淺論設立獨立的風險管理部門及首席風險官的必要性和緊迫性

【摘要】風險管理是目前我國的企業(yè)管理中一個非常薄弱的環(huán)節(jié)，企業(yè)風險意識不強、專門的風險管理部門和職位的缺失是目前的普遍現(xiàn)象。而要全面地、系統(tǒng)地組織好企業(yè)的風險管理，就非常有必要設立一個獨立的風險管理機構(gòu)，并且具有非常的緊迫性。本文論述了獨立的風險管理機構(gòu)和風險管理委員會的召集人和首席風險官的設置，也指出了全面風險管理實施的難點和局限。

【關(guān)鍵詞】獨立的 風險管理部門 首席風險官 必要性 緊迫性

一、COSO《企業(yè)風險管理——整合框架》中關(guān)于風險管理的概述

1992年，COSO發(fā)布了《內(nèi)部控制——整合框架》，并于1994年作了局部修正。該框架已經(jīng)成為世界通行的內(nèi)部控制權(quán)威文獻，被國際和各國審計準則制定機構(gòu)、銀行監(jiān)管機構(gòu)和其他方面所采納。近年來，重點關(guān)注的焦點集中在風險管理上，2004年COSO發(fā)布了其報告的最終稿《企業(yè)風險管理——整合框架》。在這個框架里，內(nèi)部控制被涵蓋在企業(yè)風險管理之內(nèi)，是其不可分割的一部分；公司不僅可以借助這個企業(yè)風險管理框架來滿足它們內(nèi)部控制的需要，還可以借此轉(zhuǎn)向一個更加全面的風險管理過程。根據(jù)COSO《企業(yè)風險管理——整合框架》的定義，帶來負面影響的事項代表風險。而企業(yè)風險管理則是一個過程，它由一個主體的董事會、管理層和其它人員實施，應用于戰(zhàn)略戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。

COSO《企業(yè)風險管理——整合框架》認為，主體的目標主要分為四類，分別是：戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標。企業(yè)風險管理包括八個相互關(guān)聯(lián)的構(gòu)成要素，分別是：內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。此外企業(yè)風險管理與整個企業(yè)或者它的任何單個的單元相關(guān)。三者之間的關(guān)系通過三維矩陣表現(xiàn)構(gòu)成要素與目標之間的關(guān)系。

我國自20世紀90年代以來內(nèi)部控制取得了迅猛發(fā)展，各相關(guān)職能部門相繼發(fā)布了各種要求加強內(nèi)部控制的規(guī)定。2006年6月國資委發(fā)布了《中央企業(yè)全面風險管理指引》。2008年6月，財政部、證監(jiān)會等部門聯(lián)合發(fā)布了國內(nèi)首部《企業(yè)內(nèi)部控制基本規(guī)范》。《指引》和《規(guī)范》的發(fā)布，標識著我國的內(nèi)部控制和風險管理也走向了規(guī)范化的發(fā)展道路。

二、當前我國企業(yè)設立獨立的風險管理部門及首席風險官的必要性和緊迫性

風險管理是目前我國的企業(yè)管理中的一個非常薄弱環(huán)節(jié)，企業(yè)風險意識不強、專門的風險管理部門和職位的缺失是目前的普遍現(xiàn)象。正是基于上述原因，2006年06月國資委正式公布《中央企業(yè)全面風險管理指引》，除要求央企設專職部門負責風險管理外，還首次要求具備條件的央企董事會下設風險管理委員會，建立重大風險預警制度。

雖然近幾年在國家有關(guān)部門的積極推動下，在國有大中型企業(yè)中情況有所好轉(zhuǎn)，不少企業(yè)已建立起風險管理組織體系，并任命了首席風險官。但是從全國范圍來講，全面風險管理的理念還沒有完全根植到企業(yè)管理層中。有一些企業(yè)，雖然對風險管理有了些許認識，但是往往只停留在內(nèi)部控制的范圍，沒有從企業(yè)全面風險管理的角度去看問題。更有甚者，許多企業(yè)連內(nèi)部控制都還沒有引起重視，即使設立了內(nèi)審機構(gòu)，也是隸屬于財務部門，等于是財務部門既當運動員，又當裁判員，既違背了相關(guān)內(nèi)審的法律法規(guī)，更把內(nèi)審當成了一種擺設。

隨著2008年起至今還未消除的全球性金融危機的爆發(fā)，企業(yè)所面臨的各項風險日益增大，在當今復雜多變的全球風險環(huán)境下，了解企業(yè)面臨的風險內(nèi)在關(guān)聯(lián)性，并采取更為動態(tài)的策略進行風險管理，已經(jīng)成為企業(yè)面臨的首要任務。設計全面風險規(guī)避機制，控制企業(yè)經(jīng)營風險，從而保證企業(yè)戰(zhàn)略的進一步落實，對實現(xiàn)企業(yè)價值最大化具有重要的意義。而要全面地、系統(tǒng)地組織好企業(yè)的風險管理，就非常有必要設立一個獨立的風險管理機構(gòu)，而且還具有非常的緊迫性。

三、設計獨立的風險管理機構(gòu)組織框架設計

如何設計獨立的風險管理組織框架，對于企業(yè)來說是一個非常重要的課題。

（一）獨立的風險管理機構(gòu)的設置有以下幾種模式

模式一：管理層領(lǐng)導下的風險管理機構(gòu)。

特點：該模式下能確保風險管理機制靈活、日常運行效率較高，但缺點是難以對總經(jīng)理職權(quán)范圍以外的風險進行管理，也難以對經(jīng)理層的違規(guī)亂紀和濫用職權(quán)進行監(jiān)控。

模式二：監(jiān)事會領(lǐng)導下的風險管理機構(gòu)。

特點：該模式有利于對風險管理進行檢查和對董事、經(jīng)理違反法規(guī)或公司章程的行為進行監(jiān)督，但它不能直接服務于經(jīng)營決策，也就難以實現(xiàn)通過風險管理改善經(jīng)營管理、提高經(jīng)濟效益的目的，從而難以發(fā)揮其咨詢的功能。另外，如果監(jiān)事會有職無權(quán)，則導致效果不甚理想。

模式三：董事會領(lǐng)導下的風險管理機構(gòu)。

特點：該模式有利于檢查、評價、鑒證和咨詢功能的發(fā)揮，風險管理機構(gòu)保持了較高的獨立性、權(quán)威性和組織地位。但是該模式可能會使風險管理機構(gòu)放棄目前作為主要任務的經(jīng)營風險，從一定程度上損害了其咨詢功能的實現(xiàn)；另外董事會實行集體討論決定制，也影響了風險管理機構(gòu)日常高效率的運行。

模式四：董事會、管理層雙重領(lǐng)導下的風險管理組織模式。

特點：在該模式下，能滿足董事會和管理層所需的風險管理的全部服務，能最大限度的發(fā)揮風險管理的功能，符合風險管理履行報告的要求。該模式下風險管理范圍大，與公司治理相關(guān)要素的聯(lián)系更加緊密，能一定程度上解決風險管理存在的問題，是理想狀態(tài)下最優(yōu)風險管理機構(gòu)設置模式。

（二）風險管理委員會的召集人和首席風險官的設置

1.風險管理委員會的召集人應由不兼任總經(jīng)理的董事長擔任如董事長兼任總經(jīng)理的，召集人應由外部董事或獨立董事?lián)巍?/p>

風險管理委員會下設風險管理部作為其日常風險管理的運營機構(gòu)，風險管理部的負責人為首席風險官（Chief Risk Officer，簡稱CRO）。在不具備設立獨立的風險管理機構(gòu)的條件下，可以在內(nèi)部審計機構(gòu)內(nèi)設立風險管理的崗位，但是需要明確的是，內(nèi)部審計只是企業(yè)全面風險管理的一部分，因此決不能用內(nèi)部審計來代替風險管理，如果條件一旦成熟，企業(yè)必須要設立獨立的風險管理機構(gòu)。

2.首席風險官的主要職責

COSO《企業(yè)風險管理——整合框架》中風險官的主要職責主要有：建立企業(yè)風險管理政策，包括確定職能與責任，以及參與設定執(zhí)行目標；確定各業(yè)務單位對于企業(yè)風險管理的權(quán)力和義務；提高整個主體的企業(yè)風險管理能力，包括推動企業(yè)風險管理專門技術(shù)的發(fā)展，以及幫助管理人員協(xié)調(diào)風險應對和主體的風險容限，并建立恰當?shù)目刂疲恢笇髽I(yè)風險管理與其他經(jīng)營計劃和管理活動的整合；建立一套通用的風險管理語言，包括圍繞可能性和影響的共通的測度指標，以及通用的風險類別；幫助管理人員制定報告規(guī)程，包括定性和定量的下限，以及對報告過程的監(jiān)控；向首席執(zhí)行官報告進展和暴露的問題，并建議必要的措施[1]。

四、全面風險管理實施的難點和局限

COSO《企業(yè)風險管理——整合框架》指出，不管設計和運行得多么好，有效的企業(yè)風險管理只能向管理層和董事會提供有關(guān)主體目標實現(xiàn)的合理保證。目標的實現(xiàn)受到所有管理過程中固有的局限的影響。它們包括下列實際情況：決策過程中的人類判斷可能有缺點，由于類似簡單差錯或錯誤等人類失敗會導致故障的存在。此外，控制可能會通過兩個或多個人的串通而被繞過，而且管理層有能力凌駕于企業(yè)風險管理過程（包括風險應對決策和控制活動）之上。另一個限制因素是需要考慮風險應對的相關(guān)成本與效益。

雖然全面風險管理存在著上述種種缺陷，但是全面風險管理的理念已越來越深入人心，而且實施全面風險管理也是企業(yè)發(fā)展的必由之路。雖然有很多企業(yè)目前尚不具備建立全面風險管理體系，但是可以先選擇發(fā)展戰(zhàn)略、投資收購、財務報告、內(nèi)部審計、衍生產(chǎn)品交易、法律事務、安全生產(chǎn)和應收賬款管理中的一項或多項業(yè)務開展風險管理工作，從而逐步建立健全全面風險管理體系。

參考文獻

[1] COSO.企業(yè)風險管理：整合框架[M]. 方紅星，王宏，譯.大連：東北財經(jīng)大學出版社，2005.

作者簡介：何炳榮(1970-)，男，漢族，浙江省建德市人，建德市國有資產(chǎn)經(jīng)營有限公司財務經(jīng)理，中級會計師，研究方向：財務管理。