(上述图片来源于Pixabay.com,感谢图片作者ArtSpark)
前言
02 实施路径:构建全面风险管理体系
可以看到,对于重大风险事件的界定中,5000万是一个基础指标,凡涉及损失、影响(已产生或预计产生)等超过5000万即构成重大风险事件,其他认定指标还包括上年末净资产10%、生产经营条件和市场环境发生特别重大变化、监管立案调查、重大刑事处罚、行政处罚,以及国际管制、制裁、重大负面舆情等。
1.3 风险管理的监管脉络
央企层面的全面风险管理,从2006年的《中央企业全面风险管理指引》,到各中央企业新设风险管理部,到2008年国务院国资委组织企业开展编报管理报告,到《企业风险管理报告》转为中央企业自主选择报送,以及连续发布关于中央企业全面风险管理工作的通知,聚焦于风险研判、风险评估常态化、风险管理全过程、风险管理与企业管理的深度融合、风险管理报告编制、风险管理文化建设等方面。此后,风险管理逐渐成为国有企业的常态化治理要求,融入到企业的日常管理和长期发展战略中。因此,中央企业全面风险管理,经历了政策指引出台、组织架构调整、试点工作开展,到深化实施、自主选择和持续优化的发展过程,最终成为中央企业常态化治理的重要组成部分。
与此同时,地方国企也在积极推进全面风险管理,如:2008年《深圳市属国有企业全面风险管理体系建设指导意见》《山东省省管企业全面风险管理指引》、2009年天津发布《关于进一步加强企业全面风险管理的指导意见》、2011年浙江发布《关于加强省属企业全面风险管理体系建设的指导意见》、2012年山东《关于进一步加强全面风险管理工作的通知》、广西《关于建立监管企业全面风险管理年度报告制度的通知》、2013年《河北省国资委监管企业全面风险管理工作实施办法》、2015年《湖南省国资委关于进一步加强省属监管企业全面风险管理的通知》、2021年广东省《关于加强省属企业全面风险管理与内部控制工作的实施意见》、2024年重庆市《关于加强市属国有企业全面风险管理的指导意见》……
(4)董事会可下设风险管理委员会和审计委员会等专门委员会;
(5)风险管理职能部门,按照《中央企业全面风险管理指引》需为“专职”,但地方国企尚无明确限定,可由现有法务或合规部门兼任;
(6)风险管理职能部门,相较于业务及职能部门,其侧重于风险管理的方法论的组织,包括全面风险的判断标准、重大决策风险评估、重大风险管理解决方案,以及全面风险管理有效性评估等;
(7)内部审计部门,亦是全面风险管理的重要部门,职责履行可参照《中央企业内部审计管理暂行办法》等,其更侧重于风险管理的监督评价;
(8)业务及职能部门、业务单元,其系全面风险管理的“第一道防线”,履行风险管理主体责任,执行风险管理基本流程等;
(9)制订相关风险管理制度以确定组织体系,并完善相关履职配套文件。
收集信息,是指国有企业应广泛、持续不断地收集与本企业合规风险管理相关的内部、外部初始信息,包括历史数据和未来预测。
根据《中央企业全面风险管理指引》,国有企业在收集信息时需注意:
(1)信息收集的职责分工:考虑到全面风险管理是企业经营管理的内外部环境的全面调研,涉及各业务及职能部门,国有企业有必要将收集初始信息的职责分工落实到各有关职能部门和业务单元。
(2)信息收集的初步加工:国有企业有必要将收集到的初始信息进行必要的筛选、提炼、对比、分类、组合、以便进行风险评估。
(3)信息收集的分类拆解:国有企业有必要将收集到的信息进行分类拆解,形成《基础风险库》,一般包括三级风险。如:
一级风险:可参考《中央企业全面风险管理指引》的风险分类,即战略风险、财务风险、市场风险、运营风险、法律风险五大类别;
二级风险:在一级风险之上进一步分类,如运营风险可进一步划分为投资风险、采购管理风险、工程管理风险、销售管理风险、资产管理风险、信息系统风险、人力资源风险、健康安全环保风险等;
三级风险:在二级风险之上进一步分类,如集团管控风险可进一步划分为决策违规风险、管控执行风险、报告处理失职风险、子公司风险、整改风险等(如下图示)。
国有企业在制订《基础风险库》时有必要关注:
(1)可参照《中央企业全面风险管理指引》第二章“风险管理初始信息”内容(可参照制订一、二级风险);
(2)可参考与风险相关的其他规范文件,如《国有企业管理人员处分条例》所列举之9类51项违法行为,以及《中央企业违规经营投资责任追究实施办法》中列举之10类71项违规行为,其中亦涉及风险管理要素;
关联阅读:合规45 | 《国有企业管理人员处分条例》核心剖析:国企管理人员的履职红线(附合规义务及风险描述清单)
(3)可参考地方国资委对于风险分类的参考标准;
(4)结合企业本身经营管理情况;
(5)风险收集本身也是风险识别的过程,国有企业可通过多种方法进行风险的识别收集,包括:资料查阅法、问卷调查法、面谈采访法、历史事件分析法等。
评估风险,是指国有企业在风险识别收集基础上,应用相关方法对合规风险可能导致法律制裁、监管处罚、重大经济损失和声誉损失等潜在后果,以及对企业整体运营产生的影响程度等进行分析判断的管理行为。
根据《中央企业全面风险管理指引》,风险评估包括风险辨识、风险分析、风险评价三个步骤,其中:
制定策略,是指国有企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
其中:风险偏好:是指为了实现目标,企业在承担风险的种类、大小等方面的基本态度。风险承受度:是指企业愿意承担的风险限度,也是企业风险偏好的边界。
国有企业在制定风险策略时,可选择的风险管理工具包括:
(1)风险承担:指国有企业对所面临的风险采取接受的态度,并承担风险带来的后果。这种策略通常用于那些风险较小、损失可预测且企业有能力承担的情况。如:研发新产品技术失败且损失较小的风险。
(2)风险规避:指国有企业通过中断或退出可能会产生风险的活动。如:处置一个业务单元并切断该风险业务,决定不参加有风险的活动(停止P2P项目或可能涉嫌融资性贸易的项目等)。
(3)风险转移:通过合同或非合同的方式将风险转嫁给另一个人或单位。其目的是将自身可能遭受的损失以一定的方式转移给对方或第三方。如:货物买卖中购买保险等。
(4)风险转换:风险转换是指将一种风险类型转化为另一种风险类型的过程。其目的是通过改变风险的形式或承担者来降低整体风险水平。如:通过服务外包方式将用工风险转换为合同风险。
(5)风险对冲:通过投资或购买与标的资产收益波动负相关的某种资产或衍生产品,来冲销标的资产潜在的风险损失。其目的是通过引入相反的风险因素来降低整体风险敞口。如:通过股权回购等方式降低投资风险。
(6)风险补偿:企业对风险可能造成的损失采取适当的措施进行补偿。其目的是通过提高风险回报的方式来弥补潜在损失。如:通过股东差额补足等对赌方式降低投资风险。
(7)风险控制:指通过控制风险事件发生的动因、环境、条件等来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。其目的是在风险发生前或发生时采取措施来减少损失或降低风险水平。如:通过内部审计减少交易过程中的廉洁风险,通过商业伙伴资信尽调降低合同风险等。
(2)是否与企业的整体风险偏好相协调;
(3)所采取策略所需的成本、资源与效益;
(4)所采取策略是否对战略有影响等。
提出方案,是指国有企业应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。
以国有企业舆情管理为例,前述方案需明确:
(1)牵头主体:一般为党委、宣传部门;
(2)风险管理目标:如舆情处置方案要符合党和国家的宣传方针政策,防止对战略规划目标的实现有较大影响;
(3)涵盖范围:确定国有企业集团部总以及二级子公司;
(4)控制措施:如由企业判断舆情处置是否对战略管理的实施以及对集团整体形象有较大影响,事前采取方案审核方式,事中舆情监控方式,事后有舆情处理预案执行等相结合的风险控制手段。
监督改进,是指国有企业以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
其中:
(1)压力测试:是指在极端情景下,分析评估风险管理模型或内控流程的有效性,发现问题,制定改进措施的方法,目的是防止出现重大损失事件。如某项合同,可设想交易方破产,其风险管理的有效性进行评价。
(2)返回测试:将历史数据输入到风险管理模型或内控流程中,把结果与预测值对比,以检验其有效性的方法。如复盘某项纠纷所涉及的合同管理。
(3)穿行测试:在正常运行条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求对比,以发现内控流程缺陷的方法。如设想某个采购前提进行采购流程模拟,评估内控流程中的缺陷问题。
(2)风险部门作为“第二道防线”,可定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验
(3)内审等作为“第三道防线”,可将风险管理指标纳入内部审计要求等;(根据《中央企业全面风险管理管理指引》,国有企业的内部审计部门至少每年一次对风险管理工作及其工作效果进行监督评价),可结合年度审计、任期审计或专项审计工作一并开展。
(4)根据《中央企业全面风险管理指引》,国有企业可聘请中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。
END
「主要文章推荐 」
合规52 | 国企合规从业指南:理解“一道防线”,践行合规主体责任
合规51 | 新公司法时期,国企董监高的合规指南-主体界定、合规义务、责任体系与合规策略一览(下)
合规50 | 新公司法时期,国企董监高的合规指南-主体界定、合规义务、责任体系与合规策略一览(上)
合规49 | 国企管理者合规管理的认知地图:合规管理组织体系运行机制全解析——宏观视野、顶层配置与角色职责
合规48 | 你了解合规委员会吗?国企合规管理体系领导机构的意义定位、职责变化及履职运行
合规47 | 合规履职、防控风险:行政事业、国资国企数据资产化法律问题与合规操作(以数据资产确权及入表合规场景为主)
合规46 | 合规角色:首席合规官-国企合规管理体系关键角色的角色、职责与机遇
合规45 | 《国有企业管理人员处分条例》核心剖析:国企管理人员的履职红线(附合规义务及风险描述清单)
合规44 | 国企管理者与合规管理,“关键少数”的合规领导作用
合规43 | 掌握核心变化,《公司法》新修订对国企治理及人员履职的影响的核心风险及合规要求(附:关键性动作思维导图)
合规42 | 行业合规:消费金融公司管理新规即将施行,CFC合规要点全面解析
合规41 | 合规政策:42号令之后的地方国资合规政策及本地化实施要点
合规39 | 合规指引:国有企业数据(安全)保护合规风险防控
合规38 | 合规指引:国有企业商业伙伴合规风险防控
合规37 | 合规指引:国有企业建工管理合规风险防控
合规36 | 合规指引:国有企业人力资源管理合规风险防控
合规35 | 合规指引:国有企业资产交易管理合规风险防控
合规34 | 合规指引:国有企业采购及招投标管理合规风险防控
合规33 | 合规指引:国有企业投资管理合规风险防控
合规32 | 合规指引:国有企业合同管理合规风险防控
合规31 | 合规指引:国有企业法人治理合规风险防控
年终盘点 | 2023年智识君合规文章精讲综述
年终盘点 | 2022年•智识君关于国企/数据合规的21个精讲综述
作者:朱 幸 重庆静昇律师事务所 合伙人律师(智识君)
(以上为万法通2024年线上课程,可在线登陆学习)
(以上为万法通2023年线上课程,可在线登陆学习)
