《中央企业全面风险管理指引》发布正式开启了中央企业实施风险管理的历程。在此之前,由于美国萨班斯法案的生效,中国在美国的上市公司已对内部控制较为熟悉,而在《指引》发布之后,财政部联合证监会、银监会、保监会及审计署等五部委也先后发布了《企业内部控制基本规范》及配套的《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》三项指引,使内部控制在上市及国有企业中得以广泛实施。时至目前,风险管理在中国企业中已经有了广泛的认识,实施方式和实施效果也多种多样,整体上保持着上升的势头。
不过在这种总体上升的势头下,企业同时也遇到了种种问题。这些问题使企业产生的困惑甚至对风险管理产生了怀疑,包括如何更有效地开风险辨识评估、如何让各部门更有极积性地参与到风险管理工作当中来、风险管理职能如何定位、风险管理与内部控制如何融合等方面。而对于一些开展风险管理工作较早,风险管理工作已成为企业日常各项管理工作一部分的企业来说面临的一大问题则是:风险管理在企业已实施多年,从一开始确立风险管理职能、执行风险管理工作流程及明确风险管理信息沟通机制等方面的框架式体系建设到具体的风险管理,管理越来越具体,越来越深入,但无论哪个具体风险,在该领域内都是执行收集环境信息、风险辨识和风险评估、风险应对、制定风险管理解决方案及监督和改进这样一个风险管理流程,这个流程在企业中一个部门可能反复执行,而得到的结果可能会有类似,尤其是在一类风险涉及部门较多的情况下就会表现得非常突出。举例来说,一个企业实施法律风险管理,由于企业中基本上所有部门在各自的工作中都会涉及到与外部合作方签订合同及遵从相关法律的要求,因此或多或少都会存在法律风险,企业便要求所有部门都要参与到法律风险管理工作中来,并根据自身的管理要求开展法律风险辨识评估和制定解决方案。如果企业此时再实施另一个专项风险——廉洁风险(我们知道,国资委党委于2012年6月下发了《关于加强中央企业廉洁风险防控工作的指导意见》,要求截至到2017年底,中央企业要建立运行顺畅的廉洁风险防控机制),实施虽然有只涉及人、财、物的重点部门之说,但是范围也非常广泛,同样需要各部门有效参与。同时由于廉洁风险管理部门(通常是纪检监察部门)一般对业务没有很深入的了解,就对各部门的参与度提出了更高的要求,因此各部门要再一次开展廉洁风险辨识评估与制定廉洁风险控制措施的活动。由于各部门的业务在一段时间内是相对固定的,因此,廉洁风险产生的环节和需要关注的重点与法律风险基本相同,建立的风险库可能有较大的重复。这时不免会受到各部门的报怨,“这工作不是都做过了吗?这样的工作有什么意义?这不是浪费时间、浪费资源吗?”而主管部门也觉得委屈,首先,主管部门有必要借助风险管理手段不断提升自身的管理水平;其次,对于公司整体而言,也有必要更多地发挥各部门在风险管理中的作用,提供支撑决策的信息;第三,由于外部监管机构有管理要求,这项工作必须要推进。
如何使各专项风险管理实施得到各部门的认同并逐步发挥作用,同时避免不必要的重复工作,又能满足各种外部监管的要求?下面将从四方面加以阐述:风险管理流程对专项风险管理的支撑;专项风险管理实施的必要性;专项风险管理如何融合;如何满足外部监管要求。
如前所述,从收集环境信息到监督改进是风险管理的基本流程,该流程具有普适性。开展风险管理工作就是执行风险管理流程,在任何管理领域中开展风险管理就是实施风险管理流程,所以开展各具体专项风险管理的程序是一致的,但这个一致只是表面上动作的重复,并不是本质上的重复。部门之所以觉得重复是没有对风险管理工作的必要性达到认同。试想企业在编制全面预算的时候,同样需要所有部门参与;在制定战略规划或经营计划的时候,各部门也都要根据本部门的工作制定相应的战略或计划,这些工作由于得到了各部门的认同,也都能获得他们的支持。这也说明了企业各项工作都是相互关联的,都服务于企业业务的开展,都需要各部门的参与和支持,风险管理也不例外。
工作程序的重复会增强工作的熟练度,最终提高工作效率,而工作中得到的结果有重复,便会引起质疑。这样的情况在开展了多个专项风险管理的企业中普遍存在,即经过不同的专项风险管理工作,发现各风险库之间有较多交叉,控制措施和解决方案也有类似之处。比如前面提到的法律风险和廉洁风险就会表现得比较明显,法律风险当中涉及到很多廉洁的问题,廉洁风险事件中也有很多触犯了相关的法律。但这里需要强调的是,结果的重复不是由于流程重复造成的,不能够抹杀流程本身的重要性,流程仍然是支撑专项风险管理工作开展的手段。那么结果的重复是怎样造成的呢?其实,结果有小部分的重复是很难避免的,但大面积的重复存在一些问题。这一方面是由于企业对于专项风险的管理范围还没有清晰的界定,即每一类专项风险包含哪些类别、实现哪些目标不明确;另一方面则是由于企业在实施专项风险管理中的工具方法不适当,即各类专项风险管理所要求的风险辨识方法、描述方式、评价模型、度量方法等需要灵活运用和根据具体情况设计。从风险管理工作的角度来说,风险管理必须与业务相结合才能焕发生命力,如果没有专项风险管理,企业风险管理体系永远只是一副骨架,缺少血肉。也就是说专项风险管理是风险管理工作深入开展的要求。从企业自身管理需求来说,企业业务运营中有各类型的风险,每一类风险都会给企业造成不良影响或带来发展的机会,企业需要对每一类风险细致评价分析,并有效管理。而专项风险管理的直接必要性则在于各个具体专项风险的管理目标和管理要求不同,因此各项风险管理需要按照各自的管理目标和管理要求来实施管理。例如法律风险管理目标可能是不要出现重大违法案件,不给企业造成重大法律损失,或者知识产权不被侵犯等等;廉洁风险管理目标可能是不出现领导人双规,腐败案件不超过十起等等。我们都知道,风险是不确定性对目标的影响,从这一点说,有多少种目标就有多少类风险管理,就需要针对不同的目标做风险辨识评估和管理应对,由此形成的风险库和管理应对方法也会各有特点。另外,专项风险管理实施的必要性就如同企业中职能部门的设置一样,需要有专业的立足点,再运用风险管理的工具和方法。我们可以看到,企业实施专项风险管理的方式,通常是按职能分工确定主责管理部门,然后再持续推进,然而也正是由于专项风险以职能为依托开展,造成了专项风险都是从各部门的利益出发,缺少相互融合,使专项风险管理天生就带有职能条块划分、各自之间沟通共享不足的缺点,效果大打折扣,再加上企业经常会紧盯着监管机构的要求,开展工作时缺少整体的思考和设计。如上所述,专项风险管理实施不成功或融合不利,会造成企业资源浪费,得到的成果可用性小,进而可能丧失各部门对风险管理工作的认同和支持,使风险管理工作更加难以推进。
我们说,专项风险管理需要融合,其融合的根本是企业的整体目标和业务运行,企业的整体目标和业务运行是任何管理服务的对象。专项风险管理融合,至少要从以下几方面着手:首先要有全局的思考和设计。在推进任何一个专项风险管理之前,特别是头一两个专项之前,都需要有一个充分的全局的思考和设计,才能更准确地定位,更高效地实施。这些全局的思考和设计包括:清晰地界定该专项风险的内容和范围;这个专项风险管理除了满足部门的目标和外部的监管要求以外,还会影响到企业的哪些目标;这些目标可能还与哪些部门相关联;本部门的专项风险管理能给其他部门什么支持,其他部门又能给本部门什么支持;如何设计一个整体的风险库结构以便各部门充分利用等等。这里需要强调的是,全局的思考和设计的前提是专项风险管理主责部门与其他各部门充分沟通管理要求和管理方法,了解其他部门如何开展工作,工作成效如何体现,以及是否已有了一些与风险管理要求相符的工作内容和成果等方面。其次,选择适当的风险管理工具方法。在有了全局的思考和设计之后,就需要在实施专项风险时选择符合专项风险管理需要的风险管理工具和方法。适当的风险管理工具和方法是专项风险个性的体现也是融合的基础,如果所有的专项风险都一样就失去了存在的意义,也谈不上融合。也许有企业会问,如果我们已经开展了几个专项风险管理,但是在开展前没有想太多,没有做过多的交流,也没有经过什么整体设计,现在不太理想的结果也已经出现,又该如何?其实这与前一种方式相同,就是要补课,把之前没有做的工作补上,即仍然需要充分共享和沟通,从企业整体利益出发做全局设计,再在此基础上选择工具方法。这类企业通常由于有了教训,感触更深切,补课时更能够抓住要害,实施效果反而更好。前面提到了专项风险管理如何融合,即各专项风险管理部门之间信息充分共享、实施时整体设计,并找到或设计出适当的工具方法等方面,但同时又引发出另外一些连锁问题:信息沟通如何开展?整体设计谁来承担?工具方法如何得到?
面对这些问题,我们就会发现风险管理主管部门和建立全面风险管理体系的重要作用。首先谈一谈风险管理主管部门。关于风险管理的总体管理原则通常被提到的有三个,即风险分层管理、分类管理和集中管理。如果说专项风险管理体现了风险的分类管理,那么在专项风险管理融合上,则体现了风险的集中管理,而集中管理的职责就是由风险管理主管部门承担的。也就是说,各部门就风险管理要求进行信息沟通与共享,需要风险管理主管部门统一策划和协调组织,各部门参与来共同完成;而所谓的全局设计则是由风险管理主管部门在通盘地考虑了风险管理的定位以及各专项风险管理的目标和要求后完成的;另外,专项风险管理的工具方法的应用更是需要风险管理主管部门的支撑,其他部门的人员并不了解风险管理工具方法的特性,他们更了解的是业务需求,因此只有在与风险管理主管部门通力合作的情况下,才能取得更好的效果。下面再讨论一下全面风险管理体系。可以说全面风险管理体系是专项风险管理融合的基础,而专项风险管理也是全面风险管理体系运转效果的体现。我们知道,全面风险管理体系运转主要有三方面的内容,一是组织体系运转,即明确组织中各部门的职能定位和分工;二是流程体系运转,即风险管理基本流程在组织各范围内循环执行;三是风险管理信息流转,即明确了风险管理需要哪些信息,各类风险管理信息从哪里来到哪里去。专项风险管理的融合以信息沟通与共享为起点,又以信息相互支撑为目的之一。由些可见,解决了专项风险管理融合的问题,最终实现的不仅是各专项风险的融合,也实现了专项风险与全面风险管理体系的融合,那么全面风险管理体系与各专项风险管理就共同构成一个支撑业务开展的风险管理系统,既相互支撑又各有特点。说到这里,有人也许会问,专项风险管理的效果是如何体现的,达到什么状态就是融合了呢?专项风险管理的融合最终效果的体现,当然是管理目标和企业目标是否实现,风险是否控制在可承受的范围之内,这也是全面风险管理效果的体现。放下最终目标不谈,在风险管理的过程中同样可以体验到融合的效果,即风险管理信息充分地运转和共享。如前所述,信息共享是前提也是目的,如果企业中的管理者和各部门都能够及时获得有用的信息,那么管理者的决策效率和决策科学性以及各部门资源配置的合理性都会大大提升。再回到风险的本质,风险的本质是不确定性,而引起不确定性的因素大都是因为信息不对称。由些可见,信息沟通与共享的重要性。专项风险管理实施有很多是外部监管机构提出的,因此,企业在实施专项风险管理时必须要注意这些监管要求。对于外部监管机构的要求,企业通常会觉得一个接一个,有类似也有不同,实施时又不得不存在一些重复,又有一些是创新性的,经常摸不清头脑。其实,外部监管机构的要求与企业管理提升的本质是一致的,它通常是促进企业管理提升的有效手段。在外部要求推动下开展专项风险管理不成功,或者说只是单纯增加企业的工作量而没有任何效果,通常是由于企业在实施前没有认真研究企业的现状,片面追求快速完成任务而导致的。其实与企业自身实施风险管理一样,只要在开始行动之前,做好基础性工作,实施起来并非难事。如果企业在外部监管机构提出要求前就已经有了自身的专项风险管理,那么满足外部要求就变得更加简单。最后强调一点,第一种外部监管要求,除了有工作内容外,更重要的要有各自的成果体现,这种成果体现是企业必须完成和呈现的。综上所述,专项风险管理的融合是使企业全面风险管理工作逐步深入的必经之路,也是促进企业整体管理提升的有效手段。
