□文/黄 莉 冷 婧

（西安石油大学经济管理学院 陕西·西安）

石油企业作为关系到国计民生的资源垄断性企业，其风险管理问题不容忽视。石油企业特殊的生产经营环境和生产工艺，形成了复杂的内外部风险环境，使之面临着多种风险，如投资风险、勘探风险、生产风险、价格风险、汇率风险等。近年来，石油企业积极开展内部控制和全面风险管理工作，促进了油田持续、健康、稳定发展。

一、《萨班斯-奥克斯利法案》对我国石油企业内部控制建设的推动

我国的三大石油公司自2000年以来在美国资本市场成功上市，就必须遵守美国资本市场的监管法律，其中《萨班斯-奥克斯利法案》要求在美上市公司的年报中必须包括经过会计师事务所评价的内部控制报告，这意味着中石油、中石化、中海油等石油企业就必须按照美国法律法规的要求搭建一套完善的内部控制体系，并通过外部审计和美国证券监管部门审核。

《萨班斯-奥克斯利法案》的404条款要求管理层对公司内部控制进行评价，明确了公司管理层对建立和维护内部控制系统的责任，将内部控制报告纳入年报披露范围，且年报审计者需对公司内部控制出具评价报告。该条款要求在美上市的外国公司必须在2005年7月15日达到要求，后来由于操作上的难度将期限延至2006年7月15日。在此推动下，三大石油公司成为国内首批建设内部控制体系的企业，其内部控制体系的建设领先于其他行业。例如，中石油在2005年就已开始按照404条款的规定，参考COSO的总体框架要求，立足于公司战略的高度，着手筹建内部控制系统工程，其涵盖了公司的各个层次，率先通过了404条款要求的内部控制外部评价。

在外部法律的推动下，我国的石油企业在不断的探索中逐渐形成了完善的内部控制体系，推动了企业生产与管理活动的顺利进行，有助于企业达到自身既定的经营目标。

二、从ERM框架到《中央企业全面风险管理指引》

《萨班斯-奥克斯利法案》同时带来了内部控制标准的发展。2004年美国COSO委员会在《内部控制——整体框架》的基础上，结合《萨班斯—奥克斯法案》的相关要求，发布了《企业风险管理——总体框架》（简称ERM框架）。与传统内部控制的内容相比，新框架有了较多变化。例如：原来的《内部控制——整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性，新框架将目标发展为战略目标、经营目标、报告目标和合规目标四大目标。此外，新框架还将《内部控制——整体框架》中的五大要素发展为企业风险管理的八大要素，分别为内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监督。

ERM框架将内部控制中的风险管理要素进行了深化和完善，将内部控制推向了风险控制的高度。与此同时，我国政府管理部门也认识到，单纯依赖会计控制已难以应对企业面对的复杂市场风险，会计控制必须向风险控制发展。在此背景下，国资委在2006年6月发布了《中央企业全面风险管理指引》，该指引将先进国家的风险管理经验与我国企业的特点结合起来，对央企的全面风险管理提出了指导性的意见，也是国内其他企业实施全面风险管理的主要参照依据。该指引的出台，意味着风险管理的理念和方法正式引入中国，成为了我国企业风险管理制度建设和标准建设的里程碑。2008年财政部会同证监会、审计署、银监会、保监会等部门联合发布了《企业内部控制基本规范》。2010年五部委又发布了《企业内部控制配套指引》。这些规范和指引的出台标志着我国企业内部控制和全面风险管理规范体系的基本建成。执行企业内部控制规范体系的企业，必须对本企业内控的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计。

以上这些法律法规都促使石油企业进一步加强和完善内部控制工作。在推进内部控制建设的过程中，石油企业一直把风险管理作为重点领域。《中央企业全面风险管理指引》发布之后，我国石油企业依靠其有效的内部控制基础，融合了现代企业制度框架下的风险管理理念，开始了全面风险管理的探索，使企业的风险管控能力不断提升。

三、石油企业实施全面风险管理现状以及存在的问题

《中央企业全面风险管理指引》发布后，石油企业依据指引的要求，努力建设全面风险管理体系。深入宣传风险管理理念，培育风险控制文化，完善风险管理组织体系。开展了构建安全环保体系、实现全面预算管理等管理活动，逐步推进全面风险管理。建立了业务流程管理基础规范与涵盖公司全部业务领域的流程架构。以财务报告风险控制为切入点，初步完成了各级流程的梳理。将风险控制措施落实到业务流程中，实现重要风险与关键控制的规范设计。建立业务流程管理信息系统，统一业务流程数据库，实现流程设计、控制测试信息化。

但应清醒地认识到，石油企业的风险管理仍处于探索阶段。与全面风险管理的实质内涵相比，还存在以下几个方面的不足：

第一，对风险管理的重要性认识不足，风险管理执行不力，实践中对内部控制和风险管理的关系认识含糊。有的企业将内部控制视为全面风险管理的手段，有的企业将风险管理视为和内部控制并列的独立系统。这种模糊的认识造成现实中企业基层管理者对重复建设体系的反感，并且造成全面风险管理体系的建设与内部控制有所脱节。

第二，过于注重合规性而忽略了风险管理的实质作用。一些企业在全面风险管理工作中只注重手册和制度文件的编写，而容易忽略如何执行制度、监督与报告制度执行状况、矫正制度执行偏差等方面。

此外，在高风险的环节和领域、关键控制点的预警、应对和跟踪不到位，风险管理的运行机制还需要进一步改进和完善。

四、石油企业加强全面风险管理的对策

（一）完善全面风险管理内部环境。培育有特色的企业风险管理文化。石油企业要通过开展行之有效的风险培训，提高员工的风险理论水平，培养专业人才，建设风险管理队伍。通过开展多样的宣传活动，增强员工的风险意识，使风险管理意识转变为员工的职业态度和工作习惯。同时，要营造全员参与、自觉执行的内部氛围，各级领导人员要发挥表率作用。

应当建立健全全面风险管理组织体系。要明确组织系统在风险管理中的基础性作用，确保风险管理部门健全，职责明确。石油企业可以构建立体的风险管理机构，建立三级风险防线。①第一级风险防线。它由部门负责人、独立的风险管理委员会和内部审计部门承担。部门负责人负责监控其管理部门员工的日常工作，确保员工按照公司规定的程序及职责权限工作。成立由总经理负总责的风险管理委员会，组织领导企业的全面风险管理工作；同时，在委员会下可以设立风险管理专职部门，直接对风险管理委员会负责。内部审计部门负责公司的内部控制系统及控制程序，确保股东投资及公司资产的安全性。②第二级风险防线。它由审计委员会负责，公司内部审计部门直接归属审计委员会领导。③第三级风险防线。它由董事会负责，对风险管理政策和程序做最后的决策。

（二）完善全面风险管理制度体系。不断完善全面风险管理制度体系。石油企业应探索一套符合自身特点的、覆盖所有业务流程的全面风险管理制度体系，促进风险管理的制度化、规范化、系统化。同时，根据法律法规、监管理念以及业务流程的变化，及时进行补充完善。首先，要着力抓好业务流程管理工作，要明确业务流程管理职责，完成流程分层分级设计，统一定义、结构和编码。还要以风险管理为核心、强化控制为重点，开展全面业务流程梳理；其次，结合实际，编制简单实用的风险指引。企业要从方便员工实际操作出发，结合风险管理工作流程，按照统一的格式，形成风险管理指引表和风险数据库，使得每个部门、岗位和员工可以快速了解其自身工作所涉及的风险及威胁程度，在实际工作中能够注重防范。

（三）建立适应全面风险管理的信息系统。一些石油企业为了固化公司的核心业务流程与管理流程，促进信息的准确、及时流通，建立了完善的OA办公系统。公司所有的经营与管理活动如生产运营、财务核算、资产管理、投资管理、资金管理、人力资源管理、审计等全部通过ERP系统完成。

为了更有效率地实施全面风险管理，石油企业应建立一个专门的风险管理信息系统。这个风险管理信息系统中的风险信息数据可以采取直接录入的方式，也可以从企业的其他信息平台如ERP系统中获取。该信息系统在功能上，涵盖了全面风险管理全部基本流程对信息的需求；在范围上，面向企业内、外部的各种风险，覆盖全面风险管理的全过程。

（四）加强风险管理监督工作，建立风险管理激励约束机制，全力提升风险管理执行力。企业要建立起业务部门、风险管理职能部门、内部审计部门和外部专业机构相结合的四位一体风险评价模式。一是做好风险管理的自我监督。业务部门定期对风险管理工作进行自查，及时发现缺陷并改进；二是强化各层次的测试检查，风险管理职能部门定期对业务部门的风险管理工作实施情况进行检查，提出调整和改进建议；三是内部审计部门至少每年一次对企业的全面风险管理工作进行评价，形成监督评价审计报告；四是聘请外部的风险管理专业机构对企业的全面风险管理实施情况进行评估，出具报告。

为了让每位员工重视风险管控工作，提升风险管理执行力，可以将风险管理与企业管理层、执行层的绩效考核和薪酬相结合，通过考核促使企业各个层面重视风险管理。同时，建立责任追究制度，对于因重大决策失误造成风险损失的责任人进行责任追究，提高风险管理的责任意识和执行力。

［1］孙合珍.关于建立企业风险管理体系的思考［J］.财务与金融，2010.4.

［2］武晶，贾宏雁.论我国风险管理的现状及对策［J］.学术交流，2010.6.

［3］储稀梁.COSO内部控制整体框架：背景、内容、理论贡献与启示［J］.金融会计，2004.6.

［4］沈红，黄卫霞.石油企业完善内部控制研究［J］.财会通讯，2009.10.