国有企业建立全面风险管理体系的思考

周昌印

全面风险管理是现今世界较先进的管理理念和方法。目前，企业的风险管理越来越成为焦点，而受到突出关注，迫切需要一个强有力的框架以有效地识别、评估和改进企业的风险管理。

一、全面风险管理概念

全面风险管理是企业围绕总体目标，通过在经营管理的各个环节和过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，为实现企业总体目标提供合理保证的过程和方法。

二、全面风险管理的内容和作用

COSO的全面风险管理框架是个三维立体的框架。这种多维立体的表现形式，有助于全面深入地理解控制和管理对象，分析解决控制中存在的复杂问题。

1.第一个维度（上面维度）是目标体系。包括四类目标：（1）战略（Strategic）目标，即高层次目标，与使命相关联并支撑使命；（2）经营（operations）目标，高效率地利用资源；（3） 报告（reporting）目标，报告的可靠性；（4）合规（compliance）目标，符合适用的法律和法规。

2.第二个维度（正面维度）是管理要素，包括八个相互关联的构成要素，它们源自管理层的经营方式，并与管理过程整合在一起。具体为： 内部环境。管理层确立关于风险的理念，并确定风险容量。所有企业的核心都是人（他们的个人品性，包括诚信、道德价值观和胜任能力）以及经营所处的环境，内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。

目标设定。必须先有目标，管理层才能识别影响目标实现的潜在事项。企业风险管理确保管理层采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应。

事项识别。必须识别可能对主体产生影响的潜在事项，包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。机会被追溯到管理层的战略或目标制定过程。

风险评估。要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。

风险应对。员工识别和评价可能的风险应对措施，包括回避、承担、降低和分担风险。管理层选择一系列措施使风险与主体的风险容限和风险容量相适应。

控制活动。制定和实施政策与程序以确保管理层所选择的风险应对策略得以有效实施。

信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。

监控。整个企业风险管理处于监控之下，必要时还会进行修正。这种方式能够动态地反应风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。

3.第三个维度（侧面维度）是主体单元，包括企业、子企业、业务单元、科室四个层面。

4.全面风险管理的作用。全面风险管理的作用从整体上讲是为企业经营目标的实现提供合理的保证，这一保证作用是通过围绕总体经营目标，在企业管理的各个环节和经营过程中培育良好的风险管理文化，建立健全全面风险管理策略、风险控制措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，执行风险管理的基本流程和规范得以实现的。其作用主要有：一是标本兼治，从根本上提高企业风险管理水平；二是达到与企业整体经营战略相结合的风险最优化；三是使所有利益相关人了解企业风险现状，保障各利益相关人共同利益最大化；四是避免企业重大损失。五是提升企业具体风险管理解决方案的效果。

三、建立全面风险管理体系

1.建设目标。建立涵盖企业生产、经营和管理各个方面的、较为完善的、运行有效的全面风险管理体系，满足企业的战略、经营、报告和合规性目标，实现经营管理过程的全部风险、全员、全过程、可靠、持续有效的控制，构建风险管理的长效机制，达到“规范管理、防范风险”的目的，为企业又好又快发展提供合理保证。

2.建设原则。（1）合规性原则：满足国内外相关法律法规要求，以企业规章制度为依据。（2）完整性原则：对企业管理的各个领域实现全过程控制。（3）融合性原则：依托现有管理基础，巩固内部控制管理成果，适应企业持续健康发展的要求，丰富风险管理内涵。（4）效率性原则：体现可操作、可控、高效。（5）有序性原则：以对重大风险、主要业务单元的管理和重要流程的内部控制为重点，尽快开展全面风险管理工作；分战略层面和业务活动层面，当前任务和长远机制，标准化、制度化建设和信息化网络化建设分阶段有序推进。

3.建设内容。（1）控制环境。控制环境确立企业风险管理的总体态度，影响企业员工的风险意识，是企业其它风险管理要素的基础，是有效实施风险管理的保障。包括：风险管理理念、风险管理文化、风险偏好、诚信与道德价值观、企业治理、发展战略、组织结构、权利和责任分配、员工胜任能力、人力资源政策与措施、反舞弊机制等内容。（2）风险评估。风险，是指未来的不确定性对企业实现其目标的影响，分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。风险评估是识别及分析影响企业目标实现的因素的过程，是风险管理的基础。企业制定完善的风险评估规范，明确风险评估的程序和方法，规范风险评估工作。（3）控制活动。控制活动是指为确保管理层风险管理策略得以有效实施的政策和程序。控制活动贯穿于企业的所有职能部门、每项生产经营活动和所有员工中。它包括一系列不同的活动，如审核、批准、授权、验证、核对、经营绩效考核、资产保全措施和不相容职务分离等。在实际工作中，控制活动要与风险反应相结合，为执行特定的风险应对措施提供合理保证。（4）信息与沟通。信息与沟通是企业经营管理所需的信息被识别、获得，并以一定形式及时地传递，以便员工履行职责。信息包括内部产生的信息，以及与企业经营决策、对外报告相关的外部信息。畅通的沟通渠道和机制使员工能及时取得他们在执行、管理和控制经营管理过程中所需的信息。（5）监督。监督是对全面风险管理体系有效性进行检查和评价的持续过程，包括持续监督、独立评估、缺陷报告和奖惩机制等要素。企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督。

4.建设方法与步骤。目前，国内企业的全面风险管理体系建设并无统一完善的程序与体例可寻，按照先急后缓、先易后难、先简后繁的原则，建设的方法和步骤为：先全面梳理业务流程，理清各个部门、各个业务的工作界面，分清各自的工作职责；在此基础上，评估存在的各类风险，形成风险数据库；再针对各类风险制定控制风险的措施，修订规章制度；最后形成与内部控制一体化的风险管理执行文件。概括为：业务流程标准化、风险评估科学化、控制措施制度化、风险管理一体化。（1）业务流程标准化。企业的大多数风险暴露在流程中，通过流程梳理与改造可以解决。全面风险管理就是要与企业经营活动的每个流程紧密结合，首先对业务流程进行梳理、优化，形成界面清晰、职责明确、统一规范的流程管理体系。（2）风险评估科学化。在风险识别的基础上对风险进行计量、分析、判断、排序的过程统称为风险评估。（3）控制措施制度化。在全面识别与评估流程风险的基础上，结合企业各类目标与内控制度，制定风险控制措施，修订完善相关规章制度。以内控制度为重点，吸纳全面风险管理的新要素、新要求、新方法，建立完善风险管理授权制度、风险管理报告制度、风险管理审批制度、内控与风险管理责任制度、内部审计检查制度、风险管理考核评价制度、重大风险预警制度、法律风险防控制度、重要岗位权力制衡制度、风险控制评价制度、危机管理制度。（4）风险管理一体化。实现全面风险管理体系是在现有内控体系有效运行的基础上，向更高层次迈进的必然趋势，最终二者必然融合为一体。实现上述的业务流程标准化、风险评估科学化、控制措施制度化，只完成了“五要素”中控制活动和风险评估两个要素的内容，要实现“一体化”的要求，还必须对现有的控制环境、信息与沟通和监督三要素进行补充和完善。

四、重视管理层、管理过程的职责作用

1.高层风险管理基调。高层风险管理基调体现企业的风险价值观，是企业的企业文化和经营风格在风险管理领域的反映，是全面风险管理的政策导向。更为重要的是，管理层不仅应通过文件制度，而且要通过言行实践全面风险管理。

2.全面风险管理体系建设的组织实施。全面风险管理体系包括战略发展、经营业务和管理支持等专业流程，是一系列有组织相互联系的工作程序，必须要有一个强有力的组织保障体系，实行统一领导、统一管理、专业负责制，才能确保全面风险管理建设设计有效、执行有力，达到“流程统一、控制集中、界面清晰、简洁高效”的目标。

3.重视风险组合。全面风险管理要求企业从整体的角度看待和控制风险。一般来说，管理层首先考虑各部门、业务单位的风险，由风险管理团队或相关负责人员制定一份能够反映各部门、业务单位相对其目标和风险容忍度的评价方案。单个部门、业务单位的风险即使都处在自身的风险容忍范围内，但是当把它们汇总在一起时，风险也许就会超出企业整体的风险偏好，这种情况下需要附加不同的风险应对策略和控制措施；反之，有些业务单位具有高风险而另一些单位则相对抗风险，有的风险可以在企业内部自然抵消或对冲，这时管理层就可以鼓励个别业务单位或业务领域接受更大的风险，从而努力增大企业总体的发展速度和回报。

4.内部控制体系和全面风险管理体系的融合。如前所述，内部控制体系与全面风险管理体系有联系也有区别。一方面，内部控制的合规性要求，为企业建立全面风险管理体系打下了坚实的基础。内部控制是全面风险管理必不可少的一部分。它是为了实现企业的管理目标而提供的一种合理保障，良好的内部控制可以合理保证企业营运的有效性、财务报告的可靠性和法律法规的遵循性，这也正是企业全面风险管理应该达到的基本状态。另一方面，全面风险管理为企业最终形成最佳的内部控制体系提供有力保障。

全面风险管理的范围比内部控制的范围更为广泛，是对内部控制的扩展，是一个主要针对风险的更为明确的概念。全面风险管理涵盖了内部控制的全部内容，内部控制是全面风险管理不可分割的组成部分。内部控制只有和全面风险管理相融合，才能更好地发挥其作用，为企业创造价值。

（作者单位：中国石油长庆油田公司公共关系处（土地管理处））