李国才

摘要：所有类型和规模的企业都面临内部和外部的、影响企业不能实现目标的因素和影响，这种不确定性所具有的对企业目标的影响就是“风险”。且在外部监管、标准和内部控制方面要求下，企业必须合理开展风险管理工作，即可以有效杜绝这些风险的事实发生，消除或降低风险带来的损失，又满足了相关机构及标准的管理要求。

关键词：风险；风险管理；风险控制；标准；领导；纠正；预防

中图分类号：F253 文献标识码：A 文章编号：1006-4311（2017）30-0044-02

0引言

ISO组织于2009年11月15日首次发布风险管理标准ISO 31000（转化成国标为GB/T 24353），至2017年1月国家正式发布2016版GB/T 19001质量管理体系标准，明确新增了企业开展风险管理的要求，意味着所有参与质量管理体系认证的企业均应开展风险管理工作。如何开展风险管理工作，以及開展风险管理工作需要关注的内容，成为企业当前必须要考虑的问题，本文旨在描述风险管理的方法及需要重点关注的内容，从而提高企业实施风险管理的效率，实现开展风险管理的效果。

1风险管理的标准

要想规范地开展风险管理，那么对标准的研究就必不可少，因此，我们先对风险管理的相关标准进行梳理及说明。

2006年6月国务院国资委发布《中央企业全面风险管理指引》，要求央企和大中型国企开展风险管理工作，用以增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展。2009年末，国际标准化组织（ISO）和国际电工委员会（IEC）历时五年在广泛汇聚各国的风险管理成果的基础上，发布了适用于各种组织的风险管理国际标准ISO31000：2009和ISO/IEC31010：2009等系列标准，该系列标准提供了风险管理的原则和通用的实施指南，适用于各种类型和规模的组织，以及组织的全生命周期及其各阶段，也适用于组织的各种活动，包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作和决策有关的各项活动。2010年我国财政部、证监会等五部委联合颁发《企业内部控制基本规范》配套指引，主要是为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护市场经济秩序和公众利益，并要求各上市公司在提交财务年报的同时，还要提交年度内部控制报告，各上市公司均开展基于风险管理的内部控制体系建设工作。2015年7月，ISO/FDIS9001：2015《质量管理体系要求》正式发布，其中将“应对风险和机遇的措施”正式纳入标准并取代预防措施的管理要求。2017年1月，GB/T19001：2015《质量管理体系要求》正式发布，这也就意味着国内所有开展质量管理体系认证的企业均应开展风险管理工作。

从上述风险控制相关标准的发展不难看出，风险控制已由一项非常规工作转化为常规工作，这就要求所有的企业都应理解并掌握风险管理的重要性及方法。

2风险管理基础

风险管理的重要性的体现以及如何开展风险控制都离不开以下几个基础：领导作用、机构设立、职责权限、全员风险意识。下面我们就这些基础进行解释及论述：

领导作用：任何一件事情的成功，都离不开领导的支持。因此，要想顺利的开展风险管理，并且发挥风险管理带来的收益，就需要企业领导的支持。领导作用主要应该体现在以下方面：①态度。企业领导对风险管理的态度尤为重要，只有企业领导自己有认真开展及落实风险管理工作的态度，其他人员才能感同身受并认真执行。②信息传递。当企业领导意识到风险管理工作的重要性后，应将这个信息传达到公司的每一个阶层并明确开展风险管理工作的目标及要求。③以身作则。风险管理工作应该是贯穿到工作中的每一个环节及内容，企业领导在日常工作中也应身体力行，灵活应用及执行风险管理的工作要求。

机构设立：在企业开展风险管理工作前，首先应设立风险管理的决策机构，并设立风险管理人员，必要时，应由企业的最高管理者担任或兼任风险决策机构的负责人：其次，在每个分支机构也应设立风险管理机构及管理人员：最后，在每个业务部门应指定风险管理人员。

职责权限：风险决策机构负责制定风险管理的方针和目标，明确风险管理的方法及要求，组织开展风险管理工作，对风险管理工作的全过程实施监督，并出具风险管理报告：各分支机构应按照风险决策机构的要求开展风险管理工作，主动收集新的风险，对本机构的风险实施预防工作及监控工作：各风险管理人员应掌握风险管理的方法及工具，认真履行本机构的职责及要求。

全员风险意识：企业在开展风险管理前，首先应有风险管理的意识，而且要将这种意识自高层的领导至下级的员工的进行传导及贯彻。企业中越多的人有风险管理意识，那么风险管理工作就越好开展且效果越好。这样的意识并不是一天两天能够形成的，而是通过大量的实例及分析，让大家认识到风险管理带来的好处。

3方针及目标

在开展风险管理工作前，应针对本企业开展风险管理的基本原理、框架及决心等，制定风险管理方针及各阶段的目标，并阐明风险管理的目标及承诺，这个方针应该与QMS及EHS等管理体系的方针不同，但可体现风险管理方针与其他管理体系的关系。

风险管理目标的制定，应明确企业开展风险的目的，并且有针对性的制定目标，这个目标可以是长远的，也可以是阶段性的，但至少应指明风险管理的方向及目标。

4风险管理开展的方法

为保障风险管理工作的正常开展，应至少包括的流程有：风险点确认→风险评估→审批→下发→落实→关闭→统计分析→风险报告。

风险点确认：风险点是指在开展风险识别前制定的工作项目，通过对这些工作项目的判定，从而确认是否存在风险。风险点是开展风险识别的范围及方向，风险点的确认有助于指导识别工作的顺利进行。一般来说，风险点的范围及数量应与企业的规模、经营/服务范围成正比，应囊括企业管理的全过程，且应按企业最高管理者的期望进行确定，至少应包括战略、法律、运营、财务、市场五个方面。只有确定了风险点，各分支机构和业务部门才能直观地开展风险识别，从而能够更加全面地识别出存在的风险。endprint

風险评估：风险评估包括风险识别、风险度评价和风险应对措施三个方面：

①风险识别：各业务部门应按照风险点规定的内容和范围，严格梳理本部门在风险点描述的工作范围及内容中存在的事实风险，这个过程应该由部门主管和部门中有多年工作经验的人员共同开展，大家应客观、准确地开展识别工作。

②风险度评价：风险度评价是分析评价风险程度并且确定其是否在可接受范围的程度，是发生特定风险事件的可能性及后果的结合，风险度是由“风险发生的可能性”和“风险发生后的影响程度”共同进行确定的，一般情况下，由两者的乘积确定。风险决策机构应提前制定“风险发生的可能性”和“风险发生后的影响程度”的判断标准，各业务部门严格按照判断标准进行评价及确认。

③风险应对措施：各业务部门应按风险度，选择风险管控应对措施，应对措施包括接受风险、转移风险、规避风险、降低风险等：接受风险是指当风险度较低时，接受当前存在的风险，不采取任何措施：转移风险是指通过开展相关工作将风险转移到其他机构或企业：规避风险是指通过制定措施开展工作或停止相关工作避免风险的发生：降低风险是指通过制定措施开展工作或利用政策将风险降低到可接受的程度。当选择了转移风险、规避风险及降低风险时，应相应的制定工作计划，工作计划应考虑现代化、信息化及先进的方法及工具，并明确责任人及完成时限。

审批：风险决策机构应组织对各业务部门的风险评价结论进行审核及批准，审核的方式可以是逐级审核，也可以是会审，经过审核的风险评价结论应提报企业最高管理者进行批准。

下发：风险决策机构将经过审批的风险识别结论下发至各业务部门，若识别出的风险度较高或信息较敏感，则应注意保密不要向外传递。

落实：各业务部门应严格按照风险应对措施开展工作，并保留相关形成文件的信息。

关闭：风险管理人员应对风险应对措施的落实情况进行检查，并按照完成时限，验证是否已转移、已规避或降低了风险发生的可能性，若措施有效，则关闭当前风险，若措施无效，则应立即重新制定应对措施并实施。

统计分析：风险管理员应在各阶段对职责范围内的风险进行统计分析，统计内容包括风险识别的结果、应对措施的落实情况、风险是否事实发生等。

风险报告：风险报告是风险管理工作的总结，是向企业最高领导者汇报风险管理的阶段性材料，因此，在风险报告中应包括以下内容：风险识别结论及矩阵图、重要风险及其处置方案、阶段日期内开展风险管理工作的完成情况等，风险报告应提交企业最高管理者进行审阅。

5评测与改进

为了确保风险管理工作的有效性，应建立评测系统及方法对风险的管理进行测量，测量的方法可以是以下几项或全部：对目标的实现能力的评价、对风险识别结论的客观性评价、对风险管理方法合规性评价、对风险管理报告的全面性评价、对风险管理人员的能力评价等。针对各方面的评价结果，应适时对风险管理的全过程进行调整，确保风险管理工作始终处于持续改进的状态，且在管理过程的所有阶段都应得到改进。

6结论

企业通过开展风险管理，可以有效杜绝风险的事实发生，从而避免潜在的损失，但为了使风险管理工作不止流于形式，就需要企业对风险管理的相关标准进行解读及实施，并且在实施过程应该获得公司各层的配合及支持。endprint