企業全面風險管理的理論與實踐梳理

乞建勛　張麗英　劉　嚴　楊尚東

[摘 要]本文對國內外企業風險管理理論研究和企業實踐進行梳理,歸納主流理論框架和實踐經驗,為企業加強風險管理體系建設提供參考。

[關鍵詞]全面風險管理;理論框架;實踐經驗

[中圖分類號]F272 [文獻標識碼]A [文章編號]1005-6432(2009)18-0040-02

1 引 言

企業全面風險管理是經濟全球化背景下國際大型企業面對日益復雜的外部環境所做出的現實選擇。美國世通公司與安然公司丑聞事件、日本住友巨虧事件、英國巴林銀行倒閉、中國中航油新加坡公司巨虧事件相繼發生后,美國、中國、英國、澳大利亞、日本等國家日益重視企業的全面風險控制。COSO企業風險管理整合框架、薩班斯法案的頒布實施以及中國《中央企業全面風險管理指引》的出臺,表明各國政府、監管機構對企業的風險控制能力與防范體系提出了更高的要求。越來越多的國際大公司重視和加強全面風險管理。據普華永道2004年對世界上1400個大中型公司的CEO進行的調查結果看,接近四分之三的企業已經建成或部分建成全面風險管理體系,實施全面風險管理已經成為國際企業風險管理的發展趨勢。

中航油巨虧事件發生后,我國中央企業的風險管理問題日益得到各方重視。國資委研究出臺了《中央企業全面風險管理指引》,并擬將風險管理納入中央企業負責人業績考核指標。

2 企業全面風險管理主流理論框架

國際上主流的風險管理理論框架包括美國COSO的《企業風險管理—整合框架》,我國國資委《中央企業全面風險管理指引》,澳大利亞—新西蘭的澳新標準等。

2.1 COSO 企業風險管理框架

COSO是美國反虛假財務報告委員會管理組織,它于2004年9月發布《企業風險管理—整合框架》,是目前美國上市公司風險管理的參照性標準。該框架的本質是建立一個各方通用的共同語言,為企業風險管理提供清晰的方向和指南。它通過風險組合觀點,要求企業管理層必須考慮風險與風險之間如何相互關聯,并從業務單元層面和公司內部各個實體層面決定風險組合。該框架包含四個目標(戰略、經營、報告和合規目標)和八個相互關聯的要素(內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和溝通、監控),并考慮了一個組織內部所有層面的活動(公司層面、職能部門、事業部、分公司等業務單元和子公司)。

2.2 澳新企業風險管理標準

澳新標準是由澳大利亞與新西蘭聯合標準委員會于2005年9月發布,澳新標準認為,企業風險管理是一個邏輯和系統的方法,包括建立風險管理基礎、風險識別、風險分析、風險評估、風險應對、監督與協商、溝通與評價等,穿插于公司各個業務活動、職能部門和業務流程,使得公司能夠達到損失最小化和機遇最大化。

2.3 國資委《中央企業全面風險管理指引》

2006年6月,國務院國有資產監督管理委員會出臺《中央企業全面風險管理指引》(以下簡稱《指引》)。《指引》借鑒了美國COSO內控框架、COSO全面風險管理框架、薩班斯法案、澳大利亞和新西蘭聯合發表的國家風險管理標準(AS/NZS 4360)、英國風險管理標準、英國公司治理法典、新加坡上市公司治理法規等,又考慮了我國公司治理法規等現有規定和我國企業的實際情況。

歸納起來,《指引》包括了三大部分和八個方面具體內容。三大部分是:風險管理流程、風險管理體系和風險管理文化。其中,風險管理流程包括:風險管理初始信息、風險評估、風險管理策略、風險管理解決方案、風險管理的監督與改進;風險管理體系包括風險管理組織體系、風險管理信息系統;風險管理文化包括風險管理文化的目標、內涵和培育方法。這三大部分及其具體內容,共同構成了國資委風險管理指引。

3 國際一流企業全面風險管理現狀和經驗

風險管理制度是否健全,能否落實到位是關系全面風險管理機制建設目標實現的關鍵。“中航油事件”、“世通事件”充分體現嚴格執行風險管理制度的重要性。總結國際企業風險管理經驗,主要有以下六個方面經驗:

(1)建立完整權威的風險管理組織架構是有效貫徹全面風險管理制度體系的重要保障。許多成功實施全面風險管理的大企業都在董事會下成立了風險管理委員會,由董事長兼任委員會主席。此外,這些公司大多還設立了首席風險官,對風險管理進行集權管理,以增強風險管理機構的權威性。實踐表明,建立完整、權威的風險管理組織架構,有利于充分整合和調配企業資源,確保既定的全面風險管理各項制度能夠得到有力執行,促進全面風險管理工作得以有效開展。

(2)加強風險管理委員會與審計部門的獨立性是實施全面風險管理的基礎。國際上成功企業在保障企業全面風險管理體系執行的時候,大都注重風險管理委員會和審計部門的獨立性,其風險管理委員會都是在董事會的領導下直接工作,不受公司執行層的影響。這樣就能夠確保風險管理委員會在整個公司全面風險管理體系中的獨立性,以確保能夠客觀、公正地審視公司的風險。同樣,這些公司還注重對全面風險管理體系運作的審計,成立了獨立的、由董事會直接領導的審計委員會進行負責,保證了對風險審計的獨立性和客觀性,保證其能向董事會和風險管理委員會提供獨立客觀的風險控制改進建議,如意大利的愛迪森集團公司。此外,在這些公司的風險管理委員會和審計委員會中,明確要求引入一定數量的獨立董事或外部的風險管理專家和審計專家,以確保對公司風險管理和風險控制的獨立性、客觀性、科學性。

(3)注重對風險的量化評估,加強風險管理人才培養和儲備,是充分發揮全面風險管理作用的必然要求。國際上,如歐洲、美國、澳大利亞的企業,非常重視對企業面臨風險的量化評估,注重借鑒和吸收金融、保險領域對于企業風險量化描述的方法和手段。這有利于提高風險決策的科學性,從根本上提升了全面風險管理體系執行科學性。要做到風險相對精準的量化描述,就需要專業的風險管理人才。這些公司非常重視對于在全面風險管理體系執行過程中關鍵的風險管理技術人才的培養和儲備,特別注重專業審計人才和風險精算人才的培養、引進和任用,從而為全面、科學地認識和管理風險奠定了人才基礎。

(4)構筑風險管理信息化系統,是提升風險決策和風險應對能力的有效途徑。信息系統可以讓風險管理部門盡快地掌握企業各個環節的風險苗頭。以美國花旗銀行為例,行長可以通過“集中風險監控系統”顯示出來的風險分布圖、當前熱點風險事件等來及時、直觀地掌握企業目前所處的風險狀態。這樣的工具對于提高企業經營者對風險的感知度和決策的科學性是非常重要的。信息系統還可以成為風險應對的支撐工具和平臺,這一特點在國外一些能源供應企業和公共產品提供商的公共事件應急響應平臺中已經得到體現。

(5)堅持風險管理獨立性與開放性的統一,是確保風險管理發揮實效的一項重要原則。風險管理獨立性是風險管理有效性的核心,是風險管理權威性的根本保證,要求有獨立的機構、人員,對業務發展中存在的風險進行獨立客觀的識別、度量和控制。同時,國際上成功實施全面風險管理的大企業,大都在保證獨立性的前提下,注重保持風險管理的適度開放性。這些企業的實踐表明,通過風險管理方法的創新和完善,努力做到風險管理與業務發展的整合,實現風險管理獨立性和開放性的統一,企業才能適應不斷變化的市場、客戶和同業競爭。

(6)堅持統一性和差別化的統一,是提升全面風險管理效果的現實要求。國際上大型企業實施全面風險管理體系的成功經驗表明,一個大型企業管理的理念、戰略應當是統一的,企業承擔什么樣的風險、承擔多大的風險、追求什么樣的風險收益配比是企業經營管理的基本原則,任何部門和業務都應貫徹這個原則。但經營領域的廣泛性、客戶需求的復雜性,客觀上需要實行差別化的風險管理政策,做到風險管理的統一性和差別化的統一。

[收稿日期]2009-04-09

[作者簡介]乞建勛(1946—),男,河北人,華北電力大學工商管理學院教授,博導,中國電力經濟與優化研究所所長,長期從事技術經濟理論與決策優化理論研究。