张冬花

(山西省财政税务专科学校，山西 太原 030024)

一、风险管理与企业战略的关系

(一)风险管理是制定企业战略目标的前提条件

战略是一个企业或组织对一定时期的发展方向、目标、任务和政策，以及资源调配做出的全局的、长远的谋划和策略。战略管理活动中的战略分析就是企业在完成具体目标时对不确定因素做出一系列判断，从而在充分分析外部环境和内部环境的基础上制定出战略目标。

1.企业外部环境分析与风险管理。企业发展的每个阶段都必须有前瞻性的战略来引领经营者的行为，因此选择一个适当的战略对企业至关重要。制定战略目标的首要环节就是分析企业经营所面临的外部环境，包括企业所在国家或地区的政治环境、经济环境、法律环境、文化环境和自然环境等。对战略进行分析必须考虑外部环境中存在的风险，包括当地政治体制、政治形势以及方针政策给企业未来发展所带来的政治风险，法律法规给企业经营活动带来的法律风险，由于原材料供应、产品市场供求等引起的市场风险，由于自然灾害、环境状况引发的自然风险等。企业所在国家的政局稳定性、进出口限制、产业政策、税收政策、文化传统及价值观等因素，都会给企业的生存和发展带来机遇或威胁，对企业战略目标的实现产生显著的影响。对于外部环境中产生的政治风险和法律风险，企业可以采用风险规避、风险控制等方式进行管理；对于市场风险可以采取风险转换、风险对冲等手段进行管理；而对于那些企业无法管控或者不符合成本效益原则的风险，企业通常只能进行承担或采取适当的风险补偿措施。

2.企业内部环境分析与风险管理。不同企业对自身和外部世界的认识的局限性、管理层自身的经历及知识结构的不同、在发展过程中所处的经营背景的差异等，导致每个企业的内部环境也不尽相同。内部环境包括治理结构、机构设置及权责分配、人力资源政策、内部审计、企业文化等。在企业战略目标的制定过程中，除了分析企业所处的外部环境中的风险因素，还需要分析内部环境产生的风险，如由管理者的素质、组织结构、企业文化、管理过程等带来的组织与管理风险；由于产品设计、入市时机选择和市场定位等带来的产品风险；由于环境的复杂多变性和企业对环境认知能力的有限性等引起的营销风险；因企业财务结构不合理、融资不当等使公司可能丧失偿债能力而导致投资者预期收益下降的财务风险等。与外部环境中的风险不同，内部环境中的风险因素对于企业来说都属于可控范围内，内部控制就是对这些可控风险从业务流程和授权层面实施的控制。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、调节和复核、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应通过制度流程、标准依据的设计、预算计划、组织结构及监督考核等一系列具体活动，进一步完善内部控制体系的建设，将内部环境中的风险降低到最小程度。

(二)风险管理有助于企业战略目标的实现

风险是指对企业目标产生影响的事件发生的可能性，是事件本身的不确定性。风险管理就是通过对风险的识别、衡量和分析，采取适当的方法和策略，把风险降低到一个可以接受的范围内。风险管理可以定义为是一个过程,是一个受董事会、管理者和其他人员影响的过程。在企业战略目标实现过程中往往会面临许多风险，企业经营目标不同，战略任务亦不相同，面临的风险也不尽相同。例如，市场开放、法规解禁、产品创新，或金融政策和税收政策的调整等，这些变化均会对企业的目标产生不同程度的影响，同时也会增加经营风险和财务风险。

企业的任何一个决策都充满风险和机遇,制定一个合理战略的关键就是要评估其提供的机遇是否大于其带来的风险。一个健全的风险管理系统不仅可以帮助企业及时止损, 同时也能提高企业应对风险的能力。风险管理从企业战略层面上制定并且始终贯穿于企业的各项活动中,随时发现并识别出那些潜在的风险,在确保企业可持续、稳定发展的情况下，对风险做出快速应对，规避威胁，抓住机遇，在合理的风险预期中促使企业战略目标得以顺利实现。

(三)企业战略和风险管理共同作用于内部控制

美国COSO在《企业风险管理—整合框架》(即ERM框架)中明确提出了风险管理的八个要素，其中，控制环境和目标设定是属于战略层面的内容，事项识别、风险评估和风险应对是对风险管理提出的要求，而控制活动、信息与沟通和内部监督是内部控制的重要环节。首先，企业战略规划确定了企业发展的目标, 给全体员工一个共同努力的方向, 有利于增强企业的凝聚力。同时战略规划还包括了对企业所处的内、外部环境的分析, 这个过程其实就是风险管理活动的内容, 通过风险识别，企业可以了解自身将要面对的机会和威胁，明确优势和劣势。企业的战略规划和风险管理二者相互渗透、相互促进。其次，从整个企业层面来看，企业战略和风险管理又是内部控制体系极为重要的组成部分。按照COSO《企业风险管理框架》(以下简称ERM(2017))的要求，企业应该在战略目标指引下, 制定出基于风险管理的内部控制体系。以战略为导向的内部控制，需要通过对各层级的风险控制来保证企业总体风险保持在可承受范围内，将企业战略和风险管理贯穿于整个内部控制过程，通过对风险相关数据的分析和加工，采用定性和定量相结合的方法对企业的风险进行评估, 进而提出有效的风险控制建议。总之，一个健全的风险管理系统不仅能够保证企业内部控制体系的有效实施，同时会促进企业战略目标得以顺利实现。企业战略、风险管理与内部控制三者之间的关系如图1所示。

图1 企业战略、风险管理与内部控制的关系

二、当前我国企业风险管理存在的不足

(一)公司治理结构不完善

公司治理结构是指在所有权和经营权相分离的情况下，界定企业各相关利益者与所有者之间的关系的一套制度安排和制衡机制。一个良好的公司治理结构能够激励管理层最大化投资报酬率，在保证企业可持续稳定发展的条件下提高经营绩效。当今社会，企业的外部环境瞬息万变，技术创新应接不暇，新的风险、更加复杂的风险不断涌现，企业之间的竞争愈加白热化。没有健全的风险管理体系，企业连生存都很困难，更谈不上提高绩效水平了。完善的公司治理结构为风险管理提供了强有力的制度保障和组织保障,同时管理者也将风险管理作为减少利益相关者之间利害冲突的有效手段。实践证明，在较高治理水平下进行风险管理降低了企业价值追求所面临的各种不确定性, 对提高企业绩效有明显的促进作用。但是，目前我国部分企业尚未设立独立的公司治理机构，或者即使设立了独立的公司治理机构，但却没有真正发挥其作用。同时由于部分国有企业董事会和经理层的权力有所重叠，出现权责不分、管理混乱的情况。此外，当前我国的法律法规还不够健全。例如，在管理层舞弊所引发的事件中，由于股东民事赔偿制度还存在较大的漏洞，对管理层惩罚的力度不够，致使违规事件频繁发生。企业的监事会依附于董事会和管理层，很难真正起到审查和监督作用。2004年12月，伊利集团“独董风波”揭开了伊利集团前董事长郑俊怀先后挪用公司资金2 990万元，以及违规出售大量伊利股份，致使伊利集团实际控制权转手的内幕。这充分说明伊利集团公司治理中存在内部控制缺失、董事长大权独揽等问题。

(二)没有设立专门的风险管理机构

企业的风险管理工作是一个长期、动态的过程，因此必须设立单独机构进行指导和监督。明确风险管理机构的定位、确定部门或个人的职责尤为重要。企业风险管理机构负责全面风险的具体管理，独立于业务领域进行战略层面和控制层面的风险管理工作。在战略层面，风险管理部门负责制定公司的风险管理政策和风险管理战略，并确保这些政策和战略得以实施；在控制层面，风险管理部门负责贯彻风险管理战略，具体工作包括对风险的衡量和评估，监测风险的动态变化，监督业务部门的操作流程和监控风险限额的使用，审核各业务部门的风险管理报告，评估各业务部门的风险管理业绩等。如果没有专门的风险管理机构，企业的风险管理就是零散的、随机的，当风险出现时，只能是拆了东墙补西墙。乐视网信息技术 (北京) 股份有限公司成立于2004年，2010年在我国创业板上市。2016年乐视财报显示营业收入218.3亿元，同比增长67.73%，净利润7.66亿元，同比增长33.6%。在十多年的扩张中，乐视垂直产业链整合业务涵盖互联网视频、影视制作与发行、智能终端、大屏应用市场、电子商务、互联网智能电动汽车等。但其风光背后潜伏的危机终于在2017年彻底爆发, 公司主要高管陆续离职, 面临退市的风险。通过分析乐视事件可以发现, 公司在制定战略时对外部环境过于乐观，发展节奏过快，盲目投资追求扩张规模，全球化战略一度拉得很长，而在内部控制中又缺乏科学的手段，对战略风险、经营风险和财务风险承载能力的预估值过高, 这种冒险性的经营管理模式最终让乐视陷入四面楚歌的境地。

(三)风险管理独立于企业的战略之外

当前企业所面临的商业环境日益复杂化，企业越来越需要从战略层面思考如何适应日益增加的变动性、复杂性和不确定性，企业风险管理与企业战略的关系越来越紧密。但是由于我国企业风险管理起步较晚，管理者风险管理意识淡薄，风险管理手段也比较落后，因此部分企业在实施风险管理时并没有很好地与企业的使命、愿景及核心价值观联系在一起，在企业战略的实施过程中无法对所面临的各类风险进行辨识、评估与分析，并采取合理有效的风险管理措施，对风险进行有目的性的控制。事实证明，如果风险管理活动总是独立于企业的战略之外，那么企业的风险管理工作很难发挥其真正的作用，这样将会降低管理者决策的准确性，企业经营的效率和效果也会很差，更无法保证企业战略目标的顺利实现。Christopher Dann，Matthew Le Merle和Christopher Pencavel用10年的时间对美国1 053家市值大于10亿美元的上市公司的价值变化进行调查分析,发现有81%的企业是由于战略选择失误导致企业价值大幅缩水的。

(四)缺乏有效的风险预警系统

风险预警系统是指企业在实施信息化管理的基础上，有效地监控并且发布企业运营中可能发生的各种风险的一种机制。风险预警系统的主要功能是及时收集各种风险相关的信息，定时监测、诊断可能出现的风险及其概率，并且把风险带来的经济损失降到最低。一个有效的风险预警系统对企业来说就相当于筑起一道防火墙，通过对风险的预警和报告，让有关部门做出相应的调整和应对，使风险在尚未形成规模前就能得到有效控制, 最大程度地减少企业经济损失，为企业安全、平稳地运营提供保障。但是，目前国内仍有为数不少的企业没有建立较为完善的风险预警系统，致使企业在面对各种危机时，缺乏行之有效的应对措施，技术手段落后，方法上又过于简单，从而蒙受巨大的损失。

三、增强风险管理与企业战略和绩效协同效应的对策

COSO在2004年10月发布的《企业风险管理—整合框架》(即ERM)中就强调了对利益相关方价值的创造，但从根本来说它仍是一个内部控制的框架，只能间接支持企业的价值创造活动。而ERM(2017)则从企业使命、愿景及核心价值观出发，最终目的是为了提升企业的价值和业绩，并将其渗透到企业的业务活动和核心价值链中，其从风险要素和内容等方面也有了质的变化，形成一个新型的企业管理视角。战略、风险管理与绩效的协同作用如图2所示。

图2 战略、风险管理与绩效的协同

针对当前我国企业风险管理的现状和水平，本文提出了以下建议：

(一)加强风险管理文化培育和建设

企业文化是现代企业的核心竞争力。企业文化可以激发全体员工的创造力，树立正确的价值观，提升企业的凝聚力，增强全体员工在工作中的使命感和责任感，以促进实现企业战略目标。在ERM(2017)中，风险管理被定义为“组织在创造、保持和实现价值的过程中，结合战略制定和执行， 赖以进行管理风险的文化、能力和实践”，这说明对于企业风险管理而言，构建一个具有充分风险意识的文化是至关重要的，企业文化将直接影响企业怎样识别风险、接受哪种类型的风险以及怎样管理风险等行为。员工对风险管理的认同感、使命感可以在一定程度上弥补企业制度流程设计中存在的缺陷。

对于风险文化的培育和建设，企业需要做好以下两方面的工作：第一，企业的高层管理者必须明确定义企业文化，将风险管理植入企业的核心价值观中，增强全体员工在追求战略和业务目标过程中的凝聚力；第二，定期编报风险文化绩效报告，分析风险文化变动趋势，调查评估各部门及员工的风险态度和风险偏好，帮助企业各级人员了解风险、文化和绩效之间的关系。

(二)建立风险管理信息系统

在现代企业风险管理中,要确保企业的正常运转,就必须做好风险预测、监测、预警等工作。风险管理信息系统就是将现代化的信息技术手段应用于风险管理的业务流程中，如云计算、大数据和区块链等。风险管理信息系统的作用是通过对风险数据进行搜集、筛选、分析、测试和报告，挖掘数据背后的价值，找到风险控制点，为企业的运营活动提供最大程度的安全保障。风险管理信息系统的建立将有助于企业实现风险信息在各职能部门和业务单位之间的集成与共享, 既能满足业务部门风险管理的要求, 也能满足不同职能部门的数据共享，给企业决策层提供更加及时、全面的风险数据，真正做到指标体系可视化、预警自动化、指标监控实时化，实现全时段、全环节、全流程的企业风险管理。

(三)促进战略目标与风险管理的深度融合

企业战略是指导企业长期经营活动的总体谋划，是一个企业的灵魂所在。对于宏观战略来说，企业通常会将其细化形成战略目标，从而对企业的各种运营活动实施管理和控制。ERM(2017)框架将风险管理追溯到企业战略选择和风险文化建设的源头，强调了在战略制定、战略选择和战略执行过程中考虑风险的重要性。实现战略目标与风险管理较好的融合，需要从以下两方面入手：第一, 由董事会决定公司战略和风险偏好。董事会成员要根据市场环境和股东要求，结合自身对风险的承受能力，制定企业的战略目标。这个过程必须充分考虑企业战略目标与其愿景、使命和核心价值观不一致的可能性。第二, 由风险管理部门牵头协同各业务部门经理制作一份风险清单, 列出在所有业务中可能碰到的风险种类,根据每一种风险发生的概率和损失的金额排列出风险级别，同时由风险管理部门负责设计风险控制方法。通过整合风险管理和战略目标, 企业可以了解战略和经营目标实现过程中可能遇到的风险及其危害性，以便采取行之有效的方法将风险和损失控制在最小范围，保证企业的可持续稳定发展。

(四)加强绩效和风险管理的联系

ERM(2017)对风险管理的新定义强调风险与价值的结合，突出价值创造而不只是降低损失，同时也厘清了风险管理和内部控制的界限。如果说防止损失是内部控制的主要目标，那么风险管理的目标就应该是通过价值创造提升企业绩效。因为任何风险对于企业来说既存在危险，同时也可能是机遇。例如，企业在研发新产品的决策中，除了要考虑自身在研发能力上的优势和劣势，还必须分析可能存在的机会和威胁；还有新产品投放时机、供应商、劳动力和竞争对手的情况等因素。风险管理是一个动态的过程，应该贯穿于企业实现价值创造的整个过程，即从企业确定战略目标开始，到开展日常业务活动阶段以及实现绩效提升的最终阶段，充分发挥有效的风险控制功能。实践证明，风险管理水平与企业绩效有明显的正相关关系，一个关联企业绩效的风险管理监控流程可以使管理层充分了解风险和绩效的关系,以及战略风险如何影响企业绩效,并及时了解新环境、新技术下可能产生的新风险。