1.1 “以古鑒今”話風險

風險管理作為專有概念在我國提出較晚，但縱觀我國歷史，風險意識和智慧無處不在。

“居安思危，思則有備，有備無患”出于《左傳·襄公·襄公十一年》，意思是：處于安全環境時要考慮到可能出現的危險，考慮到危險就會有所準備，事先有了準備就可以避免禍患。這是較具代表性的風險意識。

“平則慮險，安則慮危”出自《荀子·仲尼》，強調：處在平安的境遇中，應該想到動蕩和困難的情境，要想到可能發生的危機、危險，以便提高警惕，防患于未然。

“有不盡者，亦宜防微杜漸，而禁于未然”出自《元史·張楨傳》，意思是：當錯誤的思想和行為剛有苗頭或征兆時，就加以預防與制止，堅決不讓它繼續發展。這同樣也是強調，當危害或風險剛出現時，就應予以消滅，將其扼殺于萌芽狀態。

東漢時期政論家、史學家荀悅在《申鑒·雜言》中提到：“進忠有三術：一曰防；二曰救；三曰戒。先其未然謂之防，發而止之謂之救，行而責之謂之戒。防為上，救次之，戒為下”。 此話原意如下。盡忠心來勸諫君王，有三種方法、三種情況：第一種是預防，在事情還沒有發生，就懂得制止，把這件事情化解，也就是上面說的“禁于未然”；“二曰救”，就是事情剛發生趕緊補救，亡羊補牢，猶未為晚；“三曰戒”，這“戒”就是指已經造成錯誤了，引以為戒，作為警示教育。“先其未然謂之防”，防患于未然，這叫“防”；“發而止之謂之救”，事情發生了趕緊終止，這是“救”；“行而責之謂之戒”，事情已經發生，以這個事情來批評、提醒，這是“戒”。“防”是上策，“救”是中策，“戒”是下策，不要等事情發生了，再來提醒，那就悔之晚矣。我國歷史悠久，古人的智慧博大精深，每天讀一讀，看一看，就會發現，即使是當下發生的一些大事故、出現的各類危機，通過歷史故事、格言等都能找到相應的解決問題的辦法。

企業也需對風險有著高度的敏感性和深刻的認識。2006年6月，國務院國資委印發的《指引》，要求中央企業根據自身實際情況開展全面風險管理工作，同時拉開了國有企業風險管理的大幕。以2008年為轉折點，因美國次貸危機引發的全球性金融危機，國內外宏觀經濟環境發生了復雜而深刻的變化，企業面臨的不確定因素驟然增加，很多原本隱性的風險轉變為現實的危機；還有勞動力等要素成本持續上升，傳統比較優勢逐漸缺失等嚴峻挑戰，企業各種結構性、深層次的矛盾集中顯現，這使得全面風險管理提升工作顯得尤為迫切。2020年受新冠肺炎疫情的影響，雖然全球經濟迅速萎縮，但我國率先穩住疫情、率先復工復產、率先實現經濟增長由負轉正，成為全球唯一實現經濟正增長的主要經濟體。中央企業作為這個經濟體中的“壓艙石”，效益同比不降反增，應該說得益于14年前全面風險管理實施的布局，得益于持之以恒地推進全面風險管理，管理部門對風險管理的提前謀劃、推進、落實，不可謂不高瞻遠矚、未雨綢繆。

中國總會計師協會在2019年發布的《中國總會計師（CFO）能力框架》明確提出，“價值創造、管理風險是總會計師履職的最終目標。總會計師履職應具備的道德遵從能力、專業能力、組織能力、商業能力，都是為價值創造、管理風險目標服務的”。現在很多企業的財務負責人崗位職責中毫無例外都會有一條：強化財務風險管理，防范經營風險。工作期間，無論是做所出資企業財務機構負責人還是財務負責人，抓好財務風險管理工作是工作的一個重要內容或方面。其實不光財務負責人，還有其他專業負責人，甚至每一名員工，都可以用“價值創造、管理風險”來衡量和要求自己。

1.1.1 曲突徙薪

《漢書·霍光傳》記載：有一個造訪主人的客人，看到主人的爐灶的煙囪是直的，旁邊還堆積著柴草，便建議主人，把灶上的煙囪改裝得彎曲些，把柴草搬遠一點，不然會有發生火災的憂患。但主人不悅也不理睬。不久，主人家里果然失火，鄰居一同來救火，幸好把火撲滅了。于是，主人擺設酒席來感謝他的鄰居。被火燒傷的人在上位，其他人各自以功勞的大小依次坐，但是沒有請建議曲突徙薪的人。有人對主人說：“當初如果聽了那位客人的話，也不會有火災的憂患，也不用破費擺設酒席。現在評論功勞，邀請賓客，為什么建議曲突徙薪的人沒有受到恩惠，而被燒傷的人卻被奉為上賓呢？”主人這才醒悟去邀請那位客人。曲突徙薪插圖如圖1-2所示。

圖1-2 曲突徙薪插圖

疫情時期，“吹哨人”這個詞讓人記憶猶新。建議“曲突徙薪”的人就是類似“吹哨人”的人。吹哨人沒有被感謝，而被燒傷的人為上客，其實說不過去。但我認為“曲突徙薪”和“焦頭爛額”這兩人都應該為上客。前面講到的荀悅說的，進忠三術中的防、救，這個故事正好都符合。故事主要的啟示是：不注意小的隱患，就會發生大的事故，最后導致災難。如今幾乎所有的災難，都重復著“曲突徙薪”的情節。因此我們應該未雨綢繆，事先采取措施，防止危險發生，對可能發生的事故應防患于未然，消除可能產生事故的因素。

1.1.2 扁鵲三兄弟與“治未病”

據《鹖冠子·世賢第十六》記載，魏文侯向扁鵲請教，詢問他家兄弟三人中誰的醫術水平最高。扁鵲如實回答，在他兄弟三人中，大哥的醫術最好，二哥的醫術稍差點，他的醫術最差。魏文侯兩眼發蒙，疑惑不解：“你說自己的醫術水平最差，為啥你的醫術名聲最大呢，怎么解釋？”

扁鵲回答道：“我大哥治病，一般在病情尚未發作就通過醫術鏟除病根，其醫術高超外人不知道，只有家人知道，所以沒有名氣。我二哥治病，是在疾病初起，癥狀表淺時施治，雖藥到病除，但鄉里人認為他只是會治小病的赤腳醫生，故名聲不大。而我治病，都是在病人病情危重、痛苦萬分之時予以施治，應用針灸、藥物，甚至動用手術，使病人轉危為安，逐漸痊愈，大家都認為我的醫術神奇，所以能名聞天下。”

扁鵲借用兄弟三人的對比，把這個深奧的問題講明白了。“治未病”是中醫的健康觀點，需要多年的實踐經驗總結來發現問題。就好比一個經驗豐富的汽車司機，聽發動機的響聲，就能聽出汽車的故障一樣，扁鵲的大哥就是通過“望聞問切”來發現病根，并有效地去除病根的。這個故事的主要啟示：未病先防，這才是最高明的醫術，就好比“上兵伐謀，不戰而屈人之兵”，這是戰爭的最高境界。風險管理也是如此，是等風險事件發生了再完美地處理，還是提前防范將風險“扼殺在萌芽狀態”，不言而喻，顯然后者更好。

1.1.3 蔡桓公之死

據《韓非子·喻老》記載，有一次，扁鵲因事路過齊國，去拜見蔡桓公。交談中他發現蔡桓公的神色不正，就說：“您患病了，好在現在病在膚肌，如不及時治療，病情就會加重。”蔡桓公不以為然地說：“我沒有病。”扁鵲見蔡桓公不信，只好告辭。他剛走出宮門，蔡桓公就對左右的人嘲笑說：“這個醫生是個好名利的人，想通過治沒有病的人的病，來顯示自己的醫術高明。”

過了十天，扁鵲又碰見蔡桓公，看了看蔡桓公的臉色，便嚴肅地說：“您的病已經進到血脈，再不治病情就要惡化了!”蔡桓公聽了很不高興，扁鵲只好悻悻而退。又過了十天，扁鵲特地去探望蔡桓公，他看蔡桓公的臉色十分難看，就大驚失色地說：“不好!您的病已經進到腸胃了，再不治療就會有生命危險!”蔡桓公一聽此話，頓時翻了臉，拂袖而去。又過了十天，扁鵲見到蔡桓公，遠遠一望，轉身就走。蔡桓公感到很奇怪，連忙派人前去追問。扁鵲搖搖頭對來人說：“病在皮膚里，用熱敷可治；病在肌肉里，針灸可以去病；病在腸胃里，還可以用清火的藥劑搶救；病入骨髓，那是注定要死，無可挽救了。蔡桓公屢次拒絕醫治，已病入骨髓，我也無能為力！”

蔡桓公聽了回話，似信非信。五天以后，他突然遍體疼痛，疾病驟發，這才慌了手腳，急忙派人去請扁鵲。哪知扁鵲早已料到蔡桓公不可救藥，又怕加害于己，便躲到秦國去了。不久蔡桓公不治而死。 蔡桓公之死插圖如圖1-3所示。

圖1-3 蔡桓公之死插圖

扁鵲從提醒蔡桓公，到其死亡，也就不到一個月。蔡桓公之死有以下原因。一是對專業人士的勸誡，絲毫不引起重視；二是面對自己的健康，沒有任何防范風險的意識。對扁鵲的風險提示，不以為然，甚至譏諷。這是個反面例子，這個故事在現在的社會很有代表性，給企業的主要啟示是：企業的管理者要善于聽取不同的意見，要有風險意識，沒看到、沒體會到、沒感知到，并不代表風險不存在或不會發生，沒有風險意識是大多數人或企業的問題，應引以為戒。

1.1.4 古人風險智慧和風險的概念

“曲突徙薪”“扁鵲三兄弟與‘治未病’”“蔡桓公之死”三個故事，各具有代表性。第一個故事是一個失敗的風險故事，未做好“頂層”設計，沒把煙囪改彎，使柴草遠離煙囪，導致失敗，這類似企業的“戰略風險”，戰略風險出了問題，企業出現重大風險是必然的；第二個故事說的是未病先防的醫術是最高明的，用風險的語言說就是，扁鵲的大哥按照風險管理流程，提前收集風險管理初始信息，做出判斷和警示，依靠專業能力予以化解，所以醫術最高；第三個故事可以理解為蔡桓公沒有做好或重視風險信息的收集，沒有做好風險應對策略，等問題暴露出來，再想應對、補救，為之晚矣。

這三個故事都跟風險管理有關，那什么是企業風險呢？

2006年6月國務院國資委印發《指引》，它是我國第一個較為完整的風險管理框架，標志著我國風險管理理論和實踐進入了一個新的階段，意義重大。《指引》有別于COSO《全面風險管理——整合框架》，是根據《中華人民共和國公司法》《企業國有資產監督管理暫行條例》等法律法規而制定的，制定的目的是增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展。

《指引》中風險的定義是指未來的不確定性對企業實現其經營目標的影響。解讀這個定義，有兩個關鍵點需要注意。

1.風險是關于“未來的不確定性”。過去和現在屬于已發生和正在發生的領域，沒有風險，但將來的事情對所有人都可能存在不確定性，這就是風險。為了準確度量和管理風險，風險總是定義在未來的某一個時間段內的。比如，買房的人都知道，現房價格一般比期房價格高，除了一部分資金時間價值外，還有一部分是購買現房時，開發商已為購房者購房承擔的風險買單，如房屋質量風險，能否正常交付的風險等；交強險和機動車商業保險一般一年一買，保險合同總是在一年內有效的，保險費就是未來一年風險的機會成本。

2.風險與企業經營目標緊密相關。目標不一樣，風險也不一樣。一般來說，企業目標定得越高，風險越大；目標定得越低，風險越小。我們常說高風險高收益，就是這個道理。萬達集團董事長實現1億元的小目標和我們實現1億元的目標的風險的大小肯定不一樣。

風險對實現企業的經營目標有好處，也可能有壞處。所謂好壞或正負面都是相對結果的判斷而言的，風險本身無所謂好壞。把風險看作純粹負面的東西，有利于專注防范風險帶來的負面效應，但同時有可能忽略風險中蘊藏的機會。因此，企業對風險正負面影響的考慮應該結合在一起，這和“沒有風險就沒有回報，高回報蘊含著高風險”的觀點是一致的，收益是對承擔風險的補償。

1.1.5 企業風險是怎么分類的

《指引》中把風險分為戰略風險、財務風險、市場風險、運營風險和法律風險。風險的分類標準不是絕對的，企業可根據其經營目標和自身業務的特點進行分類。

戰略風險是指不確定因素對企業實現戰略發展目標和實施發展規劃的影響。為減少這些影響，企業要結合市場情況保持企業的核心競爭優勢，選擇合適的產品組合，抓住發展機會，規避市場損失等方面的風險因素。

財務風險包括利率和匯率的變動、原材料或產品價格波動、信用政策等不確定因素對企業現金流的影響，以及企業在理財方面的行為對企業財務目標的影響。

市場風險是指未來市場價格（利率、匯率、股票價格和商品價格）的不確定性對企業實現其既定目標的影響。市場風險可以分為利率風險、匯率風險、股票價格風險和商品價格風險，這些市場因素可能直接對企業產生影響，也可能通過其競爭者、供應商或者消費者間接對企業產生影響。

運營風險指供應鏈的管理、運營資源的調配、關鍵人員的流動、法律規定、監督檢查等涉及企業運營方面的不確定性因素對企業運營目標方面的影響。

法律風險是指不同國家或地區法律法規環境的差異性、具體法律法規的新制定和變更給企業帶來的影響。

企業風險分類詳見表1-1。

表1-1 企業風險分類

企業所面對的風險不是只有一類， 不是非黑即白、非此即彼的，經常是兼而有之的，“你中有我，我中有你”。在實際運用中，各個企業可以根據實際情況，在上述大類的基礎上，再進行細分，細分沒有絕對的標準，但基于一個原則——便于識別風險和評估風險。

案例

某鋼鐵集團公司在做風險分類時[2]，專門設計了風險辨識分析調查表，圍繞8個標桿部門21項核心業務管理流程開展風險辨識，共辨識具體風險表現236條，匯總定義了5類47項風險，形成了初始風險分類標準框架，詳見表1-2。

表1-2 某鋼鐵集團公司風險分類

國務院國資委發布的《2018年度中央企業全面風險管理匯總分析報告》披露，2018年各中央企業主要面臨健康安全環保風險、投資風險、現金流風險、國際化經營風險、競爭風險、政策風險、業務轉型風險、人力資源風險、質量風險、戰略管理風險和法律糾紛風險（并列第十）等十大風險。

2020年新冠疫情的影響和國際經濟形勢的變化，給我國經濟發展帶來較大的沖擊。根據迪博企業風險管理技術有限公司以2019年度滬深交易所上市公司為樣本，通過對上市公司披露的年度報告中的風險信息進行整理分析來看，剔除金融工具相關的風險因素，通過對上市公司披露的風險因素進行歸類分析發現，上市公司共披露了戰略、市場、運營、財務、法律5大類60小類19 000多條風險信息。按照60類風險在上市公司出現的頻次進行統計發現，2020年我國企業面臨的主要風險分別是重大突發事件風險、市場競爭風險、投資風險、政策風險、科技創新風險、采購與供應鏈管理風險、國際化經營風險、人力資源風險、宏觀經濟風險、安全環保風險。

按照風險種類的排序（見圖1-4）列示，十大風險中重大突發事件風險、市場競爭風險、政策風險、科技創新風險、采購與供應鏈管理風險重要性同比上升，投資風險、人力資源風險重要性不變，宏觀經濟風險、安全環保風險重要性同比下降。

圖1-4 2020年我國企業主要風險排序

圖片來源：迪博企業風險管理技術有限公司

1.1.6 企業風險管理主要做什么

根據《指引》，全面風險管理是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

這個定義中，包含著風險管理需要做的幾項工作。

第一是制定風險管理的總體目標。全面風險管理總體目標詳見表1-3。

表1-3 全面風險管理總體目標

企業經營目標不一樣，風險管理的目標也不一樣。比如開灤（集團）有限責任公司煤業分公司，因為主要負責各礦業公司生產經營管理，它的全面風險管理的具體目標：一是企業風險控制度達到與總體目標相適應，并在可以承受的范圍之內；二是實現公司內外，各層面之間全面、真實、及時的信息溝通和反饋；三是保證煤業分公司所屬各礦業公司、各業務部門對國家有關法律、法規及集團公司有關規章制度的貫徹執行；四是確保為實現煤業分公司戰略目標以及細分的經營目標而采取重大措施的貫徹執行，保障經營管理的有效性，提升經營活動的效率和效果，降低實現經營目標的不確定性；五是制定完備的各項重大風險發生后的危機處理計劃，保護煤業分公司不因災害性風險或人為失誤而遭受重大損失。

第二是在企業管理的各個環節和經營過程中執行風險管理的基本流程。《指引》所稱風險管理基本流程包括以下主要工作：

1.收集風險管理初始信息；

2.進行風險評估；

3.制定風險管理策略；

4.提出和實施風險管理解決方案；

5.風險管理的監督與改進。

以上是實施全面風險的主要流程。

第三是培育良好的風險管理文化。根據《指引》，培育良好的風險管理文化主要需要做到以下幾點。

1.企業應注重建立具有風險意識的企業文化，促進企業風險管理水平、員工風險管理素質的提升，保障企業風險管理目標的實現。

2.風險管理文化建設應融入企業文化建設全過程。大力培育和塑造良好的風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉化為員工的共同認識和自覺行動，促進企業建立系統、規范、高效的風險管理機制。

3.企業應在內部各個層面營造風險管理文化氛圍。董事會應高度重視風險管理文化的培育，總經理負責培育風險管理文化的日常工作。董事和高級管理人員應在培育風險管理文化中起表率作用。重要管理及業務流程和風險控制點的管理人員和業務操作人員應成為培育風險管理文化的骨干。

4.企業應大力加強員工法律素質教育，制定員工道德誠信準則，形成人人講道德誠信、合法合規經營的風險管理文化。對于不遵守國家法律法規和企業規章制度、弄虛作假、徇私舞弊等違法及違反道德誠信準則的行為，企業應嚴肅查處。

5.企業全體員工尤其是各級管理人員和業務操作人員應通過多種形式，努力傳播企業風險管理文化，牢固樹立風險無處不在、風險無時不在、嚴格防控純粹風險、審慎處置機會風險、崗位風險管理責任重大等意識和理念。

6.風險管理文化建設應與薪酬制度和人事制度相結合，這有利于增強各級管理人員特別是高級管理人員的風險意識，防止盲目擴張、片面追求業績、忽視風險等行為的發生。

7.企業應建立重要管理及業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度。采取多種途徑和形式，加強對風險管理理念、知識、流程、管控核心內容的培訓，培養風險管理人才，培育風險管理文化。

第四是建立健全全面風險管理體系。全面風險管理體系包括風險管理策略、風險管理組織職能體系、內部控制系統、風險理財措施和風險管理信息系統五個模塊。

風險管理策略是企業風險管理活動的指導方針和行動綱領，是針對企業面臨的主要風險設計的一整套風險處理方案。

風險管理組織職能體系是風險管理的具體實施者，通過合理的組織結構設計和職能安排，可以有效管理和控制企業風險。

內部控制系統作為全面管理體系的一部分，通過針對企業的各個主要業務流程設計和實施一系列政策、制度、規章和措施，對影響業務流程目標實現的各種風險進行管理和控制。

風險理財措施是指企業運用金融手段來管理、轉移風險的一整套措施、政策和方法。

風險管理信息系統是傳輸企業風險和風險管理狀況的信息系統，其包括企業信息和運營數據的存儲、分析、模型、傳送及內部報告和外部披露系統。

目前世界上最先進的體系化風險防范機制是在企業建立的全面風險管理體系，全面風險管理代表著風險管理的最前沿的理論和最佳實務。

1.1.7 風險管理“三重”要先行

《指引》要求， 企業應本著從實際出發、務求實效的原則，以對重大風險、重大事件（指重大風險發生后的事實）的管理和重要流程的內部控制為重點，積極開展全面風險管理工作。其實這條要求隱藏的含義是，在企業全面風險管理體系還不健全前，風險管理也要提前開展，以“重大風險”“重大事件”“重要流程”這“三重”為抓手，先行推進。1992年COSO頒布《內部控制——整合框架》，國外的風險管理基本從這個框架演進而來，因此國外風險管理體系還是比較超前的、相對比較完善的。我國內控制度起步晚，企業推行風險管理需要一個過程，即使企業沒有相關內控制度或相關內控制度不健全，也可以先行推進風險管理，以上述提到的“三重”為重點、切入點。

案例

某化工集團有限公司是一家全球性、國際性的大型企業，結合企業業務特點，在重大風險控制上以利匯率風險、流動性風險和工程建設風險三個方面為切入點，落實責任主體，明確應對策略，細化管控措施，其中也有一些重大風險的管控方法充分體現了集團特色。

在利匯率風險管理方面，嘗試引入VaR（風險價值模型）等量化工具分析、評估集團利、匯率風險敞口，代替以往僅靠盯市操作的模式；在業務方面，對于特定業務板塊資金運作帶來的利、匯率風險，考慮到產品操作風險過大，轉為通過“風險敞口核定，輔之NDF（無本金交割遠期外匯交易）操作”的模式，運用多種手段跟蹤、分析、評估資金運作風險，在風險可控的前提下，支持業務正常運轉；在操作平臺管理方面，保持和現有境外衍生品操作平臺管理人員的聯系，溝通產品操作和平臺管理經驗。

在流動性風險管理方面，公司發布流動性風險管理辦法，從制度層面加大對流動性風險管理力度的同時，積極探索量化指標監控手段，初步建立了涵蓋六大主要流動性風險指標的監控體系，通過每月測算人民幣資金池余額、海外資金池余額、股份公司現金比率、流動比率、速動比率及現金與總資產之比這六個流動性風險指標，掌控境內外資金池流動性狀況。該指標體系的建立提高了流動性風險的可視性和可控性，實現了流動性風險管理手段從定性分析逐步向定量分析轉化。

在工程建設風險管理方面，公司總結特定行業建設經驗，結合建設需要，組織編制了倉儲、化工項目工程建設風險管理手冊，其中《風險管理手冊》以國際先進的項目管理體系（PMBOK）及項目風險管理國際標準（ISO31000）為基礎，以工程建設風險管理辦法為依據，圍繞工程建設質量、進度、造價和HSE等目標，對工程建設項目全周期（從政府審批到勘察設計，從采購施工到試運行以及竣工驗收，最終到項目后評價）進行風險事件的識別、評估、監控及建議性風險應對措施制訂等風險管理活動進行了具體描述和指導，從而幫助項目團隊有效管控項目風險，確保工程建設實現總體目標。

1.1.8 風險管理三道“防火墻”

《指引》要求，企業開展全面風險管理工作應與其他管理工作緊密結合，把風險管理的各項要求融入企業管理和業務流程中。具備條件的企業可建立風險管理三道防線：各有關職能部門和業務單位為第一道防線；風險管理職能部門和董事會下設的風險管理委員會為第二道防線；內部審計部門和董事會下設的審計委員會為第三道防線。三道防線可稱為三道“防火墻”。

原國務院國資委副主任邵寧在有關講話中，對這三道防線有這樣的解讀：首先，即使有了風險管理部門，業務管理部門也是防范風險的主體，風險管理部門不會比業務管理部門更清楚風險點在哪里；其次，即使沒有風險管理部門，業務管理部門也有防范風險的本能，但是僅靠業務管理部門防范風險是不夠的，因為很多業務管理部門和一線單位的風險防范措施往往是偏具體業務性的，不系統、不完整、不規范，也不標準，風險管理部門必須要對業務管理部門的風險管理進行系統性、完整性、規范性的指導和監督；最后，風險管理是否有效，第一道、第二道防線是否發揮了應有的作用，是否存在重大問題沒有反映出來，需要獨立第三方——審計部門進行評價。中國五礦集團將集團總部與各經營單位分別定位為“風險管理”和“管理風險”的部門，清晰劃分了兩個層面的風險管理職能，并充分發揮審計的第三道防線功能，從而使得風險管理體系有效運轉，這一做法值得大家學習。寶鋼將業務管理和風險管理職能關系比喻成木桶理論中“板”和“箍”的關系，形象、清晰地表達了風險管理職能定位。

案例

某集團公司關于三道“防火墻”的做法比較有特點，從強化三道防線職能角度，來建立健全全面風險管理體系，實現了速度、效益與風險的內在平衡。

一是建設五大核心業務架構，強化第一道防線職能。公司以集約化、扁平化、專業化為方向，按照效率優先、目標導向、實事求是、安全穩定的原則，強化全業務流程管控和關鍵風險集中監控，建立“大規劃、大建設、大運行、大生產和大營銷”五大體系，變革組織架構，壓縮管理層級，縮短業務鏈條，實現公司管理由條塊分割向協同統一、分散粗放向集中精益方式的根本性轉變，全面提升公司運營效率和風險防控能力。重點是以標準化為基礎、信息化為支撐，建立包含各專業、貫穿各層級、覆蓋各級電網的大規劃體系；建立總部、省公司、地（市）縣公司科學分工、分層承擔電網建設任務的大建設體系；建立輸變電設備運行集中監控與電網調度高度融合的大運行體系；建立檢修專業化和運維一體化、按電壓等級運維檢修電網設備的大檢修體系；建立市場營銷、客戶服務和計量檢定配送省級集約、24小時面向客戶的大營銷體系。

二是健全風險管理工作體系，強化第二道防線職能。健全組織架構。公司成立全面風險管理委員會，公司黨組書記、總經理擔任委員會主任。公司所屬53家單位均相應成立了組織機構。完善管理制度：公司先后研究制定了《關于開展全面風險管理工作的指導意見》《全面風險管理與內部控制工作方案》《公司全面風險管理與內部控制工作管理辦法（試行）》。建立報告機制：建立了覆蓋全公司的全面風險報告體系，組織公司總部各部門、各單位開展風險編制與評估工作，全面完成各年度全面風險管理報告編報工作。建設信息系統：2010年，公司啟動了風險管理信息系統建設工作，利用SAP-GRC成熟技術并結合公司管理實際開發建設專業化的風險管理信息平臺，提高了公司風險管理工作效率。試點開展評價：公司深入開展全面風險管理評價體系研究，明確風險管理組織、內部控制、風險管理文化等10類考評對象，設置131項評價指標及評分標準，構建了公司全面風險管理評價體系，并組織青海、天津公司進行試點測評。

三是建立協同監督工作機制，強化第三道防線職能。公司堅持標本兼治、綜合治理、懲防并舉、注重預防的方針，統一協調整合審計、監察、財務、法律等內部監督力量，構建了協調配合、信息互通、形成合力、監督到位的協同監督機制，將風險管理與內部控制納入經濟責任審計、專項審計、財務稽核、黨風廉政建設責任制檢查重要內容，對各部門、單位執行風險管理與內部控制情況進行檢查評價，分析挖掘內部控制設計缺陷、執行薄弱環節以及外在顯現的風險因素和隱含潛在的風險因子；對跨部門的風險管理與內部控制管理策略、解決方案進行評價，對內部控制管理職責分工的合理性、管理流程的完備性、風險信息溝通的效率和效果等內容進行評估分析，及時改進、完善風險管理與控制方案和措施。