广西壮族自治区区直企业全面风险管理成熟度分析

王晓华 何载福 韦健福 刘桂良

摘 要： 经济环境变化、自治区发展需求、监管政策要求等促使区直企业不断提升自身的风险管理水平，以应对各种不确定性因素带来的风险，有效实现自治区发展目标。通过引入能力成熟度模型，构建相应的评价指标体系，对区直企業全面风险管理能力进行整体评价，并有效识别管理短板，为针对性提升企业全面风险管理水平提供了方向。

关键词： 广西区直企业;成熟度模型;风险管理特点

中图分类号： F2      文献标识码： A      doi：10.19311/j.cnki.1672-3198.2019.12.008

1 背景

1.1 经济环境充满不确定性致使区内企业经营风险增大

根据近年来我国国民经济状况来看，一方面我国近年来GDP增长率放缓、设备投资减少、传统制造业低迷以及企业竞争不断加剧;另一方面供给侧结构性改革、产业转型加快和新技术新模式的不断涌现，使得当下的经济环境变得更加复杂，充满了各种不确定性因素。在这种大环境下，广西壮族自治区区直企业紧紧围绕自治区党委、政府稳增长、调结构、促改革、抗风险、惠民生的要求，在自治区国资委的指导下，通过建立健全风险管理体制机制，不断增强风险管理能力、强化风险防控，但受我国宏观经济下行压力增大等因素的影响，广西区国有企业特别是实体企业出现增长乏力、成本加大、经营风险凸显等一系列问题。

1.2 风险管理政策要求促使企业持续完善风险管理工作

自2006年开始，外部监管机构陆续颁布了《中央企业全面风险管理指引》、《中央企业资产损失责任追究暂行办法》、《中华人民共和国企业国有资产法》、《关于中央企业开展全面风险管理工作有关事项的通知》等文件要求国有企业在内部建立其全面风险管理体系。与此同时ben，广西自治区国资委每年均会邀请风险管理专家对区直企业年度全面风险管理工作及来年全面风险管理计划进行评估咨询，这也督促区直企业不断完善现有风险管理工作。

1.3 能力成熟度模型被逐步引入风险管理领域

1987年，美国卡内基·梅隆大学软件工程研究所开发软件能力成熟度模型（CMM，Capability Maturity Model for Software），随着能力成熟度模型的广泛应用及深入研究，能力成熟度模型逐渐被应用于其他领域，并形成了具有各自特点的模型，如人力资源管理、项目管理和企业管理等。随着企业风险管理的发展，能力成熟度模型也被引入企业风险管理领域中，2006年风险管理协会、发布RIMS风险成熟度模型，该模型旨在评估企业风险管理计划的成熟度，并制定改善绩效的路线图。总的来说，风险管理成熟度模型可以理解为描述企业如何提高或获得风险管理能力的过程的框架。

2 广西区直企业全面风险管理成熟度评价模型构建

2.1 成熟度评价模型设计原则

2.1.1 前瞻性原则

指标设计将以《中央全面风险管理指引》中的要求为基础，充分考虑2017年COSO发布的企业风险管理框架以及ISO 31000发布的风险管理标准等前瞻性理论的新要求。

2.1.2 层次性原则

由于评价指标并不会孤立存在，区直企业全面风险管理能力的评价将受到复合性因素的影响，因此构建系统有层次的全面风险管理成熟度评价模型才便于开展有效评价。

2.1.3 实用性原则

指标设计应与实际项目情况紧密结合，脱离现有实际情况所虚构指标不利于客观、全面反映区直企业现有的全面风险管理能力。

2.1.4 适用性原则

由于广西区直企业行业分散，因此指标选择应具有广泛适用性，这样便于开展横向与纵向分析。

2.2 成熟度评价模型指标体系构建

2.2.1 成熟度评价模型指标设计

基于上述指标设计思路与原则，此次广西区直企业全面风险管理成熟度评价模型从治理和文化、战略和目标设定、风险管理运行、评估和修正以及信息、沟通与报告5个维度展开设计，构建了包括14个二级指标、27个三级在内的评价指标体系，指标构成见表1。

2.2.2 成熟度评价模型指标权重计算

课题组在研究过程中，通过AHP的方法确定各类指标的占比权重，过程邀请了7名专家（包括大学教授、集团高管、事务所合伙人等）使用层级分析法中1-9标度法对全面风险管理各层级要素指标之间进行两两判断，分别独立判断相互间的重要性，最终对7位专家的打分结果进行简单算术平均，得到表2的结果（由于指标较多，本文以第一层指标为例说明）。

其他各层级指标权重得计算过程与第一层指标计算过程一致，此处不再赘述，关于全面风险管理成熟度评价模型各层级指标权重详见表1。

2.2.3 成熟度等级确定

课题组按照分数从到高将全面风险管理能力划分为5个等级，每个等级给定一个区间分值，依据各区直企业的实际情况确定评分集从而判断所属级别，进而对区直企业全面风险管理能力进行评价。

全面风险管理能力成熟度每个等级的特点如下：

（1）初始级。企业有提高风险管理的意愿，但是对风险管理的理解还很有限。针对风险管理，其过程是随机的、无序的，并且只能依靠少数相关管理人员的风险意识、能力和知识进行管理。

（2）可重复级。企业风险管理拥有少量风险管理人员，能基本明确其任务、职责、权限。同时，企业在少数相关运营环节上能有意识地进行风险的识别、评价和控制，但是这类企业尚未意识到全面风险管理的意义，风险管理仅仅处于少数的可重复阶段。

（3）初步管理级。企业已有专门风险管理机构，风险管理工作达到了制度化、纪律化。这一阶段，企业能够定期进行风险评估，在重大及重要的风险上能及时与管理层沟通。企业全体员工开始意识到全面风险管理的意义，风险管理意识开始融入整个企业文化中。

（4）系统管理级。企业风险管理步入标准化的进程，已经能够基本对风险进行量化管理，同时在内部有协调一致的风险管理活动，能够站在企业整体层面风险识别、评价、应对和报告都能做到精确系统的管理。

（5）自我优化级。企业已经能够基于战略目标和可持续发展的高度全方位进行全面风险管理，并将风险纳入决策流程，企业内部通过评估和修正等手段，使得其具备自我优化、不断改进的能力。

3 广西区直企业全面风险管理特点分析

为了有效评价广西现有区直企业全面风险管理情况，课题组向21户区直企业下发了调研问卷，区直企业全面风险管理呈现如下特点。

3.1 区直企业全面风险管理水平整体处于初步管理级

根据问卷反馈，区直企业全面风险管理成熟度平均得分为3.3402分，从整体来看，广西区直企业的全面风险管理水平处于初步管理级，多数企业已经拥有专门的风险管理机构，风险管理工作达到了制度化、纪律化，全面风险管理体系已初步完成;同时，金融行业风险管理水平表现最佳，得分为3.9548，接近系统管理级别，具体得分分布见表4。

3.2 风险管理组织体系相对完善，风险管理文化得到有效宣贯

（1） 风险管理組织体系已完成构建，外部董事队伍建设亟待加强。结合问卷统计分析，“风险管理组织体系”层面，得分为3.5479，处于初步管理级，其中，“董事会执行风险监督”方面，得分高达 4.6667，趋近自我优化级。根据问卷资料反馈，目前区直企业董事会在全面风险管理方面较好地履行了自身职责，比较完整地了解和掌握企业面临的各项重大风险及其风险管理现状，做出符合现状并且有效控制风险的决策。同时，多数区直企业已成立专职风险管理职能机构，并定期出具全面风险管理工作报告，重要业务事项（如三重一大、资金安全等）也存在制度/流程规范，内部运转正常。不过，在“董事会独立性”方面，得分为1.9524，个别区直企业存在外部董事，但广西区内尚未全面贯彻。

（2）企业风险管理文化工作到位，高层管理人员风险管理意识强。结合问卷统计分析，在“风险管理文化”层面，得分为3.5632，处于初步管理级，其中，“高层管理人员风险管理意识”方面，得分为3.8571，临近系统管理级。根据问卷反馈，多数区直企业的风险管理文化建设已基本完成或正在建设，企业内部通过多种方式传播和培育风险管理文化，也促使员工风险意识提升，并主动分析自身工作所存风险。不仅如此，19户（占比90.48%）区直企业的高层管理人员已具备较强的风险管理意识，在重要业务或者关键环节上进行风险分析，并据此积极采取行动;个别区直企业的高级管理人员还能够在培育风险管理文化中起表率作用，注重风险的集成化管理和整体优化。

（3）风险管理人员专业能力良好，能够较好适应国有企业现代化管理要求。根据调查反馈，20户区直（占比95.24%）风险管理部门主要责任人员具备较为充足的风险管理知识，风险管理经验较为丰富，能够在企业的经营活动、投融资等重大事项中把控应对风险，从而有效降低了国有资产出现损失的可能性。关于“治理和文化”层面各指标得分情况详见表5。

3.3 风险管理已与区直企业战略与目标设定融合

（1）近半数区直企业会应用风险偏好与风险承受度进行决策。结合问卷统计分析，在“风险偏好与风险承受度”方面，得分为3.2381，处于初步管理级。其中10户（占比47.62%）区直企业除已明确设置风险偏好与承受度外，还在决策中有效应用;另外，部分企业的风险偏好与承受度能够随公司目标变化而及时调整，以适应公司发展需要和实际经营情况。

（2）风险管理与战略融合度较高。结合问卷统计分析，在“风险管理与战略融合”方面，得分为3.6667。根据问卷数据显示，21户区直企业在战略及目标设定中考虑了内外部环境风险因素的影响;14户企业（占比66.67%）在制定战略时还会定期评估风险对战略执行的影响，及时根据风险的变化情况调整战略。关于“战略和目标设定”层面各指标得分情况详见表6。

3.4 风险管理运行尚可，风控体系梳理工作还需深化

（1）风险管理数据库仍需完善建设。结合问卷统计分析，在“风险识别”方面，得分为2.7143，处于可重复级。目前，仅有4户企业（占比19.05%）制定了较为完整的风险管理数据库，该数据库能够覆盖企业各层级。另一方面，仍有9户企业（占比42.86%）尚未完善集团内部的风险数据库建设工作，甚至存在部分企业暂未系统梳理内部风险点。

（2）风险评估体系基本建成。结合问卷统计分析，在“风险评估”层面，得分为3.4402。根据问卷反馈，16户区直企业（占比76.19%）在集团内部组织了风险评估工作;8户区直企业（占比38.1%）风险评估工作使用明确的标准，从 “风险发生的不确定性”和“风险产生的影响”两个维度来定义风险评估;18户企业（占比85.71%）编制了风险坐标图，将风险评估结果予以视化。

（3）重大风险应对方案相对完备，内部控制体系建设仍需加强。结合问卷统计分析，在“风险应对”方面，得分为3.2143。结合问卷反馈，20户（占比95.24%）区直企业采取的应对措施能够覆盖重大风险关键环节，实施效果良好，部分企业采用“风险组合观”的理念开展多项重大风险整体应对。在“内部控制体系建设”方面，得分刚刚达到3分，即才步入初步管理级，其中，8户企业的内部控制体系可以覆盖大部分业务，并确保重大（要）风险能够被流程控制;但仍有7户企业（占比33.33%）只做到初步构建内部控制体系，仅覆盖了核心业务流程。关于“风险管理运行”层面各指标得分情况详见表7。

3.5 监督检查稳步推进，预警及问责机制落地略显薄弱

（1）监督检查机制较为完善，风险预警体系运行效果不佳。结合问卷统计分析，在“监督与检查机制”方面，得分为3.3333，17户区直企业（占比80.95%）已在关键风险领域建立了较为完善的风险管理监督检查机制，并相应设置了监督检查标准。不过，在“风险预警指标体系建设”方面，得分为2.9048，成熟度表现不够理想，其中，6户企业在核心业务领域初步建立了风险预警体系，可以监测业务中的重大（要）风险，但运行效果不佳，主要依靠经验判断。另外，尚有2户企业未建立风险预警机制。

（2）能够主动根据变化开展风险评估。结合问卷统计，在“重大变化评估”方面，得分为4.3810，突破系统管理级。问卷反馈结果显示所有的区直企业每年都会定期开展风险评估活动，有14户企业（占比66.67%）每年能够做到开展2次及以上的风评工作，且当有重大变化时，都会及时组织风险评估。

（3）监督评价机制完善，风险实施情况纳入考核。结合问卷统计，在“风险管理监督评价”方面，得分为3.2857，10户区直企业（占比47.62%）风险管理的监督能够做到如下五点：①能在风险管理工作中直接对董事会或审计委员会负责;②负责研究提出全面风险管理监督评价体系，制定监督评价相关制度;③每年至少一次对风险管理工作情况及其工作效果进行监督评价;④定期对风险管理工作情况及其工作效果进行监督评价，包括风险管理职能部门在内的各有关部门和业务单位，并出具专项监督评价审计报告;⑤出具年度风险管理监督评价报告，并向董事会（或风险管理委员会、审计委员会）报告。在“风险管理考核机制”方面，得分为3.4286，12户区直企业（占比57.14）将各层级员工风险管理实施情况纳入其绩效考核体系中。

（4）过半数企业问责整改机制不健全。结合问卷统计，在“风险管理改进”方面，得分为2.9048，暂处于可重复級。根据问卷数据显示，10户企业（占比47.62%）在集团内部建立了相对标准化的问责整改机制，能通过标准化的规范流程进行问责和整改，在风险尚未发生或者初始阶段及时纠正错误和偏离;同时尚有过半数的企业已设置问责整改机制但不够健全，还有较大的改进优化空间。关于“评估和修正”层面各指标得分情况详见表8。

3.6 风险管理相关信息系统处于建设初期，信息沟通渠道多样化尚显不足

（1）四成企业信息系统未能覆盖关键流程。结合问卷统计分析，在“信息技术应用”方面，得分为2.2857，处于可重复级。目前，9户区直企业（占比42.86%）在集团内部管理中启用了个别信息系统，例如财务系统、业务系统，但暂时仅是发挥系统的记录和查询功能，未能覆盖关键控制流程，甚至存在个别企业尚未启用信息系统，无法满足风险管控要求，不能为公司进行重大决策提供帮助。

（2）近五成区直企业信息沟通渠道不丰富。结合问卷统计分析，在“信息沟通”方面，得分为2.5714，处于可重复级。一般而言，完善的风险信息沟通与报告机制要求企业的风险管理信息传递工作至少做到以下四个方面：①通过定期会议，如年度、季度、月度等工作会议或经营会议，以汇报的形式沟通风险信息;②定期召开专门的风险管理会议，就风险信息进行专项沟通与汇报;③通过定期工作报告、经营报告、资金分析报告等，以书面报告的形式沟通风险信息;④已建立风险事件应急机制，制定了相关制度，明确沟通与报告流程、层级责任。根据问卷数据显示，存在10户区直企业（占比47.62%）在信息沟通工作中仅能做到了上述间的1至2点。关于“信息、沟通与报告”层面各指标得分情况详见表9。

4 结论

4.1 提高整体认识，风险管理工作常抓不懈

当前，国内外环境复杂多变，国有企业改革也正在进行时，2018年区内6家区直企业战略性重组成为3家，这种情况下也对企业风险管理工作提出了更高的要求。习近平总书记的强调“各个风险往往不是孤立出现的，很可能是相互交织并形成一个风险综合体”、“力争把风险化解在源头，不让小风险演化为综合风险，不让局部风险演化为区域性或者系统性风险”，在未来过程中，区内企业也应深化认识，风险管理工作更应常抓不懈。

4.2 加强组织领导，治理架构可更优化

完善国有企业法人治理结构是全面推进依法治企、推进国治理能力现代化的内在要求。现阶段，区直企业虽已基本建立了较为完善的法人治理机制，但按照《国务院办公厅关于进一步完善国有企业治理结构的指导意见》（国办发[2017]36号）要求：“国有独资、全资公司全面建立外部董事占多数的董事会，国有控股企业实行外部董事派出制度，完成外派监事会改革”，区直企业治理机构还可持续优化，鼓励企业引入外部董事，更大程度上为重大事项的科学决策提供保障，降低风险发生的可能性。

4.3 理清管理界面，风控体系须成闭环

区直企业在风险防控上还需要下大力气，应系统梳理内部管理中的风险点，在此基础上还应理清集团与子公司、部门与部门、业务与流程间的管理界面，构建风险与控制的有效映射，尽量避免风险盲区或者空白领域。同时，内部控制体系建设要继续推进，下沉至各子公司、各业务单元，避免出现内控建设“重形式、轻实质”、“重本部、轻业务”的现象。另外，区直企业内部控制体系须形成“建设-运行-评价-再建设”的闭环，即在开展有效建设后，企业内部应形成定期评价的机制，从而将风险控制在苗头。

4.4 创新管理手段，风险预警逐步推进

全面风险管理工作既要统筹兼顾，又要结合实际、突出重点、务求实效。无论是在监管层面还是企业内部，均需要深化、创新现有的管理手段，积极探索风险管理信息化建设。在日常管理过程中，可通过构建重大及重要风险预警体系，结合信息系统的手段对企业重大、重要风险进行全过程跟踪，实现风险的量化和可视化，也促使区直企业的风险管理工作实现“识别-评估-应对-监督-预警”的长效机制，同时增强信息在内部的传递以及沟通渠道的多样性，防止内部出现信息孤岛。

参考文献

[1] The Committee of Sponsoring Organizations of the Treadway Commission（COSO）.企业风险管理——整合框架[M].大连：东北财经大学出版社有限责任公司，2004.

[2]The Committee of Sponsoring Organizations of the Treadway Commission（COSO），Enterprise Risk Management Integrating with Strategy and Performance Executive Summary[EB/OL].www.coso.org，2017.

[3]卢新瑞.2018版ISO31000《风险管理指南》综述与解析[J].中国商论，2018，（20）：165-166.