石油企業全面風險管理探索

□文/黃 莉 冷 婧

（西安石油大學經濟管理學院 陜西·西安）

石油企業作為關系到國計民生的資源壟斷性企業，其風險管理問題不容忽視。石油企業特殊的生產經營環境和生產工藝，形成了復雜的內外部風險環境，使之面臨著多種風險，如投資風險、勘探風險、生產風險、價格風險、匯率風險等。近年來，石油企業積極開展內部控制和全面風險管理工作，促進了油田持續、健康、穩定發展。

一、《薩班斯-奧克斯利法案》對我國石油企業內部控制建設的推動

我國的三大石油公司自2000年以來在美國資本市場成功上市，就必須遵守美國資本市場的監管法律，其中《薩班斯-奧克斯利法案》要求在美上市公司的年報中必須包括經過會計師事務所評價的內部控制報告，這意味著中石油、中石化、中海油等石油企業就必須按照美國法律法規的要求搭建一套完善的內部控制體系，并通過外部審計和美國證券監管部門審核。

《薩班斯-奧克斯利法案》的404條款要求管理層對公司內部控制進行評價，明確了公司管理層對建立和維護內部控制系統的責任，將內部控制報告納入年報披露范圍，且年報審計者需對公司內部控制出具評價報告。該條款要求在美上市的外國公司必須在2005年7月15日達到要求，后來由于操作上的難度將期限延至2006年7月15日。在此推動下，三大石油公司成為國內首批建設內部控制體系的企業，其內部控制體系的建設領先于其他行業。例如，中石油在2005年就已開始按照404條款的規定，參考COSO的總體框架要求，立足于公司戰略的高度，著手籌建內部控制系統工程，其涵蓋了公司的各個層次，率先通過了404條款要求的內部控制外部評價。

在外部法律的推動下，我國的石油企業在不斷的探索中逐漸形成了完善的內部控制體系，推動了企業生產與管理活動的順利進行，有助于企業達到自身既定的經營目標。

二、從ERM框架到《中央企業全面風險管理指引》

《薩班斯-奧克斯利法案》同時帶來了內部控制標準的發展。2004年美國COSO委員會在《內部控制——整體框架》的基礎上，結合《薩班斯—奧克斯法案》的相關要求，發布了《企業風險管理——總體框架》（簡稱ERM框架）。與傳統內部控制的內容相比，新框架有了較多變化。例如：原來的《內部控制——整體框架》中，內部控制有三個目標：經營的效果和效率、財務報告的可靠性和法律法規的遵循性，新框架將目標發展為戰略目標、經營目標、報告目標和合規目標四大目標。此外，新框架還將《內部控制——整體框架》中的五大要素發展為企業風險管理的八大要素，分別為內部環境、目標設定、事件識別、風險評估、風險應對、控制活動、信息與溝通、監督。

ERM框架將內部控制中的風險管理要素進行了深化和完善，將內部控制推向了風險控制的高度。與此同時，我國政府管理部門也認識到，單純依賴會計控制已難以應對企業面對的復雜市場風險，會計控制必須向風險控制發展。在此背景下，國資委在2006年6月發布了《中央企業全面風險管理指引》，該指引將先進國家的風險管理經驗與我國企業的特點結合起來，對央企的全面風險管理提出了指導性的意見，也是國內其他企業實施全面風險管理的主要參照依據。該指引的出臺，意味著風險管理的理念和方法正式引入中國，成為了我國企業風險管理制度建設和標準建設的里程碑。2008年財政部會同證監會、審計署、銀監會、保監會等部門聯合發布了《企業內部控制基本規范》。2010年五部委又發布了《企業內部控制配套指引》。這些規范和指引的出臺標志著我國企業內部控制和全面風險管理規范體系的基本建成。執行企業內部控制規范體系的企業，必須對本企業內控的有效性進行自我評價，披露年度自我評價報告，同時聘請會計師事務所對其財務報告內部控制的有效性進行審計。

以上這些法律法規都促使石油企業進一步加強和完善內部控制工作。在推進內部控制建設的過程中，石油企業一直把風險管理作為重點領域。《中央企業全面風險管理指引》發布之后，我國石油企業依靠其有效的內部控制基礎，融合了現代企業制度框架下的風險管理理念，開始了全面風險管理的探索，使企業的風險管控能力不斷提升。

三、石油企業實施全面風險管理現狀以及存在的問題

《中央企業全面風險管理指引》發布后，石油企業依據指引的要求，努力建設全面風險管理體系。深入宣傳風險管理理念，培育風險控制文化，完善風險管理組織體系。開展了構建安全環保體系、實現全面預算管理等管理活動，逐步推進全面風險管理。建立了業務流程管理基礎規范與涵蓋公司全部業務領域的流程架構。以財務報告風險控制為切入點，初步完成了各級流程的梳理。將風險控制措施落實到業務流程中，實現重要風險與關鍵控制的規范設計。建立業務流程管理信息系統，統一業務流程數據庫，實現流程設計、控制測試信息化。

但應清醒地認識到，石油企業的風險管理仍處于探索階段。與全面風險管理的實質內涵相比，還存在以下幾個方面的不足：

第一，對風險管理的重要性認識不足，風險管理執行不力，實踐中對內部控制和風險管理的關系認識含糊。有的企業將內部控制視為全面風險管理的手段，有的企業將風險管理視為和內部控制并列的獨立系統。這種模糊的認識造成現實中企業基層管理者對重復建設體系的反感，并且造成全面風險管理體系的建設與內部控制有所脫節。

第二，過于注重合規性而忽略了風險管理的實質作用。一些企業在全面風險管理工作中只注重手冊和制度文件的編寫，而容易忽略如何執行制度、監督與報告制度執行狀況、矯正制度執行偏差等方面。

此外，在高風險的環節和領域、關鍵控制點的預警、應對和跟蹤不到位，風險管理的運行機制還需要進一步改進和完善。

四、石油企業加強全面風險管理的對策

（一）完善全面風險管理內部環境。培育有特色的企業風險管理文化。石油企業要通過開展行之有效的風險培訓，提高員工的風險理論水平，培養專業人才，建設風險管理隊伍。通過開展多樣的宣傳活動，增強員工的風險意識，使風險管理意識轉變為員工的職業態度和工作習慣。同時，要營造全員參與、自覺執行的內部氛圍，各級領導人員要發揮表率作用。

應當建立健全全面風險管理組織體系。要明確組織系統在風險管理中的基礎性作用，確保風險管理部門健全，職責明確。石油企業可以構建立體的風險管理機構，建立三級風險防線。①第一級風險防線。它由部門負責人、獨立的風險管理委員會和內部審計部門承擔。部門負責人負責監控其管理部門員工的日常工作，確保員工按照公司規定的程序及職責權限工作。成立由總經理負總責的風險管理委員會，組織領導企業的全面風險管理工作；同時，在委員會下可以設立風險管理專職部門，直接對風險管理委員會負責。內部審計部門負責公司的內部控制系統及控制程序，確保股東投資及公司資產的安全性。②第二級風險防線。它由審計委員會負責，公司內部審計部門直接歸屬審計委員會領導。③第三級風險防線。它由董事會負責，對風險管理政策和程序做最后的決策。

（二）完善全面風險管理制度體系。不斷完善全面風險管理制度體系。石油企業應探索一套符合自身特點的、覆蓋所有業務流程的全面風險管理制度體系，促進風險管理的制度化、規范化、系統化。同時，根據法律法規、監管理念以及業務流程的變化，及時進行補充完善。首先，要著力抓好業務流程管理工作，要明確業務流程管理職責，完成流程分層分級設計，統一定義、結構和編碼。還要以風險管理為核心、強化控制為重點，開展全面業務流程梳理；其次，結合實際，編制簡單實用的風險指引。企業要從方便員工實際操作出發，結合風險管理工作流程，按照統一的格式，形成風險管理指引表和風險數據庫，使得每個部門、崗位和員工可以快速了解其自身工作所涉及的風險及威脅程度，在實際工作中能夠注重防范。

（三）建立適應全面風險管理的信息系統。一些石油企業為了固化公司的核心業務流程與管理流程，促進信息的準確、及時流通，建立了完善的OA辦公系統。公司所有的經營與管理活動如生產運營、財務核算、資產管理、投資管理、資金管理、人力資源管理、審計等全部通過ERP系統完成。

為了更有效率地實施全面風險管理，石油企業應建立一個專門的風險管理信息系統。這個風險管理信息系統中的風險信息數據可以采取直接錄入的方式，也可以從企業的其他信息平臺如ERP系統中獲取。該信息系統在功能上，涵蓋了全面風險管理全部基本流程對信息的需求；在范圍上，面向企業內、外部的各種風險，覆蓋全面風險管理的全過程。

（四）加強風險管理監督工作，建立風險管理激勵約束機制，全力提升風險管理執行力。企業要建立起業務部門、風險管理職能部門、內部審計部門和外部專業機構相結合的四位一體風險評價模式。一是做好風險管理的自我監督。業務部門定期對風險管理工作進行自查，及時發現缺陷并改進；二是強化各層次的測試檢查，風險管理職能部門定期對業務部門的風險管理工作實施情況進行檢查，提出調整和改進建議；三是內部審計部門至少每年一次對企業的全面風險管理工作進行評價，形成監督評價審計報告；四是聘請外部的風險管理專業機構對企業的全面風險管理實施情況進行評估，出具報告。

為了讓每位員工重視風險管控工作，提升風險管理執行力，可以將風險管理與企業管理層、執行層的績效考核和薪酬相結合，通過考核促使企業各個層面重視風險管理。同時，建立責任追究制度，對于因重大決策失誤造成風險損失的責任人進行責任追究，提高風險管理的責任意識和執行力。

［1］孫合珍.關于建立企業風險管理體系的思考［J］.財務與金融，2010.4.

［2］武晶，賈宏雁.論我國風險管理的現狀及對策［J］.學術交流，2010.6.

［3］儲稀梁.COSO內部控制整體框架：背景、內容、理論貢獻與啟示［J］.金融會計，2004.6.

［4］沈紅，黃衛霞.石油企業完善內部控制研究［J］.財會通訊，2009.10.