广东海洋大学经管学院 李翠霞 中海石油湛江燃料油有限公司 闫兴旭

国资委于2006年发布的《中央企业全面风险管理指引》明确要求企业应建立健全风险管理组织体系。目前，虽然许多商业银行和其他金融机构均设立了专门的风险管理委员会以及资产负债风险管理、信贷风险管理等委员会，但许多企业尚未建立起比较健全的风险管理组织架构。现代企业风险管理的特点是全员风险管理，董事会、经理层、监事会、首席执行官、财务经理、内部审计部门、有关业务部门以及组织中每一位员工均对有效的风险管理具有重大贡献，这意味着组织中的每一个人都对企业风险管理负有责任。上述主体共同构成了企业风险管理组织架构的参与因子。企业风险管理组织架构主要就是解决上述主体之间在风险问题上的权责分配问题，如相关主体在风险管理中的作用与地位的确定；各风险参与主体在风险管理过程中权责的配置问题；风险委员会及风险管理职能部门的建立以及各主体之间的关系。

一、公司治理结构概述

公司是一个由股东、董事、经理、职工结成的多元利益共同体。其中，股东与董事之间的信任托管构成了法人治理结构的第一层委托代理关系。董事会作为一个决策机构，并不直接行使企业日常经营管理权，董事会通过经理人市场选任适合于本公司发展的经理人员，主持公司日常管理工作，这是法人治理结构的第二层委托代理关系。这两种代理关系的区别在于前者是一种信用关系，而后者是一种雇佣关系。公司对经理人员是一种有偿委托的雇佣。经理人员有义务和责任依法经营好公司业务，董事会根据经理人员的努力程度和经营业绩作出奖励和处罚的决定。公司经理是基于委托关系而产生的公司代理人，经理是隶属于董事会的高级职员。

需要特别说明的是关于内部审计机构的设置。目前内部审计机构的设置模式主要有:董事会领导的组织模式；由监事会领导的组织模式；由总经理领导的组织模式；由三者领导的组织模式。这些组织模式的设置，各有利弊。我国企业普遍实行的是由监事会领导的内部审计模式。原因在于如果将内部审计机构设在董事会实质上是将公司监督权进行拆分，存在许多缺陷；而将内部审计机构设在监事会下解决了监督职能重复问题，完善了监督体系，并且解决了内部审计人员“双重身份”的问题，使内部审计相对独立和超脱。因此，在监事会下设立内部审计机构，不仅解决了以往内部审计工作中的许多不顺问题，而且能够强化监事会的监督、制衡作用，完善公司治理结构，降低经营风险，更好地促进公司发展。

二、基于公司治理结构的风险管理组织框架

公司治理结构为公司的风险管理设置三道防线，即在经理层下设全面风险管理办公室，负责日常的风险管理工作，为第一道防线；董事会下设的风险管理委员会负责风险管理政策的制定、监督和评价，为第二道防线；内部审计部门负责对风险管理的再监控，为第三道防线。

（一）各主体之间的相互关系 主要包括以下方面:

（1）董事会及风险管理委员会。董事会在企业风险管理中的角色主要是监督经理层建立健全风险管理，并对企业的风险管理过程加以监督。在董事会之下成立风险管理委员会以专门负责公司风险管理政策的制定、确定风险限额。另外，董事会下属的审计委员会是企业风险管理的重要组成部分，审计委员会在防范虚假财务报告风险方面具有重要作用。风险管理委员会和审计委员会都对董事会负责。

（2）经理层及全面风险管理办公室。经理层对企业包括风险管理在内的所有活动负有直接责任。各个层次的经理层是企业风险管理具体政策的制定者和主要执行者。因此，经理层对于企业风险管理的成败至关重要，企业经理层就风险管理工作向董事会负责。根据我国《中央企业全面风险管理指引》的规定，企业应设立专职部门或确定相关职能部门履行全面风险管理的职责，该部门对总经理或其委托的高级管理人员负责。结合我国公司治理结构，笔者建议在经理层下设全面风险管理办公室，负责风险管理的日常组织协调工作。全面风险管理办公室对经理层负责，并定期向董事会下属的风险管理委员会报告。也就是说，全面风险管理办公室在行政上对最高经理层负责，但对董事会下属的风险管理委员会亦负有报告责任。

（3）内部审计与企业风险管理有着紧密的联系，风险管理是公司治理的核心，内部审计作为公司治理的自我调控机制与内部控制的重要组成部分，是解决信息不对称的重要措施，与风险管理密不可分。内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。内部审计部门在风险管理方面的主要职责是对企业的内控和风险管理情况进行审计，提交内控和风险管理检查评价报告。

（二）相关职能部门的设置 西方企业风险管理的通行做法是，在董事会之下设置风险管理委员会，并在企业中设立独立于业务部门的风险管理机构专门负责企业风险管理事宜。这体现了现代企业风险管理的专门管理与全员管理相结合的特点。借鉴国外做法并结合我国公司治理结构，设置风险管理委员会和全面风险管理办公室实现对风险的专门管理和全面管理。

（185）尖叶薄鳞苔 Leptolejeunea elliptica（Lehm.＆Lindenb.）Schiffn. 彭丹等（2002）

（1）风险管理委员会的设立。在国外，董事会之下成立风险管理委员会以专门负责公司风险管理政策的制定，是一种较为普遍的做法。我国《中央企业全面风险管理指引》规定:“具备条件的企业，董事会可下设风险管理委员会。”并没有对我国企业是否设置风险管理委员会做出强制规定。结合目前情况，笔者认为，我国可强制要求金融机构、上市公司在董事会内设立风险管理委员会，专门负责制定企业的风险管理政策和程序、确定风险偏好与风险容忍度、监督经理层对风险管理政策的执行、对企业的独立风险管理机构进行指导和监督、对企业面临的风险及相关管理政策的效果加以评估等。对于其他有需要的企业，则可规定在符合成本效益的前提下自行决定是否设立风险管理委员会。

关于风险管理委员会的构成，国内企业做法与国外企业并不统一，但一般均包括企业高级管理人员和风险管理部门的负责人。由于风险管理是一个涉及到整个企业的全局性问题，且应当与企业的业务活动紧密结合，因此，风险管理委员会不仅应包括熟悉企业重要管理及业务流程、具备风险管理监管知识或经验、具有一定法律知识的董事、高级管理人员、风险部门经理，还应当视企业所面临的主要风险类别的不同，纳入财务、法律、市场等部门的管理人员。此外，为了提高风险管理委员会的专业性，还可以考虑从企业外部聘请专业人士（如保险公司、咨询机构的专家）来担任风险管理委员会成员或顾问。至于风险管理委员会中独立董事的比重，考虑到虚假财务报告风险，风险管理委员会中保持一定数量的独立董事仍有必要，但没必要像内部审计机构、薪酬委员会那样须以独立董事为主。

另外，为体现关于风险管理委员会的独立性，其召集人应由不兼任总经理的董事长或监事会主席担任；董事长兼任总经理的，召集人应由监事会主席或外部董事或独立董事担任。

（2）全面风险管理办公室。独立的风险管理职能机构已成为西方企业风险管理组织架构的核心，目前，西方许多金融控股公司、跨国公司以及大型上市公司，均设立独立的风险管理机构，专门负责风险管理事务。实践表明，设立专门的风险管理机构对于加强风险管理、降低风险管理成本、促进企业内部风险管理的信息沟通及保证风险管理职能部门的独立性具有积极的意义。而独立风险管理机构在组织中的位置、其应向谁报告，是风险管理组织架构的核心问题。考虑到风险管理的目的是要处理所有的组织风险，因此，风险管理职能部门最好紧靠经理，使经理层能提供对风险管理的全部指导。

基于此，在经理层下设全面风险管理办公室，做为独立的风险管理职能机构，并配置专职人员从事风险管理工作。全面风险管理办公室的负责人原则上应具备以下备件:有三年以上财务、审计、风险管理等相关工作经验；熟悉本单位业务流程，具备对关键性、整体性风险的识别与评估能力；具备对战略、运营、财务、法律等风险的应对与管理能力；具备较强的组织协调能力。

三、风险管理机构的具体职责

明确的职责划分，是风险管理的关键。职责分明可以避免少数关键人操纵整个交易、责任的交叉与遗漏，并为考核风险管理的效果奠定良好的基础。

（一）董事会及下属的风险管理委员会 董事会就风险管理工作对股东大会负责，风险管理委员会对董事会负责。风险管理委员会一般由业务部门经理和风险控制经理组成，负责制定公司的风险政策、确定风险限额。董事会和下属的风险管理委员会在风险管理方面主要职责如下:确定公司风险管理总体目标、风险偏好、风险承受度，批准公司风险管理政策和制度；监控公司面临的各项重大风险及应对策略；监督风险管理体系运行的有效性；指导全面风险管理办公室开展风险管理工作；批准风险管理绩效考核标准；批准内部审计部门提交的内控和风险管理检查评价报告；审议批准并向股东大会提交年度风险管理报告；督导企业风险管理文化的培育。

（1）经理层。经理层或经理层委托的高级管理人员，负责主持全面风险管理的日常工作。经理层对于企业风险管理的成败至关重要，从国内外风险管理失败的案例来看，大多是由于经理层对风险管理的不重视或者没有能够有效地识别、评估、应对风险。企业当中存在着不同层级的经理层，包括以CEO为代表的高级经理层和部门经理，不同层级的经理层对风险管理的责任是不相同的。CEO作为最高经理层，对风险管理负有最终的责任，并对企业风险管理具有深远的影响。与其他人相比，CEO确定了组织的高层格调，而这将会极大地影响到内部环境以及企业风险管理的其他因素。因此，CEO对风险管理的主要职责是:在整个企业范围内建立有效的风险管理政策与程序；根据主体的风险偏好对企业的风险进行监控；适时采取相应的对策；并接受董事会的监督。CEO的具体责任包括:在风险管理理念、风险偏好和文化方面为高级管理人员提供领导和指引（包括创建构成企业风险管理基础的价值观、原则和主要经营政策）；定期与负责关键职能领域（生产、市场营销、财务、人力资源、安全）的高级管理人员进行会晤，讨论风险管理相关事宜，并检查其责任。此外，CEO在风险管理方面的另一个重要作用就是负责在企业范围内建立健全内部控制机制，因为内部控制是实现风险管理的重要手段，内部控制是否完善将直接关系到风险的识别与控制的有效性。

高级经理层会进一步进行分权，他们通常将具体的风险管理责任分配给部门经理。部门（生产、市场营销、财务、人力资源、安全）经理对管理与其部门相关的风险负有责任。部门经理将战略转化落实为经营，在日常经营活动中识别与评估风险，并采取相应的应对措施。确切的说，部门经理亲自参加与部门目标相关的风险程序的设计和执行（如事项识别与风险评估技术），并确定相关的风险应对措施（如制定购买原材料或接受新客户方面的规程）。他们对相关的控制活动提出建议，监控有关控制活动并与上级管理人员会晤以报告控制活动的运行。因此，部门经理有责任在其经营范围内加强风险意识，并将风险管理目标融入到经营中；各部门应当定期举行风险管理会议，以考虑风险暴露情况，并根据有效的风险分析重新安排工作的优先次序；部门经理应保证在项目的概念阶段和整个项目期内都进行风险管理。

（2）全面风险管理办公室。其主要职责可以概括为:政策制定、推动、设计、协调与监督、信息与沟通。作为企业内部的一个独立部门，全面风险管理办公室以及风险经理应在CEO的领导之下专门负责风险管理工作。并对经理层及风险管理委员会负责。

全面风险管理办公室是企业风险管理政策和程序的具体执行机构，负责风险管理的日常组织协调工作，其具体职责如下:建立健全内控和风险管理制度；根据公司发展战略，结合本单位的风险承受能力和风险偏好，向管理委员会提出修改风险管理政策和制度的建议；梳理本公司的重大风险，提出应对策略并负责实施；培育风险管理文化；制定风险管理培训计划，并组织实施；制定风险管理绩效考核标准，组织实施风险管理绩效考核工作；负责对风险管理有效性进行评估，研究提出风险管理的改进方案；监测重大风险，做好危机防范工作，在危机发生时协助危机与应急管理组织进行危机处理；负责撰写风险管理工作报告；负责组织协调风险管理日常工作，协助各个职能部门建立相关的风险管理应对策略和措施，并监督措施的执行和改进状况。

需要说明的是，风险经理（或称首席风险官CRO）与其他管理人员一起，在其职责范围内建立并维持有效的风险管理。风险经理还负有监督风险管理过程、帮助其他管理人员向上、向下或在组织内部各部门之间报告风险有关的信息的职责，他往往是风险管理委员会的成员。

（三）内部审计机构 内部审计机构的责任是对企业风险管理政策与程序进行监控，保证企业风险管理政策的有效实施，及时发现存在的缺陷并采取补救措施。同时内部审计机构还要对公司的内控和风险管理情况进行审计，提交内控和风险管理检查评价报告。因此，风险管理的第三道防线——内部审计机构在风险管理方面的职责具体包括:集中做好经理层识别出来的重大风险的内部审计工作，并审计整个组织的风险管理过程；研究提出风险管理监督评价体系，制定监督评价相关制度，开展监督与评价；对风险管理过程提供积极的支持，并参与其中；实施风险识别及评估，并教育从事风险管理及内部控制的员工；协调提供给董事会、审计委员会的风险报告。

四、企业风险管理组织架构设置相关问题说明

企业应当明确划分各个业务部门、风险管理部门、经理层、风险管理委员会在风险管理方面的报告责任，尤其要明确经理层、风险管理委员会与董事会之间的关系。风险承受者一定要知道他们在何种层面上对谁负责，因为，沟通顺畅、分工明确的报告线是有效风险管理的关键。另外，企业风险管理组织架构的设置要体现全员风险管理的思想，并有利于风险信息的流动和组织成本的节约，必须考虑以下几个问题:

（一）建立清晰的报告线（信息畅通原则）风险管理组织架构的设计，必须有利于组织内部上下进行有效的沟通:下级能够向上级沟通有关风险暴露情况以及风险政策的执行情况，上级需要能够及时向下级传达有关的风险政策、策略，各个部门之间也要在风险管理方面加强沟通、信息共享。要实现企业内部信息的畅通，必须要防止企业内部组织架构过于复杂。因为，组织架构过于繁冗，将会导致风险信息的堵塞，风险决策时间过长，妨碍风险政策的迅速、有效执行，还会导致有关部门故意隐瞒风险信息的情况。有效的风险管理组织架构的一个特点是具有明确的报告线，各个部门、员工都应当明确自身在风险管理当中的职责并应找准对哪个机构负责，这样，才能保障相关部门和员工各司其职，有条不紊地进行风险管理。另外，报告线的长短将直接影响到风险管理的效率，应当根据企业内部管理关系、业务的复杂程度来划分报告线，但必须要保证企业最高层能够及时了解有关风险暴露单位的风险情况。

（二）与业务部门良好的沟通（全员参与原则）现代企业风险管理的特征是全面风险管理，这就决定了现代风险管理必须是全员管理，即组织中的每个成员都是风险管理的参与者。这是因为企业风险管理过程涉及企业经营活动的各个方面，并与日常经营活动紧密地结合在一起，因而必定与企业中各个层次、各个部门、所有员工相关。可以说，风险管理是公司中所有员工都必须参与的活动。而基层员工与部门是风险的直接暴露单位。要有效地识别潜在的风险，就需要从各个业务接口入手。事实上，每一位员工都会产生企业风险管理所需要的信息或作出管理风险所需要的行动。另外，所有员工与部门是风险管理政策的执行者。为了实现风险管理目标，企业需要制定相关的政策与程序，而这些政策与程序的最终执行者正是企业各个部门与员工，只有这些部门和员工密切配合，才能够有效地识别、评估、分析、报告所面临的风险因素，保证经理层和风险管理部门制定正确的风险应对措施，并保证这些应对措施的有效执行。由此可见，企业中的每一个机构、每一个员工都对企业风险管理的有效性产生影响，因而都是企业风险管理的主体。另外，全员参与风险管理可以采用激励政策，对于发现风险和提出应对风险有效措施的，应当给予奖励，这样才能调动全员参与的积极性。激励政策既有利于提高整个公司的风险管理，又有利于对人工成本的控制。

要建立健全有效的风险管理组织框架结构，一方面，应当发挥风险管理委员会、独立风险管理部门的专业管理作用；另一方面，企业内部所有部门与员工，都是风险管理的参与者和影响者，整个企业范围内的风险管理需要各个方面的协调和配合。在设计风险管理组织架构时，必须考虑各层次、各部门员工在风险管理中的作用，并通过风险管理手册明确规定其所在部门和岗位以及其他部门和岗位所面临的风险和责任。

（三）提高企业经济效益（成本效益原则）风险管理组织架构的设计必须要符合成本效益原则，避免设置不必要的部门或环节，从而导致风险管理成本的上升和管理效率的降低。首先，减少不必要的部门对于风险的控制将会有很大提高。如在集团企业的三级以下单位，市场营销部可以直接涵盖营销、采办、物流等工作，综合管理部可以涵盖人力资源、日常车辆管理、信息等工作，财务部可以涵盖计划、财务等工作，生产部可以涵盖生产、安全等工作。在风险管理中，责任落实到人，与每个人的绩效考核挂钩，出现了问题，对于绩效考核分数偏低者，应当采取适者生存的“进化论”。这样既能提高负责人的认真态度，又能使员工有进步向上的意识。其次，应根据自身的规模、业务特点、风险领域等选择适当的组织架构。在董事会之下设置风险管理委员会，并在企业中设立独立于业务部门的全面风险管理办公室专门负责企业风险管理事宜，体现了现代企业风险管理的全员管理与专门管理相结合的特点。当然，在不同企业，风险管理委员会和风险管理机构的设置和作用可以有所不同。全面风险管理办公室的规模应以能够处理企业风险管理具体事务为限，这具体取决于公司规模的大小以及风险的规模、复杂程度及不同风险类别的差异性。一般来说，公司的规模越大，风险规模就越大，风险管理部门的规模也应相应大些。对于小规模公司，全面风险管理办公室的规模可以小一些，以符合成本效益原则。

［1］刘笑霞、李明辉:《不同主体在现代企业风险管理中的作用与责任》，《审计与经济研究》2007年第4期。

［2］赖森本:《风险管理之迷思与真相》，《会计研究月刊（台）》2005年第9期。

［3］米歇尔、科罗赫等著，曾刚等译:《风险管理》，中国财政经济出版社2005年版。

［4］詹姆斯·林著，黄长全译:《企业全面风险管理——从激励到控制》，中国金融出版社2006年版。

［5］托马斯·L·巴顿、威廉·G·申克等著，王剑锋、寇国龙译:《企业风险管理》，中国人民大学出版社2004年版。

［6］COSO著，方红星、王宏译:《企业风险管理——整合框架》，东北财经大学出版社2005年版。