霍順生，楊 旭，蔡義兵

(河鋼集團礦業(yè)公司，河北 唐山 063000)

在經(jīng)濟全球化及第四次工業(yè)革命興起的大背景下，尤其是面對復(fù)雜的經(jīng)濟發(fā)展環(huán)境，國有企業(yè)加強以防范化解重大風險為主要目標的全面風險管理更加具有緊迫性、重要性。以2006年6月國務(wù)院國有資產(chǎn)監(jiān)督管理委員會下發(fā)《中央企業(yè)全面風險管理指引》為標志，國有企業(yè)開始全面推行風險管理。在此之前，風險管理大多聚焦于COSO風險管理框架下的金融、財務(wù)、保險等領(lǐng)域。企業(yè)生存發(fā)展的獨有特點，意味著對COSO-ERM直接采用拿來主義將會產(chǎn)生一些難于避免的問題，從而影響框架推行效果，要做一定實施層面的轉(zhuǎn)換與磨合[1]。目前在學術(shù)層面重點關(guān)注企業(yè)風險管理的內(nèi)涵、目標、機理等問題的研究[2]，有王農(nóng)躍[3]的關(guān)于風險管理理論、整體框架、評估體系、評估方法等內(nèi)容的構(gòu)建企業(yè)全面風險管理體系的研究等成果；在企業(yè)風險管理實踐過程中，逐步由注重企業(yè)內(nèi)部控制風險[4]，向基于企業(yè)風險管理與業(yè)務(wù)流程之間的聯(lián)系與整合，探討企業(yè)風險管理實施途徑轉(zhuǎn)變[5]。由于國有企業(yè)所處行業(yè)不同所關(guān)注的風險內(nèi)容及管控重點也不同，尤其對國有礦山企業(yè)來說，礦山生產(chǎn)經(jīng)營特點導(dǎo)致大部分企業(yè)風險管理意識不強，風險管理機制不健全，在全面風險管理的方式方法、深度、廣度等方面還有很多工作要做，防范資源、安全、環(huán)保、資金等風險任務(wù)更加突出。需要以“央企指引”為指導(dǎo)，創(chuàng)造性地將風險管理框架與企業(yè)實際相結(jié)合，建立集管理架構(gòu)、管理流程、管理機制為一體的四層三級一單式全員全覆蓋的具有可操作性的全面風險管理體系。

1 全面風險管理

風險管理理論成熟于20世紀50年代以后，以MEHR和HEDGES《企業(yè)風險管理》、WILLIAMS和HEINS《風險管理與保險》的出版為標志。WILLIAMS和HEINS認為，風險管理是通過對風險的識別、衡量和控制從而以最小成本使風險所致?lián)p失達到最低程度的管理方法[6]。這個階段，企業(yè)主要是通過內(nèi)部控制手段，對面臨的純粹風險、市場財務(wù)風險、金融風險，進行風險回避和風險轉(zhuǎn)移。20世紀90年代后，企業(yè)融入全球經(jīng)濟一體化的進程明顯加快，企業(yè)面臨的風險無論從管理業(yè)務(wù)、復(fù)雜程度還是相互聯(lián)系影響方面都超出了以往的風險管理范圍，企業(yè)應(yīng)采用更廣泛、整合的方法應(yīng)對風險。2004年，COSO委員會正式發(fā)布了《企業(yè)風險管理—整合框架》，明確企業(yè)風險管理持續(xù)貫穿企業(yè)管理全過程，由組織中各個層級的人實施，應(yīng)用于戰(zhàn)略制定并為目標實現(xiàn)提供合理保證，包括8個相互關(guān)聯(lián)的構(gòu)成要素：內(nèi)部環(huán)境、目標設(shè)定、事項識別、風險評估、風險對策、控制活動、信息與溝通、監(jiān)控。2009年國際標準化組織發(fā)布了《風險管理—原則與實施指南》(ISO 31000：2009)，釋義ISO/IEC Guide 73給出定義：企業(yè)引導(dǎo)和控制風險的所有行為稱之為企業(yè)全面風險管理。許瑾良認為，風險管理就是應(yīng)用一般的管理原理去管理一個組織的資源和活動，并以合理的成本盡可能減少災(zāi)害事故損失和它對組織及其環(huán)境的不良影響[7]。風險管理的理念已經(jīng)從單一純碎風險、部分業(yè)務(wù)層面風險的內(nèi)控制度為主，轉(zhuǎn)化為企業(yè)整體層面的應(yīng)對內(nèi)外所有風險的有效管理，保障其戰(zhàn)略決策及經(jīng)營目標的實現(xiàn)，風險管理發(fā)展到全面風險管理階段。

2006年6月國務(wù)院國有資產(chǎn)監(jiān)督管理委員會下發(fā)《中央企業(yè)全面風險管理指引》，所稱企業(yè)風險，指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響；所稱全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法?！把肫笾敢睂嶋H上要求企業(yè)圍繞總體經(jīng)營目標，對外部所處經(jīng)營環(huán)境、內(nèi)部所有業(yè)務(wù)面對的不斷變化和不確定性進行全面全方位的風險管理，以此規(guī)避和化解風險。2009年5月1日起施行的《中華人民共和國企業(yè)國有資產(chǎn)法》明確規(guī)定，國家出資企業(yè)應(yīng)當依法建立和完善法人治理結(jié)構(gòu)，建立健全內(nèi)部監(jiān)督管理和風險控制制度。這是從立法的角度要求國有企業(yè)加強全面風險管理。

健全完善全面風險管理的管理架構(gòu)、流程、機制，將全面風險管理與生產(chǎn)經(jīng)營緊密結(jié)合，把風險管理融入企業(yè)管理各個方面和業(yè)務(wù)流程中，是企業(yè)構(gòu)建全面風險管理體系的基礎(chǔ)，是提高風險管理能力的重要支撐，是實現(xiàn)持續(xù)、健康、穩(wěn)定發(fā)展的重要保障。

2 全面風險管理架構(gòu)

2.1 組織體系

全面風險管理的組織體系，主要包括規(guī)范公司的法人治理結(jié)構(gòu)，風險管理職能部門、內(nèi)部審計部門和有關(guān)職能部門、業(yè)務(wù)單位的組織領(lǐng)導(dǎo)機構(gòu)及其職責，確認可能影響生產(chǎn)經(jīng)營活動的潛在風險并在風險偏好范圍內(nèi)加以管控，實際上是董事會、管理層、職能部門共同參與的管理過程。在組織體系方面，董事會是公司全面風險管理工作的領(lǐng)導(dǎo)和責任機構(gòu)；董事會下設(shè)風險管理委員會，負責落實董事會關(guān)于全面風險管理工作的要求和相關(guān)決議，對董事會負責，經(jīng)理層班子成員擔任委員，按照業(yè)務(wù)分工承擔風險管理的第一責任；風險管理委員會下設(shè)風險管理辦公室，作為公司風險管理業(yè)務(wù)的日常工作機構(gòu)，負責組織協(xié)調(diào)全面風險管理各項工作；各職能部門是公司全面風險管理辦公室成員，具體牽頭組織實施本部門及相關(guān)業(yè)務(wù)風險的管理，建立健全本部門所涉及業(yè)務(wù)的風險判斷標準、判斷機制，制定管控化解風險的解決方案，同時指導(dǎo)、督導(dǎo)各子分公司開展風險管理工作，部長是本部門風險管理的第一責任人；各子、分公司負責落實本單位全面風險管理日常工作，結(jié)合本單位生產(chǎn)經(jīng)營實際，健全完善風險管理體系，執(zhí)行風險管理流程，實施風險管控，車間(作業(yè)區(qū)、科室)是風險管理的基層組織，行政正職是本單位風險管理的第一責任人。

2.2 管理架構(gòu)

在全面風險管理的組織體系基礎(chǔ)上，以公司組織機構(gòu)為主體框架，公司職能部門業(yè)務(wù)為風險范圍，風險影響程度為風險分級，構(gòu)建四層三級業(yè)務(wù)全覆蓋的立體風險管理架構(gòu)。四層即按照公司組織機構(gòu)層級，分為公司層、職能部門層、子分公司層、車間(作業(yè)區(qū))四個管理層級；業(yè)務(wù)全覆蓋即將公司職能部門所涉及的業(yè)務(wù)全部納入風險管理范圍；三級即按照風險對公司生產(chǎn)經(jīng)營及發(fā)展目標影響的重要程度，分為A級(重大風險)、B級(較大風險)、C級(一般風險)三個風險等級。從管理層級、風險范圍、影響程度三個維度形成了全面風險管理立體架構(gòu)。圖1為四層三級業(yè)務(wù)全覆蓋風險管理架構(gòu)。這樣的管理架構(gòu)顯示，企業(yè)構(gòu)建了組織機構(gòu)橫向到邊全員參與、業(yè)務(wù)縱向到底全業(yè)務(wù)覆蓋的全面風險管理新格局。

圖1 四層三級業(yè)務(wù)全覆蓋管理架構(gòu)Fig.1 Four-level and three-tier full coverage management fix

3 全面風險管理流程

風險管控全流程包括收集風險信息、進行風險評估、確定風險管理策略及解決方案、建立風險管理清單、運行風險管理信息系統(tǒng)進行時時監(jiān)控、風險管理考核、風險管理監(jiān)督等七個方面(圖2)。

3.1 收集風險信息

按照職能部門分工及不同專業(yè)業(yè)務(wù)，本著職責清晰、界定明確、操作可行的原則，以河北省國有資產(chǎn)監(jiān)督管理委員會風險分類為標準，結(jié)合公司生產(chǎn)經(jīng)營實際，將公司風險劃分為政治意識形態(tài)風險、戰(zhàn)略風險、安全風險、資源環(huán)保風險、市場財務(wù)風險、生產(chǎn)運營風險、法律風險、黨的建設(shè)風險、社會穩(wěn)定風險九大類別58類風險，覆蓋政治意識形態(tài)、發(fā)展規(guī)劃、安全生產(chǎn)、資源接續(xù)、環(huán)境保護、投融資、財務(wù)管理、采購、銷售、物流、質(zhì)量、法律事務(wù)、人力資源、信訪穩(wěn)定等各項業(yè)務(wù)管理。依據(jù)公司全面風險類別及業(yè)務(wù)分工，不同風險管理層級責任主體負責收集本部門的內(nèi)、外部風險信息，作為開展全面風險管理工作的基礎(chǔ)和依據(jù)。

3.2 進行風險評估

在收集信息的基礎(chǔ)上，不同風險管理層級責任主體通過風險識別，以及對發(fā)生風險可能性的高低和對目標影響的程度、影響后果、發(fā)生頻率、風險損失額度等進行定量與定性分析，制定風險評估標準，從而確定各項風險的等級。風險管理設(shè)三個等級，分別為A級(重大風險)、B級(較大風險)、C級(一般風險)。實施不同層級等級編碼管理，不同層級對應(yīng)不同等級編碼，如“一A”風險表示公司層級重大風險，“二A”風險表示職能部門層級重大風險，“三B”風險表示子分公司層級較大風險，“四C”風險表示車間(作業(yè)區(qū))層級一般風險等。

圖2 企業(yè)全面風險管理流程Fig.2 Comprehensive risk management process of enterprise

在風險評估過程中，下一層級的A級風險事項報送上一層級，上一層級將下一層級A級風險事項與本層級存在的風險事項一起評估，形成本層級風險事項。通過提級評估風險事項，有利于分析判斷重大風險，準確定位橫縱業(yè)務(wù)的重要風險點，確保各級管理者履行風險管理職責。

3.3 制定風險管理策略及解決方案

根據(jù)公司內(nèi)外部環(huán)境變化及生產(chǎn)經(jīng)營目標，公司以職能部門業(yè)務(wù)為主線，從風險影響的重要程度、承受能力出發(fā)，確定重點防范市場、財務(wù)、安全、環(huán)保、法律、社會穩(wěn)定等風險，并制定風險策略及解決方案。充分利用有限的資源將各類風險控制在可控范圍內(nèi)并積極化解風險，尤其是加強對風險問題由風險轉(zhuǎn)變?yōu)槲C的監(jiān)控，及時發(fā)現(xiàn)和采取措施，控制風險轉(zhuǎn)化為危機事件。

3.4 建立風險管理清單

按照公司全面風險管理四層三級分級管理架構(gòu)，各層級根據(jù)生產(chǎn)經(jīng)營實際收集風險信息，梳理風險問題，依據(jù)本層級的風險評估標準確定風險等級，制定風險解決方案，建立風險管理清單。風險管理清單是包含風險描述、風險識別分類、風險等級、解決方案、責任部門、責任人、風險實效、風險評價等一系列內(nèi)容的表單，不同層級形成各自的風險管理清單。

3.5 運行風險管理信息系統(tǒng)進行時時監(jiān)控

風險管理信息系統(tǒng)是按照公司全面風險管理體系搭建的用戶平臺，根據(jù)各用戶在全面風險管理工作中的職責設(shè)置用戶權(quán)限。通過運行風險管理信息系統(tǒng)，對風險事項進行時時監(jiān)控，對已經(jīng)化解的風險事項及時移除系統(tǒng)，對新發(fā)現(xiàn)的風險信息及時輸入系統(tǒng)納入監(jiān)控范圍，實現(xiàn)風險的時時監(jiān)控、動態(tài)調(diào)整。

3.6 風險管理納入經(jīng)濟責任制考核

全面風險管理工作考核按照管理層級實行逐級考核。公司風險管理辦公室負責對公司各職能部門、子分公司全面風險體系建設(shè)、運行過程、信息反饋、風險管理效果進行督導(dǎo)考核；職能部門在業(yè)務(wù)范圍內(nèi)對子分公司有督導(dǎo)考核權(quán)，考核結(jié)果報風險管理辦公室一并執(zhí)行。

3.7 加強風險管控的監(jiān)督改進

公司明確各級紀檢監(jiān)察、審計部門以重大風險、重大事件和重大決策、重要業(yè)務(wù)流程管理為重點，對風險解決方案的實施情況進行執(zhí)紀監(jiān)督，將全面風險管理與懲防體系建設(shè)、權(quán)力運行監(jiān)督機制、審計制度相結(jié)合，保證全面風險管理工作的有效實施。

4 全面風險管理機制

公司通過建立以董事會主導(dǎo)，職能部門和子分公司為責任主體，縱向業(yè)務(wù)到底，橫向組織到邊全員全覆蓋的風險管理組織體系；構(gòu)建以管理層級、風險范圍、影響程度為維度的四層三級風險管理架構(gòu)，規(guī)范涵蓋風險信息收集、風險評估、解決方案、風險管理清單、風險管理信息系統(tǒng)監(jiān)控，督導(dǎo)考核，監(jiān)察審計等為主要內(nèi)容的風險管理流程。在此基礎(chǔ)上，通過組織內(nèi)部實施月監(jiān)控、季診斷、半年督導(dǎo)匯報、全年總結(jié)報告的動態(tài)風險管控模式，培育形成基于四層三級一單式動態(tài)風險管控的全面風險管理長效機制，有效防范化解企業(yè)生產(chǎn)經(jīng)營風險，保證企業(yè)生產(chǎn)經(jīng)營目標的實現(xiàn)并穩(wěn)健發(fā)展(圖3)。

圖3 四層三級一單式動態(tài)風險管理機制Fig.3 Four-level,three-tier and one-sheet dynamic risk management mechanism

5 結(jié) 語

在全面風險管理的理論與框架視角下，結(jié)合“央企指引”并從國有礦山風險管理特點出發(fā)，構(gòu)建了職能明確、職責清晰的風險管理組織體系，四層三級分級管控的風險管理架構(gòu)及管理流程，基于四層三級一單式月監(jiān)控、季診斷、半年督導(dǎo)匯報、全年總結(jié)報告的動態(tài)風險管控長效機制。在具體風險管控過程，通過將風險管理理念、風險管理架構(gòu)、風險管理流程、風險管理機制嵌入企業(yè)管理過程之中，實現(xiàn)了風險管理與生產(chǎn)經(jīng)營的有機融合，提高了國有礦山防范化解企業(yè)風險的能力，有效管控了生產(chǎn)經(jīng)營風險，培育了企業(yè)風險管理文化。