一拿到由方红星、王宏翻译的《coso企业风险管理-整合框架》这本书，心里竟然有一种莫名的激动和喜悦涌了上来。对于coso的内控框架等相关知识来讲，与我可真是老朋友了啊！遥想2001年考取国际注册内审师资格的时候，coso的内控框架就已经是最核心的学习内容之一。当成功通过考试，成为一名光荣的cia之后，对相关的知识书籍更曾多次的翻阅细读。 如今重读，旧梦重温，恍如隔梦，想起那些个复习备考的日子里的青春的执着和挥洒的汗水。那么就沿着无数的大师曾走过的足迹，再次认真的系统的学习这一本《企业风险管理—整个框架》吧。
1992年coso发布《内部控制-整合框架》成为世界通用的内部控制标准和框架；2001年12月美国最大能源公司-安然公司破产丑闻以及2002年6月世界通信会计丑闻等事件催生了《萨班斯-奥克斯利法案》，而也就是在这个阶段企业的内部控制及风险管理引起了越来越多的企业管理者以及投资者、监管者的重视。对此，coso于2001年启动调研，2003年发布《企业风险管理-整合框架》意见稿，并于2004年9月发布的最终稿。这个框架阐释了企业风险管理理论的精髓，给所有企业列出了企业风险管理的内容、框架和基本原则。
根据该框架，企业风险管理是指“一个由企业董事会、管理当局和其他人员实施的过程，应用于战略制订并贯穿于企业之中，旨在识别那些可能影响企业运作的潜在事件，并将其控制在企业的可接受范围之内，从而帮助企业达成目标。”这个定义重点强调了企业风险管理的几个概念：（1）这是一个持续性的过程；（2）贯穿企业各个层面、单元以及各个人员，强调全员和全流程，全过程；（3）与企业战略制订有关，因此要给予足够高的重视；（4）关注潜在事项及其对经营主体的影响；（5）只能提供合理保证（不能提供绝对保证，这是很多企业不予重视的原因之一）；（6）企业风险管理能够实现一个或多个单一或交叉的目标。企业风险管理框架的要素包括8个：内部环境、目标设定、事项确认（识别）、风险评估、风险应对、控制活动、信息与沟通、监督；而其目标包括4个类型，具体包括：战略目标、经营目标、报告目标、合规目标。值得注意的是企业风险管理框架涵盖了内部控制框架的内容，这是必须的，因为内部控制是企业风险管理不可分割的一部分。在具体把握各个要素以及目标及其之间的关系之前，应该再次强调：风险管理框架及其包含的原则、工具、方法不是不能保证规避风险，风险管理的有效性涉及多个方面的因素，比如人员主观性的判断、人员能力高低、人员间串通，以及高层的支持等因素都影响风险管理的最终效果，即影响企业风险管理目标的达成。
第一个要素：内部环境
内部环境是全面风险管理其它构成要素的基础，为其他要素提供了必要的约束和结构，影响战略及目标的制定，经营活动之组织，企业内外部风险之识别、评估和要采取的行动，进而影响企业的控制活动、信息和沟通系统、监督活动的设计和职能的发挥。内部环境本身由众多要素组成，包括企业的价值观、管理当局经营风格、权利与责任的分配和员工的发展和任职能力；这些要素为其他风险管理要素的效力发挥提供了一个必要的基调或者基础，包括诚信、道德价值观和胜任能力——诚信是一个主体所有活动所有方面的道德行为的先决条件，它和道德价值观是内部环境的关键要素，影响其他要素的设计、管理和监控。董事会是内部环境中的关键因素，他们的独立性、经验及才干以及参与或审察的程度不仅提供合理的建议、忠告和指导，而且要对管理当局进行监督和制衡；而管理当局的态度和经营风格会影响到企业的风险偏好。
第二个要素：目标确定
目标是事件识别、风险评估和风险应对的前提。如上图所示，企业风险管理的目标分为四个方面，主要包括战略目标（长期）、经营目标（短期）、报告目标（有效）和合规目标（法律法规遵循）的设定。其中，长期战略目标与高层目标相关，与企业任务和愿景一致并为后者提供支持。对于任何主体而言，制订支持选定的战略并与之协调的正确目标是成功的关键，而这些相关的目标分为经营、报告和合规三类；只有确定这些层次的目标后，才能识别出关键成功要素及其量化的计量标准。短期经营目标与企业经营的效率性和效果性相关，包括业绩、盈利目标以及保障资源不受损失；有效的报告目标与企业报告的真实准确性、可靠性相关，包括对内和对外报告，也包括财务或非财务信息；法律法规遵循目标则与企业遵守使用的法律和法规相关，这些法律有不同行业通行的法律法规也有主体所在行业特有的法律规定。
必须认识到的是，达成战略的相关目标中，报告和合规目标的达成与战略目标短时间内可能不是正向促进的关系而是反向牵制或制约的关系——为了达成短期的经营目标，可能舍弃报告或合规上的部分目标。这就涉及到风险容量和风险容限问题。有时为了实现支付机构报告和合规上的目标，其他投入可能短期远远大于其产出或者为了一个合规目标，一个创业可能暂时不能予以实施。此时，这些报告和合规目标相关的风险怎么处理就是变成现实的问题。
第三个要素：事项识别
管理当局识别对主体产生影响的潜在事项，包括外部和内部因素，即确定潜在事项是机会还是风险；如果是机会，应将其反馈到战略和目标设定之中，而如果是风险则应该予以评估和应对。这些事项是来自于内部或外部的影响实施战略和目标实现的事故或事件，其驱动因素可能来自很多方面，比如外部的经济因素（价格、资本等）、自然环境、政治、技术、社会等因素，以及内部的基础结构、人员、流程、技术等。企业应该采取各种方式，比如互动研讨、统计数据、追踪技术、内部分析、预警触发等。为了更好的管理事项以及其背后的风险及其应对，应该考虑事项之间的关联关系，事项的类别划分（包括正负向划分以及不同属性类别上的划分）。
第四个要素：风险评估
在设定目标，发现事项之后，必须进行适当的风险评估。评估风险对企业实现目标的影响程度或风险价值等，有定性与定量两种方法——定性方法包括问卷调查、集体讨论、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等，而定量方法包括统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。根据coso的建议，定性和定量的方法相结合是最佳选择。
对潜在事项的评估包括两个方面：可能性（发生的概率）和影响（后果）。这种评估往往充满困难，甚至挑战。评估的信息来源以及评估人员本身风险偏好都影响评估的结果。例如，通过历史数据分析得知，在全国各个省份中，广东注册的会员参与网络赌博的概率最大。这在这种历史统计信息及结论之下，一旦碰到一个广东的会员，对其风险评估的级别就自然会比其他低风险低于的会员要高一个级别，并对其日常交易情况就要提高一个警觉的程度。
第五个要素：风险应对
风险应对要求管理当局在风险容忍度和成本-收益原则下确定风险应对方案并考虑其对事项的可能性和效果的影响，然后设计、确定和实施选择的应对方案。风险应对措施通常包括回避、降低、分担和承担四种。另外，在风险应对的过程中，还应该有组合的观念——一个不同风险组合应对之后，其应对管理成本可能会下降，也可能因为组合而积聚上升变得更加重要，这就如同合力效应。
第六个要素：控制活动
控制活动通常包含两个要素:确定应做什么的政策和有效地实施政策的程序，也可以分为预防性控制、检查性控制、纠正性控制和补偿性控制等类型。控制活动贯穿在组织的各个层级和各个职能部门，包括一系列不同的活动，比如批准、授权、验证、调节、评价、评估、职责分离等等。
第七个要素：信息与沟通
信息与沟通要素提倡企业必须有效识别、收集来源于企业内部和外部的定性或定量的经营信息，并以适当的方式与相关利益者进行有效沟通。信息的来源无论是内部，还是外部都有正式渠道，也有非正式渠道，有直接渠道也有间接渠道。比如，商户的风险高低在于获得商户的信息多少、来源及其可靠性——有直接与商户面谈或问卷调查得到信息，也可能有通过新闻媒体、网络平台、监管机构等方面获得的有关商户的信息。另外，现在信息化时代下，内部不同平台之间的信息共享程度，以及内部系统与外部系统（供应商或客户）的集成度和信息分享程度都在日益上升。这给信息、沟通的及时性、效率得到改善，而同时信息的深度、及时性、可靠性对于信息分析决策都变得日益重要。同信息的来源分为内部和外部一样，信息的沟通也分为内部和外部沟通。信息的内部沟通是为了更高的事项企业的战略、经营、报告和合规方面的目标，内部沟通包括横向的沟通和纵向的沟通；横向的沟通有利于风险的应对和控制活动的协调开展，纵向信息的及时沟通便于决策及其措施的快速确定和传达。信息的外部沟通主要集中在企业主体与外部利益相关者之间的沟通，比如供应商、客户、监管机构、投资者等等。
第八个要素：监督
监督是一个对风险要素当前功能及其业绩质量进行评估的过程。通常监督通过两种方法进行：通过持续的活动或个别评价。持续监控建立在企业日常重复发生的业务活动和风险管理活动之上，而个别评价则是在事后进行的，可以作为对持续监控的补充。专门的评价通常要确定评价的范围、频率、目的，并关注评价过程、方法和报告形成评价的信息传递机制和分享机制。实务处理中，这两种方法是结合进行的。
后记
上述8个要素有着层次关系，实际操作中是否有必然的先后关系？如果有，这是一个误解。在企业的实际风险管理中，上述要素之间是融为一体的，没有绝对的先后关系，是彼此互相又有着影响，并最终影响风险管理目标的达成。因此，企业风险管理实施过程中，分要素分先后步骤予以实施。另外，需要认清的误解是，企业风险管理可以给企业达成目标提供绝对保证。这个前提下可能导致过度的依赖或者失败之后的完全忽视。企业风险管理只能为达成目标提供合理的保障，而且是合理的过程性的持续性的合理保障。