摘 要：本文以新修订的COSO―ERM（2017）框架中五大风险管理要素和管理原则为指导，概述G公司多年来的风险管理实践探索经验，总结企业风险管理建设的各项重要环节，帮助企业获得战略、绩效与风险的协同效益，提升企业价值。

关键词：风险管理;内部控制;实践经验

风险管理理论以COSO―ERM框架为代表，新修订的COSO―ERM（2017）框架重新确定了5项风险管理要素和20条原则，引导企业识别和评估风险，提升企业绩效和价值。

一、治理和文化要素實践经验

1.建立有效的公司治理文化

G公司的公司治理通过不断完善的《企业管理制度》与《内部控制制度》两大企业制度作为支撑，指引企业逐渐形成良好的公司治理文化。《企业管理制度》涵盖企业、部门、业务三大层面的管理条例，并随着企业外部市场、法律等环境变化，内部组织、业务、系统等环境变化不断修订。公司将风险管理理念融入内部控制制度设计和实施全过程中，遵循COSO的内部控制框架和17条控制原则，在多年运行中不断修改完善，以适应不断变化的经营环境和逐渐提升的管理要求。

2.明确董事会的公司治理职责

企业应确保董事会的相对独立性，以促进董事会行使监督职责。董事会对股东大会负责，审核重大决策、重大事项、重要人事任免及大额资金支付，依法行使战略监督权和经营决策权，促使管理层完成既定的战略和目标。G公司董事会下设委员会，为董事会决策提供支持，对内控制度建立和风险管理的实施负总责;通过审计委员会下设的内审机构每年定期开展内部控制评价工作，独立行使监督职权;通过权限指引表和内部控制流程图对应各管理活动和业务活动流程的职责和权限，避免责任缺失、职能交叉、权责集中，治理结构体现相互协调、相互制约，并将权责逐层落实;通过董事会下设的薪酬考核委员会将岗位责任履行情况、工作成效与个人绩效挂钩，根据组织架构形成层层考核机制，每月公布考核结果，实行有效的奖惩措施。

3.建立完善的人才培养机制

应根据企业的发展战略，建立人力资源规划方案。通过对企业未来人力资源的需要和供给状况的分析和预测，对职务编制、人员配置、教育培训、人力资源管理政策、招聘和选拔等内容进行规划;通过严格的招聘管理选拔人才;通过完善的薪酬管理机制稳定人才队伍;通过多样化的培训不断提高人才素质;通过岗位管理选拔和培养干部。

二、战略和目标设定要素实践经验

1.清晰设定企业战略目标

公司的企业战略和目标设定应清晰、明确。企业发展战略应至少每五年编制一次，对公司长期发展目标、发展方针、经营任务进行可行性研究和科学论证，明确发展战略每个阶段的具体目标、工作任务和实施路径，并细化到公司的产品战略、市场战略、营销战略、研发战略、人才战略、知识产权保护战略等。

2.综合考量各类风险因素

公司战略目标的制定应综合考虑经济形势及市场需求变化，关注技术发展趋势及行业动态，分析可利用资源及自身优势和劣势，对内外部环境、现有核心业务的市场前景、经营状况、核心竞争力做出系统分析和综合评价。

三、绩效要素实践经验

1.建立绩效目标和约束激励机制

管理层应对影响战略经营目标和绩效目标实现的风险进行考量、评估、把控和责任落实，定期监督评估和考评，并纳入机构、部门和个人的绩效考评。G公司目前的KPI指标设定为营业收入、净利润、现金流收入，并按照20%、40%、40%的权重进行分配。各职能部门对企业的战略和目标从时间维度，按照年、季度、月进行量化和细分;从业务层面，按照区域、项目、业务、产品等进行量化和细分。由薪酬绩效考核委员会对分解的目标执行情况进行考评，定期公示考评结果，形成有效的约束激励机制。

2.加强资金活动风险管理

企业应尽可能采取“收支两条线”和“收支一体化”的资金池管理企业的资金活动，以防止资金挪用、加强资金管控、减少闲置资金、提高使用效率、降低资金占用成本。实行货币资金收支两条线管理，明确各类账户的使用规范和管理要求，严禁以收抵支、相互转借、超范围使用和串户使用，能及早发现异常交易，并有效地防止分支机构挪用资金。实行企业收支一体化管理，要求分支机构收支账户实时上划无余额，由总部通过资金管理平台控制分支机构支付限额，防范超预算使用，强化预算管理，整合集团资金进行合理配置。

3.加强筹资活动风险管理

企业应严格执行筹资活动内部控制流程，灵活运用长短期借款，增发股票，发行可转债等筹资方案，提高筹资效率。财务管理部根据上期资金结余、下期经营和投资预算形成资金计划报告，形成资金缺口的编制筹资方案，明确筹资用途、规模和筹资方式，并估计筹资成本和潜在风险，重大筹资方案需形成可行性研究报告，报董事会、股东大会审批。资金管理岗严格审核资金使用范围，防止筹集资金被挤占、挪用。

4.加强投资活动风险管理

投资前，无论是资产建设投资还是对外投资，企业均需对投资方案形成可行性研究报告，对投资的收益、成本和潜在风险作出充分估计，超出计划的投资方案需报董事会、股东大会审批。投资后，参考《中央企业全面风险管理指引》，加强风险评估，防范和化解投资风险，防止出现重大生产安全事故、法律诉讼和经济损失，保障国有资产安全，并对投资的责任人绩效考核。

5.加强合同风险管理

企业应强化对合同管理的内部控制，规范往来款项管理工作。合同签订部门应每月进行往来款项系统数据核对，对客户反馈的差异，应配合查找原因，并形成处理结果;有责任收集客商信息、与客户对账、对接函证事宜、催收逾期应收账款、配合财务部进行往来款项分析等。企业应充分借助信息系统，帮助企业提高合同管理质量和效率，为催收工作提供支持，加速资金周转，确保每笔应收账款在诉讼时效内采取有效的催收措施，减少坏账损失，并对应收账款责任人的催收工作进行有效的监督和考核。

6.考虑潜在的舞弊风险

为防止舞弊风险给公司造成的经济损失和社会不良影响，企业应形成部门、上下级、内部审计、纪检监察、第三方审计等监督制度安排。明确工作重点：财务报告和信息披露的重大遗漏、虚假记载或者陈述误导;侵占、挪用公司资产，牟取不当利益;舞弊串通;滥用职权。

四、审阅与修订要素实践经验

1.建立风险评估程序

在《内部控制制度》体系下建立事前风险评估、事中风险跟踪、事后风险评价的风险管理机制，识别实现目标所涉及的风险。定期开展风险评估工作，准确识别相关的内部和外部风险，以风险清单确定关注重点、相应的风险承受度和优先控制顺序。依据《内部控制评价制度》对持续进行日常监督，保证内部控制制度能建立和有效实施，并针对企业发展战略、组织结构、业务活动流程、关键岗位等进行专项监督。

2.关注风险的变化

企业应识别并评估内部控制的重大变化。结合不同发展阶段和业务拓展情况，持续收集与风险监管的信息，每年定期对内部控制有效性产生重大影响的变化因素进行风险识别和风险分析，及时调整风险应对策略。主要关注员工能力和职业操守、业务流程、资产管理、财务状况、信息披露、经营安全等内部风险;经济形势、市场竞争、法律监管、消费者行为、技术进步、自然灾害等外部风险。结合风险承受度，权衡风险与收益，确定规避、降低、分担和承受等风险应对策略。

五、信息、沟通与报告要素实践经验

1.利用信息系统支持企业风险管理

通过建立主营业务软硬件信息系统服务、前端业务收入核算、企业资产管理、流程审批、财务核算、人力资源管理等信息技术系统支持公司业务发展。采用对外购买产品和服务、内部自主研发和维护等方式，对企业信息系统进行定期更新维护，保障企业的日常运营。在风险控制的关键节点，通过半自动化或自动化系统支持，减少人为操作控制，降低企业管理风险。

2.建立有效的沟通渠道

企业应明确相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行，帮助企业把握和防控风险。通过财务资料、专项调研报告、办公网络等渠道获取内部信息。通过市场调查、媒体、监管部门等渠道，获取外部信息。沟通过程发现问题及时报告解决，重要信息及时反馈高层。建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息，和防范风险的重要途径。

3.建立有效的经营风险报告机制

董事会授权内审部门开展日常经营的审计工作，每年定期制定并組织实施评价方案，形成风险控制缺陷汇总表、评价报告和整改资料。公司管理层对评价组、外部审计师提出的管理意见和控制缺陷进行调查、分析，形成整改结果报告并采取纠正措施。

新版COSO―ERM框架把绩效提升到五大要素之一，企业风险管理体系建设的关键在于将绩效贯穿绩效目标设定、识别和评估影响目标绩效的风险、组织绩效审阅、改进和完善风险管理等风险管理的重要环节，量化绩效指标，促使企业战略目标、绩效和风险管理协同发展。

参考文献

1.阎达五，杨有红.内部控制框架的构建.会计研究，2011（02）.

2.周婷婷，张浩.COSO―ERM框架的新动向――从过程控制到战略绩效整合.会计之友，2018（17）.

3.张蕾.全面风险管理视角下W公司绩效评价体系研究.贵州大学，2020.（责任编辑：王文龙）