在现代企业运营中,风险管理已成为关乎企业生存与发展的重要议题。特别是董事会,作为公司治理的核心,对于风险管理的重视与投入日益增加。随着监管要求的提升和市场竞争的加剧,企业不仅要应对传统财务风险,还需关注战略风险、合规风险等多维度挑战。因此,构建全面、高效的风险管理体系,已成为董事会及管理层的重要任务。
作为【董事工具箱系列】的第十篇,本篇将聚焦于风险管理的核心要素及其在企业中的实践应用,从董事会的视角出发,详细解析风险治理、风险文化、风险管理政策等关键概念,指导企业如何有效识别、评估和管理风险,为企业的稳健发展提供有力保障。
风险管理的核心要点
1.风险战略与治理
风险管理框架
ISO 31000中概述的原则与指南虽然不具有强制性,但被认为是高层次的最佳实践,有利于促进积极主动的风险管理。所有董事均应了解这些基本原则以及如何确保管理层有效落实,具体风险管理框架如下图所示:
风险与战略
风险和战略如同一枚硬币的两面,紧密相连。在制定战略时,必须全面考虑可能影响战略实施的各种风险。尽管将这两者紧密结合具有显著优势,但许多企业在实际操作中却难以做到。他们往往是在战略确定后才去识别相关的风险,而不是利用对风险环境的深入理解来指导战略的制定,并在过程中识别潜在风险。
历史经验告诉我们,当企业把风险管理视为战略不可或缺的一部分时,它们将更具韧性,能够更好地应对各种负面事件和不确定性。事实上,对重大业务风险的管理不当,被认为是全球金融危机期间许多企业倒闭的关键原因之一。金融危机为我们提供了宝贵的教训,上市公司应该认真借鉴,努力完善自身的风险管理体系,并向利益相关方提供更加透明和全面的风险披露。
风险治理
风险治理涉及建立必要的流程和支持体系,确保关键风险管理信息能够引起董事会的关注。它还涵盖了构建全面的风险管理框架,以促进企业整体范围内的风险管理活动。此外,针对关键风险领域、流程规定和报告制定正式的政策和程序也是风险治理的重要组成部分。随着综合化的治理、风险和合规系统的普及、选择多样化,以及风险合规管理系统的应用,企业拥有了更多有效和高效的风险治理解决方案。
如今,许多审计委员会不仅负责监督企业的风险管理流程,还要关注其他主要风险领域,如财务、运营、网络安全、信息技术、法律和监管合规等。部分企业还设立了专门的风险委员会,专注于风险识别和管理相关的监督工作。
2.构建稳健的企业风险管理基础
风险管理文化
在风险管理领域,员工的行为对企业财务绩效和声誉具有立竿见影的影响,因此至关重要。为确保风险得到妥善管理,不仅需要付出巨大的努力,还必须构建一种深入人心的风险管理文化。
董事会在此方面扮演着设定“高层基调”的角色,而管理层则致力于营造积极的“中层氛围”。为了确保行为的一致性,董事会需要采取积极主动的措施。为了在企业范围内建立广泛认同的风险文化,关键行动包括:
向全体员工和利益相关方清晰传达董事会的愿景、战略、政策、职责和工作汇报体系;
制定明确的风险偏好声明,明确最终愿景和益处,并设定企业可接受的决策阈值;
构建一个有利于风险管理的环境,明确分配责任,并建立统一、有效的测量和问责机制;
实施风险管理培训计划,促进知识分享和经验交流;
宣传成功案例,并识别能够迅速带来改进的机遇。
风险管理政策
风险管理政策是企业风险管理的基石,应全面反映公司的风险状况,并详细阐述风险管理和内部审计职能的所有要素。通过政策内容,企业应清晰传达其风险管理方法。这些政策至少应包括以下内容:
与企业紧密相关的“风险”和“风险管理”的定义;
风险管理的目标和战略;
企业的风险偏好或风险承受能力;
风险管理目标的测量方法;
风险管理的职责分工。
企业全面风险管理的裨益
一个综合全面的风险管理框架可以为企业带来诸多潜在益处。通过明确界定风险管理框架的构成要素,企业可以实现以下目标:
做出更加明智和稳健的决策;
提升管理层对风险管理的共识和重视程度;
强化管理层的责任意识,确保风险得到妥善管理;
提高实现战略目标的能力和效率;
减少收益的波动性,增强企业的稳定性;
优化资源配置,进而提升企业的盈利能力;
将风险转化为竞争优势,为企业创造更多价值;
提高风险调整定价的准确性,增强市场竞争力;
制定更加完善和有效的应急计划,以应对突发事件;
提升危机响应能力,确保企业在面临挑战时能够迅速应对。
3.企业风险管理框架的构成要素
风险战略与偏好
有意识地陈述风险偏好有助于实现业务计划、业务目的和战略目标。风险偏好的陈述应考虑风险容忍度、风险限制、及违反规定对整个企业风险控制水平的影响。
风险治理
风险治理是企业领导、管理并报告其风险管理活动的结构,包括清晰定义角色和责任,决策权,风险治理运营模式和报告的途径。
风险文化
一个企业的价值观和行为能够影响风险决策。风险文化可以潜移默化地影响管理层和员工的决策。一个强有力的风险环境有助于培养使企业、股东及员工长期利益最大化的战略决策。
风险评估和计量
企业通过风险评估与计量对已知及新生的风险进行识别、评估和量化。风险评估与计量能使企业充分考量潜在事件对其实现目标的影响程度,包括企业用于识别、评估和计量风险的定性与定量的方法、程序、工具及系统。
风险管理与监控
管理层对风险的应对,包括管理、缓释或接受风险。风险管理通过利用风险与控制信息来提高企业的业绩以创造价值。依据已建立指标系统地对已确认的风险进行监督和管理,能保证及时积极地响应风险。管理层通过设计这些活动向利益相关方保证风险管理活动和控制在风险管理中的有效性,从而促进目标的实现。(例如:整合保证)
风险报告与洞察
汇报风险及其相关信息(如缓释风险的活动)能够真正地洞察风险管理活动的优势和弱点。向关键利益相关方披露风险管理信息以支持其决策过程。有效的风险报告增强风险的透明度,也对目标的及时实现有着重要的影响。
数据与技术
管理风险数据即向利益相关方提供有意义的风险信息。它包括为支持风险管理活动而开发和部署风险管理的相关工具、软件、数据库、技术结构和系统。
4.企业风险管理的核心要素
风险偏好:塑造企业风险管理的策略与决策框架
风险偏好,作为企业风险管理的核心要素,决定了企业在追求价值过程中愿意承担的风险量。这一策略性选择,不仅反映了企业的风险管理理念和承受能力,更是企业战略目标与利益相关方需求的重要体现。在多变的风险环境中,明确的风险偏好为企业提供了系统性的决策框架,指导企业在不同领域和风险类型中做出恰当的资源分配和风险控制。
危机管理:强化沟通与准备,抵御潜在风险
企业应制定全面的危机管理计划,明确董事会在危机期间的角色与责任。有效的沟通是危机管理的关键,缺乏沟通可能导致企业陷入更大的困境,损害声誉、员工士气及与利益相关方的关系。因此,现代化风险管理框架中,缓解社会舆论风险成为不可或缺的一环。董事会和高级管理层需时刻保持警惕,做好应对社会舆论风险的准备。
业务连续性:确保企业在挑战中稳健运营
面对可能损害企业持续运营能力的内外部危机,业务连续性管理成为企业不可或缺的战略规划。其目的在于确保企业在遭遇重大事件时能够快速响应,恢复正常运营。有效的业务连续性规划应简单灵活,使企业能够在关键时刻做出明智的决策,依靠经过验证的替代工作方式,顺利度过运营中断风险。
5.企业内部的风险管理角色
董事会
董事会对风险管理承担最终责任,并负责以下工作:
批准审计和风险委员会建议的风险偏好;
定期审查和批准企业风险管理政策,并对政策进行持续监督;
批准企业风险管理框架;
定期接收审计和风险委员会关于关键风险、风险变化和新兴风险的最新汇报;
设立董事会下属委员会(审计和风险委员会),并评估相关委员会的绩效。
首席风险官
对于企业而言,任命首席风险官或风险经理目前是常规操作。任命首席风险官有助于风险管理集中化,也同时有利于跨越部门了解以前可能不明显的不同风险之间的关系。这一点的重要性与日俱增,因为随着全球企业日益多元复杂,单个业务部门经理可以接受的风险与整个企业的可接受风险是不匹配的。通过使用全面的风险矩阵,首席风险官可以在企业范围内识别此类联系,并进行更有效的管理。
首席风险官使企业受益的另一个重要方式是,赋能企业更好地了解风险与回报之间的关系,并在此基础上做出决策。首席风险官可以通过以下方式发挥最大作用:帮助董事会对企业风险领域获得清晰的认识,协助制定风险分摊和抵消政策,并努力传达这一认识,以便管理者了解并提供支持。首席风险官提供风险管理框架,而业务一线的管理者和员工负责就可接受的风险进行决策。
风险管理委员会
上市公司董事会可设立风险委员会来监管风险,至少每年对公司风险管理框架进行审查。目前许多公司设立了风险管理委员会,或审计与风险联合委员会,作为有效的机制,确保公司建立适当的风险监督、风险管理和内部控制,提供监督公司风险管理框架所需的透明度、专注力和判断力。对于未设立风险管理委员会的公司,应通过董事会的工作程序提出正常情况下可能由风险管理委员会考虑的问题。
一般而言,风险管理委员会可以在风险和合规治理中发挥关键作用,包括:
监督风险管理框架及其执行情况;
审议风险报告并提出质疑;
监督合规框架;
审议管理层对关键风险问题采取的响应措施,并提供指导。
毕马威的观察
为了使董事会委员会更好的了解并发挥自己的职责,履行自身义务,毕马威整理形成了涉及以上领域的自评问题清单和潜在警示信号。自评问题清单为董事会提供了全面框架,以评估其治理、风险管理及合规性职责的履行情况,潜在警示信号可供企业管理者、公司治理相关人员使用,以在发现相关信号时及时关注并审视自身的治理机制,及时进行整改。
1.公司董事自评问题清单
公司是否建立正式制定文件/制度,对治理、风险和合规相关的角色和责任进行明确?
董事会是否对风险偏好有共同的看法,以便在决策中贯彻应用?
鉴证/保证活动是否基于适当、稳健的结构,并向企业的风险状况和偏好看齐?
董事会成员是否清楚严重治理、风险和合规缺陷的潜在后果?
在讨论中是否充分关注非财务风险和财务风险?
是否有预警系统提醒董事会和高级管理层注意新兴风险?
风险管理是否与战略方向和规划相结合且相匹配?
董事会是否了解管理层如何使用风险信息以及董事会确定的风险偏好来为决策提供信息?
董事会如何识别和讨论错过的机遇或已发生的风险事件?
董事会是否对危机管理和业务连续性计划进行监督?
董事会是否奠定了“高层基调”,以加强和促进风险意识文化?
董事会是否对与公司相关的法律法规有较好的了解?在此类法律法规发生修订后,董事会是否获悉?
2.警示信号
董事会在讨论/文件中从未或很少提及公司章程。
风险管理未与公司战略相关联。
董事会层面讨论的风险(战略风险)、年度报告中报告的风险和管理层关注的运营风险之间存在脱节。风险管理被定位为幕后合规工作。
风险报告和风险管理计划在董事会层面未受到质疑。
强大的风险文化未渗透至公司上下。
未制定和传达风险偏好声明。
董事会注意到风险问题,是通过媒体和利益相关方,而不是管理层。
董事会无法清楚描述风险管理流程。
审计和风险委员会未定期召开会议或向董事会报告。
相较于非财务风险,过度关注财务风险。
毕马威董事会智领中心
毕马威董事会智领中心汇聚企业董事,向董事提供支持和指导,成为会员便可参加各种专题和相关研讨会,获取宝贵的资源和领先洞察。我们为您提供高效履职所需的各种工具,为您解决切实存在的痛点难点。
若您想获得进一步的信息和交流,请与我们的治理、风险与合规服务咨询团队联系。
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
?2024毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所;毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司;毕马威会计师事务所 — 香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。