诸如新冠疫情之类的风险防范不利，可能会给组织发展造成巨大冲击，但风险与机遇是硬币的两面，组织可以被动防御风险，更可以主动出击，抓住风险中的机遇，创造新的价值。美国反虚假财务报告委员会下属发起人委员会（COSO）的企业风险管理框架（《企业风险管理》2017年版），可以帮助组织达成使命、实现战略目标并服务于社会。

企业风险管理现状
　　总体来看，企业风险管理（ERM）作为一门学科、一项业务流程是在不断改进的，但在战略应用中还不成熟。
　　ERM实际上更多地是指企业声誉管理。因为不可预见的风险一旦发生，就会扰乱或者甚至可能摧毁企业业务，给企业声誉和品牌造成重大打击。因此，积极、主动、有规律地管理风险，并将其与企业战略融合，不仅有助于预防不良事件的发生，还有助于减轻风险发生所造成的影响。
　　ERM的价值主张是在发展变化的。传统意义上的风险观更强调防御，即缓释风险、将风险管理到可接受的程度、消除风险、保护资产、保存价值，这些都很重要，但风险管理也可以“主动进攻”，借此创造新的价值和优化价值。
　　比如，竞争对手早于你的预期推出了一款新产品或一项新服务，让你相当惊讶。当无法预见到这种特定的竞争风险时，你在一定程度上必须采取防御措施，但在了解如何管理和处置竞争风险后，风险会引导你去创新、抢占先机，提供差异化的产品和服务，比竞争对手做得更好。所以可以说，风险和机会就是一枚硬币的两面。
　　但实际情况往往也正如我们所说的，内部控制、风险管理仍存在一些重大缺陷。过去几年里发生一些重大事件，如大众汽车、富国银行等事件便是明证。最近颇受关注的事件出自万豪。今年3月份，万豪声称其520万名客人的资料可能被泄露，成为该企业近年来发生的第二起重大个人信息泄露事件。这既是重大风险，也是重大违规，严重影响了万豪的声誉。
　　而良好的ERM实践不仅有助于预测和缓释风险，还有助于抓住机遇，如道富环球投资管理公司。该公司认为，在公司领导层促进性别多样化，可以切实帮助他们降低综合风险。因此，他们从优化综合风险防控角度来建立自己的竞争优势，而这也能引发客户对多样化和包容性的重视，尤其是在性别领域。由此可见，真正的机会不只是在被动防范中，还在于能够抓住机会并先发制人。

COSO-ERM框架关键词
　　在具体讨论COSO-ERM框架之前，先明确几个定义。
　　风险：是指事件会发生并影响战略及业务目标达成的可能性。
　　ERM：组织将企业文化、能力、实践与战略及执行相结合，来管理风险，并最终创造、保有和实现价值。
　　风险偏好：在董事会层面，组织为创造价值而愿意承受的风险程度。这里非常重要的一点是，组织的最高管理层、中级管理层、基层管理层要与董事会沟通，更广泛地了解在特定战略、特定计划或在特定投资组合方面，是选择规避风险还是可承受更大风险。
　　再次强调，ERM框架并非孤立存在的，其与战略制定及执行不可分割。当ERM与战略制定整合在一起时，组织就能更好地理解以下内容：
　　●在制定战略时，使命、愿景与核心价值是如何初步描绘出企业能承受的风险程度；
　　●企业战略和业务目标与其使命、愿景、核心价值不一致的可能性；
　　●组织在所选战略执行中可能暴露的风险类型与数量；
　　●执行战略和达成业务目标中需应对的风险类型与数量。
　　重点要看使命、愿景与核心价值这条金线。如何将其与风险、控制和战略联系起来？它们如何协同发挥作用？如何达成一致？如何以连贯的讲故事的方式，向客户全面传达企业使命、愿景、核心价值、战略及风险？如何与众多利益相关者包括股东、投资人、政府机构进行沟通？……ERM可以解决这些问题，虽然其在风险识别、风险管理、风险总结方面具有技术优势，但同时ERM还有讲故事的元素，可以告诉我们风险如何与战略相结合，组织如何管理风险、把握机会，从而改进自身。

COSO-ERM框架或企业声誉管理框架
　　从图1可见，COSO的风险管理是一体的，包括五大组成部分。这五部分又分别包含不同的指导原则，共20项。在这个有效的ERM框架中，20项原则各自发挥着举足轻重的作用，但又相互融合、彼此依存。

        治理与文化
　　这部分是COSO-ERM框架的出发点，也是“高层基调”，包括5项指导原则。在讨论良好的内部控制或优秀的企业风险管理之前，先要建立运营构架。董事会、运营构架、政策、计划、实践、文化和能力，都是组织的治理要素，也是对能力、对在内部控制和风险管理方面进行培训和学习的保证。从董事会和CEO层级所发出的有关风险和控制的内容，不只是针对财务和会计团队，也针对整个业务团队。
　　来看董事会在风险监管中的作用。董事会的独立性对于有效实施ERM是至关重要的，在某种程度上，这是一种职责分离或职能分工，即董事会以独立、结构化和系统化的方式监督CEO和管理团队。但董事会成员的独立性可能会因以下情况受到影响：
　　●在实体内持有巨大的财务利益；
　　●在组织内担任或曾经担任高管职务；
　　●最近显著影响了董事会；
　　●与实体有重要商业往来，如供应商、客户或外包服务商；
　　●与组织有正在执行的合约；
　　●对组织进行过大额捐赠；
　　●与组织的核心利益相关者存在商业关系或个人关系；
　　●在另外一个可能产生利益冲突的组织中担任董事会成员；
　　●续任董事会相同职务。
　　董事会的作用、董事会的独立性、董事会为组织其他部门定下的基调，以及董事会要求CEO不仅对增长负责，还要保证增长的信心和诚信，都是ERM的意义所在。
　　成文的政策与计划对强有力的企业治理和风险管理也是极为重要的。现在我们无法预测新冠疫情对社会、个人、生活和生计所造成影响的程度、范围和规模，但可以很好地对自然灾害、不可预测的中断和全球公共卫生问题进行管理。方法之一，就是制定危机管理计划、业务连续性计划、应急响应计划、IT灾难恢复计划等一系列高度整合与统一的计划（见图2）。

        战略与目标设定
　　这一部分还没有真正讨论风险本身，而是要建立一种机制，将风险和企业风险管理置于更为广泛的战略背景之中。因此，这部分的4项指导原则同样是基于业务环境的。
　　这其中，明确企业战略极为重要。战略越清晰，员工就会越团结、越有动力，董事会也就越清楚企业战略以及战略背后的原由。并且，这么做也有利于进行更好的沟通。
　　如，有两家相互竞争的公司都在谋求发展和增加收入。第一家公司考虑在发展中国家推出一款成熟产品，而第二家公司希望开发新产品来扩大市场份额。来看他们各自战略所面对的外部环境。对第一家公司来说，因为有成熟产品，如果他们申请为非营利组织，就会更多地受到现有政治因素、经济因素、国家税法、数据安全法规和NGO法规等的影响。第二家公司着重于开发新产品、新市场，则需更多地了解社会和技术等因素，以应对不断变化的客户需求。可见，这两家公司尽管处于同一行业，但因外部环境不同，具体的风险状况与战略选择也大相径庭。

　　环境扫描也很关键（见图3）。我们可使用PESTEL分析模型，对政治、经济、社会、技术、法律和环境方面的外部风险因素进行分析。同时，也需要对内部环境因素如资本、人力、流程和技术等进行分析。环境扫描之后再建立全面战略，再之后才是具体的风险、风险影响、风险概率、热点图之类的分析。环境扫描还有助于组织与外界进行更为广泛的沟通。

　　要注意一点，所有潜在风险都会随时间的推移而发生演变，因此需要持续监控。我们曾对2009-2019年间风险进行过归纳分析，发现气候变化、极端天气事件、自然灾害等环境风险，近年来在增加。几年前更多是传统意义上的经济风险、财务风险、对冲风险和竞争风险，这些风险如今依然存在，但已扩大到更多的ESG风险，即环境、社会和治理风险。
　　这类风险分析不必很复杂，也不需要花数百万美元的咨询费，但它对一个更具前瞻性的组织来说是不可或缺的，组织可据此预测事件发生后，将采取什么措施来抢先处理或降低或管理事件造成的影响。
　　绩效
　　这是传统风险管理发挥作用的地方。但注意，我们要先做设定（上述两个部分），之后才能讨论具体的风险、如何划分风险的先后顺序、风险发生的概率与影响，以及可以使用的各种统计模型和数据分析。
　　这部分也是风险管理核心技术的具体内容。其5项指导原则分别用于识别风险、进行沟通（不仅是财务和会计方面的沟通，还是与董事会在及在管理团队内部进行更为广泛的沟通）、评估风险的严重性、发生概率、选择风险应对措施等。

　　指导原则14要求综合看待风险（见图4），这不仅要有独立业务或部门的风险观，也有整合的、显示风险相互作用的风险观。例如，一家企业的销售团队在定价方面没有明确的自由度，假设在销售时，他们设定的价格极低，那么，这可能会给企业造成巨大的利润损失、资金损失；或者销售团队在销售时，因基础设施原因（或者IT和供应系统原因）无法交付其承诺的产品和服务，那么，也会影响企业的声誉及客户的看法。因此，具有组合或整体的风险观是很重要的。

　　需注意的是，综合看待风险并不意味着不需要在更详细的层面考虑风险，比如资金缺口风险、违规风险、产品风险等，而是表明最终都要有整体的战略观。例如销售团队所做的决策或选择，就客户层面而言，可能会对整体风险产生巨大的影响。

　　审查与修订
　　这一部分要求评估重大变化。数字化、区块链、机器人流程自动化等技术的快速发展，导致业务环境迅速变化，风险和控制也随之发生变化，因此，我们必须持续监控环境，及时更新战略、目标、风险和控制。而且，企业需要持续改进风险管理水平，要通过不断学习、不断回顾流程，确保我们对风险和控制有最新的认知。
　　因此，业务绩效评估和风险审查需要成为企业日常运营的一部分，而不只是限于财务和会计领域。需要注意的是，财务和会计人士习惯于从合规角度来看风险和控制，这对维护组织声誉当然是非常重要的，但这里所说的不只是合规和保值，而是价值创造，是风险审查与业务实践的结合：
　　●组织是否按预期行事并实现了目标？
　　●正在发生哪些可能影响绩效的风险？
　　●组织是否为实现目标而承担了足够的风险？
　　●对风险程度的预测是否准确？
　　信息、沟通与报告
　　这部分体现在年报、向投资者和政府机构提交的包括风险在内的信息披露中。组织借助信息和技术，与多方利益相关者进行沟通，表明其正积极地了解业务环境，并采取措施保护、维护及提升自己的声誉。

　　有很多数据源（包括结构化和非结构化数据）可以用于沟通、做出最佳决策，这就是数据分析发挥作用、走向前台的地方。从图5可以看到，既有结构化数据源用于沟通和外延展开的例子，也包括元数据、社交媒体和博客在内的非结构化行为类型数据。

　　从消费者、客户和合作伙伴对企业产品与服务评价的角度来看，反馈很可能会演变成一项风险。你可能认为自己已在非常积极地应对新冠疫情，但那些你认为能够很好地体现企业社会责任感的举措，有可能会被一篇博客、一篇社交媒体帖子贬低甚至破坏。因此，需要积极管理结构化和非结构化数据，将其纳入ERM框架。

总结
　　COSO-ERM框架的五个组成部分及其对应的20项指导原则，可以帮助我们更好地预测（非完全预测）和管理自然灾害或突发性灾难事件：
　　治理与文化：管理自然灾害或其他破坏性事件时，你是否已有成文的计划，包括危机管理计划、业务连续性计划等？是否会定期更新这些计划和政策？
　　战略与目标设定：在战略制定过程中，你是否进行了全面的环境扫描，包括可能发生的自然灾害？
　　绩效：如果发生灾难性事件，你的风险矩阵是否能确定相应风险的等级并采取必要处理措施（如危机管理计划和业务连续性计划），最大程度地降低对整体风险？
　　审查与修订：你是否定期评估内外部环境变化及其对风险管理、内部控制和业务流程的影响？
　　信息、沟通与报告：你是否有将风险情况定期传递给多方利益相关者的流程，特别是那些对实现战略目标而言是重大甚至灾难性的风险？
　　最后，为保护和提升公司的声誉与品牌，你是否以灵活、适应性强、可预期的方式，定期、全面和主动地讨论整体风险？
　　COSO-ERM框架可以让组织在管理破坏性事件或突发事件时，更具预测性、灵活性和适应性，从而协助组织实现其战略目标，充满信心地发展（控制下的可持续发展）。

Jeffrey C. Thomson，CMA、CSCA、CAE，IMA总裁兼CEO。联系方式：jthomson@imanet.org。