基于嵌入性視角的風險管理應用與探索

李薔

基于嵌入性視角的風險管理應用與探索

李薔

風險從業務中來，到業務中去。社會的進步與企業的快速發展，將風險管理推到越來越重要的位置，在國內外風險事件的背景下，標準化組織陸續制發了關于風險管理的原則與指南性標準。文章結合ISO31000標準對風險管理的嵌入性進行了探索和淺析，從宏觀層面到微觀層面對企業如何在業務流程體系中實踐風險防控提出了建議。

風險管理 業務流程 嵌入性

一、風險管理嵌入企業的“惑”

瞬息萬變的社會經濟環境、技術變革和國際化進程給企業的戰略決策和經營帶來了諸多不確定因素，面對風險和風險管理，企業日常管理中為什么會出現“風險管理就是內審的事”或者“多張皮”的低嵌入性的現象呢？

原因之一是長期以來企業為了提升管理或者為了滿足合規的需要，在實施各類標準認證、導入西方管理理論的過程中，往往采用疊加的方式，牽頭部門大都不同，如此下來，一項項管理體系的推行最終變成一個個手冊、規范、指引，這些管理文件看似工整完美，但并未實現深層次的融會貫通，風險管理夾于其中易流于形式。

原因之二是風險管理理念源于西方，由于文化背景的不同，中國企業強調和諧、含蓄和靈活性的管理習慣與西方國家強調流程、制度、法治的管理理念存在較大差異，許多企業管理人員未能將風險管理同企業的日常經營管理行為和語言進行有效的結合。

原因之三是風險意識淡漠，認為危機總會發生在別人身上的取巧心理，造成疏于在經營過程中考慮風險因素，將風險管理變成了一種編寫報告，應付外部監管的文字工作，未納入實質性的考量。

二、風險管理嵌入企業的“解”

風險具有伴生在企業戰略目標和業務活動中的特性，不能單獨產生，因而，風險管理也不是獨立的，它與組織的業務不可分離，管理風險一定是管理業務過程或活動中的風險，在業務全生命周期的過程中發揮控制、應對與協調的作用，以盡量降低風險至可以接受的容量范圍內，合理保證經營目標的實現。

企業要開展好風險管理工作，必須正確認識風險管理與組織過程之間的關系。國內外的標準、指引均對此給出了清晰的解釋。例如：《風險管理——原則與指南》（ISO31000）標準中指出風險管理的第二項原則是“風險管理是構成組織所有過程整體所必需的一部分”，且在其推薦的風險管理框架中特別強調了“整合入組織的過程”的突出地位，我國的《風險管理原則與實施指南》（GB/T24353）標準中風險管理原則亦為“融入組織管理過程”，因而風險與組織的運轉共生共滅，應以關聯的、有效的和高效率的方式嵌入組織的所有實踐和過程，尤其是在制定企業的方針、策劃戰略、評審業務、變更決策等業務過程中進行融合。具有嵌入性是企業開展風險管理的首要條件。

三、基于嵌入性視角的企業風險管理體系構建

既然風險管理與組織過程的融合如此重要且必要，那么如何實現嵌入？本文認為要以風險控制為導向，以流程為載體，構建基于嵌入性視角的企業風險管理體系，提高過程控制能力和業務執行的有效性，增強企業競爭力，促進企業目標的實現。

（一）建立嵌入式的風險管理體系

一個企業的正常運轉涉及到從宏觀、中觀到微觀的諸多層面、諸多環節，基于嵌入性視角的風險管理（如圖1所示）則是在全范圍內與戰略目標和業務流程體系融合，從宏觀到微觀形成全覆蓋，并非局限于單一子流程，從整體上形成一個系統化、結構化的體系，并保持良性循環、持續改進。

圖1 基于嵌入性視角的企業風險管理體系示意圖

1.宏觀層面。企業的宏觀層面重在研究發展戰略與經營方針、完善內部環境治理、文化建設、重大事項決策等。首先，要將風險管理的原則、作用、術語融入公司高層的管理理念中，為健全治理結構奠定基礎，并依托企業文化建設平臺在全員中不斷強化企業誠信與職業道德觀、強化風險管理意識、培育風險文化氛圍；其次，要在制定戰略和經營方針時充分考慮相關風險，戰略目標是企業運作的方向和指導思想，應在戰略風險評估報告的基礎上確立清晰的戰略導向、發展綱要和方針；再次，要建立環境，考慮組織及其環境的內外部與風險管理過程相關的參數、指標，明確管理風險的范圍及關于評價風險的準則，例如管理層的風險偏好，風險造成的結果劃分為幾個等級，風險發生可能性的維度分為幾級，風險管理的組織保障和運維機制，風險評估的方法和時頻等。此外，要在決策企業經營與拓展的重大事項時通過盡職調查、高層會議研討、項目風險評估等方式充分考慮風險因素對決策目標的潛在影響，以促進企業積極抓住機遇，穩妥化解危機。

2.中觀層面。企業的中觀層面側重于流程管理、內部控制規范，是宏觀戰略執行落地的核心區域，在整個體系中起承上啟下的作用，目標只有落實到流程上才能變得可執行。中觀層面的重點是要處理好業務與業務之間的接口關系，突破條塊化的“職能墻”，建立端到端的流程。美國管理大師哈默曾提出一個重要觀點“流程本來就在業務那里，只是沒有受到相應的尊重和了解。”同樣，“風險本來就在流程那里，只是沒有識別、分析和評價。”可見，流程本身是業務運作的載體，風險管理是嵌入此載體中的關鍵點。

那么風險管理如何嵌入到流程中呢？最簡單也最有效的方法就是在流程中擴展屬性信息——如風險點編號、風險事件、風

非常嚴重也分為五級。險源、風險等級、風險矩陣、控制措施等。將風險管理的要求作為屬性標簽，添加到流程的具體活動節點上。也就是說在流程體系中建立的每一個責任流程都由流程圖、流程執行要求、風險控制文檔、表單、相關政策文件等組成。其中最重要的是在流程執行要求中明確每一個活動是由誰來做、做什么、怎么做、多長時間完成、有哪些風險、風險等級高低、如何控制風險的責任內容。采用這種嵌入性的方法，一方面，使業務執行人員不再翻閱多個管理文件，也避免了風險管理文件與其他管理文件出現不一致造成業務執行人員的無所適從；另一方面，管理人員通過檢索流程節點附加的標簽，也能更好地監控風險管理要求的落實。

企業將風險管理過程嵌入營銷、研發、安全生產、環保、工程項目建設、合同管理、客戶服務、財務管控、人力資源規劃等各種流程中，還必須做好事前的風險評估、事中的風險控制、事后的風險應對。其中風險評估有數十種方法，一般在實務操作中，推薦采用風險矩陣法，這是一種由美國空軍電子系統中心的采辦小組于1995年4月提出的通過測定后果和可能性來排序和顯示風險的工具。采用這種方法，建立基于風險事件的全面風險清單，確定風險等級，生成風險帶下的風險圖譜，可以直觀的表現風險，協助決策風險應對。風險控制強調的是對已識別的風險在制度政策、機制或工具、技術、方法等方面建立控制措施，一般在實務操作中，以增加審批、縮減權限、不相容職務相分離、強制上下限等方式加強控制。風險應對則包括選擇一個或多個改變風險的方式，并實施這些方式。一旦付諸實施，這些方式就會提供或改進控制措施。

3.微觀層面。企業的微觀層面是關系最為紛繁復雜、數據流轉最為頻密的一個層面，它以崗位職責和員工手冊為基礎，以信息技術為手段對中觀層和宏觀層起支撐作用。

崗位職責隨流程細化而明晰，結合職業健康、作業安全、環保、廉潔、等風險因素的考慮，企業可建立一套清晰的崗位風險表，并在作業指導書、員工手冊等工作指引中嵌入崗位風險防控措施，以有效實現增強風險意識、降低、預防腐敗、員工健康成長的目標。

另一方面，利用信息化的手段，在E化業務流程時嵌入風險管理，將業務流程活動的關鍵控制點設置于系統內，如超預算的資金控制、合同的多級聯動審批、自動給料、出庫量上限卡控、用戶權限的制衡、日志保存等，不僅提升了操作的透明度，改善了信息不對稱的情況，而且增強了內部控制有效性，實現了企業物流、資金流與信息流有機結合。

4.持續優化循環機制與動態風險管理體系。風險管理是個動態的過程，風險管理體系也是一個動態、持續改進的過程。隨著社會環境的變化、技術的發展以及企業戰略目標的變化，風險管理體系必須隨機而變，這就需要在內部設立一種持續優化循環的良性機制——即管理層應及時了解組織及其環境，優化風險管理的范圍和風險準則，定期開展風險評估，更新風險清單、風險等級、風險帶、風險圖譜，并適時調整風險應對計劃。

（二）風險管理在N公司的嵌入應用實例解析

N公司是一個大型的集團化企業，多元化經營，并且海外控股多家子公司，現以其“法律事務與合同管理”業務過程嵌入風險管理作案例介紹。首先，確定法律風險評估維度；其次，在合同管理流程中引入風險，建立風險矩陣，

1.確定法律風險評估維度。在前述的風險管理體系宏觀層面中，執行風險管理過程的第一個子過程“建立環境”，也是執行風險管理框架設計的第四項內容，即明確風險發生可能性維度，如表1所示，從1-可能性非常小到5-可能性非常高分為五級，以及明確法律風險評估維度，如表2所示，分為財務方面的影響和非財務方面的影響兩個子維度，每個子維度從1-輕微到5-

表1 發生可能性維度

2.設定風險等級計算模型。風險等級＝（財務方面的影響× 0.65+非財務方面的影響×0.35）發生可能性。

3.確立風險應對策略。風險等級≤3為低風險帶，3≤風險等級＜10為中風險帶，風險等級≥10為高風險帶。

低風險帶：風險接受，保持現有控制力度及相關內控措施有效性，并制定風險事后應對方案。

中風險帶：風險轉移和風險控制，優化業務流程，強化風險控制措施使不確定性降低或風險影響程度降低，并制定應急預案，做好風險預警。

高風險帶：風險規避、風險轉移和風險控制，優化業務流程和控制措施，使剩余風險向低風險區域靠近，并可考慮尋求外部單位分擔風險或規避風險，制定應急預案，做好風險預警。

4.風險管理屬性嵌入合同管理流程。建立具有風險管理內容的合同管理流程，由三個部分組成，分別是合同管理流程圖、流程執行要求與風險控制文檔、相關表單等。第一，繪制合同管理流程圖，清晰展示合同管理活動涉及的十余項活動的名稱、執行部門、流轉順序和責任單位，并在風險事件對應的流程活動上以“紅色五角星”標識。第二，梳理流程執行要求，根據流程目的、范圍和業務需求，以“誰在什么地方用多長時間做什么以及怎么做的”方式，詳細說明所有活動的具體工作內容和責任，并識別風險、分析與評價風險，編制流程執行要求與風險控制文檔。第三，將流程活動涉及的所有輸入、輸出表單依次列示于后。

5.合同管理流程涉及的主要風險及控制目標。合同管理流程涉及的主要風險有：

K1：合同簽訂未經適當審批或未留下書面審批記錄，可能導致不當或者虛假的合同簽訂，可能導致企業合法權益受到侵害。造成公司經濟利益的損失。

K2：合同未由公司恰當的經授權人員簽訂，可能導致不當或者虛假的合同簽訂，給公司帶來法律風險或者經濟利益的損失。

K3：未妥善保管或使用合同印章，造成合同章錯用、濫用，可能導致公司利益損失。

K4：合同未全面履行，或沒有及時履行且沒有得到及時處理，或監控不當，可能導致企業訴訟失敗、經濟利益受損。

K5：合同糾紛處理不當，可能損害企業利益、信譽和形象；合同糾紛引發的公司重大法律訴訟事項沒有及時對外披露。

針對合同管理流程的主要風險，優化審查、審批、跟蹤記錄等環節，強化事前的控制措施，以降低剩余風險，需要達到的控制目標如下：

K1：確保合同在簽訂前經過合理的審批，以確保公司的經濟利益不受損害。

K2：確保合同由授權人簽訂，確保合同的有效性，維護公司的合法權益。

K3：確保合同用章過程規范有序，維護公司的經濟利益。

K4：承辦部門對合同的履行情況進行跟蹤記錄，并實施例行匯報機制。合同歸口管理部門根據合同管理要求定期組織對合同履行情況的檢查以及評估工作。

K5：各承辦部門在合同發生糾紛時，及時將發生的法律訴訟事項向法律事務人員以及合同簽署人報告。公司法律顧問按照上市規則要求對公司的法律訴訟事項進行分析、整理，經確認需要披露的，按照上市規則進行披露。

如上，合同管理流程中涉及的高風險在加強風險控制后，剩余風險轉入中、低風險。

四、結語

正如ISO主席凱文所說“風險管理是嵌入到而不是附加于組織現存的實踐或業務過程中。”我們應該清醒的認識到企業風險管理與組織流程的融合特性，要立足于嵌入性的角度去構建風險管理體系，持續改進和不斷加強企業風險管理工作。本文以理論聯系實踐的方式，闡述了風險管理與組織過程的關系，以及基于嵌入性視角的風險管理內容，并以實例展示了風險管理嵌入流程管理體系的方法，對企業設計風險管理框架、全面推進風險管理工作起到一定的借鑒作用。

[1]ISO 31000：2009，Risk Management-Principle and guidelines[S].

[2]GB/T24353：2009，風險管理——原則和實施指南[S].

[3]安泰環球技術委員會.管理風險，創造價值——深度解讀ISO 31000：2009標準[M].人民郵電出版社，2010

[4]周伏平.企業風險管理[M].遼寧：遼寧教育出版社，2003

[5]徐慧娟，蔣坤鵬，徐培蓓.內部控制自我評價（CSA）技術在風險管理中的應用——嵌入CSA的全面風險管理體系設計研究[C]. EBM 2010國際會議（2010 International Conference on Engineering and BusinessM anagement）

[6]劉子英編譯.企業如何強化風險管理——澳大利亞專家論建立風險管理框架[J].上海質量，2009（9）

[7]王一飛，丁日佳.基于ISO 31000標準的企業年金風險管理策略研究[J].上海金融，2011（11）

[8]吳秀波，張舒華，魏偉.論企業風險管理制度框架的建立與實施[J].常州工學院學報，2005（3）

[9]田原.解析企業風險管理框架[J].商場現代化，2009（36）

[10]白華.內部控制、公司治理與風險管理——一個職能論的視角[J].經濟學家，2012（3）

[11]付書華，陳玉濤.淺談現代企業風險管理[J].中國城市經濟，2010（8）

[12]李莉.論企業內部控制的風險管理機制[J].企業經濟，2012（3）

（作者單位:深圳市中金嶺南有色金屬股份有限公司 廣東深圳 518040）

（責編：賈偉）

表2 法律風險評估維度

F270

A

1004-4914(2014)10-091-03