基于公司治理的企業風險管理組織框架構建探討

廣東海洋大學經管學院 李翠霞 中海石油湛江燃料油有限公司 閆興旭

國資委于2006年發布的《中央企業全面風險管理指引》明確要求企業應建立健全風險管理組織體系。目前，雖然許多商業銀行和其他金融機構均設立了專門的風險管理委員會以及資產負債風險管理、信貸風險管理等委員會，但許多企業尚未建立起比較健全的風險管理組織架構。現代企業風險管理的特點是全員風險管理，董事會、經理層、監事會、首席執行官、財務經理、內部審計部門、有關業務部門以及組織中每一位員工均對有效的風險管理具有重大貢獻，這意味著組織中的每一個人都對企業風險管理負有責任。上述主體共同構成了企業風險管理組織架構的參與因子。企業風險管理組織架構主要就是解決上述主體之間在風險問題上的權責分配問題，如相關主體在風險管理中的作用與地位的確定；各風險參與主體在風險管理過程中權責的配置問題；風險委員會及風險管理職能部門的建立以及各主體之間的關系。

一、公司治理結構概述

公司是一個由股東、董事、經理、職工結成的多元利益共同體。其中，股東與董事之間的信任托管構成了法人治理結構的第一層委托代理關系。董事會作為一個決策機構，并不直接行使企業日常經營管理權，董事會通過經理人市場選任適合于本公司發展的經理人員，主持公司日常管理工作，這是法人治理結構的第二層委托代理關系。這兩種代理關系的區別在于前者是一種信用關系，而后者是一種雇傭關系。公司對經理人員是一種有償委托的雇傭。經理人員有義務和責任依法經營好公司業務，董事會根據經理人員的努力程度和經營業績作出獎勵和處罰的決定。公司經理是基于委托關系而產生的公司代理人，經理是隸屬于董事會的高級職員。

需要特別說明的是關于內部審計機構的設置。目前內部審計機構的設置模式主要有:董事會領導的組織模式；由監事會領導的組織模式；由總經理領導的組織模式；由三者領導的組織模式。這些組織模式的設置，各有利弊。我國企業普遍實行的是由監事會領導的內部審計模式。原因在于如果將內部審計機構設在董事會實質上是將公司監督權進行拆分，存在許多缺陷；而將內部審計機構設在監事會下解決了監督職能重復問題，完善了監督體系，并且解決了內部審計人員“雙重身份”的問題，使內部審計相對獨立和超脫。因此，在監事會下設立內部審計機構，不僅解決了以往內部審計工作中的許多不順問題，而且能夠強化監事會的監督、制衡作用，完善公司治理結構，降低經營風險，更好地促進公司發展。

二、基于公司治理結構的風險管理組織框架

公司治理結構為公司的風險管理設置三道防線，即在經理層下設全面風險管理辦公室，負責日常的風險管理工作，為第一道防線；董事會下設的風險管理委員會負責風險管理政策的制定、監督和評價，為第二道防線；內部審計部門負責對風險管理的再監控，為第三道防線。

（一）各主體之間的相互關系 主要包括以下方面:

（1）董事會及風險管理委員會。董事會在企業風險管理中的角色主要是監督經理層建立健全風險管理，并對企業的風險管理過程加以監督。在董事會之下成立風險管理委員會以專門負責公司風險管理政策的制定、確定風險限額。另外，董事會下屬的審計委員會是企業風險管理的重要組成部分，審計委員會在防范虛假財務報告風險方面具有重要作用。風險管理委員會和審計委員會都對董事會負責。

（2）經理層及全面風險管理辦公室。經理層對企業包括風險管理在內的所有活動負有直接責任。各個層次的經理層是企業風險管理具體政策的制定者和主要執行者。因此，經理層對于企業風險管理的成敗至關重要，企業經理層就風險管理工作向董事會負責。根據我國《中央企業全面風險管理指引》的規定，企業應設立專職部門或確定相關職能部門履行全面風險管理的職責，該部門對總經理或其委托的高級管理人員負責。結合我國公司治理結構，筆者建議在經理層下設全面風險管理辦公室，負責風險管理的日常組織協調工作。全面風險管理辦公室對經理層負責，并定期向董事會下屬的風險管理委員會報告。也就是說，全面風險管理辦公室在行政上對最高經理層負責，但對董事會下屬的風險管理委員會亦負有報告責任。

（3）內部審計與企業風險管理有著緊密的聯系，風險管理是公司治理的核心，內部審計作為公司治理的自我調控機制與內部控制的重要組成部分，是解決信息不對稱的重要措施，與風險管理密不可分。內部審計除了關注傳統的內部控制之外，更加關注有效的風險管理機制和健全的公司治理結構。內部審計部門在風險管理方面的主要職責是對企業的內控和風險管理情況進行審計，提交內控和風險管理檢查評價報告。

（二）相關職能部門的設置 西方企業風險管理的通行做法是，在董事會之下設置風險管理委員會，并在企業中設立獨立于業務部門的風險管理機構專門負責企業風險管理事宜。這體現了現代企業風險管理的專門管理與全員管理相結合的特點。借鑒國外做法并結合我國公司治理結構，設置風險管理委員會和全面風險管理辦公室實現對風險的專門管理和全面管理。

（185）尖葉薄鱗苔 Leptolejeunea elliptica（Lehm.＆Lindenb.）Schiffn. 彭丹等（2002）

（1）風險管理委員會的設立。在國外，董事會之下成立風險管理委員會以專門負責公司風險管理政策的制定，是一種較為普遍的做法。我國《中央企業全面風險管理指引》規定:“具備條件的企業，董事會可下設風險管理委員會。”并沒有對我國企業是否設置風險管理委員會做出強制規定。結合目前情況，筆者認為，我國可強制要求金融機構、上市公司在董事會內設立風險管理委員會，專門負責制定企業的風險管理政策和程序、確定風險偏好與風險容忍度、監督經理層對風險管理政策的執行、對企業的獨立風險管理機構進行指導和監督、對企業面臨的風險及相關管理政策的效果加以評估等。對于其他有需要的企業，則可規定在符合成本效益的前提下自行決定是否設立風險管理委員會。

關于風險管理委員會的構成，國內企業做法與國外企業并不統一，但一般均包括企業高級管理人員和風險管理部門的負責人。由于風險管理是一個涉及到整個企業的全局性問題，且應當與企業的業務活動緊密結合，因此，風險管理委員會不僅應包括熟悉企業重要管理及業務流程、具備風險管理監管知識或經驗、具有一定法律知識的董事、高級管理人員、風險部門經理，還應當視企業所面臨的主要風險類別的不同，納入財務、法律、市場等部門的管理人員。此外，為了提高風險管理委員會的專業性，還可以考慮從企業外部聘請專業人士（如保險公司、咨詢機構的專家）來擔任風險管理委員會成員或顧問。至于風險管理委員會中獨立董事的比重，考慮到虛假財務報告風險，風險管理委員會中保持一定數量的獨立董事仍有必要，但沒必要像內部審計機構、薪酬委員會那樣須以獨立董事為主。

另外，為體現關于風險管理委員會的獨立性，其召集人應由不兼任總經理的董事長或監事會主席擔任；董事長兼任總經理的，召集人應由監事會主席或外部董事或獨立董事擔任。

（2）全面風險管理辦公室。獨立的風險管理職能機構已成為西方企業風險管理組織架構的核心，目前，西方許多金融控股公司、跨國公司以及大型上市公司，均設立獨立的風險管理機構，專門負責風險管理事務。實踐表明，設立專門的風險管理機構對于加強風險管理、降低風險管理成本、促進企業內部風險管理的信息溝通及保證風險管理職能部門的獨立性具有積極的意義。而獨立風險管理機構在組織中的位置、其應向誰報告，是風險管理組織架構的核心問題。考慮到風險管理的目的是要處理所有的組織風險，因此，風險管理職能部門最好緊靠經理，使經理層能提供對風險管理的全部指導。

基于此，在經理層下設全面風險管理辦公室，做為獨立的風險管理職能機構，并配置專職人員從事風險管理工作。全面風險管理辦公室的負責人原則上應具備以下備件:有三年以上財務、審計、風險管理等相關工作經驗；熟悉本單位業務流程，具備對關鍵性、整體性風險的識別與評估能力；具備對戰略、運營、財務、法律等風險的應對與管理能力；具備較強的組織協調能力。

三、風險管理機構的具體職責

明確的職責劃分，是風險管理的關鍵。職責分明可以避免少數關鍵人操縱整個交易、責任的交叉與遺漏，并為考核風險管理的效果奠定良好的基礎。

（一）董事會及下屬的風險管理委員會 董事會就風險管理工作對股東大會負責，風險管理委員會對董事會負責。風險管理委員會一般由業務部門經理和風險控制經理組成，負責制定公司的風險政策、確定風險限額。董事會和下屬的風險管理委員會在風險管理方面主要職責如下:確定公司風險管理總體目標、風險偏好、風險承受度，批準公司風險管理政策和制度；監控公司面臨的各項重大風險及應對策略；監督風險管理體系運行的有效性；指導全面風險管理辦公室開展風險管理工作；批準風險管理績效考核標準；批準內部審計部門提交的內控和風險管理檢查評價報告；審議批準并向股東大會提交年度風險管理報告；督導企業風險管理文化的培育。

（1）經理層。經理層或經理層委托的高級管理人員，負責主持全面風險管理的日常工作。經理層對于企業風險管理的成敗至關重要，從國內外風險管理失敗的案例來看，大多是由于經理層對風險管理的不重視或者沒有能夠有效地識別、評估、應對風險。企業當中存在著不同層級的經理層，包括以CEO為代表的高級經理層和部門經理，不同層級的經理層對風險管理的責任是不相同的。CEO作為最高經理層，對風險管理負有最終的責任，并對企業風險管理具有深遠的影響。與其他人相比，CEO確定了組織的高層格調，而這將會極大地影響到內部環境以及企業風險管理的其他因素。因此，CEO對風險管理的主要職責是:在整個企業范圍內建立有效的風險管理政策與程序；根據主體的風險偏好對企業的風險進行監控；適時采取相應的對策；并接受董事會的監督。CEO的具體責任包括:在風險管理理念、風險偏好和文化方面為高級管理人員提供領導和指引（包括創建構成企業風險管理基礎的價值觀、原則和主要經營政策）；定期與負責關鍵職能領域（生產、市場營銷、財務、人力資源、安全）的高級管理人員進行會晤，討論風險管理相關事宜，并檢查其責任。此外，CEO在風險管理方面的另一個重要作用就是負責在企業范圍內建立健全內部控制機制，因為內部控制是實現風險管理的重要手段，內部控制是否完善將直接關系到風險的識別與控制的有效性。

高級經理層會進一步進行分權，他們通常將具體的風險管理責任分配給部門經理。部門（生產、市場營銷、財務、人力資源、安全）經理對管理與其部門相關的風險負有責任。部門經理將戰略轉化落實為經營，在日常經營活動中識別與評估風險，并采取相應的應對措施。確切的說，部門經理親自參加與部門目標相關的風險程序的設計和執行（如事項識別與風險評估技術），并確定相關的風險應對措施（如制定購買原材料或接受新客戶方面的規程）。他們對相關的控制活動提出建議，監控有關控制活動并與上級管理人員會晤以報告控制活動的運行。因此，部門經理有責任在其經營范圍內加強風險意識，并將風險管理目標融入到經營中；各部門應當定期舉行風險管理會議，以考慮風險暴露情況，并根據有效的風險分析重新安排工作的優先次序；部門經理應保證在項目的概念階段和整個項目期內都進行風險管理。

（2）全面風險管理辦公室。其主要職責可以概括為:政策制定、推動、設計、協調與監督、信息與溝通。作為企業內部的一個獨立部門，全面風險管理辦公室以及風險經理應在CEO的領導之下專門負責風險管理工作。并對經理層及風險管理委員會負責。

全面風險管理辦公室是企業風險管理政策和程序的具體執行機構，負責風險管理的日常組織協調工作，其具體職責如下:建立健全內控和風險管理制度；根據公司發展戰略，結合本單位的風險承受能力和風險偏好，向管理委員會提出修改風險管理政策和制度的建議；梳理本公司的重大風險，提出應對策略并負責實施；培育風險管理文化；制定風險管理培訓計劃，并組織實施；制定風險管理績效考核標準，組織實施風險管理績效考核工作；負責對風險管理有效性進行評估，研究提出風險管理的改進方案；監測重大風險，做好危機防范工作，在危機發生時協助危機與應急管理組織進行危機處理；負責撰寫風險管理工作報告；負責組織協調風險管理日常工作，協助各個職能部門建立相關的風險管理應對策略和措施，并監督措施的執行和改進狀況。

需要說明的是，風險經理（或稱首席風險官CRO）與其他管理人員一起，在其職責范圍內建立并維持有效的風險管理。風險經理還負有監督風險管理過程、幫助其他管理人員向上、向下或在組織內部各部門之間報告風險有關的信息的職責，他往往是風險管理委員會的成員。

（三）內部審計機構 內部審計機構的責任是對企業風險管理政策與程序進行監控，保證企業風險管理政策的有效實施，及時發現存在的缺陷并采取補救措施。同時內部審計機構還要對公司的內控和風險管理情況進行審計，提交內控和風險管理檢查評價報告。因此，風險管理的第三道防線——內部審計機構在風險管理方面的職責具體包括:集中做好經理層識別出來的重大風險的內部審計工作，并審計整個組織的風險管理過程；研究提出風險管理監督評價體系，制定監督評價相關制度，開展監督與評價；對風險管理過程提供積極的支持，并參與其中；實施風險識別及評估，并教育從事風險管理及內部控制的員工；協調提供給董事會、審計委員會的風險報告。

四、企業風險管理組織架構設置相關問題說明

企業應當明確劃分各個業務部門、風險管理部門、經理層、風險管理委員會在風險管理方面的報告責任，尤其要明確經理層、風險管理委員會與董事會之間的關系。風險承受者一定要知道他們在何種層面上對誰負責，因為，溝通順暢、分工明確的報告線是有效風險管理的關鍵。另外，企業風險管理組織架構的設置要體現全員風險管理的思想，并有利于風險信息的流動和組織成本的節約，必須考慮以下幾個問題:

（一）建立清晰的報告線（信息暢通原則）風險管理組織架構的設計，必須有利于組織內部上下進行有效的溝通:下級能夠向上級溝通有關風險暴露情況以及風險政策的執行情況，上級需要能夠及時向下級傳達有關的風險政策、策略，各個部門之間也要在風險管理方面加強溝通、信息共享。要實現企業內部信息的暢通，必須要防止企業內部組織架構過于復雜。因為，組織架構過于繁冗，將會導致風險信息的堵塞，風險決策時間過長，妨礙風險政策的迅速、有效執行，還會導致有關部門故意隱瞞風險信息的情況。有效的風險管理組織架構的一個特點是具有明確的報告線，各個部門、員工都應當明確自身在風險管理當中的職責并應找準對哪個機構負責，這樣，才能保障相關部門和員工各司其職，有條不紊地進行風險管理。另外，報告線的長短將直接影響到風險管理的效率，應當根據企業內部管理關系、業務的復雜程度來劃分報告線，但必須要保證企業最高層能夠及時了解有關風險暴露單位的風險情況。

（二）與業務部門良好的溝通（全員參與原則）現代企業風險管理的特征是全面風險管理，這就決定了現代風險管理必須是全員管理，即組織中的每個成員都是風險管理的參與者。這是因為企業風險管理過程涉及企業經營活動的各個方面，并與日常經營活動緊密地結合在一起，因而必定與企業中各個層次、各個部門、所有員工相關。可以說，風險管理是公司中所有員工都必須參與的活動。而基層員工與部門是風險的直接暴露單位。要有效地識別潛在的風險，就需要從各個業務接口入手。事實上，每一位員工都會產生企業風險管理所需要的信息或作出管理風險所需要的行動。另外，所有員工與部門是風險管理政策的執行者。為了實現風險管理目標，企業需要制定相關的政策與程序，而這些政策與程序的最終執行者正是企業各個部門與員工，只有這些部門和員工密切配合，才能夠有效地識別、評估、分析、報告所面臨的風險因素，保證經理層和風險管理部門制定正確的風險應對措施，并保證這些應對措施的有效執行。由此可見，企業中的每一個機構、每一個員工都對企業風險管理的有效性產生影響，因而都是企業風險管理的主體。另外，全員參與風險管理可以采用激勵政策，對于發現風險和提出應對風險有效措施的，應當給予獎勵，這樣才能調動全員參與的積極性。激勵政策既有利于提高整個公司的風險管理，又有利于對人工成本的控制。

要建立健全有效的風險管理組織框架結構，一方面，應當發揮風險管理委員會、獨立風險管理部門的專業管理作用；另一方面，企業內部所有部門與員工，都是風險管理的參與者和影響者，整個企業范圍內的風險管理需要各個方面的協調和配合。在設計風險管理組織架構時，必須考慮各層次、各部門員工在風險管理中的作用，并通過風險管理手冊明確規定其所在部門和崗位以及其他部門和崗位所面臨的風險和責任。

（三）提高企業經濟效益（成本效益原則）風險管理組織架構的設計必須要符合成本效益原則，避免設置不必要的部門或環節，從而導致風險管理成本的上升和管理效率的降低。首先，減少不必要的部門對于風險的控制將會有很大提高。如在集團企業的三級以下單位，市場營銷部可以直接涵蓋營銷、采辦、物流等工作，綜合管理部可以涵蓋人力資源、日常車輛管理、信息等工作，財務部可以涵蓋計劃、財務等工作，生產部可以涵蓋生產、安全等工作。在風險管理中，責任落實到人，與每個人的績效考核掛鉤，出現了問題，對于績效考核分數偏低者，應當采取適者生存的“進化論”。這樣既能提高負責人的認真態度，又能使員工有進步向上的意識。其次，應根據自身的規模、業務特點、風險領域等選擇適當的組織架構。在董事會之下設置風險管理委員會，并在企業中設立獨立于業務部門的全面風險管理辦公室專門負責企業風險管理事宜，體現了現代企業風險管理的全員管理與專門管理相結合的特點。當然，在不同企業，風險管理委員會和風險管理機構的設置和作用可以有所不同。全面風險管理辦公室的規模應以能夠處理企業風險管理具體事務為限，這具體取決于公司規模的大小以及風險的規模、復雜程度及不同風險類別的差異性。一般來說，公司的規模越大，風險規模就越大，風險管理部門的規模也應相應大些。對于小規模公司，全面風險管理辦公室的規模可以小一些，以符合成本效益原則。

［1］劉笑霞、李明輝:《不同主體在現代企業風險管理中的作用與責任》，《審計與經濟研究》2007年第4期。

［2］賴森本:《風險管理之迷思與真相》，《會計研究月刊（臺）》2005年第9期。

［3］米歇爾、科羅赫等著，曾剛等譯:《風險管理》，中國財政經濟出版社2005年版。

［4］詹姆斯·林著，黃長全譯:《企業全面風險管理——從激勵到控制》，中國金融出版社2006年版。

［5］托馬斯·L·巴頓、威廉·G·申克等著，王劍鋒、寇國龍譯:《企業風險管理》，中國人民大學出版社2004年版。

［6］COSO著，方紅星、王宏譯:《企業風險管理——整合框架》，東北財經大學出版社2005年版。