23期法律解读

呈 阅 件 （2010 年第 5 期） 新颁法律法规解读 法律事务部 （总第二十三期） 企业全面风险管理文化 宣传手册 （第三、第四部分） 目 录 三、全面风险管理的基本概念 1. 全面风险管理的定义 2. 全面风险管理的目标 3. 全面风险管理的必要性 四、全面风险管理体系的组成部分 1. 风险管理策略 2. 风险管理组织职能 3. 风险管理内部控制体系 4. 风险理财 5. 风险管理信息系统 3 全面风险管理的基本概念 3.1 全面风险管理的定义 全面风险管理，是指企业围绕风险管理的总体目标，在企业经 营管理的各个环节和业务过程中执行风险管理的基本流程，制定风 险管理战略，落实风险管理措施，培育良好的风险管理文化，建立 健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。 如下图所示，中间的实线表示企业预测的今后几年的收入，但因为 有不确定影响，可能发生的情况是这条弯曲的实线表示的情况；周 围的两条虚线表示企业的管理层和股东，对经营目标可接受的区间， 在区间以内认为可以接受，在区间以外不可以接受的。 预测值 时间 经营目标 实际值 经营目标 可接受区间 不可接受 不可接受 需要说明的是，全面风险管理是要控制企业的行为在可接受的 范围之内，但是不能给企业提供绝对的保证，而只能为企业实现其 经营目标提供一个合理的保证。所谓合理的保证，打一个比方来讲， 就是企业的领导或者股东或者董事会心里边有信心，如果不发生百 年不遇千年不遇的情况，企业的战略目标就能实现，所以全面风险 管理是一个一般性的过程和方法，只能为企业实现目标提供一个合 经营目标 可接受区间 2 理的保证。 相对于经验式的传统风险管理而言，企业全面风险管理更具有 科学性和系统性。二者的区别如下图所示： 项目 传统风险管理 全面风险管理 方 式 就单个风险个体实施风险管理 从总体上集中考虑和管理所有风险 职能部门 分散的职能部门 集中的管理部门 态 度 被动的将风险管理作为成本中心 主动积极地将风险管理作为价值中心 目 标 与企业战略联系不紧，目标是转移或避免风险 紧密联系企业战略，目标是寻求风险优化 手 段 基本上采用保险手段和内部控制手段 采用多种手段，结合战略、组 织、信息、金融、内控等多种 手段 注意焦点 专注在纯粹和灾害性风险以及可控的运营风险 注意焦点在所有利益关系人的共同利益最大化 另外，有些人认为全面风险管理是独立于现有管理体系的一个 新的管理系统，这是一个误区。全面风险管理是对现有数据的挖掘 和利用，是对现有管理体系的整合，是对现有管理职能的强化，全 面风险管理的内容融入了现有的管理职能。 3.2 全面风险管理的目标 全面风险管理的目标为：风险最优化、防范重大损失、有效和 有效率的经营、可靠的信息沟通以及遵守法律法规。 风险最优化是指企业的风险在企业经营战略决定的可接受的范 围之内，要求企业的风险承担与企业的经营目标一致。 保护企业不致因灾害性事件或错误而遭受重大损失一方面要求 指企业对可控风险的控制有效，另一方面要企业对不可控风险的应 3 对措施符合企业风险管理策略的要求，同时把不可控的风险的影响 控制在可承受的范围之内。 全面风险管理应当而且能够提高企业的经营效益和效率。企业 的经营的目标，包括财务与非财务目标，主要与企业利用资源的效 率和达到的效果有关。 可靠的信息沟通意味着沟通信息的真实、及时、公允。信息沟 通包含企业内外部的信息沟通，企业内部的信息沟通应当使董事会 和高管层了解企业的风险情况，使企业每一个工作人员明确企业的 风险管理政策；企业向外的沟通主要是信息披露和财务报告，包括 税务报告。 所谓合规经营是指企业的行为符合有关国家的法律法规的要求， 包括符合法律和法规的要求、上市公司要符合监管机构对财务报表 的要求、国有企业要符合国资委对国有企业的要求。 如前所述，全面风险管理的最终目标是为企业实现经营目标提 供合理保证。 3.3 全面风险管理的必要性 全面风险管理是企业持续健康发展的需要。近年来在国内国际 发生的如巴林银行、长期资本管理、世通、安然、中航油等著名案 例说明，企业的倒闭或者遭受重大损失都是因为不良的风险管理造 成的。 全面风险管理也是政府等监管部门、员工、社会、股东、债权 人、管理层以及商业伙伴等企业利益相关人的要求。 4 在企业层面，董事会和管理层需要全面风险管理回答的问题包 括： 公司目前面临的风险有哪些？ 哪些风险可能影响战略目标的 实现，甚至危及到公司的生存？公司应该怎样度量这些风险？ 这些 风险产生的动因有哪些？ 目前的风险状况是否符合公司发展战略的 需要？ 公司现有的风险管理是否有效？ 公司应该如何管理所面临 的风险？ 公司应当如何构建风险管理的体系？ 公司应该怎样利用 风险管理来实现自己的目标？我们有多少把握能够达到我们预定的 战略目标？是 98还是 95？如果是 98%，那么 2%的可能性又意味 着什么情况？这些意外情况对我们公司有什么样的影响？我们应该 怎样应对这些情况？ 全面风险管理就是回答以上这些问题最好的方式。 5 4 全面风险管理体系 全面风险管理体系是企业在风险管理中建立并维护的必要系统， 包括指导企业整体风险管理 活动的风险管理策略、执行 风险管理功能的风险管理组 织职能、为保证风险管理顺 利执行的内部控制系统、用 于提高风险信息收集、分析、 传递的效率和效果的风险管 理信息系统以及风险理财五个组成部分。 4.1 风险管理策略 风险管理策略是根据企业整体经营战略制定的全面风险管理的 战略，如同企业战略是指导企业运作的总纲领一样，风险管理策略 是指导企业风险管理活动的方针和行动纲领，是针对企业面临的主 要风险设计的一整套处理方案。明确的风险管理策略是全面风险管 理体系能否有效运行的关键。 风险管理策略包括企业的风险度量模型、风险偏好和风险承受 度、全面风险管理的指导方针、全面风险管理的资源配置和风险文 化等几个组成部分。 4.1.1 风险度量模型 风险度量模型要解决的是“如何衡量企业风险？”的问题，是 整个风险管理策略以及风险分析和评价的基础。 风险管理策略 风险管理职能 综合内控 风险理财 风险 管理信息系 统 风险 管理信息系 统 全面风险管理体系 6 在风险评价的过程中，应尽量将风险的价值量化，这将有利于 管理层做出正确的风险管理决策。度量风险的方法有许多。这些风 险的度量包括对风险的影响直接估计如损失额，对风险事件发生的 概率的估计，以及二者的结合如数学期望值、波动性、VaR、保险费、 期权价值等，还包括风险对目标的变化的影响如各种导数类的指标 等。 统一的风险度量模型可以使企业了解自身的整体风险水平，从 而确定可以接受的风险组合和风险量的大小，同时可以衡量不同业 务之间的风险大小，确定哪些风险是企业应当着重管理的，以及为 风险管理资源奠定了分配基准。 4.1.2 风险偏好和风险承受度 风险偏好和承受度要解决的是“企业要承担什么风险？承担多 少风险？”的问题。风险偏好是企业为了达到目标而愿意接受的风 险及风险组合,风险偏好和企业的战略直接相关。风险承受度是企业 为了实现其目标所愿意承担的风险的限度。风险承受度既可以作为 风险偏好的边界，也可以作为风险预警指标。 4.1.3 风险管理指导方针 风险管理指导方针要解决的是“怎样管理企业的风险？”的问 题。风险管理的指导方针即指管理每个或每一类风险的对策，包括 风险规避、风险接受、风险转移、风险控制或其它战略手段，风险 的对策还可以包括培训、教育、组织调整等手段。 风险规避是从战略决策的角度停止或避免引发风险的所有行动， 7 如通过退出一个市场或地域，或者抛售、放弃一个产品类别或服务 来避免风险。当某一风险与战略目标没有关系、同时该风险在可接 受的范围之外、或者没有其他对策能够降低影响和可能性至一个可 接受的程度时，企业应该考虑在战略上规避该风险。 风险控制是企业最多使用的风险管理策略，是指采取行动减少 或者控制风险发生的可能性或者影响。这里的风险控制是单个风险 控制的手段，是狭义的控制。主要方法是通过内部控制，将不可预 见意外事件的可能性减少到可接受程度。 风险转移是指通过购买保险产品、集中风险、外包服务、使用 特定的交易合同或其他金融工具来转移某些风险。风险转移是将剩 余风险降低至企业能够承受的风险范围之内。 风险接受是指当潜在的风险已在可承受的风险范围内时或者其 管理成本超过预期的收益时，指不采取行动而是接受风险发生的可 能性和影响。当接受风险时，应该考虑主要问题是：如果出现任何 损失的话，怎样为损失而提供资金和补偿。因此解决的方法了可以 是建立通过增加一笔额外费用，在市场条件允许的情况下，弥补风 险承担者的损失，通过这种方式重新定价产品或服务。 4.1.4 全面风险管理的资源配置 全面风险管理的资源配置要解决的是“如何安排风险管理资源？ ”的问题。企业应当为实施风险管理总体战略准备必需的资源，以 保证风险管理策略的执行，同时注意把握风险管理成本与风险管理 收益的平衡。 8 企业的风险偏好引导着资源分配，因此企业应该根据风险偏好， 结合现有的资源、能力，以及企业管理不同的风险所愿意付出的时 间和成本等来确定承担风险成本的资金预算和控制风险的组织体系、 人力资源、管理措施等的总体安排。 4.1.5 风险文化 风险文化是企业风险管理水平的反映，也是风险管理的有力工 具。企业应当致力于风险文化的培养，使风险管理真正成为企业文 化的有机组成部分。风险文化是关于企业在日常运营中对待风险的 态度、价值和实践，风险文化从企业的风险哲学和风险偏好中应运 而生。 企业应当大力培育企业审慎的风险文化，在日益激烈的市场竞 争中，让员工充分了解不断面临的新的风险。通过风险管理的培训 等手段，增强每一位职工的风险意识，用文化使全体员工统一认识、 自觉行动，促进风险管理水平的提高。 董事会应当高度重视风险管理文化的培育，总经理负责培育风 险管理文化的日常工作，董事和高级管理人员应当在培育风险管理 文化中起表率作用。重要业务流程和风险控制点的管理人员和业务 操作人员应当成为培育风险管理文化的骨干力量。企业要充分发挥 党组织和职工代表大会的作用，推进风险文化的建设。 4.2 风险管理组织职能 风险管理组织职能是整个风险管理的核心，是风险管理的具体 实施者。通过合理的组织结构设计和职能安排，可以为有效管理企 9 业风险提供基础。风险管理组织职能决定了企业控制、监督和评估 其所承担风险的能力，它的目标是保证与企业的风险管理战略一致。 完整的风险管理组织结构一般包括：董事会、风险管理委员会、 总经理、风险管理部门、内部审计部门、其他职能部门以及各业务 单元以及风险管理岗位。不同的风险管理层面其职责各有侧重。 风险管理的最终实施者是人。企业应该培养、储备一批在战略 管理、财务管理、运营管理等方面的专业人才，充实风险管理相关 部门以满足风险管理的人才缺口。 4.3 风险管理内部控制系统 风险管理内部控制系统作为全面风险管理体系的一部分，是指 企业管理层通过制定有效的监控措施，规范管理行为，控制企业经 营管理过程中可能发生的内、外部风险，保证企业整体目标的最终 实现。 完整的内部控制体系和完善的内部控制制度是约束、规范企业 行为的准则，是减少风险的重大措施。有效的内控可以保证明确授 权，对风险做到提前预防、适时管理和及时反馈，能保证管理行为 的效率和效果，保证信息的准确性。内部控制活动是风险管理的关 键，是风险管理实际操作的核心，内控体现的完整性、准确性和有 效性直接决定到具体风险管理的效果。 风险管理的内部控制系统还包括风险管理流程、重大风险、重 大事件的应对流程等以及一套风险整体的管理制度，如确定重大风 10 险、风险管理策略、落实风险责任以及相关的考核报告的要求，以 指导整个企业的风险管理实践。 4.4 风险管理信息系统 风险管理信息系统是将信息技术应用于风险管理的各项工作， 传输企业风险和风险管理信息的主要渠道，包括风险信息和运营数 据的采集、存储、加工、分析、测试、传递、报告、披露等各项功 能。风险管理信息系统是全面风险管理各个子系统的信息集成，是 企业高效率风险管理的必要工具，也是企业风险管理战略的载体。 风险管理信息系统为量化风险提供计算服务，并且可根据管理层的 要求就某一风险事件进行情境分析。 企业加强风险管理信息系统的工作应该从提高与风险相关的数 据管理流程的顺畅性、数据模型和来源的统一性、数据所有权的清 晰性、数据质量的准确性和可靠性、数据传递的及时性等方面做起。 在加强数据管理的同时，企业要根据不同管理层次的信息需求 设计清晰的风险报告系统，以提供给决策者简洁而有用的信用风险 管理信息。风险报告系统不仅要满足单项业务风险管理的要求，而 且要满足企业整体的和跨职能部门、业务单位的综合性的风险管理 的要求，尤其要关注那些影响企业战略目标实现的重大风险信息。 风险管理信息系统的建设要根据企业的信息化战略规