在我和甫瀚谘詢一起撰寫的一篇題為《提升組織績效與治理：COSO框架有何幫助》的思想領導力論文中，關於企業風險管理，我表達的以下幾個主要觀點可供中國的CFO們參考：

1.風險管理和內部控製是密不可分的整體，二者相互依存，和企業的成功密切相關。內部控製是風險管理的一部分，可以降低企業風險，將其控製在可接受水平。

2.風險管理和內部控製不僅僅是出於合規和監管的目的，如果應用適當，可以促進企業發展。

3.全球的企業，不論規模和性質，如果正確使用COSO框架，可以同時滿足合規和戰略雙重目的。

為了描述企業如何利用六大模塊創造價值，我們確定了一套標準的“情景商業模型”。這六大模塊包括：治理、戰略製定、質量管理權威戴明提出的“計劃-執行-檢查-處理”循環中的商業規劃（如更多運營規劃和戰術規劃，而不僅僅是戰略規劃）、業務執行、績效監控、戰略調整（針對內部和外部環境的變化做出調整）。通過把每個模塊和COSO企業風險管理“魔方”中的要素進行匹配，揭示框架如何支持戰略實施以及更佳治理。COSO企業風險管理“魔方”有三個維度：（1）商業層級：企業層麵、部門、業務單位、職能等；（2）商業目標：戰略、運營、報告和合規；（3）活動：內部環境、目標設定、事件識別、風險評估、風險響應、控製活動、信息和溝通、監控活動。

在主動將風險管理整合到戰略製定和商業規劃中去的過程中，環境掃描包括“牆”內外的掃描，識別市場環境、新的威脅和機會、技術趨勢、競爭分析等。企業需要尋求第三方獨立資源的幫助來對內部分析作出補充，必須承認內部領導團隊更注重日常商業活動，無法兼顧大環境的審視。

風險評估包括識別那些會妨礙戰略目標或商業規劃目標實現的企業風險。第一步要進行“風險登記”，記錄組織麵臨的所有風險，包括名譽、品牌、競爭力、技術、運營和財務風險。按照影響和發生的可能性對這些風險進行評級。風險等級和風險評級並不是戰略製定過程中一勞永逸的任務，需要依據變化持續監控和調整。同時，要在組織內建立風險挑戰文化，針對不同級別的風險以及各級別風險之間如何互相影響展開對話討論，企業內所有層級都需要認識到：主動討論風險不隻是預防負麵結果的發生，同時也能夠幫助企業抓住機會。

風險響應是對已識別風險的具體響應措施，包括風險外包、采取行動應對風險或者通過內部控製將風險降至可接受水平。

總而言之，中國CFO在2015年有各種各樣的機會提升自己和下屬的職業發展，改善組織運營，為社會發展做出貢獻。當然，您必須要在企業內開展能力建設，並建立雷達係統預測和管理變化。

再次祝大家新年快樂！