作者：李智明，国药控股股份有限公司执行董事兼总裁，原国药控股股份有限公司总法律顾问

对于核心目标的具体实施，可以从以下几个角度设定策略步骤：

风险评估是风险防控过程不可或缺的手段，它是我们认识、评断风险，并由此推导处置手段最直接的策略方法。风险评估主要经过目标设定、风险识别、风险分析和风险应对四个基本程序，其一般程序和方法如下：

图3 风险评估的一般程序

目标设定是风险识别、风险分析和风险应对的前提。只有设定具体的目标后，公司才能识别和评估影响目标实现的风险并采取必要的风险控制手段。公司目标可以分为（1）战略目标，（2）经营目标，（3）财务报告目标和（4）合规性目标这四类。

战略目标是公司的长远发展目标和方向。广义上包括了公司的愿景和使命。如以中国最大的医药分销商国药控股股份有限公司为例：愿景是成为具有国际竞争力的医药健康服务提供商；使命是为人类的健康和美好生活创造价值。

经营目标是关于公司经营的效果和效率，包括业绩和利润性目标，以及公司生产经营持续进行的资源保障等。制定符合实际的经营目标是保证战略目标实现的要求。

财务报告目标是关于编制可靠的报告，包括内部和外部报告目标，可能涉及财务和非财务信息。

合规性目标是公司必须遵守中国法律法规、海外企业当地法律法规和上市地法律监管规定，而且需采取必要的具体行动。各种适用的法律法规确立了公司融入其合规性目标的最低行为准则。

目标类别及关系如图4所示。

图4 目标类别及关系

在这四类目标中，与合规管理体系直接相关的，除了合规目标以外还有战略目标。企业构建其愿景和经营使命离不开特定的社会历史背景，战略目标的制订需契合即时的社会道德倡导方向，凸显良好的企业社会责任，顺应其时的法律环境。

风险识别是指，在目标设定之后，查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。

风险识别可以分别从公司层面和业务层面动态地展开，识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定因素。风险的识别亦无法脱离其时的法律环境，尤指法律的强行性规定；社会道德层面的一般认知亦会给带来识别带来影响，如企业的声誉风险往往是与社会倡导价值观方向紧密相连的。

进入风险分析阶段，要从风险发生的可能性和对公司目标的影响两个角度进行评判，设定统一标准对各个风险发生的可能性和影响程度分别进行定量的评分，按风险值（风险可能性分值×风险影响分值）对风险进行排序，作出符合企业自身情况的风险热力图。

图5 风险热力图

注：上图仅为一般示例，不具普适性，不覆盖所有类型企业的风险特点

决策者可根据风险热力图所示，确定风险的重要性水平，以决定投入的关注程度或实施风险应对的力度和时间。对于重要性水平为低和较低的风险，由于其发生的可能性和影响程度均小，如财务风险和声誉风险，公司可以在此种情况下先忽略不予关注。对于重要性水平为中的风险，诸如人力资源风险和法律风险，公司将此类风险确定为一般风险给予一般关注。对于重要性水平高的关键风险，如市场风险、环保风险和欺诈风险，要重点防范。需要说明的有两点，以上是根据广义上的风险管理工具作出的风险释明，这些所有风险并非都能够通过本文所述的合规管理体系进行管控，这里所说的只是一种对风险认知、评估的方法；在公司不同的发展时期，并结合不同的社会环境因素，风险发生的可能性和影响程度指标会发生不确定的变化，以上图示中的风险划分并非一成不变。

风险应对是指选择和运用具体管理措施对风险进行管理的过程，即在风险识别和风险分析完成后，公司确定应如何应对风险，并将方案付诸实施。风险应对的目的是将剩余风险控制在风险承受度内，利用现有的资源，分不同情况采取风险管理措施。

风险应对策略一般包括风险规避、风险降低、风险分担和风险承受四种。

图6 风险应对措施图

（1）风险规避：放弃或者停止与该风险相关的业务活动，如撤销项目、抛售股票、放弃市场和禁止高风险活动。

（2）风险降低：采取适当的控制措施降低风险或者减轻损失，如风险分散管理和隔离控制等。

（3）风险分担：借助依靠他人力量控制风险，如购买保险和通过签订合同转移风险等。

（4）风险承受：不采取控制措施降低风险或者减轻损失，对于风险承受度之内的，或为了实现战略目标而不可摆脱的固有的、稳定的风险，可选择做好准备，调集资金和其他资源正面应对。

无论采取何种方式应对风险，均无法脱离法律上的认知。当下有一种颇为流行的观点，将违法作业的风险实现后果作成本化考量，认为如果违法行为可以满足、增益一定程度的收益指标，同时违法作业的风险后果可以“被接受”（多为罚金类责任），则不应排除主动违法的处置倾向，甚至应该主动追求、实现违法经营。这样的认知虽然符合公司经营利益最大化的原则，但会造成企业社会责任的倾覆，对于企业自身、乃至国家经济和社会的持续稳定健康发展将造成极其恶劣的影响，有关这一部分，我们将通过第三章第三节集中展开。

按照风险及控制所作用层面的不同，实施风险控制体系可以分为公司层面控制、IT一般控制、业务层面控制和IT应用控制四个方面的建设。它们的关系如图7所示。

图7 各层面控制的关系

其中，公司层面的控制建设内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。

内部环境要素是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。具体包括：诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、公司治理结构、人力资源政策与措施、员工胜任能力和反舞弊机制等内容。

风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。该项内容具体见本节第一部分，不再赘述。

控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序。控制活动存在于公司所有级别的分支机构和智能部门，包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全措施等活动。

信息与沟通的构成要素包括信息、沟通、IT一般控制、IT应用控制和信息披露等。其中IT一般控制指的是内部控制中对信息系统相关部分的控制，保证信息系统支持的流程控制可靠、生成数据和报告可信，其内容包括控制环境、信息安全、信息系统日常运作和系统变更管理等；IT应用控制则是指通过具体的IT应用系统实施的控制管理活动。

内部监督是管理层对于公司内部控制体系有效性进行持续评估的过程，包括持续监督、独立评估和缺陷报告三要素。

而业务层面控制建设的主要内容是针对业务活动层面风险，以公司层面控制政策为导向，规范业务流程，制定业务活动层面风险控制措施。

2008年6月，财政部、审计署、证监会、银监会、保监会联合颁布了《企业内部控制基本规范》，该规范被要求自2009年7月1日在上市公司执行，并鼓励非上市大中型企业执行。根据该规范，公司内部的控制执行机制可见图8。