全面风险管理在民营企业的落地实践研究

李东玲

(舜宇光学科技(集团)有限公司，浙江 余姚 315400)

2016年以来，人们大力推行全面风险管理体系，以《中央企业全面风险管理指引》、COSO-ERM风险管理框架为建设指引，紧抓机遇与风险，化解企业可能面临的各项风险，为企业千亿元目标保驾护航，为社会主义现代化事业建设添砖加瓦。

随着各种黑天鹅事件的爆发，越来越多的企业意识到风险管理对企业的重要性，特别是民营企业的经营特殊性，在企业高速发展时，很多企业往往会忽视管理的重要性。

1 S公司情况及全面风险管理体系建设背景

1.1 S公司基本情况

S公司创立于1984年，其已发展成为全球领先的综合光学零件及产品制造商。S公司于2007年在香港联交所主板上市，是首家在香港上市的国内光学企业，纳入恒生指数成分股。公司坚定不移地实施“名配角”战略，始终如一地聚焦光学领域产品，致力于打造驰誉全球的光电企业。三十多年来，公司以每十年10倍以上的速度增长，连续6年蝉联《财富》中国500强榜单，2020年首次跻身中国企业500强，在30周年庆典上，S公司首次提出销售收入1000亿元的宏伟目标。

1.2 全面风险管理体系建设背景

S公司作为一家在香港主板上市的民营企业，自公司成立以来，始终将风险管理与内部控制建设的重要性放在很高的位置。特别自2005年以来，海外市场的企业管治守则、规则均发生变迁，现更为注重风险管理，而非纯粹的关注内部监管，现已成为国际发展趋势。港交所于2014年修订《企业管治守则》《企业管治报告》。2016年1月1日开始，所有在港上市的公司，必须披露风险管理和内部控制建设情况，各自的职责与角色，如不披露就必须解释。此《守则》的生效，促进S公司风险管理建设进程。

同时，S公司管理层一致认为，围绕公司千亿元战略目标，人们应快速建立符合监管要求、服务经营发展，组织健全、责任明确、程序规范、处置得当的全面风险管理体系，实现企业风险管理与总体战略目标相适应，促进企业有效防范并化解风险，培育企业风险管理文化，提升各级员工风险管理意识，构建良好的风险管理环境，进一步增强企业的抗风险能力和市场竞争力，为公司千亿元战略目标保驾护航。

2 S公司全面风险管理体系建设实践

2.1 S公司全面风险管理体系建设历程

S公司全面风险管理体系自2016年开始，至今已经历4个年度，总体发展历程概括为三个阶段。

第一阶段：酝酿期(2016年及以前)。这一阶段公司尚未正式开展全面风险管理体系建设，集团及各子公司主要是专家型的风险管理。各模块的风险管理活动相互独立，对风险的及时监测及提前防范作用较小，缺少纵向垂直、横向协同的一体化应对方案，对公司战略的调整有限。

第二阶段：探索期(2017至2018年)。随着公司开始推进全面风险管理体系建设，集团及各公司开始系统化地进行全面风险管理自评、风险落实情况核查。从目标确定、风险识别、风险评估、风险应对、控制活动及监测等环节进行管控，形成风险管理清单，但常态化的运行管控机制并不完善。

第三阶段：快速发展期(2019年至今)。经过两年的风险管理落地探索，在这一阶段，S公司的全面风险管理体系建设迎来了爆发式的发展。风险管理工作小组全面推动风险管理预警机制建设、常态化与动态化的管理、全面风险管理(ERM)制度体系建设、信息化建设、全面风险管理(ERM)纳入企业绩效考核体系，实现全面风险管理体系在民营企业S公司的真正落地，形成适合S公司的风险管理方法。

S公司全面风险管理体系建设的发展历程基本上代表了我国绝大多数民营企业的发展历程，从无到有，从建立到完善，从学习标准体系到形成自我管理风格的风险管理建设体系。

2.2 全面风险管理体系建设面临的挑战及解决对策

2004年以来，COSO委员会发布《企业风险管理框架》(第一版)。2017年9月，COSO又发布了《企业风险管理——与战略和绩效的整合》框架(第二版)。在2016年，S公司构思建设全面风险管理框架时，正是新旧框架调整期。在此种情况下，S公司启动了全面风险管理建设，在建设过程中面临各种各样的挑战，整体可归纳如下三个：一是没有系统性风险管理建设经验，该如何建设全面风险管理体系；二是风险管理从业人员少，没有专业的全面风险管理体系建设人员怎么办；三是民营企业在全面风险管理体系建设过程中，如何让全面风险管理这么好的管理工具在企业里真正实现落地，助力企业健康、快速成长，就会面临着诸如：如何识别企业面临的潜在重大风险，重大风险如何落地，风险管理如何实现提前预警，风险管理如何与绩效考核、战略管理相融合。接下来将结合S公司的实践经验，逐一阐述全面风险管理体系是如何在民营企业实现落地的。

2.2.1 如何建设全面风险管理体系

S公司搭建全面风险管理体系总体思路：遵照2017版COSO ERM(企业全面风险管理)框架，循序渐进建立并完善各子公司及集团风险识别、评估、应对、控制活动和指标监控的全面风险管理体系。首先，S公司明确了风险管理工作的有效性要由最高领导机构董事会负责，并授权审核委员专业审核管理层提交的全面风险管理报告，确保管理层已履行职责建立有效的风险管理及内部控制系统。S公司总裁主持集团全面风险管理日常工作(包括自评及各项工作)，设立集团风险管理领导小组与风险管理工作小组，各子公司风险管理日常工作由总经理主持。同时，还成立了针对各重点管控风险的二级风险管理工作分组。具体见图1。

图1 全面风险管理小组管理架构

其次，遵循与企业战略目标相结合，与日常管理工作相结合，全员参与、上下联动的管理原则。明确全面风险管理建设总体目标，S公司风险管理紧紧围绕公司千亿元战略目标，初步建立符合监管要求、服务经营发展，组织健全、责任明确、程序规范、处置得当的风险管理体系，实现总体战略目标与全面风险管理(ERM)相适应，并将S公司总体风险控制在可承受范围内，确定了风险管理建设三年十步走的推进计划。其中，第1～7项为短期计划，第8～10项为三年长期计划。

最后，聘请外部咨询机构，提供专业咨询服务。选择与国际知名咨询机构进行合作，通过咨询机构在服务过的企业中积累的经验，给予集团及子公司各级管理层专业的风险管理建设赋能、前沿的理论知识及未来的中短期全面风险管理建设计划建议，帮助本公司快速提升全面风险管理建设能力。

2.2.2 缺少专业的全面风险管理建设人才

全面风险管理体系是一项庞大、系统性的工程，涉及企业经营过程中的方方面面。首先选择了拥有风险管理专业知识基础的财经、企管体系人员负责落实，通过与咨询机构联合开展咨询项目，帮助公司员工快速成长。同时，S公司自主专研风险管理专业知识，实现自我快速成长，通过集团工作小组的快速成长，再赋能于各公司风险管理小组对接人员。同时，还加强与实践中的企业进行交流，依托高校提供理论支持。

2.2.3 全面风险管理体系落地

COSO的全面风险管理(ERM)框架是一个复杂的体系，这样一个新的管理方法让大家接受，并将理论真正的实现落地，需要进行综合管控。其一，制定全面风险管理三年战略规划，将战略规划转化到集团及各公司每年的年度规划中，每年按计划稳步推进。其二，为了保障落地，建立系统性的风险管理制度、机制及流程，落实信息化建设，将全面风险管理融入绩效考核。并基于公司实践经验，不断对现有流程进行优化完善，整体效率得到快速提升。其三，建立集团层面重点管控风险+子公司层面TOP3风险的管控模式。集团风险管理领导小组每年根据风险识别结果、发生的风险事件及未来风险研判，结合公司战略规划时识别的风险，确定集团层面风险(需所有子公司落实管控)。各事业部结合自身的发展需要，另行识别子公司层面重点管控的TOP3风险。其四，以风险预警指标为抓手，内部控制检查与专项检查相结合，形成各业务部门每月自查+工作小组复核+集团工作小组抽查+审计部核查的常态化运行机制。其五，建立子公司风险管理领导小组负责制，充分调动小组内成员的积极性。在集团层面，协调各专业领域专家，建立集团及子公司层面风险管理智囊团，从集团层面解决相关问题，最大限度降低同一问题的解决成本。其六，S公司特别关注风险管理文化的建设与风险意识的培养与形成，建立从集团到子公司的风险管理赋能团队、风险管理培训课程体系，希望尽可能地提升各级管理人员风险管理意识，将S公司培育成为风险管理导向的企业文化。

2.3 全面风险管理体系建设取得的成果

2.3.1 COSO-ERM框架实现在民营企业的全面落地

S公司建成全面风险管理方法论体系，实现全面风险管理(ERM)框架体系的转化落地，并在实践中不断优化。在框架体系建设中，形成风险管理三道防线、风险管理“六步法”，明确风险管理职责、风险管理操作流程。在制度体系建设中，建立全面风险管理各项管理制度，如《风险管理制度》《风险管理绩效考核办法》等，与业务部门联合推动，将风险管理方法论融入现有业务管理制度体系中，形成风险管理导向的制度优化。统一风险管理语言，制定风险管理评估标准，发布风险管理专业术语，形成可供参考的风险管理清单。详见图2。

图2 S公司风险管理六步法

2.3.2 实现风险管理各项关键工作落地，提前防范潜在风险

S公司通过风险管理自评、关键风险指标预警、风险事件库、控制活动优化，结合常态化的管理机制，帮助管理层及时了解风险变化趋势，提早调整应对计划降低风险，实现灰犀牛风险可防可控，黑天鹅事件快速响应，风险落地率达90%以上。推动集团内各公司横向比较，实现集团内部优秀管理经验的流动与传播，助力企业发展、强化风险防范。

2.3.3 形成风险管理文化，风险管理成为企业管理工具

S公司通过风险管理建设工作的不断推进，各级管理人员风险管理意识得到快速提升，与日常工作融合，风险管理环境及理念得到巨大改善，风险管理人才队伍壮大，建成一支高素质的风险管理团队，已经成为可以指导S公司战略调整管理工具。

2.3.4 获得外部专业机构高度认可与评价

S公司在2021年MSCI-ESG评级从BBB级提升至A级，MSCI-ESG企业管治议题的评估中，公司风险管理处于行业领先水平。在国家级书刊、省级、市级交流中多次分享S公司风险管理优秀实践经验，希望给正在探索全面风险管理体系建设的企业提供一定的借鉴与指导。

3 未来展望

未来，将结合后疫情时代的特点，持续深化风险管理体系建设，着力进行数字化转型。全面风险管理将通过更加智能的BI系统，实现风险管理全程可视、实时监控、固化流程及决策支持，建立风险管理的自动免疫机制。同时，还将紧跟国家步伐，以“强内控、防风险、促合规”为目标，积极探索风险管理、内部控制、合规建设的融合发展，整合优化相关管理制度，推进风险、合规、内控、内审的大协同，建成基于内控、合规、内审为基石的大风控体系。