基于COSO―ERM的實踐探索

摘 要：本文以新修訂的COSO―ERM（2017）框架中五大風險管理要素和管理原則為指導，概述G公司多年來的風險管理實踐探索經驗，總結企業風險管理建設的各項重要環節，幫助企業獲得戰略、績效與風險的協同效益，提升企業價值。

關鍵詞：風險管理;內部控制;實踐經驗

風險管理理論以COSO―ERM框架為代表，新修訂的COSO―ERM（2017）框架重新確定了5項風險管理要素和20條原則，引導企業識別和評估風險，提升企業績效和價值。

一、治理和文化要素實踐經驗

1.建立有效的公司治理文化

G公司的公司治理通過不斷完善的《企業管理制度》與《內部控制制度》兩大企業制度作為支撐，指引企業逐漸形成良好的公司治理文化。《企業管理制度》涵蓋企業、部門、業務三大層面的管理條例，并隨著企業外部市場、法律等環境變化，內部組織、業務、系統等環境變化不斷修訂。公司將風險管理理念融入內部控制制度設計和實施全過程中，遵循COSO的內部控制框架和17條控制原則，在多年運行中不斷修改完善，以適應不斷變化的經營環境和逐漸提升的管理要求。

2.明確董事會的公司治理職責

企業應確保董事會的相對獨立性，以促進董事會行使監督職責。董事會對股東大會負責，審核重大決策、重大事項、重要人事任免及大額資金支付，依法行使戰略監督權和經營決策權，促使管理層完成既定的戰略和目標。G公司董事會下設委員會，為董事會決策提供支持，對內控制度建立和風險管理的實施負總責;通過審計委員會下設的內審機構每年定期開展內部控制評價工作，獨立行使監督職權;通過權限指引表和內部控制流程圖對應各管理活動和業務活動流程的職責和權限，避免責任缺失、職能交叉、權責集中，治理結構體現相互協調、相互制約，并將權責逐層落實;通過董事會下設的薪酬考核委員會將崗位責任履行情況、工作成效與個人績效掛鉤，根據組織架構形成層層考核機制，每月公布考核結果，實行有效的獎懲措施。

3.建立完善的人才培養機制

應根據企業的發展戰略，建立人力資源規劃方案。通過對企業未來人力資源的需要和供給狀況的分析和預測，對職務編制、人員配置、教育培訓、人力資源管理政策、招聘和選拔等內容進行規劃;通過嚴格的招聘管理選拔人才;通過完善的薪酬管理機制穩定人才隊伍;通過多樣化的培訓不斷提高人才素質;通過崗位管理選拔和培養干部。

二、戰略和目標設定要素實踐經驗

1.清晰設定企業戰略目標

公司的企業戰略和目標設定應清晰、明確。企業發展戰略應至少每五年編制一次，對公司長期發展目標、發展方針、經營任務進行可行性研究和科學論證，明確發展戰略每個階段的具體目標、工作任務和實施路徑，并細化到公司的產品戰略、市場戰略、營銷戰略、研發戰略、人才戰略、知識產權保護戰略等。

2.綜合考量各類風險因素

公司戰略目標的制定應綜合考慮經濟形勢及市場需求變化，關注技術發展趨勢及行業動態，分析可利用資源及自身優勢和劣勢，對內外部環境、現有核心業務的市場前景、經營狀況、核心競爭力做出系統分析和綜合評價。

三、績效要素實踐經驗

1.建立績效目標和約束激勵機制

管理層應對影響戰略經營目標和績效目標實現的風險進行考量、評估、把控和責任落實，定期監督評估和考評，并納入機構、部門和個人的績效考評。G公司目前的KPI指標設定為營業收入、凈利潤、現金流收入，并按照20%、40%、40%的權重進行分配。各職能部門對企業的戰略和目標從時間維度，按照年、季度、月進行量化和細分;從業務層面，按照區域、項目、業務、產品等進行量化和細分。由薪酬績效考核委員會對分解的目標執行情況進行考評，定期公示考評結果，形成有效的約束激勵機制。

2.加強資金活動風險管理

企業應盡可能采取“收支兩條線”和“收支一體化”的資金池管理企業的資金活動，以防止資金挪用、加強資金管控、減少閑置資金、提高使用效率、降低資金占用成本。實行貨幣資金收支兩條線管理，明確各類賬戶的使用規范和管理要求，嚴禁以收抵支、相互轉借、超范圍使用和串戶使用，能及早發現異常交易，并有效地防止分支機構挪用資金。實行企業收支一體化管理，要求分支機構收支賬戶實時上劃無余額，由總部通過資金管理平臺控制分支機構支付限額，防范超預算使用，強化預算管理，整合集團資金進行合理配置。

3.加強籌資活動風險管理

企業應嚴格執行籌資活動內部控制流程，靈活運用長短期借款，增發股票，發行可轉債等籌資方案，提高籌資效率。財務管理部根據上期資金結余、下期經營和投資預算形成資金計劃報告，形成資金缺口的編制籌資方案，明確籌資用途、規模和籌資方式，并估計籌資成本和潛在風險，重大籌資方案需形成可行性研究報告，報董事會、股東大會審批。資金管理崗嚴格審核資金使用范圍，防止籌集資金被擠占、挪用。

4.加強投資活動風險管理

投資前，無論是資產建設投資還是對外投資，企業均需對投資方案形成可行性研究報告，對投資的收益、成本和潛在風險作出充分估計，超出計劃的投資方案需報董事會、股東大會審批。投資后，參考《中央企業全面風險管理指引》，加強風險評估，防范和化解投資風險，防止出現重大生產安全事故、法律訴訟和經濟損失，保障國有資產安全，并對投資的責任人績效考核。

5.加強合同風險管理

企業應強化對合同管理的內部控制，規范往來款項管理工作。合同簽訂部門應每月進行往來款項系統數據核對，對客戶反饋的差異，應配合查找原因，并形成處理結果;有責任收集客商信息、與客戶對賬、對接函證事宜、催收逾期應收賬款、配合財務部進行往來款項分析等。企業應充分借助信息系統，幫助企業提高合同管理質量和效率，為催收工作提供支持，加速資金周轉，確保每筆應收賬款在訴訟時效內采取有效的催收措施，減少壞賬損失，并對應收賬款責任人的催收工作進行有效的監督和考核。

6.考慮潛在的舞弊風險

為防止舞弊風險給公司造成的經濟損失和社會不良影響，企業應形成部門、上下級、內部審計、紀檢監察、第三方審計等監督制度安排。明確工作重點：財務報告和信息披露的重大遺漏、虛假記載或者陳述誤導;侵占、挪用公司資產，牟取不當利益;舞弊串通;濫用職權。

四、審閱與修訂要素實踐經驗

1.建立風險評估程序

在《內部控制制度》體系下建立事前風險評估、事中風險跟蹤、事后風險評價的風險管理機制，識別實現目標所涉及的風險。定期開展風險評估工作，準確識別相關的內部和外部風險，以風險清單確定關注重點、相應的風險承受度和優先控制順序。依據《內部控制評價制度》對持續進行日常監督，保證內部控制制度能建立和有效實施，并針對企業發展戰略、組織結構、業務活動流程、關鍵崗位等進行專項監督。

2.關注風險的變化

企業應識別并評估內部控制的重大變化。結合不同發展階段和業務拓展情況，持續收集與風險監管的信息，每年定期對內部控制有效性產生重大影響的變化因素進行風險識別和風險分析，及時調整風險應對策略。主要關注員工能力和職業操守、業務流程、資產管理、財務狀況、信息披露、經營安全等內部風險;經濟形勢、市場競爭、法律監管、消費者行為、技術進步、自然災害等外部風險。結合風險承受度，權衡風險與收益，確定規避、降低、分擔和承受等風險應對策略。

五、信息、溝通與報告要素實踐經驗

1.利用信息系統支持企業風險管理

通過建立主營業務軟硬件信息系統服務、前端業務收入核算、企業資產管理、流程審批、財務核算、人力資源管理等信息技術系統支持公司業務發展。采用對外購買產品和服務、內部自主研發和維護等方式，對企業信息系統進行定期更新維護，保障企業的日常運營。在風險控制的關鍵節點，通過半自動化或自動化系統支持，減少人為操作控制，降低企業管理風險。

2.建立有效的溝通渠道

企業應明確相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行，幫助企業把握和防控風險。通過財務資料、專項調研報告、辦公網絡等渠道獲取內部信息。通過市場調查、媒體、監管部門等渠道，獲取外部信息。溝通過程發現問題及時報告解決，重要信息及時反饋高層。建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業有效掌握信息，和防范風險的重要途徑。

3.建立有效的經營風險報告機制

董事會授權內審部門開展日常經營的審計工作，每年定期制定并組織實施評價方案，形成風險控制缺陷匯總表、評價報告和整改資料。公司管理層對評價組、外部審計師提出的管理意見和控制缺陷進行調查、分析，形成整改結果報告并采取糾正措施。

新版COSO―ERM框架把績效提升到五大要素之一，企業風險管理體系建設的關鍵在于將績效貫穿績效目標設定、識別和評估影響目標績效的風險、組織績效審閱、改進和完善風險管理等風險管理的重要環節，量化績效指標，促使企業戰略目標、績效和風險管理協同發展。

參考文獻

1.閻達五，楊有紅.內部控制框架的構建.會計研究，2011（02）.

2.周婷婷，張浩.COSO―ERM框架的新動向――從過程控制到戰略績效整合.會計之友，2018（17）.

3.張蕾.全面風險管理視角下W公司績效評價體系研究.貴州大學，2020.（責任編輯：王文龍）