20152风险管理及内部监控的新时代.pdfVIP

2015年 2月 风险管理及内部监控的“新时代” ——香港联交所《企业管治守则》修订 2014年 12月 19日，香港联合交易所有限公司（简称“联交所”）发布了《检讨企业管治守 则及企业管治报告：风险管理及内部监控的咨询总结》 1 （简称“《咨询总结》”），确认经获取 市场的广泛支持后，联交所将修订《企业管治守则》（简称“《守则》”）及《企业管治报告》。 本次修订的内容主要为“强调风险管理的重要性”、“界定董事会与管理层的角色和责任”以及 “在设计、实施和监控风险管理及内部监控体系中的部分具体要求，由建议最佳常规（即属自愿性 质）提升至守则条文（即不遵守就必须做出解释）”、“强调设立内部审计职能的必要性”，从而 系统性的强调了董事会对风险管理和内部监控“过程与机制”的关注。经修订的《守则》将适用于 2016年 1月 1日或之后开始的会计期间。 这一通知，迅速受到了已于、或将赴香港上市的公司的关注，同时由于市场监管要求对公司管 治体系的标杆作用，引起整个风险管理和内部监控业界的讨论。本文结合联交所配发的《常问问 题》 2 ，对企业的风险管理与内部监控体系有如下建议： 1. 董事会、管理层应各司其职，明确各自责任。 根据《守则》中的描述， ? 董事会确保负责评估及厘定发行人达成策略目标时所愿意接纳的风险性质及程度；具体确 定整个组织的风险偏好； ? 董事会确保公司设立及维持合适及有效的风险管理、内部监控系统稳健妥善而且有效，以 保障股东的投资及公司资产； ? 董事会应监督管理层对风险管理及内部监控系统的设计、实施及监察； ? 管理层具体负责建立企业的风险管理和内部监控体系，并负责实施和持续监控；同时向董 事会提供这些系统是否有效的确认。 根据在实际工作中的观察，仍有较多企业尚未落实各自角色的责任，例如管理层作为执行角色 去机械执行由董事会拟定的风险管理制度，“做好企业风险管理是风险管理职能部门的责任”在很 多企业仍然是普遍的看法等等。我们建议在“风险管理三道防线”的基础上，继续按上述原则在第 二道防线内部明确董事会与高级管理层之间的责任，在第一道防线中层层落实各级管理人员对风险 管理与内部监控的主要责任。 2. 系统性建立企业风险管理和内部监控体系后，应建立对“风险管理及内控系统的有效 性”的持续监督和例行检查机制。 《守则》中强调董事会应持续监督发行人的风险管理及内部监控系统，并确保最少每年检讨一 次发行人及其附属公司的风险管理及内部监控系统是否有效，相关内容由建议最佳常规提升至守则 条文。我们建议企业可以考虑， 1) 定期根据内外部环境变化情况，开展风险识别与评估。 ? 需考虑不同层次，如公司层面风险评估及各业务单元层面风险评估，定期根据内外部环 境的变化情况，来识别、评估风险变化情况； ? 需考虑不同阶段，例如在公司战略或业务经营策略与管理模式的制定阶段，应该开展风 险的识别与评估，以便提供决策参考，在战略及新的管理模式实施阶段，应该定期识别 和评估其情况； ? 需考虑不同风险类别，如涵盖财务风险、运营风险、合规风险等。 2) 管理层针对识别的风险制定关键控制措施，并设置合适的测试程序和自我评估机制，对控 制的执行情况实施自我评估； 3) 内部审计职能对组织的风险管理情况，如关键控制的实施情况等开展独立检查； 4) 基于前面各种检查工作，具备条件的“进阶”型企业，可尝试将持续监控 3（Continuous Monitoring）与持续审计（Continuous Auditing）进行结合。即管理层识别对业务效果和效 率达成较为重要的一系列关键控制点，利用信息技术实施自动化的测试，来确定这些控制 点是否恰当运行，从而实现对业务的持续监控；若在持续监控中出现非预设情况，将触发 内审职能开展对应的系列行动（当然内审职能也会对管理者设计的持续监控体系本身的有 效性、合理性进行审计），因此持续审计是一种以更加频繁的方式来自动执行控制和风险 评估的方法，实现审计的实时性（或近乎实时性）、关键控制点覆盖的充分性（对 100% 的交易进行审计），并紧密与管理行为（如行为监控，绩效考核指标和企业风险管理框 架）结合在一起。 5) 对重大风险，可尝试建立关键风险预警指标（KRI，Key Risk Indicator）体系，通过量化 的方式对风险进行监控。KRI 是近年的一个热点，但在实务之中也经常遇到一些困难，例 如：重要风险并没有恰当的可量化的风险信号、选定指标的过程和方法不合理、预警区间 确定不科学、现有业务系统和数据质量不高、不能实现自动化的监控等等； 6) 可考虑将持续监控和对应的持续保证