全面风险管理为公司治理提供了新的视角和内容,这主要体现在三个方面:
第一,基于风险管理思想的风险管理委员会的产生,使公司治理组织形式发生了重大变革。风险管理委员会的基本职能包括:批准风险管理战略、政策与流程;指导企业全面风险管理工作(风险文化、风险评估、工具办法等);指导善用企业资源;优化与监督企业风险管理体系,保障企业与股东利益;监督与优化企业信息决策系统,保障企业持续发展;以风险管理的新技术和方法技能支持企业绩效最大化的发展。风险管理委员会的设立方式有三种:一是由董事会直接设立。在已有的战略委员会、审计委员会、薪酬与提名委员会的基础上,专设风险管理委员会,向董事会直接负责;二是在首席执行官下设风险执行会员会,贯彻落实董事会的风险管理战略,协调各业务单位、部门、分支机构的风险管理工作,向首席执行官报告;三是双重委员会制。即董事会和管理层分别设置。董事会下风险管理机构侧重于风险管理的规划和监督,首席执行官下的风险管理机构负责贯彻和执行。风险管理委员会搭起了所有者和经营者关于企业风险态度和风险应对的一座沟通桥梁,为所有者风险评价、风险把控提供了渠道和手段;为经营者风险管理搭设了运作平台。
第二,设立专职风险管理岗位,实现风险管理专业化。在CEO、CFO、COO的基础上,世界上第一个风险执行官(CRO)于美国金融机构诞生。目前世界级的金融机构80%以上的企业已经设立了CRO职位。西方一些企业尽管未设立CRO,但其工作职能也暂由副总裁或风险管理委员会代为行使。CRO在组织中的角色包括:提供对企业全面风险管理的统一领导、设想和指引;对整个机构的所有风险建立综合的风险管理框架;研发风险管理策略,包括通过利用特别的风险限制来量化管理层的风险倾向;执行整套的风险指标和报告,包括损失与事故、主要风险敞口和早期预警指示;基于风险程度把经济资本配置给各业务活动,并且通过风险策略优化公司风险组合;向主要相关利益者通报公司的风险状况;发展分析风险管理信息系统以支持企业全面风险管理(詹姆斯.林)。
第三,风险管理与内部审计协同配合,并体现出融合之势。内部审计工作内容的演变,整体呈现出:会计基础审计(查帐防弊)----〉流程基础审计(经营审计)-----〉风险基础审计(风险导向审计)的基本趋势,全面风险管理为内部审计提供了方向、方法,拓宽了内部审计的视角,内部审计工作和风险管理相辅相成、互为弥补,丰富了公司内部自我监督约束的内容和手段。詹姆斯林甚至预言,随着全面风险管理理论与实践的日益成熟,内部审计将成为风险管理的一个执行环节,未来的审计委员会也将最终演变为风险管理委员会。
全面风险管理与内部控制
1992年,COSO在其内部控制的标准框架中引入了风险评估等要素,标志着比传统会计模型更为宽泛的风险控制框架的诞生。此后很多专业组织发布了补充性文件或标准,逐步将内部控制与企业风险管理的结合向宽泛化、深度化发展。2004年正式发布的COSO---ERM框架,将内部控制与风险管理的关联性推进至一种近于无缝的结合。企业经营所必须承受的风险,如果不能够采用风险转移或有效对冲等手段进行低成本科学化管理的话,就必须考虑利用企业风险内部控制的方法进行风险管理。尤其是对企业无可回避的关键性重大风险,必须设计严格的控制流程,并密切实施监控,而这些都是内部控制的内容。从某种程度上讲,萨班斯奥克斯利法案强制性地引发了对COSO内控框架的关注,而COSO内部控制框架在2004年依托全面风险管理思想进行的修订和调整,最终将人们对全面风险管理的关注引向巅峰。
全面风险管理和内部控制的区别体现在以下几个方面:
从性质上来讲,内部控制是一种基于损失最小化的被动式预防管理,注重于通过环境分析,在管理政策、组织机构、业务流程、市场经营层面减少不确定性,将风险可能带来的损失降到合理的程度之下,内部控制关注的焦点是信息和决策的质量控制和操作风险控制;风险管理是基于损失最小化管理和绩效最优化管理相结合的一种管理方式,兼具防御性管理和进取性管理的双重特征,寻求的是风险和机遇的最佳平衡点。
从内容上来讲,内部控制主要侧重于企业内部围绕控制活动的各项流程的规范重整,而全面风险管理除了内部流程外,还包括企业外部和证券市场、保险公司、供应商等合作伙伴、政府等相关部门围绕企业风险的各种合作与博弈活动,包括各种财务安排、公共关系(例如政府关系、媒体关系)、衍生金融工具的使用等等。
从涉及的风险特征来看,内部控制针对的是企业需要承担的风险,针对需要承担的风险在流程层面体现应对举措;而全面风险管理应对的是所有的风险,需要根据风险及其收益的判断,来做出风险的取舍。
全面风险管理与内部控制的联系体现在以下几个方面:
内部控制是全面风险管理的重要组成部分和全面风险管理的基本依托。正是在已经成熟完善的内部控制的基础上,进行外围的延伸,将危机管理、预警管理、金融风险控制、战略风险控制的相关内容和风险识别风险评估的相关技术进行整合,形成了全面风险管理体系。
全面风险管理思想贯穿在内部控制体系的设计之中。内部控制系统的设计,首先要识别关键风险流程,例如企业并购、期货交易等,针对这些关键风险流程实施重点设计。其次,要围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行规章制度、程序和措施。
|
