理论研究任何一项管理工作的圆满完成都是通过落实管理分工与责任达到的,风险管理工作也不例外。风险管理组织职能则是通过企业设置专职的风险管理组织机构或确定相关职能部门履行全面风险管理的职责,与其它部门一起形成风险管理组织体系,在明确风险管理责任的同时使风险管理有了统筹的安排,将风险管理责任落实到每一个岗位,从而保证风险管理工作的顺利进行。
《中央企业全面风险管理指引》(以下简称《指引》)将风险管理组织职能体系作为一个相对独立的部分,在第八章做了全面而详细地阐述,在感受到国资委对建设风险管理组织职能体系的重视的同时,也看到了《指引》非常务实的精神,《指引》对董事会、风险管理委员会、总经理、风险管理专职部门以及内部审计等部门进行了明确的定位,对这些部门在风险管理工作上的职责进行了清晰地划分和详细的阐述,这对企业建设风险管理组织职能体系有很强的指导意义。我们不妨从以下几个角度总结《指引》划分风险管理责任时的分工原则:分层管理原则、分类管理原则和集中管理原则。
企业应根据风险管理活动内容、性质和重要程度的不同,在战略、执行、操作三个管理层级上划分相应的风险管理责任,每个层级要求有相应的职能机构落实风险管理责任。以一个企业的重大风险的管理为例,董事会和风险管理委员会的职责是批准和审议重大风险的判断标准和判断机制,风险管理的专职部门的职责是提出判断标准和判断机制,而业务单位则要将管理落实到业务流程中去,实施具体的管理办法。另外,这里还要指出《指引》对风险管理工作在战略层面的落实是一个重点,这一点不仅表现为对管理责任的明确,还表现为对公司治理结构的整体要求,《指引》第四十三条和第四十四条提出企业要建立健全规范的法人治理结构和独立董事制度,从中我们不难体会到完善的公司治理结构对全面风险管理的基础作用以及全面风险管理对公司治理结构的提升作用。
根据分类管理的原则,企业应根据具体风险的管理需要和现有的职能体系分工,把不同风险的管理责任落实到不同的部门或不同的单位。这些部门或单位根据自己的专业立足点主导管理相应的风险,其他部门或单位根据需要给予协助或支持。
最后,企业还应该对企业整体的风险组合和风险水平进行集中管理,对面临的各类风险进行总体思考,设计统一的应对策略;统一分配管理资源;对分散的风险信息进行汇总分析和评估;对跨部门和业务经营单位的风险管理工作进行组织协调。这一点也是对过去单个的、分散的风险管理的提升。
以上三个风险管理职责分工原则,对企业根据自身的实际情况,建设风险管理组织体系有着更加现实的意义,企业掌握了分工原则后,能够充分地考虑各职能部门的专业定位、管理职责和各部门现有的关系,灵活地设置自己的风险管理组织体系,避免不必要冲突的同时提高职能体系运转的效率。
风险管理职能体系中每个部门都有自身的定位,为了避免内部审计部门工作与风险管理部门工作的混淆,《指引》对内部审计部门的工作做了特别说明,指出内部审计部门是风险管理职能体系的一个组成部分,在风险管理上,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督主人审计报告等方面的工作。由此可见内部审计在风险管理中的作用主要在于对于风险管理工作的监督与评价,保证风险管理工作过程和结果的有效性上,而不涉及到风险管理自身的工作当中。
《指引》对企业建立风险管理职能体系的要求比较明确,同时结合了企业的实际情况,在是否成立风险管理委员会方面,《指引》提出“具备条件”的企业可以在董事会下设置。而对设置风险管理工作的执行部门则提出“设立专职部门或确定相关职能部门履行全面风险管理的职责”这样的可选方案。根据我们过去的实践经验及国有企业的特点,在实际工作中,设置风险管理委员会和风险管理的专职部门有很多值得思考和注意的地方。
首先,目前有些国有企业尚未完成公司治理结构的改革,还没有成立董事会,其最高决策机构一般为总裁办公会。在这种情况下一个可行的方案是在总裁办公会下设风险管理委员会。但需要特别指出的是:总裁办公会下设立的风险管理委员会和在董事会下设立的风险管理委员会的性质是有所不同的。总裁办公会下设的风险管理委员会除了需要对战略性、全局性的问题进行研究和决策外,还直接参与重大的业务决策和具体风险事项的管理;而董事会下设的委员会则有着较强的独立性,对企业的风险和风险管理情况的专业的、独立的判断。
其次,对于风险管理的执行部门,我们建议设置独立的风险管理专职部门。建立独立的风险管理专职部门至少有以下两点客观理由:一、独立的风险管理专职部门拥有和业务管理部门与职能管理部门对等的独立地位,如果该部门有上级主管部门,必然因为利益制衡而影响其客观性。二、从风险管理工作的重要性来看,成立独立的风险管理专职部门,直接对企业的高层管理者负责,才能从企业整体层面更好地发挥该部门的作用。
风险管理组织职能体系的建设是一个系统工程,涉及到对现有职能体系的变革、责权利的重新分配、现有部门或机构的工作内容调整,相对比较困难和复杂,但是只要企业把握风险管理职能的分工原则,同时结合自身实际情况明确风险管理职能在企业中的定位,就能够按照《指引》有步骤、分阶段地进行风险管理组织职能体系建设。
