風險管理的要害

支東生

如果說風險管理是過程規范，內部控制是制度規范，那么這一切要取決于公司治理的結構規范。其中，董事會對有效開展風險管理發揮著極其重要的作用，一方面是要把握戰略風險和重大事項的風險防控；另一方面就是對管理層的管理行為進行有效監督，使內部控制得以實現，使企業能夠對各類風險采取積極有效的防控措施

今年1月召開的“中央企業、地方國資委負責人工作會議”提出，要在防范化解重大風險方面主動作為，著力抓好重點領域風險防控，進一步筑牢不發生重大風險底線，這對提高企業抗風險能力提出了新的更高的要求。2018年全國兩會，國務院國資委主任肖亞慶在記者會上表示，“對中央企業來講，加大風險的控制，降杠桿、減負債、防風險仍然是我們今年和今后一段時間一個很重要的任務。”從2006年6月國資委頒布《中央企業全面風險管理指引》至今已12年，不少中央企業經過實踐探索，建立了與企業運行相適應的風險管理體系，熟練掌握了各種風險管理工具和方法，應對各類風險的能力不斷增強。從這些年中央企業風險管理的實踐經驗看，增強企業抗風險能力應關注四個要點。

培育風險管理文化，

將風險管理“嵌入”日常經營管理

一些企業的經驗表明，有效的風險管理是以良好的風險管理文化為核心，通過在企業管理和經營過程中執行風險管理基本流程而實現的。因此，增強企業風險管理能力的首要工作是培育良好的風險管理文化，企業管理者和員工要對不確定性有足夠的意識，具備管控好風險的意愿。

強調風險管理，不是要在企業管理系統之外再加一個管理系統，而是要將風險管理融合在企業現有管理各環節之中。只有將風險管理完全“嵌入”企業日常經營管理，才能使風險管理流程真正發揮作用。風險管理是以風險為導向對現有管理流程、管理要素的重新定位，要求企業管理者和員工要保持對風險的警覺，要創造“居安思危”的氛圍，并使之成為全體員工的行為習慣，以把控住未來的不確定性對企業發展的影響。

優秀的風險管理文化表現在三個方面，即善于溝通、風險警覺、快速反應。風險管理重在信息對稱，因此風險文化特別強調溝通的作用，注重跨部門、跨區域、跨級別、跨層面的溝通。同時，風險文化也是高度警覺的文化，它使企業每臨重大決策，做到“必問風險，必評風險，必管風險”。此外，要求員工具備快速反應的能力，具有處理重大風險和應對突發危機事件的方法和手段。正是這種風險管理文化，將企業各個職能部門以及各級公司橫向縱向溝通起來，保持風險警覺和快速反應能力，使風險管理基本流程得以有效執行。

完善法人治理結構，

將風險管理職責落實到位

有效的風險管理必須以風險管理體系建設為保障，即為風險管理流程提供制度保障、組織保障，同時提供風險管理必要的方法、工具和手段。沒有健全的風險管理體系，風險管理流程就難以實施。比如，風險管理組織體系的作用和地位就非常突出。健全的風險管理組織體系，能夠使風險管理職能部門、內部審計部門、法律事務部門及有關業務單位，在風險管理流程中發揮應有的作用。

企業風險管理的核心問題就是董事會、管理層及員工在各自崗位上把控好內外部不確定性對業務的影響，使企業避免損失從而得以持續發展，由此看來，法人治理結構是構建風險管理體系的基礎。完善的公司治理結構，有利于充分發揮董事會戰略決策作用、監事會的監督作用、黨委會把方向管大局的作用以及經理層的執行作用，各司其職，相互監督，共同促進。因此，對于企業風險管理的評價，必須從治理結構角度出發，審視各方是否將各自風險管理職責落到實處。

企業風險管理工作的系統性原則，要求公司治理與內部控制等公司規范相輔相成。如果說風險管理是過程規范，內部控制是制度規范，那么這一切要取決于公司治理的結構規范。其中，董事會對有效開展風險管理發揮著極其重要的作用，一方面是要把握戰略風險和重大事項的風險防控；另一方面就是對管理層的管理行為進行有效監督，使內部控制得以實現，使企業能夠對各類風險采取積極有效的防控措施。

加強內部控制，

在“做正確的事”基礎上“正確地做事”

企業的內部控制是風險管理的重要組成部分，兩者是相輔相成的，即風險管理強調“做正確的事”，內部控制強調“正確地做事”。風險管理從戰略角度考慮如何把企業的整體風險控制在可承受范圍內，在戰略制定時就考慮如何規避或承擔風險，或利用風險的兩重性特點，更好地把握戰略機遇，同時關注重大決策及執行之后的評估。內部控制則更關注效益、有效經營、合規和財務報告的真實性。

加強企業內部控制有利于增強企業風險管理的執行力。企業內部控制體系建設，有助于強化企業自身的管理基礎。通過健全企業各項規章制度、改進各項流程、完善標準體系等工作，提高企業整體管理水平。以便在風險事件發生的前、中、后期，采取相應的有效應對措施，避免重大損失，真正實現風險管理控制損失、創造價值的原則。

操作手段來講，加強內部控制可以充分發揮規章制度和優化工作流程的作用；就管理對象來說，從制度和程序角度首先控制住內部風險，在此基礎上有效應對外部風險；就控制范圍來說，強調把人管好，使各個崗位執行好風險管理職責。

發揮風險信息系統作用，

加強風險評估和風險監測預警

風險管理信息系統是開展風險評估和建立風險監測預警系統必不可少的工具，有些企業把風險管理和信息部門的職能放在一起管理，充分發揮了信息技術對于風險管理的支撐作用。風險管理信息系統不僅可被用于識別、計量、評價、監測和控制企業運營過程中面臨的所有風險，更能幫助企業貫徹風險戰略、實施有效管理、固化風險管理流程。

從一些企業的經驗看，完備的風險管理信息系統是開展風險管理的基礎，風險分類、風險事件、風險識別與評估、風險解決方案都要依靠信息系統支撐。風險管理信息系統運用多種工具和手段對各類風險進行評估，尤其在開展重大項目定量風險分析時，利用數據模型開展如壓力測試、情景分析等，信息手段更是必不可少。同時，風險管理信息系統為風險動態監測和風險預警提供了必要保證，通過在系統內對關鍵控制環節和控制點的設置，實現了風險管理關口前移的管理目標。

從目前企業實際情況看，不少企業在風險管理信息系統建設方面一直是弱項。為發揮風險管理信息系統對風險管理的支撐作用，企業應增強對風險信息系統建設的重視程度，加大人才培養力度，使技術力量和基礎設施的投入保持良好的水平。

企業的風險管理都是個性化的，每個企業所處的行業不同，實施風險管理的基礎不同，開展風險管理的手段也不盡相同，不可能采取完全相同的形式，也不會一蹴而就。企業要根據自身情況，探索適合自身條件的風險管理路徑，根據自身特點找準切入點，真正將風險管理“嵌入”日常經營管理中，將風險管理和企業內部控制體系有機結合，全面增強防范化解重大風險的能力。

作者系國務院國資委研究中心研究員