先来看一下，ERM与IC要素与原则的对比情况。

ERM“战略与目标设定”要素包含6~9号共4个原则，与此相对应的是IC风险评估要素中的原则6。这里面体现了ERM与IC最本质的差异所在。

过去有一种非常流行的观点，ERM只是扩大了的IC，原来的五要素被细化成八要素。形成这种错误理解的原因，是没有完全读懂COSO原文。在我看来，只有深刻理解ERM和IC存在的两大核心差异，才有可能有效区分这两种管理理论。

1、“目标既定论”与“目标待定论”

IC的基础是“目标既定论”，也就是说制定目标本身不是内控所要考虑的问题。内控建设的基本假设是目标已经确定了，内控建设就是基于已经确定的目标作风险评估，并制定相应的控制措施。

基于这种理解，我们可以在回味一下IC原则6的用词：

原则6：组织应设定清晰明确的目标，以识别和评估与目标相关的风险。

反观ERM，则对目标设定非常重视，在原来八要素框架下也是单设了“目标设定”要素。因为，ERM认为，在制定目标的过程中就存在风险，因此，从制定目标这个过程开始就需要进行风险管理。或者说，在目标制定的过程就是风险管理的过程，因此，我称之为“目标待定论”。

2、对战略目标的不同态度

不管是新版还是旧版IC，COSO始终强调，内控对战略目标是无效的；或者说内控的目标不包括战略目标。而ERM则是始终强调对战略目标的支撑。

为什么内控不能合理保证战略目标实现呢？其实这可以从前面一个差异上得出结论：内控的前提是目标已经确定了，那么，如果目标本身就是有问题的呢？内控无法解决这个问题。

ERM战略与目标设定要素包括4个原则，我将其用下图表示出来。

这张图肯定会让许多人很自然地联想到战略管理的内容。是的，这就是融合的理念。因此，这里我仅补充2个要点，供参考。

• 制定使命、愿景、价值观时可以天马行空，但战略必须落地。

• 战略应该是道“选择题”，如果战略是简答题就应当“红色警报”。（可惜实务中，战略基本都是简答题）

前文中我已经强调过，企业文化是一套目标管理系统。那么，ERM为什么从战略目标的设定和分解开始强调风险管理，而不是从设立使命、愿景目标时就开始呢？仔细看下面这张图，使命愿景价值观和创造的价值这一前一后两端的颜色是与中间的风险管理不同的。个人认为这种颜色差异是ERM有意为之的，而不仅仅是为了色彩效果。

我个人解读，使命、愿景、价值观是一种对未来的美好期望，因此在设定这类目标时更多会考虑社会责任、历史责任；而不会计较眼前的不利因素或风险，甚至是要有“明知山有虎、偏向虎山行”的豪气。这样的宏图大业才能激励和团结志同道合者。

那么，会不会出现使命愿景价值观太漂的情况呢？很不幸，会的！而且在实务中是司空见惯的。更严重的问题是，管理目标体系的碎片化。

管理目标体系的碎片化有哪些表现？

• 战略与使命、愿景不相关。（使命愿景仅上墙，不进战略规划）
  

• 战略与年度计划不相关。（战略要保密，所以锁在老板的抽屉里最安全）

• 年度计划与预算不相关。（预算只是数字游戏）

• KPI与各类计划、价值观不相关。（除了收入和利润指标等结果指标，其他都是浮云）

是不是眼熟或者耳熟？造成这些问题的原因就一个，在运用各种管理手段和工具时，没有融合。着眼点在于有没有做这些工作，而不是这些工作带来的价值。

这个骨子里的毛病怎么影响风险管理或内控？不管是风险管理还是内控，我们都强调风险导向。但更确切地说应该是目标导向。没有目标，何谈风险？

如果没有清晰的目标，或者目标碎片化，那么，风险管理和内控也只能基于一套假设的目标。最常见的假设目标是管理最佳实践，即基于管理职能做风险评估。

问题在于：一个企业把人力资源管理按照最佳管理实践（比如，前段时间刷屏的“你还在做绩效考核吗？”）做到极致就一定能打造出一个伟大的企业吗？显然是不可能的，有时候甚至是有害的。营销学上把这种现象称为追求“更好的捕鼠器！”

因此，基于职能做风险管理或内控仅仅是初级阶段的工作（做加法），更高级的工作还是要基于企业从使命愿景开始的目标体系（做减法后再做乘法）。

上期传送门：

【专栏 丨 谢力】COSO-ERM（2017）解读（一）新版ERM的变化

【专栏 丨 谢力】COSO-ERM（2017）解读（二）治理与文化

本文为