集团全面风险管理的关键要素及优化建议

  全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

集团全面风险管理的八个关键要素

  关键要素一：内部环境

  企业内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。

  内部环境包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等内容。董事会是内部环境的一个重要组成部分，对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分，其职责是建立企业的风险管理理念、确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的行动计划结合起来。

  1、风险管理组织体系建设落后，很多员工都认为风险管理就是审计做的事、是财务做的事，没有把风险管理放在一个全局的高度来看待。

  2、内部控制建设进展缓慢。 集团对内部控制责任追究制度的建设非常滞后。现有的考核制度主要是以经济责任考核为主，即使涉及到内部控制的专项审计，也是针对领导层面，没有或很少涉及有面向全体员工的对于违反内部控制制度的责任追究制度或规定。

  3、风险管理文化没有深入人心，落地性不强。很多员工还仅仅将“风险”理解为“危险”，对于“风险”概念没有全面的认识，对于如何在日常工作中贯彻、落实风险管理，大部分员工的理解还认为是内部控制的管理。同时风险管理与各种制度的结合性并不好，没有将风险管理的意识充分体现在制度建设中，比如在薪酬、人事制度等。

  关键要素二：目标制定

  根据企业确定的任务或预期，管理者确定企业的战略目标，选择战略方案，确定相关的子目标并在企业内层层分解和落实，各子目标都应遵循企业的战略方案并与战略方案相联系。在能够确定对目标的实现有潜在影响的事项之前，管理者就应确定企业的目标。而企业风险管理就是提供给管理者一个适当的过程，既能够制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且这些目标还与企业的风险偏好相一致。

  集团风险管理的目标不明确。目前集团内很多企业对于风险管理的目标不明确，也没有明确的针对某类或某个风险设定本企业的风险偏好、风险承受度标准、风险管理有效性标准和风险管理的优选顺序。风险管理没有明确的指向性。很多企业，集团战略还处于完善、定型阶段，最终的方案没有确定，这也极大的影响了集团风险管理的目标性。尽管集团在战略之下也要求各企业、各部门制定三年计划，计划中也提到了如何实现目标的方法和措施，但是还远远没有达到风险管理的要求和标准。

  关键要素三：事项识别

  事项识别指管理者意识到了不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何，从而对风险事项进行逐个确认和描述。作为事项识别的一部分，管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技术等事项。

  很多集团企业目前没有系统化的开展风险事项识别工作。主要表现在以下几个方面：

  1、很多企业没有专门的、有针对性的开展过风险识别工作。绝大部分企业没有建立过风险管理模型，没有对本企业可能发生的风险事项进行列示和整理。

  2、关于风险管理相关信息的搜集、整理、分析工作，目前集团比较侧重于内部信息的搜集，对于外部风险信息的搜集开展较少。信息的搜集、整理、分析工作没有形成系统化，比如没有对相关信息进行必要的筛选、提炼、对比、分类、组合。风险事项识别工作的信息搜集不完整、信息处理不系统。

  关键要素四：风险评估

  风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性;影响则是指事项的发生将会带来的影响。通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。通过风险评估，管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响，单个事项或某类事项对企业的影响。

  一般情况下，集团风险评估工作不系统、内容简单、没有深入挖掘产生风险的原因、风险可能带来的影响。主要表现在以下几个方面：

  1、对风险的分析和评价主要采取以一事一议的形式，没有形成制度化。

  2、风险分析和评价的内容较为单一、涉及范围较窄，以财务风险、法律风险分析为主，其他风险和其他业务部门的风险分析涉及较少。风险分析没有对风险发生的可能性及其原因进行深入、系统的剖析。

  3、风险评价没有对风险发生的影响程度进行研究。对相应风险的内部控制情况没有进行系统的评价，因此也没有绘制风险坐标图和风险管理矩阵。

  关键要素五：风险反应

  管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。

  风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险则是不采取任何改变风险发生的可能性或影响的行动。

  在集团业务运作中，没有将多种风险管理方法综合使用，应对活动没有具体方案，多为原则性规定。主要表现在以下几个方面：

  1、风险管理方法比较单一，没有将多种风险管理方法综合运用。

  2、风险反应活动主要集中在财务、投融资、生产部门，其他业务部门开展得较少，没有将风险管理在整个企业所有部门开展进行。

  3、风险管理应对活动以整体性原则规定为主，缺少针对分类风险或具体重大风险的解决方案。

  4、对于风险管理策略目前只制定应急预案，但远远没有达到全面风险管理策略的层次。

  关键要素六：控制活动

  控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。控制活动通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列过程。

  广义来讲，对信息系统控制活动可以分为两类。一类是一般控制，这类控制应用于大多数应用系统，有助于保证系统的持续地、正确地运行。另一类是应用控制，包括用于控制技术应用的应用软件内部的电脑程序。必要时将信息系统控制与其他手工的过程控制相结合，可以保证信息的完整性、精确性和有效性。

  集团没有形成全过程、全方位的控制活动体系。主要表现在以下几个方面：集团的风险管理控制活动主要是各种报告制度和内部控制制度。报告制度主要包括下级企业对上级企业的报告、各部门对企业经营层的报告、经营层对董事/监事会层面的报告。缺少客观的、自动反应系统的配合。基于风险管理全过程、全方位的控制活动系统尚未建立完善，包括控制目标设定、预警机制的建立、事件触发后的反映、持续性监督与反馈等。现有的各种培训仍以专业岗位技能培训为主，在整个集团内部还没有普及并持续性开展以风险管理为主题的培训，基层员工对风险和风险管理的意识还比较淡薄。

  关键要素七：信息与沟通

  来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。

  信息是沟通的基础，沟通则必须满足各部门和个人的要求，以使他们能够有效地履行其职责。沟通应使企业的员工了解有效地企业风险管理的重要性和相关性，了解企业的风险偏好和风险容忍度，并在企业内执行、设计一个统一的风险用语并向员工说明他们在影响和支持企业风险管理要素中的地位和职责。沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。

  集团企业中风险信息的搜集工作没有系统开展，信息传递机制还不完善，信息系统建设滞后。主要表现在以下几个方面：

  1、目前集团还没有系统的开展风险信息的搜集工作，只是各企业、各部门分散的开展了相关工作。信息搜集工作没有进行条块结合的有机管理。

  2、目前集团除了已经实行的下属企业委派人报告制度之外，没有其他的有关风险信息的传递机制。在调研中还发现，有些企业内部各部门之间的风险信息传递也不是很顺畅，有时需要通过企业高层才可以获得其他部门的相关信息。

  3、目前集团还没有建立覆盖整个集团的远程办公系统，正在或已经建设好的三大系统(财务、人力资源、资产)更多的充当的是一个信息仓库的角色，而没有发挥动态风险信息管理的功能，对风险管理提供的支持较少。

  关键要素八：监控

  对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。持续监控是对企业日常的、重复的经营活动的监控，在实时的基础上进行，是对不断变化的环境的动态地反应，应在企业内部彻底地贯彻和执行。如果执行得好，持续监控比个别评估更为有效。

  个别评估的频率是企业管理者的主观判断问题。在决定个别评估的频率时，管理者应考虑来自于企业内部和外部事项的变化的性质和程度以及相应的风险、企业员工进行风险反应和相应控制的能力和经验、持续监控的结果等因素。

  很多集团企业对于风险的监控还属于事后监督，没有建立系统化、定量化的风险预警机制。目前的预警主要依靠的是各企业委派负责人的一事一议的重大事项汇报制度。没有建立客观的、系统化的、自动的风险预警机制。许多企业目前对于风险的防范还停留在事后的、被动的阶段。由于还没有建立完整的风险管理信息系统，因此也无法提供可用于定量分析的风险信息，从而制约了集团对风险管理的迅速反应。

集团全面风险管理的优化建议

  1、加强企业风险管理的职能机构建设，防范企业经营风险。

  企业应该加强风险管理的职能机构建设，建立高效的风险管理机制。企业应该设立风险管理机构，建立专门的风险管理团队，负责风险管理和控制工作。同时，企业应该建立完善的风险管理制度和流程，规范风险管理程序，加强风险管理和控制的力度，防范企业经营风险。

  2、构建从下到上的风险管理程序，让员工及时上报风险问题，将风险扼杀到萌芽阶段。

  企业应该建立从下到上的风险管理程序，让员工及时上报风险问题，将风险扼杀到萌芽阶段。企业可以通过建立风险管理信息系统，利用信息化技术处理各项数据信息，提高风险管理和控制效率和质量。

  3、利用大数据技术管控风险，让企业经营管理决策更加准确、规范。

  企业可以利用大数据技术管控风险，让企业经营管理决策更加准确、规范。企业可以通过建立大数据平台，利用大数据技术处理各项数据信息，提高风险管理和控制效率和质量。

  4、确定员工任职资格，找出人岗差距，发挥员工潜能。

  企业应该确定员工任职资格，找出人岗差距，发挥员工潜能。企业可以通过建立员工职业规划和管理机制，确定员工任职资格，找出人岗差距，发挥员工潜能，提高员工的工作积极性和工作绩效。

  5、建立关键岗位的人才梯队和人才储备库，改进继任计划。

  企业应该建立关键岗位的人才梯队和人才储备库，改进继任计划。企业可以通过建立关键岗位的人才梯队和人才储备库，提高人才储备和管理效率，提高企业的竞争力。同时，企业应该改进继任计划，确保企业能够及时填补职位空缺，保证企业的稳定发展。

  以上是关于“集团全面风险管理的关键要素及优化建议”的介绍，供大家参考。咨询全面风险管理，欢迎致电中略咨询。