风险管理体系框架设计

    风险框架设计的核心框架：

　　股东层和经营层职责清晰划分

　　董事会负责确定业务战略和风险管理战略，下面设立的若干委员会协助董事会完成各项决策，CEO负责执行业务战略和风险管理战略。经营层面，业务线负责具体业务，向CEO负责;风险线负责风险管理，向董事会负责;内审线负责对各部门执行政策的情况进行检查，对财务报表的真实性和经营效率进行监督，也直接对董事会负责。

　　成立独立风险管理部，建立统一应对风险的管理策略

　　风险管理部门独立于业务线设置，主要负责建立整个集团公司的风险管理标准，独立审批和评估业务单元的风险管理框架、流程和信息系统。对业务单元的风险承担活动提供支持，这样对整个集团

　　明确风险承担责任制

　　业务线对承担的各类风险负第一责任

　　各个管控条线实行垂直管理

　　与管控体系相一致，沿着各个管控条线加入风险管理，这样将相对独立的各子公司连接为一个整体，既有利于集团战略的贯彻，又使各个子公司协同一体发挥到最佳状态，提高企业的综合竞争力。

　　（1）首先要优化治理机制，建立有效的公司治理结构

　　公司治理是企业全面风险管理的必要组成部分，因为它提供了对风险的自上而下的监察与管理。

　　风险管理从公司治理这一制度安排决定了企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。公司治理是组织应对风险的战略反应，包含了一些战略性的风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司决策层在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此，规范的公司治理是风险管理的核心。在公司治理层面的风险管理中，应注意一下几点：

　　董事会实现专家治理

　　合理安排内部董事、外部董事和独立董事的构成比例。董事应该选取有专门的知识的专业人才，实现“专家治理”，彻底摈弃由不设立独立董事的传统做法。在一些特殊的企业（比如股东成员专业性不强的民营企业）应增加独立董事的数量。

　　有效的公司治理结构要求职责明确，各司其职。目前，独立董事在很多企业可以说是一个虚职，营战略，并依此制定相应的风险管理战略，包括风险管理的目标、风险可承受区间、风险管理的原则和政策，监控风险管理相关政策、制度的实施;负责资本金的管理及最优配置，负责财务预算决算;负责评价高层管理者的任职情况。

　　监事会真正到位

　　在中国，尽管《公司法》规定监事会为与董事会平行的机构，对董事会的运行起到一个监督的作用，但事实上大多数的监事会因为缺乏激励和考核，监事没有薪酬回报（一般公司也存在如此情况：付给监事的报酬普遍低于董事和其他高管，监事持有公司股权比例也低于董事和其他高管人员，更有一些兼职监事不领取薪酬等原因造成了监事会形同虚设，不能有效地约束和限制董事会的工作。为了避免这一点，监事会成员应该由股东大会和职工代表大会选举产生，董事会、经营层成员不能进监事会，并对监事实行一定的激励措施。。监事会负责监控董事、高层管理者等的道德风险和尽职情况，监督董事会的决策;监管企业的财务状况，监测企业整体的风险水平和内控能力。高级管理层在董事会的领导和监事会的监督下，朝着公司经营目标努力，在风险最小化的前提下实现收益最大化。

　　（2）在有效的公司治理结构基础上，建立相互独立的、垂直的风险管理组织框架。具体可以从两个层面来理解:

　　三个层次的风险管理：监事会、董事会、高级管理层;

　　三级经营单位的风险控制：母公司、子公司、孙公司

　　三个层次的风险管理:

　　董事会是公司风险管理的最高权力和决策机构，下设风险管理委员会，负责全集团范围的风险政策、标准的制定与落实，以及工具和系统的开发，该会的设立是实现全面风险管理的制度基础。监事会下设风险审计委员会，负责集团整体风险监测、风险管理效果评价，督促建立有效的风险管理机制和组织体系，对董事会成员、中高层管理人员、关键岗位人员的道德风险进行监测，必要时可自行决定外聘审计师。高级管理层可以下设风险执行委员会和设立独立于上述经营管理系统之外的稽核系统，，监控辖内所有机构和业务的风险。

　　三级经营单位的风险控制:

　　集团CEO，负责全集团的风险管理，可以下设风险执行委员会、风险管理部、稽核部。风险执行委员会是企业履行风险管理职责中地位仅次于风险管理委员会的高级别职能机构，以风险管理委员会的风险战略为依据，细化并落实全行的风险管理政策;通过风险管理总部集中管理全集团风险，包括制定风险管理指引及组织实施。稽核部负责所有业务和风险管理的合规性审计。

　　子公司作为二级法人，是风险控制的前站。集团总部实行风险的垂直管理。总部对子公司负责人实施风险问责，并向子公司派遣风险管理官，协助子公司负责人管理风险;相应的风向管理官、财务主管和稽核主管，工作上对总部相应的风险管理部门负责。

　　在孙公司，是业务实体机构，子公司可以委派财务经理，控制会计风险和财务风险。

　　（3）建立风险管理流程框架

　　风险管理流程应保证风险管理的垂直化、扁平化，保证风险管理的独立性和权威性。避免政策传导不畅通、总部对基层的控制力薄弱、层层上报审决策批机制效率低下等情况。

　　企业可以下几个方面考虑建立风险管理流程框架:

　　(1)风险管理政策、标准和工具的制定与审批流程;

　　(2)政策执行和监督流程;

　　(3)例外计划的处理流程;

　　(4)风险状况变动的连续跟踪流程;

　　(5)向高级管理层和相应的管理委员会的报告流程。

　　（4）建立有效的风险防范内部控制制度

　　内控体系是全面风险管理的有机组成部分，贯穿于整个组织体系，主要包括各项内部控制制度，比如批准、授权、审核、分工、财产安全保护等。这些程序和行动的目的是为了确保工作正常进行，质量得到保证，各项降低风险的措施得到贯彻实施。

　　内部控制的目标是保证实现工作组织目标：运营的效果与效率、财务报告的可靠性和完整性、符合相关的法律法规和合同、资产的安全和完整。因此在日常经营活动中嵌入内控机制，可以更好地识别风险和管理风险。

　　企业在设计内部控制机制时，应以风险识别和分析为基础，在必要的环节设置控制点，达到风险管理的有效性和效率性。

　　风险管理是一项复杂的系统工作，贯穿于现代企业的所有经营管理活动中，从日常的质量控制到突发事件的防范都包含风险管理的概念。企业有效的管理风险，必须把内控系统和经营系统有机地结合起来，建立一种自动风险防范机制，防止因为风险的产生导致企业的更大损失。

　　（5）建立风险管理信息系统

　　企业应建立风险管理信息系统，将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

　　企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

　　风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

　　风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

　　企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。

　　已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行

　　（6）建立风险管理文化

　　风险管理做的较好的企业，具有共同的特征：领导者有极强的风险意识，并极力将这种意识灌输给企业内的所有成员，即注重风险管理文化的培育。

　　华为公司的风险管理文化：

　　公司所有员工是否考虑过，如果有一天，公司销售额下滑、利润下滑甚至会破产，我们怎么办？“十年来我天天思考的都是失败，对成功视而不见，也没有什么荣誉感、自豪感，而是危机感。”

　　联想的风险管理文化

　　“撒上一层黄土，踩实了；再撒上一层黄土，再踩实了；直到确定脚下是坚实的道路，然后撒腿就跑”

　　海尔风险、市场风险管理文化：

　　“东方亮了，西方再亮”

　　“永远战战兢兢，永远如履薄冰”

　　企业文化是一种尽管绕的最远，反过来却是最有效的一种管理方式，这种影响是通过企业文化与管理体系的互动形成对企业员工的价值取向和行为方式施加强有力的导向和支配作用，因此，在企业集团文化中渗透风险管理的意识尤为重要。

　　首先，集团公司应当书面建构集团的风险管理哲学。相比于其它单个企业，企业集团由于管理链条长，最高管理层对风险管理的这种哲学并不一定能够在层层传递中准确贯彻，因此以书面形式确定下来的风险管理哲学显得尤为重要，最常见的是风险管理手册或风险管理政策说明书。明确阐明一个员工若违背了风险管理政策，应该受到何种处理？

　　其次，集团公司上层和成员企业高层要积极地响应和支持风险管理流程，因为领导层的基调对整个集团的风险管理意识具有标杆立影之效。他们首先应当在报告、会议上强调风险管理是集团各公司的第一优先事项，并通过行动来实现对风险管理的承诺。

　　再次，集团应该利用人力资源部门的培训不断强化企业集团文化的影响。在新员工入门培训时，就应该进行风险教育。要向新员工介绍风险管理的概念，就像说明管理理念和运营功能一样。

　　另外，培育风险意识最有力的方法，就是将薪酬和风险挂钩。如美国的大通银行通过股东价值增值将员工激励制度和风险管理联系起来，此举措施极大地促进了员工参与风险管理的积极性。

　　最后，企业集团在接纳一个新成员时，也应考察将被吸纳的这个成员是否能接受并执行集团一贯所遵循的风险管理哲学，否则，就应考虑放弃。因为集团作为一个整体而存在，不论其下的成员企业与集团公司的紧密程度如何，只有接受并遵守集团章程，才能称为其中的成员。在新纳入一个成员企业后，企业集团要注重健康向上的企业文化的渗透，使新成员企业的文化真正与企业集团文化相统一。

　　正是这种自上而下，自下而上风险文化的建立才可以保证全面风险管理体系得到全面的实施。

　　建立企业集团文化不是一朝一夕可以完成的，它是一个长期的系统的工程，需要企业集团精心的策划和贯彻，使它深入每一个成员企业的运营和每一个雇员的心中。

风险管理体系框架设计

    风险框架设计的核心框架：

　　股东层和经营层职责清晰划分

　　董事会负责确定业务战略和风险管理战略，下面设立的若干委员会协助董事会完成各项决策，CEO负责执行业务战略和风险管理战略。经营层面，业务线负责具体业务，向CEO负责;风险线负责风险管理，向董事会负责;内审线负责对各部门执行政策的情况进行检查，对财务报表的真实性和经营效率进行监督，也直接对董事会负责。

　　成立独立风险管理部，建立统一应对风险的管理策略

　　风险管理部门独立于业务线设置，主要负责建立整个集团公司的风险管理标准，独立审批和评估业务单元的风险管理框架、流程和信息系统。对业务单元的风险承担活动提供支持，这样对整个集团

　　明确风险承担责任制

　　业务线对承担的各类风险负第一责任

　　各个管控条线实行垂直管理

　　与管控体系相一致，沿着各个管控条线加入风险管理，这样将相对独立的各子公司连接为一个整体，既有利于集团战略的贯彻，又使各个子公司协同一体发挥到最佳状态，提高企业的综合竞争力。

　　（1）首先要优化治理机制，建立有效的公司治理结构

　　公司治理是企业全面风险管理的必要组成部分，因为它提供了对风险的自上而下的监察与管理。

　　风险管理从公司治理这一制度安排决定了企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。公司治理是组织应对风险的战略反应，包含了一些战略性的风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司决策层在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此，规范的公司治理是风险管理的核心。在公司治理层面的风险管理中，应注意一下几点：

　　董事会实现专家治理

　　合理安排内部董事、外部董事和独立董事的构成比例。董事应该选取有专门的知识的专业人才，实现“专家治理”，彻底摈弃由不设立独立董事的传统做法。在一些特殊的企业（比如股东成员专业性不强的民营企业）应增加独立董事的数量。

　　有效的公司治理结构要求职责明确，各司其职。目前，独立董事在很多企业可以说是一个虚职，营战略，并依此制定相应的风险管理战略，包括风险管理的目标、风险可承受区间、风险管理的原则和政策，监控风险管理相关政策、制度的实施;负责资本金的管理及最优配置，负责财务预算决算;负责评价高层管理者的任职情况。

　　监事会真正到位

　　在中国，尽管《公司法》规定监事会为与董事会平行的机构，对董事会的运行起到一个监督的作用，但事实上大多数的监事会因为缺乏激励和考核，监事没有薪酬回报（一般公司也存在如此情况：付给监事的报酬普遍低于董事和其他高管，监事持有公司股权比例也低于董事和其他高管人员，更有一些兼职监事不领取薪酬等原因造成了监事会形同虚设，不能有效地约束和限制董事会的工作。为了避免这一点，监事会成员应该由股东大会和职工代表大会选举产生，董事会、经营层成员不能进监事会，并对监事实行一定的激励措施。。监事会负责监控董事、高层管理者等的道德风险和尽职情况，监督董事会的决策;监管企业的财务状况，监测企业整体的风险水平和内控能力。高级管理层在董事会的领导和监事会的监督下，朝着公司经营目标努力，在风险最小化的前提下实现收益最大化。

　　（2）在有效的公司治理结构基础上，建立相互独立的、垂直的风险管理组织框架。具体可以从两个层面来理解:

　　三个层次的风险管理：监事会、董事会、高级管理层;

　　三级经营单位的风险控制：母公司、子公司、孙公司

　　三个层次的风险管理:

　　董事会是公司风险管理的最高权力和决策机构，下设风险管理委员会，负责全集团范围的风险政策、标准的制定与落实，以及工具和系统的开发，该会的设立是实现全面风险管理的制度基础。监事会下设风险审计委员会，负责集团整体风险监测、风险管理效果评价，督促建立有效的风险管理机制和组织体系，对董事会成员、中高层管理人员、关键岗位人员的道德风险进行监测，必要时可自行决定外聘审计师。高级管理层可以下设风险执行委员会和设立独立于上述经营管理系统之外的稽核系统，，监控辖内所有机构和业务的风险。

　　三级经营单位的风险控制:

　　集团CEO，负责全集团的风险管理，可以下设风险执行委员会、风险管理部、稽核部。风险执行委员会是企业履行风险管理职责中地位仅次于风险管理委员会的高级别职能机构，以风险管理委员会的风险战略为依据，细化并落实全行的风险管理政策;通过风险管理总部集中管理全集团风险，包括制定风险管理指引及组织实施。稽核部负责所有业务和风险管理的合规性审计。

　　子公司作为二级法人，是风险控制的前站。集团总部实行风险的垂直管理。总部对子公司负责人实施风险问责，并向子公司派遣风险管理官，协助子公司负责人管理风险;相应的风向管理官、财务主管和稽核主管，工作上对总部相应的风险管理部门负责。

　　在孙公司，是业务实体机构，子公司可以委派财务经理，控制会计风险和财务风险。

　　（3）建立风险管理流程框架

　　风险管理流程应保证风险管理的垂直化、扁平化，保证风险管理的独立性和权威性。避免政策传导不畅通、总部对基层的控制力薄弱、层层上报审决策批机制效率低下等情况。

　　企业可以下几个方面考虑建立风险管理流程框架:

　　(1)风险管理政策、标准和工具的制定与审批流程;

　　(2)政策执行和监督流程;

　　(3)例外计划的处理流程;

　　(4)风险状况变动的连续跟踪流程;

　　(5)向高级管理层和相应的管理委员会的报告流程。

　　（4）建立有效的风险防范内部控制制度

　　内控体系是全面风险管理的有机组成部分，贯穿于整个组织体系，主要包括各项内部控制制度，比如批准、授权、审核、分工、财产安全保护等。这些程序和行动的目的是为了确保工作正常进行，质量得到保证，各项降低风险的措施得到贯彻实施。

　　内部控制的目标是保证实现工作组织目标：运营的效果与效率、财务报告的可靠性和完整性、符合相关的法律法规和合同、资产的安全和完整。因此在日常经营活动中嵌入内控机制，可以更好地识别风险和管理风险。

　　企业在设计内部控制机制时，应以风险识别和分析为基础，在必要的环节设置控制点，达到风险管理的有效性和效率性。

　　风险管理是一项复杂的系统工作，贯穿于现代企业的所有经营管理活动中，从日常的质量控制到突发事件的防范都包含风险管理的概念。企业有效的管理风险，必须把内控系统和经营系统有机地结合起来，建立一种自动风险防范机制，防止因为风险的产生导致企业的更大损失。

　　（5）建立风险管理信息系统

　　企业应建立风险管理信息系统，将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

　　企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

　　风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

　　风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

　　企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。

　　已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行

　　（6）建立风险管理文化

　　风险管理做的较好的企业，具有共同的特征：领导者有极强的风险意识，并极力将这种意识灌输给企业内的所有成员，即注重风险管理文化的培育。

　　华为公司的风险管理文化：

　　公司所有员工是否考虑过，如果有一天，公司销售额下滑、利润下滑甚至会破产，我们怎么办？“十年来我天天思考的都是失败，对成功视而不见，也没有什么荣誉感、自豪感，而是危机感。”

　　联想的风险管理文化

　　“撒上一层黄土，踩实了；再撒上一层黄土，再踩实了；直到确定脚下是坚实的道路，然后撒腿就跑”

　　海尔风险、市场风险管理文化：

　　“东方亮了，西方再亮”

　　“永远战战兢兢，永远如履薄冰”

　　企业文化是一种尽管绕的最远，反过来却是最有效的一种管理方式，这种影响是通过企业文化与管理体系的互动形成对企业员工的价值取向和行为方式施加强有力的导向和支配作用，因此，在企业集团文化中渗透风险管理的意识尤为重要。

　　首先，集团公司应当书面建构集团的风险管理哲学。相比于其它单个企业，企业集团由于管理链条长，最高管理层对风险管理的这种哲学并不一定能够在层层传递中准确贯彻，因此以书面形式确定下来的风险管理哲学显得尤为重要，最常见的是风险管理手册或风险管理政策说明书。明确阐明一个员工若违背了风险管理政策，应该受到何种处理？

　　其次，集团公司上层和成员企业高层要积极地响应和支持风险管理流程，因为领导层的基调对整个集团的风险管理意识具有标杆立影之效。他们首先应当在报告、会议上强调风险管理是集团各公司的第一优先事项，并通过行动来实现对风险管理的承诺。

　　再次，集团应该利用人力资源部门的培训不断强化企业集团文化的影响。在新员工入门培训时，就应该进行风险教育。要向新员工介绍风险管理的概念，就像说明管理理念和运营功能一样。

　　另外，培育风险意识最有力的方法，就是将薪酬和风险挂钩。如美国的大通银行通过股东价值增值将员工激励制度和风险管理联系起来，此举措施极大地促进了员工参与风险管理的积极性。

　　最后，企业集团在接纳一个新成员时，也应考察将被吸纳的这个成员是否能接受并执行集团一贯所遵循的风险管理哲学，否则，就应考虑放弃。因为集团作为一个整体而存在，不论其下的成员企业与集团公司的紧密程度如何，只有接受并遵守集团章程，才能称为其中的成员。在新纳入一个成员企业后，企业集团要注重健康向上的企业文化的渗透，使新成员企业的文化真正与企业集团文化相统一。

　　正是这种自上而下，自下而上风险文化的建立才可以保证全面风险管理体系得到全面的实施。

　　建立企业集团文化不是一朝一夕可以完成的，它是一个长期的系统的工程，需要企业集团精心的策划和贯彻，使它深入每一个成员企业的运营和每一个雇员的心中。