基于COSO-ERM(2017)的公司全面风险管理分析

　　摘    要：　随着经济全球化的发展，企业面临的风险日益复杂，越来越多企业意识到需要加强内部控制并完善风险管理以适应当今不断变化发展的环境。本文以COSO-ERM(2017)为基础，对企业风险管理的概念及理论框架进行阐述，进而从治理和文化、战略与目标设定、绩效、审查和修订及信息、沟通与报告五个要素对案例公司的风险管理现状进行分析并提出优化思路，以期为更多企业提供参考与借鉴。

　　关键词 :      COSO-ERM(2017);内部控制;全面风险管理;战略;绩效;

　　Abstract：　With the development of economic globalization, the risks faced by enterprises are increasingly complex. There is a need for internal control improvement and risk management optimization to meet the demands of an evolving business environment. Based on COSO-ERM(2017), this paper firstly defines the concept and the framework of enterprise risk management, and then analyzes the current situation of the case company's risk management from the following five interrelated components, including governance and culture, strategy and objective-setting, performance, reviewing and revising information, communication and reporting. Finally, it puts forward valuable suggestions, in order to provide references for more enterprises.

　　Keyword：　COSO-ERM(2017); internal control; comprehensive risk management; strategy; performance;

　　全球经济的高速融合发展使企业面临的内外部环境错综复杂，市场化改革进程也使风险发生的概率和危害程度与日俱增。为适应企业对风险管理的更高要求，COSO委员会于2017年9月发布了《企业风险管理——与战略和绩效的整合》(COSO-ERM(2017))[1]。该框架从企业使命、愿景及核心价值出发，将风险管理融入企业管理决策的全过程，进而实现企业价值的提高。

　　1、 风险管理的定义

　　随着企业风险管理理论和实践的不断发展，风险管理的定义也在发生变化。COSO-ERM(2004)[2]将其定义为“风险管理是一个由企业的董事会、管理层和其他员工共同参与的过程，贯穿于企业战略制定及企业的各项活动中，用于识别可能影响企业的潜在事项、管理风险并使其在企业的风险偏好之内，从而为企业各种目标的实现提供合理保证。”而COSO-ERM(2017)将其定义为“组织在创造、保存、实现价值的过程中，结合战略制定和实施，赖以进行风险管理的文化、能力和实践。”

　　可见新版更倾向于认为它是一种整合融入商业运营及管理决策中的有利于提高企业价值的综合治理活动，涵盖了治理、绩效管理和内部控制工作[3]。

　　2 、COSO-ERM(2017)框架的主要内容

　　2.1、 治理和文化

　　治理对企业风险管理的重要性进行阐释，明确了企业管理者的监督职责，奠定了企业的经营基调；文化则通过道德价值观、期望行为及对风险的理解等方面影响企业的决策。

　　2.2、 战略与目标设定

　　在战略规划过程中，企业风险管理、战略和目标设定是密切联系的。企业应设立与战略相匹配的风险偏好，并设定目标以保证企业战略的施行，作为识别、评估和应对风险的基础。

　　2.3 、绩效

　　企业应识别并评估可能影响企业战略决策、重要经营活动目标实现的各项风险，结合风险偏好及风险的影响程度进行排序，以风险组合观评估风险总量及选择相应的策略，并将结果向风险主要利益相关方报告。

　　2.4、 审查和修订

　　企业对绩效的执行情况进行审查，对风险管理各要素在内外部环境引发的经营重大变化、风险管理及企业绩效工作中的运行情况进行评价，并根据需要及时对要素进行修订，以提升企业的风险管理水平。

　　2.5、 信息、沟通与报告

　　企业风险管理需要加大对信息的运用，建立一个能持续不断从组织内外部获取和共享信息，并使信息在组织内实现全方位高效传递的流程。

　　3 、基于COSO-ERM (2017)的W公司全面风险管理分析

　　W公司成立于2012年9月，是G集团下设的全资子公司，主营钢材供销、混凝土产销、物资租赁、设备采保等业务。近年来，W公司为更好地保障地铁建设并拓展新业务领域，进一步加强了内部控制和风险管理，防范经营风险。

　　3.1、 W公司全面风险管理现状

　　3.1.1 、治理和文化

　　(1)架构了风险管理组织。W公司内控组织架构实行三级管理。内控领导小组是决策机构，负责内控重大事项的决策；内控管理部门是监督管理机构，负责内控管理工作有效性的监督及公司整体风险的统筹监管；公司各部门是执行机构，负责具体执行内控管理的制度。公司还建立了以总经理、各部门、各经办人员三个层面分级负责、主动管理的风险管理组织系统，使各层级承担相应的风险防范职能，共同推进企业的风险管理工作。

　　(2)建立了较完善的制度。W公司以制度完善和流程梳理为切入点，聘请外部专业机构协助，共同完成1份内控手册、87份制度、180份流程图、表单及风险矩阵的汇编。此外，各部门每年都会制定制度修编计划，根据公司组织架构变化及业务开展情况对制度和流程进行修编，进一步建立健全制度层面的风险管控。

　　3.1.2、 战略与目标设定

　　W公司从“打造美好城市生活的提供商和运营商”的企业愿景出发，参照集团战略目标制定自身战略规划并设立相匹配的风险偏好。以“回归主营、保障地铁”为指导思想，设立了“构建地铁物资供应、混凝土供应双轮驱动的良好发展格局，积极拓展业务范围”的战略目标。围绕做实、做深、做优“甲供、钢支撑、混凝土”三大核心业务，立足地铁建设，做好“地铁+N”的物资保障服务。

　　3.1.3、 绩效

　　W公司在外部专业机构的协助下编制了《风险评估管理办法》，依据战略目标，建立了从风险识别到持续改进的风险防范和处置体系，实施闭环管理。

　　(1)识别业务关键风险点。W公司主要通过应用业务流程图、《物资贸易业务风险管控制度》识别各业务的关键风险点。因规模限制，W公司目前的风险识别主要采取分析讨论会的方式进行。

　　(2)编制风险控制矩阵。W公司从风险发生的可能性和风险影响程度两个维度分别设置了评估标准，主要采取定性的分析方法，将识别的风险分为高、中、低三级，根据评级结果确定风险管理的次序，编制风险控制矩阵，重点关注高风险流程节点的控制。

　　(3)分级应对风险。W公司根据评估所得的风险等级和重要性选择相应的风险应对措施。重大风险实施从源头防范的专项管理；重要风险密切监控并及时预警；一般性风险通过日常内部控制落实解决。

　　3.1.4、 审查和修订

　　W公司整合内部监督资源，定期对影响战略和绩效目标实现的风险进行分析、把控和责任落实。第一，加强对重大和重要风险的监督管控，公司内控管理部门定期组织内控评价小组，通过现场勘查、调研等方式对重大和重要风险进行分析并改进应对方案。第二，做好督查督办工作的落实和登记，并不断完善运行机制。第三，通过定期召开经营分析会，对绩效的执行效果进行反馈，深入分析影响各经营指标实现的关键因素并提出改进措施。

　　3.1.5 、信息、沟通与报告

　　W公司建立了明确的信息沟通机制，通过会议、文件、办公网络等渠道，实现内部信息传递，并加强与集团公司、客户、供应商等外部单位的沟通。同时，各部门定期对核心业务及生产流程、行政流程提出信息化优化需求，用信息手段固化防控流程。此外，内控管理部门定期开展风险管理检查，向内控领导小组提交风险管理报告，根据风险管理情况同步制定整改、完善措施并列入制度。

　　3.2 、W公司全面风险管理存在的问题

　　3.2.1、 风险文化不够深入，专业人才缺乏

　　W公司的风险管理与文化建设尚未有效融合。领导层对风险管理较为重视，但员工存在风险意识不高或对风险认知不统一的情况，风险管理理念的培训和宣传有待加强。同时，内控管理部门的风险管理仍局限于内控制度，缺乏将风险与绩效综合考虑的思路，且因缺乏专业性人才，监管执行程度参差不齐。

　　3.2.2 、战略规划缺乏具体执行措施，且未能适时调整

　　W公司设定战略目标时，对内外部环境因素考虑不够全面，战略规划难以随着内外部环境的变化及时调整，容易导致执行偏离战略目标。另外，战略规划制定缺乏阶段性业务目标的具体实施步骤和措施，也会导致规划难以实现。

　　3.2.3、 风险识别、评估与应对能力有待提高

　　W公司风险识别不够全面，主要识别了流程层面的风险，对外部政策和市场风险的有效评估不足。此外，W公司未采用风险组合观制定风险管理方案，未能从效益最大化的角度对风险组合加以优化。

　　3.2.4 、风险管理考核和绩效激励机制有待完善

　　W公司虽定期对绩效实行考核，但现阶段缺乏对风险管理有效性进行评估的工具，未将风险管理的整体效果与绩效的实际情况整合考虑。同时，因地铁项目需求量减少，为调动员工开拓新业务的积极性，需完善绩效激励机制。

　　3.2.5、 信息化建设有待提高

　　W公司风险信息来源较局限，主要依靠已发生事件和个人经验，对未知风险的预判力不足，风险数据质量无法得到保障，且公司信息化较薄弱，各信息技术系统之间的集成性有待提高，现阶段未能充分利用信息化系统实时更新数据并实现数据共享，管理者未能通过系统获取全面的信息进行风险管控。

　　3.3 、W公司全面风险管理的优化思路

　　3.3.1、 完善治理和文化建设

　　(1)培养专业人才。为更好地发挥治理职能，W公司应根据自身发展战略，建立和完善人力资源规划方案，通过外部引进和内部培养的方式，培养专业化的风险管理、信息技术人才，打造风险管理专业化团队。

　　(2)转变风险管理理念，培育全面风险管理文化。W公司应将风险管理理念从“一个流程或程序”转变为“一种管理风险和创造价值的方式”，将公司的风险偏好和核心价值观融入经营决策中[4]。同时，应加强对员工风险管理理念的宣传，提高员工的风险管理意识，营造全员参与的全面风险管理文化氛围。

　　3.3.2 、合理制定企业战略目标

　　制定战略目标时，W公司应综合考虑内外部环境的变化，重点关注市场需求和行业动态，分析自身优劣势，对核心业务的市场前景、今后的发展方向及核心竞争力进行系统分析[5]，并在执行过程中适时进行战略调整。同时，应将战略目标从时间维度进行量化和细分，设置具体实施步骤和措施，分解责任到各部门，推动战略规划落实。

　　3.3.3、 加强风险识别、评估与应对

　　W公司应以战略规划为依据，基于内外部市场变化等因素对战略选择以及战略决策不当引发的风险进行分析。树立风险组合观，从总体层面考虑公司的各项业务，分析风险事件之间的相互影响，进行风险管理方案制定并适时调整风险组合。还应注意正确平衡风险和收益，一方面防止忽略风险、片面追求收益的行为，另一方面要避免因单纯规避风险而放弃机遇[6]。

　　3.3.4 、优化风险管理考核体系，完善绩效激励机制

　　(1)制定风险管理考评办法。W公司可通过制定《全面风险管理工作考评办法》，明确考评的组织机构、对象、内容、方法，对公司各个层面的重大和重要风险事项的管理流程、业务流程的管控效果进行考评，并持续按照PDCA的循环方法对全面风险管理体系加以改进[7]。

　　(2)完善绩效激励机制。提高绩效是企业风险管理的重要目标，W公司应将风险管理效果融入组织和员工的绩效考核中。通过建立风险管理KPI考核指标，从风险体系的建设情况、风险管理的开展情况、风险管理运行效果等方面对各部门进行考核，作为绩效分配的依据。同时，为调动员工的积极性，W公司可对风险管理成绩显着的员工给予奖励，以强化各级人员的风险意识，进而确保企业在经营过程中，能正确把握好风险和绩效的关系。

　　3.3.5 、推进风险管理数字化转型

　　W公司应加大对现有系统的研发和维护力度，将战略层、业务层、财务层三个层次的信息系统全链条集成，打造统一数据平台。同时，应建立动态风险信息数据库，通过对数据全面的搜集、筛选、存储和分析，改善W公司数据质量不高的现状。另外，应持续推动风险管理体系与信息系统的融合，为全面风险管理方案和策略的实施、流程执行及管理工具的选择提供技术支持，让数据帮助公司更及时、准确地发现和应对风险，进而创造更大的价值。

　　4 、结语

　　本文从COSO-ERM(2017)五大要素对案例公司的全面风险管理现状进行分析，提出了完善治理和文化建设，合理制定企业战略目标，加强风险识别、评估与应对，优化风险管理考核体系、完善绩效激励机制推进风险管理数字化转型等优化建议。面对当今世界的多元化风险，企业应建立健全全面风险管理体系，加强内部控制，精准战略定位，量化风险管理的绩效指标，实行经营全过程的风险管理，促进企业战略目标、绩效和风险管理协同发展。另外，应在规避风险的同时抓住机遇，实现企业的可持续发展和利益的最大化。

　　参考文献

　　[1] The Comiteeof Sponsoring Organizations of the Treadway Commission(COSO)."Enterprise Risk Management Integrating with Strategy and Performance Executive Summary",COSO,2017.

　　[2] The Committee of Sponsoring Organizations of the Treadway Commission (COSO)."Enterprise Risk Management-Integrated Framework",COSO,2004.

　　[3]周婷婷张浩COSOERM框架的新动向-从过程控制到战略绩效整合[J]会计之友,2018(17):82-85.

　　[4]张黎焱于新COSO-ERM框架的电影制片上市公司风险管理研究[]当代电影.2020(11):84-89.

　　[5]张蕾基于COSO- ERM的实践探索以G公司为例[J]行政事业资产与财务,2020(22):53-54.

　　[6]王农跃企业全面风险管理体系构建研究[D].天津河北工业大学,2008.

　　[7]李翕然基于内部控制的集团企业风险管理研究-以能源集团企业为例[J]技术经济与管理研究, 2015(4):63-67.