[分享] 构建中国企业全面风险管理体系

       2003年前后，伴随着中国石油、中国电信、中国铝业等在美国上市，中国企业掀起了一股关注全面风险管理的热潮。如何有效识别、分析和评估风险，从而制订相应的风险利用方案和风险应对举措，是中国企业在全球化、信息化大背景下必须了解和掌握的一项基本技能。  

        一、构建企业全面风险管理的必要性 

        企业全面风险管理产生于上世纪90年代中后期，被称作是“90年代及网络革命后的第二件大事”。全面风险管理的产生,一是来自企业的推动。经济全球化的驱动、跨国寻求发展等导致企业经营的风险程度不断增加，企业必须考虑增强自身对风险的控制力，增加决策的前瞻性。二是企业风险管理方法、工具和手段的发展创新（如企业内控和危机管理理论的产生、衍生金融工具和保险市场的发展）等为全面风险管理的产生奠定了基础。三是信息技术的发展。信息技术革命一方面增加了企业面临风险的新内容，另一方面也提供了管理风险的新手段。四是对风险评估方法、技术、战略性价值的日益认同。五是风险管理全球性标准的发展。继澳大利亚和新西兰1996年推出风险管理标准后，加拿大于1997年、英国于2000年、美国于2004年等陆续推出风险管理标准。六是证券市场上一系列财务丑闻的发生导致规范上市公司信息披露和证券市场监管的一系列法案的出台，为全面风险管理的实施奠定了法律基础。 

        二、中国企业风险管理面临的问题

        1、缺乏正确的风险理念。风险理念是指对风险的态度和认识。正确的风险理念既不是对风险的刻意回避，也不是片面为高回报而刻意追求；既不是对风险视而不见，也不是对风险过分强调。风险理念应该与企业所处的内外部环境、企业的资源状况以及企业战略相适应，应该有助于企业战略目标的达成。

        2、有待从战略高度认识风险管理的必要性。中国企业对风险管理的认识大都停留在职能管理的层次上，无论是事前风险应对，还是事后危机处理，都仅仅是从流程、技术层面去把控，风险管理缺乏必要的高度，也没有得到企业高层的必要关注。实际上，风险分析应该是战略管理的必要内容，也是企业高层的一项重要工作。

        3、缺乏系统性风险管理手段。一方面，中国企业的风险管理相当程度上是一种“感性”管理，缺乏风险分析和度量手段，缺少专门化的风险管理工具；另一方面，风险管理往往按职能被切分到财务、运营、市场等多个层面，缺乏全局性的整合框架和主线。

        4、还未渗透到组织和流程的各个层面。组织的风险理念往往缺乏清晰的表达和内部贯彻，并没有为大多数员工理解和认同，也无法落实到具体的日常工作中。

         三、积极构建中国企业全面风险管理体系 

        1、建立统一、分层次的全面风险管理社会标准体系。2001年起，财政部致力于同风险管理直接相关的内部会计控制的建设指导和规划工作，先后颁布了《内部会计控制规范———基本规范》和6项具体控制规范，并印发了5项控制规范的征求意见稿。在以上工作的基础上，财政部正在酝酿构建起以控制标准为基础、以评价标准为配套的全面风险管理内部控制标准体系。2006年7月，国资委发布了《中央企业全面风险管理指引》，《中央企业内部控制管理暂行办法》等内控管理规范也都在制订之中。证监会和中国人民银行也分别针对金融企业制定了相应的风险管理标准。各部门在风险管理标准的制订过程中，一方面不可避免地要体现部门监管需要，使当前的风险管理社会标准呈现出多样化的特征；另一方面，由于标准制定过程中各部门缺乏必要沟通和交流，标准之间也缺少明晰的接口，并出现了一定的重复和雷同。建立全面风险管理标准体系要求在现有各部门标准基础上进行有机的整合。首先，需要明确的全面风险管理统一理论框架。目前各标准都在向美国COSO委员会的ERM框架靠拢，理论基础统一问题已经基本解决。其次，需要各部门的有机协同，明确标准体系的基本主线，做好标准制订部门的分工和侧重，在统一的原则和方针下对现有多个标准体系进行梳理和整合。 

        应建立国资委、财政部、证监会等部门的联合风险管理标准整合机构，最终推出包括全面风险管理指引、全面风险管理建设和评价办法、特殊行业全面风险管理实施办法在内的三层次互为补充、系统全面的风险管理标准体系。其中，“指引”重点解决全面风险管理框架、原则和方针问题；“建设和评价办法”主要为全面风险管理体系的运作提供实施办法，解决各类企业的共性问题；“特殊行业实施办法”主要解决特殊行业，如金融行业的风险管理问题。

        2、建立全方位的企业全面风险管理运作体系。首先，建立健全全面风险管理信息系统，企业应广泛、持续不断地收集与本企业战略风险、财务风险、运营风险、市场风险、法律风险等和风险管理相关的内部、外部初始信息，包括历史数据和未来预测，对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，形成风险信息数据库。其次，建立风险评估系统，针对收集的风险初始信息，结合企业的重要经营活动和重要业务流程，利用成型的风险管理工具手段，定性和定量相结合，进行风险辨识、风险分析和风险评价，描述风险发生可能性的高低、风险发生的条件，评估风险对企业实现目标的影响程度、风险的价值等，对各项风险进行比较，确定对各项风险的管理优先顺序和策略。再次，建立健全基于风险管理内部控制系统，围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，根据风险管理策略，通过执行风险管理基本流程，制定各项规章制度、程序和措施。最后，建立健全风险管理组织体系，风险管理组织体系主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。

         3、健全全面风险管理实施的法律支撑体系。针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》（即萨班斯—奥克斯里法案）。法案的核心在于促进企业完善内部控制，加强信息披露的质量和透明度，并对公司管理层提出了明确的责任要求。法案还将影响到公司的各项管理行为，公司的财务、内部审计、风险管理、人力资源政策和程序、公司治理等诸多方面。该法案明确规定，上市公司必须在年报中披露基于风险管理的内部控制体系的建设情况，并聘请专业机构对内部控制体系的合理性、完善性发表评价意见，这一法案可视为对企业开展全面风险管理内部控制工作的第一部强制性的法律条文，也正是这一方案的颁布，使全面风险管理成为理论界和实践界关注的焦点。中国一定程度上可以借鉴美国的做法，选择中国企业的特殊群体,例如上市公司或者大型金融企业，通过立法的形式，对全面风险管理体系的建立和实施做出强制性规定，督促高风险企业加强和完善风险管理；另一方面，针对企业的高风险业务，例如大规模海外并购、衍生金融交易等，设定强制性的披露业务和审查制度。