淺析企業風險管理體系建立與完善

程書生

摘 要 風險管控是企業管理的重要組成部分，對企業長期穩定發展具有重要意義和影響。本文從企業風險管理的重要性及風險管理體系建設存在的常見問題分析入手，從風險管理體系建設中缺乏科學的風險管理體系及管理制度和流程、沒有設置合理的風險管理組織、缺乏風險管理意識、缺乏風險管理文化培育等常見問題著手，對存在的每個問題的現狀及深層原因進行分析，并針對存在的問題提出改善建議，促進企業風險管理體系的完善，保證企業長期穩健發展。

關鍵詞 風險管理 風險管理體系 問題

風險是指企業的戰略目標與經營目標實現產生影響的不確定性。風險管理可最大限度地降低企業在生產經營中的損失，發揮風險防范和規避的作用，可以為企業更好發展提供保障。企業應建立起各層面協調一致的風險管理體系，建立和完善風險管理的規章制度和操作流程，確保各類重大風險得到及時識別和有效管理，形成積極進取、穩健經營的風險管理文化。

一、風險管理的基本概述

風險管理是指對影響企業目標實現的各種風險進行識別和評估，并采取應對措施將其影響控制在可接受范圍內的過程，為企業實現經營目標提供合理保證。企業面對的主要風險分為外部風險、內部風險兩大類。

外部風險是指形成企業層面的風險，包括顧客風險、競爭對手風險、政治環境風險、法律環境風險、經濟環境風險。內部風險由各流程層面風險構成，包括產品風險、營銷風險、財務風險、人事風險、組織與管理風險等。

二、全面風險管理體系建設存在的問題

（一）缺乏科學的風險管理體系及管理制度

企業對風險管理沒有形成科學的管理體系。風險管理部門如何開展風險管理沒有制定科學的管理制度及流程，沒有開展收集風險信息、識別企業面臨的風險工作，沒有科學地對風險進行量化評估、分類、排序，確定企業面臨的主要風險及提出風險應對方案。沒有將風險解決方案和內部控制體系進行融合，未形成科學合理的風險管理制度和流程，無法保證企業全面風險管理工作的有序性和有效性，企業風險管理工作開展無序。

（二）風險管理組織設置不合理

1.風險是一項全員參與的工作。風險的收集、識別、評估，應對策略的制定、執行，都依賴于各業務部門的參與。但有些企業將風險管理工作直接設定為風險管理部門的職責，導致風險管理工作開展困難，與實際業務脫離。

2.風險管理部門在組織架構上隸屬層級不夠，缺乏獨立性，監督工作不能正常開展，不能對企業風險管理和內部控制形成有效監督，影響企業風險管理工作效果。

（三）缺乏風險管理意識

企業在生產經營過程中將生產、銷售作為運營重要環節，忽視風險管理工作。經常遇到的幾種誤區：第一，知道公司的風險是什么，但知道不等于達成共識。由于所處位置不同，決策層、執行層與操作層看待風險的角度不同，或因為所處部門不同，大家對風險的感受也不同。第二，認為“找風險就是找自己部門的問題”，沒有認清風險管理并不等于找問題。風險管理是為避免管理風險開展的一項管理工作，是為防范風險制定措施來控制風險的活動，本質上不是問責審計或監察活動。第三，業務部門認為他們負責業務，風險管理不是業務部門的職責。第四，業務部門認為風險管控措施影響了業務效率，沒有認清風險管理對業務的保障作用及如果發生風險對企業產生的巨大損失。

（四）缺乏良好的風險管理文化培育環境

在企業文化中，沒有有效的風險管理文化培育機制，風險管理文化宣傳貫徹存在差距。員工風險意識淡漠，風險管理工作開展缺乏廣泛的員工基礎，對風險管理工作敷衍了事，風險管理工作開展不深入。企業風險管理工作貫穿企業各項經營活動全過程，只有將風險管理文化融入企業文化培育活動中，才能將風險管理意識變為員工的自覺行為，將約束工作變為自覺主動行為，營造出良好的風險管理文化環境。

三、完善全面風險管理體系的策略、建議

（一）建立健全風險管理體系及制度

企業應建立完善的風險管理體系，規范業務風險管理，建立和完善風險管理制度和操作流程，確保各類重大風險得到及時、有效管控，提升公司各部自主風險管控的能力，界定管控責任，明確要求，有效執行。企業應建立涵蓋風險識別與評估、風險應對、風險監督與改進的風險管理體系。

1.風險識別與評估流程。運用邏輯的、系統化的方法，將風險識別、分析、評價、排序等工作有機地結合在一起的工作過程，是風險應對、監督與改進等風險管理的其他環節工作的基礎。對可能影響戰略和經營目標達成的若干重大、專項風險，開展積極有效的辨識、評估和應對管理，立足事前防范，堅持事前控制、預防為主。

2.風險應對流程。采取一定的策略和方法對已辨識和評估的主要風險進行管理控制，聚焦企業核心業務和重要業務流程。與公司日常經營管理緊密結合，把風險管理有機融入現有業務管理和流程中，將其控制在公司可承受的范圍之內，從而保障公司經營管理目標的實現。根據風險管控目標制定風險應對策略、風險應對措施，并監控與監督執行，監督管理改進與開展考核工作，使風險管理成為價值保障的重要手段。

風險管理工作應根據企業實際設立“三道防線”。第一道防線：公司的一線業務部門，作為風險的第一道業務管理防線，負責業務日常風險管控。第二道防線：公司的職能部門，作為風險的第二道職能管理防線，負責支持、推動、落實相關業務風險管控。第三道防線：內部控制與風險管理委員會及其領導下的風險管理部，作為風險的第三道業務管理防線，負責支持、推動、監督業務和職能部門風險管控工作，對風險管理部門工作職責要有明確的定位。企業面對重大風險時如果不能提前做好預案和應對措施，可能使企業產生重大損失，因此風險應對措施還應包括重大風險應對預案及演練。

3.風險監督管理。建立科學的風險監督流程，風險監督與改進方案應包括風險應對措施落實核查、效果評價。風險監控工作應分級監控，及時發現重大風險事件;應建立有效信息溝通與共享機制，協同處理、反饋機制，對風險變化實行動態監控與評估。各級風險管理部門應通過開展風險檢查、內控評價、內部審計等方式監督核查各單位重大風險的管控情況;及時發現內部控制存在的重要缺陷和風險，提出內部控制改善建議，并督促進行整改與完善，強化管理，完善內控，提升公司運行效率和效益。各級業務、職能部門基于風險評估和管理導向，開展對應業務檢查或管理評審。通過風險評估、內控評價、審計監督、效能監察發現和揭示問題，促進企業健全風險管理“三道防線”和管控長效機制，防范風險。

4.風險改善管理。風險管理部門應根據生產經營實際需要對正在執行的制度流程開展評審優化工作，規范各類制度管理，對制訂、修訂的各項制度流程進行發布前的風險評估、內控設計有效性審查。明確各項管理權限，統一審批流程，提升公司整體管理能力及運行效率。

風險管理部門應推動管理層重視審計整改工作，對形成的審計報告提請管理層作出批示，明確被審計單位整改工作的要求，并監督完成情況，對涉及管理責任的應轉相應部門進行追責處理。同時在企業內共享審計、檢查成果，把典型案件拿出來作風險管理案例，通過過去教訓給將來以啟發，對具有共性的問題要求舉一反三并開展自查、整改，提升管理水平。

5.風險考核管理。企業應建立風險管理考核制度，推動風險管理工作的開展，在制度中明確各層級責任。在企業經營業績考核體系中結合風險管理工作重點和要求，對各部門及相關責任人設立風險管理工作考核內容，明確各部門及相關責任人在風險管理工作中應承擔的責任及管理目標。對責任人的風險管理能力進行考核，并建立相關追責機制，促進和推動企業風險管理制度落實及風險管控水平提升。

從風險識別到風險應對及風險監督與改進工作的開展，逐步形成健全的企業風險管理體系。通過建立完善的風險管理體系確保企業重大風險可控，同時遵循風險平衡收益原則，提升經營管理效率和效益，實現風險管理創造價值。

（二）科學設置風險管理部門

要確保風險管理部門功效的發揮就必須要科學設置風險管理部門，明確風險管理部門及業務部門在風險管理工作中的責任、權利劃分。企業風險管理需要董事會和高層的支持，因此需要建立一個向董事會報告并負責的風險管理委員會，同時設立一個在風險管理委員會領導下的專職風險管理部門。風險管理部門必須具備很強的獨立性，授予其對企業風險管理的相應權利，如對企業信息的全面接觸權、審計權，明確風險管理報告的報批流程，以及與業務部門溝通流程，保證風險管理報告的客觀性、準確性。同時，對各業務部門在風險管理過程中的責任和義務進行明確，保證風險管理部門工作的開展。風險管理部門應把自己定位成一個專業的服務、監管部門，是幫助大家改善管理、合規經營、規避風險的幫手。

（三）加強企業風險管理意識

企業風險管理水平的高低與企業員工風險管理意識的強弱直接相關，企業的管理人員和基層員工都需要有正確風險意識，了解風險管理對企業發展的保護和促進作用。加強企業風險管理意識要首先從企業管理層著手，通過向管理層做加強企業風險管理意義的培訓，經過經常性的宣傳、灌輸，讓他們逐漸加強對風險管理的認識。同時，增強員工的風險意識，企業應定期組織高層管理人員對相關基層員工開展風險管理相關知識、意識培訓，積極向風險管理工作開展較好的企業學習，培育員工風險管理意識，從而提升在日常工作中對風險管理的重視度，提升企業整體風險管理水平。

（四）加強風險管理文化建設

企業風險管理水平提升離不開企業風險管理文化的建設，以文化引導為重要手段，激發員工的自覺行為，充分增強員工的風險意識，培育良好的風險管理觀念和風險管理精神，使風險管理文化融入企業文化的一部分。在企業文化建設方面注重融入風險管理理念的宣傳，提高員工風險管理素質，培養全體員工對風險管理重要性的認知，各層級都要利用各種機會、場合、方式宣傳風險管理。風險管理工作既是“一把手”工作，同時也是企業各級人員都要做的工作，引導領導認識、重視風險管理工作，營造企業內部風險管理的積極氛圍。

全體員工只有認識到風險管理的重要性，才能把風險管理落到實處。在日常工作中結合實際工作考慮風險、管控風險，從而將企業風險管理融入生產經營每個環節，將每個環節的風險控制在可控范圍內，提升企業風險管控水平。

（五）完善風險管理信息系統

企業應建立和完善風險管理信息系統，成為連接各級、各部門企業風險管理及內部控制的信息平臺。在信息系統中涵蓋風險管理基本流程和內部控制各環節，保證信息采集準確及時完整，完善重大風險篩選功能。信息系統應能實現風險實時監控、預警及風險可定量分析，同時滿足企業風險管理內部信息報告制度要求及對外信息披露管理制度要求。

風險管理信息系統應實現信息在各部門、業務單體之間的集成與共享，共享審計檢查成果，打破部門、業務單體之間的信息和管理壁壘，舉一反三自查、整改、提升，實現企業整體和跨部門、業務單體的風險管理要求。通過信息系統的建立和完善，有效推動內部控制體系建設落地，加強監督檢查，降低內部控制成本，提高風險管理效率，實現企業風險全方位監控，以信息化手段進一步提升企業風險管理水平。

（六）加強風險管理隊伍建設

要加強風險管理組織隊伍建設，企業應建立一支強大的、統一的、專業化的風險管理隊伍，從數量和質量上都要重視。要重視專業隊伍、專業人員的管理，在專業經驗、專業能力方面，需要有培訓，可以定期邀請外部的專家來做培訓，介紹經驗，學習先進觀念和工作方法，促進隊伍綜合能力提升。

風險管理隊伍要成為企業風險管理制度、流程的捍衛者，首先要嚴格要求自己的工作作風。秉承嚴肅的工作作風，開展風險管理工作，對企業風險進行有效管控，對管理進行改進，為企業生產經營活動保駕護航。

四、結語

企業在風險管控體系建設方面應根據企業的實際情況進行分析，建立一套完整的符合企業實際的管控體系，實現企業風險管控在制度、流程、隊伍上有保證，員工思想上重視，從而有效防控風險，為企業生產經營保駕護航，促進企業長期健康、穩定發展。

參考文獻

[1] 湯伶俐.面向風險管理的企業內部管理體系打造[J].中外企業家，2019（21）：36.

[2] 周樸.企業全面風險管理體系的框架及其構建[J].企業改革與管理，2019（01）：33-34.

[3] 康俊.全面風險管理在企業管理中的應用[J].現代商貿工業，2017（03）：117-118.