时代呼唤：中国人自己全面风险管理标准

        全面风险管理是一项十分重要的工作，关系到企业战略目标的实现，关系到企业持续、健康、稳定的发展，这是不用质疑的了。企业实施全面风险管理主要来自外部的压力和内部的需要，在风险管理还没有普遍开展起来时来自外部压力对推动全面风险管理的实施是非常重要的，但从长远看内部的需要将起决定性作用。中国大多数企业的风险管理还是起步阶段，政府的推动将起很大的作用。

        世界上发达国家许多大公司对于如何控制和管理风险已经进行了多年的探索和实践，由起初的认识风险、重视风险管理逐步完善到现在的建立全面风险管理体系。风险管理的理念、技术、方法和手段，已经应用于发展战略的制定、投融资决策、财务报告管理、内部审计体系建设等。涵盖了从公司法人治理结构的制度安排，到各项业务运作的流程和操作等各个层面，形成了系统化、制度化、具体化的全面风险管理体系。在发达国家中，风险管理和内控机制建设已经上升到法律的高度。美国、英国、澳大利亚、新西兰等国家已经颁布了风险管理体系框架或国家风险管理标准。比较著名的是美国COS0组织l992年颁布的((COS0内部控制框架》和2004年颁布的((COS0全面风险管理整合框架》。美国还针对近年来发生的安然、世通等财务丑闻，进一步加大了监管力度，专门出台了《萨班斯法案》，对上市公司内控体系建设、信息披露等作了严格的规定。

        我国，在风险管理方面一些企业进行了积极的探索和实践，取得了初步成效。但是，从总体上看，还处于起步阶段。我们有不少企业过去曾经出现过这样那样的问题，甚至到最后走向破产。说到底，就是企业风险没有控制好。国务院国资委2006年研究制定的《中央企业全面风险管理指引》(以下简称《指引》)，得到了中央企业、地方国资委的积极响应和社会各方面的广泛关注。 中央企业中已经有一批企业开始启动这项工作，并且取得较好效果。但《指引》仅仅还是个指引，比较原则，难以实施，需要具有可操作性的全面风险管理标准。时代呼唤中国人自己的风险管理标准。

        3C全面风险管理框架：中国人自己的全面风险管理实务标准的有益探索

        中国企业要实施全面风险管理，必然要借鉴世界发达国家标准，但不能照抄照搬，要适合中国企业的特点和实际情况，要有中国人自己的标准。为此，中天恒管理咨询公司已构建中国人自己的全面风险管理标准为己任，历时四年之久，在继2006年推出的中国式全面控制框架（简称“3C框架”）的基础，于2007年4月19日（农历3月初3日）正式推出了“3C框架：全面风险管理实务标准” （简称“3C全面风险管理框架”）。

        3C全面风险管理框架是在大胆借鉴国际上权威的风险管理框架或标准基础，依据国务院国资委颁布的《中央企业全面风险管理指引》文件精神，总结我国企业风险管理和内部控制制度建设实践的基础上，经年四年之久深入研究和实践检验提出来的，充分考虑了中国企业的实际情况，是中国人自己的全面风险管理实务标准的有益探索。

        1、3C全面风险管理框架构成体系

        3C全面风险管理框架是由目标体系、风险体系和管理体系组成的有机体系，具有严密的逻辑关系，即目标---风险---管理。

        2、3C全面风险管理框架目标体系

        3C全面风险管理框架目标体系是由社会目标、管理目标、经营目标、合规目标构成的目标体系。这里目标是企业总体目标，不是全面风险管理的具体目标，企业总体目标是一个体系，是一个系统，具有层次和严密的逻辑关系。

        COSO全面风险管理框架主张企业风险管理框架力求实现主体的战略目标、经营目标、报告目标、合规目标，并认为对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这实际上是对主体目标的归类，并非全面风险管理的目标。这点COSO全面风险管理框架也是非常明确的，并把目标的类别作为建立共同语言的一部分。但几乎全世界的公司均按照COSO内部控制报告或COSO全面风险管理框架中目标分类来建立自身的内部控制手册或风险管理手册，这是一种机械的照搬。实际上对主体目标的分类因标准的不同而不同，如从全面风险管理的需要出发，考虑到我国企业一般情况，主体的目标可大致可分为：社会目标、管理目标、经营目标、合规目标等等。

        企业要生存、要发展，首先要满足生存和发展目标，这是无可厚非的，是正确的，但企业也是社会人，尤其我们社会主义国家的国有企业，国家赋予重要的社会责任，要有社会责任感，要有明确的社会目标。一般来说，风险事件不仅影响一个家庭、一个企业或一个公众机构，它还会对其他成员产生不同程度的影响。企业应该通过风险管理，防止由于风险而导致生产经营的中断或遭受人身伤亡和财产损失，尽可能减轻对其他人和整个社会的不利影响。做到这一点，企业才尽到了其应尽的社会责任，从而可以获得良好的公众反应。履行企业的社会责任，如法律规定企业赔偿员工因工受伤的损失，并要求企业给员工上保险等。切实履行社会职责是现代企业应负的历史使命，也是企业开展风险管理活动应追求的目标。

        全面风险管理的社会责任很重大，因为企业遭受一次严重的损失会影响到员工、顾客、供货人、债权人、税务部门以至整个社会的利益。因此，全面风险管理首先要与主体的社会目标协调一致，以构建和谐社会。当然，企业管理目标、经营目标和合规目标等是全面风险管理必须关注的。

        3C全面风险管理框架认为全面风险管理具体目标要与企业总体目标相一致、相协调，是一个相互联系、相互依存的目标体系，因单位、内容、环境等的不同而不同，不能固定化和模式化。

        从操作层面看，全面风险管理有以下五个具体的目标：  

        达到与企业整体经营战略相结合的风险最优化；   

        保护企业不致因灾害性事件或错误而遭受重大损失；

        有效和有效率的运营；

        可靠的信息沟通，包括可靠的财务报告；   

        遵守法律法规。

        从全面风险管理的内容看，具体目标体系由以下几部分组成：

        增强风险意识的目标。

        协调协调风险容量与战略的目标

        控制风险的目标。

        处理各种危机的目标。

        把握发展机会的目标。

        3、3C全面风险管理框架风险体系

        3C全面风险管理框架认为企业面临的风险很多，需要从组合的角度看待风险，也就是说要把风险整合起来。对企业风险分类是比较困难的，但考虑到对其管理的需要还是需要对其进行适当的分类。3C全面风险管理框架初步把企业风险按层次分为三级，当然还可以根据需要再进行细分，每一级再按照内容进行逐层细分。分类是为了汇总的需要，实际上风险是相互联系、相互影响的，关键是要把风险整合起来进行管理。

        4、3C全面风险管理框架管理体系

        3C全面风险管理框架认为如何进行全面风险管理是关键，是全面风险管理实务标准的核心内容。3C全面风险管理框架从中国企业的实际情况出发，将全面风险管理流程设计为管理准备、管理实施、管理报告、管理改进基本流程，突出简单实用，便于操作。根据全面风险管理实际操作需要，在基本流程的基础设计出了多层次具体的流程，每个具体流程中明确了工作内容、方法、步骤以及相应的表单，具有可操作性。

        就管理体系而言，除了在整体思路上有重大突破外，在具体操作层面上进行一系列的改进，以可操作性为最终目标。与国际权威的全面风险管理框架或标准相比较有以下变化：

        一是力求简单实用。3C全面风险管理框架取消COSO全面风险管理框架首要要素“目标设定”。目标管理是管理中的管理很重要，目标设定是企业目标管理的核心内容，但不是全面风险管理流程，在目标设定时管理层要考虑风险因素，这是必然的，至多说目标设定是全面风险管理的前提条件之一，但并不说目标设定是风险管理流程环节之一。

        3C全面风险管理框架进而认为，目标设定应该是主体管理工作的首要任务，董事会和各级管理人员必须确定和目标，但风险管理不能从目标设定开始，目标设定本身就管理人员的事，风险管理作为主体管理的一项核心内容，可以把目标设定作为风险管理的内容进行关注，但不是流程，更不是首要流程。因为风险管理的流程是解决如何做的问题。

        3C全面风险管理框架把“信息与沟通”作为全面风险管理的重要手段，而不单独作为一个全面风险管理的流程或重要重素。信息在现代社会很重要，沟通无限，全面风险管理的全过程都涉及到“信息与沟通”，不可能也没有必要独立出来。

        二是力求具有操作性。3C全面风险管理框架细化了COSO全面风险管理框架“风险评估”，把此部分细化成“风险分析”、“风险计价”、“风险评价”、把“监控”细化为“风险监督”、“风险审计”、“管理改进”等等。对每个具体流程都明确了工作内容、方法、步骤以及相应的表单，具有可操作性。

        三是力求科学系统。3C全面风险管理框架将COSO全面风险管理框架“控制活动”重新定义为“风险控制”，将“监控”改为“管理改进”（监督改进）。增加不少内容，比如增加“风险预警告”的独立内容，强调时时报警的重要性；增加“管理报告”的独立环节，强调风险报告的重要性；增加“风险审计”独立内容，强调风险审计的重要性，等等。

        四是力求统一风险管理语言。3C全面风险管理框架将风险辨识、风险确认、事件识别，统一为风险识别，并定义为确认风险的过程； 将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价, 统一为风险计价，并定义为风险的量化过程；将控制活动、控制政策、控制程序、控制措施、应对措施, 统一为风险控制，并定义为应对风险的各种措施；将监督检查、监督评价、持续监督、监控、监控系统、内部监督, 统一为风险监督，并定义为监督检查风险的过程等。

        当然，还有其他不同认识。比如3C全面风险管理框架认为风险意识薄弱的根源是管理体制。3C全面风险管理框架认为中国企业风险管理风险意识薄弱，其根源是管理体制。有些国有企业高管人员不了解也不重视风险管理，主要风险意识差，为什么风险意识差，因为企业不是自己的，成功了固然好，失败了可以换个地方再干，损失不是自己的是国家的，更本原因是管理体制。

        3C全面风险管理框架：内部控制与风险管理的融合

        内部控制和风险管理逐步走向融合

       关于内部控制与风险管理的融合，石爱中审计长在2006年度中国内部审计协会举办、中天恒管理咨询公司承办的《内部控制与风险管理创新论坛》上就指出“内部控制和风险管理逐渐融合，而且在很多工作中，包括在系统设计中这两个东西一定要融合，而不是分开的”。

        审计署党组成员总审计师孙宝厚在2007年4月19日中国内部审计协会举办中天恒管理咨询公司承办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上作了题目为“内部审计是风险管理的重要组成部分”的主题演讲，认为内部控制、内部审计是风险管理的重要组成部分，但不是风险管理的全部。

        中国内部审计协会会长王道成在2007年4月19日中国内部审计协会举办中天恒管理咨询公司承办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上指出：内部控制与风险管理走向融合，是一个必然的趋势，这不仅是内部控制体系向前迈进了一大步，也为我们内部审计的发展指明了方向，因此为了适应这样一种发展趋势，我国现行的内部控制体系有必要要逐步的向全面风险管理体系升级和完善。内部审计的模式也应该逐步的向以治理为目标、风险为导向、控制为中心、增值为目的的现代管理审计转型，使内部审计工作更加符合成本效益原则，更能够满足企业治理与管理的需要，更能体现内部审计的重要价值，实现内部审计价值的最大化。

        中国内部审计协会副会长、秘书长易仁萍在2007年4月19日中国内部审计协会举办中天恒管理咨询公司承办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上讲：融合是一种彼此的尊重，它可以让两个公司形成一个系统，融合是一种力量的凝聚，它可以实现1+1>2的效果，融合是一种思维的创新，可以创造一个和谐共赢的世界。

        中国内部审计协会制定风险管理审计准则第四条规定：“风险管理是组织内部控制的基本组成部分，内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。”这一条明确了：风险管理是组织内部控制的基本组成部分、内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。这显然是传统的把风险管理作为内部控制的内容来进行论述的。

        3C全面风险管理框架认为风险管理与内部控制的融合道理比较简单。企业在实现目标的漫长征程中，会遇到各种各样的风险，因此，要采取措施控制风险。也正因为有风险才要控制，没有风险控制就是多余的了，就是添乱，当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然，这个剩余风险一定要企业可接受的水平范围内。

        实际上，世界上内部控制与风险管理已逐渐融合了，把内部控制与风险管理试为同一事件。1992年，Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)发布了《内部控制——整合框架》，2004年该委员会又发布了《企业风险管理—整合框架》，在该框架附件C中明确：内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。

        目前，以美国为代表的西方发达国家对全面风险管理的认识已经达到了前所未有的高度。对于任何一个企业来说，抛开其管理内容中具体的、特殊的部分，如与技术、行业、文化传统、销售渠道、地理位置、规模大小等等有关的部分，全面风险管理都是经营管理过程中必须有的内容。全面风险管理作为对现有的整合内部控制体系的深化扩张而成为企业管理的核心内容的。历史上，人们对企业管理中有关内容的认识曾经经历过从单纯的公司治理结构到包含公司治理结构的整合内部控制体系，再到包含整合内控体系的全面风险管理体系的过程。

        我国国务院国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时，还要与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。

        中国的企业也在积极探索内部控制与风险管理的融合之道，比如中国网通集团公司的“基于全面风险管理的内部控制体系构建与实施”获得全国企业管理现代化创新成果一等奖。倍受国务院国资委表扬的中国神华股份公司的《内部控制手册》，实际上更是以全面风险管理为基础的，是内部控制与风险管理融合的结晶。中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》，与公司现有管理体系和管理手段相衔接，实际上不仅仅是内部控制与风险管理的融合，而是整个管理的融合。

        内部控制和风险管理如果融合后，企业至少没有必要既要设立风险管理部，又要设立内部控制部，设一个风险控制部就够用了。风险管理与内部控制融合，就是要打破风险和控制水平之间的平衡，不要把现代企业的风险管理和控制仅仅当成是一项纯粹的企业经营活动，而是一项包括了企业咨询专家、企业决策者、中层管理者以及企业员工在内的综合系统工程，需要各方面力量的协调和配合才能实现。

        当然，强调风险管理与内部控制的融合，并不是风险管理要代替内部控制，实际上两者是并存的。企业肯定需要建立内部控制，来应对阻止企业进步的风险。否则，被控制所遏制的风险将可能发生。

        此外，3C全面风险管理框架认为不仅风险管理与控制要融合，企业的整个管理也要融合。不同管理学派都认为自己研究的领域很重要，误导一些按图索骥的企业管理者，加上上级主管部门要创新的压力，流行战略管理时，就急忙推行战略管理，并把什么都往战略管理上套，流行目标管理，又套目标管理，流行对标管理时，再套对标管理，这一套再套，执行管理者和被执行管理都被这些流行的“名词管理”给整是晕糊了，就谈不上实际执行的效率和效果了。管理要融合，从全面风险管理的角度，至少要做到收益与风险的融合、控制与风险的融合、治理与风险的融合等。

        战略管理很重要，战略风险是全面风险管理的十分重要内容，战略管理要全员参与，这也没有错，但大多数企业连战略还没有，就不能说没有必要进行全面风险管理。还有全面风险管理是全员管理，但不是人人都要从战略的层面进行风险管理，战略是关系到企业的全局的大事情，主要靠高管人员。

        3C全面风险管理框架是控制和风险的融合

        中天恒管理咨询公司历时四年之久，于2007年4月19日（农历3月初3日）正式推出的“3C框架：全面风险管理实务标准”（简称“3C全面风险管理框架”是控制与风险的融合。

        中天恒管理咨询公司在2006年推出的中国式全面控制框架（简称“3C框架”）中就认为全面控制的实质是对风险的控制，是以风险管理为导向的控制，风险是全面控制的出发点，同是也是全面控制的落脚点。建立全面控制框架需要引入风险管理概念，重点关注风险，对风险进行全过程控制。并建议国资委应重点制定更加关注风险的管理控制，进而促进单位管理控制建设。这是全面控制角度来论述的，体现了控制与风险融合的思想。

        3C全面风险管理框架把风险与控制当作一个事件，把控制与风险已融为一体。3C全面风险管理框架的基本架构是由目标体系、风险体系和管理体系组成的有机整体，其内在逻辑关系是目标---风险---管理，即控制。其基本道理是企业在实现目标的过程中，难免会遇到风险，这就需要采取措施控制风险。正因为企业有风险的存在，才需要控制，否则控制就无实施的现实意义。

        3C全面风险管理框架明确提出了风险控制的概念，把风险控制作为全面风险管理一个重要环节，作为应对风险的有效措施和手段。把会突然跳出咬人的风险识别出来很重要，但最具有挑战的还是要控制好风险，化解危机。风险控制，就是企业根据风险应对策略确保全面风险管理目标得以实现所采取的，针对企业在实现其既定目标过程中可能遭遇到的风险所而制定和实施的，帮助保证风险应对方案或风险管理策略得到正确执行的相关措施。风险控制有助于保证采取必要措施来管理风险以实现企业目标。当然，企业通过采取适当的具有针对性措施，控制风险，确保将剩余风险控制在可接受水平之内。也有助于确保管理层命令得以实施。

        3C全面风险管理框架明确有效的风险控制是具体的，是需要嵌入企业的各个层面和各个部门，与企业的业务活动、管理流程相衔接的，也可以说是贯穿于企业的所有层次和各个职能部门的。对实现财务会计报告真实可靠和资产安全完整标有重要影响的具体业务与事项通常包括货币资金、采购与付款、存货、对外投资、工程项目、固定资产、销售与收款、筹资、成本费用、担保、财务报表编制、信息披露、预算、合同协议、关联交易、企业合并、资产重组、衍生金融工具运用、母公司对子公司的控制、人力资源政策、计算机信息系统等。风险应对不是一个部门或个别人的事，即使有风险管理部门的企业，也要靠其他职能部门的共同努力，一定程度上风险管理部门只是一个商议和咨询部门。

        3C全面风险管理框架风险控制的内容是复杂多样的，因企业性质、业务规模等的不同而不同。就一般而言，便于实际操作，要针对不同的风险，根据不同的风险应对策略来界定风险控制的内容或要素。否则，是空泛的不切合实际，也是没有用处的。只有当风险意识、风险计量以及风险控制战略全面整合起来，风险管理过程才可能是有效的。只是在实际工作中要围绕选择应对策略和采取具体措施来做。风险控制措施，目的在直接改变风险暴露体的损失特性。任何风险控制措施均有其专属功能。

        实际上，企业是社会人，有些风险控制不是单单一个企业所能控制的，要靠整个社会整体控制系统。这点是清楚的，但不是企业单方面的能力所为，需要各级政府强有力的推动。就企业来说，制定企业的全面综合安全规划、编制企业的全面应急预案、制定企业的全面风险响应计划是必要的基本措施。

        此外，3C全面风险管理框架还明确了风险控制关键步骤和几个常用的工具。

        3C全面风险管理框架认为风险与控制融合是必然的趋势，企业风险管理和控制制度建设要协同进行。企业没有必要同一目的事项，出两套手册或指南，把控制与风险融合在一起出一套手册或指南就可以了。在具体实际工作中，风险管理和控制制度建设应该一并进行，减少不必要的重复和浪费。