企业内部风险识别、分级及控制措施制定实操

前言：企业内部风险识别、分级及控制措施制定是企业内控在落地中面临的现实问题。企业内部风险如何分类？在风险数据库/清单中，如何具体描述风险？在风险框架内，固有风险和剩余风险关系如何处理？风险管理与内控是何种关系？在本期阅享风控沙龙“周三之夜”，群内多位有相关工作经验的同仁针对企业内部风险识别、分级及控制措施制定实操这一主题进行了深入热烈的讨论。

企业内部风险如何识别及分类？

首先从影响的资金数额分，其次从对市场影响和公司形象角度区分。战略风险、财务风险、市场风险、运营风险、法律风险是一个常见的分类框架。金融企业还有流动性风险和信用风险。不同的风险责任部门不同，治理层应该先确认风险偏好和容忍度。如果是集团公司建议先要有顶层设计，确定分析框架（模型），再分类别后建立组织机构，分系统分层级明确各主体的职责，工作内容，工作程序，制度化后，再体系化的开展工作。

风险识别的起点是目标设定，如设定证券投资最大止损点、坏账损失率、设备完好率、存货周转率等，定性与定量相结合。分析内部与外部风险、可控与不可控。

“从风险识别的专业度维度看：专业技术性强的企业外部检查风险其实小，堡垒往往从内部攻破。专业技术强的，外部检查只能用同领域专家，但是那是学院派的，到现场可以被忽悠傻了。目前国内流程植入IT的前三行业，互联网，金融，通信，数据是GB级，不在内部实操，只以理论研究，把硅谷的请来都没用，黑客能攻破防火墙，但陷入数据大海提炼出的东西有可能令人捧腹。”

是否有企业围绕风险开展具体管理工作的实操案例？

国企表示：有内控手册，也有风险库和风险扫描。风险分十二类四级，类别具体有收入、成本、资金、采购、工程、法律、战略等等，基本上企业方方面面都有，很全还时时更新。风险库会直接指明主责单位和用于取证的IT系统，集团级大数据审计平台再建模，形式上已经很强，只差高层基调真正转变。但无论风险库如何完备，当领导重视的是目标管理的结果，急于完成国家预算时，那些不合理的KPI指标是最大风险产生的因素。

风险偏好和风险容忍度这一点在银监监管的企业必须有，一般基于行业平均水平和历史数据制定。标准由CRO起草，企业实际控制人审批。成果输出为坏账率、拨备覆盖率、流动比率等，但没有对重大损失和一般损失的界定。如果企业实际运营数据接近可容忍的风险值，会启动预警机制；若超过可容忍值，会处罚相关责任人。

风险偏好和容忍度和企业经验也有关，吃过的亏、走过的路，哪些搞定了，哪些没搞定来判断风险的严重程度。

在风险数据库/清单中，如何描述具体风险？

一个常见的描述方式为：可能出现××情况，可能导致××后果。比如成本类一级风险之一虚列成本，二级描述××成本因××表现虚假，导致××问题，三级描述××导致××成本表现……可能出现××情况的概率是××，可能导致××后果的最损失是××。风险识别的质量，对于后续的实际应用，还是有很大影响的。风险写得太具体，影响适用范围；风险写得太抽象，影响控制措施的制定。

在风险框架内，固有风险和剩余风险关系如何处理？

技术难点：‘固有风险’如何真正做到忽略所有控制措施？‘剩余风险’如何合理量化已有控制措施的效果？一般风险库对应企业内控手册或某些法律法规的原则，也就是正常情况下内控剩下的风险，要么是能接受的，要么是得提交法律部门处理的。

风险管理与内控的关系？

内控是风险管理中很重要的一部分。大多数风险都能对应到内控执行不力，还有串通舞弊。比如串通可表现出两个以上违反内控点，他们不承认串通，但奇妙的一起犯错。

• 内控是风险管理的工具之一，针对执行风险。
• 内控是风险管理策略里面的控制、转移、对冲等等。
• 风险管理是战略的，内控基于执行，两者服务对象有差异。

企业的一个大风险，是不能达成企业目标的风险。也就是说，做风险管理，内控可能是一部分，但不是全部，甚至不是最重要的一部分。做风险管理，要看全局，做跟进做追踪。内控降低风险发生的概率，或者降低发生风险后的后果，并为之付出一定的成本。至于生死，是后果的一个度量标准。不注意消防，一把火把企业烧死的也不鲜见。错误地使用内控工具本身就是风险，比如财务把很有能力的业务人员给‘气’走了。

内控本身是风险导向的，但风险是不是靠内控可以解决，确实很难讲。比如特朗普发飙，单独企业内控估计没啥用。内控肯定是风险导向的，但风险不能只寄希望于内控。看企业规模，有时内控未必是最具性价比的方案。一般来说，风险管理所指的风险和内控所指的风险完全不是一个等级的。如果企业同时做风险管理+内控，风险点是对应不上控制点的，只有映射关系，不排除部分执行。

COSO和ERM框架和IC框架，我分别看了很多遍。相对于IC框架，ERM框架增补内容就是今晚我们讨论的内容，即聚焦于风险本身的讨论，而不是把风险当成一个既定的前提。ERM强调‘会发生什么，会有什么影响，我们应该有什么态度’，IC强调‘针对这些风险，我们应该采取哪些具体措施’，本质上根本不矛盾。划分风管和内控不必太认真，搞不好一个部门两块牌子，写材料的都一个人。难的是识别风险后，决策层在战略上选择错误。

企业面临的风险如何分级？

有的以影响财务报表××金额以上分级，违法的都是一级。管理本身就不是个数学推理的科学，就相当于风险管理的预警的阈值，是靠常年的数据积累结合实际情况优化调整的。

风控的角色应该如何定位？

风控不要把自己放在监管的角色，而是战略的角色，哪怕运营的角色也好。

本文来自公众号：阅洲内控与风险管理。