1992年，美国COSO发布了《内部控制——整合框架》，该整合框架已成为世界通行的内部控制权威文献。2001年，COSO委托普华永道开发一个评价和改进企业风险管理的简便易行的框架，以提供企业风险管理的关键原则、共同语言及明晰的方向和指南。在框架项目开发期间，美国资本市场发生了安然、世通等一系列令人瞩目的企业丑闻和失败事件。为了改变这一局面，美国国会和政府加速通过了《萨班斯法案》（以下简称SOX法案），该法案404条款扩充了对公众公司保持内部控制制度的规定，要求管理层证实并由独立审计师鉴证这些制度的有效性。美国资本市场上的公众公司将《内部控制——整合框架》作为遵循SOX法案披露管理层对内部控制的评价的依据。2004年9月，COSO正式发布了《企业风险管理——整合框架》，但它并没有取代《内部控制——整合框架》，而是涵盖和拓展了后者，更关注企业风险管理这一相对宽泛的领域。

《企业风险管理——整合框架》中文版是经COSO正式授权，由东北财经大学方红星教授和财政部会计司王宏处长共同翻译的。其框架体系核心构成是风险管理8个相互关联的要素，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。从风险管理的要素关系上看，企业风险管理不是一个严格的序列过程，即一个要素仅影响下一个要素，而是一个多方向的、相互影响的过程，任何要素都可以并且确实影响其它的要素。《企业风险管理——整合框架》创造了一种风险管理的语境，企业各方在共同理解的基础上，对照同一套标准可以评估企业的风险管理过程。沿着本书的框架和脉络，让我们来回顾书中的一些概念，这些基本概念貌似相关程度不大，但在企业内部控制和风险管理的实践中，却很容易被内部控制的参与人和风险管理人员所忽视，甚至会形成一定的风险管理误区。

1.事项。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。对于风险事项而言，企业通常有两方面的误区。一是认为正面影响的事项就是积极的。事实上，带有负面影响的事项可能起源于看似正面的情况，因此，看似正面影响的事项也可能在一定条件下转化为风险事项。二是对于有形价值和无形价值破坏的风险事项，企业在重视程度上往往不够均衡。企业痛恨带给其损失的事项和相关人员，通常关注和防范可能发生的损失，并把可能形成的损失视为风险，这种观点和认识在一些企业中并不少见。有的企业过分强调可以量化的风险，注重有形价值如资产损失、资源浪费的形成，却忽视了潜在价值和无形价值的破坏。

2.风险容量和风险容限。风险容量是一个主体在追求价值过程中所愿承受的广泛意义的风险的数量；风险容限与主体的目标相关，它是相对于实现一项具体目标而言，可以接受的偏离程度。笔者认为，对于风险容量和风险容限的关系常见的错误认识主要有：一是认为主体中单个单元的风险可能在该单元的风险容限范围之内，则主体处于可接受的风险容量之中。事实上，潜在事项在一个单元中可能意味着可接受风险，但事项的触发引致主体中的多数单元形成风险，风险集合到一起就可能超出该主体作为一个整体的风险容量。二是认为即使个别事项超出设定的风险容限，也不见得会影响整体的风险容量。通常，风险容限较低的单元如果发生风险事项，就可能使主体超出其可接受的风险容量。从某种意义上讲，风险管理的过程是使风险容限与风险容量相协调的过程。出现上述认识偏差，往往是因为难以协调好风险容限同风险容量的关系。

3.局限。企业风险管理可以带来许多好处，但也存在着局限。如人们在决策过程中的判断可能有纰漏；在制定应对风险和建立监控的决策时需要考虑相关的成本和效益；类似简单误差或错误的个人缺失可能会导致故障的发生；监控可能会因为两个或多个人员的串通而被规避以及管理层凌驾于企业风险管理决策之上。风险管理中存在的固有限制，并不代表风险管理不重要，更不能因此放弃风险管理。笔者曾经在与某民营企业家交流时听到对方这样的言论：“做什么事都按规矩办就什么事也办不成！”但企业管理实践告诉我们，不按规矩办事，这很可能成为企业面临的最大风险。

4.责任。一个主体中的每个人都对企业风险管理负有一定的责任。风险分担的代表性例子是业务职能外包，它把主体的某项日常管理委托给外部提供者。即便这样，企业仍然要承担风险管理的主要责任，相关人员并不会因为有了风险分担的应对方案而减轻责任。

笔者选用一个新近发生的风险案例来进一步诠释上述概念，结合对于基本概念的理解和相关误区的分析来透视企业的风险事项，找出风险管理的薄弱环节，提出改进的建议。

2010年12月，网友“mdoctor”发表了一篇名为《某某中药，对谁保密？》的帖子，引爆该中药的“保密门”事件。该神秘网友称，某某中药在国内是“保密配方”，被列为国家保密品种、国家中药一级保护品种，在美国却公开了成分表。一帖激起千层浪，许多跟帖和评论都指责该上市中药生产企业“海外泄密”，质疑其“保密配方只对国人保密，对外国人不保密”，“拿国家保密配方做挡箭牌来欺诈消费者”。在信息披露的风险事件面前，企业一方面低调应对，不承认保密配方泄密，另一方面则高调宣传企业的成长历程，并有人撰文暗示竞争对手以网络水军恶意诋毁企业形象。

怎样运用风险管理整合框架的原理来分析这一风险事件呢？

一是分析认识误区，识别事项实质。该药品国内说明书上成分一栏神秘而又冷冰冰地标注为“国家保密配方”字样。保密配方作为该企业的核心竞争力之一，一直以来被管理层作为积极的事项进行管理，随着保密配方“外泄”事件的发生，看似正面的事项已经转化为风险事项；如果风险事项确如网帖揭示的那样“配方海外泄密”，那么，因保密配方所赋予的天然垄断和价值持续增值的地位就可能会受到冲击，并可能带来企业品牌、信誉等无形价值的损害，这使笔者联想起曾经被传得沸沸扬扬的景泰蓝泄密案，泄密可能会导致产品和生产企业的无形价值的损失。无论怎样，类似事项都属于风险事项，这是企业不能回避的问题。

二是协调好风险容限同风险容量的关系，避免发生系统性风险。国家保密配方其实是针对具体的品种而言，企业在只有部分品种进入国家保密配方的情况下，对多种产品成分进行“保密”，有“打擦边球”的嫌疑。这一嫌疑突破了非保密产品单元的风险容限，事项的触发引致主体中的多数单元形成风险，风险集合到一起就可能超出该主体作为一个整体的风险容量。“保密门”事件之前，“不应保尽保”事项在某个产品单元中也许被认为是可接受风险，但网帖披露相关信息后，引致主体中的多数单元形成风险，风险集合到一起就可能超出该主体作为一个整体的风险容量。如果“保密门”问题不能得到很好的解决，就可能超出企业的风险容量，及时消除因信任引发的系统性风险是企业的当务之急。

三是遵循国内外标准的限制同等重要，管理层要敢于面对决策判断可能出现的失误。该企业在出口国外的产品上披露配方的主要成分源自国外的监管要求，国内对于药品、食品也有相关的披露要求，管理层在制度选择上没有遵循同样的标准，这是管理上的失误。面对失误，管理层要敢于直面存在的问题，及时纠正错误、消除影响，才能不失去消费者和股东的信任。

四是勇于担当，撑起风险管理的重任。该企业将产品在美国的经营权授予美国一家膳食补充剂的经销商，经销商按照美国的法规向FDA提交的文件列出了产品的全部成分。从形式上看，境外市场的某项日常管理委托给外部提供者，但风险管理的主要责任并没有随市场的变化和业务的外包而转移，相关人员并不因为有了风险分担的应对方案而减轻责任。企业在评价风险分担方案过程中，要考虑方案可能带来的附加风险，并制订出实施计划采执行分担方案，划分与外部服务提供者的权利和责任边界，在双方的共同约束下，达到降低风险的效果。

上市公司作为公众公司，要依据规范和制度进行信息披露，突发事件要有应急预案和措施，在信息公开的背后，还要建立、健全以风险管理为核心的内部控制体系，这是做强、做优企业、履行企业社会责任的制度保障。发生风险事项不可怕，可怕的是不能及时、有效地纠正和解决风险问题。

责任编辑 雷蕾