20世紀90年代以后，許多國家政府以及有關國際組織紛紛加大了對風險管理的研究，并發(fā)布了一系列的文告，就風險管理問題作出了規(guī)定，其中，尤以2004年9月美國COSO正式發(fā)布的《企業(yè)風險管理——整合框架》最具代表性，是當前世界上風險管理領域最為權(quán)威的文獻，得到了世界各國的廣泛采用。目前，隨著覆蓋城鄉(xiāng)居民的社會保障體系的基本建立，社會保險工作的面更廣、點更多、線更長、量更大，社會保險業(yè)務面臨的管理風險也隨之變得更多、更大，這要求我們必須盡快建立健全風險管理制度，構(gòu)筑預防違規(guī)違法事件發(fā)生的“防火墻”，從而確保社會保險基金安全。在這種背景下，認真研究和參考包括企業(yè)風險管理整合框架在內(nèi)的相關的國際權(quán)威文獻，無疑具有十分突出的理論價值和現(xiàn)實意義。

COSO風險管理整合框架認為，主體的目標包括：①戰(zhàn)略目標，是高層次的目標，它應與組織的使命一致并支持該使命；②經(jīng)營目標，組織應當有效和高效率地利用其資源；③報告目標，組織應當提供可靠的報告；④遵循目標（合規(guī)目標），即組織應當遵循相關的法律規(guī)章。企業(yè)風險管理實際就是為實現(xiàn)上述目標提供合理的保證。

COSO風險管理整合框架強調(diào)，企業(yè)風險管理包含以下方面的作用：

1．協(xié)調(diào)風險偏好和戰(zhàn)略。管理層在評估不同的戰(zhàn)略、確定相關目標、建立相關風險的管理機制時，應考慮組織的風險偏好。

2．改進風險反應決策。企業(yè)風險管理要求識別并在不同的風險應對策略（包括規(guī)避、降低、分擔與接受風險）中做出選擇。

3．減少經(jīng)營意外與損失。提高組織識別潛在的事項并作出反應，減少意外事項及相關的成本或損失的能力。

4．識別并管理多個企業(yè)之間以及企業(yè)內(nèi)部的風險。每一個企業(yè)都面臨無數(shù)的、會影響組織不同方面的風險，企業(yè)風險管理應當有助于對相關關聯(lián)的影響作出有效的反應，并對多個企業(yè)的風險作出整體性反應。

5．抓住機會。通過考慮所有潛在事項，管理層應當能夠識別并實現(xiàn)機會。

6．改善資本的配置。在獲得關于風險的信息后，管理層可以有效地評估總體資本需求并改進資本的配置。

企業(yè)風險管理所固有的這些作用，有助于管理層實現(xiàn)組織的經(jīng)營和盈利目標，并防止資源損失。企業(yè)風險管理有助于保證提供有效的財務報告和對法律規(guī)章的遵循，并有助于避免組織聲譽的損害及相關不良后果。總之，企業(yè)風險管理不僅幫助企業(yè)到達期望的目的地，還有助于避開前進途中的隱患和意外。

COSO風險管理整合框架指出，企業(yè)風險管理包含八個相互關聯(lián)的要素。這些要素來源于管理層管理企業(yè)的方法，并與管理過程合成一個整體。這些要素包括：

1．內(nèi)部環(huán)境。內(nèi)部環(huán)境包含了組織的風格，它確定了組織人員如何看待和處理風險的基礎，是其他要素的基礎。內(nèi)部環(huán)境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結(jié)構(gòu)、勝任能力、人力資源政策與實務、權(quán)責分配。

2．目標設定。在管理層辨別影響其目標實現(xiàn)的潛在事項之前，必須有目標。企業(yè)風險管理要求管理層設定目標，選擇的目標需要能夠支持組織的使命并與組織使命相一致，并與其風險偏好相一致。

3．事項識別。即識別那些影響組織目標實現(xiàn)的內(nèi)外部事項，并區(qū)分為風險和機會。機會將被考慮進管理層的戰(zhàn)略或目標設定過程中。

4．風險評估。必須對風險加以分析，考慮其發(fā)生的可能性以及影響，并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。

5．風險應對。管理層應在不同的風險應對（包括回避、接受、降低、分擔風險）中做出選擇，從而采取一系列與組織的風險容忍度和風險偏好相一致的行動。

6．控制活動。應建立相關的政策和程序，以確保風險應對策略得到有效的執(zhí)行。控制活動通常包括兩個要素：一是確定應該做什么的政策，二是實現(xiàn)政策的程序。

7．信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通，從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上，包括向下、向上以及平行相互溝通。

8．監(jiān)控。整個企業(yè)風險管理都應當加以監(jiān)控并根據(jù)需要作出調(diào)整。監(jiān)督可以通過持續(xù)性的管理活動、單獨評價或者二者同時來實現(xiàn)。

從以上COSO風險管理整合框架內(nèi)容和要求上來看，對社會保險經(jīng)辦機構(gòu)構(gòu)建風險管理體系有如下啟示：

1．要將風險管理與內(nèi)部控制聯(lián)系在一起。風險管理涵蓋了內(nèi)部控制，將之作為一個子系統(tǒng)，從時間先后和內(nèi)容上來看，風險管理比內(nèi)部控制更廣泛，是對內(nèi)部控制的拓展和延伸。內(nèi)部控制的動力來自對風險的認識和管理，對于單位的所有業(yè)務流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是許多法律法規(guī)的合規(guī)要求。因此，社會保險經(jīng)辦機構(gòu)應當建立并維持有效的內(nèi)部控制系統(tǒng)以實現(xiàn)風險管理。

2．風險管理應當融入到日常經(jīng)辦活動中。風險管理針對的是經(jīng)辦活動中對目標實現(xiàn)產(chǎn)生影響的風險事項，因此，風險管理必須與經(jīng)辦活動緊密地結(jié)合在一起，要涵蓋組織機構(gòu)、登記征繳、待遇核定、基金核算和信息技術等環(huán)節(jié)，在經(jīng)辦活動中處處體現(xiàn)風險管理的理念與做法，這不僅有助于及時識別社會保險經(jīng)辦機構(gòu)所面臨的風險事項，也有助于降低風險管理成本、提高風險管理效率。

3．重視個人的作用。COSO框架強調(diào)每個人在企業(yè)風險管理中的作用，明確指出：在企業(yè)中，不僅僅是董事會或者風險管理官員，其他人員，如內(nèi)部審計師、財務官員以及組織中的每一個人都對企業(yè)風險管理負有一定的責任，都能夠?qū)ζ溥^程施加一定的影響，因而所有員工的職能與責任都應該被很好地界定和溝通。因此，社會保險經(jīng)辦機構(gòu)要建立多層級風險責任機制，機構(gòu)負責人對風險管理的整體有效性負有領導責任，各部門負責人對本部門風險管理的有效性承擔責任，其他人員主動識別、報告和控制自身經(jīng)辦行為的風險，并對自身經(jīng)辦風險行為承擔責任。這有利于督促經(jīng)辦機構(gòu)的所有職工重視風險管理問題，把維護及改善經(jīng)辦機構(gòu)的風險管控當作自己的事，而不是站在與領導層對立的角度，被動地執(zhí)行各自的任務。

4．構(gòu)建暢通的信息與溝通渠道。信息和溝通對于良好的風險管理相當重要，職工要了解風險管理措施，并有順暢的向上溝通風險管理的渠道，領導層要及時向職工了解經(jīng)辦機構(gòu)面臨的重大風險及其管理情況。在大多數(shù)情況下，一個組織中的正常報告途徑就是恰當?shù)臏贤ㄇ?。但是，在一些情況下，如果正常的渠道不起作用，就需要單獨的溝通途徑來充當自動預防故障機制，如設立意見箱、網(wǎng)絡投訴、網(wǎng)絡互動等，給職工提供直接向領導層溝通的渠道，這樣，信息的向上流動才不會被閉塞。

5．對風險管理過程進行監(jiān)控。風險管理是一個持續(xù)的、動態(tài)的過程，社保經(jīng)辦機構(gòu)的內(nèi)、外部環(huán)境在不斷地變化，這決定了原先的控制未必有效，因此，必須對風險管理過程進行監(jiān)控，從而找出其缺陷和不足并及時采取補救措施。監(jiān)控可以通過持續(xù)的活動或者專門評價兩種方式進行。持續(xù)監(jiān)控發(fā)生在管理活動的正常進程中，包括關鍵風險指標的差異分析、新出現(xiàn)的風險或原有風險的重大變化，以及應對非預期的突發(fā)事件等。專門評價的范圍和頻率主要取決于管理風險過程中的相關控制的重要性，程度較高的風險事項往往會被經(jīng)常評價。

6．正確把握風險偏好。COSO框架在風險管理方面提出了一個重要概念——風險偏好，它是為了實現(xiàn)企業(yè)目標、企業(yè)和員工在承擔風險的種類、大小等方面的基本態(tài)度。在實際工作中我們不難發(fā)現(xiàn)，不同的人風險偏好存在差異性，這就是為什么對同一風險事項，有的人高度重視，采取積極防控措施，而有的人卻不以為然，疏于防范的原因，而這兩種態(tài)度有可能會產(chǎn)生截然不同的后果。因此，社保經(jīng)辦機構(gòu)在確定風險應對方案時，要合理分析、準確掌握各級管理人員、關鍵崗位工作人員的風險偏好，采取適當?shù)目刂拼胧?，避免因個人風險偏好給經(jīng)辦管理帶來重大損失。

（作者單位：廣西壯族自治區(qū)社會保險事業(yè)局）