美國COSO框架對社保經辦機構風險管理的啟示

20世紀90年代以后，許多國家政府以及有關國際組織紛紛加大了對風險管理的研究，并發布了一系列的文告，就風險管理問題作出了規定，其中，尤以2004年9月美國COSO正式發布的《企業風險管理——整合框架》最具代表性，是當前世界上風險管理領域最為權威的文獻，得到了世界各國的廣泛采用。目前，隨著覆蓋城鄉居民的社會保障體系的基本建立，社會保險工作的面更廣、點更多、線更長、量更大，社會保險業務面臨的管理風險也隨之變得更多、更大，這要求我們必須盡快建立健全風險管理制度，構筑預防違規違法事件發生的“防火墻”，從而確保社會保險基金安全。在這種背景下，認真研究和參考包括企業風險管理整合框架在內的相關的國際權威文獻，無疑具有十分突出的理論價值和現實意義。

COSO風險管理整合框架認為，主體的目標包括：①戰略目標，是高層次的目標，它應與組織的使命一致并支持該使命；②經營目標，組織應當有效和高效率地利用其資源；③報告目標，組織應當提供可靠的報告；④遵循目標（合規目標），即組織應當遵循相關的法律規章。企業風險管理實際就是為實現上述目標提供合理的保證。

COSO風險管理整合框架強調，企業風險管理包含以下方面的作用：

1．協調風險偏好和戰略。管理層在評估不同的戰略、確定相關目標、建立相關風險的管理機制時，應考慮組織的風險偏好。

2．改進風險反應決策。企業風險管理要求識別并在不同的風險應對策略（包括規避、降低、分擔與接受風險）中做出選擇。

3．減少經營意外與損失。提高組織識別潛在的事項并作出反應，減少意外事項及相關的成本或損失的能力。

4．識別并管理多個企業之間以及企業內部的風險。每一個企業都面臨無數的、會影響組織不同方面的風險，企業風險管理應當有助于對相關關聯的影響作出有效的反應，并對多個企業的風險作出整體性反應。

5．抓住機會。通過考慮所有潛在事項，管理層應當能夠識別并實現機會。

6．改善資本的配置。在獲得關于風險的信息后，管理層可以有效地評估總體資本需求并改進資本的配置。

企業風險管理所固有的這些作用，有助于管理層實現組織的經營和盈利目標，并防止資源損失。企業風險管理有助于保證提供有效的財務報告和對法律規章的遵循，并有助于避免組織聲譽的損害及相關不良后果。總之，企業風險管理不僅幫助企業到達期望的目的地，還有助于避開前進途中的隱患和意外。

COSO風險管理整合框架指出，企業風險管理包含八個相互關聯的要素。這些要素來源于管理層管理企業的方法，并與管理過程合成一個整體。這些要素包括：

1．內部環境。內部環境包含了組織的風格，它確定了組織人員如何看待和處理風險的基礎，是其他要素的基礎。內部環境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。

2．目標設定。在管理層辨別影響其目標實現的潛在事項之前，必須有目標。企業風險管理要求管理層設定目標，選擇的目標需要能夠支持組織的使命并與組織使命相一致，并與其風險偏好相一致。

3．事項識別。即識別那些影響組織目標實現的內外部事項，并區分為風險和機會。機會將被考慮進管理層的戰略或目標設定過程中。

4．風險評估。必須對風險加以分析，考慮其發生的可能性以及影響，并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。

5．風險應對。管理層應在不同的風險應對（包括回避、接受、降低、分擔風險）中做出選擇，從而采取一系列與組織的風險容忍度和風險偏好相一致的行動。

6．控制活動。應建立相關的政策和程序，以確保風險應對策略得到有效的執行。控制活動通常包括兩個要素：一是確定應該做什么的政策，二是實現政策的程序。

7．信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通，從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上，包括向下、向上以及平行相互溝通。

8．監控。整個企業風險管理都應當加以監控并根據需要作出調整。監督可以通過持續性的管理活動、單獨評價或者二者同時來實現。

從以上COSO風險管理整合框架內容和要求上來看，對社會保險經辦機構構建風險管理體系有如下啟示：

1．要將風險管理與內部控制聯系在一起。風險管理涵蓋了內部控制，將之作為一個子系統，從時間先后和內容上來看，風險管理比內部控制更廣泛，是對內部控制的拓展和延伸。內部控制的動力來自對風險的認識和管理，對于單位的所有業務流程之中的風險，內控系統是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統也是許多法律法規的合規要求。因此，社會保險經辦機構應當建立并維持有效的內部控制系統以實現風險管理。

2．風險管理應當融入到日常經辦活動中。風險管理針對的是經辦活動中對目標實現產生影響的風險事項，因此，風險管理必須與經辦活動緊密地結合在一起，要涵蓋組織機構、登記征繳、待遇核定、基金核算和信息技術等環節，在經辦活動中處處體現風險管理的理念與做法，這不僅有助于及時識別社會保險經辦機構所面臨的風險事項，也有助于降低風險管理成本、提高風險管理效率。

3．重視個人的作用。COSO框架強調每個人在企業風險管理中的作用，明確指出：在企業中，不僅僅是董事會或者風險管理官員，其他人員，如內部審計師、財務官員以及組織中的每一個人都對企業風險管理負有一定的責任，都能夠對其過程施加一定的影響，因而所有員工的職能與責任都應該被很好地界定和溝通。因此，社會保險經辦機構要建立多層級風險責任機制，機構負責人對風險管理的整體有效性負有領導責任，各部門負責人對本部門風險管理的有效性承擔責任，其他人員主動識別、報告和控制自身經辦行為的風險，并對自身經辦風險行為承擔責任。這有利于督促經辦機構的所有職工重視風險管理問題，把維護及改善經辦機構的風險管控當作自己的事，而不是站在與領導層對立的角度，被動地執行各自的任務。

4．構建暢通的信息與溝通渠道。信息和溝通對于良好的風險管理相當重要，職工要了解風險管理措施，并有順暢的向上溝通風險管理的渠道，領導層要及時向職工了解經辦機構面臨的重大風險及其管理情況。在大多數情況下，一個組織中的正常報告途徑就是恰當的溝通渠道。但是，在一些情況下，如果正常的渠道不起作用，就需要單獨的溝通途徑來充當自動預防故障機制，如設立意見箱、網絡投訴、網絡互動等，給職工提供直接向領導層溝通的渠道，這樣，信息的向上流動才不會被閉塞。

5．對風險管理過程進行監控。風險管理是一個持續的、動態的過程，社保經辦機構的內、外部環境在不斷地變化，這決定了原先的控制未必有效，因此，必須對風險管理過程進行監控，從而找出其缺陷和不足并及時采取補救措施。監控可以通過持續的活動或者專門評價兩種方式進行。持續監控發生在管理活動的正常進程中，包括關鍵風險指標的差異分析、新出現的風險或原有風險的重大變化，以及應對非預期的突發事件等。專門評價的范圍和頻率主要取決于管理風險過程中的相關控制的重要性，程度較高的風險事項往往會被經常評價。

6．正確把握風險偏好。COSO框架在風險管理方面提出了一個重要概念——風險偏好，它是為了實現企業目標、企業和員工在承擔風險的種類、大小等方面的基本態度。在實際工作中我們不難發現，不同的人風險偏好存在差異性，這就是為什么對同一風險事項，有的人高度重視，采取積極防控措施，而有的人卻不以為然，疏于防范的原因，而這兩種態度有可能會產生截然不同的后果。因此，社保經辦機構在確定風險應對方案時，要合理分析、準確掌握各級管理人員、關鍵崗位工作人員的風險偏好，采取適當的控制措施，避免因個人風險偏好給經辦管理帶來重大損失。

（作者單位：廣西壯族自治區社會保險事業局）