基于嵌入性視角的風險管理應(yīng)用與探索

李薔

摘 要：風險從業(yè)務(wù)中來，到業(yè)務(wù)中去。社會的進步與企業(yè)的快速發(fā)展，將風險管理推到越來越重要的位置，在國內(nèi)外風險事件的背景下，標準化組織陸續(xù)制發(fā)了關(guān)于風險管理的原則與指南性標準。文章結(jié)合ISO31000標準對風險管理的嵌入性進行了探索和淺析，從宏觀層面到微觀層面對企業(yè)如何在業(yè)務(wù)流程體系中實踐風險防控提出了建議。

關(guān)鍵詞：風險管理 業(yè)務(wù)流程 嵌入性

中圖分類號：F270 文獻標識碼：A

文章編號：1004-4914（2014）10-091-03

一、風險管理嵌入企業(yè)的“惑”

瞬息萬變的社會經(jīng)濟環(huán)境、技術(shù)變革和國際化進程給企業(yè)的戰(zhàn)略決策和經(jīng)營帶來了諸多不確定因素，面對風險和風險管理，企業(yè)日常管理中為什么會出現(xiàn)“風險管理就是內(nèi)審的事”或者“多張皮”的低嵌入性的現(xiàn)象呢？

原因之一是長期以來企業(yè)為了提升管理或者為了滿足合規(guī)的需要，在實施各類標準認證、導(dǎo)入西方管理理論的過程中，往往采用疊加的方式，牽頭部門大都不同，如此下來，一項項管理體系的推行最終變成一個個手冊、規(guī)范、指引，這些管理文件看似工整完美，但并未實現(xiàn)深層次的融會貫通，風險管理夾于其中易流于形式。

原因之二是風險管理理念源于西方，由于文化背景的不同，中國企業(yè)強調(diào)和諧、含蓄和靈活性的管理習慣與西方國家強調(diào)流程、制度、法治的管理理念存在較大差異，許多企業(yè)管理人員未能將風險管理同企業(yè)的日常經(jīng)營管理行為和語言進行有效的結(jié)合。

原因之三是風險意識淡漠，認為危機總會發(fā)生在別人身上的取巧心理，造成疏于在經(jīng)營過程中考慮風險因素，將風險管理變成了一種編寫報告，應(yīng)付外部監(jiān)管的文字工作，未納入實質(zhì)性的考量。

二、風險管理嵌入企業(yè)的“解”

風險具有伴生在企業(yè)戰(zhàn)略目標和業(yè)務(wù)活動中的特性，不能單獨產(chǎn)生，因而，風險管理也不是獨立的，它與組織的業(yè)務(wù)不可分離，管理風險一定是管理業(yè)務(wù)過程或活動中的風險，在業(yè)務(wù)全生命周期的過程中發(fā)揮控制、應(yīng)對與協(xié)調(diào)的作用，以盡量降低風險至可以接受的容量范圍內(nèi)，合理保證經(jīng)營目標的實現(xiàn)。

企業(yè)要開展好風險管理工作，必須正確認識風險管理與組織過程之間的關(guān)系。國內(nèi)外的標準、指引均對此給出了清晰的解釋。例如：《風險管理——原則與指南》（ISO31000）標準中指出風險管理的第二項原則是“風險管理是構(gòu)成組織所有過程整體所必需的一部分”，且在其推薦的風險管理框架中特別強調(diào)了“整合入組織的過程”的突出地位，我國的《風險管理原則與實施指南》（GB/T24353）標準中風險管理原則亦為“融入組織管理過程”，因而風險與組織的運轉(zhuǎn)共生共滅，應(yīng)以關(guān)聯(lián)的、有效的和高效率的方式嵌入組織的所有實踐和過程，尤其是在制定企業(yè)的方針、策劃戰(zhàn)略、評審業(yè)務(wù)、變更決策等業(yè)務(wù)過程中進行融合。具有嵌入性是企業(yè)開展風險管理的首要條件。

三、基于嵌入性視角的企業(yè)風險管理體系構(gòu)建

既然風險管理與組織過程的融合如此重要且必要，那么如何實現(xiàn)嵌入？本文認為要以風險控制為導(dǎo)向，以流程為載體，構(gòu)建基于嵌入性視角的企業(yè)風險管理體系，提高過程控制能力和業(yè)務(wù)執(zhí)行的有效性，增強企業(yè)競爭力，促進企業(yè)目標的實現(xiàn)。

（一）建立嵌入式的風險管理體系

一個企業(yè)的正常運轉(zhuǎn)涉及到從宏觀、中觀到微觀的諸多層面、諸多環(huán)節(jié)，基于嵌入性視角的風險管理（如圖1所示）則是在全范圍內(nèi)與戰(zhàn)略目標和業(yè)務(wù)流程體系融合，從宏觀到微觀形成全覆蓋，并非局限于單一子流程，從整體上形成一個系統(tǒng)化、結(jié)構(gòu)化的體系，并保持良性循環(huán)、持續(xù)改進。

1.宏觀層面。企業(yè)的宏觀層面重在研究發(fā)展戰(zhàn)略與經(jīng)營方針、完善內(nèi)部環(huán)境治理、文化建設(shè)、重大事項決策等。首先，要將風險管理的原則、作用、術(shù)語融入公司高層的管理理念中，為健全治理結(jié)構(gòu)奠定基礎(chǔ)，并依托企業(yè)文化建設(shè)平臺在全員中不斷強化企業(yè)誠信與職業(yè)道德觀、強化風險管理意識、培育風險文化氛圍；其次，要在制定戰(zhàn)略和經(jīng)營方針時充分考慮相關(guān)風險，戰(zhàn)略目標是企業(yè)運作的方向和指導(dǎo)思想，應(yīng)在戰(zhàn)略風險評估報告的基礎(chǔ)上確立清晰的戰(zhàn)略導(dǎo)向、發(fā)展綱要和方針；再次，要建立環(huán)境，考慮組織及其環(huán)境的內(nèi)外部與風險管理過程相關(guān)的參數(shù)、指標，明確管理風險的范圍及關(guān)于評價風險的準則，例如管理層的風險偏好，風險造成的結(jié)果劃分為幾個等級，風險發(fā)生可能性的維度分為幾級，風險管理的組織保障和運維機制，風險評估的方法和時頻等。此外，要在決策企業(yè)經(jīng)營與拓展的重大事項時通過盡職調(diào)查、高層會議研討、項目風險評估等方式充分考慮風險因素對決策目標的潛在影響，以促進企業(yè)積極抓住機遇，穩(wěn)妥化解危機。

2.中觀層面。企業(yè)的中觀層面?zhèn)戎赜诹鞒坦芾怼?nèi)部控制規(guī)范，是宏觀戰(zhàn)略執(zhí)行落地的核心區(qū)域，在整個體系中起承上啟下的作用，目標只有落實到流程上才能變得可執(zhí)行。中觀層面的重點是要處理好業(yè)務(wù)與業(yè)務(wù)之間的接口關(guān)系，突破條塊化的“職能墻”，建立端到端的流程。美國管理大師哈默曾提出一個重要觀點“流程本來就在業(yè)務(wù)那里，只是沒有受到相應(yīng)的尊重和了解?！蓖瑯?，“風險本來就在流程那里，只是沒有識別、分析和評價。”可見，流程本身是業(yè)務(wù)運作的載體，風險管理是嵌入此載體中的關(guān)鍵點。

那么風險管理如何嵌入到流程中呢？最簡單也最有效的方法就是在流程中擴展屬性信息——如風險點編號、風險事件、風險源、風險等級、風險矩陣、控制措施等。將風險管理的要求作為屬性標簽，添加到流程的具體活動節(jié)點上。也就是說在流程體系中建立的每一個責任流程都由流程圖、流程執(zhí)行要求、風險控制文檔、表單、相關(guān)政策文件等組成。其中最重要的是在流程執(zhí)行要求中明確每一個活動是由誰來做、做什么、怎么做、多長時間完成、有哪些風險、風險等級高低、如何控制風險的責任內(nèi)容。采用這種嵌入性的方法，一方面，使業(yè)務(wù)執(zhí)行人員不再翻閱多個管理文件，也避免了風險管理文件與其他管理文件出現(xiàn)不一致造成業(yè)務(wù)執(zhí)行人員的無所適從；另一方面，管理人員通過檢索流程節(jié)點附加的標簽，也能更好地監(jiān)控風險管理要求的落實。endprint

企業(yè)將風險管理過程嵌入營銷、研發(fā)、安全生產(chǎn)、環(huán)保、工程項目建設(shè)、合同管理、客戶服務(wù)、財務(wù)管控、人力資源規(guī)劃等各種流程中，還必須做好事前的風險評估、事中的風險控制、事后的風險應(yīng)對。其中風險評估有數(shù)十種方法，一般在實務(wù)操作中，推薦采用風險矩陣法，這是一種由美國空軍電子系統(tǒng)中心的采辦小組于1995年4月提出的通過測定后果和可能性來排序和顯示風險的工具。采用這種方法，建立基于風險事件的全面風險清單，確定風險等級，生成風險帶下的風險圖譜，可以直觀的表現(xiàn)風險，協(xié)助決策風險應(yīng)對。風險控制強調(diào)的是對已識別的風險在制度政策、機制或工具、技術(shù)、方法等方面建立控制措施，一般在實務(wù)操作中，以增加審批、縮減權(quán)限、不相容職務(wù)相分離、強制上下限等方式加強控制。風險應(yīng)對則包括選擇一個或多個改變風險的方式，并實施這些方式。一旦付諸實施，這些方式就會提供或改進控制措施。

3.微觀層面。企業(yè)的微觀層面是關(guān)系最為紛繁復(fù)雜、數(shù)據(jù)流轉(zhuǎn)最為頻密的一個層面，它以崗位職責和員工手冊為基礎(chǔ)，以信息技術(shù)為手段對中觀層和宏觀層起支撐作用。

崗位職責隨流程細化而明晰，結(jié)合職業(yè)健康、作業(yè)安全、環(huán)保、廉潔、等風險因素的考慮，企業(yè)可建立一套清晰的崗位風險表，并在作業(yè)指導(dǎo)書、員工手冊等工作指引中嵌入崗位風險防控措施，以有效實現(xiàn)增強風險意識、降低、預(yù)防腐敗、員工健康成長的目標。

另一方面，利用信息化的手段，在E化業(yè)務(wù)流程時嵌入風險管理，將業(yè)務(wù)流程活動的關(guān)鍵控制點設(shè)置于系統(tǒng)內(nèi)，如超預(yù)算的資金控制、合同的多級聯(lián)動審批、自動給料、出庫量上限卡控、用戶權(quán)限的制衡、日志保存等，不僅提升了操作的透明度，改善了信息不對稱的情況，而且增強了內(nèi)部控制有效性，實現(xiàn)了企業(yè)物流、資金流與信息流有機結(jié)合。

4.持續(xù)優(yōu)化循環(huán)機制與動態(tài)風險管理體系。風險管理是個動態(tài)的過程，風險管理體系也是一個動態(tài)、持續(xù)改進的過程。隨著社會環(huán)境的變化、技術(shù)的發(fā)展以及企業(yè)戰(zhàn)略目標的變化，風險管理體系必須隨機而變，這就需要在內(nèi)部設(shè)立一種持續(xù)優(yōu)化循環(huán)的良性機制——即管理層應(yīng)及時了解組織及其環(huán)境，優(yōu)化風險管理的范圍和風險準則，定期開展風險評估，更新風險清單、風險等級、風險帶、風險圖譜，并適時調(diào)整風險應(yīng)對計劃。

（二）風險管理在N公司的嵌入應(yīng)用實例解析

N公司是一個大型的集團化企業(yè)，多元化經(jīng)營，并且海外控股多家子公司，現(xiàn)以其“法律事務(wù)與合同管理”業(yè)務(wù)過程嵌入風險管理作案例介紹。首先，確定法律風險評估維度；其次，在合同管理流程中引入風險，建立風險矩陣，

1.確定法律風險評估維度。在前述的風險管理體系宏觀層面中，執(zhí)行風險管理過程的第一個子過程“建立環(huán)境”，也是執(zhí)行風險管理框架設(shè)計的第四項內(nèi)容，即明確風險發(fā)生可能性維度，如表1所示，從1-可能性非常小到5-可能性非常高分為五級，以及明確法律風險評估維度，如表2所示，分為財務(wù)方面的影響和非財務(wù)方面的影響兩個子維度，每個子維度從1-輕微到5-非常嚴重也分為五級。

2.設(shè)定風險等級計算模型。風險等級=（財務(wù)方面的影響×0.65+非財務(wù)方面的影響×0.35）發(fā)生可能性。

3.確立風險應(yīng)對策略。風險等級≤3為低風險帶，3≤風險等級<10為中風險帶，風險等級≥10為高風險帶。

低風險帶：風險接受，保持現(xiàn)有控制力度及相關(guān)內(nèi)控措施有效性，并制定風險事后應(yīng)對方案。

中風險帶：風險轉(zhuǎn)移和風險控制，優(yōu)化業(yè)務(wù)流程，強化風險控制措施使不確定性降低或風險影響程度降低，并制定應(yīng)急預(yù)案，做好風險預(yù)警。

高風險帶：風險規(guī)避、風險轉(zhuǎn)移和風險控制，優(yōu)化業(yè)務(wù)流程和控制措施，使剩余風險向低風險區(qū)域靠近，并可考慮尋求外部單位分擔風險或規(guī)避風險，制定應(yīng)急預(yù)案，做好風險預(yù)警。

4.風險管理屬性嵌入合同管理流程。建立具有風險管理內(nèi)容的合同管理流程，由三個部分組成，分別是合同管理流程圖、流程執(zhí)行要求與風險控制文檔、相關(guān)表單等。第一，繪制合同管理流程圖，清晰展示合同管理活動涉及的十余項活動的名稱、執(zhí)行部門、流轉(zhuǎn)順序和責任單位，并在風險事件對應(yīng)的流程活動上以“紅色五角星”標識。第二，梳理流程執(zhí)行要求，根據(jù)流程目的、范圍和業(yè)務(wù)需求，以“誰在什么地方用多長時間做什么以及怎么做的”方式，詳細說明所有活動的具體工作內(nèi)容和責任，并識別風險、分析與評價風險，編制流程執(zhí)行要求與風險控制文檔。第三，將流程活動涉及的所有輸入、輸出表單依次列示于后。

5.合同管理流程涉及的主要風險及控制目標。合同管理流程涉及的主要風險有：

K1：合同簽訂未經(jīng)適當審批或未留下書面審批記錄，可能導(dǎo)致不當或者虛假的合同簽訂，可能導(dǎo)致企業(yè)合法權(quán)益受到侵害。造成公司經(jīng)濟利益的損失。

K2：合同未由公司恰當?shù)慕?jīng)授權(quán)人員簽訂，可能導(dǎo)致不當或者虛假的合同簽訂，給公司帶來法律風險或者經(jīng)濟利益的損失。

K3：未妥善保管或使用合同印章，造成合同章錯用、濫用，可能導(dǎo)致公司利益損失。

K4：合同未全面履行，或沒有及時履行且沒有得到及時處理，或監(jiān)控不當，可能導(dǎo)致企業(yè)訴訟失敗、經(jīng)濟利益受損。

K5：合同糾紛處理不當，可能損害企業(yè)利益、信譽和形象；合同糾紛引發(fā)的公司重大法律訴訟事項沒有及時對外披露。

針對合同管理流程的主要風險，優(yōu)化審查、審批、跟蹤記錄等環(huán)節(jié)，強化事前的控制措施，以降低剩余風險（下轉(zhuǎn)第94頁）（上接第92頁），需要達到的控制目標如下：

K1：確保合同在簽訂前經(jīng)過合理的審批，以確保公司的經(jīng)濟利益不受損害。

K2：確保合同由授權(quán)人簽訂，確保合同的有效性，維護公司的合法權(quán)益。

K3：確保合同用章過程規(guī)范有序，維護公司的經(jīng)濟利益。

K4：承辦部門對合同的履行情況進行跟蹤記錄，并實施例行匯報機制。合同歸口管理部門根據(jù)合同管理要求定期組織對合同履行情況的檢查以及評估工作。endprint

K5：各承辦部門在合同發(fā)生糾紛時，及時將發(fā)生的法律訴訟事項向法律事務(wù)人員以及合同簽署人報告。公司法律顧問按照上市規(guī)則要求對公司的法律訴訟事項進行分析、整理，經(jīng)確認需要披露的，按照上市規(guī)則進行披露。

如上，合同管理流程中涉及的高風險在加強風險控制后，剩余風險轉(zhuǎn)入中、低風險。

四、結(jié)語

正如ISO主席凱文所說“風險管理是嵌入到而不是附加于組織現(xiàn)存的實踐或業(yè)務(wù)過程中。”我們應(yīng)該清醒的認識到企業(yè)風險管理與組織流程的融合特性，要立足于嵌入性的角度去構(gòu)建風險管理體系，持續(xù)改進和不斷加強企業(yè)風險管理工作。本文以理論聯(lián)系實踐的方式，闡述了風險管理與組織過程的關(guān)系，以及基于嵌入性視角的風險管理內(nèi)容，并以實例展示了風險管理嵌入流程管理體系的方法，對企業(yè)設(shè)計風險管理框架、全面推進風險管理工作起到一定的借鑒作用。

參考文獻：

[1] ISO 31000：2009，Risk Management-Principle and guidelines[S].

[2] GB/T24353：2009，風險管理——原則和實施指南[S].

[3] 安泰環(huán)球技術(shù)委員會.管理風險，創(chuàng)造價值——深度解讀ISO 31000：2009標準[M].人民郵電出版社，2010

[4] 周伏平.企業(yè)風險管理[M].遼寧：遼寧教育出版社，2003

[5] 徐慧娟，蔣坤鵬，徐培蓓.內(nèi)部控制自我評價（CSA）技術(shù)在風險管理中的應(yīng)用——嵌入CSA的全面風險管理體系設(shè)計研究[C].EBM2010國際會議（2010 International Conference on Engineering and Business Management）

[6] 劉子英編譯.企業(yè)如何強化風險管理——澳大利亞專家論建立風險管理框架[J].上海質(zhì)量，2009（9）

[7] 王一飛，丁日佳.基于ISO31000標準的企業(yè)年金風險管理策略研究[J].上海金融，2011（11）

[8] 吳秀波，張舒華，魏偉.論企業(yè)風險管理制度框架的建立與實施[J].常州工學(xué)院學(xué)報，2005（3）

[9] 田原.解析企業(yè)風險管理框架[J].商場現(xiàn)代化，2009（36）

[10] 白華.內(nèi)部控制、公司治理與風險管理——一個職能論的視角[J].經(jīng)濟學(xué)家，2012（3）

[11] 付書華，陳玉濤.淺談現(xiàn)代企業(yè)風險管理[J].中國城市經(jīng)濟，2010（8）

[12] 李莉.論企業(yè)內(nèi)部控制的風險管理機制[J].企業(yè)經(jīng)濟，2012（3）

（作者單位：深圳市中金嶺南有色金屬股份有限公司 廣東深圳 518040）

（責編：賈偉）endprint