对于企业风险管理的要素,可供参考的国际国内标准主要有2006年6月国务院国资委印发的《中央企业全面风险管理指引》和2004年9月COSO发布的《企业风险管理——整合框架》及COSO在2017年6月新发布的《企业风险管理——与战略和绩效的整合》等。下文主要以COSO《企业风险管理——与战略和绩效的整合》为例,阐述风险管理的要素。
第一个要素,是治理和文化。风险管理的前提是加强主体责任,关键的主体当然是公司董事会。因此,风险管理强调先从公司治理层面切入,即加强董事会对风险的监督责任。如果风险管理建立在一个错误的框架下,那么其必然无法起到预期效果。为支持风险治理框架,企业需建立一个专门的与风险相关的运营结构。这个运营结构不是独立另起炉灶,而是在追求战略和运营目标的过程中建立的。实践中,可认为风险三道线构成这个运营结构的核心。
文化,是将战略和人联系起来的桥梁。在该企业风险管理框架中,包括“定义期望的文化”、“展现对核心价值的承诺”、“吸引、发展和留住优秀的员工”等内容。企业通过定义其所期望的风险文化,来将对风险的态度具体化。对核心价值的一贯追求,能体现企业对风险本质的认识。优秀个体的吸收和培养,同样是文化建设必不可少的因素。
第二个因素,是战略和目标制定。企业风险管理、战略制定和业务目标制定三者应共同发挥作用。首先,企业建立的风险偏好要与战略相协调;然后,业务目标应将战略付诸于实践;最后,业务应作为识别、评估和应对风险的基础。
实施本要素,具体工作原则包括:分析业务环境,企业应考虑环境对风险选择的影响;定义风险偏好,企业应了解不同的风险偏好所代表的取舍,风险偏好应与价值创造、实现相适应;评估备选的战略,企业应明白不同战略所包含的风险及其背后的意义;制定业务目标时考虑风险,企业在制定不同层级的业务目标以支持战略的同时,应考虑对应的风险。
第三个要素,是执行。该要素是风险管理落地的核心。执行是一个具体的风险识别、分析、评价与应对及事后再评估的过程。具体来说,即是指,企业需要识别和评估可能会影响战略和业务目标实现的风险,并根据严重程度和风险偏好来确定风险的优先级。然后,企业选择风险应对方案,并以风险组合的角度预测风险总量。这一过程的结果应向主要利益相关者报告。
首先是识别风险,方法包括专题研讨会、访谈、流程分析、关键风险指标和数据追踪等。这一点,与其他框架下的风险识别,无异。然后,从风险发生可能性和影响程度两个方面以及从固有风险、目标剩余风险和实际剩余风险三个层级对“风险”进行分析。根据分析结果,结合风险偏好,对风险进行排序,形成风险热力图。最后,是执行风险应对方案,包括采取承受、回避、追逐、降低、分担等方式,由管理层根据业务环境、法律法规、风险优先级、风险严重程度和风险偏好来选择风险响应措施。在本框架下,特别强调风险组合观,即需要从企业整体角度考虑风险,将风险情况视为一个整体,去和实现业绩目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险。
第四个要素,是检查和修正。通过对风险管理执行情况的定期检查,企业应考虑企业风险管理的各要素在一段时间的运行情况,特别是出现重大变化时的运行情况,并及时发现哪些部分需要进行调整。这个要素的实现,需要评估企业的重大变化,这些变化可能是来自外部原因,也可能是来自内部原因。该要素还要求对整个风险管理体系的改进进行跟踪。
第五个要素,是信息、沟通和报告。企业风险管理应建立流程,以便从内、外部渠道持续获取和分享信息,这些信息必须能够在整个企业得到全方位的沟通和传达。企业应在各个层级对风险、文化和绩效做出报告。报告的内容包括:风险整体判断、风险图谱、风险成因分析、敏感度分析、对风险变化的分析、KRI(关键风险指标)、趋势分析等。
