朱 哲

（滁州市审计局，安徽 滁州 239000）

近年来，随着社会主义市场经济框架的建立和完善，中国市场从卖方市场向买方市场的转变，中国企业在更大程度、更广范围参与国际竞争，驱使企业在关注诸如：战略管理、人力资源管理、营销管理的同时，越来越重视风险管理，因为任何一家企业在实施上述管理，追求企业价值最大化的过程中，不可避免的都将遇到这样或那样的风险，而如何平衡风险与价值的关系，在风险可控或可承受的范围内去追求更大的价值，无疑是企业风险管理所应做的和希望达到的目的。

作为世界制造中心的中国企业也概莫能外，无论在现实经营中，还是公开交易的证券市场，中国企业也出现了许多投资巨亏、业绩造假等现象，出于促进企业科学发展，提升和完善企业经营管理水平和风险防范能力，财政部会同证监会、审计署、银监会、保监会于2008年5月发布了《企业内部控制基本规范》，2010年4月发布了《企业内部控制配套指引》，包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》，初步构成了完整的中国版企业风险管理框架。

现在，从央企到省企，建立整套的风险控制成为一项必须的任务。但在具体实施过程中，学术界、实务界对风险控制究竟应发挥什么作用、包含哪些要素、如何实施、达到什么目标存在许多模糊的、似是而非的认识和做法，偏离了建立风险控制管理的初衷，亟待澄清。

一、企业风险管理的基础是环境

这里的环境主要是指企业内部环境，即包括有形的东西，诸如：企业的管理架构、内部管理机构的设置等；更包括无形的东西，诸如：企业的文化、管理理念、经营风格等。环境中无形的东西更重要，当前中国企业普遍缺乏的是建立讲究诚信的的企业基本核心价值观。所以才会出现诸如：食品行业频发丑闻，“三聚氰胺”、“苏丹红”、“地沟油”层出不穷，防不胜防；在美上市公司遭遇集体退市风潮。如果企业在诚信方面的基础价值观未树立，即使发展很大、很快，也是无源之水、无基之楼，终将崩塌。

二、企业风险管理的前提是治理结构

治理结构近年来是一个非常时髦的词，它实际上就是指企业各个层级的权力、责任的分配关系以及相互制约的机制。产生的背景是现代企业所有权和经营权的分离。随着规范架构的公司制改造，现在主要就是指董事会、经理层、股东、债权人在企业经营决策中的责、权、利的关系。完善的治理结构的目标是降低代理成本，使相关各方利益趋向一致。中国目前企业的一大弱项就在于此。如：国有企业，以央企为代表，普遍是所有者缺位，内部人控制现象严重；民营企业，普遍是家族企业，所有者和管理层合二为一，难以做大做强。所以，建立合理、健全、权责利明晰的治理结构是企业风险管理得以顺利实施的前提。

三、企业风险管理的切入点是流程

现代企业面临的外部商业环境发生了根本性的变化，尤其是三种力量：顾客（customer）、竞争（competition）、变化（change），简称“3C”。顾客代表的是外部需求，需求越来越个性化、变化越来越快，典型的反映是产品的生命周期越来越短；竞争代表的是对手越来越多、程度越来越激烈，企业各领风骚数年甚至数月；对于变化，有一句话说的好：唯一不变的就是变化。所以企业在实施风险管理时，要紧密结合业务流程再造，实现基本的、彻底的、显著的重新设计，让风险管理固化到每一道流程中，使组织在成本、质量、服务、速度等方面取得有效改善，促进企业业绩的飞跃，提升企业的价值。

四、企业风险管理的实施是协同

实施企业风险管理并不是企业内部某个部门的事。现在中国企业在实施风险控制时，往往将其归属于某一部门或单独成立一个机构，如：风险控制部、内控部、审计部、合规部等部门。这种认识或做法是完全错误的，风险管理是全企业的共同责任，是贯穿于企业各个部门、各个层次、各个单元的一种理念、制度、规范，它内嵌于企业的各项业务流程中，体现在诸如采购、生产、销售、资产管理、资金管理、信息系统管理、人力资源管理等方方面面，需要从企业最高管理层到普通员工全面、全方位、全过程的参与和协同。而信息技术的快速发展为这种协同提供了可能。

五、企业风险管理的关键是最高管理层的认识

正是由于中国企业的特殊性，主要是在治理结构上的缺陷和中国长期传统文化的影响，对于中国企业来说，企业风险管理能否得到贯彻落实最主要的因素是公司最高层的认识，简言之就是“一把手”的态度，只有“一把手”的认识到位了，能够自愿自觉的接受监督和内部决策约束，遵守各项管理流程的规定，风险管理的实施才具可能。实际上，从某种意义上说，风险管理就是对最高管理层的权力进行制衡和规范，尤其是在战略的制订、“三重一大”事项上的风险控制。如果企业最高管理层能充分认识这一点，企业风险管理就能发挥应有的作用，否则即使形式上有各种措施、制度、评估、应对方法，也只是印在纸上，挂在墙上，做做样子。

六、企业风险管理的全面落实要取得企业最广大员工的认同和支持

风险管理最终要落地，一定要使企业绝大多数员工理解为什么要搞，有什么作用，它能给企业带来什么变化、益处，更为重要的是能给员工自身带来看得见、摸得着的益处。这些年来，我们的企业引进的各种各样的管理方法数不胜数，诸如：六个西格玛、精益生产、ERP系统等等，但实际效果怎么样，不得而知。一定要在风险管理的实施中，引导员工在遵循风控管理的过程中，使员工得到实实在在的益处，感受到企业的成长、发展与自身的利益和成长发展密切相关，让员工对风险管理的各种流程内化于心、外化于行，不然或许是花了一大笔钱，仅得到几本制度汇编之类的东西。

七、企业风险管理的最终目标是在企业培养出一种风险理念

这种理念是一种契合企业自身经营特点，适合企业发展外部环境的风险理念。从风险识别、风险评估到风险应对各个环节，它深深融入了企业上至高层，下至普通员工的意识里、血液中。从事每一项经营活动，都能从风险管理的角度去深入思考该项活动能否为企业带来价值，同时在为企业价值增值的过程中自身所承受的风险是什么，是否在企业的承受范围之内，有无完善的应对措施，从根本上将制度流程变成一种思想意识里的自觉反应。这种理念将体现到企业文化中，通过企业的经营风格、价值观念、企业道德等无形的因素表现出来。

八、企业风险管理是一种持续不断的实践

要认识到企业风险管理不是一蹴而就的事情，不是一次性的请一家权威咨询结构做个全面的梳理，总结出若干制度、规则、图表就万事大吉。它是企业高层、中层、普通员工每天都在重复的工作，它体现在每天每一项决策、生产、营销、计划、财务、运营、人力资源等各项工作中，它不仅仅是一本本的纸质制度规范、流程规定，而是活动、是作业、是动态的、持续改进的过程，是不断提升、总结的过程，是逐次循环而往复上升的过程，它不是背诵制度条文，是实践，是操作。只有通过实践，才能及时适应内部和外界环境的变化。套用一句流行语：风险管理只有更好，没有最好，只有起点，没有终点。

九、企业风险管理的价值是使管理更有效

企业风险管理并不是包治百病的神药，世界上没有也不可能有这样一种管理工具。建立完善的、合适的风险管理只是使企业管理更有效，使企业的价值增值更持久、更稳健。它提供了一种避免快速失败的方法，但即使有完善的风险控制，也不能保证企业在激烈的竞争中永远立于不败之地。不能认为风险管理能够解决企业管理方方面面的问题，一旦建立风险管理，企业就能立马脱胎换骨。它充其量它只不过是一套基础管理方法体系，是企业持续经营成功的必要条件。长期成功经营的企业必定都有一套完善、健全的风险管理，但他们的成功绝不仅仅是风控管理，或最主要的因素不是风险管理。

十、企业风险管理需要量身定做、一企一策

企业风险管理在当今中国企业是一个热门、流行话题，就像前些年的ERP系统等。大家都在谈风险控制，其实无论什么性质、什么行业、什么规模的企业都或多或少在某些方面、领域有着风险控制管理，只不过没有系统、显性的、规范的总结出来。风险管理对每家企业来说，无论是5要素模式，还是8要素模式，其涵盖的范围大体相同，没有一套适合各种行业，各种规模，各种经营模式的统一的风险管理范本，需要不同企业在自身实践中摸索、积累。你不能要求一家刚刚起步的企业就立即建立完善的治理结构，你同样不能想象一家规模几十亿的企业的重大投资决策只是董事长一个人在拍脑袋。这也是建立风险控制的两大原则：适应性原则和成本效益原则的要求。

总之，对于企业风险管理，我们要有一个理性的态度来认识，它是企业在为其利益相关者创造价值过程中提供的一种合理保障，最终促进企业实现发展战略。

［1］COSO制定发布，方红星.企业风险管理－整合框架［M］.王宏，译.大连：东北财经大学出版社，2005.

［2］财政部，证监会，审计署，等.关于印发企业内部控制基本规范的通知，2008.

［3］罗胜强，李培辉，刘 兵，等.企业内部控制－主要风险点、关键控制点与案例解析［M］.上海：立信会计出版社，2012.