企業全面風險管理體系的建立與實施策略

[摘 要] 伴隨著企業風險范圍的日益擴大、風險管理角色的變化以及法律機制的改革，傳統的獨立零散式風險管理方法越來越難以滿足企業持續發展的需求。為此，世界很多國家的各類企業均希望能夠通過建立一套科學、系統的全面風險管理體系建設方法和標準，努力打造和提升企業在市場上的競爭實力。

[關鍵詞] 全面風險管理; 內部控制; 風險評估

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 21 . 027

[中圖分類號]F270 [文獻標識碼]A [文章編號]1673 - 0194(2010)21- 0049 - 03

市場經濟范圍的橫向擴大和縱向發展，正在給企業造就一個越來越難以捉摸、預測也越來越不確定的未來。外部經營環境和內部交易活動的不確定使企業管理者們很難為他們的每一個經營決策變量確定一個準確值，從而導致企業面臨著各種各樣的風險。因此，加強企業風險管理成為當前企業不容忽視的問題。

企業風險管理的重要性和必須性，就目前來講雖然已得到應有的重視，但還未構建起一個完善的體系。因此，引入全面風險管理體系對企業具有重要的意義。建立與運行完善的企業全面風險管理體系是決定企業競爭優勢的關鍵，是一種不可或缺的戰略安排。本文正是基于此種背景對該問題展開探討，希望能夠建立一個比較全面的風險管理系統并得到有效的實施。

一、全面風險管理的內涵

所謂風險，是指未來的不確定性對企業實現其經營目標的影響。企業風險一般按風險產生的領域分為戰略風險、財務風險、市場風險、運營風險等;也可以按能否為企業帶來盈利等機會，分為純粹風險和機會風險 。

全面風險管理指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的企業管理文化，建立健全風險管理體系，包括風險管理策略、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總目標提供合理保證的過程和方法。

COSO于2003年7月完成了《全面風險管理框架(草案)》。這份草案提出，“全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中，用于識別那些可能影響企業的潛在事件并管理風險，使之在企業的風險偏好之內，從而合理確保企業取得既定的目標。”按照這份草案，全面風險管理包含企業的目標、全面風險管理要素、企業的各個層級3個維度。第一維度，企業的目標有4個，即戰略目標、經營目標、報告目標和合規目標。第二維度，全面風險管理的要素有8個，即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與交流、監控。第三維度是企業的層級，包括整個企業、各職能部門、各條業務線及下屬各子公司。全面風險管理框架3個維度之間的關系是:全面風險管理的8個要素都是為企業的4個目標服務的;企業各個層級都要堅持同樣的4個目標;每個層級都必須從以上8個方面進行風險管理。

在全球化時代，企業推行全面風險管理不僅是順應國際趨同趨勢的需要，也是企業內部強化內部管理、全面防范風險的需要。

二、企業全面風險管理體系的建立

(一)企業全面風險管理的功能定位

(1) 從戰略管理角度防范化解企業風險。在實現由計劃經濟向市場經濟、從粗放型經濟向集約型經濟轉變的過程中，一些企業習慣于在國家計劃的指導下開展生產經營活動，加之受“短期行為”影響，導致缺乏戰略管理理念。有些企業雖制定了戰略，但僅僅是一種擺設，無操作方案;有些企業實施了戰略管理，但缺乏科學性，使企業經營陷入更大困境。所以從戰略管理上防范風險，必須做到:第一，在管理思想上實現如下轉變:變短期行為為戰略行為，高瞻遠矚、縱觀全局;變事后管理為事前管理;變“救火式”風險管理為預防性風險管理;變外延擴張型發展為內涵增效型發展;變僵化管理為彈性管理。第二，進行科學的預測、論斷。第三，確定適度的發展規模。

(2) 從戰術管理角度防范化解企業風險。第一，識別風險。企業全面風險管理程度與企業掌握信息的多少和真假有直接關系，企業占有的信息越多、越準確，越能做出正確有把握的決策。掌握更多的信息是減少決策風險的首要任務和決策前提。第二，巧避風險。風險回避時事先預測風險發生的可能性，分析和判斷風險產生的條件和因素。第三，轉移風險。就是風險承擔者通過種種手段和措施，將自己承擔的風險轉移給他人。

(3) 從經營管理角度防范化解企業風險。第一，把握市場行情。企業必須根據市場過去和現在的各種資料，運用已有經驗和科學方法，對市場未來一定時期的需求情況作出科學的估計和推測，從而很好地規避風險。第二，提高管理水平。管理者必須通過自身的業務素質，更新觀念，提高經濟，嚴格內部管理，尤其是提高風險管理能力。第三，實施定量分析。對企業風險進行定量分析，是企業科學決策的重要依據。一般常用盈虧分界點、經營杠桿系數和財務杠桿系數來分析。

(二) 企業的內部控制環境

企業的內部環境是其他所有風險管理體系要素的基礎，為其他要素提供規則和結構。包括誠信原則和道德價值觀、董事會和審計委員會、管理哲學和經營風格、組織結構、責任的分配與授權、員工勝任能力、人力資源政策及實務等幾個方面。關鍵問題是企業管理層要樹立風險意識并積極地建立完善的內部控制環境，使整個組織中的員工具有控制覺悟和自覺控制的態度，員工的能力與其責任要匹配。

(1) 根據公司法等相關法規要求，建立真正意義上的公司治理結構，使權力有所制衡。企業董事會應定期審查整個經營戰略和重大政策，發現經營的主要風險，確定這些風險的可接受水平，保證企業管理層采取必要步驟，識別、衡量、評審和控制風險。在確保建立與維護充分有效的內控系統方面，董事會有最終的責任。

(2) 企業管理層應當負責執行董事會批準的戰略和政策，建立健全內部組織結構，明確各級組織管理職責、授權和報告關系;確保各級管理人員能有效地履行職責;確定適當的內控政策并使其得到有效的執行;監督評審內控系統的充分性和有效性。

(3) 董事會和管理層應當采取適當的人力資源政策，建立有效的激勵和約束機制，促進員工提升職業道德和職業能力，在各級人員中強調內控的重要性，樹立風險意識、建立內控文化。

(三) 企業面臨的主要風險與風險評估

1. 企業面臨的主要風險

企業面臨的主要風險包括戰略風險、經營風險、財務風險和法律風險4個方面。戰略風險是因企業內、外部環境的不確定性而導致戰略的選擇和實施的實際結果與戰略預期目標存在偏差的現象。經營風險是企業在經營過程中對外和對內的管理風險，如內部的安全生產風險、人力資源風險、供應鏈風險等。財務風險是公司財務結構不合理、融資不當使公司可能喪失償債能力而導致投資者預期收益下降的風險。法律風險是指因不符合或違反法律要求，導致不能履行合同發生爭議、訴訟或其他法律糾紛，而可能造成經濟損失的風險。

2. 建立與完善風險評估體系

企業在市場環境中都會面臨來自內部和外部的各種風險，對這些風險都應當進行評估，以利于企業采用針對性的措施。所謂風險評估，就是分析和辨認實現既定目標可能發生的風險。建立風險管理體系則要求更加透徹地看待風險管理，從固有風險和殘存風險的角度看待風險管理。

風險評估包括7個方面內容，主要是在描述業務流程的基礎上，重點關注對外披露的主要財務信息，建立風險數據庫和風險評估制度體系。具體內容為:① 描述業務流程。即完善總公司基本業務流程目錄和子公司業務流程目錄，完善業務流程描述標準和模板并對所有業務流程進行描述。② 確定重要的業務流程。建立并完善重要流程的確認標準，按照確定的重要會計科目和披露事項，確定重要業務流程。③ 對流程進行風險評估。首先是風險識別，即對經營風險、財務風險、固有風險、法律風險等進行評估。其次明確在所有業務流程中可能對公司經營管理活動造成不良影響的風險，建立公司所有業務流程風險數據庫。然后對全部業務進行風險分析。④ 確定重要會計科目和披露事項。包括完善確認重要會計科目和披露事項的標準和方法，并分析確定重要會計科目和披露事項可能出現重大錯報的原因。⑤ 確定重要經營場所/業務。完善重要經營場所/業務單位的分類標準，將地區公司的風險分為重要特殊和一般風險，按上述標準對所屬單位進行風險類別的鑒定。⑥ 建立并完善風險評估制度體系。包括完善評估方法和不斷更新風險數據庫、完善公司風險評估制度。

(四) 風險反應

風險反應可以分為規避風險、減少風險、共擔風險和接受風險4類。規避風險是指采取措施退出能給企業帶來風險的項目。減少風險是指減少風險發生的可能性。共擔風險是指通過轉嫁風險或與他人共擔風險，降低風險發生的可能性或降低風險對企業的影響。接受風險則是不采取任何行動，接受可能發生的風險。

作為全面風險管理的一部分，管理者應比較不同方案的潛在影響，并且應在企業風險容忍度范圍內，考慮選擇風險反應方案。在個別和分組考慮風險的各反應方案后，企業管理者應從總體的角度考慮企業選擇的所有風險反應方案組合對企業的總體影響。選定某一風險反應方案后，管理者應在殘存風險的基礎上重新評估風險，即從企業總體的角度或組合風險的角度重新計量風險。

(五) 信息與溝通

建立企業全面風險管理體系擴大了企業信息和溝通的內容，認為企業的信息應包括來自過去、現在和未來潛在的事項。企業信息系統的基本職能應以時間序列的形式收集、捕捉數據，其收集數據的詳細程度則視企業風險識別、評估和反應的需要而定，并保證將風險維持在風險偏好的范圍內。來自于企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認和傳遞，以保證企業員工能夠履行各自的職責。有效的溝通也就是廣義上的溝通，包括企業內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關信息與企業外部相關方進行有效的溝通和交換，如客戶、供應商、行政管理部門和股東等。具體內容為:建設與完善信息系統總體控制體系、建立信息溝通體系、完善信息披露事項的管理制度。

總的來講，企業全面風險管理體系應以 COSO 控制框架為基礎，依托于企業本身管理上優勢，以國內外相關法案的頒布為契機來建立。該體系強調在整個企業范圍內識別和管理風險的重要性，強調企業的全面風險管理應與企業目標的實現相一致，而在對其下屬部門進行風險管理時，應對風險進行加總，以一種全局的風險組合觀來看待風險。此外，還應該根據全面風險管理的需要，對企業目標進行重新分類，明確戰略目標在風險管理中的地位，并據此建立、修訂相應制度，使之成為一個長期有效運行的體系。

三、企業全面風險管理的實施策略

(1) 優化內部控制環境。控制環境是所有其他內部控制組成要素的基礎。優化內部控制環境就是要按照相關法規要求建立健全公司法人治理機構、內控與風險管理組織機構，合理分配內控與風險管理職責、權限;樹立企業內控與風險管理意識;培養全集團員工的控制覺悟和自覺的控制態度，提升員工的能力。

(2) 健全內部控制體系。企業的內部控制應注意到各個層面權利配置是否合理、責任是否明確、運轉是否協調等關鍵問題，做好關鍵控制點的設立和控制，整個監控體系應協調一致。內部控制的實施可以按照管理和業務流程、專業職能部門兩個層次分別展開，以流程為主要形式、部門為輔助形式，重點是進行程序和政策的整合。

(3) 完善全面風險管理機制。企業應根據企業戰略及面臨的外部環境等，制定相應的全面風險管理制度，將風險評估系統化，通過風險評估識別內部所有重要業務流程，建立起科學的風險評估制度體系。實際工作中就是通過對企業面臨風險的分析，在相關流程中合理加入風險監控點，并擬訂相應風險應對措施，通過不斷優化風險監控體系逐步完善企業風險管理機制。

(4) 建立有效的信息溝通。一是要建立健全內控與風險管理由上自下的規范制度發布傳達機制，確保內控與風險管理制度能有效傳達并被相關人員理解和掌握。二是要建立健全內控與風險報告機制，確保自下而上的內控與風險報告能準確、有效地傳達給相應管理人員。三是要建立健全內控與風險管理監督評價機制，確保內控與風險管理相關監督測評信息的真實準確。四是全面推行企業信息化建設，通過管理信息系統提升內控與風險管理信息溝通的及時性、準確性與有效性。

(5) 加強對內控自身的監控。內部控制自身的監控是確保內控與風險管理制度、措施真正得到落實和執行的重要一環，也是內控與風險管理體系自身優化和提升的重要一環。定期和不定期的監督測評、內控自我評價及外部中介機構的獨立評價是強化內部控制自身監控的重要途徑。

四、結論

我國的企業要想增強自身的競爭力，早日同國際接軌，一定要加強和完善企業的全面風險管理體系。COSO 委員會所提出的企業風險管理框架中指出，沒有任何一個企業是在無風險的環境下運營的，而企業的全面風險管理也不可能在這樣的環境下產生。所以，企業全面風險管理體系的建立與實施使管理層能在充滿風險的環境下更有效地經營。

企業風險管理體系提供了識別和評估風險的程序，增強了風險應對決策能力;減少了經營中的意外和損失;能夠對于多種風險提供綜合的應對措施，并能抓住機會且使資金的使用合理化。但我們也應該看到企業風險管理體系存在的局限性。有效的企業風險管理體系，不管怎樣很好地設計并使其運行，也僅僅對管理者和董事會達到實體的目標提供合理的保證。目標的實現受管理過程中固有的限制所影響，這些限制包括在決策中人為判斷的主觀性、管理者在企業風險管理過程可能越權、風險反應需要考慮成本收益原則等。

主要參考文獻

[1] [美] 詹姆斯·德阿克. 企業的泛風險管理[M]. 丁一兵，譯. 長春:吉林人民出版社，2001.

[2] [美]COSO. 企業風險管理——整合框架[S]. 方紅星，王宏，譯. 東北財經大學出版社，2005.

[3] [美]史蒂文·J·魯特. 超越 COSO——強化公司治理的內部控制[M]. 劉霄侖，譯. 北京:中信出版社，2004.

[4] 粟濤. 探析 CRO 機制下我國企業的風險管理體系[D]. 北京:華北電力大學，2006.

[5] 朱恩榮，賀欣.內部控制框架的新發展 ——企業風險管理框架[M].北京:清華大學出版社，2004.