洞见丨企业全面风险管理与内部控制

《中央企业全面风险管理指引》要求中央企业根据自身实际情况开展全面风险管理工作。《指引》的印发引起了不小的震动，很多专家认为，它是我国第一个较为完整的风险管理框架，标志着我国风险管理理论和实践进入了一个新的阶段，意义重大。以2008年为拐点，国内外宏观经济环境发生了复杂而深刻的变化，企业面临的不确定因素骤然增加，很多原本隐形的风险转变为现实的危机。伴随着劳动力等要素成本持续上升，资源和环境约束日益增强，外需增长的空间萎缩，传统比较优势逐渐缺失等严峻挑战，企业各种结构性、深层次的矛盾集中显现，这使得现阶段全面风险管理提升工作显得尤为迫切。

一、风险管理初见成效，管理提升任重道远

提升风险管理水平，是中央企业落实“十二五”期间“一五三”总体思路，实现“做优做强，世界一流”的必然要求。风险管控能力强是“四强四优”的主要内容之一，更是世界一流企业必须具备的核心竞争力之一。国资委一直高度重视全面风险管理工作，《指引》印发后，随着一系列的宣贯、交流、培训和年度风险报告等工作的推进，中央企业全面风险管理体系建设，从零开始、从无到有、由少到多、从点到面、由浅入深，取得了非常大的进步，主要具有四个方面的特点

（一）理念趋于认同，对风险管理的认识不断深化。

一是从领导班子的意识层面看，不少企业领导对风险管理的态度，经历了从“不太相信”到“将信将疑”，到“真信、真学、真干”的态度转变。越来越多的中央企业意识到风险管理的重要性，重视程度和积极性显著提升，自愿报送年度风险管理报告的企业从2008年的32家增加到了今年的76家。　　

二是从风险理念的渗透领域看，一些企业从战略决策做起，逐步将风险理念渗透到运营管理、文化建设等各个方面。如中船重工集团公司党组明确提出，“经营企业就是经营风险，控制风险的最好办法就是科学发展”。中核集团引导员工树立“风险无处不在、风险无时不在、严格防控纯粹风险，审慎处理机会风险、岗位风险管理责任重大”的风险管理理念。国家核电确立了“风险无处不在，有控则强、无控则弱、失控则乱”的风险管理理念。国投形成了“防范胜于化解，风险管理是企业核心竞争力”的共识。　　

三是从做好风险管理的动机看，从最初的满足国资委要求逐步转变为注重实际效果。不少企业努力把风险管理工作建成一项长效机制，变“要我防范”为“我要防范”、“被动防范”为“主动防范”，促使企业风险管理由风险揭示型向风险预警型转变，为企业的长远发展保驾护航。

（二）体系建立健全，为扎实开展工作奠定基础。

一是从组织机构建设情况看，大部分企业成立了风险管理专业委员会或者风险管理领导小组等领导机构，明确了风险管理责任部门和职责范围。中国五矿、中化集团等基础较好的企业设立了风险管理专职部门。中远集团和中材集团还设置了首席风险官或者总风险管理师。　　

二是从规章制度健全情况看，绝大多数企业根据自身具体情况，细化《指引》及《企业内部控制基本规范》等文件内容，通过规章制度的形式将风险管理工作的经验和成果进行固化，并在全公司范围内推行。目前，绝大部分企业都制定了诸如《全面风险管理与内部控制管理办法》、《内控与风险管理手册》、《风险评估操作手册》、《风险管理工作规程》、《公司内部控制评价管理办法》等规章制度。　　

三是从工作范围的覆盖面看，大部分企业的风险管理工作已经从只在总部做，发展为从总部到基层；从只在某一个领域做，发展为多个领域；从某几个基层单位试点，推进到多个基层单位，甚至是全部所属单位，工作范围以“横向到边，纵向到底”为目标，不断拓展，有效地延伸了风险管理工作的覆盖面。　　

四是从激励约束机制建设看，风险管理开始纳入绩效考核。中核集团、航天科工、国家电网、中国电信、中国五矿、中化集团、中广核集团、中国普天等一批企业制定和实施了风险管理考核制度，中化集团还根据不同经营单位所处行业、业务模式、内部管理水平以及其风险管理任务和难度，对不同的经营单位设置了差异化的风险管理考核权重，增强考核的科学性。　　

五是从人才队伍建设看，据我们统计，目前在中央企业总部层面，风险管理专职人员平均达到5人左右，中国石油、中化集团等企业风险管理团队规模都超过20人，越来越多不同专业背景、实战经验丰富的人士加入到风险管理队伍之中，不仅实现了队伍规模的壮大，更有利于队伍素质的提升，为风险管理工作注入了新的活力。

（三）创新方法工具，向国际领先的风险管理技术看齐。

近年来，中央企业在风险评估、风险预警监控和风险管理信息化等领域进行了不少有益的探索和实践，不少技术方法接近了国际先进水平。　　

二是在风险预警监控方面，探索研究建立重大风险预警指标体系和动态预警机制，及时向决策层发布预警信号并提前采取预控对策，将风险遏制在萌芽状态。如通用技术集团从全流程出发，梳理确定116个风险监控指标和17类重要风险信息，对流动性、项目实施、汇率等18项重大风险建立预警模型，在全集团实施重要信息披露报告，建立重大风险监控系统，开展风险会商和跟踪调度，强化风险预警和应对；中国中纺集团抓住期现货净头寸、期货保证金和损失限额三个关键指标，动态分析、监控市场波动，有效地把握了市场风险；新兴际华建立了综合指标预警模型、行业对标模型和杜邦分析模型，对企业的总体运行情况、企业在行业中所处的位置以及影响企业预算执行和净资产收益率的深层次因素等进行分析和监控，提升了企业的经营效率和效果。中国铁物开展客户信用风险管理，对客户开展资信调查、资信评估、赊销的执行与控制、超信用额度的管理、考核评价等全过程的信用管理和风险预警，有效地保证了资金安全。　　

三是在风险管理信息化建设方面，充分发挥现有信息化平台和资源，紧密围绕业务风险，推动风险管理的在线运行。中国五矿提出“一个五矿、一套流程、一个系统”，较好地解决了风险管理信息不对称问题。中国电子利用自身产业优势，搭建全面风险管理平台，实现集团核心业绩指标、重大风险预警、风险的定性定量评估、重大项目监测、市场风险监测的在线运行。一汽集团在“企业运营驾驶舱”平台建立了“体系建设”模块，实现了对集团重大风险应对措施的在线监控。国家电网独立开发了全面风险管理信息系统，初步实现了风险信息在线收集、风险状态多维度展示、关键风险自动预警、内部控制在线测试、风险在线报告等功能,大大减少人工收集信息、风险评估等线下工作量，提高了风险管理工作效率。

（四）探索深度融合，将风险管理渗透在日常经营管理中。

二、提高认识，深刻理解全面风险管理内涵

1.对风险管理重视程度不够，风险意识有待加强。

在认识层面上，一些企业对风险管理的核心和本质理解不够。尽管不少企业已经启动风险管理工作，但某种程度上将其作为响应国资委的号召，重视程度和工作主动性远远不够：有的中央企业虽然建立了组织架构和规章制度，但是没有实质性开展工作，风险管理制度被束之高阁；有的企业没有及时掌握风险管理工作进展情况，也没有给出明确的风险管理职能定位和工作要求；有的企业领导忽视风险管理对企业的事前防范和事中控制作用，往往是在风险事件发生后，才会想到风险管理部门的作用；有的企业的风险管理活动是临时性或间断性的，风险出现了就进行管理，风险结束了就将其置之度外。认识上的不到位，有企业领导者个人的认识问题，也有体制方面的原因。

2.风险管理职能定位不明确，体系运行不畅。

部分企业风险管理部门与业务部门的职责定位没有理顺，风险管理部门有被边缘化倾向，导致全面风险管理体系运行不畅，风险管理流于形式。中国五矿的经验告诉我们，风险管理工作在企业管理中的定位非常重要，只有定位清晰、分工明确、不越位、不缺位，才能使风险管理执行到位。但还有不少企业的业务部门对风险管理职能有误解，认为有了风险管理部门，控制风险就与本部门没有关系了。一些企业的风险管理部门和业务管理部门沟通交流不够，导致风险管理与企业现有管理体系难以融合，风险管理工作无处下手。产生上述问题的根源，就在于企业没有赋予风险管理职能部门一个明确的定位，没有搞清楚风险管理部门应该如何发挥作用，风险管理职能仅仅定位于建体系、作分析、写报告，没有与现有业务流程相融合。

3.重大风险有效控制办法比较少。

大部分中央企业每年都会开展风险评估，根据评估的结果确定重大风险。重大风险评估出来，怎么预防、怎么监控、怎么动态管理是个问题。刚才，中国五矿、宝钢分别介绍了他们针对信用风险、市场风险、供应链运营风险等重大风险，有预警、有预案、有措施、有方案、有动态改进机制。但是，大部分企业目前还做不到这种程度。很多企业的重大风险应对措施都是常规性的管理改善，并没有很好地针对风险的特点，制定相应解决方案。简单说，措施缺乏针对性，往往达不到事前控制的目标。

4.风险管理信息化建设还比较初级。

虽然不少中央企业已经进行了风险管理信息化建设的初步探索，并已经取得一定进展。但是中央企业整体全面风险管理信息化仍处于起步阶段，借助信息技术手段进行风险管理信息的搜集与监测工作仍不充分。统计显示，2012年76户编报企业中仅有16户企业基本建立了涵盖风险管理基本流程和内部控制系统各环节的独立的风险管理信息系统。当然，这也与中央企业的整体信息化水平有关。

5.风险管理专业人才比较缺乏。

风险管理是管理学的前沿领域，它要求从业人员不但要理念先进，而且要掌握科学方法，既要有良好的知识结构和研究能力，又要有一定的实践经验和工作阅历。中央企业开展全面风险管理工作时间不长，风险管理工作人员专业知识和从业能力还不能满足高水平风险管理工作的需要。风险管理专业人才队伍的累积还需要一个过程。　　要提升全面风险管理，强化风险管控能力，把风险管理打造成企业的核心竞争力，必须加强对风险管理本质的理解，处理好以下三个关系。

一是正确处理风险管理与业务拓展之间的关系。

中央企业近几年发展很快，业务形式也越来越丰富，业务领域也有所突破，还创新了不少新的商业模式。但同时，业务拓展的过程中存在许多不确定性也显著增加，企业靠什么去评价一个业务该不该做，一个市场能不能进，新的商业模式能不能用，除了对预期收益有个合理的判断，更要靠风险管理来把关。风险管理主要把握的是，这个预期的收益能不能实现，有没有可能受到重大影响，影响程度多大，企业是否可以承受，从而为企业决策提供科学的参考。可以说，只有风险管理能力上去了，企业才更能放开手脚去市场上拼杀。中国五矿在进行投资决策过程中坚持的“五不投”原则，就很好地诠释了风险管理与业务拓展之间的关系。

二是正确处理风险管理职能在三道防线中的定位问题。

这实际上是风险管理如何发挥作用的问题，这也是目前大部分中央企业开展风险管理工作比较大的困惑之一。要解决这问题，首先就是要明确风险管理部门在企业中的定位，明确风险管理职能与其他业务管理职能的关系。《指引》中提出了风险管理的三道防线，业务管理部门和一线单位是第一道防线，风险管理部门是第二道防线，审计部门是第三道防线。这里有三层涵义：首先，即使有了风险管理部门，业务管理部门也是防范风险的主体，风险管理部门不会比业务管理部门更清楚风险点在哪里；其次，即使没有风险管理，业务部门也有防范风险的本能，但是仅靠业务管理部门防范风险是不够的，因为很多业务部门和一线单位的风险防范措施往往是偏具体业务性的，不系统、不完整、不规范，也不标准，风险管理部门必须要对业务管理部门的风险管理进行系统性、完整性、规范性的指导和监督；最后，风险管理是否有效，第一、第二道防线是否发挥了应有的作用，是否存在重大问题没有反映出来，需要独立第三方——审计部门进行评价。中国五矿将集团总部与各经营单位分别定位为“风险管理”和“管理风险”的部门，清晰划分了两个层面的风险管理职能，并充分发挥审计的第三道防线功能，从而使得风险管理体系有效运转，这一做法值得大家学习。宝钢将业务管理和风险管理职能关系比喻成木桶理论中“板”和“箍”的关系，形象、清晰地表达了风险管理职能定位。

三是正确处理风险管理与内部控制之间的关系。

今年4月份，评价局启动了中央企业内部控制体系建设工作，要求中央企业用两年时间建立起规范的内控体系。关于风险管理和内部控制的关系，要从几个方面去看，首先，从历史沿革上看，全面风险管理理论与实践有三个主要来源，一是保险，二是金融风险管理，三是内部控制，其中，从内部控制发展到全面风险管理是一条主线。其次，从主要内容上看，内部控制的对象主要是企业内部、可控的、非决策性的风险范畴。全面风险管理的对象不仅包括了执行层面的风险，也包括了各种外部的、不可控的、企业决策性的风险。例如，对于自然灾害和国际金融危机这类不可控风险，就不是内控的对象，而是风险管理的对象。第三，从二者的关系上看，内部控制是风险管理的基础，内控做好了，企业所有的活动有章可依，所有员工规范操作，内部的风险管控问题才能解决。但同时，企业的重大风险往往来自于外部的环境，来自于企业的决策。企业必须对这些风险也要做到有效管控，才能实现可持续发展。可见，风险管理是内部控制的自然延伸，内涵更宽，所以在工作中二者不能截然分开。企业应当统筹协调，由一个部门具体负责。中国海油由风险管理办公室统一负责推进风险管理与内部控制工作，取得了良好的效果，就充分证明了这一点的合理性。

三、消除短板，突破瓶颈，切实做好全面风险管理提升

全面风险管理是一项综合性较强的工作，涉及面广，内容宽泛，与其他专业管理交叉面多，既有宏观层面的内容，也有业务层面的内容；既要发挥风险管理体系独立的保障性作用，又要与企业现有管理体系有机融合，工作难度和要求都是比较高的。现阶段，做好全面风险管理提升工作，关键是要消除短板、突破瓶颈，在管理水平上“向前迈一步”。

（一）进一步提高对全面风险管理的认识。

各中央企业领导班子要高度重视全面风险管理工作，深刻认识风险管理对企业发展的现实和长远意义，将提升全面风险管理水平作为管理提升的一项重要内容，深入推进。应该说，领导班子的认识和思想观念正在或将要发生转变，这主要是因为外部环境发生了巨大的变化，在国际金融危机和中国经济发展阶段性变化的影响下，企业面对的经营风险趋于上升。在这样一种经济环境下，相信企业的领导班子对风险管理的认识上会有不断的提升。　　企业要进一步明确风险管理的定位和风险管理职能部门的定位，风险管理工作一把手要亲自抓、亲自过问，给予风险管理部门强有力的支持。全面风险管理工作的提升至少应包括以下几个方面：一是在管理层次上由执行层面提升到决策层面；二是在管理模式上由一个部门管理转变为三道防线齐抓共管；三是在管理技术上由以定性为主扩大到定量与定性相结合；四是在管理方法上由人工控制转变为制度流程控制及信息系统控制为主。

（二）完善全面风险管理制度化和规范化建设。

企业内部要推行风险管理报告制度，规范重大风险汇报制度，防止因重大风险损失事件把企业拖入险境。要不断完善风险预警和监控制度，强化风险的事前防范和事中控制，实现风险管理成本效益最大化。同时，要加快推进全面风险管理信息系统建设工作，强化信息技术对企业风险管理工作的促进作用，积极探索建立风险管理评价与考核制度，制定科学可行的风险管理评价办法和标准，将风险管理纳入企业绩效考核指标体系中，建立风险管理责任追究机制，督促所属企业重视风险管理。

（三）加强风险评估工作，确保重大风险可控在控。

中央企业要进一步健全风险评估机制，强化“企业体检”制度。董事会（经理办公会议）负责督导本企业进一步完善风险评估常态化机制，企业“三重一大”、高风险业务、重大改革以及重大海外投资并购等重要事项应建立专项风险评估制度，在提交决策机构审议的重要事项议案中必须附有充分揭示风险和应对措施的专项风险评估报告，风险管理职能部门要坚持对上述重要事项的风险评估进行程序性、合规性审核。要逐步建立健全重大风险监测预警指标体系，实现对重大风险管理全过程的动态监控，确保重大风险可控在控。

（四）加强全面风险管理与内部控制的有效融合。

在全面风险管理体系的建设过程中，一定要和内部控制有机结合，以风险管理为导向，以内部控制为手段，以流程梳理为基础，以关键控制活动为重点，以重大风险报告、预警与应急机制为支撑，结合自身管理的实际情况，促进内部控制与风险管理的有效融合，建立科学全面风险管理体系。

（五）加强全面风险管理人才队伍建设。

目前，中央企业要科学、系统地推进风险管理工作提升还任重而道远，在这个过程中，风险管理专业队伍的建设尤为重要。企业要建立风险管理人才培养体系，定期举办学习研讨和专业培训班，介绍推荐国内外成功经验和案例，组织风险管理经验交流，建立起一支风险管理专业团队，真正掌握有效的风险管理技术和方法，尤其在高风险业务领域要重点培育，如国际化经营管理人才，投资并购专业人才等。

（六）深入推动全面风险管理文化建设。

要做好风险管理，必须文化先行，只有大家都树立防范风险的意识，将风险管理与岗位工作紧密结合，才能在第一时间发现和采取有效措施防范风险，减少和避免风险损失。因此，各企业要加强面向全体员工的风险管理宣传、培训工作，提高广大员工的风险意识、责任意识和发展意识。倡导将风险意识融入到企业的各项业务和管理活动中，尤其是企业的战略、投资、“三重一大”等重要决策过程中，确保风险管理文化与企业文化的真正融合和风险管理文化的真正落地。

来源：灼策

作者：邵宁

编辑：小昕

责编：建丰

关注我们

本文系“正略金融研究所”公众号转载的文章，对文中观点保持中立，对所包含内容的准确性、可靠性或者完整性不提供任何明示或暗示的保证，不对文章观点负责，仅作分享之用，版权属于原作者。如果分享内容侵犯您的版权或者非授权发布，请及时与我们联系，我们会及时审核处理。

正略金融研究所