Jeffrey C. Thomson: 如何有效运用COSO风险管理框架？

诸如新冠疫情之类的风险防范不利，可能会给组织发展造成巨大冲击，但风险与机遇是硬币的两面，组织可以被动防御风险，更可以主动出击，抓住风险中的机遇，创造新的价值。美国反虚假财务报告委员会下属的发起人委员会COSO的企业风险管理框架（《企业风险管理》2017年版），可以帮助组织达成使命、实现战略目标并服务于社会。

企业风险管理现状

总体来看，企业风险管理（ERM）作为一门学科、一项业务流程是在不断改进的，但在战略应用中还不成熟。

ERM实际上更多地是指企业声誉管理。因为不可预见的风险一旦发生，就会扰乱或者甚至可能摧毁企业业务，企业声誉和品牌将遭受重大打击。因此，积极、主动、有规律地管理风险，并将其与企业战略融合，不仅有助于预防不良事件的发生，还有助于减轻风险发生所造成的影响。

ERM的价值主张是在发展与变化的。传统意义上的风险观更强调防御，即缓释风险、将风险管理到可接受的程度、消除风险、保护资产、保存价值，同时风险管理也可以 “主动进攻” ，借此创造新的价值和优化价值。

近年来，由于内部控制和风险管理中存在的缺陷导致的某些重大事件，如大众汽车、富国银行等案例，颇受关注。今年3月份，万豪国际集团再度陷入数据泄露风波，声称其520万名客人的资料可能被泄露。这既是重大风险，也是重大违规，严重影响了万豪的声誉。

良好的ERM实践不仅有助于预测和缓释风险，还有助于抓住机遇。道富环球投资管理公司认为，在公司领导层促进性别多样化，可以切实帮助他们降低投资组合的风险。因此，他们从优化投资组合角度来建立自己的竞争优势，而这也能引发客户对多样化和包容性的重视，尤其是对性别领域。由此可见，真正的机会不只是在被动防范中，还在于能够抓住机会并先发制人。

ERM与战略制定整合

ERM框架并非孤立存在的，其与战略制定及执行不可分割。当ERM与战略制定整合在一起，组织就能更好地理解以下内容：

在制定战略时，使命、愿景与核心价值是如何初步描绘出企业能承受的风险程度；

企业战略和业务目标与其使命、愿景、核心价值不一致的可能性；

组织在所选战略执行中可能暴露的风险类型与数量；

执行战略和达成业务目标中需应对的风险类型与数量。

重点要看使命、愿景与核心价值这条金线。如何将其与风险、控制和战略联系起来？它们如何协同发挥作用？如何达成一致？如何以连贯的讲故事的方式，向客户全面传达企业使命、愿景、核心价值、战略及风险？如何与众多利益相关者包括股东、投资人、政府机构进行沟通？ERM可以解决这些问题，虽然其在风险识别、风险管理、风险总结方面具有技术优势，但同时ERM还有讲故事的元素，可以告诉我们风险如何与战略相结合，组织如何管理风险、把握机会，从而改进自身。

COSO-ERM框架或企业声誉管理框架

COSO企业风险管理框架包括五大组成部分20项关键原则（如图1），各自发挥着举足轻重的作用，但又相互融合、彼此依存。

图1 ERM框架及原则

“治理与文化”是COSO-ERM框架的出发点，也是“高层基调”，包括5项指导原则。在讨论良好的内部控制或优秀的企业风险管理之前，先要建立运营构架。董事会、运营构架、政策、计划、实践、文化和能力，都是组织的治理要素，也是对能力、对在内部控制和风险管理方面进行培训和学习的保证。从董事会和CEO层级所发出的有关风险和控制的内容，不只是针对财务和会计团队，也针对整个业务团队。董事会的独立性对于有效实施ERM是至关重要的，在某种程度上，这是一种职责分离或职能分工，即董事会以独立、结构化和系统化的方式监督CEO和管理团队。

“战略与目标设定”要求将风险和风险管理置于更为广泛的战略背景下进行考量，其包含的4项指导原则同样是基于业务环境的。

这其中，明确企业战略极为重要。战略越清晰，员工就会越团结、越有动力，董事会也就越清楚企业战略以及战略背后的原由。并且，这么做也有利于进行更好的沟通。

此外，环境扫描也很关键（见图2），可使用PESTEL分析模型，对政治、经济、社会、技术、法律和环境方面的外部风险因素进行分析。同时，也需要对内部环境因素如进行资本、人力、流程和技术等进行分析。环境扫描之后再建立全面战略，再之后才是具体的风险、风险影响、风险概率、热点图之类的分析。环境扫描还有助于组织与外界进行更为广泛而全面的沟通。

图2 环境扫描

“绩效”是风险管理的核心内容，是应用多方面技术来识别、评估、应对风险，建立投资风险组合观，也是传统风险管理发挥作用的地方。其5项指导原则分别用于识别风险、进行沟通（不仅是财务和会计方面的沟通，还是与董事会及在管理团队内部进行更为广泛的沟通）、评估风险的严重性、发生概率、选择风险应对措施等。

其中关键要点是建立风险组合观（见图3），这不仅要有独立业务或部门的风险观，也有整合的、显示风险相互作用的风险观。

需注意的是，在建立风险组合观的同时，还需要在更详细的层面考虑风险，比如资金缺口风险、违规风险、产品风险等，并最终形成整体的战略观。例如销售团队所做的决策或选择，就客户层面而言，可能会对风险组合产生巨大的影响。

图3 建立风险组合观

“审查与修订”要求将业务绩效评估和风险审查落实到企业的日常运营中。数字化、区块链、机器人流程自动化等技术的快速发展，导致业务环境迅速变化，风险和控制也随之发生变化，因此，我们必须持续监控环境，及时更新战略、目标、风险和控制。同时，企业需要持续改进风险管理水平，要通过不断学习、不断回顾流程，确保我们对风险和控制有最新的认知。

因此，业务绩效评估和风险审查需要成为企业日常运营的一部分，而不只限于财务和会计领域。需要注意的是，财务和会计人士习惯于从合规角度来看风险和控制，这对维护组织声誉是非常重要的，但这里所说的不只是合规和保值，而是价值创造，是风险审查与业务实践的结合。

“信息、沟通与报告”则是通过信息披露来与各利益相关者有效沟通，积极维护并提升组织声誉。组织借助信息和技术，与多方利益相关者进行沟通，表明其正积极地了解业务环境，并财务措施保护、维护及提升自己的声誉。

有很多数据源（包括结构化和非结构化数据）可以用于沟通、做出最佳决策，这就是数据分析发挥作用、走向前台的地方。从图4可以看到，既有结构化数据源用于沟通和外延展开的例子，也包括元数据、社交媒体和博客在内的非结构化行为类型数据。

图4 查找和利用所有可用数据源做出最佳决策

从消费者、客户和合作伙伴对企业产品与服务评价的角度来看，反馈很可能会演变成一项风险。你可能认为自己已在非常积极地应对新冠疫情，但那些你认为能够很好地体现企业社会责任感的举措，有可能被一篇博客、一篇社交媒体帖子贬低甚至破坏。因此，需要积极管理结构化和非结构化数据，将其纳入ERM框架。

总结

COSO-ERM框架的五个组成部分及其对应的20项指导原则，可以帮助我们更好地预测（非完全预测）和管理自然灾害或突发性灾难事件：

治理与文化：管理自然灾害或其他破坏性事件时，你是否已有成文的计划，包括危机管理计划、业务连续性计划等？是否会定期更新这些计划和政策？

战略与目标设定：在战略制定过程中，你是否进行了全面的“环境扫描”，包括可能发生的自然灾害？

绩效：如果发生灾难性事件，你的风险矩阵是否能确定相应风险的等级并采取必要处理措施，最大程度地降低对投资组合（如危机管理计划和业务连续性计划）的影响？

审查与修订：你是否定期评估内外部环境变化及其对风险管理、内部控制和业务流程的影响？

信息、沟通与报告：你是否有将风险情况定期传递给多方利益相关者的流程，特别是那些对实现战略目标而言是重大甚至灾难性的风险？

最后，为保护和提升公司的声誉与品牌，你是否以灵活、适应性强、可预期的方式，定期、全面和主动地讨论风险组合？

COSO-ERM框架可以让组织在管理破坏性事件或突发事件时，更具预测性、灵活性和适应性，从而协助组织实现其战略目标，充满信心地发展（控制下的可持续发展）。

......