基于COSO-ERM的企業全面風險管理優化研究

摘 要：隨著經濟全球化的發展，企業面臨的風險日益復雜，越來越多企業意識到需要加強內部控制并完善風險管理以適應當今不斷變化發展的環境。本文以COSO-ERM（2017）為基礎，對企業風險管理的概念及理論框架進行闡述，進而從治理和文化、戰略與目標設定、績效、審查和修訂及信息、溝通與報告五個要素對案例公司的風險管理現狀進行分析并提出優化思路，以期為更多企業提供參考與借鑒。

關鍵詞：COSO-ERM（2017）;內部控制;全面風險管理;戰略;績效

本文索引：甄怡悅.<標題>[J].中國商論，2021（21）：-136.

中圖分類號：F272.3 文獻標識碼：A 文章編號：2096-0298（2021）11（a）--03

全球經濟的高速融合發展使企業面臨的內外部環境錯綜復雜，市場化改革進程也使風險發生的概率和危害程度與日俱增。為適應企業對風險管理的更高要求，COSO委員會于2017年9月發布了《企業風險管理——與戰略和績效的整合》（COSO-ERM（2017））[1]。該框架從企業使命、愿景及核心價值出發，將風險管理融入企業管理決策的全過程，進而實現企業價值的提高。

1 風險管理的定義

隨著企業風險管理理論和實踐的不斷發展，風險管理的定義也在發生變化。COSO-ERM（2004）[2]將其定義為“風險管理是一個由企業的董事會、管理層和其他員工共同參與的過程，貫穿于企業戰略制定及企業的各項活動中，用于識別可能影響企業的潛在事項、管理風險并使其在企業的風險偏好之內，從而為企業各種目標的實現提供合理保證。”而COSO-ERM（2017）將其定義為“組織在創造、保存、實現價值的過程中，結合戰略制定和實施，賴以進行風險管理的文化、能力和實踐。”

可見新版更傾向于認為它是一種整合融入商業運營及管理決策中的有利于提高企業價值的綜合治理活動，涵蓋了治理、績效管理和內部控制工作[3]。

2 COSO-ERM（2017）框架的主要內容

2.1 治理和文化

治理對企業風險管理的重要性進行闡釋，明確了企業管理者的監督職責，奠定了企業的經營基調;文化則通過道德價值觀、期望行為及對風險的理解等方面影響企業的決策。

2.2 戰略與目標設定

在戰略規劃過程中，企業風險管理、戰略和目標設定是密切聯系的。企業應設立與戰略相匹配的風險偏好，并設定目標以保證企業戰略的施行，作為識別、評估和應對風險的基礎。

2.3 績效

企業應識別并評估可能影響企業戰略決策、重要經營活動目標實現的各項風險，結合風險偏好及風險的影響程度進行排序，以風險組合觀評估風險總量及選擇相應的策略，并將結果向風險主要利益相關方報告。

2.4 審查和修訂

企業對績效的執行情況進行審查，對風險管理各要素在內外部環境引發的經營重大變化、風險管理及企業績效工作中的運行情況進行評價，并根據需要及時對要素進行修訂，以提升企業的風險管理水平。

2.5 信息、溝通與報告

企業風險管理需要加大對信息的運用，建立一個能持續不斷從組織內外部獲取和共享信息，并使信息在組織內實現全方位高效傳遞的流程。

3 基于 COSO-ERM （2017）的W公司全面風險管理分析

W公司成立于2012年9月，是G集團下設的全資子公司，主營鋼材供銷、混凝土產銷、物資租賃、設備采保等業務。近年來，W公司為更好地保障地鐵建設并拓展新業務領域，進一步加強了內部控制和風險管理，防范經營風險。

3.1 W公司全面風險管理現狀

3.1.1 治理和文化

（1）架構了風險管理組織。W公司內控組織架構實行三級管理。內控領導小組是決策機構，負責內控重大事項的決策;內控管理部門是監督管理機構，負責內控管理工作有效性的監督及公司整體風險的統籌監管;公司各部門是執行機構，負責具體執行內控管理的制度。公司還建立了以總經理、各部門、各經辦人員三個層面分級負責、主動管理的風險管理組織系統，使各層級承擔相應的風險防范職能，共同推進企業的風險管理工作。

（2）建立了較完善的制度。W公司以制度完善和流程梳理為切入點，聘請外部專業機構協助，共同完成1份內控手冊、87份制度、180份流程圖、表單及風險矩陣的匯編。此外，各部門每年都會制定制度修編計劃，根據公司組織架構變化及業務開展情況對制度和流程進行修編，進一步建立健全制度層面的風險管控。

3.1.2 戰略與目標設定

W公司從 “打造美好城市生活的提供商和運營商”的企業愿景出發，參照集團戰略目標制定自身戰略規劃并設立相匹配的風險偏好。以“回歸主營、保障地鐵”為指導思想，設立了“構建地鐵物資供應、混凝土供應雙輪驅動的良好發展格局，積極拓展業務范圍”的戰略目標。圍繞做實、做深、做優“甲供、鋼支撐、混凝土”三大核心業務，立足地鐵建設，做好“地鐵+N”的物資保障服務。

3.1.3 績效

W公司在外部專業機構的協助下編制了《風險評估管理辦法》，依據戰略目標，建立了從風險識別到持續改進的風險防范和處置體系，實施閉環管理。

（1）識別業務關鍵風險點。W公司主要通過應用業務流程圖、《物資貿易業務風險管控制度》識別各業務的關鍵風險點。因規模限制，W公司目前的風險識別主要采取分析討論會的方式進行。

（2）編制風險控制矩陣。W公司從風險發生的可能性和風險影響程度兩個維度分別設置了評估標準，主要采取定性的分析方法，將識別的風險分為高、中、低三級，根據評級結果確定風險管理的次序，編制風險控制矩陣，重點關注高風險流程節點的控制。

（3）分級應對風險。W公司根據評估所得的風險等級和重要性選擇相應的風險應對措施。重大風險實施從源頭防范的專項管理;重要風險密切監控并及時預警;一般性風險通過日常內部控制落實解決。

3.1.4 審查和修訂

W公司整合內部監督資源，定期對影響戰略和績效目標實現的風險進行分析、把控和責任落實。第一，加強對重大和重要風險的監督管控，公司內控管理部門定期組織內控評價小組，通過現場勘查、調研等方式對重大和重要風險進行分析并改進應對方案。第二，做好督查督辦工作的落實和登記，并不斷完善運行機制。第三，通過定期召開經營分析會，對績效的執行效果進行反饋，深入分析影響各經營指標實現的關鍵因素并提出改進措施。

3.1.5 信息、溝通與報告

W公司建立了明確的信息溝通機制，通過會議、文件、辦公網絡等渠道，實現內部信息傳遞，并加強與集團公司、客戶、供應商等外部單位的溝通。同時，各部門定期對核心業務及生產流程、行政流程提出信息化優化需求，用信息手段固化防控流程。此外，內控管理部門定期開展風險管理檢查，向內控領導小組提交風險管理報告，根據風險管理情況同步制定整改、完善措施并列入制度。

3.2 W公司全面風險管理存在的問題

3.2.1 風險文化不夠深入，專業人才缺乏

W公司的風險管理與文化建設尚未有效融合。領導層對風險管理較為重視，但員工存在風險意識不高或對風險認知不統一的情況，風險管理理念的培訓和宣傳有待加強。同時，內控管理部門的風險管理仍局限于內控制度，缺乏將風險與績效綜合考慮的思路，且因缺乏專業性人才，監管執行程度參差不齊。

3.2.2 戰略規劃缺乏具體執行措施，且未能適時調整

W公司設定戰略目標時，對內外部環境因素考慮不夠全面，戰略規劃難以隨著內外部環境的變化及時調整，容易導致執行偏離戰略目標。另外，戰略規劃制定缺乏階段性業務目標的具體實施步驟和措施，也會導致規劃難以實現。

3.2.3 風險識別、評估與應對能力有待提高

W公司風險識別不夠全面，主要識別了流程層面的風險，對外部政策和市場風險的有效評估不足。此外，W公司未采用風險組合觀制定風險管理方案，未能從效益最大化的角度對風險組合加以優化。

3.2.4 風險管理考核和績效激勵機制有待完善

W公司雖定期對績效實行考核，但現階段缺乏對風險管理有效性進行評估的工具，未將風險管理的整體效果與績效的實際情況整合考慮。同時，因地鐵項目需求量減少，為調動員工開拓新業務的積極性，需完善績效激勵機制。

3.2.5 信息化建設有待提高

W公司風險信息來源較局限，主要依靠已發生事件和個人經驗，對未知風險的預判力不足，風險數據質量無法得到保障，且公司信息化較薄弱，各信息技術系統之間的集成性有待提高，現階段未能充分利用信息化系統實時更新數據并實現數據共享，管理者未能通過系統獲取全面的信息進行風險管控。

3.3 W公司全面風險管理的優化思路

3.3.1 完善治理和文化建設

（1）培養專業人才。為更好地發揮治理職能，W公司應根據自身發展戰略，建立和完善人力資源規劃方案，通過外部引進和內部培養的方式，培養專業化的風險管理、信息技術人才，打造風險管理專業化團隊。

（2）轉變風險管理理念，培育全面風險管理文化。W公司應將風險管理理念從“一個流程或程序”轉變為“一種管理風險和創造價值的方式”，將公司的風險偏好和核心價值觀融入經營決策中[4]。同時，應加強對員工風險管理理念的宣傳，提高員工的風險管理意識，營造全員參與的全面風險管理文化氛圍。

3.3.2 合理制定企業戰略目標

制定戰略目標時，W公司應綜合考慮內外部環境的變化，重點關注市場需求和行業動態，分析自身優劣勢，對核心業務的市場前景、今后的發展方向及核心競爭力進行系統分析[5]，并在執行過程中適時進行戰略調整。同時，應將戰略目標從時間維度進行量化和細分，設置具體實施步驟和措施，分解責任到各部門，推動戰略規劃落實。

3.3.3 加強風險識別、評估與應對

W公司應以戰略規劃為依據，基于內外部市場變化等因素對戰略選擇以及戰略決策不當引發的風險進行分析。樹立風險組合觀，從總體層面考慮公司的各項業務，分析風險事件之間的相互影響，進行風險管理方案制定并適時調整風險組合。還應注意正確平衡風險和收益，一方面防止忽略風險、片面追求收益的行為，另一方面要避免因單純規避風險而放棄機遇[6]。

3.3.4 優化風險管理考核體系，完善績效激勵機制

（1）制定風險管理考評辦法。W公司可通過制定《全面風險管理工作考評辦法》，明確考評的組織機構、對象、內容、方法，對公司各個層面的重大和重要風險事項的管理流程、業務流程的管控效果進行考評，并持續按照PDCA的循環方法對全面風險管理體系加以改進[7]。

（2）完善績效激勵機制。提高績效是企業風險管理的重要目標，W公司應將風險管理效果融入組織和員工的績效考核中。通過建立風險管理KPI考核指標，從風險體系的建設情況、風險管理的開展情況、風險管理運行效果等方面對各部門進行考核，作為績效分配的依據。同時，為調動員工的積極性，W公司可對風險管理成績顯著的員工給予獎勵，以強化各級人員的風險意識，進而確保企業在經營過程中，能正確把握好風險和績效的關系。

3.3.5 推進風險管理數字化轉型

W公司應加大對現有系統的研發和維護力度，將戰略層、業務層、財務層三個層次的信息系統全鏈條集成，打造統一數據平臺。同時，應建立動態風險信息數據庫，通過對數據全面的搜集、篩選、存儲和分析，改善W公司數據質量不高的現狀。另外，應持續推動風險管理體系與信息系統的融合，為全面風險管理方案和策略的實施、流程執行及管理工具的選擇提供技術支持，讓數據幫助公司更及時、準確地發現和應對風險，進而創造更大的價值。

4 結語

本文從COSO-ERM（2017）五大要素對案例公司的全面風險管理現狀進行分析，提出了完善治理和文化建設，合理制定企業戰略目標，加強風險識別、評估與應對，優化風險管理考核體系、完善績效激勵機制推進風險管理數字化轉型等優化建議。面對當今世界的多元化風險，企業應建立健全全面風險管理體系，加強內部控制，精準戰略定位，量化風險管理的績效指標，實行經營全過程的風險管理，促進企業戰略目標、績效和風險管理協同發展。另外，應在規避風險的同時抓住機遇，實現企業的可持續發展和利益的最大化。

參考文獻

[1]TheCommitteeof Sponsoring Organizations of the Treadway Commission（COSO）.“Enterprise Risk Management Integrating with Strategy and Performance Executive Summary”，COSO，2017.

[2]The Committee of Sponsoring Organizations of the Treadway Commission （COSO）.“Enterprise Risk Management- Integrated Framework”，COSO，2004.

[3]周婷婷，張浩.COSOERM框架的新動向——從過程控制到戰略績效整合[J].會計之友，2018（17）：82-85.

[4]張黎焱.基于新COSO-ERM框架的電影制片上市公司風險管理研究[J].當代電影，2020（11）：84-89.

[5]張蕾.基于COSO—ERM的實踐探索——以G公司為例[J].行政事業資產與財務，2020（22）：53-54.

[6]王農躍.企業全面風險管理體系構建研究[D].天津：河北工業大學，2008.

[7]李翕然.基于內部控制的集團企業風險管理研究——以能源集團企業為例[J].技術經濟與管理研究，2015（4）：63-67.

Research on Enterprise Risk Management Optimization Based on COSO-ERM

Xiamen Metro Transit Materials Co.，Ltd.? ZHEN Yiyue

Abstract： With the development of economic globalization， the risks faced by enterprises are increasingly complex. There is a need for internal control improvement and risk management optimization to meet the demands of an evolving business environment. Based on COSO-ERM（2017）， this paper firstly defines the concept and the framework of enterprise risk management， and then analyzes the current situation of the case company's risk management from the following five interrelated components， including governance and culture， strategy and objective-setting， performance， reviewing and revising information， communication and reporting. Finally， it puts forward valuable suggestions， in order to provide references for more enterprises.

Keywords： COSO-ERM（2017）; internal control; comprehensive risk management; strategy; performance