◎ 文/廖昂 王娟

集团子公司风险管理工作的思考

◎ 文/廖昂 王娟

良好的风险管理是一个企业生存和发展的看家本领，对于金融控股集团而言犹为如此。在控股集团的架构中，每一个子公司都是整个集团的有机组成部分，其经营效益、风险控制、品牌建设，都同母公司息息相关。金融控股集团能否持续健康发展，与子公司能否做到风控到位、稳健经营密切关联。

明确风险管理工作的基本原则

1.实效性原则

风险管理工作具有很强的附属性，有怎样的经营业务，就有怎样的风险管理，无论是理论探索还是实际操作，都应当与子公司的管理架构、经营规模、业务特征相适应。

2.制衡性原则

风险管理工作的基本目标，就是在公司的运行机制中，与业务部门取得一种平衡，使得业务的开展不至于太“左”，以致产生公司无法承受的风险敞口，也不能太“右”，使公司在零风险的环境中固步不前。因此，风险管理工作要有内在的生命力，就必须贯彻科学的制衡性原则，应使职能资源、人力资源在不同的部门和岗位之间进行科学配置，在兼顾效率的前提下，达到职权制衡、互相监督的目的。

3.全面性原则

风险有基本的分类，如战略风险、合规风险、市场风险（包括信用风险）、操作风险、流动性风险、声誉风险等。一般而言，在子公司的各项业务领域中都应该开展对这些风险的管理工作，并贯穿于各项业务领域的事前、事中、事后全过程。

将风险管理职能融入到公司治理机制中

1.在公司治理结构层面，实现决策、执行、监督三者之间的有效制衡

（1）股东大会作为公司的权力机构，主要决定公司的经营方针和投资计划，防范战略风险；审议批准董事会、监事会的工作报告，确定公司整体风险偏好。

（2）董事会作为公司的决策机构，主要是在公司制定经营与投资方案、年度财务预算方案及决算方案、利润分配方案和弥补亏损方案、增加或者减少注册资本以及发行公司债券的方案时，对战略风险、合规风险、市场风险、流动性风险进行防范；在决定公司内部组织机构设置、制定公司基本管理制度时，实现职权制衡，防范操作风险。

（3）总经理作为公司的执行层，负责组织实施公司年度经营计划和投资方案，落实各项风险防范措施；在拟订公司内部管理机构设置方案、基本管理制度时，结合公司的经营规模、业务种类、风险特征，有针对性地制定风险防范措施。

（4）监事会作为公司的监督机构，负责对公司财务工作中的风险管理工作进行检查，对风险漏洞提出改进措施；对董事、高管人员履行风险管理职责的行为进行监督，检查公司经营活动中存在的合规风险和操作风险。

2.在部门设置层面，前台、中台、后台三者实现风险管理职能分工，发挥协同效应

前台主要是业务部门，负责对业务活动所涉及的各类风险进行事前防范；中台主要是风险管理部门（或者为项目审批部门、项目审批委员会、风险管理官等），负责对业务方案进行审批和风险监测；后台主要是内部审计部门，负责对各项业务的风险管理进行事后审计、监督检查。

明确风险管理工作范围

1.从风险管理“全面性”的角度讲，需要对以下风险信息予以关注：

（1）战略风险。在制定公司经营计划、投资方案或作出重大项目决策时，应当注意对战略风险的防范，重点关注行业发展状况、相关产业政策、国内外宏观经济政策以及国民经济运行情况，尽量使公司的经营发展符合国家政策方向和整个行业的发展趋势。

（2）合规风险。在银监会《商业银行合规风险管理指引》中，将“合规风险”定义为“因没有遵循法律、规则和准则而可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。”我们可以借鉴这一定义，在公司制定内部制度、作出重大决策、进行日常经营活动时，重点关注其是否与政策、法律、行业准则规定相一致，并持续关注相关政策、法律的变化情况和员工的道德操守情况，切实防范合规风险。

（3）信用风险。信用风险是指债务人或交易对手未能履行合同所规定的义务或信用质量发生变化，影响产品价值，从而给债权人或产品持有人造成经济损失的风险。信用风险在很大程度上由个案因素决定，观察数据少且不易获取，因此具有明显的非系统性风险特征。

（4）市场风险。市场风险是指由于市场价格水平和市场价格波动性的相反运动而给企业经营带来损失的风险。对市场风险的把握是一个企业的核心竞争力之一。公司在经营活动中需要注意产品或服务的市场需求变化，关注交易对手的信用状况，收集竞争者或潜在竞争者的经营变化以及财税政策等情况。

（5）操作风险。根据《巴塞尔新资本协议》的定义，操作风险可以分为由人员、系统、流程和外部事件所引发的4类风险。对操作风险的防范能力，体现了一个公司的内部管理水平。为防范操作风险，应当关注公司组织架构设置以及管理模式的合理性；业务流程中操作人员的业务技能、职业素养；业务活动中容易产生失误或缺漏的环节；信息科技系统中可能存在的操作风险隐患等。

（6）流动性风险。流动性风险是指公司因无力为负债的减少或资产的增加提供融资而造成损失或破产的风险。子公司作为自主经营、自负盈亏的独立法人，应当关注并应对以下流动性风险信息：负债、或有负债、负债率等各项财务指标；业务费用、管理费用等各项费用开支；通过财务管理控制经营成本的效果；成本核算、资金结算和现金管理业务中容易发生错误的环节；国家最新的会计政策、会计准则的变化和要求等。

（7）声誉风险。该风险是指由经营、管理或突发性事件所导致公司受到负面评价的风险。各控股子公司作为集团公司立足市场的排头兵，其市场声誉、社会评价对自身以及整个集团都有影响。因此子公司应当注意品牌建设，注意对声誉风险的防范，密切关注对客户的承诺实现情况、客户投诉情况以及媒体对公司的报道或评价情况。

2.从“制衡性”角度来讲，风险管理工作的内涵应当包括以下内容：

（1）前台、中台、后台共同参与风险管理工作。无论是业务部门的尽职调查、方案设计，还是审核部门的项目审批、风险把关，或是审计部门的事后检查、督促改进，都应把风险管理作为重点内容。

（2）重要岗位实行职责制衡。对与客户打交道的一些重要岗位应当要求双人到岗、双签；在岗位设置上明确不相容职责的分离，如：业务审查、财会工作、财产保管和稽核检查等；对经营、财会等部门的关键岗位尽量实行轮岗制度或强制休假制度。

（3）严格执行授权制度。建立一套完整的授权制度，明确授权的条件、对象、范围，任何组织和个人不得超越授权作出风险性决定。

（4）实行风险问责制度。按照权、责相统一的原则，明确规定各部门及岗位未履行风险管理职责所应承担的责任；逐步建立有效的风险管理考核评价制度，将风险管理工作情况与绩效薪酬挂钩。

完善风险管理工作流程

流程的价值在于规范运作、提高效率。在风险管理工作中，需要处理的信息繁多，既有宏观层面的战略风险、市场风险，也有微观层面的操作风险、信用风险，如果缺乏完善的工作流程，工作的实效性将大打折扣。一般来讲，风险管理工作流程包括：

1.风险管理规划

公司章程、股东大会决议、董事会决议或者监事会工作计划应当对公司的整体风险偏好作出规划，决定公司应对经营活动中重大风险的措施，审议批准公司弥补经营亏损方案等。业务部门要在工作制度中明确各类业务开展所必须关注和应对的风险信息，规定尽职调查和方案设计中必须包含的风险信息要点和防范措施。风险管理部门要在工作制度中明确项目审批过程中需要关注的风险点、风险防范措施、风险敞口、审批权限。内部审计部门要在工作制度中明确对风险管理工作的检查计划、检查方式、整改跟踪措施。

2.风险信息尽职调查与评估

这项工作主要由业务部门开展。在业务具体运作之前以及运作过程中，应当根据业务特征进行有针对性的风险信息尽职调查。对于调查所获得的信息，应该对其产生的条件、可能造成的后果、影响程度进行分析和评价。这种风险评估的依据、结论应当在业务方案中予以体现。

3.制定风险应对措施

风险应对措施主要是指风险规避、风险转移、风险分散或约定交易对手的风险责任等措施。这项工作主要由业务部门和风险管理部门开展。对于可能会对业务运作造成影响的风险，业务部门要在立项方案、实施方案或会签意见等材料中提出风险应对措施。风险管理部门对业务部门提出的风险应对措施进行审查，并提出修改意见。审查工作应当关注风险信息的全面性、实效性，关注风险防范措施的合理性、有效性。对于不符合业务风险偏好、超过风险敞口，或者风险信息尽职调查不充分、防范措施不合理的项目，应当要求业务部门予以补充完善。

4.风险动态监测

这项工作主要是定期或不定期地对业务进行信息监测，如通过风险信息报告进行风险监测；或到现场进行实地查看。同时还应当关注客户的经营状况与财务状况变化，关注行业动态、市场变化、政策法规变化等信息。风险监测部门应当将监测结果通过书面形式报送公司管理层。

5.风险管理工作监督检查

公司各业务部门、风险管理部门不定期地对其职责范围内的工作进行自我检查、评价和纠正，并自觉接受内部审计部门、监事会、股东方以及行业监管部门的监督和检查。对于运作终结的项目，内部审计部门需及时进行审计，检查业务开展过程中的风险管理情况。审计关注点主要包括：业务运作流程中风险控制情况、制度有待完善之处、风险管理组织架构中存在的缺陷等。公司的监事会定期或不定期地检查公司财务状况、风险控制情况以及制度建设情况，并对高管人员履行风险管理职责的行为进行监督检查。检查工作可以采取现场检查、非现场检查、谈话等方式灵活进行。对于发现的问题，检查部门应有针对性地提出改进措施，跟踪督促有关部门落实改进措施，防范风险的重复出现，实现监督检查工作的实效性。

建立高效、安全的信息传播渠道

为实现风险管理的实效性，公司要确保经营活动、风险管理所需要的各种信息能够及时、准确地传递，尽可能以制度的形式规定信息传递的岗位要求、时限要求、违规责任等。在集团公司与子公司之间，通过股东大会（股东会）、董事会渠道进行风险信息的传达，实现集团公司风险管理政策在子公司的实现。在子公司层面，应建立规范高效的风险信息交流渠道，明确具有风险管理职能岗位的工作手册、授权制度、操作流程，确保信息的传递能规范运行。此外，还应能够按照监管部门的要求，及时全面地报送各种材料、信息。

文化有着“上善若水”的重要力量，对于工作的开展有着重要的推动作用。控股子公司需培养员工“风险管理创造价值”的意识，营造良好的风险管理工作环境，普及风险管理文化，并指定专门的部门开展风险管理文化宣传工作。通过不定期举办知识讲座、案例分析、政策法规讲解等形式进行宣传教育，保证风险管理文化建设的有效推进，促进风险管理工作良好开展。

（作者单位：廖昂，中国东方资产管理公司；王娟，国家统计局财务司）

编辑：武振协