３Ｃ框架：中國式全面風險管理新理念

中天恒管理咨詢公司和中天恒會計師事務所以構建中國企業自己的全面風險管理標準為己任，在大膽借鑒國際權威風險管理框架或標準，認真學習汲取國際、國內有關風險管理方面大量最新研究成果的基礎上，依據國務院國資委頒布的《中央企業全面風險管理指引》文件精神，全面總結我國企業近年來風險管理體系建設實踐經驗，并充分考慮中國企業的實際情況，推出了“3C框架：中國式全面風險管理標準”（簡稱“3C全面風險管理標準”）。

一、自主創新——3C框架在全面風險管理領域的探索

3C全面風險管理標準包括基本框架、實務標準、操作指南，基本涵蓋了COSO全面風險管理框架和國務院國資委頒布的《中央企業全面風險管理指引》的所有內容。3C全面風險管理標準力求自主創新，除增加了實務標準、操作指南（COSO和國資委還未發布）這些具有可操作性的內容之外，在基本框架方面也進行了一系列的創新，充分考慮了中國企業的實際情況，在構建中國企業自己的全面風險管理標準方面進行了有益探索。僅基本框架而言，在全面風險管理領域的探索是全方位的，簡單歸納起來主要包括以下幾個方面：

（一）總體結構邏輯關系簡單明了

COSO全面風險管理框架主體結構由定義、內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控、職能與責任、企業風險管理的局限、該做些什么等構成。《中央企業全面風險管理指引》由總則、風險管理初始信息、風險評估、風險管理策略、風險管理解決方案、風險管理的監督與改進、風險管理組織體系、風險管理信息系統、風險管理文化、附則等組成。而3C全面風險管理基本框架從總體結構上是按照目標體系、風險整合、管理融合來安排的，形成了由目標體系、風險整合、管理融合組成的有機體系，貫徹嚴密的目標——風險——管理的邏輯關系。

（二）框架內容力求科學系統

COSO全面風險管理框架認為企業風險管理包括8個相互關聯的構成要素。這些構成要素是：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。《中央企業全面風險管理指引》沒有直接引入管理要素概念，僅從全面風險管理內容看，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統5個方面。3C全面風險管理基本框架從總體看包括目標、風險、管理3個部分，從流程看包括管理準備、管理實施、管理報告和監督改進4個程序。具體探索體現在以下幾個方面：

1.3C全面風險管理基本框架沒有引入“內部環境”要素，而是將COSO全面風險管理框架中“內部環境”要素中的具體內容全部融入了整個框架中。COSO全面風險管理框架中“內部環境”界定的風險管理理念、風險容量、董事會、誠信與道德價值觀、對勝任能力的要求、組織結構、權力和職責的分配、人力資源準則等要素，既有全面風險管理的“軟要素”，又涉及到全面風險管理“硬要素”，確實是全面風險管理的基礎，但用“內部環境”來界定難以理解，使人容易產生是誘發風險的內部環境因素，因此，3C全面風險管理基本框架沒有引入“內部環境”要素，而是將它們分別作為全面風險管理的基礎和內容獨立出來了。

2.3C全面風險管理基本框架沒有把“目標設定”作為全面風險管理的基本要素，并將COSO全面風險管理框架“目標設定”改為“目標確定”。目標管理很重要，是管理中的管理，目標確定是企業目標管理的核心內容，是企業管理工作的首要任務，董事會和各級管理人員必須確定目標。企業管理層在確定目標時要考慮風險因素，這是必然的，但全面風險管理工作不能事事從確定目標開始，確定目標本身就是管理人員的事，全面風險管理作為企業管理的一項核心內容，可以把目標確定作為風險管理的內容進行關注，但不是流程，至多說目標確定是全面風險管理的前提條件之一。

3.3C全面風險管理基本框架把COSO全面風險管理框架“信息與溝通”作為全面風險管理的重要手段，而不單獨作為全面風險管理的一個流程或重要要素。信息在現代社會很重要，溝通無限，全面風險管理的全過程都涉及“信息與溝通”，不可能也沒有必要獨立出來，應該貫穿于全面風險管理的全過程。

4.3C全面風險管理基本框架把COSO全面風險管理框架“事件識別”定義為“風險識別”，把COSO全面風險管理框架“風險評估”細化為“風險分析”、“風險計價”、“風險評價”，把COSO全面風險管理框架“控制活動”重新定義為“風險控制”，把COSO全面風險管理框架“監控”改為“監督改進”，并細化為“風險監督”、“風險審計”、“管理改進”等。

5.3C全面風險管理基本框架從我國企業的實際情況出發，把全面風險管理流程界定為管理準備、管理實施、管理報告、監督改進四個基本流程。對每個具體流程都明確了工作內容、方法、步驟以及相應的表單，具有可操作性。

6.3C全面風險管理基本框架在包含COSO全面風險管理框架基本內容的同時，又增加了不少內容。比如明確提出風險偏好、風險意識、風險理念、風險文化等全面風險管理軟要素；增加了全面風險管理政策、戰略、策略、決策，風險學習等重要內容；總結了我國企業全面風險管理的一系列重要方法和工具；增加“風險預警”的獨立內容，強調實時報警的重要性；增加“管理報告”的獨立環節，強調風險報告的重要性；增加“風險審計”獨立內容，強調風險審計的重要性，等等。

（三）將目標作為全面風險管理的前提而獨立出來了

COSO全面風險管理框架認為企業風險管理框架力求實現主體的戰略、經營、報告和合規4種類型的目標，并認為目標設定是事項識別、風險評估和風險應對的前提。《中央企業全面風險管理指引》未涉及企業目標的具體內容。3C全面風險管理基本框架首先界定了企業的目標體系，將其作為全面風險管理的前提而獨立出來了。具體探索表現在以下幾個方面：

1.3C全面風險管理基本框架明確了目標概念。企業目標是盡可能地創造價值，使企業價值最大化，全面風險管理目標與企業目標在總體方向上是一致的，但具體目標肯定是不同的，不能把企業目標和全面風險管理目標混為一談。

2.3C全面風險管理基本框架明確了目標分類。從全面風險管理的需要出發，考慮到我國企業的一般情況，企業的目標可從總體上分為社會目標、管理目標、經營目標、財務目標、遵循目標、其他目標等一級目標，在這個一級目標下細分了若干個二級目標，在二級目標下再細分三級目標。當然，在三級目標下，還可再繼續分下去，這就看企業管理的細化程度了。

3.3C全面風險管理基本框架明確了目標體系。企業目標是一個相互聯系、相互依存的目標體系。企業目標體系是有層次的。由于企業存在著不同的管理層次，每一層次都有其自身的目標，低一層次的目標必然要服務于高一層次的目標。企業目標體系是相互關聯相互滲透的。企業目標體系是需要整合的。企業目標體系是不斷變化的。

4.3C全面風險管理基本框架將COSO全面風險管理框架目標設定改為目標確定。

（四）強調了風險整合的理念

COSO全面風險管理框架特別強調風險組合觀，《中央企業全面風險管理指引》雖未明確提出風險整合的概念，但都有風險組合觀的思想。3C全面風險管理基本框架借鑒了COSO全面風險管理框架風險組合觀的觀點，將風險整合作為全面風險管理的基本標準，并明確了風險偏好、風險意識、風險理念、風險文化等全面風險管理軟要素。具體探索表現在以下幾個方面：

1.提出了一個全面的風險概念，認為危險和機會并存。COSO全面風險管理框架引入了“事項”這一概念，事項包括風險和機會。《中央企業全面風險管理指引》用不確定性對企業實現其經營目標的影響來定義企業風險，抓住了風險的本質特征，但其只是針對經營目標的影響，范圍狹窄。

2.明確界定了風險因素。COSO全面風險管理框架和《中央企業全面風險管理指引》均未明確風險要素，3C全面風險管理基本框架明確界定風險是由風險因素、風險事故和風險損失3要素構成。

3.確定了風險屬性。COSO全面風險管理框架首先界定了主體的所面臨的不確定性，國務院國資委頒布的《中央企業全面風險管理指引》對風險屬性沒有明確的界定，3C全面風險管理基本框架認為風險屬性是多樣的，具有客觀性、相對性、可變性、不確定性等屬性，其中不確定性是風險的本質特性。

4.明確了風險分類。COSO全面風險管理框架對風險未進行明確的分類，《中央企業全面風險管理指引》對風險按其內容和能否為企業帶來盈利等機會為標志進行了分類。3C全面風險管理基本框架認為企業風險應從總體上分為社會風險、管理風險、經營風險、財務風險、遵循風險、其他風險六個一級風險，在這些一級風險下細分了若干個二級風險，在二級風險下再細分三級風險。實際工作中，根據全面風險管理的需要，在三級風險下，還可再繼續分下去，但考慮到全面風險管理的成本和效益，一般分到三級即可。

（五）突出了內部控制與風險管理融合

COSO全面風險管理框架和《中央企業全面風險管理指引》都體現了管理融合的思想。3C全面風險管理基本框架將管理融合視為企業風險管理自身內部的融合，企業風險管理與企業業務的融合，企業風險管理與企業管理的融合，突出了內部控制與風險管理的融合。具體探索表現在以下幾個方面：

1.重新定義了全面風險管理。

2.明確全面風險管理目標。

3.強調了全面風險管理意義。

4.增加了全面風險管理政策、戰略、策略、決策的新內容。

5.明確了全面風險管理的主體。

6.確定了全面風險管理內容。

7.細化了全面風險管理流程。

8.總結了我國中央企業全面風險管理的方法。

9.將信息與溝通獨立出來。

10.增加了全面風險管理學習。

（六）進一步統一了全面風險管理語言

3C全面風險管理基本框架將風險辨識、風險確認、事件識別統一為風險識別，并定義為確認風險的過程；將風險計量、風險衡量、風險量度、風險測量、風險估計、風險估價統一為風險計價，并定義為風險的量化過程；將風險策略、風險應對、風險工具統一為風險應對，并定義為選擇應對風險策略的過程；將控制活動、控制政策、控制程序、控制措施、應對措施 統一為風險控制，并定義為應對風險的各種措施；將監督檢查、監督評價、持續監督、監控、監控系統、內部監督統一為風險監督，并定義為監督檢查風險的過程等等。

此外，3C全面風險管理實務標準和操作指南是COSO全面風險管理框架和《中央企業全面風險管理指引》所沒有的內容，不具有可比性，但它都是全面風險管理實際工作非常需要的具有可操作性的內容。

二、必然趨勢——內部控制和風險管理逐步走向融合

內部控制與風險管理走向融合，是一個必然的趨勢，這不僅是內部控制體系向前邁進了一大步，也為內部審計的發展指明了方向，因此為了適應這樣一種發展趨勢，我國現行的內部控制體系有必要逐步向全面風險管理體系升級和完善。

實際上，世界上內部控制與風險管理已逐漸融合了，把內部控制與風險管理試為同一事件。1992年，Treadway委員會的發起組織委員會(the Committee of Sponsoring Organizations of the Treadway Commission)發布了《內部控制——整合框架》，2004年，該委員會又發布了《企業風險管理——整合框架》，在該框架附件C中明確：內部控制被涵蓋在企業風險管理之內，是其不可分割的一部分。

國資委頒布的《中央企業全面風險管理指引》要求企業在開展全面風險管理工作的同時，還要與其他管理工作緊密結合，把風險管理的各項要求融入企業管理和業務流程中。我國的有些企業都在積極探索內部控制與風險管理的融合之道，中天恒管理咨詢公司為我國某中央企業設計的《全面風險管理手冊》，與公司現有管理體系和管理手段相銜接，實際上不僅僅是內部控制與風險管理的融合，而是整個管理的融合。

內部控制與風險管理融合的道理其實非常簡單。企業在實現目標的漫長征程中，會遇到各種各樣的風險；因此，就要采取措施控制風險。也正因為有風險才要控制，如果沒有風險，控制就是多余的了，就是添亂，當然更是浪費資源。風險與控制的關系簡單地說就是風險減去控制就等于剩余風險。當然，這個剩余風險一定要在企業可接受的水平范圍內。

如果內部控制與風險管理融合后，企業至少沒有必要既設立風險管理部，又設立內部控制部，設一個風險控制部就夠用了。風險管理與內部控制融合，就是要打破風險和控制水平之間的平衡，不要把現代企業的風險管理和控制僅僅當成是一項純粹的企業經營活動，它是一項包括了企業咨詢專家、企業決策者、中層管理者以及企業員工在內的綜合管理系統，需要各方面力量的協調和配合才能實現。

當然，強調風險管理與內部控制的融合，并不是風險管理要代替內部控制，實際上兩者是并存的。企業肯定需要建立內部控制，來應對阻止企業進步的風險。否則，被控制所遏制的風險將可能發生。

責編：熊燕