王曉華 何載福 韋健福 劉桂良

摘 要： 經濟環(huán)境變化、自治區(qū)發(fā)展需求、監(jiān)管政策要求等促使區(qū)直企業(yè)不斷提升自身的風險管理水平，以應對各種不確定性因素帶來的風險，有效實現自治區(qū)發(fā)展目標。通過引入能力成熟度模型，構建相應的評價指標體系，對區(qū)直企業(yè)全面風險管理能力進行整體評價，并有效識別管理短板，為針對性提升企業(yè)全面風險管理水平提供了方向。

關鍵詞： 廣西區(qū)直企業(yè);成熟度模型;風險管理特點

中圖分類號： F2????? 文獻標識碼： A????? doi：10.19311/j.cnki.1672-3198.2019.12.008

1 背景

1.1 經濟環(huán)境充滿不確定性致使區(qū)內企業(yè)經營風險增大

根據近年來我國國民經濟狀況來看，一方面我國近年來GDP增長率放緩、設備投資減少、傳統(tǒng)制造業(yè)低迷以及企業(yè)競爭不斷加劇;另一方面供給側結構性改革、產業(yè)轉型加快和新技術新模式的不斷涌現，使得當下的經濟環(huán)境變得更加復雜，充滿了各種不確定性因素。在這種大環(huán)境下，廣西壯族自治區(qū)區(qū)直企業(yè)緊緊圍繞自治區(qū)黨委、政府穩(wěn)增長、調結構、促改革、抗風險、惠民生的要求，在自治區(qū)國資委的指導下，通過建立健全風險管理體制機制，不斷增強風險管理能力、強化風險防控，但受我國宏觀經濟下行壓力增大等因素的影響，廣西區(qū)國有企業(yè)特別是實體企業(yè)出現增長乏力、成本加大、經營風險凸顯等一系列問題。

1.2 風險管理政策要求促使企業(yè)持續(xù)完善風險管理工作

自2006年開始，外部監(jiān)管機構陸續(xù)頒布了《中央企業(yè)全面風險管理指引》、《中央企業(yè)資產損失責任追究暫行辦法》、《中華人民共和國企業(yè)國有資產法》、《關于中央企業(yè)開展全面風險管理工作有關事項的通知》等文件要求國有企業(yè)在內部建立其全面風險管理體系。與此同時ben，廣西自治區(qū)國資委每年均會邀請風險管理專家對區(qū)直企業(yè)年度全面風險管理工作及來年全面風險管理計劃進行評估咨詢，這也督促區(qū)直企業(yè)不斷完善現有風險管理工作。

1.3 能力成熟度模型被逐步引入風險管理領域

1987年，美國卡內基·梅隆大學軟件工程研究所開發(fā)軟件能力成熟度模型（CMM，Capability Maturity Model for Software），隨著能力成熟度模型的廣泛應用及深入研究，能力成熟度模型逐漸被應用于其他領域，并形成了具有各自特點的模型，如人力資源管理、項目管理和企業(yè)管理等。隨著企業(yè)風險管理的發(fā)展，能力成熟度模型也被引入企業(yè)風險管理領域中，2006年風險管理協會、發(fā)布RIMS風險成熟度模型，該模型旨在評估企業(yè)風險管理計劃的成熟度，并制定改善績效的路線圖?？偟膩碚f，風險管理成熟度模型可以理解為描述企業(yè)如何提高或獲得風險管理能力的過程的框架。

2 廣西區(qū)直企業(yè)全面風險管理成熟度評價模型構建

2.1 成熟度評價模型設計原則

2.1.1 前瞻性原則

指標設計將以《中央全面風險管理指引》中的要求為基礎，充分考慮2017年COSO發(fā)布的企業(yè)風險管理框架以及ISO 31000發(fā)布的風險管理標準等前瞻性理論的新要求。

2.1.2 層次性原則

由于評價指標并不會孤立存在，區(qū)直企業(yè)全面風險管理能力的評價將受到復合性因素的影響，因此構建系統(tǒng)有層次的全面風險管理成熟度評價模型才便于開展有效評價。

2.1.3 實用性原則

指標設計應與實際項目情況緊密結合，脫離現有實際情況所虛構指標不利于客觀、全面反映區(qū)直企業(yè)現有的全面風險管理能力。

2.1.4 適用性原則

由于廣西區(qū)直企業(yè)行業(yè)分散，因此指標選擇應具有廣泛適用性，這樣便于開展橫向與縱向分析。

2.2 成熟度評價模型指標體系構建

2.2.1 成熟度評價模型指標設計

基于上述指標設計思路與原則，此次廣西區(qū)直企業(yè)全面風險管理成熟度評價模型從治理和文化、戰(zhàn)略和目標設定、風險管理運行、評估和修正以及信息、溝通與報告5個維度展開設計，構建了包括14個二級指標、27個三級在內的評價指標體系，指標構成見表1。

2.2.2 成熟度評價模型指標權重計算

課題組在研究過程中，通過AHP的方法確定各類指標的占比權重，過程邀請了7名專家（包括大學教授、集團高管、事務所合伙人等）使用層級分析法中1-9標度法對全面風險管理各層級要素指標之間進行兩兩判斷，分別獨立判斷相互間的重要性，最終對7位專家的打分結果進行簡單算術平均，得到表2的結果（由于指標較多，本文以第一層指標為例說明）。

其他各層級指標權重得計算過程與第一層指標計算過程一致，此處不再贅述，關于全面風險管理成熟度評價模型各層級指標權重詳見表1。

2.2.3 成熟度等級確定

課題組按照分數從到高將全面風險管理能力劃分為5個等級，每個等級給定一個區(qū)間分值，依據各區(qū)直企業(yè)的實際情況確定評分集從而判斷所屬級別，進而對區(qū)直企業(yè)全面風險管理能力進行評價。

全面風險管理能力成熟度每個等級的特點如下：

（1）初始級。企業(yè)有提高風險管理的意愿，但是對風險管理的理解還很有限。針對風險管理，其過程是隨機的、無序的，并且只能依靠少數相關管理人員的風險意識、能力和知識進行管理。

（2）可重復級。企業(yè)風險管理擁有少量風險管理人員，能基本明確其任務、職責、權限。同時，企業(yè)在少數相關運營環(huán)節(jié)上能有意識地進行風險的識別、評價和控制，但是這類企業(yè)尚未意識到全面風險管理的意義，風險管理僅僅處于少數的可重復階段。

（3）初步管理級。企業(yè)已有專門風險管理機構，風險管理工作達到了制度化、紀律化。這一階段，企業(yè)能夠定期進行風險評估，在重大及重要的風險上能及時與管理層溝通。企業(yè)全體員工開始意識到全面風險管理的意義，風險管理意識開始融入整個企業(yè)文化中。

（4）系統(tǒng)管理級。企業(yè)風險管理步入標準化的進程，已經能夠基本對風險進行量化管理，同時在內部有協調一致的風險管理活動，能夠站在企業(yè)整體層面風險識別、評價、應對和報告都能做到精確系統(tǒng)的管理。

（5）自我優(yōu)化級。企業(yè)已經能夠基于戰(zhàn)略目標和可持續(xù)發(fā)展的高度全方位進行全面風險管理，并將風險納入決策流程，企業(yè)內部通過評估和修正等手段，使得其具備自我優(yōu)化、不斷改進的能力。

3 廣西區(qū)直企業(yè)全面風險管理特點分析

為了有效評價廣西現有區(qū)直企業(yè)全面風險管理情況，課題組向21戶區(qū)直企業(yè)下發(fā)了調研問卷，區(qū)直企業(yè)全面風險管理呈現如下特點。

3.1 區(qū)直企業(yè)全面風險管理水平整體處于初步管理級

根據問卷反饋，區(qū)直企業(yè)全面風險管理成熟度平均得分為3.3402分，從整體來看，廣西區(qū)直企業(yè)的全面風險管理水平處于初步管理級，多數企業(yè)已經擁有專門的風險管理機構，風險管理工作達到了制度化、紀律化，全面風險管理體系已初步完成;同時，金融行業(yè)風險管理水平表現最佳，得分為3.9548，接近系統(tǒng)管理級別，具體得分分布見表4。

3.2 風險管理組織體系相對完善，風險管理文化得到有效宣貫

（1） 風險管理組織體系已完成構建，外部董事隊伍建設亟待加強。結合問卷統(tǒng)計分析，“風險管理組織體系”層面，得分為3.5479，處于初步管理級，其中，“董事會執(zhí)行風險監(jiān)督”方面，得分高達 4.6667，趨近自我優(yōu)化級。根據問卷資料反饋，目前區(qū)直企業(yè)董事會在全面風險管理方面較好地履行了自身職責，比較完整地了解和掌握企業(yè)面臨的各項重大風險及其風險管理現狀，做出符合現狀并且有效控制風險的決策。同時，多數區(qū)直企業(yè)已成立專職風險管理職能機構，并定期出具全面風險管理工作報告，重要業(yè)務事項（如三重一大、資金安全等）也存在制度/流程規(guī)范，內部運轉正常。不過，在“董事會獨立性”方面，得分為1.9524，個別區(qū)直企業(yè)存在外部董事，但廣西區(qū)內尚未全面貫徹。

（2）企業(yè)風險管理文化工作到位，高層管理人員風險管理意識強。結合問卷統(tǒng)計分析，在“風險管理文化”層面，得分為3.5632，處于初步管理級，其中，“高層管理人員風險管理意識”方面，得分為3.8571，臨近系統(tǒng)管理級。根據問卷反饋，多數區(qū)直企業(yè)的風險管理文化建設已基本完成或正在建設，企業(yè)內部通過多種方式傳播和培育風險管理文化，也促使員工風險意識提升，并主動分析自身工作所存風險。不僅如此，19戶（占比90.48%）區(qū)直企業(yè)的高層管理人員已具備較強的風險管理意識，在重要業(yè)務或者關鍵環(huán)節(jié)上進行風險分析，并據此積極采取行動;個別區(qū)直企業(yè)的高級管理人員還能夠在培育風險管理文化中起表率作用，注重風險的集成化管理和整體優(yōu)化。

（3）風險管理人員專業(yè)能力良好，能夠較好適應國有企業(yè)現代化管理要求。根據調查反饋，20戶區(qū)直（占比95.24%）風險管理部門主要責任人員具備較為充足的風險管理知識，風險管理經驗較為豐富，能夠在企業(yè)的經營活動、投融資等重大事項中把控應對風險，從而有效降低了國有資產出現損失的可能性。關于“治理和文化”層面各指標得分情況詳見表5。

3.3 風險管理已與區(qū)直企業(yè)戰(zhàn)略與目標設定融合

（1）近半數區(qū)直企業(yè)會應用風險偏好與風險承受度進行決策。結合問卷統(tǒng)計分析，在“風險偏好與風險承受度”方面，得分為3.2381，處于初步管理級。其中10戶（占比47.62%）區(qū)直企業(yè)除已明確設置風險偏好與承受度外，還在決策中有效應用;另外，部分企業(yè)的風險偏好與承受度能夠隨公司目標變化而及時調整，以適應公司發(fā)展需要和實際經營情況。

（2）風險管理與戰(zhàn)略融合度較高。結合問卷統(tǒng)計分析，在“風險管理與戰(zhàn)略融合”方面，得分為3.6667。根據問卷數據顯示，21戶區(qū)直企業(yè)在戰(zhàn)略及目標設定中考慮了內外部環(huán)境風險因素的影響;14戶企業(yè)（占比66.67%）在制定戰(zhàn)略時還會定期評估風險對戰(zhàn)略執(zhí)行的影響，及時根據風險的變化情況調整戰(zhàn)略。關于“戰(zhàn)略和目標設定”層面各指標得分情況詳見表6。

3.4 風險管理運行尚可，風控體系梳理工作還需深化

（1）風險管理數據庫仍需完善建設。結合問卷統(tǒng)計分析，在“風險識別”方面，得分為2.7143，處于可重復級。目前，僅有4戶企業(yè)（占比19.05%）制定了較為完整的風險管理數據庫，該數據庫能夠覆蓋企業(yè)各層級。另一方面，仍有9戶企業(yè)（占比42.86%）尚未完善集團內部的風險數據庫建設工作，甚至存在部分企業(yè)暫未系統(tǒng)梳理內部風險點。

（2）風險評估體系基本建成。結合問卷統(tǒng)計分析，在“風險評估”層面，得分為3.4402。根據問卷反饋，16戶區(qū)直企業(yè)（占比76.19%）在集團內部組織了風險評估工作;8戶區(qū)直企業(yè)（占比38.1%）風險評估工作使用明確的標準，從 “風險發(fā)生的不確定性”和“風險產生的影響”兩個維度來定義風險評估;18戶企業(yè)（占比85.71%）編制了風險坐標圖，將風險評估結果予以視化。

（3）重大風險應對方案相對完備，內部控制體系建設仍需加強。結合問卷統(tǒng)計分析，在“風險應對”方面，得分為3.2143。結合問卷反饋，20戶（占比95.24%）區(qū)直企業(yè)采取的應對措施能夠覆蓋重大風險關鍵環(huán)節(jié)，實施效果良好，部分企業(yè)采用“風險組合觀”的理念開展多項重大風險整體應對。在“內部控制體系建設”方面，得分剛剛達到3分，即才步入初步管理級，其中，8戶企業(yè)的內部控制體系可以覆蓋大部分業(yè)務，并確保重大（要）風險能夠被流程控制;但仍有7戶企業(yè)（占比33.33%）只做到初步構建內部控制體系，僅覆蓋了核心業(yè)務流程。關于“風險管理運行”層面各指標得分情況詳見表7。

3.5 監(jiān)督檢查穩(wěn)步推進，預警及問責機制落地略顯薄弱

（1）監(jiān)督檢查機制較為完善，風險預警體系運行效果不佳。結合問卷統(tǒng)計分析，在“監(jiān)督與檢查機制”方面，得分為3.3333，17戶區(qū)直企業(yè)（占比80.95%）已在關鍵風險領域建立了較為完善的風險管理監(jiān)督檢查機制，并相應設置了監(jiān)督檢查標準。不過，在“風險預警指標體系建設”方面，得分為2.9048，成熟度表現不夠理想，其中，6戶企業(yè)在核心業(yè)務領域初步建立了風險預警體系，可以監(jiān)測業(yè)務中的重大（要）風險，但運行效果不佳，主要依靠經驗判斷。另外，尚有2戶企業(yè)未建立風險預警機制。

（2）能夠主動根據變化開展風險評估。結合問卷統(tǒng)計，在“重大變化評估”方面，得分為4.3810，突破系統(tǒng)管理級。問卷反饋結果顯示所有的區(qū)直企業(yè)每年都會定期開展風險評估活動，有14戶企業(yè)（占比66.67%）每年能夠做到開展2次及以上的風評工作，且當有重大變化時，都會及時組織風險評估。

（3）監(jiān)督評價機制完善，風險實施情況納入考核。結合問卷統(tǒng)計，在“風險管理監(jiān)督評價”方面，得分為3.2857，10戶區(qū)直企業(yè)（占比47.62%）風險管理的監(jiān)督能夠做到如下五點：①能在風險管理工作中直接對董事會或審計委員會負責;②負責研究提出全面風險管理監(jiān)督評價體系，制定監(jiān)督評價相關制度;③每年至少一次對風險管理工作情況及其工作效果進行監(jiān)督評價;④定期對風險管理工作情況及其工作效果進行監(jiān)督評價，包括風險管理職能部門在內的各有關部門和業(yè)務單位，并出具專項監(jiān)督評價審計報告;⑤出具年度風險管理監(jiān)督評價報告，并向董事會（或風險管理委員會、審計委員會）報告。在“風險管理考核機制”方面，得分為3.4286，12戶區(qū)直企業(yè)（占比57.14）將各層級員工風險管理實施情況納入其績效考核體系中。

（4）過半數企業(yè)問責整改機制不健全。結合問卷統(tǒng)計，在“風險管理改進”方面，得分為2.9048，暫處于可重復級。根據問卷數據顯示，10戶企業(yè)（占比47.62%）在集團內部建立了相對標準化的問責整改機制，能通過標準化的規(guī)范流程進行問責和整改，在風險尚未發(fā)生或者初始階段及時糾正錯誤和偏離;同時尚有過半數的企業(yè)已設置問責整改機制但不夠健全，還有較大的改進優(yōu)化空間。關于“評估和修正”層面各指標得分情況詳見表8。

3.6 風險管理相關信息系統(tǒng)處于建設初期，信息溝通渠道多樣化尚顯不足

（1）四成企業(yè)信息系統(tǒng)未能覆蓋關鍵流程。結合問卷統(tǒng)計分析，在“信息技術應用”方面，得分為2.2857，處于可重復級。目前，9戶區(qū)直企業(yè)（占比42.86%）在集團內部管理中啟用了個別信息系統(tǒng)，例如財務系統(tǒng)、業(yè)務系統(tǒng)，但暫時僅是發(fā)揮系統(tǒng)的記錄和查詢功能，未能覆蓋關鍵控制流程，甚至存在個別企業(yè)尚未啟用信息系統(tǒng)，無法滿足風險管控要求，不能為公司進行重大決策提供幫助。

（2）近五成區(qū)直企業(yè)信息溝通渠道不豐富。結合問卷統(tǒng)計分析，在“信息溝通”方面，得分為2.5714，處于可重復級。一般而言，完善的風險信息溝通與報告機制要求企業(yè)的風險管理信息傳遞工作至少做到以下四個方面：①通過定期會議，如年度、季度、月度等工作會議或經營會議，以匯報的形式溝通風險信息;②定期召開專門的風險管理會議，就風險信息進行專項溝通與匯報;③通過定期工作報告、經營報告、資金分析報告等，以書面報告的形式溝通風險信息;④已建立風險事件應急機制，制定了相關制度，明確溝通與報告流程、層級責任。根據問卷數據顯示，存在10戶區(qū)直企業(yè)（占比47.62%）在信息溝通工作中僅能做到了上述間的1至2點。關于“信息、溝通與報告”層面各指標得分情況詳見表9。

4 結論

4.1 提高整體認識，風險管理工作常抓不懈

當前，國內外環(huán)境復雜多變，國有企業(yè)改革也正在進行時，2018年區(qū)內6家區(qū)直企業(yè)戰(zhàn)略性重組成為3家，這種情況下也對企業(yè)風險管理工作提出了更高的要求。習近平總書記的強調“各個風險往往不是孤立出現的，很可能是相互交織并形成一個風險綜合體”、“力爭把風險化解在源頭，不讓小風險演化為綜合風險，不讓局部風險演化為區(qū)域性或者系統(tǒng)性風險”，在未來過程中，區(qū)內企業(yè)也應深化認識，風險管理工作更應常抓不懈。

4.2 加強組織領導，治理架構可更優(yōu)化

完善國有企業(yè)法人治理結構是全面推進依法治企、推進國治理能力現代化的內在要求?，F階段，區(qū)直企業(yè)雖已基本建立了較為完善的法人治理機制，但按照《國務院辦公廳關于進一步完善國有企業(yè)治理結構的指導意見》（國辦發(fā)[2017]36號）要求：“國有獨資、全資公司全面建立外部董事占多數的董事會，國有控股企業(yè)實行外部董事派出制度，完成外派監(jiān)事會改革”，區(qū)直企業(yè)治理機構還可持續(xù)優(yōu)化，鼓勵企業(yè)引入外部董事，更大程度上為重大事項的科學決策提供保障，降低風險發(fā)生的可能性。

4.3 理清管理界面，風控體系須成閉環(huán)

區(qū)直企業(yè)在風險防控上還需要下大力氣，應系統(tǒng)梳理內部管理中的風險點，在此基礎上還應理清集團與子公司、部門與部門、業(yè)務與流程間的管理界面，構建風險與控制的有效映射，盡量避免風險盲區(qū)或者空白領域。同時，內部控制體系建設要繼續(xù)推進，下沉至各子公司、各業(yè)務單元，避免出現內控建設“重形式、輕實質”、“重本部、輕業(yè)務”的現象。另外，區(qū)直企業(yè)內部控制體系須形成“建設-運行-評價-再建設”的閉環(huán)，即在開展有效建設后，企業(yè)內部應形成定期評價的機制，從而將風險控制在苗頭。

4.4 創(chuàng)新管理手段，風險預警逐步推進

全面風險管理工作既要統(tǒng)籌兼顧，又要結合實際、突出重點、務求實效。無論是在監(jiān)管層面還是企業(yè)內部，均需要深化、創(chuàng)新現有的管理手段，積極探索風險管理信息化建設。在日常管理過程中，可通過構建重大及重要風險預警體系，結合信息系統(tǒng)的手段對企業(yè)重大、重要風險進行全過程跟蹤，實現風險的量化和可視化，也促使區(qū)直企業(yè)的風險管理工作實現“識別-評估-應對-監(jiān)督-預警”的長效機制，同時增強信息在內部的傳遞以及溝通渠道的多樣性，防止內部出現信息孤島。

參考文獻

[1] The Committee of Sponsoring Organizations of the Treadway Commission（COSO）.企業(yè)風險管理——整合框架[M].大連：東北財經大學出版社有限責任公司，2004.

[2]The Committee of Sponsoring Organizations of the Treadway Commission（COSO），Enterprise Risk Management Integrating with Strategy and Performance Executive Summary[EB/OL].www.coso.org，2017.

[3]盧新瑞.2018版ISO31000《風險管理指南》綜述與解析[J].中國商論，2018，（20）：165-166.