霍顺生，杨 旭，蔡义兵

(河钢集团矿业公司，河北 唐山 063000)

在经济全球化及第四次工业革命兴起的大背景下，尤其是面对复杂的经济发展环境，国有企业加强以防范化解重大风险为主要目标的全面风险管理更加具有紧迫性、重要性。以2006年6月国务院国有资产监督管理委员会下发《中央企业全面风险管理指引》为标志，国有企业开始全面推行风险管理。在此之前，风险管理大多聚焦于COSO风险管理框架下的金融、财务、保险等领域。企业生存发展的独有特点，意味着对COSO-ERM直接采用拿来主义将会产生一些难于避免的问题，从而影响框架推行效果，要做一定实施层面的转换与磨合[1]。目前在学术层面重点关注企业风险管理的内涵、目标、机理等问题的研究[2]，有王农跃[3]的关于风险管理理论、整体框架、评估体系、评估方法等内容的构建企业全面风险管理体系的研究等成果；在企业风险管理实践过程中，逐步由注重企业内部控制风险[4]，向基于企业风险管理与业务流程之间的联系与整合，探讨企业风险管理实施途径转变[5]。由于国有企业所处行业不同所关注的风险内容及管控重点也不同，尤其对国有矿山企业来说，矿山生产经营特点导致大部分企业风险管理意识不强，风险管理机制不健全，在全面风险管理的方式方法、深度、广度等方面还有很多工作要做，防范资源、安全、环保、资金等风险任务更加突出。需要以“央企指引”为指导，创造性地将风险管理框架与企业实际相结合，建立集管理架构、管理流程、管理机制为一体的四层三级一单式全员全覆盖的具有可操作性的全面风险管理体系。

1 全面风险管理

风险管理理论成熟于20世纪50年代以后，以MEHR和HEDGES《企业风险管理》、WILLIAMS和HEINS《风险管理与保险》的出版为标志。WILLIAMS和HEINS认为，风险管理是通过对风险的识别、衡量和控制从而以最小成本使风险所致损失达到最低程度的管理方法[6]。这个阶段，企业主要是通过内部控制手段，对面临的纯粹风险、市场财务风险、金融风险，进行风险回避和风险转移。20世纪90年代后，企业融入全球经济一体化的进程明显加快，企业面临的风险无论从管理业务、复杂程度还是相互联系影响方面都超出了以往的风险管理范围，企业应采用更广泛、整合的方法应对风险。2004年，COSO委员会正式发布了《企业风险管理—整合框架》，明确企业风险管理持续贯穿企业管理全过程，由组织中各个层级的人实施，应用于战略制定并为目标实现提供合理保证，包括8个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息与沟通、监控。2009年国际标准化组织发布了《风险管理—原则与实施指南》(ISO 31000：2009)，释义ISO/IEC Guide 73给出定义：企业引导和控制风险的所有行为称之为企业全面风险管理。许瑾良认为，风险管理就是应用一般的管理原理去管理一个组织的资源和活动，并以合理的成本尽可能减少灾害事故损失和它对组织及其环境的不良影响[7]。风险管理的理念已经从单一纯碎风险、部分业务层面风险的内控制度为主，转化为企业整体层面的应对内外所有风险的有效管理，保障其战略决策及经营目标的实现，风险管理发展到全面风险管理阶段。

2006年6月国务院国有资产监督管理委员会下发《中央企业全面风险管理指引》，所称企业风险，指未来的不确定性对企业实现其经营目标的影响；所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。“央企指引”实际上要求企业围绕总体经营目标，对外部所处经营环境、内部所有业务面对的不断变化和不确定性进行全面全方位的风险管理，以此规避和化解风险。2009年5月1日起施行的《中华人民共和国企业国有资产法》明确规定，国家出资企业应当依法建立和完善法人治理结构，建立健全内部监督管理和风险控制制度。这是从立法的角度要求国有企业加强全面风险管理。

健全完善全面风险管理的管理架构、流程、机制，将全面风险管理与生产经营紧密结合，把风险管理融入企业管理各个方面和业务流程中，是企业构建全面风险管理体系的基础，是提高风险管理能力的重要支撑，是实现持续、健康、稳定发展的重要保障。

2 全面风险管理架构

2.1 组织体系

全面风险管理的组织体系，主要包括规范公司的法人治理结构，风险管理职能部门、内部审计部门和有关职能部门、业务单位的组织领导机构及其职责，确认可能影响生产经营活动的潜在风险并在风险偏好范围内加以管控，实际上是董事会、管理层、职能部门共同参与的管理过程。在组织体系方面，董事会是公司全面风险管理工作的领导和责任机构；董事会下设风险管理委员会，负责落实董事会关于全面风险管理工作的要求和相关决议，对董事会负责，经理层班子成员担任委员，按照业务分工承担风险管理的第一责任；风险管理委员会下设风险管理办公室，作为公司风险管理业务的日常工作机构，负责组织协调全面风险管理各项工作；各职能部门是公司全面风险管理办公室成员，具体牵头组织实施本部门及相关业务风险的管理，建立健全本部门所涉及业务的风险判断标准、判断机制，制定管控化解风险的解决方案，同时指导、督导各子分公司开展风险管理工作，部长是本部门风险管理的第一责任人；各子、分公司负责落实本单位全面风险管理日常工作，结合本单位生产经营实际，健全完善风险管理体系，执行风险管理流程，实施风险管控，车间(作业区、科室)是风险管理的基层组织，行政正职是本单位风险管理的第一责任人。

2.2 管理架构

在全面风险管理的组织体系基础上，以公司组织机构为主体框架，公司职能部门业务为风险范围，风险影响程度为风险分级，构建四层三级业务全覆盖的立体风险管理架构。四层即按照公司组织机构层级，分为公司层、职能部门层、子分公司层、车间(作业区)四个管理层级；业务全覆盖即将公司职能部门所涉及的业务全部纳入风险管理范围；三级即按照风险对公司生产经营及发展目标影响的重要程度，分为A级(重大风险)、B级(较大风险)、C级(一般风险)三个风险等级。从管理层级、风险范围、影响程度三个维度形成了全面风险管理立体架构。图1为四层三级业务全覆盖风险管理架构。这样的管理架构显示，企业构建了组织机构横向到边全员参与、业务纵向到底全业务覆盖的全面风险管理新格局。

图1 四层三级业务全覆盖管理架构Fig.1 Four-level and three-tier full coverage management fix

3 全面风险管理流程

风险管控全流程包括收集风险信息、进行风险评估、确定风险管理策略及解决方案、建立风险管理清单、运行风险管理信息系统进行时时监控、风险管理考核、风险管理监督等七个方面(图2)。

3.1 收集风险信息

按照职能部门分工及不同专业业务，本着职责清晰、界定明确、操作可行的原则，以河北省国有资产监督管理委员会风险分类为标准，结合公司生产经营实际，将公司风险划分为政治意识形态风险、战略风险、安全风险、资源环保风险、市场财务风险、生产运营风险、法律风险、党的建设风险、社会稳定风险九大类别58类风险，覆盖政治意识形态、发展规划、安全生产、资源接续、环境保护、投融资、财务管理、采购、销售、物流、质量、法律事务、人力资源、信访稳定等各项业务管理。依据公司全面风险类别及业务分工，不同风险管理层级责任主体负责收集本部门的内、外部风险信息，作为开展全面风险管理工作的基础和依据。

3.2 进行风险评估

在收集信息的基础上，不同风险管理层级责任主体通过风险识别，以及对发生风险可能性的高低和对目标影响的程度、影响后果、发生频率、风险损失额度等进行定量与定性分析，制定风险评估标准，从而确定各项风险的等级。风险管理设三个等级，分别为A级(重大风险)、B级(较大风险)、C级(一般风险)。实施不同层级等级编码管理，不同层级对应不同等级编码，如“一A”风险表示公司层级重大风险，“二A”风险表示职能部门层级重大风险，“三B”风险表示子分公司层级较大风险，“四C”风险表示车间(作业区)层级一般风险等。

图2 企业全面风险管理流程Fig.2 Comprehensive risk management process of enterprise

在风险评估过程中，下一层级的A级风险事项报送上一层级，上一层级将下一层级A级风险事项与本层级存在的风险事项一起评估，形成本层级风险事项。通过提级评估风险事项，有利于分析判断重大风险，准确定位横纵业务的重要风险点，确保各级管理者履行风险管理职责。

3.3 制定风险管理策略及解决方案

根据公司内外部环境变化及生产经营目标，公司以职能部门业务为主线，从风险影响的重要程度、承受能力出发，确定重点防范市场、财务、安全、环保、法律、社会稳定等风险，并制定风险策略及解决方案。充分利用有限的资源将各类风险控制在可控范围内并积极化解风险，尤其是加强对风险问题由风险转变为危机的监控，及时发现和采取措施，控制风险转化为危机事件。

3.4 建立风险管理清单

按照公司全面风险管理四层三级分级管理架构，各层级根据生产经营实际收集风险信息，梳理风险问题，依据本层级的风险评估标准确定风险等级，制定风险解决方案，建立风险管理清单。风险管理清单是包含风险描述、风险识别分类、风险等级、解决方案、责任部门、责任人、风险实效、风险评价等一系列内容的表单，不同层级形成各自的风险管理清单。

3.5 运行风险管理信息系统进行时时监控

风险管理信息系统是按照公司全面风险管理体系搭建的用户平台，根据各用户在全面风险管理工作中的职责设置用户权限。通过运行风险管理信息系统，对风险事项进行时时监控，对已经化解的风险事项及时移除系统，对新发现的风险信息及时输入系统纳入监控范围，实现风险的时时监控、动态调整。

3.6 风险管理纳入经济责任制考核

全面风险管理工作考核按照管理层级实行逐级考核。公司风险管理办公室负责对公司各职能部门、子分公司全面风险体系建设、运行过程、信息反馈、风险管理效果进行督导考核；职能部门在业务范围内对子分公司有督导考核权，考核结果报风险管理办公室一并执行。

3.7 加强风险管控的监督改进

公司明确各级纪检监察、审计部门以重大风险、重大事件和重大决策、重要业务流程管理为重点，对风险解决方案的实施情况进行执纪监督，将全面风险管理与惩防体系建设、权力运行监督机制、审计制度相结合，保证全面风险管理工作的有效实施。

4 全面风险管理机制

公司通过建立以董事会主导，职能部门和子分公司为责任主体，纵向业务到底，横向组织到边全员全覆盖的风险管理组织体系；构建以管理层级、风险范围、影响程度为维度的四层三级风险管理架构，规范涵盖风险信息收集、风险评估、解决方案、风险管理清单、风险管理信息系统监控，督导考核，监察审计等为主要内容的风险管理流程。在此基础上，通过组织内部实施月监控、季诊断、半年督导汇报、全年总结报告的动态风险管控模式，培育形成基于四层三级一单式动态风险管控的全面风险管理长效机制，有效防范化解企业生产经营风险，保证企业生产经营目标的实现并稳健发展(图3)。

图3 四层三级一单式动态风险管理机制Fig.3 Four-level,three-tier and one-sheet dynamic risk management mechanism

5 结 语

在全面风险管理的理论与框架视角下，结合“央企指引”并从国有矿山风险管理特点出发，构建了职能明确、职责清晰的风险管理组织体系，四层三级分级管控的风险管理架构及管理流程，基于四层三级一单式月监控、季诊断、半年督导汇报、全年总结报告的动态风险管控长效机制。在具体风险管控过程，通过将风险管理理念、风险管理架构、风险管理流程、风险管理机制嵌入企业管理过程之中，实现了风险管理与生产经营的有机融合，提高了国有矿山防范化解企业风险的能力，有效管控了生产经营风险，培育了企业风险管理文化。