2006年6月,國資委出臺了《中央企業全面風險管理指引》,文件對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化、風險管理信息系統等方面進行了詳細闡述。《中央企業全面風險管理指引》的技術含量高,具有指導性和前瞻性,已經涵蓋了國際上9大專業機構(包括安永、德勤等“四大”會計事務所)共同起草的“企業風險管理指南”所包含的內容。
指引出臺的背景
隨著經濟全球化的發展,企業在市場競爭中將面對各種各樣的風險,如何辨識、評估、監測、控制風險,已成為企業共同關心的熱點問題。在一些發達國家,風險管理起步較早。由國際組織及各國風險管理協會的大力推動風險管理標準的實施。1995年,澳大利亞和新西蘭聯合制訂了世界上第一個風險管理標準(AS/NZS4360)。2003年英國制訂了AIRMIC/ALARM/IRM標準。2004年美國COSO發布了COSO-ERM標準,充分吸收了前面所提及的各項標準的精華。但是該框架脈絡欠清晰,在實施方法和技術手段不夠豐富,企業在引進COSO-ERM框架時碰到了可操作性不強的問題。
世界各國國家立法也推動了全面風險管理的開展。英國1998年制訂了公司治理委員會綜合準則,該準則被倫敦證券交易所認可,成為交易所上市規則的補充,要求所有英國上市公司強制性遵守。2002年7月,美國國會通過薩班斯法案(Sarbanes-Oxley法案),要求所有美國上市公司必須建立和完善內控體系。薩班斯法案被稱為是美國自1934年以來最重要的公司法案,在其影響下,世界各國紛紛出臺類似的方案,加強公司治理和內部控制規范,加大信息披露的要求,加強企業全面風險管理。世界上已有30幾個國家和地區,包括所有發達國家和地區和一些發展中國家如馬來西亞,都發表了對企業的監管條例和公司治理準則。在各國的法律框架下,企業有效的風險管理不再是企業的自發行為。
在一些發達國家,風險管理的理念、技術、方法和手段,已經應用于企業戰略制定、投融資決策、財務報告管理、內部審計體系建設等,涵蓋了從公司法人治理結構安排,到各項業務運作流程和操作等各個層面,形成了系統化、制度化、規范化的全面風險管理體系。而對于中國絕大部分企業來說,風險管理是企業管理中的一個相對薄弱環節。普遍存在風險控制和風險管理不力問題,相當一部分企業沒有專門的人員或機構進行企業風險管理活動;一些企業根本就沒有風險管理概念及意識;企業中風險管理活動普遍沒有做到規范化和制度化。投資收購、內部審計、衍生品交易等都是目前容易發生問題的重點環節。雖然一些企業已經開始引入了國際通行的內控體系和風險管理框架,但是由于這些體系和框架缺乏符合中國國情的實施方法和手段,因此并沒有完全發揮其應有的作用。比如SOX法案在中國就遭遇了“水土不服”,許多公司為依據該法案建立內部控制不得不花巨資,同時由于國內外企業的差異,而且依此建立的內部控制體系的作用有限。
在《中央企業全面風險管理指引》出臺前,全面風險管理在中國金融行業已有巴塞爾協議指導,但是在非金融領域風險管理制度還是空白。“銀廣夏”等上市公司財務舞弊事件、深圳發展銀行周林案、中航油新加坡公司巨虧事件、德隆集團的轟然倒塌、三九集團的瓦解、華源集團主業搖擺不定被收編、科龍顧雛軍案……。這一系列的反面案例給國資委帶來了不小的沖擊。將近兩年的時間里,國資委開展了大規模的風險管理研究工作,先后8次組織各種類型的風險管理研討會,多次邀請國內外專家進行培訓,經過20多次易稿,這把中國中央企業全面風險管理的“尚方寶劍”終于浮出水面。
探索中的先行者
我國各行業中,由于金融、保險企業的特殊性,全面風險管理管理工作相對較早。其它行業的企業,如能源行業、電信行業、化工行業和建筑行業已經開始開展全面風險管理相關工作。2006年8月,國資委第一期《中央企業全面風險管理指引》輔導班結業。拉開了中央企業開展風險管理的序幕。2006年9月,由國務院國資委研究中心和亞洲風險與危機管理協會聯合主辦的“首屆企業全面風險管理高峰論壇”在北京舉辦,聚集了眾多各方高層領導,顯示了對全面風險管理的重視程度。
截至2006年,相當多的中國大型企業開始重視并開展了全面風險管理工作。物流行業的中國遠洋運輸(集團)總公司,電信行業的中國網通、中國移動、中國電信和中國聯通等企業,能源行業的中石油、中海油和中廣核,冶金礦產行業中的中國鋁業公司和中國五礦集團公司,以及國家開發投資公司等企業都已經開始看展了不同程度的全面風險管理工作。
2004年6月起,中國遠洋運輸(集團)總公司開始風險調研、風險辨識評估,并開始建立適合公司發展的風險辨識信息系統的理論框架。2005年,完成了全面風險管理體系框架的建設工作。該公司因此成為了國資委的標桿示范,體現了其對風險管理的理解和應用已經逐步成熟。
2005年下半年,中國移動在福建、天津、湖北、山西等4家省級公司開始試點“薩班斯法案”內控項目試點。試點項目是“薩班斯法案”中最苛刻和最嚴厲的404條款,涵蓋企業經營、IT系統控制、投融資管理、財務監控、法律法規監督等13個大類、38個細項。中國移動率先在企業內部建立“薩班斯法案”試點無疑為其他在美國上市的中國公司起到了一定的示范作用。
中石油、中海油等大型能源企業在近兩年也建立以COSO為框架的企業內控體系,并在此基礎上開展SOX審計工作。2006年上半年,中石油進行了全面風險管理概念導入的培訓;下半年,中海油開始著手打造企業IT內部控制體系,并在下屬三家單位開展IT審計的試點,為企業進行全面風險管理注入了強勁的動力。
截至2006年,國投公司啟動了全面風險管理體系建設,確定了專門的全面風險管理部門,強化各崗位的風險管理職能,并將風險管理與項目經理責任制相結合,在財務監督、審計監督、法律監督和紀檢監督為主體的監督約束機制基礎上逐步建立起與業務和管理相融合的全面風險管理體系。
2007年1月,第十三屆全國企業管理現代化創新成果獎揭曉,中國網通集團《基于全面風險管理的內部控制體系構建與實施》成果獲得了一等獎。
但除金融、保險行業外,其余各行業中小企業還基本處于開展全面風險管理的理念導入或試點階段。全面風險管理逐漸走入了各家央企老總的視線,并成為資產保值增值和提高企業管理水平的利器。
企業實施全面風險管理的成功因素
中國海洋石油總公司是中國石油石化行業三大支柱企業之一,是國資委直屬的大型集團企業,擁有在海外的上市公司。中國海油身處風險密集、資金密集和技術密集的高風險、高投入行業,在國家基本不投入資金的條件下之所以能夠獲得健康、快速發展的重要原因之一,是得益于公司決策層高度重視風險意識和風險管理。
中國海洋石油公司在風險管理和內控體系的建設上做了很多工作,公司內組建了SOX法案領導小組,并開展了SOX合規審計的工作。尤其是在國資委下發了《中央企業全面風險管理指引》之后,中國海洋石油公司在風險管理上更好地融合了現代企業制度框架下的風險管理理念和風險管理體系。公司不僅開展了以成本控制、資產風險、全球海上能源保險市場等幾個板塊組合控制風險,并且組織高管人員參加專業機構的系統培訓,取得中國首批風險管理師的資格認證,同時還開展了企業IT內控體系建設和災難備份項目,從信息化手段上更好的推進全面風險管理的落實。
賽迪顧問結合對中國海洋石油公司實施全面風險管理實踐的研究,總結出以下幾點體會:
1、企業高層充分重視是前提
全面風險管理工作具有全局性、戰略性,領導的足夠重視是前提。2006年10月,中國海洋石油總公司總經理親自批示,由公司黨組紀檢組組長、總經濟師等13名高管成員參加中國首屆企業風險管理師的培訓和認證。培訓人員經過系統的學習,通過了認證考試獲得了資格證書,最重要的是帶回了先進、系統的企業風險管理理念和方法。企業高層有了系統的風險管理理念,才能進一步做出企業風險管理的戰略戰術規劃,為企業有序的開展具體工作提供企業條件。
2、打造全員風險管理意識
全面風險管理是企業各個層面都需要參與其中的管理活動。因此,開展全面風險管理需要打造企業全員風險管理的意識,將風險管理植入企業從組織高層到各項業務程序和系統之中。目前,中國海洋石油總公司以及下屬單位都開展了不同層面的相關工作,企業充分利用公司網站和報紙等宣傳工具大力開展風險管理、內部控制、合規審計等方面的宣傳工作。有限公司制定了《內部控制手冊》,并組織全體員工進行學習。在整個企業內部營造出一種風險管理的文化氛圍和環境,能夠促進風險管理工作的有效開展。
3、有效溝通是促進力
全面風險管理工作涉及面廣,工作量大,需要各相關部門的積極參與和通力配合,而在這過程中,有效的溝通顯得至關重要。
中海油的全面風險管理工作涵蓋了公司所有重要的業務流程,需要梳理所有業務單元的重要業務流程,在此基礎上,識別并確認其對應的控制目標、風險因素及關鍵控制點,勢必需要涉及的各部門、各家分公司的積極參與和密切配合。
這其中包含的內容不僅有各部門和各分公司對承擔的任務理解偏差的矯正,他們之間的配合和分工,一旦溝通失效就將阻礙工作的進展。為此,中海油加強了溝通協調力度,同時制定了相應的工作流程和規范,明確分工,從而促進了全面風險管理工作進展。
4、健全的組織和制度是保障
實施全面風險管理,需要有專門的部門,統籌安排各項相關工作,負責組織、控制和實施,協調各部門之間關系。同時也要有固化為規章制度的約束,使得工作有“法”可依,有“法”必依。
