張文文

（新礦內(nèi)蒙古能源有限責任公司，內(nèi)蒙古 鄂爾多斯 016215）

一、引言

隨著現(xiàn)代經(jīng)濟形式的成熟發(fā)展和企業(yè)治理模式的復雜化，企業(yè)對風險管理與內(nèi)部控制職能的需求日益增長。西方發(fā)達國家在全面風險管理的融合應用和內(nèi)部控制體系的建設上有比較豐富的經(jīng)驗。在全球企業(yè)風險管理和內(nèi)部控制研究中，COSO委員會的存在至關重要，其提出的ERM和《內(nèi)部控制—整合框架》成為全球認可的國際標準。新COSO-ERM發(fā)布后不久，2017年11月舉行的“推動COSO-ERM：2017落地中國企業(yè)學術研討會”提出：中國企業(yè)以此為標志，將全面進入改革開放后的第二次管理變革新時代，即進入基于不確定假設的企業(yè)管理新時代。

二、新COSO-ERM解讀

（一）新COSO-ERM發(fā)布的背景

1992年9月，COSO委員會發(fā)布《內(nèi)部控制—整合框架》（Internal Control-Integrated Framework），作為美國證券交易委員會唯一推薦的內(nèi)控體系指導標準，在全球企業(yè)中得到廣泛應用。

2004年4月，COSO委員會發(fā)布《企業(yè)風險管理框架》（ERM-Integrated Framework）。本版框架在1992年《內(nèi)部控制—整合框架》的基礎上加入了關于《薩班斯-奧克斯法案》在報告方面的要求和風險管理方面的研究成果，在全球使用者范圍內(nèi)全面統(tǒng)一企業(yè)風險管理術語和相關概念。在實踐反饋中，此版ERM框架與內(nèi)部控制在要素上關聯(lián)較多，總是引發(fā)爭議。

2013年5月，COSO在1992年框架基礎上發(fā)布修訂版《內(nèi)部控制—整合框架》，對內(nèi)控部分進行了更新。

2017年9月，為適應經(jīng)濟環(huán)境、信息技術及風險的不斷變化，COSO委員會發(fā)布新版ERM。新版ERM對風險管理重新定位，將風險管理工作融入企業(yè)管理和業(yè)務的最佳實踐中，更加深入、準確地構建了一個企業(yè)“大管理”框架，不再是“大風控”，而是成為“形而上學”的理論。

（二）新COSO-ERM的核心內(nèi)容變化及意義

1.重新定義

在2004年的COSO框架（ERM - Integrated Framework）中，對企業(yè)風險的定義是“企業(yè)事項的發(fā)生有可能會給戰(zhàn)略目標的實現(xiàn)帶來一定的負面影響”。風險管理是“由企業(yè)全體員工參加并保障企業(yè)戰(zhàn)略目標得以實現(xiàn)的過程”，是從風險角度對各項管理要素進行的整合。

新版ERM強調(diào)了風險文化這一概念，回歸到管理的本質(zhì)對風險管理進行了重新定義，厘清了企業(yè)風險管理與內(nèi)部控制的關系，并將風險管理內(nèi)涵融入企業(yè)戰(zhàn)略實現(xiàn)、績效和價值增值的治理環(huán)節(jié)。

2.注重培育風險文化

風險治理和文化是新COSO-ERM中所有其他部分的基礎。企業(yè)的文化是由董事會、高層主導推動建立的，影響著企業(yè)每一個員工的思維和行為方式。風險無時不在，風險無處不在，人人都是風險防火墻等，這些都屬于風險文化的范疇。企業(yè)的制度流程不可能沒有缺陷和漏洞，全員能夠主動防范風險是對缺陷和漏洞最好的彌補方式。新COSO-ERM框架將風險化為無形，融入企業(yè)管理的戰(zhàn)略制定和日?；顒拥乃屑毼h(huán)節(jié)，更符合風險導向的管理精神，同時，組織的文化中由于注入了風險元素意識，因此可以為風險管理中的各個階段提供間接無形的指導，可以幫助每個崗位的人作出更符合風險偏好和正確價值導向的決策。

3.更新了風險偏好概念

不同的行為者對風險的態(tài)度存在差異。根據(jù)新COSO-ERM，風險偏好是指企業(yè)為獲得價值愿意選擇承受的風險類型和數(shù)量。與原版比較，新ERM的風險偏好加入了風險的類型。企業(yè)風險管理有助于管理層將預期的價值創(chuàng)造與主體的風險偏好及其風險管理能力相匹配，并且隨著時間的推移不斷修正，使之更加協(xié)調(diào)。在風險偏好的范圍內(nèi)進行風險管理能夠強化企業(yè)創(chuàng)造、保持和實現(xiàn)價值的能力。

4.提出風險績效曲線

新COSO-ERM將風險與績效關聯(lián)，并給出了圖形化的關系描述，即風險績效曲線。風險績效曲線的核心價值是用藍色的上揚曲線、紅色的風險線、紫色的目標線建立圖形化的意識表達和描述。單個的風險和績效并不總是一一對應的，但企業(yè)整體的風險與績效肯定是相關的。為了體現(xiàn)風險與績效的關系，企業(yè)需要全面了解戰(zhàn)略績效目標、可接受的績效波動范圍、風險偏好、風險容量等內(nèi)容。風險可以用風險回報或其他風險相關指標代替。風險績效曲線是基于原框架的一項系統(tǒng)性變革，它將風險相關概念間的影響關系簡單形象地展現(xiàn)出來，更方便使用者理解和研究。

三、基于新COSO-ERM下的風險管理與內(nèi)部控制的關系

（一）風險管理與內(nèi)部控制的關系爭議

企業(yè)的風險管理和內(nèi)部控制既存在密切聯(lián)系，又有一定的區(qū)別，在理論研究和應用領域備受爭議。有觀點認為，內(nèi)部控制中包含了風險管理；也有觀點認為，風險管理中包含了內(nèi)部控制；還有觀點認為理論上二者不存在差異。首先，二者的實施主體和最終目標是一致的，都注重企業(yè)戰(zhàn)略發(fā)展、運營管理、財務管理等內(nèi)容；其次，在實際的運行中，企業(yè)的風險管理和內(nèi)部控制存在部分重合，容易交叉、混淆；最后，二者的范圍和活動內(nèi)容并非完全一致，內(nèi)部控制中未涵蓋企業(yè)經(jīng)營目標的設定，尤其是沒有評估戰(zhàn)略目標和計劃制訂中的風險。

（二）風險管理與內(nèi)部控制的關系界定

風險管理比內(nèi)部控制的范圍廣泛得多。一是風險管理的內(nèi)部環(huán)境豐富了控制環(huán)境的內(nèi)涵，強調(diào)風險文化；二是風險管理更加認可風險評估的重要地位，擴展了內(nèi)部控制中的風險評估過程；三是風險管理擴大了信息與溝通的范圍，企業(yè)要考慮過去、現(xiàn)在和未來各種可能的信息和事項。內(nèi)部控制是風險管理的重要實施手段。風險管理是保障內(nèi)控機制運行的助力器。全面風險管理要求建立內(nèi)部控制，并且關注內(nèi)部控制的運行與評價，為持續(xù)改進內(nèi)部控制設計和運行提供指導。

2013年，COSO在其發(fā)布的《內(nèi)部控制—整合框架》文件附錄中提出，企業(yè)風險管理是企業(yè)治理的組成部分，企業(yè)內(nèi)部控制是企業(yè)風險管理的組成部分。

新COSO-ERM進一步明確了二者的關系：內(nèi)部控制是全面風險管理的一個基礎組成部分，二者不能等同或替代。新COSO-ERM特意避開了原框架關于控制活動的描述，把控制活動的內(nèi)容劃到內(nèi)部控制體系中，二者的界限越來越清晰。

四、國內(nèi)企業(yè)風險管理與內(nèi)部控制運行中的問題

（一）主要問題

全面風險管理和內(nèi)部控制屬于新經(jīng)濟時代的概念，多數(shù)企業(yè)不知道如何理解兩個體系以及如何妥善處理它們和企業(yè)管理之間的關系，結果是造成一定的管理混亂和資源重復投入。這些問題源于在最開始的組織結構設計上沒有劃清界限，定位不準，落地實施困難。

（二）其他問題

一是“救火式的制度”，能夠很好地防范已發(fā)生過的風險，不能充分預計未發(fā)生但可能發(fā)生的風險；二是過多強調(diào)成本節(jié)約導致內(nèi)控體系不健全，企業(yè)應當綜合考慮內(nèi)部控制的成本和績效的對應關系；三是理論足夠先進，制度卻未得到有效執(zhí)行，很多企業(yè)實例表明問題出在執(zhí)行不到位，制度形同虛設。

在實際應用中，大多數(shù)企業(yè)風險管理和內(nèi)部控制職能缺乏整體性、統(tǒng)一性、科學性，離期望目標差距較大。回顧中國企業(yè)走過的風險管理之路，是積累了一定經(jīng)驗之后才開始真正考慮風險管理和其他管理活動的關系，這是一個思考和轉變的過程。企業(yè)需要結合自身行業(yè)、特性、環(huán)境要求等綜合考慮，建設最適合自身的管理體系。

五、新COSO-ERM在企業(yè)風險管理體系建設中的實施要點

近年來，基于風險視角的企業(yè)管理理念發(fā)展迅速。全面風險管理不是在現(xiàn)有管理體系之外的新體系，而是在現(xiàn)有管理架構和職能基礎上進行的升級優(yōu)化。企業(yè)應當以框架五要素為指引，逐項分析核心要素，開展全面風險管理體系建設。通過對COSO-ERM的理解，現(xiàn)將實施要點列示如下。

（一）第一部分：治理和文化

培育風險文化需要強調(diào)董事會、高層的重視度，確定風險管理的總體基調(diào)，強調(diào)監(jiān)督責任、管理、文化等內(nèi)容。新COSO-ERM的第一個要素即治理和文化，主要涉及五項原則。一是實現(xiàn)董事會對風險的監(jiān)督：董事會的監(jiān)督支持至關重要，董事會落實對高級管理層的治理監(jiān)督，關注風險管理工作的側重點和體現(xiàn)價值的方式。二是建立運營架構：確定運營架構和匯報路線，包括不同權、責、利的分配；明確首席風險官、風險管理負責人及其他風險管理崗位設置和權責。三是定期宣貫組織文化：明確風險文化；設置頂層基調(diào)，保持組織的核心價值觀、決策與全員的行為標準一致。四是展現(xiàn)對核心價值觀的承諾：建立被充分理解的核心價值觀，并落實到全員所有的決策和執(zhí)行中；強化整個組織的問責機制；分別按級別和崗位進行績效目標評估。五是吸引、發(fā)展并留住核心人才：識別核心崗位和人員，評估崗位勝任能力，實施績效獎懲辦法，開展定期和不定期評估。

（二）第二部分：戰(zhàn)略和目標設定

按照德魯克先生提出的目標管理法，一個好的目標應該符合SMART原則。戰(zhàn)略和目標設定部分是新COSO-ERM的第二個要素，是企業(yè)按照設立的使命、愿景及核心價值觀，制定符合治理和文化理念的企業(yè)戰(zhàn)略和商業(yè)運營目標的要素，主要涉及四項原則。一是分析商業(yè)環(huán)境：考慮復雜的、動態(tài)的、難以預測的各種內(nèi)外環(huán)境變化影響企業(yè)風險管理。二是定義風險偏好：確定風險偏好類型和風險度量標準，在不同的層級上保持風險偏好一致。三是評估備選戰(zhàn)略：企業(yè)的任何戰(zhàn)略都需要始終支持自身的使命和規(guī)劃，傳遞企業(yè)的核心價值觀，與自身的風險偏好相匹配；評估戰(zhàn)略是否需要調(diào)整；降低決策偏見。四是建立商業(yè)目標：將戰(zhàn)略目標分解為具體的、可量化和可觀測的細分商業(yè)目標，制定具體的績效考核標準。

（三）第三部分：實施與運行

實施與運行部分是新COSO-ERM的第三個要素，是指企業(yè)根據(jù)已經(jīng)制定執(zhí)行的戰(zhàn)略目標要求，結合風險偏好參數(shù)，識別和評估風險內(nèi)容，主要涉及五項原則。一是識別風險：根據(jù)戰(zhàn)略規(guī)劃目標設置，掌握企業(yè)面臨的各項相關風險（了解客觀風險、預測新興風險），并持續(xù)監(jiān)測風險變化；使用多種工具和方法識別（智能信息、數(shù)據(jù)跟蹤、關鍵指標、流程分析、問卷調(diào)查、訪談、研討會等）；對照風險清單對風險進行歸類；風險識別日?；?、流程化；擴充風險屬性；保持對風險的再識別和再評估。二是評估風險嚴重程度：選擇風險評估指標和評估方法；從不同維度評估風險的影響程度；明確固有風險，預測和評價剩余風險；考慮重新評估。三是進行風險排序：建立風險排序的標準，確定風險優(yōu)先級，根據(jù)風險偏好和承受力評定風險級別。四是實施風險應對：選擇風險應對措施（回避、接收、追求、降低、分擔等），分析實施成本和效益，預測新風險。五是建立風險組合觀念：分別從整體和分類組合角度分析風險影響（利用風險績效曲線進行分析）。

（四）第四部分：審查與修訂

當前環(huán)境發(fā)生巨變，企業(yè)最需要的是評估未來環(huán)境變動帶來的最大變化。審查與修訂部分是新COSO-ERM的第四個要素。企業(yè)的內(nèi)外環(huán)境總在變化，及時針對變化審查和修訂風險管理工作十分必要，主要涉及三項原則。一是評估重大變化：識別內(nèi)外部環(huán)境變化而引起的重大變化；必須考慮的是重大人事變動，若有重要的人事變動，尤其是“一把手”變動時，對整個企業(yè)的風險偏好、風險承受度、風險文化等都會產(chǎn)生重大影響。二是審查風險和績效：綜合審查風險管理工作效果、績效的增減情況。三是企業(yè)風險管理的持續(xù)改進和監(jiān)督：選取一定的指標反映企業(yè)風險管理工作并持續(xù)改進，如新技術、運行過程中發(fā)現(xiàn)的缺點、風險偏好、風險分類、溝通的情況、行業(yè)對標、業(yè)務的發(fā)展速度等。

六、結語

風險一直存在。企業(yè)全面風險管理和內(nèi)部控制的真正價值是支持企業(yè)戰(zhàn)略和管理決策。新COSO-ERM正在推動一個以“風險管理技術支撐”的企業(yè)管理新時代的到來。企業(yè)通過全面對接新COSO-ERM，貫徹風險管理文化，強化信息溝通完善對不確定性部分的管理，并通過內(nèi)部控制保證確定性部分的實施，有利于企業(yè)站在更高的維度優(yōu)化企業(yè)治理機制，有利于構建起科學高效的“大組織體系”，有利于實現(xiàn)管理職能的精細化，最終合理保證企業(yè)生存發(fā)展、穩(wěn)健運營、績效提升和價值創(chuàng)造。