国资委出台了《中央企业全面风险管理指引》,文件对中央企业开展全面中央企业风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述。《中央企业全面风险管理指引》的技术含量高,具有指导性和前瞻性,已经涵盖了国际上9大专业机构(包括安永、德勤等“四大”会计事务所)共同起草的“企业风险管理指南”所包含的内容。
指引出台的背景
随着经济全球化的发展,企业在市场竞争中将面对各种各样的风险,如何辨识、评估、监测、控制风险,已成为企业共同关心的热点问题。在一些发达国家,风险管理起步较早。由国际组织及各国风险管理协会的大力推动风险管理标准的实施。1995年,澳大利亚和新西兰联合制订了世界上第一个风险管理标准(AS/NZS4360)。2003年英国制订了AIRMIC/ALARM/IRM标准。2004年美国COSO发布了COSO-ERM标准,充分吸收了前面所提及的各项标准的精华。但是该框架脉络欠清晰,在实施方法和技术手段不够丰富,企业在引进COSO-ERM框架时碰到了可操作性不强的问题。
世界各国国家立法也推动了全面风险管理的开展。英国1998年制订了公司治理委员会综合准则,该准则被伦敦证券交易所认可,成为交易所上市规则的补充,要求所有英国上市公司强制性遵守。2002年7月,美国国会通过萨班斯法案(Sarbanes-Oxley法案),要求所有美国上市公司必须建立和完善内控体系。萨班斯法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。世界上已有30几个国家和地区,包括所有发达国家和地区和一些发展中国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的自发行为。
在一些发达国家,风险管理的理念、技术、方法和手段,已经应用于企业战略制定、投融资决策、财务报告管理、内部审计体系建设等,涵盖了从公司法人治理结构安排,到各项业务运作流程和操作等各个层面,形成了系统化、制度化、规范化的全面风险管理体系。而对于中国绝大部分企业来说,风险管理是企业管理中的一个相对薄弱环节。普遍存在风险控制和风险管理不力问题,相当一部分企业没有专门的人员或机构进行企业风险管理活动;一些企业根本就没有风险管理概念及意识;企业中风险管理活动普遍没有做到规范化和制度化。投资收购、内部审计、衍生品交易等都是目前容易发生问题的重点环节。虽然一些企业已经开始引入了国际通行的内控体系和风险管理框架,但是由于这些体系和框架缺乏符合中国国情的实施方法和手段,因此并没有完全发挥其应有的作用。比如SOX法案在中国就遭遇了“水土不服”,许多公司为依据该法案建立内部控制不得不花巨资,同时由于国内外企业的差异,而且依此建立的内部控制体系的作用有限。
在《中央企业全面风险管理指引》出台前,全面中央企业风险管理在中国金融行业已有巴塞尔协议指导,但是在非金融领域风险管理制度还是空白。“银广夏”等上市公司财务舞弊事件、深圳发展银行周林案、中航油新加坡公司巨亏事件、德隆集团的轰然倒塌、三九集团的瓦解、华源集团主业摇摆不定被收编、科龙顾雏军案……。这一系列的反面案例给国资委带来了不小的冲击。将近两年的时间里,国资委开展了大规模的风险管理研究工作,先后8次组织各种类型的风险管理研讨会,多次邀请国内外专家进行培训,经过20多次易稿,这把中国中央企业全面风险管理的“尚方宝剑”终于浮出水面。
探索中的先行者
我国各行业中,由于金融、保险企业的特殊性,全面风险管理管理工作相对较早。其它行业的企业,如能源行业、电信行业、化工行业和建筑行业已经开始开展全面风险管理相关工作。2006年8月,国资委第一期《中央企业全面风险管理指引》辅导班结业。拉开了中央企业开展风险管理的序幕。2006年9月,由国务院国资委研究中心和亚洲风险与危机管理协会联合主办的“首届企业全面风险管理高峰论坛”在北京举办,聚集了众多各方高层领导,显示了对全面风险管理的重视程度。
截至2006年,相当多的中国大型企业开始重视并开展了全面风险管理工作。物流行业的中国远洋运输(集团)总公司,电信行业的中国网通、中国移动、中国电信和中国联通等企业,能源行业的中石油、中海油和中广核,冶金矿产行业中的中国铝业公司和中国五矿集团公司,以及国家开发投资公司等企业都已经开始看展了不同程度的全面风险管理工作。
2004年6月起,中国远洋运输(集团)总公司开始风险调研、风险辨识评估,并开始建立适合公司发展的风险辨识信息系统的理论框架。2005年,完成了全面风险管理体系框架的建设工作。该公司因此成为了国资委的标杆示范,体现了其对风险管理的理解和应用已经逐步成熟。
2005年下半年,中国移动在福建、天津、湖北、山西等4家省级公司开始试点“萨班斯法案”内控项目试点。试点项目是“萨班斯法案”中最苛刻和最严厉的404条款,涵盖企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等13个大类、38个细项。中国移动率先在企业内部建立“萨班斯法案”试点无疑为其他在美国上市的中国公司起到了一定的示范作用。
中石油、中海油等大型能源企业在近两年也建立以COSO为框架的企业内控体系,并在此基础上开展SOX审计工作。2006年上半年,中石油进行了全面风险管理概念导入的培训;下半年,中海油开始着手打造企业IT内部控制体系,并在下级三家单位开展IT审计的试点,为企业进行全面风险管理注入了强劲的动力。
截至2006年,国投公司启动了全面风险管理体系建设,确定了专门的全面风险管理部门,强化各岗位的风险管理职能,并将风险管理与项目经理责任制相结合,在财务监督、审计监督、法律监督和纪检监督为主体的监督约束机制基础上逐步建立起与业务和管理相融合的全面风险管理体系。
2007年1月,第十三届全国企业管理现代化创新成果奖揭晓,中国网通集团《基于全面风险管理的内部控制体系构建与实施》成果获得了一等奖。
但除金融、保险行业外,其余各行业中小企业还基本处于开展全面风险管理的理念导入或试点阶段。全面风险管理逐渐走入了各家央企老总的视线,并成为资产保值增值和提升企业管理水平的利器。
企业实施全面风险管理的成功因素
中国海洋石油总公司是中国石油石化行业三大支柱企业之一,是国资委直属的大型集团企业,拥有在海外的上市公司。中国海油身处风险密集、资金密集和技术密集的高风险、高投入行业,在国家基本不投入资金的条件下之所以能够获得健康、快速发展的重要原因之一,是得益于公司决策层高度重视风险意识和风险管理。
中国海洋石油公司在风险管理和内控体系的建设上做了很多工作,公司内组建了SOX法案领导小组,并开展了SOX合规审计的工作。尤其是在国资委下发了《中央企业全面风险管理指引》之后,中国海洋石油公司在风险管理上更好地融合了现代企业制度框架下的风险管理理念和风险管理体系。公司不仅开展了以成本控制、资产风险、全球海上能源保险市场等几个板块组合控制风险,并且组织高管人员参加专业机构的系统培训,取得中国首批风险管理师的资格认证,同时还开展了企业IT内控体系建设和灾难备份项目,从信息化手段上更好的推进全面风险管理的落实。
赛迪顾问结合对中国海洋石油公司实施全面风险管理实践的研究,总结出以下几点体会:
1、企业高层充分重视是前提
全面风险管理工作具有全局性、战略性,领导的足够重视是前提。2006年10月,中国海洋石油总公司总经理亲自批示,由公司党组纪检组组长、总经济师等13名高管成员参加中国首届企业风险管理师的培训和认证。培训人员经过系统的学习,通过了认证考试获得了资格证书,最重要的是带回了先进、系统的企业风险管理理念和方法。企业高层有了系统的风险管理理念,才能进一步做出企业风险管理的战略战术规划,为企业有序的开展具体工作提供企业条件。
2、打造全员风险管理意识
全面风险管理是企业各个层面都需要参与其中的管理活动。因此,开展全面风险管理需要打造企业全员风险管理的意识,将风险管理植入企业从组织高层到各项业务程序和系统之中。目前,中国海洋石油总公司以及下级单位都开展了不同层面的相关工作,企业充分利用公司网站和报纸等宣传工具大力开展风险管理、内部控制、合规审计等方面的宣传工作。有限公司制定了《内部控制手册》,并组织全体员工进行学习。在整个企业内部营造出一种风险管理的文化氛围和环境,能够促进风险管理工作的有效开展。
3、有效沟通是促进力
全面风险管理工作涉及面广,工作量大,需要各相关部门的积极参与和通力配合,而在这过程中,有效的沟通显得至关重要。
中海油的全面风险管理工作涵盖了公司所有重要的业务流程,需要梳理所有业务单元的重要业务流程,在此基础上,识别并确认其对应的控制目标、风险因素及关键控制点,势必需要涉及的各部门、各家分公司的积极参与和密切配合。
这其中包含的内容不仅有各部门和各分公司对承担的任务理解偏差的矫正,他们之间的配合和分工,一旦沟通失效就将阻碍工作的进展。为此,中海油加强了沟通协调力度,同时制定了相应的工作流程和规范,明确分工,从而促进了全面风险管理工作进展。
4、健全的组织和制度是保障
实施全面中央企业风险管理,需要有专门的部门,统筹安排各项相关工作,负责组织、控制和实施,协调各部门之间关系。同时也要有固化为规章制度的约束,使得工作有“法”可依,有“法”必依。