第二节 风险管理的范式

一、COSO对内部控制的风险认识

美国20世纪70年代中期，在对“水门事件”的调查中，发现不少美国大公司进行违法捐款，甚至贿赂外国政府官员，这使得立法机关与行政机关开始注意内部控制问题。针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。FCPA除规定了有关反贿赂的条款外，还规定了与会计及内部控制有关的条款。此后不久，美国证券交易委员会（简称SEC）发布了《管理阶层对内部会计控制的报告书》，强制公司对其内部会计控制提出报告书，因此美国许多机构都加强了对内部控制的研究。

1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中产生舞弊的原因，并寻找解决之道。同时，成立了COSO，专门研究内部控制问题。1992年9月，COSO发布了《内部控制整合框架》，并于1994年对其进行了增补。这些成果马上得到了美国审计署的认可，美国注册会计师协会也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO《内部控制整合框架》提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内备受推崇，同时在全球也得到了广泛的推广和应用。

在COSO中，内部控制定义为，是一个要靠企业的董事会、管理层和其他人员去实现的过程，旨在为下列目标提供合理保证：①财务报告的可靠性；②经营的效果和效率；③符合适用的法律和法规。

COSO把内部控制划分为5个相互关联的要素，即：①控制环境；②风险评估；③控制活动；④信息与沟通；⑤监督。每个要素都具有3个目标：①运营目标；②报告目标；③合规目标。这3个目标和5个要素贯穿于机构的各业务单位和各个层面的业务活动。在内部控制制度设计中，企业可以根据自身的规模和结构采用不同的方式来实施这5大要素。

内部控制的目标与要素之间是相互联系的，目标是企业需要力争达到的结果，而要素是对企业在力争实现目标过程中达到手段的说明。一方面，5个要素缺一不可，都必须完全融入企业经营活动之中，以使要素有效地发挥作用并使企业达成目标。企业的每个组织到每个员工，都与内部控制息息相关，都要对内部控制负责，这样的内部控制才是有效治理公司的法宝，同时也是公司实现全面风险管理的坚实基础。

二、COSO风险管理范式的内涵

COSO发布的《企业风险管理整合框架》是风险管理范式形成的标志。它包含8个要素，来源于管理层经营企业的方式，并与管理过程整合在一起。企业风险管理是一个多方向的、反复的过程，而不是一个严格的顺次过程，因此在这个过程中几乎每一个构成要素都能够影响其他的构成要素。

在企业风险管理中，构成要素是指企业需要什么来实现风险管理，而目标是指一个企业力图实现什么。因此，目标与构成要素之间有着直接的关系。

1. 内部环境

内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理其他所有构成要素的基础，为其他要素提供约束和结构。内部环境因素包括主体的风险管理理念、主体的风险容量、董事会的监督、主体中人员的诚信、创造价值的胜任能力，以及管理当局分配权力和职责、组织和开发其员工的方式。

内部环境是企业风险管理中所有其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标的设定、经营活动的组织以及事项识别、风险评估。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。内部环境受到主体历史和文化的影响。它包含许多要素，包括主体的道德价值观、员工的胜任能力和开发、管理当局管理风险的理念以及权力和职责的分配。董事会是内部环境的一个关键部分，它对其他的内部环境要素有重大的影响。尽管所有要素都很重要，但是对每个要素的强调程度会因主体而异。举例来说，一家员工较少、专业化经营的企业的首席执行官可能就不会制定正式的职责划分和具体的经营政策。但是，这家企业也会有为风险管理提供合适基础的内部环境。

（1）风险管理理念

一个主体的风险管理理念是一整套共同的信念和态度，它决定着该主体在做任何事情——从战略的制定和执行到日常活动时如何考虑风险。风险管理理念反映了主体的价值观，影响主体的文化和经营风格，决定主体承担哪些风险，以及如何管理这些风险。

企业风险管理理念本质上反映管理层在经营该企业的过程中所做出的每一个决策。理念可以是在政策、口头、书面的决策中反映。管理层无论是强调书面的政策、行为准则、业绩指标和例外报告，还是非正式的通过与关键的管理者面对面的接触来进行运营，重要的是管理层不仅要通过口头，而且还要通过日常的行动来强化这种理念。

（2）风险偏好

风险容量是一个主体在追求价值的过程中所愿意承担的广泛意义上风险的数量。它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。

企业在战略制定的过程中需对风险容量加以考虑。来自一项战略的期望报酬应该与主体的风险容量相协调，不同的战略会使主体面临不同程度的风险。应用于战略制定过程的企业风险管理可以帮助管理当局选择一个与主体的风险容量相一致的战略。如果一个战略与该主体的风险容量不一致，这个战略就需要修改。当管理当局先前所用战略超出了主体的风险容量，或者战略没有容纳使得主体实现其战略目标和使命的足够的风险时，就需要修改战略。

（3）董事会

一个主体的董事会是内部环境的关键部分，它对其他要素有着重大影响。董事会对于管理当局的独立性、其成员的经验和才干、对活动参与和审察的程度，以及其行为的适当性都起着重要的作用。其他因素包括提出有关战略、计划和业绩方面的疑难问题和与管理当局进行商讨的程度，以及董事会或审计委员会与内部和外部审计师的交流。

董事会对于一个企业来说应该是积极的，应审查管理层的活动，提出不同的观点，在遇到不当行为时采取行动。董事会中独立的外部董事应该占多数，董事应该了解企业的风险偏好。

（4）诚信与道德价值

主体的战略和目标以及它们得以推行的方式建立在偏好、价值判断和管理风格的基础之上。管理当局的诚信和对道德价值观的要求影响着企业行为准则的偏好和判断。因为一个主体的良好声誉是如此有价值，所以行为的准则就不仅仅只是遵循法律。经营良好的企业其管理者越来越接受这样的观点，即以道德价值观为依据经营企业就是良好的经营。

除了要沟通交流道德价值观外，企业还应该对正确和错误的认识有一个明确的指导，提供反映问题的畅通渠道，有一份正式的阐述诚信与道德价值观的《员工行为守则》，同时对于违反守则的员工予以相应的惩戒。企业应建立鼓励员工揭发违规行为的机制，并对有意不报告违规行为的员工采取惩戒措施。

（5）对胜任能力的要求

管理当局明确特定岗位的胜任要求，并把这些要求转换成所需的知识和技能。而这些必要的知识和技能可能又取决于个人的智力、培训和经验。在开发知识和技能水平的过程中所考虑的因素包括一个具体岗位所运用判断的性质和程度，通常会在监督的范围和所需的胜任能力水平之间做出权衡。

（6）组织结构

一个主体的组织结构提供了计划、执行、控制和监督其活动的框架。相关的组织结构包括确定权力与责任的关键界区，以及确立恰当的报告途径。举例来说，内部审计职能机构的结构设计应该致力于实现组织的目标，并且允许不受限制地与高层管理当局和董事会的审计委员会接触，而且首席审计官应当向组织中能保证内部审计活动实现其职责的层级报告工作。

（7）权力与职责的分配

权力和职责的分配涉及个人和团队被鼓励发挥主动性去指出问题和解决问题的程度，以及对他们的权力的限制。它包括确立报告关系和授权规程，以及描述经营活动的政策，关键人员的知识、经验和为履行职责而赋予的资源。一些主体将权力下放，以便使决策更接近于一线的人员。企业可以采取这种方式使管理变得更具市场驱动的特点，如更关注质量或者是消除缺陷、缩短周转时间、提高客户满意度。企业通常通过将权力与受托责任（Accountability）相结合来鼓励个人在限定的范围内发挥主动性。权力的委派意味着将特定经营决策的核心控制权交给较低的层级——给那些更靠近日常经营业务的人员。这可能包括授权以折扣价格销售产品，商谈长期供货合同、许可或专利，或者参加联盟或合营企业。

（8）人力资源准则

该准则包括雇用、定位、培训、评价、咨询、晋升、付酬和采取补偿措施在内的人力资源业务向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息。例如，强调教育背景、前期工作经验、过去的成就和有着诚信和道德行为的证据，以便雇用资质最好的个人的准则，表明了一个主体对胜任和可信任人员的承诺。

2. 目标设定

设定战略层次的目标，为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险，确定目标是有效地识别事项、评估风险和应对风险的前提。目标与主体的风险容量相协调，后者决定了主体的风险容限水平。

（1）战略目标

战略目标是高层次的目标，它与主体的使命和愿景相协调，并支持后者。战略目标反映了管理当局就主体如何努力为它的利益相关者创造价值所做出的选择。

（2）相关目标

通过关注战略目标，主体可以建立主体层次上的相关目标，它们的实现将会创造和保持价值。主体层次的目标与更多的目标相关联和整合，这些具体目标贯穿于整个组织，细化为针对诸如销售、生产和工程设计等各项活动和基础职能机构所确立的次级目标。

通过设定主体和活动层次的目标，主体能够识别关键成功因素（Critical Success Factors）。要想达到目的，主体就必须正确处理好这些关键的事情。关键成功因素存在于主体、业务单元、职能机构、部门或分部之中。通过设定目标，管理当局能够根据对关键成功因素的关注来确定业绩的计量标准。

（3）风险容量

管理当局在董事会的监督下所确定的风险容量是战略制定的风向标。企业可以将风险容量表述为增长、风险和报酬之间可接受的平衡，或者风险调整的股东增加值指标。一些主体，如非营利组织，将风险容量表述为它们在向其利益相关者提供价值的过程中所愿意承受的风险水平。

主体的风险容量反映在主体的战略之中，进而指导资源配置。管理当局在考虑主体的风险容量和各个业务单元战略计划的基础上，在业务单元之间配置资源，以使投入的资源产生一个理想的报酬。管理当局试图使组织、人员、流程与基础结构相协调，以便促成战略实施，并确保风险保持在它的风险容量之内。

（4）风险容限

风险容限是相对于目标的实现而言，主体所能接受的偏离程度。风险容限能够被计量，而且通常采用与相关目标相同的单位来进行计量。

业绩计量指标可以用来确保实际的结果处于既定的风险容限之内。例如，一家企业的目标是98%按时送达，可接受的时间偏离范围是97%～100%；它的培训目标是90%的通过率，可接受的成绩是至少75%；它希望员工在24小时之内答复所有的客户投诉，但是接受最多25%的投诉可以在24～36小时内得到答复。在确定风险容限的过程中，管理当局要考虑相关目标的相对重要性，并使风险容限与风险容量相协调。在风险容限之内经营能够使主体保持在它的风险容量之内向管理当局提供更大的保证，进而主体将会实现其目标提供更高程度的慰藉。

3. 事项识别

管理当局识别将会对主体产生影响的潜在事项——如果存在的话，并确定它们是否代表机会，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险，它要求管理当局对其予以评估和应对。带来正面影响的事项代表机会，管理当局可以将其反馈到战略和目标设定过程之中。在对事项进行识别时，管理当局要在组织的全部范围内思考一系列可能带来风险和机会的内部和外部因素。

（1）事项。事项是源于内部或外部的，影响战略实施或目标实现的事故或事件。事项可能带来正面或负面影响，或者两者兼而有之。

（2）影响因素。无数的外部和内部因素驱动着影响战略执行和目标实现的事项。作为企业风险管理的一部分，管理当局应该认识到了解这些外部和内部因素以及由此可能产生的事项的重要性。

（3）事项识别方法。主体的事项识别方法包含各种技术的组合，以及支持工具。例如，管理当局可以利用互动式的团队研讨作为其事项识别方法的一部分，利用一系列以技术为基础的工具中的任何一种来为参与者提供辅助。

（4）事项相互依赖性。事项通常并不是孤立发生的。一个事项可能引发另一个事项，事项也可能会同时发生。在事项识别的过程中，管理当局应该明白事项彼此之间的关系。通过评估这种关系，我们可以确定风险管理活动的重点与倾向。

（5）区分风险和机会。事项的发生，可能具有负面的影响，也可能具有正面影响，或者二者兼有。具有负面影响的事项代表风险，它需要管理当局的评估和应对。相应地，风险是一个事项将会发生并对目标的实现产生负面影响的可能性。

具有正面影响或者抵销风险的负面影响的事项代表机会。机会是一个事项将会发生并对实现目标和创造价值产生正面影响的可能性。代表机会的事项嵌入管理当局的战略或目标制定过程中，以便主体规划行动去抓住机会。抵销风险的负面影响的事项在管理当局的风险评估和应对中被予以考虑。

4. 风险评估

风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估，并且采用完整性和定量相结合的方法，分辨整个主体中潜在事项的正面和负面影响，并基于固有风险和剩余风险进行风险评估。

（1）风险评估的背景。在评估风险时，管理当局考虑预期事项和非预期事项。许多事项是常规性的和重复性的，并且已经在管理当局的计划和经营预算中提到，而其他的事项则是非预期的。管理当局评估可能对主体有重大影响的非预期的潜在事项以及预期事项的风险。

（2）固有风险和剩余风险。管理当局既考虑固有风险，也考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险。剩余风险是在管理当局采取风险应对措施之后所残余的风险。一旦风险应对已经就绪，管理当局接下来就要考虑剩余风险。

（3）估计可能性和影响。潜在事项的不确定性可以从两个方面进行评价——可能性和影响。可能性表示一个给定事项将会发生的或然率，而影响则代表它的后果。尽管一些主体使用诸如概率、严重性、严重程度或后果等术语，可能性和影响是最常使用的术语。有时这些词语有更具体的含义，“可能性”表示一个给定的事项从定性的角度将会发生的或然率，如高、适中、低，或其他判断性的衡量尺度；而“概率”表示一个定量的测试，如百分比、发生的频率或者其他的数量性尺度。

（4）评估技术。一个主体的风险评估技术是定性和定量技术的结合。在不要求它们进行定量化的地方，或者在定量评估所需的充分可靠数据实际上无法取得或者获取和分析数据不具有成本效益时，管理当局通常采用定性的评估技术。定量技术能带来更高的精确度，通常应用在更加复杂的活动中，以便对定性技术进行补充。定量评估技术一般需要更高程度的努力和严密性，有时采用数学模型。定量技术高度依赖于支持性数据和假设的质量，并且与有着已知历史和允许做可靠预测的风险暴露高度相关。

5. 风险应对

在评估了相关的风险之后，管理当局就要确定如何去应对这些风险。风险应对措施包括风险回避、降低、分担和承受。在考虑应对措施的过程中，管理当局评估不同措施对风险的可能性和影响的效果，以及成本效益，选择能够使剩余风险处于期望风险容限以内的应对措施。管理当局识别所有可能存在的机会，从主体范围或组合的角度去认识风险，以确定总体剩余风险是否在主体的风险容量之内。

（1）应对类型。风险应对可以分为以下几种类型。

① 回避（Avoidance）——退出会产生风险的活动。风险回避可能包括退出一条产品线、拒绝向一个新的地区拓展市场，或者卖掉一个分部。

② 降低（Reduction）——采取措施降低风险的可能性或影响，或者同时降低两者。它几乎涉及各种日常的经营决策。

③ 分担（Sharing）——通过转移来降低风险的可能性或影响，或者分担一部分风险。常见的技术包括购买保险产品、从事避险交易（Hedging Transactions）或外包一项业务活动。

④ 承受（Acceptance）——不采取任何措施去干预风险的可能性或影响。

（2）评估可能的应对措施。分析固有风险和评价应对的目的在于使剩余风险水平与主体的风险容限相协调。通常，某些应对措施中的任何一个都将带来与风险容限相一致的剩余风险，而有时应对措施的组合能带来更好的效果。相反，有时一个应对能够影响多重风险，在这种情况下，管理当局可以决定不再采取其他的措施来处理某个特定的风险。

（3）选定应对。在评价了备选风险应对的效果之后，管理当局决定如何管理风险，选择一个旨在使风险的可能性和影响处于风险容限之内的应对或者应对组合。应对并不是必须达到最低数量的剩余风险，但是如果一个风险应对会导致剩余风险超过风险容限，管理当局就要对该应对进行相应的反思和修改，或者在特定的情形下重新考虑既定的风险容限。

（4）风险组合观。企业风险管理要求从整个主体范围或组合的角度去考虑风险。管理当局通常所采取的方法是首先从各个业务单元、部门或职能机构的角度去考虑风险，让负有责任的管理人员对本单元的风险进行复合评估，以反映该单元与其目标和风险容限相关的剩余风险。

6. 控制活动

控制活动是确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织，遍及各个层级和各个职能机构。它们包括一系列不同的活动，如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。控制活动的关键环节包括以下几个方面。

（1）与风险应对相结合。选定了风险应对之后，管理当局就要确定用来帮助确保这些风险应对得以恰当、及时地实施所需的控制活动。

在选择控制活动的过程中，管理当局要考虑控制活动是如何彼此关联的。在一些情况下，一项单独的控制活动可以实现多项风险应对。在另一些情况下，一项风险应对则需要多项控制活动。更有另一些情况，管理当局可能会发现现有的控制活动不足以确保新的风险应对得以有效执行。

（2）控制活动的类型。控制活动的类型有许多不同的表述，包括预防性的、侦察性的、人工的、计算机的以及管理控制。控制活动还可以根据特定的控制目标来进行分类，如确保数据处理的全面性和准确性。

（3）政策和程序。控制活动一般包括两个要素：确定应该做什么的政策，以及实现政策的程序。例如，政策可能要求证券经纪商的零售分部管理人员对客户交易活动进行复核。程序就是复核本身，及时执行并注意政策中所列举的要素，如所交易的证券的性质和数量，以及它们与客户净财富和期限之间的关系。

（4）对信息系统的控制。出于对信息系统在经营企业和满足报告和合规目标方面的普遍依赖，企业需要对重要的系统进行控制。企业可以采用两个广义的信息系统类别。第一个是一般控制，它适用于许多并非全部是应用系统的情形，并且有助于确保它们持续、适当地运行。第二个是应用控制，它在应用软件中包含计算机化的步骤，以便对处理过程进行控制。一般控制和应用控制在必要时与人工实施的控制结合起来，共同起作用，以确保信息的完整性、准确性和有效性。

7. 信息与沟通

有关的信息以保证人们能对履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息，为管理风险和做出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动中。全部员工从高层管理当局那里收到一个清楚的信息：必须认真担负起企业风险管理的责任。他们了解自己在企业风险管理中的职责，以及个人的活动与其他人员的工作之间的联系。他们必须具有向上沟通重要信息的方法。与外部方面——如客户、供应商、监管者和股东——之间也要有有效的沟通。

（1）信息。一个组织中的各个层次都需要信息，以便识别、评估和应对风险，以及从其他方面去经营主体和实现其目标。主体要利用与一个或多个与目标类别相关的大量信息。来自内部和外部的经营信息，包括财务的和非财务的，与多个经营目标相关。例如，财务信息不仅用于编制财务报表以实现报告目的，还用于经营决策，如监控业绩和配置资源。可行的财务信息对于计划、预算、定价、评价卖主的业绩、主体合营企业和联盟以及一系列其他的管理活动是十分重要的。

（2）沟通。管理当局提供着眼于行为期望和员工职责的具体的和指导性的沟通。它包括对主体的风险管理理念和方法的清楚表述，以及明确授权。有关流程和程序的沟通应该与期望的文化相协调，并支撑后者。

所有的员工，尤其是那些有着重要的经营或财务管理职责的员工，需要从高层管理当局那里收到一条清楚的信息：企业风险管理必须严格推行。这条信息的清楚性和它的沟通方式的有效性都很重要。

8. 监控

对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。个别评价的范围和频率主要取决于对风险的评估和持续监控程序的有效性。企业风险管理的缺陷必须及时披露，严重的问题要报告给高层管理当局和董事会。

（1）持续监控。在正常的经营过程中，许多活动需要考虑对企业风险管理监控的持续有效性。它们来自定期的管理活动，可能包括差异分析、对来自不同渠道的信息的比较，以及应对非预期的突发事件。

（2）个别评价。尽管持续监控通常能提供有关企业其他风险管理要素有效性的重要反馈价值。但是，有时候采取一种新思路直接关注企业风险管理的有效性可能是很有用的。它也能提供一种考察持续监控活动的持续有效性的机会。

（3）报告缺陷。一个主体的企业风险管理的缺陷可能会从多个来源表现出来，包括主体的持续监控活动、个别评价和外部性评价。缺陷是企业风险管理之中值得注意的一种情况，它可能表示一个察觉到的、潜在的或实际的缺点，或者是一个强化企业风险管理以便提高主体目标实现的可能性的机会。