自金融危机以来，风险管理与控制日益成为学术界和实务界高度关注的一个重要问题。但目前相关文献主要集中在风险管理制度的建设与运行、风险管理与内部控制的关系等方面，还鲜有对风险管理的机构设置与信息披露展开研究。风险管理机构主要是指董事会中的风险管理委员会及其内设机构。风险管理委员会是上市公司风险管理体系的决策层，在董事会授权下开展工作，主要负责风险识别、风险防范、风险控制与风险转化等。部分企业还会设置独立的风险管理内设机构，以保障执行。这两层机构的设置及其履职履责情况，对于企业的风险预警和可持续发展都具有重要意义。鉴于此，笔者对我国上市公司（2011年1392家、2012年1408家）年报中披露的风险管理机构设立和履职披露进行了数据采集，以此分析我国上市公司风险管理机构设置与信息披露现状，并提出几点改进建议。

一、上市公司风险管理机构设置现状

（一）风险管理委员会的设置

结合2011年和2012年上市公司的年度报告对我国上市公司风险管理委员会的设置情况进行分析，结果表明，我国企业对风险管理的重视程度有待提高。具体来说：（1）从风险管理机构设置情况来看，2011年有76家公司成立了风险管理委员会，占总体的5.46%；2012年设立风险管理委员会的公司增至89家，占总体的6.32%。（2）从风险管理机构设置的独立性来看，2011年有49家公司属于独立设置，占总体的3.52%；2012年有56家公司属于独立设置，占总体的3.98%。笔者对是否独立设置风险管理委员会的判断标准是：考虑到现阶段对风险管理的界定往往是与内部控制、关联交易相联系，因此，若某公司的风险管理委员会是与内部控制、关联交易合并设立，则判定为独立设置；但若与薪酬委员会、提名委员会、战略委员会等与风险管理职能不直接相关的委员会合并设立，则判定为非独立设置。由以上分析结果不难得知，虽然风险管理是业界的热门话题，但能够在董事会下设置风险管理委员会的上市公司却相当少。

（二）风险管理内设机构的设置

结合2011年和2012年上市公司的年度报告对上市公司风险管理内设机构的设置现状进行分析，结果表明，我国上市公司对风险管理工作的组织和实施还缺乏普遍性。具体来说：（1）2011年有62家公司成立了风险管理内设机构，占总体的4.45%；2012年有65家公司设置了风险管理内设机构，占总体的4.62%。（2）个别公司虽然没有在董事会中设立风险管理委员会，但在公司管理层组建了风险管理内设机构。（3）风险管理内设机构的名称存在较大差异，比如风险管理领导小组、风险管理部、内部控制与风险管理部、审计与风险管理部等，其职能皆与风险管理专业委员会相对应。此外，不排除设有风险管理内设机构但没有对外披露的情况。

二、上市公司风险管理信息披露现状

（一）从披露数量看上市公司的风险管理信息披露

1.行业分布

（1）从总体来看，2011年有109家上市公司对风险管理进行了信息披露，占总体的7.83%；2012年有118家公司进行了信息披露，占总体的8.38%；信息披露的公司数大于风险机构设置数，是因为部分公司仅有信息披露而无风险机构设置。（2）按照中国证监会2001年4月公布的《上市公司行业分类指引》标准，笔者将所有公司划分为13个行业。其中有38家金融企业在2011年全部进行了风险管理信息披露，是风险管理最好的行业，这与金融业的风险特性和行业法规约束有关。如《商业银行操作风险管理指引》要求商业银行建立与其业务性质、规模和复杂程度相适应的操作风险管理体系，从而有效地识别、评估、监测和控制（缓释）操作风险。又如《证券公司监督管理条例》要求证券公司按照审慎经营的原则，建立健全风险管理与内部控制制度，防范和控制风险。就其他行业来说，有32家制造企业在2011年进行了风险管理信息披露，但仅占该行业上市公司总数的4.42%；有12家交通运输类公司和9家房地产公司进行了风险管理的信息披露，分别占该行业上市公司的18.46%和8.82%。2012年制造企业增加了5家公司，农林畜牧渔业、建筑业、批发零售业以及综合业各增加了1家公司。以上分析表明，金融业对风险管理活动普遍给予了高度重视，其他行业则对风险管理活动及其信息披露具有较大的选择性。

2.地区分布

笔者依据公司注册地进行统计，以识别上市公司对风险管理信息披露的选择性是否受到市场化程度的影响。分析结果表明，2011年的地区分布与2012年基本一致，以下仅以2012年为例进行具体分析：（1）东部地区有88家公司对外披露了风险管理信息，占披露总数的74.58%；其中，分布在北京、上海和广东的上市公司有75家，占东部地区总数的85.23%。（2）中部地区有13家公司披露了风险管理信息，占披露总数的11.02%。（3）西部地区有17家公司披露了风险管理信息，占披露总数的14.41%。这表明，处于东部地区的上市公司比中西部地区更为重视风险管理信息披露。

3.市场分布

对沪深两市上市公司的风险管理活动信息披露情况进行分析，结果表明，无论从披露数量还是披露比例来看，沪市上市公司的风险管理活动都要好于深市上市公司。具体来说，2011年沪市披露风险管理信息的上市公司有83家，未披露的有839家；深市披露的有26家，未披露的有444家；2012年沪市披露的增加到89家，深市披露的增加到29家。原因在于上海证券交易所拥有较多的金融企业和国有中央企业，这些上市公司往往受到国资委、财政部、审计署等相关部委的监管和约束。由于拥有比较完善的外部约束机制，有助于促使其管理层更为重视风险管理活动。

（二）从披露内容看上市公司的风险管理信息披露

笔者通过对2012年风险管理活动信息披露中的履职情况进行分析，结果表明：（1）有56家上市公司对主要的履职内容进行了信息披露，占总体披露的47.46%，包括风险管理制度与体系的建立、风险管理工具、风险管理方法等，这些风险管理活动是相对可知和比较清晰的。（2）有31家公司仅对履职情况做了简要披露，占总体披露的26.27%，基本缺乏对具体履职活动和完成情况的可信描述，其信息含量比较少。（3）有31家公司没有在履职情况中对风险管理活动做出说明，占总体披露的26.27%，只是简单列示了是否设立风险管理机构等格式化内容，这些履职披露基本上没有信息含量。所以，总体来说，我国上市公司在风险管理活动方面的履职履责与实际担当是值得担忧的。

三、改进建议

针对我国上市公司风险管理机构设置与信息披露的现状，笔者提出以下几点改进建议：

1.建议加大对因风险管理信息披露不善而导致财务舞弊公司的惩处力度。风险管理信息披露具有预警性，因而容易被管理当局隐瞒，以至于侵犯了投资者的知情权。譬如，上市公司本应在报表附注中对重要的风险管理措施进行说明，但很多公司却仅列示了报表项目的增减变动，而没有对这些数字变化的真实原因做出文字说明，更没有对潜在风险及风险应对策略做必要解释。这会使公司内外出现严重的信息不对称，进而可能导致投资者误判和错误决策。如若能增加惩戒成本，则有望抑制舞弊行为，进而改善信息透明度。

2.建议重视注册会计师对风险管理信息披露的外部治理作用。可以在内部控制审计的基础上增加对风险管理活动的审验要求，这将有利于提升企业的风险管理意识和风险控制能力。现行的内部控制审计指引并没有对全面风险管理做出明确规定，因此注册会计师对风险管理活动的关注度比较低。若能在制度上加强注册会计师对公司风险管理活动的治理责任，则有望增强上市公司对风险管理活动与信息披露的重视程度。

3.建议督促上市公司完善风险管理的机构设置，并在治理结构中建立多层级的风险责任机制和责任追究机制，以增强风险管理的预警作用，切实提升风险管理对公司价值的贡献。■

（本文受到博士后科学基金特别资助<2013T60039>的支持，本文作者曾雪云系全国会计领军<后备>人才学术类五期学员）

责任编辑 刘黎静