| 刘琼晖
当前世界面临百年未有之大变局,整个国际格局和国际关系变得变化莫测,全球主要经济体的经济增速放缓,再加上类似新冠疫情这种黑天鹅事件的深度打击,全球经济增速还将进一步下滑,未来经济的波动性和不确定性将会成为主旋律。在这种形势下,国内企业所面临的外部环境日益复杂,企业如何在复杂的环境中立于不败之地,其中最重要的一环莫过于全面提升对不确定性的认知和把控的能力,也就是提升对风险的管控能力,这是所有国内企业由高速发展向高质量发展和可持续发展转型过程中必须重视和掌握的一项核心技能。2006年,国务院国资委在借鉴发达国家上述企业风险管理的理论成果基础上发布了《中央企业全面风险管理指引》,要求中央企业根据自身实际情况开展全面风险管理工作。本文通过介绍某大型国有集团企业构建符合自身特点的较为完善的全面风险管理体系,有效实施全面风险管理的一些经验,以期为大型企业的全面风险管理工作提供参考。
(一)案例集团简要情况
某国有大型集团公司(以下简称“集团公司”或“公司”)于2016年6月成立,作为某国家级新区重大基础设施项目建设、重要片区开发、生态环境开发和治理、两型社会建设市场化运作的功能性平台,成立时注册资本300亿元,拥有3个全资子公司,均为片区开发、市政建设类公司。2018年某市政府批准该集团公司由功能类平台转变为投资类企业,集团公司业务向多元化发展,业务涉及“片区开发、城市运营、金融服务、产业投资”四大板块,截至2021年末,集团公司子公司发展到11家(全资子公司9家、参股子公司2家),孙公司40余家。集团公司聚焦实施“三高四新”战略,全力推进转型创新发展,着力打造“千亿”国企,成为智慧新城产业创新领航者。
集团公司在市场化转型中面临更多更大的风险,传统管理模式难以满足集团转型发展的需求。过去集团公司属于地方大型城投平台公司,其传统主营业务是土地一级开发、基础设施建设、城市运营等政府半垄断业务,市场竞争和业务的不确定性几乎为零,故集团公司上至管理层、下至普通员工均无“风险”和“风险管理”的相关意识,亦未在公司设置风险管理专业部门和职能。目前,集团公司正处在从“平台类”业务向“投资类”业务进行市场化转型的关键时期,所涉及的子公司越来越多、公司资产规模越来越大、公司的治理结构和管理层级日益复杂、所涉及的业务板块和投资领域日益广泛,其中包含了金融、类金融等高风险业态,以及房地产、文化旅游、医疗健康等充分市场竞争业态,所面临的内、外部环境发生了巨大的转变,传统的管理模式难以满足公司多元化发展的需求。如果不能及时地识别风险、科学地评估风险、有效地管控应对风险,很有可能给公司的持续健康发展造成不可估量的损失。因此集团公司对企业全面风险管理模式进行了应用实践研究,以发挥风险管理的价值创造和目标管理的作用。
(二)全面风险管理实践研究之“六个一工程”
2018年底集团公司成立风险管理部,全面开启风险管理体系建设。公司处于市场化转型的关键阶段,是一个典型的多产业、多法人、多层级的超大型多元化集团,所涉及的业务类型多、行业跨度大,这对风险管理工作提出了极高的要求。如何建立一套形神兼具、符合自身产业特点和发展阶段的风险管理体系,风险管理部门深入学习理论、积极探索实践,打造全面风险管理“六个一工程”。“六个一工程”是指“培育一种风险文化共识,构筑一个基础三道防线,落实一项决策支持机制,形成一种嵌入式流程体系,打造一套绩效导向体系,提升一种专业服务能力。”
1.培育一种风险文化共识。风险文化是风险管理体系的基础和环境,如果没有好的环境,再好再多的制度也可能由于执行人的理念和态度问题而形同虚设,风险文化是整个风险管理行之有效的基本保障。在传统型企业进行市场化转型过程中,最大的问题就是全员的风险意识薄弱,普遍对于风险及风险管理的认知和定位不清晰。故建立全面风险管理体系,首要任务是培育风险意识,并且形成一种企业文化和价值观,在公司全员上下达成共识。集团公司对“全面风险管理”的定义是“由全员参与的、全过程管理、全领域覆盖、逐步使用全新风险管理工具”的“四全”风险管理体系,从上述定义可知,风险管理应贯穿在企业管理的各个方面及各个流程,全面覆盖各个业务领域,风险管理是上至董事会成员,下至公司每一个员工的共同职责。
集团风险管理部致力于营造风控文化和增强风控意识,通过“专家+专栏+讲堂”模式,打造“湘江风控”文化品牌,组建外部“风险管理专家智库”,在内刊中开辟了“风控视界”专栏,开设的“风控大讲堂”常年举办线上线下各类培训,推动公司逐步形成“人人都是风险官,风险责任人人担”的基本共识,逐步形成共同的风险管理理念、风险价值观念和风险管理行为规范。风险管理部门密切关注内外部环境,及时督促业务单元和子公司识别、应对、处置及持续跟踪多项风险事件,使重大风险防范于未然。同时,积极创建集团风险信息披露、报告和沟通机制,有效消除由于信息不对称所带来的风险。构建了“定期报告+专项报告+快报”的风险披露和报告机制,通过编辑集团公司整体年度风险管理报告、重大风险事项专项报告和风险简报的方式,将风险信息及时向领导汇报,缩短公司管理层与风险信息的距离,实现风险信息的即时响应、即时决策、快速反应;
定期召开“风险管理人员联系沟通会议”, 将风险信息及问题及时向业务单元和子公司通报,分析原因堵塞漏洞,并且举一反三防范于未然,提升各单位对风险事件的敏感度及应对能力,实现信息共享。
2.构建一个基础三道防线。一个基础是指公司的风险管理组织架构。集团《全面风险管理办法》规定了公司的风险管理组织架构为四层架构,分别是董事会、经营层、风险管理部门、各业务部门及子公司(如图1所示)。三道防线是指风险管理机制流程。第一道防线是业务部门及子公司,第二道防线是风控管理委员会下的风险管理部门,第三道防线是审计委员会下的审计部门(如图2所示)。
图1 风险管理组织架构——四层架构
图2 风险管理机制流程——三道防线
董事会是集团公司风险管理的最高决策机构,风险管理部由集团董事长直接分管,风险管理工作最终对董事会负责,而董事会最重要的职责是制定风险偏好、风险管理政策和组织架构;
风险管理部门并不仅指狭义上的风险管理部,而是指在广义上所有行使风险管理职能的部门,包括风险管理部、战略部门、法务部门、综合部门、财务部门、人力部门和内控部门等。其中风险管理部是风险管理政策及制度具体牵头和执行部门、战略部门是牵头管理整个集团战略和投资风险的部门、综合部门对公司的声誉风险和舆情风险进行管理、财务部门对公司的财务风险进行管理、法务部门对公司的合规风险进行管理、人力部门和内控部门各自在其领域内承担相应的风险管理职能。另外,审计及纪检等传统的后台管理部门也逐步将监督管理的关口前移,与风控、内控、法务等部门共同形成“风控、内控、合规、审计”四位一体的立体化风险防控格局;
各个业务部门和子公司是风险管理的第一道防线,是风险的主要承担者,应当要主动、持续识别、评估、控制和报告风险,他们是各自业务范围内风险管理的第一责任人;
而风险、内控、合规、法务、审计等第二、第三道防线承担协助、支持、检查、监督、评价等风险管理职责。四层架构和三道防线是集团风险管理体系正常运作的治理基础。
在集团整体风控团队建设和管理方面,集团公司要求下属金融类子公司建立独立风险管理部门,配备具有专业胜任能力的专职风控人员,其风险管理部门负责人向集团风险管理部门备案管理;
下属非金融类子公司可以根据业务规模和实际情况建立独立或者兼任的风险管理部门和承担风险管理职能的人员。集团公司对各子公司风险管理人员采用“矩阵式管理”的模式,即集团对整个风控条线实行“纵向管控、分层负责、双重考核”的穿透式风险管控,在整个风控条线中建立上下信息沟通机制,以减少信息不对称,增强风控人员执业的独立性和专业性。
3.落实一项决策支持机制。传统的风险管理较为注重风险项目事后的处置、诉讼、追偿、追责等,参与的环节和管理的重心较为滞后。以往很多人总觉得风险管理工作不好开展、所发挥的用处不大,关键的原因就在于风险管理没有参与企业的决策环节,而决策的环节属于不确定性最大、矛盾最为集中突出的环节,决策阶段判断如果出了偏差,事后出现的问题往往已经“生米煮成熟饭”,损失和教训难以弥补。所以风险管理的最大价值体现就是将对事项的风险评估和控制机制嵌入到企业的决策机制里面去,成为决策必不可少的环节,为管理层科学决策提供必要的服务和依据。
集团公司从政府平台类向投资类企业转型过程中,业务、经营范围扩大,市场化投资项目数量急剧增加,而集团公司之前缺乏非工程类、市场化项目的投资经验,专业投资人才缺乏,难以从投资决策开始对投资全过程进行有效管理。因此风险管理部门创造性地将风险管理工作重心前移,创建独立风险评价机制,推进投资项目和其他重大事项的“事前、事中、事后”全过程投资决策及风险监督管理机制,防范重大风险。具体做法是在投前建立独立风险评价机制,将风险评价嵌入集团投资项目决策的前置必要流程,充分揭示决策的风险,提出风控措施,并清晰描述决策后果是否处于风险承受度范围内,以提高投资决策的科学性;
在投中核实风控措施是否实施到位,将风控措施的落实作为项目放款的前提条件,确保投资决策执行的可行性;
在投后要求各单位定期对重大项目进行自查并报告的同时,对重大项目进行不定期的渗透式现场检查,及时发现风险征兆及风险线索,加强投后监管。
4.形成一套嵌入式制度流程。2018-2019年,集团公司充分分析公司面临的内外部环境,全面梳理公司现有的存量业务板块和战略规划业务赛道,风险管理部与外部咨询公司共同梳理出包括战略风险、市场风险、操作风险在内的五类一级风险,40类二级风险,250多项三级风险,在此基础上,完善风险管理治理架构、制度和流程,强化各级风险管理责任。2019年集团正式颁布了《全面风险管理办法》,此办法为集团风险管理的纲领性文件。围绕该办法,风险管理部制定了《独立风险评价实施细则》《子公司风险管控细则》《风险考核细则》《风险信息报送细则》《违规经营责任追究细则》等一系列制度文件,并计划在三年内针对集团各个产业的具体情况建立《关键风险指标库》,完善风险分类和关键风险指标量化,对各业务板块逐步实现定性与定量相结合的标准化管理模式。
同时,风险管理是企业管理不可分割的一部分。风险管理的制度和流程应当全面融入现有管理体系中,以各部门、各业务单元和各子公司相关管理制度和程序文件为主要落实载体,风险管理应融合于日常管理和业务流程,避免出现风险管理和业务管理“两张皮”现象。风险管理部门加强对集团及子公司制度的设计把关,各部门、各子公司在制定各项制度、流程时,均要求其征询风险管理部门的意见,风险管理部门从制度设置的合规性、合理性进行前置审核,提出建议和意见,从源头控制风险。
5.打造一套涵盖风险管理考核的考核体系。之前,集团公司的绩效考核指标仅仅只关注到收入、利润、投资额度规模等这些经营目标,而对内部控制、风险管理、资产质量这些风险管理的目标缺乏应有的考虑。这样的考核导向很可能导致经营层发生道德风险和逆向选择,刺激经营层的短期行为,而给公司造成损失,不利于公司可持续发展。
集团风险管理部门创新性地将资产质量、内部控制、风险管理、审计整改等考核指标纳入年度考核指标,直接将风险管理工作与各业务单位、子公司的年度组织考核等级、主要负责人的个人考核成绩、年度绩效工资与奖金等进行挂钩,形成风险管理的闭环。风险管理绩效考核已试行三年,发现其在确保风险管控制度和流程刚性落实到位、增强人员整体风险意识、规范企业运作、提升风险管理效能方面所产生的效果明显。
6.提升一种专业服务能力。过去人们一谈到“风险”,认为就是“损失”,认为风险和机会是矛盾对立关系;
而谈到“风险管理”,认为就是“提意见”“踩刹车”。在这种传统认知下,大家对风险和风险管理“谈之色变”,甚至“避而不谈”,风险管理职能和价值无法得到有效发挥。事实上,风险的本质是不确定性,不确定性包含着机遇与威胁、积极与消极两个方面,世界上几乎没有纯粹的风险和纯粹的机会,机会往往伴随着风险,风险跟收益存在一定配比关系,而风险管理最重要的职能就是平衡风险与收益的关系,尽可能消除不确定性对企业战略目标实现的影响,帮助企业更好地实现价值创造。
基于上述理念,集团风险管理部门主动探索和创新工作模式,由之前的以“监督”为主,转向“服务与监督”并举的工作模式。在提供专业服务工作的方式上,相对之前的“提出问题”,更多地向“协助解决问题”转变,比如提出更具可操作性的风险保障措施;
寻找更优化的问题解决方案、成本管理模式、风险收益最优点;
帮助提升业务人员风险识别和控制能力等。近两年来,集团风险管理部门多次为子公司提供各种专业帮助、专项咨询,如帮助子公司就投资标的价值判断、尽职调查、股权和治理架构设计、章程和投资协议等法律文书要点设计、投后管理等方面一系列关键风险点进行了详细的讲授、分析以及手把手的跟进,获得子公司好评。风险管理人员逐步融入企业的经营过程,为业务条线赋能,为领导决策提供决策支持,为公司发展保驾护航,这是风险管理人员创造价值、实现价值的主要途径。
集团公司在全面风险管理体系建设的具体实践中进行了上述有益的尝试,历经三年时间,已初步搭建了符合其战略方向、产业特点和发展阶段的全面风险管理体系,效果较好。“湘江风控”文化品牌在省内已具有一定影响力;
集团公司整体风险意识得到显著提升,全体员工对于新形势、新产业和新阶段的认识更加到位,风险管控能力明显加强,制度流程进一步规范,决策程序规范清晰。近三年,集团公司市场化转型取得全线突破,投资结构进一步调整,产业布局初具雏形,业务拓展持续发力;
营业收入由17亿元/年增至100亿元/年,增幅为488% ,其中市场化营收占比近50%;
利润总额由3.2亿元/年增至10.2亿元/年,增幅为218%,债务风险等得到有效控制,转型发展的质量、效益快步向好。目前,集团公司的风险管理水平在同类国企中处于领先水平,为公司行稳致远发展提供了有力保障。
同时,全面风险管理体系建设是一个需要长期坚持、不断完善、不断自我更新和迭代的系统性工程,笔者认为,今后还可以在以下几个方面继续深入研究:(1)如何掌握与宏观经济和产业行业相关的外部趋势和事件,来识别和应对新兴风险。新兴风险是指当前巨变环境带来的非传统可认知的风险,但往往会对企业造成毁灭性打击,是企业管理层不得不认真面对的战略层面风险,对此管理层是否有充足的思想准备和应对措施,是风险管理实践研究的一道难题。(2)要进一步推动风险文化的建设。目前我们正在对标世界一流企业的管理和文化,管理层是否有意识自上而下推行风险文化培育,是否允许公开讨论风险并鼓励不同意见的出现,是管理风险的重要保障。(3)进一步进行内部流程再造,将风险管理嵌入流程体系,对现有业务流程和管理制度进行整合和修改完善,把风险意识融入业务推进和企业管理;
进一步完善风险分类、量化关键风险指标,增强风险识别能力,进而逐步实现全面掌握企业面临的风险。(4)加大信息系统应用。逐步建立风险管理分析和预警系统,提升风险实时监控能力;
逐步树立大数据意识,更新管理思想,提高风险管理工作效率和效果。