风险管理体系的基本要素及管理过程

　　全面风险管理是近年来管理界和审计人员经常提及的概念之一。特别是在2004年6月《新巴塞尔协议》发布以后，不少媒体刊登了大量文章，讨论全面风险管理问题。其实，全面风险管理不是一个新话题，早先的说法叫做“企业级的风险管理”（EnterpriseRiskManagement）。推行全面风险管理体系，将在一定程度上提高我国企业风险控制的水平。但是，推行全面风险管理是一个长期、艰苦的工作，需要得到许多部门和人员认可，而来自高级管理层的重视是非常重要的。推行全面风险管理，有一些基础的工作要做，如资本金分配、内部资金定价、机构设计等等。

　　一、风险管理体系的基本要素

　　按照2003年7月美国COSO（TheCommitteeofSponsoringOrganizationoftheTheadwayCommission）公布的《全面风险管理框架》（草案）所描述的内容，全面风险管理是一个从企业战略目标制定，到目标实现的风险管理过程。它可以简单描述为三个维度：企业目标、全面风险管理要素、企业的各个层级；企业目标包括四个方面：战略目标、经营目标，、报告目标和合规目标；全面风险管理要素有八个：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。全面风险管理的八个要素为企业的四个目标服务；企业的各个层面要坚持同样的四个目标；每个层面都必须从八个要素进行风险管理体系thldl.org.cn。企业必须按照要求，建立与企业的业务性质、规模和复杂程度相适应的、完善的、可靠的风险管理体系。在实际操作中风险管理体系主要包括如下基本要素：

　　（一）董事会和高级管理层的有效监控；

　　（二）完善的风险管理政策和程序；

　　（三）完善的风险识别、计量、监测和控制程序；

　　（四）完善的内部控制和独立的外部审计；

　　风险管理应适当考虑风险类别，如市场风险、金融风险、信用风险、流动性风险、操作风险、法律风险、声誉风险等风险的相关性，并协调各类风险管理的政策和程序。

　　二、风险管理体系的管理过程

　　（一）董事会和高级管理层的监控

　　企业的董事会和高级管理层对风险管理体系实施有效监控。

　　企业的董事会承担对风险管理实施监控的最终责任，确保企业有效地识别、计量、监测和控制各项业务所承担的各类风险。董事会负责审批风险管理的战略、政策和程序，确定企业可以承受的风险水平，督促高级管理层采取必要的措施识别、计量、监测和控制风险，并定期获得关于风险性质和水平的报告，监控和评价风险管理的全面性、有效性以及高级管理层在风险管理方面的履职情况。董事会可以授权其下设的专门委员会履行以上部分职能，获得授权的委员会应当定期向董事会提交有关报告。

　　企业的高级管理层负责制定、定期审查和监督执行风险管理体系的政策、程序以及具体的操作规程，及时了解风险水平及其管理状况，并确保企业具备足够的人力、物力以及恰当的组织结构、管理信息体系和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类风险。

　　企业的董事会和高级管理层对与本企业风险有关的业务、所承担的各类风险以及相应的风险识别、计量和控制方法应有足够的了解。

　　企业的监事会应当监督董事会和高级管理层在风险管理方面的履职情况。

　　企业要设立专门的部门负责风险管理工作。负责风险管理的部门应当职责明确，与承担风险的业务经营部门保持相对独立，向董事会和高级管理层提供独立的风险报告，并且具备履行风险管理职责所需要的人力、物力资源。负责风险管理部门的工作人员应当具备相关的专业知识和技能，并充分了解企业与风险有关的业务、所承担的各类风险以及相应的风险识别、计量、控制方法和技术。企业应当确保其薪酬制度足以吸引和留住合格的风险管理人员。

　　企业负责风险管理的部门应当履行下列职责：

　　1．拟定风险管理政策和程序，提交高级管理层和董事会审查批准；

　　2．识别、计量和监测风险；

　　3．监测相关业务经营部门和分支机构对风险限额的遵守情况，报告超限额情况；

　　4．设计、实施事后检验和压力测试；

　　5．识别、评估新产品、新业务中所包含的风险，审核相应的操作和风险管理程序；

　　6．及时向董事会和高级管理层提供独立的风险报告；

　　7．其他有关职责。

　　企业承担风险的业务经营部门应当充分了解并在业务决策中充分考虑所从事业务中包含的各类风险，以实现经风险调整的收益率的最大化。业务经营部门应当为承担风险所带来的损失承担责任。