作者:李岑岩律师 现代风险管理认为,风险管理是一个系统工程,需由主体内的一个有机的组织来实施并执行各自的职责,才能实现风险管理的目标。但是,对于风险管理的组织构成层级及范围没有统一的标准,同时,各个企业大小不等规模不一,风险管理组织也会有较大的区别。但现代风险管理的理念是,在一个主体内,风险管理必须由最高层从战略上把控,而在基层组织,风险管理人人有责。COSO认为,风险管理由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中。在这个风险管理组织内,各部分人员的职责如下:董事会通过下列方式提供针对企业风险管理的监督:了解管理当局在组织中建立有效的企业风险管理的范围;知道并同意主体的风险容量;审核主体的风险组合观,并对照主体的风险容量对其进行考核;知悉最重大的风险以及管理当局是否恰当地应对。
首席执行官(CEO)对企业风险管理有着最终所有者的责任。其责任主要包括恰当地建立企业风险管理的所有构成要素。CEO通常通过下列方式来实现这项职责:为高级管理人员提供领导和指引;定期与负责主要职能领域——销售、营销、生产、采购、财务、人力资源的高级管理人员进行会谈,以便对他们的职责、包括他们他们如何管理风险,进行核查。掌管组织单元的高级管理人员有责任管理与其单元的目标相关的风险。他们将战略转变成经营、识别事项和评估风险,并影响风险应对。高级管理人员通常将企业风险管理具体程序的责任赋予特定流程、职能机构或部门的管理人员。管理人员的职责应该既包括权利,也包含义务。每位管理人员应该就他份内的企业风险管理对上一个层级负责,而最终由CEO向董事会负责。尽管不同的管理层级有着不同的企业责任和职能,但他们的行动应该行动应该融入主体的企业风险管理之中。风险官员(风险总监)的职责包括:建立企业风险管理政策、包括确定职能与责任,以及参与设定执行目标;确定各业务单元对于企业风险管理的权力和义务;提高整个主体的企业风险管理能力,包括推动企业风险管理专门技术的发展,以及帮助管理人员协调风险应对和主体的风险容量,并建立恰当的控制;指导企业风险管理与其他经营计划和管理活动的整合;建立一套通用的风险管理语言,包括围绕可能性和影响的共通的测试指标,以及通用的风险类别;帮助管理人员制定报告规程,包括定性和定量的下限,以及对报告过程的监控;向首席执行官报告进行和暴露的问题,并建议必要的措施;风险总监一般也负责风险政策制定、资本管理、风险分析与报告,以及领导各业务单位的风险管理主任。总而言之,风险总监办公室直接负责:提供对企业全面风险管理的统一领导、设想和指引;对整个机构的所有风险建立综合的风险管理框架;研发风险管理策略,包括通过利用特别的风险限制来量化管理层的风险倾向;执行整套的风险指标和报告,包括损失与事故、主要风险敞口和早期预警指标;基于风险程度把经济资本配置给各项业务活动,并且通过业务活动和风险转移策略来优化公司的风险组合;向主要的权益方通报公司的风险特征,这些权益方包括董事会、监管机构、股市分析专家、评级机构和商业伙伴;提高分析、系统以及数据管理能力以支持企业全面风险管理。
首席财务官、首席会计官、审计长和财务职能机构的其他人员对于管理当局执行企业风险管理的方式至关重要。在考察企业风险管理的构成要素时,很明显首席财务官和他的下属员工起着重要的作用。这个人在制定目标、确定战略、分析风险和作出如何对影响主体的变化进行管理的决策时是一个关键的角色。他提供有价值的投入和指引,而且其职责在于关注监控和追踪所决定的行动。内部
审计师在评价企业风险管理的有效性以及提出改进建议方面起着关键作用。内部审计师协会所制定的准则规定,内部审计的范围应该包含风险管理和控制系统。它包括评价报告的可靠性、经营的有效性和效率以及符合法律和法规。在履行这些职责时,内部审计师通过对主体企业风险管理的恰当性和有效性进行检查、评价、报告和提出建议,来协助管理当局和董事会或审计委员会。主体中的其他人员。企业风险管理在某种程序上是主体中所有人的责任,因此应该成为每个人的职位描述的一个明显的或隐含的部分。这可以从以下两个方面来证实:事实上所有人员在实现风险管理中都起着某种作用;所有人员都有责任支持企业风险管理中所固有的信息与沟通流程。外部人员。COSO还重视外部人员在企业风险管理中的作用职责。外部审计师为管理当局和董事会提供一个独特的、独立的和客观的看法,它有助于主体实现其对外财务报告目标以及其他目标。立法者和监管者通过建立风险管理机制或内部控制的要求,或是通过对特定主体的检查,影响着许多主体的企业风险管理。立法者和监管者通过两种方式影响主体的企业风险管理:他们制定规则以促使管理当局确保风险管理和控制系统满足最低的法定或监管要求;根据对特定主体的检查,提供对主体应用企业风险管理有用的信息和建议,有时还向管理当局提供与所需的改进有关的指引。与主体互动的各方也有重要的职责。客户、卖主、商业伙伴和其他与主体开展业务的人,是企业风险管理活动中所使用的信息的一个重要的来源。除了客户和卖主之外,其他方面,如债权人,也能够针对实现一个主体的目标提供监督。总之,在COSO看来,企业风险管理的组织架构应是严密和广泛的。企业风险管理的职责应落实在每一个人的头上。我国《中央企业全面风险管理指引》认为,企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。企业应建立健全规范的公司法人治理结构,股东(大)会(对于
国有独资公司或国有独资企业,即指
国资委,下同)、董事会、监事会、经理层依法履行职责,形成高效运转、有效制衡的监督约束机制。国有独资公司和国有控股公司应建立
外部董事、独立董事制度,外部董事、独立董事人数应超过董事会全部成员的半数,以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。企业应通过法定程序,指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。各组织单元在全面风险管理中的职责分别如下:董事会就全面风险管理工作的有效性对股东(大)会负责。董事会在全面风险管理方面主要履行以下职责:(一)审议并向股东(大)会提交企业全面风险管理年度工作报告;(二)确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;(三)了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;(四)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;(五)批准重大决策的风险评估报告;(六)批准内部审计部门提交的风险管理监督评价审计报告;(七)批准风险管理组织机构设置及其职责方案;(八)批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为;(九)督导企业风险管理文化的培育;(十)全面风险管理其他重大事项。具备条件的企业,董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责,主要履行以下职责:(一)提交全面风险管理年度报告;(二)审议风险管理策略和重大风险管理解决方案;(三)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;(四)审议内部审计部门提交的风险管理监督评价审计综合报告;(五)审议风险管理组织机构设置及其职责方案;(六)办理董事会授权的有关全面风险管理的其他事项。企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员,负责主持全面风险管理的日常工作,负责组织拟订企业风险管理组织机构设置及其职责方案。企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责:(一)研究提出全面风险管理工作报告;(二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;(三)研究提出跨职能部门的重大决策风险评估报告; (四)研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;(五)负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案;(六)负责组织建立风险管理信息系统;(七)负责组织协调全面风险管理日常工作;(八)负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作;(九)办理风险管理其他有关工作。企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的有关规定。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。