企业全面风险控制管理体系建设实操与分析

摘 要：随着国务院国有资产监督管理委员会《关于加强中央企业内部控制体系建设与监督工作的实施意见》通知的印发，各级企业都非常重视内部控制和风险管理，着手搭建全面风险管理体系。文章从全面风险控制管理体系建设的实施背景、体系目标、具体步骤和启示成效等方面展开论述，积极探索全面风险控制管理体系建设在企业的可持续发展中发挥的重要作用。

关键词：风险管理 体系建设 实操

中图分类号：F270  文献标识码：A

文章编号：1004-4914（2023）06-267-02

一、实施背景

全面风险控制管理是企业经营管理过程中的一个重要环节，同时也是一项管理难题。目前，各地国资委要求各级企业要积极防范化解各类风险，推动企业高质量发展，充分发挥内部控制体系的强基固本作用，提升企业防范化解重大风险能力。近年来各地企业改革重组工作基本完成，企业组织架构、风险防线和工作流程还在建设和不断完善中，企业内控管理与风险防控工作亟待加强，建立一套以保障战略目标、经营目标、合规目标的全面风险控制管理体系成为各企业当务之急。

二、体系目标

全面风险控制管理的目标就是防范和控制风险，促进企业实现发展战略，将本企业各类风险控制在可承受范围内，将风险控制管理嵌入到企业业务工作流程来达到风险最低的目的。因此，除了规范工作流程，更要梳理风险点、将风险管理与内部控制有机结合，从内部环境、风险评估、控制活动、信息与沟通和内部监督出发，通过描绘流程图、梳理风险点、制定防控措施和控制阵等具体操作方法构建企业全面风险控制管理体系。通过搭建企业全面风险管理体系，加强企业本部与子公司的风险协同管理，把全面风险管理落实到制度执行、流程操作、行为规范中，进一步强化三道风险防线作用，提高风险管理的精准性、严肃性，守住合规底线，为实现企业持续稳健发展奠定坚实基础。

三、体系建设实操与分析

全面风险控制管理体系建设通过对企业内控现状分析与调研、搭建企业风险管理框架、企业制度清理与完善、建设风险库四个实施步骤实现体系目标。具体实施步骤如下：

（一）现状分析与调研

各企业业务类型、组织架构和股权结构不同，为打造高效统一的全面风险管理体系与架构，首先对企业的管理现状进行清理调研与访谈，以充分了解目前的业务范围、组织框架及管理运营模式，为后续服务提供准确的依据和基础。内部调研访谈工作中，应对企业本部管理层、各部门负责人、业务骨干、下属企业管理层代表及风控专职人员等不同层面的人员开展相关的调研访谈，以了解各个利益相关方对于本项目的期望和关切，了解现有风险管理的现状和主要问题、改进机会，并同时了解相关方对风险管理的期望和关注点。内部调研内容包括但不限于：

通过现场访谈、资料调研，给出企业现场诊断报告，目标是确保企业不出现重大、重要的设计缺陷，针对发现的问题提出相应的改进措施和建议。企业各部门和各子公司结合实际业务，按照改进的建议落实到制度体系中去，按条线贯穿，按业务抓落实。

（二）搭建风险管理框架

依据企业组织架构和发展规划，结合前期全面风险管理现状调研与分析，应对企业现有的风险管理框架与政策进行调整与设计，以满足企业风险管理三道防线的建设与运作要求，同时保证企业日后风险管理运作的有效性。

整合完善风控管理框架设计：项目组对企业现行的风险治理架构与相关部门职能设置情况进行清理，包括：治理架构安排、相关管理委员会的设定与职责安排、治理层面的议事规则、风险管理条线的专兼职机构与人员设置等。结合监管要求与行业实践出具治理结构调整建议。该阶段主要针对风险管理的框架进行必要的澄清。澄清过程中应主要考虑：治理层面委员会设置的合理性；治理层相关职责以及专业委员会的设置是否健全；风险管理的组织架构是否健全、职责是否清晰等。风险管理治理结构内容示例如下：

（三）制度清理与完善

在搭建风险管理框架与政策制度体系的基础上，企业应建立一套规范的制度流程体系，包括对子公司的协同及风险控制。基于管理框架与政策的基础上，同时结合企业业务流程、管理模式和发展定位，对企业的制度从“基本制度”“管理办法”和“操作规程”三个层级进行清理和完善。最终建立起适应外部经济环境快速变化、充分满足管理层需求和有利于风险管理及内控要求的制度流程体系。具体实施如下：

1.制度流程体系框架设计。制度流程体系框架设计在全面调研清理的基础上，基于企业层级现有制度框架，并结合企業管理实际情况，汇总现有制度，对存量制度进行收集整理和排查，完成企业本部制度流程体系框架清单，其中包括制度流程清单、制度流程分类、制度流程层级等信息，作为制度流程体系完善阶段工作的初步成果。

2.制度流程编制与评审。指导企业各部门对本部流程体系文件进行编写，编写工作基于体系框架设计编制，按照不同管理层级对体系文件的使用要求，将制度进行归整并分解对应到流程各环节，建立管理流程与制度的映射关系，明确闭环管理各环节具体规定，编制流程文件体系并进行评审，最终形成企业的制度流程体系文件。初步形成《企业本部制度流程体系框架清单》和《企业本部的制度文件汇编》项目成果，从而将项目成果转换为企业的管理要求。

（四）风险评估及风险指标库建设

1.风险识别。风险识别是识别可能阻碍实现企业目标、阻碍企业创造价值或侵蚀现有价值的因素。企业各部门采取问卷调查、人员访谈、小组讨论、专家咨询、情景分析、政策分析、行业标杆比较等识别风险。风险信息收集主要采用主动识别、从突发事件中提取、外部信息提取等识别方法。企业各部门结合业务特点和工作流程，持续不断、多方位地收集与企业风险和内部控制相关的内、外部初始信息，包括历史数据和未来趋势，并结合工作实际每半年做一次调整，形成风险管理台账。

2.风险评估。在风险识别的基础上从风险发生的可能性和对企业目标的影响程度两个角度，分析和排序识别的风险程度，从战略影响、财务影响、日常运营、合法合规、人员安全等多维度明确“低风险”“一般风险”“中风险”“中高风险”和“重大风险”。风险评估图示例如下：

3.风险预警指标体系建设。指导企业搭建关键风险管理指标体系，包括但不限于战略风险、法律合规风险、财务风险、资金运用风险、声誉风险等风险指标，完善风险预警机制，进一步形成企业关注风险预警指标库和风险预警指标阈值。为及时准确反映企业总体风险状况，形成主动式风险应对机制，提升企业全面风险管理能力。风险预警指标库例示如下：

企业应采用自上而下与自下而上结合的方法完善关键风险管理指标体系：

自上而下。即经营层直接建立需监控的关键风险管理指标体系。这些关键风险指标来自于对不同部门、业务领域重大操作风险暴露的分析。这些风险指标的识别、评估和定义主要由集团的管理部门协调专业管理部门和业务条线共同产生，并建立相应的管理体系。

自下而上。通常由业务部门、下属版块管理人员识别其负责的制度流程的风险指标，识别出的风险指标将依次在部门层面、板块单元层面和公司层面进行汇总，相关控制负责人和集团风险管理职能将共同进行关键风险指标的评估，并采取相应的管理措施。

管理部门综合自上而下和自下而上的评估结果，最终确定风险管理预警指标，对指标库内风险指标进行结构划分，建立有效风险传导机制，发挥内控体系的最大效用。

四、体系成效

在企业顶层设计上，全面梳理集团层面内控流程，梳理过程中识别风险点库，建立对应控制措施，提出符合企业管理实际的合规管控建议，提升集团公司价值创造能力。

通过对业务风险的有效评估，全面排查企业的各种潜在风险，不断加强对企业经营管理薄弱环节的控制，有效地防范企业经营风险。

将风控措施和合规义务嵌入业务流程，对应到操作部门和关键岗位，着重解决部门职责交叉重叠、边界不清和部门职责缺失造成的遇事推诿、执行不力等问题，从而使各部门密切配合，充分发挥整体的作用，从而促进整个企业管理水平和经营效率的提高。

参考文献：

[1] 赵春娣.论加强企业文化建設在提高企业内部控制中的作用[J].东方企业文化，2012（09）：55.

[2] 陈宁.企业内部控制系统的建立[J].决策与信息（中旬刊），2013（06）：11-12.

[3] 林浩.A公司基于战略导向的全面预算管理体系建设与实践[J].财务与会计，2022（09）：36-39.

（作者单位：山西汾河灌溉管理有限公司 山西太原 030000）

[作者简介：武青竹，山西汾河灌溉管理有限公司高级审计师，管理学学士，主要研究方向为风险防控和内部审计。]

（责编：贾伟）