一、企业全面风险管理？

　　全面风险管理（Comprehensive Risk Management）是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

　　企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

　　风险是市场经济的灵魂，无处不在、无时不在。风险既可能带来机会，也可能带来损失。发达国家许多大公司对于如何控制和管理风险已经进行了多年的探索和实践，由起初的认识风险、重视风险管理逐步完善到现在的建立全面风险管理体系。风险管理的理念、技术、方法和手段，已经应用于发展战略的制定、投融资决策、财务报告管理、内部审计体系建设等方面，涵盖了从公司法人治理结构的制度安排，到各项业务运作的流程和操作等各个层面，形成了比较系统化、制度化、具体化的全面风险管理体系。

　　当前，国际经济形势动荡，国内经济不稳定性加剧，国际经济环境更趋复杂，世界经济增长减缓，国有企业经营压力增大，国企工作面临的形势更加复杂。在这种形势下，各个国资委建立全面风险管理体系具有十分重要的意义：有助于强化全面风险意识，提升履行出资人职责的水平和能力；有助于与企业全面风险管理有效对接；有助于增强适应市场规律和不断变化的能力；有助于国有资产战略发展目标的实现。

　　二、企业风险特征

　　企业风险有如下几个方面的特征：

　　（1）客观性：风险是客观存在的，有的风险是没有办法回避，也没有办法消除的，无论企业设计怎样的管理制度和管理机制，都无法消除风险；企业都会因为各种因素而碰到风险事件，并且受到损害。

　　（2）损害性：风险发生会给企业带来损害，这种损害可以是物质上的，也可以是无形的，例如：员工伤亡、品牌受损等。物质上损失往往是可以用货币衡量，人身损害只能用严重程度来衡量。

　　（3）不确定性：风险发生具有偶然性，其发生的具体时间、具体地点、损害程度是不确定的，无法精确预测这些细节；即便确定某种风险肯定要发生，但发生的确切时间往往是无法确定的。每次风险事故发生所造成的损失事先是无法预知的。

　　（4）可测定性：风险发生的概率和损害，可以凭借历史经验，利用数理统计的原理及方法，针对一定时期内特定风险发生的频率和损失情况加以总结和综合分析，依据概率论的原理可得出相对正确的预测结论。

　　（5）二重性：风险和收益总是并存的，风险带来的不仅仅是威胁和损害，有时候风险还会带给企业机会和收益，有时候当企业因为风险事件陷入困境的时候，为了摆脱困境而创新产品和服务，形成新的行业内竞争优势，从而迅速崛起。

　　三、企业风险分类

　　根据国务院国有资产监督管理委员会发布的《中央企业全面风险管理指引》（国资发改革[2006]108号），企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

　　（1）战略风险（Strategic Risk）

　　战略风险是影响整个企业的发展方向、企业文化、信息和生存能力或企业效益的因素。战略风险因素也就是对企业发展战略目标、资源、竞争力或核心竞争力、企业效益产生重要影响的因素。

　　企业当出现严重的产品或流程失误时，运营风险就转变为战略风险；如果是对实施战略有重要影响的财务价值、知识产权或者是资产的自然条件发生退化，资产损伤就变成一种战略风险；产品或服务与众不同的能力受损伤的竞争环境的变化，竞争风险就会变成战略风险。

　　模仿是应对战略风险的最常用的方法。企业可以通过模仿竞争对手的战略来应对不确定性。这种方法最终可能导致行业内各竞争对手实现协调一致。模仿战略也称为“行业领袖行动追随战略”，一般包括价格模仿战略和产品模仿战略。

　　（2）财务风险（Financial Risk）

　　企业财务风险是指在各项财务活动过程中，由于各种难以预料或控制的因素影响，财务状况具有不确定性，从而使企业有蒙受损失的可能性。按财务活动的主要环节，可以分为流动性风险、信用风险、筹资风险、投资风险。按可控程度分类，可分为可控风险和不可控风险。

　　财务风险客观存在，企业不可能消除财务风险，只能采取措施将财务风险对企业的危害降到最低。充分认识财务风险形成的原因，是采取有效措施的前提，财务风险的产生往往来自企业的内部控制和管理机制不完善。

　　应对财务风险的方法主要是制度和流程，例如：建立现代企业管理组织架构，健全财务和资产管理制度，严格执行财务和购销审批流程，建立财务预算机制，建立完善的内部控制制度，定期或不定期地进行内审计，建立重大事件和投融资担保集体决策机制等。

　　（3）市场风险（Market Risk）

　　企业市场风险是指由于市场及相关的外部环境的变化，企业所在行业盛衰，政策支持和限制改变，企业竞争对手的进攻，从而导致企业市场营业收入下滑，或者达不到预期收入和盈利目标，进而影响企业生存与发展的风险。市场风险有很多种，例如：

　　消费者的需求变动：消费者的购买决策是一种选择行为，而消费者的选择行为又直接受到其消费偏好及其他多种因素的影响，如商品的价格以及不同商品的比价、商品的质量及不同商品之间的比较质量、广告宣传、流行趋势等。

　　竞争对手的行为：随着市场经济的发展与完善，市场竞争的程度日益加剧。企业不仅面临原有竞争对手的竞争压力，而且面临潜在竞争对手的威胁。目前市场竞争表现出一种趋势，由单纯的价格竞争转向价格竞争和非价格竞争并存。

　　政策、法规的变动：国家政策、法规的变动也是造成企业风险的主要因素。如政府通过产业政策来鼓励某些产业的发展，如通过优惠信贷、减免税费、出口补贴、消费信贷等政策措施来扶植某些行业，而随着产业结构的变化以及政府的产业战略重点的转移，原来属于鼓励发展的行业可能会取消优惠而使这些行业的厂家遭遇风险。

　　应对市场风险的方法可以说五花八门，例如，广告宣传和明星代言，网红和达人营销，优惠促销和展销策略，文化和旅游元素，线下渠道和直营店面，线上平台营销渠道，产品和服务创新，产品多元化和系列化，开拓新市场和海外市场等。

　　（4）运营风险（Operational Risk）

　　运营风险是指企业在运营过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使运营活动达不到预期的目标的可能性及其损失。

　　运营风险会给企业带来巨大的损失，特别是中小企业，由于其根基小，消化吸收亏损的能力十分有限，风险的发生会造成灾难性的影响，因此小企业更应了解在经营中可能遇到的风险，采取积极应对措施，减少风险的发生。

　　运营风险相对较为复杂，而且和企业生产、经营、销售和服务的方方面面相关，需要通过一个包含人事、财务、排产、审批、销售、激励等流程与程序加以管理，同时各业务单元通过该框架来确定、评估、监督与控制减轻其运营风险。

　　运营风险管理的核心流程管理（Process Management），是用规范化的制度和流程以及决策机制来持续提高组织业务绩效。流程管理会大量用到流程图，使用一些标准符号代表某些类型的动作，直观地描述一个工作过程的具体步骤。

　　（5）法律风险（Legal Risk）

　　法律风险是指由于合约在法律范围内无效而无法履行，或者合约订立不当等原因引起的风险。法律风险主要发生在场外交易中，多由金融创新引发法律滞后而致。有些金融衍生工具的创设就是从规避法律的管制开始的。

　　企业法律风险是指在法律实施过程中，由于企业外部的法律环境发生变化，或由于包括企业自身在内的各种主题未按照法律规定或合同约定行使权利、履行义务，而对企业造成负面法律后果的可能性。

　　法律风险大量存在与企业的方方面面，尤其是现在社会，很多企业都设立法务部。例如，协议合约不能受到法律应予的保护而无法履行；法律法规跟不上产品、服务和金融创新的步伐，使创新金融交易的合法性难以保证，交易一方或双方可能因找不到相应的法律保护而遭受损失；各种犯罪及不道德行为给企业运营和资产安全构成威胁；企业在持续经营过程中如果违反法律法规，将会受到法律的制裁。

　　应对法律风险的首要方法是设立法务部或者外聘律所，企业协议和合同的签署，都需要经过专业的法律人士审核；企业在提供一些产品和服务的时候，尤其是涉及人身健康和安全，涉及金融投资领域，涉及国际贸易和营销的时候，应该特别注意防范法律风险。

　　四、全面风险管理体系建设的工作步骤

　　根据安排，为有效有序推进风险管理体系建设，整个工作拟分三阶段实施：

　　（1）选择风险管理中介机构。

　　（2）调研发现企业重大风险。

　　（3）建立健全风险管理机构。

　　（4）建立健全企业内部制度。

　　（5）落实领导风险管理责任。

　　（6）企业全员风险管理培训。

　　（7）总结经验、优化提高阶段。

　　五、全面风险管理报告注意事项

　　《国有企业全面风险管理报告》需要公司董事会审议批准，并上报国务院或省级国资委。国企，尤其是中央企业在提交全面风险管理报告的时候，应该注意一下事项：

　　（1）落实领导职责。企业内部领导要防范化解重大风险，可以组织一线员工进行讨论，对于重要风险的防范和管控，还是要落实到主要领导，简单讲就是责权一致。管理流程的控制和制度落实，最终就是落实到各个部门的领导，他们需要担责。

　　（2）完善内控制度。企业要不断建立健全内部控制和风险管理的制度，公司要按照制度和规章办事，可能会牺牲一点效率，但是恐怖控制制度会从本质上提升防控风险能力。要加快推进全面风险管理信息化建设，发挥信息技术对全面风险管理的促进作用，不断改善全面风险管理手段。

　　企业各单位要按照《企业内部控制基本规范》及其配套指引和《中央企业全面风险管理指引》要求，进一步完善内控风险体系建设，特别是加强合规体系和内控风险体系的融合建设，建立以公司总体发展战略为目标，对于关键管控点重点关注，实行重大风险预警、报告与应急，完善内控风险管理体系；不断完善各项管理制度，优化业务管理流程，健全风险应急预案。

　　（3）年度风险报告。企业尤要实行年度风险管理报告、重大风险汇报和风险预警监控等制度，只有用报告的方式，才能最有效地提前发现企业重大风险，强化风险事前防范、事中控制和事后评价，实现风险管理效益最大化。

　　（4）落实责任追究。企业建立风险管理评价制度之后，还要考核，对于多发的小风险进行考核，同时制定风险管理评价标准，对于重大风险事故实施风险管理责任追究制度，努力化解重大风险发生的可能。

　　“三重一大”，即：重大事项决策、重要干部任免、重大项目投资决策、大额资金使用。 “重大事项决策、重要干部任免、重要项目安排、大额资金的使用，必须经集体讨论做出决定”的制度（简称“三重一大”制度）。

　　（5）员工内部培训。人员风险意识需要强化，企业需要实行全员风险管理培训工作，尤其是一线员工，包括领导在内，需要对企业上下进行风险管理的培训，强化所有人员的风险意识，采取多种形式开展学习研讨、经验交流等。