摘要:G集团作为一家地方性准公益性企业,面对环保行业难得的发展机遇,基于对同类市场竞争主体差距的认识,将推动全面风险管理工作视为提升综合管理的突破口,经过充分调研比较,根据自身经营特色,围绕组织、流程、制度三要素,构建了完善的风险管理体系框架,为同类企业构建风险管控体系提供了可行的经验。
关键词:风险管理体系;构建;启示
G集团作为一家地方性准公益性国有企业,主要从事大型生活垃圾终端处理设施的投資、建设和运营业务,承担了本市中心城区百分之百、全市约百分之九十的生活垃圾处理任务,为破解日益增长的生活垃圾处理难题,承担了应尽的社会责任。公司通过当地项目的建设、运营,公司积累了丰富的行业经验,多次“AAA级生活垃圾焚烧厂”“固废行业专业化运营服务年度标杆企业”、“最具社会责任投资运营企业”等荣誉。在此基础上,公司制定了明确的“1234”发展战略,目标是建成国内领先的环保企业。在深化国企改革的大背景下,公司对标环保行业内领先企业,以构建全面风险管理体系为关键部署,全面推行建设、运营项目的精益管理,实施有效的降本增效措施,扩大企业积累,以BOT、PPP、合营、收购等多种形式的扩张推动外延式发展,逐步落实战略目标规划。
本文拟从全面风险管理的视角,用风险管控的语言,对其风险管理体系进行剖析。
一、风险管理体系现状
(一)总体框架
公司参照国务院国资委《中央企业全面风险管理指引》,运用COsO《企业风险管理一整合框架》的原理,围绕“组织(Organization)、流程(Procedure)、制度(Policy)"三要素,搭建基于OPP的风险管理体系框架,框架构建遵循注重体系对战略发展规划的承接及体系的系统全面的原则,横向贯通各业务领域和部门,纵向延伸到集团属下的各家子公司,形成了集团职能部门及项目公司为第一道防线、风险管理部门为第二二道防线、董事会及风险管理委员会为第三道防线的三道防线风险管理架构。目前处在由第二道防线驱动的主动管理逐渐转变为激励第一道防线主动参与的阶段,风险管理工作要求、工具、方法日益固化,工作职责清晰,操作规范化、常态化。
(二)体系构成
在框架构建基础上,搭建了风险管理组织、风险评估应对、风险预警监控、风险管理报告、风险考核评价等五大体系,在“组织、流程、制度”内控三要素的基础上,结合风险管理技术和方法,以流程为主线、以岗位为落点,建立基于岗位的风险意识和内控责任落实机制,最终保证风险管理工作目标的实现。
与组织要素的结合,是将风险管理意识、风险管理策略、风险管理工作责任等充分落实到公司各层组织以及组织架构中蕴含的各个岗位的职责当中;与流程要素组合,则是将风险管理的工作流程、工作方法融入到公司的各级职能、业务流程当中;与制度要素组合,则是将风险管理的理论依据、风险管理的规章制度、风险管理工具等与公司现有的制度进行有机结合。
(三)报告体系
公司的风险管理报告主要包括年度风险管理报告、风险监控报告、重大专项风险报告三种类型。
年度风险管理报告每年编制一次,用于记录和汇总各单位年度风险管理的过程和结果,帮助各级管理层了解和掌握各单位整体的风险管理状况,为管理决策提供支撑。
风险监控报告用于记录和更新风险评估过程和风险评估结果、风险的管理状况和风险的变化趋势,以及根据评估结果确认的重大风险的应对策略、解决方案,为公司编制商业计划,合理配置管理资源、有效预防和控制风险提供信息支撑,以实现对风险的“事前、事中、事后”全过程动态管理和有效管控,提升业务管理水平与风险管理工作的时效性。
重大专项风险报告,用于及时记录和汇报发生的重大安全事故、突发环境事件、群体事件等重大风险事件,在事件发生后,第一时间向相关单位领导和集团提交该时间的基本情况、发生原因分析和已采取的处置措施,帮助管理层及时、全面了解重大风险事件,为制定有效的应对方案,控制风险造成的影响,防控类似事件的发生提供依据。
(四)风险管理文化
公司专门开发整套培训课程,在职能部门及项目公司间开展风险管理培训,就内控与风险管理知识、关注的焦点领域进行专题培训,从职业操守、战略、内控、内审等多个维度,阐释风险管理的重要性和必要性;讲述组织、流程、制度三维度风险管理的工作机制,分享关节业务领域的主要风险点,通过培训进一步强化各级单位的内控与风险管理意识,宜贯风险管理理念,塑造公司风险管理文化。
二、风险管理体系运作机制
(一)组织引领
通过组织的作用,将风险管理理念、意识、方法覆盖到公司各层级组织及各级岗位,横向到边,纵向到底,实现了对各层组织的全面覆盖。
在组织架构方面,不另行单独建立一套组织体系,公司的组织架构就是风险管理组织体系,组织架构分为决策层、执行层和监督层三个层次,各层级相互独立、相互制衡。决策层由董事会、董事会下设的风险管理委员会以及管理层组成,主要责任是制定风险管理目标、纲领和实施方案,对风险管理工作进行总体部署、指导、检查与协调管理,并监督公司风险管理的执行情况,督导风险管理文化的培育。执行层由各职能部门、项目公司构成,负责执行决策层的各项决定,通过各种技术手段,把组织目标转化为具体行动。监督层由审计部组成,负责推动公司全面风险管理体系的建设、运行、维护等工作,并负责对执行层进行监督检查,将检查中发现的问题,向决策层报告。
在部门职责方面,审计部负责风险管理职能,其他职能部门、项目公司负责本职能范围内的风险管理工作。审计部负责制定和完善风险管理规章制度、工作程序以及相关的标准和方法,提供风险管理工作所需的工具和模板,编制工作计划,通过组织理论研讨、专业培训和日常工作开展风险管理,协助有关部门和业务单位设定风险预警监控指标并持续改进,汇总编制公司的风险管理报告,上报风险管理委员会。其他职能部门组织和推动本职能的风险评估、风险应对、风险日常监控、风险管理工作情况自查与改进等工作,并及时报告。项目公司作为风险管理工作的具体实施者,负贵日常风险管理工作的落实,制定和完善适用于本单位的风险管理工作规章制度、工作程序以及相关标准和方法,收集整理风险信息,开展风险评估,提出风险管理策略和重大风险管理解决方案等应对措施,监控本组织风险管理体系运行,跟踪各项风险控制指标,并及时报告重大风险事件。
在岗位设置方面,公司在承担风险管理职能岗位方面设置了专职和兼职岗位,并不断探索将将风险管理理念与工作方法融入到每个岗位的岗位责任之中。在总部审计部设置专职的风险管理岗位,负责公司全面风险管理的体系建设和完善,组织推动和协调年度风险评估、风险管理流程的建立、监督各单位风险管理应对措施的执行以及编制与汇总各类风险管理报告。在各职能部门、项目公司设置风险管理对接兼职岗位,同时,鼓励项目公司按照自身管理需求自主设置风险管理兼职岗位,配合风险管理工作的落实。
为将风险控制要点落实到每个具体的岗位,公司先后对十个重大风险领域进行了专项风险治理,梳理出重大业务环节中所对应的岗位职责,并利用CR-A工具,将梳理出的岗位职责与各流程环节中蕴含的风险点进行了融合。对于每一个具体的环节都梳理出了具体的执行岗位以及相应监督岗位,并对执行与监督的责任进行了划分,执行岗位面对的是管理环节中的风险诊断要点,而监督岗位对应的是监控指标以及监控标准。通过执行与监督的职责分离,保证风险控制责任得到有效落实。
(二)流程管控
为将风险管理理念和做法深度融入各级流程,公司在流程的具体操作层面对风险进行主动的提示,做到既提升效率又合法依规,最终逐渐形成基于岗位的风险意识与风险管理责任落实机制。在具体实施中,公司风险管理与业务流程的融合按职能线、业务线分别实施。
在职能线方面,根据公司各业务模块管控特点,对职能线业务流程梳理出五大重点环节“‘三重一大决策’、合同管理、人资/薪酬管理、结算管理、专项费用管理”作为风险管理融入的重点流程,并编制印发《风险分析融入业务流程指引》,制定了模板与工具将风险分析与应对嵌入上述五大流程。
在业务线方面,将业务分为项目投资开发、项目建设、项目运营三个阶段,三个阶段中的采购环节蕴含的风险较多,并且管理上也比较复杂;从财务表现来看,建设成本及运营環保物料成本是最主要的两部分成本,也是公司管理的重要环节,因而公司将投资管理、工程建设以及运营物料成本三个领域作为重点风险治理的目标领域,并先后组织开展了三个领域的专项风险治理项目,编制了《投资管理风险操作指引》《建设风险管理操作指引》《运营物料管理风险操作指引》,对投资管理、工程建设以及运.营物料管理的各个流程细分环节进行了细致梳理,评估出流程中每个环节可能面临的风险,并将风险以风险点提示的方式与对应的岗位职责进行了融合,确保流程中的各个风险能够得到妥善控制。
(三)制度保障
为确保风险管理能够入心、入脑,融入公司的日常管理,使风险管理里随着制度一起落地实施,公司在进行流程梳理的同时,也相应对制度规范进行了梳理,将梳理出的风险点同与之相对应的制度规范进行了匹配,明确了制度规范中能够有效控制风险的关键控制点,并建立指引将这些控制点与风险点一道推送至相应的岗位职责中,明确了每一项制度能够管控的风险、具体操作方法以及相应的控制文档,使各类制度与风险管理进行了有机组合,从而确保风险控制措施能够有效实施。
在风险管理基本规范方面,公司制定了《全面风险管理制度》《风险评估指引》以及《风险分析融入业务流程指引》等风险管理基本制度与指引,为风险管理工作的开展确立的基本理论基础。
在风险评估标准方面,根据公司的三级管控架构在集团、职能部门、项目公司层面搭建了“三层级”的,包括风险发生可能性、风险影响程度的风险评估标准,从环境安全健康、运营与系统、公司声誉、合法依规、报告等维度进行分析,在各维度相应的区间内进行取值,如某个特定风险与多个维度的描述相类似,责适用“孰高原则”,以评分最高的维度的得分作为该风险最终得分。
(四)整合管理工具
为保证OPP风险管理框架的实际落地,公司将风险管理与内部控制要素特点,以及内部审计工作的技术方法相结合,开发了CR-A(Control内控、Risk风险、Audit内审)整合工具。CR-A工具以流程为主线,以组织中的岗位为落点,以制度为依据,融合了风险管理中的风险点、风险应对措施以及风险监控指标等要素,建立了内控与风险管理的结合点。同时将风险诊断点作为审计关注要点,通过一张表格将内审、内控以及风险管理要素进行了融合,使风险意识、内控责任与岗位职责有机结合。
三、启示
风险管理体系的构建并非一蹴而就的,自2006年,国务院国资委出台《中央企业全面风险管理指引》以来,中央企业率先推行了全面风险管理报告的编制,历经多年发展,全面风险管理理念逐渐深入人心,该字眼也越来越多地出现在各地国企管理部门的文件之中。G集团在正式构建全面风险管理体系之前,已提前两年开展调研、培训、内部研讨等探索工作,形成了较好的构建基础。
(一)管理层重视
全面风险管理体系实施是一项系统的工程,具有周期长、费用投入多、参与人员广泛的特点。公司管理层高瞻远瞩,面对环保行业难得的发展机遇,提出了“提升效率、提升效益、提升管理、提升公司形象”的管理思路,并着手部署全面风险管理工作的启动,根据职能部门调研汇报,确定了全面风险管理分步实施的策略;在项目立项方面,为实现合法合规、高效运营、有效管理的目标,敢于在全面风险管理项目建设方面投入资金;为推动项目的落地实施,公司管理层全程参与了项目的访谈、研讨,在全体员工面前树立了坚定实施的决心。
(二)准备充分
在项目实施初期,以调研和交流为主要工作方式,定期将阶段性成果在公司内部开展培训,并组织研讨会;在公司架构组织上,建立了兼职风险管理人员岗位制度,由各职能部门、各项目公司推荐优秀管理人员组成风险管理团队;定期开展风险管控工作考核,将风控工作日常化、体系化、制度化。通过近两年的准备,公司内部风险管控意识已变为自动自发的工作内容,在此基础上,公司引入了外部专业的咨询团队,开始构建系统化、专业化的全面风险工作管理体系。
(三)体系构建科学
风险管理工作体系与日常管理具有高度的一致性,为提高管理效率,避免出现两个体系“两张皮”的现象,在风险管理构建之初,公司风险管理组织部门与外部咨询团队经过多方考量和取舍,综合各种方案,提出了在“组织、流程、制度”内控三要素的基础上,结合风险管理技术和方法,以流程为主线、以岗位为落点,建立基于岗位的、全员参与并承担责任的风险管控机制,将风险管理融入了日常业务工作,对可能出现的工作量增加、效率降低等问题进行了巧妙地规避,构建了公司内部广为接受的、科学的风险管理体系。
(四)实施思路清晰
风险管理体系构建中,公司坚持战略导向,预防为主,事中控制的原则,使风险管理体系成为战略目标实现的重要支撑。在体系构建中,实行了分三步走的策略,第一步是构建科学严密的风险管理机制,按照风险管理经典的“三道防线”理论,形成了合理的框架;第二步是聚焦重点,将风险管理融入业务,构建“组织、流程、制度”三位一体的岗位工作责任制,让全部员工参与到风险管理中去,形成良好的风险管理文化;第三步是在风险管理体系巩固的基础上再次提升,建立风险管理的信息预警机制,将风险控制在业务源头,防范公司整体风险。
风险管理服务于公司战略目标及管理需要,开展全面风险管理是一项长期的过程,需经历多次的PDCA循环,在组织内部经过多次的反复沟通、协调,才能将风险管理全面覆盖各层组织,才能深度融入各级流程,有机结合各项制度,建立基于岗位的风险意识与内控责任落实机制。
参考文献:
[1]周志忍。当代国外行政改革比较研究[M]北京:国家行政学院出版社,1999.
[2]方红星.内部控制审计与组织效率[J].会计研究,2002(7).
[3]丁德臣,何建敏,吴广谋.企业风险管理模型方法综述[J]科学学与科学技术管理,2008(7).
[4]蔡钊艳.鲁信集团全面风险管理存在的问题及改进[J]财务与会计,2013(5).