2005年是中国金融业的“风险管理年”,包括银行在内的各类金融机构都在加大风险管理力度。自2005年10月中国证监会首次出台《关于提高上市公司质量意见》开始,到2006年5月17日发布《首次公开发行股票并上市管理办法》,这是首次对上市公司内部控制提出要求。6月5日上交所、9月28日深交所分别出台针对上市公司内部控制和风险管理制度的《上市公司内部控制指引》。德勤风险管理专家认为,上交所指引比《萨班斯法案》的控制过程更复杂,新增“目标设定、风险确认、风险管理策略选择”,尽管不像《萨班斯法案》已经上升到法律高度,但是其要求的内控框架更高。 国资委、银监会、保监会最近都动作频频。国资委2006年6月6日发布了《中央企业全面风险管理指引》,促进建立健全中央企业的风险管理长效机制。银监会从2004年底到现在连续公布《商业银行市场风险管理指引》、《商业银行内部控制评价试行办法》、《市场风险监管现场手册》以及最新《商业银行合规风险管理指引》、《银行业金融机构信息系统风险管理指引》,引导银行业加强公司治理,提高风险管理的有效性,应对银行业对外开放的挑战。保监会也即将出台包括《保险公司风险管理指引》等一系列规章制度,旨在推动保险公司建立一套实施风险管理的组织体系和程序化的管理方式。 可以说,偌大的一个风险管理市场即将应运而生,但是对于实行企业范围内的全面风险管理而言,并不存在一本类似菜谱的方法。风险管理的成功取决于企业文化、风险管理机构和风险识别程序。全面风险管理机制只有在健全的内部控制体系下,才能更好地实现目标。中国内部审计协会在2005年5月发布了第16号“具体准则—风险管理审计”,提出内部审计人员可以从企业整体和职能部门层面上对风险管理进行审查和评价。内部审计人员比较熟悉企业的生产、经营管理等活动,容易发现问题,并有能力参与评估企业存在的风险。结合李金华审计长2006年提出的把内部审计作为一个控制系统,在企业管理尤其是风险管理、内部控制以及公司治理方面,突出内部审计在公司运营中的地位和作用,定期对公司的风险管理过程进行评价和报告,增强风险意识,保证各项风险管理措施不会出现“说的时候重要,做的时候次要,忙的时候不要”这种情况的发生。