刘 杰

（中国石化集团上海高桥分公司，上海 200129）

企业建立有效的全面风险管理机制，不仅是减少经济损失的需要，更是实现企业可持续发展的需要。

1 风险的定义、特征

1.1 风险的定义

风险是导致实际结果与预期目标的偏离的不确定，而经济环境、行业环境等的变化则是导致风险发生的主要因素。

1.2 风险的特征

1）客观性。风险是一种客观的存在，是客观事物变化过程的特征，是不以企业的意志为转移的、独立于企业的意志之外而存在的，也不是企业的努力可以完全消除的。

2）损失性。只要风险存在，就一定有发生损失的可能。风险的存在，不仅会造成人员伤亡，而且会造成生产力的破坏、社会财富的损失和经济价值的减少，因此才使得企业寻求应对风险的方法。

3）不确定性。风险结果是否发生是不确定的，这是风险最基本的特征。这个不确定性主要表现在：空间上的不确定性、时间上的不确定性、损失程度的不确定性。

4）可测量性。虽然风险具有客观性和发生的随机不确定性，但是人们可以在概率论和数理统计的基础上，根据以往发生的一系列类似事件的统计资料进行分类，计算某种风险发生的概率、所造成的损失的大小及损失的波动性，从而可以对风险进行预测、衡量和评估。

5）相对性。相对性是指风险事件发生与否和造成损失程度如何，是与面临风险的主体的行为及决策紧密相连的，同一风险事件对不同的行为者会产生不同的风险，而同一行为者由于其决策或采取的措施不同会带来不同的风险结果。

2 风险识别

导致偏离目标的因素很多，企业一般可以从外部环境因素和内部环境两个方面因素来进行识别。

2.1 外部环境因素

外部环境因素一般包括自然环境、宏观环境、行业环境、经营环境等因素。

自然环境因素主要包括洪水、地震、气候变暖等，它们会导致厂房或建筑物毁损，原材料获取受限，人力资源损失等。

宏观环境因素主要包括政治和法律因素、经济因素、社会和文化因素、技术因素。

行业环境因素主要包括行业生命周期、供应商、购买商、潜在进入者、目前竞争者、替代产品。

经营环境因素是指影响企业获取必要资源或者确保经营活动顺利开展的因素，主要包括市场分析和竞争地位、消费者消费状况、融资者、劳动力市场状况等。

2.2 内部环境因素

内部环境因素一般包括基础结构、人员、流程、技术等因素。

基础结构因素主要包括例如增加用于防护性维护和呼叫中心支持的资本配置，减少设备的停工待料期，以及提高客户满意度等。

人员因素主要包括工作场所的意外事故、欺诈行为以及劳动合同到期，它们会导致失去可利用的人员、货币性或者声誉性的损失以及生产中断等。

流程因素主要包括没有适当变更管理规程的流程修改、流程执行错误以及对外包的客户送达服务缺乏充分的监督，它们会导致丢失市场份额、低效率以及客户的不满或丢失重复性业务。

技术因素主要包括增加资源以应对批量变动、安全故障以及潜在的系统停滞，它们会导致订货减少、欺诈性的交易以及不能持续经营业务。

企业按照上述因素，对可能影响企业目标的因素进行逐项分析，可将分析结果汇总成目标影响因素汇总表（见表1）。

表1 目标影响因素汇总表

3 风险的评估

企业根据识别的目标影响因素汇总表，从影响因素的角度进行分类重新整理，从发生可能性和影响程度两个方面进行评估，最终得出风险评级结果的过程，称之为风险评估。评估方法可以运用定性、定量或定性与定量相结合的方法。定性评估可采用问卷调查、集体讨论、专家咨询等形式；定量评估可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、VaR模型等方法。评估期间一般以一年为周期，涉及多年发生一次的，折算为一年发生的次数，如1／5次。

3.1 风险发生可能性评估

风险可能性评估有一定的标准（见表2）。

表2 风险可能性评级标准

3.2 风险影响程度评估

企业在评价风险影响程度时，要根据风险性质的不同，从财务报告影响、经营影响、合规目标影响、声誉影响等维度中选取适用的一个或多个维度进行评估（见表3）。

表3 风险影响程度评估标准

3.3 风险评级

企业综合风险发生可能性评级和影响程度评估结果，对风险进行评级（见表4）。

表4 风险评级矩阵

企业将所有评估结果进行汇总，形成风险清单（见表5）。

表5 风险清单

4 风险应对

4.1 应对策略

风险评估完成后，企业对风险如何应对必须做出选择。风险应对包括风险规避、风险降低、风险转移、风险承受等四种策略。企业在制定风险对策时，应考虑风险对策的潜在影响、风险对策的成本和收益以及风险事件可能带来的机遇等因素。

4.2 控制活动

为了保证企业目标的实现，确保管理层制定的风险应对策略得以执行，企业必须制定相应的政策和程序，即控制活动。控制活动为员工提供行动指南，防止发生不希望出现的事情（预防性控制），或者在不希望出现的事情发生时能够加以识别（侦察式控制），并采取主动措施加以解决。在设计控制活动时，必须包括执行主体（谁来干）、客体（干什么）、流程（怎么干）、标准（干到什么程度）等要素，并设计简单明了的表单记载整个过程（见表6）。常见的控制活动包括组织控制、职责划分、实物控制、授权和批准、计算和会计、人员控制、运营分析控制、绩效考评控制、监督控制。

表6 控制矩阵

5 风险监控

对主要风险的识别，绝不是一个单一的、一次性的过程。已经识别的一系列风险所在的环境，随时有可能向着非预期的方向变化。某些环境条件变化后，可能使风险变成更严重的威胁。因此，企业需要对已识别的风险随时进行监控。监控内容包括目标的实现程度、新风险和相关损失的出现、既有程序的执行。

目标实现程度的监控，对于单个目标来说，可以通过计算目标的度量指标，与目标值进行对比进行；对于企业整体目标来说，可以采用综合绩效评价方法、平衡计分卡的业绩评价方法进行衡量。新风险和相关损失的监控，可以按照上述风险识别、风险评估的流程进行。既有程序执行的监控，可以通过检查记录或文件以及有形资产、观察员工实际操作、询问有关人员、向外部单位函证、重新计算相关数据、重新执行相关程序、分析复核等方法，开展定期或不定期的测试，从而确定程序是否按照最初设计得以应用。

6 结束语

风险无处不在，无时不在。企业只有正视风险，深刻把握风险的内涵和特征，建立科学有效的风险管理机制，实现从目标设定到风险识别、风险分析、风险应对、风险监控的全过程管理，才能有效化解风险，提高核心竞争力，实现可持续发展。

［1］胡国强，刘文汉.浅谈企业风险导向审计实务框架［J］.江汉石油职工大学学报，2011，24（01）：85－88.

［2］饶世鸿.论油田产品销售中的风险导向审计［J］.江汉石油职工大学学报，2012，25（04）：93－96.

［3］刘小强.关于加强企业经济活动监督工作的思考［J］.江汉石油职工大学学报，2012，25（06）：102－104.