一、国内国际关于风险管理的发展情况　　在金融危机肆虐全球的2008年，“全面风险管理”被置于前所未有的位置，目前我国一些大型国有企业，特别是盘子大、产业链条长的企业，风险管理的任务非常艰巨。2008年，国务院国资委明确了31家央企作为年度风险管理报告的试点，并且要求央企2009年都要开展编写风险管理报告这项工作。
　　据报道，截至4月底，有20多家央企在第一时间主动完成了2009年度风险管理报告。按照国资委的部署，2009年将是中央企业开展全面风险管理工作的重要一年，对于各地国有企业来说，风险管理工作也是一项重要而比较陌生的任务，也会慢慢开展起来。在风险管理上，我们与发达国家的大公司仍有很大差距。多数国有企业需要经历一些探索和总结、改进的过程，多向国内外的优秀企业取经，应该是一个可行之道。
　　全面风险管理是在近年逐渐在国际上发展的，这主要是由于COSO报告的发布。2004年9月COSO发布了其报告的最终稿《企业风险管理——整合框架》。在这个框架里，内部控制被涵盖在企业风险管理之内，是其不可分割的一部分；企业风险管理比内部控制更广泛，它拓展和细化了内部控制，形成了一个更全面关注风险的更强有力的概念提炼。这也标志着内控和风险管理的融合，顺应了理论发展和实务需求的潮流。
　　著名的《萨-奥法案》404条款要求在美上市的公司必须在年报中说明管理层建立和维持内部控制、披露所有实质性缺陷的职责，建立相应的保证机制，还强制性要求公司记录治理规定的执行情况。但这些要求是偏高的，对于大型公司来说，需要做的工作会非常繁杂，要投入大量的人力物力和财力，直接增加了公司的运作成本；“对于小型公司，这样做的作用有限，执行成本又偏高，并不经济实用。所以，应该采用怎样的风险控制政策和方式是没有定论的，归根结底，适合自身的才是最好的。
　　中国自20世纪90年代以来内部控制取得了迅猛发展，财政部、注协、证监会、保监会、银监会、上交所、深交所相继发布了各种要求加强内部控制的规定。与国有企业直接相关的是2006年6月国务院国资委出台的《中央企业全面风险管理指引》（以下简称《指引》），这个《指引》的制定是以COSO报告为依据的，要求企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立、健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证过程。《指引》的制定，无论是依据，还是内容，都是来自于实践，符合认识论的规律。
　　2008年6月28日，财政部、证监会等部门联合发布了国内首部《企业内部控制基本规范》（以下简称《基本规范》）。该规范已于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。在业内人士看来，与以往规定相比，《基本规范》进一步明确并细化了公司、政府与审计机构相互独立的三方监督机制，称得上是国内企业治理国际化的重要举措。五大主管部门联合发布《基本规范》，集中而又权威地发出规范市场主体行为的声音，吸纳了国外一些成熟经验，试图与规范的公司治理结构和议事规则相吻合，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制，这是此部规范的核心与亮点。
　　二、关于国有企业风险管理的组织体系及其职责
　　《指引》要求企业必须逐步完成以下工作：收集风险管理的初步信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、监督与改进风险管理。因此企业应建立健全风险管理组织体系。对于具备条件的企业应在董事会下设风险管理委员会，需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事；设立专职部门或确定相关职能部门履行全面风险管理的职责。
　　1.公司治理结构。内部控制体系的作用有限，而且主要用来牵制普通员工的活动及日常业务流程，常常无法约束管理层的行为，对于内部控制约束范围之外的控制或牵制，就需要通过有效的公司治理结构来完善。现代公司制借鉴了国家体制中分权和制衡的原则，让股东（大）会、董事会、监事会这三个权力机关既相互独立又相互制约，这样一来，既降低管理成本，又提高了运作效率。因此公司治理结构应该在股东（大）会、董事会、监事会和经理层之间合理配置权限，公平分配利益，明确各自职责，建立有效的激励、监督和制衡机制。业界也一般认为良好的控制体系需要内部控制和公司治理结构同时发挥作用。
　　在实践中，公司经理层的权利容易过分膨胀，从而导致董事会容易空壳、形式和虚设，这就要求董事会强化自身的独立性，对经理层的权利进行限定。例如在公司章程或董事会决议中规定巨额合同须经董事会同意，或对融资和抵押等特殊的交易取消经理层的决定权等等，加强董事会对经理层的约束。
　　2.董事会职能和职责。董事会应是风险管理工作的最高执行机构，向股东大会负责，除了《指引》中列出的十项职责外，它还应该加强内部的制衡，然后才能更好地履行自身职能。包括优化董事会内部结构，发挥专门委员会的作用，增强独立董事的控制监督职能，强化董事会义务和责任等。前些年很多国家都借鉴了独立董事制度，但运用在中国也产生了很多弊端，是否能真正发挥作用也不得而知，只能由董事个人的责任和义务观念而定。
　　3.风险管理委员会。有条件的企业可以设风险管理委员会，在其基本构成上，和董事会下设的其他委员会基本类似，成员一般由3～5名董事组成，由董事会选举产生。但是，该委员会的成员背景却需要比董事会其他委员会要复杂一些。道理在于，威胁企业利益的风险从本质上说可以产生于和企业相关的所有方面，如果想要防范风险，自然也需要包括来自财务、运营、政策，以及风险管理专家等在内的多个行业和部门的人员，综合他们各自的专业特征、经历和关注焦点，组成一个有效的团队，发挥协同的力量，这才能制定出有效防范风险的对策。因此，董事长、1／2以上的独立董事，或全体董事的1／3在提名风险管理委员会成员时，需要充分考虑到这一点。风险管理委员会也可以下设工作组，来负责其日常工作联络、会议组织等，做好风险管理委员会决策的前期准备，提供整个公司的相关书面资料。成员最好也是来自公司各个部门的经理或负责人，还可以有一线员工的参与，这样有利于企业搭建一个整体风险管理框架，在企业的每一个环节上都能控制风险。
　　4.总经理。企业的总经理对全面风险管理工作的有效性向董事会负责。总经理或其委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。企业可以设立专职部门或相关部门来履行全面风险管理的职责，该部门对总经理或其委托的高管人员负责。《指引》中规定，作为全面风险管理工作的责任者和执行者，不仅需要对企业的风险有非常清楚的了解和认识，还需要有卓越的领导才能，敏锐的风险意识，熟悉企业，熟悉风险管理知识，有相关风险管理经验，以及了解企业市场情况和相关的法律法规。
　　5.审计委员会。审计委员会是隶属于董事会的专业委员会，独立于经营管理层，其建立的初衷是在董事会建立一个独立、专门的治理力量以强化外部审计师的独立性，从而提高公司财务报告信息的真实性和可靠性。委员会成员的选择与董事会的构成具有直接关系，委员可以从外部董事中选择。由广泛的渠道产生，并通过公示方式当选的委员候选人，通常具有更好的素质和能力。主席的选择可以由国资监管机构在外部董事中选择确认和任命。审计委员会如果要良好的运行，必须要制定具体的章程，具备调查的权力及合适的资金保证，并建立起自己科学合理的运行程序系统。企业的内部审计部门需要对审计委员会负责，在风险管理方面，内部审计部门要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，出具监督评价审计报告。

作者：宁波市国资委 周璟 宁波开发投资集团 余斌 来源：《国有资产管理》2009年第12期