本文刊登在2024年3月28日出刊的《上财风险管理论坛》杂志2024年第1期(总第27期)“前沿”栏目,经过作者的授权在“风控博士沙龙”微信公众号发布。
声明:文章的版权属于作者,如需转发请事先征得作者本人及风控博士沙龙的同意。文章的观点仅代表作者个人的观点,不代表所在机构的观点。
作者简介
张思远,红塔证券股份有限公司风险管理部副总经理。英国埃克塞特大学硕士,金融风险管理师(FRM),英国特许证券与投资协会(CISI)会员,云南财经大学金融学院硕士研究生专业实践导师。
王钰冰,红塔证券股份有限公司风险管理部员工。硕士,拥有注册会计师(CPA)、法律职业资格(A证)、中级会计师等执业资格。
杨雪彬,红塔证券股份有限公司风险管理部员工。作为项目负责人在十余家券商、保险实施超过20余个信息技术系统建设和数据治理项目。
提高上市公司质量是党中央、国务院从战略和全局高度作出的重大决策部署,是推动资本市场健康发展的内在要求。2023年10月召开的中央金融工作会议明确指出要“推动股票发行注册制走深走实,发展多元化股权融资,大力提高上市公司质量”。2020年以来,随着国务院《关于进一步提高上市公司质量的意见》、中国证监会《推动提高上市公司质量三年行动方案(2022—2025)》以及沪、深交易所《推动提高沪市上市公司质量三年行动计划》、《落实<推动提高上市公司质量三年行动方案(2022-2025)>工作方案》的颁布和实施,我国上市公司质量持续提升,在促进国民经济发展中的作用日益凸显。但也要看到,上市公司经营和治理不规范、发展质量不高等问题仍较突出,与新时代新征程下推动形成一批主动服务国家战略、创新能力突出、公司治理规范、经营业绩长期向好、投资者回报持续增强、积极履行社会责任的上市公司群体的愿景目标仍有较大差距。作为有效提升上市公司质量,增强上市公司风险管理能力的解决方案,本文通过研究分析我国上市公司构建企业风险管理体系的必要性和可行性,在吸取和借鉴了境外资本市场经验和模式的基础上,立足国内上市公司实际,提出了基于“核心、保障、策略”三要素整合视角的企业风险管理体系建设的整合路径模型,并据此提出全面注册制背景下的相关政策建议。一、构建企业风险管理体系
提升上市公司质量的必要性研究
(一)上市公司面临复杂多变、充满不确定性的内外部经营环境我国上市公司面临的是一个复杂多变、充满不确定性的内外部经营环境,世界经济论坛在2023年1月发布的《2023年全球风险报告》及其首次发布的《首席风险官展望》显示,我们正处于多重危机的边缘,地缘政治关系、经济、国内政治、社会和技术等方面的因素导致主要经济体内部及之间的经济和金融状况将持续经历不稳定性。就国内环境而言,我国经济发展同样面临需求收缩、供给冲击、预期转弱三重压力,上市公司发展面临的成本、资源、环境等硬约束不断增强,生存和发展面临着诸多风险和挑战。(二)增强风险管理能力是有效提升上市公司质量的必由之路提高上市公司质量是一项综合治理工程,一方面,需要包括行业监管、自律组织、中介机构乃至包括财政、税务、海关、金融、市场监管、地方政府、司法机关等各单位形成合力,优化机制,创造条件,相互协同,共同营造支持上市公司高质量发展的良好环境。
另一方面,“打铁还靠本身硬”,上市公司作为生产经营的主体,提升自身治理水平,增强核心竞争力,才是实现自身高质量发展的“治本之道”。中国证监会原主席易会满在2022年4月中国上市公司协会第三届会员代表大会上就曾指出,增强上市公司的风险管理能力是提升上市公司质量的有效路径,而构建完善的企业风险管理体系能够助力企业更科学地决策、更好地实现目标、更从容地驾驭不确定性,夯实风险管理能力这一重要的核心竞争力。为初探上市公司在风险管理方面的实践情况,本文以沪、深、北证券交易所上市公司为研究对象,对描述风险管理的25个关键词进行了语义识别和词频统计,具体情况见表1。
表1:国内上市公司风险管理体系建设情况
![]()
注:本表统计对象为可通过wind获取2022年报的5131个上市公司样本,包含深交所主板公司1497家、上交所主板公司1660家、上交所科创板公司507家、深交所创业板公司1239家、北交所公司228家。资料来源:wind及作者整理。
可以看到,上市公司已充分意识到经营环境所面临的风险,几乎所有(99%)上市公司的定期报告都提及风险概念,但在落实风险管理的具体措施等方面还存在不同程度的缺失,不同行业、不同板块的上市公司风险管理体系构建和风险管理工作开展情况差异较大。综合来看,国内上市公司风险意识的觉醒及由此形成的对于有效风险管理的需求,与尚不健全的风险管理体系、工具和能力之间,已经形成了深刻矛盾,而构建符合上市公司情况的企业风险管理体系则是化解这一矛盾的最佳路径,其必要性不言而喻。(三)构建风险管理体系提升上市公司质量是境外资本市场的普遍实践2023年,经济合作与发展组织(OECD)对49个国家公司内部控制和风险管理情况开展的调查显示(见图1),超过九成的国家都以法律法规、上市规则或行业指引的形式要求企业构建和完善风险管理体系,开展风险管理工作,部分国家还给出较为细致的实施指引。可以说,构建企业风险管理体系提升上市公司质量是境外资本市场的普遍实践。
图1:2023年OECD对49个国家风险管理和内部控制实施情况的统计
![]()
注:包括38个经合组织成员国以及G20和金融稳定委员会成员国(阿根廷;巴西;中国;香港(中国) ;印度;印度尼西亚;沙特阿拉伯;新加坡;南非)马来西亚,秘鲁。资料来源:《OECD Corporate Governance Factbook 2023》
进一步地,本文研究了各主要资本市场的具体做法,其中:1.美国市场。美国企业内部控制遵循著名的《萨班斯-奥克斯利方案》(Sarbanes-Oxley Act),并以审计标准的形式将企业风险管理框架作为上市公司普遍参照的实践准则。即便如此,在证券交易所层面美国市场仍强调上市公司构建企业风险管理体系的重要性。例如,纽约证券交易所《纽交所上市公司手册》(NYSE Listed Company Manual)以“把入口关”的形式提出了对上市公司董事会及其审计委员会在风险评估、风险管理方面职责和信息披露要求。纵观纽交所上市公司,遵循COSO框架构建企业风险管理体系的案例比比皆是。2.英国市场。英国财务报告委员会(Financial Reporting Council,FRC)颁布的《英国公司治理准则》(The UK Corporate Governance Code)明确了伦敦证券交易所上市公司的治理要求,以单独一章的形式明确董事会在风险管理方面的职责和公司风险管理体系建设和工作的要求,将其作为公司治理的必要组成部分予以固化,并配套有《风险管理、内部控制和相关的财务和业务报告指南》(Guidance on Risk Management, Internal Control and Related Financial and Business Reporting)等实施指引。对于非上市公司,出台了《适用于大型非上市公司的Wates公司治理原则》(The Wates Corporate Governance Principles for Large Private Companies)明确企业风险管理体系建设要求。伦敦证券交易所层面,其出台的《公司治理》(Corporate Governance)为主板和另类投资AIM市场(Alternative Investment Market)上市公司提供企业风险管理方面的指引。3.新加坡市场。新加坡金融监管局(MAS)颁布的《公司治理准则》(Code of Corporate Governance)明确了企业董事会在风险管理方面的职责和要求,并制定了一系列操作指引。值得一提的是,MAS在公司治理准则一般原则之下,针对新加坡上市公司制定的《上市公司董事会风险治理指引》(Risk Governance Guidance for Listed Boards)详细阐述了企业风险管理框架以及上市公司风险管理原则、目标、偏好、责任、过程等管理细节。4.德国市场。德国联邦司法部组建的德国公司治理委员会(DCGK)发布的《德国公司治理准则》(German Corporate Governance Code)不仅明确了上市公司董事会需要负责建立与其业务风险相匹配的风险管理体系的主体责任以及监事会的监督和评价责任,更是将企业风险管理理念贯彻于其提出25条公司治理原则之中,提出了更高的管理要求。5.澳大利亚市场。澳大利亚证券交易所公司治理委员会发布的《公司治理原则和建议》(Corporate Governance Principles and Recommendations)将“风险识别和管理”作为其提出八大公司治理管理原则之一,要求上市公司建立风险管理框架,定期审查和评估架构的有效性,及时披露其面临的重大环境、社会风险以及应对措施等要求。6.中国香港市场。香港联合交易所出台的《企业管治守则》明确了董事会在风险管理、内部审核、风险监控方面的职责,配套的《董事会及董事企业管理指引》进一步以单独一章讨论了风险管理的意义、董事会在风险管理中的角色、风险管理政策及程序、风险辨识、风险冷热图、适当的风险处理方法等相关内容。目前,全球两大重要的企业风险管理体系框架为:反虚假财务报告委员会(COSO)发布的《企业风险管理框架》体系和国际标准化组织(International Organization for Standardization,简称ISO)发布的《风险管理指南》。最新版的COSO《企业风险管理框架》发布于2017年,该框架从战略、商业目标、绩效与风险管理融合视角拓展了风险管理对企业战略层面的作用,强调风险管理与企业战略整合以及对于价值创造的重要作用。该框架还要求企业充分利用信息技术适应时代新趋势,增强组织应对风险的韧性,其主要内容可归纳为图2的5大要素及20相关原则。图2:2017年《企业风险管理——整合战略和绩效》框架图
![]()
资料来源:《Enterprise Risk Management—Integrating with Strategy and Performance》及作者整理。国际标准化组织ISO于2018年发布了ISO31000《风险管理指南》正式文件,强调风险管理的整合原则和整合过程,突出领导层在风险管理的角色和职责,提出了风险管理自上而下的贯彻原则,要求持续优化风险管理框架和流程,该框架可归纳为3个部分、8个风险管理原则、5个步骤风险管理框架和6个要求组成的风险管理过程(见图3)。图3:ISO31000《风险管理指南》整体内容示意图
![]()
资料来源:《ISO 31000:2018 Risk management—Guidelines》及作者整理。
综合来看,COSO框架和ISO指南形式和内容各有侧重,但在企业风险文化培育、价值创造保护、支撑战略目标实现、与业务的有效整合、突出领导责任等内涵理念和核心要义方面却不谋而合、殊途同归。
二、构建企业风险管理体系提升
上市公司质量的实践路径探究
国内目前成体系的企业风险管理框架主要包括国资委系列的《中央企业全面风险管理指引》及其配套文件,财政部系列的《企业内部控制基本规范》及其配套文件以及全国质量管理与质量保证标准化技术委员会系列的《GB/T 24353-2022风险管理指南》及相关其他标准。《企业内部控制基本规范》主要内容承袭了COSO委员会1992年《内部控制——整合框架》的体系;GB/T 24353-2022《风险管理指南》则是对照ISO 31000《风险管理指南》进行制定和修订;《中央企业全面风险管理指引》开创性地指导了中央企业风险管理在文化、架构、信息、机制、系统等方面需要开展的工作,但其发布于2006年,面向的对象主要是中央国有企业,且发布至今内外部环境已发生较大变化,对于当下上市公司风险管理体系建设普遍指导意义已经不强。总体来看,由于国内目前成体系的企业风险管理框架在出台实践、出台背景、管理对象、目标愿景上的差异,对于上市公司这一本文研究的主体来说缺少普遍适用性和直接指导意义。国内资本市场目前的规则体系侧重于规范上市公司的公司治理、内部控制和信息披露(见表2),也尚没有以企业风险管理理论为依据,全面论述和指导上市公司构建风险管理体系、提升风险管理能力的规则指引。表2:国内资本市场内部控制、风险管理主要规则情况
![]()
资料来源:作者整理。
(三)适用上市公司的企业风险管理框架实践的整合模型提出结合国外风险管理理论发展、国内环境以及上市公司经营实际等情况,综合考虑上市公司在风险管理方面仍面临的诸多难点痛点,本文认为构建适用国内上市公司的企业风险管理体系需坚持如下原则:一是整合原则。真正的风险管理是要支持决策的,而不是简单地构建制度和流程,企业风险管理体系的构建要避免形式主义,应当将风险管理活动与企业已有的经营管理活动全面整合,融合起来开展和审视,图4清晰表达了这一理念。图4:整合管理活动与风险管理活动示意图
![]()
二是持续优化原则。上市公司风险管理体系的构建和应用不是一成不变的,应当根据企业内外部环境的变化,利用新的技术、工具和经验动态进行评估、有效审视和持续改进。三是务实原则。上市公司的企业风险管理体系建设应该贯彻“问题导向”精神,对于国内外相关理论框架经验的吸取和借鉴,应当结合实际,去伪存真,避免全盘照抄。基于以上原则,本文参考COSO、ISO最新企业风险管理框架理论,提出基于“核心、保障、策略”三要素整合视角的企业风险管理体系建设的整合模型,模型可用图5概括:
图5:三要素整合视角的企业风险管理体系建设的整合模型示意图
![]()
风险文化是企业风险管理框架和工作的核心要义,文化承载了企业价值观和行为准则,影响企业管理风险的方式,比战略更深入和长久的影响企业行为。由于目前国内上市公司可用于风险管理的资源尚不丰富,信息技术系统和数据治理对风险管理工作的支撑能力较弱,更为凸显了良好的风险文化的重要性。实践中,企业风险文化需由高层主导推动,营造风险管理文化氛围、完善风险管理组织架构、建立明确的风险偏好、重视培育员工职业道德和责任意识、建立人员岗前风险管理培训制,使风险管理文化渗透于组织的各个环节。企业风险管理的过程,一般认为包含风险识别、风险分析、风险评估、风险应对四个大环节,实质上是一个持续收集、整理、分析内外部信息的过程。因此每一个企业风险管理框架都强调风险管理过程要以有效的信息为基础,从多种渠道获取与风险管理相关的内外部信息。具备通畅的风险信息传递机制的企业能够较好整合风险识别、风险评估、风险排序、风险监测、风险应对、风险管理报告、风险信息技术系统、风险数据治理等风险管理要素。
对于国内上市公司而言,在构建企业风险管理体系过程中要着重建立一套通畅的风险信息传递机制,能够促进风险信息在企业中自上而下传导、自下而上顺畅传递,确保企业的决策能够充分获取与风险决策相关的必要信息,保障风险管理体系顺畅运行。建立风险和绩效之间的关联性是COSO和ISO风险管理框架所强调的风险管理体系核心,上市公司需从两个层面正确理解绩效,并建立其与风险管理的关联:第一层面的绩效是基于企业层面的绩效评价,包含战略实现程度评价指标、公司整体实力和行业地位的提升程度评价指标等。将风险管理与这一层面的绩效挂钩在于推进风险管理与公司战略和经营目标的融合,战略和经营目标的确定和实施过程要考虑风险管理因素,践行风险管理原则;第二层面的绩效是企业内部部门和员工的绩效评价,这一部分可以理解为对于部门和员工的考核要考虑其应当履行风险管理责任,将风险管理与这一层面的绩效挂钩在于推进风险管理在执行层面的贯彻和落实,图6概括了以上对绩效的理解及其与风险管理的关联。图6:对绩效的理解及其与风险的关联示意图
![]()
实践中,上市公司可以考虑在已有的绩效框架下,于前述两个层面的绩效评级指标中整合与风险的关联,具体指标体现风险与绩效关联性的本质原则即可,可以由简入繁,从最简单、最直观、最易推广的指标入手。此外,由于风险和绩效的关联性,对于绩效达成的评价和审视,也就是对于风险管理有效性的评价和审视,对于绩效达成过程中暴露的管理问题,也就是风险管理体系需要改进的方向,在实施中也能保障企业风险管理框架的有效性。
三、全面注册制背景下构建
企业风险管理体系的政策建议
在推进全面注册制走深走实的背景下,推广构建适用于国内上市公司的企业风险管理体系,尚需更为深入的理论探讨、有力的政策支持和市场各方参与者不遗余力的贯彻、落实和不断优化,本文抛砖引玉提出如下政策建议。(一)理论支撑:探索适用国内上市公司风险管理能力的理论框架建议监管部门、行业自律组织动员各方资源,包括学术机构、上市公司、中介服务机构等,进一步论证和提出符合全面注册制时代的企业风险管理体系,从而助力上市公司“增韧性,提高抗风险能力”,提升发展质量。(二)政策支持:出台适用国内上市公司普遍情况的风险管理规则框架全面注册制改革下,政策规则对于市场的有效引领作用更加凸显,建议行业监管部门和自律组织借鉴境外资本市场经验,适时推出适用国内上市公司的企业风险管理框架指引,并积极推广实施。在正式规则出台之前,也可鼓励有条件的上市公司率先践行,树立风险管理实践优秀案例。(三)投资端认知:加强投资者对于企业风险管理框架的认知和认同全面注册制改革将证券发行、定价权交给市场,将更加凸显投资者“用脚投票”的价值发现作用,普华永道2009年的相关研究显示资本市场对于已构建企业风险管理体系的公司通常给予了更高的估值。因此,在投资端,建议多措并举提升各类投资者对于企业风险管理框架的认知和认同,具体来说:对于个人投资者,建议在投资者教育工作中加强对于企业风险管理体系知识的宣导和教育;对于私募基金等机构投资者,亦可通过完善相关指引,引导其在项目储备、尽职调查、投资决策和投后管理过程中关注被投资企业风险管理体系的构建和运作情况。(四)供给端落实:压实中介机构贯彻落实、有效披露主体责任全面注册制改革背景下,更加强调了投资银行、审计机构等中介服务提供者“看门人”的重大职责。因此,在供给端建议要求中介机构将发行人风险管理体系的完善程度和开展情况作为上市前辅导乃至上市后持续督导过程中的重要组成部分,有效衔接上游企业的投资价值和下游投资者的投资资源,为具备完善的企业风险管理体系的企业匹配更为合理的发行定价。同时,发行人也应当充分认识企业风险管理体系的重大意义,在中介机构下逐步打造符合自身风险偏好和风险特征的风险管理架构、机制和流程。
参考文献:
[1]World Economic Forum.The Global Risks Report[R].2023.
[2]World Economic Forum.Chief Risk Officers Outlook[R].2023.
[3]OECD.OECD Corporate Governance Factbook[R].2023.
[4]COSO.Enterprise Risk Management Integrating with Strategy and Performance[M],2017.
[5]ISO.ISO 31000:2018 Risk management-Guidelines[M],2018.
[6]NYSE.NYSE Listed Company Manual[M],2023.
[7]FRC.The UK Corporate Governance Code[M],2018.
[8]FRC.Guidance on Risk Management,Internal Control and Related Financial and Business Reporting[M],2014.
[9]FRC.The Wates Corporate Governance Principles for Large Private Companies[M],2018.
[10]LSE.Corporate Governance[M],2012.
[11]MAS.Code of Corporate Governance[M],2023.
[12]MAS.Risk Governance Guidance for Listed Boards[M],2012
[13]DCGK.German Corporate Governance Code[M],2022
[14]ASX.Corporate Governance Principles and Recommendations[M],2019
[15]香港交易所.企业管治守则[M],2022.
[16]PWC.Seizing opportunity:Linking risk and performance[R].2009:9.
[17]张翔.企业风险管理应用性发展:COSO《基于战略和绩效的企业风险管理框架》及其借鉴[D].厦门:厦门大学,2017:54-60.
[18]约翰弗雷泽等.企业风险管理全球最佳实践与案例精选[M].孙友文等,译.北京:经济科学出版社,2020:1-21.
《上财风险管理论坛》杂志2024年第2期(总第28期)将于6月28日出刊,本期主题是"新质生产力视角下的风险管理",欢迎广大业界人士赐稿。
1、文章的选题需紧扣风险管理的主题,题目自拟;
2、文章撰写的要求包括:一是实用性,文章贴近并服务于日常工作;二是可读性,文风朴实,行文流畅;三是文章字数不少于2000字,可以配有图和表;
3、文章请投杂志的专用邮箱shufe_cro@126.com,征文截止日是6月15日。
《上财风险管理杂志》编辑委员会
2024年4月2日
为加强《上财风险管理论坛》杂志的作者团队与读者之间、以及读者相互之间的沟通与交流,已建立《上财风险管理论坛》读者交流微信群,目前成员接近1200人,包括知名金融机构的首席风险管理、风险管理部负责人、风险管理领域知名学者等专业人士,竭诚欢迎广大的风险管理从业者加入该微信群,共同打造一个讨论风险管理的专业社区。如希望入群,烦请给本微信公众号留言(留下个人微信号),我们将会主动联系并且邀请入群!
为了积极推进AI大模型在金融尤其是风险管理领域的落地,创建了“衍生品、风控与AI大模型社区”微信群,目前成员接近1300人,包括了金融机构高管、AI大模型科学家等,致力于打造一个集学习、讨论金融衍生产品、风控以及用AI大模型实现前两者功能的开发社区!如希望加入,请留下个人微信号,我们将主动联系并邀请入群!
在持续变化的金融世界中,风险管理始终是确保金融行业、金融市场稳健运行的基石。风险管理家园(Open Risk Management World)是集知识分享、AI大模型、金融考证、性格测试于一体的开放共享社区,致力于让每个人都成为卓越的风险管理者,共同创造更加美好的金融世界。关于风险管理家园的详细功能与使用的介绍,请参见以下的微信推文
【公告】“风险管理家园”震撼亮相为了提升微信公众号的智能化水平,从2024年5月4日起,成功将Kimi大模型(国内热度很高的AI大模型)接入到风控博士沙龙微信公众号,让Kimi大模型变成了微信公众号的AI助手。
可以通过私信风控博士沙龙微信公众号的方式进行体验!考虑到AI大模型推理需要时间,每次提问完成以后需要等待几秒钟至几十秒钟的时间才能得到回复。
【随笔】通过CIR模型计算债券蒙特卡洛VaR的经验分享【洞见】地方政府融资平台债务风险研究及防范
【随笔】2024年资管行业风险管理稳中求进的思考
【洞见】中小券商压力测试机制建设
【前沿】AI大模型与金融将如何耦合和应用——以信用评级为例
荐书
【荐书】Python金融实战案例精粹(第2版)
【荐书】基于Python的金融分析与风险管理(第2版)
云课程
期权、期货及其他衍生产品(第九版,全部三百六十讲视频)
![]()
