由于笔者长期在商业银行从事内部控制及风险管理工作，以前也曾学习过COSO发布的《企业风险管理——整合框架》（以下简称《整合框架》），这次重读它，有一些不同的感受和体会。

一、为什么要进行风险管理

企业存在的目的是为利益相关者创造价值。企业创造价值的过程是一个充满不确定性的过程。这些不确定性既可能蕴含机会，也可能潜藏风险。在《经济学的思维方式》一书中，作者提出：“利润源于不确定性”，但不确定性本身并不带来利润，利润还取决于企业家的管理智慧与能力。企业风险管理就是一种考验企业家管理智慧与能力的“不确定性管理活动”之一。企业管理层通过识别、抓住机会为企业增加价值；同时，也通过管理风险，以确保价值创造预期得以实现并避免损失。因此，风险管理是对企业面临的不确定性的管理，其目的是使不确定性保持在企业可承受的范围内，从而增进企业价值创造能力并增加企业价值。为什么要进行风险管理？笔者认为，可以用一个关系式表述为：企业风险管理=不确定性管理。

二、风险管理具体管理什么

风险管理具体管理什么？通常的回答是：风险。这种回答并不全面。《整合框架》指出：“企业风险管理处理风险和机会，以便创造或保持价值”。在企业风险管理实践中，应对和处理风险是大家所习惯的，却常常容易忽视对机会的应对与处理。COSO发布的企业风险管理框架多处强调了风险管理必须同时应对和处理好风险与机会。在对影响目标实现的“事项识别”的过程中，《整合框架》又提出：“具有负面影响的事项代表风险，它需要管理层的评估和应对”；“代表机会的事项被反馈到管理层的战略或目标制订过程中，以便规划行动去抓住机会”。在对企业风险管理进行“监控”时，其要求报告缺陷，缺陷包括：“一个觉察到的潜在的或实际的缺点，或者一个强化企业风险管理以便提高主体目标实现的可能性的机会”。也就是说，“除了缺陷以外，所识别的提高主体目标实现的可能性的机会也应报告”。而在企业风险管理的实践中，大家常常只管理风险而忽视机会，甚至为了强调管理风险而放弃或丧失了良好的市场机会。风险管理具体管理什么？笔者认为，可以用一个关系式表述为：企业风险管理=风险与机会的管理。

三、如何平衡风险管理目标

理解了风险管理既管理风险又管理机会，才能正确认识和理解COSO提出的风险管理四大目标，即：战略目标、经营目标、报告目标和合规目标。COSO认为：“目标设定是事项识别、风险评估和风险应对的前提”；“恰当的目标设定过程是企业风险管理至关重要的构成要素”。然而，在风险管理的实践中，目标设定却存在两类典型现象：一是目标迷失现象。即风险管理人员为了控风险而控风险，偏离了管控目标。这种风险管理导向单纯专注于风险管理政策和技术而忽略其价值和功用。二是目标设定失衡现象。即风险管理人员比较注重合规目标、报告目标等风险防范类目标的实现，而容易忽视战略目标和经营目标等业务发展类目标的实现。这两类现象往往造成风险管理将企业经营“画地为牢”的后果，即：为保证经营合规或避免损失，风险管控导向单向趋严，一方面使得“牢”越修越豪华，成本越来越高；另一方面使得企业经营活动空间越来越小，丧失了一些市场机会。要克服这两类现象及其不良后果，企业风险管理应评估每项政策和举措的目的性及在目标实现方面的效用，尤其是要在强调经营的合规性和避免损失的同时，还应特别强调确保企业经营效率和有效性。如何平衡风险管理目标？笔者认为，可以用一个关系式表述为：企业风险管理=企业价值创造活动。

四、谁来管理企业风险

谁来管理企业风险？《整合框架》提出：“主体中的每个人都对企业风险管理负有一定责任”；“企业风险管理由一个主体的董事会、管理层和其他人员实施”；“很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息，但是他们不对主体的企业风险管理有效性承担任何责任，而且也不是它的组成部分”。上述观点强调了两个方面：一是企业风险管理是企业自身的责任，外部主体对此并不承担责任，其不是企业风险管理的责任主体。二是企业内部每个人都是企业风险管理的责任主体和实施主体。COSO强调的这两点，其立足点均是“责任”，即企业风险管理的责任主体是企业及企业内部的每个人。从风险管理实践的角度看，最难的是让每个人都明白并切实承担起本岗位的风险管理责任。通常，直接面对市场、客户并承担发展任务指标的经营及管理人员，其合规及风险管控的意识和行为主动性相对较弱，他们往往认为内部控制和风险管理是风险管理部门的事情。同时，那些不直接面对市场和客户而在中、后台专业化从事风险管理的人员，对经营效率和有效性则缺乏敏感性，他们往往对风险管理促发展显得不够关心。

值得注意的是，虽然COSO提出外部主体并不对企业的风险管理承担责任，但外部主体事实上也是企业风险管理的重要参与者和实施主体。比如，企业与交易对方对账、大额支付向客户电话核实、银行开户对客户进行实地核查、银行对票据的查询查复、客户交易需输入密码、有些业务需要客户本人办理等，这些内部控制及风险管理举措都需要客户等外部主体参与和实施。同时，监管部门、新闻媒体等事实上也通过监督、检查等手段发挥了强化企业风险管理的作用。在笔者看来，企业风险管理需要重新认识并高度重视客户、监管部门等外部利益相关主体在企业风险管理方面发挥的独特作用。其努力方向是将外部主体的信息和行动，内化为企业风险管理的内在行动，使其成为企业风险管理的一部分。谁来管理企业风险？笔者认为，可以用一个关系式表述为：企业风险管理=企业利益相关者的价值创造活动。

五、如何管理企业风险

如何管理企业风险是一个重要的课题。COSO提供了一个“八要素”的管控框架，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。在笔者看来，这八要素的最终落脚点是员工在企业交易活动中的言与行。《整合框架》指出：“企业风险管理机制与主体经营活动交织在一起，为了基本的经营理由而存在”；“它是通过一个组织中的人、通过他们的言行来完成”。COSO进一步阐述了其立论基础：“将风险管理整合到基本的经营活动之中，企业就能够避免不必要的程序和成本。而且，把企业风险建立在经营业务的基本框架之中的做法，可以帮助管理层识别新的机会，以便抓住这些机会实现业务增长”；“人制订主体的使命、战略和目标，并使企业风险管理机制得以落实”。COSO上述立足于企业经营业务和员工言行管控风险的观点，是深得风险管理要领的。在实践层面，要做到这一点却很不容易，常见两种倾向：一是过度强调风险管理相对于业务经营的独立性，将风险管理附加在经营业务之外。比如，当前诸多商业银行所推行的信用风险垂直化管理，将信贷审批、贷后管理、资产保全独立于经营单位，在一定程度上影响了业务效率和扼杀了一些市场机会。二是内部控制制度和风险管理政策文本化堆积，而未内化为员工行为。比如，一些商业银行风险管理制度、政策比较完善，却大案、要案频发，就与其风险管理制度和政策未转化为员工自觉的行为有较大关系。

在笔者看来，将风险管理整合到企业的经营业务和员工行为之中，企业就要加强对交易要素的管控。交易是主体围绕特定对象而产生的利益关系。按经济学家康芒斯的观点，交易分为内部交易和外部交易，管理属于内部交易。通常，一项交易由主体、对象、工具、时间、地点等要素构成，交易就是这些要素结成的相互关系。大多数时候（除那些非人为因素导致的事项外，如自然灾害），企业风险管理应强化对这些交易要素及其相互关系的管控。在交易主体层面，需要对主体资格及其行为进行规范，如银行办理存取款交易的柜台人员必须取得从业资格，客户办理信用卡必须满足一定的信用条件。在交易对象方面，需要明确其范围与特性管理要求，如饮料的成分必须满足人体身心健康要求。在交易工具方面，需要对其功能及技术标准进行明确，如验钞机的参数设置。在交易时空方面，也需要有所限定，如金库宜设在地下，运钞车应按设定路线运行。同时，这些交易要素之间发生何种关联、如何关联，也需要作出控制，如必须双人同时进入金库。企业风险管理只有管控住了这些要素及其相互关系，才能实现预期的目标。对交易要素的管控，可以通过将控制措施内置于交易流程中来实现，也可以通过交易流程之外的管理活动来实现。前者如“输入密码”等交易控制，后者如“审计”等管理控制。由于一切交易是由人来驱动的，因此员工的言行规范又是风险管理的核心。因此，风险管理说到底贯穿于企业员工的言行之间，或者说贯穿于员工的举手投足之间。从这个层面来讲，如何管理企业风险？笔者认为，可以用一个关系式表述为：企业风险管理=员工言行管理。

六、如何评判企业风险管理的效果

假设一家商业银行出现一宗3000万元的信贷欺诈案件，那么，如何评判这家银行内部控制及风险管理的有效性呢？按照当前国内商业银行内部控制及风险管理监管的实践，通常会断定这家银行内部控制及风险管理的有效性存在严重问题。这种结论是基于风险管控的结果所作出的评判。《整合框架》提出了一种不同的企业风险管理有效性评判框架，即一种基于企业风险管理过程评估的八要素评估框架。其提出：“确定企业风险管理是否‘有效’，是在对八个构成要素是否存在和有效运行的评估的基础上所作出的判断。因此，构成要素同时也是有效的企业风险管理的判断标准。如果这些构成要素存在且正常运行，那么就可能没有重大缺陷，而风险可能已经被控制在主体的风险容量以内”。八要素评估说起来容易，实施起来却面临诸多问题。最大的问题是企业交易活动纷繁复杂，交易数据十分庞大，而风险管理评估往往只能择其样本。而抽取多大的样本交易量、从哪些方面来审视这些交易样本等，都是八要素风险评估面临的现实问题。

《整合框架》提出了一个“三维矩阵”的风险管理立方体，提示我们从“目标+八要素+主体结构”这个三维角度去认识风险管理和构建风险管理评估标准。解读这个三维矩阵会发现，COSO强调不仅应按八要素考察企业风险管理，而且也应据此考察企业中子公司、分部等业务单元的风险管理。《整合框架》提出：“为了得出这个单元的企业风险管理有效的结论，所有的八个构成要素在这个单元中必须存在且有效运行”。也就是说，子公司、分部等业务单元的风险管理，也需要通过八个要素的构建和有效运行来实现。这一点在实践中却存在认识误区。比如，论及内部控制和风险管理的环境问题，大家通常会联想到这个企业总部的公司治理、人力资源政策、管理层的意识和能力等，很少会想到企业的业务单元、管理单元也存在环境问题。论及监督问题，大家通常会联想到企业的审计或稽核检查、专业检查，很少会想到企业的业务单元、管理单元的内部监督机制问题。事实上，很多企业内部控制和风险管理存在执行力问题，一个重要原因即是基层业务单元、管理单元的内部环境、监督机制、信息与沟通机制较差。因此，企业的风险管理及评估，即必须强化企业内部业务单元、管理单元的八要素风险管理体系构建和评估。COSO提出的一些风险管理环境建设的论断不仅适用于企业总部管理层，也适用于业务单元的基层管理者。从这个层面讲，如何评判企业风险管理的效果？笔者认为，可以用一个关系式表述为：企业风险管理=业务单元风险管理。

七、《整合框架》有什么局限性

通过重新学习《整合框架》，笔者认为其存在以下几个方面的不足。

（一）企业风险管理的外延问题

《整合框架》对企业风险管理与内部控制、企业管理过程之间的关系进行了区分，但笔者认为，其所作出的区分并不清晰，甚至使人迷糊。关于内部控制与企业风险管理之间的关系，其提出：“内部控制是企业风险管理不可分割的一部分”，但并没有明确内部控制占据着“企业风险管理肌体上的哪一块筋骨”。其在“附录C”中进一步比较了《整合框架》与《内部控制——整合框架》之间的异同，这种异同只是两个框架的异同，并未在外延上厘清企业内部控制与风险管理之间的关系。关于企业风险管理与企业管理过程之间的关系，其提出：“企业风险管理是管理过程的一部分”；“并不是管理层所做的每一件事情都是企业风险管理的一部分”，但其列举的那些属于管理过程而不属于风险管理的实例却显得牵强。比如，其提出：“确定和执行控制活动以帮助确保管理层选择的风险应对得以有效实施是企业风险管理的一部分，但是所选定的特定控制活动却不是”。委实难以想象，将其排除的类似内容从企业风险管理中抽离出去，企业风险管理还会剩下什么。

（二）企业风险管理的内涵问题

《整合框架》将风险管理定义为：“……旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。同时，又提出：“企业风险管理处理风险和机会，以创造或保持价值”。《整合框架》在给企业风险管理下定义时，强调管理“风险”，而阐释八要素时又强调处理“风险和机会”。同时，《整合框架》在阐释八要素时，讨论内部环境、目标设定、事项识别、信息与沟通等要素，是“风险和机会”并重的；而在讨论风险识别、风险应对、控制活动、监督等要素时，又是偏重“风险”的。这在概念上很容易使人混淆：企业风险管理究竟是既管理风险又管理机会，还是仅管理风险？

另外，《整合框架》还将风险管理定义为“一个过程，它持续流动于主体之内”。这种定义是一种“集合式”的或“整体性”的定义角度，即站在企业所有的或整体的风险管理举措角度进行定义。该定义角度有助于我们从整体上理解企业风险管理是什么，却很难概括企业采取的某一项具体风险管理举措。比如，“双人出入金库”是一项风险管理举措，却很难用“风险管理是一个过程”来解释。一个具有解释性的定义，既要能“概括宏观”，又要能“包容微观”。据此，笔者认为，风险管理首先是“一种活动”，然后才是“一个过程”。而且，企业整体的风险管理过程是由无数次风险管理活动构成的。这样定义风险管理，也才能理解COSO的下述观点：“企业风险管理并不是静止的，而是渗透于一个主体的各种活动的持续的或反复的相互影响”。

（三）企业风险管理的八要素问题

在研读《整合框架》时，笔者比较关注COSO提出的企业风险管理八要素的内在逻辑：其基于什么方面提出企业风险管理由八要素构成。COSO的回答是：“企业风险管理包括八个相互关联的构成要素。它们源于管理层经营企业的方式，并与管理过程整合在一起”。这就是说八要素是根据“管理层经营企业的方式”提出来的。从COSO的这种逻辑来看，笔者觉得其关于八要素的划分或界定就存在一些问题。一是“内部环境”似应换成“经营环境”更恰当。事实上，制约和影响企业风险管理的环境因素并非只有“内部的”，也还包括“外部的”。比如监管政策、行业竞争态势、社会风尚、商业惯例等，也影响和制约企业的风险管理，构成企业风险管理的基础。而且，如果没有外部环境因素的影响，也就很难理解为什么“合规”、“可靠”等构成了企业风险管理要实现的目标。二是“事项识别”似应换成“交易或事项识别”。COSO所定义的事项是指影响目标实现的事故或事件，其与风险、机会并无本质性差异。从管理层经营企业的方式来看，在目标设定之下，企业管理层关注的是达成目标实现的交易以及影响交易实现的事项，风险、机会存在于交易或事项之中。三是风险应对、控制活动、信息与沟通、监督活动之间实际上存在较多的交叉，均可归结为控制活动。

另外，如前所述，由于COSO是站在“整体性”角度来定义企业风险管理的，因此其八要素的划分也应站在“整体性”的角度。如果将风险管理从“微观角度”定义为一种活动，并从一项活动的构成要素角度来划分风险管理要素，其或许应该是环境、目标、主体、对象、行动、工具和时空等。

（四）企业风险管理实施的主体问题

COSO显然也认识到外部主体对企业风险管理的重要作用。其提出：“许多外部方面都能对实现一个主体的目标作出贡献，有时所采取的行动是与内部所采取的行动相并行的。在其他的情况下，外部方面可能会提供对主体的企业风险管理活动有用的信息”。《整合框架》并分别分析了外部审计师、立法和监管者、客户、财务分析师和新闻媒体对企业风险管理的影响。不过，COSO未能区分风险管理的实施主体和风险管理的责任主体这两个不同的概念，并主要讨论了风险管理的责任主体。因此，其站在外部主体并非风险管理的责任主体角度，比较强调这些主体对企业风险管理的影响及信息提供作用，而未能站在风险管理实施主体角度，去发掘外部主体在企业风险管理方面发挥的“主体性”和“参与性”作用。■

责任编辑 刘黎静