后安然时代,风险管理已经成为企业命运攸关的课题,完善的、分层级的企业风险管理实施系统的建立尤显重要。
在复杂的环境中,企业追求企业价值最大化的同时,也面临着挑战——随时应对各种不确定事件的爆发。不确定性预示着机会和风险,既可能给企业带来价值提升,也可能造成巨大的损失。2004年12月,中国航油集团唯一的海外企业——中国航油(新加坡)股份有限企业因石油衍生产品交易亏损5.5亿美元造成严重资不抵债而申请破产保护,又一次重现了“巴林银行”事件。该事件在震惊世界之余,也让广大企业认识到企业风险管理已经成为一个命运攸关的问题。而同年9月29日,国际著名的反虚假财务报告委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,简称COSO)颁布的《企业风险管理—整合框架》(EnterpriseRiskManagement—IntegratedFramework)在其1992年发布的《内部控制—整合框架》的基础上,进一步为解决企业风险管理问题提供了框架性的指引。目前,该框架被很多上市企业作为按照《萨班斯-奥克斯利法案》的404条款要求披露内部控制和风险管理状况的基础。事实上,在此框架内,真正建立有效的企业风险管理系统才是我国企业应对日益严峻的竞争形势而努力的方向。
一、全方位企业风险管理的组织架构,保证企业风险管理的全面覆盖
建立和健全企业内部多层级企业风险管理的组织架构,明确不同层级的相关职责,是组织和实施风险管理的基础。
居于企业风险管理体系中心的是风险管理的战略层,由企业的董事会及下设的风险管理委员会和审计委员会所构成,分别全面负责企业风险管理的目标、方针、政策的制定和实施效果的检测和考核。中海油事件以后,国务院国有资产监督管理委员会在2006年公布了《中央企业全面风险管理指引》(以下简称《指引》)。《指引》中指出,具备条件的企业,董事会下可设风险管理委员会。企业总经理就全面风险管理工作的有效性向董事会负责,以此防范和控制风险。此后,上海证券交易所和深圳交易所的《内部控制指引》中也都相继明确了董事会要根据战略目标领导和保障内部控制及风险管理系统的运行。可见,风险管理已经被提升到了战略高度。
风险管理的决策层由总经理及下设的风险管理部、法律事务部和内控合规部、审计部、监察部等职能部门组成,全面负责风险管理目标、政策的实施,通过制定相应的风险管理制度、各部门和岗位的职责、权限等规范指导风险管理工作的开展。同时,风险管理的决策层还通过对风险管理方案的制定、评估、考核及监控等措施,保证风险管理规范的全面贯彻。
企业的各个部门、各个业务单位以及每一个员工,构成了风险管理的执行层。执行层是风险管理的具体实施单位,这要求企业的每个员工都有风险意识,并按照风险管理规范所要求的操作流程、审批权限、逐级汇报、信息传递等行为规范进行操作,从而保障风险管理的有效性、敏感度和应具备的快速反应能力。
在三级组织构架内明确战略层、管理层及执行层风险管理的职责,将风险管理及控制活动覆盖到本企业的各个部门、各个层级和经营管理的各个环节,实现风险管理的全面覆盖,在制度和组织构架上奠定风险管理的基础。
二、多重防线,保证企业风险管理系统的运行
在多层风险管理组织体系的基础上,按照企业的经营运作流程结合内部控制运行机制,建立以市场风险为导向的风险管理运行系统的多重防线。
第一道防线,由企业各级市场部门或销售部门组成,以防范市场风险为目的。销售部门或市场部门就好像企业的触角,它感应着市场变化的脉搏,是对市场风险最敏感的部门。因此,加强市场和销售部门的风险管理就成为企业风险管理的首要任务,这包括:通过制定相应的销售管理办法,建立销售预警系统及销售渠道专业化的风险监督制度和客户关系管理制度,对产品销售的市场风险进行反馈和建议,对与销售环节相关的突发的事件进行危机处理,有效地加强市场风险控制。
第二道防线,由企业的采购、生产、财务、投资等部门组成,这些部门是企业正常经营和有效运转的基础,也是企业价值链的主体。因此,要防范和杜绝业务过程产生的欺诈和逆向选择行为产生的风险、资金运用和管理风险、资产管理风险及投资运作风险和其他相关风险,保障企业的健康发展。
第三道防线,由企业的各级内控部门组成,通过综合运用企业层面评估、流程层面测试、合规检查等方法,及时发现和总结梳理前两道防线在制度设计、遵循执行、互动合作和风险控制方面存在的问题、矛盾、缺陷和漏洞,通过采取完善制度、强化遵循、考核激励和责任追究等措施,弥补缺陷、堵塞漏洞、防范风险、减少损失。
第四道防线,由本企业各级风险管理委员会、审计委员会等部门组成,对内控合规部门的内控及风险评估结果,通过审计检查等方法进行再评价,动态审计和监察内部控制的设计与执行情况,对本企业风险管理与内控合规状况进行再评价。
三、企业风险管理重点环节
为实现企业风险管理目标,采取有效的企业风险管理措施,不断提升风险管理水平,必须突出风险管理的重点。
1.明确主要风险控制点,构建企业风险控制点的战略导航图。
风险管理的核心是在业务过程分析基础上的关键环节控制。通过全面分析企业经营过程中所面临的风险,对风险点进行了归集和分类,界定企业面临的主要风险,以建立完善的风险集成机制。在此基础上,再通过对主要风险的性质、影响度、交互作用方式及量化波动水平的分析、研究、测量和评估,制定统一的风险管理策略和全面风险管理的基本内容和要求,形成了企业风险控制点的战略导航图。
2.制定并完善相关风险管理制度,全面覆盖业务、财务、人事、信息等领域。
(1)针对企业的业务特点,制定业务实施规范。这是有效地规避和减少业务经营管理过程中风险的发生及由此造成的损失或不良影响,确保企业依法合规经营、规范有序运转,巩固和提升企业的业务持续经营能力和健康发展水平的基础性规范。业务实施规范应明确业务风险控制的范围和原则、组织体系和职责、控制环节和内容、控制要求和范围,确立业务风险控制有关的报表、报告及评估工作等相关事项。
(2)制定业务风险检查和监测规范,把风险防范制度化和具体化,并促进业务的规范运作。通过建立这些规范明确业务风险检查的方式方法、适用范围、目标原则、组织职责,为企业制定业务风险检查的内容、要求和流程、企业主要业务风险控制点的识别、评价、检查和监控提供依据和参考。这些规范对保证业务单位严格遵守国家、监管机构的各项法律、政策和严格执行本企业有关业务风险防范及控制的规章、制度等,以防范和化解业务风险具有重要意义。
3.引进推广风险管理信息系统,强化全面风险管理能力。
企业风险管理信息系统的有效应用是对风险进行及时、完整、系统、定量和有效反映的重要手段和基本前提。信息系统通过整合单证管理系统与档案管理系统、业务流程分析与监控系统、信息采集与信息统计及分析系统、投资风险预警系统、新型财务管理系统、资产负债管理系统等子系统,进一步强化全面风险管理能力。通过信息系统,采取风险敏感度预警等专门技术和方法对风险控制点进行识别,评估其影响,制定相应的措施,通过监控检查等活动确保措施的执行,实现事前、事中和事后的全面风险管理。