汪瀅

中化石油銷售有限公司

伴隨著我國經(jīng)濟的快速發(fā)展，國內(nèi)企業(yè)發(fā)展帶來了良好的機遇，但也面臨著新的不確定性挑戰(zhàn)，企業(yè)可能因風險管理不到位而陷入經(jīng)營危機。全面推進風險管理、內(nèi)部控制向體系化、規(guī)范化、高效化發(fā)展，構(gòu)建風險管理與內(nèi)部控制整合管理體系是企業(yè)風險管理的必然趨勢。

一、風險管理與內(nèi)部控制的區(qū)別與聯(lián)系

2006年，國資委出臺《中央企業(yè)全面風險管理指引》，其中對企業(yè)風險的定義是“未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響”，由此看來，風險的本質(zhì)是不確定性，同時與企業(yè)目標有較強的關(guān)聯(lián)性。由此看來，風險在企業(yè)運營中客觀存在，可以來自企業(yè)的外部環(huán)境、戰(zhàn)略決策以及日常經(jīng)營。2008年，財政部等五部委聯(lián)合發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》中所指內(nèi)部控制是“由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程”。內(nèi)部控制落腳點在對企業(yè)內(nèi)部可控風險的控制的過程，關(guān)注過程的實施和執(zhí)行。企業(yè)可以通過加強內(nèi)部控制，提高自身的確定性以應對外部的不確定性。但企業(yè)經(jīng)營還面臨很多外部風險，這些風險并不能依靠內(nèi)部控制予以管控，因此可以說，內(nèi)部控制屬于風險管理的范疇，且屬于風險管理的必要環(huán)節(jié)，二者在企業(yè)經(jīng)營管理過程中需要整合同步推動，才能確保企業(yè)減少風險、增加機會、提升績效。

2019年國資委印發(fā)《關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》，提出“建立健全以風險管理為導向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內(nèi)控體系?！边@是國內(nèi)首次在監(jiān)管層面提出將內(nèi)控、風險、合規(guī)有機結(jié)合，并強調(diào)實現(xiàn)“強內(nèi)控、防風險、促合規(guī)”的管控目標，形成全面、全員、全過程、全體系的風險防控機制。由此可見，企業(yè)需要將風險管理嵌入內(nèi)部控制流程中，并將內(nèi)部控制融入風險管理框架中，構(gòu)建風險管理與內(nèi)部控制一體化的風險管控體系。

二、風險管理與內(nèi)部控制一體化體系構(gòu)建方法

近年來，隨著企業(yè)風險管理理論與實踐的不斷發(fā)展，企業(yè)風險管理架構(gòu)已初步成型。構(gòu)建風險管理與內(nèi)部控制一體化體系也需要從組織、職責、制度上搭建風險管理的閉環(huán)機制，通過識別發(fā)現(xiàn)風險隱患、分析研判風險成因、預測風險發(fā)生可能性、評估風險影響程度到制定風險應對策略與監(jiān)控風險變化情況，直至將風險控制在可承受的范圍，實現(xiàn)對企業(yè)風險的可知、可控、可承受、可管理。

（一）風險管理目標設(shè)定是體系構(gòu)建的基本前提

企業(yè)經(jīng)營的目標是價值創(chuàng)造與價值實現(xiàn)，提高企業(yè)運營效率、確保企業(yè)合法合規(guī)經(jīng)營都是企業(yè)價值目標達成的基本前提。企業(yè)中，無論是規(guī)劃、組織、資源、績效，都需服務(wù)于企業(yè)價值增長，風險管理也不例外。托馬斯·斯圖爾特指出企業(yè)風險管理的基本使命是損失最小化管理、不確定性管理與績效最優(yōu)化管理。風險管理目標設(shè)定的難點就在于“損失最小化、績效最優(yōu)化及不確定性管理”之間的平衡，一味地追求損失最小化，將風險降至零，往往會使企業(yè)喪失不確定性帶來的價值增長[1]。由此可見，企業(yè)風險管理的目標是需要將風險控制在企業(yè)可接受的范圍內(nèi)（風險偏好設(shè)定）。當企業(yè)面對任何風險時，均能按照預先設(shè)定的各種方案，以最小的代價達到管理風險的最大獲益，從而保障企業(yè)經(jīng)營的安全，就可以說企業(yè)風險管理的目標基本實現(xiàn)了。

企業(yè)風險管理目標除經(jīng)濟合理外，風險管理目標還要涵蓋收益穩(wěn)定的內(nèi)容，穩(wěn)定的收益意味著企業(yè)的正常發(fā)展，優(yōu)秀的企業(yè)管理者追求的目標往往是企業(yè)持續(xù)穩(wěn)健的經(jīng)營，而非為了追求高收益而同時承擔高風險的目標。為了達到收益穩(wěn)定目標，企業(yè)需要更多地使用保險、套期保值等風險轉(zhuǎn)移對沖的手段，以此獲得風險發(fā)生后的補償。

（二）風險識別是體系構(gòu)建的基礎(chǔ)

風險識別是企業(yè)風險管理的基礎(chǔ)，無法準確識別風險是企業(yè)經(jīng)營的最大風險?！吨醒肫髽I(yè)全面風險管理指引》把企業(yè)風險分為戰(zhàn)略風險、市場風險、財務(wù)風險、法律風險、運營風險五大類。首先，針對不同類別的風險，我們會采用不同的風險識別方法。對于戰(zhàn)略風險識別，要結(jié)合企業(yè)戰(zhàn)略目標與績效，收集企業(yè)與同行業(yè)其他企業(yè)的風險信息，基于對戰(zhàn)略目標的剖析與分解，運用情景分析法、因果分析法，辨識影響企業(yè)戰(zhàn)略目標實現(xiàn)的風險事件。市場風險指未來市場價格、供需、競爭者等不確定性因素對企業(yè)績效目標產(chǎn)生的影響。市場風險的核心是價格風險，市場風險識別需要圍繞價格、供需及競爭者的情況，采用PEST分析、對標分析等方法，分析風險的特征和成因，預測風險影響，并預估應對風險所應付出的相應成本。其次，風險識別要以業(yè)務(wù)流程為支撐。財務(wù)風險、法律風險、運營風險是圍繞風險管理對象，在企業(yè)各項業(yè)務(wù)經(jīng)營管理活動中產(chǎn)生的不確定因素對企業(yè)的影響。由此可見，財務(wù)、法律、運營風險識別需要與企業(yè)流程梳理相結(jié)合，在企業(yè)流程梳理過程中，分析評估流程中關(guān)鍵管理環(huán)節(jié)，以此推出流程的關(guān)鍵風險點，加之后續(xù)開展的風險評估、風險應對和風險監(jiān)控的風險管理過程，通過基于業(yè)務(wù)流程的風險防范，實現(xiàn)對企業(yè)各經(jīng)營管理事項的安全管控。

（三）風險評估是體系構(gòu)建的紐帶

風險評估是依據(jù)定性、定量的方法評估風險對目標的影響程度，并根據(jù)評估結(jié)果進行分級排序。風險評估一般從發(fā)生可能性、影響程度、風險承受度三個維度進行評估。發(fā)生可能性是對未來風險發(fā)生的概率的預測，往往是以企業(yè)歷史數(shù)據(jù)為根據(jù)，疊加趨勢分析，預估風險發(fā)生概率。單純地從損失角度評估風險，掩蓋了風險與收益匹配的屬性，需要從損失、收益兩個方向評估風險對目標實現(xiàn)的影響，且影響方向往往并不是單一的，而是在兩側(cè)疊加產(chǎn)生。確定影響方向后，還需要評估風險可能造成影響的大小，影響大小與持續(xù)時間、沖擊速度相關(guān)，特別是在黑天鵝、灰犀牛事件頻發(fā)的時代，風險的急速沖擊往往會對企業(yè)造成顛覆性的影響[2]。風險承受度指企業(yè)應對風險的準備程度，風險承受度與企業(yè)管理成熟度相關(guān)，管理成熟度越高，風險承受度越強，風險對企業(yè)造成的影響越可控。風險評估可以通過資料分析、調(diào)查問卷、訪談、專家意見、頭腦風暴等方法，對識別出的風險進行分級排序，根據(jù)風險排序，確定企業(yè)重大風險點。

（四）風險應對是體系構(gòu)建的核心

風險應對是指企業(yè)在風險識別、評估的基礎(chǔ)上，為風險選擇最有效的策略或策略組合，以期達到將風險化解或轉(zhuǎn)化為收益的目標。企業(yè)需研判外部環(huán)境、結(jié)合自身條件，依據(jù)企業(yè)戰(zhàn)略目標、經(jīng)營目標確定風險偏好、設(shè)置風險容忍度閾值，同時，針對識別的具體風險點選擇風險規(guī)避、風險轉(zhuǎn)移、風險對沖、風險控制、風險承擔等適合的風險管理工具。

風險規(guī)避是指企業(yè)為了避免風險可能導致的負面影響而徹底消除風險，可以包括：調(diào)整企業(yè)戰(zhàn)略、停止高風險的經(jīng)營活動，審查投資方案、避免高風險的投資項目，制定企業(yè)限制性制度和標準、阻止高風險的交易行為等。風險轉(zhuǎn)移是企業(yè)將風險及其可能造成的損失轉(zhuǎn)移給其他主體的方法。風險轉(zhuǎn)移的最常見方式是保險，企業(yè)通過購買特定的保險產(chǎn)品，將風險轉(zhuǎn)移給保險公司，而企業(yè)管理風險的成本是所繳納的保險費。企業(yè)也可以通過訂立經(jīng)濟合同的方式轉(zhuǎn)移風險，將企業(yè)在交易鏈條中需要承擔的風險，以合同背對背的形式轉(zhuǎn)移給交易鏈中的另一方。風險對沖是應對市場風險的最有效的工具，是指通過購買與資產(chǎn)收益波動負相關(guān)的某種資產(chǎn)或衍生商品，來沖銷資產(chǎn)潛在的風險損失。風險對沖常見的手段包括套期保值、多種外幣結(jié)算、資產(chǎn)組合等，同時，企業(yè)也可以通過開展某些收益負相關(guān)性質(zhì)的業(yè)務(wù)組合進行風險對沖[3]。

（五）風險監(jiān)控確保了體系構(gòu)建的閉環(huán)管理

企業(yè)雖建立了風險應對機制，但風險在經(jīng)營管理過程中還可能會增大或衰退，因此，需要時刻監(jiān)控風險的發(fā)展與變化情況，并隨著風險的變化重新識別、評估、應對，以實現(xiàn)對風險的閉環(huán)管理。風險監(jiān)控的對象包括風險成因與影響程度變化，這些變化往往會在企業(yè)經(jīng)營指標上有所體現(xiàn)。風險監(jiān)控的第一步是確定監(jiān)控指標，圍繞企業(yè)核心業(yè)務(wù)、重要經(jīng)營指標，選取發(fā)生可能性高、影響程度大的風險點，對應風險點確定可量化、具有預先性的風險監(jiān)控指標，將風險變化轉(zhuǎn)化為可量化的指標數(shù)據(jù)，并定期動態(tài)監(jiān)控風險指標的變化情況。第二步是確定預警區(qū)間，對標行業(yè)標桿值、企業(yè)歷史經(jīng)營數(shù)據(jù)均值，結(jié)合企業(yè)風險承受度確定風險預警區(qū)間，監(jiān)控過程中發(fā)現(xiàn)觸發(fā)預警條件或事件時，需及時向風險主責部門、管理層發(fā)出預警信息。最后，需要明確風險監(jiān)控及預警的機制，風險監(jiān)控情況需定期報告，且對不同的預警區(qū)間制定不同的應對及上報機制。

三、風險管理與內(nèi)部控制一體化體系構(gòu)建策略

企業(yè)風險管理需匹配戰(zhàn)略與經(jīng)營實際，基于法人治理結(jié)構(gòu)，自上而下地搭建全面、全員、全過程、全體系的一體化風險防控體系。企業(yè)需要依據(jù)自身風險偏好、風險承受度，將設(shè)定好的風險管理流程融入經(jīng)營與業(yè)務(wù)管理的各個環(huán)節(jié)，調(diào)動全員參與、核心業(yè)務(wù)鏈條全面覆蓋、落實事前事中事后全過程管控風險，實現(xiàn)防控風險、降低損失、保證企業(yè)健康高效運行的風險管理目標。

（一）構(gòu)建全員參與的風險管控組織體系

董事層是企業(yè)經(jīng)營和管理的最高權(quán)力機構(gòu)，在企業(yè)風險管理體系構(gòu)建中具有核心地位。董事層承擔企業(yè)風險管理的決策責任，在制定企業(yè)戰(zhàn)略目標的同時確定企業(yè)風險偏好及風險容忍度。由董事層組建風險管理專業(yè)委員會，專門負責企業(yè)風險管理工作，負責培育企業(yè)風險管理文化、確定企業(yè)風險管理工作戰(zhàn)略及目標、指導各業(yè)務(wù)領(lǐng)域風險管理工作，確保風險管理融入業(yè)務(wù)管理體系。企業(yè)各業(yè)務(wù)領(lǐng)域的主要管理者，是所負責領(lǐng)域風險管理的第一責任人，負責將風險管理與業(yè)務(wù)緊密結(jié)合，在業(yè)務(wù)規(guī)劃中識別和評估風險，在業(yè)務(wù)開展中執(zhí)行風險管理策略，并在日常運作中監(jiān)控風險策略的有效性，確保將風險控制在可接受范圍內(nèi)。同時，企業(yè)應設(shè)立專門風險管理部門，由專業(yè)風險管理人員統(tǒng)籌管理企業(yè)風險體系建設(shè)，風險管理人員的定位應是“教練員”而非“裁判員”，以企業(yè)整體價值為出發(fā)點，及時發(fā)現(xiàn)風險隱患，提供專業(yè)風險解決方案，跟進風險策略落地，落實風險閉環(huán)管理，成為“業(yè)務(wù)身邊的合作伙伴，值得信賴的風控專家”。企業(yè)從決策層到執(zhí)行層構(gòu)建完整的風險管理組織架構(gòu)，將風險管理職責賦予核心業(yè)務(wù)、支持職能以及監(jiān)督職能，從而為實現(xiàn)企業(yè)風險管理目標提供有效的組織保障。

（二）營造全員、全面風險管理文化氛圍

企業(yè)風險管理體系建設(shè)需要全面、全員、全過程、全體系的實施，那么就需要在企業(yè)內(nèi)部營造統(tǒng)一的風險管理文化氛圍，包括統(tǒng)一的風險管理思想、理念與語言。風險管理文化建設(shè)的核心是精神文化，具體包括三個層次：一是樹立“風險無處不在、無時不在”的危機意識；二是形成“風險蘊含機遇”的前瞻性危機觀念；三是構(gòu)建“逆向思維、超前防范、綜合管理、分而治之”的系統(tǒng)性風險思維。風險管理文化的外在表現(xiàn)是企業(yè)的風險偏好與風險承受度，不同的風險文化將會帶來不同的風險管理目標、風險評估結(jié)果乃至風險應對策略。由企業(yè)風險管理部門統(tǒng)籌開展年度風險評估工作、制定動態(tài)的風險監(jiān)控預警機制、強化風險案例的警示宣貫，組織企業(yè)全員、全層級參與風險管理工作，形成企業(yè)內(nèi)部統(tǒng)一的風險理解與認識，引導員工樹立正確的企業(yè)風險觀念[4]。

（三）運用數(shù)字化手段建立風險管理信息系統(tǒng)

不確定性的實質(zhì)就是一種信息不完全狀態(tài)，其中包括企業(yè)所面對的外部風險與自身風險因素等。企業(yè)風險管理的核心一方面是預測不確定性發(fā)生的可能，另一方面是降低不確定性發(fā)生帶來的負面影響或擴大不確定性帶來的機會。企業(yè)經(jīng)營過程中積累的行業(yè)、市場、相關(guān)方以及經(jīng)營數(shù)據(jù)等信息，在風險決策與管理中具有很高的應用價值。利用企業(yè)已有信息建立數(shù)據(jù)庫，運用數(shù)字化與信息化的手段，建立風險管理信息系統(tǒng)，實時收集、分析、評估、判別企業(yè)有關(guān)風險管理信息，從而幫助企業(yè)進行風險分析、評估、監(jiān)控、預警，并利用已有數(shù)據(jù)預測風險管理人員提出的各種可供選擇方案的可能結(jié)果，并輔助選擇出最優(yōu)風險管控策略[5]。風險管理信息系統(tǒng)可以減少的不是損失的不確定性，而是減少做出的有關(guān)決策的不確定性，以此提高風險策略的效率與效果，降低風險管理成本，提高風險管理的技術(shù)水平，增加企業(yè)對風險的及時應變能力。

四、結(jié)語

在市場競爭日益激烈的今天，風險管理與內(nèi)部控制體系的全面構(gòu)建及有效執(zhí)行是企業(yè)保持高效運行的關(guān)鍵所在。隨著國家法律法規(guī)、市場、行業(yè)的變化與調(diào)整，風險管理既滿足企業(yè)發(fā)展的內(nèi)生需要，也使得企業(yè)可以適應波譎云詭的外部環(huán)境。企業(yè)只有對風險管理與內(nèi)部控制體系不斷研究、持續(xù)調(diào)整優(yōu)化，運用科學的風險管理體系構(gòu)建的方法與策略，統(tǒng)籌資源、統(tǒng)一領(lǐng)導，方能提升企業(yè)防范化解重大風險能力，為企業(yè)高質(zhì)量發(fā)展保駕護航。