基于业务流程的企业风险管理

成功的企业各行其道，而所有失败的企业都是风险管理的失败者。也许很多企业管理者会认为已经实施风险管理，但实际上大多数企业正在进行的是问题管理而非风险管理，也就是只有当风险转化为问题时才会引起企业的重视，从而进行被动的、消极的事后应对。如何根据通行的风险管理框架，结合企业实际，在真正意义上实施风险管理，是每一个企业都必须思考的问题之一。

1、风险及风险管理的定义。风险是指未来的不确定性对公司实现其经营目标的影响，一般可分为战略风险、运营风险、财务风险和灾难性风险等。

企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项，并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。根据COSO对风险管理的定义，企业风险管理直接与企业目标实现相结合，影响企业目标实现的因素就是风险管理需要解决的问题，根据目标管理理论，企业总体价值增长目标的分解必然涉及到企业所有的部门和领域。因此，企业风险管理也必须是由领导推动，全员参与，基于实际业务活动的企业全面管理活动。

2、风险管理必要性分析。任何一个在日益复杂、变化和竞争环境下不断成长和扩张的企业都面临诸多的风险，而任何一种风险处理不当，都有可能给企业带来灭顶之灾。因此，企业必须对风险管理的成本和受益做出权衡，以便实施正确的企业风险管理。对于一个快速成长的企业通常会面临以下风险：

（1）客户信用风险：企业为了扩大销售，必然采取一系列促销手段，而赊销也是经常采取的销售手段之一。如果对客户信用风险没有良好管理，应收账款很可能就变成坏账，直接影响企业现金流量。

（2）欺诈风险：随着企业规模的扩大，分支机构的增加，企业就不能仅仅依靠道德和诚信来管理企业，必须实施持续的监控，防止欺诈行为带来的财产损失。

（3）决策信息失真风险：规模越大，组织结构越复杂，信息传递的通道可能就越不畅通，信息失真的可能性就越大，而领导者决策信息失真可能会给企业带来灭顶之灾。

（4）商誉风险：企业品牌和形象对企业至关重要，越是知名企业越是这样，任何负面消息都可能给企业带来巨大损失，这样的例子在一些国际大公司身上也屡有发生。

通常企业还会面临信息安全、劳工安全、法律法规、资金安全和自然灾害等诸多领域的风险，而上述任何风险处理不当就有可能导致企业破产倒闭，因此企业必须在考虑成本效益的基础上实施基于流程的全面企业风险管理。

一、企业风险管理面临的问题

风险就是不确定性，企业处理任何业务的过程都会面临风险，因此很多企业都会认为自己已经实施风险管理，实际上目前大多数企业的风险管理还都是被动进行，是进行事后管理，而非主动防范。风险管理还很支离破碎、不系统和不全面，通常会面临以下问题：

1、风险管理缺少整合性。这种情况很普遍，企业总是有很多没有责任主体的事情，因此当某些风险应对需要各部门单位群策群力时无法有效协同，其性质近似于有计划而无全面预算管理、或者有客服而无客户管理。

2、公司级风险管理缺少明确定位。每个业务部门都在有意或无意的为实现自己的业务目标而管理和控制着影响自己业务发展的情况，但是整个公司可能缺少明晰的风险管理定位，表现在：风险管理在公司层面缺少明确定位，比如是否应该有专门的风险管理部门，该部门与业务部门之间的关系应该怎样界定等。

3、风险责任缺少界定与承担。风险管理缺少明确定位，导致风险管理责任主体难以明确界定。

4、风险管理缺少重点。风险管理本身是一套完整的科学管理体系，它包括目标设定、风险定义、风险评估、风险响应、风险规避、沟通和汇报等一系列活动，而目前我国多数企业尚在进行问题管理。因此，很难按照科学的方法分清轻重缓急，只是哪里出现问题就把资源向哪里倾斜，进行救火式的问题管理。

二、企业风险管理解决之道

任何企业都有自己的发展目标，并按照目标管理的思想分解为不同的业务目标，同时根据业务目标配置资源，因此业务目标的实现将是企业发展的动力和归宿。风险管理是一种先进的企业管理理念，其深深植根于企业日常业务管理活动之中，即风险管理必须与企业业务活动管理相结合，实施基于业务流程的企业风险管理。

1、源于COSO框架的风险管理流程。2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正式稿。企业风险管理框架分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在企业的管理过程之中。

设定目标是指确定风险管理的目标；风险评估是指根据影响程度和发生可能性，对风险进行等级评定，确定风险处理的优先级，该步骤包含风险识别、风险分析和评价风险三个活动；风险响应是指根据风险评估结果制定正确的风险处理计划，以便规避风险或将其降低到可接受程度；沟通和报告则贯彻整个风险管理过程，包括风险管理过程一切并行、向上和向下的沟通和汇报活动；监控包括风险管理组织内和外部独立部门对风险管理过程或结果进行评价和监督。

风险管理的起点是基于设定的目标，因此风险管理不是漫无边际的全部管理活动，而是以目标为导向的目标管理，它必然要完成实现企业业务目标的使命，最终要统一于企业业务管理活动。

2、基于业务流程的企业风险管理。任何一个企业的活动，都是由一系列业务活动组成，而支撑这些业务活动运作的是一个个业务流程制度，企业诸多业务活动的集合就构成企业活动的整体。因此，在业务流程再造或优化过程中考虑风险管理因素将是提升企业风险管理能力的必然选择。

（1）风险管理在业务流程中实现的必要性。风险管理是企业管理活动的有机组成部分，是实现企业发展目标，有效防范和规避风险的科学管理防范。它不是、也不可能是凌驾于企业现有管理体系上一套全新的东西，出于成本和现实的考虑，也不可能另有一整套风险管理体制在同一企业中运行，因此它必须与现有的企业管理架构实现某种程度的融合。

（2）风险管理在业务流程中实现的可能性。首先，风险管理仅仅是一种企业管理的手段和工具，风险管理的实施可以让企业管理者的决策更加科学和合理，但它绝不可能替代企业正常的业务管理活动；其次，风险管理和企业的业务流程活动有着共同的目标，即实现业务目标，风险管理是为了更好的实现业务目标而采取的科学方法体系，以便更好的处理影响业务目标实现的因素。

综上所述，解决企业风险管理存在的问题，需要在企业业务流程活动中实施风险管理方法，让企业风险管理通过业务流程活动实现。风险管理贯彻于企业业务管理活动，作为业务管理的工具和方法，为业务管理提供科学的决策依据。同时，一个企业风险管理实施的效果仍然取决于以下几点：首先，风险管理是一种文化，企业全员、尤其是管理者必须认识到风险管理的重要性，并支持实施风险管理；其次，企业业务流程之间的关系必须清晰，能够从分散的流程活动中总结出企业总体状态，并可以清晰界定责任主体；再次，风险管理理念在流程中的实施，需要有专业风险管理工具的支撑，并且是一个不断积累的过程，要实现风险管理和知识管理的共享；最后，风险管理是持续改进的过程，不存在一劳永逸的可能。