中国企业如何实施COSO新版风险管理框架的思考与建议

中国企业如何实施COSO新版风险管理框架的思考与建议

孙友文

自从去年9月份COSO公布新版企业风险管理框架以来，我们看到不少国家的专家和学者都在以不同的形式对其进行研究和交流，以便可以下一步更好的指导企业进行实践。

我们作为中国第一份拿到原版文件的人，也在第一时间跟大家用了十几篇文章的篇幅系统的对新版文件中的精要进行了解读，得到了国内各相关人士和企业界的支持和认可。目前中国财政部正在组织对COSO原版文件的中文版进行编译，如果不出意外的话，今年中文版将会和大家见面。

在此期间，针对新版的文件精神，我们也利用了不同的交流形式和专家及企业界在不停的交流和碰撞，以期可以尽快形成一定的实践经验。作者也有幸受邀参加了几个中

国大型企业集团对新版文件的研究课题和实施策划。在对COSO新版企业风险管理框架的学习和借鉴方面，应该说中国企业和全球一线国家是同步的，甚至可以说是领先的。

对于中国企业如此重视国际经验和理论的借鉴，应该感到欣慰，对管理理论的重视应该是企业发展到一定阶段所必须思考和重视的。我们研究近代美国的崛起发现，美国有三个法宝驱动了美国的崛起，分别是消费、创新和管理，20世纪萌芽并成熟的现代企业管理理论对巨无霸企业的出现和保持美国经济强势起到了至关重要的作用。所以，如果我们把企业管理比作企业的“软实力”，未来一段时间，不只是中国企业不断形成“硬实力”的阶段，也是企业持续发展补齐“软实力”的阶段，而成熟国家发展了百年的管理理论给我们提供了很好的借鉴，我们应该好好理解和借鉴。

一、新版风险管理框架实施准备

最近有很多企业界同仁咨询，如果企业想要贯彻和实施新版企业风险管理框架，应该如何着手、如何规划、如何实施、应该包括哪些内容？面对大家的一系列问题，说实话，在目前没有形成大量商业实践的基础上，对有些问题是没有标准答案的，侧重经验管理理论的管理大师德鲁克说：管理是一项实践。本次COSO文件将风险管理也定义为是一项实践。所以，实践出真知，本周结合新版文件和中国企业实施风险管理的历史经验，和大家简单谈一谈个人的一些理解和建议，希望给大家一些启发，用来更好的指导企业的实践活动。

首先，因为大家对新框架和企业风险管理工作的理解深浅不一，经验也多少不同。如果希望可以更好的理解这次实践变革，需要对背景信息多一些了解，可以先浏览下本公众号（风险管理世界）下方的内容分类精选文章，对COSO的文件解读和风险实践内容打打基础，让大家的认知可以尽量先统一到一个水平线上。

二、企业风险管理实现由“形”向“神”的转变

上周我们通过分享回顾了中航油事件，如果说中航油事件是一个里程碑式的事件，那么从2006年国务院国资委发布《中央企业全面风险管理指引》，中国企业率先从中央企业层面启动了风险管理体系建设工作。十几年过去了，如果我们把这个阶段叫做风险管理1.0时代的话，那这个时代的特点是什么呢？

2006年发布《指引》时，可以说绝大多数中国企业还不知道全面风险管理是个什么东西，如何在企业实施和落地，没有人知道。就像今天我们谈新版的风险管理框架要在企业如何实施一样。对于一项摸着石头过河的工作，在这个过程中，我们带着预先设计好的一套理论框架，其实是在和企业一起学习，一起实践。现在回过头来看，我们可以总结这个过程中的得失，就像我们看股票的历史K线图一样，总结过去是何等容易，但在当时的情境下，每向前一步踏入的都是无人之地。

在当时那个阶段，无数大型中央企业开始系统的接触到了“全面风险管理”这个全新的时髦词汇，对管理层来说最大的作用是提升了对风险的认知，通过一种形式可以让整个管理层在一个语言体系中阐述和思考风险的相关话题。按照我们当时对于风险管理体系的定义，落脚在企业要形成一套组织体系、流程体系和报告体系。体现在成果上需要有风险清单、风险管理制度、风险管理实施细则、风险管理手册等等。不少企业还成立了专职的风险管理部，配置了风险管理专兼职人员。

但在企业风险管理1.0时代，我们也看到了需要进一步调整和完善的许多方面。我们为了突出风险管理作为一项企业管理的重要内容，用上面的这些“形”外现了风险管理在企业的表现方式。但是，对于一个新事物，如果大家对“神”理解和定位还不清的话，“形”很容易只停留在形式上。庄子曰：有形无神谓之鬼，可见只有形式没有神附容易造成形式主义，为了形式而存在，工作过程出现很多说不清、道不明的现象就不奇怪了。

这种现象不只出现在中国，国际上企业风险管理系统理论的发展也是以COSO 2004年的第一版企业风险管理框架为里程碑，也是十几年的时间，这期间国际上也有许多企业对此感到迷惘，但由于管理基础好，也出现了一些优秀企业的成功案例，我们下半年计划会出版几十家全球风险管理经典案例，希望到时候可以给大家更多参考。

2017年的新版风险管理框架，针对前些年企业界推行风险管理工作的迷思进行了分析总结，抛弃了2004年广受诟病的“大控制”框架，而重新设计了一个全新的风险管理框架，实现了风险管理工作由重“形”向现“神”方向的转变。

三、实施“六个一”工程，推动企业风险管理工作形神兼备

那新框架做了如此巨大的变化，企业实施应该从哪些着手呢？通过对COSO的整篇文章的理解，我总结为“六个一”工程，来实现新框架的落地和达到风险管理工作在企业形神兼备的目标。

1、重点培育一个风险文化

企业的文化是由高层主导推动建立的，影响着企业的每一个人的思维和行为方式。此次COSO将风险管理定义，第一个体现放在了文化上，可见在企业层面，打造一个具有充分风险意识的文化对于企业防范风险的重要性。

我们前几年讲，风险无时不在、风险无处不在；在风险面前，人人都是一道防火墙，这些都是属于企业风险文化的范畴。这就要求企业的最高层领导要通过各种方式向全体员工传递高层基调，增强全员风险意识和主动防范风险的责任感。企业的制度流程不可能没有缺陷和漏洞，所以在风险面前，全员能增强主观能动性进行风险防范，是对制度流程缺陷和漏洞最好的补缺方式。

伟大的公司一般都有出众的风险意识，这一点我们从华为人的身上可以切实感受到，除了任正非强烈的危机意识外，华为高层和员工发自内心的风险和危机意识也是华为取得今天成就的因素之一。

2、建立和增强一种应变能力

在内外部环境不确定性陡增的今天，应对变化的能力有时可以决定一个企业的成败。有一个来源于军事上的VUCA术语经常被定义今天的商业环境，即是Volatility（易变性），Uncertainty（不确定性），Complexity（复杂性），Ambiguity（模糊性）的缩写。灰犀牛事件的频发也是环境突变的另一种体现。

所以在当下企业建立应变的能力至关重要，应变即包含了企业在面对内外部环境出现重大变化时的灵活应对，也包括出现重大突发事件的危机应对。如中兴的事件就是在这个上面跌了脚。在战略管理领域，由于经济环境的原因，全球企业界开始关注1997年美国经济学家和战略管理学家David J. Teece提出的动态能力（Dynamic