企业全面风险管理的理论与实践梳理

企业全面风险管理的理论与实践梳理

[摘要]本文对国内外企业风险管理理论研究和企业实践进行梳理,归纳主流理论框架和实践经验,为企业加强风险管理体系建设提供参考。

[关键词]全面风险管理;理论框架;实践经验

[中图分类号]F272 [文献标识码]A [文章编号]1005-6432(2009)18-0040-02

1 引言

企业全面风险管理是经济全球化背景下国际大型企业面对日益复杂的外部环境所做出的现实选择。美国世通公司与安然公司丑闻事件、日本住友巨亏事件、英国巴林银行倒闭、中国中航油新加坡公司巨亏事件相继发生后,美国、中国、英国、澳大利亚、日本等国家日益重视企业的全面风险控制。COSO企业风险管理整合框架、萨班斯法案的颁布实施以及中国《中央企业全面风险管理指引》的出台,表明各国政府、监管机构对企业的风险控制能力与防范体系提出了更高的要求。越来越多的国际大公司重视和加强全面风险管理。据普华永道2004年对世界上1400个大中型公司的CEO进行的调查结果看,接近四分之三的企业已经建成或部分建成全面风险管理体系,实施全面风险管理已经成为国际企业风险管理的发展趋势。

中航油巨亏事件发生后,我国中央企业的风险管理问题日益得到各方重视。国资委研究出台了《中央企业全面风险管理指引》,并拟将风险管理纳入中央企业负责人业绩考核指标。

2 企业全面风险管理主流理论框架

国际上主流的风险管理理论框架包括美国COSO的《企业风险管理—整合框架》,我国国资委《中央企业全面风险管理指引》,澳大利亚—新西兰的澳新标准等。

2.1 COSO 企业风险管理框架

COSO是美国反虚假财务报告委员会管理组织,它于2004年9月发布《企业风险管理—整合框架》,是目前美国上市公司风险管理的参照性标准。该框架的本质是建立一个各方通用的共同语言,为企业风险管理提供清晰的方向和指南。它通过风险组合观点,要求企业管理层必须考虑风险与风险之间如何相互关联,并从业务单元层面和公司内部各个实体层面决定风险组合。该框架包含四个目标(战略、经营、报告和合规目标)和八个相互关联的要素(内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和沟通、监控),并考虑了一个组织内部所有层面的活动(公司层面、职能部门、事业部、分公司等业务单元和子公司)。

2.2 澳新企业风险管理标准

澳新标准是由澳大利亚与新西兰联合标准委员会于2005年9月发布,澳新标准认为,企业风险管理是一个逻辑和系统的方法,包括建立风险管理基础、风险识别、风险分析、风险评估、风险应对、监督与协商、沟通与评价等,穿插于公司各个业务活动、职能部门和业务流程,使得公司能够达到损失最小化和机遇最大化。

2.3 国资委《中央企业全面风险管理指引》

2006年6月,国务院国有资产监督管理委员会出台《中央企业全面风险管理指引》(以下简称《指引》)。《指引》借鉴了美国COSO内控框架、COSO全面风险管理框架、萨班斯法案、澳大利亚和新西兰联合发表的国家风险管理标准(AS/NZS 4360)、英国风险管理标准、英国公司治理法典、新加坡上市公司治理法规等,又考虑了我国公司治理法规等现有规

定和我国企业的实际情况。

归纳起来,《指引》包括了三大部分和八个方面具体内容。三大部分是:风险管理流程、风险管理体系和风险管理文化。其中,风险管理流程包括:风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进;风险管理体系包括风险管理组织体系、风险管理信息系统;风险管理文化包括风险管理文化的目标、内涵和培育方法。这三大部分及其具体内容,共同构成了国资委风险管理指引。

3 国际一流企业全面风险管理现状和经验

风险管理制度是否健全,能否落实到位是关系全面风险管理机制建设目标实现的关键。“中航油事件”、“世通事件”充分体现严格执行风险管理制度的重要性。总结国际企业风险管理经验,主要有以下六个方面经验:

(1)建立完整权威的风险管理组织架构是有效贯彻全面风险管理制度体系的重要保障。许多成功实施全面风险管理的大企业都在董事会下成立了风险管理委员会,由董事长兼任委员会主席。此外,这些公司大多还设立了首席风险官,对风险管理进行集权管理,以增强风险管理机构的权威性。实践表明,建立完整、权威的风险管理组织架构,有利于充分整合和调配企业资源,确保既定的全面风险管理各项制度能够得到有力执行,促进全面风险管理工作得以有效开展。

(2)加强风险管理委员会与审计部门的独立性是实施全面风险管理的基础。国际上成功企业在保障企业全面风险管理体系执行的时候,大都注重风险管理委员会和审计部门的独立性,其风险管理委员会都是在董事会的领导下直接工作,不受公司执行层的影响。这样就能够确保风险管理委员会在整个公司全面风险管理体系中的独立性,以确保能够客观、公正地审视公司的风险。同样,这些公司还注重对全面风险管理体系运作的审计,成立了独立的、由董事会直接领导的审计委员会进行负责,保证了对风险审计的独立性和客观性,保证其能向董事会和风险管理委员会提供独立客观的风险控制改进建议,如意大利的爱迪森集团公司。此外,在这些公司的风险管理委员会和审计委员会中,明确要求引入一定数量的独立董事或外部的风险管理专家和审计专家,以确保对公司风险管理和风险控制的独立性、客观性、科学性。

(3)注重对风险的量化评估,加强风险管理人才培养和储备,是充分发挥全面风险管理作用的必然要求。国际上,如欧洲、美国、澳大利亚的企业,非常重视对企业面临风险的量化评估,注重借鉴和吸收金融、保险领域对于企业风险量化描述的方法和手段。这有利于提高风险决策的科学性,从根本上提升了全面风险管理体系执行科学性。要做到风险相对精准的量化描述,就需要专业的风险管理人才。这些公司非常重视对于在全面风险管理体系执行过程中关键的风险管理技术人才的培养和储备,特别注重专业审计人才和风险精算人才的培养、引进和任用,从而为全面、科学地认识和管理风险奠定了人才基础。

(4)构筑风险管理信息化系统,是提升风险决策和风险应对能力的有效途径。信息系统可以让风险管理部门尽快地掌握企业各个环节的风险苗头。以美国花旗银行为例,行长可以通过“集中风险监控系统”显示出来的风险分布图、当前热点风险事件等来及时、直观地掌握企业目前所处的风险状态。这样的工具对于提高企业经营者对风险的感知度和决策的科学性是非常重要的。信息系统还可以成为风险应对的支撑工具和平台,这一特点在国外一些能源供应企业和公共产品提供商的公共事件应急响应平台中已经得到体现。

(5)坚持风险管理独立性与开放性的统一,是确保风险管理发挥实效的一项重要原则。风险管理独立性是风险管理有效性的核心,是风险管理权威性的根本保证,要求有独立的机构、人员,对业务发展中存在的风险进行独立客观的识别、度量和控制。同时,国际上成功实施全