試論企業風險管理職能部門設置

摘要:自上世紀90年代，企業所面臨來自各個方面的風險數量和負責性在增大，企業風險管理被越來越多的組織所重視和接受，COSO組織2004年發布了《企業風險管理——整合框架》，本文通過在對COSO企業風險管理要素的討論基礎上，分析企業風險管理的職能，對我國企業構建風險管理部門提出建議。

關鍵詞:風險 風險要素 企業風險管理

0 引言

隨著科技水平的發展、經濟全球化、企業金融環境的改變和風險的種類和復雜性的增加，公司董事會和高級管理人員更加關注來自企業各個方面的風險管理，企業風險管理(enterprise risk management ERM)被越來越多的企業采用。風險管理作為現代企業管理的一個重要部分，也具有管理的四大職能：既計劃、組織、領導和控制[1]。通過對企業風險管理概念及要素的討論，可以使我們對企業風險管理及其職能有更深的理解，以便指導企業在實踐中設置風險管理部門，實施有效的風險管理政策。

1 現代企業風險管理要素

企業風險管理不同與傳統“豎井”式風險管理方法，是從戰略上考慮企業所面臨的各種風險之間的相互作用，通過全企業視角來管理和協調各個風險，滲透于企業各項活動中，自上到下的、一體化地有效管理企業風險，以達到保護和增加股東和企業價值的目的，使的企業的風險符合股東的風險偏好。2004年COSO發布了著名的《企業風險管理——整合框架》中把企業風險管理要素分為內部環境、目標指定、事項識別、風險評估、風險反應、控制活動、信息和溝通、控制等八個相互關聯的要素，各個要素貫穿于企業風險管理的整個過程之中。COSO框架并沒有對企業設置風險管理部門提出建議。

1.1 風險管理環境 企業的風險管理環境是進行所有風險管理活動的基礎，包括COSO強調的內部環境，還應包括企業所處的外部環境。企業的內部環境包括企業的公司治理、戰略目標、風險管理理念、風險容量、董事會的監督和企業核心人員的人格品性以及全體員工的的風險意識。在企業風險管理中，倡議建立公司控制體系并強調董事會和高級管理層在風險管理中的責任，從“高層”強調并培養企業的風險文化，并通過激勵機制使每個階層管理者與員工理解自己所做的工作與風險責任之間的關系。企業風險管理也應考慮企業所處的外部環境，理解外部股東的價值，建立與外部各方的溝通政策對風險管理的有效實施極其重要。

1.2 建立目標 目標設定是有效的事項識別、風險評估和風險應對的前提。企業首先制定高層次的目標的戰略目標，董事會和管理層要對各個戰略目標與其所承受的風險之間的衡量，企業主體的風險容量是戰略目標制定的指向標，根據選定的戰略目標，建立企業整體上的相關目標：經營目標、報告目標、合規目標等等。根據戰略目標制定的具體目標貫穿于整個組織，細化為針對諸如研究、生產和銷售等各項活動和基礎職能機構所能確立的次級目標。

1.3 事項識別 COSO框架中強調對具有負面事項的識別和管理，而忽視了對企業有正面效應的事項，風險管理活動是減少企業活動的不確定性，企業風險管理的重要職能就是降低負面事項對企業的影響以及確保和增加正面事項的順利實現。管理者根據風險事項的不同影響因素將事項歸入不同的類別，并識別事項彼此之間的相互關系，通過對風險事項進行歸類分級和危害性排序，以確定它們在企業風險管理活動中的重要性和相應的應對方法。

1.4 風險分析 風險分析使管理者了解潛在事項對企業目標實現的影響，對風險的評估從兩個方面進行——風險發生的可能性和給企業帶來的影響程度。在風險評估時，既要考慮在沒有采取任何措施來改變風險的可能性或者影響的情況下的固有風險，也要關注在管理者做出風險應對之后所殘余的風險，還應注意風險事項之間的相關性。同時，在風險評估中，管理者還要考慮重大非預期事項對企業可能給企業帶來的風險。

1.5 風險應對 COSO框架中提出風險應對方法包括風險回避、降低風險、共擔風險和接受風險單獨管理方法，但企業風險管理要求從整個組織范圍或組合的角度去考慮風險，我們也應該同時強調管理層擁有建立在企業整體層面上的組合風險管理觀。它不應當僅僅是完全獨立進行的業務交易的累積效應，相反，管理者應當“像基金經理一樣行動”并且設立組合目標和風險限制以確保適當的分散化以及最佳的風險管理效果。應從企業總體層面上考慮相互關聯的風險和企業的總體風險。

1.6 控制活動 控制活動是幫助確保企業的風險應對方案得以實施的政策和程序。控制活動貫穿于整個組織，涉及到企業的各個管理層次和各個職能機構。控制活動通常包括兩個要素：確定要做什么樣的政策和與該政策相關的相應程序。在選擇控制活動的過程中，需要考慮控制活動之間的關聯性，如：一項單獨的控制活動實現對多項風險應對；對個控制活動應對一項風險；或者執行一個控制組合來處理相關的風險應對方法。

1.7 信息與溝通 充分、及時、準確、有效的信息是進行有效風險管理的基礎之一。風險管理部門對組織的信息應有充分的接觸權，與會計部門、數據處理中心、人事部門、法律部門和生產部門溝通合作，以取得風險管理所需要的相關信息。風險管理不僅是一個內部管理過程，它也應當用來改善對主要權益方的透明度，在溝通中應加入與外部客戶、供應商、相關債券人、行政管理部門和股東的溝通等等，相關權益方可以為企業提供關鍵的風險信息。

1.8 監控和回顧 企業處在變化中的經濟環境中，曾經有效的風險應對手段和控制活動可能不太有效；企業的目標也可能發生變化，監控風險管理過程的所有步驟是很必要的，這對于風險管理方法的持續改進很重要。通過持續的監控活動以評價風險管理活動的執行質量和執行情況。通過監控，風險管理的缺陷被報告給負責所涉及的職能或活動人員以及上級人員，以確保采取適當的措施。

2 企業風險管理職能

2.1 風險管理的計劃職能 企業風險管理強調從戰略上、全企業視角考慮企業的風險，企業在分析自身內部與外部的環境基礎上，分析企業所面臨所有風險，制定適合自身的風險管理計劃。風險管理計劃本身就是企業計劃的一部分，“企業風險管理”計劃旨在為整個企業增加實質性價值。風險管理計劃定義在組織中風險管理的實施過程，包括具體的風險分析方法和應對計劃，風險報告具體要求等，以及具體到部門在特定區域的風險應對計劃和過程。企業風險管理強調風險管理活動只有融入企業的日常活動才能達到最佳效果。

2.2 風險管理組織職能 并不是所有的企業利益方都直接對風險管理活動施加影響，由于所有權與經營權的分離，使風險管理計劃落實可能遇到諸多困難。可以通過有效的公司治理結構來實現對高級管理層的監督和指導。良好的公司治理結構有助于推動企業風險管理的運用和執行。企業風險管理計劃需要得到董事會和高級管理層等的支持，因此需要在組織中建立一個向董事會報告并負責的風險管理委員會作為風險管理計劃的有形保證。風險管理委員會必須明確規定其角色和職責。

2.3 風險管理領導職能 在企業風險管理中，董事會是企業風險管理的重要組成部分，有效的董事會能確保管理當局保持有效的風險管理，倡議建立公司控制體系并強調懂事會和高級管理層在風險管理中的責任，董事會和高層管理者對組織的風險管理負最后責任。組織中所有人對在他們控制內的風險負責并向董事會定期承交風險管理報告，并通過激勵機制來強化這種投入，使每個階層管理者與員工更好理解自己所做的工作與風險責任之間的關系。在風險管理實施過程中，風險管理部門與其他部門必須有良好的信息溝通，同時也應該處理好他們之間的關系，要注意到風險管理部門與其他部門比不是領導與被領導、監督與被監督關系，而是合作關系。

2.4 風險管理控制職能 風險管理控制活動確保企業的風險應對方案得以實施。控制活動貫穿于整個組織，涉及到企業的各個管理層次和各個職能機構。控制活動通常包括兩個要素：確定要做什么樣的政策以及相應程序。企業需要根據風險管理計劃設定風險管理的控制目標，通過風險管理使的企業風險控制在企業所能接受的風險偏好和風險容量內，通過對風險管理過程的所有步驟進行監控和回顧，衡量和分析各部門的風險管理執行情況，進行差異分析，對不再適合企業的風險管理方法進行持續的改進，對隨時可能出現的新風險進行評價和監管。

3 企業風險管理職能部門設置建議

企業風險管理對風險管理部門的設置提出更高的要求，由于ERM對能力、獨立性以及客觀性的要求，人們開始意識到組織結構和報告渠道在實現風險管理有效性的過程中扮演重要角色，國資委風險管理指引要求企業建立風險管理組織體系、風險管理信息系統和風險管理文化，對企業設立風險管理組織提出非常清晰和明確的要求。恰當的風險管理組織與企業戰略、業務運作、文化等保持一致，因此我們對風險管理職能部門提出以下幾點建議：

3.1 成立了風險管理委員會（Enterprise risk council ERC） 在組織中成立風險管理委員會已經達成共識。ERC一般包括：董事會成員、投資部門主管、財務總監、信息部門、法律和商務部門等高級管理人員，董事會在企業風險管理中處于核心地位，風險管理委員會的設置保證了企業風險管理計劃可以得到來自董事會和企業高層的支持，同時也強調了董事會在風險管理過程中的責任和義務[5]。ERC主要職責包括：建立企業的風險文化；定義企業的風險傾向和風險容量；確保公司擁有業務戰略的風險管理技巧和風險吸納能力；建立合理的風險管理組織結構，確定風險管理人員（包括CRO）的作用和職能；根據風險管理部門提供的信息，作出經營和戰略方面的決策并付諸實施，并向董事會提供定期的風險管理報告。

3.2 風險管理委員會下設立ERM工作小組 有效的風險管理部門必須具備兩個準則：必須具備高度的獨立性，以提供客觀的風險管理策略；風險管理部門不具有或只具有非常有限的風險管理策略執行權。風險管理部門規模取決于公司規模以及風險的規模、復雜程度及不同風險類別的差異性而定。風險管理部門對企業的信息有全面的接觸權利，具有明確的報告路線，以及與業務部門很好的溝通和合作，而非管理與被管理的關系。

ERM工作小組成員通常由風險管理專家和來自各個部門風險管理代表組成，工作小組核心職能是風險信息的收集、分析和報告，根據董事會和風險管理委員會的風險管理政策設計企業活動中具體風險管理結構；風險管理政策的陳述；明確各部門在風險管理過程中的責任和義務；風險管理方法的開發和風險控制實行的監控；風險文化的教育和普及；企業內部風險管理咨詢顧問，分析和解決業務和管理人員提出的風險管理相關問題；組織企業內部各職能部門和業務單位識別、評估風險，就特定和關鍵風險推薦相應的對策；定期向風險管理委員會和董事會做出風險報告。

參考文獻：

[1]陳紅.現代管理學[M].北京：國防工業出版社.2007.

[2]杜杰.風險管理智慧——企業風險管理實務[M].機械工業出版社.2008.

[3]方紅星，王宏.企業風險管理——整合框架[M].東北財經大學出版社.2005.

[4]黃長全.企業全面風險管理[M].中國金融出版社.2006.

[5]吳素玲，許召來.現代企業風險管理要素及過程[M].中國內部審計協會.