企業風險管理

李國才

摘要：所有類型和規模的企業都面臨內部和外部的、影響企業不能實現目標的因素和影響，這種不確定性所具有的對企業目標的影響就是“風險”。且在外部監管、標準和內部控制方面要求下，企業必須合理開展風險管理工作，即可以有效杜絕這些風險的事實發生，消除或降低風險帶來的損失，又滿足了相關機構及標準的管理要求。

關鍵詞：風險；風險管理；風險控制；標準；領導；糾正；預防

中圖分類號：F253 文獻標識碼：A 文章編號：1006-4311（2017）30-0044-02

0引言

ISO組織于2009年11月15日首次發布風險管理標準ISO 31000（轉化成國標為GB/T 24353），至2017年1月國家正式發布2016版GB/T 19001質量管理體系標準，明確新增了企業開展風險管理的要求，意味著所有參與質量管理體系認證的企業均應開展風險管理工作。如何開展風險管理工作，以及開展風險管理工作需要關注的內容，成為企業當前必須要考慮的問題，本文旨在描述風險管理的方法及需要重點關注的內容，從而提高企業實施風險管理的效率，實現開展風險管理的效果。

1風險管理的標準

要想規范地開展風險管理，那么對標準的研究就必不可少，因此，我們先對風險管理的相關標準進行梳理及說明。

2006年6月國務院國資委發布《中央企業全面風險管理指引》，要求央企和大中型國企開展風險管理工作，用以增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展。2009年末，國際標準化組織（ISO）和國際電工委員會（IEC）歷時五年在廣泛匯聚各國的風險管理成果的基礎上，發布了適用于各種組織的風險管理國際標準ISO31000：2009和ISO/IEC31010：2009等系列標準，該系列標準提供了風險管理的原則和通用的實施指南，適用于各種類型和規模的組織，以及組織的全生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產品、服務、資產、運作和決策有關的各項活動。2010年我國財政部、證監會等五部委聯合頒發《企業內部控制基本規范》配套指引，主要是為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護市場經濟秩序和公眾利益，并要求各上市公司在提交財務年報的同時，還要提交年度內部控制報告，各上市公司均開展基于風險管理的內部控制體系建設工作。2015年7月，ISO/FDIS9001：2015《質量管理體系要求》正式發布，其中將“應對風險和機遇的措施”正式納入標準并取代預防措施的管理要求。2017年1月，GB/T19001：2015《質量管理體系要求》正式發布，這也就意味著國內所有開展質量管理體系認證的企業均應開展風險管理工作。

從上述風險控制相關標準的發展不難看出，風險控制已由一項非常規工作轉化為常規工作，這就要求所有的企業都應理解并掌握風險管理的重要性及方法。

2風險管理基礎

風險管理的重要性的體現以及如何開展風險控制都離不開以下幾個基礎：領導作用、機構設立、職責權限、全員風險意識。下面我們就這些基礎進行解釋及論述：

領導作用：任何一件事情的成功，都離不開領導的支持。因此，要想順利的開展風險管理，并且發揮風險管理帶來的收益，就需要企業領導的支持。領導作用主要應該體現在以下方面：①態度。企業領導對風險管理的態度尤為重要，只有企業領導自己有認真開展及落實風險管理工作的態度，其他人員才能感同身受并認真執行。②信息傳遞。當企業領導意識到風險管理工作的重要性后，應將這個信息傳達到公司的每一個階層并明確開展風險管理工作的目標及要求。③以身作則。風險管理工作應該是貫穿到工作中的每一個環節及內容，企業領導在日常工作中也應身體力行，靈活應用及執行風險管理的工作要求。

機構設立：在企業開展風險管理工作前，首先應設立風險管理的決策機構，并設立風險管理人員，必要時，應由企業的最高管理者擔任或兼任風險決策機構的負責人：其次，在每個分支機構也應設立風險管理機構及管理人員：最后，在每個業務部門應指定風險管理人員。

職責權限：風險決策機構負責制定風險管理的方針和目標，明確風險管理的方法及要求，組織開展風險管理工作，對風險管理工作的全過程實施監督，并出具風險管理報告：各分支機構應按照風險決策機構的要求開展風險管理工作，主動收集新的風險，對本機構的風險實施預防工作及監控工作：各風險管理人員應掌握風險管理的方法及工具，認真履行本機構的職責及要求。

全員風險意識：企業在開展風險管理前，首先應有風險管理的意識，而且要將這種意識自高層的領導至下級的員工的進行傳導及貫徹。企業中越多的人有風險管理意識，那么風險管理工作就越好開展且效果越好。這樣的意識并不是一天兩天能夠形成的，而是通過大量的實例及分析，讓大家認識到風險管理帶來的好處。

3方針及目標

在開展風險管理工作前，應針對本企業開展風險管理的基本原理、框架及決心等，制定風險管理方針及各階段的目標，并闡明風險管理的目標及承諾，這個方針應該與QMS及EHS等管理體系的方針不同，但可體現風險管理方針與其他管理體系的關系。

風險管理目標的制定，應明確企業開展風險的目的，并且有針對性的制定目標，這個目標可以是長遠的，也可以是階段性的，但至少應指明風險管理的方向及目標。

4風險管理開展的方法

為保障風險管理工作的正常開展，應至少包括的流程有：風險點確認→風險評估→審批→下發→落實→關閉→統計分析→風險報告。

風險點確認：風險點是指在開展風險識別前制定的工作項目，通過對這些工作項目的判定，從而確認是否存在風險。風險點是開展風險識別的范圍及方向，風險點的確認有助于指導識別工作的順利進行。一般來說，風險點的范圍及數量應與企業的規模、經營/服務范圍成正比，應囊括企業管理的全過程，且應按企業最高管理者的期望進行確定，至少應包括戰略、法律、運營、財務、市場五個方面。只有確定了風險點，各分支機構和業務部門才能直觀地開展風險識別，從而能夠更加全面地識別出存在的風險。endprint

風險評估：風險評估包括風險識別、風險度評價和風險應對措施三個方面：

①風險識別：各業務部門應按照風險點規定的內容和范圍，嚴格梳理本部門在風險點描述的工作范圍及內容中存在的事實風險，這個過程應該由部門主管和部門中有多年工作經驗的人員共同開展，大家應客觀、準確地開展識別工作。

②風險度評價：風險度評價是分析評價風險程度并且確定其是否在可接受范圍的程度，是發生特定風險事件的可能性及后果的結合，風險度是由“風險發生的可能性”和“風險發生后的影響程度”共同進行確定的，一般情況下，由兩者的乘積確定。風險決策機構應提前制定“風險發生的可能性”和“風險發生后的影響程度”的判斷標準，各業務部門嚴格按照判斷標準進行評價及確認。

③風險應對措施：各業務部門應按風險度，選擇風險管控應對措施，應對措施包括接受風險、轉移風險、規避風險、降低風險等：接受風險是指當風險度較低時，接受當前存在的風險，不采取任何措施：轉移風險是指通過開展相關工作將風險轉移到其他機構或企業：規避風險是指通過制定措施開展工作或停止相關工作避免風險的發生：降低風險是指通過制定措施開展工作或利用政策將風險降低到可接受的程度。當選擇了轉移風險、規避風險及降低風險時，應相應的制定工作計劃，工作計劃應考慮現代化、信息化及先進的方法及工具，并明確責任人及完成時限。

審批：風險決策機構應組織對各業務部門的風險評價結論進行審核及批準，審核的方式可以是逐級審核，也可以是會審，經過審核的風險評價結論應提報企業最高管理者進行批準。

下發：風險決策機構將經過審批的風險識別結論下發至各業務部門，若識別出的風險度較高或信息較敏感，則應注意保密不要向外傳遞。

落實：各業務部門應嚴格按照風險應對措施開展工作，并保留相關形成文件的信息。

關閉：風險管理人員應對風險應對措施的落實情況進行檢查，并按照完成時限，驗證是否已轉移、已規避或降低了風險發生的可能性，若措施有效，則關閉當前風險，若措施無效，則應立即重新制定應對措施并實施。

統計分析：風險管理員應在各階段對職責范圍內的風險進行統計分析，統計內容包括風險識別的結果、應對措施的落實情況、風險是否事實發生等。

風險報告：風險報告是風險管理工作的總結，是向企業最高領導者匯報風險管理的階段性材料，因此，在風險報告中應包括以下內容：風險識別結論及矩陣圖、重要風險及其處置方案、階段日期內開展風險管理工作的完成情況等，風險報告應提交企業最高管理者進行審閱。

5評測與改進

為了確保風險管理工作的有效性，應建立評測系統及方法對風險的管理進行測量，測量的方法可以是以下幾項或全部：對目標的實現能力的評價、對風險識別結論的客觀性評價、對風險管理方法合規性評價、對風險管理報告的全面性評價、對風險管理人員的能力評價等。針對各方面的評價結果，應適時對風險管理的全過程進行調整，確保風險管理工作始終處于持續改進的狀態，且在管理過程的所有階段都應得到改進。

6結論

企業通過開展風險管理，可以有效杜絕風險的事實發生，從而避免潛在的損失，但為了使風險管理工作不止流于形式，就需要企業對風險管理的相關標準進行解讀及實施，并且在實施過程應該獲得公司各層的配合及支持。endprint