企业“全面风险管理体系”的建设思路

    司明

    【摘 ?要】现阶段，在世界经济高度一体化及现代信息化技术飞速发展的背景下，各种技术、人才和资金都在全世界范围内快速流转，市场经济体制中的不确定因素日益增多，企业在发展过程中面临的风险也越来越多。企业为了维持稳定发展，需要搭建一套科学、高效且符合企业自身情况的“全面风险管理体系”。基于此，全面风险管理理论及其应用需要受到企业的高度重视。论文分析总结了全面风险管理的概念、特征、建设目标和内涵，以期为企业建立完善的全面风险管理架构提供理论支持。

    【Abstract】At present， under the background of highly integrated world economy and rapid development of modern informatization technology， all kinds of technologies， talents and funds are rapidly circulating all over the world， the uncertainties in the market economic system are increasing， and enterprises are facing more and more risks in the process of development. In order to maintain stable development， enterprises need to construct a set of scientific and efficient "comprehensive risk management system" that fits their own situation. Based on this， comprehensive risk management theory and its application need to be highly valued by enterprises. This paper analyzes and summarizes the concept， characteristics， construction objectives and connotation of comprehensive risk management， so as to provide theoretical support for enterprises to establish a comprehensive risk management framework.

    【关键词】“全面风险管理体系”;风险;“三道防线”

    【Keywords】"comprehensive risk management system"; risks; "three defense lines"

    【中图分类号】F279.23 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文献标志码】A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章编号】1673-1069（2021）07-0025-02

    1 “全面风险管理”的概念与特征

    1.1 “全面风险管理”的概念

    2006年国务院国资委发布的《中央企业全面风险管理指引》（以下简称《风险管理指引》）将“風险”定义为未来的不确定性对企业实现其经营目标的影响。同时又将风险分为纯粹风险（只可能带来损失）和机会风险（可能带来损失和盈利）。[1]2017年的COSO ERM将“风险”定义为：事项发生并影响战略和商业目标实现的可能性。这个定义将风险范畴扩大到了对风险的“正面”和“负面”影响兼顾。

    《风险管理指引》将“全面风险管理”定义为“企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”2017年的COSO ERM将“全面风险管理”定义为“组织为创造、保持和实现价值的过程中赖以管理风险，并与战略制定和实施整合的文化、能力和实践”。全面风险管理工作不再是“一个流程或程序”，而是“一种文化、能力和实践”，用以帮助企业实现和提升其价值。

    1.2 “全面风险管理”的特征

    一是主动性。风险管理是积极、主动地管理风险，具体表现为风险管理是一种价值创造活动，积极地面对风险，从战略的高度系统地识别风险、评估风险、应对风险。当风险发生时有充分的准备，可以将风险化解或者将其控制在可承受的范围。

    二是全面性。其一风险的全面性，风险存在于企业生产经营的各个方面，包括战略、财务、人力资源、法律等方面。其二风险存在于企业的全生命周期。从企业成立之初到企业解散，风险是始终存在的。其三人员全参与。风险管理需要企业各业务部门与职能部门的人员一起参与，将风险管理和控制在一定的限度内，保持企业平稳发展。四是风险管理措施的全面性。风险管理要采取多样化的措施系统地应对风险。

    三是战略性。企业在制定发展战略时就可能存在风险，而企业最大的风险之一就是战略风险，因此，在企业制定发展战略规划时就要进行风险管理，从源头上和发展方向上把好舵，保障企业在正确的航道上行稳健远地航行。

    四是双重性。根据“风险”的双重性，全面风险管理不仅要管理“纯粹风险”，还要管理“机会风险”。当企业面临“纯粹风险”时，通过风险分析方法，避免风险发生或者尽量减少损失;当企业面对“机会风险”时，要通过管理手段，将风险转化为机遇，助力企业保值增值。

    五是体系性。全面风险管理是由一套系统的、成熟的体系构成的，并且这套体系还是要内嵌到企业全业务流程中去，内嵌到自上而下的管理机制中，并以此来确保所有的风险基本上都能得到防范、识别和管控。

    2 全面风险管理的建设目标

    根据COSO ERM的理论和《全面风险管理指引》的要求，通过分析“三道防线”的设置，可以归纳出全面风险管理的目标。

    2.1 “三道防线”框架结构

    2017年的COSO ERM设定了“三道防线”，明确了第一道防线是核心业务部门，即前台部门是第一责任机构;第二道防线是职能部门，所有能协助核心业务部门的职能部门都属于第二道防线，如战略、法务、财务、人力、安全部门等;第三道防线是保证部门，主要指内外审计部门[2]。

    《风险管理指引》中也提出建设“三道防线”的要求，即职能部门与业务单位为第一道防线;职能部门与风险管理委员会为第二道防线;内部审计部门与审计委员会为第三道防线。

    两者既有相同点也有不同点。相同点是：第一，企业核心业务部门首先进行风险防范。第二，全员都是风险管理员。第三，全面风险管理贯穿于企业生产经营全流程。不同点是二者实现全面风险管理建设目标的途径或者方法略有不同。但是，这种细微的差别不能改变全面风险管理建设目标，只会在全面风险管理架构上产生一些区别。

    2.2 全面风险管理体系的建设目标

    根据“三道防线”的构造，可以得出全面风险管理的建设目标：建立一种企业全员和全部门参与且嵌入企业生产经营全流程的风险防范和风险管理体系，能够全面、系统地搜集、识别、评估、并处理各种可能导致企业目标偏离的风险，并存在及时、有效的措施可将风险控制在可承受范围内，使企业能够高质量地发展。为了帮助企业实现战略目标，全面风险管理贯穿于企业提升治理、战略、目标设定和日常运营决策能力的始终，协助企业更加紧密地考虑战略和商业目标的相关风险，从而更好地提升业绩，为企业创造、保持和实现价值指引与方向把握。

    3 全面风险管理的内涵

    3.1 全流程管理

    全面风险管理是一种“事前、事中、事后”管理流程和制度[3]。风险管理的全流程管理要求事前通过有效的风险识别，实现对风险的预警预控;在事中，要求风险管理者能够通过有效的风险管理工具或者风险应对措施，对项目运行中产生的风险进行分散、分摊、转移甚至承受;在事后，要求风险管理者能够积极主动地，及时采取有效的措施，減少风险带来的损失，消除影响，总结经验教训，并对风险管理工作进行改进和完善。

    3.2 全员管理

    风险管理的属性要求，从董事会到管理层，再到普通员工，每个部门、岗位和员工都是风险管理的执行人和责任人。全员管理既涉及公司整体层面，也涉及业务和职能部门，又涉及下属企业，覆盖企业全部人员。全面风险管理不仅是风险管理委员会或者风险管理部的事情，还是整个企业层面的风险管理，要树立“人人都是风控官”的管理理念。

    3.3 全部风险的管理

    全面风险管理要管理企业所面临的和可能面临的所有重大风险。从企业的生命全周期来看，企业都面临着各式各样的风险，比如说，企业在注册成立时，存在着股东出资不实的风险。在企业运营中，存在着战略、财务、资金、法律、安全生产等风险。全面风险管理需要在企业的生命全周期中由全体员工，自上而下、自左而右对所有风险进行管理。同时，这种全部风险的管理也要有侧重点。需要通过风险信息搜集和识别，评估重大风险，并进行监控和预警，制定风险管控措施，防范化解重大风险。还要做好动态风险调整，根据内部和外部环境的变化，及时调整风险等级。

    3.4 成本与效益的管理

    企业所面临的风险可能会引发损失，所以要对风险进行管理，但是，管理就会与效益产生关系。传统风险管理方式一般只关注降低或应对风险，忽视了利用风险去创造商业机会。全面风险管理要求的是整合风险管理目标的实现，是风险管理成本与管理收益的对比分析，成本与效益最佳组合是其工作目标。要对管理风险的成本及其规避的损失进行比较，尽可能选择合理、损耗最低的管理方式。如果管理风险的成本超过了该风险发生后可能给企业带来的损失总和，那么该风险管理措施的效果是无效的，丧失了风险管理的基本意义[4]。

    4 结语

    全面风险管理就是要建立起“全员、全流程、全面、全部”风险防范和管理体系，能够预防、评估、排序、处理各种可能导致企业目标偏离的风险，并控制和处置风险，使企业或组织得到健康可持续发展。同时，在进行风险管理时，还必须满足风险与效益的要求。

    【参考文献】

    【1】国资发改革〔2006〕108号.中央企业全面风险管理指引[Z].

    【2】王惠.关于加强国有企业财务风险管理的分析[J].中国集体经济，2021（17）：159-160.

    【3】毛中明，彭华涛.项目风险管理的内涵与机理分析[J].企业改革与管理，2006（8）：15-16.

    【4】石芳.浅析集团公司全面风险管理的现状及改进措施[J].中国集体经济，2020（35）：23-25.