成冬梅

（中国石化燃料油销售有限公司，北京 100029）

1 全面风险管理与企业管理的关系辨析

2017版COSO风险管理框架认为，全面风险管理本身是从风险视角开展的企业管理，与传统企业管理不可分割，相辅相成。

1）全面风险管理以实现公司战略目标为核心，为公司战略发展提供保障和支持。国际化企业要获得持续发展和成长，需要根据企业的使命、愿景与核心价值观，确立可以付诸实施的企业发展战略，选择可以参与竞争的经营领域，充分利用外部环境机会，合理配置企业经营所需资源，使各项经营业务相互支持、相互协调[1]。企业最大的风险是战略方向错误。企业确立战略前，首先运用风险管理分析模型，对企业所处的内外部环境及所处生命周期进行分析，对拟确定的企业战略与企业使命、愿景的匹配度做出评价，以确保战略达成的可能性。企业战略既定以后，依据企业战略确定企业风险偏好、风险容忍度与风险管理目标，着眼于企业文化、组织结构与战略的匹配度，把风险管理融入日常管理运营全过程，进行风险评估、预警、应对、报告、监督改进等运行机制的构建与实施。全面风险管理需定期对企业战略进行审计再评估，及时调整发展战略使企业适应内外部环境变化，保障企业可持续高质量发展。

2）全面风险管理以制度体系为抓手，实现风险管理的落地和抓实。广义的企业制度体系，包括领导体制、组织结构和管理制度。领导体制决定了企业风险偏好和风险容忍度大小，决定了风险管理决策的科学性高低。一般而言，激进型和积极型的领导体制，对风险承受能力较强，为了获得重大机遇或利益更倾向敢于冒险，对失败的容忍度较高；稳健型企业采取适度容忍风险的态度，倾向于建立民主科学的决策机制来防范重大决策风险；保守型企业则是典型的风险厌恶型，为了规避风险甚至选择放弃机遇。企业组织结构影响企业全面风险管理体系的运行效率。组织结构合理，各部门职责清晰配合协调，组织运行流畅高效；反之，则可能出现部门间推诿，内耗严重。狭义的制度体系即企业发布的管理制度，决定着企业风险管控的实际能力和效果。全球化经营的现代企业面对的是多种风险因素交织而成的复杂风险。从企业实践来看，制度体系有效执行可以应对“灰犀牛”风险，应对“黑天鹅”则需依靠企业有效运行的应急管理体系。

3）全面风险管理包含内部控制，内部控制是全面风险管理的有机组成部分[2]。内部控制体系是融合业务流程、管理制度和权限分配的控制框架，主要聚焦于企业经营的效益性、财务报告的可靠性和法律法规的遵从性。但内部控制存在较大局限性，无法直接为价值创造服务。全面风险管理则聚焦于价值创造，以实现战略和绩效目标为核心，从企业使命、愿景和核心价值出发，把风险管理全面嵌入企业管理业务活动和核心价值链，是企业在创造、保持和实现价值过程中的“文化、能力和实践”[3]。

4）全面风险管理的最终结果体现为企业绩效目标的实现和企业的成长发展。ISO 31000∶2018风险管理指南指出，风险管理的目的是创造和保护价值，提升绩效，鼓励创新并支持目标实现。全面风险管理基于企业战略规划和绩效目标，对企业经营过程中实现绩效目标的不确定性因素进行管理，通过制度体系和内部控制手段实现对“灰犀牛”风险的管理，通过企业应急管理体系有效应对突发事件，降低“黑天鹅”给企业带来的负面影响，保障企业实现绩效目标。全面风险管理另一个重要功能是发现机遇、评估机遇并帮助企业高管层做出抢抓企业重大发展机遇的决策。风险和机遇相伴而生，当机遇来临时，企业首先通过风险分析对收益与风险的可能性大小进行评估。当机遇带来的风险在企业的风险容忍度以内、带来的收益将促进企业战略目标实现时，企业高管层将做出正确决策，带领企业进入全新的发展高度。

2 国际化企业构建全面风险管理体系的实践

当前世界正处于百年未有之大变局，东西方实力的持续斗争和较量将带来诸多不确定因素。国际化企业构建行之有效的全面风险管理体系是保障企业健康发展的根本基础。

从战略目标出发，确定企业风险文化类型及风险偏好，设立风险管理目标。某企业作为一家有多年历史的国有企业，围绕核心主业建立了低硫船燃、天然气、非油品综合服务等同心多元化业务体系，进行全球化网络布局。多年创业发展史凝炼成了“创业、创新、创优”的“三创”精神，确定了“建设世界领先船舶综合服务商和清洁能源供应商”的发展愿景，确立了同心多元化发展战略。企业组织了全员参与的风险文化问卷调研，结果显示，全体干部员工对公司风险文化认知是偏积极的稳健型文化，与企业的国有企业性质及“三创”精神相一致。企业的风险偏好为相对低风险，但面对企业生存发展的重大机遇，企业也有一定的风险容忍度。企业提前预判并抢抓2020年国际船燃低硫化的历史机遇，推动企业进入全新发展阶段。依据发展战略，企业确定了“全年不发生系统性风险，零感染、零伤害、零污染、零事故，不发生负面舆情”的全面风险管理目标。

建立全面风险组织管理体系，落实风险管理责任。企业围绕发展战略及经营目标，按照“分层、分类、集中管理”原则建立全面风险管理组织架构。建立全面风险管理领导小组作为企业风险管理的最高决策机构，对企业全面风险管理的有效性负责，主要职责是对全面风险管理重大事项进行决策，并培育与战略相适应的风险管理文化。全面风险管理办公室作为日常执行机构，负责组织和协调企业风险管理的日常工作开展。企业审计部门独立行使全面风险管理检查评价职能，负责制定风险管理检查评价计划及标准并组织实施。纪检监督部门对全面风险管理体系运行进行监督和执纪问责。企业所属单位是各自职责范围内业务风险管理的责任主体，主要负责人是本单位风险管理第一责任人。由此企业形成风险防控三道防线：第一道防线是具体业务单位，第二道防线是风险管理部门及负有管理职能的部门，第三道防线是内部审计和纪检监督部门。

建立全面风险管理流程和制度体系，实施风险有效管控。企业发布《全面风险管理实施细则》，对风险管理的目标制定、信息收集与风险识别、风险评估、风险应对、监控预警、监督评价与持续改进等工作流程做了明确规定。同时，加强制度全生命周期管理，强化法律法规要求向制度条款转化，推进制度信息化，提升制度刚性执行能力。在企业经营领域，强化内部控制制度执行有效性。每年组织内控制度修订完善，每季度组织流程测试与检查，针对重点业务开展专项抽查，持续提升内控制度执行有效性。在基层生产运行领域，贯彻执行HSE管理体系。强化制度条款向岗位操作规范转化，定期开展风险隐患排查，专业人员组成巡回检查组对发现问题进行通报并追踪整改。对境外风险管控，强化合规体系建设与管理。制定国际贸易制裁和出口管制、反垄断、反商业贿赂等合规风险清单，每月召开境外风险排查会，推进重点业务领域法律法规强监管。

建立全面风险管理监督评价体系，持续提升风险管理水平。企业充分发挥外部审计和内部审计的监督评价作用，每年对企业发展战略、组织架构、权责分配、人力资源、业务开展、滥用职权及徇私舞弊等方面进行外部审计。每年有计划地开展内部审计，每季度对各单位制度执行情况和风险管理情况进行监督检查与考核。对审计查出问题建立整改清单，实行“销项管理”，定期组织“回头看”，持续完善全面风险管理体系。把全面风险管理纳入企业“大监督”体系，对因风险管理失控或失职给公司带来严重负面影响或重大经济损失的，纪检监督部门对相关责任人进行问责。

聚焦“两高一重”风险管理，守住不发生重大风险的底线。全面风险管理要聚焦高风险业务、高风险岗位和重点人员，这是企业守住不发生重大风险的关键。一是加强风险管理融入战略规划，全面考虑企业所面对的政治经济环境因素，在充分开展风险分析和评估的基础上制定战略规划。二是列出“两高一重”风险清单，落实风险管理责任，明确风险管控目标和计划，制定完善的应对方案和应急预案。三是强化高风险业务管控。每年通过风险评估和问卷调查，确定企业需要重点管理的重大重要风险。企业根据风险对战略和经营目标的影响程度，重点聚焦金融衍生品、信用、重大投资项目及境外经营合规等风险管理。建立动态平衡的金融衍生品套期保值及风险对冲机制，规避库存商品价格波动风险；建立客户信用全生命周期管理模式，严防资金和交易对手风险；强化重大投资项目尽职调查，对项目制定详尽可行的风险分析与应对措施；建立境外经营合规风险排查和日常预警机制，密切关注国际制裁政策及名单变动，做好境外经营合规风险防范。

3 国际化企业全面风险管理体系运行中的问题和对策

1）解决全面风险管理体系与其他管理体系交叉重叠的问题。企业职能部门从各自专业管理视角出发建立相应的管理体系，企业中存在着风险、制度、HSE、内控等管理体系严重交叉重叠问题。企业要加强顶层设计，构建一体化的全面风险管理体系，对现有管理体系进行职能定位与整合。以风险管理为统领，以制度体系建设为核心，坚持法律合规、内控风控、制度、HSE管理、审计监督等一体化推进，形成全面风险管控合力。在经营领域，突出以内部控制执行有效性为核心防控业务经营风险；在基层生产运行领域，突出以HSE体系有效性为核心防控生产运行风险；在海外业务领域，突出以合规体系有效性为核心防控海外经营风险。推进信息数字化建设，将风险管控有效融入经营管理全过程、全方位、全天候。

2）解决防范化解重大风险能力不足的问题。一要加强国际国内环境研究，增强风险预判力。国际化企业要加强世界大势和行业趋势研判，前瞻性思考，做好潜在风险预判和风险评估分析，以战略规划的前瞻性、对策预案的精准性来对冲外部环境的复杂性、不确定性，防止因误判大势而造成战略失误风险。二要强化应急管理体系运行，增强突发重大风险应对能力。重大风险的产生一般会经历孕育生成、发展演变、升级失控的过程，日常要加强相关风险信息的收集和研究，增强识别风险的敏锐性。要建立健全企业应急管理体系，强化体系运行，增强突发事件发生时的快速反应能力和应急处置能力，切实把风险化解在萌芽状态。三要强化风险防控责任落实与问责。要将风险管控贯穿于业务开展全过程，强化业务部门第一道防线的风险主体责任，落实专业管理部门第二道防线的主管责任，明确审计监督部门第三道防线的监管责任，以责任的层层落实确保风险时时在控。加强风险事件责任人的问责追责力度，加大玩忽职守的惩戒力度，大力强化全员责任意识和风险意识。

3）解决发展国际化业务所面对的境外管控风险问题。国际化发展受业务所在国政治经济局势及相关政策影响较大，境外业务主要面对战略投资、法律合规、资金信用、税务、市场及公共安全等六方面重大风险。企业需要结合管理实际，针对性制定风险控制措施。一是严密关注国际政治经济局势，加强国别研究和项目所在国投资环境分析，选择在行业内具有较高影响力和良好资信水平的合作伙伴开展合作；二是加强项目所在国反商业贿赂和反腐败、销售者权益保护、反垄断和不正当竞争等重点领域政策法规研究，确保合规开展经营；三是建立供应商及客户准入机制，开展客户信用全生命周期管理，引入第三方专业资信评级机构动态掌握客户资信变化情况，规避资金风险或连带责任，严格防范交易对手风险；四是对国际税收协定及业务所在国税收政策进行跟踪研究，与海外税务筹划机构加强合作，规范海外机构税务管理；五是利用国际国内市场差，建立金融衍生品套期保值和风险对冲机制，控制市场价格和汇率波动带来的风险；六是加强境外人员从业培训，提高其应对公共安全风险事件的应变能力。

4 结语

全面风险管理体系是企业战略实施和经营目标实现的保护伞和助推器，强化全员风险意识，建立企业高管民主集中决策制度，构建内部协同有效的组织架构，强化制度体系执行力，加强国别政策研究和境外投资环境分析，严格信用管理，制定金融衍生品套期保值及风险对冲机制，是国际化企业全面风险管理体系构建的核心，是其有效运行的关键。