沈源津

风险在企业运营过程中是客观、普遍存在的，企业可以通过有效的风险管理手段降低风险事件的发生概率，减少风险事件引起的损失。

一、企业风险管理概述

企业风险是指对企业的战略与经营目标的实现造成不确定性影响的因素，包括战略风险、财务风险、市场风险、运营风险、法律风险、投资风险等。风险事件的发生会给企业带来损失，影响企业的经济运营成效。企业风险管理是指企业为了降低风险事件的发生概率，将风险事件发生导致的损失控制在一定范围内，提前制定风险应对策略的一系列管理活动。企业应将风险管理跟企业的战略设定、经营管理、业务流程相结合，风险管理应覆盖企业的所有风险类型、业务流程、操作环节、管理层级。

二、构建全流程风险防范体系的意义和作用

全流程风险防范体系是指企业根据实际运营情况，对公司从战略管理、职能管理、业务管理等方面进行全面梳理，识别各个运营流程中存在的风险点，制定风险防范策略，并在执行过程中根据风险变化、策略执行情况、公司发展规划等对风险管理进行监控和调整，同时引入内部审计、纪检监察、评价等管控手段确保风险防范策略有效实施的管理体系。构建全流程风险防范体系有助于降低企业风险事件的发生概率，减少风险事件发生引起的损失，为战略的有效实施、资源的优化配置、企业的价值提升提供强有力的支撑，显著提高企业的经营管理水平，实现企业的经营目标。

三、全流程风险防范体系的构建和实施

全流程风险防范体系的搭建和实施要结合企业经营实际，以提高企业经营效益和实现企业战略规划为目标，以风险管理为导向，以全流程梳理为基础，以关键业务活动为重点，按照事前、事中、事后三个实施阶段不同的侧重点，全面谋划、设计、制订、持续改进企业全流程风险防范体系。

（一）全流程风险防范体系的建立

构建全流程风险防范体系的第一步是要全面梳理企业日常经营管理中各类、各项业务、各职能线条的现有流程，进行风险识别，重点关注企业的核心业务和关键流程，特别是产品制造流程、销售管理、采购管理、工程管理、投资管理、资金管理等关键领域，运用调查问卷、风险组合清单、SWOT分析、流程图、潜在事件分类图等应用工具进行风险识别，查找经营管理风险点，组织风险管理评估专家对所发现的经营管理风险点进行研讨分析，评估风险影响程度及发生概率，编制风险分类与缺陷清单。第二步是要对风险清单所罗列的风险点，一一对应制定风险应对策略，实施业务流程再造，将风险控制在企业可承受范围之内，针对关键领域的经营管理风险点，企业应建立重大风险预警与应急机制，明确风险预警标准，制订应急预案，提升企业风险应对能力。第三步是要根据风险管理目标，健全建立风险管理制度体系，包括风险管理决策制度、风险识别和评估制度、风险管理评价制度、风险管理报告制度等，同时根据已梳理出来的经营管理风险点，将风险防控手段嵌入到企业各项日常管理经营制度中，改进、完善各项制度，促进业务处理规范化和标准化。

（二）全流程风险防范体系的执行与实施

全流程风险防范体系运行得到预期最大效益的关键在于有效执行，企业应采取切实措施，细化举措，落实责任主体，确保全流程风险防范体系能有效落地，执行到位。

一是要优化企业组织架构。企业应明确风险管理组织架构和有关职责，有条件的集团企业应成立专门的风险管理工作领导机构，负责风险管理工作的组织协调，同时设立专职机构或确定牵头部门，配备专职工作人员。企业在风险管理组织架构设计中一般设立三道防线，其中相关职能部门和业务单位是风险管理的第一道防线;风险管理职能部门和董事会下设的风险管理委员会是风险管理的第二道防线;内部审计部门和董事会下设的审计委员会是风险管理的第三道防线。

二是要建立共同参与的跨部门联动工作机制。高效协同的基础在于清晰的权责、精细的分工，企业首先应明确全流程风险防范体系各环节、各流程、各业务的分工及职责权限，明确责任链条分界点、衔接点，落实责任归属。其次应注重部门间的上下联动，左右协同，准确把握“统和分”、“点与面”、“内与外”的关系，整合资源聚合力，实现各机关部门协同高效运作，提高风险管理程序的流转效率。最后，公司职员作为全流程风险防范体系各环节的具体执行人，企业应注重鼓励员工积极参与，激发员工的工作热情，形成群策群力、自觉执行的全员风险管理意识与氛围，共同推进管理体系有效落地。

三是要建立风险执行监控预警机制。通过定期、定频收集企业各项业务流程在执行过程以及日常监督检查工作中反馈过来的数据，建立企业风险档案数据库，进行风险识别，并根据风险危害程度、紧急程度、发生频次，运用安全检查表法、作业条件危险性分析、事故树分析、风险矩阵、作业风险分析等等專用工具，明确一级、二级、三级、四级风险预警阈值，进行监控预警。对日常运营中的疑似风险，要运用定量和定性相结合的分析办法进行研判，包括风险的类别、程度、原因及其发展趋势等，并根据风险事件的预警等级，按照企业风险管理权限和程序，采取对应的应对措施，及时防范、控制和化解风险。对于有实力的集团企业，可利用现代化信息化手段建立风险预警实时监控系统，提高风险识别的准确性以及风险事件发生时的应对效率。

四是要明确风险信息沟通与报告路径。企业应依据风险事件的实质内容、影响程度、紧急程度等信息，结合风险执行监控预警机制中对各类风险事件的预警等级规定，明确各类风险事件的报告程序和应对措施的决策层级，确保在风险事件发生后能及时、准确、有效地向企业内部经营领导班子、董事会及监管部门反映。其中，重大经营风险事件的报告应按照事件发生的不同阶段，分为首报、续报、终报等三种方式，首报报告内容应包括风险事件发生的时间、地点、现状、可能造成的影响损失、采取的紧急应对措施等;续报报告内容应包括风险事件的基本过程、发展趋势研判、风险应对处置方案、面临的问题、困难及建议等;终报报告内容除了涵盖首报、续保的主要内容外，还应包括风险事件涉及的金额或损失及影响、问题整改情况等。

（三）全流程风险防范体系的监督检查和优化

全流程风险防范体系的有效执行离不开监督检查，企业应充分利用内部审计、纪检监察的力量，充分揭示全流程风险防范体系的设计缺陷和运行缺陷，提出管理改进建议，并跟踪落实缺陷整改，实现闭环管理，促进全流程风险防范体系不断优化和改进。

一是加强风险管理日常监督检查。企业应把风险管理作为企业经营常态化管理的重要组成，将风险管理和业务流程有效结合，强化风险防控，设定日常监督检查机制，根据风险指标的预警层级，定时、定期、定频开展风险排查工作，及时发现风险日常管理过程中存在的不足及漏洞，形成检查报告，提出改进建议，根据企业风险信息沟通与报告路径相关规定，向有关业务部门及企业管理层反映。对于一级预警风险指标，企业应适当提高检查、抽查频次。

二是定期开展風险管理内部审计和纪检监督检查。内部审计和纪检监察是企业强化内部监督，实现规范运营的重要手段，是企业堵塞管理漏洞、减少腐败机会、促进健康发展的有效路径，企业应将企业全流程风险管理作为经济责任审计、财务收支审计以及各类监督检查工作的重要内容，针对关键业务领域的风险点及重大风险隐患事项，应加强管控，适时开展专项审计检查，实现监管资源的合理配置和高效利用。审计机构和纪检监察单位应整合检查所获得的数据，形成审计、检查报告，披露企业在全流程风险防范体系的建设和执行中存在的缺陷和不足，并提出整改意见，上报本级党委及董事会，并报送相关主管部门，同时做好内部审计、纪检监察的后半篇文章，聚焦问题整改落实，强化整改成效，促进企业管理提升。

三是结合检查结果优化全流程风险防范体系。全流程风险防范体系是一个动态发展、不断改进、不断优化完善的过程，企业应加强全流程风险防范体系的持续提升、优化升级改造工作。对于日常监督检查、内部审计和纪检监督检查发现的问题和不足，企业应高度重视，不仅要深度检查问题形成过程，分析问题形成原因，还要举一反三全面梳理全流程风险防范体系建设和执行过程中存在的漏洞和缺陷，查漏补缺，加强短板，制定解决方案，稳扎稳打推进全流程风险防范体系的持续改进与优化，增强企业对内外部风险的抵御能力，提高企业风险管理水平，推动企业战略目标的实现。

（四）全流程风险防范体系评价考核机制的建设

全流程风险防范体系评价机制的设定，第一步是要采用定量指标和定性指标相结合，基本指标与修正指标相辅相成的方式，结合公司战略发展目标和业务重点，确定评价指标的内容。第二步是要针对每一个评价指标，科学制定评价指标的目标值及权重，其中权重的设计要充分发挥企业的战略和经营目标导向作用。第三步是要结合评价的目的、范围，企业的所属行业、规模等信息，明确计分方法，一般采取功效系数法、综合指数法等定量方法，并辅以素质法、行为法等定性方法。第四步是要明确评价周期，可以采用月度、季度、半年度、年度、任期等。

全流程风险防范体系评价机制还须与业绩考核、责任追究机制结合起来，发挥合力效应。一是通过评价机制对全流程风险防范体系的建设与执行效果作出全面、客观、专业、公允的评价，并将评价结果纳入绩效考核体系，激发职员的工作动力，充分发挥评价考核的导向作用，让评价考核成为全流程风险防范体系有效执行的重要推手。二是建立重大风险事件责任追究机制，根据重大风险事件的性质及影响程度对责任领导及相关人员进行相应的责任追究，例如在评价机制和业绩考核中给予扣分或降级处理，以此强化风险管理过程中各业务、各流程执行人员的责任心，提高人员的执行能力和质量，促进全流程风险防范体系高效有序运行。

四、借助现代化手段为构建全流程风险防范体系提供信息化支持

随着信息科学技术的高速发展，信息化建设在风险管理领域中发挥着越来越重要的作用，建立风险预警信息系统，可以提升企业在日常风险管理的信息资源共享能力，提高信息传播的速度与精准度，对于突发风险事件，可以有效地提高应对效率。推进全流程风险防范体系建设同信息化建设的融合对接，刻不容缓。企业应在将制度和风险应对措施嵌入业务流程的基础上，结合企业信息化建设进程，将业务流程和风险防控措施逐步固化到信息系统，实现智能风险识别、智慧风险分析、风险分级预警、分类督办、风险动态跟踪、决策辅助等功能，以“互联网+监督”的创新、精准、有效方式，实现风险管理在线运行，在线监控，在线管理。

全流程风险防范体系与信息化建设的融合主要体现在两个阶段，第一阶段是在风险识别阶段，企业可运用SPSS、Clementine等专业的数据分析软件对风险数据进行科学的分析和研究，有助于风险事项做出正确研判，提高风险指标制定的科学性和严谨性。第二阶段是在风险管控阶段，企业将风险执行监控预警机制在线化、信息化，通过设立风险预警模型，对各业务流程的风险点进行实时监控，对管理对象做出安全风险评估，并将超越预定阈值的告警推送到相关业务部门，进而为企业管理者的决策提供数据支撑。全流程风险防范体系信息化系统的建设需要专业的技术支持，对于信息技术人才有限、无力独自开发信息化系统的企业，可采取采购服务的方式，引入RiskRaider风险雷达、风险管控SAAS平台等专业化风险管控平台，促进全流程风险防范体系信息化管理，从而有效地提升企业的风险管控能力。

结 语

全球经济一体化的进程在很大程度上加剧了风险事件产生的影响范围和危害程度，一个小的风险事件一经发生，有可能像打开潘多拉魔盒一样，形成多米诺骨牌效应，对企业本身及上下游链条造成连锁影响。在这种大趋势下，企业往往面临着极其复杂的外部环境，经营压力和风险加大，这些都客观地要求企业应重视风险管理，运用风险防范工具提高自身抵御内外部各种风险的能力，在此背景下，构建全流程风险防范体系刻不容缓，这也是企业实现规范、稳健、高效发展的必要工具，是顺应国际国内政治经济环境新变化的必然要求，是企业提升资源配置效率和防范经营风险的重要保障。