李珊珊

随着国际国内资本的不断交融，市场化程度日益加深，风险管理对于所有企业都成为重要的研究课题。国有资本投资公司，即国有资本出资设立的以投资为主要业务与其他类型的企业相比既具有共性，又具备显著的流程性特征。结合风险管理的起源、概念和内涵，探讨国有资本投资公司全面风险管理体系的建立，是值得此类公司深入研究的课题。

一、我国全面风险管理的起源

随着市场化的不断深入，网络时代信息的极速传播，我国企业面临的机会和风险剧增。经济的发展、市场化的深入倒逼着我国风险管理体系的发展，由政府牵头敦促企业构建全面风险管理体系迫在眉睫。美国《萨班斯—奥克斯法案》《企业风险管理—整合框架》的出台，也极大地影响和促进了我国风险管理体系的发展，各项政策密集出台。

2006年6月国资委发布了《关于印发中央企业全面风险管理指引的通知》；2006年7月，财政部选择美国萨班斯法案对中国在美上市企业生效的日子，发起成立了“企业内部控制标准委员会”；中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”；2008年6月，财政部、证监会、审计署、银监会、保监会联合正式发布《企业内部控制基本规范》，该规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行；2009年11月，国资委发布关于印发《2010年度中央企业全面风险管理报告（模本）》的通知》。经过6年的摸索和试点工作，国资委于2012年12月发布《关于2013年中央企业开展全面风险管理工作有关事项的通知》，所有中央企业正式全部开展全面风险管理工作。

二、风险管理的定义与基本内容

（一）风险管理的定义

2006年6月国资委发布的《中央企业全面风险管理指引》中指出，“本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”

可见，企业风险管理深入到企业经营管理的各层面、各环节。其架构层次范围包括了董事会、管理层、业务部门、各级员工；其经营环节包括了战略制定、职能确认、具体业务等。每一架构层次都有风险管理的目标，每一经营环节都有风险管理的内容。风险管理基于内外部环境的不确定性，旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内，为企业目标实现提供合理保证。

（二）风险管理的内容

综合COSO的及其他文献的定义，笔者认为风险管理的内容涉及到以下几个方面。

1、培养风险意识

风险意识培养的对象应涵盖股东、董事、管理层、普通员工各个层面。在企业正常经营时，风险防范意识往往不够，很容易认为防范风险过于繁琐，多此一举。而出现问题时，却又措手不及。把风险意识融入到企业文化中，深入到每一个层面，才能为风险防范政策的贯彻落实创造基础条件。

2、建立组织架构

风险管理意识的培养、措施的制定、监督和执行，都必须有专门的组织机构才能保证落实到位。

首先，要真正落实依照《公司法》设立 “三会”， 即股东会、董事会、监事会，并能够严格按照“责、权、利”划分并执行工作。在规范的法人治理结构中，股东大会选举董事会和监事会，董事会选聘经理层来管理企业日常经营事务，经理层对董事会负责，监事会对董事、经理层进行监督，董事会和监事会向股东大会负责。在投资型国有企业中，董事会与经理层的投资项目权限有所划分，属于经理层权限的投资项目，董事会表决往往成为象征性的程序，董事会对经理层行为的监督作用严重弱化，使得经理层的权力失去了有效的制衡、监督。授权与监督应分开执行，即使属于经理层权限的投资，董事会也应起到监督作用。同时，虽然名义上董事会和监事会都由股东大会选举产生，两者地位平等，但在实际运作过程中，监事会对董事和经理的监督作用往往形同虚设，工作处于被动状态，独立性无法保证，董事会、监事会、经理层之间的制衡机制还有待健全。

其次，需设立风险管理委员会和风险管理部，并强化其职能。董事会下设风险管理委员会以及风险管理部是风险管理的重要构成部分。审计委员会及审计管理部虽可以作为风险管理组织的组成部分，但并不能全面的引领和实施风险管理工作。从董事会到管理层到各个部门也应有各自的风险管理任务。有必要设立风险管理委员会作为统筹和风险管理决策部门，设立风险管理部作为日常风险管理业务执行部门，制定风险管理政策、监督风险管理执行情况、进行风险提示和预警。

3、制定风险管理流程

风险管理流程应包括风险管理目标的设定、风险的事项的识别、风险评估、风险应对、风险监控五个步骤。对盈利性公司来说，经营目标不尽相同，但企业价值最大化是通用目标之一。因此，风险管理以企业价值最大化为首要目标，同时实现社会效益。风险事项的识别、评估、应对和监控均围绕风险管理目标而提出、评价和操作。

4、建章立制

基于风险管理目标，应依据业务范围，结合企业实际制定企业战略、投资、财务、法律事务、人力资源、销售、质量、安全生产、环境保护等各项专业性规章制度。通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。规章制度制定过程中应注意权责明确、互相制衡。

5、监控与改进

事中监控与事后整改监控应紧密结合。风险管理部门应追踪及时了解各项风险情况，并依据客观情况调整评分及控制策略。同时，若发现风险，及时监督调整后，应落实整改情况，否则风险管理将会流于形式。如某上市公司在检查下属公司劳动合同关系时，发现未与劳动者签订合同，提出下属公司进行整改。提出问题后，该企业未落实整改情况，直至下属公司人员两年后向上级反应问题。才发现这一问题其在两年前已要求整改。虽未涉及经济效益问题，但对上市公司信誉造成了不良影响。诸如此类的细节问题，若只监督风险不落实整改，将使监督流于形式。endprint

三、对国有资本投资公司建立以流程为导向的全面风险管理体系的探讨

（一）国有资本投资公司的特点

国有资本投资公司具有以下特点：一是以投资为主要业务，业务模式单一，涉及面广。业务模式单一是指投资活动是主要的业务活动，不涉及生产、销售、运营等业务单元；涉及面广指投资涉猎的范围较大，只要在企业战略范围内的业务都有所涉及，但每项投资业务的行业和具体内容又均不相同。因此，由于投资公司在业务模式的统一性，在设计国有投资公司的风险管理体系时，在体系设计时将流程作为导向。二是国有资本投资公司应以国家的战略方向为指导，在保证社会效益的基础上追求经济效益，而非以经济效益最大化为目标。

（二）国有资本投资公司的基本业务流程

基本业务流程为战略制定、投资机会分析、初步可行性研究、可行性研究（同时进行商务谈判）、项目决策、外部审批、商务谈判、项目运营、项目退出。

（三）建立以流程为导向的全面风险管理体系

1、将风险管理融入企业文化中，使风险意识贯穿始终

国有企业的价值观是以国家战略发展、产业结构调整方向为导向，兼顾经济效益和社会效益，创造最大价值。在此基础上，风险管理必须以维护价值观为基础，即使有经济效益但可能产生不良社会反应的，也应视为风险。人是执行制度的主体，培养具有敏感的风险意识的高素质人才，是贯穿一切风险管理制度的基础。应通过宣传、培训等多种渠道得到企业员工的普遍认同和重视。

2、确定组织架构中各个主体的风险管理责任

战略制定阶段：操作主体主要是高层管理人员及董事会成员。其应站在国内外宏观经济背景，国家政策、企业发展定位等角度，确定战略投资方向，识别投资方向所面对的风险及应对措施。投资部门、财务部门、法律部门普通工作为这一阶段的风险识别及应对相互配合提供基本素材。

投资机会分析、可行性研究阶段：操作主体是投资部门工作人员，他们应对高层管理人员确定的战略投资方向有明确的认知，在选择项目时首先确保项目符合公司战略，在分析经济社会效益时，负责确认数据来源的真实性，注重实际调研，识别风险事项，提出应对措施。

初步审核阶段：操作主体中层管理人员。中层管理人员是沟通高层管理人员战略导向与基层工作人员实际工作内容的桥梁，中层管理人员不仅应充分了解公司的战略导向，更应将战略导向准确传达到普通员工并指导和组织实施。投资部进行分析审核后，应将项目提交风险管理部审核，得到其确认后才能通过初步审核。

项目决策阶段：针对项目类别及投资额度，投资管理规定中应明确高层管理人员和董事会各自的权力范围内的决策事项，注重战略风险的识别和应对。项目决策阶段应附风险管理部或风险管理委员会的审核意见。

外部审批阶段：操作主体为投资部门工作人员。应充分了解政府有关部门的审批内容、流程、权限、时间，并预估审批期间的政策和时间风险，准备好应对措施。

商务谈判阶段：具备投资、财务、法律专业知识的人员应全称参与。根据专业背景知识及侧重点，提出风险事项、进行评估分析并提出应对措施。

项目运营及项目退出阶段：由投资公司的企业管理部门负责监管投资企业运营状况，识别风险管理事项，及时根据宏观形势、公司战略、市场动态对所投资企业的风险状况进行评估，与风险管理部共同提出风险应对方案，并对具有长期、较大、风险不可控的投资项目提出处置建议。

3、健全日常风险管理

国有资本投资公司除在投资项目业务流程中明确风险管理责任外，还应在日常管理当中完善风险管理政策、目标和内容。各业务单元应做好初始信息搜集、风险事项识别、风险评价、应对措施等工作。

（1）初始信息搜集与风险识别。各个业务单元应根据业务内容提出可能出现的风险，国有资本投资公司面对的风险主要有：战略风险方面，政策风险、国际化风险、并购重组风险、企业管控风险、公共关系风险、企业改制风险、宏观经济风险、合作伙伴风险；财务风险方面，现金流风险、财务成本风险、汇率利率风险；法律风险方面，重大决策法律风险、合规风险、合同管理风险、法律纠纷风险；运营风险方面，市场风险、人力资源风险、监督投资企业风险、审计监察风险。

（2）风险评估。对识别出的风险进行评价，遵循长期短期、整体局部、定性定量结合的原则，既要固定时间评估如周、月、季度、年度评估，又要结合实际情况对突发事件紧急评估。既要评估风险事件的可能性，又要评估可能的风险收益或损失。企业在决策时，可选用多种方法综合使用，增加决策的科学性。

（3）风险应对。识别的风险后，分类采取应对方法，使每类风险都能够得到有效控制，针对不同的风险，根据风险性质、损失程度采取恰当的方法，如承担风险、规避风险、转移风险等，并提前做好风险应对措施准备工作。

（4）控制活动。控制活动是由一系列的制度来规定的。在实际操作中，一要避免制度形同虚设，二要使监督权和执行权分开。各个业务部门都是控制活动的主体，同时风险管理部作为统筹部门，因其独立性，在风险预警中同时向总经理和风险管理委员会汇报，有效行使监督权。审计部在阶段性和专项设计过程中，也应行使其监督权，同时向总经理和审计委员会汇报。

（作者单位：中国双维投资公司）endprint