全面風險管理在民營企業的落地實踐研究

李東玲

(舜宇光學科技(集團)有限公司，浙江 余姚 315400)

2016年以來，人們大力推行全面風險管理體系，以《中央企業全面風險管理指引》、COSO-ERM風險管理框架為建設指引，緊抓機遇與風險，化解企業可能面臨的各項風險，為企業千億元目標保駕護航，為社會主義現代化事業建設添磚加瓦。

隨著各種黑天鵝事件的爆發，越來越多的企業意識到風險管理對企業的重要性，特別是民營企業的經營特殊性，在企業高速發展時，很多企業往往會忽視管理的重要性。

1 S公司情況及全面風險管理體系建設背景

1.1 S公司基本情況

S公司創立于1984年，其已發展成為全球領先的綜合光學零件及產品制造商。S公司于2007年在香港聯交所主板上市，是首家在香港上市的國內光學企業，納入恒生指數成分股。公司堅定不移地實施“名配角”戰略，始終如一地聚焦光學領域產品，致力于打造馳譽全球的光電企業。三十多年來，公司以每十年10倍以上的速度增長，連續6年蟬聯《財富》中國500強榜單，2020年首次躋身中國企業500強，在30周年慶典上，S公司首次提出銷售收入1000億元的宏偉目標。

1.2 全面風險管理體系建設背景

S公司作為一家在香港主板上市的民營企業，自公司成立以來，始終將風險管理與內部控制建設的重要性放在很高的位置。特別自2005年以來，海外市場的企業管治守則、規則均發生變遷，現更為注重風險管理，而非純粹的關注內部監管，現已成為國際發展趨勢。港交所于2014年修訂《企業管治守則》《企業管治報告》。2016年1月1日開始，所有在港上市的公司，必須披露風險管理和內部控制建設情況，各自的職責與角色，如不披露就必須解釋。此《守則》的生效，促進S公司風險管理建設進程。

同時，S公司管理層一致認為，圍繞公司千億元戰略目標，人們應快速建立符合監管要求、服務經營發展，組織健全、責任明確、程序規范、處置得當的全面風險管理體系，實現企業風險管理與總體戰略目標相適應，促進企業有效防范并化解風險，培育企業風險管理文化，提升各級員工風險管理意識，構建良好的風險管理環境，進一步增強企業的抗風險能力和市場競爭力，為公司千億元戰略目標保駕護航。

2 S公司全面風險管理體系建設實踐

2.1 S公司全面風險管理體系建設歷程

S公司全面風險管理體系自2016年開始，至今已經歷4個年度，總體發展歷程概括為三個階段。

第一階段：醞釀期(2016年及以前)。這一階段公司尚未正式開展全面風險管理體系建設，集團及各子公司主要是專家型的風險管理。各模塊的風險管理活動相互獨立，對風險的及時監測及提前防范作用較小，缺少縱向垂直、橫向協同的一體化應對方案，對公司戰略的調整有限。

第二階段：探索期(2017至2018年)。隨著公司開始推進全面風險管理體系建設，集團及各公司開始系統化地進行全面風險管理自評、風險落實情況核查。從目標確定、風險識別、風險評估、風險應對、控制活動及監測等環節進行管控，形成風險管理清單，但常態化的運行管控機制并不完善。

第三階段：快速發展期(2019年至今)。經過兩年的風險管理落地探索，在這一階段，S公司的全面風險管理體系建設迎來了爆發式的發展。風險管理工作小組全面推動風險管理預警機制建設、常態化與動態化的管理、全面風險管理(ERM)制度體系建設、信息化建設、全面風險管理(ERM)納入企業績效考核體系，實現全面風險管理體系在民營企業S公司的真正落地，形成適合S公司的風險管理方法。

S公司全面風險管理體系建設的發展歷程基本上代表了我國絕大多數民營企業的發展歷程，從無到有，從建立到完善，從學習標準體系到形成自我管理風格的風險管理建設體系。

2.2 全面風險管理體系建設面臨的挑戰及解決對策

2004年以來，COSO委員會發布《企業風險管理框架》(第一版)。2017年9月，COSO又發布了《企業風險管理——與戰略和績效的整合》框架(第二版)。在2016年，S公司構思建設全面風險管理框架時，正是新舊框架調整期。在此種情況下，S公司啟動了全面風險管理建設，在建設過程中面臨各種各樣的挑戰，整體可歸納如下三個：一是沒有系統性風險管理建設經驗，該如何建設全面風險管理體系；二是風險管理從業人員少，沒有專業的全面風險管理體系建設人員怎么辦；三是民營企業在全面風險管理體系建設過程中，如何讓全面風險管理這么好的管理工具在企業里真正實現落地，助力企業健康、快速成長，就會面臨著諸如：如何識別企業面臨的潛在重大風險，重大風險如何落地，風險管理如何實現提前預警，風險管理如何與績效考核、戰略管理相融合。接下來將結合S公司的實踐經驗，逐一闡述全面風險管理體系是如何在民營企業實現落地的。

2.2.1 如何建設全面風險管理體系

S公司搭建全面風險管理體系總體思路：遵照2017版COSO ERM(企業全面風險管理)框架，循序漸進建立并完善各子公司及集團風險識別、評估、應對、控制活動和指標監控的全面風險管理體系。首先，S公司明確了風險管理工作的有效性要由最高領導機構董事會負責，并授權審核委員專業審核管理層提交的全面風險管理報告，確保管理層已履行職責建立有效的風險管理及內部控制系統。S公司總裁主持集團全面風險管理日常工作(包括自評及各項工作)，設立集團風險管理領導小組與風險管理工作小組，各子公司風險管理日常工作由總經理主持。同時，還成立了針對各重點管控風險的二級風險管理工作分組。具體見圖1。

圖1 全面風險管理小組管理架構

其次，遵循與企業戰略目標相結合，與日常管理工作相結合，全員參與、上下聯動的管理原則。明確全面風險管理建設總體目標，S公司風險管理緊緊圍繞公司千億元戰略目標，初步建立符合監管要求、服務經營發展，組織健全、責任明確、程序規范、處置得當的風險管理體系，實現總體戰略目標與全面風險管理(ERM)相適應，并將S公司總體風險控制在可承受范圍內，確定了風險管理建設三年十步走的推進計劃。其中，第1～7項為短期計劃，第8～10項為三年長期計劃。

最后，聘請外部咨詢機構，提供專業咨詢服務。選擇與國際知名咨詢機構進行合作，通過咨詢機構在服務過的企業中積累的經驗，給予集團及子公司各級管理層專業的風險管理建設賦能、前沿的理論知識及未來的中短期全面風險管理建設計劃建議，幫助本公司快速提升全面風險管理建設能力。

2.2.2 缺少專業的全面風險管理建設人才

全面風險管理體系是一項龐大、系統性的工程，涉及企業經營過程中的方方面面。首先選擇了擁有風險管理專業知識基礎的財經、企管體系人員負責落實，通過與咨詢機構聯合開展咨詢項目，幫助公司員工快速成長。同時，S公司自主專研風險管理專業知識，實現自我快速成長，通過集團工作小組的快速成長，再賦能于各公司風險管理小組對接人員。同時，還加強與實踐中的企業進行交流，依托高校提供理論支持。

2.2.3 全面風險管理體系落地

COSO的全面風險管理(ERM)框架是一個復雜的體系，這樣一個新的管理方法讓大家接受，并將理論真正的實現落地，需要進行綜合管控。其一，制定全面風險管理三年戰略規劃，將戰略規劃轉化到集團及各公司每年的年度規劃中，每年按計劃穩步推進。其二，為了保障落地，建立系統性的風險管理制度、機制及流程，落實信息化建設，將全面風險管理融入績效考核。并基于公司實踐經驗，不斷對現有流程進行優化完善，整體效率得到快速提升。其三，建立集團層面重點管控風險+子公司層面TOP3風險的管控模式。集團風險管理領導小組每年根據風險識別結果、發生的風險事件及未來風險研判，結合公司戰略規劃時識別的風險，確定集團層面風險(需所有子公司落實管控)。各事業部結合自身的發展需要，另行識別子公司層面重點管控的TOP3風險。其四，以風險預警指標為抓手，內部控制檢查與專項檢查相結合，形成各業務部門每月自查+工作小組復核+集團工作小組抽查+審計部核查的常態化運行機制。其五，建立子公司風險管理領導小組負責制，充分調動小組內成員的積極性。在集團層面，協調各專業領域專家，建立集團及子公司層面風險管理智囊團，從集團層面解決相關問題，最大限度降低同一問題的解決成本。其六，S公司特別關注風險管理文化的建設與風險意識的培養與形成，建立從集團到子公司的風險管理賦能團隊、風險管理培訓課程體系，希望盡可能地提升各級管理人員風險管理意識，將S公司培育成為風險管理導向的企業文化。

2.3 全面風險管理體系建設取得的成果

2.3.1 COSO-ERM框架實現在民營企業的全面落地

S公司建成全面風險管理方法論體系，實現全面風險管理(ERM)框架體系的轉化落地，并在實踐中不斷優化。在框架體系建設中，形成風險管理三道防線、風險管理“六步法”，明確風險管理職責、風險管理操作流程。在制度體系建設中，建立全面風險管理各項管理制度，如《風險管理制度》《風險管理績效考核辦法》等，與業務部門聯合推動，將風險管理方法論融入現有業務管理制度體系中，形成風險管理導向的制度優化。統一風險管理語言，制定風險管理評估標準，發布風險管理專業術語，形成可供參考的風險管理清單。詳見圖2。

圖2 S公司風險管理六步法

2.3.2 實現風險管理各項關鍵工作落地，提前防范潛在風險

S公司通過風險管理自評、關鍵風險指標預警、風險事件庫、控制活動優化，結合常態化的管理機制，幫助管理層及時了解風險變化趨勢，提早調整應對計劃降低風險，實現灰犀牛風險可防可控，黑天鵝事件快速響應，風險落地率達90%以上。推動集團內各公司橫向比較，實現集團內部優秀管理經驗的流動與傳播，助力企業發展、強化風險防范。

2.3.3 形成風險管理文化，風險管理成為企業管理工具

S公司通過風險管理建設工作的不斷推進，各級管理人員風險管理意識得到快速提升，與日常工作融合，風險管理環境及理念得到巨大改善，風險管理人才隊伍壯大，建成一支高素質的風險管理團隊，已經成為可以指導S公司戰略調整管理工具。

2.3.4 獲得外部專業機構高度認可與評價

S公司在2021年MSCI-ESG評級從BBB級提升至A級，MSCI-ESG企業管治議題的評估中，公司風險管理處于行業領先水平。在國家級書刊、省級、市級交流中多次分享S公司風險管理優秀實踐經驗，希望給正在探索全面風險管理體系建設的企業提供一定的借鑒與指導。

3 未來展望

未來，將結合后疫情時代的特點，持續深化風險管理體系建設，著力進行數字化轉型。全面風險管理將通過更加智能的BI系統，實現風險管理全程可視、實時監控、固化流程及決策支持，建立風險管理的自動免疫機制。同時，還將緊跟國家步伐，以“強內控、防風險、促合規”為目標，積極探索風險管理、內部控制、合規建設的融合發展，整合優化相關管理制度，推進風險、合規、內控、內審的大協同，建成基于內控、合規、內審為基石的大風控體系。