风险管理体系论文合集12篇
风险管理体系论文篇1
■实施内部评级体系离不开完善共享数据库等基础设施
■任何脱离现实的硬性与国际风险管理惯例接轨的做法都只能形成障碍。
在现代商业银行经营管理中,风险管理处于核心地位,风险管理能力实际上构成了银行核心竞争力的主要基础。衡量一家银行的关键主要是看其能不能驾驭风险,能承受多大程度的风险,如何通过所具有的组织框架来认定、判断、识别和管理风险。
从目前的实际情况看,中国银行业的风险管理体系基本属于失效的风险管理体系,不论是解决目前的风险还是应对未来风险环境的挑战,商业银行风险管理体系都存在严重的先天不足,特别在以下4方面面临着现实抉择。
风险管理方法:艺术还是科学?
银行的风险管理在目前仍然被认为只是一门艺术,而尚未发展成一门真正的科学。这是由目前通行的风险管理技术本身所决定的。然而,巴赛尔银行监管委员会所倡导的内部评级法是一种依据过去而预测未来的基于统计的方法,而由于管理环境和经济基础条件的持续性变化,以过去的数据为基础并不能对未来进行准确的判断,甚至还可能造成误判。
代表了目前国际银行业较为先进风险管理水平的内部评级法,旨在通过风险敏感度更高的监管资本要求来影响银行的行为,促使银行强化风险管理能力,从而增强整个银行体系的安全性与稳定性。在设计内部评级法的过程中,巴赛尔委员会借鉴了国际银行业近年来开发的多种现代信用风险管理模型的经验,即在对信用风险的处理上采用风险价值的基本思想。具体来讲,就是运用VaR来确定监管资本要求和在资产组合层面上处理信用风险,并在风险权重函数、期限调整因子的确定、风险集中度的调整以及风险要素的估计等方面广泛地运用了这些模型的理念。
内部评级法体现了国际银行业风险管理的发展趋势,具有如下特点:
■从定性分析转向定量分析;
■从计分卡向模型化转化,并寻求二者的有机结合;
■从单项贷款分析转向组合分析;
■从盯住账面价值转向盯住市场价值;
■描述风险的变量从离散型转向连续型;
■尝试考虑宏观周期对信用风险的影响;
■广泛汲取相关领域的最新研究成果,如保险精算理论、神经网络理论等,并结合运用计算机大容量处理技术。
国际银行业开始大量开发、使用并依赖于各种风险模型以识别、衡量并管理风险及进行决策始自于上个世纪70年代,经过30多年的发展,风险模型已经广泛应用于企业风险管理、经济资本与监管资本配置、银行系统信用风险、信托资产管理及内部获利能力等方面的衡量,并且发挥了一定的作用。但现有的模型也显示出了一些缺陷和不足之处。
特别要指出的是,风险管理模型本身并未将金融业变成一个更安全的世界,甚至可能带来模型风险。
任何分析工具都是人类智慧的产物,它们都试图通过有限变量的模型来描绘真实世界。但一个模型可能会抓住它所描绘的真实世界的大部分特征,但也可能同时会忽略掉一些重要的内容,而且模型还可能会逐渐改变市场行为,从而使模型本身失去作用。
国内外的研究表明,在模型应用的实践中,当银行的经营者使用模型不当、或依据了错误的数据估计或夸大了模型解释能力时,有可能会导致银行信誉与获利能力水平严重恶化,这种现象被学界和业界称为模型风险。
这一现象包含了两方面含义:一方面,就现有的模型能力和现实世界的复杂性来看,由于真实世界要远远复杂于任何我们能够创建的用以描述它的数学模型,因此我们有可能采用不恰当的模型来描述真实世界的风险。另一方面,即使我们选择了正确的模型,但由于数据过时、出现偏差和错误,实际业务也可能与模型的前提假设相互脱离从而造成银行操作中的模型风险。巴赛尔银行监管委员会成立的模型工作组对10国集团国家商业银行内部评级体系现状的调查表明,国际银行业主要有三类评级过程:基于统计方法的评级过程;部分基于专家判断的评级过程;完全基于专家判断的评级过程。
只考虑各种定量技术(如信用评分模型)的内部评级体系和完全基于贷款和信用人员的个人经验以及专业技能的内部评级体系,这只是两种极端的做法。
大多数国际先进银行根据多年的风险管理实践得出了如下结论:即使在根据模型进行等级评定的系统中,个人的经验也起着非常重要的作用,例如信用评估人员或贷款评估人员就可能会根据个人经验来模型所评定的等级。此外,在开发、实施这些模型以及构建模型的输入参数等方面,个人的专业技能也是一个重要的前提条件。
在所考察的银行中,绝大多数银行都表示,在内部评级体系中使用了大量的主观判断因素,其中对这些因素的相对重要性并没有正式的约束。半数以上的银行是利用专家对大型公司进行内部评级,而在所有基于无约束专家判断的内部评级过程中,评级人员在进行等级评定时,都可以使得最终等级明显偏离于统计模型所给出的结果。
总之,在风险管理模型尚未完备之前,具有丰富管理经验的风险专家仍将发挥不可替代的作用,银行风险管理在较长的时期内还会属于管理艺术的范畴。
风险管理目标:效益还是风险?
效益与风险是一对对立统一的矛盾体,现代银行的本质是通过管理风险来取得收益。但从国内商业银行近年的管理实践来看,存在着通过缩小信贷规模来降低风险的趋势,甚至在某种意义上引发了困扰国有商业银行的流动性陷阱问题。2002~2005年我国银行业贷款复合增速率达到12.6%,其中增速最快的是股份制商业银行和城市商业银行,分别达到27.2%和21.6%,国有商业银行在此期间的增长速度却仅有8.3%。
风险作为一个永恒的主题,时时存在于银行的各个层面,随着国内存款比例的不断上升,银行风险主要表现为流动性过多带给商业银行的困境。自2000年以来,国内商业银行由流动性不足转为流动性过多,特别是2005年以来,金融机构流动性相对过多的问题越来越突出。截至2005年9月,中国银行业存差资金9万亿元,是2000年的3.7倍。
流动性相对过剩,将导致银行业过度竞争,盲目追逐大户,非理性降低贷款条件和下浮贷款利率,从而放大信用风险和利率风险。将过高的流动性投向资金和货币市场,也将导致货币市场主要投资工具利率持续走低甚至与存款利率倒挂。由于流动性过剩涉及到金融市场很多方面的问题,故影响性及牵动性极大。社会资金过多涌入银行,将使银行业金融资产被动性膨胀,收益率持续下降,使得中国的银行业面临前所未有的流动性风险。
商业银行还通过另外一种方式来规避风险在短期内的凸现,那就是从结构上加大中长期贷款的比重。2004~2005年底,中国银行业短期贷款比重由42.16%降到43.64%,下降了5个百分点,而中长期贷款的比重则由42.96%上升到44.93%,上升了2个百分点,且逐季上升。在银行分类中,国有银行的中长期贷款比重较高,为56.6%,超过53.9%的定期存款比例;尽管股份制银行的中长期贷款比重略低,为46.2%,且低于定期存款47.33%比例,但出于避险等目的,股份制银行也在逐季不断提高中长期贷款的比重。
按照新资本协议中的要求,商业银行必须广泛树立全面风险管理的理念,任何业务部门和人员都要树立风险观念,都有责任控制本部门和本岗位的风险,并为推行全面风险管理的流程、组织、机制和体制奠定基础。同时必须认识到,加强风险管理与提升经营业绩是相得益彰,加强风险管理会降低不良贷款率和风险成本,能按季收到足够多的贷款利息,从而提高创利水平和经营业绩。讲拓展必须要权衡数量质量、成本收入、风险效益、投入产出的关系。在注重业务发展的同时,必须将风险管理的理念贯穿到业务操作的各个环节,既要有效益观念,也要有风险观念、成本观念。
风险管理体系:引进还是自建?
中国银行业风险管理体系刚刚进入打分卡阶段,多数中小银行的发展程度更低,有的还停留在分析模版阶段。与发达国家先进银行相比,中国银行业的差距不仅仅是资本充足率低、风险评级处于初级阶段等方面,还有更多方面,既有体制上的差距,更有机制、观念、文化、技术、理论、工具、模式、管理上的差距。
就内部评级体系来说,它不仅仅是一个分析模型和计算机系统问题,它涉及客户评价、项目评价、资产五级分类、资产组合分析和信贷政策等多方面内容。而中国银行业目前还只是从信誉、履约记录上粗略地考察客户,而不是以风险为核心进行深入分析。信用风险管理部门、审批部门等后台部门对客户风险评级具有的权限,以及如何应用评级结果进行决策和管理,目前仍不是十分明确。项目评价、债项评级、市场风险分析等功能,更是散落在多个部门手中,并未形成统一的模式和完整的体系。数据基础是内部评级体系能否成功运行的保证,包括数据完整性、数据质量和管理信息系统(MIS)等三个方面。中国商业银行开展内部评级的时间不长,数据储备严重不足,且数据缺乏规范性、数据质量不高。首先,许多客户的财务数据可能不真实或不够准确;其次,评级基于客户过去的财务指标,缺乏对现金流量的分析和预测,使评级结果不能反映客户未来的偿债能力;第三,指标的权重设置主要依据经验或专家判断,主观因素影响较大,降低了评级结果的准确性;第四,评级过于依赖企业自身的财务数据,对宏观经济周期、行业和地区风险的分析不足,指标设置缺乏预警功能,导致评级结果对风险的敏感度不高,难以及时反映客户信用状况的变化。同时,缺乏统一的数据仓库和现代化的管理信息系统及其相应的数据接口,无法满足包括风险评级在内的各种管理工具的数据需要。
巴赛尔新资本协议规定,采用内部评级法初级法的银行至少需要5年的数据来估计违约率(PD),而采用内部评级法高级法的银行至少需要7年的数据来估计违约损失率(LGD)。由于中国建立内部评级体系的时间尚短,目前最缺的就是数据积累,特别是缺乏一个完整的经济周期的数据,难以进行合理的压力测试以及对评级结果的返回检验,这几乎是所有银行面临的最大困难。
针对这种现状,国内商业银行的内部评级体系构建究竟应该选择什么样的路径呢?完全照搬国外的管理模型存在着模型风险等水土不服的问题;全依靠自己又缺乏相应的人力资源基础和足够的数据;将项目采取外包的方式即不符合中国的国情,也存在数据的安全性等问题,况且国内尚不具备能为商业银行提供这一服务能力的外部机构。不论以何种方式外包,其结果还将是由国外的机构来完成最终的工作。
从国内商业银行实践看,工商银行的内部评级法构建似乎走出了一条相对成功之路:那就是依靠外部机构根据国际经验提供需求,同时工行内部人员参与评级体系构建全过程,以达到培养自有人才之目的。最后再由工行的相应技术部门完成评级体系的设计和构建等工作。这一做法既保证了自有人才队伍建设和数据安全,同时也使其体系的设计水平达到了与国际水平的充分对接。
风险管理信息系统:独立还是联合?
风险管理体系是指战略、政策、模式、组织、文化等一整套体系。有效的风险管理体系要适应风险环境,并渗透在商业银行经营活动的各个环节层次。目前国有商业银行风险管理体系基本形成,但是在协同、贯彻以及风险文化建设等方面较为薄弱。
特别需要指出的是,有效风险管理的重要基础是风险管理信息系统。只有具备有效的风险管理信息系统,才能识别、度量和分析风险,制订正确的管理措施并落实风险管理责任。信息系统包括存储客户基本信息、财务信息、经营管理信息、信誉记录、账户交易记录、合同信息的客户数据库,存储宏观经济、产业经济、金融市场等信息的环境信息数据库,存储自身资产品种、数量、质量、分布的数据库,以及建立在规范、完整、及时、准确的数据信息基础上的计量、分析、评估、处置系统。目前,有效的风险管理信息系统已成为国有商业银行实现现代风险管理的最大瓶颈。
风险管理体系论文篇2
受美国2002年出台的萨班斯——奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。
本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。
一、内部控制、风险管理的理论发展及其关系
(一)内部控制理论的发展
20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
2002年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。
我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。
(二)风险管理理论的发展
企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。
我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。
(三)内控体系建设与全面风险管理工作的联系和作用
全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。
二、宝钢在内控体系建设领域的实践
宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。
内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。
在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。
三、宝钢在风险管理领域的实践
宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:
(一)以法人治理为基础,建设风险管理的组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。
(二)与管控模式相结合,制定风险管理策略和流程
宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。
因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。
(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
四、整合的风险管理框架设想
通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统:
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。:
(二)风险管理系统应与公司战略管理系统相整合
风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
【主要参考文献】
[1]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[2]吴轶伦.内部控制自我评价[J].上海财经大学学报,2004,(4).
[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会,2006,(3).
[4]方红星.内部控制审计组织效率[J].会计研究,2002,(7).
[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社,2001.
[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3).
[7]朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003,(6).
[8]金或日方,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究,2005,(2).
[9]严晖.风险导向内部审计整合框架研究[M].中国财政经济出版社,2004.
[10]宋夏云.现代风险导向审计模式的背景分析与理论创新[J].中国审计,2005.
风险管理体系论文篇3
在新巴塞尔资本协议征求意见阶段,操作风险曾被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成直接或间接损失的风险”。这个定义意味着操作风险可能引发直接损失和间接损失。直接损失比较容易理解,是指某一操作风险事件发生后,按照银行适用的法律、法规反映在银行法定财务报表的损失,损失包括所有与该操作风险事件相联系的成本支出,但不包括为避免后续操作风险损失实施的相关成本支出。但对于如何界定操作风险引发的间接损失一直存在争议,有观点认为是其他类型的风险发生引发操作风险事件发生,或者操作风险事件发生后引发其他类型风险发生而造成的财务损失,但难以把握的是,间接损失数据是应当归入操作风险损失,还是归入其他类型风险的损失。后来,在新资本协议定稿之际,操作风险被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成损失的风险”,事实上将间接损失排除在外。
参考新资本协议的定义,我国商业银行管理操作风险现阶段应遵循以下四项基本的原则:
(1)全面管理。未来我国商业银行的总部和国内外分支机构都必须建立完善的操作风险管理制度,控制操作风险损失。而操作风险管理具有高度分散化的特征,因此操作风险管理制度的控制力应该渗透到银行各项业务过程和各个操作环节,覆盖所有的部门、分支机构和岗位,并由全体员工执行。
(2)政策及时调整。由于目前我国银行业监管机构尚未对商业银行操作风险管理制订监管规则,我国商业银行经营战略、方针、政策也都处于变化当中,操作风险管理的政策制度应随着外部和内部环境的变化及时调整。
(3)成本与收益匹配。管理操作风险要付出一定的成本,商业银行的管理措施必须与具体业务的规模、复杂程度和特点相适应,通过付出合理的成本将操作风险损失控制在银行经营所能承受的范围内,不切实际地追求零操作风险并不可取。
(4)严格问责。目前我国商业银行正处于操作风险发生频率较高的阶段,应坚持严格问责的原则。银行内部操作流程的每一个环节都必须有明确的责任人,并严格按规定对违反制度的直接责任人和负有领导责任的管理人员进行问责。
操作风险的分类
新资本协议将操作风险损失事件分为内部欺诈,外部欺诈,就业政策和工作场所安全性,客户、产品及业务操作,实体资产损坏,业务中断和系统失败,执行、交割及流程管理七类,每一类还有相应的子类。但如何根据新协议对我国银行业面临的操作风险进行有效分类是实践中的一个难题。不少国内商业银行发生的操作风险事件带有典型的“中国特色”。因此,在新协议的指引下,结合我国商业银行的实际情况,对操作风险进行分类或许是当前一个比较合理的选择。
按照新协议中规定的操作风险的四类诱因,我国商业银行的操作风险类别大体可以分为:
(1)由于银行业务流程、制度管理存在不当或偏差而没有及时完善,导致操作或执行困难而产生的操作风险。比如,内部或对外流程不适当;责任分工不明确;文件残缺;合同标准文本条款残缺;合同标准文本条款对银行不利;文件记录内容不全面;合同标准文本中空白条款填写不完善或不正确;风险管理报告不充分;财务报表披露不充分;新业务或新产品已经在前台办理,相关的文件没有及时传达到前台;对前台相关业务的新规定没有及时传达到员工;对业务流程要求执行不力等。
(2)由于人员因素导致的操作风险。这类操作风险是当前我国银行业面临的主要操作风险。人员风险源于主观和客观因素,前者为银行员工不遵守职业道德,违章、违规或违法操作,单独或参与骗取、盗用银行资产和客户资产,或工作疏忽,其行为给银行造成直接经济损失;后者为员工的自身能力与岗位对人员素质要求不符给银行造成的直接经济损失。
(3)由于IT技术或技术应用环境失灵造成系统服务中断或造成错误的服务,或由于系统数据风险影响业务的正常运行而产生的操作风险。如科技投资风险;系统开发和执行风险;系统功能问题或系统失效风险;系统安全风险;法律或公共责任风险;风险管理模型风险等。
(4)来自外部的主观或客观因素产生的操作风险。如交易对手通过诉诸法律而使交易无效(并非主观故意或过失违反法律、法规、规章和规定);内部的管理规章制度与外部法律、法规或监管要求发生冲突;反洗钱活动不力;业务操作违规;对客户的隐私和数据保护不力;外部采购或供应商风险;外部开发过程中所面临的第三方中断必要资源的风险;火灾、洪水、其他自然灾害等。
操作风险管理组织架构设计
随着我国商业银行公司治理机制的完善,未来完整的操作风险管理组织架构应由董事会、高级管理层、商业银行总部履行操作风险管理的牵头部门、总部其他部门、国内外各级分支机构等构成。
在这个管理层级体系中,董事会应是我国商业银行操作风险管理的最高决策机构,负责制定操作风险管理的发展蓝图和体系框架,审议并批准操作风险基本管理制度。评判操作风险状况,对高级管理层、职能部门、各级机构履行操作风险管理职责情况进行定期评估,并提出改进要求,确保整个银行机构能够识别、衡量、监督及控制操作风险。确定整个银行操作风险可以接受的水平,监控整体操作风险状况是否符合本行的操作风险偏好,对特殊情况进行审议,必要时向董事会报告特殊情况等。
高级管理层负责执行董事会批准的操作风险管理战略、管理政策、基本管理制度,评估操作风险管理制度的有效性,监控相关管理制度的具体实施情况,识别相关管理制度的不足和缺陷,决定为完善操作风险管理而采取的重要措施或行动方案。
商业银行总部是履行操作风险管理的牵头部门,负责拟订有关加强操作风险管理的基本制度和办法,以及操作风险识别、评估、监测、控制、缓释、计量等方面的具体管理制度和报告制度,并向高级管理层报告有关情况;就完善操作风险管理及拟采取改进措施和行动方案提出意见和建议;牵头协调、监控、督导总部其他部门及各一级分行开展操作风险管理工作和执行高级管理层的决定,并向高级管理层报告有关情况;负责定期向高级管理层报告操作风险状况及其占用的经济资本状况等。
商业银行总部其他部门的主要职责包括:结合本部门实际情况负责制定本部门的操作风险管理制度,报备牵头管理的部门。负责建立本部门操作风险控制程序,贯彻操作风险管理的各项要求。积极掌握和运用操作风险管理技术、模型和经验,识别本部门存在于产品、业务、流程方面及其他方面的操作风险,并确保在推出新的产品、业务、流程及IT系统前,对其内在操作风险做出充分的评估,采取适当措施防范和化解操作风险。对本部门操作风险控制情况进行检查、监督,对主要业务范围内的操作风险暴露及操作风险事件进行持续监控,完成本部门操作风险状况的汇总、归集和分析工作,按时报送牵头部门。
国内外各级分支机构负责本级机构的操作风险管理,其主要职责包括:实施辖内操作风险信息的汇集、操作风险的监控和管理工作,并按相关要求向上级机构报告本级机构操作风险状况,同时向本级机构负责人汇报。对辖内各部门及下级机构的操作风险管理情况进行政策执行督导和检查,汇集辖内操作风险信息状况。通过自我评估等方法识别对实现工作目标有负面影响的各类内在因素(如本机构业务的性质和复杂程度、人员的素质、组织的变化及人员流失率等)及外在因素(如经济状况的波动、产业技术的改变、政策形势的变化等),制订或完善相应的操作风险管理制度,采取适当措施防范和化解操作风险。
我国银行业操作风险管理运行机制
未来我国商业银行操作风险管理的运行机制应该由识别和确定、量化和评估、缓释、监控、规避、报告等环节组成。
从操作风险的识别来看,首先要通过确定不同部门、不同分支机构、不同业务的操作风险事件来识别操作风险。由于操作风险表现程度上的差异,在确定操作风险事件时应根据对操作风险的历史经验、未来操作风险预测、潜在损失金额、潜在损失频率等因素,将操作风险事件进行一定的分类,如一类操作风险事件、二类操作风险事件和三类操作风险事件等。
操作风险的度量是现阶段我国商业银行最难以做到的。根据国际活跃银行的经验,一般是通过量化方法,归集和分析银行在不同部门、不同分支机构、不同业务的各类操作风险,全面衡量银行总体操作风险承受能力。随着战略投资者进入我国商业银行,我国的商业银行应借助战略投资者的风险管理技术,引进关键风险指标、战略风险评估、自我评估问卷、操作损失分析等方法,建立完整的操作风险度量体系。
操作风险缓释实际是银行操作风险的“出口”。我国的商业银行应根据操作风险管理的成本效益和预期损失相匹配原则,以及各类风险缓释措施在应用中的可操作性,针对不同类型操作风险事件可以考虑采取接受风险、减少业务量、实施外包、购买保险、调整流程、计提准备金、加强人员培训等不同的操作风险缓释措施。
操作风险的监控是现阶段我国商业银行管理操作风险的另外一个难点。操作风险事件涉及的领域非常宽泛,没有IT手段的强力支持,有效地监控操作风险几乎是一句空话。我国的商业银行应充分利用IT手段建立操作风险的监控体系,操作风险的信息应纳入整个银行企业级数据仓库项目中。在风险缓释措施难以奏效,风险监控手段不到位的情况下,如果业务产生的盈利无法覆盖可能带来的损失,应果断限制开展具有高操作风险的业务。
现阶段我国的商业银行应考虑建立操作风险管理的报告制度。完整的操作风险报告制度应涵盖报告内容、报告人员、报告频率等要素。操作风险报告的内容应包括操作风险类型,所有因操作风险事件产生的相关数据和损失原因,关键风险指标KRI、战略风险评估结果、自我评估问卷结果、操作损失分析结果,对监管机构、董事会稽核委员会、内外部审计机构等在检查中发现问题进行整改的结果等;无论是商业银行总部的职能部门,还是国内外各级分支机构都应该设立本级机构操作风险的报告人,由报告人负责报告辖内的操作风险状况;应区分报告的内容,确定操作风险报告的频率,有临时性报告、月度报告、季度报告等,对于重大操作风险事故或案件,应采取特事特报的方式,不设时限规定,使董事会和高级管理层能在第一时间获得准确信息。
我国银行业操作风险管理的环境建设
现阶段我国商业银行内部应特别注意操作风险管理的环境建设。
首先,银行董事会和高级管理层必须对操作风险给予足够的重视,营造由全体员工共同参与的操作风险管理环境,建立科学、有效的激励约束机制,提高员工的操作风险管理意识和职业道德素质。
其次,根据银行企业级数据仓库项目建设的总体规划,对计划实施的流程进行操作风险识别,同时建立及时归集操作风险损失的数据采集系统和数据库,提升操作风险管理水平。现阶段就应着手收集操作风险损失数据,实现连续、实时地监控和评估整个银行总体操作风险,确保总体操作风险水平在董事会确定的可以接受的范围内,同时使董事会和高级管理层能根据操作风险数据对操作风险状况进行有效评估。
风险管理体系论文篇4
(二)降低了商业银行信贷审批的成本和时间,提高了贷款发放效率。目前各家金融机构的各类信贷业务已经高度依赖征信系统。信息不对称总是存在的,特别是征信系统未建立起来之前,因信息不对称而造成的成本更是巨大。但是,商业银行又不能“因噎废食”,因为不了解客户而不放贷,迫使商业银行不得不花费大量的人力、物力、财力对客户的资信进行调查,从而有效增加了商业银行的交易成本,降低了银行经营利润。通过信用报告的使用,大大降低了信贷审查过程中人力和资源的成本,缩短了评审时间,提高了信贷审批的工作效率。征信系统在一定程度上解决了信息不对称问题,减轻了商业银行调查量,节约了大量的交易成本,提高了经营利润水平。
(三)促进了商业银行信贷业务的开展。个人业务方面,在个人贷款和信用卡申请、贷后管理和担保等环节都需要查询个人征信系统。企业业务方面,在企业贷款、对外担保、银行承兑汇票、信用证、贴现等业务的审批中都需要查询企业征信系统。通过对信用报告的使用,有效地防范了无卡贷款、重复抵押、多头贷款等欺诈行为。同时,通过正面的借款人信息,金融机构可以有目的地选择客户群。
(四)征信系统能够提供持续、客观的借款人信贷交易和自身的基本信息。征信系统作为一种约束机制,可以推动金融环境良性发展。对银行客户而言,征信系统是一个约束机制,因为,如果客户企图骗贷的话,其不良信用记录将被征信系统“广而告之”,这意味着从今以后,所有商业银行都对其关起了融资大门。这样的后果将对心机不良的客户起到极大的心理威慑作用。因此,从长期来看,征信系统有利于强化人们的诚信道德意识,提高社会的整体诚信道德水平,改善商业银行的金融环境。通过查询征信系统,借款人的信用状况及其变更都一目了然,为金融机构贷中管理人员了解客户最新负债情况,及时掌握客户还款压力的变动,做好风险预警等工作,提供了方便快捷的评价资料。
(五)人民银行征信系统目前在社会上具有强大的舆论和警示作用,便于金融机构风险管理。征信工作的最终目的就是要提高全民的信用意识,建立起一个全社会都能诚实守信的信用环境。通过对征信记录不良的借款人信息的运用,使其失去信用以及贷款的能力,从而失去在信用经济社会中立足的能力。目前,有很多在征信系统中存在违约信息的客户,为了重新获得贷款的能力,主动到金融机构归还逾期贷款。
二、征信体系建设存在的问题
(一)征信法规有待进一步完善。《征信业管理条例》虽然出台,但只是宏观层面的管理规则,促进形成各类征信机构互为补充、依法经营、公平竞争的征信市场格局,满足社会多层次、全方位、专业化的征信服务需求。《条例》对于解决征信市场中信息采集、使用不规范等问题、解决征信市场整体发展水平较低的问题仍然有一定困难。要达到立法效果,顺利实施,下一步还需要制定一些配套法规和实施细则。比如个人信息保护的相关具体制度、政府信息公开中涉及企业和个人信用信息的目录和细则以及道德信用与资产信用的界定、个人隐私权及知情权的权衡等诸多方面,还不能做到事事有法可依。
(二)尚未形成有效的信用数据开放机制。社会缺乏企业和个人信息的正常获取和检索途径,信用数据的市场开放度低。信用数据的区域、部门和行业仍处于割据状态,成为制约我国社会信用体系建设的制度性瓶颈。信用信息不能共享,影响系统效用的发挥,系统的功能不够完善,有待于进一步改进,以便于银行全面分析企业和个人的信用状况,为银行做出信贷决策提供参考。但目前政府部门和一些专业机构掌握的可以公开的企业和个人信息没有开放,增加了企业信息获取的难度,减弱了已有征信数据的适用性和完整性,造成信用信息资源的巨大浪费,使人民银行的企业和个人信用信息基础数据库系统不能发挥更大的效用。
(三)尚未建立有效的失信惩罚机制。在立法方面,我国的《民法通则》、《合同法》中虽然都有诚实守信的法律原则,《刑法》中也有对诈骗等犯罪行为处以刑罚的规定,但这些仍不足以对社会的各种失信行为形成强有力的法律规范和约束,针对信用方面的立法仍然滞后。同时,有法不依和执法不严的问题也相当严重,在一些失信和诈骗案件的审理中,还存在严重的地方保护主义。相反,失信收益往往大于失信成本,不仅降低了守信者的积极性,也削弱了对失信者的约束力和威慑力。
(四)未能将全部信用信息纳入征信产品的范围。当前,征信系统的主要产品是信用报告,信用评分、信用评级等衍生产品不足,产品品种较单一,且当前的信用报告只能显示至查询日企业的信用状况,缺少按时间段显示信用信息的功能。同时非信贷领域的信息较少,如企业纳税、资质认证等相关信息缺乏,难以满足金融机构多层次的需求。虽然征信系统在部分省市采集了企业和个人缴纳电信等公用事业费用的信息、欠税信息、民事案件判决和强制执行信息,以及可能会影响企业和个人生产经营和还款能力的行政许可、行政处罚等公共信息。但以上征信信息收集的范围尚未扩展到全国。另外一些散布于公安、法院、工商、劳动保障等多个部门,而且大多数处于被屏蔽状态的信息,则有待政府及相关制度来推进,征信中心也应早日推出覆盖这些信息维度的产品。
(五)信用文化建设和征信知识宣传相对滞后。目前我国的征信教育体系还没有形成,具有系统化征信知识的高学历、高水平信用管理人才更加有限。公众信用知识普及水平远远不够。在我国,人们虽知道信用在经济生活中的重要性,但在长期信用文化缺失的困境下,社会信用环境不容乐观。同时企业文化建设还有所不足,对征信的认识还存在偏差,导致银行无法对客户的征信进行详细的统计,只能掌握一些无关紧要的信息,以致客户贷款难。在长期信用文化缺失的困境下,社会信用环境不容乐观,信用文化建设水平低下的问题亟待解决,公众信用知识普及水平任务艰巨。
三、对策建议
(一)完善征信法规建设。一是建议依据《征信管理条例》,建立相关配套法规和实施细则,明确个人信息保护的相关具体制度、政府信息公开中涉及企业和个人信用信息的目录和细则,以及商业银行在搜集数据、提供数据、购买数据、使用数据等各个环节的规定办法,防止出于自身盈利目的而侵犯企业和个人利益的行为发生。
(二)提高征信数据质量。商业银行应大力提高数据质量,建立信用数据开放机制。在企业财务报表尚未实行单一来源制度的情况下,征信系统除通过人民银行和商业银行征集企业财务信息外,应自上而下建立与工商、税务等部门信息系统的链接关系,以便征信系统使用方对各方信息的比对,加快信用数据开放机制建设。
(三)加快征信产品创新步伐。要不断丰富征信产品体系、信用报告种类。对信息进行深加工,创新更多的征信产品,依法扩大企业和个人征信产品的应用推广,尽快推出信用评分、信用评级模型等品种,提升服务的层次和深度。继续扩大非银行信息采集范围,整合各部门掌握的资源,推进征信平台的建设。
风险管理体系论文篇5
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的 网络 化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速 发展 ,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以 科学 的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践 历史 来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、 科学 的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的 电子 文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全, 自然 安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的 总结 与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《 计算 机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
风险管理体系论文篇6
关键词:
风险管理;监管;创新
理论来源于实践,实践是检验理论正确的唯一途径,理论指导实践,并作为应用到实践,风险管理理论是经过实践检验的理论,在企业中发挥重要作用,企业的最终目的,是提高效益,创造价值,使企业实现价值最大化。2006年国际风险管理大会,是一个国际化的大会。风险管理理论一旦被广泛接受,在企业风险管理,积极实施,进行有效的操作,会产生明显的效用。所以,风险管理理论为企业提供支持和指导,企业通过风险管理的具体研究和分析,找出企业面临的主要风险,认识到存在的机遇,从而规避风险,抓住机遇,谋求发展。
一、确定业务风险管理目标,建立有效的监管框架
基于整体的企业风险管理框架和监督不同的企业的责任,是企业必须考虑的重要因素,使得其成为内部企业文化的一个组成部分。企业集团公司应该根据企业的总体战略目标,制定风险管理制度,各个部门全部参与风险管理,才能有效避免企业面临的风险,抓住机遇。宏观管理部门要结合整个业务,区域战略,技术战略,投资战略和营销策略制定,以及国家和国际经验的战略。风险管理涉及企业的全部部门,具体包括,采购、客户信用、财务、生产、销售、预算、资金等,这些部门应该建立相应地内部风险管理体系,以便工作人员按照规定的流程做事,规避部门风险,从而整体上降低风险。
二、增加资金支持
首先,企业要发展,必须要有相应地资金保障体系,没有资金,企业就无从发展,当前,国际大型企业都有自己的风险管理体系,并为风险管理体系投入了巨大的人力、物力、财力。如很多企业雇佣注册会计师事物所进行风险控制测试,为很多大型企业设计内部控制制度和流程,审计企业财务报表等,以检查风险。其次,要完善企业风险管理系,企业治理层必须和职能部门、业务部门联合,制定各种监管制度,以提高风险的预防能力,提高企业价值,促进企业的稳定持续发展。企业建立完善的风险管理体系,单靠本企业的力量是不够的,必须提供资金支持,聘请外部专家协助建立内控体系,为企业的风险管理体系提供物质支持。
三、提高公司的核心竞争力
1.公司的核心竞争力作用。
1.1企业成功市场基础。
市场是企业的生命,占领市场是企业前途和希望,失去市场企业将面临衰退,企业。企业做大做强,在市场竞争中不被吃掉的话,必须占领市场,企业必须有独特的核心竞争力,核心竞争力是企业成功的市场基础。
1.2企业可持续发展的动力。
竞争成功的关键在于企业是否具有不断开发新产品、开拓市场的特殊的竞争力。另一方面,这是企业的一笔无形资产,竞争者也很难复制和模仿,别的企业是无法比拟的,独特的核心竞争优势;另一方面,市场长期性的检验之后,企业的核心竞争力,受到认可,从而长期占领市场,推进企业的可持续发展。
2.提高公司的核心竞争力的措施。
2.1加强在人力资源风险管理。
人力资源风险管理包括人员招聘、职业规划、绩效考核、薪资政策、激励机制、培训制度等很多内容进行风险管理,规避人力资源中的风险。人力资源风险管
理包括风险识别、风险评估、风险控制等环节。企业要不断地进行人力资源的风险识别和评估,同时,注意总结,对出现的风险及时进行分析和改进。加强人力资源风险防范能力,建立事前、事后防范制度。对进入人员实行资质审核、背景调查,同时进行严格的考试、试用期制度。对企业的在职员工进行必要的监督,防止出现懈怠等对企业的不利影响,对员工进行定期或不定期的考核,聘请培训机构对职工进行培训,提高职工的工作能力,以适应不断变化的外部环境。建立事后处理机制,企业内部应建立风险处理机制,不断进行事件的处理,完善企业内部机制,企业还可以聘请外部公司对在职人员进行跟踪调查。
2.2建立全面,有效的内部控制机制。
企业应该根据COSO,结合《企业内部控制基本规范》的要求,建立内部控制体系,按照五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。风险管理不仅是建立风险管理机制,业务流程,更重要的是,全面的,通过建立有效的风险控制机制,风险管理,传统的报表数据的机制,提高企业的经营效率。负责整个系统的风险分支,以实现有效的风险管理,公司治理层可以聘请会计师事务所或外部专家进行风险控制体系设计,统一各部门的专职,专业监督实施,统一风险管理制度和流程,以便制定审计检查的实施,负责整个分公司的风险管理,并独立于行政各分局。
2.3建立风险事件的数据库。
通过检查可以防止企业风险的发生,企业风险分析的测试激励自己的风险管理程序,管理发生事故之外的警惕,对企业风险事故进行分析,它发生在分析前,在未来,并且它可以避免事故的危险。
2.3.1统合管理的目标。
企业目标包括总体目标和具体的目标。总体目标,包括企业的经营理念,价值观和经营战略决定等经营目标,营业收入,每股利润,市场占有率、安全生产等。财政目标包括销售收入,成本的费用,纯利润,现金流量等。遵纪守法,依法纳税等。具体的目标是与岗位的工作目标达到标准要求。具体的目标细分化、精细化测量,清楚的判断的程度。具体的目标和企业的技术标准,管理基准及定额标准往往融合在一起。企业的内部控制的时候使用的是更具体的目标。企业统合风险管理与目标是与传统的风险管理的是有区别的,是在企业战略的指导下制定的企业统合管理的总目标,对于企业的组织机构和各种活动的总目标分解,所有具体风险管理的目标,做到战略目标、总体目标、具体目标和企业的风险管理体系密切吻合;二要明确具体,将企业的目标/指标进行分解落实,形成各职能部门和各业务活动的具体目标,使员工们看的见、摸的着,随时可测评自我完成度、风险发生的可能性及其影响。
2.3.2加强企业文化。
一个企业的风险管理必须和企业文化结合起来,企业文化对企业的运作具有至关重要的作用,风险文化的建立可以有效预防风险,必须将风险文化作为企业日常经营活动中的组成部分,才能对企业进行有效的管理。也就是说,企业风险管理融入企业战略战术的决定和各活动中,是风险管理人们的一项的自觉行为。首先,了解相关企业的目标,通过政策、制度明确企业风险管理的态度、企业风险管理的目标和企业的合作原则等,提高员工个体的风险意识,将风险和文化意识覆盖到企业每个员工,提高员工的风险管理素质。更加规范员工的行为,使风险文化成为企业文化的一部分。其次,形成企业统一规范的风险管理的语言,不同的人和部门,风险的看法和态度不同,例如通常财务计划部门把预定的差异看得很重要。通过教育训练员工知道什么风险,风险管理和企业的风险的类型和管理策略。企业应进行员工的法律知识培训,制定员工道德行为规范,形成高尚的企业文化,对于违法、违背诚实原则,造假等行为进行严厉制裁等措施。企业还应建立风险文化的培训,聘请培训机构对员工进行风险文化的培训,采取不同的途径,加强对风险文化的知识、流程等的培训,加大员工的风险意识,使员工对风险时刻保持警惕,恰当处理各种风险,从而规避风险,提高运营的安全性。
2.3.3建立企业风险管理组织体系。
董事会设置企业风险管理委员会,也就是人人都参加企业的风险管理活动,但是企业风险管理,需要企业全员参与管理活动,风险管理活动需要专业的风险管理的理论和方法。所以企业应成立相应的风险管理机构,除此之外,企业还应当建立专职部门或职能部门履行风险管理的职责,还应该建立审计委员会,负责风险管理的监督,提出评价体系,评估风险管理的风险管理的有效性。企业统合管理要求企业必须得到高层管理者的支持和参与,建立符合法律法规的法人治理结构,如董事会、股东大会、监事会等机构,使出资者和经营者明确责任和权利,使企业统合管理和企业战略一致。组织形式是多样形式可供选择。企业充分利用内部的风险管理者,要充分利用企业“外面的智慧”,即利用企业外部的风险管理咨询公司的专家的智慧。
2.3.4健全企业风险管理系统。
全面的风险管理是企业各部门的共同的事,风险管理部门、其他的职能部门和风险管理委员会紧密合作共建企业的风险管理,特别是业务和风险管理人员组合起来有效地工作。企业建立的全面的风险管理组织结构,该结构一般包括风险管理政策决定机构,风险管理职能机构和相关部门三部分。董事会风险管理的最高决策机构,主要的风险管理的信息收集各重大的风险管理审查和决定事项。设置董事会的企业,总裁办公室会作为企业全面风险管理工作的最高决策机构。董事会下设立风险管理委员会,作为公司的风险管理议事机关,各单位的经理为单位的风险管理的负责人,本部门负责具体的风险管理,并最终就本单位风险管理的有效性向董事会报告。企业设立全面的风险管理组织,是全面的风险管理的组织保证。
2.3.5应用风险管理信息系统。
企业必须适应科技发展的需要,大力应用先进科技工具,采用适合本企业的风险管理信息系统,建立信息采集、备份、整理、分析、交互等的规范,随时对信息系统进行维护和更新换代。比如建立erp/OA系统等。企业应从源头上确保录入数据信息的及时性、完整性等,不得随意更改信息,建立信息使用的审批制度,规定各部门及工作人员的职权。企业应用信息管理系统可以对风险进行定量分析,对重要业务流程进行对发生的风险进行提前预警,为高级管理人员提供决策支持,可以及时调整方向,规避风险。风险管理信息系统应当涵盖各个职能部门、业务单位部门,使得各个部门共享风险信息,共同应对企业内外风险,提高整体的效率。企业应对信息系统不断地进行维护和更新,确保信息系统本身的稳定安全运行,以便提高风险系统地准确性。企业应将内部控制制度与信息系统结合运用,实现优势互补,避免系统的单一和片面性,最大限度地降低风险。
四、结语
总之,风险管理理论是经过实践检验的理论,在企业中发挥重要作用,企业的最终目的,是提高效益,创造价值,使企业实现价值最大化。企业应从各个方面加强风险管理,建立有效的风险管理体系。
参考文献:
[1]王学龙,郝斯佳.风险导向型内部审计在企业风险管理中的运用[J].财会通讯.2015(19).
[2]孙立.基于发展风险管理的内部审计角色探析[J].财会通讯.2014(13).
[3]季皓.国外企业风险管理研究综述[J].财会通讯.2014(05).
风险管理体系论文篇7
实践教学是教师鼓励和组织学生运用所学的理论知识,借助于一定的技术手段去验证理论和解决实际生活中的问题,并在验证理论和解决实际问题的过程中丰富和发展理论,从而使学生分析和解决问题的能力及创新能力得到提高的教学环节。实践教学,是培养具有创新意识的高素质人才的重要环节,是理论联系实际、培养学生掌握科学方法和提高动手能力的重要平台。在高等教育中重视和强化实践教学环节,对培养全面发展的创新型人才有着十分重要的意义。
目前,大学实践教学在教学内容、教学方式、师资队伍、硬件设施等方面存在诸多问题,无法承担和进行“大学科、大平台”的综合性实验,严重地影响了高校人才培养的质量。同时,现有实践教学内容体系多从教师视角出发,并未基于学生视角对实践教学进行划分。本文立足于学生习得角度,以实践教学对学生知识、行为、素质的改变程度为划分依据,构建更加合理的以培养创新人才为目标的实践教学体系,充分发挥实践教学环节在人才培养中的重要作用。
二、创新人才培养对金融风险管理教学的新要求
1.实践教学是创新型人才培养的重要途径
创新人才培养贯穿于人才培养的全过程,渗透到教学过程的各个方面,其中最重要的一环是实践教学。实践教学包含实验、实践、课程设计、实习等一系列实践教学环节,具有很强的直观性和操作性,是对理论教学的补充和拓展,是为学生提供一个将理论知识转化为行为能力的重要环节。相对于理论教学而言,实践教学更加突出学生主体,促进其主动建构科学的知识体系,强调知识、情、意、能的高级复合作用,提高学生的实践能力,培养学生的创新思维,锻炼学生的科研能力,激发学生的创业意识。实践教学是培养学生创新精神和实践能力的重要途径。随着高等学校办学功能的逐步拓展,现有的实验教学体系难以满足素质教育以及创新教育的要求,整合现有实验教学资源,构建新型实践教学模式成为当前高校提高教学质量的重要途径。
2.风险管理实践教学是金融学微观化发展的必然要求
现代金融学的一个突出特点,是微观金融的蓬勃发展,金融学专业中的金融风险管理是微观金融领域的重要内容,涉及到投资风险管理、商业银行风险管理等众多学科与课程。风险管理是金融类大学生高年级开设的专业必修课,该课程是在综合运用前期多门专业课的基础上系统学习新的内容,使学生专业知识体系得到完善和深化,对于提高学生的专业知识技能和综合素质具有积极意义。同时,金融风险管理实践教学是适应金融风险管理学科性质的要求,是适应新的就业方式的需要,是提高教师素质的有效途径,是培养金融学专业创新型人才的重要途径。
三、基于创新人才培养的金融风险管理实践教学模式
1.构建基于创新人才培养的金融风险管理实践教学教学体系
以实验室实验研究为载体,构建以金融风险管理实验室为平台,包含证券投资风险管理、商业银行风险管理、衍生产品风险管理、保险与理财风险管理、国际资本市场风险管理、公司金融风险管理六大模块的“平台+模块”实践教学模式。通过优化金融风险管理实践教学内容,构建科学的实践教学计划,具体包括以下六个方面:
(1)证券投资风险管理包括:系统风险(宏观经济风险、购买力风险、利率风险、汇率风险、市场风险、社会与政治风险六类)与非系统风险(财务风险、经营风险、流动性风险、操作性风险四类)管理。
(2)商业银行风险管理包括:信贷风险、利率风险、操作风险管理。
(3)衍生产品风险管理包括:远期、期货、期权和掉期四大类金融衍生产品的市场风险、信用风险、流动性风险、操作风险和法律风险的管理。
(4)保险与理财风险管理包括:内部风险(产品设计定价风险、核保风险、责任准备金风险、再保风险、资产负债配置风险等)与外部风险(保险业监理风险、经济风险)的管理。
(5)国际资本市场风险管理包括:外汇风险、国际投资风险、国际结算风险、国际贸易风险管理。
(6)公司金融风险管理包括:公司投资风险、融资风险、股利政策风险、公司治理风险管理。
2.建立基于创新人才培养的金融风险管理实践教学模式
将智能Agent技术引入实践教学管理,开发基于Agent技术的智能化开放式实践教学及管理系统。将开放式实践教学的过程管理与实验室多媒体教学和具体实验相结合,实现实践教学网络化智能管理,形成从学生提出实验申请到学生完成实验、成绩的一整套网络管理的先进运作模式,全面实现实验课程与实践项目的查询、申请、审批、授权、实验、考核等实践环节的开放式管理,提高学生学习的主动性和创新、合作精神。
通过构建开放式的实践教学模式,使学生能够掌握金融风险管理专业基本知识和基本技能,提高学生理论和实际相结合的能力、分析问题和解决问题的能力、动手实践和创新创造的能力,培养金融风险管理创新型人才。
3.基于创新人才培养的金融风险管理实践教学实施途径与保障措施
首先,运用心理契约理论建立事前、事中、事后控制体系,对金融风险管理实践教学质量进行全过程控制。其次,从优化课程结构、加强实践教学师资队伍建设、搭建实验实训平台、建立有效的实践教学评价体系、以及加强制度建设,强化实践教学管理等方面设计金融风险管理实践教学实施的路径与保障措施。第三,强化教学、科研、社会服务的良性互动,将公司金融的实验研究与实践教学相互结合,将实验教学作为实践教学的重要载体,丰富实践教学的内涵。
四、结束语
本文从创新人才培养的视角分析实践教学,将实验教学作为实践教学的重要载体,丰富了实践教学的内涵。通过构建开放式实践教学模式,建立“平台+模块”的金融风险管理实践教学体系,设计了实践教学实施的路径与保障措施,为金融风险管理创新型人才的培养提供了重要的参考。
参考文献:
[1]陈红,陈玉蓉,李娜.江苏省高校管理类课程实践教学调查对比分析[J].中国科技论文在线精品论文,2009,2(5).
[2]邓亚妮.促进金融专业课程实验教学发展的思考[J].科教导刊,2012,(12).
风险管理体系论文篇8
一 引言
复杂多变的经济环境和关联性越来越强的风险因素使得企业全面风险管理(ERM)备受热捧。ERM同时兼顾了不同风险的综合效应,与企业价值最大化的目标相符合,与企业所有者利益相一致,是一种承担增加公司价值使命的新型风险管理体系和手段(李社环,2003,张琴、陈柳钦,2009)。它正迅速成为企业的最低标准,成为主导企业兴衰的关键因素(Stroh, 2005)。在这样的背景下,真正理解企业风险管理的内涵,掌握企业风险管理的发展规律,成为企业决胜未来的一堂必修课。这就要求我们必须从根本上理解ERM理论发展的来龙去脉。ERM主要有两个理论来源[②]:风险管理理论和内部控制理论。风险管理理论和内部控制理论发展至今已不再是彼此孤立的理论体系,而是你中有我,我中有你发展前景,相互糅合在一起,并最终不约而同地指向了同一个方向——ERM。
二 风险管理理论的发展
1930年美国管理协会的一次保险会议上最早提出了风险管理的概念,风险管理理论和实践自此而始。按照一般管理理论的发展历程,我们将风险管理理论的发展历程分为三个阶段:早期风险管理阶段、现代风险管理阶段和全面风险管理阶段。
(一)早期风险管理阶段
1952年3月马科维茨发表《资产组合的选择》一文提出了著名的均值——方差理论。他首次将统计学中期望与方差的概念引入资产组合问题的研究,提出用资产收益的期望来度量预期收益用资产收益的标准差来度量风险的思想,将风险定量化,为金融风险的研究开辟了一条全新的思路。同时,他首次引入了系统风险和非系统风险的概念,给出了在一定预期收益率水平下使投资风险达到最小化的最优投资组台计算方法,改变了过去常识或经验等定性的衡量风险的方法。与此同时,美国保险统计从业人员开发出了正式的资产/负债管理模式(ALM),用于估计和管理寿险公司中长期产品涉及的利率风险。ALM方法逐渐发展成为寿险公司、养老金、银行和衍生产品所用风险管理技术的基础。1963年Myer和Hedges的《企业风险管理》最早系统地对风险管理进行了研究。1964年Williams和Hans著成《风险管理与保险》一书,进一步全面、系统地对风险管理进行了研究,他们认为风险管理的目标是以最小成本实现损失最小化。在均值一方差模型的理论框架下,William Sharpe (1964)、Limner (1965)、Mossin(1966) 分别推导出了资本资产定价模型(CAPM)。根据CAPM模型,单种资产的总风险中只有其中的系统风险对资产的预期收益有贡献,投资者不会因资产具有的非系统性风险而得到任何附加的预期收益。迄今为止,西方国家的企业财务人员,金融界以及经济学界一直将CAPM作为处理风险同题的重要工具,将其大量运用于财务决策与风险管理等方面杂志铺。1975年Murton提出了多因素C A P M模型对传统C A P M模型予以修正,在市场因素的基础上引入了其他市场之外的因素进行分析。同时期风险管理理论的另一个重要发展就是期权定价理论,它为衍生产品设计理论引入风险管理之中以及对衍生产品的风险管理提出了理论与决策基础,具有十分重要的理论和实践意义。该时期风险管理的重要特点是专注于防范不利风险,风险管理的主要内容是信用风险和财务风险,保险是风险转移的基本方法。风险管理实务主要涉及设立信贷控制、投资与清算政策、审计程序以及保险范围。这些防卫性风险管理实务的目标是最小化损失。
(二)现代风险管理阶段
20世纪90年代兴起的以损失为基础的风险管理方法(Value at Risk,VaR)引领了风险管理的潮流。摩根大通将VaR定义为在既定头寸被冲销或重估前可能发生的市场价值最大损失的估计值。VaR的一个更通俗的定义是[③]:给定置信区间的一个持有期内的最坏的预期损失。VaR成功将风险标准化和数量化,因此在金融领域应用广泛发展前景,非金融机构也因此受益量多,VaR正逐渐成为风险管理领域的规范。而且,VaR目前仍在不断地被改进完善。1992年Kent D.Miller提出了整合风险管理,指出企业可以根据具体的风险状况对多种风险管理方式进行整合,强调风险研究范围的扩展。风险管理的目标由最初的以最小成本实现损失最小化转变为以最小成本获得最大的安全保障 ( Skipper, 1999)。之后在VaR缺陷的基础上发展起来的整体风险管理(Total Risk Management,TRM)综合考虑了影响风险管理的三个因素:价格、偏好、概率,谋求在三要素系统中达到风险管理上客观计量和主体偏好的均衡最优,使投资者承担其所愿意承担的风险从而获得最大的风险报酬。TRM为完整的企业风险管理开辟了新的道路。这一时期,另类风险转移(ART)不断涌现,传统的衍生产品和保险不再是公司风险转移需要的完全解决方案。此时,风险管理专注于管理业务和财务成果的波动性,管理方向从纯粹风险向投机风险转变,由保险型向经营型转变。同时,基德·皮博迪、巴林银行、埃克森、长期资本管理公司等明星企业的危机事件使得企业对营运风险管理的重视骤升。
(三)全面风险管理阶段
Zail et al.(1996),James(1996),Matten(2000)相继提出了经济资本框架(即风险资本框架)的主要内容,掀起了经济资本技术的发展热潮。经济资本技术将风险控制由被动转为主动的同时,在其理念下的EVA指标和RAROC指标将利润指标同风险指标统一起来,以实现风险调整收益最大化。经济资本技术凭借以往风险管理方法无法比拟的巨大优势被迅速推广应用于银行、保险、大型跨国企业的风险管理活动中。经济资本注重风险的模型化和定量计算,大大提高了风险管理的精密度。经济资本有效参与业务战略规划。在制定战略规划时,权衡业务发展与所面临的风险变化之间的平衡,提高业务发展规划制定的科学性,推动企业持续健康发展。
进入二十一世纪以来,日益复杂的国际金融环境促使企业深刻反思巴林银行、长期资本管理公司等金融业巨子在金融动荡中难逃浩劫的缘故。血的教训使得他们进一步深入考虑风险防范与管理问题。他们逐渐发现金融风险往往是以复合的形式存在,不同的金融风险之间往往具有相互联动性。风险管理不应该是对单个业务的单个风险进行管理,而应从整个系统的角度对所有风险进行综合管理。在这种背景下,全面风险管理(Enterprise Risk Management ,ERM)理论应运而生。2001年北美非寿险精算师协会(CAS)在一份报告中明确提出了全面企业风险管理(ERM)。在该报告中发展前景,CAS认为风险管理包括环境扫描、风险识别、风险分析、风险集成、风险评估、风险应对和风险监控7个紧密联系的步骤。2004年6月巴塞尔银行监管委员会发布了《巴塞尔新资本协议》(BASEL Ⅱ)。新资本协议首次提出了全面风险管理的概念,同时关注了信用风险、市场风险和操作风险[④],明确了主动控制风险的原则,鼓励全面风险管理模型的建立和使用,并把激励商业银行不断提高风险管理水平作为两大监管目标之一[⑤]。2004年9月,COSO委员会颁布了《全面风险管理——整合框架》报告。报告强调从整个组织的层面识别和管理风险的重要性,明确提出应该把风险管理提升到公司战略的高度,突出了风险管理的战略意义。Harrington和 Niehaus(2004)认为,风险管理的总体目标是通过风险成本最小化实现企业价值最大化;ABA则认为“商业银行风险管理的目标并不是人们通常误认为的风险最小化 ,而是风险与收益的优化” [⑥]。在这一阶段,企业风险管理以主动处理所有类型的风险为特征,以创造价值为管理导向(张维功,何建敏,丁德臣,2008),成为企业管理的进攻性武器。许多公司将ERM看作是一种衡量重大投资的工具,并最终将其转化为包括成本可容度、提高收益等指标在内的股东价值战略(Adams,Campbell,2005)。
三 内部控制理论的发展
关于内部控制的较早研究来自于审计领域杂志铺。1934年美国《证券交易法》首先提出“内部会计控制”的概念,开创了内部控制理论研究的先河。内部控制理论的发展经历了一个漫长的历史过程。它的发展可分为以下五个阶段[⑦]:
(一)以内部牵制为基础
1936年美国注册会计师协会发布《独立注册会计师对财务报告审查》的文告,首次提出审计师在制定审计程序时,应该考虑的一个重要因素是审查企业的内部牵制和控制。1939年10月美国注册会计师协会的审计程序委员会公布了《审计程序文告第1号》文件,在修改的标准化审计报告中首次增加了对内部控制审查的内容。在内部牵制阶段,账目间的相互核对是内部控制的主要内容,设定岗位分离是内部控制的主要方式。
(二)以内部会计和内部管理为基础
单一的内部牵制无法满足日益复杂的经济环境下的管理需求。1958年,美国注册会计师协会迈出了历史性的一步,将内部控制区分为两类:内部会计控制和内部管理控制。内部控制的内涵得以扩展到管理层面。在这段时期内发展前景,内部控制的重点是建立和健全规章制度,加强控制和管理活动。
(三)以控制环境、会计制度和控制程序为基础
会计体系的不断完善成为内部控制理论发展的一个重要推动力。日臻完善的会计制度被看作是内部控制的一种有效方式。系统、完整的政策程序成为规范的会计制度的有益补充。经济全球化日益开放的格局使企业面临着更为复杂的商业环境。巨大的内外压力下,控制环境理所当然的进入内部控制主体的视野。1987年,美国Treadway报告关注避免虚假财务报表和引导公司治理问题的学术讨论,它认为内部控制包含三个要素:控制环境、会计制度和控制程序。这一时期,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序。
(四)以控制环境、风险评估、控制活动、信息沟通和监控为基础
二十世纪八十年代末期以来,随着政府干预逐渐减弱,审计人员处在一个非同寻常的弱势地位,企业的内部控制悄无声息地发生了巨大转变。两个重要的因素促成了这种变化:信息技术的发展和审计方法的改变。大型的关联数据库不断涌现,数据库存取和操作软件的成本不断降低,这意味着系统需要经常进行改良,信息的及时有效的沟通至关重要,传统的过程控制过时了,控制活动异常活跃起来。科学技术和审计的变化促使控制向组织层面转移,而且,最初政策和程序式的服从被风险语言所代替,在风险系统中,组织高层关注重要的风险。
1992年,Treadway报告的发布机构(COSO)发布了《内部控制——整体框架》,专门强调了公司治理中内部控制的关键作用。该报告包括了内部控制特点分析和其构建与评估的框架,它把内部控制定义为[⑧]:
一个受董事会、管理层、和其他个体影响,用于为以下目标的实现提供合理保证的过程:效力和运营效率;财务报告的可靠性;符合适用的法律法规。
1992年Cadbury 报告指出,董事会应该就财务报告和内部控制体系的效力做出声明,并且审计人员应该就此作出相应报告[⑨]。1994年Rutteman 报告借鉴了COSO对内部控制的定义但着重强调了与内部财务控制有关的部分。它把内部控制定义为:内部控制是为了提供以下合理保证:(1)防止资产未经许可下使用和处置;(2)保留相应的会计记录,维持商业和公共使用的财务信息的可靠性。这样,信息的沟通和监控被纳入了内部控制体系。同一年发展前景,COSO对1992年的《内部控制——整体框架》进行了增补,形成内部控制报告。1995年,加拿大特许会计师协会提出了COCO(Criteria of Control Framework)框架,它提出了控制的定义和一系列评价效力的分类标准。该框架从更高的层次上反映了内部控制和风险管理的关系,内部控制与组织目标的实现密切相关。
(五)以企业全面风险管理为基础
1998年Hampel报告首次把内部控制的注意力从财务报告问题上移开,开拓了内部控制新领域。1999年Turnbull报告走的更远。它是第一个强调公司治理中内部控制和企业风险管理关系的文件[⑩]。它认为公司的内部控制系统在风险管理中起着关键作用,对于实现企业的战略目标意义重大[11]。ICAEW在如何实施Turnbull报告要求方面走的更远,它将内部控制和风险管理完全结合起来。1999年加拿大特许会计师协会提出“内部控制应该包含风险的识别和应对”。Krogstad et al.诠释新IIA对内部审计的定义时提到:内部控制是帮助组织管理风险,提高公司的治理效率。2002年7月,美国国会通过了《萨班斯——奥克斯法案》,第一次对财务报告内部控制有效性提出了明确要求。
随后,在内部控制领域具有权威影响的COSO委员会于2004年9月颁布了《全面风险管理——整合框架》报告杂志铺。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点,是全面风险管理理念在运用上的重大突破。内部控制也由最初的“一点论”发展为当前的“八点论”——内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。这样内部控制框架经历了点——线——平面——三维——立体的发展过程,发展至今的《全面风险管理——整合框架》代表着国际上内部控制研究方面的最高水平,是内部控制理论研究历史性的突破。
至此,风险管理与内部控制的关系发生了巨大转变。风险管理与内部控制已不再是孤立的或是包含的关系,而是完全等价的(陈关亭,2009)。风险管理理论和内部控制理论成为ERM的两大理论来源。
四 ERM理论发展前景展望
ERM是企业风险管理理念和实务上的一次重大转型(韦军亮,陈漓高,王炜,2008),“是要以风险损失为分析基础转变为以企业价值为分析基础,化分离式的风险管理为整合式的风险管理,变单一的损失控制为综合性的价值创造”(卓志,2006)。ERM的特性从实践上契合了企业在风险交互影响和日益复杂的经济环境中更高层次的管理需求。另一方面发展前景,巴塞尔新资本协议(BaselⅡ)、国际财务报告标准(IFRS)、萨班斯法案(Sarbanes-Oxley)等法规法案的颁布和实施在理论层面上进一步促进了ERM理论的发展和推广。正如James Lam(2006)预测的那样,ERM将不断发展成为风险管理的行业标准。
尽管ERM是一种很受企业热捧的战略经营工具,但对很多公司来说,ERM能够得以成功实施的路依然很长[12]。造成这种结果的原因除了有来自企业操作层面的[13],还有来自理论体系层面的因素。这主要表现为ERM理论框架中有诸多尚待完善的部分。其中一个重要的体现就是ERM的界定问题至今国内外学术界仍然争论激烈[14],尚未达成共识。在ERM实施过程中,企业上下连什么是ERM都搞不清楚,这显然不利于ERM在企业的全面顺利实施。再加上ERM牵涉面极广,影响极大,ERM的推广和实施困难重重。实践和理论的需要将引导ERM的后续发展逐步解决这一问题。另一个重要的问题在于,目前ERM体系中缺乏一种行之有效的全面风险管理方法。令人欣慰的是,理论研究一直在继续。巴塞尔新资本协议对此给予了特别关注,协议指导并鼓励集市场风险、信用风险和其他多种风险于一体的各种新模型的创立,实现对全面风险的量化管理。
参考文献
风险管理体系论文篇9
2.成长企业的风险管理——郑文平博士采访实录
3.草船借箭有风险──哈佛大学博士陈琳谈金融风险管理
4.公司治理、内部控制、风险管理的关系框架——基于战略管理视角
5.企业风险管理发展历程及其研究趋势的新认识
6.论企业内部控制的风险管理机制
7.集团管理控制与财务公司风险管理——基于10家企业集团的多案例分析
8.村镇银行风险管理现状、问题与对策——以浙江长兴联合村镇银行为例
9.董事会治理与财务公司风险管理——基于10家集团公司结构式调查的多案例分析
10.面向调度运行的电网安全风险管理控制系统 (一)概念及架构与功能设计
11.内部控制、公司治理与风险管理——一个职能论的视角
12.风险管理在住院患者跌倒/坠床预防中的应用
13.国外风险管理理论研究综述
14.风险管理在护理管理中的应用
15.社区灾害风险管理现状与展望
16.新形势下银行信贷风险管理问题的研究
17.全面风险管理模型设计与评价:基于RAROC的分析
18.供应链风险识别与风险管理杠杆选择
19.计及电力安全事故责任的稳定控制系统风险管理
20.公司治理与风险管理:基于治理风险视角的分析
21.互联网信贷、信用风险管理与征信
22.集团企业财务风险管理框架探讨
23.我国商业银行操作风险管理问题解析
24.风险管理发展历程和趋势综述
25.工程项目风险管理研究现状与前景展望
26.投资集团公司财务风险管理探究
27.企业风险管理理论的演进与展望
28.资本配置:商业银行风险管理的核心
29.大断面城市隧道施工全过程风险管理模式研究
30.集团资金集中控制下的风险管理——基于大中型集团公司的案例分析
31.对急诊护理操作实施风险管理的探讨
32.基于贝叶斯网络的地铁施工风险管理研究
33.基于第三方B2B平台的线上供应链金融模式演进与风险管理研究
34.中国地下工程安全风险管理的现状、问题及相关建议
35.基于制度设计与措施选择论保险公司全面风险管理
36.后危机时代商业银行的信贷风险管理
37.地方政府投融资平台风险管理研究
38.企业信息系统与服务外包风险管理研究
39.特种设备风险管理体系构建及关键问题探究
40.论我国风险管理的现状及对策
41.风险管理理论沿袭和最新研究趋势综述
42.论政府风险管理——基于国内外政府风险管理实践的评述
43.我国商业银行风险管理体系再造研究
44.珠三角土壤镉含量时空分布及风险管理
45.互联网金融的风险本质与风险管理
46.灾害风险理论与风险管理方法研究
47.电网运行风险管理的基础研究
48.大型企业税务风险管理问题研究
49.滑坡风险管理综述
50.ICU护理风险管理影响因素及对策研究
51.对我国农业保险风险管理创新问题的几点看法
52.论现代金融机构风险管理十项原则
53.金融机构风险管理机制有效性研究——对风险管理长效机制问题的思考
54.论风险管理体系概念在法律层面的引入——以监事会的完善为目标
55.试论风险投资的阶段性特征及风险管理策略
56.国外体育风险管理体系的理论研究
57.学校体育运动风险管理研究述评
58.工程项目风险管理研究综述
59.我国建筑工程项目风险类型及风险管理对策研究
60.股权激励经理人道德风险的化解——全面风险管理视角
61.风险管理在隧道及地下工程中的应用研讨
62.我国工程项目风险管理进展研究
63.政府农田水利建设项目风险管理研究
64.银行风险管理、资本约束与贷款买卖行为分析
65.全面风险管理框架下商业银行风险预警机制的构建
66.药品安全与风险管理
67.不确定性、联盟风险管理与合作绩效满意度
68.企业风险管理中的风险沟通机制研究
69.廉政风险管理的分析框架:理论、过程和机制
70.风险管理标准化述评
71.企业全面风险管理(ERM)理论梳理和框架构建
72.风险管理:从被动反应到主动保障
73.构建企业税务风险管理体系研究
74.国外电力企业风险管理典型案例及其启示
75.糖尿病护理团队在风险管理中的作用
76.心血管内科重症患者的护理风险管理
77.公司治理、内部控制、风险管理与绩效评价关系研究
78.英美加澳和中国台湾地区医疗风险管理方法与评估工具的比较研究
79.山地自然灾害、风险管理与避灾扶贫移民搬迁
80.企业集成风险管理——企业风险管理发展新方向
81.金融衍生品及其风险管理——基于美国次贷危机视角
82.企业风险管理发展的新趋势
83.银行风险管理、贷款信息披露与并购宣告市场反应
84.内部控制、公司治理、风险管理:关系与整合
85.中小企业信用担保机构的信用与风险管理问题探讨
86.国家审计在地方政府性债务风险管理中的功能认知分析
87.区域生态风险管理研究进展
88.论城市公共安全的风险管理
89.从金融监管改革新形势看商业银行风险管理转型升级的着力点
90.门诊输液患儿应用静脉留置针的风险管理
91.国际巨灾风险管理文献计量分析
92.基于模糊认知图的生态风险管理探究
93.IPCC第五次评估报告对气候变化风险及风险管理的新认知
94.弹性企业风险管理体系建构的探讨——基于供应链弹性等领域的文献回顾与拓展
95.内部控制与风险管理关系辨析——基于概念演进的视角
96.基于风险管理的企业内部控制研究
97.药品风险管理:概念、原则、研究方法与实践
98.基于公司价值视角的企业风险管理有效性检验
99.浅析我国商业银行风险管理的现状
100.企业的风险管理及内部控制
101.不同主体在现代企业风险管理中的作用与责任
102.学校体育风险管理研究追溯与风险应对反思
103.软土地下工程的风险管理
104.从COSO框架报告看内部控制与风险管理的异同
105.论我国互联网金融市场信用风险管理体系的构建
106.推行护理风险管理提高护理服务质量
107.金融风险管理悖论的经济学释析
108.农业巨灾风险管理的比较制度分析:一个文献研究
109.论企业风险管理组织架构的设计
110.我国商业银行风险管理研究
111.浅析金融创新条件下的金融风险管理
112.从银行监管改革变迁看我国商业银行操作风险管理路径选择
113.金融机构风险管理机制研究
114.基于施工总承包模式下的地铁风险管理研究
115.构建我国商业银行碳金融内部风险管理长效机制
116.金融租赁公司风险管理体系构建初探
117.大企业税务风险管理探索
118.对我国商业银行信用风险管理的思考
119.伦敦城市风险管理的主要做法与经验
120.论商业银行全面风险管理体系的构建
121.新环境下的企业风险管理与风险导向内部审计
122.税收风险管理的范畴与控制流程
123.高校风险管理的现状分析及对策
124.进出口食品安全风险管理机制研究
125.中观信息系统审计风险管理的理论探索与体系构架
126.商业银行的信贷战略风险管理
127.风险矩阵在民航机务维修质量风险管理中的应用
128.金融风险管理理论论述
129.国际化大都市风险管理:挑战与经验
130.社会风险管理:框架、风险评估与工具运用
131.金融监管制度演变与金融机构风险管理
132.“营改增”后交通运输企业的税务风险管理能力——以沪市上市公司为例
133.社会保障风险管理国际比较分析
134.现代技术项目风险管理研究的理论热点与展望
135.论我国保险公司的风险管理
136.我国化学品的风险评价及风险管理
风险管理体系论文篇10
本世纪初以来,以不确定性为基本研究对象的企业风险管理(enterprise risk management,erm)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
一、企业风险管理理论概要及在我国的规范化实施
1.企业风险管理(erm)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(committee of sponsoring organizations of the treadway commission,coso)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(enterprise risk management integrated framework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。coso认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部 环境 、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的erm框架是通过对不确定性的管理增加股东价值,以共同的 语言 和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等 法律 法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威 指导 文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、 财务 风险、 市场 风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险 管理 理论 本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析 总结 的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、 历史 传承、 文化 特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的 药 方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的erm氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与 企业战略 有机联系;二是能够保证企业的风险管理战略、企业的 发展战略 与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险 语言 ,和畅通的沟通管道。任何一个erm框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
风险管理体系论文篇11
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月发布的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献
风险管理体系论文篇12
中图分类号:F272.1 文献标识码:A 文章编号:1006—8937(2012)23—0066—02
1 研究背景
随着人力资源在企业管理所处的战略地位越来越突出,人力资源在发挥重要作用的同时,其风险伴随性也有所增加。所谓的人力资源管理中风险主要是因为对人力资源管理的科学性、复杂性和系统性的认识不足,而在具体实施人力资源各方面工作中管理不当所造成可能性危害。一直以来,在人力资源管理的研究中,招聘、培训、考评、薪资等往往是关注的重点,而各个环节的所产生的风险往往被管理者所忽略,并没有引起足够的重视。一方面,人力资源所导致的风险多数具有隐性特征,不如生产、营销风险明显。另一方面,在人力资源管理领域中确实缺乏有效的预警系统,导致了风险潜伏,企业运作危险系数有所增加。随着企业的发展对高新技术的依存度日益增强,对人力资源的依赖也越来越大,如何实现有效的人力资源管理,防范人力资源管理中可能出现的风险逐渐成为了管理中的重要课题。有鉴于此,本文从实际出发,主要从原因、必要性、表现等方面探讨企业风险预警制度的建立,以期为企业人力资源风险规避提供切实可行的方案。
2 研究意义
本文的研究以企业人力资源管理实际为基础,可为企业构建人力资源风险管理体系和规避人力资源风险提供具体性、可行性的借鉴和参考,同时也有利于提升企业的人力资源风险化解能力,从而减少企业因为人力资源风险而带来的不同程度的损失,最终提升企业人才竞争力和促进企业的健康发展。
从理论意义上看,目前学术界对企业的人力资源、人力资本有了充足的研究,研究重点主要集中在人力资源管理成本控制,人力资源价值和资本化方面的探究,对人力资源管理中存在的风险研究成果并不多,而针对风险预警问题所做的研究较少,进一步探究系统构成在目前仍然是空白。本文的理论意义在于对人力资源管理中的风险预警问题做出探究,并结合理论与实践尝试系统构建,希望可以起到抛砖引玉的效果。
3 国外研究现状
从实践意义上看,人力资源管理中的风险具有不可避免性,而该类风险对企业所造成的损失往往难以估量,因此如何对风险所导致的损失防范于未然,在风险未完全成熟之前及时调整是重要的实践课题。本文的主要实践意义正是在于对这一实务问题的探索解决。
国外对人力资源管理的风险规避研究直接成果并不多,然而却提供了相关的理论支持,如著名心里学家马斯洛提出的需求层次理论,赫茨伯格提出的双因素理论,心理学家弗鲁姆提出的期望理论、工作—压力角色动态管理理论等,这些理论分别从员工需求、企业成本、工作环境创设等方面为人力资源管理风险预警系统构建提供了坚实的理论基础:
员工需求和激励研究以马斯洛的需求层次理论(Maslow''s Hierarchy of Needs)最受认可。这种理论认为每个人都有五种基本需要,分别为生理需要、安全需要、社交需要、尊重需要与自我实现需要,指出需要的层次越高,可变性越大,表现形式越多,加有利于他人和社会,并且具有长久的动力性。在马斯洛之后的赫茨伯格进一步提出双因素理论认为:能防止员工不满的因素称之为“保健因素”,而对于能带来满足的因素称之为“激因素”。保健因素包括有与上司的关系、与同事的关系、工作条件等10种。赫茨伯格认为,当保健因素获得相当满足只能消除不满意,又称为“维持因素”。激励因素能激励员工又称为“满足因素”。弗鲁姆的期望理论认为,当人们预期到某一行为带来既定的结果,而且这种结果对个体具有吸引力时,个体才会采取这一特定行为。它包括三个变量或三种关系。另外,亚当斯提出的公平理论认为,个体不仅注重自己绝对报酬的数量,重视自己的投入与所得与其他人的投入相比较的结果。他认为个人公平感的产生依赖于个人对所观察到自己的所得与投入之比和所观察到的可比他人的所得与投入之比进行比较的过程。当感到两者的比率不相同时则产生不公平感。工作—压力角色动态管理理论最早由汉斯提出,认为压力是一种动态条件,随着个体所面临的目标和环境而改变,因而在具体实施过程中应当随时调整管理方式。这些理论成果为系统的构建提供了理论基础和方法论基础。
4 研究内容以及方法
本文从企业人力资源形成原因入手,详细论述企业人力资源管理风险预警系统的建立必要性,理论基础、原则、组成模块和效果反馈,试图为企业风险规避提供全面的、灵活的,能同时反映企业需求和人才价值的风险预警系统,提升企业在人力资源管理过程中的风险化解能力,减少企业因为人力资源风险而带来的损失,最终达到企业和员工效率提升和价值发挥的现代企业管理目标。
