京航联监理公司内部风险管理体系的构建

　　第 4 章 京航联监理公司内部风险管理体系的构建

　　4.1 京航联监理公司的风险表现及分析

　　4.1.1 风险分类

　　京航联公司面临的风险是多种多样的，总结起来主要有以下几个方面（见表4‐1）：
　　
　　4.1.2 风险特点

　　京航联公司的风险因与业主的关联关系及航天专项工程特点而具有其特殊性，与工程项目其他参与主体的风险有很大联系，但是也有区别。风险特点主要有以下几点（见表 4‐2）：【1】

　　
　　4.2 京航联监理公司内部风险管理体系构建过程

　　4.2.1 公司风险管理组织架构

　　公司进行内部风险管理首要任务是建立风险管理组织机构。京航联公司根据自身的实际情况和风险管理要求，建立符合自身特点的风险管理组织机构。

　　（1）内部风险管理组织架构内部风险管理组织架构是由风险管理委员会、风险管理部和相关支持部门组成的。（见图 4‐1）风险管理委员会是公司风险理念和风险战略决策掌控部门，直接对董事会负责，下设风险管理部门对风险进行集中管理。其主要职责是审批公司风险管理工作的提议和具体实施方案，审议公司重大风险、确定重大风险应对策略以及重大风险管理部门，审批重大风险管理应对方案，审定风险管理工作评价报告，审定风险管理绩效考核方案和年度绩效考核评定结果等。

　　风险管理部是公司风险管理的职能部门，也是风险管理委员会与各业务部门的连接纽带。其主要职责是，根据公司风险管理的要求和业务需要，开展风险管理活动；督促风险管理方案的实施，并对方案的执行情况和风险管理效果进行定期的检查评价；制定和实施风险管理绩效考核方案；指导相关重大风险管理制度和流程的建立和健全；负责风险管理委员会会议精神的下发和决议事项的督促落实；负责指导和监督各业务部门开展风险管理活动，就存在的风险问题及时与业务部门联系与沟通；定期检查公司风险管理情况，并及时向风险管理委员会进行汇报；适时推进公司风险管理体系的改进工作。

　　业务部门风险管理小组是各业务部门内部设立的风险管理职能机构，是风险管理具体工作的执行机构。其主要职责主要有，测量和监督本部门存在的风险，及时发现风险隐患，并及时向风险管理部门反映；针对部门内部存在的风险开展风险管理活动，如果需要其他部门的协助，要经过风险管理部门向风险管理委员会提出建议和实施方案；研究提出针对本部门负主导管理责任的重大风险管理应对方案，对方案的实施情况和风险变化情况进行监控；对本部门协助配合管理责任的重大风险，协助支持主导管理部门开展管理应对方案制定及日常的风险监控工作。【2】

　　
　　（2）内部风险管理三道防线相比于风险管理组织架构来说，风险管理三道防线更为严密，是在横向逐步加深的角度对公司风险进行管理，同时把内审部门单独分离出来作为风险管理的第三道防线，强调突出了内审部门在京航联公司风险管理中的中的重要作用。

　　第一道防线是各业务部门在部门内部开展风险管理活动，必要时需要支持部门的协助；第二道防线是需要通过风险管理委员会和风险管理部布置检查公司风险的管理活动。第三道防线则是通过设立审计委员会和审计部进行风险管理最终监督，他们是独立的监督机构。（见图 4‐2）审计委员会处于与风险管理委员会平行的位置，只是其职责的执行在风险管理委员会之后。其主要职责也是指导性和政策性的，确定重大风险应对策略，评价风险管理效果，审定审计部门的风险管理工作报告；与风险管理委员会建立良好的联系，及时了解公司最新风险管理策略和政策等。

　　审计部作为京航联公司内部审计工作的单设执行部门，负责公司内部审计的组织、开展和协调工作。其主要职责有，对公司内部现有的内部风险管理体系中薄弱的环节进行调查、报告并提出改进建议；检查包括风险管理制度在内的各项内控制度和规章的遵循情况；以风险为导向，按照风险程度和优先性对公司的经营活动执行内部审计工作；与风险管理部门建立有效沟通，及时了解公司最新风险管理策略和政策、风险管理制度等，以提高审计的效率和效果；在审计过程中发现潜在的风险，及时通知风险管理部门，便于其组织相关部门进行风险评估；根据风险管理部门的建议，对可能存在的重大风险环节进行专项检查。【3】

　　
　　（3）京航联公司内部风险管理的程序京航联公司内部风险管理的程序以流程图表示如下（见图 4‐3）： 【4】
　　

　　4.2.2 信息收集

　　在日新月异的信息时代，公司的决策、管理、方案和计划均离不开信息，京航联公司要取得竞争优势，必须使用有效的技巧在最短的时间收集并有效处理各种信息和数据。同样地，公司的信息收集对企业风险管理有着重大的意义，在公司信息管理环节中占着举足轻重的位置，是公司风险管理必不可少的环节。

　　公司的信息收集主要包括公司基础信息收集和初始风险信息收集两部分。

　　（1）公司基础信息收集公司基础信息的收集主要是针对京航联公司最基本的信息进行收集和了解，诸如公司基本情况调查表、公司制度体系调查表、公司现有风险管理制度采集表、风险案例及报告采集表、公司潜在风险预分析表等，以对公司风险管理做最充分的基础准备工作，推动公司风险管理工作的顺利开展和进行。（见表 4‐3）【5】

　　
　　（2）初始风险信息收集初始风险信息的范围是广泛的，收集工作是持续不断的，其与京航联公司的内部信息相对应，与公司决策、经营有着直接或者间接的联系。识别与公司有关的风险信息，需要结合公司的内外部环境，例如行业环境、产业链环境、供应链环境、所属航天系统等微观环境，也要结合国内政策法规等宏观环境，甚至要结合国际环境。识别公司的风险信息，需要收集五大类风险信息进行分析，主要是战略风险、财务风险、运营风险、市场风险分析和法律风险。

　　①战略风险信息收集京航联公司在战略的制定和实施上如果出现错误，或因未能随环境（如国家国防建设重点转移）的改变而做出适当调整，从而导致经济上的损失，乃至影响公司生存。（见表 4‐4）【6】

　　
　　②财务风险信息收集财务风险是指融资安排、会计核算与管理以及会计或财务报告失误而对京航联公司造成的损失，资金结构与现金流风险、会计核算与流程的风险、会计及财务报告风险等。（见表 4‐5）【7】

　　
　　③市场风险信息收集市场风险是指因市场等外界条件变化而使公司产生经济损失的风险，包括业主单位、建设单位信用风险，税收风险，利率、汇率风险，竞争风险等。（见表4‐6）【8】

　　④运营风险信息收集运营风险是指京航联公司内部管理流程和系统、人为或外部因素而给公司造成的经济损失，包括公司经营业务风险、内部管理风险、业务流程与信息系统风险、企业风险管理现状与能力等。（见表 4‐7）【9】
　　

　　⑤法律风险信息收集法律风险是指京航联公司因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致公司遭受经济或声誉损失的风险，包括政治法律环境与政策、员工道德操守、重大协议与合同的遵守与履行、法律纠纷。（见表 4‐8）【10】

　　
　　4.2.3 内部风险的识别与评估

　　风险的识别与评估是京航联公司构建内部风险管理体系的关键环节，它是在风险管理组织机构在收集各种初始信息的基础上进行的，也是公司后续风险管理方案的制定、执行等环节的重要铺垫，起着承前接后的重要作用。

　　（1）风险的识别京航联公司的风险识别重点在查找公司各业务单元、各项重要的经营活动及其重要业务流程中是否有风险，有哪些风险。风险的准确识别需要知识、经验和方法等几个方面的要素。（见图 4‐4）京航联公司挑选了有多年航天工程监理工作经验的多名优秀总监带队，分别组建了公司风险管理小组，在知识结构完整和互补性的前提下，充分发挥经验优势，运用风险管理识别阶段的各种方法，完成初始信息收集与分析。形成了风险辨识的初始清单，如：《京航联办公场所危险源辨识评价表》（见附录一）。【11】

　　
　　①风险识别的主要目标首先是完整，即确保公司所面临的主要风险都能被识别，至少确保重要重大风险没有遗漏。遵从“宁滥勿缺”的原则。

　　其次是准确，即确保所有识别的风险是公司真正的风险点，而且能够针对性的采取措施，从而给公司带来价值。这需要考虑未来的不确定性和各种因素的影响。

　　②风险识别的主要思路风险的识别并不是盲目进行的，需要清晰的思路。京航联公司风险识别的主要思路如下所示（见图 4-5）：【12】

　　
　　（2）内部风险的评估风险评估是公司内部风险管理的重要环节，是指依据某种目标、标准、技术活手段，对收到的风险信息，按照一定的程序，进行分析、研究，判断其风险水平的一种活动。其实质是对公司风险状况和风险管理水平进行分析诊断和评价的过程。

　　风险评估的方法有几十种，京航联公司结合自身的实际状况，选取适合的方法进行风险评估。京航联公司在初始风险的识别和评价中，运用头脑风暴，集思广益，形成并补充了公司初始风险控制清单。同时，根据以往的风险事故或预估的风险事件，描述事故因果关系，对经营活动中的风险因素进行识别与评价，并补充修订初始风险清单。在风险识别阶段的最后部分，京航联公司运用风险坐标图法，将初始风险清单中的各子项内容，经过比较打分，按风险发生的可能性与风险对公司的影响程度两个维度，放进风险坐标的各个区块内，从而初步判定各风险的特性，为确定对各个风险进行管理的优先顺序和策略做最后的准备。

　　风险坐标图的样例如下图（见图 4‐7）： 【13】

　　
　　（3）风险等级的判定风险等级是风险发生的可能性等级与风险对公司的影响程度等级的乘积。基于此，风险等级综合了风险发生的可能性等级与风险对公司的影响程度等级两方面综合因素。京航联公司以此判定了应当特别关注哪些风险。一个风险点的风险等级越高，公司越应当关注该风险。【14】

　　
　　①京航联公司对内部风险发生的可能性进行了定性、定量评估，最终判定各风险因素可能性等级。（见表 4‐9）【15】

　　
　　②京航联公司对内部风险发生后的影响程度进行了定性、定量评估，最终判定各风险因素影响程度等级。（见表 4‐10）【16】

　　
　　③运用风险矩阵及风险等级判定标准，对识别的风险因素最终定位。（见图4‐8）京航联公司在初始风险识别与评价后，通过对各风险因素最终判定其可能性等级和影响程度等级后，根据风险等级公式，适当考虑了符合本公司背景和特点的影响参数，将各风险因素最终定位，并编制了重大风险因素清单。如《京航联公司监理人员工作场所重大风险因素及控制措施清单》、《建筑工地常见重大风险因素及控制措施清单》（见附录二、三）。【17】

　　
　　4.2.4 内部风险管理方案的制定

　　建立在风险识别、风险分析、风险评价基础之上的风险管理解决方案是京航联公司风险管理的重点。公司根据风险管理的策略，针对每一项重大风险及各一般风险均制定了风险管理解决方案。风险管理方案的执行直接影响到风险管理的效果。因此，制定科学、合理、全面的风险管理解决方案是进行公司风险管理的重中之重。

　　（1）风险管理解决方案制定流程选择风险管理解决方案目的是为了更好地进行风险管理，京航联公司的风险管理部对于不同的风险，从公司整体角度考虑出发，进行全面的风险管理解决方案的制定。

　　京航联公司风险管理解决方案制定流程中，首先就是确定风险控制目标，其次就是设计多个风险管理解决方案，再次根据风险特点的权重选择并执行最佳方案（通过风险管理委员会最后表决），最后交由审计委员会评价风险管理解决方案，具体步骤如下图（见图 4‐9）：【18】

　　
　　京航联公司根据自身的特点，确定了基本的控制目标和投入水平。确定风险控制目标根据的是公司成本收益原则，公司风险管理控制的目标就是以最低的成本获得最高的安全保障。

　　设计风险管理解决方案的内容包括：风险管理的方法、对重大风险管理的措施，如对关键业务的关键控制措施、相关责任的落实、所需人力、财力、绩效考核标准等。

　　风险管理部在做出最佳解决方案选择表后，经过提交京航联公司风险管理委员会表决，但也采用了动态的、双向的制定过程。也就是说，最佳解决方案制定以后并不是一成不变的，在整个方案执行过程中，由于公司内外环境的变化可能会导致所面临的风险改变。这时，就需要对风险解决最佳方案进行调整与改进，风险管理委员会表决不通过的方案，交由风险管理部重新选择制定，并在规定时间内提交进行表决。

　　最后，还需要对风险管理解决方案的执行效果做出反馈，进行适时的评价和调整，完善风险管理解决方案。京航联公司根据需要，在单体工程项目完成后进行审计，并就年度重大工作进行内审，将内部审计报告提交审计委员会，作为评价风险管理解决方案的一种制度。

　　（2）风险管理解决方案面对风险，京航联公司目前经常采用的是转移的方式。实践中公司无法完全转移某种风险，更多的是采用部分转移风险或结合其他风险管理工具联合使用。

　　京航联公司实施风险转移的管理解决方案主要是通过保险和合同风险转移两种方法及组合。另一方面，对于保留下来的风险公司根据风险等级的不同，主要采用监视或内部控制管理办法，制定管理措施，并根据公司自身特点和航天系统内背景关系，通过改变风险特征或者寻求分担风险将风险预期影响降低到最小。

　　①保险。

　　京航联公司根据行业特点和公司背景，以及上级主管部门的要求，从人的角度为出发点，选择并购买了较多的保险。如：在全员足额上缴社会保险的前提下，购买了公司补充医疗保险、监理工伤补充保险基金；对科研性航天工程监理人员购买特别人身伤害保险；为偏远地区工作的监理人员购买交通意外保险；普遍购买工程意外险；派驻监理机构购买财产损失险；为特殊工程和特定项目的实施购买商业保险等。由财务部负责统计公司年度保险情况一览表，审计部负责监督实施和检查有效性，风险管理部验证保险必要性及补充购买保险建议。

　　②合同方式的风险转移。

　　京航联公司在选择合同方式风险转移上，主要有：对监理委托合同中支付条款方面预先编制了几种文本方案，并编号，优先使用最有利的支付方案，当业主提出要求时再逐一向下选择，并排除无法承受的条款；在个别专业性强而风险大的监理任务中，适当选择将部分监理内容外包给业主指定或更能承担此项风险的单位，签订服务外包合同；个别情况下采用联合体方式承担专项航天工程监理，签订联合体合同；合理使用支付保函和履约保函，使两者相互制衡。

　　签署能为公司带来降低风险和高回报的合同也是公司经营管理能力及风险管理水平的体现。

　　③内部控制。

　　京航联公司为保留机遇和谋求发展而必须面对的固有风险则通过内部控制的方法将风险控制在可接受的范围之内。内部控制是公司常用的和基本的风险管理手段。

　　京航联公司在通过各项管理体系认证的过程中，不断总结并建立起《京航联公司一体化管理体系文件》并配合制定了程序文件及附件。以此作为风险管理的内部控制框架。为此公司投入了大量的精力、时间、财力和人力资源，在全面风险管理框架下，对公司经营与管理的各个重要过程进行规范化的控制管理。此外还包括《公务接待管理办法》、《公务车辆管理办法》、《项目内审管理规定》、《公司领导层周期巡检办法》、《安全监理工作日常检查表》、《合同评审及审批流程管理规定》、《工作质量巡查管理办法》、《监理工作岗位量化考核管理规定》等支撑性文件。

　　4.2.5 内部风险管理的执行、监控、报告和评价

　　（1）风险管理的有效执行风险管理的成功有效执行，必须要有公司高层领导的鼎力支持作为保证，这是确保公司内部风险管理有效执行的前提。除了促成公司风险管理模式的转变，高层管理者还应该参与风险管理的后续工作。风险管理不是一蹴而就的事情，需要在明确目标的前提下，分阶段逐步执行，在进行风险管理的初期，需要执行明确、切实可行的目标，这非常重要。

　　在有明确的目标和具备高层领导人的大力支持的条件下，选择合适的风险管理人员也是十分重要的，合适的人选必须要具备必需的知识、专业技能和经验的员工，让真正有能力的人来担任关键风险管理的职位，成为风险责任人。

　　风险管理的有效执行还要清楚的角色分工和责任，明确风险管理职责，将所有的责任落实到各个有关职能部门和业务单元，保证每个部门都是风险管理流程的积极参与者，强化每一个业务单位的风险责任。

　　同时，将风险管理程序融入到公司的业务流程中，促使大家在风险管理的执行过程中加强相互协调和沟通，如果风险管理流程不能融入到公司的业务流程中，其只能成为游离于公司业务活动之外的“自娱自乐”的产物，变得毫无意义。

　　另外，加强考核与激励，针对后果建立责任问责制度，考核激励方案使得管理者和员工不仅能从公司实现的盈利中得到奖励，还能从降低风险中的到回报，能把公司内所有个体变成有着共同利益的统一整体；责任问责制能明确风险责任人员及其应负的责任，以此来提高公司的风险意识。

　　（2）风险管理的监控对风险管理是否按照设定的程序运行进行监督，以确保每个职能部门的管理者能够完全了解他们正在承受的风险程度和确保公司在可承受的风险下运行；风险管理的有效性也需要定期检查，以确保公司在可承受的风险下运行，并确保公司的风险管理能根据内外部环境进行相应的调整。因此，京航联公司建立以风险管理委员会和审计委员会为基础的监督结构体系并持续有效的对公司的风险管理进行监督与控制。如果没有有效的监控机制，公司管理层根本无法准确知道风险管理是否在有效执行。

　　（3）风险管理的报告京航联公司的管理流程要求，在每季度末各部门提交风险运行状态报告，年底风险管理部汇总后提交公司风险管理报告表决稿，连同管理评审报告报风险管理委员会表决。

　　风险管理报告是公司风险监控的独特工具，在公司风险管理中有着突出地位，服务于公司风险监控目标，并具有独特的效能，如果报告出现问题，则公司肯定有问题。公司的风险管理实施失效也常常与公司的报告机制失效而紧密的联系在一起的。风险管理报告应该做到准确、及时的将信息传送给上级，客观真实的反映公司的经营状况、公司面临的问题和风险以及应对措施等，以支持管理者做出正确的决策。

　　（4）风险管理的评价风险管理过程的有效实施，需要建立并不断完善风险管理能力的系统和方法，对于公司应通过持续改进追求更高一级的风险管理能力。京航联公司风险管理能力的持续改进是通过定期评估、不断完善和提高、信息沟通、知识共享、标杆管理等来实现的。