以流程管控的全面風險管理體系構建與實踐

隨著企業由粗放型向精益改進和集約型的轉變，傳統的管理方式受到沖擊，這就要求企業提升自身價值創造能力，最大限度地減少企業運營風險的發生和損失擴大的可能性，以提高企業管理活動的連續性、穩定性和高效性，減少資金收益的波動性，防范和化解各類風險，增強企業抵抗風險的能力。同時，企業在日常經營運行管理過程中積累的方法和經驗，為開展全面風險管理工作提供了良好的基礎，通過對先進的風險管理理念和方法進行消化和吸收，建立完善的風險管理體系，探索以流程管控為核心的風險管理之路是企業未來迎接挑戰的砝碼。

一、基于流程管控的全面風險管理體系的內涵

基于流程管控為核心的全面風險管理體系，是實現其戰略目標的手段和策略。其具有兩方面的內涵：一方面企業風險管理工作始終以業務流程為導向，以內控為契機，梳理關鍵風險點，通過流程與風險的匹配，將風險管理與企業的各項管理密切銜接，嵌入到企業各項日常的經營活動中，營造風險管理氛圍，樹立員工風險管理意識；另一方面企業風險管理是動態的、持續改進的過程，遵循著企業PDCA循環原理，并根據企業的戰略目標和經營目標以及面臨的內外部環境的變化而適時改變的，隨時檢查、改進、修正計劃，保持一定彈性的管理過程。

二、基于流程管控的全面風險管理體系構建與實施

本文結合某大型國有企業全面風險管理體系建設與實施的實踐，構建企業全面風險管理體系框架，旨在提升企業風險管理運行效果，完善企業內部治理。構建的全面風險管理體系框架由多個子系統組成，分別為組織機構、內部控制、考核系統、報告系統四個主要部分構成，這四個主要部分相互依存、相互作用、協同運轉，保障全面風險管理功能的發揮。

1.建立全面風險管理體系子系統。（1）成立組織機構。全面風險管理組織體系包括兩方面的內容：第一，由風險管理職能部門牽頭，對企業各部門業務流程進行梳理，形成上下一體、分工明確的全面風險管理組織體系；第二，各專業組按職能分工組織和指導自己負責的各單位開展風險管理工作。組織體系的設計緊密結合企業的實際，能夠有效地解決全面風險管理與內部控制、全面風險管理與廉潔風險、法律風險的管理關系與銜接方式，為日后的工作奠定了堅實的基礎。（2）建立內控系統。首先，以“企業層面控制平臺”為目標，建立“垂直化集中式分級歸口管理”內部控制體系，提升企業決策控制能力、管理控制能力、業務控制能力及財務控制能力；其次，根據《企業內部控制指引》，編寫由決策控制、管理控制、業務控制、子企業控制、會計控制、內部檢查與評價六大主要內容的較為完備內部控制系統。（3）建立考核系統。根據《全面風險管理考核指標體系》對風險管理體系建設的完備性和全面風險管理工作運行的有效性兩部分進行考核，并將風險管理評價與領導和管理人員的考核結合起來，建立較為完善的考核系統。（4）建立報告系統。風險管理報告體系包括兩個層面：一是風險管理職能部門向企業層面提交的報告，包括《重大風險應對報告》《年度風險管理報告》等；二是各職能部門向風險管理辦公室提交的報告，包括《部門風險監控報告》《風險管理解決方案實施報告》等。企業風險管理報告體系規范了報告的范圍、內容、各職能部門的職責權限，系統分析和精準辨識企業面臨的內外部風險。

2.形成PDCA循環模式的風險管理工作流程和機制。風險管理工作流程是開展風險管理工作的循環工作流，是風險管理功能得以發揮的基本工作程序，將風險管理要求融入到現有的內控管理流程中，最終形成一個動態的風險管理工作機制。（1）收集風險管理信息。定期進行相關風險及風險管理相關信息的收集，包括對企業戰略管理方面、市場開拓方面、運營管理方面、財務管理方面、法律法規方面等內外部信息收集，并對本部門業務涉及的風險事件進行識別和歸類，為后續階段的風險辨識和風險評估提供基礎資料，可通過訪談、調研、發放問卷等方式收集初始信息。（2）建立風險辨識機制。風險辨識可運用電子調查問卷、高層訪談、部門研討、關鍵崗位實地調研、專家頭腦風暴等方法，依據風險辨識責任分配表并結合自身業務理解，梳理本部門風險事項，辨識本部門的風險事件和潛在風險，對上一年度辨識出風險事件提出合理建議，形成風險事項庫。（3）建立風險評估機制。

一是確定風險評價標準。參考現有各領域評價標準及相關制度，制定基于風險發生可能性和風險影響程度兩個維度、五個等級的風險評價標準；二是開展風險評估工作。從風險發生的可能性和風險影響程度兩個維度對風險進行評價，采用模糊綜合評判方法和風險評估統計方法理論對辨識出的風險事件進行科學評價打分；三是根據打分結果的排序，對確定出的重大風險的屬性、典型表現及動因以及關注要點進行了分析，制定重大風險的應對措施，構建一套比較完備的風險評估機制。（4）制定風險管理應對策略。首先，根據企業整體戰略規劃，對突發事件管理的現狀需要完善、提升的需求，將應急反應機制納入全面風險管理體系中，構建企業防范危機的預警機制；其次，通過選取關鍵風險監控指標，結合對風險偏好的理解，確定出關鍵指標的風險承受度，針對不同的風險等級選擇不同的風險處置方式，并依據風險管理的優選順序確定管理資源的配置，制定風險管理應對措施和計劃。（5）風險管理解決方案實施。首先，各職能部門依據年度風險評估報告、風險偏好承受度對評估出的重大風險，編制風險管理應對措施和風險解決方案；其次，業務部門對風險管理解決方案實施進行有效落實，企業監督管理部門對風險管理方案的實施情況進行跟蹤檢查。

3.形成流程與風險同步運行的風險管理機制。風險管理的核心理念是以風險管理為導向，以流程為依托，從風險管理的視角審視企業的各項管理工作。通過開展流程梳理，將流程與風險相匹配、流程與制度相匹配，從而查找企業內部控制流程中的薄弱環節，以此來改善企業管理，提升風險管理能力。（1）搭建業務流程框架。借助信息化平臺，對流程框架進行頂層設計，將流程分為戰略流程、經營流程和支持流程三大類21個方面內容。戰略流程包括戰略管理、經營管理、法人治理、管理創新等內容；經營流程包括市場營銷、科研管理、技術研究開發、設計與工藝、生產制造、售后服務、質量管理等內容；支持流程包括財務管理、人力資源管理、物資供應管理、信息化建設、條件建設、標準與制度建設、行政后勤管理、檔案管理、合規管理、安全與環保等內容。（2）系統開展流程梳理。一是通過組織和業務數據整理、業務清單整理工作，建立以業務域為統領，覆蓋了企業科研、生產、售后、經營等各個方面的全景流程體系。二是搭建企業級的統一流程管理平臺，實現流程管理可視化、標準化和模型化，客觀反映了業務過程。（3）流程與風險相匹配。首先，借助信息化平臺，組織企業各部門對業務流程的梳理進行多次研討，從流程梳理入手，通過識別流程的關鍵點、采取對應的控制措施以防范重大風險發生，并對每項風險流程從流程概述、流程目標、相關部門及職責、規章制度及管理標準、流程步驟說明、流程風險點描述、流程圖和流程控制矩陣進行了說明，通過構建的流程圖和識別出的流程風險點將流程風險與流程控制相互對應。其次，以風險管理為導向，以內控為契機，編制《流程風險控制手冊》，通過流程與風險的匹配，將企業工作流程與風險管理密切銜接，形成流程層面風險的管控措施。（4）流程和制度相匹配。首先，根據梳理出的流程、流程與風險的匹配情況，企業各職能部門結合本單位的實際，對照診斷問卷內容，收集企業管理制度和標準，梳理、解讀、判斷，認真查找內部控制中的不足，將流程與制度相匹配。其次，在各單位內部控制自我診斷結果的基礎上，對相關單位進行了訪談，并將對標評價結果與各部門進行確認，形成企業制度現狀的診斷結果，編制了《內控合規診斷報告》，為提升內部控制管理水平提供改進建議。

4.風險管理文化融入企業文化建設。將風險管理文化融入企業文化建設的全過程，樹立全員風險意識、底線意識，營造風險管理文化氛圍。（1）推進與企業文化的融合。將風險管理嵌入企業經營管理流程和日常業務活動中，在經營管理各環節和業務過程中執行風險管理基本流程，通過管控業務流程來管理風險，以此加強風險防范管理，實現全面風險管理機制并形成長效機制，使全面風險管理成為企業經營管理的重要組成部分，有效防范企業發展過程中的各類運營風險，以提高經營管理效率和效果。（2）推廣風險管理文化建設。在大力推進企業文化建設的基礎上，將全面風險管理工作由集團本部向子企業延伸，深入推進子企業全面風險管理試點工作，使全面風險管理文化得以全面推廣，風險管理工作得以全面應用。

三、結語

從全面風險管理組織體系的建設，風險管理基本流程的執行、內控合規的診斷、制度和流程的梳理到風險管理文化的培育等方面都充分體現了全員、全面、全方位、全過程參與的具有自身特點的風險管理工作，通過建立以流程管控為核心的風險管理體系，將風險管理與企業的各項管理活動密切銜接，嵌入到企業各項日常的經營活動中，營造風險管理氛圍，樹立員工風險管理意識。同時，通過精細化的業務流程梳理和分析，企業可以有效明確各職能部門和個人責任，做到責權清晰，從而提高企業內部控制和抗風險能力，提高企業管理水平。