薛秀娥　章　育

摘要：文章从风险管理概念分析入手，指出风险管理势在必行，并就现代企业全面风险管理的目标和原则。现代企业风险管理理念，现代企业全面风险管理建设内容，内部审计在风险管理中的作用等方面展开详细论述。

关键词：现代企业全面风险管理目标原则内容内部审计

中图分类号：F270文献标识码：A

文章编号：1004-4914(2009)03-223-02

一、风险管理概念

人类认识风险的历史几乎与人类的文明一样久远，传统意义上，风险是指企业在经营过程中遭受损失的不确定性，具有普遍性和广泛性，其大小会随着时间延续而变化。风险在新的经济条件下，由于新技术的广泛应用以及全球范围内日益激烈的竞争，企业在获得新的发展机遇的同时也面临着更多的不确定性。即各种风险因素。这种不确定性是获得成长必须付出的代价。因此单纯将风险作为遭受损失的可能性来理解已无法适应现代企业风险管理需要。现代企业风险的完整定义应包含两个层面的内容：首先。风险是事件在未来发生的可能性厦其后果的综合。其次，风险与机遇在数量及性质上成正比例的辩证统一关系，机遇蕴涵于得到有效管理的风险之中。

现代企业风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。也就是在企业经营过程中，识别、评估、分析各种可能造成潜在影响的风险事项，并在其风险偏好范围内进行控制和管理。从而为企业目标的实现提供合理保证的过程。具体表现为认真分析风险、有意识地承担风险、科学地管理风险、稳妥地获取风险收益。

二、风险管理势在必行

风险无处不在，发生的频率越来越高、影响程度越来越大。质量始终要最优、风险始终要最小，这是所有企业的经营之道，也是国家监督部门关注的重点问题，所以对于广大企业、尤其是中央企业和大型民营企业来说，如何管理风险，已成为企业亟待解决的重要问题。

1开展企业全面风险管理是监管部门的要求。2002美国颁布《萨班斯法案》，之后各国政府陆续出台政策加强对企业内部控制的监管，一些政府将企业内部控制上升到法律高度。

2006年国资委、证监会、保监会等监管机构纷纷出台政策，要求企业建立健全内部控制体系。2006年，国资委出台《中央企业全面风险管理指引》，同年财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，经过努力，起草了《企业内部控制基本规范》和部分具体规范。《内部控制规范》和《全面风险管理指引》的基本目的都是为了加强和规范企业内部控制，推动和加强企业全面风险管理建设，提高企业的风险防范能力，促进企业持续、健康、稳定发展。

在中央企业推行全面风险管理，是国资委履行出资人的职责，也是出资人的监管要求。是实现国有资产保值增值、维护国有资产安全的必然选择。国资委代表中国政府行使出资人权力，高度重视国有企业全面风险管理工作。要求用较短时间在国有企业建立全面风险管理体系。

2建立健全风险管理体制是积极应对外部风险环境变化的要求。在我国。风险管理仍是企业管理中的一个相对薄弱的环节。风险意识不强，风险管理工作薄弱，是企业发生重大风险事件的重要原因。近年来，随着国内外经济形势发展和激烈的市场竞争，企业外部风险环境变化日趋剧烈，全球化竞争、基础资源价格持续攀升、经济保护主义、美国信贷危机、全球通货膨胀、自然灾害频发、国家宏观力度加大、流动性过剩、信贷紧缩、劳动力成本上涨、环保力度加大、安全与健康的关注等进一步要求企业加强风险管理，减少企业实现经营战略目标的不确定性、防止企业因外部因素而遭受重大损失。

3建立健全风险管理体制是适应现代企业管理和发展趋势的要求。在国外，风险管理已成为评价企业管理水平的关键指标，它作为一种管理的先进方法，国外已经有较长的发展历史，逐步形成了较为完整的体系。伴随着市场竞争，企业面对的既有内部的战略风险、投资风险、财务风险等，也有外部的市场需求变化、政策法规改变、宏观经济调整、资本市场波动以及其他方面的风险。对这些风险如何进行识别、判断、监测、控制，国外许多大企业已经将风险管理的理念、技术、方法和手段，应用于发展战略的制定、投融资决策、财务报告管理、内部审计体系建设等方面，涵盖了从公司法人治理结构的制度安排。到各项业务运作的流程和操作等各个层面，形成了系统化、制度化、具体化的风险管理体系。这些制度体系的建立和完善对于减少企业实现经营战略目标的不确定性，防止企业因人为失误或外部因素而遭受重大损失，确保企业遵守法律法规等，起到了不可替代的作用。

在国内，政府对企业全面风险管理工作的探索已有了高度认识，积累了一定的经验，风险管理工作在中央企业全面铺开，中石油、中石化、大唐电信、中国网通等企业已经建成较为完善的风险管理体系。其他大型中央企业这几年虽然管理能力不断加强，但相比较在风险管理、内部控制制度建设等方面还有待于进一步完善。

4全面风险管理是实现企业自身发展战略目标的客观要求。推行全面风险管理是落实科学发展观在企业管理中的具体体现。安全稳定持续发展是全面落实科学发展观的本质要求，是适应市场经济要求、遵循企业发展规律的必然选择，而开展全面风险管理，建立健全风险管理的长效机制。是实现企业可持续发展的必要条件之一，是全面落实科学发展观的一项重要举措。学习和借鉴国际在公司治理和风险管理方面的先进理念、方法和手段，建立健全风险管理体系，严防投资和经营不善造成资产损失；加强对生产经营和工程建设关键业务、关键环节的控制和监督，以企业内部管理流程和手段的创新，推动企业管理变革。开展全面风险管理的关键就是要梳理业务流程，针对重要流程风险管理需求，制定防范风险的内控制度和规范化管理程序。根据企业风险偏好及风险承受度，以及风险管理的优选顺序，使风险对战略目标实现的影响达到最优化。推行全面风险管理先进的理论方法，可以对战略目标实现提供有效的支撑和保障。

三、现代企业全面风险管理的目标和原则

开展全面风险管理的总体目标是围绕企业经营目标，在企业管理的各个环节和经营过程中建立和执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，使各种风险控制在企业可承受的范围内，确保企业持续、健康、稳定发展，保证企业发展战略的实现。

开展全面风险管理，应建立健全风险管理的长效机制。由于全面风险管理的复杂性，风险管理建设不可能一步到位，应合理规划。逐

步完成。各阶段的风险管理既突出短期效果，又具备长期战略指导意义；用风险管理先进理念，指导企业经营实际，务求实效。根据企业自身特点，采用合适的方法将全面风险管理先进理论与企业管理实际充分结合，构建风险管理科学合理框架，开拓风险管理工作捷径，借鉴国内外企业全面风险管理实践经验，保证全面风险管理建设成果有效融入企业管理工作之中，真正实现全面风险管理在本企业的有效实施。

四、现代企业风险管理理念

健全的企业风险管理理念，应该是规避风险、减少风险、转移风险，特别是要利用风险存在的辩证统一关系，在高风险中获取巨大的回报。因为风险的客观存在使企业的实际利益与预期收益可能发生背离，这就要求企业必须有先进的和全面的风险管理理念，使风险管理工作按照设定的目标和轨迹运行，确保战略目标的实现。现代企业风险管理理念主要应包含以下几方面内容。

1风险管理的目标不仅仅是使公司免遭损失，而且包括能在风险中抓住发展机遇，全面保证企业风险管理目标与业务发展目标相一致；全面保证企业风险管理能够涵盖所有业务和所有环节中的风险，并能够识别企业所面临的各类风险。

2风险管理是一项庞大的系统工程，有效的风险管理系统是由不同的子系统组成的有机体系，如信息系统、沟通系统、决策系统、指挥系统、保障系统等，缺一不可，至少是不完善的。这些子系统是否健全和有效，影响着风险管理的有效与否，任何一个子系统的失灵都有可能导致整个风险管理体系的失效。因此，每个子系统必须保持紧密的关联。

3内部控制健全。在企业内部建立职责清晰、权责明确的风险管理机构同时，要建立完善的防护性、侦查性、纠正性和前瞻性控制制度。因为清晰的职责划分是确保风险管理体系有效运作的前提。同时，企业应确保风险管理机构具有高度权威，并尽可能不受外部因素的干扰。以保持其客观性和公正性。

4风险信息必须以一定的形式和框架进行交流。风险管理战略的有效性在很大程度上取决于其所获信息是否充分。而风险管理战略能否被正确执行则受制于企业内部是否有一个高效的信息沟通渠道。有效的信息沟通可以确保企业所有人员都能正确理解其工作职责与责任，从而使风险管理体系各环节正常运行。

5风险管理方法和手段具有先进性和创新性。风险管理既要充分借鉴成功的经验。又要根据风险的实际情况，尤其要借助新技术、新信息和新思维，进行大胆创新。可以建立一个与世界各国风险管理组织交流的平台，及时了解和跟踪国际风险管理标准化领域的前沿问题和最新研究成果，促进风险管理能力的提升。

五、现代企业全面风险管理建设内容

全面风险管理建设是非常复杂的系统工程，涉度企业各个单位、各个部门，涵盖企业管理的全方位、全过程，是一项全员性的、长期性的管理工作。为了很好地开展全面风险管理工作，必须按照全面风险管理框架结构。合理选择建设内容，一般应考虑以下几方面：

1收集初始信息，建立风险信息库。实施全面风险管理，应广泛、持续不断地收集与企业风险管理相关的内外部资料(包括历史数据和未来预测)。

2进行风险识别和评估。分析企业内部环境，包括组织结构、企业文化、资源条件、核心能力等，确定可能给企业带来的风险，按照风险排序，确定重大风险和重要风险的排序是否能够正确反映企业的实际。

3制定风险管理策略与监控预警体系。根据企业经营战略、经营特点，确定企业风险偏好和风险承受度，明确风险的最低限度和不能超越的最高限度，并据此确定风险的预警线及相应采取的对策。

4构造风险管理解决方案。建立风险管理流程和风险管理报告体系，随时监控风险的变化因素。及时调整或修改关键环节的控制制度，有效控制风险，避免风险失控演变为危机。

5监控改进风险管理。企业应通过持续的监控和独立的评价活动，监控企业风险管理的有效性。

6借助先进的信息系统平台，实现风险管理自动化。

六、内部审计在风险管理中的作用

国资委在《中央企业全面风险管理指引》中指出，企业内部审计对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事套或下设的风险管理委员会和审计委员会。强调内部审计与现代企业风险管理的紧密关系和重要作用，要求内部审计的范围延伸到风险管理和公司治理，这是对风险管理过程有效性进行评价和改善所必需的，使企业内部审计与风险管理融为一体，是风险管理体系的重要组织部分，其重要作用主要在于全面参与公司治理与风险管理，发现并评价重要风险因素，协助企业改善风险控制程序。一是重点是对企业风险管理体系的充分性和有效性进行评估。评价企业战略目标的制定是否在分析企业和行业发展情况和趋势、企业优势和劣势、外部机会和威胁的基础上结合企业自身风险偏好来制订；评估具体目标是否与企业整体战略目标一致并拥有足够的支持；评价管理层对风险的识别与评估是否适当；分析风险控制措施是否足以使风险发生的可能性和影响在企业风险容忍度之内；评估风险控制程序是否得到有效执行，监控风险管理报告是否充分、及时。二是对风险控制要素的管理与协调。内部审计具有相对独立性，能够以客观开放的视角清醒地识别和评价风险，并提出有效建议；积极参与企业风险体系建设，对风险控制各要素进行组织、管理和协调，推动企业不断提高风险管理的效率和效果。三是对重大问题及时报告与防范。内部审计通过适时与相关部门就风险管理事项进行沟通。检查、评价并报告风险管理过程的充分性和有效性，并按清晰传递的线路对重大的审计发现进行报告，对整改情况进行后续审计，使风险及时得到有效控制和防范；内部审计能够利用自身优势推动风险管理意识成为企业文化的一部分，从而为企业的风险防范构筑意识形态上的屏障。

责编贾伟