基于ERM新框架的企业风险管理评价及应用

陈关亭 陈瑞嘉 刘伟明

【摘要】新版企业风险管理框架《企业风险管理——结合战略与绩效》提出了全新的风险管理定义、 理念、 内容和原则， 但没有涉及定量评价模型。本文主要借鉴新框架的要素和原则， 结合我国风险管理规范， 建立由5个一级指标、 20个二级指标和92个三级指标组成的三层级风险管理评价指标体系， 采用层析分析法（AHP）确定各层级各指标的权重系数， 并据以构建定量评价企业风险管理效果的总模型及其分层模型。本评价模型在BD公司的试点应用中， 体现了层次化、 系统化和定量化评价的优点， 验证了其在实践中具有可行性和推广应用价值。

【关键词】COSO；企业风险管理；评价模型；AHP

【中图分类号】 F275     【文献标识码】A      【文章编号】1004-0994（2023）17-0016-6

一、 引言

2017年9月， 美国反虚假财务报告委员会下属的发起人委员会（Committee of Sponsoring Organizations of the Treadway Commission，简称COSO）继2004年《企业风险管理——整合框架》（简称“旧框架”或“ERM旧框架”）后， 提出了新版企业风险管理框架《企业风险管理——结合战略与绩效》（Enterprise Risk Management——Integrating with Strategy and Performance，简称“新框架”或“ERM新框架”）。ERM新框架重新定义了风险管理、 风险容量和风险承受度等概念， 提出了全新的5项风险管理要素和相应的20项风险管理原则， 在重构风险、 战略和绩效三者关系的基础上全面更新了企业风险管理的关注焦点。但是， 新框架缺乏评价企业风险管理的指标体系和定量模型， 导致监管部门和企事业单位难以据其准确、 定量评价企业风险管理水平和具体缺陷。为此， 本文重点基于ERM新框架和我国企业风险管理规范， 建立企业风险管理评价指标体系， 结合层次分析法（Analytic Hierarchy Process， 简称AHP）研究指标权重和定量评价模型， 并通过实际案例检验评价指标体系和定量评价模型在实践中的可行性。

本文的潜在贡献包括： 一是建立了风险管理评价指标体系。ERM新框架没有提出风险管理评价指标体系， 在我国也未发现此类评价指标。本文借鉴ERM新框架并结合我国企业风险管理特征， 建立了由5个一级指标、 20个二级指标和92个三级指标组成的企业风险管理评价指标体系。二是建立了企业风险管理定量评价模型。ERM新框架没有建立风险管理评价模型， 我国也未发现相关评价模型。本文结合132份专家调查问卷， 采用AHP研究了各级各项评价指标的权重， 建立了定量评价企业风险管理水平的综合模型， 弥补了企业风险管理评价理论的量化模型缺口。三是通过应用试点， 实现了对BD公司风险管理状况的系统化、 层次化和定量化评价， 确定了BD公司风险管理的改进重点， 并为我国企业应用ERM新框架和评价模型提供了案例示范。

二、 文献回顾

1. 企业风险管理框架。2017年美国COSO发布的《企业风险管理——结合战略与绩效》（COSO，2017）， 取代了本机构2004年提出的旧框架《企业风险管理——整合框架》（COSO，2004）。上述新旧框架的区别主要是：新框架重新定义了企业风险管理概念和理念， 重构了风险、 战略、 绩效和企业价值之间的关系， 尤其是提出了全新的5项风险管理要素以及20项原则。其中5项要素分别为： ①治理与文化（Governance and Culture）； ②战略与目标设定（Strategy and Objective-setting）； ③执行（Performance）； ④检查与修正（Review and Revision）； ⑤信息、 沟通和报告（Information，Communication，and Reporting）。ERM新框架也不同于內部控制领域的相关理论框架和规范， 诸如内部控制框架（COSO，2013）、 Turnbull报告（FRC，2014）、 COCO控制指南（CICA，1999）以及我国《企业内部控制基本规范》（财政部等，2008）和企业内部控制配套指引（财政部等，2010）， 这些内部控制理论和规范主要聚焦于狭义风险及其控制， 尤其是侧重于财务报告风险与相关控制， 缺少与企业战略、 绩效和价值的紧密联系（杨有红，2022）。

我国目前对于ERM新框架的研究主要为内容介绍和应用（舒伟等，2018；周婷婷和张浩，2018；郭苗苗，2023）， 监管部门制定的风险管理规范则尚未依据ERM新框架进行更新（如国资委2006制定的《中央企业全面风险管理指引》）。

2. 企业风险管理评价模型。我们尚未发现基于ERM新框架建立的企业风险管理评价模型， 现有的相关评价模型基本是以ERM旧框架或者内部控制框架《内部控制——整体框架》（COSO，1994；COSO，2013）作为依据的。在风险管理评价方面， Tseng（2007）基于ERM旧框架的风险管理目标， 构建了企业风险管理指数； 韩传模和汪士果（2009）借鉴ERM旧框架建立了由目标维、 要素维和组织维组成的内部控制体系； 陈关亭等（2013）基于ERM旧框架的风险管理要素， 建立了由8项一级指标、 36项二级指标和180项三级指标组成的内部控制评价模型； 赵金先等（2017）借鉴ERM旧框架提出了风险管理三维成熟度模型。在内部控制评价方面， EL Paso（2002）基于内部控制框架（COSO，1994）提出了由93个指标、 5级量度组成的内部控制评估体系； Moerland（2007）基于内部控制目标构建了内部控制披露指数； 王宏等（2011）、 陈汉文（2012）和胡为民（2012）等先后基于内部控制框架（COSO，1994）构建了内部控制指数； 张先治和戴文涛（2011）主要基于我国内部控制规范（财政部等，2008）提出了由4项目标层指标、 10项准则层指标和61项具体评价指标组成的综合评价体系。

综合分析上述文献可知， 现有企业风险管理框架研究存在如下不足： 第一， 虽然ERM新框架在风险管理理念、 内容要素和原则等方面发生了重要变化， 但是我国目前对于新框架尚限于内容介绍和应用， 监管部门制定的风险管理规范没有根据新框架予以更新； 第二， 我们尚未发现基于ERM新框架建立的企业风险管理评价模型， 现有的相关评价模型基本是依据ERM旧框架或者内部控制框架（COSO，1994；COSO，2013）建立的。鉴于ERM新框架已经替代了2004年的旧框架， 并且得到了美国证券交易委员会（SEC）、 英国金融行为管理局（FCA）、 国际内部审计师协会（IIA）等国际金融监管机构和大型公司的认可， 本文主要基于ERM新框架并结合我国企业管理特征， 建立企业风险管理评价指标体系和定量评价模型。

三、 企业风险管理评价模型设计

1. 风险管理评价指标体系。ERM新框架吸收了旧框架和内部控制框架的合理内容， 根据新的商业环境、 技术发展和风险事件更新了风险管理理念、 要素内容和原则， 并将风险管理定位于支持企业战略和绩效， 得到了SEC、 FCA和IIA等监管机构和国际组织的认可， 故本文主要基于ERM新框架并结合我国监管部门发布的风险管理规范制度， 建立企业风险管理评价指标体系。

本指标体系的设计原则有以下五个： 全面性原则， 即指标体系应综合反映企业风险管理的总体情况； 层次性原则， 即应分层设立总体指标和具体指标； 重要性原则， 即各层指标都应选择比较重要的指标； COSO为主原则， 即在指标设定上主要参考ERM新框架的内容； 本地化原则， 即在具体指标设计上， 应兼顾我国企业风险管理制度和实践经验。本指标体系的基本设计思路和步骤为： 首先， 借鉴ERM新框架的5个一级要素和20条原则， 设计本文指标体系的一级指标和二级指标； 然后， 在三级指标的设定上， 参考ERM新框架20条原则的关注要点， 并结合国务院国有资产监督管理委员会（2006）发布的《中央企业全面风险管理指引》、 财政部等（2008、2010）发布的《企业内部控制基本规范》和企业内部控制配套指引、 国务院国资委（2019）发布的《关于加强中央企业内部控制体系建设与监督工作的实施意见》以及我国典型企业的风险管理制度。由此建立的企业风险管理指标体系包括5个一级指标、 20个二级指标和92个三级指标， 具体见表1。

2. 指标赋权方法。关于评价指标的赋权方法， 主要包括主观赋权法和客观赋权法两类。前者主要包括AHP、 模糊综合评价法（Fuzzy Comprehensive Evaluation Method）、 德尔菲法（Delphi Technique Method）、 成对比较法（Paired Analysis Method）以及环比评分法（Decision Alternative Ratio Evaluation System）等， 后者主要包括变异系数法（Coefficient of Variation Method）、 主成分分析法（Principal Component Analysis）、 因子分析法（Factor Analysis）与熵值法（Entropy Method）等。两类赋权方法各有优点、 缺点及其适用条件， 因此应该结合具体研究对象的指标特征选择合适的赋权方法。

在内部控制评价领域， 韩传模和汪士果（2009）研究了运用AHP进行内部控制模糊综合评判的构想框架； 张先治和戴文涛（2011）提出了AHP和模糊评价法相结合的多层模糊综合评价方式； 陈关亭等（2013）利用AHP确定了内部控制评价指标的权重。本文企业风险管理评价指标体系与上述内部控制评价指标体系具有高度的特征相似性， 尤其是在层次结构上符合AHP的目标层、 准则層和方案层要求， 因此本文采用AHP确定企业风险管理指标体系的指标权重， 主要步骤如下：

（1）设计调查问卷。第一， 本文将企业风险管理体系（总体系）设定为总目标， 并将评价指标体系的一级指标、 二级指标和三级指标分别定义为AHP下的目标层、 准则层和方案层。第二， 本文将判断矩阵中两个指标比较后的分值理解为两个指标权重（重要性）的比值。对于两个指标权重的比值， 使用1-9标度法（Saaty， 1980）。第三， 针对表1所示的企业风险管理评价指标体系， 建立判断矩阵式的调查问卷。第四， 向本领域的专家学者、 企业管理人员和审计人员共发放200份调查问卷， 实际回收问卷146份， 经过一致性检验后得到有效问卷132份。其中： 专家学者53份， 占比40.15%； 企业管理层和风险管控人员38份， 占比28.79%； 内部审计人员21份， 占比15.91%； 注册会计师20份， 占比15.15%。第五， 采用Yaahp软件处理群体AHP数据， 并抽查验证Yaahp软件处理的正确性和精度。

（2）一致性检验。为了排除专家对于指标重要性判断的不合理偏差， 对判断矩阵进行一致性检验。即计算一致性指标CI和随机一致性比率CR［见式（1）和式（2）］， 若CI、 CR均在0 ～ 0.1之间， 则通过一致性检验。

CI=（λ-n）/（n-1） （1）

CR=CI/RI （2）

其中： λ为判断矩阵的最大特征值； n为判断矩阵的阶数； RI为随机一致性指标， 由判断矩阵的阶数确定， 通过查表可知标准值。

（3）计算权重排序向量。基于通过一致性检验的判断矩阵， 采用“和法”计算排序权重向量。对于n阶判断矩阵， 如果相同列每一格涉及的任何要素的权重值是一致的， 那么判断矩阵可表示为如式（3）所示的矩阵。

其中， wij表示按照从左到右的顺序， 每列按照从上到下的顺序进行比较， 每轮比较一列， 第i轮比较时第j号元素的权重系数。每次比较， 所有的权重系数之和为1。

然后， 进行列向量归一化， 即每格除以其所在列的元素和， 得到下列矩阵， 见式（4）。

最后， 对以上两个矩阵进行行向量归一化， 即对每行取平均值， 得到权重排序向量， 见式（5）。

（4）处理专家意见。使用Yaahp软件处理群体AHP数据， 得到各级风险管理指标的权重系数（一级指标保留2位小数，其余保留4位小数，部分下一级指标权重之和不等于上一级指标权重是四舍五入所致）， 如表1所示。

3. 企业风险管理评价模型构建。上述风险管理评价指标之间彼此基本独立， 即存在线性补偿， 而非显著相关性， 因此可采用加法合成总体评价值， 构建的企业风险管理评价总模型（简称“ERM评价模型”）见式（6）。

其中： ERM是企业风险管理评价指标体系总分， GC为治理与文化指标， SO为战略与目标设定指标， RP为风险管理执行指标， RR为检查与修正指标， IC为信息、 沟通和报告指标； 下标k代表该指标下的第k个子指标； ω即权重系数， ω1 ～ ω5为相应一级指标的权重系数， ω1k ～ ω5k为根据表1换算的相应子指标对上级指标的权重系数。

在计算各层指标值时， 可将本指标体系三层指标的相应指标值分层代入相应层级的评价模型， 见式（7） ～ （9）。

其中： TotalScore表示企业风险管理评价指标体系总分， 即一级指标的加权计算结果； WeightIi为第i个一级指标的权重系数， ScoreIi为第i个一级指标的分数； WeightIIj为第j个二级指标的权重系数， ScoreIIj为第j个二级指标的分数， m为第i个一级指标所辖二级指标个数； WeightIIIk为第k个三级指标的权重系数， ScoreIIIk为第k个三级指标的分数， n为第j个二级指标所辖三级指标个数。第二、 三级指标的权重系数根据表1换算为对上级指标的权重系数。

四、 企业风险管理评价模型的应用试点

1. 应用试点简介。为检验上文构建的ERM评价模型的可操作性和可行性， 我们在北京BD科技有限公司（简称“BD公司”）进行了应用试点。BD公司为某上市公司的子公司， 是我国领先的管理软件与服务提供商， 主营业务为向大型企业集团及政府部门提供企业管理软件的开发、 实施及服务， 软件产品主要有办公自动化系统和风险管控软件两大类。公司注册资本5100万元， 员工342人， 在北京总部设有事业部、 行业及区域营销中心和研究机构， 在上海、 深圳、 西安均设置了分支机构。

对于公司风险管理现状， 采用向公司人员发放调查问卷和自行现场调查两种方式， 收集了30个调查样本。其中， 调查问卷根据ERM评价指标予以对应设计， 按照百分制评定分值， 采用基于问卷星程序（WJX）的在线调查方式， 回收合格问卷25份（分别为BD公司高层管理人员7份， 产品研发、 营销中心、 售后服务、 财务部门、 审计部门和风险管理部门各3份）。此外， 我们通过自行调查的方式获得了5个调查样本， 即采取查阅规章制度、 穿行测试、 问询、 观察和查验证据等方法调查公司风险管理现状， 据以给调查问卷中的问题评定分数。

2. 模型评价结果。

（1）三级指标评价结果。根据30份调查问卷， 分别统计各项调查问题的算术平均数， 作为相应的三级指标评价结果（ScoreIIIk）， 具体见表1第（6）列的三级指标“案例分值”。如三级指标“董事会问责机制与各自职责”的评价结果为65.50分。

（2）二级指标评价结果。根据评价模型（9）， 计算各项二级指标分值（ScoreIIj）。其中， ScoreIIIk为表1第（6）列的三级指标“案例分值”， WeightIIIk为表1第（5）列的三级指标“换算权重”（换算为对上级指标的权重）， 具体评价结果见表2第（5）列的二级指标“分值”。如二级指标“董事会执行风险监督”的评价结果为65.82分。

（3）一级指标评价结果。根据评价模型（8）， 计算各项一级指标分值（ScoreIi）。其中， ScoreIIj为表2第（5）列的二级指标“分值”， WeightIIj为表1第（3）列的二级指标“换算权重”， 具体评价结果见表2第（3）列的一级指标“分值”。即BD公司一级指标的评价结果为： 治理与文化64.90分； 战略与目标设定65.92分； 风险管理执行57.97分； 检查与修正56.33分； 信息、 沟通和报告59.75分。

（4）总体风险管理评价结果。根据评价模型（7）， 计算公司风险管理总分（TotalScore）， 其中ScoreIi为表2第（3）列的一级指标“分值”， WeightIi为表1第（1）列的一级指标“权重”， 具体评价结果见表2第（1）列“总分”， 即BD公司总体风险管理评价结果为62.00分。

3. 评价结论与建议。本文将风险管理评价等级设定为“优、 良、 中、 及格和不及格”五級， 在百分制下各等级的分数标准为： 优≥90分， 90>良≥80， 80>中≥70， 70>及格≥60， 60>不及格。BD公司风险管理的总体评价结果在百分制下为62.00分， 处于及格等级。在一级要素层面， 5项相应指标的分值位于56.33 ～ 65.92区间， 不及格指标3项（占比60%）， 即“检查与修正”“风险管理执行”及“信息、 沟通和报告”要素不及格， “治理与文化”和“战略与目标设定”要素分别仅为64.90分和65.92分； 在二级要素层面， 20项相应指标的分值位于52.06 ～ 71.84区间， 不及格指标10项（占比50%）； 在三级要素层面， 92项相应指标的分值位于48.25 ～ 78.50区间， 不及格指标39项（占比42.39%）。综上， BD公司风险管理总体效果处于较低水平， 各级要素的不及格指标较多。因此， 建议BD公司借鉴ERM新框架和本文评价指标体系， 参考本模型评价结果（见表1和表2）， 全面优化公司风险管理体系， 重点改进各级要素的不及格指标， 适当优化评价分值较低的指标。一级要素的评价和改进重点具体如下：

（1）治理与文化。本要素评价结果为及格等级（64.90分）， 二级指标分值位于61.65 ～ 66.99区间， 三级指标分值位于56.75 ～ 74.25区间（不及格指标占比24%）， 距离“优良”标准尚有较大的提升空间。建议重点改进6项不及格的三级要素， 即： 处理核心价值观和行为的偏差（56.75分）， 企业风险管理结构（57.00分）， 权利和责任分配（58.75分）， 更新企业风险管理（59.00分）， 接受风险意识文化（59.50分）， 吸引、 发展和留住人才（59.50分）。

（2）战略与目标设定。本要素评价结果为及格等级（65.92分）， 二级指标分值位于61.45 ～ 71.84区间， 三级指标分值位于56.75 ～ 78.50区间（不及格指标占比10%）， 距离“优良”标准也有较大的提升空间。建议重点改进2项不及格的三级要素， 即： 确定风险偏好（56.75分）， 明确表达风险偏好（59.25分）。

（3）风险管理执行。本要素评价结果为不及格等级（57.97分）， 二级指标分值位于54.09 ～ 59.44区间（不及格指标占比100%）， 三级指标分值位于51.75 ～ 64.25区间（不及格指标占比79.17%）。建议对本要素进行系统性整改， 重点为19项不及格的三级要素， 即： 建立风险再评估的触发机制（51.75分）， 制定风险排序标准（52.75分）， 避免风险排序偏差（53.00分）， 固有风险、 目标风险和剩余风险（53.50分）， 减少评估偏差（53.50分）， 企业所有层级的风险排序（54.00分）， 分析风险组合视图（54.00分）， 考虑风险应对产生的新风险或副作用（54.50分）， 排列严重性评估相似的风险（54.75分）， 绘制风险组合视图（55.25分）， 描述风险的架构方法（55.50分）， 使用风险清单（56.00分）， 理解风险组合视图（56.25分）， 利用风险偏好确定风险的优先级（56.75分）， 识别风险的方法（57.00分）， 描述评估结果（57.00分）， 实施风险应对措施（57.25分）， 确定评估方法（58.00分）， 考虑风险应对的成本和收益（59.00分）。

（4）检查与修正。本要素评价结果为不及格等级（56.33分）， 二级指标分值位于52.06 ～ 59.41区间（不及格指标占比100%）， 三级指标分值位于48.25 ～ 60.75区间（不及格指标占比83.33%）。建议对本要素进行系统性整改， 重点为5项不及格的三级要素， 即： 评估企业风险执行能力（48.25分）， 定期评估风险管理体系（54.50分）， 提高风险管理效率（55.25分）， 識别内部环境重大变化（58.00分）， 识别外部环境重大变化（58.50分）。

（5）信息、 沟通和报告。本要素评价结果为不及格等级（59.75分）， 二级指标分值位于57.97 ～ 61.63区间（不及格指标占比66.67%）， 三级指标分值位于55.25 ～ 63.75区间（不及格指标占比41.18%）。建议对本要素进行系统性整改， 重点为7项不及格的三级要素， 即： 与利益相关者沟通（55.25分）， 归类风险信息（56.00分）， 更新信息（56.75分）， 加工原始数据（57.25分）， 评估沟通方法（58.25分）， 报告频率和质量（58.75分）， 关键风险指标报告（59.00分）。

五、 结论

本文主要借鉴ERM新框架， 结合我国风险管理规范， 建立了定量化的企业风险管理评价模型， 并在BD公司进行了应用试点， 主要结论为： 第一， 建立企业风险管理评价指标体系。借鉴企业风险管理框架（COSO，2017）， 并与我国风险管理规范相结合， 建立了由5个一级指标、 20个二级指标和92个三级指标组成的三层级风险管理评价指标体系。第二， 设计企业风险管理评价模型。基于132份专家问卷， 采用AHP研究确定了各层级各指标的权重系数（见表1）， 构建了定量评价企业风险管理效果的总模型及其分层模型， 即式（7） ～ （9）。第三， 在实践中验证评价模型的可行性。根据总模型和分层模型定量评价了BD公司的风险管理现状， 发现BD公司总体风险管理水平在百分制下为62分， 一级要素的不及格指标为3项（占比60%）， 二级要素的不及格指标为10项（占比50%）， 三级要素的不及格指标为39项（占比42.39%）， 并据此提出了相应的优化重点。本文构建的评价模型在BD公司的试点应用中体现了层次化、 系统化和定量化评价的优点， 试点结果证明了其在实践中具有可行性和推广应用价值。

【 主 要 参 考 文 献 】

财政部，证监会，审计署等．关于印发《企业内部控制基本规范》的通知．财会［2008］7号，2008-05-22．

财政部，证监会，审计署等．关于印发企业内部控制配套指引的通知．财会［2010］11号，2010-04-15．

陈关亭，黄小琳，章甜．基于企业风险管理框架的内部控制评价模型及应用［ J］．审计研究，2013（6）：93 ～ 101．

陈汉文．上市公司内控指数评价分析发布［N］．上海证券报，2012-08-17．

韩传模，汪士果．基于AHP的企业内部控制模糊综合评价［ J］．会计研究，2009（4）：55 ～ 61+97．

郭苗苗．房地产企业不良资产处置风险管理研究——基于COSO-ERM框架［ J］．财会通讯，2023（8）：119 ～ 124．

国务院国有资产监督管理委员会．关于印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》的通知．国资发监督规［2019］101号，2019-10-19．

国务院国有资产监督管理委员会．关于印发《中央企业全面风险管理指引》的通知．国资发改革［2006］108号，2006-06-06．

胡為民．中国上市公司内部控制报告（2012）［M］．北京：电子工业出版社，2012．

舒伟，左锐，陈颖等．COSO风险管理框架的新发展及其启示［ J］．西安财经学院学报，2018（5）：41 ～ 47．

王宏，蒋占华，胡为民等．中国上市公司内部控制指数研究［M］．北京：人民出版社，2011．

杨有红．整合内部控制与风险管理  助推企业可持续性发展［ J］．财会月刊，2022（16）：18 ～ 22[.]

张先治，戴文涛．中国企业内部控制评价系统研究［ J］．审计研究，2011（1）：69 ～ 78．

赵金先，范轲，王苗苗，孙境韩．工程项目施工风险管理能力成熟度应用研究［ J］．工程管理学报，2017（1）：134 ～ 139．

周婷婷，张浩．COSO ERM框架的新动向：从过程控制到战略绩效整合［ J］．会计之友，2018（17）：82 ～ 85．

COSO. Internal Control： Integrated Framework［R］．1994．

COSO. Enterprise Risk Management： Integrated Framework［R］．2004．

COSO. Internal Control： Integrated Framework［R］．2013．

COSO. Enterprise Risk Management： Integrating with Strategy and Performance［R］．2017．

EL Paso. Internal Control Assessment Survey［Z］．IIA， Research Foundation，2002．

FRC. Internal Control： Guidance for Directors on the Combined Code［R］．2014．

Moerland L.. Incentives for Reporting on Internal Control： A Study of Internal Control Reporting Practices in Finland， Norway， Sweden， the Netherlands and United Kingdom［R］．Maastricht University，2007．

Saaty T. L.. The Analytic Hierarchy Process［M］．New York： McGraw-Hill，1980．

CICA. Guidance on Assessing Control［R］．1999．

Tseng Chih-Yang. Internal Control， Enterprise Risk Management， and Firm Performance［R］．Simth School of Business，2007．