张文文

（新矿内蒙古能源有限责任公司，内蒙古 鄂尔多斯 016215）

一、引言

随着现代经济形式的成熟发展和企业治理模式的复杂化，企业对风险管理与内部控制职能的需求日益增长。西方发达国家在全面风险管理的融合应用和内部控制体系的建设上有比较丰富的经验。在全球企业风险管理和内部控制研究中，COSO委员会的存在至关重要，其提出的ERM和《内部控制—整合框架》成为全球认可的国际标准。新COSO-ERM发布后不久，2017年11月举行的“推动COSO-ERM：2017落地中国企业学术研讨会”提出：中国企业以此为标志，将全面进入改革开放后的第二次管理变革新时代，即进入基于不确定假设的企业管理新时代。

二、新COSO-ERM解读

（一）新COSO-ERM发布的背景

1992年9月，COSO委员会发布《内部控制—整合框架》（Internal Control-Integrated Framework），作为美国证券交易委员会唯一推荐的内控体系指导标准，在全球企业中得到广泛应用。

2004年4月，COSO委员会发布《企业风险管理框架》（ERM-Integrated Framework）。本版框架在1992年《内部控制—整合框架》的基础上加入了关于《萨班斯-奥克斯法案》在报告方面的要求和风险管理方面的研究成果，在全球使用者范围内全面统一企业风险管理术语和相关概念。在实践反馈中，此版ERM框架与内部控制在要素上关联较多，总是引发争议。

2013年5月，COSO在1992年框架基础上发布修订版《内部控制—整合框架》，对内控部分进行了更新。

2017年9月，为适应经济环境、信息技术及风险的不断变化，COSO委员会发布新版ERM。新版ERM对风险管理重新定位，将风险管理工作融入企业管理和业务的最佳实践中，更加深入、准确地构建了一个企业“大管理”框架，不再是“大风控”，而是成为“形而上学”的理论。

（二）新COSO-ERM的核心内容变化及意义

1.重新定义

在2004年的COSO框架（ERM - Integrated Framework）中，对企业风险的定义是“企业事项的发生有可能会给战略目标的实现带来一定的负面影响”。风险管理是“由企业全体员工参加并保障企业战略目标得以实现的过程”，是从风险角度对各项管理要素进行的整合。

新版ERM强调了风险文化这一概念，回归到管理的本质对风险管理进行了重新定义，厘清了企业风险管理与内部控制的关系，并将风险管理内涵融入企业战略实现、绩效和价值增值的治理环节。

2.注重培育风险文化

风险治理和文化是新COSO-ERM中所有其他部分的基础。企业的文化是由董事会、高层主导推动建立的，影响着企业每一个员工的思维和行为方式。风险无时不在，风险无处不在，人人都是风险防火墙等，这些都属于风险文化的范畴。企业的制度流程不可能没有缺陷和漏洞，全员能够主动防范风险是对缺陷和漏洞最好的弥补方式。新COSO-ERM框架将风险化为无形，融入企业管理的战略制定和日常活动的所有细微环节，更符合风险导向的管理精神，同时，组织的文化中由于注入了风险元素意识，因此可以为风险管理中的各个阶段提供间接无形的指导，可以帮助每个岗位的人作出更符合风险偏好和正确价值导向的决策。

3.更新了风险偏好概念

不同的行为者对风险的态度存在差异。根据新COSO-ERM，风险偏好是指企业为获得价值愿意选择承受的风险类型和数量。与原版比较，新ERM的风险偏好加入了风险的类型。企业风险管理有助于管理层将预期的价值创造与主体的风险偏好及其风险管理能力相匹配，并且随着时间的推移不断修正，使之更加协调。在风险偏好的范围内进行风险管理能够强化企业创造、保持和实现价值的能力。

4.提出风险绩效曲线

新COSO-ERM将风险与绩效关联，并给出了图形化的关系描述，即风险绩效曲线。风险绩效曲线的核心价值是用蓝色的上扬曲线、红色的风险线、紫色的目标线建立图形化的意识表达和描述。单个的风险和绩效并不总是一一对应的，但企业整体的风险与绩效肯定是相关的。为了体现风险与绩效的关系，企业需要全面了解战略绩效目标、可接受的绩效波动范围、风险偏好、风险容量等内容。风险可以用风险回报或其他风险相关指标代替。风险绩效曲线是基于原框架的一项系统性变革，它将风险相关概念间的影响关系简单形象地展现出来，更方便使用者理解和研究。

三、基于新COSO-ERM下的风险管理与内部控制的关系

（一）风险管理与内部控制的关系争议

企业的风险管理和内部控制既存在密切联系，又有一定的区别，在理论研究和应用领域备受争议。有观点认为，内部控制中包含了风险管理；也有观点认为，风险管理中包含了内部控制；还有观点认为理论上二者不存在差异。首先，二者的实施主体和最终目标是一致的，都注重企业战略发展、运营管理、财务管理等内容；其次，在实际的运行中，企业的风险管理和内部控制存在部分重合，容易交叉、混淆；最后，二者的范围和活动内容并非完全一致，内部控制中未涵盖企业经营目标的设定，尤其是没有评估战略目标和计划制订中的风险。

（二）风险管理与内部控制的关系界定

风险管理比内部控制的范围广泛得多。一是风险管理的内部环境丰富了控制环境的内涵，强调风险文化；二是风险管理更加认可风险评估的重要地位，扩展了内部控制中的风险评估过程；三是风险管理扩大了信息与沟通的范围，企业要考虑过去、现在和未来各种可能的信息和事项。内部控制是风险管理的重要实施手段。风险管理是保障内控机制运行的助力器。全面风险管理要求建立内部控制，并且关注内部控制的运行与评价，为持续改进内部控制设计和运行提供指导。

2013年，COSO在其发布的《内部控制—整合框架》文件附录中提出，企业风险管理是企业治理的组成部分，企业内部控制是企业风险管理的组成部分。

新COSO-ERM进一步明确了二者的关系：内部控制是全面风险管理的一个基础组成部分，二者不能等同或替代。新COSO-ERM特意避开了原框架关于控制活动的描述，把控制活动的内容划到内部控制体系中，二者的界限越来越清晰。

四、国内企业风险管理与内部控制运行中的问题

（一）主要问题

全面风险管理和内部控制属于新经济时代的概念，多数企业不知道如何理解两个体系以及如何妥善处理它们和企业管理之间的关系，结果是造成一定的管理混乱和资源重复投入。这些问题源于在最开始的组织结构设计上没有划清界限，定位不准，落地实施困难。

（二）其他问题

一是“救火式的制度”，能够很好地防范已发生过的风险，不能充分预计未发生但可能发生的风险；二是过多强调成本节约导致内控体系不健全，企业应当综合考虑内部控制的成本和绩效的对应关系；三是理论足够先进，制度却未得到有效执行，很多企业实例表明问题出在执行不到位，制度形同虚设。

在实际应用中，大多数企业风险管理和内部控制职能缺乏整体性、统一性、科学性，离期望目标差距较大。回顾中国企业走过的风险管理之路，是积累了一定经验之后才开始真正考虑风险管理和其他管理活动的关系，这是一个思考和转变的过程。企业需要结合自身行业、特性、环境要求等综合考虑，建设最适合自身的管理体系。

五、新COSO-ERM在企业风险管理体系建设中的实施要点

近年来，基于风险视角的企业管理理念发展迅速。全面风险管理不是在现有管理体系之外的新体系，而是在现有管理架构和职能基础上进行的升级优化。企业应当以框架五要素为指引，逐项分析核心要素，开展全面风险管理体系建设。通过对COSO-ERM的理解，现将实施要点列示如下。

（一）第一部分：治理和文化

培育风险文化需要强调董事会、高层的重视度，确定风险管理的总体基调，强调监督责任、管理、文化等内容。新COSO-ERM的第一个要素即治理和文化，主要涉及五项原则。一是实现董事会对风险的监督：董事会的监督支持至关重要，董事会落实对高级管理层的治理监督，关注风险管理工作的侧重点和体现价值的方式。二是建立运营架构：确定运营架构和汇报路线，包括不同权、责、利的分配；明确首席风险官、风险管理负责人及其他风险管理岗位设置和权责。三是定期宣贯组织文化：明确风险文化；设置顶层基调，保持组织的核心价值观、决策与全员的行为标准一致。四是展现对核心价值观的承诺：建立被充分理解的核心价值观，并落实到全员所有的决策和执行中；强化整个组织的问责机制；分别按级别和岗位进行绩效目标评估。五是吸引、发展并留住核心人才：识别核心岗位和人员，评估岗位胜任能力，实施绩效奖惩办法，开展定期和不定期评估。

（二）第二部分：战略和目标设定

按照德鲁克先生提出的目标管理法，一个好的目标应该符合SMART原则。战略和目标设定部分是新COSO-ERM的第二个要素，是企业按照设立的使命、愿景及核心价值观，制定符合治理和文化理念的企业战略和商业运营目标的要素，主要涉及四项原则。一是分析商业环境：考虑复杂的、动态的、难以预测的各种内外环境变化影响企业风险管理。二是定义风险偏好：确定风险偏好类型和风险度量标准，在不同的层级上保持风险偏好一致。三是评估备选战略：企业的任何战略都需要始终支持自身的使命和规划，传递企业的核心价值观，与自身的风险偏好相匹配；评估战略是否需要调整；降低决策偏见。四是建立商业目标：将战略目标分解为具体的、可量化和可观测的细分商业目标，制定具体的绩效考核标准。

（三）第三部分：实施与运行

实施与运行部分是新COSO-ERM的第三个要素，是指企业根据已经制定执行的战略目标要求，结合风险偏好参数，识别和评估风险内容，主要涉及五项原则。一是识别风险：根据战略规划目标设置，掌握企业面临的各项相关风险（了解客观风险、预测新兴风险），并持续监测风险变化；使用多种工具和方法识别（智能信息、数据跟踪、关键指标、流程分析、问卷调查、访谈、研讨会等）；对照风险清单对风险进行归类；风险识别日常化、流程化；扩充风险属性；保持对风险的再识别和再评估。二是评估风险严重程度：选择风险评估指标和评估方法；从不同维度评估风险的影响程度；明确固有风险，预测和评价剩余风险；考虑重新评估。三是进行风险排序：建立风险排序的标准，确定风险优先级，根据风险偏好和承受力评定风险级别。四是实施风险应对：选择风险应对措施（回避、接收、追求、降低、分担等），分析实施成本和效益，预测新风险。五是建立风险组合观念：分别从整体和分类组合角度分析风险影响（利用风险绩效曲线进行分析）。

（四）第四部分：审查与修订

当前环境发生巨变，企业最需要的是评估未来环境变动带来的最大变化。审查与修订部分是新COSO-ERM的第四个要素。企业的内外环境总在变化，及时针对变化审查和修订风险管理工作十分必要，主要涉及三项原则。一是评估重大变化：识别内外部环境变化而引起的重大变化；必须考虑的是重大人事变动，若有重要的人事变动，尤其是“一把手”变动时，对整个企业的风险偏好、风险承受度、风险文化等都会产生重大影响。二是审查风险和绩效：综合审查风险管理工作效果、绩效的增减情况。三是企业风险管理的持续改进和监督：选取一定的指标反映企业风险管理工作并持续改进，如新技术、运行过程中发现的缺点、风险偏好、风险分类、沟通的情况、行业对标、业务的发展速度等。

六、结语

风险一直存在。企业全面风险管理和内部控制的真正价值是支持企业战略和管理决策。新COSO-ERM正在推动一个以“风险管理技术支撑”的企业管理新时代的到来。企业通过全面对接新COSO-ERM，贯彻风险管理文化，强化信息沟通完善对不确定性部分的管理，并通过内部控制保证确定性部分的实施，有利于企业站在更高的维度优化企业治理机制，有利于构建起科学高效的“大组织体系”，有利于实现管理职能的精细化，最终合理保证企业生存发展、稳健运营、绩效提升和价值创造。