风险管理与内部控制：COSO框架与企业治理

良好的风险管理和内部控制是所有组织获得长期成功的必备因素。10月11日，上海国家会计学院邀请到IMA总裁、COSO董事杰弗里? 汤姆森先生就“风险管理与内部控制—COSO框架与企业治理”这一主题进行分享。IMA国际业务高级副总裁顾文凯先生、德邦证券副总裁王祖民先生、上海国家会计学院袁敏教授参与研讨，学院百余位校友、学员参与讨论。　　“COSO并不是唯一的风控和内控框架，但和其他标准一样，最终目标都是为了改善绩效和治理。”汤姆森先生曾在AT&T任职超过20年，曾任商业营销部门财务总监。他希望能将这一话题转化成商业语言，而非纯粹的合规问题。　　“组织在制定目标的过程中，必须要有讨论风险的文化，要把它看成是最重要的问题，而不是一件糟糕的事情。不是先制定指标，再考虑风险。”就COSO风控框架，汤姆森先生说，我们要把风险控制看做是一个价值创造的过程。“这意味着企业文化、流程都要发生改变。”而内部控制框架则更加具有策略性。风控和内控之间的关系可以理解成，“你要发现风险，然后通过内控减少风险，或者说把风险控制在一个可控的层面。”　　汤姆森先生给出了以下情景商业模型，共六个部分：　　其中战略制定包括总体方向、环境状况、差异化能力以及将差异化能力运用到市场中所需的基础架构等等。“目前的环境下，所有东西都可以成为大宗商品，我们该如何创造优势？一个方法是继续创新，永远保持先发优势，还有一个办法就是避免大宗商品化，提供个性化服务。”　　在商业规划阶段，“我们的统计显示，一个非常好的战略，失败的概率仍高达70%。为什么？因为忽略了一点：所有员工和战略都是紧密相连的，不仅在实际行动上，还包括精神上。每个人都朝着正确的方向努力，才会有合作，才会在大宗商品化的环境中胜出。”　　第四，业务执行阶段。汤姆森先生一直非常强调无缺点式执行。“好企业执行战略，伟大的企业会研究战略、流程和执行的所有细节，做到无缺点地执行战略。我本人在企业待过30年，非常明白好故事和伟大的故事的差别。一个伟大的故事是有交付的，可以达成客户和社会的预期。”　　绩效监控主要考察绩效指标和风险指标，前者度量经营目标和长期战略目标的实现程度，后者能够确保风险维持在可接受的水平。“在制定战略的时候，企业就需要明确自己的风险容忍度。”　　最后是战略调整。“这里我要讲另外一个特点就是勇气。” 汤姆森先生说，谁都不想去跟老板说，除非做出改变，否则难以实现预期目标，但我们不能不去做。“因为我心怀客户和社会，它们一直在提醒我要做正确的事。然后让我充分意识到挑战，该如何做出调整。这种适应性和韧性非常重要。”　　下图展示的是如何把COSO框架和上述商业模型进行融合分析。

　　汤姆森先生的风险管理哲学认为，“风险控制并不是永远给人带来坏消息的，你是真正进行分析，你必须展现你的领导力，让大家都参与进来。很多人只关心增长，而你要坚持用正确的方法去增长。”　　在确定风险偏好时，管理层应采取三个步骤：确定风险偏好，就此进行沟通，监督和调整风险偏好。“有的企业是承担了太少的风险而出局，有些则是因为承担了太多，以致失控，最终还是出局。”伟大如苹果公司，也曾面临这种情况。　　拳王泰森说，每个人都有自己的计划，直到被一拳打翻在地。“对于公司而言，风控、内控及相关的最佳实践都不能提供百分百的保险，意外总是会发生，这也是企业经营的最大乐趣所在。”　　对此，曾任复星集团审计部总经理的王祖民先生说，“我们做任何投资项目，首先讨论的是风险，而不是机会和收益。我们只有在风险可控的前提下，才会去看投资的可能收益。”袁敏教授也认为，如果风险没有管控好，机会都会付诸东流。