為進一步貫徹落實《中央企業全面風險管理指引》(以下簡稱《指引》),推動中央企業開展全面風險管理工作,最近,國資委企業改革局在京召開“企業全面風險管理年度報告研討會”。30戶中央企業負責企業風險管理及內控機制建設的部門負責同志,共50名代表參加了會議。會議學習借鑒了發達國家政府監管機構對企業風險管控披露的有關法規,分析了國內外大型企業在風險管理、內部控制披露方面的典型案例,結合實際,對國資委要求中央企業上報《企業全面風險管理年度報告》(以下簡稱《報告》)的必要性和可行性,《報告》的結構和框架、內容等問題進行了研討。
與會代表認為,國資委要求中央企業上報《報告》很有必要。《指引》印發以來,各中央企業高度重視,普遍開展了學習、宣貫、培訓等工作,已經有部分企業開展風險管理工作,並取得了一定成效。但總體看,仍有一些企業處於觀望狀態。從以往的情況看,一項新的管理制度得以實施,外部的推動非常必要。美國政府要求所有在美上市公司必須建立有效的內控體系,靠的是《薩班斯法》的嚴格要求。如果沒有《薩班斯法》,只靠COSO委員會發佈的《COSO內部控制整合框架》,在美上市公司則不會自覺自願地開展內控體系建設。《指引》印發後,國資委已經開展了系統的宣貫、輔導和培訓,取得了較好的效果。如果國資委下一步要求中央企業報送《報告》,則必將對中央企業開展風險管理起到有力的推動作用。
代表們認為,國資委要求中央企業報送《報告》,與國內外有關監管機構要求企業向股東或者擬投資者披露風險管控信息的做法一致。從國際上看,美國、加拿大、法國、日本、新加坡、馬來西亞等國家政府有關監管機構都有相應的法案或條例(準則),要求董事會或管理層必須向公司全體股東披露公司治理結構、風險狀況、風險管理政策、內控體系建設、合規監控等信息。從國內看,我國證監委、上海證券交易所、深圳證券交易所、香港聯交所、台灣財務監管委員會也有相應的規定,要求上市公司必須加強內控建設、風險評估,加強外審對內控的審計和評估,並且要公開對外界披露。因此,國資委要求被監管企業提供《報告》,是履行對中央企業出資人職責的體現。《指引》第四十五條也明確規定,董事會“審議並向股東(大)會提交企業全面風險管理年度報告”。
代表們認為,國資委要求中央企業報送《報告》,除了作為推動企業開展風險管理的一個手段之外,《報告》還可以作為國資委了解和掌控中央企業風險狀況和風險管理情況的重要載體,為國資委決策提供依據。對於一些重大風險隱患,可以及時採取措施,避免出現重大風險損失事件。對於企業來講,可以變壓力為動力,儘快啟動風險管控體系的建設,有效控制企業風險,進一步提高企業管理水平。
代表們建議,《報告》內容應當簡明扼要。先啟動,將來逐步規範。可視情況,第一年度,可選擇部分中央企業進行試點,總結經驗後,第二年度再全面推開。《報告》至少應當包括:《指引》下發後企業所做的工作、對企業目前存在的風險進行評估、風險管理組織架構、已經實施的風險管理流程、本年度已經發生的重大風險損失事件、現有的風險管控制度和措施、是否存在重大風險管控缺陷、下年度可能發生的風險及其可能給企業帶來的損失、下一年度風險管控改進措施等。