全面风险管理多维立体框架

三、全面风险管理多维立体框架

（一）COSO全面风险管理整合框架

COSO的全面风险管理框架是一个三维立体的框架，包括四个目标、八个要素、四个层面。这种多维立体的表现形式，有助于全面深入地理解控制和管理对象，分析解决控制中存在的复杂问题。

第一个维度（上面维度）是目标体系，包括四类目标：（1）战略目标；（2）经营目标；（3）报告目标；（4）合规目标。

第二个维度（正面维度）是管理要素，包括八个相互关联的构成要素，它们源自管理当局的经营方式，并与管理过程整合在一起，其具体为：

（1）内部环境。管理当局确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。

（2）目标设定。企业风险管理确保管理当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应。

（3）事项识别。必须识别可能对主体产生影响的潜在事项，包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。

（4）风险评估。对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联，既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。

（5）风险应对。员工识别和评价可能的风险应对措施，包括回避、承担、降低和分担风险。管理当局选择一系列措施，使风险与主体的风险容限和风险容量相适应。

（6）控制活动。制定和实施政策与程序，以确保管理当局所选择的风险应对策略得以有效实施。

（7）信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通，包括信息在主体中向下、平行和向上流动。

（8）监控。整个企业风险管理处于监控之下，必要时还要进行修正。监控通过持续的管理活动，对企业风险管理的单独评价或者两者的结合来完成。

第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。

（二）《中央企业全面风险管理指引》立体框架

根据COSO的三维框架，央企的全面风险管理也包括三个维度：五个目标、八项内容、三道防线。

1．五个目标

（1）确保将风险控制在与总体目标相适应并可承受的范围内；

（2）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

（3）确保遵守有关法律法规；

（4）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

（5）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

2．八项内容

（1）收集风险管理初始信息；

（2）进行风险评估；

（3）制定风险管理策略；

（4）提出和实施风险管理解决方案；

（5）风险管理的监督与改进；

（6）构建风险管理组织体系；

（7）完善风险管理信息系统；

（8）建立风险管理文化。

3．三道防线

各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。

（三）构建全面风险管理多维框架的思索

1．全面风险管理多维框架的构建基础

国务院国有资产监督管理委员会于2006年6月发布的《中央企业全面风险管理指引》（以下简称《指引》）是全面风险管理多维框架的构建基础。

（1）《指引》是构建框架的指引性文件。《指引》的目的是指导企业开展全面风险管理工作，降低企业经营风险，正确应对企业失败或企业危机，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，同时也关系到国有资产保值增值的重任。《指引》指出，全面风险管理强调以企业的根本目标为出发点进行管理活动，最终落实到企业的盈利和发展问题上来，是目标导向的管理方式。因此，全面风险管理多维框架要与企业发展相联系，并成为企业发展的动力。

（2）《指引》是构建框架的基本蓝图。《指引》对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述。

（3）《指引》是构建框架的有力保证。2009年中央企业开展全面风险管理工作有关事项的通知要求：第一，把握形势，加强领导，把全面风险管理工作摆在日常经营管理的重要位置。中央企业要以科学发展观为指导，充分认识当前和今后一段时期内市场环境变化对企业经营管理的持续影响，积极主动应对各种风险，把全面风险管理工作摆在企业日常经营管理的重要位置。中央企业要加强领导，主要负责人要亲自抓，要按照《指引》的要求，组织集团及所属企业深入开展全面风险管理工作，层层落实，确保企业持续稳定健康发展。第二，抓住重点，健全体系，稳步提高全面风险管理工作水平。中央企业要本着从实际出发、务求实效的原则，以解决企业经营管理中存在的突出问题为重点，加强对重大风险、重大决策、重大事件的管理和重要流程的内部控制，不断完善企业内部控制系统，逐步建立健全企业全面风险管理体系，切实提高企业风险防范和应对能力。同时，中央企业还应在集团及所属企业范围内逐级明确风险管理职责，加强风险管理组织体系建设，重视风险管理文化培育工作，稳步提高企业全面风险管理工作水平。第三，总结经验，加强交流，逐步探索出适合本企业的全面风险管理工作机制。

由此可见，贯彻《指引》的精神，是全面风险管理多维框架核心内涵。

2．全面风险管理多维框架的构建原则

（1）收益与成本的配比性原则。全面风险管理多维框架的构建首先要考量风险管理收益与成本之间的均衡问题。

（2）简单清晰原则。复杂和精细的风险管理系统可能会很好的防范风险，但过于复杂的体系可能会带来理解和执行的困难。

（3）多重目标导向原则。全面风险管理贯穿于企业的发展中，全面风险管理的最终目标是企业价值最大化或股东价值最大化。全面风险管理的中间目标涉及企业的各个方面的目标，包括战略目标、运营目标、财务目标、法律目标等等。

（4）全员配合原则。全面风险管理涉及到企业的每一个层级，每一个部门、每一个人员，它是一个涉及公司治理结构、组织结构设计、内部管理流程、信息系统管理等的综合性框架。

3．构建全面风险管理多维框架

（1）第一维是目标体系，包括总体目标：战略目标、运营目标、财务目标、合规目标；具体目标：事前管理目标与事后管理目标。

（2）第二维是全面风险管理流程，包括风险识别、风险评估、风险战略制定、风险管理实施、风险监察等方面。

（3）第三维是三个体系，包括风险管理组织体系（董事会、风险管理委员会、审计委员会、管理层、业务单位、职能部门、全体员工）；风险管理信息体系（包括信息的采集、存储、加工、分析、测试、传递、报告、披露等）；企业业务流程设计（产品导向的流程、服务导向的流程、客户导向的流程）。

（4）第四维是风险管理文化，包括风险意识、风险管理理念、风险管理知识和能力。

全面风险管理的核心理念是把风险管理渗透到企业管理的各个层面和企业运营的各个环节。构建全面风险管理多维框架的目的，是与企业运营发展目标相匹配，并使其能够很好地实施。