企业全面风险管理体系的构建

徐哲雅

（陕西金控发展投资管理有限公司，陕西 西安 710000）

企业全面风险管理系一项系统化工作，主要涵盖六大体系要素的建设工作。其中包括信息与沟通、监督检查、培训、内部控制与风险评估、制度和组织职能。就目前我国整体的风险管理框架而言，六大体系要素的建设工作相辅相成、环环相扣。比如：培训、信息与沟通和监督检查体系均为提高风险管理成效的保障措施；而内部控制、风险评估体系则是进一步针对具体风险的保障措施；制度体系是企业实施风险管理的根本依据；组织职能体系是基于风险管理的基础组织；风险管理战略模块则是统筹整个框架的一把手。

一、全面风险管理与企业管理的关系辨析

在新形势的发展背景下，企业开展全面风险管理工作应从风险视角出发。据调查，2017版COSO风险管理框架指出，传统企业管理是现代化全面风险管理体系革新的奠基石，全面风险管理与企业管理是相互制约、相辅相成的关系。

（一）全面风险管理以实现公司战略目标为核心

为了实现企业发展战略目标，构建全面风险管理体系必不可少。随着市场竞争愈发激烈，企业想要获得市场份额快速成长，那么建立正确的企业发展战略至关重要。企业可以根据核心价值观、愿景和使命规划科学、合理的发展路径，结合企业自身优势选择可以参与竞争的经营项目，同时巧妙设计资源配置计划，最大限度提高外部环境利用率，使经营所需资源在各项业务活动中得到充分利用[1]。

目前，许多企业普遍存在战略方向错误的问题，殊不知其风险系数最大。因此，确立战略的前期工作十分重要。

首先，为了提高战略的可行性，企业对愿景、使命和企业战略是否相匹配进行评价，同时通过风险管理分析模型对企业全过程经营业务、内外部环境进行分析，对指导企业正确的战略方向具有研究价值。

其次，企业战略确立后，以此为前提构建完善的运营机制，比如确定风险管理目标、风险识别、风险偏好等；从企业结构布局、人文角度出发，斟酌战略与企业文化的匹配度；同时，在企业全周期运营活动中渗透风险管理体系，并不断深化监督改进制度、风险评估效能等，为后续完善运行机制的构建提供支持。

值得注意的是，全面风险管理是一项动态工作，受企业内外部环境因素的影响，战略方向不是固化不变的，因此企业要及时调整再评估，最大限度提升风险管理体系抵御风险的能力。

（二）全面风险管理以制度体系为抓手

制度体系有利于规范全面风险管理工作贯彻实施并落实到位。企业制度体系的范畴主要涵盖管理制度、组织结构及领导体制。其中，企业风险管理决策的质量与领导体制挂钩，即领导体制影响风险容忍度与企业风险偏好。

总而言之，激进型、主动型的领导体制其抗风险能力较强，且面对失败的包容度较高，同时为了争取较好的机遇勇于尝试，具有较好的冒险、拼搏精神；当然，构建科学、合理、民主的决策机制是稳健型企业实施风险控制的手段之一，有利于提高重大决策风险控制的成效；保守型企业的风险控制工作最薄弱，主要体现在主动放弃规避风险，是典型的风险厌恶型，对风险治理具有抵触心理[2]。

另外，想要提高全面风险管理体系的运行效率，优化企业组织结构必不可少。优化组织结构有利于高效运行内部组织，使上下级部门、各职能岗位的权责清晰、唯一；当然，组织结构杂乱、拖沓则会导致内耗严重、部门推诿的情况。值得注意的是，制度体系过于狭义那么制定的内部管理制度必然会制约企业风险管控职能的发挥，最终影响风险治理效果。

现如今，企业在全球化经济市场愈加活跃，其面临的是多种风险因素交织而成的复杂风险。但就目前的实施情况分析，能够识别、抵御“灰犀牛”风险，然而“黑天鹅”仅依靠制度体系远远不够，还需要可靠的应急管理体系做支撑。

（三）全面风险管理涵盖内部控制

内部控制是全面风险管理的核心内容。内部控制框架主要包括权限分配、管理制度及业务流程的有效结合，主要聚焦法律法规的遵从性、财务报告的可靠性及企业经营的效益性。但就目前的实施情况来看不容乐观，因为许多企业普遍存在内控制度局限性的问题，想要提升服务价值具有一定难度。

另外，创造价值是全面风险管理聚焦的内容，从企业核心价值、愿景和使命出发，将核心价值观与业务管理、风险管理进行有效融合，从而达到绩效与战略目标的目的。由此可见，构建全面风险管理体系的过程是企业创造能力和价值的过程[3]。

（四）全面风险管理体现企业绩效目标的实现

实施风险管理是为了实现战略目标、保护价值，有利于提升绩效和风险抵御能力。一般情况下，绩效目标在经营过程中受不确定因素影响，需要全面风险管理体系对经营活动中的内外部因素进行控制，只有这样才能实现战略目标。比如，运用内部控制手段结合制度体系对“灰犀牛”风险进行管控；“黑天鹅”风险对企业具有一定威胁性，在企业内部管理体系中介入应急管理体系能够有效降低风险概率。

另外，有效的全面风险管理体系具备评估机遇、探索机遇的特点。基于此，有助于企业牢牢抓住重大发展机遇。当然，机遇与风险相伴而生，企业在面对机遇时要充分分析风险与效益，当评估风险超出风险容忍度时，那么说明机遇不具备研究价值。反之，机遇创造的效益有利于加快企业战略目标的步伐。由此可见，构建有效的全面风险管理体系对企业商务决策、创造价值具有重要意义。

二、全面风险管理体系建设存在的问题

（一）缺乏科学的风险管理目标设定体系

实现战略目标的前提是以科学的内部控制和风险管理目标为导向，提高全面风险管理的实施效果，进而起到实现战略目标、风险防范的目的。然而，仍有部分企业沿用陈旧观念、经营模式，不重视企业风险管理的职能建设，以税利、收入指标为例，企业设定的财务目标没有数据分析支持，致使企业错失机遇和经济受损，这些均是不重视风险管理导致的。同时，缺乏防范意识造成企业无法及时予以补救，使企业陷入经营困境。

（二）缺乏科学的风险管理组织架构与职能配置

目前，仍有部分企业对风险管理的概念认识不够全面，将风险管理的全部职责统一归集于风险管理部门，殊不知风险管理工作是一项全员参与的活动，主要体现在风险数据的收集、分析、汇总、评估及策略均依赖业务活动中各个部门、环节的参与。基于此，企业想要在基层推广风险管理工作面临巨大挑战。

另外，企业内部风险管理部门与审计部门存在裙带关系，且部分财务人员身兼多职，缺乏独立性从而制约审计职能的发挥，致使监督工作深入浅出，造成风险管理工作怠慢。此外，企业对风险管理与业务活动的统筹能力不足，导致风险管理与内部控制工作分离，使风险控制布局缺乏全局性，从而降低风险管理体系的质量。

（三）缺乏科学的风险管理流程与程序

常见企业建立的风险管理部门、制度流于形式或漏洞百出。虽然企业已建立风险管理部门并贯彻实施，但对于风险识别、风险信息收集认识不够充分；如何制定针对重大风险防范策略并推进企业经营目标，提高科学分类、评估、量化风险的工作效益；在资源局限的基础上如何优化风险策略最大化[4]；如何将内控工作与风险策略进行有效融合，并保证实际业务操作能够贯彻实施且落实到位是企业迫切想要解决的问题，由此可见，构建健全的全面风险管理体系有利于推动企业的长远发展。

（四）缺乏风险管理文化培育机制

企业员工积极性不高、参与度不足、风险管控意识不到位，这些均体现企业缺乏良好的风险管理文化培训体系。从实施情况来看，部分企业虽然具备健全的风险程序和流程，但经营管理过程中缺乏有效的风险管理文化培育机制支撑，导致员工综合素养参差不齐，造成内部控制与风险管理制度执行力不足。

三、企业全面风险管理体系的框架及其构建

（一）建立“一个风险管理流程”

企业应该建立“一个风险管理流程”，起到全方位监督、持续改进的作用。全过程风险流程主要包括五大环节的闭环风险管理：识别风险信息、评估风险、制定风险管理措施、落实风险管理解决方案、监督与跟踪。

第一，风险信息收集至关重要，有效的信息资讯能够为后续商务决策提供支持。同时，督促风险管理部门明确收集职责并落实到具体岗位，确保各职能部门提取、分析、整合、汇总形成有效信息反馈到风险管理部门。

第二，风险识别有利于企业及时预后、提高风险抵御能力。尤其在目标风险识别方面获得不错成效，能够快速评估风险影响程度、级别，对实现战略目标有重要意义。

第三，企业风险容忍度与风险偏好应以自身规模结合行业发展趋势、市场经济为依据，以此确定抗风险的能力，进而制定相应措施与风险预警线，同时不断深化实施结果改进风险管理策略。

第四，为了风险管理策略能够更好地实施，企业应根据风险分类制定单项重大风险及各类风险的解决方案，同时为管理工具、所需资源提供保障[5]。

第五，众所周知，风险识别、风险分类是为了防止风险进一步扩大，因此风险管理责任部门应以重大决策、重大事件、重大风险为先，通过风险评估、穿行测试等检验方式检验风险管理的实效。总而言之，构建企业全面风险管理体系有利于及时治理和量化评估风险，对风险监督、优化方案具有重要意义。

（二）筑牢“三道风险管理防线”

1．风险管理直接责任机构

第一道防线主要由业务单位及职能部门组成，其管理职责是对企业全过程业务履行情况进行风险识别、分析和制定措施。一方面贯彻实施内容流程和制度，另一方面积极配合各部门对第二、三道防线提出的缺陷问题进行整改，并跟踪执行情况不断完善风险管理机制。

2．风险管理职能机构

强化风险管理职能机构的职责有利于提高企业风险管理工作的组织协调能力。风险职能机构的职责主要涵盖风险文化建设与培训、完善风险应对策略、协调部门参与风险信息收集与评估等。当然，风险管理职能机构对企业风险管理的成效负责，同时职能机构具有独立性，直接领导风险事件不受管理层干预。

3．风险管理监督机构

审计职能在企业风险管理中的作用应引起企业的高度重视。按照要求企业应设立审计部门执行审计职能，对于未设立的企业应委派专门的风险审计人员到内部监管部门承担审计风险管理。值得注意的是，审计人员对风险管理结果、重大风险的分析与措施、企业风险管理的过程有独立评价的责任，不受外部因素的诱导。

（三）构建“三大风险管理系统”

1．风险管理文化系统

培育企业风险文化不是一蹴而就，而是需要风险管理部门组织前端部门一同参与相关风险管理的宣传、辅导和案例库分享等活动，只有强化风险管理流程、创新思维才能从根本上提升员工对风险管理理念的认知，从而产生共鸣，培育风险管理文化[6]。同时，完善员工道德行为准则有利于企业全面防范风险，实现风险管理与战略目标的高度统一。人力资源部门可以通过多渠道、多维度向员工传达清晰的员工道德行为准则，用以规范员工的行为。

2．内部控制系统

在企业日常业务活动中介入风险应对措施有利于提高企业运营效率。企业应根据风险隐患、业务状况及自身发展现状动态调整风险策略。同时，为了防患于未然，建立有效的自查自纠制度必不可少，企业可以定期开展内控风险测试，主要由业务部门会同风险管理部门主导，着重指导关键风险点与业务流程的测试，一旦发现缺陷及时反馈并予以改进。

3．风险管理绩效考核系统

风险管理绩效考核系统有利于调动员工的积极性。绩效考核主要对内控评估工作、人员配置和培训及人文建设进行考评，同时设置奖惩机制双管齐下，用以保障风险管理责任落到实处。当然，考核标准应具有针对性，并且根据各个评价维度制定客观的评价标准。

（四）信息与沟通体系建设

企业子公司增设新业务种类时，要严格遵从企业制定的整体新业务准入风险评估审核制度，新增业务必须符合评审程序、材料完整性、明确主体和责任的要求，且编制风险报告定期汇报相关部门审核。另外，强化不同业务、不同部门的信息沟通与交流能力。企业可以根据不同业务设计不同风险事项板块。比如母公司结合子公司业务需要设计不同报告模板，有利于母公司及时掌握内控制度、风险业务运行情况和策略成效等，为企业实施整体风险防控提供信息支持。

四、结束语

总而言之，构建全面风险管理体系是企业获得机遇谋求发展的有效途径，是一项值得企业推广的管理机制。基于此，企业应不断深化研究风险控制因素及应对策略，同时培养员工良好的业务能力、管理理论和风险意识，只有这样才能促进企业文化与风险管理体职能，推运企业更好的发展。