企業全流程風險防范體系的構建

沈源津

風險在企業運營過程中是客觀、普遍存在的，企業可以通過有效的風險管理手段降低風險事件的發生概率，減少風險事件引起的損失。

一、企業風險管理概述

企業風險是指對企業的戰略與經營目標的實現造成不確定性影響的因素，包括戰略風險、財務風險、市場風險、運營風險、法律風險、投資風險等。風險事件的發生會給企業帶來損失，影響企業的經濟運營成效。企業風險管理是指企業為了降低風險事件的發生概率，將風險事件發生導致的損失控制在一定范圍內，提前制定風險應對策略的一系列管理活動。企業應將風險管理跟企業的戰略設定、經營管理、業務流程相結合，風險管理應覆蓋企業的所有風險類型、業務流程、操作環節、管理層級。

二、構建全流程風險防范體系的意義和作用

全流程風險防范體系是指企業根據實際運營情況，對公司從戰略管理、職能管理、業務管理等方面進行全面梳理，識別各個運營流程中存在的風險點，制定風險防范策略，并在執行過程中根據風險變化、策略執行情況、公司發展規劃等對風險管理進行監控和調整，同時引入內部審計、紀檢監察、評價等管控手段確保風險防范策略有效實施的管理體系。構建全流程風險防范體系有助于降低企業風險事件的發生概率，減少風險事件發生引起的損失，為戰略的有效實施、資源的優化配置、企業的價值提升提供強有力的支撐，顯著提高企業的經營管理水平，實現企業的經營目標。

三、全流程風險防范體系的構建和實施

全流程風險防范體系的搭建和實施要結合企業經營實際，以提高企業經營效益和實現企業戰略規劃為目標，以風險管理為導向，以全流程梳理為基礎，以關鍵業務活動為重點，按照事前、事中、事后三個實施階段不同的側重點，全面謀劃、設計、制訂、持續改進企業全流程風險防范體系。

（一）全流程風險防范體系的建立

構建全流程風險防范體系的第一步是要全面梳理企業日常經營管理中各類、各項業務、各職能線條的現有流程，進行風險識別，重點關注企業的核心業務和關鍵流程，特別是產品制造流程、銷售管理、采購管理、工程管理、投資管理、資金管理等關鍵領域，運用調查問卷、風險組合清單、SWOT分析、流程圖、潛在事件分類圖等應用工具進行風險識別，查找經營管理風險點，組織風險管理評估專家對所發現的經營管理風險點進行研討分析，評估風險影響程度及發生概率，編制風險分類與缺陷清單。第二步是要對風險清單所羅列的風險點，一一對應制定風險應對策略，實施業務流程再造，將風險控制在企業可承受范圍之內，針對關鍵領域的經營管理風險點，企業應建立重大風險預警與應急機制，明確風險預警標準，制訂應急預案，提升企業風險應對能力。第三步是要根據風險管理目標，健全建立風險管理制度體系，包括風險管理決策制度、風險識別和評估制度、風險管理評價制度、風險管理報告制度等，同時根據已梳理出來的經營管理風險點，將風險防控手段嵌入到企業各項日常管理經營制度中，改進、完善各項制度，促進業務處理規范化和標準化。

（二）全流程風險防范體系的執行與實施

全流程風險防范體系運行得到預期最大效益的關鍵在于有效執行，企業應采取切實措施，細化舉措，落實責任主體，確保全流程風險防范體系能有效落地，執行到位。

一是要優化企業組織架構。企業應明確風險管理組織架構和有關職責，有條件的集團企業應成立專門的風險管理工作領導機構，負責風險管理工作的組織協調，同時設立專職機構或確定牽頭部門，配備專職工作人員。企業在風險管理組織架構設計中一般設立三道防線，其中相關職能部門和業務單位是風險管理的第一道防線;風險管理職能部門和董事會下設的風險管理委員會是風險管理的第二道防線;內部審計部門和董事會下設的審計委員會是風險管理的第三道防線。

二是要建立共同參與的跨部門聯動工作機制。高效協同的基礎在于清晰的權責、精細的分工，企業首先應明確全流程風險防范體系各環節、各流程、各業務的分工及職責權限，明確責任鏈條分界點、銜接點，落實責任歸屬。其次應注重部門間的上下聯動，左右協同，準確把握“統和分”、“點與面”、“內與外”的關系，整合資源聚合力，實現各機關部門協同高效運作，提高風險管理程序的流轉效率。最后，公司職員作為全流程風險防范體系各環節的具體執行人，企業應注重鼓勵員工積極參與，激發員工的工作熱情，形成群策群力、自覺執行的全員風險管理意識與氛圍，共同推進管理體系有效落地。

三是要建立風險執行監控預警機制。通過定期、定頻收集企業各項業務流程在執行過程以及日常監督檢查工作中反饋過來的數據，建立企業風險檔案數據庫，進行風險識別，并根據風險危害程度、緊急程度、發生頻次，運用安全檢查表法、作業條件危險性分析、事故樹分析、風險矩陣、作業風險分析等等專用工具，明確一級、二級、三級、四級風險預警閾值，進行監控預警。對日常運營中的疑似風險，要運用定量和定性相結合的分析辦法進行研判，包括風險的類別、程度、原因及其發展趨勢等，并根據風險事件的預警等級，按照企業風險管理權限和程序，采取對應的應對措施，及時防范、控制和化解風險。對于有實力的集團企業，可利用現代化信息化手段建立風險預警實時監控系統，提高風險識別的準確性以及風險事件發生時的應對效率。

四是要明確風險信息溝通與報告路徑。企業應依據風險事件的實質內容、影響程度、緊急程度等信息，結合風險執行監控預警機制中對各類風險事件的預警等級規定，明確各類風險事件的報告程序和應對措施的決策層級，確保在風險事件發生后能及時、準確、有效地向企業內部經營領導班子、董事會及監管部門反映。其中，重大經營風險事件的報告應按照事件發生的不同階段，分為首報、續報、終報等三種方式，首報報告內容應包括風險事件發生的時間、地點、現狀、可能造成的影響損失、采取的緊急應對措施等;續報報告內容應包括風險事件的基本過程、發展趨勢研判、風險應對處置方案、面臨的問題、困難及建議等;終報報告內容除了涵蓋首報、續保的主要內容外，還應包括風險事件涉及的金額或損失及影響、問題整改情況等。

（三）全流程風險防范體系的監督檢查和優化

全流程風險防范體系的有效執行離不開監督檢查，企業應充分利用內部審計、紀檢監察的力量，充分揭示全流程風險防范體系的設計缺陷和運行缺陷，提出管理改進建議，并跟蹤落實缺陷整改，實現閉環管理，促進全流程風險防范體系不斷優化和改進。

一是加強風險管理日常監督檢查。企業應把風險管理作為企業經營常態化管理的重要組成，將風險管理和業務流程有效結合，強化風險防控，設定日常監督檢查機制，根據風險指標的預警層級，定時、定期、定頻開展風險排查工作，及時發現風險日常管理過程中存在的不足及漏洞，形成檢查報告，提出改進建議，根據企業風險信息溝通與報告路徑相關規定，向有關業務部門及企業管理層反映。對于一級預警風險指標，企業應適當提高檢查、抽查頻次。

二是定期開展風險管理內部審計和紀檢監督檢查。內部審計和紀檢監察是企業強化內部監督，實現規范運營的重要手段，是企業堵塞管理漏洞、減少腐敗機會、促進健康發展的有效路徑，企業應將企業全流程風險管理作為經濟責任審計、財務收支審計以及各類監督檢查工作的重要內容，針對關鍵業務領域的風險點及重大風險隱患事項，應加強管控，適時開展專項審計檢查，實現監管資源的合理配置和高效利用。審計機構和紀檢監察單位應整合檢查所獲得的數據，形成審計、檢查報告，披露企業在全流程風險防范體系的建設和執行中存在的缺陷和不足，并提出整改意見，上報本級黨委及董事會，并報送相關主管部門，同時做好內部審計、紀檢監察的后半篇文章，聚焦問題整改落實，強化整改成效，促進企業管理提升。

三是結合檢查結果優化全流程風險防范體系。全流程風險防范體系是一個動態發展、不斷改進、不斷優化完善的過程，企業應加強全流程風險防范體系的持續提升、優化升級改造工作。對于日常監督檢查、內部審計和紀檢監督檢查發現的問題和不足，企業應高度重視，不僅要深度檢查問題形成過程，分析問題形成原因，還要舉一反三全面梳理全流程風險防范體系建設和執行過程中存在的漏洞和缺陷，查漏補缺，加強短板，制定解決方案，穩扎穩打推進全流程風險防范體系的持續改進與優化，增強企業對內外部風險的抵御能力，提高企業風險管理水平，推動企業戰略目標的實現。

（四）全流程風險防范體系評價考核機制的建設

全流程風險防范體系評價機制的設定，第一步是要采用定量指標和定性指標相結合，基本指標與修正指標相輔相成的方式，結合公司戰略發展目標和業務重點，確定評價指標的內容。第二步是要針對每一個評價指標，科學制定評價指標的目標值及權重，其中權重的設計要充分發揮企業的戰略和經營目標導向作用。第三步是要結合評價的目的、范圍，企業的所屬行業、規模等信息，明確計分方法，一般采取功效系數法、綜合指數法等定量方法，并輔以素質法、行為法等定性方法。第四步是要明確評價周期，可以采用月度、季度、半年度、年度、任期等。

全流程風險防范體系評價機制還須與業績考核、責任追究機制結合起來，發揮合力效應。一是通過評價機制對全流程風險防范體系的建設與執行效果作出全面、客觀、專業、公允的評價，并將評價結果納入績效考核體系，激發職員的工作動力，充分發揮評價考核的導向作用，讓評價考核成為全流程風險防范體系有效執行的重要推手。二是建立重大風險事件責任追究機制，根據重大風險事件的性質及影響程度對責任領導及相關人員進行相應的責任追究，例如在評價機制和業績考核中給予扣分或降級處理，以此強化風險管理過程中各業務、各流程執行人員的責任心，提高人員的執行能力和質量，促進全流程風險防范體系高效有序運行。

四、借助現代化手段為構建全流程風險防范體系提供信息化支持

隨著信息科學技術的高速發展，信息化建設在風險管理領域中發揮著越來越重要的作用，建立風險預警信息系統，可以提升企業在日常風險管理的信息資源共享能力，提高信息傳播的速度與精準度，對于突發風險事件，可以有效地提高應對效率。推進全流程風險防范體系建設同信息化建設的融合對接，刻不容緩。企業應在將制度和風險應對措施嵌入業務流程的基礎上，結合企業信息化建設進程，將業務流程和風險防控措施逐步固化到信息系統，實現智能風險識別、智慧風險分析、風險分級預警、分類督辦、風險動態跟蹤、決策輔助等功能，以“互聯網+監督”的創新、精準、有效方式，實現風險管理在線運行，在線監控，在線管理。

全流程風險防范體系與信息化建設的融合主要體現在兩個階段，第一階段是在風險識別階段，企業可運用SPSS、Clementine等專業的數據分析軟件對風險數據進行科學的分析和研究，有助于風險事項做出正確研判，提高風險指標制定的科學性和嚴謹性。第二階段是在風險管控階段，企業將風險執行監控預警機制在線化、信息化，通過設立風險預警模型，對各業務流程的風險點進行實時監控，對管理對象做出安全風險評估，并將超越預定閾值的告警推送到相關業務部門，進而為企業管理者的決策提供數據支撐。全流程風險防范體系信息化系統的建設需要專業的技術支持，對于信息技術人才有限、無力獨自開發信息化系統的企業，可采取采購服務的方式，引入RiskRaider風險雷達、風險管控SAAS平臺等專業化風險管控平臺，促進全流程風險防范體系信息化管理，從而有效地提升企業的風險管控能力。

結 語

全球經濟一體化的進程在很大程度上加劇了風險事件產生的影響范圍和危害程度，一個小的風險事件一經發生，有可能像打開潘多拉魔盒一樣，形成多米諾骨牌效應，對企業本身及上下游鏈條造成連鎖影響。在這種大趨勢下，企業往往面臨著極其復雜的外部環境，經營壓力和風險加大，這些都客觀地要求企業應重視風險管理，運用風險防范工具提高自身抵御內外部各種風險的能力，在此背景下，構建全流程風險防范體系刻不容緩，這也是企業實現規范、穩健、高效發展的必要工具，是順應國際國內政治經濟環境新變化的必然要求，是企業提升資源配置效率和防范經營風險的重要保障。