基于COSO-ERM的企業(yè)全面風險管理優(yōu)化研究

摘 要：隨著經濟全球化的發(fā)展，企業(yè)面臨的風險日益復雜，越來越多企業(yè)意識到需要加強內部控制并完善風險管理以適應當今不斷變化發(fā)展的環(huán)境。本文以COSO-ERM（2017）為基礎，對企業(yè)風險管理的概念及理論框架進行闡述，進而從治理和文化、戰(zhàn)略與目標設定、績效、審查和修訂及信息、溝通與報告五個要素對案例公司的風險管理現(xiàn)狀進行分析并提出優(yōu)化思路，以期為更多企業(yè)提供參考與借鑒。

關鍵詞：COSO-ERM（2017）;內部控制;全面風險管理;戰(zhàn)略;績效

本文索引：甄怡悅.<標題>[J].中國商論，2021（21）：-136.

中圖分類號：F272.3 文獻標識碼：A 文章編號：2096-0298（2021）11（a）--03

全球經濟的高速融合發(fā)展使企業(yè)面臨的內外部環(huán)境錯綜復雜，市場化改革進程也使風險發(fā)生的概率和危害程度與日俱增。為適應企業(yè)對風險管理的更高要求，COSO委員會于2017年9月發(fā)布了《企業(yè)風險管理——與戰(zhàn)略和績效的整合》（COSO-ERM（2017））[1]。該框架從企業(yè)使命、愿景及核心價值出發(fā)，將風險管理融入企業(yè)管理決策的全過程，進而實現(xiàn)企業(yè)價值的提高。

1 風險管理的定義

隨著企業(yè)風險管理理論和實踐的不斷發(fā)展，風險管理的定義也在發(fā)生變化。COSO-ERM（2004）[2]將其定義為“風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的過程，貫穿于企業(yè)戰(zhàn)略制定及企業(yè)的各項活動中，用于識別可能影響企業(yè)的潛在事項、管理風險并使其在企業(yè)的風險偏好之內，從而為企業(yè)各種目標的實現(xiàn)提供合理保證。”而COSO-ERM（2017）將其定義為“組織在創(chuàng)造、保存、實現(xiàn)價值的過程中，結合戰(zhàn)略制定和實施，賴以進行風險管理的文化、能力和實踐?！?/p>

可見新版更傾向于認為它是一種整合融入商業(yè)運營及管理決策中的有利于提高企業(yè)價值的綜合治理活動，涵蓋了治理、績效管理和內部控制工作[3]。

2 COSO-ERM（2017）框架的主要內容

2.1 治理和文化

治理對企業(yè)風險管理的重要性進行闡釋，明確了企業(yè)管理者的監(jiān)督職責，奠定了企業(yè)的經營基調;文化則通過道德價值觀、期望行為及對風險的理解等方面影響企業(yè)的決策。

2.2 戰(zhàn)略與目標設定

在戰(zhàn)略規(guī)劃過程中，企業(yè)風險管理、戰(zhàn)略和目標設定是密切聯(lián)系的。企業(yè)應設立與戰(zhàn)略相匹配的風險偏好，并設定目標以保證企業(yè)戰(zhàn)略的施行，作為識別、評估和應對風險的基礎。

2.3 績效

企業(yè)應識別并評估可能影響企業(yè)戰(zhàn)略決策、重要經營活動目標實現(xiàn)的各項風險，結合風險偏好及風險的影響程度進行排序，以風險組合觀評估風險總量及選擇相應的策略，并將結果向風險主要利益相關方報告。

2.4 審查和修訂

企業(yè)對績效的執(zhí)行情況進行審查，對風險管理各要素在內外部環(huán)境引發(fā)的經營重大變化、風險管理及企業(yè)績效工作中的運行情況進行評價，并根據(jù)需要及時對要素進行修訂，以提升企業(yè)的風險管理水平。

2.5 信息、溝通與報告

企業(yè)風險管理需要加大對信息的運用，建立一個能持續(xù)不斷從組織內外部獲取和共享信息，并使信息在組織內實現(xiàn)全方位高效傳遞的流程。

3 基于 COSO-ERM （2017）的W公司全面風險管理分析

W公司成立于2012年9月，是G集團下設的全資子公司，主營鋼材供銷、混凝土產銷、物資租賃、設備采保等業(yè)務。近年來，W公司為更好地保障地鐵建設并拓展新業(yè)務領域，進一步加強了內部控制和風險管理，防范經營風險。

3.1 W公司全面風險管理現(xiàn)狀

3.1.1 治理和文化

（1）架構了風險管理組織。W公司內控組織架構實行三級管理。內控領導小組是決策機構，負責內控重大事項的決策;內控管理部門是監(jiān)督管理機構，負責內控管理工作有效性的監(jiān)督及公司整體風險的統(tǒng)籌監(jiān)管;公司各部門是執(zhí)行機構，負責具體執(zhí)行內控管理的制度。公司還建立了以總經理、各部門、各經辦人員三個層面分級負責、主動管理的風險管理組織系統(tǒng)，使各層級承擔相應的風險防范職能，共同推進企業(yè)的風險管理工作。

（2）建立了較完善的制度。W公司以制度完善和流程梳理為切入點，聘請外部專業(yè)機構協(xié)助，共同完成1份內控手冊、87份制度、180份流程圖、表單及風險矩陣的匯編。此外，各部門每年都會制定制度修編計劃，根據(jù)公司組織架構變化及業(yè)務開展情況對制度和流程進行修編，進一步建立健全制度層面的風險管控。

3.1.2 戰(zhàn)略與目標設定

W公司從 “打造美好城市生活的提供商和運營商”的企業(yè)愿景出發(fā)，參照集團戰(zhàn)略目標制定自身戰(zhàn)略規(guī)劃并設立相匹配的風險偏好。以“回歸主營、保障地鐵”為指導思想，設立了“構建地鐵物資供應、混凝土供應雙輪驅動的良好發(fā)展格局，積極拓展業(yè)務范圍”的戰(zhàn)略目標。圍繞做實、做深、做優(yōu)“甲供、鋼支撐、混凝土”三大核心業(yè)務，立足地鐵建設，做好“地鐵+N”的物資保障服務。

3.1.3 績效

W公司在外部專業(yè)機構的協(xié)助下編制了《風險評估管理辦法》，依據(jù)戰(zhàn)略目標，建立了從風險識別到持續(xù)改進的風險防范和處置體系，實施閉環(huán)管理。

（1）識別業(yè)務關鍵風險點。W公司主要通過應用業(yè)務流程圖、《物資貿易業(yè)務風險管控制度》識別各業(yè)務的關鍵風險點。因規(guī)模限制，W公司目前的風險識別主要采取分析討論會的方式進行。

（2）編制風險控制矩陣。W公司從風險發(fā)生的可能性和風險影響程度兩個維度分別設置了評估標準，主要采取定性的分析方法，將識別的風險分為高、中、低三級，根據(jù)評級結果確定風險管理的次序，編制風險控制矩陣，重點關注高風險流程節(jié)點的控制。

（3）分級應對風險。W公司根據(jù)評估所得的風險等級和重要性選擇相應的風險應對措施。重大風險實施從源頭防范的專項管理;重要風險密切監(jiān)控并及時預警;一般性風險通過日常內部控制落實解決。

3.1.4 審查和修訂

W公司整合內部監(jiān)督資源，定期對影響戰(zhàn)略和績效目標實現(xiàn)的風險進行分析、把控和責任落實。第一，加強對重大和重要風險的監(jiān)督管控，公司內控管理部門定期組織內控評價小組，通過現(xiàn)場勘查、調研等方式對重大和重要風險進行分析并改進應對方案。第二，做好督查督辦工作的落實和登記，并不斷完善運行機制。第三，通過定期召開經營分析會，對績效的執(zhí)行效果進行反饋，深入分析影響各經營指標實現(xiàn)的關鍵因素并提出改進措施。

3.1.5 信息、溝通與報告

W公司建立了明確的信息溝通機制，通過會議、文件、辦公網(wǎng)絡等渠道，實現(xiàn)內部信息傳遞，并加強與集團公司、客戶、供應商等外部單位的溝通。同時，各部門定期對核心業(yè)務及生產流程、行政流程提出信息化優(yōu)化需求，用信息手段固化防控流程。此外，內控管理部門定期開展風險管理檢查，向內控領導小組提交風險管理報告，根據(jù)風險管理情況同步制定整改、完善措施并列入制度。

3.2 W公司全面風險管理存在的問題

3.2.1 風險文化不夠深入，專業(yè)人才缺乏

W公司的風險管理與文化建設尚未有效融合。領導層對風險管理較為重視，但員工存在風險意識不高或對風險認知不統(tǒng)一的情況，風險管理理念的培訓和宣傳有待加強。同時，內控管理部門的風險管理仍局限于內控制度，缺乏將風險與績效綜合考慮的思路，且因缺乏專業(yè)性人才，監(jiān)管執(zhí)行程度參差不齊。

3.2.2 戰(zhàn)略規(guī)劃缺乏具體執(zhí)行措施，且未能適時調整

W公司設定戰(zhàn)略目標時，對內外部環(huán)境因素考慮不夠全面，戰(zhàn)略規(guī)劃難以隨著內外部環(huán)境的變化及時調整，容易導致執(zhí)行偏離戰(zhàn)略目標。另外，戰(zhàn)略規(guī)劃制定缺乏階段性業(yè)務目標的具體實施步驟和措施，也會導致規(guī)劃難以實現(xiàn)。

3.2.3 風險識別、評估與應對能力有待提高

W公司風險識別不夠全面，主要識別了流程層面的風險，對外部政策和市場風險的有效評估不足。此外，W公司未采用風險組合觀制定風險管理方案，未能從效益最大化的角度對風險組合加以優(yōu)化。

3.2.4 風險管理考核和績效激勵機制有待完善

W公司雖定期對績效實行考核，但現(xiàn)階段缺乏對風險管理有效性進行評估的工具，未將風險管理的整體效果與績效的實際情況整合考慮。同時，因地鐵項目需求量減少，為調動員工開拓新業(yè)務的積極性，需完善績效激勵機制。

3.2.5 信息化建設有待提高

W公司風險信息來源較局限，主要依靠已發(fā)生事件和個人經驗，對未知風險的預判力不足，風險數(shù)據(jù)質量無法得到保障，且公司信息化較薄弱，各信息技術系統(tǒng)之間的集成性有待提高，現(xiàn)階段未能充分利用信息化系統(tǒng)實時更新數(shù)據(jù)并實現(xiàn)數(shù)據(jù)共享，管理者未能通過系統(tǒng)獲取全面的信息進行風險管控。

3.3 W公司全面風險管理的優(yōu)化思路

3.3.1 完善治理和文化建設

（1）培養(yǎng)專業(yè)人才。為更好地發(fā)揮治理職能，W公司應根據(jù)自身發(fā)展戰(zhàn)略，建立和完善人力資源規(guī)劃方案，通過外部引進和內部培養(yǎng)的方式，培養(yǎng)專業(yè)化的風險管理、信息技術人才，打造風險管理專業(yè)化團隊。

（2）轉變風險管理理念，培育全面風險管理文化。W公司應將風險管理理念從“一個流程或程序”轉變?yōu)椤耙环N管理風險和創(chuàng)造價值的方式”，將公司的風險偏好和核心價值觀融入經營決策中[4]。同時，應加強對員工風險管理理念的宣傳，提高員工的風險管理意識，營造全員參與的全面風險管理文化氛圍。

3.3.2 合理制定企業(yè)戰(zhàn)略目標

制定戰(zhàn)略目標時，W公司應綜合考慮內外部環(huán)境的變化，重點關注市場需求和行業(yè)動態(tài)，分析自身優(yōu)劣勢，對核心業(yè)務的市場前景、今后的發(fā)展方向及核心競爭力進行系統(tǒng)分析[5]，并在執(zhí)行過程中適時進行戰(zhàn)略調整。同時，應將戰(zhàn)略目標從時間維度進行量化和細分，設置具體實施步驟和措施，分解責任到各部門，推動戰(zhàn)略規(guī)劃落實。

3.3.3 加強風險識別、評估與應對

W公司應以戰(zhàn)略規(guī)劃為依據(jù)，基于內外部市場變化等因素對戰(zhàn)略選擇以及戰(zhàn)略決策不當引發(fā)的風險進行分析。樹立風險組合觀，從總體層面考慮公司的各項業(yè)務，分析風險事件之間的相互影響，進行風險管理方案制定并適時調整風險組合。還應注意正確平衡風險和收益，一方面防止忽略風險、片面追求收益的行為，另一方面要避免因單純規(guī)避風險而放棄機遇[6]。

3.3.4 優(yōu)化風險管理考核體系，完善績效激勵機制

（1）制定風險管理考評辦法。W公司可通過制定《全面風險管理工作考評辦法》，明確考評的組織機構、對象、內容、方法，對公司各個層面的重大和重要風險事項的管理流程、業(yè)務流程的管控效果進行考評，并持續(xù)按照PDCA的循環(huán)方法對全面風險管理體系加以改進[7]。

（2）完善績效激勵機制。提高績效是企業(yè)風險管理的重要目標，W公司應將風險管理效果融入組織和員工的績效考核中。通過建立風險管理KPI考核指標，從風險體系的建設情況、風險管理的開展情況、風險管理運行效果等方面對各部門進行考核，作為績效分配的依據(jù)。同時，為調動員工的積極性，W公司可對風險管理成績顯著的員工給予獎勵，以強化各級人員的風險意識，進而確保企業(yè)在經營過程中，能正確把握好風險和績效的關系。

3.3.5 推進風險管理數(shù)字化轉型

W公司應加大對現(xiàn)有系統(tǒng)的研發(fā)和維護力度，將戰(zhàn)略層、業(yè)務層、財務層三個層次的信息系統(tǒng)全鏈條集成，打造統(tǒng)一數(shù)據(jù)平臺。同時，應建立動態(tài)風險信息數(shù)據(jù)庫，通過對數(shù)據(jù)全面的搜集、篩選、存儲和分析，改善W公司數(shù)據(jù)質量不高的現(xiàn)狀。另外，應持續(xù)推動風險管理體系與信息系統(tǒng)的融合，為全面風險管理方案和策略的實施、流程執(zhí)行及管理工具的選擇提供技術支持，讓數(shù)據(jù)幫助公司更及時、準確地發(fā)現(xiàn)和應對風險，進而創(chuàng)造更大的價值。

4 結語

本文從COSO-ERM（2017）五大要素對案例公司的全面風險管理現(xiàn)狀進行分析，提出了完善治理和文化建設，合理制定企業(yè)戰(zhàn)略目標，加強風險識別、評估與應對，優(yōu)化風險管理考核體系、完善績效激勵機制推進風險管理數(shù)字化轉型等優(yōu)化建議。面對當今世界的多元化風險，企業(yè)應建立健全全面風險管理體系，加強內部控制，精準戰(zhàn)略定位，量化風險管理的績效指標，實行經營全過程的風險管理，促進企業(yè)戰(zhàn)略目標、績效和風險管理協(xié)同發(fā)展。另外，應在規(guī)避風險的同時抓住機遇，實現(xiàn)企業(yè)的可持續(xù)發(fā)展和利益的最大化。

參考文獻

[1]TheCommitteeof Sponsoring Organizations of the Treadway Commission（COSO）.“Enterprise Risk Management Integrating with Strategy and Performance Executive Summary”，COSO，2017.

[2]The Committee of Sponsoring Organizations of the Treadway Commission （COSO）.“Enterprise Risk Management- Integrated Framework”，COSO，2004.

[3]周婷婷，張浩.COSOERM框架的新動向——從過程控制到戰(zhàn)略績效整合[J].會計之友，2018（17）：82-85.

[4]張黎焱.基于新COSO-ERM框架的電影制片上市公司風險管理研究[J].當代電影，2020（11）：84-89.

[5]張蕾.基于COSO—ERM的實踐探索——以G公司為例[J].行政事業(yè)資產與財務，2020（22）：53-54.

[6]王農躍.企業(yè)全面風險管理體系構建研究[D].天津：河北工業(yè)大學，2008.

[7]李翕然.基于內部控制的集團企業(yè)風險管理研究——以能源集團企業(yè)為例[J].技術經濟與管理研究，2015（4）：63-67.

Research on Enterprise Risk Management Optimization Based on COSO-ERM

Xiamen Metro Transit Materials Co.，Ltd.? ZHEN Yiyue

Abstract： With the development of economic globalization， the risks faced by enterprises are increasingly complex. There is a need for internal control improvement and risk management optimization to meet the demands of an evolving business environment. Based on COSO-ERM（2017）， this paper firstly defines the concept and the framework of enterprise risk management， and then analyzes the current situation of the case company's risk management from the following five interrelated components， including governance and culture， strategy and objective-setting， performance， reviewing and revising information， communication and reporting. Finally， it puts forward valuable suggestions， in order to provide references for more enterprises.

Keywords： COSO-ERM（2017）; internal control; comprehensive risk management; strategy; performance