《指引》是从风险管理体系角度出发,形成由风险战略、风险管理组织体系、内部控制、风险理财及风险管理信息系统五个模块组成的全面风险管理体系。
(1)风险战略
风险战略是指导企业风险管理活动的指导方针和行动纲领,是针对企业面临的主要风险设计的一整套风险处理方案,企业的风险管理活动将围绕风险战略展开。
企业根据自身条件和外部环境,围绕企业发展战略,确定企业的风险偏好或风险承受度,以及风险管理有效性的标准,然后选择风险承担、风险规避、风险转移、风险转换、风险分散、风险补偿、风险控制等适合的风险管理工具,并确定风险管理所需人力和财力资源配置的原则。
(2)风险管理组织体系
风险管理组织体系,是风险战略落实与计划执行的有力保障。通过合理的组织结构设计和职能安排,可以有效管理和控制企业风险。
(3)内部控制
内部控制系统,指围绕风险管理策略目标,针对企业的战略、规划、投资、市场运营、财务、内廊审计、法律事务、人力资源、物资釆购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理和其中的重要业务流程,通过执行风险管理基本流程,制定并执行的一系列的规章制度、程序和措施。
内部控制活动是风险管理的关键环节之一,是风险管理实际操作的核心,内控体系的完整性、准确性和有效性直接决定具体风险管理的效果。
①内控体系的标准。风险内控有标准、部门有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核。在这样的标准下设计的风险内控体系,要做到覆盖事前、事中、事后各个风险管理关键环节。
②内控体系的基本要素。一个完整的内控体系包括五项要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。
③内控体系的基本框架。一个完整的内控体系包括:内部控制组织体系、内部控制岗责体系、内部控制业务流程和管理流程体系、内部控制工具体系和内部控制考评体系。
(4)风险理财
风险理财是指企业运用金融手段来管理、转移风险的一整套措施、政策和方法。
在全面风险管理框架中,风险管理的手段一般有:风险自留、风险规避、风险控制和风险转移。其中风险规避、风险控制手段可以改变风险可能性或损失程度,而风险自留、风险转移属于金融手段,是风险理财的基本策略。它们的特点是,并不改变风险本身,既不改变风险的可能性,也不改变可能的损失程度,而是为风险进行融资。因此,从风险理财角度来看,企业的风险大致可分为两大类,即留存的风险和转移的风险。也就是说,企业风险等于留存的风险加上转移的风险。企业风险理财决策,就是在风险全部留存与风险全部转移之间寻找一个使企业风险最优化的平衡点。风险理财的手段有很多种,如期货、期权、保险、金融衍生工具组合等等,最常用的保险就是将企业不易于控制或者是控制成本过高的人身安全风险等转移给社会专业机构来负担。
(5)风险管理信息系统
风险管理信息系统是传输企业风险和风险管理状况的信息系统,其包括企业信息和运营数据的存储、分析、模型、传送及内部报告和外部的披露系统。
企业应当将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统的各个环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。
风险管理信息系统为风险管理的全过程提供及时、准确的信息。环境的多变、决策的日益复杂、机会的稍纵即逝都要求提供及时、有效、准确的信息,风险管理信息系统是提高风险管理效率及可靠性的重要保障,为企业各部门之间的风险沟通架设桥梁。风险管理信息系统为量化风险提供计算服务,并且可根据管理层的要求就某一事件进行情境分析。此外,有关风险管理的数据库也保存在系统之内。风险管理信息系统也是风险控制和企业风险管理战略的载体。以信息技术为基础的信息系统使一些适于自动化的管理流程必须通过系统才能得以实现,避免了人为错误,增强了控制程度,并提高了管理效率。信息系统的建立是对所有体系建设和运行的综合,是公司风险管理的集中体现。
