3.2.4　风险评价“共识”的达成

如前文所述，在企业组织架构框架内，目标的制定是“自上而下”的，而风险信息的归集是“自下而上”的。我国企业的内控工作中经常会出现一项影响重大但极易被忽略的问题——企业上下并未就一项风险的评价结果达成共识，具体可以划分为如下两种情况。

情况1：对于特定事项，执行层认为是重大风险，但管理高层并未认同

当针对一类风险，执行层认为是重大风险并且应该采取严格的控制措施时，管理高层可能内心深处并不赞同这种判断，但从保护执行层“积极性”的角度，他们往往不会明示反对，常给出“那你们先做吧”的态度。但在上述情况下，针对该类风险的控制措施会因缺乏管理高层实质性的推动而最终不了了之。

例如，某企业财务部门应上级集团要求，开始规范及优化资金支付程序（比如资金支付必须通过OA流程签批），然而企业领导者一直认为这些措施是“多此一举，影响效率”，经常采取先微信指令、后OA系统补录的方式下达付款指令。久而久之，财务人员也习以为常。数月后，该企业财务负责人被骗子拉入一个虚假“领导微信群”，骗子利用该企业一把手乘飞机出差的机会冒用其身份下达支付投标保证金指令，成功诈骗数十万元。

情况2：对于特定事项，管理高层认为是重大风险，但执行层并未认同

当管理高层意识到一类风险为重大风险时，他们可以通过行政命令的方式向执行层传递，由于企业内部宣传贯彻机制缺失等原因，执行层可能并未真正认同管理高层对风险的判断，进而在风险控制执行过程中动力不足，影响后续持续的内控建设工作。

例如，在我国日趋严格的安全监管环境下，某资源采掘集团顶层领导事实上非常关注安全风险，然而基层，包括安全员在内的一线人员却不以为然，长期违规作业，最终酿成了一起造成数十人死亡的特别重大安全责任事故，包括集团一把手在内的十余位领导，全部被追究刑事责任。

无论是为缓和上下级关系而形成的“礼节性共识”，还是利用上下级领导关系达成的“填鸭式共识”，都会影响风险控制的实际效果。企业应至少在下述几个方面予以探讨，促使企业上下围绕风险评价达成“实质性共识”。

（1）企业建立连接各层级的共同的沟通平台。

例如，某企业每年会召开开放式风险研讨会，由风险管理部门牵头组织上下级共同讨论风险的影响等话题，并对风险评价结果予以优先级排序和输出确认。

（2）针对专业风险时，专业部门应设法突破专业沟通壁垒，将专业性很强的信息转化成直观、易懂的信息（如某企业专业部门会持续发布典型案例分析成果），帮助非专业人员对风险形成正确理解。

（3）企业各层级对风险评价结果一旦达成共识，应立即制定可操作的控制措施，管理层围绕这些措施合理分配资源，执行层应给出执行承诺。

（4）整体上，企业应积极宣传贯彻风险意识，形成良好的风险控制文化基础，提升各层级参与风险评价、控制的积极性。

综上，企业在完成风险识别与评价工作的同时，应加强沟通、宣传贯彻等以确保企业上下围绕风险评价达成基本共识，形成“合力”，推动内控工作真正落地。