徐庆民
胜利油田企管法规部
随着企业经营方式的转变,对风险管理的认识逐步深化,全面风险管理在企业管理中广泛而迅速推广和应用。风险管理已成为现代化企业的管理之重,势在必行,如何将理论和实践相结合,解决好风险管理工作中存在的问题,建立健全以内部控制为基础的全面风险管理体系,切实规避生产经营风险,显得尤为重要。
一、强化全面风险管理与内部控制、专业管理的结合,健全风险管理体系
1.正确处理全面风险管理与内部控制、专业管理的关系
风险管理是内部控制的发展和延伸,重在事前防范;内部控制是风险管理的重要手段,重在过程控制。内部控制注重程序与控制,体现在内控流程和内控权限等方面;风险管理更注重目标,管理的弹性程度高,除内控制度以外,还包括战略调整等方法。
全面风险管理要融入专业管理。风险管理与业务管理结合起来,风险管理才能真正发挥好作用。《中央企业全面风险管理指引》中提出了风险管理的三道防线,业务管理部门和一线单位是第一道防线,风险管理部门是第二道防线,审计部门是第三道防线。这说明,即使有了风险管理部门,业务管理部门也是防范风险的主体。信息收集、风险识别、风险评估、风险应对、风险监控预警等风险管理的基本流程应与物资采购、工程项目、安全环保等业务管理的各个环节紧密结合,充分发挥专业部门的作用,从而将风险管理与业务管理融为一体。仅靠业务管理部门防范风险是不够的,风险管理部门必须要在业务管理过程中起到监督、把关的作用。
2.建立全面风险管理组织体系、制度体系
(1)企业应设立专职内控风险管理部门
企业应设立专职内控风险管理部门,负责全面风险管理与内部控制的具体运行。企业的下属单位根据管理需要,配备专职(兼职)内控风险管理人员,负责本单位的风险管理和内部控制工作。
(2)强化责任落实,充分发挥职能
首先,要抓好责任的落实。把风险识别、风险评估、风险预警监控等责任落实到相应业务部门和岗位,做到职责清晰、分工明确。建立以“业务部门,风险管理部门,审计监督部门”为三道防线的风险管控责任体系。有关业务部门负责职能或业务范围内的风险管理,风险管理部门负责跨职能、跨业务系统性风险的管理,审计监督部门负责监督各类风险管理。其次,各级内控风险管理部门应发挥好组织协调作用,充分调动业务部门的积极性和能动性,将风险管理的要求落实到日常业务管理中。
(3)以内控制度为基础,建立健全风险管理制度体系
内控制度是全面风险管理的主要手段,严格执行内控制度是有效防范风险的主要途径。因此,要强化内控制度建设,不断完善企业内控制度,建立健全以风险管理为导向的内控制度体系。对于一些新发现、新认识的风险,应即时、动态修订内控流程和控制节点。对于重大、重要风险,根据管理需要,应进一步完善或单独编制内控流程,并制定相关配套规章制度。
二、建立健全风险管控的日常运行机制,有效提升全面风险管理水平
1.健全风险评估机制,强化“企业体检”制度
构建以年度风险评估、专项风险评估和动态风险评估相结合的风险评估机制,有效识别和评估企业面临的风险,加强对风险的管控。首先,进一步优化年度风险评估。年度风险评估是围绕企业发展战略及年度工作目标,评估未来一年内影响目标实现的重大、重要风险,确定年度风险管理重点。
年度风险评估是一项系统性工作,必须做好前期的计划和具体实施,企业内控风险管理部门要制定好企业年度风险评估方案,一是确定风险评估的范围,企业所有机关部门和单位都参加,评估的对象为所有企业生产经营业务,以实现风险管理的全覆盖;二是确定风险评估的方式,采取问卷调查、专题会议等多种方式开展风险评估;三是确定风险评估人员,风险评估工作参与人员应包括企业各级管理人员。
开展专项风险评估和日常(动态)风险评估。专项风险评估是指对某类重点业务开展的风险评估。企业应对投资决策、安全环保、质量、物资采购、工程项目等重大决策和高风险业务开展专项风险评估。企业相关专业部门拟定专项风险评估范围及方案,并负责实施。
2.确定风险管理策略,制定有效风险应对措施
(1)确定风险管理策略
首先,确定风险偏好和风险承受度。风险偏好是指企业根据既定的发展战略目标、所处的外部市场经营环境及自身的资源优势和管理水平,对其面临的风险所采取的基本态度和看法。风险承受度是指企业愿意或能够承担的风险限度,也是企业风险偏好的边界。企业专业部门应根据业务特点,确定本部门负责风险的风险偏好和风险承受度,明确风险的最低限度和不能超过的最高限度。企业针对具体风险,选择相应的风险管理策略,风险管理策略有风险规避、风险控制、风险转移、风险承担等。
(2)制定风险应对措施
企业应根据风险管理策略,制定并完善风险解决方案。首先,落实风险管理责任,从企业层面和下属单位层面,将企业风险清单所列示的每项风险的管理责任落实到责任部门、岗位、人员,做到风险管理责任到人。其次,梳理企业内部控制手册和相关配套规章制度,落实每项风险的控制措施。对现有制度和管理措施不能有效管控的风险,应有针对性地制定相关措施。针对重大风险和重要风险,制定应急机制和应急预案。再者,为强化风险管控措施的执行,针对具体风险,制定监督检查办法和措施,建立监督保障机制。
3.建立监控预警机制,加强对重大、重要风险的管控
(1)确定风险监控预警指标
针对企业重大、重要风险,结合专业管理指标,确定风险监控预警指标、预警频率(年度/半年/季度/月度等)、预警区间等相关指标。
(2)制定风险监控预警信息报告流程和应对流程
首先,根据工作实际和经验判断,确定产生风险的业务节点,明确界定产生风险业务节点的责任部门。根据风险监控预警指标、预警区间和预警级次,确定风险预警信息的报告部门和责任人,以此确定风险监控预警的报告流程。其次,根据风险监控预警信息的预警级次,结合风险的重要程度和紧急程度,确定风险监控预警信息的接收部门和责任人。接收预警信息的责任部门要制定风险应对措施并及时处理。
(3)借助信息系统,逐步实现线上风险监控预警
梳理企业目前现有的业务信息系统,将相关风险的监控预警节点、监控预警指标、预警信息的发出者和接受者等相关信息“嵌入”业务信息系统,逐步实现风险的在线监控预警。减少人为干预的现象,强化监控预警的作用,提前采取预控对策,防止因重大风险事件导致企业经济损失和声誉损害。
4.强化监督评价与考核,推进全面风险管理工作
充分发挥纪检监察、内部审计、内控等监督检查职能,加大对风险管控的监督检查力度。每年定期组织对企业专业管理部门及所属单位风险管理情况进行监督检查,检查结果向企业全面风险管理领导小组报告。
建立健全考核制度,强化全面风险管理工作的考核。企业层面的考核应体现全面性,依托企业考核体系,综合企业内外部检查结果,对企业责任部门、下属单位及相关责任人进行考核。下属单位层面的考核应体现严肃性和责任性,细化、完善考核措施,考核到位,对每项风险的管控情况进行责任考核,做到责任到人、考核到人。
总之,全面风险管理体系建设是一项长期的、系统的、动态的工作,没有休止符,更不可能一蹴而就。从企业长远发展来看,风险防范管理是一项很有意义的战略工作,有效开展风险管理能够促进企业决策的科学化、合理化,规范管理和规避风险,保障企业生产经营目标的顺利实现,为企业持续稳定发展必将发挥更大的作用。