大型煤炭企业集团企业级风险管理体系建设研究和实践

路世忠

（神华集团有限责任公司 内控审计部，北京 100011）

大型煤炭企业集团往往以煤为基础，实行一体化、多元化、规模化经营，在有效降低运营成本和市场风险的同时，企业生产经营管理中的系统性风险也随之增加。实施系统性风险管控亟需各相关业务单元的协作，单靠某一专业部门或业务岗位很难有效管控住系统性风险。［1］近年来，许多煤炭企业集团在风险管理领域做了大量的、有益的探究和实践，并取得了一定的成果和经验。神华集团公司（以下简称“集团公司”）作为国内领先、国际一流的煤炭综合能源集团，为加强风险管控能力、全面提升风险管理水平，基于COSO风险管理框架理论［2］，从企业整体层面对风险管理架构、主要业务流程和管理系统应用，进行了深入地研究并应用于实践。在实践中很好地贯彻了风险“有人管、管什么、怎么管、如何管好”的理念，有效管控住了公司生产经营管理中的各项风险和系统性风险，对企业的正常运行和未来发展起到了重要的保驾护航作用。

一、管理架构分析和设计

对于大型煤炭企业集团，若要建立、健全企业级风险管理体系，应首先基于当前的企业运营模式进行风险管理业务架构和实施架构的重新设计或适应性调整。

集团公司风险管理业务架构需从以前的“外部咨询、报告管理”为主模式转变到统一管理模式，由总部统一指导各业务单元的风险评估工作，逐步建立各层级的重大风险库，建立集团公司层面的重大风险监控、报告机制。同时根据集团公司的集中运营管控要求，构建包括总部、直属审计中心、分子公司／下属单位在内的多层级实施架构，明确各部分在风险管理工作中的具体职责。风险管理业务架构和实施架构的重新构建，为实现集团公司“统一管理、分级负责”的风险管理设计理念奠定了基础。

（一）业务架构设计（如图1所示）

风险库实现对企业风险信息的统一、分层管理。风险信息以树形结构展示，分为三级：一级风险、二级风险和风险描述。风险库信息是风险评估工作的结果，是企业开展风险管控工作的基础。

图1 风险管理业务架构图

风险评估首先对初始的历史数据和预测信息进行必要的收集、筛选、提炼、分类、组合，进而对各项决策、各项重要经营活动及重要业务流程中可能遇到的风险进行辨识，根据各项风险的影响程度、发生可能性等信息，确定各项风险的重要性和管理优先顺序。风险评估是风险管控工作中的重点，涵盖了风险评估计划、评估任务分配、评估任务执行等关键环节。风险评估后的结果进入各层级的风险库进行集中统一管理。

企业根据风险评估的结果，对重大风险及需要特别关注的风险，组织制定相应的风险管理策略和重大风险应对方案。各风险管理责任主体按照确定的风险管理策略和应对方案，对各项重大风险进行持续监控，根据预警信息或启动风险应急预案，并按照要求编制、提交重大风险监控报告。

（二）实施架构分析

大型煤炭企业集团由于经营规模大、组织层级多，若要在全企业范围内实施风险管控，需要建立贯穿上下的实施架构。（如图2所示）风险管理机构重在“风险管理”上，负责组织开展风险评估、应对方案制定、风险监控以及对风险管理工作的监督等。业务部门重在“管理风险”，根据确定的管理策略和应对方案，对具体风险实行有效管控和报告等。

图2 风险管理实施架构示意图

集团公司于2010年底分别在北京、鄂尔多斯、银川三地成立审计中心，审计中心在总部内控审计部门的领导下，负责在财务、工程项目、物资采购、招投标、投资决策等各项经营业务领域开展审计、内控评价、风险管理等工作，建立了包括总部内控审计部门、直属审计中心、分子公司内控审计部门在内的多级风险管理工作格局。集团公司内控审计部门归口管理直属审计中心，并指导分子公司内控审计部门开展风险管理业务。集团公司各级生产经营业务单元负责开展具体的风险评估和管控工作。各级内控审计部门对本单位及所属单位的风险管理的适当性和有效性进行独立、客观的监督和评价。

二、主要业务流程设计

建立、健全企业级风险管理体系，需要对多管理层级下的风险库管理、风险评估、风险应对、风险监控等业务流程进行优化设计，明确管理责任主体，调整相应专业岗位，细化工作程序和内容，这是建立覆盖全企业范围的风险管理体系的基础工作。

（一）风险库管理

企业整体层面的风险信息由总部统一维护，各下属单位在总部的统一指导下可维护独立的风险库。各层级的风险信息更新时必须经过指定负责人审批，审批通过则风险信息更新。风险库信息可通过授权进行查看，各单位原则上只能看见自身所在业务板块的相应内容。

风险库信息见表1。

风险库中已评估风险可通过内控缺陷与缺陷信息库关联。风险库信息通过风险编号实现和内控矩阵（见表2）的动态关联。

表1 风险库信息表

表2 内控矩阵表

（二）风险评估

1．评估计划和任务分配

总部内控审计部门计划管理员负责分析、编制风险评估计划，计划编制完成后，需要经过风险责任人、内控审计部门主要责任人审核通过后下发。下发时需要选择进行风险评估的单位，并指定接收人。

风险评估计划接收人根据下发的评估计划进行评估任务分配。分配时，将需要评估的信息选择对应的主责部门和辅责部门。总部风险评估工作由内控审计部门进行评估任务分配，分子公司评估工作由分子公司内控审计部门组织执行。

2．风险评估执行

总部职能部门和分子公司接收到下发的风险评估任务后，按照相关规定执行具体的风险评估工作，填写风险评估评分表格（见表3），计算出每一条风险的可能性和影响性的乘积，并按照该值从大到小进行排序。

图3 分子公司风险评估执行流程图

表3 风险评估评分表

同级内控审计部门可对评估结果进行调整，在风险评估结果调整表中，每一条风险的风险评估结果加权平均算法如下：

风险描述的风险评估结果＝（主责部门1＋主责部门2＋…＋主责部门 m）／m×0．7＋（相关部门1＋相关部门2＋…＋相关部门n）／n×0．3

内控审计部门评估负责人在汇总表中进行风险排名的重新调整并写出调整理由，提交审核。完成风险评估结果调整后，可以通过风险热力图查看风险评估结果的图形展示。

（三）风险应对

总部职能部门、分子公司接收到总部下发的编制风险应对方案通知后，对所负责的具体风险组织制定风险管理策略和应对方案，并上传风险应对方案，提交相关领导审核，最终由总部内控审计部门统一审核归档。（如图4所示）

（四）风险监控及报告

总部职能部门、分子公司根据审核后的风险应对方案，对重大风险或需要特别关注的风险进行监控，并按要求对风险监控情况进行分析、总结，提交总部审核备案。总部职能部门、分子公司／下属单位对各自负责的风险进行监控预警。（如图5所示）

图4 风险应对方案流程图

图5 风险监控流程图

三、风险管理系统研究

在研究、构建风险管理架构，制定风险管理制度，明确相关业务流程和管理责任主体的职责后，应强化风险管理工作在企业生产经营管理活动中的有效执行，才能真正为企业的正常运行和未来发展保驾护航。建立风险管理系统，固化业务流程，加大执行刚性已成为企业风险管理工作高效运行的必要手段和工具。

（一）系统实施范围

风险管理系统规划在整个企业范围内应用，覆盖各个管理层级上的不同业务单元的系统用户和业务用户，纵向贯穿企业总部、分子公司以及下属三级单位，横向跨越内控风险管理部门以及战略、生产、经营、法律等其他职能部门和各业务单元等。风险管理系统支持分子公司内控风险控制主管部门自主开展风险管理业务，同时也支持总部其他业务部门发起专项风险管理业务。

目前集团公司已建立以ERP为核心的信息化应用体系，实现了人力、物资、财务、工程项目、销售等业务信息的横向和纵向一体化集成与共享。风险管理领域也已具备系统的理论体系，基本完备的风险管理制度、流程和相关的预警指标、区间等。建立全集团公司范围内的风险管理系统应用已具备一定的基础。

（二）系统主要用例［3］研究

1．角色用户定义

风险管理系统采用基于RBAC（Role－Based Access Control）的模型来进行权限设计。基于角色的访问控制RBAC作为传统访问控制的替代已经受到广泛的关注。目前RBAC已在煤炭相关专业信息化管理领域得到了普遍应用。［4～5］风险管理系统的各类应用角色用户分别具有不同的权限，被授权进行特定的业务操作。基本业务角色用户包括总部和分子公司的评估计划管理员、风险管理员、文档管理员等，并且基于基本角色扩展出风险管理责任人（一般指内控风险管理处处长）、职能部门负责人、内控部门负责人等。

2．风险库管理

图6 系统基本角色用户定义

风险库管理模块包括风险信息的新增、编辑、导入、导出、查看和删除用例等（如图7所示）。系统将根据统一的编码规则，自动为一级风险、二级风险和风险描述提供编号，且编号唯一不可修改。同时通过该编号实现风险库和内控矩阵的关联。（见表4）

总部内控审计部门的风险管理员可进行风险信息的维护，信息修改后系统自动生成一条修改日志。由风险管理员将修改日志统一提交给风险管理责任人审核，审核通过则风险信息自动更新。（见表4）

其中用例描述示例见表5。

分子公司可通过系统维护独立于总部的风险信息库，对风险库的管理操作与总部相同。

图7 风险库管理用例图

3．风险评估

评估计划模块包括对风险评估计划的新建、删除、编辑、查看、查询、审核和下发用例等（如图8所示）。评估计划包括风险评估工作计划名称和计划时间，并可以上传相关附件。评估任务分配模块接收下发的评估计划，进行评估任务分配，包括评估任务的生成、编辑、查看、查询、审核用例等。

表4 风险库管理用例列表

表5 用例描述示例

风险评估执行模块接收下发的风险评估任务后，自动生成一条风险评估执行记录。系统自动计算出每一条风险的可能性和影响程度的乘积，并按照该乘积值从大到小进行排序。风险评估结果经调整、审核后进入风险信息库。评估执行模块包括对风险评估评分表的填写、编辑、查看、查询、审核以及计算、结果调整用例等。

4．风险应对和监控

在风险应对模块中，各风险管理责任主体接收通知后，对评估出的重大风险或需要特别关注的风险，研究、制定风险管理策略和应对方案，并提交应对方案。包括通知的新建、修改、删除、查询、查看用例以及应对方案的制定、上传、审核用例等。（如图9所示）

各风险管理责任主体根据审批后的应对方案，对重大风险或需要特别关注的风险进行监控，在风险监控报告模块中提交风险监控报告，包括风险监控用例和报告的提交、查看、查询用例等。

图8 风险评估计划管理用例图

图9 应对方案管理用例图

四、结语

面对日益激烈的市场竞争，风险管理工作正在引起煤炭企业集团管理层的高度重视。国家有关部门和机构也正在逐渐加强对国有企业开展风险管理工作的指导、监督和评价。对于煤炭企业集团，开展风险管理是一项相对崭新的业务工作。若要有效管控住企业生产经营管理中的各项风险和系统性风险，需要基于煤炭企业集团的运营管理模式，对风险管理架构、业务流程、管理执行等进行研究和重构，建立、健全企业级的风险管理体系。根据集团公司的集中运营管控要求，通过分析和构建风险管理业务架构、实施架构，优化设计主要业务流程，并在对风险管理系统的研究和规划基础上，组织开发了适合企业实际管理特点和业务状况的风险管理系统，实现了对生产经营管理中各项风险的全面化、规范化、精细化管理，在很大程度上能够满足集团公司对风险管理工作的全面提升和推进要求，对其他大型企业集团建立、健全企业级风险管理体系，全面提升风险管理工作具有建设性的借鉴意义。

［1］胡杰武，万里霜．企业风险管理［M］．北京：清华大学出版社、北京交通大学出版社，2009．66～67．

［2］［美］COSO制定发布．方红星，王 宏，译．企业风险管理：整合框架［M］．大连：东北财经大学出版社，2005．16～32．

［3］冀振燕．UML系统分析与设计教程（第2版）［M］．北京：人民邮电出版社，2014．76～85．

［4］张小艳，杨 阳．访问控制模型在煤质管理信息系统中的应用［J］．煤炭工程，2014，（3）：137～139．

［5］史姣丽，等．基于组织的访问控制模型在煤炭企业信息化系统中的应用［J］．煤炭技术，2012，（3）：177～179．