企业风险管理制度的优化安排

(一)COSO的全面风险管理框架

说到风险管理，本节首先介绍COSO提出的全面风险管理框架(enterprise risk management，ERM)。它明示“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。”ERM框架有三个维度：第一维是企业的目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有四个，即战略目标(与整体目标一致)、经营目标(资源的使用效率)、报告目标(报告的可靠性)和合规目标(满足法律法规的要求)。第二维全面风险管理要素有八个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。

相比这个ERM框架，现行财务学原理上的风险与风险管理理念、内容和技术都存在太大的局限性，因为财务教材上关于风险的描述不仅几乎只有数据，缺乏从战略的高度“总揽全局”，而且大多讨论的是具体的流动性风险和具体的风险“减低”技术等，所以财务上风险的把握需要嫁接ERM框架，提升财务风险管理的治理性、战略性、全面性、系统性、差异性和过程性。

首先，ERM框架使董事会在企业风险管理方面扮演更加重要的角色，最高决策层是风险管理的主角。企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要慎重决策公司应有的“风险偏好”。在此基础上公司所属的每一个业务单元、分部、子公司的管理者都需要在风险识别、风险控制上良好表现各自的目标，并与企业的总体目标相联系，也就是说风险管理既是一个公司治理问题，也是管理问题。

其次，ERM把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会)，该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险，并且将其目标概括为战略目标、经营目标、报告目标和合规性目标四类。所以这种风险是一种从战略着眼，以目标主导的风险观，这是现行财务学对风险分析最大的“短板”，单纯的流动性风险分析极大地限制了财务分析的战略成分。

最后，由于ERM框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，实现了增长、风险与回报的协同关联。

总之，ERM对风险的治理、财务、运营的多维视角分析，融战略于风控之中，充分体现了“全面”的含义。但是这个ERM框架毕竟还只是框架，也并不是完美无缺的，而且离可操作的企业风险控制制度还有相当距离，为此必须实现财务理念、战略管理、风险控制的有序对接，具体要求如下所述。

第一，以SMART原则构建企业适宜的风控制度体系。风险控制制度先行，制度的建设除了要依循ERM框架结构外，还要符合SMART原则的要求，即风险控制规则必须是明确可行的(specific)、可以计量的(measurable)、可以达成的(attainable)、与责任相关的(related)，以及具有明确的时间限制(time-bound)，以确保内控制度条款上内容的针对性和可操作性。与此同时，需要导入“重要性原则”等理念，过于全面、事无巨细的工作思路本身就意味着很大的执行风险。

第二，将公司战略转化为公司全方位、立体的目标体系。既然风险的要义就是企业战略目标、经营目标、报告目标和合规性目标的实现程度，这就有赖于财务上通过计划规划系统、全面预算管理系统、业绩评价系统、授权制度等明确提出切实可行的目标，否则风险管理就没有导向，缺少标杆。

第三，构造灵敏的风险预警系统。在目标确立后的实施过程中，还需要配备完善、灵敏的反映战略目标实现程度的财务管理信息系统，及时反映风险状况的预警系统。

第四，固化风险处理流程和预案。风险的种类和具体性质各有不同，公司根据风险的不同情况，制定不同的风险管理策略、流程和预案，如风险的全部承担策略、部分和全部转移策略、退出消除策略。(www.xing528.com)

所以财务战略风险管理的核心可以简要概括为“制度”“目标”与“流动性”。

(二)中央企业全面风险管理指引

国资委印发《中央企业全面风险管理指引》(以下简称《指引》)，要求中央企业遵照执行。《指引》中对全面风险管理的定义是：企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系(包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统)，从而为实现风险管理的总体目标提供合理保证的过程和方法。企业开展全面风险管理工作，既应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。

根据《指引》对全面风险管理的界定，中央企业需要通过全面风险管理实现以下目标：确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；确保遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

为了实现全面风险管理目标，需要采用以下风险管理的基本流程：收集风险管理初始信息；进行风险评估；制定风险管理策略；提出和实施风险管理解决方案；风险管理的监督与改进。《指引》还说明，企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。

根据《指引》的要求，各中央企业需要每年编制年度全面风险管理报告，由国资委相关部门汇总分析后向有关领导报送《中央企业全面风险管理年度汇总分析报告》。

(三)内部控制基本规范

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》(以下简称《基本规范》)。

根据《基本规范》的定义，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。企业建立与实施有效的内部控制，应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。