企业风险管理研究

摘 要：随着社会的发展以及信息技术的更新，越来越多的企业意识到，企业风险管理以及内控实行操作流程的梳理对于一个企业的长远发展起着决定性的作用。因此，有效的风险管理对企业来说具有重要意义。[1]风险是指未来不确定性对公司实现经营目标的影响，通常划分为投资风险、产品风险、市场风险、政策风险等，需要采取相应的措施进行预防和防范。[2]风控管理是通过建立健全风控管理体系，执行风控流程，培育公司风控文化，从而实现业务风险可控。风控管理的目标为：1.在支持业务发展的情况下，将可承受范围内的风险控制的与公司总体经济目标相适应;2.编制和提供真实、可靠的经营信息和财务信息;3.公司经营活动遵守相关法律法规;4.公司的规章制度得以贯彻执行，提高经营活动的效率和效果。[3]如何去实现以上目的，我将在下文中结合课上所学和我在工作中对企业风险管理的理解与经验，对该概念和风险管理工具进行讨论研究。

关键词：风险;风控管理

一、企业风险管理-组织与职责

成熟的企业去建立成熟完善的风险防控体系，其中共存在三道防线，并依此阵型建立风控管理组织。第一道防线是由业务、职能部门去主动的识别风险，并采取措施防控风险。第二道防线是由风控合规部门通过对公司体系的建设和定期检查，提供风控管理的方法、工具和建议，以支持第一道防线可以做好风险的防控的工作。第三道防线是由审计监察中心通过独立的审计和和日常或定期的监察工作来发现企业的风险来防控风险管控漏洞，促进公司风控体系持续完善。由此可见，一个公司的有效内控风险管理除了建设完善的公司内控体系，也需要公司各层级和业务部门人员的积极配合。

1.在第一道防线

各层级领导是企业业务风险防控的第一责任人，第一责任人需要对其所辖业务的风险防控效果，以及本单位发生的所有重大风险事件承担领导责任。

各业务集团、各区域、各部门的所有员工是本职能领域专业风险的主人，需要对其职能具备风险防控与应对的意识，并对本单位职能风险防控效果负责，对本单位职能领域发生的风险事件承担直接责任。

职责范围：识别公司本职能领域的风险，并牵头应对;制定公司本职能领域的制度框架规范及标准，从设计层面确保无重大内控缺陷;组织实施公司本职能领域的内控自查;监控公司本职能领域的重大风险事件，并及时报备风控合规部。

2.在第二道防线

风控合规部为风险防控的第二道防线，牵头公司风控管理工作，包括风控体系规划、协调、指导和监督工作。

职责范围为：制定风控管理制度，明确风控管理的职责、流程、方法与工具;编制公司风控工作年度计划及总结报告;组织实施风控工作，包括风险识别与评估、风险应对、风控体系建设等工作;指导公司风控工作，并组织实施内控检查。制定风控评价标准，组织开展风控评价;针对公司重大及典型风险安排专项工作，牵头制定应对策略与管控措施，监测并汇报应对效果;规划风控信息系统的建设并组织开展风控培训。

3.在第三道防线

审计监察中心为第三道防线，通过独立的审计和监察工作发现风险防控漏洞，促进公司风控体系持续完善。

二 、风控工作流程

1.风险事件收集

由风控合规部牵头，收集公司内风险事件，风控合规部收集风险事件后，每月度报送风控组织领导。其中涉及到风险类型分为：财务风险、法律风险、战略风险、市场风险以及运营风险等等。

2.风险识别与评估

风控合规部组织实施公司风险识别与评估工作，风控合规部应根据收集的风险事件，组织完成年度风险识别与评估。

2.1风险识别

风控合规部应组织业务及职能部门识别公司各项重要经营活动及重要业务流程中的风险，并对识别出的风险按照战略风险、财务风险、市场风险、运营风险、法律风险五个维度进行归类。风险识别应考虑可能给公司造成的下述所有的负面影响：无法达到预定经营目标;公司日常经营业务无法顺利开展甚至中断;导致公司违反相关法律法规或质量安全规定;造成重大人员伤亡;对公司声誉或客户关系造成影响;对公司资产保全目标造成影响;对公司财务数据的真实性、完整性、可靠性产生影响;发生舞弊行为。

2.2風险评估

根据风险识别结果，风控合规部应组织本单位业务、职能部门对风险进行评估，以确定对各项风险的管控优先顺序。各级风控合规部应依据股份公司统一制定的年度评估标准，分解自身组织的评估标准并组织开展评估。

风险评估将从风险发生的可能性、影响程度两个维度进行评估[4]。

1）风险发生的可能性是基于历史数据分析、原因分析和专业判断来预估可能性，包括风险暴露趋势、发展速率。

针对风险发生的可能性分为三个等级，具体标准如表1所示：

2）风险影响程度是风险一旦发生将对公司不同方面产生不同程度的影响，这些影响包括：持续经营、财务损失、声誉、合规。综合考虑风险发生的可能性和风险影响的程度，得出风险评估结论，将风险分为高、中、低三个级别。

具体标准如下表2所示：

3.风险应对

风险主责的业务部门应根据风险评估的结果，明确高风险事项的应对策略、责任人、应对方案，并实施风险应对工作。

风险应对措施的选择应考虑风险与收益平衡的原则，可采取的措施包括：风险接受、风险规避、风险转移和风险控制。

4.风险监控

风控合规部应当牵头组织设定针对公司高风险领域的监控范围和清单，各事业部风控合规部对清单中涉及的风险事件相关的数据指标，定期监控并上报相关数据及信息。并可以让管理层根据监控报告上的数据对于风险的流程和事项给予关注和调整。

5.内控建设

在内控建设中，针对需要进行控制的风险，各级业务及职能部门制定相应管控措施，如：审批、岗位职责分离、复核、盘点、分析性复核等。管控措施应落实到公司相关规章制度、岗位职责、授权、IT审批流等。

6.内控检查

6.1风控独立检查

总部风控合规部基于公司各项规章制度，制定年度风控检查的工作计划。根据工作计划，分配各级风控组织检查任务开展，如年度例行检查与专项检查。

6.2职能自查

各层级职能部门定期组织开展内控检查，确保设计的管控措施执行的有效性，通过检查发现问题，并返溯改进管控措施;并在自查结束后，将自查结果报备同级风控合规部。

7.内控优化

在风控检查中、审计监察中发现的问题，以及发生的重大风险事件等，风控合规部门应牵头相应部门整改跟进，并进行内控优化工作。并在优化工作完成后，更新公司业务风控指引，并将优化流程在公司内宣贯。

8.内控自评

对于内控自评环节，各层级职能部门须以年度为单位，组织对本职能领域内控系统的有效性进行自我评价，重点分析和总结当前存在的控制缺陷，以保障相关内控体系能够得以持续的完善与优化。风控排名前三位与后三位的单位，在年度组织绩效综合评估结果上予以加减分。

三、风控保障体系

风控保障是指根据公司绩效管理、纪律与处罚和业务行为准则规定要求并结合风控管理工作，对风控工作开展和工作效果做出保障。风控部门是有权查阅公司各项资料，所需资料除涉及情况特殊公司机密外均应提供风控人员查阅。风控部门有权列席本组织层级的各日常与专项会议。相关部门也需完成相关风控工作，如：风险识别与评估、风险应对、内控建设、内控优化、审计整改等工作。

四、总结

从以上阐述的风险管理流程可以看出，掌握出色的企业风险管理方法并有效的实施企业风险管理对于公司的长远发展是必不可少的。企业的内部风险控制系统建设是一个漫长且繁琐的过程，法律规定的更新变化加快，而相关的指引和意识跟不上还是会使内部控制变成纸上谈兵。[5]

參考文献：

[1]施民.COSO企业风向管理框架在我国保险企业中的应用研究，对外经济贸易大学硕士论文.

[2]阮德胜 胥兴贵：试论企业的风险管理[J].商场现代化，2008，4：8.

[3] 杨雄胜，夏俊.内部控制评价—理论.实务.案件[M].大连：大连出版社，2009.

[4] 骆良彬，王河流.基于AHP的上市公司内部控制质量模糊评价[J].审计研究，2008（6）：84-96.

[5] 何宝胜.从系统论的角度看内部控制整体框架[J].当代经济， 2007，（19）.doi：10.3969/j.issn.1007-9378.2007.19.011.

作者简介：

孙铷婧（1991.-03），女，北京市，硕士，汉，研究方向：工商管理。