民营企业推进全面风险管理探讨

■刘 玉

企业经营环境充满了不确定性因素，随着步入全球化和信息化时代，市场开放程度不断提升，企业竞争日益激烈，面临的风险日趋多元化，加强全面风险管理成为企业必须面对的重要议题，一些成熟企业把建立全面风险管理体系作为获得竞争优势的重要手段。

经过多年的探索实践，企业风险管理不断演变发展，融入到从战略到运营的各个方面，涵盖了业务流程各个层面，形成了系统化的全面风险管理整合框架。为加强风险管控，国务院国资委于2006年下发了《中央企业全面风险管理指引》（以下简称“指引”），财政部于2008年下发了《关于加强全面风险管理的通知》等。因风险管理理论引入时间短，推进力度不强持续性弱，企业全面风险管理推行程度不一，风险管理仍是我国企业管理中的薄弱环节。因风险管控应对不足，近年来企业重大风险事件屡屡发生，而民营企业尤为显著。作为市场主体，一方面，民营企业具有提升风险管理能力、确保企业目标实现的内生需求，另一方面，与国有企业相比，民营企业在公司治理、资本实力、管理水平、信用支持等方面存在差距，风险承受能力远低于国企，民营企业有必要借鉴全面风险管理整合框架和《指引》，建设符合需求、成本可控、便于执行的风险管理模式，推进全面风险管理，加强风险应对。

一、全面风险管理基本内容

风险管理历经内部牵制、内部控制和内控整体框架等演变阶段，最终发展为全面风险管理，核心思想是：企业风险来自很多方面，多种风险联合作用对企业产生影响，需要整体化风险管理。

多国机构对风险管理发起研究并发布模型，较为广泛认可的是美国COSO（反虚假财务报告委员会下属的发起人委员会）2004年提出的全面风险管理整合框架，定义全面风险管理是一个过程，由一个企业的董事会、管理当局和其他人员实施，应用于企业战略制订并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。COSO全面风险管理整合框架由三个维度构成：企业目标、管理要素、企业各个层级，其中企业目标包括战略目标、经营目标、报告目标和合规目标；管理要素共计八项：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息交流及监控，要素相互关联贯穿在企业经营管理过程之中。

《指引》考虑了国情以及内控建设方面的规定，并借鉴了发达国家企业风险管理的理论总结和通行做法。比较综合框架与《指引》，全面风险管理的目的是确保企业目标实现，本质是为企业创造价值。

二、民营企业建设全面风险管理的必要性

一是确保企业目标的实现。风险无处不在无时不在，风险发生的可能性和程度影响着企业目标的实现。美国金融学家彼得·伯恩斯坦认为风险管理极端重要，“超越了人类在科学、技术和社会制度方面取得的进步”。

二是适应合规监管的需要。巴林银行破产、安然公司倒台、中航油期货巨亏等案例屡屡发生，促使政府提升监管要求，2002年美国出台萨班斯法案，我国自2006年起发布了《指引》、《企业内部控制规范》等。企业建设全面风险管理的过程也是强化合规监管的过程。

三是提升公司治理的要求。规范的公司治理有助于企业持续稳健发展，有利于企业与资本市场对接。风险管理是公司治理的重要内容，在健全的公司治理框架中，董事会下设风险管理委员会负责风险防范和管控。

四是适应市场竞争的挑战。在全球化、信息化背景下，资本等生产要素快速流动，经济、社会等环境因素不断变化，竞争日益激烈。民营企业通过全面风险管理可以推进系统化的对标管理，提升综合竞争优势。

五是实现转型升级的现实需要。近年来民营企业发展迅速，但因管理基础薄弱、规范管理不足、制度管理不强等累积风险较多，一旦发生风险事件，往往形成迭加效应，影响企业生存。在企业转型过程中，通过全面风险管理可以实现对风险的全方位主动识别应对，改变被动管理的局面。

部分民营企业开展了风险管理的探索，如青岛啤酒从2005年开始探索风险管理体系建设，融合了整合框架八要素；海尔集团2007年提出再造计划，其中包括全面风险管控。优秀民营企业推进全面风险管理也例证了其必要性。

三、民营企业推进全面风险管理面临的障碍

管理工具必须与环境相结合，否则会橘生淮北而为枳，相较于其他所有制主体，民营企业有其自身特征，在推进全面风险管理中需要有效化解一些障碍。

一是公司治理不够规范。许多民营企业并未建立规范的现代公司治理机制，存在一股独大下控制人缺少约束、内部人控制、家族化严重等，内部环境不规范影响建设全面风险管理的重视程度、资源支持、风险态度的确立和风险策略的制定。

二是管理基础相对薄弱。许多企业形成了管理的路径依赖，注重经验管理而非制度管理，没有形成规范稳健的管理基础，引入新的管理工具往往对原有体系形成冲击，内部难以形成支持和合力。

三是风险管理意识淡薄。民营企业机制灵活，但快速成长的背后也使企业过分强调规模和速度，忽视效益和风险平衡，对风险存在忽视心理。

四是风险管控方式滞后。重视财务、工程、投资等显形风险，忽视公司治理、合规管制、战略管理等隐性风险；重视审计、检查等末端被动应对，忽视风险评估等前端主动预防；重视处罚的警示作用，忽视预防的规避作用。

五是资源支持不足。民营企业在生存危机下盈利导向较强，而管理工具的引入耗费资源，有限的投入会制约整合框架各要素的配置，影响全面风险管理的实施程度和技术化水平；且全面风险管理重在前端预防，成效不直接，企业很容易出现管理懈怠，若压缩投入，会导致全面风险管理不断弱化。

基于以上，民企完全按《指引》或COSO整合框架去推进全面风险管理具有较大难度，需要结合企业实际有选择有重点的推进。

四、民营企业建设全面风险管理的一种路径

（一）组成项目建设小组

建设全面风险管理从启动到基本体系初步雏形，需要一定的时间周期，成立专门的风控工作小组负责全面风险管理建设。从民营企业公司治理状况出发，企业最高决策者为建设小组组长，对风控建设成果负总责，在企业最高层面引导推行，以确保有充分的资源支持，减少推行阻力；可确定相关副职领导为副组长，负责具体的组织协调职责。企业各职能部门负责人应列为组员，体现全员全过程参与，利于推行过程中跨部门的沟通与协同，在构建风险管控模版时可以充分利用其专业能力。根据需要设立专职或兼职风控部门，承担具体事务。为增强专业性，必要时可外请有经验的专业人士为成员，或向外部机构咨询，通过借助外脑，增强企业内部说服力，统一思想，消除疑虑。实施小组要做好充分的前期调研准备，既要对全面风险管理指引、COSO整合框架、其他企业实践案例学习借鉴；也要对企业的管控模式、管理基础、风险需求、资源支持等做客观全面的分析，整理信息，提供方案，为管理层提供充分的决策支持。

决策层对风险管理的认识定位、资源分配、支持程度、工作安排、公开表态等直接影响全面风险管理建设，启动前企业必须做好充分的沟通交流，对建设思路取得认可，确保后续推进一致性和资源充分性。

（二）确立风控实施方案

在论证的基础上形成全面风险管理实施方案，对架构、机制、方法、程序等做出整体规划，经决策层同意后分步展开。方案制订应考虑以下原则：

1.成本可控。管理是耗费成本的活动，全面风险管理建设需考虑投入成本与风险收益的关系，优化工作机制，合理配置资源。如风控部门及人员的设置应结合工作机制宜简则简、能兼则兼，而不是逐级设岗；在工具方法的开发选用上，早期可基于自行简易开发，减少外包，控制开发和实施成本。

2.简便易行。突出重点设计工作流程机制，选择适合企业人员素质的风控工具，降低推行难度，如可先以风险评估、预警和报告为主体，暂不推行风险计量、风险矩阵、排序频谱、压力测试等；先关注内部风险，后关注外部风险。

3.开放灵活。行业差异会带来风险类别的差异化，全面风险管理体系需开放灵活满足企业差异需求。在多元化经营模式、多层级管理体系下，可先由母公司提出通用制度和工具模版，所属企业在此基础上只增不减、只强化不弱化，既防止对基础规定的随意更改，也满足差异化风险的管控。

全面风险管理目标的设定要具有可行性，要防止目标难以企及，执行偏差过大，内部产生不信任感和阻力，如不切实际的风险损失降低额、过多的试点企业范围；另一方面也要防止目标不明导致功能同质化，如侧重于企业个案查处，功能等同于审计，仍然于末端治理。

在实施步骤上，民营企业风险管理建设需兼顾长期目标与短期任务、风控机制形成和决策层关注。可分为三个阶段，一是起步，形成风险管理制度和组织架构，对显形化风险问题跟进应对，解决短期矛盾；设计风险评估等工作模版，为常态化机制提供工具准备；二是巩固，建立常态化机制与开展重点风险专项评估并举，以试点推进常态机制建立，积累经验逐步扩大；以重点风险专项评估解决重大问题，适应决策层管控思路转变；三是整合，全范围推进常态机制的实施，按设定频率开展风险评估、识别和应对，形成跨部门的风险管理管控体系，实现风险评估、流程执行、审计检查的整合。

（三）构建风控组织架构

为便于企业内部组织工作调配资源，各级企业负责人应确定为风控工作的第一责任人，对所属企业风险管理负总责，如果单设很容易造成内部冲突。基于风控协同特征和风险评估等的定期实施机制，各级企业根据需要设立专或兼职的风控部门或人员。企业财务部门有数据汇总、与内部部门互动多的优势，除按监管要求确定独立风控人员的企业外，企业风控负责人原则上由企业财务负责人担任，负责企业风控工作的组织实施。企业内部各部门配合执行。各级风控部门要加强管控、监督、指导与服务，以形成基层企业自主驱动实施、上级监督指导的上下联动机制。可将风控管理工作纳入各级考核指标，强化工作导向。

（四）形成常态工作机制

风险管理的价值体现在前端预防，全面风险管理建设的重点在于形成常态化机制，实现对风险的主动、事前、有频率管理。企业可以去繁就简，将常态化机制建设的重点集中在风险的评估、汇总、预警及报告。对集团化企业，为避免理解差异、执行随意、程序不规范等问题，需要企业先行设计，形成规范统一的风险评估、汇总、预警及报告等工作模版，为企业风险管理提供落地工具。

设计风险评估表模版实质上就是建立风险库，进行对标管理。以全流程覆盖、全员参与为原则，把企业内部涉及的公司治理、战略、财务、投资、工程、运营等各个方面作为维度，将各个维度按控制节点细分为控制事项，所有的控制事项就是企业内部的风险源。对各个控制事项预设评价标准，实施主体通过实际情况与预设标准对比，确定是否存在风险，并判断风险程度和损失影响，进而确定应对措施、整改时点及责任人。风险汇表表汇总重大风险，形成负面清单，进行督导跟踪和应对；预警指标表设计财务非财务、行业特有指标，收集识别信息，在指标异常时提前介入；风险管理报告强化风险部门及风控人员的履责情况。

企业根据需要确定风险评估、预警及报告的实施频率，定期组织开展。模版具有开放性，通过问卷调查、管理访谈等更新维护，增强风险覆盖。

在工作机制上，各个企业为实施主体，自下而上逐级上报，自上而下督导落实。以风险评估流程为例，企业风控负责人定期启动公司风险评估，将风险评估表各项目分配至各部门；各部门完成评估后，风控负责人与各部门复核确认；风险汇总后，管理层审议形成应对方案，确定责任单位如期整改；集团企业中要逐级提交评估表。上级风控部门对基层企业风险评估表底稿及相关结论形成依据检查，确保风险评估结果客观真实，程序规范严谨。

（五）建立健全制度流程

民企制度文化缺失，许多风险源自于制度流程不完备、执行随意不到位。通过风险评估可以强化对制度风险的识别应对，一是对制度流程执行不到位、不规范的风险事项及时纠偏，确保制度执行刚性；二是形成倒逼机制，对评估发现的制度流程不健全、不规范风险，企业要具有顶层设计意识，责成职能部门及时建立健全，为内部活动提供规范指引。企业也可定期启动对制度流程的修订，对新业务、新业态必须先形成制度流程后运行开展。

全面风险管理建设需要风控管理制度作为强制性规范。在集团化企业中，总部企业制订普遍适用、原则性规定的风控制度，形成整体指引；所属企业根据风险类别特征延伸细化，形成风控制度细则，对行业重点风险应对做出明确规定。

（六）做好配合保障措施

开展风险评估并不意味就能防止危险的发生，全面风险管理作为一项系统工程需要各部门参与协同，形成组合动作做好全方位管控；同时风险管理也不能将建立常态化预防机制和化解当期问题对立，需要兼顾企业的现实需求，对管理层重点关注做出积极回应，长期与短期兼顾。

1.开展专项风险评估检查。突出重点，风控部门协同职能部门，对新业态、新模式、重点项目、重点企业等开展专项风险评估，提前介入主动管理，对企业重要事项实现风险管理价值增值。

2.加强风险文化建设。企业形成定期化培训机制，加强制度流程的学习，增强员工的红线意识与制度观念，对制度流程内化于心，外化于行；举行与企业相关的风控管理专题培训，提升风险管理意识；组织专业培训，提高员工专业素质，增强对风险的识别、防范和应对化解能力。

3.加快风险管理信息系统建设。逐步提升技术化方式，推进流程表单化、表单信息化。有条件企业可结合ERP建设风险管理平台，实现在线风险评估、预警、报告等。

4.加大监督惩处力度。合理配置监督资源，拓展监管深度与广度，防止监督盲区与死角，发挥监督检查的警示作用。建立健全问责和惩戒机制，对违反制度流程的行为加重加大处理力度。

5.加强重点风险管控。企业要重点关注资金、合同、担保、投资和成本等风险，在关键节点严格把控。定期识别筛选，进行动态调整。

五、结论与建议

为解决风险管理的现实需求，民营企业可以采取简化模式建设全面风险管理体系，尽管与成熟企业相比，在全面性、系统化、技术化等方面不无差距，但符合企业实际状况。随着管理基础提升，可逐步推进全面风险管理整合框架的落地。并建议如下：

一是立足实际引入全面风险管理。全面风险管理整合框架内容丰富，企业需根据实际情况，衡量推行成本和管理基础，灵活创新选择使用，可先以风险评估、识别、预警和报告为起点，辅以协同措施，不宜照单全收消化不良。

二是设计风险管理模版为落地提供工具。许多企业内控评价、风险评估无法开展的原因是缺失易于理解、简捷可行的工具，民营企业建立风控常态化机制宜先设计形成包括风险评估为主体的管理模版，为落地提供载体。

三是决策层须正确认识充分重视。错误的方向定位、不足的资源分配、较大的内部阻力会导致全面风险管理建设难以取得预期成效，应由最高决策层对全面风险管理的建设负总责，以确保有充分的资源支持和协同配合。

四是持续推进全面风险管理。全面风险管理重在前端预防，推进过程中很容易出现管理懈怠，企业不能抱有急功近利的思想，久久方能为功。■