摘要：伴随我国改革开放不断深入、市场金融体制不断健全、国家法制监管不断完善，社会经济体所受的环境变化越来越快，潜在风险越来越多。企业风险防控体系的建设也随着企业全面风险管理的发展逐步兴起并显示出其重要性。本文尝试通过分析中国石油西北销售公司基于业务流程的风险防控体系建设情况，进一步探究当前我国关于健全企业风险防控机制在研究和实务操作中的进展。

关键词：健全;风险管理;风险防控

一、定义和区别

（一）风险的定义

企业风险：2006年，中国国资委在《中央企业全面风险管理指引》中指出，企业风险是指未来的不确定性对企业实现其经营目标的影响。本文研究的企业风险主要指由于外部环境的不确定性、生产经营活动的复杂性和企业生产能力的有限性而导致的企业可能发生的损失或失败。

全面风险管理：2006年，中国国资委在《中央企业全面风险管理指引》中指出所谓全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

（二）全面风险管理与风险防控体系的区别

全面风险管理在内部控制的基础上增加了企业风险管理目标和战略设定，包含范畴贯穿于管理过程的各个方面，同时全面风险管理引入了风险偏好、风险容忍度、风险策略、压力测试、情景分析等方法，相对于内部控制更加全面。

风险防控体系是在既定目标下进行的全面风险管理，相对于全面风险管理，风险管理体系更偏向于战略的维护和执行。如果说全面风险管理是管理的方法和策略，那风险防控体系就是管理的系统和工具。

二、全面风险管理的深入剖析

风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会（IIA）指出，企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。

（一）西北销售公司在风险管理领域的实际

中国石油西北销售公司（以下简称：西北公司）2017年开始全力推进全面风险管理体系建设，这既是资本市场的要求，也是西北公司自身发展的需要。中国石油西北销售全面风险管理的总体目标是：围绕公司的战略目标，在企业管理的各个环节和经营过程中执行风险管理流程，培育良好的风险管理文化，使风险管理机制成为西北公司经营管理各个环节的有机组成部分。

西北销售公司瞄准“提升效率”和“管控风险”两大目标，以系统论、控制论、信息论为依据，按照“按需设事、因事定制、嵌制入流、制流一体、规范标准、表单承载、数字管理、网络运行、量化评价、综合控制”的管理总要求和“多体系优化融合、全流程风险管控”的建设思路，系统融合质量、HSE、内控、惩防、法律风险防控、安全生产标准化、规章制度等体系和管理要求，构建了基于业务流程的风险综合防控体系。体系全面整合流程、风险、制度、标准、规范、操作规程、应急预案等多种文件，突出以业务流程为导向、全面风险管理为核心的系统优化思路，实现了流程明确、风险受控，各领域、各业务全覆盖的建设目的，是西北销售公司唯一有效的管理体系。当前的手持终端以及线上综合管控平台应用已经建立。

1.体系模式

“领导与承诺”是风险综合管控体系建立与实施的前提条件;“企业文化与党的建设”是风险综合管控体系建立与实施的内外部环境;“方针与目标”是风险综合管控体系建立与实施的总体原则和努力方向;“战略规划与计划”是风险综合管控体系建立与实施的输入;“组织与权责”是风险综合管控体系的组织保障;“信息、文件与沟通”是风险综合管控体系建立与实施的基础;“流程与风险”、“运行与控制”是风险综合管控体系建立与实施的关键;“资源”是风险综合管控体系实施的保障;“监视、测量和分析”、“审核和管理评审”是推进风险综合管控体系持续改进的动力。

2.文件架构

公司风险综合管控体系文件包括管理手册、程序文件、作业文件三个层级。以业务为导向，程序文件和作业文件均与业务活动对应，实现企业管理活动和生产运行业务活动全面覆盖。

3.管控机构

风险综合管控体系的组织机构包括体系管理委员会、总经理、管理者代表、副总经理、体系归口管理部门、其他部门和单位等。

公司各部门、直属单位：各职能部门、直属单位是风险综合管控体系建设和运行实施的主体。负责职责范围内体系文件的编写、修订和宣贯执行，配合开展体系审核和管理评审工作，负责不符合项和问题分析及整改工作。

所属各单位：负责本单位作业文件的编写、修订和宣贯执行，配合开展体系审核和管理评审工作，负责本单位不符合项和问题分析及整改工作。

三、存在的问题及合理化建议

（一）风险防控体系固有的局限性

1.风险与未来有关，而未来本来就具有又不确定性。风险防控体系的建设固然全面，但对于不断的变化，固有的系统性很难进行有效变革。

2.风险防控体系建设能够帮助管理者起到监督作用，确保企业及时认识主体朝着既定目标前进的程度，但他不能为目标本身实现提供合理保障。

3.风险管控体系不能对任何目标提供绝对保证，并且在风险防控体系运行中，受到人为认识、人为过失或多人串通时，依旧会导致风险防控失败。

（二）风险防控体系实务建设中存在的问题

1.风险防控体系上层文件具有权威性和指导性，因此在程序文件变更流程相对比较负责，文件于时更新相对比较滞后。

2.风险防控体系建设厘清了企业经营活动的各类事项，对应文件针对性较强，但在实际操作过程中，一个业务活动可能涉及多个管理程序和文件，必须要求承办人员全部了解相关程序文件，进行信息整合。

3.风险防控体系建设必须要求在定期内对企业各类内外部风险进行全面识别和评估，相对工作量较大，运维成本较高。

（三）合理化建议

1.按照当前大数据、云平台以及人工智能相关应用，风险防控体系在内外部信息识别、整合、更新方面存在进一步开放空间。建议企业可以通过链接法律数据库、行业标准等相关信息，通过智能识别，人工审核的方式进一步完善防控体系对外部信息的整合利用。

2.防控体系在业务执行过程中牵扯多项程序文件时，建议可以通过智能路径选择实现多程序性文件的整合，使业务流程和风险防控呈现全面相关。

3.公司涉及全面风险管理中的各个方面，法律风险辨识、危害因素风险、辨识风险评估、风险防控等，建议将各个方面的风险管理全面整合，加入到防控体系中，将风险防控体系全面化、权威化，成为公司的全面风险管理手册。

4.完善风险防控体系审核机制，加强季度审核、半年度审核、年度审核等，明确各专业领域和各专业条线的审核范围，在公司培养一批专业素养高、能力强的审核员，组成审核小组，在公司、分公司范围内组织审核工作，以此在“防、控、管”方面全面完善公司风险管理工作。

参考文献

[1]《企业风险管理-整合框架》：张宜霞译，东北财经大学出版社。

2. 关于印发《中央企业全面风险管理指引》的通知（国务院国有资产监督管理委员会文件）国资发改革[2006]108号。

3.《企业风险管理-理论与方法》：陈滔，科学出版社。