风险管理体系框架设计

风险管理体系框架设计

风险框架设计的核心框架：

股东层和经营层职责清晰划分

董事会负责确定业务战略和风险管理战略，下面设立的若干委员会协助董事会完成各项决策，CEO负责执行业务战略和风险管理战略。经营层面，业务线负责具体业务，向CEO负责;风险线负责风险管理，向董事会负责;内审线负责对各部门执行政策的情况进行检查，对财务报表的真实性和经营效率进行监督，也直接对董事会负责。

成立独立风险管理部，建立统一应对风险的管理策略

风险管理部门独立于业务线设置，主要负责建立整个集团公司的风险管理标准，独立审批和评估业务单元的风险管理框架、流程和信息系统。对业务单元的风险承担活动提供支持，这样对整个集团

明确风险承担责任制

业务线对承担的各类风险负第一责任

各个管控条线实行垂直管理

与管控体系相一致，沿着各个管控条线加入风险管理，这样将相对独立的各子公司连接为一个整体，既有利于集团战略的贯彻，又使各个子公司协同一体发挥到最佳状态，提高企业的综合竞争力。

（1）首先要优化治理机制，建立有效的公司治理结构

公司治理是企业全面风险管理的必要组成部分，因为它提供了对风险的自上而下的监察与管理。

风险管理从公司治理这一制度安排决定了企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。公司治理是组织应对风险的战略反应，包含了一些战略性的风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司决策层在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此，规范的公司治理是风险管理的核心。在公司治理层面的风险管理中，应注意一下几点：

董事会实现专家治理

合理安排内部董事、外部董事和独立董事的构成比例。董事应该选取有专门的知识的专业人才，实现“专家治理”，彻底摈弃由不设立独立董事的传统做法。在一些特殊的企业（比如股东成员专业性不强的民营企业）应增加独立董事的数量。

有效的公司治理结构要求职责明确，各司其职。目前，独立董事在很多企业可以说是一个虚职，营战略，并依此制定相应的风险管理战略，包括风险管理的目标、风险可承受区间、风险管理的原则和政策，监控风险管理相关政策、制度的实施;负责资本金的管理及最优配

2020/3/27

置，负责财务预算决算;负责评价高层管理者的任职情况。

监事会真正到位

在中国，尽管《公司法》规定监事会为与董事会平行的机构，对董事会的运行起到一个监督的作用，但事实上大多数的监事会因为缺乏激励和考核，监事没有薪酬回报（一般公司也存在如此情况：付给监事的报酬普遍低于董事和其他高管，监事持有公司股权比例也低于董事和其他高管人员，更有一些兼职监事不领取薪酬等原因造成了监事会形同虚设，不能有效地约束和限制董事会的工作。为了避免这一点，监事会成员应该由股东大会和职工代表大会选举产生，董事会、经营层成员不能进监事会，并对监事实行一定的激励措施。。监事会负责监控董事、高层管理者等的道德风险和尽职情况，监督董事会的决策;监管企业的财务状况，监测企业整体的风险水平和内控能力。高级管理层在董事会的领导和监事会的监督下，朝着公司经营目标努力，在风险最小化的前提下实现收益最大化。

（2）在有效的公司治理结构基础上，建立相互独立的、垂直的风险管理组织框架。具体可以从两个层面来理解:

三个层次的风险管理：监事会、董事会、高级管理层;

三级经营单位的风险控制：母公司、子公司、孙公司

三个层次的风险管理:

董事会是公司风险管理的最高权力和决策机构，下设风险管理委员会，负责全集团范围的风险政策、标准的制定与落实，以及工具和系统的开发，该会的设立是实现全面风险管理的制度基础。监事会下设风险审计委员会，负责集团整体风险监测、风险管理效果评价，督促建立有效的风险管理机制和组织体系，对董事会成员、中高层管理人员、关键岗位人员的道德风险进行监测，必要时可自行决定外聘审计师。高级管理层可以下设风险执行委员会和设立独立于上述经营管理系统之外的稽核系统，，监控辖内所有机构和业务的风险。

三级经营单位的风险控制:

集团CEO，负责全集团的风险管理，可以下设风险执行委员会、风险管理部、稽核部。风险执行委员会是企业履行风险管理职责中地位仅次于风险管理委员会的高级别职能机构，以风险管理委员会的风险战略为依据，细化并落实全行的风险管理政策;通过风险管理总部集中管理全集团风险，包括制定风险管理指引及组织实施。稽核部负责所有业务和风险管理的合规性审计。

子公司作为二级法人，是风险控制的前站。集团总部实行风险的垂直管理。总部对子公司负责人实施风险问责，并向子公司派遣风险管理官，协助子公司负责人管理风险;相应的风向管理官、财务主管和稽核主管，工作上对总部相应的风险管理部门负责。

在孙公司，是业务实体机构，子公司可以委派财务经理，控制会计风险和财务风险。

（3）建立风险管理流程框架

风险管理流程应保证风险管理的垂直化、扁平化，保证风险管理的独立性和权威性。避免政策传导不畅通、总部对基层的控制力薄弱、层层上报审决策批机制效率低下等情况。

企业可以下几个方面考虑建立风险管理流程框架:

(1)风险管理政策、标准和工具的制定与审批流程;

(2)政策执行和监督流程;

(3)例外计划的处理流程;

(4)风险状况变动的连续跟踪流程;

(5)向高级管理层和相应的管理委员会的报告流程。

（4）建立有效的风险防范内部控制制度

内控体系是全面风险管理的有机组成部分，贯穿于整个组织体系，主要包括各项内部控制制度，比如批准、授权、审核、分工、财产安全保护等。这些程序和行动的目的是为了确保工作正常进行，质量得到保证，各项降低风险的措施得到贯彻实施。

内部控制的目标是保证实现工作组织目标：运营的效果与效率、财务报告的可靠性和完整性、符合相关的法律法规和合同、资产的安全和完整。因此在日常经营活动中嵌入内控机制，可以更好地识别风险和管理风险。

企业在设计内部控制机制时，应以风险识别和分析为基础，在必要的环节设置控制点，达到风险管理的有效性和效率性。

风险管理是一项复杂的系统工作，贯穿于现代企业的所有经营管理活动中，从日常的质量控制到突发事件的防范都包含风险管理的概念。企业有效的管理风险，必须把内控系统和经营系统有机地结合起来，建立一种自动风险防范机制，防止因为风险的产生导致企业的更大损失。

（5）建立风险管理信息系统

企业应建立风险管理信息系统，将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。

已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企