企業構建全面風險管理體系的實踐探索

楊 龍 茶云坡 張 偉 中航西安飛機工業集團股份有限公司

一、體系建設背景

黨的十九大報告明確提出，要堅決打好防范化解重大風險、精準扶貧、污染防治三大攻堅戰，并把防范化解重大風險擺在了打贏“三大攻堅戰”的首要位置。承接黨中央要求，航空工業集團在風控工作會上指出，到2035年，與初步建成航空強國目標相適應，實現風控工作達到國際一流水平；到本世紀中葉，與全面建成航空強國目標相匹配，實現風控工作達到國際領先水平。

中航西飛(下稱公司)承擔著黨和國家賦予的“航空報國，航空強國”的使命任務，在全球價值鏈不確定性劇增的大背景下，加之工作本身所具有的較多的突發性、意外性和偶然性，項目研制和生產交付任務都面臨著很大的風險。無論是“有風有雨是常態”的外部環境，還是充滿挑戰的復雜系統任務目標，都要求我們做好風險管理，把防范化解重大風險落到實處，建立健全有效的全面風險管理體系，打造一套“體系引領、上下聯動、資源整合、高效流通”的一體化管理平臺，構筑防范化解重大風險的重要保障機制，以適應瞬息萬變的運營環境下高質量發展的剛性需求。

二、體系建設過程

公司按照“對標國際先進、符合外部要求、滿足管理需求、重塑業務流程、統一執行標準、持續優化提升”的構建思路，確立了“統籌規劃、體系引領、分級負責、業務實施”的構建原則，以流程為主軸，將全面風險管理與業務風險管理進行深度融合，對業務風險實施拉動管理，構建“融合、務實、高效、開放、共享”的全面風險管理體系，打造風險管理軟實力，提升公司核心競爭力。

(一)對體系文件進行總體布局

公司首先建立全面風險管理體系制度“金字塔”模型[1]，由上往下按層級布局，由下往上形成托舉支撐，確立了“管理手冊-架構方法-管理規定-實施細則-操作方法”的制度架構。將分屬各業務模塊/外部體系的業務風險管理制度調入全面風險管理體系，根據其業務屬性，劃歸實施細則或操作方法類文件，統一按全面風險管理體系制度編號規則編號，運行機制受管理規定類文件的指導和約束。

(二)系統梳理現行的風險管理制度

結合“運營管理體系業務流程框架”，公司對17個業務模塊和16個外部體系風險管理制度進行梳理，全面風險管理體系本身制定制度11份，建立管理流程6項、工作表單15份；其它業務模塊、外部體系梳理出業務風險管理制度18份、管理流程12項、工作表單48份。18份業務風險管理制度由3類制度組成，分屬10個業務模塊/外部體系，涉及10個業務部門。根據體系文件總體布局，按業務屬性確定制度類別，對“越級”制度進行調整，并結合相關業務管理需求，增補業務風險管理制度。按照“業務誰主管、風險誰負責、制度誰主編”的原則，各相關業務模塊/外部體系負責編制本業務風險管理制度。

(三)建立風險管理基礎語境

公司全面風險管理體系建設以頂層手冊為綱領，在手冊中明確體系構建的框架與邏輯，統一基礎術語和定義，制定風險評估標準、風險描述格式等，通過總結先進管理理念，引導各層級管理人員統一認識，樹立正確的風險觀。通過管理規定類文件，建立基礎性管理流程、工作表單，各單位根據自身業務特點，基于已經確定的基礎管理標準，建立具有本業務特色的風險管理運行機制，最大程度滿足本業務的風險管理需求。對于基礎術語和定義，一經確定，禁止各單位擅自修改或自行定義。

(四)開辟一、二道防線風險管理流程接口

在各業務風險管理流程中“風險評估”活動后增加與公司重大風險管理流程的接口，使一道防線風險管理流程與二道防線風險管理流程實現了無縫銜接。一道防線在運行本業務風險管理流程，開展日常風險管理工作過程中，當發現內外部環境發生突變，所產生的不穩定因素可能會對公司運營活動造成較大不良影響時，由主管部門自動觸發公司重大風險管理流程，風險管理行為由“部門級”上升至“公司級”，并按相應的管理程序開展風險管理工作。

(五)增加一道防線風險管理制度風險專業化審核

針對一道防線風險管理制度的標準、設計水平、可操作性等方面參差不齊的問題，調整文件發布流程，增加風險專業化控制與審核，提升全面風險管理體系對業務風險管理工作的指導和約束能力。首先，在全面風險管理體系制度立項流程中，統一將“模塊負責人”設定為體系負責人，由體系負責人對業務風險管理制度新建、換版、更改、作廢原因進行審核，其它審核環節由制度主管部門按公司《業務架構調整任務單》中規定的審批權限配置審批人。其次，在制度評審流程中，必須選擇至少1名風控業務主管作為評審專家，參與制度內容的評審。最后，在制度新建、換版、更改、作廢審批流程中，將“審核”角色設定為體系負責人，由其對制度內容進行審核，其它審批環節由制度主管部門按照《運營管理體系文件架構分冊》中規定的審批權限配置審批人。

(六)定期開展風險管理體系評估

公司以由各業務風險主管單位為成員，成立體系評價小組，根據業務相似性對風險管理制度進行合理分工，各小組對相關風險管理制度的設計有效性和運行有效性進行評價，查找在體系建設及運行方面存在的問題，提出改進建議。公司根據各組評價結果，出具體系評價報告，并督促責任單位完成問題整改，從而不斷促進風險管理體系的健全完善，持續提升體系運行效能。

三、體系建設成果

(一)制度建設，構筑全面風險管理總體框架

公司風控體系隸屬運營管理體系合規管理模塊下的第8個業務域。公司對標先進管理理念，以價值創造為中心、以戰略目標為導向、以業務流程為抓手，構建全面風險管理體系，通過“制度管制度”、“流程扣流程”，將風險管理工作深度融入業務運營管理，分層分類建立了完備的風險管理運行機制，形成了有效的“失敗防御”體系，實現了對風險的自動控制和“自組織”管理。

(二)體系融合，完成全面風險管理一體化平臺構建

公司依托運營管理體系，按照“統籌規劃、體系引領、分級負責、業務實施”的原則，重構業務風險管理模式，分階段將業務風險管理由各業務模塊/外部體系調入風控體系。根據業務屬性，統籌制度層級，以風險管理專業化視角優化業務風險管理運行機制，統一風險管理基礎“語境”。充分發揮風控體系的牽引作用，以流程為主軸，在全面風險管理、業務風險管理、業務運營管理之間開辟流程接口，彌補流程斷點，完成了基于一體化平臺的全面風險管理體系構建，實現了全面風險管理與業務風險管理的深度融合，保證了公司風險管理工作運行高效、步調一致、節奏統一。

(三)體系運行，為運營管理目標實現保駕護航

風控管理唯有緊扣經營目標，方能凸顯價值。年度運營計劃是企業發展規劃的主要載體，更是實現當期經營目標的行動綱領。公司將其作為風控“目標設定”的唯一輸入，針對年度運營目標，確定風控項目和管控方案，在面風險管理體系一體化平臺的基礎上，通過第一、第二道防線協同化運行，讓風險管理與經營活動緊密結合，切實發揮出了風險管理體系的防控效能，在公司年度運營目標實現過程中發揮了有效的保障作用。

四、體系建設感悟

(一)體系構建實施指導思想

基于一體化平臺的全面風險管理體系構建與實施，運用了架構理論和系統工程思想，承接內外部需求，遵循“合法合規、價值導向、全面性、重要性、制衡性、適應性、成本與效益”七大體系構建原則，以公司運營管理體系為依托，以COSO委員會(全稱“發起機構委員會”)發布的“企業風險管理整合框架”八要素作為體系構建的基本框架[2]，對原有管理體系中的風險管理職能進行整合、優化，建立起職責明確、流程清晰、全員參與、循環運轉的全面風險管理體系。

(二)體系構建實施策略

一體化平臺風險管理體系構建遵循“管理制度化、制度流程化、流程表單化、表單信息化”的運營管理體系建設“四化”理念，緊扣戰略目標，用制度搭臺、流程牽線、表單唱戲，通過統籌規劃業務風險管理模式再造，搭建一體化的風險管理平臺，將風險管理與運營管理深度融合，實現風險管理工具、方法的標準化應用，從而有效破除業務壁壘和部門壁壘，促進風險信息的流通、開放與共享，打造一套上下聯動、資源整合、高效流通的全面風險管理機制，推動第一、第二道防線協同化運行。通過持續開展風控體系建設，在公司各業務模塊之間建立一套通用的思維方法及高效的“失敗防御”體系，形成一個統一的行動框架，以便在眾多“灰犀牛”奔襲而來時[3]，能夠自動開啟應對程序，有效改變事件進程，將風險控制在公司可接受的水平。

(三)通過體系構建實施不斷提升公司風險防控能力

構建全新的全面風險管理體系，既是一次對公司風險防控能力的深刻檢視，也是一次風險管理資源配置的再優化，成為公司創新發展、轉型升級的有力推手。依托全面風險管理體系，倒逼管理者克服拖延癥，主動作為，摒棄敲響警鐘的文化禁忌，引導其正視可能的負面結果、提防集體思維，樹立“越早發現警報越好，越早處理潛在的威脅越好”“未雨綢繆遠勝于亡羊補牢”“一分預防遠勝于十分治療”的危機意識，從而加強公司對內外部環境變化以及風險發展趨勢的預判能力，增進各部門對風險信息捕捉、辨識、評估的主動性，提升公司風險管理資源的配置能力和重大風險的處置能力，為公司實現治理體系和治理能力現代化，持續保持高質量發展強基固本。■