孙家康

(中国远洋海运集团有限公司,上海 200127)

0 引 言

近年来，航运市场的运力快速提升，但运力需求相对有限，供需矛盾在短期内无法解决，运力过剩、运价低廉、竞争加剧的行业环境没有得到明显改善，航运企业面临着多方面的风险和挑战。从宏观经济环境方面看，世界经济中心正逐渐向亚太地区转移，随着我国“海上丝绸之路”倡议的实施，亚太自贸区路线图的规划，航运业将迎来新的发展机遇。在此背景下，如何有效应对和管控企业面临的风险和挑战，抓住发展的机遇，有效掌握货源、降低运营成本,是航运企业需研究的重要课题，实现主动、积极的风险管理己成为当代企业提升核心竞争力的必由之路[1-2]。

风险管理是大型企业实施风险管控的主要手段，定位清晰、职责明确的风险管理组织机构是企业有效开展风险管理工作的基本保障[3]。本文以典型的航运企业为例进行风控体系分析。该企业经过数年的探索，已在管理层面和业务层面初步建立起基础框架，并已针对部分重大风险尝试开展专项管理，在防范风险、抢抓机遇等方面具有一定的作用，但随着国内外经济形势的不断变化和航运业面临的风险日益复杂，企业风险管控的难度不断增大，对风控体系建设提出了更高的要求。

为优化典型航运企业的风控体系，提升其风险管理水平，本文结合顶层规范对风控体系的管控要求，解析航运企业的风控体系架构；通过对标先进企业的风控体系，分析企业当前的风控体系存在的问题，进而提出优化建议。

1 顶层规范的要求

为指导企业提高自身的风险管理水平，许多权威机构都对风险管理和内控组织体系建设提出了明确的要求。

1.1 全面风险管理指引的要求

2006年，国资委出台《中央企业全面风险管理指引》(以下简称《指引》)，明确给出风险管理组织体系方面的要求，指出“企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。”

1.2 内控基本规范的要求

2008年，财政部会同证监会、审计署、银监会和保监会发布《企业内部控制基本规范》，加强和规范企业内部控制，其关于内控组织体系建设的核心要求是：董事会负责内部控制的建立健全和有效实施；监事会负责对董事会建立和实施内部控制进行监督；企业应成立专门机构或指定适当的机构具体负责组织协调内控组织体系的建立和实施。

1.3 管理提升的要求

2012年5月，国资委在《关于加快构建中央企业内部控制体系建设有关事项的通知》中强调：集团层面要成立专门的内部控制工作领导机构，负责内部控制工作的组织协调；设立专职机构或确定牵头部门，配备专职工作人员，具体负责内控组织体系的建立和实施工作；建立相关部门共同参与的跨部门联动工作机制，明确分工，落实责任，共同推进，做好对子企业内控组织体系建设的指导工作。

由于内控是实施风险管理的有效手段，二者在理论逻辑和工作内容上有着密不可分的关系，且内控可利用风控组织体系框架有效实施，因此本文重点强调风控组织体系的建立和完善。

2 企业风控体系的架构分析

对于企业而言，风控体系的设计主要需解决3方面的问题，即：企业对风险管理业务的定位和目标；相关主体在风险管理中的作用和地位；各主体之间的关系。本文重点从董事会风险管理委员会的设置和职责、风险管理部门的设置和职责、集团公司与其下属子公司风险管理有效性衔接的工作机制等3方面解析企业风控体系的架构。

2.1 董事会风险管理委员会的设置和职责

从国内的实践来看，董事会下属的履行风险管理职责的专业委员会的设立有2种模式，即：单独设立风险管理委员会；由审计委员会或审计风险委员会履行风险管理职能。

国资委在《指引》中明确指出内部审计部门和董事会下设的审计委员会为第三道防线，其职责包括监督和评价公司内部控制和风险管理框架的有效性。将风险管理决策机构的职责放在审计委员会，并由审计部门行使风险管理部门的职责，其实就是将第二道防线的职能与第三道防线的职能合并管理。但是，实践中审计委员会的主要工作是审核年度风险评估报告，没有实质性的风险决策或风险治理，因此该架构的设计一方面反映出集团公司对风险管理工作的重视程度不够，另一方面有可能会混淆风险管理与风险审计的职能，例如将对风险的评价与对风险管理工作(包括内控、合规等)的评价混淆，没有充分重视风险审计对风险管理起到的“第三道防线”的作用。

2.2 风险管理部门的设置和职责

独立的风险管理职能机构已成为西方企业风险管理组织体系的核心。从近年来编报全面风险管理报告的113家中央企业的数据来看，这些企业都明确了风险管理的职能机构，约有93%的企业设置了风险管理专职岗位，23家企业设立了独立的风险管理部门，33家企业设立了审计风险管理部门，另有部分企业将风险管理职能设在法律部门、战略投资部门和运营管理部门等部门。

由此可看出，中央企业在近几年中更倾向于关注高风险领域的单个风险，将风险管理的主要职能与企业的重要风险相结合。但是，随着企业面临的风险日益复杂，风险管理的目标不再局限于单一风险领域，而是事关企业发展的全局，风险管理的角色和定位越来越强调其职能的独立性。因此，当前的发展趋势是各大企业(尤其是多业务板块企业)开始重视并设置独立的风险管理职能部门，指导和管理分布在各业务部门的专职风险管理人员。

设置独立的风险管理机构对于企业加强风险管理、降低风险管理成本、促进企业内部风险管理信息的沟通而言具有重要意义。风险管理职能部门除了负责企业风险管理政策和程序的制定与推动以外，还特别关注企业内部各部门在风险问题上的协调和集团公司层面对重大风险的识别、分析、评估和应对，并为企业实施重大决策提供参考。

2.3 集团公司与其下属子公司风险管理职能有效衔接的工作机制

集团公司与其下属子公司风险管理职能的衔接与整个集团公司的风险管控架构密不可分。在与子公司进行风险管理职能衔接过程中，集团公司要重点解决风险管控架构、风险信息收集和报告路径等方面的问题，其中最核心的是风险管控架构问题。

目前集团型企业的风险管控架构主要有2种实践模式，即以马士基集团为代表的垂直一体化风险管理模式和以中国五矿集团为代表的双重风险管理模式。

1) 在垂直一体化风险管理模式下，集团公司直接参与下属子公司的风险管理，实施集中控制，在该模式下,集团公司能及时了解各子公司的风险状况，但可能带来风险管理与子公司的业务经营不够紧密的问题。

2) 在双重风险管理模式下，子公司的风险管理部门受本公司风险管理委员会的领导，在对口职能方面要接受集团公司的组织、协调和监督，从而畅通风险信息的沟通和报告渠道。该模式有利于风险管理与具体业务的配合，子公司的风险管理职责完整，具有较高的自主权，但集团公司对子公司风险管控的力度相对较弱，管理特殊风险的难度较大。

3 与先进企业风控体系的对比

风险管控能力是大企业的核心竞争力之一，航运企业面临风险的复杂性和多变性日益加剧，做实和强化风险管控是保障企业生存和发展的重要手段，而该目标对企业风控体系提出了更高的要求[4-5]。

以典型的航运企业为例，该企业在管理层面基本已建立风控体系框架和管控模式，在防范风险、抢抓机遇等方面发挥着一定的作用，例如：在董事会下设风险管理委员会,负责识别、管理、监督和控制公司的各类风险；在公司管理层设立首席风险官，具体负责内部控制和全面风险管理工作；同时，成立企业内部控制和风险管理领导小组及工作小组等。然而,该风控体系在强化和做实风控工作目标方面存在诸多问题，例如大部分公司的三道防线尚未形成有效合力，普遍缺乏相对独立和专业的风险管理职能和机构设置，职能不清晰、不明确，专业人员配置不足，未能完善集中和明晰的风险监控和汇报机制及路径，未能建立风险预警体系等。该航运企业的风险管理水平与评价标准(央企达标)的对比见图1。

图1 典型航运企业的风险管理水平与评价标准(央企达标)的对比

由图1可知，该航运企业在风险管理决策机构、风险评估工作开展和内部控制的整体有效性等3方面处于基本达标状态，但在风险管理职能部门设置与三道防线职责权限的明确和规范、风险管理策略与文化、风险监测和预警、风险管理信息化等4方面较为薄弱。因此，该企业的风控体系有待加强和完善。

4 风控体系优化建议

针对上述问题，提出以下风控体系优化建议。

1) 明确集团公司整体的风控体系，筑牢风险管理“三道防线”。

根据集团公司全面风险管控对象所处机构层面的要求，明确集团公司的风控体系，强化各层级的风险管理责任主体及其角色定位，包括：

(1) 集团公司各专业职能部门和各业务单位为风险管理的“第一道防线”，是风险战略和政策的贯彻执行者、风险管理方法的具体应用者和业务风险信息的提供者。对此，要切实发挥业务人员在风险管控中“第一道防线”的作用，提升全体员工(特别是企业领导干部和关键岗位人员)的风险责任意识，营造全员参与风控工作的氛围;同时，加强对一线员工的风险文化培育，结合企业实际，积极探索在业务部门配备兼职风控人员的方案。

(2) 董事会下设的风险管理委员会和风险管理专业部门为风险管理的“第二道防线”，主要负责对 “第一道防线”的正常运作进行监控和指导。在“第二道防线”中，要进一步加大对风控资源的投入，结合企业的业务实际，健全风控体系;同时，提升企业管理人员的风控意识，试点开展经营管理人员与风险管理人员在风险管理部门轮岗，领导与关键岗位人员在风险管理部门轮训。

(3) 审计委员会和审计部门为风险管理的“第三道防线”，是风险管理运作效果的评价者，负责对前2道防线的运作进行事后检查和评估，确保风险管理各项政策、职责得到落实和持续优化。因此，“第三道防线”要进一步加强风控监督力度，加快建立对风险事件和重大风险隐患的调查和问责机制。对于发生重大风险事件或存在重大风险隐患的企业，采取质询约谈责任人等方式;对于整改不力的机构和人员，向监察审计部门通报情况。

典型的“三道防线”风险管理组织架构见图2。

2) 设置专职风险管理职能机构，加强其独立性和专业性。

风险和内控管理的职能部门为战略发展部风险管理室，作为风险管理委员会的办事机构，具体负责内部控制和风险管理工作小组办公室的日常运作。此外,该机构还承担集团公司采购与供应商管理、质量体系管理和社会责任管理等职责。因此，该设计降低了风险管理部门的权威性,容易混淆其职责范围，对风险管理的专业性和组织内部风险信息沟通产生影响，进而影响企业风险管理的有效性。

对此，建议设立专职风险管理部门，明确风险管理部门为内控工作的归口管理部门，加强内控与风险管理工作的一体化，通过对内控进行有效约束和控制，达到防风险、促发展的目的。专职风控管理职能机构在初步设立时更需关注风险管理和内控整体框架的搭建，并逐步拓展风控管理工作的深度和广度。

3) 加强风险管理职能部门与其他部门的分工协作，更好地促进风险管理工作落地。

在有效的风险管理体系中，各职能部门和业务单元应能应用风险管理的相关工具实现对相关业务的管控，如各职能部门和业务单元应能熟练地应用风险评估、控制梳理、自我评价和持续改进等方面的风控工具，而风险管理专业部门应负责建立集团风险事件库、统一风控语言、提供各种风险管理工具和培养风险管理专业团队等。同时，风险管理部门应关注风险的最新变化，完善畅通的信息沟通和报告机制，通过风险监测等手段实现对风险的动态掌握。

在分工协作过程中，对于管理风险较复杂、工作量较大、专业性较强的领域，可考虑由风险管理专业部门协助管理,或在相关职能部门设立风险管理岗位,以此来保证风险管理工作取得实效。

4) 完善集团公司与其下属子公司风险管理有效衔接的工作机制。

根据目前集团公司与其下属子公司在业务特点、发展阶段和所处环境方面的差异，重点发展双重管理模式。在集团公司风险管理部门的独立性和专业性得到加强之后，逐步加强对风险的集中管理和控制。

同时，集团公司应加强对子公司风险管理和内控管理的统一组织、指导、协调和监督，加强和完善畅通的信息沟通渠道和风险报告机制。此外，为确保集团公司风险管理政策得到有效执行，应建立特殊的绩效考核和任免机制，如在子公司绩效考核中加入风险调整因素，以此保证集团公司的风险管理总体目标得以实现。

5) 加强对集团公司及其下属子公司风控专业化人才的培养，提升整体风控能力。

目前，集团公司的各下属子公司虽然已指定内控职能管理部门，但无论是从人力资源数量配置还是风控专业胜任能力看，都无法与集团公司期望实现的风险管理目标和效果相匹配。

(1) 风险管理和内部控制是比较专业的工作，需不断进行专业技能培训，必要时还需依赖外部专家的帮助。专业力量配置不足会导致风险管理流于形式，无法发挥实际作用。

(2) 集团公司各专业职能部门作为风险管理的第一道防线，对风险管理理念和知识的掌握直接影响到各业务线条对业务风险的防范。

因此，建议加强对风控管理方面资源的配置，对风控专职人员和业务部门骨干进行风险管理专业知识、操作技能等方面的系统性培训，完善风险管理和内控方面的培训、考试和资格认证机制，完善风控人员的职业发展规划和通道。

6) 加强风险监控和预警研究，逐步建立风险预警体系。

风险是时刻变化的，只有实现动态监控、及时预警和充分沟通，才能真正实现风险管理目标。风险报告是全面风险管理体系的一部分，目的是实现对风险信息的传递，为集团董事会、管理层和有风险管理职能的部门,以及集团的整体业务运营和风险管理提供决策支持。因此，建议进一步加强风险监控和预警研究，考虑在部分成熟的业务线或职能管理线上确定关键预警指标，探索风险日常监控和预警；完善集团公司的风险监控报告体系，明确各业务板块、各层级的风险报告关系和流程、报告频率、报告内容;风险管理职能部门可通过对监控报表或报告进行审阅、分析、评估和整合，为管理层提供决策依据。

5 结 语

本文结合顶层规范对企业风控体系的要求，通过对标先进企业的风控体系，分析了当前某典型航运企业的风控体系架构存在的问题，提出了优化风控体系的若干建议。在风控体系构建和实际运作过程中，应加强对全面风险管理理念的宣导，推进风险管理文化建设，夯实风险管理体系有效运行的根基，保障风险管理专业机构与其他职能机构和业务单元之间的信息沟通和协同合作，推动企业整体风险管理能力稳步提升，进而优化风控体系，提升企业的核心竞争力。