过去的金融危机还表明风险管理的功能在很大程度上被管理层所忽略。由于金融危机，虽然并未显示有相应的预算和人员匹配，风险管理还是在一定层面上受到了高层重视，也被提上企业的议事日程。可是一旦危机过去，风险管理功能的地位可能会再次下降。

    在中国风险管理和公司治理也是业内的热门话题。国资委自2006年出台《中央企业全面风险管理指引》后，近日又发布《关于2012年中央企业开展全面风险管理工作有关事项的通知》，要求央企健全风险评估常态化机制，防范风险。除央企之外，各类型的企业也纷纷学习并上马“风控”项目。可是怎样才能让风险控制真正发挥作用，而不是为了合规的摆设，这其中需要企业基于自身的业务发展特点，从制度、架构、系统和实践多方面进行工作。

    很多公司都已设立风险管理部门，也发布了一些制度。可是在合理的架构搭建，制度、架构和系统整合方面，还需要进一步努力。

    在风险治理、公司管制的内部机制设计和组织架构安排上，第一条就是控制内控环境。公司一开始怎么设计架构，然后架构中的权责怎么分配，已经决定了公司在风险管理和公司治理上将获得什么益处，遇到什么困难。

    据观察，虽然银行业危机显示了传统方法的缺陷，但是金融机构在风险控制和公司治理方面，和其他类型的企业相比，依然走在前端。因此本文将以中国平安保险（集团）股份有限公司为例，从金融企业风险管理和公司治理架构搭建的理论基础出发，探讨企业在此方面的关注重点和实际操作。

    风险管理

    ACCA在发布的《风险及回报》报告中探索推动企业规划和问责制的动力，聚焦需要被识别和管理的广泛风险。ACCA相信，尽管指引、标准和监督很重要，最终关键因素始终是公司的行为。因为这些将决定公司是否诚实地、有道德地、透明地采用了监管标准。

    对企业而言，良好的公司治理的关键环节之一是确保风险和回报之间有适当的平衡。在导致信用危机产生的一些大型金融机构里，这种平衡被证明是严重缺乏的。

    国外先进金融企业风险管理发展可称作“六部曲”，从最基础的合法合规、到损失控制、风险评估，再进一步进行到风险管理，最后两步是风险/回报优化和战略与风险整合。

    大部分知名企业还处于比较初级的前三步阶段，而众多的中小企业很多还在合法合规的泥潭里挣扎。

    一个负责任的企业所面临的挑战是要确保它所寻求的回报是在对其所面临的风险的合理管理的支持下的。而迎接这一挑战的关键是——企业如何管理他们所面临的风险以及他们如何衡量他们创造的价值。因此风险/回报优化对企业而言，其操作运营若得当，能增加长期价值，有助于建立更繁荣的社会。

    金融企业全面风险管理的理念是致力于“战略与风险整合”，风险以战略为导向，管控以风险为导向，并积极探索国际先进风险管理理念的发展趋势，搭建与业务发展相匹配的风险体系，寻求风险与收益的平衡，进而实现风险管理的价值创造。

    公司治理

    在公司治理方面，ACCA支持“遵守或解释”原则，但认为，这需要得到加强，以防范企业中产生“在盒子里打勾”的文化。公司治理是不断变化的，没有一套适用于所有公司的解决方案。例如大型金融机构和其他上市公司就很不一样。由于大型金融机构的运营会对其他企业和社会造成潜在的风险，需要对其有特别具体的立法。企业机构如此的多元化导致要找到共同的规则是困难的。但并不意味着没有共同点或可以相互借鉴的地方。

    ACCA认为进行公司治理主要有三大目的：

    第一，确保董事会能够代表公司全体股东的利益，保障公司资源安全，并根据公司要求和计划合理安排使用资源；

    第二，确保公司管理者能够履行应尽职责，维护所有利益相关方的合法权益；

    第三，确保股东及其他利益相关方能够监督公司董事认真履行职责，维护公司利益。

    企业家们应当负有确保企业受到监管的责任，这些监管是以鼓励信任和信心的方式存在。当一家机构关系到重大的公共利益时，其管理层应采取合理措施发布其公司治理实践上的相关信息。

    为此ACCA提出适用于全球所有企业和组织机构的公司治理和风险管理的十项基本原则，旨在呼吁全球各企业集团及相关组织机构能够正确实行公司治理，特别是在面临金融危机、遭遇经济低迷时更应如此。

    1.公司所有董事、股东及利益相关方都应明确公司治理的目的与范围。这项原则应成为所有组织机构的行为准则，同时也有助于消除目前大家对公司治理的误解。

    2.董事应以身作则，制定公司规范，并积极遵守。注重对员工道德品质的培养——公司董事应将培育企业道德与责任视为自己的一项职责。

    3.董事会应向管理层及委员会合理授权，包括制定明确目标、进行职责说明、确定管理结构和委员会组成、指定负责人、制定公司政策等。董事需了解自身优缺点，并经常审视自己行事是否正确。董事还应对公司管理层进行监督，确保其能够实现既定目标。

    4.董事在制定公司策略时，应充分考虑长期风险和回报因素。所有公司都无法避免风险，要保证策略的成功，就需要了解、接受、管理和应对风险。董事不能将风险管理的责任推给公司管理层去承担。董事需要时刻清楚公司所面临的各种风险，明确风险的可承受程度，适当时可向管理层查问情况。

    5.董事会应平衡各类关系。董事会作为一个团队，需要有非执行董事与执行董事的共同合作。专业的财务知识使董事们能够正确认识公司经营及相关风险的复杂情况。

    6.管理层薪酬应有助于提高公司经营业绩，并且需要透明化。这对公司是基本的挑战。管理层薪酬设计需要与个人表现挂钩，并进而能够促进公司业绩的提升。薪酬设计不当，将不能激励管理层，从而使管理层不能维护股东及其他利益相关方的权益。因此薪酬应与员工表现及岗位职责挂钩。

    7.公司风险管理和控制应客观地审视，并且独立于各级部门管理。公司内部与外部审计是实行目标评估与控制的重要依据，应该独立进行，不受管理层影响。

    8.董事会应对股东及其它利益相关方负责。董事需认真工作，尽力实现公司成功经营，并确保股东利益的合理分配。在股份公司，股东利益是第一位的，但如果能够综合考虑社会、环境、员工及其他利益相关方的权益，将更加有利于实现股东的长期利益。

    9.股东及其他重大利益相关方有权追究董事责任。股东及其他重大利益相关方应时刻关注公司经营，并要求董事会对公司的经营业绩、发展动态及财务状况负责。

    10.公司治理随时间推移而不断完善与发展。不同行业与地区的企业所处的环境也不同，其所面临的文化习俗、法律法规及执法力度都有差异。适合某类公司的治理规则不一定适用于其他企业。因此公司治理规则并不完备，需要进一步地研究与发展。

   
     平安的风险管理和公司治理的架构搭建

    “在金融企业中，强健的风险治理，可以使董事会的风险指令、偏好、授权转化为通过风险管理委员会确定的风险政策、风险限额、风险权限，在独立的风险管理职能部门的引领和监控下，各业务单位能执行风险限额、政策、措施，并且能保证董事会、高级管理层、业务部门和风险管理部门之间持续有效沟通，建立具有权威、授权问责的控制框架。”这段话可视为平安整体的控制框架搭建的指引。

    平安的独特之处在于其囊括了保险、银行、投资在内的所有金融业务。因此保险的风险、银行的风险、投资的风险都定位为单一风险，在监管过程中单一看待。在集团角度，则主要关注累计风险。此外还有其他诸如竞争对手等风险由于也在各业务单元存在，在集团层面就需要统一合并制定风险归纳。

    平安的管理层，包括整个董事会和首席执行官，都非常关注风险管控，尤其是战略风险。做好工作的核心是将战略与风险整合，相互配套平衡。战略是从上至下的。要把风险完全透明出来，以风险为导向，需要很多关注点，每一点都要保证不出问题。但这不容易做到。尤其对金融集团，信用风险、保险风险、运营风险这几块相对可控性较大，且有客观参照。而对战略风险影响最大的市场风险却难以预计。由于金融企业有其特殊性，其寻求回报的基础是代替投资者管理资产，所以平安投入很多资源，包括保险、银行、投资，在市场风险管控点里，尽量确保投资可控。可控是指所有计算之下，百年不遇的情况之下控制。对任何项目，也需评估其风险，若在风险容忍度之上就要放弃。只有这样才能保证投资者的利益，才能保证对市场总体的客观判断。

    先把自己做好，当遇到黑天鹅事件的时候，尽量降低所受影响。

    在战略和风险配套后，在企业内部要真正落到实处，非常重要的一点是财务部门和风险部门的关系。

    由于财务部门的特殊性，不少企业把风险控制归结由财务部门进行管理，或者干脆在财务部门里设置风险控制部门，财务总监分管内控、合规这些东西。这并不合宜，在不少国家也是完全不行的。现在不少企业增设首席风险执行官，其背后的原因就是体现独立性，不受内部跨部门影响。而风险职能部门与财务企划相关职能部门相对独立，只初步建立互动机制。风险职能部门从风险监控出发注重风险信息的报告与汇总，会导致业务战略制定中对风险的前瞻性预警考虑不全面，不系统。这种操作方式是比较落后的模式，但是不少刚起步做风险控制项目的企业还是会采用。

    根据平安的经验，风险和财务企划部门充分沟通，较佳实践是“双边”。“双边”指的是财务企划相关职能部门向风险职能部门提供业务发展规划等信息；风险职能部门向财务企划相关职能部门提供相关风险信息，比如对业务发展规划在不同场景下的对公司财务的影响。该管理体系的不足在于不能满足战略风险体系下的风险透明和管理。所以最佳实践是“整合统一”模式，即风险职能部门与财务企划相关职能部门密切沟通，信息共享；管理决策可依据全面的财务与风险信息，综合考虑风险和财务两方面的问题，确保公司业务目标与风险战略的一致性。这种联动才能及时有效地为管理层提供信息。

    信息沟通可以通过平台系统整合统一后共享，而在架构和职能上，则无论是风险还是合规，在平安的发展方向都是朝着与财务线完全分开的独立方向而去。如果把合规性、事前风险控制部门独立出来，公司设立风险控制委员会之类，对事前管控可以更加到位。但是在企业当中这部分做得不是很多，风险管控更多还在金融行业。

    而相关部门保持独立的重点在于不参与。但这并不表示他们可以无视企业整体发展模型和策略的驱动因素。相反相关风控部门必须非常清楚商业模型，要知道整个模型里面最重要的驱动力是什么，利润来源在哪里？他们要在模型里找到重点反馈给管理层。例如企业对某个不错的现有产品进行改进，改进后整个风险提高，而回报却没有增多。这类信息对管理层来说非常重要，是风控部门需要提供的。

    在公司治理方面，平安作为金融控股集团，受到银监会、保监会、证监会监管。现在保监、证监在国际上已经有很大的变化。而目前全球最重要的是需要统一标准，在市场上有一致的评价体系。

    保险业监管目前呈三大支柱体系。第一支柱是量化资本要求，聚焦于资产和负债的基于经济角度的完全市场一致性资产负债表，关注资本的质量和对损失的吸收性，投资组合的期限等。第二支柱属于定性的监管审核，包括内控及风险管理、功能要求、自有风险及偿付能力评估、监督审核、附加资本等，重点关注自有风险及偿付能力评估（ORSA）过程，以及全集团是否采用一致的风险管理定性和定量方法。第三支柱强调报告披露等市场纪律，属于市场约束，更多来自资本市场和评级机构的压力。包括透明度、披露、偿付能力和财务状况报告等。

    银行业的监管也是三大支柱。第一支柱是最低资本要求注重信用、操作和市场风险三大核心风险；第二支柱是风险管理和监管资本的监管审查和内部资本充足评估程序；第三支柱类同保险业监管，也是与加强报告披露有关的市场纪律。目前从巴塞尔新资本协议中显示银行业监管变化趋势是加强了对资本和流动性的要求。比如修订资本定义，提高银行资本的质量和资本结构的透明度；扩大风险覆盖范畴；引进并更新整体杠杆比率；提出前瞻性的拨备、资本留存及反周期超额资本以降低周期效应的影响；提出超额资本、应急资本以降低系统性风险；提出全球流动性标准等。中国银监会也据此提出对中国银行业新的监管标准，还要求建立贷款拨备率和拨备覆盖率监管标准。

    此外，作为平安集团的大股东之一的汇丰银行，也和平安在公司治理和风控方面进行了很多的交流，提供了很多的培训和知识支持。

    平安的监管治理体系搭建是以国家和全球要求为蓝本。基于做国际领先金融集团的愿景，平安的做法是集团控股，所有专业子公司自己做自己的事情，落实到监管方面就是分级监管。

    从架构图来看，平安已形成由董事会负最终责任、管理层直接领导，以相关专业委员会为依托，各职能部门密切配合，覆盖各专业公司及业务线的风险管理组织体系。

    平安风险治理架构的职责划分确保公司的各项业务所承担的风险在集团的风险容忍度之内，使整个集团的业务发展与风险战略能够保持一致。

    平安有四个不同的中心，财务中心、内控中心（负责风险等具体事宜）、行政中心和HR人事中心。不同中心通过各自渠道管控子公司的相应业务部门。每个子公司都有自己的审计与风险委员会，也有与其相对应的董事会，以体现每一个专业子公司的法人治理，集团作为控股股东不参加子公司的法人治理。但统一设立了集团风险监控委员会，还有独立的风险管理部，子公司也有风险管理部。他们之间是联动的，贯穿整个风险体系，在提升独立性的同时和在维护法人治理完整性的前提下，不同子公司与集团有上下的及时联动。

    此外，在风险管控和公司治理中，平安非常看重职业操守和诚信。其中诚信是没有任何商量余地的，同时需要与管理文化进行匹配。