蔡东云

摘 要：本文简要阐述了嵌入式风险管理的涵义及笔者对嵌入式风险管理的认识，结合国际标准化组织2009年发布的ISO31000风险管理国际标准，提出了优化风险管理流程、制定标准化工作模板及风险管理报告制度的嵌入式风险管理方法，并进行了论述。

关键词：嵌入式;风险管理;标准化模板

随着全面風险管理工作的不断深入开展，越来越多的领导干部意识到风险管理的重要性，对风险管理的重视程度和积极性显著提高，风险理念从HSE风险、稳定风险、廉洁风险逐步渗透到生产运行、经营管理、工程项目等各个方面，工作动机从最初的满足上级要求逐步转变为注重实际效果。基于此，很多企业采取措施，建立起各种风险管控体系，这些体系的建立对于控制不同类别的风险发挥了重要作用，如内部控制管理体系、廉洁风险防范体系、HSE风险管控体系、法律风险防控体系等，还有在此基础上叠加组合的“N位一体”风险管控体系，帮助企业充实、构建全面风险管理体系。尽管如此，体系建设仍然无法解决常态化风险管理应包含的具体工作这一问题，很多专业的管理者认为现有的业务管理就是风险管理，已经可以满足管理的需求，没有必要再专门引进一项所谓的“风险管理”工作。

一、嵌入式风险管理的认识

全面风险管理是一个复杂而抽象的实践过程，应该贯穿于企业各层级和单元。2009年，国际标准化组织发布了《风险管理-原则与实施指南》（ISO31000风险管理国际标准，以下简称ISO31000），这是第一个真正用于全球的风险管理标准。它的导入有利于风险管理工作落地，更让参与风险管理工作的各级人员清楚地认识风险管理与企业管理目标的一致性，从而推动风险管理与业务的密切结合。ISO31000提出风险管理应以关联的、有效的和高效率的方式嵌入组织的所有实践和过程，嵌入性是风险管理的本质属性。

1.嵌入式风险管理是对原有风险管理的升华。在日常经营管理中，通过制定并不断完善各种流程、制度和规范，可以对绝大多数的固有风险实施有效管控。嵌入式风险管理是针对少量相对重要的剩余风险进行处理，虽然它不能取代日常的经营管理和风险管理，但其作用在于可以提升保障程度和精细化水平，将风险控制在整体可承受的范围内，是对风险管理进行了有效升华。

2.嵌入式风险管理取决于管理层的判断，结合企业经营管理提升、改善的需要主动实施。当管理者意识到“对于某些重要领域存在哪些风险认识不清楚、对于认识到的具体风险的后果和可能性不清楚、对于重要的风险事项是否遗漏不清楚”三种情况时，就要实施嵌入式风险管理，充分认识内外部环境，主动开展风险评估，采取有效的风险应对措施。随着环境的变化和认识的改变，嵌入式风险管理过程可以重复使用，使风险管理对变化保持持续感知和响应，动态往复地嵌入到经营管理各方面。

3.嵌入式风险管理具有广泛的适用范围。它不仅应用于企业层面的风险管理，更重要的是，它还要应用于企业整个生命周期的各种活动，包括战略、运营、职能、产品、服务、资产、决策、项目和过程。既适合于从公司层面到基层班组的各个管理层级，也适合于生产经营、安全环保、稳定、廉洁、合法合规等各项业务;既适合于没有明确时间限制的运营环境和有时间限制的项目过程，也适合于决策和变更。

二、风险嵌入式管理的方法

正确认识、理解并实现风险管理的“嵌入性”，是提高风险管理有效性的唯一正确途径，是风险管理与企业经营管理实现有机融合的基本保证。基于此，企业应树立“管理提升就是管理风险”的理念，紧密围绕企业发展目标，积极构建嵌入式管理流程，健全全面风险管理机制，突出风险管理的嵌入性和有效性，强化全过程管控，真正将国际标准运用到企业风险管理实践，实现风险管理制度化、规范化、常态化，有效防范和化解各类风险。

1.优化风险管理流程

为了广泛推行ISO31000风险管理标准在各个领域的应用，提高嵌入式风险管理过程的适应性，制订简化的风险管理基本流程（见图）。

第一，建立环境。建立环境是风险管理嵌入性和有效性的必要前提。“建立环境”要明确日常管理已经管理到什么程度，需要提升到什么高度。风险管理要实现嵌入日常管理，必须对日常管理有准确的认识，对影响目标实现的确定性和不确定性因素有详细了解，对制度流程设计和执行有效性有基本的判断，对日常管控措施防范固有风险的效果要做出评判，通过环境建立和背景的认识，为风险管理工作提供支撑。

第二，风险评估。风险评估是风险管理工作的核心流程，是通过识别一定数量的风险事项，分析风险发生的可能性及产生的后果，并提出应对风险的措施建议。它是区别于日常管理的一个显著特征。风险评估重点是提出一些新问题或者对老问题的新认识，还要提出解决问题的方法和手段并权衡其可行性。嵌入式风险管理的核心环节就是风险评估，其价值主要体现在“发现问题和分析问题”，这也是嵌入式风险管理区别于“日常管理”或“日常的风险管理”的显著特征。

第三，风险应对。风险应对是指对重要风险事项提出风险管理策略，拟定有针对性的解决方案（包括规避、降低、转移、承受及残余风险的监控预警和应急处理）并组织实施。风险应对是风险评估结果的必然反应，在嵌入式风险管理过程中的作用要低于建立环境和风险评估，与日常风险管理中以“解决问题为主”的风险应对不可相提并论。

根据实际生产经营情况执行相对简单的流程，可以提高工作的可行性及和管理的效率效果。但是，面对较为复杂的环境或重要的事项时，还是要执行更为完整的流程，实施更加细致的分析和评价，不能因为担心程序复杂影响管理效率而偷工减料，为企业带来不必要的麻烦。

2.制定标准化模板

在开展嵌入式风险管理的过程中，制定标准化的风险管理工作模板，使其作为嵌入式风险管理的工作抓手，用简单、明了的方式，普及风险管理应用，确保风险管理工作得到有效实施。

（1）制定标准化的风险评估调查表

风险评估的前提是建立环境，所以要求风险评估的参与者必须关心目标，并且要了解影响目标的各种因素。在此基础上，风险评估才能实现其嵌入性和有效性，从而发现新问题、采取新措施。风险评估调查表的填报者必须是關键岗位人员，立足岗位实际，明确工作目标和评估背景，实现“建立环境-风险评估”两个步骤之间的有效联系。（见表1）

标准化风险评估调查表具有以下特点：

第一，设置“主送”一栏。要求填写所提报风险事项需要报送的主管领导或部门，以体现风险评估的嵌入性，所提报事项应该是提报者和接收者共同关心的风险。

第二，着重风险识别。风险识别的目的是提前发现当前已实施控制手段的情况下仍然存在的问题，以问题为导向，全面考虑可能产生的严重后果，描述未来有可能发生的现象或事件。

第三，指出后果影响。主要描述提报的风险事件如果发生，会对主要经营指标或约束性指标产生的影响程度。影响程度会有多种量值，选取量值表述事件后果的严重性目的是为了强调风险应对的必要性。

第四，要求概率估计。作为事件的提报者，要根据客观和主观因素，对事件发生的概率作量化的估计。一般情况下，概率估计以时间段作为前提，即“未来*个月发生可能性为**”。

第五，要有具体的措施或建议。风险应对的方法包括降低、规避、转移和承受，其中降低是最常用的方法，包括降低风险的可能性和后果的严重性。然而有一些风险是我们无法控制的，如宏观形势变化、行业政策调整等，还有一些风险即使采取措施也无法规避，这就需要进行实时监控和提前预警。因此要求相关部门具体说明本层级下一步监控或应对风险的措施计划，并提出需要上一级领导或部门给予的支持和建议。

（2）制定标准化风险应对与监控表

“风险应对与监控表”衔接“风险评估-风险应对”两个步骤之间的联系，可以与“风险评估调查表”结合使用，用于反馈风险应对措施的落实情况。（见表2）

填报标准化风险评估应对表，要注意以下几点：

一是提出应对措施。在风险评估后，经主管领导（决策层）批准，要提出需实施的风险应对措施计划，且符合生产经营实际。

二是明确责任部门。风险应对措施可能是一项也可能是多项，这样对应的责任部门也可能是多个。

三是有监控手段。针对“可能发生的风险事件”，确定具体的监控手段（指标），如安装摄像头是对某些区域的监控手段，氯离子含量是避免氯离子超标的监控指标，在发生异常现象或接近关键数值时要发出预警。

四是制定应急预案。风险事件并不会受我们控制，或者即使能够控制，也不会完全消除，针对可能发生的事故和危险源应当制定专项应急预案和现场处置方案，要填写具体方案名称，以及是否演练等。

五是加强跟踪检查。各级风险管理部门应对同级专业管理部门及所属单位风险管理情况进行监督检查，了解按照基本流程开展工作的情况，编制风险管理监控报告并动态调整，掌握重大风险及其变化并及时向管理者提示，填写风险事件应对监控汇总表。

3.动态编制风险管理报告

建立健全风险管理的报告机制，风险管理报告成为领导干部决策的重要参考。风险管理报告的主要使用者是编报单位（部门）领导和上一级主管领导，应当为决策者提供重要参考并切实解决实际问题。

（1）重大风险事件评估情况

列示经风险评估确定的重大风险，对重大风险进行简要描述，按照风险事件发生的可能性和发生后对目标的影响程度两个维度，将年度的重大风险绘制成风险坐标图。重大风险事件产生于风险事件库，最少10项，最多20项。

（2）重大风险事件防控措施

对每一项重大风险拟定有针对性的风险应对方案（包括规避、降低、转移、承受），确定风险预警指标和应急预案，制定风险事件发生前、中、后拟采取的应对措施以及危机处理计划等。

（3）重要风险领域管理情况

根据管理流程和业务分工，在编制风险分类清单的基础上，对不确定性因素较多的重要业务、关键环节进行分析评价，确定风险管理的重要领域，制定风险防控措施，开展专项风险管理工作。

风险管理不是另搞一套，是传统管理的提升和替代，不能游离于经营管理之外，要成为具体经营管理的组成部分。要树立抓重点、抓关键的意识，在稳定中寻找不稳定，在不确定的环境中寻找高度不确定，在日常管理中不断扩展风险管理的范围，通过风险管理的常态化有效提升管理水平，实现对于各种风险的“可控、在控、可承受”。