医药企业的风险管理体系构建
摘要:面对错综复杂的经营环境,风险管理成为越来越多企业赖以生存与发展的重要基石。近年来,随着国家宏观经济结构调整,药品供应领域改革继续深化,健康消费继续升级,医药行业面临的监管趋严;笔者长期从事内控与风险管理的实践工作,通过构建和推进集团公司的全面风险管理体系的有效运行,不断增强集团公司管控风险的能力与水平。
关键词:医药行业;风险管理;体系构建
一、相关背景介绍
集团ฝ公司是一家老牌上市公司,主业为药品的生产制造,长期经营中逐步构建了集药品生产经营(工业、批发、零售)、诊断技术、医疗服务、大健康服务为一体的产业结构,品牌价值持续提升,涉及的子公司分布在全国各地。伴随多元化发展进程,经营中面临的风险也在加大,制约集团良性成长的短板和瓶颈有待实质性突破,如何一手抓发展,一手防风险,真正做到稳健经营、协调发展呢?对此,董事会提出“转型升级促发展”战略目标,围绕经营纲要,集团审计部门的工作职能也由“合规性”审计向“合规性+风险管理+价值管理”审计转型,在查错纠弊的同时,以内控与全面风险管理体系为抓手,创新风险管理的工作流程与机制等,实施中注重匹配性原则,并寻找风险与收益的平衡点,不断夯实全面风险管理体系,为公司转型升级目标❅和高质量可持续发展助力护航。
二、如何构建集团公司的全面风险管理体系
2017年,集团公司设立风险管理委员会(以下简称“风委会”),作为公司下设的专业委员会,并设立首席风控官,风险管理委员会下设风险管理办公室(以下简称“风险办”),常设机构在审计部,负责公司风险管理委员会日常工作计划、协调、联络、会议组织等工作。在集团风委会指导下,审计部以“建体系、明责 シ任、识风险、防危机”的基本方法,在系统学习了行业内COSO风险管理框架、内部控制规范等理论基础上,结合实际启动了全面风险管理体系的建设工作,并在“构建架构、制度保障、管理流程、运行机制和文化宣贯”上寻找着力点和落脚点,以建模思维形成了一套完整规范的管理表单、流程等,并在实践中总结提高,将风险管理工作融入到日常经济活动中,促进公司在平衡中发展,在发展中壮大。
(一)构建全面风险管理组织架构,明确分级责任
1.精心设计,筑牢风险管理五道防线
2017年,根据集团公司管控现状,结合行业特性,集团本部的全面风险管理建立了五层架构,包括:董事会、风险管理委员会(首席风控官)、风险管理办公室、风险互控部门(专业职能部门)和风险自控部门(各职能部门和业务单元)在各自的职责范围内履行风险管理职责。同时,全面风险管理实行分级管理的五道防线主要划分为两个层次,本部管控层面、所属子公司管控层面。2018年,在本部风险办组织下,各子公司组建了自身的风险管理机构,确定全面风险管理工作的“一把手负责制”,明确总经理、分管领导、风险管理职能部门和专职人员、对接人员等;同时,各子公司将其风险管理机构的人员名单报集团公司本部备案,接受集团本部的统一管理、指导、检查等。
2.深化共识,明确各道防线管理责任
集团风险办作为全面风险管理的统筹机构,负责风险管理工作的计划、协调、组织、检查、督促及报告等。本部层面,明确第一道防线为风险的所有者(即风险源),是风险防控的主体,力争通过第一道防线强化自控解决95%以上的问题,各风险责任主体的负责人及分管领导始终为第一责任人;同时,全面风险管理工作不仅是单个部门的职能,各部门、特别是专业互控部门要在整体框架下,强化整合和协同,将风险自控与互控相结合,做到风险管理无盲区、全覆盖。所属子公司管控层面,各子公司在本部风险办指导下,参照本部的管理原则划分相关职能机构的风险责任,实行董事长或总经理的一把手负责制。
(二)制定全面风险管理✌相关制度,指导实践
为建立有效的全面风险管理体系,单位制定了10多个内部管理办法来指导、保障实际工作。例如2017年组织印发了《风险管理委员会议事规则》、《全面风险管理制度(试行)》;2018年印发了《风险信息动态监控与评估细则》、《经销商或代理商商风险监控与评估细则》等;同时,结合突发危机情况,修订了《危机管理办法》并配套出台《外部质量危机应急管理预案》等多个专业管理预案,从而完善公司对突发危机事件的管理。
(三)健全全面风险管理工作流程
1.理顺思路,建立和完善全面风险管理的基本流程
实践中,单位开展全面风险管理的基本流程是由初始信息搜集、风险评估、制定风险应对策略、制定并实施风险管理解决方案、监控与改进等五个环节构成。
2.与时俱进,摸索和固化风险管理各环节的具体流程
(1)风险信息数据库的管理流程。风险识别是开展风险管理工作的首要环节,风险办每年定期印发各公司风险管理工作的通知,组织责任部门或单位实时监测各自的风险信息,设计规范的表单进行报送,建立了各公司的风险信息数据库,并不断更新。
(2)年度风险事件简报的管理流程。在收集风险信息过程中,发现前期已发生的对公司有不利影响的风险事件散落在各部门,因人员流动或时间长后很容易被遗忘,不利于防微杜渐。对此,风险办设计了专门的表单,组织本部和各子公司定期报送已发生的风险事件,要求建立各自的已发生风险事件台账,风险办定期汇总当年的风险事件信息并进行分类,提出奖惩意见,形成《年度风险事件简报》报风委会审议,再报公司领导审批,通过简报这个载体实现了信息的上传下达,将决策、经营、监督有机衔接,督导各级人员重视风险事件带来的后果。
(3)某某领域的专项风险评估管理流程。针对公司经营的关键环节和重点领域,为有效识别和评估出重大风险信息,风险办通过联合专业互控部门等,贴合业务实际设计专项风险评估调查问卷,并组织各层级人员评估打分,汇总评分结果,出具《某某专项风险评估报告》,按流程报风委会及公司领导审批,再根据批示意见落实反馈。
(4)年度全面风险管理工作报告流程。次年初,风险办总结上年度的风险管理工作,分析上年度已发现的重大风险信息及应对措施、风险管理中的问题及建议、本年度的重点工作计划等,出具《年度全面风险管理工作报告》,按流程报风委会及公司领导审批,再根据批示意见落实反馈。
(5)风险管理的季度/年度绩效考核流程。风险办联合公司具有绩效考核职能的专业部门,定期下达年度或季度的风险管理工作绩效要求,明确考核标准,风险办侧重考核日常风险信息报送的及时性和质量,年度则对漏报、瞒报及风险管理中的不作为行为加重考核,并反馈至绩效管理机构,绩效管理机构再综合被考核对象已发生的风险事件影响程度和风险办反馈的信息综合打分。
3.创新建模,统一和规范风险语言及标准,加强风险信息的分级管理
(1)统一风险语言,规范风险描述、发生可能性、影响程度等内容;风险办在组织风险信息监测及报告过程中,创新设计日常风险信息报送的管理表单、报告等模板,实现统一管理。明确标准,在风险识别基础上,综合运用风险评估工具、技术和方法,强化风险分析工作,从风险发生的概率和影响程度评估分级,分为一般风险、重要风险和重大风险。
(四)创新全面风险管理工作运行机制,提升管理效率
1.建立和完善本部层面的全面风险管理工作机制
(1)风险办组织开展公司的风险“体检”工作,创新运用风险监测、专项风险评估、风险排查及自查报告等方法,充分揭示现阶段的风险,建立和更新风险信息数据库、已发生风险事件台账,涉及的信息达千余条;遇有重大风险须立即按条线上报,并适时向公司领导同步报告,以确保安全平稳运营。
(2)风险办组织对各部门风险管理工作开展联合审查、监督跟踪与持续报告,近三年不定期出具《风险审查报告》、《重大风险跟踪简报》、《重大风险阶段性总结报告》等,报风委会及公司领导审议,并根据批示意见予以落实,督促改进。
(3)风险办组织召开全面风险管理推进工作总结会议、专题会议等,传达风险管理要求和责任,形成上下联动机制。
(4)风险办对各部门风险管理工作持续监控与考核,对风险信息漏报、错报、瞒报行为进行处理;定期考核,对于风险事件,公司视情况强化激励与问责,不断提升管理。
2.建立和完善子公司层面专项风险监控与评估的工作机制
2018年,风险办通过联合本部的品牌、质量等专业部门搭建了子公司重点风控环节的监控与评估机制,扩充风险信息监测范围,形成“线下♚审核、线上报送”的流程,建立和更新了各子公司的风险信息数据库、已发生风险事件台账,涉及的信息近千条;遇有重大风险立即上报,在本部专业课部门统一指导下开展应对管理。
(五)培育全面风险管理文化,强化意识
集团公司领导高度重视风险管理工作,在设机构建队伍、优化风控环境等方面给予了极大关注和支持,一是切实加强风控队伍建设。近年来,集团公司各部门、子公司均设立了兼职的风险管理专员,风险办增设了风险管理专职岗位编制,并组织专职人员参加外部咨询机构的理论与实操学习,编写印发《专项风险管理实施指引手册》及制作各类宣传材料,由风险办的专职岗位人员指导和帮助兼职人员开展具体的管理事项,使风险管理团队的实力不断增强,人员结构更加优化,为有序开展风险管理工作打下坚实基础。二是优化内部风控环境。集团公司董事会印发了《关于防风险促转型的指导意见》,每年度组织召开公司的年度风控工作总结,与集团本部层面的各部门负责人、子公司负责人签订《年度风控管理责任书》,强化风险管理责任;风险办定期组织开展有关风险联合宣讲、专题培训,并辅以宣传展板、线上考试、知识竞赛活动等,极大地促进了工作的顺利开展,有效营造了风险管理文化氛围。
三、存在的问题及未来展望
在探索构建集团公司全面风险管理体系过程中积累了宝贵的经验,也存在不足之处,目前仍处于边摸索边总结阶段,例如部分风险揭示不够深入,风险应对的管理措施还有待完善,全员风险管理意识仍有待增强,全面风险管理的成效还需进一步提升,公司各类管理体系之间也有待整合、深化完善等。全面风险管理体系的构建不是一蹴而就的,而是一个长期、系统工程,只有各项核心要素与支撑性要素之间水平匹配,协同运行,方可使风险管理体系稳定运行。查理.芒格说过“宏观是我们必须接受的,而微观才是我们可以有所作为的”,未来我们要把创新作为履职的动力源泉,以公司战略目标和经营目标为导向,着力围绕风险管理制度设计与建设、体系运行机制、管理模式等持续创新。主要从以下方面展开:一是,立足全覆盖,创新风险管理工作机制,努力将风险管理从一个点延伸到整个面,实施更加精准有力的风险管控,使短期目标与长期目标相结合,做到风险无死角,无盲区。二是,强化风险监测、风险审查等,在风险揭示中不断促进责任部门或单位应对防范能力的提升;通过风险报告加强上传下达,获得公司高层管理团队的指导和支持,把握工作重点和方向,深入推进,切实发挥防控风险的职能。三是,尝试开展风险管理信息系统的建设,实现风险信息共享机制;整合内部控制和风险管理两大体系,完善基于风险导向的内控体系建设;充分利用信息系统之间的可集成性,将内控与风险管理融入现有的业务流程中,提高管理体系运行的效率和效果。
四、结语
面对新机遇、新挑战,全面风险管理体系就像为集团公司打造的一件“软猬甲”,在激烈的竞争环境中能幸运抵挡或避开各类风险的袭击,把风险控制在可控范围内,合理保证经营目标的实现;同时,在经历风险后依然能蓬勃发展,并在发展中提质增效。