COSO框架下企业风险管理

20世纪90年代美国《内部控制整体框架》（也称COSO报告）的标志着企业的内部控制进入了一个新的时代，它把内部控制从原来的平面式结构提升为立体式结构，它是内部控制理论研究的最新结晶并由此实现了历史性的突破，也代表了企业内部控制理论研究的最高水平，它是目前国际上所推崇的最为权威的内部控制准则。90年代末，美国注册会计师协会又了《审计准则公告第55号》，该准则将企业的内部控制划分为五个组成部分，即：控制环境、风险评估、控制活动、信息与沟通、监控。到2004年，COSO委员会又了《企业风险管理框架》，由此又将企业管理的重心锁定在风险管理方面。

一、COSO框架下企业风险管理中应当关注的风险

按照美国《企业风险管理框架》的基本精神，并考虑我国一般企业的现状，本文认为企业高管层首先应当关注战略风险、投资风险、经营风险和财务风险等。

（一）战略风险战略风险是企业最大的风险，它是指企业在发展方向、产业规模、目标市场等方面出现错误选择的可能性及由此所引发的企业未来长期损益状况的不确定性，它既涵盖了企业的产业定位、目标市场的选择、产业规模和企业组织架构的规划等内部因素，又包含了企业对国家法律法规和宏观监管政策的方向性变化、市场竞争环境和竞争对手的估计等外部因素。如果企业的战略选择一旦出现失误，可能会对企业产生致命性的打击。然而，战略选择一般都应是企业治理层的职责。按照《中国注册会计师执业准则1151号――与治理层沟通》（2006）的定义，“治理层是指对被审计单位战略方向以及管理层履行经营管理责任负有监督责任的人员或组织。治理层的责任包括对财务报告过程的监督”。由此可见，企业战略的选择及其风险的管理控制应当属于企业治理层的责任，它非企业的管理层力所能及的风险领域。但是，这也并不意味着企业的管理层与战略风险毫无干系。作为企业的管理层最起码应当：（1）实施治理层所做出的战略选择。在现代企业制度下，以总经理为首的企业管理层负责企业的日常投资活动和经营活动，并应在各种管理活动中不断地贯彻治理层的战略决策。如企业文化的建设、产业转型和产品的更新换代、目标市场的转移等。如果管理层的日常经营和管理活动不能有效的贯彻和体现治理层的战略选择，则企业战略目标只能是一种空想、更不可能实现。（2）及时反馈战略风险的动态信息。企业战略目标是企业发展的一种宏观的和长远的考虑。因此，企业战略目标的实现应当是一个渐进的过程，没有任何一家企业可以在一夜之间实现其战略目标的，否则它就不能被称之为战略。而且，在企业不断地实现其战略目标的过程中会受到来自企业内外诸多因素的影响，有的因素会加速其实现过程、有的因素却会阻碍其实现过程。其中，对企业战略目标的实现产生不利影响的因素很可能会进一步演变成企业的战略风险，而且这些风险因素具有多元化和持久性的特征，它需要管理层及时的向治理层反馈战略风险的动态信息，以便治理层采取适时的和适当的应对措施。（3）协助治理层进行战略风险控制。正如企业战略的选择一样，企业的战略风险应对也是企业治理层的职责。企业治理层针对不同时期、不同情况下所发生的战略风险因素所提出的各种调整性应对措施同样也需要企业的管理层具体进行协助和执行，其中包括提出初步的应对方案和措施的建议、具体组织和实施治理层所做出的战略风险应对决策等。

（二）投资风险投资活动是用以衔接企业战略和日常经营活动的纽带和桥梁，企业只有通过投资活动才能借助日常经营活动不断地实现其战略目标和远景规划，也只有通过不断地进行投资风险的管理和控制，才能从根本上为经营风险的规避和控制提供良好的基础和条件；也只有不断地重视个别投资风险的防范，也才能降低企业的战略风险。如某公司近五年的战略目标是由单一的机械制造业向多元化发展――其目标是通过多元化经营，一方面在不降低公司总的盈利能力的前提下尽可能增加公司的营业收入、扩大公司的经营规模，以此进一步增加公司的融资能力；另一方面以此扩大原有机械产品的销售和社会影响力。在这一战略思想的指导下，并考虑公司所具有的资金、技术和管理实力、以及分支机构主要分布在西北等优势，公司的决策层选择了房地产开发、建筑材料、作物种植和粮食加工等几个当时认为风险低、业态相对稳定的几个行业。在近年来的投资活动中，公司以战略为导向、分别实施投资项目负责制，大部分投资项目都能如愿以偿、为公司的多元化战略做出了贡献，但惟独某投资项目由于工厂选址不当导致后期投产后原料和产品的运输成本过高、以至于该项目经营发生困难、连年发生亏损，从而拖累了公司的整体盈利能力、也影响了公司多元化战略的实施效果。由此可见，项目投资风险既会直接影响经营风险，又会加大战略风险。由上述分析可见：（1）对内对外投资活动是企业逐步实施其战略目标的必须；企业投资活动的目标应当是企业战略目标的具体化，企业的所有投资项目都应围绕企业的战略目标开展。（2）对内对外投资活动是企业实施战略目标过程中经常遇到的投资额大、影响长远的一种战略，围绕企业发展战略所开展的众多投资活动的整体效果会影响战略目标的整体实现程度；每个项目的投资风险或多或少的会影响到企业的战略风险。（3）与战略风险相比，投资风险的控制的责任主体分别应当是企业的治理层和管理层。其中，投资项目的决策风险一般应由企业的治理层进行控制，它直接决定投资项目的方向性和指导性；而投资项目的实施风险一般应由企业的管理层进行控制，它直接涉及投资项目的可行性、经济性和可操作性。（4）无论是对内投资、还是对外投资活动，都应考虑投资活动对企业未来营运成本的影响。由于对内投资的管理问题（比如工厂选址、厂房规划、产能设计、设备选型等）会引发的项目投产后产品成本过高、质量不稳定等一系列的问题；由于对外投资管理不当所导致的企业经济负担加重、整体盈利能力下降、甚至拖跨企业原有产业的例证。

（三）经营风险 经营风险是指在企业的生产经营过程中，由于供、产、销诸环节受到企业内外各种不确定性因素的影响所导致的企业经营过程和结果的不确定性。如原材料供应风险、价格风险、技术风险、设备稳定性风险、员工队伍风险、产品销售风险等。这些风险与战略风险、投资风险相比，经营风险更具有客观性、经常性和多样性特征，它每时每刻的存在于企业的生产和经营活动之中，因此经营风险是企业管理层所面临的一种经常性风险。企业所面临的经营风险虽然具有多样性，但其整体可分为内部风险和外部风险。（1）内部风险主要是指由于企业内部各种不确定性因素所导致的经营过程的不稳定性和经营结果的不确定性。如生产技术和设备性能的稳定性、员工素质的整体水平及其可塑性、生 产调度的适时性和科学性、信息沟通和内部物流的便捷性等。（2）外部风险主要是指由于企业外部环境的各种不确定性因素所导致的经营过程的不稳定性和经营结果的不确定性。比如相关法律法规对企业经营的保障程度、政府对企业监管和保护的程度、所在行业一般薪酬水平的变动趋势、材料供应数量的可靠性和价格稳定性、同类产品市场的竞争状况和替代产品的更新频率、企业的交通运输条件等。

（四）财务风险 财务风险是指企业在各项财务活动中由于各种因素的影响使企业在一定时期和一定范围内所获取的最终财务成果与预期财务目标发生重大偏差、从而使企业遭受重大经济损失的可能性。财务风险是企业所面临的一种综合性风险，无论是企业实施战略转移、还是进行对内对外投资、或者日常的经营活动，都有可能招致企业面临财务风险。（1）企业财务状态风险是企业所面临的一种静态风险，它是指企业当前的财务现状可能诱发的一种财务风险，比如由于企业资产负债比率过高所可能诱发的融资渠道受阻、进一步融入资金的困难，由于企业资产的流动性较差或短借长用所可能诱发短期偿债风险，由于企业货币资金的短缺所可能引起的支付困难等。企业的财务状态风险往往是以往财务活动不谨慎的结果，所以企业在日常财务活动中必须重视和合理预见财务活动的后果。（2）企业财务活动风险是企业所面临的一种动态风险，它是指企业当前所开展的相关财务活动所可能诱发的一种财务风险，比如企业为了实施产业转移所进行的大额投资活动，由于货币资金短缺而大量的、长期的拖欠职工薪酬，由于大量应收账款的存在而使企业面临巨额损失的可能性等。由此可见，企业的财务活动风险往往与相关的投资活动、经营活动相关联。（3）企业财务信息风险是一种关于财务会计确认、计量、记录和信息披露的风险，它是指由于企业财务会计核算过程中进行了错误的记录或者使用了不恰当的会计政策和方法，以及在财务信息报告的过程中发生了错报、漏报或误导性陈述、虚假陈述而使得企业发生损失的可能性。企业财务信息风险可能表现为企业内部的信息生成和使用风险，比如由于核算和记录的错误而导致的内部财务决策失误等；它也可能表现为来自企业外部各相关政府监管机构的处罚和制裁，或者职业团体和中介机构对企业的不良记录，以及与企业有利害关系的各个方面的诉讼等。

二、企业实施风险管理必须考虑的因素

企业高管层应当关注的上述各种风险的发生并不是孤立的，它往往涉及目标、流程、人事和制度等几个因素。因此，这些因素也是企业在实施风险管理时所必须着重掌控的几个方面。

（一）目标风险 企业的任何活动多应当有目标，没有目标的活动是盲目的，包括企业的投资活动、经营活动和财务活动等；目标又是企业开展各种活动的导向，它包括战略层次的远期目标和战术层次的近期目标，还包括用以衔接战术和战略的中期投资目标。一般情况下，企业的投资活动应当围绕战略目标实施，而经营活动则应以战术目标为导向；企业的财务活动则与企业的所有活动都存在着密不可分的关联度。如果企业的目标不明或定位发生重大的偏差，则会导致相关活动的盲目和失败、进而给企业造成损失的可能性会大大增加。可见，目标风险是企业最具根本性和方向性的风险因素。

（二）流程风险流程是各相关活动的程序性安排，它既直接决定相关目标的实现程度、又直接影响相关活动的规范性程度，既影响相关活动的效率、又直接决定相关活动的效果。因而无论是企业的投资活动，还是日常的经营和财务活动，都应具备明确而科学的流程。流程风险是指由于各种业务流程的原因所造成的、可能使企业的业务开展过程发生阻滞或偏离既定的目标、从而会给企业造成损失的可能性。因此，流程风险是风险管理的基础，它应当以效率的提高和效果的改善为导向。

（三）人事风险 任何一个企业实施任何行为都离不开人的因素，一个企业的人力资源整体水平及管理状况几乎成了企业成败的决定性因素。企业的人事风险是指由于人事方面的原因所导致的使企业面临重大经济损失、甚至发生经营失败的可能性，它涵盖了岗位设置、人事安排、员工的进入和退出、业绩考核、素质提升等方面。其中，岗位设置和人事安排又直接决定企业人事风险的高低。在岗位设置方面，首先应当考虑流程对岗位的需求，同时应当厘清每个岗位的岗职、岗能、岗责、岗权、岗级、岗效和岗酬等；在人事安排方面必须根据岗能方面的能力要求选定员工、根据岗职方面的合理需求确定员工数量，并做到“流程之外无岗位，岗位之外无员工”。

（四）制度风险实施制度化和规范化管理是当前企业管理的一种趋势，它自然也是企业实施风险管理的一种保障，包括企业战略目标的制定及其实现路径和方式的选择、投资项目的确定和实施，以及企业日常的经营、人事和财务等活动都应置于既定管理制度的约束和规范之下。但是，任何企业的任何管理制度都不可能做到天衣无缝的地步，有的制度因受制于成本效益原则而缺失、有的制度因个别高管人员的践踏而形同虚设、有的制度则因不同岗位的人员相互串通或因企业遭受异常的压力而失效等。我国的《企业内部控制基本规范》中也将成本效益作为企业实施内部控制制度的一个原则，并规定“内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制”。因此，任何企业的管理制度在规范企业运行方面只能提供一种合理的保证，因企业管理制度的先天不足或具有无效的可能性而使企业所面临的财务状况的不定性就是制度风险。

参考文献：

［1］秦荣生、卢春泉：《审计学》（第六版），中国人民大学出版社2008年版。

［2］财政部、审计署等：《企业内部控制基本规范》，2009年7月1日起施行。