沈源津

風險在企業(yè)運營過程中是客觀、普遍存在的，企業(yè)可以通過有效的風險管理手段降低風險事件的發(fā)生概率，減少風險事件引起的損失。

一、企業(yè)風險管理概述

企業(yè)風險是指對企業(yè)的戰(zhàn)略與經營目標的實現造成不確定性影響的因素，包括戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險、投資風險等。風險事件的發(fā)生會給企業(yè)帶來損失，影響企業(yè)的經濟運營成效。企業(yè)風險管理是指企業(yè)為了降低風險事件的發(fā)生概率，將風險事件發(fā)生導致的損失控制在一定范圍內，提前制定風險應對策略的一系列管理活動。企業(yè)應將風險管理跟企業(yè)的戰(zhàn)略設定、經營管理、業(yè)務流程相結合，風險管理應覆蓋企業(yè)的所有風險類型、業(yè)務流程、操作環(huán)節(jié)、管理層級。

二、構建全流程風險防范體系的意義和作用

全流程風險防范體系是指企業(yè)根據實際運營情況，對公司從戰(zhàn)略管理、職能管理、業(yè)務管理等方面進行全面梳理，識別各個運營流程中存在的風險點，制定風險防范策略，并在執(zhí)行過程中根據風險變化、策略執(zhí)行情況、公司發(fā)展規(guī)劃等對風險管理進行監(jiān)控和調整，同時引入內部審計、紀檢監(jiān)察、評價等管控手段確保風險防范策略有效實施的管理體系。構建全流程風險防范體系有助于降低企業(yè)風險事件的發(fā)生概率，減少風險事件發(fā)生引起的損失，為戰(zhàn)略的有效實施、資源的優(yōu)化配置、企業(yè)的價值提升提供強有力的支撐，顯著提高企業(yè)的經營管理水平，實現企業(yè)的經營目標。

三、全流程風險防范體系的構建和實施

全流程風險防范體系的搭建和實施要結合企業(yè)經營實際，以提高企業(yè)經營效益和實現企業(yè)戰(zhàn)略規(guī)劃為目標，以風險管理為導向，以全流程梳理為基礎，以關鍵業(yè)務活動為重點，按照事前、事中、事后三個實施階段不同的側重點，全面謀劃、設計、制訂、持續(xù)改進企業(yè)全流程風險防范體系。

（一）全流程風險防范體系的建立

構建全流程風險防范體系的第一步是要全面梳理企業(yè)日常經營管理中各類、各項業(yè)務、各職能線條的現有流程，進行風險識別，重點關注企業(yè)的核心業(yè)務和關鍵流程，特別是產品制造流程、銷售管理、采購管理、工程管理、投資管理、資金管理等關鍵領域，運用調查問卷、風險組合清單、SWOT分析、流程圖、潛在事件分類圖等應用工具進行風險識別，查找經營管理風險點，組織風險管理評估專家對所發(fā)現的經營管理風險點進行研討分析，評估風險影響程度及發(fā)生概率，編制風險分類與缺陷清單。第二步是要對風險清單所羅列的風險點，一一對應制定風險應對策略，實施業(yè)務流程再造，將風險控制在企業(yè)可承受范圍之內，針對關鍵領域的經營管理風險點，企業(yè)應建立重大風險預警與應急機制，明確風險預警標準，制訂應急預案，提升企業(yè)風險應對能力。第三步是要根據風險管理目標，健全建立風險管理制度體系，包括風險管理決策制度、風險識別和評估制度、風險管理評價制度、風險管理報告制度等，同時根據已梳理出來的經營管理風險點，將風險防控手段嵌入到企業(yè)各項日常管理經營制度中，改進、完善各項制度，促進業(yè)務處理規(guī)范化和標準化。

（二）全流程風險防范體系的執(zhí)行與實施

全流程風險防范體系運行得到預期最大效益的關鍵在于有效執(zhí)行，企業(yè)應采取切實措施，細化舉措，落實責任主體，確保全流程風險防范體系能有效落地，執(zhí)行到位。

一是要優(yōu)化企業(yè)組織架構。企業(yè)應明確風險管理組織架構和有關職責，有條件的集團企業(yè)應成立專門的風險管理工作領導機構，負責風險管理工作的組織協(xié)調，同時設立專職機構或確定牽頭部門，配備專職工作人員。企業(yè)在風險管理組織架構設計中一般設立三道防線，其中相關職能部門和業(yè)務單位是風險管理的第一道防線;風險管理職能部門和董事會下設的風險管理委員會是風險管理的第二道防線;內部審計部門和董事會下設的審計委員會是風險管理的第三道防線。

二是要建立共同參與的跨部門聯動工作機制。高效協(xié)同的基礎在于清晰的權責、精細的分工，企業(yè)首先應明確全流程風險防范體系各環(huán)節(jié)、各流程、各業(yè)務的分工及職責權限，明確責任鏈條分界點、銜接點，落實責任歸屬。其次應注重部門間的上下聯動，左右協(xié)同，準確把握“統(tǒng)和分”、“點與面”、“內與外”的關系，整合資源聚合力，實現各機關部門協(xié)同高效運作，提高風險管理程序的流轉效率。最后，公司職員作為全流程風險防范體系各環(huán)節(jié)的具體執(zhí)行人，企業(yè)應注重鼓勵員工積極參與，激發(fā)員工的工作熱情，形成群策群力、自覺執(zhí)行的全員風險管理意識與氛圍，共同推進管理體系有效落地。

三是要建立風險執(zhí)行監(jiān)控預警機制。通過定期、定頻收集企業(yè)各項業(yè)務流程在執(zhí)行過程以及日常監(jiān)督檢查工作中反饋過來的數據，建立企業(yè)風險檔案數據庫，進行風險識別，并根據風險危害程度、緊急程度、發(fā)生頻次，運用安全檢查表法、作業(yè)條件危險性分析、事故樹分析、風險矩陣、作業(yè)風險分析等等專用工具，明確一級、二級、三級、四級風險預警閾值，進行監(jiān)控預警。對日常運營中的疑似風險，要運用定量和定性相結合的分析辦法進行研判，包括風險的類別、程度、原因及其發(fā)展趨勢等，并根據風險事件的預警等級，按照企業(yè)風險管理權限和程序，采取對應的應對措施，及時防范、控制和化解風險。對于有實力的集團企業(yè)，可利用現代化信息化手段建立風險預警實時監(jiān)控系統(tǒng)，提高風險識別的準確性以及風險事件發(fā)生時的應對效率。

四是要明確風險信息溝通與報告路徑。企業(yè)應依據風險事件的實質內容、影響程度、緊急程度等信息，結合風險執(zhí)行監(jiān)控預警機制中對各類風險事件的預警等級規(guī)定，明確各類風險事件的報告程序和應對措施的決策層級，確保在風險事件發(fā)生后能及時、準確、有效地向企業(yè)內部經營領導班子、董事會及監(jiān)管部門反映。其中，重大經營風險事件的報告應按照事件發(fā)生的不同階段，分為首報、續(xù)報、終報等三種方式，首報報告內容應包括風險事件發(fā)生的時間、地點、現狀、可能造成的影響損失、采取的緊急應對措施等;續(xù)報報告內容應包括風險事件的基本過程、發(fā)展趨勢研判、風險應對處置方案、面臨的問題、困難及建議等;終報報告內容除了涵蓋首報、續(xù)保的主要內容外，還應包括風險事件涉及的金額或損失及影響、問題整改情況等。

（三）全流程風險防范體系的監(jiān)督檢查和優(yōu)化

全流程風險防范體系的有效執(zhí)行離不開監(jiān)督檢查，企業(yè)應充分利用內部審計、紀檢監(jiān)察的力量，充分揭示全流程風險防范體系的設計缺陷和運行缺陷，提出管理改進建議，并跟蹤落實缺陷整改，實現閉環(huán)管理，促進全流程風險防范體系不斷優(yōu)化和改進。

一是加強風險管理日常監(jiān)督檢查。企業(yè)應把風險管理作為企業(yè)經營常態(tài)化管理的重要組成，將風險管理和業(yè)務流程有效結合，強化風險防控，設定日常監(jiān)督檢查機制，根據風險指標的預警層級，定時、定期、定頻開展風險排查工作，及時發(fā)現風險日常管理過程中存在的不足及漏洞，形成檢查報告，提出改進建議，根據企業(yè)風險信息溝通與報告路徑相關規(guī)定，向有關業(yè)務部門及企業(yè)管理層反映。對于一級預警風險指標，企業(yè)應適當提高檢查、抽查頻次。

二是定期開展風險管理內部審計和紀檢監(jiān)督檢查。內部審計和紀檢監(jiān)察是企業(yè)強化內部監(jiān)督，實現規(guī)范運營的重要手段，是企業(yè)堵塞管理漏洞、減少腐敗機會、促進健康發(fā)展的有效路徑，企業(yè)應將企業(yè)全流程風險管理作為經濟責任審計、財務收支審計以及各類監(jiān)督檢查工作的重要內容，針對關鍵業(yè)務領域的風險點及重大風險隱患事項，應加強管控，適時開展專項審計檢查，實現監(jiān)管資源的合理配置和高效利用。審計機構和紀檢監(jiān)察單位應整合檢查所獲得的數據，形成審計、檢查報告，披露企業(yè)在全流程風險防范體系的建設和執(zhí)行中存在的缺陷和不足，并提出整改意見，上報本級黨委及董事會，并報送相關主管部門，同時做好內部審計、紀檢監(jiān)察的后半篇文章，聚焦問題整改落實，強化整改成效，促進企業(yè)管理提升。

三是結合檢查結果優(yōu)化全流程風險防范體系。全流程風險防范體系是一個動態(tài)發(fā)展、不斷改進、不斷優(yōu)化完善的過程，企業(yè)應加強全流程風險防范體系的持續(xù)提升、優(yōu)化升級改造工作。對于日常監(jiān)督檢查、內部審計和紀檢監(jiān)督檢查發(fā)現的問題和不足，企業(yè)應高度重視，不僅要深度檢查問題形成過程，分析問題形成原因，還要舉一反三全面梳理全流程風險防范體系建設和執(zhí)行過程中存在的漏洞和缺陷，查漏補缺，加強短板，制定解決方案，穩(wěn)扎穩(wěn)打推進全流程風險防范體系的持續(xù)改進與優(yōu)化，增強企業(yè)對內外部風險的抵御能力，提高企業(yè)風險管理水平，推動企業(yè)戰(zhàn)略目標的實現。

（四）全流程風險防范體系評價考核機制的建設

全流程風險防范體系評價機制的設定，第一步是要采用定量指標和定性指標相結合，基本指標與修正指標相輔相成的方式，結合公司戰(zhàn)略發(fā)展目標和業(yè)務重點，確定評價指標的內容。第二步是要針對每一個評價指標，科學制定評價指標的目標值及權重，其中權重的設計要充分發(fā)揮企業(yè)的戰(zhàn)略和經營目標導向作用。第三步是要結合評價的目的、范圍，企業(yè)的所屬行業(yè)、規(guī)模等信息，明確計分方法，一般采取功效系數法、綜合指數法等定量方法，并輔以素質法、行為法等定性方法。第四步是要明確評價周期，可以采用月度、季度、半年度、年度、任期等。

全流程風險防范體系評價機制還須與業(yè)績考核、責任追究機制結合起來，發(fā)揮合力效應。一是通過評價機制對全流程風險防范體系的建設與執(zhí)行效果作出全面、客觀、專業(yè)、公允的評價，并將評價結果納入績效考核體系，激發(fā)職員的工作動力，充分發(fā)揮評價考核的導向作用，讓評價考核成為全流程風險防范體系有效執(zhí)行的重要推手。二是建立重大風險事件責任追究機制，根據重大風險事件的性質及影響程度對責任領導及相關人員進行相應的責任追究，例如在評價機制和業(yè)績考核中給予扣分或降級處理，以此強化風險管理過程中各業(yè)務、各流程執(zhí)行人員的責任心，提高人員的執(zhí)行能力和質量，促進全流程風險防范體系高效有序運行。

四、借助現代化手段為構建全流程風險防范體系提供信息化支持

隨著信息科學技術的高速發(fā)展，信息化建設在風險管理領域中發(fā)揮著越來越重要的作用，建立風險預警信息系統(tǒng)，可以提升企業(yè)在日常風險管理的信息資源共享能力，提高信息傳播的速度與精準度，對于突發(fā)風險事件，可以有效地提高應對效率。推進全流程風險防范體系建設同信息化建設的融合對接，刻不容緩。企業(yè)應在將制度和風險應對措施嵌入業(yè)務流程的基礎上，結合企業(yè)信息化建設進程，將業(yè)務流程和風險防控措施逐步固化到信息系統(tǒng)，實現智能風險識別、智慧風險分析、風險分級預警、分類督辦、風險動態(tài)跟蹤、決策輔助等功能，以“互聯網+監(jiān)督”的創(chuàng)新、精準、有效方式，實現風險管理在線運行，在線監(jiān)控，在線管理。

全流程風險防范體系與信息化建設的融合主要體現在兩個階段，第一階段是在風險識別階段，企業(yè)可運用SPSS、Clementine等專業(yè)的數據分析軟件對風險數據進行科學的分析和研究，有助于風險事項做出正確研判，提高風險指標制定的科學性和嚴謹性。第二階段是在風險管控階段，企業(yè)將風險執(zhí)行監(jiān)控預警機制在線化、信息化，通過設立風險預警模型，對各業(yè)務流程的風險點進行實時監(jiān)控，對管理對象做出安全風險評估，并將超越預定閾值的告警推送到相關業(yè)務部門，進而為企業(yè)管理者的決策提供數據支撐。全流程風險防范體系信息化系統(tǒng)的建設需要專業(yè)的技術支持，對于信息技術人才有限、無力獨自開發(fā)信息化系統(tǒng)的企業(yè)，可采取采購服務的方式，引入RiskRaider風險雷達、風險管控SAAS平臺等專業(yè)化風險管控平臺，促進全流程風險防范體系信息化管理，從而有效地提升企業(yè)的風險管控能力。

結 語

全球經濟一體化的進程在很大程度上加劇了風險事件產生的影響范圍和危害程度，一個小的風險事件一經發(fā)生，有可能像打開潘多拉魔盒一樣，形成多米諾骨牌效應，對企業(yè)本身及上下游鏈條造成連鎖影響。在這種大趨勢下，企業(yè)往往面臨著極其復雜的外部環(huán)境，經營壓力和風險加大，這些都客觀地要求企業(yè)應重視風險管理，運用風險防范工具提高自身抵御內外部各種風險的能力，在此背景下，構建全流程風險防范體系刻不容緩，這也是企業(yè)實現規(guī)范、穩(wěn)健、高效發(fā)展的必要工具，是順應國際國內政治經濟環(huán)境新變化的必然要求，是企業(yè)提升資源配置效率和防范經營風險的重要保障。