关于央企内控主导型全面风险管理体系的几点思考.doc

加快构建内控主导型央企全面风险管理体系关于央企内控主导型风险管理体系的几点思考 摘 要 在企业国际化条件下,进入“后金融危机时代”，企业面临的风险比以往任何时候都更为复杂。中央企业作为国民经济重要支柱,能否科学管理风险、有效防范和化解风险，不仅关系到国有资产保值增值的实现，也关系到宏观经济的持续、快速、健康发展。针对我国央企全面风险管理仍处于探索起步阶段的实际，本文在考察借鉴国外企业风险管理体系和成功经验基础上，对央企风险管理策略进行了认真思考，提出了加快构建内控主导型央企全面风险管理体系的一些建议。关键词 内控；风险管理；体系；思考经济全球化和区域经济圈深度融合背景下，生产要素流动日益加快，技术换代周期不断缩短，金融衍生工具愈加丰富，国际市场迅猛扩张，社会经济关系日趋复杂。全球化在为国内企业做大做强注入生机活力的同时，也带来范围更广、程度更深、变化更快、影响更大的不确定性和潜在风险。过去十年，美国安然公司（Enron）、法国兴业银行（Societe Generale）、美国雷曼兄弟公司（Lehman Brothers）等企业先后出现严重亏损甚至破产，不仅一度重创资本市场，甚至将世界经济拖入“后金融危机时代”阴影，充分暴露出其内部控制和风险管理方面的缺陷。时至今日，内部控制和风险管理已受到世界范围内众多企业、投资者和信用评级机构高度重视，被视为增加企业盈利性和降低收益波动性的战略工具。针对国内企业内部控制和风险管理仍较落后的实际，在考察借鉴COSO委员会ERM框架及国外企业成功经验基础上，本文对构建内控主导型央企全面风险管理体系有关问题进行了认真思考。一、经济全球化背景下的企业风险及发展趋势企业关注的风险，主要是可能使企业遭受损失的潜在事件，表现为事件后果与预期目标的负偏离。米歇尔曼德尔（Michael Mandel）在高风险社会（The High Risk Society）一书中指出：“经济的不确定性是企业获得成长必须付出的代价”。风险在经济活动中普遍存在，并与企业收益波动性正向相关。“后金融危机时代”的企业风险，还表现出高度复合性和复杂性。（一）庞杂的不确定性：企业国内经营风险企业生产经营活动即便仅限于国内，也面临庞杂的风险（图1）：一是由企业外部力量引起的、可控程度较低的环境风险，包括国内宏观经济环境、法律法规、行业危机、技术创新、竞争者和监管者的行为、市场价格、利率、自然灾害、恐怖事件、公众健康、地理位置等因素变动引起的风险。二是由企业自身治理结构、组织结构、战略决策、运营管理、财务管理、资产管理、审计管理、人力资源管理、安全生产、公共关系及重要性越来越突出的环境保护、信息安全和企业文化等内部管理因素产生的风险。三是由企业生产经营决策引起的决策风险，通常由企业决策方式、决策程序及可供决策信息的可靠性和有效性等因素引起。图1：按可控程度划分的企业国内经营风险企业治理和组织结构、战略决策、运营管理、财务管理、资产管理、审计管理、人力资源管理、安全生产、公共关系以及环境保护、信息安全、企业文化等。宏观经济环境、法律法规、行业危机、技术创新、竞争者和监管者的行为、市场价格、利率、自然灾害、恐怖事件、公众健康、地理位置等。决策风险内部风险外部风险决策方式、决策程序以及可供决策信息的可靠性和有效性等。（二）高度复合性和复杂性：企业跨国经营风险一是体制差异性风险。如东道国国内政治局势、对外关系、政府干预行为，经济体制、经济模式、经济政策等。二是文化差异性风险。是由不同文化背景、消费需求偏好、信仰、传统、价值观及管理风格、沟通方式和工作态度等引起的。三是国际环境稳定性风险。国际政治、经济和外交关系变化，地区力量对比变动，武装冲突发生的可能等因素，构成企业跨国经营的时空条件。四是技术和科技进步本身风险。技术换代周期的缩短、因特网的产生与普及、金融衍生工具的日益丰富，在加速信息传播、加快资本流动、改变资源全球配置格局的同时，也使全球性竞争更加激烈。（图2）图2：按风险源划分的企业跨国经营风险（三）“后金融危机时代”企业风险发展趋势及要求1、风险范围从企业自身和国内扩展到国际。2008年金融危机证明，随着经济全球化进程加快，风险不再局限于企业自身或本国范围，而是往往沿产业链或供应链在全球范围内进行跨产业、跨行业、跨国界传递和蔓延。这种变化要求企业更加注重对产业链和供应链上下游风险进行管理。2、风险类型从常规风险转变为非常规风险。金融危机中，企业风险一改其内生性和封闭性特点，表现出自外向内、由宏观到微观的非常规风险特征。非常规风险要求企业从战略高度，积极关注世界政治、经济、文化发展变化，将风险管理阵线拓展到企业自身和本国范围之外。3、风险感知模式从分散性影响演变为系统性影响。金融危机中，整体系统性风险首先置企业于不利环境之中，后又诱发企业自身种种非系统性风险。这种变化要求企业改变过去那种分散性、间断性风险管理模式，将风险管理真正融入企业战略，实施企业全面、全员、全过程的一体化和连续性风险管理。美国著名管理学家托马斯斯图尔特在21世纪风险管理一文中指出：“风险管理的主旨不在于消除风险，那样只会浪费获得回报的机会。风险管理要做的是对风险进行管理，主动选择那些能带来收益的风险。”面对“后金融危机时代”风险变化发展趋势，企业须及时转变风险管理理念，强化风险管理意识，研究建立行之有效的风险管理体系。 二、基于COSO委员会ERM框架的几点思考（一）对ERM框架风险管理内涵的解释2004年，COSO（Committee of Sponsoring Organizations of the Treadway Commission）在其内部控制整体框架（Enterprise Risk ManagementIntegrated Framework）基础上，结合萨班斯法案（SarbanesOxley Act）内部控制要求,形成了旨在将风险管理渗透到企业战略、组织结构和业务流程各环节的ERM框架。ERM框架对风险管理的定义是：风险管理是一个过程，由企业董事会、管理当局和其他人员共同实施，应用于战略制定并贯穿于整个企业，旨在识别和管理可能影响企业经营的潜在事项，将其控制在企业风险容量之内，从而为企业目标实现提供合理保证。（二）对ERM框架风险管理功能的认识1、ERM三维框架。ERM框架从三个不同维度，用四大目标、八个要素和四种组织形式，描述了企业风险管理的动态过程（图3）。ERM框架目标维度，包括作为统领的战略目标实现，以及作为支撑的企业运营效果、财务报告真实准确性和企业经营合法性等要素。组织维度，包括企业战略单位（领导层及风险管理设计、组织、监督单位）和业务单位（各职能单位、分支机构及附属企业）。要素维度，则包括控制环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通和监督等环节。图3：ERM目标、要素和组织形式三维框架战略运营报告合规内部环境目标设定事项识别风险评估风险应对控制活动信息沟通监督子公司业务单位科室公司层面2、ERM框架风险管理功能的强化。ERM框架在COSO内部控制框架基础上进行了扩展：一是将财务报告目标从公开披露财务报表的可靠性扩展到企业编制的所有报告的可靠性，强化了财务风险管理要求。二是增加了企业战略目标，强调了从企业战略高度进行风险管理。三是增加了事项识别、风险评估和风险应对三个风险管理要素，更好适应了企业风险的不断发展变化。3、不同风险管理模式的选择。ERM框架中，每一个风险管理要素都与四项目标、四个经济单元相互交叉，说明企业风险管理不是线性连续过程，而是具有多方向性、反复性特征的非线性过程。基于业务类型、企业规模、管理模式、企业文化等因素不同，企业风险管理不存在普遍适用的实施方案，不同企业应根据自身情况选择合适的风险管理模式。（三）内部控制与风险管理的辩证关系从ERM框架与内部控制框架对比看，风险管理强调从企业战略高度、在整个企业范围内、以全局风险组合观来管理风险，其框架涵盖了内部控制要素，其要求高于内部控制要求；内部控制本身具有风险控制功能，与风险管理具有目标方向上的一致性。从二者关系看，风险管理不仅是企业管理的重要组成部分，也是内部控制的内在动力；内控作用的有效发挥则不仅是企业经营管理的必然要求，也是企业风险管理的重要基础。三、当前我国央企风险管理中存在的主要问题近年来，国家有关部门高度重视央企风险管理工作，国资委于2006年出台了中央企业全面风险管理指引，财政部、证监会等部门也于2008年颁布了企业内部控制基本规范。从风险管理实践看，虽有部分企业风险管理工作相对规范，但央企在海外扩张、金融衍生品投资、财务审计等方面仍屡屡出现问题，造成大量国有资产流失。数据显示，2008年央企海外投资损失超过1000亿元。央企风险管理仍存在亟需改进的方面和环节。（一）风险意识比较薄弱，风险管理的主动性不够一是风险意识不强，有的因为仍未完全摆脱计划经济思维而无视风险，有的只顾眼前经济效益而不顾风险，有的则沉醉于企业效益高速增长而忽视风险。二是思想认识不足，认为风险管理与企业效益关联度低、风险管理的有效性差，属于主营业务以外的附属性工作，意识到了就管理，事后则置之不理。三是风险意识尚未贯彻到整个企业中去，企业领导层重视，风险管理部门重视，业务部门和其他部门不够重视。四是长期处于问题反应状态，平时不重视风险管理，关键领域出了问题才被迫应对。（二）内控体系还不健全，风险管理执行效果较差从近年个别央企巨亏的前车之鉴看，央企内控体系还不健全：内控体系建设积极性不高，大部分央企尚未按国家有关部门要求建立健全内控体系。已建立内控体系的，或者仍习惯于以传统经验代替规范化管理措施和手段，未真正落实；或者仅对企业生产经营的某个或某几个关键点进行控制，还不够全面；或者与企业战略和生产经营活动契合度低，可执行性差；或者公司治理结构还不完善，内控体系建设及其执行缺少制度保障；或者内部审计独立性不强，“对内部控制的再控制”不到位，等等。（三）风险管理量化手段缺乏，仍处于感性和人治阶段尽管美国华尔街定量、模型化风险管理技术在金融危机中饱受质疑和诟病，但不能因为风险管理“提供合理而非必然保证”的局限性就否认其积极作用。对大多数央企而言，风险管理量化技术应用还远远不够。近年来国资委不遗余力地推动央企风险事件数据库建设和风险预测、风险评估数学模型开发，但由于重视程度不够、信息化水平不高，风险管理软件开发推广进展缓慢等原因，央企风险管理总体上还处于感性和人治阶段，风险预测、识别、评估和应对缺乏理性和客观依据。（四）公司治理结构尚不完善，外部监控与评价机制缺失近年来央企公司治理结构有了一定进展，大部分央企都由国资委派遣或推荐了外部董事，但由于董事会结构还不尽合理，独立董事占董事会成员比例偏低，董事会内部职责分工不够明确，监事会独立监管职能缺少制度保障等原因，董事会对企业生产经营活动的控制权、决策权和监督权尚未真正落到实处，独立董事的外部监督和评价作用尚未得到有效发挥，监事对董事和经理的监督检查职权尚未得到真正体现。 四、构建央企内控主导型风险管理体系的几点设想无论从确保国有资产保值增值的责任出发，还是从提高经济效益、服务社会主义和谐社会建设的功能出发，不断提高风险管理水平，确保企业稳健运行，央企都责无旁贷。从企业风险发展的新趋势、新要求和我国央企风险管理现状看，须采取切实有效措施，加快构建内控主导型全面风险管理体系，着力提高风险管理能力和水平。（一）强化风险管理意识，提高风险管理重视程度一是建立风险管理“一把手”责任制。国外经验表明，企业管理层的高度重视和大力支持，是建立健全风险管理体系、加强部门间风险管理合作、确保风险管理连续性和营造良好风险管理氛围的重要保证和有效做法。二是尽快在全企业范围内贯彻风险管理意识。通过风险资料共享、面对面风险咨询、现场风险分析、部门自我风险评估等多种方法，使每一名员工切实认识到风险管理的重要性。三是将风险管理激励纳入绩效考核，提高风险管理积极性。在这方面，美国大通银行的SVA法（计算各单位利润时，从收入中扣除资金的风险调整费用）较有借鉴价值。四是将风险管理意识融入企业文化建设，逐步形成企业独有的风险管理哲学和风险管理文化。（二）加强内控体系建设，夯实全面风险管理基础1、健全企业内控体系。财政部、证监会等部门颁布的企业内部控制基本规范，总结借鉴了世界主要经济体加强内部控制的先进做法和经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的内部控制框架，为我国企业实施内部控制提供了指引。央企应按国家有关部门要求，参照该框架性标准，结合企业实际，针对薄弱环节，抓住重点环节，建立健全内控体系，完善内控实施机制，夯实全面风险管理基础。2、完善法人治理结构。针对公司法人治理结构尚不完善的实际，一方面，要强化董事会在公司治理结构中的主导地位，增加独立董事比例，明确董事会内部分工，充分发挥董事会对企业生产经营活动的决策权、控制权和监督权，完善外部董事独立评价机制，充分发挥外部董事风险管理监控作用。另一方面，要完善监事会制度，确保公司监事能够以财务监管为核心独立实施对公司董事和经理的监督检查。3、推行全面预算管理。全面预算管理不仅是企业现代化管理的重要标志，也是有效内控的重要环节。通过实行全面预算管理，将与企业生产经营活动有关的所有事项纳入预算管理体系，以企业营业收入、成本费用和现金流量为预算管理重点，实施对企业生产经营活动的有效监控。4、加强会计系统监控。通过企业会计系统确认并记录企业所有真实交易，及时详细描述交易，正确计量交易价值，公开披露交易事项，对内向管理层、对外向出资人提供经营管理有关信息，实现对企业货币资金、实物资产、工程项目、对外投资、采购付款、销售收入、成本费用及担保业务等的有效控制。5、强化审计监察职能。完善董事会或审计委员会直接领导下的内部审计体系，通过内部审计与外部审计、上级审计与下级审计相互结合，确保内部审计部门独立开展工作，加强对企业经营管理活动的审计评价，抓好经济责任审计和企业效益审计，对企业内部控制进行有效再控制。（三）完善风险管理机制，构建全面风险管理体系央企应在强化内部控制基础上，积极探索建立符合企业实际的全面风险管理体系，并根据风险的发展变化，适时进行维护和校正。这个过程中应把握好几个问题：1、健全风险管理组织结构。通过设立风险管理部门，由其独立或与其他部门协同拟定风险管理制度、贯彻风险管理意识、进行风险识别与评估、对业务部门提供风险提示等，健全风险管理组织结构，将风险管理纳入企业日常管理体系，这方面加拿大联合谷物种植公司的案例就是很好的榜样。2、完善风险识别评估体系。学习借鉴风险价值法（Value at Risk, VAR）、压力测试法（Stress Testing）、风险收益法（Earnings at Risk，EAR）等国外企业风险评估先进方法，加快研究开发风险度量数学模型，尽可能地获取不同类型风险的数量化特征，构建风险分布图，建立完善风险预测、评估体体系，促进风险管理从感性、人治模式向理性、数控模式转变。3、合理使用金融衍生工具。各类金融衍生工具对企业风险管理而言是把双刃剑，运用得当可以有效防范化解风险，运用不当则可能导致企业经济效益损减。央企应恰当使用外汇期货和期权工具，有效规避因汇率变动带来的交易风险和筹资风险等。4、加强相关配套制度建设。一是完善企业重大事项集体决策制度，建立决策信息定期不定期沟通制度，强化内部权力制衡与监督。二是完善绩效考评办法，将各部门、将各单位和全体员工风险管理责任落实情况纳入