光大金瓯资产管理有限公司 时如宁

一、风险管理理论发展状况

（一）我国风险管理监管要求

最早提出三道防线的文件是1997年5月中国人民银行发布的《加强金融机构内部控制的指导原则》（2007年已经废止），第十六条指出金融机构要设立顺序递进的三道监控防线，建立完善内部控制制度。2006年，国务院国资委发布《中央企业全面风险管理指引》，提出企业全面风险管理的要求，建立三道防线管理。第一道防线是包括董事会高管层及全体员工在内的业务层面；第二道防线是董事会下设的风险管理委员会及下设职能部门；第三道防线，是董事会下设的审计委员会及下设职能部门。此后，各省国资委相继印发各省国资委监管企业全面风险管理工作实施办法，要求国资委监管企业开展全面风险管理，提高风险管理能力。2008年，五部委发布《企业内部控制基本规范和配套指引》，文件规定借鉴了COSO框架的内控五要素、四大目标，强化内部控制在公司管理过程中的作用。2018年，国务院国资委发布《中央企业合规管理指引》，明确合规管理在公司治理中的作用。

（二）全面风险管理的发展阶段

按照国际国内风险管理理论与实践要求，风险管理的建立健全一般经历四个阶段①。第一个阶段，风险管理架构的建设时期。按照公司治理的要求，初步建立公司风险管理部门，划分风险管理职责，适度揭示公司业务发展风险；建立风险管理三道防线，设立风险管理、内部控制、审计等部门，并确立相关职责。但由于职责交叉造成工作重复、推诿情况多有发生。第二阶段，风险管理架构的落地时期。合规、全面风险管理、内控三者融合于企业管理过程中。合规是全面风险管理的目标，也是全面风险管理的风险之一；全面风险管理要发挥作用需要内部控制的支持和配合，全面风险管理的过程也可以视为是内部控制的过程；所以要实现全面风险管理架构的落地，不仅是完成全面风险管理的三道防线、风险偏好、风险预警、风险管理流程等体制的落地，更是要实现“三合一”的功能，共同实现为业务发展服务的增值效果。第三阶段，确定核心风险的管理机制。每个企业因所处行业、发展阶段、发展目标、企业负责人、企业文化等不同，所面临的风险也会千差万别，正是应了那句“同行不同利”。这个阶段，风险管理需要化繁为简，突出重点工作，结合企业经营发展的实际情况，梳理业务发展过程中的核心风险，进行风险评估和应对，做好事前、事中、事后全流程的控制，进一步推动“三合一”功能实现。第四阶段，风险管理体系和内部控制体系化有形为无形。经过前三个阶段的发展，公司的风险管理体系和内部控制体系已经比较完善，“三合一”体系配合融洽，相辅相成。第四阶段就需要将风险管理体系和内部控制体系中的控制活动和要素抽离出去，打散融入各项业务活动中，实现企业管理体系和业务流程的升华。至此，风险管理实现了“忘我”，嵌入式融入业务流程中了。

二、不良资产行业风险管理现状

我国不良资产行业主要由五大金融资产管理公司、银行系金融资产投资公司、59家②地方资产管理公司、外资资产管理公司、民营不良资产管理公司等组成。总体来看，各不良资产管理公司都基本完成风险管理发展史上第一阶段工作，基本建立内部控制、合规、风险管理等三方面的管理制度，设立风险管理等相关部门并明确职责等。但由于发展时间、股东确定的战略定位、经营环境等方面不同，各类公司风险管理发展程度有所不同，发展路径也有所差别。第一类金融资产管理公司、金融资产投资公司等承接于国有企业银行，遵循财政部对金融企业风险管理监管要求，该类公司风险管理理论和实践最先进，管理条线设置、职能划分和履行最完善，同时设置了内部控制、风险管理、审计等部门，并进行了三道防线条线划分。第二类地方资产管理公司因股东、监管机构不同，风险管理要求有所不同。股东是金控公司的，地方资产管理公司更与金融行业的风险管理体系相近，在风险偏好、风险管理流程、风险分类、风险计提等方面更完善；股东是地方财政的，则更倾向于适用国资委监管企业条线要求，对风险管理偏宏观。第三类外资资产管理公司风险管理理论和实践更接近国际水平，源于国外不良资产行业管理，以风险模型为基础设计风险识别和管控。第四类民营不良资产管理公司更倾向于实践出真知，且受限于公司实控人认知，注重项目风险点的微观识别和控制，不刻意设置部门和推广理论。

三、行业风险管理实践中存在的问题

（1）战略风险管理偏离监管要求。金融资产管理公司发展时间近20年，经历了处理银行政策剥离不良资产、非金债与不良资产包并重、回归主业等三个阶段。地方资产管理公司发展10多年，始终向金融资产管理公司学习，但部分公司在市场竞争中，过度追求大而全、高利润，业务偏重非金债、类放贷、底层房地产资产融资，在市场下行期间，造成了一定风险损失，亟需回归主责主业。

（2）谈“风险”色变。自2006年国资委发布《中央企业全面风险管理指引》以来，中国全面风险管理要求已经发展了近15年，但直到今天为止，即使在最早实践全面风险管理的金融行业，很大一部分人片面地理解和对待风险，认为“风险就是损失”“风险就是坏事”，没有从风险的客观性、普遍性、针对性等特点出发全面理解风险,更没有树立加强风险管理服务企业经营的意识。

（3）照葫芦画瓢。国家发布的风险管理文件有上百部，很多资产管理公司风险管理制度存在本本主义——摘抄严重，形式主义——为应付检查而设，没有结合公司实际情况，风险管理制度缺乏指导性、可操作性。

（4）犹抱琵琶半遮面。很多资产管理公司的风险管理部门对项目风险识别、判断后，不敢“光明正大”地采用风险提示函的形式下发，而是采用各种督导函、工作联系单等形式，并受到业务部门群起攻之，要求撤销风险提示，影响公司整体风险管理把控。

四、风险管理理论指导行业实践

（一）公司内部统一风险管理理念

第一，认可风险管理的价值。唯一不变的是变化，这种观念已经深入人心。公司经营面临的环境瞬息万变，变化意味着风险，当然也孕育了机会。面对市场，企业如何把握机会，规避风险，是企业管理的智慧，也是风险管理的要义，是风险管理的价值所在。公司经营就要管理风险，如何对风险识别、分析、应对，企业经营最大的风险是不承担风险，不经营风险。第二，把握风险管理的客观发展规律。企业风险管理是由企业全员实施的，应用于公司战略规划并落实到日常经营过程中的，旨在识别可能会影响公司经营目标的潜在事项，为公司提供保障。企业风险管理不是某一项目管理的工作，而是贯穿于日常工作流程；企业风险管理不是某个部门的工作，而是全员努力的结果；企业风险管理的结果主要取决于公司高管的态度。第三，确定风险管理全流程管理模式。从一个企业的全面风险管理发展来看，全面风险管理从来不应是高调的不可一世，而是应该忘记自己。因为对企业而言，企业风险管理并不在核心价值链上，但却可以最大限度地辅助企业核心价值的创造和实现，企业风险管理的正确定位应该是嵌入式融入企业的各项管理活动，当风险管理彻底忘掉自己的时候，你会发现风险管理无处不在。

（二）公司高管层强调风险管理的拔高价值

众所周知，蚂蚁是一种很有组织性、计划性，也很勤劳的群体动物。但是在蚂蚁群体中都会有少数的蚂蚁很“懒惰”，它们不用去寻找食物，整天“无所事事”，每天的主要工作就是东看看西看看。但这群“懒蚂蚁”看似无关紧要却是群体不可或缺的一部分，它们每天的工作其实是通过观察发现寻找更远处的备选食物来源，它们的功能就是在发生重大变化、族群无法获取食物时，指引族群更快找到食物来源。动物界尚且如此，存在这种备选或对抗机制的企业也很多，比如以色列的第十人理论、华为蓝军。这种机制对于改变公司内部固定思维，提高公司应对不确定性的应急能力起着积极作用。随着不确定性的增加，公司应对风险的能力也要不断提升，不仅要应对已经识别的风险，更应该具备未雨绸缪的思路应对黑天鹅事件。针对公司发展阶段和发展现状，公司风险管理部门也应该树立这种观念，从琐碎的日常性事务中脱离出来，对宏观经济、监管环境、行业发展、竞争对手等方面搜集更多的信息，并对各种信息进行加工分析，对经营合规提出正反两方面的论证，鼓励提出或听取更多的异议声音，只有经过不同意见的辩论后，才能确定合适的发展思路，为公司高质量发展提供更合适的意见和建议。

（三）公司内部设立风险三道防线

第一，建立与实际相符的三道防线。风险管理的三道防线，即业务部门、风险管理部门、审计部门。但在实践中，三道防线不能简单对应为前中后台。第一道防线业务部门不能直接对应为经营中心、创新业务部等部门或成员企业，因为公司面临的风险分类为战略风险、市场风险、运营风险、法律风险、声誉风险、廉政风险等，每个职能部门需要筑起职责范围内的风险第一道防线。比如党委办公室是后台部门，但却是声誉风险的主责部门，是声誉风险的第一道防线，承担每日搜索公司声誉风险信息的主要职能。第二道防线风险管理部门也不能直接对应为风控合规部，因为风控合规部在法律风险和合规风险管理中承担了第一道防线的职责；同时，运营管理部负有风险审核的职责，属于第二道防线。第三道防线审计部门也不能直接对应为审计稽核部，由于中国企业内部特殊存在的纪检监察部门，也属于第三道防线。所以每个部门都要在三道防线中找准定位，攻防有度。第二，发挥第一道防线的关键作用。理论上来说，完美的三道防线中第一道防线控制95%的风险，第二道防线控制5%的风险，第三道防线是监督职能。因为业务部门是公司最早和最全面接收、搜集业务信息的部门，需要对信息进行统筹把握和全面分析，并做出与公司风险偏好一致的结论——继续推动项目上会还是直接毙掉项目。所以第一道防线至关重要。第三，打好三道防线的“组合拳”。风险管理的三道防线不仅适用于风险管理，也适用于内部控制、合规管理等，当管理和控制需要跨前中后台部门时都可以尝试三道防线。三道防线并不是像过滤网一样，层层过滤，而是像足球比赛中的前锋、中锋、后卫，相互配合、相互补位，第二道防线应该发挥防守和进攻双重职能，发挥三道防线配合作用，赢得业务场上的胜利。

（四）公司战略层面确定公司风险偏好

第一，统一风险语言。现代企业的发展要求企业必须把控发展与风险的平衡，但在公司内部应划定一定的经纬线，告诉全员风险的底线、合规的边界，评价风险的大小与程度标准，评估资产的价值尺度等等，这就是公司的风险语言。只有大家都在一个频道说话，才能有效沟通和交流，才能实现对事项的统一认识。所以公司应制定既符合理论发展前沿，又符合监管要求，且满足公司发展阶段和现状的全面风险管理制度文件和配套制度支撑。第二，确定公司风险偏好。很多公司自成立以来很少提到风险偏好，在很多不懂风险管理专业的人来说，觉得公司没有风险偏好，公司在无序发展。但其实不然，因为风险偏好在非金融企业并不是通用语言，所以并没有提到公司层面，但并不意味着公司没有设定风险偏好，风险偏好存在于公司各项业务制度、风险审核、审批等过程管理中。这种风险偏好虽然隐晦，但仍被大家遵守，并坚定执行，也是有效的风险偏好管理模式。但最有效的方式是确定统一风险偏好，让公司员工都知晓公司的风险偏好，每个人都将对业务的风险控制统一到公司风险偏好中来。第三，舞好风险偏好这把双刃剑。公司风险偏好一旦确定下来，即得到公司全体股东的一致认可，将作为公司明确的规章制度指导业务，引导业务发展；将向全员宣贯、执行，同时，风险偏好确定后将限制不符合公司风险偏好的业务发展，对于执行有偏差的行为进行惩戒。对上市公司来说，风险偏好将向全社会公开，受到全社会的监督。而且，风险偏好的变动将会引起轩然大波，可能导致公司股价的剧烈波动。总体来讲，确定符合公司战略和目标的风险偏好将是指导符合公司偏好的业务高质量发展的指路明灯，而如果风险偏好不切实际且好高骛远则只能是公司发展的枷锁。

（五）加强全员以风险管理为底蕴的职业修养

第一，树立勤勉尽责的职业道德。“一个萝卜一个坑，做一天和尚撞一天钟”，每位员工都是本岗的职业经理人，对本岗工作进行筹划、执行、改进，持续不断完成“挖坑-填坑-再挖坑-再填坑”的螺旋上升过程，对本岗工作勤勉尽责，规避违规失职。比如风控合规部门作为全面风险管理的主责部门，在公司全面风险管理制度制定过程中，就对本部门职责、流程挖了一个大坑，“做好风险管理流程，识别全面风险，提前研判风险”。在后续的风险管理过程中，风控合规部门不断填坑、填坑，达到全面风险识别和控制到位的目标。第二，完成规定动作。公司自成立第一天起，就受到公司章程、合作协议的规范。继而为了完成任务目标，规范公司每位员工的行为，公司内部开始设置部门、划分岗位、确定岗位职责，每个员工变成公司流水线的螺丝钉，变成不可或缺的一环，缺少任何一人的操作，都无法推进。这种符合现代观念的内部控制完成了良好的流程和结果控制。每位员工在公司规章制度的要求下，只需作出合理的判断就能得出符合公司风险偏好的结论，并将此结论传递给下一环节，则流程能环环相扣，达到预定目标。第三，做好合理怀疑分析。每个工种得出某些结论，并不是闭门造车，而是根据一定资料分析得出的结论。这些资料无论是自我收集还是他人提供，都是相互辅证的。所以，收集信息和资料是作出判断的第一步，也是全面风险管理的第一步。只有掌握了翔实的资料，并且资料是来源于不同主体，资料才能最大限度保证其真实性和合理性。在此基础上，员工尤其是推动公司经营业务的项目经理或风控合规条线人员才能对信息进行分析研判，对比信息之间是否有出入、资料之间是否能够环环相扣，资料是否足够支撑得出的风险大小符合公司风险偏好的结论。得出的结论呈给公司高管层决策使用，这就完成了一个闭环的风险分析和判断。第四，提出合理工作方案。风险管理的结果是识别的风险能够得到控制，在前期工作基础上，按照公司三道防线的设置，从前台项目经理，到中台风险审核人员，到后台审计人员，层层把关，人人都围绕战略目标、经营目标、合规目标等，会采取相应的规避、控制、接受、转移等风险策略，提出合理的工作方案，使得问题和风险得以解决。虽然由于岗位不同，每位员工所识别的风险和采取的措施也会有所不同，但总能达到自认为的帕累托最优方案。

全面风险管理的建立健全，我们在路上，并将一直在路上。

注释

①本部分源于疯控叔，本文很多观点都源于疯控叔的启发借鉴。

②截至2021年12月数据。