论企业风险管理组织架构的设计.doc

论企业风险管理组织架构的设计面对日益复杂的外部环境,加强企业风险管理已经成为关系到企业战略目标实现乃至关乎企业生死存亡的关键。而企业风险管理的实施必须依赖一个健全的风险管理组织框架,有没有一个分工明确、各司其职、上下沟通顺畅的组织架构,将直接关系到风险管理的成败。国内外大量实践均表明了这一点。然而,依据国情与公司文化的不同,不同企业中风险管理业务的归属与独立风险管理部门的设置并不一致。因此,如何结合自身的特点,建立有效的风险管理组织架构,就成为企业管理者在建立风险管理机制时必须要考虑的一个重要问题。本文将在借鉴国内外有关文献及相关公司风险管理实践的基础上,对风险管理组织架构设计的有关问题加以初步探讨,以期对我国企业风险管理实践有所借鉴。 1企业风险管理组织架构设计的基本问题 现代企业风险管理的特点是全员风险管理,董事会、管理层、首席风险官(CRO)、财务经理、内部审计部门、有关业务部门以及组织中每一位员工均对有效的风险管理具有重大贡献。这同时也意味着组织中的每一个人都对企业风险管理负有责任。上述主体共同构成了企业风险管理组织架构的参与因子。企业风险管理组织架构主要就是解决上述主体之间在风险问题上的权责分配问题。 具体而言,企业风险管理组织架构的设计主要解决以下两方面的问题:(1)相关主体在风险管理中的作用与地位的确定,主要解决董事会及其下属的风险委员会、CEO及其它各层次经理、风险管理职能机构(Risk Management function)、内部审计部门及其他员工在风险管理过程中权责的配置问题,包括风险委员会及风险管理职能部门的建立;(2)各主体之间的关系。其中,集中管理与分散管理模式的选择、风险管理委员会与风险管理职能机构的建立,是需要着重考虑的问题。对于第一个问题,COSO等组织已经进行了较为充分的研究,因此,本文将侧重讨论第二个问题。 2国外企业风险管理组织架构实践对我国的启示在世界范围内,建立有效的风险管理组织架构已经成为一种共识,许多国际著名企业在这方面已经积累了许多有益的经验。总结起来,国外企业风险管理组织架构的实践对我国有这样几点启示。 (1)根据企业自身实际选择适当的组织架构。在不同国家乃至同一国家不同公司内,企业风险管理的组织架构各不相同。因此,我国企业在设计自身的风险管理组织架构时,不能盲目照搬国外企业或其他国内企业的做法,而应根据自身的规模、业务特点、风险领域等选择适当的组织架构(包括架构的长度和宽度)。(2)建立清晰的报告线(reporting line)。有效的风险管理组织架构的一个特点是具有明确的报告线,各个部门、员工都应当明确自身在风险管理当中的职责以及应对谁或对哪个机构负责,这样,才可以保障相关部门和员工各司其职,有条不紊地进行风险管理。 (3)风险管理部门必须能够与业务部门保持良好的沟通。只有将风险管理融入到企业的每一项具体业务活动当中,才能有效地识别和控制风险。在组织架构的设计上,也要体现出这一特点。国外公司的组织架构尽管有所差异,但都强调风险管理与日常经营活动的结合,并根据企业经营活动中所面临的风险特点合理地构建风险管理组织架构。 (4)在董事会之下设置风险管理委员会,并在企业中设立独立于业务部门的风险管理机构专门负责企业风险管理事宜,是西方企业风险管理的通行做法。这体现了现代企业风险管理的全员管理与专门管理相结合的特点。当然,在不同企业当中,风险管理委员会和风险管理机构的设置和作用可以有所不同。 3对我国企业风险管理组织架构设计中几个问题的思考 随着企业环境不确定性的日益提高以及投资者、监管机构对企业风险管理的要求日渐提高,我国企业越来越关注风险管理问题,并开始设立专门的风险管理机构或人员来处理风险管理事务。国务院国有资产监督管理委员会于2006年6月6日发布的中央企业全面风险管理指引明确规定:“企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。”目前,许多商业银行和其他金融机构均设立了专门的风险管理委员会以及资产负债风险管理、信贷风险管理等委员会。但是,客观地说,我国许多企业尚未建立起比较健全的风险管理组织架构,不少国外企业风险管理组织架构的相关理论和实践,就我国企业风险管理组织架构设计的几个具体问题加以初步探讨。 3.1我国企业风险管理组织架构设计的几个具体问题 3.1.1风险管理委员会的设置及其组成 从国外来看,在董事会之下成立风险管理委员会负责公司风险管理政策的制定是一种较为普遍的做法。我国国务院国资委发布的中央企业全面风险管理指引也规定,具备条件的企业,董事会可下设风险管理委员会。建立风险管理委员会以后,可以在董事会层面制定有关风险管理政策和程序,并对管理层的风险管理绩效进行全面的监督和评价,从而有效地管理风险、保证企业目标的实现。西方的实践表明,风险管理委员会对于加强企业风险管理具有积极作用。因此,笔者认为,目前,我国可强制要求金融机构、上市公司必须在董事会内设立风险管理委员会,专门负责制定企业的风险管理政策和程序(包括确定风险偏好与风险容忍度)、监督经理层对风险管理政策的执行、对企业的独立风险管理机构进行指导和监督、对企业面临的风险及相关管理政策的效果加以评估,等等。对于其他有需要的企业,则可规定在符合成本效益的前提下自行决定是否设立风险管理委员会。对于那些不设立风险管理委员会的企业,则应规定由董事会或授权独立风险管理机构来履行相关职责。 对于风险管理委员会的组成,国外企业的做法并不统一,但一般均包括企业高级管理人员和风险管理部门的负责人。我国中央企业全面风险管理指引规定,该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。对此,笔者认为,风险管理是一个涉及到整个企业的全局性问题,且应当与企业的业务活动紧密结合,因此,风险管理委员会不仅应包括董事、高级管理人员、风险部门经理,还应当视企业所面临的主要风险的类别的不同,纳入财务、法律、市场等部门的管理人员。此外,为了提高风险管理委员会的专业性,还可以考虑从企业外部聘请专业人士(如保险公司、咨询机构的专家)来担任风险管理委员会成员或顾问。至于风险管理委员会中独立董事的比重,笔者认为,倒不如专业性(胜任能力)问题来得更为重要,因为独立董事在风险信息的占有上不如企业内部经营管理者。但考虑到虚假财务报告风险,风险管理委员会中保持一定数量的独立董事还是有必要的,但没必要像审计委员会、薪酬委员会那样须以独立董事为主。 3.1.2独立风险管理机构的设置问题 目前,西方许多金融控股公司、跨国公司以及大型上市公司,均设立独立的风险管理机构,专门负责风险管理事务。实际上,独立的风险管理职能机构已成为西方企业风险管理组织架构的核心。实践表明,设立专门的风险管理机构对于加强风险管理、降低风险管理成本、促进企业内部管理风险管理的信息沟通具有积极的意义。我国企业应当考虑根据自己的情况,决定是否以及如何设立独立的风险管理部门。在独立风险管理机构的设置上,具体应考虑以下几个问题: (1)独立风险管理机构在组织中的位置。独立风险管理机构在组织中的位置、其应向谁报告,是风险管理组织架构的核心问题。因为独立风险管理机构的位置决定了其权威性以及职责范围,并会对风险管理的成本、组织内部风险信息沟通产生影响,进而影响到企业风险管理的有效性。因此,独立风险管理机构究竟是对董事会、风险管理委员会、总裁、财务副总裁(或风险管理副总裁)或者其他部门负责,是我国企业在设计风险管理机构时必须要考虑的一个重要问题。 对此,Harrington和Niehaus(2004)指出,通常来说,高层管理人员对风险管理需求的认识、风险的规模和重要性以及可能的管理效率等因素,决定了风险管理职能部门在组织中的位置以及具体由什么部门来负责风险管理。Jr.Williams,Smith和Young(1998)则认为,风险管理职能部门最好紧靠经理,经理层应当提供对风险管理的全部指导,因为风险管理的目的是要处理所有的组织风险。从国外有关公司的实践来看,在多数公司里,风险管理部门往往隶属于财务部门并需要向财务部门进行报告,这是由于保护资产免受损失、损失融资和财务职能之间存在密切的关系。也有一些公司,由于其面临的主要风险是法律责任风险,因此这些公司的风险管理部门还需要向法律部门进行报告。有少数公司的风险管理部门需要向人力资源部门进行报告。而我国中央企业全面风险管理指引的规定是,企业应设立专职部门或确定相关职能部门履行全面风险管理的职责,该部门对总经理或其委托的高级管理人员负责。笔者认为,独立风险管理机构在组织中的位置应当根据企业的规模和组织特点以及风险的类别等因素来确定。一般情况下,独立的风险管理机构可以设在经理层之下,对经理层(CEO或CRO)负责,并定期向董事会和/或其下的风险管理委员会报告。也就是说,独立风险管理机构在行政上对最高管理层负责,但对董事会(或其下属的风险管理委员会)亦负有报告责任。至于那种风险管理部门隶属于财务部门的做法,笔者认为并不合适,因为,组织的治理架构必须要确保那些负责部署风险限额和做出与风险相关决策的单位不必向任何高级业务经理报告,而应对业务总监或直接向CEO报告并对风险委员会负责,这样才能确保风险管理人员的独立性而不妥协于其他部门。财务部门本身也是风险产生单位,如果风险管理部门隶属于财务部门,显然会极大地损害其独立性,是极不妥当的。风险管理部门与财务部门之间的沟通,则是另一方面的问题。 (2)独立风险管理机构的具体职责。独立风险管理机构是企业风险管理政策和程序的具体执行机构,其职责主要应包括:在董事会(或其下属的风险管理委员会)和管理层的指导下,具体负责企业风险管理政策与程序(如风险限额的设计)的制定与推动、企业风险的识别、分析与建议的应对策略、实施董事会和管理层制定的风险管理政策(包括理赔等事宜)、企业内部各部门在风险问题上的协调、对企业风险管理和相关内部控制的设计与运行的评价与监督、编辑风险报告并促进关于风险问题的沟通,等等。 (3)独立风险管理部门的规模。独立风险管理部门的规模应以能够处理企业风险管理具体事务为限,这具体取决于公司规模的大小以及风险的规模、复杂程度及不同风险类别的差异性。一般来说,公司的规模越大,风险规模就越大,风险管理部门的规模也应相应大些。对于小规模公司,独立风险管理部门的规模可以小一些,以符合成本效益原则。 3.1.3业务部门中的风险管理组织问题(风险管理模式的选择问题) 业务部门中的风险管理组织问题实际上是对集权与分权模式的选择问题。在集权式风险管理模式下,由总部的风险经理甚至是更高层的管理人员负责处理风险管理的大部分事务。而在分权式风险管理模式下,各个部门、子公司、分公司均设有风险管理经理,负责本部门、公司的风险管理并向总部风险经理报告。集权和分权是管理中的一个关键问题,风险管理也不例外。采用集权式还是分权式风险管理模式,将直接影响到风险管理的效率。但企业究竟采用何种模式,并无一定。因为,这两种模式各有其利弊。风险管理职能集中化的好处在于:在安排损失融资时具有规模经济性,并能促进风险经理与高层管理层之间的沟通;并且,由较少的管理人员集中处理风险,可以保证公司内部风险管理政策的一致性。其弊端在于:可能降低公司其他部门经理和雇员对风险管理的重视程度。分散式风险管理的好处在于:在对风险进行总体集中管理的同时,将风险成本或损失细分到具体单位,往往能引起这些单位负责人对成本控制的充分重视;并且,将诸如日常安全检测与环境保护这样的风险管理活动下放到具体单位,具体部门的经理可以更加关注风险并可以对存在的许多问题直接进行及时有效的处理。其弊端在于,如果缺乏一个有效的沟通机制,上层可能不能及时了解业务部门、分公司的风险事项,并可能导致公司内部风险管理政策的不一致性,也容易造成风险管理人员过多。既然这两种模式各有利弊,企业就应当根据自身的规模、内部差异性等因素来选择集权化或分权化的风险管理模式:如果企业在地理上分散、内部各个分部之间差异大,采用分散化的风险管理模式可以更有效地识别、控制各业务部门、子公司的风险;而如果企业规模较小、各分部在风险暴露上的差异较小,则可以采用集权式管理模式。值得指出的是,在分权化风险管理模式下,由于风险管理分散于各个部门中,此时,风险管理机构应更多地充当一个联系者,以协调和组织风险管理。此外,风险管理机构还需要加强对企业风险管理程序和结果的监控,从而实现整个企业风险管理的协调、有效。 3.2风险管理组织架构设计的基本原则笔者认为,企业在设计风险管理组织架构时,应当遵循以下基本原则: 3.2.1全员参与与专业管理相结合原则 一方面,应当发挥风险管理委员会、独立风险管理部门的专业管理作用;另一方面,企业内部所有部门与员工,都是风险管理的参与者和影响者,整个企业范围内的风险管理需要各个方面的协调和配合。在设计风险管理组织架构时,必须考虑各层次、各部门员工在风险管理中的作用,并通过风险管理手册明确规定其所在部门和岗位以及其他部门和岗位所面临的风险和责任。 3.2.2权责明确原则 明确的职责划分,是风险管理的关键。权责的划分涉及到个人和团队被授权并鼓励发挥主动性去指出问题和解决问题的程度,以及对他们的权力的限制。在划分权责时,尤其应注意以下三点:不相容职务必须严格分离,避免少数关键人操纵整个交易。合理分工、各司其职,避免责任的交叉与遗漏。明确划分各层次的权限,规定其风险管理限额,严厉处罚越权行为。对于超出限额的交易,必须使最高层及时了解并经过批准。 应当强调的是,沟通顺畅、分工明确的报告线,是有效风险管理的关键。风险承受者一定要知道他们在何种层面上对谁负责,因此,企业应当明确划分各个经营单元(风险暴露单元)、业务部门、风险管理部门、管理层、风险管理委员会在风险管理方面的报告责任,尤其要明确管理层、风险管理委员会与董事会之间的关系。另外,报告线的长短将直接影响到风险管理的效率,应当根据企业内部管理关系、业务的复杂程度来划分报告线,但必须要保证使企业最高层能够及时了解有关风险暴露单位的风险情况。 3.2.3信息畅通原则 风险管理组织架构的设计,必须有利于组织内部上下进行有效的沟通:下级能够向上级沟通有关风险暴露情况以及风险政策的执行情况,上级需要能够及时向下级传达