嵌入式風險管理在企業管理中的應用

蔡東云

摘 要：本文簡要闡述了嵌入式風險管理的涵義及筆者對嵌入式風險管理的認識，結合國際標準化組織2009年發布的ISO31000風險管理國際標準，提出了優化風險管理流程、制定標準化工作模板及風險管理報告制度的嵌入式風險管理方法，并進行了論述。

關鍵詞：嵌入式;風險管理;標準化模板

隨著全面風險管理工作的不斷深入開展，越來越多的領導干部意識到風險管理的重要性，對風險管理的重視程度和積極性顯著提高，風險理念從HSE風險、穩定風險、廉潔風險逐步滲透到生產運行、經營管理、工程項目等各個方面，工作動機從最初的滿足上級要求逐步轉變為注重實際效果。基于此，很多企業采取措施，建立起各種風險管控體系，這些體系的建立對于控制不同類別的風險發揮了重要作用，如內部控制管理體系、廉潔風險防范體系、HSE風險管控體系、法律風險防控體系等，還有在此基礎上疊加組合的“N位一體”風險管控體系，幫助企業充實、構建全面風險管理體系。盡管如此，體系建設仍然無法解決常態化風險管理應包含的具體工作這一問題，很多專業的管理者認為現有的業務管理就是風險管理，已經可以滿足管理的需求，沒有必要再專門引進一項所謂的“風險管理”工作。

一、嵌入式風險管理的認識

全面風險管理是一個復雜而抽象的實踐過程，應該貫穿于企業各層級和單元。2009年，國際標準化組織發布了《風險管理-原則與實施指南》（ISO31000風險管理國際標準，以下簡稱ISO31000），這是第一個真正用于全球的風險管理標準。它的導入有利于風險管理工作落地，更讓參與風險管理工作的各級人員清楚地認識風險管理與企業管理目標的一致性，從而推動風險管理與業務的密切結合。ISO31000提出風險管理應以關聯的、有效的和高效率的方式嵌入組織的所有實踐和過程，嵌入性是風險管理的本質屬性。

1.嵌入式風險管理是對原有風險管理的升華。在日常經營管理中，通過制定并不斷完善各種流程、制度和規范，可以對絕大多數的固有風險實施有效管控。嵌入式風險管理是針對少量相對重要的剩余風險進行處理，雖然它不能取代日常的經營管理和風險管理，但其作用在于可以提升保障程度和精細化水平，將風險控制在整體可承受的范圍內，是對風險管理進行了有效升華。

2.嵌入式風險管理取決于管理層的判斷，結合企業經營管理提升、改善的需要主動實施。當管理者意識到“對于某些重要領域存在哪些風險認識不清楚、對于認識到的具體風險的后果和可能性不清楚、對于重要的風險事項是否遺漏不清楚”三種情況時，就要實施嵌入式風險管理，充分認識內外部環境，主動開展風險評估，采取有效的風險應對措施。隨著環境的變化和認識的改變，嵌入式風險管理過程可以重復使用，使風險管理對變化保持持續感知和響應，動態往復地嵌入到經營管理各方面。

3.嵌入式風險管理具有廣泛的適用范圍。它不僅應用于企業層面的風險管理，更重要的是，它還要應用于企業整個生命周期的各種活動，包括戰略、運營、職能、產品、服務、資產、決策、項目和過程。既適合于從公司層面到基層班組的各個管理層級，也適合于生產經營、安全環保、穩定、廉潔、合法合規等各項業務;既適合于沒有明確時間限制的運營環境和有時間限制的項目過程，也適合于決策和變更。

二、風險嵌入式管理的方法

正確認識、理解并實現風險管理的“嵌入性”，是提高風險管理有效性的唯一正確途徑，是風險管理與企業經營管理實現有機融合的基本保證。基于此，企業應樹立“管理提升就是管理風險”的理念，緊密圍繞企業發展目標，積極構建嵌入式管理流程，健全全面風險管理機制，突出風險管理的嵌入性和有效性，強化全過程管控，真正將國際標準運用到企業風險管理實踐，實現風險管理制度化、規范化、常態化，有效防范和化解各類風險。

1.優化風險管理流程

為了廣泛推行ISO31000風險管理標準在各個領域的應用，提高嵌入式風險管理過程的適應性，制訂簡化的風險管理基本流程（見圖）。

第一，建立環境。建立環境是風險管理嵌入性和有效性的必要前提。“建立環境”要明確日常管理已經管理到什么程度，需要提升到什么高度。風險管理要實現嵌入日常管理，必須對日常管理有準確的認識，對影響目標實現的確定性和不確定性因素有詳細了解，對制度流程設計和執行有效性有基本的判斷，對日常管控措施防范固有風險的效果要做出評判，通過環境建立和背景的認識，為風險管理工作提供支撐。

第二，風險評估。風險評估是風險管理工作的核心流程，是通過識別一定數量的風險事項，分析風險發生的可能性及產生的后果，并提出應對風險的措施建議。它是區別于日常管理的一個顯著特征。風險評估重點是提出一些新問題或者對老問題的新認識，還要提出解決問題的方法和手段并權衡其可行性。嵌入式風險管理的核心環節就是風險評估，其價值主要體現在“發現問題和分析問題”，這也是嵌入式風險管理區別于“日常管理”或“日常的風險管理”的顯著特征。

第三，風險應對。風險應對是指對重要風險事項提出風險管理策略，擬定有針對性的解決方案（包括規避、降低、轉移、承受及殘余風險的監控預警和應急處理）并組織實施。風險應對是風險評估結果的必然反應，在嵌入式風險管理過程中的作用要低于建立環境和風險評估，與日常風險管理中以“解決問題為主”的風險應對不可相提并論。

根據實際生產經營情況執行相對簡單的流程，可以提高工作的可行性及和管理的效率效果。但是，面對較為復雜的環境或重要的事項時，還是要執行更為完整的流程，實施更加細致的分析和評價，不能因為擔心程序復雜影響管理效率而偷工減料，為企業帶來不必要的麻煩。

2.制定標準化模板

在開展嵌入式風險管理的過程中，制定標準化的風險管理工作模板，使其作為嵌入式風險管理的工作抓手，用簡單、明了的方式，普及風險管理應用，確保風險管理工作得到有效實施。

（1）制定標準化的風險評估調查表

風險評估的前提是建立環境，所以要求風險評估的參與者必須關心目標，并且要了解影響目標的各種因素。在此基礎上，風險評估才能實現其嵌入性和有效性，從而發現新問題、采取新措施。風險評估調查表的填報者必須是關鍵崗位人員，立足崗位實際，明確工作目標和評估背景，實現“建立環境-風險評估”兩個步驟之間的有效聯系。（見表1）

標準化風險評估調查表具有以下特點：

第一，設置“主送”一欄。要求填寫所提報風險事項需要報送的主管領導或部門，以體現風險評估的嵌入性，所提報事項應該是提報者和接收者共同關心的風險。

第二，著重風險識別。風險識別的目的是提前發現當前已實施控制手段的情況下仍然存在的問題，以問題為導向，全面考慮可能產生的嚴重后果，描述未來有可能發生的現象或事件。

第三，指出后果影響。主要描述提報的風險事件如果發生，會對主要經營指標或約束性指標產生的影響程度。影響程度會有多種量值，選取量值表述事件后果的嚴重性目的是為了強調風險應對的必要性。

第四，要求概率估計。作為事件的提報者，要根據客觀和主觀因素，對事件發生的概率作量化的估計。一般情況下，概率估計以時間段作為前提，即“未來*個月發生可能性為**”。

第五，要有具體的措施或建議。風險應對的方法包括降低、規避、轉移和承受，其中降低是最常用的方法，包括降低風險的可能性和后果的嚴重性。然而有一些風險是我們無法控制的，如宏觀形勢變化、行業政策調整等，還有一些風險即使采取措施也無法規避，這就需要進行實時監控和提前預警。因此要求相關部門具體說明本層級下一步監控或應對風險的措施計劃，并提出需要上一級領導或部門給予的支持和建議。

（2）制定標準化風險應對與監控表

“風險應對與監控表”銜接“風險評估-風險應對”兩個步驟之間的聯系，可以與“風險評估調查表”結合使用，用于反饋風險應對措施的落實情況。（見表2）

填報標準化風險評估應對表，要注意以下幾點：

一是提出應對措施。在風險評估后，經主管領導（決策層）批準，要提出需實施的風險應對措施計劃，且符合生產經營實際。

二是明確責任部門。風險應對措施可能是一項也可能是多項，這樣對應的責任部門也可能是多個。

三是有監控手段。針對“可能發生的風險事件”，確定具體的監控手段（指標），如安裝攝像頭是對某些區域的監控手段，氯離子含量是避免氯離子超標的監控指標，在發生異常現象或接近關鍵數值時要發出預警。

四是制定應急預案。風險事件并不會受我們控制，或者即使能夠控制，也不會完全消除，針對可能發生的事故和危險源應當制定專項應急預案和現場處置方案，要填寫具體方案名稱，以及是否演練等。

五是加強跟蹤檢查。各級風險管理部門應對同級專業管理部門及所屬單位風險管理情況進行監督檢查，了解按照基本流程開展工作的情況，編制風險管理監控報告并動態調整，掌握重大風險及其變化并及時向管理者提示，填寫風險事件應對監控匯總表。

3.動態編制風險管理報告

建立健全風險管理的報告機制，風險管理報告成為領導干部決策的重要參考。風險管理報告的主要使用者是編報單位（部門）領導和上一級主管領導，應當為決策者提供重要參考并切實解決實際問題。

（1）重大風險事件評估情況

列示經風險評估確定的重大風險，對重大風險進行簡要描述，按照風險事件發生的可能性和發生后對目標的影響程度兩個維度，將年度的重大風險繪制成風險坐標圖。重大風險事件產生于風險事件庫，最少10項，最多20項。

（2）重大風險事件防控措施

對每一項重大風險擬定有針對性的風險應對方案（包括規避、降低、轉移、承受），確定風險預警指標和應急預案，制定風險事件發生前、中、后擬采取的應對措施以及危機處理計劃等。

（3）重要風險領域管理情況

根據管理流程和業務分工，在編制風險分類清單的基礎上，對不確定性因素較多的重要業務、關鍵環節進行分析評價，確定風險管理的重要領域，制定風險防控措施，開展專項風險管理工作。

風險管理不是另搞一套，是傳統管理的提升和替代，不能游離于經營管理之外，要成為具體經營管理的組成部分。要樹立抓重點、抓關鍵的意識，在穩定中尋找不穩定，在不確定的環境中尋找高度不確定，在日常管理中不斷擴展風險管理的范圍，通過風險管理的常態化有效提升管理水平，實現對于各種風險的“可控、在控、可承受”。