前言:中文期刊网精心挑选了风险管理体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险管理体系范文1
【关键词】内部控制;风险管理;公司治理;战略管理
受美国2002年出台的萨班斯――奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。
本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。
一、内部控制、风险管理的理论发展及其关系
(一)内部控制理论的发展
20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
2002年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。
我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。
(二)风险管理理论的发展
企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。
我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。
(三)内控体系建设与全面风险管理工作的联系和作用
全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。
二、宝钢在内控体系建设领域的实践
宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。
内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。
在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。
三、宝钢在风险管理领域的实践
宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:
(一)以法人治理为基础,建设风险管理的组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。
(二)与管控模式相结合,制定风险管理策略和流程
宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。
因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。
(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警
在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
四、整合的风险管理框架设想
通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如图1所示:
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。
(二)风险管理系统应与公司战略管理系统相整合
风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
【主要参考文献】
[1] 张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[2] 吴轶伦.内部控制自我评价[J]. 上海财经大学学报,2004,(4).
[3] 吴轶伦.内部审计职能的发展与风险管理模式的建设[J]. 冶金财会,2006,(3).
[4] 方红星.内部控制审计组织效率[J].会计研究,2002,(7).
[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社,2001.
[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3).
[7] 朱荣恩、贺欣.内部控制框架的新发展――企业风险管理框架 [J].审计研究, 2003,(6).
[8] 金或日方 ,李若山,徐明磊. COSO报告下的内部控制新发展 [J].会计研究,2005,(2).
[9] 严晖.风险导向内部审计整合框架研究 [M].中国财政经济出版社,2004.
[10] 宋夏云.现代风险导向审计模式的背景分析与理论创新 [J].中国审计,2005.
[11]胡春元.审计风险研究[M].东北财经大学出版社, 1997.
[12]吴轶伦.内部审计的风险管理模式[J].上海审计,2006,(1).
[13]郑石桥等.现代企业内部控制系统[M].立信会计出版社,2000.
[14]张国康等.内部控制制度[M].立信会计出版社,2003.
[15]课题组.现代企业内控制度:概念界定与设计思路[J].会计研究,2001,(11).
[16] Arthur A. Thompson.Jr and A.J.Strickland Ш,段盛华等译,战略管理.中国财政经济出版社,2005.
[17] Robert S. Kaplan and David P. Norton,刘俊勇等译.战略地图.广东经济出版社,2005.
[18] Larry F. Konrath, Auditing: A risk analysis approach, 5th edition, South-Western.
[19] Paul J. Sobel, Auditor's Risk Management Guide: Integrating Auditing and ERM, Aspen Publishers, Inc.
风险管理体系范文2
全面风险管理体系在部分央企、国企及上市公司中已经推行了一段时间,一些集团公司在风险管理方面取得了一定的成果。但是,最近笔者与不少集团企业的风控部门负责人沟通时发现,他们公司的风险管理工作并不尽如人意,比较集中的现象是:全面风险管理体系运作不畅,风险管理职能很难发挥。
到底是哪方面出了问题呢?笔者仔细询问了这些企业的风险管理工作推进情况,发现他们具有一个共同特征:在进行全面风险管理体系建设时,公司缺乏系统、有效的集团管控分析,没有将集团管控与全面风险管理体系进行融合。由于集团企业在全面风险管理体系运作时,经常会遇到跨层级、跨地域、跨产业的风险管理问题,总部需要对子公司的风险管理模式进行系统设计。唯有首先开展集团管控分析,将集团管控融入全面风险管理体系,才能使体系运转流畅,风险管理职能才能得以有效发挥。
一、为什么集团企业在全面风险管理体系建设之前必须首先进行集团管控分析?
1.从集团企业的特点看,需要开展集团管控分析
企业集团具有多层次的组织结构,一般由紧密联合的核心层、半紧密联合层以及松散联合层组成。集团公司是企业集团的紧密联合层,是集团的实体部分,逐步实行资产、经营一体化;半紧密联合层的企业可以以资金或设备、技术、专利、商标等作价互相投资,并在集团统一经营下,按出资比例或协议规定享受利益并承担责任;松散联合层的企业在集团经营方针指导下,按章程、合同的规定享有权利,承担义务,并独立经营,各自承担民事责任。
通常来说,集团企业具有“规模大、层级长、产业多、区域分布广、组织机构复杂”等特征,管控难度大,需要进行系统的集团管控设计。
集团企业的这些特点,要求公司在开展全面风险管理体系建设前,首先开展集团管控分析,从更高的和全盘的角度考虑全面风险管理体系的建设。
2.管控模式对集团风险管理工作开展有很大影响,要求集团企业必须首先进行集团管控整体分析。
不同的管控模式,对集团公司开展风险管理工作有很大的影响。一般来说,财务型管控模式的集团公司对下属公司的风险管理工作采取更加放权的方式;而操作型管控模式的集团,对下属公司的风险管理工作采取较为集权的方式;战略型管控模式的集团公司,风险管理工作则介于财务型和操作型之间。因此,在全面风险管理体系建设之前,需要首先明确集团公司的管控模式,分析其对不同下属公司的集分权强度,为风险管理工作明确方向。
3.从风险的分层分类管理需要来看,必须首先开展集团管控分析。
开展风险管理工作,必须明确集团公司管哪些风险,管到什么程度;子公司或事业部管哪些风险,管到什么程度;基层单位管哪些风险,管到什么程度。只有明确各自的风险管理分工和权责,才能保障风险管理责任得到有效划分,风险管理工作得以有效开展。以战略管理为例,只有通过科学系统的集团管控设计,明确集团各层级在战略管理工作中的权责界面,才能有效地组织开展战略风险管理工作。
例如,某集团是大型石油企业,管控模式为战略管理型。集团总部负责集团战略的设计、评价和调整,下属单位负责战略的执行和汇报。因此,战略设计风险、战略评价风险就主要由该集团的总部负责管理,主要责任也由集团总部承担;战略执行风险则主要由下属单位管理,主要责任也归下属单位承担。通过有效的权责划分,集团的战略管理风险才能得以有效的控制。
二、集团企业的集团管控与风险管理工作应该如何衔接?
集团企业的集团管控与风险管理之间是决定和促进的关系。集团战略规划决定了风险管理规划;集团管控模式决定了集团对分子公司的纵向风险管理模式;集团总部的定位决定了集团总部的主责风险;集团总部的职能设置决定了总部的风险对应部门;集团权责界面决定了各层级单位在风险管理中的责任划分;管控运作机制则决定了总部对子公司的风险管理措施。良好的全面风险管理体系是促进集团管控目标落地的重要保障手段之一,也能促进集团管控体系的完善。
1.通过明确集团战略,确定风险管理规划。风险管理规划是集团战略规划的重要组成部分,因此,风险管理规划必须结合集团战略目标制定,在集团战略的引领下开展规划工作。否则集团风险管理规划就成了为规划而规划的无用工程。
2.通过明确集团管控模式,确定集团公司对子公司的风险管理模式。不同的集团管控模式下,集团对子公司的风险管理强度是不同的:财务型管控模式对子公司的风险管控较为分散,操作型管控模式对子公司的风险管控则较为集中,而战略型管控模式对子公司的风险管控则处于中间,具体强度的把握与集团管控的控制强度一致。因此,在设计集团对各分子公司的风险管理模式时,需充分结合集团管控模式。
3.通过明确总部定位,确定集团总部的主责风险。通常情况下,集团总部定位有:战略决策中心、风险管理中心、资本运作与产权管理中心、人力资源管理与服务中心、资源整合与共享中心、企业文化与品牌建设中心、信息系统支持中心、生产协调中心、资金管理中心、财务核算中心等。不同的集团总部定位,决定了集团总部的主责风险。例如,总部若定位于生产协调中心,则总部必须承担生产协调失误的风险,并对此负主要责任,而企业如果定位于资金管理中心,则总部必须对资金的调度和安排负有主要责任,对因资金管理不善带来的风险承担主要责任。
4.通过明确总部职能设置,确定总部主责风险的对应责任部门。总部职能部门的设置情况,对总部风险对应部门的划分有着重大影响。例如,总部可以设置专门的资产管理部,负责统筹管理集团的有形资产和无形资产,也可以将资产管理的职能放在财务资产部管理,但两种方式下,总部资产管理风险的主责部门发生了变化。同样,集团公司可以设置专门的风险管理部门,也可以将风险管理职能放在审计部门或企业管理部下,再或者放在法务部下(目前不少企业采取了这种方式),三种方式下,集团公司的风险管理的统筹部门是不一样的。
5.通过权责界面划分,确定总部与子公司的风险责任划分。权责界面划分,确定了总部管什么,管到什么程度程度,下属单位管什么,管到什么程度程度。合理的权责界面划分,有利于明确在企业管理过程中各部门的权力和责任,也有利于此间各部门风险管理专兼职人员应承担的责任和义务。
6.通过管控运作机制构建,实现对子公司风险的有效管控。管控运作机制主要有六大类:
(1)管控会议机制:经营管理层确立例会体制,研讨解决各类重大问题;
(2)管控报告机制:经常性的报告报表统一格式模版化,保障信息畅通;
(3)管控推模机制:建立推模团队运作机制,内部学习,PDCA循环改进;
(4)职能委派机制:将总部派往子公司的相关人员纳入管理范畴;
(5)业绩监控机制:设计子公司偏差分析与经营分析体系;
(6)风险预警机制:建立风险预警指标,通过对风险预警指标的管理,事前防范风险。
集团总部通过构建以上六大管控运作机制,实现对子公司经营管理以及风险的有效管控。
风险管理体系范文3
关键词:商业银行;风险管理;管理体系职责
引言
随着经济全球化不断加深,国际金融环境对于国内的金融行业影响也是越来越大,国内商业银行所背负的运营风险也是越来越高,如何有效规避这些运营风险,提升自身风险管理水平对于商业银行发展具有重要影响。而风险管理体系的构建对于提升商业银行风险抗击能力,增强商业银行自身竞争力,实现我国商业银行的长远战略发展具有重要价值。
一、商业银行风险管理体系及职责
1.系统组织
组织系统是风险管理体系中的基础,是直接决定银行风险管理方向和方法,在商业银行内部应该建立起独立的风险管理部门,直接接收董事会和风险管理委员会的领导,完成商业银行中从上到下的风险管理责任和任务。在组织系统结构上主要包括以下几个部分:一是董事会,这一部分是商业银行风险管理体系中的最高决策机构,决定商业银行风险管理的方向和决策手段,同时也对商业银行的市场风险负有最终责任。其机构职责主要是负责对商业银行在运行过程中遇到的各类商业风险进行辨识,并根据市场风险制定相应的管理战略,确定风险管理目标和方向。再者,董事会还负责为商业银行各项风险管理活动的开展提供人财物等全方面支持;二是市场风险管理委员会,这一部分是直接隶属董事会的机构,独立于商业银行中的其他机构和部门,为董事会提供市场风险管理控制服务,并对董事会负责,对商业银行在发展过程中的市场风险进行量化分析,并通过报告形式向董事会进行上报,为董事会提供银行市场风险管理策略方面的参考;三是市场风险管理部门和参与部门,管理部门主要是直接对董事会和风险管理委员会负责,只要职责是独立于其他部门执行董事会和委员会所下发的风险管理战略,根据市场风险报告来制定具体的风险管理措施和管理程序,对各部门在市场风险措施上的尊周情况进行监督,并定期向董事会和管理委员会进行报告。其他参与部门包括银行中其他的一些支持性部门和业务经营部门,有其他部门的配合实施,商业银行中的风险管理体系才能彻底运转起来,发挥其风险控制管理职能,从而有效规避商业银行风险。
2.战略系统
战略系统主要是包括两个部分,分别是资本配置和战略规划,其中战略规划的职责主要是为商业银行风险管理提供战略规划和政策,并使风险管理战略符合商业银行总体发展目标和实际资本实力,在具体的风险管理战略制定上,战略规划系统主要是负责对商业银行在业务开展方面的市场风险承受能力,商业银行风险管理组织机构权责分配,商业银行运行风险识别监测和控制手段,商业银行重大风险应急处理方案等等,商业主要依托战略规划系统来制定相应的风险管理策略;资本配置系统主要是对商业银行的资本配置有效性负责,使商业银行的资本配置能够满足风险管理需要,为商业银行对抗运行风险提供充足资本支持。因而资本配置系统的核心人物就是对风险资本进行限额处理,这样能够确保商业银行所有的运行活动都在资本配置范围之内,使商业银行本身所具有的风险管理能力和其自身的资本实力匹配,从而为商业银行的风险管理体系运行提供强有力的后盾支持。
3.实施系统
实施系统,顾名思义主要是负责对商业银行在运行过程中出现的风险进行识别、监测,同时采取相应的措施来对风险进行控制管理,确保商业银行的运行风险能够维持在安全线以下,为商业银行的运行发展保驾护航。实施系统是整个风险管理体系中的执行系统,其职责主要是包括以下几个方面,一是对风险进行识别,对商业银行在金融市场运行过程中出现的信用风险、市场风险和操作风险进行识别,对可能发生的潜在风险进行分析识别,并对其进行收集处理;二是对风险进行计量,对识别系统收集来的原始数据进行计算处理,对商业银行的运行风险价值进行分析计算,为最终的风险报告提供数据;三是对风险进行监测,商业银行在运行过程中经营风险也是在不断发生变化的,需要监测系统对商业银行运行过程中的风险变化进行全程监测,并且及时作出相应反馈以便上层委员会能够及时做出反应,针对性采取相应的风险控制措施。
二、商业银行风险管理体系的几点原则
在商业银行管理体系运行过程中,管理层还应该贯彻以下两点原则:一是讲究效率,二是部门约束原则,其中讲究效率原则是基础,商业银行运行过程中风险瞬息万变,只有快速做出反应落实各项风险管理策略,才能有效发挥风险管理体系作用。因而在风险管理体系过程中一定要提升各个机构的管理效率,使得上层的管理策略能够迅速贯彻到下层执行部门当中,同时下层的风险变化能够及时反馈到上层机构当中,使整个管理系统顺利运行起来;部门约束原则则是风险管理体系运行的保证,只有对各个部门的权责进行明确约束,避免出现其他部门越权等现象的出现,风险管理部门才能获得独立性和自主性,才能发挥风险管理控制作用。
三、结语
商业银行风险管理体系是复杂完整的体系,且包括多个子系统,每个系统所负有的职责不同,只有将每个子系统的职责充分发挥出来,才能大幅度提升商业银行的风险管理水平,为商业银行的运行保驾护航,因而商业银行管理层应该加强对风险管理体系构建的重视,在讲究效率和激励约束原则基础上全面构建风险管理体系,不断推动自身银行在金融市场中的向前发展。
参考文献:
[1]施威,臧建玲,王宏,郎小波.基于农户小额贷款视角下的我国商业银行风险管理研究[J].中外企业家,2011(02).
[2]蒋耀萱.大数据时代我国商业银行风险管理的问题研究[J].中国商贸,2015(16).
风险管理体系范文4
【关键词】企业管理 风险管理 风险分析 管理体系
一、风险管理理论体系
(一)企业风险管理定义
企业风险管理主要是在企业生产经营全过程中,企业管理人员对影响企业发展的潜在风险因素进行分析,通过分析控制企业风险,确保企业高效有序运行,保障企业的总体目标的实现的一种管理方式。企业风险管理措施主要指企业面临风险时所采取的管理应对措施。它比内部环境管理控制概念更加广泛,它考虑的不仅仅是企业内部的环境建设,还包括了企业的其他方面的因素,比如说市场因素、社会因素、自然因素等。所以企业风险管理涉及企业的方方面面,为企业的正常发展提供有利的条件。这也就需要企业在建设时,加强对企业风险管理的投资,引进高科技管理人才,建立一支强大的风险监督管理系统。
在管理过程中,美国COS0_ERM定义:风险管理过程过程受董事会、管理层和其他人员的影响,从企业战略的制定一直贯穿到企业的各项活动中,用于识别那些可能会影响到企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得确定的目标。《中央企业全面风险管理指引》定义:全面风险管理主要是围绕企业总体目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)企业风险管理的发展
传统风险管理主要是从20世纪30年代到20世纪90年代,这一阶段的风险管理体系较为松散,整体管理效益较为低下,管理存在诸多漏洞。传统风险管理起源于美国。美国经济危机导致人们对风险的认识开始上升,对风险的威胁认识开始逐渐加深,由此相关人员在进行企业管理的过程中开始建立风险管理意识和风险管理体系。20实际30年代,美国科技进步在很大程度上促进了风险管理的发展,为风险管理的建设提供了基础。1931年风险管理概念由美国管理协会首次提出,风险管理开始在企业中扎根生长。
传统风险管理主要分为三个阶段:第一阶段,原始管理。第二阶段,初级阶段。第三阶段,风险管理的高级阶段。原始阶段主要以原始管理结构为基础,主要是对人员的风险控制。初级阶段主要是非连续性的管理结构,风险控制取决于主要管理人员。风险管理的高级阶段建立以人的行为为目标的管理体系,实现对权益、权利、职能等的全面约束。我国当前的风险管理主要处于此阶段。
现代风险管理阶段主要是从上世纪八十年代末、九十年代初到目前,在这一阶段的风险管理主要表现出:
第一,风险管理高度系统性和统一性。全面风险管理的目标开始统一,在目标的基础对企业利益进行分析,对风险进行取舍,实现企业的风险把握选择,确保企业又好又快发展。
第二,信息平善。在本阶段的风险管理已经实现了高度的信息共享,在很大程度上对市场信息进行分析,提高了市场决策及经营效益。
第三,数学模型风险分析。当前的风险管理技术已经有了很大提升和改进,在进行传统定性分析的基础上,相关人员通过运用大量的数学模型有效实现了对风险的控制,对企业在各方面的风险承担指标及承受力进行准确分析。
(三)全面风险管理体系结构
1.风险战略。风险战略主要是企业在进行风险管理的过程中严格依照风险管理方针及行动纲领进行的管理活动。在该过程中风险战略有效对企业的风险偏好程度、企业的风险度量标准、企业风险管理的指导方针及风险量化的模型进行指定,实现了对企业风险的综合指导。
风险战略在企业中的指导作用主要表现在:(1)风险战略对企业的风险管理方针进行制定,为企业的风险管理活动建立综合战略核心;(2)风险战略对企业的风险量度标准进行制定,建立了风险管理资源及重点的分配基准;(3)风险战略在企业战略激进程度的基础上对企业的风险进行全面指导,完成企业业务组合的选择;(4)风险战略对量化模型进行确定。
2.风险管理组织。风险管理组织主要是在风险意识的前提下确定的企业的组织结构和组织关系。风险管理组织可以在很大程度上促进风险管理的实现,提高风险管理效果。通过风险组织管理,企业可以对各种风险进识别、分析、评估、判断,并采取有效措施来进行预防与控制,实现企业自身的安全。企业风险管理组织职能主要包括:(1)企业风险管理组织可以有效降低风险复杂程度,实现风险资源统一管理,确保风险目标实现。(2)明确风险管理组织责任,对风险管理责任岗位进行明确,形成责任化体系。
3.风险管理信息系统。风险管理信息系统主要是在风险管理的过程中为风险管理环节提供信息的系统。风险管理信息是影响管理效果的关键因素。当前我国市场变化多样,市场整体环境较为复杂,信息系统的及时、准确、有效可以在很大程度上提高风险管理的效果,对企业的风险进行控制。风险管理信息系统是企业风险管理和企业风险控制战略的良好载体,可以有效建立在企业内部风险沟通桥梁,为化风险提供有效资料。
4.内控系统。内控系统主要是对风险战略提供基础的风险信息,提高风险控制效果。内控系统主要由一系列政策和程序组成,可以对企业的风险进行提前预防、适时管理、及时反馈,确保从本质上加强风险管理准确性,提高企业的风险管理效果。
内控系统通过将内部控制制度、企业管理行为、减少风险三项目标作为控制核心,实现对风险管理的连续性、综合性控制,是当前企业风险管理的实际操作核心。内控系统的控制效益直接影响了企业风险管理的实际效果。
5.风险理财。风险理财主要是通过企业金融手段进行风险管理的一种方式。常见的风险理财方式主要包括:风险斛存、风险转移、风险控制和风险规避。通过风险理财可以实现风险融资,有效对企业的风险进行最优化平衡,实现风险理财全部留存和全部转移的平衡。通过风险理财不会改变风险本身的可能性,也不会降低损失程度。
二、企业风险评估方法及体系
(一)企业风险评估方法
企业风险评估方法主要包括财务风险度量法、战略风险度量法、巴塞尔新资本体系风险评价法、COSO框架下风险评估法。
1.财务风险度量法。财务风险度量法主要代表方法为标准化调查法、四阶段症状分析法、三个月资金周转表分析法、流程图分析法、管理评估分析法五种。
标准化调查法主要是通过专业人员、调查公司等对企业可能遇到的问题进行详细调查,确保企业能够完成整体的风险分析;四阶段症状分析法主要通过对企业财务危机潜伏期、发作期、恶化期、实现期进行分析评估,对企业的风险因素进行分析,确保企业摆脱财务困境;三个月资金周转表分析法主要是对短期的财务进行预警,主要通过对企业的理财环境进行分析,确保建立高度安全性的资金周转表,提高企业效益;流程图分析法通过企业在运行过程中可能出现的风险进行分析,实现潜在风险的动态管理,有效提高管理效果;管理评估分析法总分是100分,企业所得分数越高,处境越差。这种管理评分法试图把定性分析判断定量化,实现对企业全方面的细致了解,对企业的管理进行客观公正的评价。
2.战略风险度量法。战略风险度量法主要是对传统战略风险管理的细化,该方法通过对传统风险管理阶段和主观风险管理阶段的风险度量进行分析,实现了资源、营销指标、尺度等评定。
战略风险度量法中的状态确定主要是通过在企业发展过程中能够对企业竞争地位指标造成影响的因素进行研究,实现对企业发展的综合控制。战略风险度量法通过运用CAPM模型对战略及风险关系进行言几句,实现了风险相关多角化的分析。
3.巴塞尔新资本体系风险评价法。巴塞尔新资本体系风险评价法包括资本分类、风险权重计算标准、1992年资本和资产的标准比例和过渡期的实施安排、各国监管当局自由决定的范围四项内容。巴塞尔新资本体系风险评价法通过对RAROC技术进行研究,实现了当前风险的有效控制,已经在我国的商业银行中得到广泛应用。
4.COSO框架下风险评估法。COSO框架下风险评估法主要是对内部因素和外部因素进行综合分析,实现对影响企业目标进度因素的控制。在该过程中,企业要对风险中不同的目标进行整体改进,根据企业管理和企业未来潜在事件对企业今后的风险因素特征及风险因素潜在可能性进行分析,完成对企业规模、经营复杂性、企业活动监督管理程度的综合评价。COSO框架下风险评估法通过及时地发现、预测和防范风险,将企业的损失降到最低点。COSO框架下风险评估法对企业带来的危害,也能够在风险中把握机遇,通过对风险的进一步分析做出相应的决策,为企业创造出更多的价值,带来更多的利益,实现企业的最终目的。
(二)风险评估体系的构建
在进行风险评估体系管理的过程中,相关人员要对企业的风险管理中的风险事件、风险识别、风险评估、风险反应进行控制,实现风险管理体系基本构建。
风险事件主要是对进行企业风险管理过程中企业无法认识到的不确定因素进行分析。在该过程中企业要对可能出现的潜在事件进行综合分析,对企业内部和外部因素进行充分考虑,对企业的风险管理进行彻底贯彻落实,降低外部因素和内部因素对企业的影响效果。风险事件可以在很大程度上影响企业的风险管理效果。
风险识别主要是在明确企业的经营目标后对企业的整体战略活动进行的风险分析识别。在进行风险识别的过程中,操作人员要对企业的内部风险识别制度和风险识别因素进行充分分析,确保风险识别分类的有效性。要通过风险分类、寻找风险源、衡量风险实现对企业风险的基本评估和自我评估。
风险评估主要是在进行企业风险控制的过程中对企业的设立进行辨认、分析、管理的机制。风险评估过程中要对企业的内外环境风险、信息系统风险、资产风险、经营活动风险、合法性风险等进行机制分析,对高风险区域进行确定。风险评估包括风险辨识、风险分析、风险评价三方面。要充分对企业的风险进行研究,从长期角度提高对风险的认识,确保从本质上提高企业的经济效益。
风险反应主要是在完成上述的风险评估后对评估结果操作进行评价,通过对企业期望风险的承受度选取合理的应对措施。
三、企业全面风险管理体系结构框架
通过风险管理降低系统风险,提高企业应对风险的能力,已经成为企业管理的重中之重。
企业全面风险管理体系结构框架主要是依据对企业通用的风险管理模型、风险管理语言、企业全面风险管理的内部环境进行研究建立的管理结构框架。
(一)企业控制体系构建原则
在进行企业内部控制体系构建的过程中,企业要严格遵守以下原则:
1.全面风险管理原则:企业内部控制要对企业的战略市场、财务管理、信息化建设、人才管理等方面风险性进行全面分析,将控制体系渗透到企业管理的方方面面。
2.独立性原则:企业内部控制机构要与风险管理相符合,保证部门之间的相互独立性,确保利润与风险控制相平衡。要严格依照风险管理要求进行管理,确保风险管理的总系效果。
3.协调与效率原则:企业部门之间要对自身责任进行明确划分,确保风险管理责任明确化。要对各部门之间的信息及时进行交流与沟通,确保部门之间协调配合,增强合作效果。部门之间要建立完善的监督管理机制,实现对风险管理的监督控制。
4.开放及重要性原则:企业风险管理框架要对外部优秀企业风险管理进行吸纳,对本企业风险管理重点进行突出,重结构、重环节、重部位。
(二)企业风险管理控制措施
1.提升管理人员素质。在进行企业风险管理建设的过程中,管理人员素质水平的高低直接决定着企业风险管理质量的好坏。企业管理者素质的提高,不仅有利于企业内部环境建设,还能够提升企业的对外素质形象,赢得更好的市场环境。因此,企业要加强对员工的素质教育。提高企业员工素质道德,需要对员工进行培训。企业在进行风险管理的过程中要对管理人员进行素质教育,确保管理人员能够严格依照管理制度和管理体系完成风险管理的整体评估,提高企业在过程中的实际操作效果。
2.推进内部制度标准化。建立企业风险管理控制制度,确保企业以内部控制管理为基础,保证风险管理整体化、合理化实施。要建立完善管理制度,加强对企业管理的监督。企业良好的发展,不仅要依靠企业管理者素质的提高,还应该建立完善的企业监督体制。企业监督机制的确立,能够更好的对企业进行监督,尤其是对企业高层管理者的监督,能够减少企业不良风气的出现。在企业中,高层管理者的行为作风会影响到整个公司的风气建设,而这种机制的建立能够避免不良风气的形成,降低企业内部管理存在的风险。
3.确保会计信息通畅。在进行企业内部控制风险管理的过程中,企业人员要严格保证会计信息的准确性,保证会计信息通畅,确保风险管理人员在第一时间得到有效的风险管理信息。要建立完善的风险信息管理体系,对企业经营状况、财务对账真实性进行监督,构建良好企业经营实时监督管理控制系统。要加大信息的公开化、透明化程度,从本质上提高财务信息的准确性、真实性。
4.构建权威审核体系。在进行企业风险控制构建的过程中,企业要建立权威的内部审核体系,确保对风险管理信息及风险管理数据进行准确控制盒分析。要实行董事会、法人代表、监事会直接指挥下的派驻制,派驻人员要保证与派驻区域或部门不存工作紧密关系,保证工作关系平行,从本质上实现业务监督分离。要对派驻内部人员的工资、福利、人事等进行全部分析,确保派驻人员与区域不存在利益关系。由企业董事会直接进行监督、控制和管理。
5.加强企业内部文化。在进行企业风险控制的过程中,企业要加强对人员的内部文化控制,建立良好风险管理内部环境。企业文化建设需要加强对企业员工的培训,增强员工的责任意识,充分调动他们的工作热情,营造一种和谐的企业氛围。让员工在企业中感受到温暖,使企业管理更加人性化。定期对企业员工进行培训,提高他们的文化素质,增加他们对公司的信任感。
四、总结
随着当前我国经济的不断进步,全球化趋势的不断加强,风险管理已经成为影响企业全球化和经济化的关键。在进行企业风险管理的过程中,通过对风险观和风险管理进行正确认识,对面临的风险进行准确识别和判断,可以在很大程度上提高企业的经济效益,实现对企业高效管理和控制。风险管理体系作为现代管理科学体系的核心内容,实现了企业由单纯性生产到风险预算生产方向的转变,加强了企业对自身发展的认识,实现了对自身发展的综合性、系统性、战略性评价,对我国企业发展具有非常好的促进效果。
参考文献
[1]陈柳,钦张琴.论全面风险管理框架体系的构建[J].学说连线,2009,4(22):12-13.
风险管理体系范文5
(一)宝钢对风险管理工作的理解
为提高公司管理水平、增强在国际市场的竞争力,不断提升股东价值,宝钢决定推进全面风险管理体系建设,并根据《中央企业全面风险管理指引》(以下简称《指引》)要求,建立起了“以良好公司治理为基础,构建业务部门、风险管理部门和内部审计机构三道防线”的风险管理理念。结合宝钢经营管理实践,明确了风险管理体系建设的总体目标:即围绕宝钢战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。
同时,宝钢还认识到为了充分有效地利用风险管理,必须将风险管理的精神深植于企业的组织文化和员工的心中,并透过一个强有力的风险管理框架,将风险管理融入企业日常的作业程序中。建立企业风险管理框架的核心是使管理者明确组织正面临怎样的风险、这些风险如何随经营环境的变化而变化、组织应承担何种水平的风险、应如何管理这些风险。一个良好的适合本企业的风险管理框架应达成以下目标:将风险偏好与企业战略相联系;确保风险管理战略同组织的发展战略和股东的价值相一致;提供鉴别和评估风险的工具,以利于鉴别和评估组织所面临的风险;提供对风险进行科学归类的工具,利用风险最优化的概念,以组合观为基础来探讨风险议题;将企业风险管理与基本的经营活动相整合,避免额外的成本支出。
(二)宝钢开展全面风险管理的情况
宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,并明确了相应职责。第二道防线建设:成立了“全面风险管理体系建设领导小组”,明确了风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部门负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性做出评价,及时发现流程中存在的问题,提出内控完善的建议。
在风险的系统识别方面,宝钢以企业的价值目标为抓手,从满足股东期望、收入增长、毛利增长和提升资产利用效率出发,识别公司的风险减值点。由企业40余个价值因素分析而成的关键整体风险列表是归纳减值点的依据,减值点可用以追踪在公司层面监控的重大风险,而各业务部门是风险识别及防范的一线,因此,必须将减值点及整体风险分配到部门,确定风险责任人,由基层入手开展全面风险管理工作。项目组根据单体风险档案涉及的业务部门,总结与该部门相关的所有减值点,并将其归纳成册,便于公司领导及业务部门查阅与其工作岗位相关的所有减值点及风险档案。
在风险分析工具方面,宝钢借鉴质量管理中常用的SIPOC 模型来分析关键风险点。SIPOC(Supplier 供应者,Input 输入,Process 流程,Output 输出,Client 客户)作为过程管理和分析改进的常用技术,是识别业务流程核心及关键风险点的首选方法。通过使用这种方法,我们可将业务流程(如某减值点)分解为若干关键点,并明确其目标和涉及的人、财、物、流程等要素,以确保对该流程所涉及的风险进行全面梳理。
在风险预警和应急预案方面,建立起了财务预警指标体系,以财务会计信息资料为基础,以计算、统计、分析、监控等方法为手段,对公司可能或将要面临的财务风险进行实时监控和预测警示,使得对财务风险以及可能造成的损失,可以通过财务指标的计算和分析得到了量化衡量、预警,以便公司及时采取预防措施,防范、化解或规避风险。此外,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
二、实施风险管理的思考
(一)体现整体风险组合观
风险管理要求从整个企业组合的角度来考虑风险,一个部门的风险很可能与其他部门或企业总体密切相关,独立应对该风险可能无法达到期望的效果或无法应对;一个风险的应对措施也可能会带来其他的风险,单独考虑风险应对措施反而可能导致公司整体风险的加大;一个风险可能属于风险容忍度范围之内不需要采取应对措施,但类似风险在不同部门同时发生则就会产生超出风险容忍度范围,而应采取风险应对措施;一个风险可能与其他风险形成互补,独立应对该风险可能会造成资源重复浪费等。因此,在考虑每一个风险应对策略和具体措施之前,应从整个企业的角度去分析风险,以决定哪些风险可以从公司层面采取措施进行整体应对;哪些风险需要跨部门的配合才能有效应对;哪些风险可以在企业内部形成互补,而不必采取不同的应对方案;以及哪些风险同时发生可能会对整体造成严重影响等。
综合考虑风险的方式可以是:每个部门识别和评估风险之后,出具一份综合评估风险的报告,反映出该部门的主要风险及与其他部门的关联度。高级管理层授权风险管理部门对每个职能部门的风险进行整理和分析。风险管理部门召集相关部门研究讨论,从而提出风险组合应对的建议,由高级管理层作出决策。
此外,笔者在工作中经过长期的思考分析,认为风险管理工作要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如下图1所示。
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)认为,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者利益而对管理层提供指导、授权和监督的过程。董事会作为公司最高治理层不可能实施日常的指导和监督,而必须依赖其它主体――高管、经理和审计师来帮助其实现治理的目标。
董事会、高管、内部审计和外部审计是有效公司治理的4大基石,整合风险管理与公司治理就是在前述公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,只有高管和风险主管应当直接承担风险管理的责任。
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策,由高管确定风险管理的偏好,由战略管理层确定风险管理流程、文件和模型,在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
(二)注重减轻风险产生的不利影响和管理的持续改进
除了尽可能减少风险发生的可能性,还应该考虑如何采取有效措施,减少风险发生后的影响。应急计划和业务持续计划能够尽可能的在最早时间处理发生的事件,从而减少风险的消极影响;同时,还应考虑采用合同、保险或其他金融工具等手段,尽可能的减少公司财务损失。
在选择一个或几个最合适的能够将风险控制在风险承受度以内的措施时,需要考虑不同备选措施的效果和成本,即风险应对原则上要求其管理风险所需的成本与其所带来的收入相当。在比较成本与收益时,考虑的因素包括:
(1)直接的或间接的成本、有形的或无形的成本以及财务或非财务成本;
(2)单独的应对方法或组合方法;
(3)慎重考虑那些发生可能性较小但却很严重的风险;
(4)考虑对股东价值的影响;
(5)考虑应对风险的预算,区分优先顺序;
(6)应对措施针对现在控制不足,且该措施的落实可减少该风险的来源;
(7)风险应对可能本身带来新的风险。
每个风险应对方案都会产生一些直接或间接的成本,需要对其产生的效益进行权衡。要考虑设计和实施一种风险应对方案的初始成本,包括流程设计、人员、技术投入等,也要考虑维持该风险应对方案所产生的成本。管理层可以采用定量或定性的方式衡量成本和相关的收入,在很多情况下,风险应对的成本和收益是不容易量化的,需要主观判断。持续改进过程的步骤是一种基于PDCA(Plan计划,Do执行,Check检查,Action处理)循环的系统化问题解决方法,改进通常是阶段性的,要观察每个阶段各个过程的整体效果,而不是分散进行。不然的话,分散优化会降低整体的效率。风险评估基础的建立、风险识别从第二年开始以少量更新为主;风险评估、风险应对、风险测试、风险监控与再确认、风险报告应每年至少循环一次,整个体系持续改进。具体的步骤如下:(1)识别风险流程改进机会;(2)评价需改进的流程;(3)分析具体实施中存在的问题;(4)采取措施;(5)确认改进的结果;(6)改进方法标准化;(7)为下一阶段或未来进行计划。
此外,良好的风险管理工作还需要每年进行一次循环。在风险管理体系初步建立后,公司需要求各部门再次进行识别本部门单体风险,建立风险档案,并汇总成公司整体风险的工作,上述工作无需每年进行,而是在必要时在现有风险库的基础上不断更新。从风险排序开始到年度评价考核和总结的各步骤,每年需要重新开展,从而实现年度的PDCA 管理闭循环,但每年工作重心将有所转移,体现当时的管理热点。同时,风险管理体系与内控体系有效融合,也使得风险评估的结果引导着内控手册定期更新和内控自我评估。所以说,风险管理工作是个循序渐进,不断完善的过程。
主要参考文献:
[1]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005(2).
[2]吴轶伦.内部控制自我评价[J].上海财经大学学报,2004,(4).
[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会,2006,(3).
[4]方红星.内部控制审计组织效率[J].会计研究,2002,(7).
风险管理体系范文6
建立健全相对独立的风险管理组织体系
欧洲商业银行风险管理在组织制度上越来越严密,形成了由董事会及其高级管理人员直接领导的,以独立风险管理部门为中心的,与各个业务部门紧密联系的内部风险管理系统。
风险管理是银行董事会的重要职能
董事会在风险管理中发挥着至关重要的作用,风险管理战略及政策均由董事会审批。欧洲商业银行在董事会一般设有专门负责风险管理的专业委员会,例如,巴黎银行设有内部控制与风险管理委员会,德意志银行、瑞士信贷设有风险委员会,法国兴业银行设有风险执行委员会。
风险管理委员会由高级管理人员和专家组成,主要包括执行总裁、各地区高级经理、财务总监、信贷部主任、风险管理部经理以及风险管理专家。尽管由于各银行所处经营环境和企业文化方面的差异,各银行风险管理委员会职责也不尽一致,但总体来看,董事会的风险管理机构主要是负责集团整体风险管理战略和政策层面的问题,包括战略和政策的制定或审批,审批限额豁免,集团风险容忍度的确定等,以保证银行风险在总量与结构上均与风险管理目标一致。
例如,巴黎银行的内部控制和风险管理委员会主要负责审查内部控制、风险测量、监控系统的报告,以及由总检查单位准备的相关报告和检查结果,并与监管机构保持联系;审查集团的总体风险政策;与总检查单位和内部审计负责人、集团风险管理部负责人等就集团风险问题进行讨论。瑞士信贷银行的风险委员会主要负责提供有关风险治理的指南,提出风险限额,帮助董事会履行对集团的风险监控职责,审查主要风险情况。董事会的审计委员会则主要负责在财务报告、内部控制、会计、风险管理和法律及遵循等方面帮助董事会,以及审查内外部审计师的独立性。
在银行(集团)管理总部设立相对独立的全面风险管理机构
欧洲银行在风险管理机构设置方面基本上都是采用类似“矩阵式”的、全面、分层次的风险管理模式,即除了在集团设立综合的风险管理部门之外,还在风险管理部下按风险特性设立专门负责信用风险、市场风险、操作风险管理的风险管理部门,并按业务线、区域设立或派出相应的风险管理机构。
保持风险管理部门相对独立性。风险管理部门既要与各业务部门保持密切的联系和信息畅通,同时又要有独立性,使风险管理决策和业务适度分离。
以独立风险管理部门为中心的风险管理系统的运行是欧洲商业银行风险管理的重要特点。例如,巴黎银行在集团总部设有集团风险管理部,作为内部控制系统的一个重要组成部分,与其他内控部门和业务部门负责人共同构成内部控制组织框架。该部由非常优秀的风险管理专家组成,完全独立于业务部门、业务线和地区机构,直接向集团执行管理层报告。具体职责包括:负责测量、批准和控制集团层面的风险,并起草、传递和应用相应的风险管理规则和程序;确保银行承担的风险符合风险政策、盈利能力和信用评级目标;对集团经营过程中出现的各种风险进行干预。巴黎银行从基层到高层的每个级别的风险管理者和业务经营者都是相对独立的,并各自向上级负责和报告,从而在制度上保证了集团风险管理部门的决策能够较好地反映其真实、客观的看法,同时也并不仿碍同级风险管理者和业务经营者之间相互交流和沟通。当出现相互协商无法解决的问题时,双方都会将问题提交上一级负责人协商解决。
在各业务线或各地区针对主要风险设置相应的风险管理机构,实行“矩阵式”风险管理。各业务部门设有风控人员,风控人员对上一级风控官负责,而不对业务部门的负责人负责。分行对管辖区内的整个风险控制过程和结果负责,这是欧洲商业银行落实全面风险管理理念的重要体现。
例如,巴黎银行在集团风险管理部下又分别设立了国际企业客户信贷风险负责人,法国本土客户信贷风险负责人,处理与金融机构风险的负责人,还有一个操作风险管理部,以及一个风险研究部门,该部门负责研究特定的风险和制定新的风险制度。此外,风险管理部还有各种小组,如工业专家小组,负责跟踪特定的产业的风险。目前,该集团在全球有800多人负责风险管理,其中信贷风险管理人员就有350人。
在德意志银行,集团风险委员会将其职责部分转移给下属的专业委员会,如集团信贷政策委员会、集团操作风险管理委员会等。德累斯顿银行的风险控制部内设置了6个二级风险管理机构,即战略风险与集团资金风险控制部、信用与交易对手风险控制部、投资银行风险管理模型算法一部、投资银行风险管理模型算法二部、投资银行市场风险控制部、操作风险控制部。这些部门的职责分别有:战略性风险控制、集团流动性风险控制、集团资产负债管理等;全行投资组合分析与风险控制、国家风险投资组合分析、交易对手和发行者风险监督、信用风险模型化管理等;利率产品、信用产品、股票外汇产品交易风险管理模型与算法;交易对风险、结构型产品和证券化风险管理模型与算法,投资组合模型与风险市场数据等。
强化有效的风险管理运作机制
作为风险管理的重要一环,欧洲银行非常重视建立和执行严格的风险管理运作机制。
严格的审批及其汇报流程
欧洲商业银行按照客户风险评级,执行严格而又有弹性的审批流程。授信审批权限的划分一般是根据对项目的内部评级决定的。巴黎银行根据违约率将公司客户分为12级,其中1~8级客户为最好、好和平均质量的客户,9~10级为需要集团风险管理部密切关注的客户,11~12级为可能违约的客户。如果项目级别是1,表明项目质量很高,就由当地分支机构的信审部门处理;如果评级是6,就必须由巴黎银行总部负责决策。从授权程度来看,比较小的分行批准的权限很小,较大的分行批准的权限也比较大。这种审批体系一方面使大量的信贷能够在当地分支机构得到及时处理,提高了对市场的反应速度,另一方面通过适当的集中也能控制风险。据该行人员介绍,有70%左右的项目可以在分行本地处理,只有30%的需要上交到巴黎总部处理,但这30%的项目却占有了70%的授信额度。
在德意志银行,一是通过内部风险评级确定风险暴露程度,根据客户类型和所掌握的信息采用不同的评级方法进行评级。二是制定限额。德意志银行认为最大信用风险容忍度一般随期限的增加而减少,但这种容忍度不是一个具体数,而是一个区间。信贷额度则是具体的数字,一般交易对手风险越大额度越小、期限越长额度越小,并且不能超过董事会确定的最大风险容忍度。
能否及时准确地报告项目的风险状况对于决策层的正确决策有重大影响。巴黎银行在集团风险管理部门内设立了专门的信贷控制与风险报告小组,负责跟踪项目所需担保是否到位。例如对一家中国公司发放信贷,贷款条件是必须有再担保,不允许只有信件的担保,一旦签署协议要定期跟踪。如果发现公司客户的经营状况恶化,就会将其放到观察名单,各分行有关信贷的所有重大决定都会传递到总部。除了风险管理部门以外,内部审计和稽核部门也要从各自角度对项目进行跟踪。不允许一个部门联系客户,而不通知其他部门。
在法国兴业银行,小型营业网点的风险额度超过授信标准时要向业务线汇报,业务线再向风险管理部门汇报,风险管理与其他业务部门的管理是一种交叉管理的关系。该行在每一个海外分支机构都派有风险管理人员,在分行行长权限内,可以批准一定额度,但一般情况下都是集中在当地总部进行处理。
高度重视银行信贷政策的制定和实施
风险管理部门主持制定信贷政策。欧洲银行信贷政策的制定一般由风险管理部门独立负责,但也要征求业务部门的意见。银行一般将信贷政策分为三个层次,最高层为信贷指引和信贷组合战略,主要规定风险委员会职责、首席信贷官的职责、信贷审批权限;第二层为信贷政策,主要规范信贷管理和相关系统的行为准则;第三层为信贷组合政策,包括信用组合政策、房地产政策、交易财务政策、交易和资产负债管理政策等。这些政策主要为具体信贷风险或业务提供相应的政策工具,例如,交易和资产负债管理政策对各项业务确定风险额度。有些银行也根据风险管理战略的需要制定了客户分散化、行业分散化和区域分散化信贷政策等。
在信贷政策执行上重视风险部门和业务部门协调。在信贷政策的具体执行过程中,欧洲银行各有不同,有的是风险部门说了算,有的是业务部门说了算,但都讲求理念一致。例如在巴黎银行,一般情况下,业务部门会根据与客户的接触,特别是对客户的评级提出一个额度要求,然后与风险管理部门对项目进行讨论,并将讨论结果汇总到巴黎总部。在业务部门认为交易可以在本地解决,而风险管理部门不同意的情况下,业务部门可以上诉到更高一级,直至巴黎总部。一旦送到总部,最多经过两次信贷委员会即可做出决定。巴黎银行总部的信贷会获得的授权相对于分行当地的信贷委员会的要大得多。如果贷款要求涉及到不同业务部门,则由集团首席执行官或其他高管负责协调解决。
高度重视对信贷组合的管理
实施信贷价值链管理。在德意志银行,价值链管理的主要程序是:监事会的风险委员会审查信贷组合集团董事会提出整体风险管理纲要并定义风险类型集团风险委员会在集团董事会确定的范围内管理风险风险管理部门提出有关行业的组合管理行业报告对客户、产品和区域进行风险分析,以确定对某行业和客户的最大风险容忍度。
在瑞士信贷集团,对信贷全过程实施价值链管理。瑞士信贷集团的价值链分为以下几个环节:客户接收信贷申请信贷处理信贷分析信贷批准信贷监控信贷回收。前三个环节是客户关系管理,主要由客户经理负责,客户经理了解客户的需求,收集数量和质量信息,并对客户需求进行基本评估。在此基础上,信贷分析员进行信用分析,并根据评级类型和潜在环境变化确定是否批准,其主要根据是系统内的信贷额度。在决定贷款发放之后,客户经理要对贷款进行持续性监控,不断调整评级和客户信息,每年年底还要进行年度审查。
重视行业风险的控制。
(1)设立行业风险专家。例如,德意志银行的首席风险官兼信贷风险与操作风险官,在集团信贷政策委员会、担保委员会、风险与资源委员会的支持下负责信贷风险管理,在其下还设立了一名行业风险专家,及业务连续性管理负责人和操作风险管理负责人,并且有各类专业信贷官,如机构和公司客户风险负责人、杠杆融资负责人、房地产负责人、私人业务客户首席信贷官、私人财富管理首席信贷官、德国中小企业首席信贷官、首席运营官等。
(2)严格控制风险行业授信。巴黎银行对航天、信息产业等领域特别谨慎,信贷一律要汇总到总部来进行,贷款要求被批准后,双方要签署协议,并经风险管理部门签字,协议中要说明与批准有关的信息。
(3)通过行业匹配进行信贷风险管理。德意志银行按照下面的程序进行行业信贷风险管理,即信息分析展望战略执行。具体讲就是,全球风险暴露的数据收集行业分析投资组合分析投资组合战略集团信贷计划委员会批准战略实施。
(4)重视投资组合的管理。例如,巴黎银行风险政策委员会定期对投资组合政策的效果进行评估;对于任何风险集中进行定期审查,并立即采取更正行动;根据行业分析专家的意见对不同行业的风险进行分散,并根据银行对不同行业的信贷规模确定相应的行业分析深度;避免向政治经济不稳定的国家发放贷款;地区授信额度由集团信贷委员会确定。
(5)广泛运用客户评级控制风险。巴黎银行建立了综合评级系统,对于公司贷款,该系统根据拖欠概率和回收率,至少一年进行一次评级。对于私人和小企业客户,也根据相应的风险统计分析进行评级。法国兴业银行在集团内部设立了不同的模型控制风险,强调风险控制团队和业务操作人员的合作。规定每一笔信贷业务都要进行风险评级,只有过了这一关,才能进行授信。评级在德意志银行已经有10多年的历史,98%的客户在获得贷款之前都要有评级,开始时是请外部公司做评级,现在是自己做。
