中国本土3C框架

对于已经建立内部控制体系的企业，在现有的内控建设成果基础上，如何构建全面风险管理体系，使内控体系真正落地，切实提升风险管理水平，是这些企业迫切需要解决的理论和实际问题。李三喜先生提出的3C框架就是一种植根本土的，基于内控的全面风险管理体系。

从中国企业构建全面风险管理体系基础条件来看，中国企业尤其是在境外上市的企业近几年以来一直致力于企业内部控制建设，已经建立了一套比较完善的内控体系，编制了内部控制手册和自我评估手册，初步搭建了以风险管理为核心的内部控制基础平台。这是中国企业建立健全全面风险管理体系的基础条件。当然，多数企业的内控系统通过对流程的控制主要对运营风险、财务风险等风险建立了比较完善的控制体系，但是还不能覆盖企业面临的所有风险，如战略类、市场类风险，不能对其进行有效的管理和控制。

所谓基于内控的全面风险管理体系，简单地说，就是在内部控制建设的基础上，构建全面风险管理体系，是适合已经建立内部控制体系的企业进行全面风险管理建设的一条创新路径。这既符合国际上内部控制逐步向全面风险管理发展的潮流，也是中国企业构建全面风险管理体系的现实选择。

3C框架和流程

中天恒管理咨询公司经过多年的探索和实践，专为中国企业打造的3C全面风险管理基本框架（下文简称“3C框架”）如图1。

3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的，形成了由目标体系、风险整合、管理融合组成的有机体系，贯彻严密的目标――风险――管理的逻辑关系。

企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容，可以把目标确定作为全面风险管理的前提条件进行关注，并将其贯穿于全面风险管理工作的始终。

风险是对企业目标实现产生影响事项发生的不确定性，包括了危险和机会，是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素，是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来，是全面风险管理的一个基本标准。

全面风险管理是为合理保证企业目标实现，对企业风险进行全面管理的动态过程，是对企业风险进行整合管理的过程，是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容，是必须明确的；全面风险管理政策、战略、策略、决策是企业全面风险管理的基础，影响整个全面风险管理工作；全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。

全面风险管理融合，是企业风险管理自身内部的融合，是企业风险管理与企业业务的融合，是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多，其中最重要的就是要做到内部控制与风险管理的融合。

3C框架与COSO的不同

3C框架没有直接引入管理要素概念，从总体看包括目标、风险、管理三个方面；从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。

3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”；把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”；把COSO全面风险管理框架“控制活动”重新定义为“风险控制”；把COSO全面风险管理框架“监控”改为“监督改进”，并细化为“风险监督”、“风险审计”、“管理改进”等。

3C框架将风险辨识、风险确认、事件识别统一为风险识别，并定义为确认风险的过程；将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价，并定义为风险的量化过程；将风险策略、风险应对、风险工具统一为风险应对，并定义为选择应对风险策略的过程；将控制活动、控制政策、控制程序、控制措施、应对措施统一为风险控制，并定义为应对风险的各种措施；将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督，并定义为监督检查风险的过程等等。

3C框架将管理融合视为企业风险管理自身内部的融合、企业风险管理与企业业务的融合、企业风险管理与企业管理的融合，突出了内部控制与风险管理的融合。

（作者系中天恒管理咨询公司董事长、中天恒会计师事务所总经理）