摘 要：风险管理有利于企业有效应对风险，促进自身经营目标的实现。本文以电力行业代表性的上市A公司为例，基于COSO风险管理五要素分析了A公司目前的风险管理现状及其存在的问题，并基于A公司风险管理存在的问题提出相应对策，以促使公司加强内部控制，保证公司持续稳定发展，并为行业内其他企业提供借鉴。

关键词：COSO框架;内部控制;风险管理

近年来受全球化经济局势动荡及本国经济调整等因素的影响，部分电力企业的发展速度有所放缓，这也一定程度上促进了电力企业的转型升级，转型升级后，电力企业如何应对新的市场环境，如何改善企业内部控制、降低企业存在的风险，促进企业的可持续发展变得尤为主要。

一、A公司风险管理现状

COSO-ERM （2017）将企业风险管理定义为：组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。本文将根据2017版COSO-ERM中的风险管理五要素，即治理和文化、战略和目标制定、执行、审查和修订以及信息、沟通与报告这5个方面来介绍A公司风险管理现状。

（一）治理和文化

1.治理情况

A公司是一家国有控股公司。X市人民政府国有资产监督管理委员会是A公司的控股股东。A公司集团层面的风险管理运营架构如下：战略投资部负责战略、金融资产与研发等投资相关的风险管理，法律合规部负责法律与和合规的风险管理，安监总务部负责产品生产安全方面的风险管理，经营管理部负责日常运营相关的风险管理，人力资源部负责人力资源相关的风险管理，财务部负责财务相关的风险管理，内部审计部负责监督和第三道防线相关的风险管理工作，海外事业部负责海外业务的风险管理，党群工作部负责企业文化和舆情相关的风险管理。A公司各部门对各自职能范围的事项开展了一定程度的风险管理工作，但是公司并未建立单独的风险管理部门，难以对风险管理进行整体把控。

2.文化方面

A公司将企业愿景定位为“珍爱环境、节约资源”，把环保、节能、安全、智能科学地融入到公司战略目标、制度和业务流程。将公司使命定位为“为客户创造价值”，将企业精神定位为“创新、激情、协作、诚信”，将公司的文化理念定位为“平和、感恩、快乐工作、快乐生活”。企业愿景中的“节约资源、企业”精神中的“诚信”都展现了A公司期望的风险管理文化。

（二）战略与目标制定

A公司的战略目标是：“技术领先、质量领先、成本领先、效率一流”

1.A公司战略与目标制定考虑的商业环境

（1）外部环境分析

首先，机遇方面。国家鼓励创新，号召建设创新型国家，A公司作为高科技企业将得到政策的支持，技术创新氛围日益浓重;国家加大对电网投资力度，提供了巨大的市场机会;新能源建设，拓宽了公司的发展空间。

其次，挑战方面。国家电网产业升价，加大特高压的建设，特高压技术逐渐成熟，而A公司错失了发展机会。国家电网的集中规模招标，限制了电力体制外企业的进入。同行业的竞争对手加强技术研发、实施赶超战略综合竞争力日益增强，市场竞争日趋激烈。

（2）内部环境分析

首先，优势方面。A公司经营管理机制灵活和现金流充足。具有明确的企业发展战略和规划。具有较强战略思维能力和科学决策能力的企业决策者。公司具有明确的旨在提升企业核心竞争力的技术创新战略。公司建有博士后科研工作站，具有较强的研究开发能力和很强的中试转化能力。

其次，劣势方面。高端市场突破难度较大。高压保护尚未取得实质性突破，省网局市场尚需加大开发力度。市场响应速度有待提高，主业产品的盈利能力有待提高，研发效率和工程服务效率有待提高。管理观念更新慢，组织机构因管理职能不变产生低效。行业竞争日益加剧，竞争地位受到竞争者的多元威胁。

2.A公司的风险偏好

A公司鼓励创新、接受失败，但在制定战略时没有应用风险偏好，没有细化可接受的风险类型和风险级别，因此风险偏好不明确。

（三）执行

1.识别风险

目前A公司没有根据经营和战略目标系统地识别其面临的相关风险，并不断关注风险的变化及新风险，没有使用风险清单对风险进行分类，但是A公司在日常管理中已经将部分风险的管理视为其工作中的一部分，已经开展了一些嵌入经营管理中的风险识别工作，但是使用的方法不够科学和全面，对相同风险的表述方式不同。

2.评估风险严重程度

A公司目前暂未系统地开展对风险的评估，没有从组织不同层面评估风险的风险水平，也未选择风险评估指标，从影响程度和可能性两个方面对风险进行评估，明确固有风险、剩余风险等，未展示成形的风险评估结果和制定确认触发重新评估的条件和机制。

3.风险排序

A公司由于没有系统地开展风险识别和评估工作，在日常管理中没有根据风险评估结果开展风险排序工作，没有标准用于风险排序，没有对风险优先级进行确定，缺少风险偏好在对风险优先级确认方面的运用。

4.实施风险应对

A公司的风险应对工作目前嵌入了日常经营管理中，没有系统化地根据风险识别、评估结果来科学地选择风险应对方式并实施风险应对，对风险应对的工作中考虑了一定成本和收益，但是不够全面。

5.建立风险组合观

A公司目前主要针对各职能部门进行风险管理，暂未形成风险组合观。

（四）审查和修订

1.评估重大变化

A公司会定期对可能严重影响企业战略和业务目标的内外部环境变化进行识别和评估，通过召开专题会议和日常经营管理会议对变化进行评估。

2.审查风险和绩效

A公司会定期对各部门绩效的实现进行考核和评估，每年对内部控制进行自我评价，但是并没有将风险管理效果与绩效考核挂钩，也没有规定未完成和超额完成绩效的后果。

3.企业风险管理改进

A公司通常仅在发生风险后对风险管理工作进行改进，风险管理审查与修订工作有待进一步加强。

（五）信息、沟通与报告

1.利用信息技术

A公司计划建设风控管理信息化系统，但目前尚未建立，风险管理的信息化建设基础较为薄弱。A公司目前在业务层和核算层建立了信息化系统，使用信息化系统一般聚焦于日常运营环节，所以目前在风险管理的各要素中无法使用高质量的信息，信息处理无法做到及时性，整体信息化技术应用不充分。

2.沟通风险信息

A公司主要通过定期的财务报告、审计报告等方式向股东、债权人、监管机构等外部利益相关者传递风险信息。内部信息的传递一般体现在集团对子公司的日常管理中，通过各个职能条线内的信息收集来进行传递，但是子公司在信息传递过程中普遍存在报喜不报忧的情况，对于部分重大风险的发生存在传递不及时的情况，同时由于信息化比较薄弱，集团总部无法及时、准确、全面获取风险信息。

3.对风险、文化和绩效进行报告

A公司的内部审计部每年会对企业内控进行评价，形成内部控制自我评价报告，报送至董事会进行审批，公司每年末对各部门绩效进行考核、报告，但暂无风险管理的相关报告，未规定风险管理报告的关键指标设定、质量和频率。

二、A公司风险管理存在的主要问题

（一）风险管理的覆盖面不足

自2006年起，A公司开始组织内控体系建设工作，开展了业务层面的风险识别，设计了相应的控制活动，并通过相关会议决策开展运行工作。但是内控体系建设中识别、应对的风险以业务流程层面的风险为主，不能有效覆盖集团面临的内外部所有风险，风险管理的覆盖面不足，风险管理的"广度"仍需通过进一步优化全面风险管理来弥补和加强。

（二）风险管理组织架构不合理

目前A公司内审部门直接由审计委员会领导。审计委员会的职责之一在于监督评估企业的风险管理，审计部门负责组织执行业务风险控制的相关工作。A公司审计委员会制定了有关风险管理的相关制度，内审部门直接根据该制度组织内部控制的相关活动，由此审计委员会对内控监督的效果就会大大减弱。此外，目前A公司审计委员会还存在人员配置不足、日常监督较少等问题，尚未发挥风险管理统筹监督职能。

（三）风险管理三道防线有待完善

经研究，A公司风险管理的三道防线情况如下：

第一道防线较为薄弱，A公司总部及下属子公司对风险的认知不一，风险管理活动执行程度参差不齐，部分风险未得到有效控制。

第二道风险比较分散，缺乏协同机制。目前仅集团内部审计部负责内控体系建设与维护，各职能部门负责各自职能范围内的风险管理，风险管理比较分散。

第三道防线有待进一步改善。A公司在集团层面设立了独立的审计部门，但是审计部门工作汇报需向分管领导汇报后，再向总经理汇报，然后再向董事长汇报，缺乏独立性，且集团层面审计人员仅有4人，占集团总人数的不到1%，审计人员的占比较小，人员配备明显不足。

（四）战略制定与风险管理缺乏粘合度

目前A公司未明确集团整体的风险偏好以及集团的风险容忍度，在设定和调整风险管理策略相关内容时没有将其与公司的战略目标及经营计划相结合，风险管理缺乏针对性和有效性，难以服务于企业战略目标的实现。

三、A公司风险管理的优化策略

（一）优化内控环境，健全治理结构

首先，企业管理层要积极转变管理理念，加强企业文化体系的建设，积极宣传先进的内部控制思维及管理框架，使各部门员工都能理解并执行内控手册的内容，提高公司整体的的内控意识并自觉遵守相应规章制度。其次，要设置科学合理的组织结构和人员设置。公司应根据自身规模、管理模式科学的设置其组织架构，明确各层级主体的内控权责并充分落实。本例中，A公司可以设置专门的内部控制部门来负责企业的风险管理工作，并做好人员配置，真正让内部控制发挥作用。

（二）提高全面风险管理的信息化

根据COSO-ERM（2017）中充分使用信息系统的原则，A公司可利用信息技术加强企业风险管理、提高全面风险管理的信息化：A公司全面风险管理信息系统规划从底层到顶层应涵盖基础模块、支持模块和功能模块的三级板块，提供内控管理、风险管理、合规管理和内审管理四项核心功能，从数据层面打通一、二、三道防线，提高系统整体的效果。

（三）将风险管理与战略和绩效结合

COSO-ERM风险管理框架指出风险管理是绩效评价过程的重要组成部分。A公司存在战略制定与风险管理粘合度不足的问题，因此可以围绕公司业务流程全过程，识别公司的主要风险点，将企业风险管理与战略和绩效充分结合。在设定公司的战略目标时，要充分的考虑公司所承受的最大风险，并将其约束在可接受范围内。在实际执行风险管理的过程中要对风险管理的绩效进行实时监测和评价，一旦发现风险管理存在偏差要及时调整、修正。

（四）引进、培养风险管理专业人才

根据COSO-ERM（2017）中吸引、培养并留住人才原则，该原则需重点关注如何吸引、发展并留住人才。全面风险管理需要知识全面阅历丰富的复合型人才，企业可以通过引进的方式来借鉴国内外先进的理念和管理实践，快速提升全面风险管理的质效。同时还需要内部培养的方式，提高内部风险管理专业人员的能力，尽量为员工提供丰富的岗位培训，在实践中提升全面风险管理的能力。

四、总结

有效的风险管理有利于企业应对风险时做出正确决策，是增强企业经济效益，实现企业经营目标的保障。本文以电力行业代表性企业A公司为研究对象，基于coso风险管理框架，分析了A公司风险管理存在的问题并提出相应的优化策略，以期提高A公司的风险管理、应对能力，进而促使其实现战略目标、提升经营水平。

参考文献：

[1]许新霞，何开刚.内部控制要素的缺失与完善：基于内部控制和风险管理整合的视角[J].会计研究，2021（11）：149-159.

[2]张黎焱.基于新COSO-ERM框架的电影制片上市公司风险管理研究[J].当代电影，2020（11）：84-89.

[3]黄敏.中小企业税务风险管理探究——基于COSO-ERM（2017）框架的视角[J].财会通讯，2020（08）：136-141.DOI：10.16144/j.cnki.issn1002-8072.2020.08.027.