要对合规管理、法务管理、内部控制与风险管理进行协同管理,一个必要的前提是对这四者涉及的管理要素进行拆解。管理要素,是合规、法务、内控、风险四项管理体系的基本组成。四者发挥其各自功能,在于由其管理要素所形成的管理结构。
例如,合规管理,由合规义务、合规准则、合规承诺、合规制度、合规机制、合规评价等管理要素组成。这些管理要素必须共同发挥作用,才能促使一项合规管理体系有效。再如,内部控制,是由内控环境、风险评估、控制活动、信息与沟通、监督与评价等管理要素组成。
风险管理,则是由治理和文化、战略和目标制定、执行、检查和修正,信息、沟通和报告等五个要素组成。以下特别详细述之。
关于治理和文化。风险管理的前提是加强主体责任,关键的主体当然是公司董事会。因此,风险管理强调先从公司治理层面切入,即加强董事会对风险的监督责任。如果风险管理建立在一个错误的框架下,那么其必然无法起到预期效果。为支持风险治理框架,企业需建立一个专门的与风险相关的运营结构。这个运营结构不是独立另起炉灶,而是在追求战略和运营目标的过程中建立的。实践中,可认为风险三道线构成这个运营结构的核心。文化,是将战略和人联系起来的桥梁。在该企业风险管理框架中,包括“定义期望的文化”、“展现对核心价值的承诺”、“吸引、发展和留住优秀的员工”等内容。企业通过定义其所期望的风险文化,来将对风险的态度具体化。对核心价值的一贯追求,能体现企业对风险本质的认识。优秀个体的吸收和培养,同样是文化建设必不可少的因素。
关于战略和目标制定。企业风险管理、战略制定和业务目标制定三者应共同发挥作用。首先,企业建立的风险偏好要与战略相协调;然后,业务目标应将战略付诸于实践;最后,业务应作为识别、评估和应对风险的基础。
关于执行。该要素是风险管理落地的核心。执行是一个具体的风险识别、分析、评价与应对及事后再评估的过程。具体来说,即是指,企业需要识别和评估可能会影响战略和业务目标实现的风险,并根据严重程度和风险偏好来确定风险的优先级。然后,企业选择风险应对方案,并以风险组合的角度预测风险总量。这一过程的结果应向主要利益相关者报告。
关于检查和修正。通过对风险管理执行情况的定期检查,企业应考虑企业风险管理的各要素在一段时间的运行情况,特别是出现重大变化时的运行情况,并及时发现哪些部分需要进行调整。这个要素的实现,需要评估企业的重大变化,这些变化可能是来自外部原因,也可能是来自内部原因。该要素还要求对整个风险管理体系的改进进行跟踪。
关于信息、沟通和报告。企业风险管理应建立流程,以便从内、外部渠道持续获取和分享信息,这些信息必须能够在整个企业得到全方位的沟通和传达。企业应在各个层级对风险、文化和绩效做出报告。报告的内容包括:风险整体判断、风险图谱、风险成因分析、敏感度分析、对风险变化的分析、KRI(关键风险指标)、趋势分析等。
关于全部的管理要素分析,可见