论述公共风险管理的现实意义
风险管理由来已久,近些年来更是逐步成为了国际上关注的热点,在一些发达国家,风险管理不仅在理论上发展迅速,而且很多企业都已认识到风险管理的重要性,越来越多地将风险管理应用到企业管理的各个方面。尤其是在诸如安然、世通等事件发生后,风险管理更加为各国所重视,美国还出台了萨班斯—奥克斯利(Sarbanes—Oxley)法案来规范上市公司的行为,萨班斯—奥克斯利法案被称为是自罗斯福总统以来对美国商业界影响最为深远的改革法案。 在我国,风险管理理论的发展及应用相对滞后,有相当一部分企业普遍存在风险管理意识不足,缺乏风险策略、风险管理较为被动、缺少风险管理专业人才,以及风险管理技术、资金不足等问题, 主要表现在: 企业战略与风险管理不匹配。我国众多企业在战略目标的制定上有一个很大特点就是急于求成,希望以最快的方式获得回报。结果致使企业在发展的过程中承担了过多自身不可承受的风险,加之缺乏与之匹配的风险管理策略和措施,导致企业应对市场变化能力不强,产品的生命周期大大缩短、企业发展后劲不足、有甚至个别企业在重大风险事件发生之时无从应对,导致巨额损失。 企业风险管理多为事后控制,缺乏主动性。企业现有风险管理多为事后控制,对风险缺乏系统地、定时地评估,缺少积极的、主动的风险管理机制,不能从根本上防范重大风险以及其所带来的损失。 重视具体风险的管理,缺乏风险管理整体策略。在已实施风险管理的企业中,有很大一部分企业更多地将精力投入到具体风险管理中,缺乏系统、整体性地考虑企业风险组合与风险的相互关系,从而导致风险管理的资源分配不均,影响企业整体风险管理的效率和效果。 尚未形成企业的风险信息标准和传送渠道,风险管理缺乏充分的信息支持。企业内部缺乏对于风险信息的统一认识,风险信息的传递尚未有效的协调和统一,对于具体风险,缺乏量化和信息化的数据支持,影响决策的效率和效果。 风险管理职责不清。企业现有的风险管理职能、职责散落在各个部门和岗位之中,缺乏明确且针对不同层面的风险管理的职能描述和职责要求,考核和激励机制中尚未明确提出风险管理的内容,导致缺乏保障风险管理顺利运行的职能架构。 鉴于目前风险管理的发展态势以及我国企业的风险管理现状,国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》。从《指引》的内容上我们可以看出,《指引》是在借鉴了国际上发达国家有关企业风险管理的标准及法规,吸取了国外大公司在风险管理方面的先进经验,并结合了我国现有的法规及企业的现实情况的基础上提出的。它的出台对增强中央企业竞争力,促进中央企业持续、健康、稳定发展和提高国有资产保值增值率有着深远的意义。虽然《指引》只对中央企业开展全面风险工作提出了要求,但是它的指导范围并不仅限于中央企业,《指引》所描述的风险管理的范围既涵盖了类似公司治理结构这样的公司层面的问题也涵盖了业务层面的操作问题,对其它企业具有普遍的指导意义。 如按《指引》中所述,企业切实实行全面风险管理、运行风险管理基本流程可以获得很多好处,最主要的有: 标本兼治,从根本上提高企业风险管理水平。全面风险管理体系帮助企业建立动态的自我运行、自我完善、自我提升的风险管理平台,形成风险管理长效机制,从根本上提升企业风险管理水平。 达到与企业整体经营战略相结合的风险最优化。全面风险管理把风险管理纳入企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使企业将战略目标的波动控制在一定的范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。
风险管理与我的职责
现代风险管理认为,风险管理是一个系统工程,需由主体内的一个有机的组织来实施并执行各自的职责,才能实现风险管理的目标。但是,对于风险管理的组织构成层级及范围没有统一的标准,同时,各个企业大小不等规模不一,风险管理组织也会有较大的区别。但现代风险管理的理念是,在一个主体内,风险管理必须由最高层从战略上把控,而在基层组织,风险管理人人有责。
COSO认为,风险管理由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中。在这个风险管理组织内,各部分人员的职责如下:
董事会通过下列方式提供针对企业风险管理的监督:了解管理当局在组织中建立有效的企业风险管理的范围;知道并同意主体的风险容量;审核主体的风险组合观,并对照主体的风险容量对其进行考核;知悉最重大的风险以及管理当局是否恰当地应对。
首席执行官(CEO)对企业风险管理有着最终所有者的责任。其责任主要包括恰当地建立企业风险管理的所有构成要素。CEO通常通过下列方式来实现这项职责:为高级管理人员提供领导和指引;定期与负责主要职能领域——销售、营销、生产、采购、财务、人力资源的高级管理人员进行会谈,以便对他们的职责、包括他们他们如何管理风险,进行核查。
掌管组织单元的高级管理人员有责任管理与其单元的目标相关的风险。他们将战略转变成经营、识别事项和评估风险,并影响风险应对。高级管理人员通常将企业风险管理具体程序的责任赋予特定流程、职能机构或部门的管理人员。管理人员的职责应该既包括权利,也包含义务。每位管理人员应该就他份内的企业风险管理对上一个层级负责,而最终由CEO向董事会负责。尽管不同的管理层级有着不同的企业责任和职能,但他们的行动应该行动应该融入主体的企业风险管理之中。
风险官员(风险总监)的职责包括:建立企业风险管理政策、包括确定职能与责任,以及参与设定执行目标;确定各业务单元对于企业风险管理的权力和义务;提高整个主体的企业风险管理能力,包括推动企业风险管理专门技术的发展,以及帮助管理人员协调风险应对和主体的风险容量,并建立恰当的控制;指导企业风险管理与其他经营计划和管理活动的整合;建立一套通用的风险管理语言,包括围绕可能性和影响的共通的测试指标,以及通用的风险类别;帮助管理人员制定报告规程,包括定性和定量的下限,以及对报告过程的监控;向首席执行官报告进行和暴露的问题,并建议必要的措施;风险总监一般也负责风险政策制定、资本管理、风险分析与报告,以及领导各业务单位的风险管理主任。总而言之,风险总监办公室直接负责:提供对企业全面风险管理的统一领导、设想和指引;对整个机构的所有风险建立综合的风险管理框架;研发风险管理策略,包括通过利用特别的风险限制来量化管理层的风险倾向;执行整套的风险指标和报告,包括损失与事故、主要风险敞口和早期预警指标;基于风险程度把经济资本配置给各项业务活动,并且通过业务活动和风险转移策略来优化公司的风险组合;向主要的权益方通报公司的风险特征,这些权益方包括董事会、监管机构、股市分析专家、评级机构和商业伙伴;提高分析、系统以及数据管理能力以支持企业全面风险管理。
首席财务官、首席会计官、审计长和财务职能机构的其他人员对于管理当局执行企业风险管理的方式至关重要。在考察企业风险管理的构成要素时,很明显首席财务官和他的下属员工起着重要的作用。这个人在制定目标、确定战略、分析风险和作出如何对影响主体的变化进行管理的决策时是一个关键的角色。他提供有价值的投入和指引,而且其职责在于关注监控和追踪所决定的行动。
内部审计师在评价企业风险管理的有效性以及提出改进建议方面起着关键作用。内部审计师协会所制定的准则规定,内部审计的范围应该包含风险管理和控制系统。它包括评价报告的可靠性、经营的有效性和效率以及符合法律和法规。在履行这些职责时,内部审计师通过对主体企业风险管理的恰当性和有效性进行检查、评价、报告和提出建议,来协助管理当局和董事会或审计委员会。
主体中的其他人员。企业风险管理在某种程序上是主体中所有人的责任,因此应该成为每个人的职位描述的一个明显的或隐含的部分。这可以从以下两个方面来证实:事实上所有人员在实现风险管理中都起着某种作用;所有人员都有责任支持企业风险管理中所固有的信息与沟通流程。
外部人员。COSO还重视外部人员在企业风险管理中的作用职责。外部审计师为管理当局和董事会提供一个独特的、独立的和客观的看法,它有助于主体实现其对外财务报告目标以及其他目标。立法者和监管者通过建立风险管理机制或内部控制的要求,或是通过对特定主体的检查,影响着许多主体的企业风险管理。立法者和监管者通过两种方式影响主体的企业风险管理:他们制定规则以促使管理当局确保风险管理和控制系统满足最低的法定或监管要求;根据对特定主体的检查,提供对主体应用企业风险管理有用的信息和建议,有时还向管理当局提供与所需的改进有关的指引。与主体互动的各方也有重要的职责。客户、卖主、商业伙伴和其他与主体开展业务的人,是企业风险管理活动中所使用的信息的一个重要的来源。除了客户和卖主之外,其他方面,如债权人,也能够针对实现一个主体的目标提供监督。
总之,在COSO看来,企业风险管理的组织架构应是严密和广泛的。企业风险管理的职责应落实在每一个人的头上。
我国《中央企业全面风险管理指引》认为,企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。企业应建立健全规范的公司法人治理结构,股东(大)会(对于国有独资公司或国有独资企业,即指国资委,下同)、董事会、监事会、经理层依法履行职责,形成高效运转、有效制衡的监督约束机制。国有独资公司和国有控股公司应建立外部董事、独立董事制度,外部董事、独立董事人数应超过董事会全部成员的半数,以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。企业应通过法定程序,指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。各组织单元在全面风险管理中的职责分别如下:
董事会就全面风险管理工作的有效性对股东(大)会负责。董事会在全面风险管理方面主要履行以下职责:
(一)审议并向股东(大)会提交企业全面风险管理年度工作报告;
(二)确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;
(三)了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;
(四)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(五)批准重大决策的风险评估报告;
(六)批准内部审计部门提交的风险管理监督评价审计报告;
(七)批准风险管理组织机构设置及其职责方案;
(八)批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为;
(九)督导企业风险管理文化的培育;
(十)全面风险管理其他重大事项。
具备条件的企业,董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责,主要履行以下职责:
(一)提交全面风险管理年度报告;
(二)审议风险管理策略和重大风险管理解决方案;
(三)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(四)审议内部审计部门提交的风险管理监督评价审计综合报告;
(五)审议风险管理组织机构设置及其职责方案;
(六)办理董事会授权的有关全面风险管理的其他事项。
企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员,负责主持全面风险管理的日常工作,负责组织拟订企业风险管理组织机构设置及其职责方案。
企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责:
(一)研究提出全面风险管理工作报告;
(二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(三)研究提出跨职能部门的重大决策风险评估报告;
(四)研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;
(五)负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案;
(六)负责组织建立风险管理信息系统;
(七)负责组织协调全面风险管理日常工作;
(八)负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作;
(九)办理风险管理其他有关工作。
企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的有关规定。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
企业其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督,主要履行以下职责:
(一)执行风险管理基本流程;
(二)研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(三)研究提出本职能部门或业务单位的重大决策风险评估报告;
(四)做好本职能部门或业务单位建立风险管理信息系统的工作;
(五)做好培育风险管理文化的有关工作;
(六)建立健全本职能部门或业务单位的风险管理内部控制子系统;
(七)办理风险管理其他有关工作。
|
