基于新ERM的風險管理與內部控制探析

張文文

（新礦內蒙古能源有限責任公司，內蒙古 鄂爾多斯 016215）

一、引言

隨著現代經濟形式的成熟發展和企業治理模式的復雜化，企業對風險管理與內部控制職能的需求日益增長。西方發達國家在全面風險管理的融合應用和內部控制體系的建設上有比較豐富的經驗。在全球企業風險管理和內部控制研究中，COSO委員會的存在至關重要，其提出的ERM和《內部控制—整合框架》成為全球認可的國際標準。新COSO-ERM發布后不久，2017年11月舉行的“推動COSO-ERM：2017落地中國企業學術研討會”提出：中國企業以此為標志，將全面進入改革開放后的第二次管理變革新時代，即進入基于不確定假設的企業管理新時代。

二、新COSO-ERM解讀

（一）新COSO-ERM發布的背景

1992年9月，COSO委員會發布《內部控制—整合框架》（Internal Control-Integrated Framework），作為美國證券交易委員會唯一推薦的內控體系指導標準，在全球企業中得到廣泛應用。

2004年4月，COSO委員會發布《企業風險管理框架》（ERM-Integrated Framework）。本版框架在1992年《內部控制—整合框架》的基礎上加入了關于《薩班斯-奧克斯法案》在報告方面的要求和風險管理方面的研究成果，在全球使用者范圍內全面統一企業風險管理術語和相關概念。在實踐反饋中，此版ERM框架與內部控制在要素上關聯較多，總是引發爭議。

2013年5月，COSO在1992年框架基礎上發布修訂版《內部控制—整合框架》，對內控部分進行了更新。

2017年9月，為適應經濟環境、信息技術及風險的不斷變化，COSO委員會發布新版ERM。新版ERM對風險管理重新定位，將風險管理工作融入企業管理和業務的最佳實踐中，更加深入、準確地構建了一個企業“大管理”框架，不再是“大風控”，而是成為“形而上學”的理論。

（二）新COSO-ERM的核心內容變化及意義

1.重新定義

在2004年的COSO框架（ERM - Integrated Framework）中，對企業風險的定義是“企業事項的發生有可能會給戰略目標的實現帶來一定的負面影響”。風險管理是“由企業全體員工參加并保障企業戰略目標得以實現的過程”，是從風險角度對各項管理要素進行的整合。

新版ERM強調了風險文化這一概念，回歸到管理的本質對風險管理進行了重新定義，厘清了企業風險管理與內部控制的關系，并將風險管理內涵融入企業戰略實現、績效和價值增值的治理環節。

2.注重培育風險文化

風險治理和文化是新COSO-ERM中所有其他部分的基礎。企業的文化是由董事會、高層主導推動建立的，影響著企業每一個員工的思維和行為方式。風險無時不在，風險無處不在，人人都是風險防火墻等，這些都屬于風險文化的范疇。企業的制度流程不可能沒有缺陷和漏洞，全員能夠主動防范風險是對缺陷和漏洞最好的彌補方式。新COSO-ERM框架將風險化為無形，融入企業管理的戰略制定和日常活動的所有細微環節，更符合風險導向的管理精神，同時，組織的文化中由于注入了風險元素意識，因此可以為風險管理中的各個階段提供間接無形的指導，可以幫助每個崗位的人作出更符合風險偏好和正確價值導向的決策。

3.更新了風險偏好概念

不同的行為者對風險的態度存在差異。根據新COSO-ERM，風險偏好是指企業為獲得價值愿意選擇承受的風險類型和數量。與原版比較，新ERM的風險偏好加入了風險的類型。企業風險管理有助于管理層將預期的價值創造與主體的風險偏好及其風險管理能力相匹配，并且隨著時間的推移不斷修正，使之更加協調。在風險偏好的范圍內進行風險管理能夠強化企業創造、保持和實現價值的能力。

4.提出風險績效曲線

新COSO-ERM將風險與績效關聯，并給出了圖形化的關系描述，即風險績效曲線。風險績效曲線的核心價值是用藍色的上揚曲線、紅色的風險線、紫色的目標線建立圖形化的意識表達和描述。單個的風險和績效并不總是一一對應的，但企業整體的風險與績效肯定是相關的。為了體現風險與績效的關系，企業需要全面了解戰略績效目標、可接受的績效波動范圍、風險偏好、風險容量等內容。風險可以用風險回報或其他風險相關指標代替。風險績效曲線是基于原框架的一項系統性變革，它將風險相關概念間的影響關系簡單形象地展現出來，更方便使用者理解和研究。

三、基于新COSO-ERM下的風險管理與內部控制的關系

（一）風險管理與內部控制的關系爭議

企業的風險管理和內部控制既存在密切聯系，又有一定的區別，在理論研究和應用領域備受爭議。有觀點認為，內部控制中包含了風險管理；也有觀點認為，風險管理中包含了內部控制；還有觀點認為理論上二者不存在差異。首先，二者的實施主體和最終目標是一致的，都注重企業戰略發展、運營管理、財務管理等內容；其次，在實際的運行中，企業的風險管理和內部控制存在部分重合，容易交叉、混淆；最后，二者的范圍和活動內容并非完全一致，內部控制中未涵蓋企業經營目標的設定，尤其是沒有評估戰略目標和計劃制訂中的風險。

（二）風險管理與內部控制的關系界定

風險管理比內部控制的范圍廣泛得多。一是風險管理的內部環境豐富了控制環境的內涵，強調風險文化；二是風險管理更加認可風險評估的重要地位，擴展了內部控制中的風險評估過程；三是風險管理擴大了信息與溝通的范圍，企業要考慮過去、現在和未來各種可能的信息和事項。內部控制是風險管理的重要實施手段。風險管理是保障內控機制運行的助力器。全面風險管理要求建立內部控制，并且關注內部控制的運行與評價，為持續改進內部控制設計和運行提供指導。

2013年，COSO在其發布的《內部控制—整合框架》文件附錄中提出，企業風險管理是企業治理的組成部分，企業內部控制是企業風險管理的組成部分。

新COSO-ERM進一步明確了二者的關系：內部控制是全面風險管理的一個基礎組成部分，二者不能等同或替代。新COSO-ERM特意避開了原框架關于控制活動的描述，把控制活動的內容劃到內部控制體系中，二者的界限越來越清晰。

四、國內企業風險管理與內部控制運行中的問題

（一）主要問題

全面風險管理和內部控制屬于新經濟時代的概念，多數企業不知道如何理解兩個體系以及如何妥善處理它們和企業管理之間的關系，結果是造成一定的管理混亂和資源重復投入。這些問題源于在最開始的組織結構設計上沒有劃清界限，定位不準，落地實施困難。

（二）其他問題

一是“救火式的制度”，能夠很好地防范已發生過的風險，不能充分預計未發生但可能發生的風險；二是過多強調成本節約導致內控體系不健全，企業應當綜合考慮內部控制的成本和績效的對應關系；三是理論足夠先進，制度卻未得到有效執行，很多企業實例表明問題出在執行不到位，制度形同虛設。

在實際應用中，大多數企業風險管理和內部控制職能缺乏整體性、統一性、科學性，離期望目標差距較大。回顧中國企業走過的風險管理之路，是積累了一定經驗之后才開始真正考慮風險管理和其他管理活動的關系，這是一個思考和轉變的過程。企業需要結合自身行業、特性、環境要求等綜合考慮，建設最適合自身的管理體系。

五、新COSO-ERM在企業風險管理體系建設中的實施要點

近年來，基于風險視角的企業管理理念發展迅速。全面風險管理不是在現有管理體系之外的新體系，而是在現有管理架構和職能基礎上進行的升級優化。企業應當以框架五要素為指引，逐項分析核心要素，開展全面風險管理體系建設。通過對COSO-ERM的理解，現將實施要點列示如下。

（一）第一部分：治理和文化

培育風險文化需要強調董事會、高層的重視度，確定風險管理的總體基調，強調監督責任、管理、文化等內容。新COSO-ERM的第一個要素即治理和文化，主要涉及五項原則。一是實現董事會對風險的監督：董事會的監督支持至關重要，董事會落實對高級管理層的治理監督，關注風險管理工作的側重點和體現價值的方式。二是建立運營架構：確定運營架構和匯報路線，包括不同權、責、利的分配；明確首席風險官、風險管理負責人及其他風險管理崗位設置和權責。三是定期宣貫組織文化：明確風險文化；設置頂層基調，保持組織的核心價值觀、決策與全員的行為標準一致。四是展現對核心價值觀的承諾：建立被充分理解的核心價值觀，并落實到全員所有的決策和執行中；強化整個組織的問責機制；分別按級別和崗位進行績效目標評估。五是吸引、發展并留住核心人才：識別核心崗位和人員，評估崗位勝任能力，實施績效獎懲辦法，開展定期和不定期評估。

（二）第二部分：戰略和目標設定

按照德魯克先生提出的目標管理法，一個好的目標應該符合SMART原則。戰略和目標設定部分是新COSO-ERM的第二個要素，是企業按照設立的使命、愿景及核心價值觀，制定符合治理和文化理念的企業戰略和商業運營目標的要素，主要涉及四項原則。一是分析商業環境：考慮復雜的、動態的、難以預測的各種內外環境變化影響企業風險管理。二是定義風險偏好：確定風險偏好類型和風險度量標準，在不同的層級上保持風險偏好一致。三是評估備選戰略：企業的任何戰略都需要始終支持自身的使命和規劃，傳遞企業的核心價值觀，與自身的風險偏好相匹配；評估戰略是否需要調整；降低決策偏見。四是建立商業目標：將戰略目標分解為具體的、可量化和可觀測的細分商業目標，制定具體的績效考核標準。

（三）第三部分：實施與運行

實施與運行部分是新COSO-ERM的第三個要素，是指企業根據已經制定執行的戰略目標要求，結合風險偏好參數，識別和評估風險內容，主要涉及五項原則。一是識別風險：根據戰略規劃目標設置，掌握企業面臨的各項相關風險（了解客觀風險、預測新興風險），并持續監測風險變化；使用多種工具和方法識別（智能信息、數據跟蹤、關鍵指標、流程分析、問卷調查、訪談、研討會等）；對照風險清單對風險進行歸類；風險識別日常化、流程化；擴充風險屬性；保持對風險的再識別和再評估。二是評估風險嚴重程度：選擇風險評估指標和評估方法；從不同維度評估風險的影響程度；明確固有風險，預測和評價剩余風險；考慮重新評估。三是進行風險排序：建立風險排序的標準，確定風險優先級，根據風險偏好和承受力評定風險級別。四是實施風險應對：選擇風險應對措施（回避、接收、追求、降低、分擔等），分析實施成本和效益，預測新風險。五是建立風險組合觀念：分別從整體和分類組合角度分析風險影響（利用風險績效曲線進行分析）。

（四）第四部分：審查與修訂

當前環境發生巨變，企業最需要的是評估未來環境變動帶來的最大變化。審查與修訂部分是新COSO-ERM的第四個要素。企業的內外環境總在變化，及時針對變化審查和修訂風險管理工作十分必要，主要涉及三項原則。一是評估重大變化：識別內外部環境變化而引起的重大變化；必須考慮的是重大人事變動，若有重要的人事變動，尤其是“一把手”變動時，對整個企業的風險偏好、風險承受度、風險文化等都會產生重大影響。二是審查風險和績效：綜合審查風險管理工作效果、績效的增減情況。三是企業風險管理的持續改進和監督：選取一定的指標反映企業風險管理工作并持續改進，如新技術、運行過程中發現的缺點、風險偏好、風險分類、溝通的情況、行業對標、業務的發展速度等。

六、結語

風險一直存在。企業全面風險管理和內部控制的真正價值是支持企業戰略和管理決策。新COSO-ERM正在推動一個以“風險管理技術支撐”的企業管理新時代的到來。企業通過全面對接新COSO-ERM，貫徹風險管理文化，強化信息溝通完善對不確定性部分的管理，并通過內部控制保證確定性部分的實施，有利于企業站在更高的維度優化企業治理機制，有利于構建起科學高效的“大組織體系”，有利于實現管理職能的精細化，最終合理保證企業生存發展、穩健運營、績效提升和價值創造。