愿景和目标各不相同，但内容的重合度非常高，笔者回想过去这些年企业在实践这两个理论体系时出现的种种说法“内部控制就是风险管理”、“风险管理就是内部控制”、“风险管理是“大内控””等，在当时发
f布起草ERM框架时就埋下了隐患。图1：内部控制框架和企业风险管理框架2014年，COSO组织开始着手对ERM框架的升级换代，用其自身的阐述，原因在于过去十年间外部环境的复杂变化，利益相关方更加关心风险管理对企业价值的创造，尤其是在战略的制定和执行中风险管理价值的体现，以及增强风险管理和企业绩效之间的协同关系。想必COSO组织也非常清楚过去十年间关于内部控制和风险管理之间关系的争论和对企业实际开展工作造成的影响，只好痛定思痛，着眼于未来了，这一点从新版的ERM框架中可以看出来。COSO组织对新版ERM框架进行了颠覆性的变化，起码从表面上来看，没有一点从前的影子了，看来是有意和内控及2004版风险管理划清界限，结束这十年来的两者的纠葛和纷争。图2：COSO新版企业风险管理框架很多从事和熟悉风险管理工作的人，对ERM新框架一开始的感觉都是陌生和不适应，笔者最开始将征求意见稿发送给国内权威专家参考时，部分专家也提出“这是对历史的一种背叛”、“新框架太荒唐”等批判性的反馈意见，笔者了解这是人们对于熟悉环境的突然变化抵触心理，待各位专家平复心情仔细研读后，还是非常肯定新框架做出的勇敢变化及对风险管理工作的准确定位。二、新版ERM框架和旧框架的区别与联系1、新框架采用了国际文件惯用的要素加原则的
f结构（Compo
e
tsa
dPri
cipals）新版框架使用了构成元素原则的结构，包括5个构成元素，细分为23条原则，2013年COSO组织更新了企业内部控制框架的部分内容，在文章的整体结构上就是采用的这种结构，新的结构加强了新框架的可读性、可用性和一致性。2、修订了风险的定义旧版框架中对风险的定义为：风险是一个事项将会发生并给目标实现带来负面影响的可能性。新版框架对风险的定义为：事项发生并影响战略和商业目标实现的可能性。可以看到，旧定义只强调了负面影响，而新定义的主要改动是兼顾了正面和负面的影响，这和国际风险管理标准ISO31000及中国风险管理r