抄作业！华为价值千亿的企业风险管理政策框架：“业务部门是风险的第一责任人”！

在全球经济格局深度变革、不确定性成为新常态的今天，企业面临的已不再是孤立的运营或财务风险，而是错综复杂、相互交织的系统性挑战。如何在一片混沌中辨识方向，在驾驭风险中寻找机遇，成为所有谋求长远发展的组织必须回答的时代命题。

作为中国最具代表性的全球化企业，华为一次次在严峻的外部压力和激烈的市场竞争中展现出非凡的韧性与定力。这背后，不仅仅依赖于其技术领先与战略远见，更源于一套深植于肌体、高效运作的企业风险管理体系。它所遵循的《华为企业风险管理政策》，绝非一份简单的合规文件，而是一套将风险管理从被动防御转变为主动价值创造的行动哲学与作战地图。

这份政策揭示了华为如何将风险意识融入企业血液：它强调“业务部门是风险的第一责任人”，让听得见炮火的人来管理风险；它构建了从董事会到一线、权责清晰的风险治理架构，确保风险决策与战略决策同步；它更将风险管理无缝嵌入战略规划与业务执行的核心流程，使之成为每一个重大决策的“必选项”而非“附加题”。

接下来，让我们一同阅读这份政策，探寻华为如何在不确定性中构筑确定性的基石，其理念与方法又能为其他行走在惊涛骇浪中的企业提供怎样的借鉴与启示。

《华为企业风险管理政策》

1. 目的

通过明确企业风险管理的基本原则、运作机制、主要的组织和部门及其角色、职责和权力，以构建并实施企业风险管理体系，从战略规划到执行过程中，减少风险、增加机会、提升绩效。

2. 适用范围

本政策适用于华为投资控股有限公司及其全球范围内直接或间接控制的公司，及其所属各部门、各区域、各驻外机构。

3. 风险分类、分层及应对

3.1 定义

风险：指未来的不确定性对公司实现其经营目标的影响，是企业运营中客观存在的，是在华为的战略规划、外部环境、运营模式及财务系统中识别出来的。

重大风险：是未来可能对竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。下文所提及的风险均指重大风险。

3.2 风险按照主要成因归纳成但不限于以下四种类别：

战略风险：指市场、产品和投资规划或决策等能力有限而影响整个企业中长期生存能力、竞争力、发展方向、战略目标、效益的重要风险，如竞争格局风险等。

外部风险：指外部环境风险及法律法规遵从风险，如政治和政策风险、法律和法规遵从、自然灾害等。

运营风险：指企业在运营过程中由于内部运作、人力和技术能力的有限性导致运营失败、达不到预期运营目标、造成损失的风险，如业务连续性风险等。

财务风险：是指由于多种因素的影响，导致公司资金资产损失、财务结构失衡等对公司当期或长期经营结果和声誉产生影响的风险。如客户信用风险、资本架构风险等。

3.3 风险层级：

3.3.1 企业级风险

未来可能对整个企业集团的竞争格局、声誉、财务状况和经营成果、或长远利益产生重大影响的事件，企业级风险往往跨领域（BG/SBG/区域/各责任中心）。

3.3.2 领域级风险

未来可能对某特定领域（BG/SBG/区域/各责任中心）的竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。

3.3.3 风险层级调整

领域级风险当其影响程度重大、或影响范围涉及多个领域时也可能上升为企业级风险；企业级风险当其影响降低时也可能下降为领域级风险。

3.4 风险应对的主要措施有：风险规避:

指考虑到影响预定目标达成的诸多风险因素，结合决策者自身的风险偏好和风险承受能力，做出中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。

风险降低:指采取措施降低风险发生的可能性或影响度，或同时降低两者。

风险转移：指将风险及其可能造成的损失全部或部分转移给他人。常见的方法包括购买保险产品、从事避险交易或外包某项业务。

风险接受：承担风险，不采取措施去干预风险发生的可能性和影响度。

4. 基本原则

4.1 风险管理是业务部门的固有职责，业务部门在获得收益的同时，需承担风险；

4.2 风险管理要与业务管理相结合，特别是在计划和决策过程中；

4.3 风险管理应当从企业整体利益出发，进行跨部门协同管理；

4.4 积极应对风险可能意味着机会，消极应对风险则可能带来损失；

4.5 风险管控的目标并不是一味地将风险降至零，而是根据风险偏好将风险控制在企业可接受范围内。

5. 实施风险管理的角色、职责和权力

董事会、财经委员会、Risk Leader、Risk Owner、企业风险管理部、各业务单元CFO是风险管理的关键角色，其职责和权利如下：

5.1 董事会

董事会作为负责企业经营和管理的最高权力机构，在风险管理中发挥重要作用，其职责如下：

5.1.1 确定高管基调，每年至少一次通过发文、联合声明、宣誓等形式强调风险管理的重要性，建立并不断完善整个企业的风险管理环境；

5.1.2 授权财经委员会负责企业重大风险和合规遵从管控并听取其汇报，必要时进行重大事项决策。

5.2 财经委员会（以下简称财委会）

在董事会授权下作为风险管理的日常决策机构，对识别和管理企业级风险、指导各领域（BG/SBG/区域/各责任中心）的风险管理负责。其主要职责如下：

5.2.1 培育企业风险管理文化；

5.2.2 确定风险管理工作战略、规划、路标；

5.2.3 审议公司风险管理的框架、政策；

5.2.4 决定企业级风险排序，审批企业风险地图及其变更；

5.2.5 审议企业级风险的风险偏好、企业所承受风险的容忍度，报董事会审批；

5.2.6确保高层领导卷入企业级风险管理，将风险管理融入业务管理体系；

5.2.7 审议公司业务连续性的执行情况；

5.2.8 专题研究和审视、决策涉及公司重大影响的风险；

5.2.9 根据需要审批企业级风险管控的专项预算；

5.2.10 向董事会报告企业级和各领域的风险管控状况。

5.3 Risk Leader

原则上由公司高级管理者担任，财委会按企业风险地图提名，CEO任命，为跨领域企业级风险第一责任人，领导各相关部门完成该项风险管理工作，其个人绩效承诺（PBC）包含风险管理。其主要职责如下：

5.3.1 从公司整体角度，联合相关部门综合评估风险影响，分析风险根因；

5.3.2 分解企业级风险的管控责任，指定Risk Owner；

5.3.3 组建跨领域的风险管理工作组，确保风险管控的有效性；

5.3.4 决定风险管控的目标、范围及里程碑计划，并监控实施；

5.3.5 向财委会汇报该风险的管控状况，确保企业级风险被控制在可接受范围内。

5.4 Risk Owner

原则上由各领域（BG/SBG/区域/各责任中心）主管担任，是所负责领域风险管理的第一责任人，其个人绩效承诺（PBC）包含风险管理。其主要职责如下：

5.4.1 对公司获利或声誉有影响的风险承担管理责任，需要将风险控制在可接受范围内；

5.4.2 各级管理者应将风险管理与业务紧密结合，在战略规划中识别和评估风险，在业务规划中研究并执行风险管理的对策，并在日常运作中监控这些措施的有效性；

5.4.3 及时向财委会或Risk Leader汇报本领域内风险及管控状况；

5.4.4 确保本领域员工理解和正确执行风险管理策略；

5.4.5 参与年度企业风险地图制定。

5.5 企业风险管理部（ERM）

协助财委会及Risk Leader管控企业级风险，是各领域（BG/SBG/区域/各责任中心）风险管理的Partner。其主要职责如下：

5.5.1 对所监管的企业级风险管理框架、相关流程及风险管理项目进行阶段性回顾，协助财委会向董事会汇报；

5.5.2 定期汇总各领域（BG/SBG/区域/各责任中心）识别的重大风险，并进行综合评估形成初始的企业风险地图，报财委会审批；

5.5.3 协助财委会和Risk Leader履行风险管理职责，将风险管理纳入其战略及运作中，包括建立恰当的风险管理项目及对策；

5.5.4 定期评估各领域（BG/SBG/区域/各责任中心）的风险管理执行情况，监控其风险管理的有效性，并促进风险管理能力持续提升；

5.5.5 开发风险管理的统一方法、流程和运作机制；

5.5.6 接受财委会指派，组织及指导跨领域深度风险分析项目（Deep Dive），评估及制定企业级风险管控方案；

5.5.7 协助各领域风险管理团队在风险识别、评估、分析、监控、报告及指标测评中实现最佳实践；

5.5.8 通过培训、工具及业务支持等方式协助建立企业风险管理文化并提升员工对企业风险管理的理解；

5.5.9 向重大风险涉及的委员会，如战略规划委员会、人力资源委员会、审计委员会等汇报风险管理事宜。

5.6 各CFO

作为各领域风险管理的支撑主体，协助本领域Risk Owner承担日常风险管理职责。

5.6.1 CFO是财务风险管理的责任主体，同时负责推动、监控和报告业务风险管理运作情况；

5.6.2 CFO履行风险管理职责，在风险管理中扮演重要角色，是风险管理框架中的关键要素，尤其在运作质量保证、法律及合规遵从、财务及运作信息准确等方面确保企业风险管理的有效性。

6. 运作机制

6.1 企业级风险管控

6.1.1 每年度对重大风险进行包括优先级排序在内的综合评估，经财委会批准形成风险地图；

6.1.2 财委会确定企业级风险应对策略，并提名Risk Leader；

6.1.3 Risk Leader组建跨部门企业级风险管控工作组，按风险管理流程进行风险识别、综合评估和根因分析，制定应对计划并实施，持续监控并形成报告；

6.1.4 Risk Leader例行就风险管控状况向财委会报告。

6.2 风险管理嵌入SP/BP流程

在战略规划和业务规划中识别、评估、应对、监控和报告风险，在做决策时充分考虑风险因素，在执行过程中包含风险应对措施。

6.2.1 在战略规划中进行风险识别、评估并排序，定义总体管控目标和应对策略；

6.2.2 在业务规划中进行根因分析、制定风险应对措施、指定风险责任人及制定预算；

6.2.3 在规划执行和日常运营中实施风险应对措施，监控风险控制状况，定期向Risk Owner报告。

6.3 深度风险分析（Deep Dive）

深度风险分析项目适用于跨业务领域、根因复杂的企业级风险，由财委会批准立项，来源于Risk Leader申请或财委会直接指定。

6.3.1 企业风险管理部协助Risk Leader，组织相关业务部门成立深度风险分析项目组，分析风险根因，形成应对方案；

6.3.2 风险应对方案经财委会批准后，Deep Dive关闭，转正常风险管控，由Risk Leader与业务部门实施并向财委会报告。

7. 风险测评

按照风险暴露、风险管控的结果衡量各相关部门风险管理的绩效，测评指标包括但不限于风险敞口、KRI、计分卡、风险管理成熟度等等，对于直接影响财务结果的风险通常使用风险敞口来测评，对不直接影响财务结果的风险通常采用评估应对计划进展的方式测评。

7.1 风险敞口（Risk Exposure）

是指未加保护的风险，即因债务人违约行为、内部管理不善、外部遵从等导致的可能承受风险的总量。如：应收账款指当期各账期（包括未到期部分）应收账款余额总和，含本金以及在此基础上产生的利息，罚金等其他费用。

7.2 KRI（Key Risk Indicator，关键风险指标）

通过定性和定量的指标来测评风险暴露和风险应对策略的有效性。KRI由Risk Owner制定、维护和监控，且必须得到Risk

Leader和财委会的认可，应尽量利用已有指标嵌入现有的管理体系中。

7.3 风险管理计分卡

用于衡量业务部门风险管理的有效性，由企业风险管理部从以下几个方面对业务部门进行评估：

1)组织结构和职责；2）在企业级风险管理中的业务参与程度；3）战略规划中的风险识别；4）业务计划中的风险规划；5）监控和问责。

7.4 风险管理成熟度

用于衡量企业整体风险管理的能力，由企业风险管理部和各业务部门从政策、流程、组织、绩效、IT工具和决策等多纬度进行年度自评。财委会对自评综合结果进行评审，提出改进建议及进行绩效评估。

info.10000link.com本文已标注来源和出处，版权归原作者所有，转载请联系原作者，如有侵权，请联系我们。文章来源于万联网综合整理

收藏