时间:2023-08-31 16:08:18
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险管理和风险控制的区别,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:高校;风险清单;风险管理;内部控制
一、高校内部控制与风险管理的关系
1.高校内部控制和风险管理的定义高校内部控制是其内部治理的重要组成部分,由内部环境、风险分析和评估、控制活动、信息与沟通、内部监督等活动构成,表现为与业务、财务相融合的组织管理结构、制度、程序和措施等,是高校为履行职责、实现目标、应对风险而实施的管理活动。高校的内控目标包括确保各项资金的安全运行,提高资金的使用效益,保障各项活动合法合规、资产安全完整、财务报告及相关信息真实完整,有效预防和防范舞弊腐败,办学服务效率和效果能得到提高。高校风险管理是指高校为实现相应的发展目标而面临不确定性,通过目标设定、识别风险和评估等风险管理活动,将风险控制在可接受的范围内,有利于提升管理和治理水平,同时减少对高校产生不利影响,从而提升管理水平,减少能对单位产生影响的不确定性因素。根据高校各个部门的职能和权力运行特点来看,风险多数集中在基建、资产管理、招聘、招生、科研等重点环节。2.高校内部控制和风险管理的关系高校内控和风险管理都是高校管理人员将经济业务作为对象,以期将学校战略与规划落到实处,而实施的一系列动态并且灵活的治理过程的集合。高校的风险管理包括内部控制,内部控制以风险管理为出发点,其控制目标、控制活动等依据内外部环境的变化而进行相应变化。高校内控与风险管理的目标和职能有很大的相关性,比如控制环境、控制活动以及风险评估等都是两者的相同内容。除此之外,高校风险管理包括风险反馈、目标制定等环节,内控是风险管理过程中的重要环节,而风险管理同时又覆盖了内部控制,贯穿于整个管理过程。所以,风险管理和内部控制工作一般是同时进行的,两者在运行过程中是统一并协同的。简而言之,风险管理是内部控制的延伸,内部控制的本质和核心就是风险控制。内部控制以风险管理为出发点,内部控制的发展是一个渐进的过程,内部控制的核心始终是风险管理,其目标、内容随着内部和外部环境的变化而变化,其本质就是风险控制。因此,高校的风险管理包括内部控制,是高校内部控制的延伸。风险意识和内控制度管理为完善高校控制系统提供了坚实基础,也是防范风险和高校风险管理的基础。高校的风险管理考虑的是整体的风险,而内部控制是单纯风险的防范和控制。风险管理涵盖了高校各个层面的发展战略,其目标不仅是为了保护资产和经营活动的平稳运行,还包括积极利用机会,寻求更好的发展机会。在内部控制和风险管理相互融合的框架体系中,内部控制的目的主要是为了控制整体的、全面的风险。内部控制侧重在控制手段上,风险管理侧重在控制目标和风险控制上,两者相互扩展和完善,最后建立一个完整的框架,实现控制风险的目标。两者在内容和形式上的区别和侧重,表明了有效整合的必要性。
二、高校内部控制与风险管理存在的问题
1.财务风险内控制度不健全风险内部控制体系是高校财务内部控制实施的关键。有效的工作体系是高校正常运营的保障,制度保障需要学校内部各部门积极配合。目前,高等院校在财务风险内控制度存在明显不足,仍存在局限性和片面性,无法形成系统化、规范化、可操作的制度框架。而且,高校没有制定完善的财务内控制度,且高校偿债风险防范制度不健全,必然降低高校财务风险应对能力。2.财务流程不规范财务流程规范化是制度落实的关键环节,虽然在高校的财务管理过程中,有关部门都相继出台了许多管理办法,但仍缺乏完善的财务业务流程。近年来一些高校内部也制定了相关流程,仍缺乏具体化的管控措施,办理程序及责任不清晰,大大影响执行效果。在组织控制活动方面,高校对关键岗位风险点的把握不够,缺乏对各个经济业务环节进行流程化管理。3.风险评估机制缺失随着高校的经营模式多样化,高校的招生、教学、科研以及基本建设等环节的财务风险不断增长。且近年来,高校资金来源逐渐呈多元化、复杂化趋势,高校面临的财务风险及考验越来越多。多数高校长期受事业单位机制影响,财务风险管控意识不足,未能积极有效地制定和落实财务风险评估机制,缺少对经济业务活动的风险监测和应对方案,导致应对业务和财务风险的能力不足。4.监督机制不完善高校的监管主要以内部监管为主,内部监管主要依靠纪检和审计两个部门,同时由于两部门业务及人力资源限制,难以做到监督工作全面化。且两部门的分工也容易造成内部财务管理监管的真空地带。审计部门一般只是对采购项目、基础项目建设、三公经费等重点内容进行审查,内控的监督及风险管理的范围受到限制,从而导致内控的监督和管理措施落实不到位。
三、嵌入风险清单管理的高校内控建设优化机制
风险清单是指组织根据自身战略、业务特点和风险管理要求,以表单形式进行风险识别、风险分析、风险应对、风险报告和沟通等管理活动的工具方法。其目标是使组织从整体上了解自身风险概况和存在的重大风险,明晰各相关部门的风险管理责任,规范风险管理流程,并为构建风险预警和风险考评机制奠定基础。从单位层面和业务层面以风险清单为工具方法,按照应用环境创建、目标设定、风险识别、风险分析、风险应对、风险报告和沟通、评价与优化的程序,通过风险管理基本框架的构建,来优化高校内控建设,使其符合高校特点的同时具有更强的可操作性。其中风险识别、风险分析、风险应对为关键环节。在风险识别环节,首先,查找可能影响高校正常运行的要素,如业务流程、规章制度、信息系统、人员素质等;其次,对查找出的要素进行深入的风险分析活动,判别是否存在风险;最后,梳理风险点,建立全面的风险清单。在风险分析环节,锁定识别出的单位和业务层面的关键风险点,对风险发生的可能性和风险后果的严重程度进行深入分析。风险发生的可能性分为高、中、低三个级别,“高”代表会影响高校的正常教学、科研等活动,对运营造成一定程度的影响;“中”代表能够进行正常的教学、科研等活动,但会对财务活动造成一定程度的影响;“低”代表对财务活动造成的影响较小。风险发生对目标实现的影响程度可分为高、中、低三个级别,“高”代表常常会发生,“中”代表某些情况下会发生,“低”代表极少情况下会发生。结合这两个标准,对各个风险点的总体风险度和风险等级进行分析和判断。在确定风险等级后,根据风险的大小确定相应的风险应对措施。确定为高等级的风险,需要进一步分析各个风险产生的原因,采取有效的控制措施将其降低至可承受范围内,并在后续的活动中持续关注该风险点的发展和动态;确定为中等级的风险,需要保持目前采取的控制措施,同时定期重新评估和分析风险;确定为低等级的风险,需要加强并坚持日常控制措施。
四、嵌入风险清单管理的高校内控建设优化措施
1.改善高校内部控制环境,增强风险防范意识高校风险管理是一个循序渐进的过程,成功与否主要在于高校管理人员和员工能否认知到风险管理重要性。高校管理人员必须充分认识到内部控制和风险管理的重要性,并且在制度体系构建上足够重视,落实责任,进而全面推行风险管理和岗位责任相融合,全员、全过程、全方位提高内控管理水平。特别是增强教职工风险意识,使大家在高校日常经营活动中认识到自己在风险管理中的职责,实现对风险的精准预测和有效控制,从根源上确保高校各项活动的有序推进。高校的内部控制环境,包括人员道德观念、能力素质、组织架构、人事制度及管理理念等,是高校风险管理的基础。一方面,需要重视人员的能力和素质培训,提高业务水平和能力,进一步提高财会人员的综合素质,加强沟通,创造和谐向上的工作氛围。另一方面,不断完善人事管理等有关制度,在人员聘用、培训、晋升等环节强化道德价值操守和风险管理意识,创造良好的管理控制环境,有利于促进高校自身的安全和稳定发展。2.健全财务内部控制制度,建设高校风险管理和预警体系高校应当基于自身需求,建立完善的内控制度,规范和控制经济业务活动,防范财务风险。高校管理层需要根据自身的办学特点和风险状况,对财务内控制度不断进行梳理并修订。同时对财务业务的主要流程和环节进行优化,加强制度建设,逐步建立起全面、系统的财务内控制度。另一方面,高校可以设立专门的内控管理部门,从总体上规划各项内部管理工作,从而确保有效发挥其功能和作用。以风险管理为导向的内部控制,最为关键的是风险防范。建立健全风险预警体系是高校内部控制与风险管理工作的重要举措。首先,构建全员、全面、全过程的风险管理体系,将财务风险预警不仅运用到高校投融资等工作中,还要落实到高校教学、科研、招生、就业等各个方面。其次,结合高校自身特点,不断收集并分析各种影响风险发生的信息,对高校发展与运营过程中存在的潜在风险因素进行动态追踪,实现事前、事中、事后的全过程监控,建立起动态的风险预警体制机制。最后,不断优化风险分析评估制度,完善高校风险预警机制,建立风险管理的长效机制,提高风险管理的效率与效果。3.多方位梳理完善业务财务流程,加强内部信息沟通高校在业务财务的规范化管理方面,要覆盖所有的业务财务流程,精细把控各个环节流程。利用流程化管理手段,将业务的各个处理流程细化,再分解到归口部门,以明确各个部门岗位的职责权限。同时为了有效提升内控制度的执行力,规范权力的运行,利用内部授权审批制度来实现制衡。随着风险管理和财务内控的积极推进,高校在对财务业务流程进行调整时,还需要考虑自身情况,重点关注借款、日常报销、绩效奖励、差旅费的审批流程、基础建设款项的审批、经费划拨审批,及一些其他特殊业务的处理流程。不断建立完善通畅的沟通机制,加强内部信息交流,特别是注重跨级沟通,实现上下级之间的平等双向沟通。具体可以通过以下手段来建立健全信息沟通机制:第一,建立内部开放式的信息系统,使员工能够第一时间反映相关情况,管理人员能够及时做出处理和反馈,从而为各级职能和教学部门提供有效参考;第二,建立投诉和投诉人保护制度,同时应给予适当的奖励;第三,成立内部小组,完善内部监督机制,定期召开通报会,分析错弊风险。同时,财务部门相关负责人应定期向学校管理层汇报工作开展情况,贯彻落实《高等学校财务制度》中的要求,从而将财务风险降到最低。4.强化内部监督机制,建立科学的内部控制评价机制运行有效的内部控制体系的建设和实施,离不开健全有效的内部监督机制。与此同时,监督和评价的结果也可以改进风险管理。因此,内控监管和评价制度的完善就成为关键。其中的首要工作是基于学校发展规划设立内控整体目标,把风险管理理念与高校业务活动进行融合,将内控目标、风险管理以及管理机制融合为一体,深入剖析流程,让高校各项工作更规范。另外,还需要通过自我评价、定期评估等方式对各个部门和岗位落实已分解职责的情况进行检查与评价,使高校内部控制能够接地气,能够真落实,能够有实效。高校通过内部、外部监督相结合的方式,依靠内部审计、纪检等进行常规和专项监察,同时借助外部审计机构、公众监督等,对学校的经济业务活动进行系统全面的审查。风险管理机构的设立是风险管理工作实施的基础,需要不断对风险管理机构、内控评价和监管制度进行优化和完善。深入调研学校的真实情况,制定高校内部控制整体目标,有效融合风险管理与高校业务活动,将风险管理、内控目标以及内部管理机制融为一体。同时,加强风险管理评估,根据实际情况,细分落实部门和岗位职责,检查评价控制情况。在高校的管理过程中实施全过程控制,实现内部控制与风险管理的有效融合。
五、结语
在高校的内部控制与风险管理工作中,运用风险清单的管理方法,将这两种工作结合在一起,通过对风险的规划、识别与评价,将内部控制与风险管理融合,从而更好地预防、规避和控制风险。同时,不断更新风险管理理念,树立风险管理意识,构建完善的风险预警体系和内部控制监督制度。在此基础上,将风险管理贯穿到高校教学科研、财务收支、业务管理、经营活动等各个领域,从而提高风险管理工作的质量和风险防范能力,规范高校的经济活动,促进高校的可持续和高质量发展。
参考文献
1.财政部关于全面推进行政事业单位内部控制建设的指导意见(财会〔2015〕24号).
2.管理会计应用指引第702号――风险清单(财会〔2018〕38号).
3.黄韬.高校财务管理内部控制的探讨.中央财经大学学报,2015(S2).
4.欧阳瑞聪.财务风险管控视角下的高校内部控制.财会学习,2017(02).
关键词:房地产;开发;风险管理;项目管理
1、房地产项目风险管理的基本理论
1.1 房地产项目风险管理的概念
房地产项目风险管理是研究房地产开发过程中风险发生规律和风险控制技术的一门管理学科,各经济单位在风险辨识、风险估测和风险评价的基础上,根据具体情况优化组合各种风险管理技术,对房地产项目风险实施有效的控制和妥善处理风险所致后果,以期达到以最少的成本获得最大安全保障的目标。在决策时,能否达到上述期望目标,不仅取决于决策前的风险辨识、分析和评价是否全面正确,还取决于在实施控制方案过程中能否进行正确的效果评价,对控制方案不断修改,使其更加切合实际。这表明房地产风险管理方案的实施是一个动态过程,管理者必须根据实际情况随时辨识、分析和评价新风险,修改管理方案,这样才能达到以最少的成本实现最大安全保障的目标。
1.2 房地产项目风险管理的过程分析
房地产项目风险管理一般包括风险识别、风险分析、风险应对和风险控制等四个阶段,各环节紧密联系,其推行和开展按一定的程序周而复始、循环往复进行。
(1)风险识别是风险管理中最重要的步骤,只有全面、正确地识别房地产开发过程中面临的所有风险,才能有的放矢地针对风险进行分析,使风险管理建立在良好的基础之上。通过风险识别应尽可能全面地找出影响风险管理目标实现的所有风险因素,采用恰当的方法予以分类,逐一分析各风险因素产生的根源。风险识别的参与者应尽可能包括项目队伍、风险管理小组、来自公司其他部门的专家、客户、最终使用者、其他项目经理、项目相关方以及外界专家等。另外,项目风险识别并非一蹴而就的事情,应当自始至终反复进行。
(2)风险分析包括风险定性分析与风险定量分析,风险定性分析是确定风险发生的可能性及其后果的严重性,并按照风险对项目目标可能的影响进行风险排序,以明确特定风险的重要程度从而指导风险应对计划的制订,并帮助项目团队成员修正计划中出现的偏差。风险定量分析则是量化风险的出现概率及其影响,确定该风险的社会、经济意义以及处理的费用和效益分析。不仅量化分析每一个风险的概率及其对项目目标造成的后果,而且也分析项目总体风险的程度。通过对项目实施各阶段可能存在的风险进行尽可能详尽的分析,包括分析风险性质、风险发生的可能程度、风险发生对预期利润的影响程度,使项目可行性研究建立在风险分析的基础上,选择可靠性好、风险隐患少、风险程度低的项目管理方案。
(3)针对风险识别和分析的结果,为提升实现目标的机会,降低风险对目标的威胁,必须制订项目风险应对计划。风险应对计划必须与风险的严重程度、成功实现目标的费用有效性、项目成功的时间性与现实性相适应,同时也必须得到所有项目利益相关方的认可,并应由专人负责。项目一旦立项,项目管理者就应该紧密结合国家对房地产市场的监管政策,在城市规划、政策法规的约束条件下,研究房地产的供求现状及发展趋势,确定周密的产品方案和营销策略,围绕项目开发进度优化资源配置,统筹资金安排,使整个项目的实施有条不紊,进而达到预期目的。
(4)跟踪已识别的风险,监视残余风险,识别新出现的风险,修改风险管理计划,保证风险计划的实施,并评估风险减轻的效果是项目控制的主要任务。完善的控制体系和有效的实施,是防范风险和控制风险的可靠保证,同时也将成本管理与企业的整体经济效益直接联系起来,对减小财务风险的作用极其显著。一个好的风险控制系统可以在风险发生之前就提供给决策者有用的信息,并使之做出有效的决策,达到项目风险管理的目的。
在以上四个阶段中,项目管理者只有充分了解房地产项目的风险情况,对“易发险情”进行认真的分析和预测,并根据自身实力估算投资风险的承受能力,综合权衡房地产项目的收益和风险,制定各种风险的防范措施,达到风险小而收益高的目的,才是房地产项目管理的真正目的所在。下面结合该项目的案例,运用项目风险管理的基本理论来具体分析该项目开发中存在的风险及产生根源,对重要风险进行估计和评价,同时提出较为详细的风险管理措施。
2、工程实例:
我公司开发建设的湖州项目总建筑面积约45万m2,绿地率40%,是由别墅、高层、小高层组合的住宅小区。从规划设计上看,该项目强调不同建筑群体的统一性和完整性,规划设计方案既要能满足该建筑物的各项使用要求,同时又必须符合建筑间距,相邻建筑间的相协调。从规划布局上看,项目建设充分体现了现代感与自然文化气息的结合,建筑互相围合、各组团间贯穿公共绿地,即统一又形成每个单一的整体,构成气势非凡的空间效果。
2.1 项目各阶段的风险识别
在投资决策阶段,从各项政策方面来看,本项目具有得天独厚的优势;从社会环境与经济环境方面来看,由于国家总体经济形势的良好,风险因素也较少。但是由于国家相关部门对国有土地进行了彻底的清查,相继下发了关于房地产土地交易方面的各项文件,严格的土地政策使该项目在土地获取方面面临极大风险。
在土地的获取阶段,房地产开发所需巨额资金和融资是开发商最为关切和颇费心机的问题。我国房地产业资金大部分来自于金融机构的贷款,许多开发商利用贷款进行滚动操作,然后将楼盘以个人按揭贷款进行销售,最终将房地产风险转嫁到金融机构身上。由于房地产金融体系的内在脆弱性和资产价格的内在波动性,使得该项目也不可避免地具有筹资方面的风险。
在建设阶段,该项目也将面临着招标模式风险、承包合同风险、工期拖延风险、项目质量风险、开发成本风险及施工索赔风险等,但只要施工单位与开发商在房产开发市场具有良好的口碑和品牌效应,因此项目在招标模式、承包方式以及承包合同方面的风险因素也可控制在较小范围。
在租售阶段,该项目采用预售方式,在住宅具有稳定需求的市场条件下,有利于资金的快速回笼,因此这方面的风险因素较少。租售合同风险方面,重要的是销售价格定位,准确合理的销售价格能够比较快地为广大需求者所接受,从而为资金的快速回笼提供可能。
2.2 项目的风险分析
2.2.1 项目投资阶段风险的敏感性分析
通过对与利润有关的建安工程费、土地开发费、综合配套费用、住宅售价等敏感因素进行单变量敏感性分析。列出住宅售价因素变化而其他因素不变的情况下,建安工程费、土地开发费、配套费用相对固定的情况下,住宅售价因素对利润的影响比较关键,总结以上几个因素的变化与成本利润的关系,是正、负相关的关系。
2.2.2 项目土地获取阶段风险分析
项目在土地获取阶段的风险主要是融资风险,而该项目在融资方面依靠银行贷款,自身也需具有充足的自由资金,加大融资手段上的多元化,大大降低了融资风险。
2.3 项目的风险控制
(1)项目土地获取阶段筹资风险的控制措施。对筹资风险主要采用风险控制与风险自留,明确不应过度负债,项目开发前期对资金运作应有全过程通盘的考虑,留有余地并有资金补充应急计划项目;将短期负债与长期负债区别对待,尽量减少短期负债,以适应该项目开发生命周期长的特点;将房地产销售工作提前,用收入弥补资金不足,减少负债,并提前盈利等。
(2)对设计变更风险、设计方案不合理的风险控制。主要采用风险控制和风险转移,加强施工前施工图审查及设计交底,建立健全会审制度;采用监理制度,更好地规范各个单位的行为;严格设计变更审查制度等,以便对项目投资控制。
(3)对工期拖延的风险控制。主要采用风险转移,利用工程承包合同与工程监理合同将该部分风险转移到施工单位和监理单位,具体措施为:在工程承包合同中,严格制定相关工程工期条款,在该项条款中,明确指明工期拖延所造成的后果及相应承担的责任,将该部分风险转移到主体承包单位;聘请专业监理公司,在监理合同中同样设定相应工期条款,明确监理公司对工期拖延同样负有责任。
(4)对各种安全事故风险以及其他风险的控制。任何风险防范措施都是有“人”来发现并实施控制措施的,对该项目总体而言,首要的是建设一支业务优,能力强、熟悉市场的管理队伍。有了这样一支队伍,就能够从源头上减少和消除各种风险因素对房地产项目的影响。另外,进行风险控制管理要注意两个关键问题:一是风险控制目标的确定与分解,二是责任落实。当然,在有效地管理规划与控制风险时,还应注意工程项目风险控制的执行与反馈。这是对风险控制效率和效果评价与规避风险能力再提高的过程,检查风险管理方案的实施情况,对风险情况进行监控,用实践效果评价风险管理决策效果。要确定在条件变化时的风险处理方案,检查是否有被遗漏的风险,对新发现的风险因素应及时提出对策。
3、结语
对房地产项目风险的分析研究在国外是可行性研究中一项不可缺少的内容,特别是近二三十年来得到了迅速发展。要避免房地产项目管理的风险,必须对房地产项目管理过程中可能出现的种种风险和不确定性因素做出较为精确的定性和定量分析。目前,我国房地产业的发展规律、经营管理的实践还缺少理论研究和总结提高,许多项目管理者甚至各级政府在房地产项目的运作上还存在一定的盲目性和不科学性,对房地产业的风险更是缺乏深刻的认识,对房地产投资风险的全面论述也比较少。因此,房地产项目风险管理的理论研究和实践运作,不仅是房地产项目管理者面临的一个重要课题,而且是房地产业管理和政策制定部门所必须关注的内容。
参考文献:
[1]谭术魁.房地产项目管理[M].北京:机械工业出版社,2004.
摘要:随着企业发展及证券市场的日益成熟,企业各类经济舞弊案件日益明朗化。面对这一现状,企业必须建立健全成熟完善的内部控制体系,使一切管理活动都无法游离之外,使经济舞弊行为无处藏身。本文对基于风险管理的现代企业内部控制的构建进行了探讨。
关键词 :现代企业;内部控制;经济舞弊
在内部控制和风险管理的研究上,我国起步较晚也较薄弱,大多是借鉴美国的管理模式,洋为中用。在法律建设方面,我国出台了《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》、《中央企业全面风险管理指引》、《企业内部控制基本规范》和《企业内部控制配套指引》等一系列的法规条文,这一系列的规范与指引为我国内部控制和风险管理指明了方向,但时代在发展,管理理论在不断变化,目前内部控制实践已经发展到与风险管理、公司治理等相融合的新时代。面对这种情况,许多企业无法适应,面临着无所适从的窘境。所以我们必须深刻认识两者的关系,并将其提升至符合时展要求的轨道上来。
一、内部控制与风险管理的关系
(一)内部控制与风险管理的融合
一直以来,内部控制与风险管理之间的博弈就没有停止过,目前主要形成两种观点:一种认为二者是两个完全不同的概念,相互之间不可以取代;另一种认为二者只是术语不同,其实基本没有区别。之所以产生对立观点,是因为相关学者对内部控制和风险管理的内涵与外延办公室不同,或将内部控制作为实现风险管理的步骤与手段,或将风险管理作为内部控制的组成。但无论是何种观点,目前风险管理与内部控制有一个趋同的倾向,也就是说它们在渐渐的融合之中。据IFAC 的一项调查显示,全球超过600 学者反馈表示,应加强内部控制与风险管理的一致性工作。我国相关法规条文也体现了融合的理念,如《企业内部控制基本规范》将内部控制作为一个较大的概念,风险管理被囊括其中,而《中央企业全面风险管理指引》又将风险管理作为一个较大的概念,内部控制是重要的实现手段。其实,无论是内部控制还是风险和管理,其作用都是为了防范企业风险,所以它们走向融合也是必然的。理论上讲,内部控制与风险管理融合具有一定科学性:①概念虽未形成共识,但实现目标过程的一致性得到人们的广泛认可;②目标一致,都是为了将风险控制在可控范围之内;③程序一致,虽然叫法有所不同,但程序的本质有高度的一致性;④方法互用,两者经常可以替换使用。
(二)内部控制与风险管理的协同
就拿监管机构来说,眼下已经形成了一个稳定的系统,现在又要将其融合在一起,肯定很难实现,这对于内部控制和风险管理领域的专家来讲,也是无法接受的。在实践之中,为了促进两者的融合,可以通过协同方法来实现。企业没必要为实现同一目标而制定两套手册或指南,也没必要建立一个内部控制部门,再加上一个风险管理部门,企业应该将其整合起来,同时将风险控制整合到公司治理、战略及运营之中。理顺各种关系,使两者相互促进、相互融合,形成一个良性循环,才能控制企业持续健康地向前发展。
二、基于风险管理的企业内部控制建设策略
(一)构建以“现金流量”为核心的内部控制模式
企业内部控制是一项复杂而系统的工程,涉及到企业所有的生产经营环节,寻找一个合理的切入点十分必要。资金作为企业赖以生存和发展的基础,是企业生命的源泉。生产经营其实是人力资源作用于物质资源的过程,在这个过程中货币体现了核心作用,所以货币也是危险等级最高的资源,能够安全有效地运行,也决定了风险评估中财务风险的高低。因此,加强“现金流”的内部控制可以促进主体正常组织资金活动,防范和控制资金风险,保证资金安全,提高资金使用效益,而建立和完善以现金流为核心的内部控制和风险管理体系可以为企业高速、持续的发展保驾护航。
(二)加强关键环节的风险控制
企业经营活动是由一系列的业务节点构成的,各个节点环环相扣构成了企业活动的整体。业务流程中实现节点的优化和风险因素的控制是提高风险管理能力的根本所在。业务流程的梳理及改革体现在内控上,设置关键控制点并选择相应的控制手段,以实现对操作行为的制衡。收集企业经营过程中的各种信息,进行风险评估与识别,对关键风险控制点进行严格把关,制定风险管理解决预案,从而保证内部控制的顺利进行。关键环节所涉及到的人员要进行严格的培训,提高风险管理意识,使其从思想上重视内部控制,重视内部风险管理,其意识对风险管理成败有直接影响。风险控制具有很强的系统性和联系性,各单位和部门要权责明确,加强沟通,保证企业运营系统高效运行。优化企业管理功能,实行精细化管理,据此分析企业的关键控制环节和风险点,编制企业的风险管理预案。
(三)建立风险预警体系
实践表明,只有把握风险管理先机,才能发挥风险管理的效用,只有及时、准确掌握经济动态信息,才能采取针对性的风险管理措施,取得应对风险的主动权。这就要求企业必须适应时展的要求,将先进的信息技术引入其中。一是建立完善、成熟的企业信息管理系统,实现对企业运营数据的收集、存储、处理和披露,利用先进的算法实现业务信息向会计信息的转化;二是从风险监控和预警角度出发,建立风险预警分析系统,利用科学、先进的计量模型,实现对企业偿债能力、运营能力、获利能力等状况的分析,预测企业的风险可能性及大小,随时做好应对风险的准备。企业要上下协同,提高风险应急能力,一旦触发风险信息就应该立即向上级汇报,立即组织攻关小组研究应对策略和组织实施,由被动变主动,尽可能避免风险发生,无法避免时尽可能将风险降到企业可接受范围之内,从而保证企业生产经营活动的维持和正常运转。
(四)提高员工内部控制意识,让其主动参与进去
近年来,全员参与是各类管理实践强调的重点之一,它可有效提高员工的积极性,对积淀企业文化、提高经营效益有重要意义,基于风险管理的内部控制也强调全员参与的重要性。内部控制涉及到企业的每一个生产经营环节,而每一个环节都与员工联系在一起,所以强调全员参与,通过员工将各个环节有机联系在一起。让员工参与控制是内部控制未来发展的趋势。将企业员工看成是企业的一部分,要充分尊重人才,建立吸引人才、留住人才的激励机制,并探索出“感情留人、事业留人、制度留人”的特色之路。以此来改变传统的员工被动接受的局面,进而形成良好的内部控制文化,为企业健康可持续发展奠定坚实的基础。
参考文献:
[1]刘霄仑.风险控制理论的再思考:基于对COSO内部控制理念的分析[J].会计研究,2010(03).
[2]张立民,唐松华.内部控制、公司治理与风险管理———《托普典章》为什么不能拯救托普[J].审计研究,2014(05).
[3]姜明群.中美风险管理框架对比分析及对我国企业风险管理的建议(上)[J].国际商务财会,2011(03).
关键词:内部审计;风险管理框架;应用
中图分类号:F239 文献标识码:A 文章编号:1672-3198(2009)03-0237-02
1 引言
2004年美国反虚假财务报告委员会(COSO)颁布了《企业风险管理――总体框架》中,企业风险管理的定义是,由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合,使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务,是企业风险管理不可或缺的组成部分。
2004年国际内部审计师协会(IIA)内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象,明确要求内部审计参与风险管理和公司治理过程, IIA《标准》确定了风险审计的方向。
2 风险管理框架下风险导向审计的应用前提
在风险管理框架下,要发挥风险导向审计的作用,必须以风险管理为基础,改变审计思路,改进审计流程和方法。
2.1 以风险管理框架为理论框架
COSO提出的ERM框架首先增加了战略目标,将企业风险的关注点引向战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素构成了一个完整的风险管理过程;最后,还强调风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见,ERM是一个整合公司治理和内部控制的框架,它关注包括公司治理领域和内部控制环节的一切风险。
IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的趋势。它是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。IIA《标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。
2.2 以风险管理目标为审计过程的行动指引
全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性,现代企业管理的战略目标是增加企业价值,同时承受相应的风险。不确定性是对价值的破坏或增进,风险与机会并存,管理层把机会反馈到战略或目标制订过程中,以便把握住适合的机会。
COSO对企业风险管理定下四大目标:战略目标――高层次目标,与使命相关联并支撑其使命;经营目标――有效和高效率地利用其资源;报告目标――报告的可靠性;合规目标――符合适用的法律和法规。在这些目标指引下,风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义,风险导向审计的总目标是对企业所面临的风险进行管理,对内部控制和治理过程进行评估,将评估的结果反馈给管理层,从而帮助企业实现目标。其目标基本一致。
COSO风险管理框架扩展了风险管理的广度和深度,提高了企业管理层控制风险的地位,也提高了风险评估在企业经营中的地位,企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度,内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估,要求在企业风险控制监督过程中取得实效,广泛收集有关经营决策和风险状况的信息,评估各个待审计项目的风险,进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险,使审计和企业风险管理策略紧密联系。
2.3 采用新型的审计思路
传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。
2.4 以企业战略为审计起点
企业经营战略指导企业未来的发展方向,内部审计要把握好企业战略和长远规划,才能充分发挥其服务职能,从战略分析入手,按照“战略分析――经营环节分析――剩余风险分析”的思路展开风险分析, 确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价,指导审计重点、范围、目标和程序,从系统上改进了审计方法,以适应新经济环境的要求。
2.5 以风险识别为审计主线
风险导向审计以风险识别为起点,通过事前分析评估,提出应对风险的方案并辅之事后总结,完善风险管理制度,并检查风险控制的有效性,及时揭示和报告潜在风险,提出防范措施和改进建议。
所谓风险识别是指在风险发生前,运用各种方法系统地、连续地发现风险的过程,了解企业存在的各种风险因素及其可能带来的后果,将风险识别运用到审计中,审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多,如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等,多种方法可在风险识别过程中结合运用。
2.6 以风险评估为控制手段
在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序,揭示被审计单位财务、经营等方面风险,并重点考虑形成这些财务数据的业务经营及其他影响因素等方面,搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里,未来发展前景如何,管理方式与经营理念是否合理,主要竞争对手是谁,重要客户是谁,人力资源素质怎么样,面临的法律监管环境如何及内部控制制度等。
风险评估的核心是分析性复核的运用。所谓分析性复核,就是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息的合理性,分析被审计单位的重要比率,包括这些比率异动及与预期数的差异,目的是评价业务的总体合理性。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立,常用的分析方法有:战略分析、绩效分析、财务分析、会计分析及前景分析等。
3 风险管理框架下内部风险导向审计的应用过程
风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。
3.1 理解风险管理是一个动态过程
COSO对风险管理的定义是“风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证” 。从定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。我们看到,风险和机会有时会互换,也是动态过程,如果把握不好,机会将变为风险,如果控制及时,风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性,规避风险、把握机会,提高企业创造价值的能力,这也决定了风险管理是个动态过程。
风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于企业经营方式,各个要素之间相互影响、互相作用。例如,风险评估促进风险应对,并影响控制活动,突出信息和沟通的重要性。因此,风险管理是多方向且反复的过程,不同要素之间相互影响。
3.2 风险导向审计贯穿于企业管理全过程
风险导向审计最终目的是为了完善公司治理,协助管理层应对风险、把握机遇,提升企业价值。它以风险为出发点,由传统的事后评价变为全过程的动态反应,为管理层提供及时有用的信息,为公司治理相关措施的有用性给予反馈,并提出建议。所以,风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。
我国学者黄园园提出,企业管理活动可以划分为战略管理、管理控制和作业活动三个层面,风险导向审计贯穿于企业管理的全过程,内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
3.3 风险导向审计在不同风险管理水平的作用过程
风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标风险控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
在不同风险管理水平下,风险导向审计所发挥的作用不同(如表1)。在风险暴露阶段,内部审计建立在审计风险评估的基础上,采用风险管理方法;在风险察觉阶段,内部审计建立在审计风险评估基础上,协助建立企业范围的风险管理方法;在风险确认阶段,内部审计使用管理层的风险评估结果,促进风险管理的战略和政策的实施;在风险管理阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计;在风险管理融合阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计。
当然,在不同风险阶段,企业风险管理水平是不断发展和变化的,在这种逻辑思路下,风险导向审计模式应根据不同的风险水平不断调整审计目标和重点,发挥不同的职能作用。
4 结论与建议
4.1 结论
在风险管理框架下风险导向审计的功能得到有效拓展,在促进风险管理、内部控制和公司治理方面都发挥了重要作用,成为企业风险管理体系的重要组成部分。因此,风险导向审计贯穿于企业管理全过程,必须突破传统观念,以企业风险管理框架为理论依据,改进审计流程和方法,与风险管理机制相融合,其审计模式在不同风险管理水平下应随之相应调整。
4.2 建议
我国内部审计起步较晚,无论在理论研究还是实际应用,与西方内部审计存在较大差距。随着我国市场经济体制逐步完善和世界经济一体化,我国企业与西方企业面临着同样经营环境和风险,内部审计作为企业风险管理体系的重要环节,必将面临严峻的挑战。我们可以从以下三方面着手准备,为全面推广风险导向审计提供基础。
[关键词]煤矿;风险管理;预警机制
中图分类号:X936;F426.21;F224 文献标识码:A 文章编号:1009-914X(2014)44-0328-01
1 风险管理基本理论
根据国际标准化组织的定义,风险(R)是衡量危险性的指标,是某一有害事故发生的可能性与事故后果的组合。表示为事件发生概率及后果的函数:R=F(P,L)
式中 P―事件发生的概率;
L―事件发生的后果。
工业风险管理是指企业通过风险辨识、风险分析与评价,并在此基础上优化组合各种风险管理技术,对风险实施有效的控制和妥善处理风险所致的后果,期望达到以最少的成本获得最大安全保障。当认定风险可接受时,就保持该状态,并力图获得最大效益;当认定风险不可接受时,则采取相应措施降低风险,并跟踪监控措施对于降低风险的效果,反馈信息到风险评价和风险管理系统,实现动态的风险控制。风险辨识、风险分析与评价和风险控制以
及效果评估和信息反馈构成一个风险管理周期。
2 煤矿风险管理机制建立
煤矿风险管理的基础范畴包括:风险辨识、风险分析与评价和风险控制,简称风险管理三要素。
2.1 风险辨识
全面辨识煤矿生产各环节中潜在的所有风险因素,这是建立安全生产风险管理机制的必要前提,也是最重要的基础工作。风险辨识的全面性、系统性、科学性及准确性主要取决于风险辨识模式的设计与方法的选取。结合煤矿生产的特点,提出“生产专业一管理对象一风险类型”的风险辨识模式(如表1所示):将煤矿按照生产专业的不同进行分类,如采掘、运输、通风、机电等,在每个生产专业中从三类管理对象(点:设施及设备;线:作业过程及工艺;面:作业岗位及操作)的角度,全面辨识各类型的潜在风险因素。
2.2 风险分析与评价
1)风险分析:一是完善风险辨识,主要通过对辨识结果的评审、修改、整理以及必要的再辨识等工作,解决前述风险分类的重复、交叉等问题,进一步保证风险辨识的全面性和准确性。二是风险特点分析,分析各类型风险的属性及特点,设计相适应的风险评价模式及方法。
2)风险评价:安全生产风险管理是一种循环改进的管理模式,其风险评价并不是对所有辨识出的风险因素的一次性静态评价,而是一种实时、动态的风险状态评价。因此,安全生产风险管理的风险评价核心是设计和建立适合于各类风险因素的风险评价方法、模型和标准。由式(1)可知,基于风险的评价主要分析风险发生的概率尸和风险导致的后果严重程度L,风险评价方法主要包括以下两种模式:①风险矩阵法:利用概率P和严重度L的分级矩阵定性评价风险等级的评价方法,使用简单,适用广泛,但评价的主观性较强。应用风险矩阵法的关键是需要根据国家、行业的相关法规、标准或企业自身的有关规定,结合现场实际情况,建立适应的概率P和后果严重度L及风险R分级的相关标准。②指标模型法:通过选取影响风险R变化的指标,构造评价模型,半定量或定量评价风险等级的评价方法,能够获得较客观的定量评价结果,但建立评价指标体系与设计评价模型的过程较复杂。指标模型法选取所有影响风险状态变化的因素作为指标,根据风险定义,指标可有3种影响风险状态变化的方式,即:仅影响概率尸、仅影响后果严重度L以及同时影响P和L。指标模型法一般按照指标罗列、指标筛选、指标赋值标准、评价模型设计、风险等级标准等步骤进行。
2.3 风险控制
区别于具体风险因素已经显现或转化后的事件(事故)处理措施及应急预案,风险管理的控制措施是指针对各潜在风险因素的实时风险状态,根据风险评价的结果采取对应其风险等级,降低其风险程度至可接受水平的措施。风险控制措施包括对应风险等级的风险响应(响应级别、责任归属与关注层面)与各具体风险因素的具体风险控制措施。风险因素的具体风险控制措施可分为管理措施和技术措施两大类,一般按照如下优先顺序采取适合的具体措施:排除、代替、隔离、工程技术措施、管理措施及个人防护等。
3 煤矿风险预苦机制
风险管理的预警技术是一种预防事故、提高风险管理的效率和水平的有效手段。对于风险的预警技术和方法进行研究是实现现代化安全生产风险管理的要求。煤矿企业在建立安全生产风险管理机制的同时,不仅要保证风险管理机制本身的系统性和有效性,而且针对煤矿生产安全工作的特点,还需加强对生产事故有效地预防与预控,这都需要建立并完善相应的预警机制体系[[5,6]0
3.1 风险管理预警机制
风险预警是分析作业场所风险水平,对危机或危险状态的一种提前的信息警报或警告的方法。借助自动或人工的手段,通过对煤矿所有潜在风险因素的风险状态的实时监测,动态评价其风险等级,并及时给出相应的警示信息,提示相关部门根据风险预警等级采取相应的风险控制措施。
利用计算机信息技术,结合煤矿企业信息管理及通讯等硬件情况,构建支持风险预警实施运行及循环改进的平台,可增强风险管理预警的自动化程度以及系统性和准确性;并根据煤矿生产的实际情况,建立健全完善的风险管理预警机制程序及文件体系,切实保障风险管理预警机制的运行,以便更好地发挥风险预警的效能。
3.2 事故危机预警
风险管理的预警机制针对潜在风险因素的实时风险状态进行监测预警,根据预警的风险等级采取相应的风险控制措施。其评价指标体系是按照经典的风险概念R=f(P,L)建立的。对于煤矿事故风险,尤其那些具有突发性强、无明显规律性、事故后果较严重等特点的重大风险,仅仅依靠经典的风险状态监测预警,在不能够保证监测的准确性和实时性、控制措施的有效性和及时性的前提下,是不能保证对这类风险的有效预防及预控的。因此,对于煤矿
生产中此类重大事故风险还需要建立针对危机状态及事故征兆进行预警预控的事故危机预警。按照预警策划、危机诊断和风险干预的步骤,通过对煤矿生产过程中各种危机状态或事故征兆的监测、识别、诊断与评价,及时报警,并根据预警分析的结果对事故征兆的不良趋势进行矫正、预防与控制,有效地减少事故的发生。
4 结论
安全生产风险管理是应用工业风险管理理论的企业现代安全管理模式,风险预警管理是一种针对风险的实时、动态评价其风险状态的技术,是现代企业风险管理的较高层次。由于煤矿生产的特点,在煤矿建立并实施风险管理机制符合煤矿安全生产的要求,并能够切实提高煤矿安全生产管理的系统性和科学性。结合风险管理预警和事故危机预警机制,可进一步保障煤矿的安全生产。参考本文所提出的煤矿安全生产风险管理机制模式,在煤矿企业实际建立及实施风险管理及预警机制的过程中,主要应注意以下问题:
1)煤矿现场生产状况、环境因素分析:前期的单元划分、风险辨识及分析模式至关重要,应系统、全面分析煤矿的具体特点,设计采取相适应的模式与方法,确保风险管理实施的可操作性和预警机制的可靠性。
论文关键词:风险管理系统
一、引言
1.1BOT的概念
BOT是英文Build-Operate-Transfer的缩写,翻译为“建设-运营-转让”。BOT实质上基础设施投资、建设和经营的一种方式,以政府和私人机构之间达成协议为前提,由政府向私人机构颁布特许,允许其在一定时期内筹集资金建设某一基础设施并管理和经营该设施及其相应的产品与服务。政府对该机构提供的公共产品或服务的数量和价格可以有所限制,但保证私人资本具有获取利润的机会。整个过程中的风险由政府和私人机构分担。当特许期限结束时,私人机构按约定将该设施移交给政府部门,转由政府指定部门经营和管理。
1.2BOT的特点
从BOT的概念中我们可以看出,BOT具有市场机制和政府干预相结合的特色,这表现在以下两个方面:。
一方面,BOT能够保持市场机制发挥作用。BOT项目的大部分经济行为都在市场上进行,政府以招标方式确定项目公司的做法本身也包含了竞争机制。作为可靠的市场主体的私人机构是BOT模式的行为主体,在特许期内对所建工程项目具有完备的产权。这样,承担BOT项目的私人机构在BOT项目的实施过程中的行为完全符合“经济人”假设。
另一方面,BOT为政府干预提供了有效的途径,这就是和私人机构达成的有关BOT的协议。尽管BOT协议的执行全部由项目公司负责,但政府自始至终都拥有对该项目的控制权。在立项、招标、谈判三个阶段,政府的意愿起着决定性的作用。在履约阶段,政府又具有监督检查的权力,项目经营中价格的制订也受到政府的约束,政府还可以通过通用的BOT法来约束BOT项目公司的行为。
1.3实施BOT的步骤
1.项目发起方成立项目专设公司(项目公司),专设公司同东道国政府或有关政府部门达成项目特许协议。
2.项目公司与建设承包商签署建设合同,并得到建筑商和设备供应商的保险公司的担保。专设公司与项目运营承包商签署项目经营协议。
3.项目公司与商业银行签订贷款协议或与出口信贷银行签订买方信贷协议。
4.进入经营阶段后,项目公司把项目收入转移给一个担保信托。担保信托再把这部分收入用于偿还银行贷款。
二、BOT风险
BOT项目中的风险是指在BOT项目中的特许、建设、运营、移交四个阶段里损失发生的不确定性,是一种潜在的危险因素;风险识别是指对在BOT项目融资中尚未发生的、潜在的各种风险进行系统地、连续地认识和归类,并分析产生风险事件的原因;风险管理是指BOT项目融资中的参与各方对风险进行识别、分析并在此基础上有效地处置风险,以最低成本实现最大安全保障的科学管理方法。
以项目发起人和项目公司对风险能否控制为标准,可将风险划分为系统外风险和系统风险,我们通过树型结构图可以看出项目所面对的风险是相当复杂的,见图1:
图1风险划分
从图1可以清晰地看出,一个企业在实施项目时所面对的风险之多,由此有必要建立一种全新的系统来对风险进行管理。
三、BOT风险管理
风险管理包括风险识别、风险分析、风险评估和风险控制等内容,任何BOT项目,万无一失的情况是不存在的,事实情况是风险无处不在、无时不有。对风险加以识别的目的,在于在风险识别的基础上,按一般的风险分担原则确定风险由最有能力承担的一方承担,并通过对此风险的管理,达到控制、预防风险的目标,从而使BOT项目顺利实施。可见,风险识别是前提,风险评估是重点,风险控制是目的和归宿,而风险管理是基础,贯穿于整个过程。它们之间的关系可以用图2进行说明。
图2关系图
四、风险系统的整体结构设计
现在我们从一个企业的角度出发,来搭建企业的BOT风险管理系统,首先就是要做系统的整体结构设计。风险系统的整体结构设计是由数据库模块、风险的识别与评价模块及风险控制模块三部分组成的,它们之间的结构关系可以用下图说明,见图3:
图3风险系统
4.1数据库模块
数据库模块由两部分组成:专家系统库和风险控制库。
4.1.1专家系统库
1.概念:专家系统是一个具有智能特点的计算机程序,它的智能化主要表现为能够在特定的领域内模仿人类专家思维来求解复杂问题。因此,专家系统必须包含领域专家的大量知识,拥有类似人类专家思维的推理能力,并能用这些知识来解决实际问题。专家系统的基本结构如图4所示,其中箭头方向为数据流动的方向。专家系统通常由人机交互界面、知识库、推理机、解释器、综合数据库、知识获取等6个部分构成。
图4专家系统结构图
知识库用来存放专家提供的知识。专家系统的问题求解过程是通过知识库中的知识来模拟专家的思维方式的,因此,知识库是专家系统质量是否优越的关键所在,即知识库中知识的质量和数量决定着专家系统的质量水平。一般来说,专家系统中的知识库与专家系统程序是相互独立的,用户可以通过改变、完善知识库中的知识内容来提高专家系统的性能。
推理机针对当前问题的条件或已知信息,反复匹配知识库中的规则,获得新的结论,以得到问题求解结果。
在这里,推理方式可以有正向和反向推理两种。正向推理是从前提条件匹配到结论,反向推理则先假设一个结论成立,看它的条件有没有得到满足。由此可见,推理机就如同专家解决问题的思维方式,知识库就是通过推理机来实现其价值的。
人机界面是系统与用户进行交流时的界面。通过该界面,用户输入基本信息、回答系统提出的相关问题,并输出推理结果及相关的解释等。
综合数据库专门用于存储推理过程中所需的原始数据、中间结果和最终结论,往往是作为暂时的存储区。
解释器能够根据用户的提问,对结论、求解过程做出说明,因而使专家系统更具有人情味。
知识获取是专家系统知识库是否优越的关键,也是专家系统设计的“瓶颈”问题,通过知识获取,可以扩充和修改知识库中的内容,也可以实现自动学习功能。
2.工作流程:用户通过人机界面回答系统的提问,推理机将用户输入的信息与知识库中各个规则的条件进行匹配,并把被匹配规则的结论存放到综合数据库中。最后,专家系统将得出最终结论呈现给用户。
4.1.2风险控制库
风险控制库包含两个子库:风险控制过程子库和风险控制结果子库,它们的结构如图5所示:
图5风险消减数据库结构
有效性与可行性分析表:分析控制措施的可行性与有效性。
成本分析表:对控制措施进行成本与收益分析。
人员责任分配表:安排适当的人员进行措施的落实。
维护需求表:监督措施的顺利实施。
控制措施评价表:对控制措施的结果进行评价。
控制结果表:描述采取控制措施以后的对企业造成的结果进行分析。
4.2风险的识别与评估模块
4.2.1风险的识别
风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。
4.2.2风险评估
在风险评估之前,必须准确定义风险的主要元素及其相互关系。
资产:对组织有价值的任何东西。
威胁:对组织或系统产生危害的有害事件的潜在原因。
薄弱点:是一个资产或资产组能够被威胁利用的弱点。
风险评估:识别信息安全风险并确认其大小的过程。
风险评估的流程图如图6所示,
图6风险评估的流程图
图6中,风险的计算是按以下公式计算的,风险(R)是以资产(A)、威胁(T)、薄弱点(V)、和已有安全措施(C)为自变量的一个函数。即:
R=F(A,T,V,C).........................................................................................公式1
在实践过程中,一般通过
R=F(P,I)............................................................................................................公式2
来测量风险,其中P为威胁利用薄弱点对资产或资产组产生影响的潜在可能性,I为威胁利用薄弱点对资产或资产组可能造成的影响。公式中的P或I的值相对便于评估,而且在P和I的评估过程中都必须考虑资产、威胁、薄弱点和已有控制这四个因素,所以说公式2以便于测量的方式最大限度地体现了公式1的函数关系。
4.3风险的控制模块
风险控制涉及到确定风险控制策略、风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等活动。要控制风险,就必须实施合理措施,忽略或容忍风险显然是不可接受的。在组织选择并实施风险评估结果中推荐的措施之前,首先要明确自己的风险控制策
略。
就应对风险的途径来说,有以下几种选择:
1)降低风险—实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响。
2)规避风险—有时候,组织可以选择放弃某些可能引来风险的业务或资产,以此规避风险。
3)转嫁风险—将风险全部或者部分地转移到其他责任方。
4)接受风险—在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受。
所以,企业在面对风险时,可以选择以上措施来应对,但有一点需要明确,面对许多已识别的风险,组织很难对所有的风险一视同仁。风险大小、严重程度、紧迫性、所需资源总是有所区别的,故企业应该对所有风险设置优先级,如果是严重影响了企业生存的,应该放到最前面,同时,在资源提供和相关支持上也要优先给予。当然,因为各个企业的环境和现实状况不同,这就决定了在选择风险控制策略上的多样性。应对风险,最好的方法就是将合适的技术、恰当的风险控制策略,以及非技术性措施有机结合起来,这样才能达到较好的效果。风险控制的流程图如图7所示,
图7风险控制的流程图
七、总结
本文站在一个企业的角度来建立应对BOT风险的管理系统,从系统的整体结构设计到具体的功能实现,具有一定的现实意义,当然了,本文只是提供一个理论的框架,具体到一些功能算法的实现,比如数据库的逻辑设计及物理设计,以及运用算法(比如C或C++程序设计)来实现风险的评估,即优先级的确认等,没有给出相应的结构图和编程算法,但是本文却给出了这么一种整体的框架结构图,在当今BOT日益被广泛运用,却失败案例比比皆是的时代,无疑给带来一缕清新的阳光,应该说是对企业,特别是这些已建立信息系统平台的企业或是那些打算搭建自己的信息系统平台的企业无疑具有一定的指导意义。
当然了,因为BOT项目的实施设计到很多的利益相关方,还可以从政府的角度来考虑搭建适合政府部门的风险管理系统,抑或是适合其他相关方的风险管理系统,本文都具有一定的借鉴作用。回顾本文,依此类推,可能所有的风险管理系统基本流程都是一样的,如图8所示,但涉及到具体的细节可能不一样,总是因具体情况而异的。
图8风险管理流程
参考文献
1 沈建明.项目风险管理[M],北京:机械工业出版社,2003:71,80
2 马兰.基于BOT融资模式的工程项目风险管理研究[D],2005:10
3 李红亮.BOT项目融资的风险管理研究[D],长沙:湖南大学,2005:13
4 沈健明. 项目风险管理[M].北京:机械工业出版社,2004:11-15
5 璐顾. 项目融资风险管理研究[D].武汉:武汉大学,2005
6 郭捷.工程项目风险分析与BT模式风险管理实证研究[D].天津:天津大学,2004:54
7 张鹏.项目融资风险管理[D].武汉:武汉大学,2005:29
8 陶履彬,李永盛,冯紫良等.工程风险分析理论与实践[M].上海:同济大学出版社.2006:18
9 杨亚岐.BOT项目融资的风险管理研究[D].秦皇岛;燕山大学,2005:24
10 姚亮,周晶.BOT项目风险及来源分析[J].东南大学学报.2002(t0)
11 武涛.高速公路BOT项目投资风险研究[J].交通企业管理.2007(7)
12 郑永生,赵吉柱.公路BOT项目融资模式的风险分析及防范[J].集团经济研究.2007,(230):179.180
13 David Baccarini,Richard Archer.The risk ranking of projects:a methodology[J].International Journal of Project Management.2001,(19):139·145
【关键词】风险控制;风险损失度;定向分析;资质审查
企业的风险是指未来的不确定性对企业实现其经营目标的影响,目前,风险管理已经发展成企业管理中的一个具有相对独立职能的管理领域,在企业的经营和发展目标方面,风险管理和企业管理、战略管理一样具有十分重要的意义。风险管理就是通过减缓风险给企业价值造成的损失,来增加企业的价值。企业的风险管理包括许多方面的内容,下面仅就企业法律风险的分析与控制进行简述。
一、企业法律风险的分析
1.风险识别。进行法律风险的分析,首先要对风险进行识别,风险识别包括两方面的内容:一是把企业可能涉及的法律风险识别出来,如劳务派遣用工违规风险、采购合同违约风险。二是把引发这些法律风险的具体行为识别出来,如“劳务派遣用工违规风险”的具体行为包括“将被派遣劳动者再派遣到其它用人单位”、“将连续用工期限分割订立数个短期劳务费派遣协议等。此外,风险识别的内容还包括法律风险关联信息的确定,如风险涉及的法律规范、企业内部的相关部门、企业外部的相关主体等。
进行风险识别,其目标有三个层次:一是完整性,即尽可能没有遗漏的将企业可能会涉及的法律及风险行为全部找出来;二是系统性,即应保证识别出来的法律风险及风险行为在逻辑上是互相独立的,不应该存在交叉或遗漏的现象;三是实用性,对法律风险及风险行为的描述尽可能准确地反映其内涵、外延,并且通俗易懂。
识别企业法律风险,主要采取以下几种方法:问卷调查法即采用调查问卷的形式搜集相关信息的一种方法,访谈调研法即通过对相关人员或业务人员进行面对面交流的方式搜集相关风险信息的一种方法,案例分析法即对企业以往的案例进行分析,发现其中可能隐含的风险等,对企业经营管理活动进行全面梳理,判断是否存在违规风险、违约风险、侵权风险、怠于行使权利风险和行为不当引起的风险。
2.风险测评。风险测评内容包括三个部分:一是风险可能性,即一段时间内发生风险频次的高低;二是风险损失度,即风险一旦发生后可能给企业造成的损失程度;三是风险水平,即综合考虑风险发生可能性与风险损失度后对风险严重程度的判断,具体表现为风险可能性与风险损失度的乘积。对风险测评时,不但要有客观性,即测评结果应尽可能地反映客观情况,而且要有精确性,即应尽可能细致地区分每个风险的测评结果,在风险数量很多的情况下,也可以比较出测评结果较为接近的风险之间的区别。在对法律风险量化测评后对风险进行分级,分级完成后确定重大风险。
3.定向分析。定向分析是在风险识别及风险测评完成的基础上进行,主要包括两个部分,一是风险的数量、种类、等级等分布情况,二是风险的成因、影响、发展趋势等。定向分析的目标有两个,一个是根据管理需要多角度地客观反映企业法律风险的整体状况,如明确企业的大部分法律风险主要集中在哪些部门,以及企业在与哪些外部主体来往的过程中最容易发生法律风险等;二是通过对基础数据的挖掘分析,形成结论性的判断,为企业经营决策提供支撑。
定向分析的方法,法律风险管理体系将其设定了四个定向分析的维度,分别是部门维度、外部主体维度、部门与外部主体交叉维度以及经营管理流程维度。在部门维度的定向分析中,首先将法律风险数据库中的各项风险及风险行为,按照其所涉及的企业内部部门分拆至各部门,企业经营管理流程维度分析是在明确企业内部主要包括哪些经营管理流程及其与各风险的关联性的基础上,将法律风险基础数据库中的法律风险及风险行为拆分至各流程,分别进行横向对比,还可以进一步综合分析法律风险在各流程之间的整体分布情况。
二、企业法律风险的控制
1.风险控制现状评估。在企业完成风险评估后,根据风险排序、分级以及重大法律风险确定结果,初步拟定需要控制的风险,即对风险控制现状的评估。在确定评估对象时,应遵循以下几个原则:一是重大法律风险优先;二是充分考虑对企业战略目标实现的影响;三是充分衡量风险控制投入与收益之间的比例;四是判断风险的内部可控性;五是评估对象最终细化到风险行为。
风险控制评估从八个方面着手,一是资源配置是否合理;二是职责权限,与风险控制相关的职责和权限是否有明确要求,是否执行;三是过程监控是否需要,有无相关要求,执行与否;四是奖惩机制,对相关工作、管理人员在风险控制工作中的表现和成绩是否设立了奖惩机制;五是执行者能力要求,企业对与风险控制相关的内部执行者是否有明确的资质能力要求;六是部门内部法律审查,具体内容为是否要求部门内部对一般的法律问题进行审查,如合同起草时,是否要求合同经办部门内部对合作对方的经营资质、信用记录进行审查;七是专业法律审查,是否要求法律部门或专业律师对专业性法律问题进行审查或提供相关法律意见;八是风险意识,具体为工作管理人员对风险的存在、风险将会造成的后果以及如何开展风险控制等方面是否有必要的认识和理解。
2.控制计划制定与实施。风险控制计划制定的内容包括三个部分:一是明确对风险的控制态度;二是制定具体的风险控制措施;三是确定每项控制措施的责任部门、配合部门以及实施进度,形成控制计划。制定控制计划的整体思路是:首先依据相关原则确定对风险的控制态度,其次按控制态度的需求,对照风险控制现状评估结果,确定风险的控制措施类型和内容,最后将各项风险控制措施进行统筹、整合,并确定各措施的责任部门、配合部门,形成整体风险控制计划。
关键词:内部审计;风险管理;参与;原因;作用
近些年,随着资本市场国际一体化的发展,企业面临的竞争也日趋激烈,为了适应高风险的外部环境,企业的内部结构和组织规模也都在发生变化。因此,为了现代企业的生存和发展,必须改善和加强风险管理。对于一个以电力销售为主的企业来说,要想在经济全球化的今天生存和发展下去,内部审计部门必须充分发挥风险管理的独特作用。
一、内部审计参与风险管理的原因
(一)企业内外部环境发生变化,面临的风险加大
在市场化竞争愈演愈烈的今天,企业受限于宏观经济形势、产业政策调整等多重影响,外部经营环境日益复杂。因企业的组织规模、机构设置、流程设计等诸多因素与目前的形势不适合,企业的内部经营风险也与日俱增。对于电力企业来说,为实现经济效益与社会效益同步发展,如何降低公司所面临的风险,使国有资产保值甚至增值就成了其关键所在。因此,作为相对独立的内部审计部门和内部审计人员也就必须参与企业的风险管理。
(二)内部审计参与风险管理具有较强的优势
内部审计既是一个独立的部门又与其他部门有着密切的联系,有别于外部审计。内部审计全程参与企业的管理,可以从事前、事中、事后三个阶段分别进行风险预警、风险控制和风险评估,而独立性较强的外审部门往往只能在事后进行结果性风险评价。内部审计一方面对企业所在的环境较为熟悉,明晰企业的战略目标,深知企业的技术标准和管理流程,能充分运用企业现有的技术手段,对风险的预警、控制和评价更为直观;另一方面它的地位相对独立,提出的审计意见更能引起企业管理层的认可和重视。
二、内部审计参与企业风险管理的作用
《内部审计实务标准》对内部审计做出了明确定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。
(一)风险管理角度更高、更全面
通常认为,风险具有客观性、普遍性、损失性、不确定性和可变性五种特征。一个企业从生产环节开始,从产品的设计、原材料的采购、商品的生产,再到销售环节的营销、销售、货币资金的回笼,无时无刻不存在风险。而且由于风险具有可变性,一种隐藏的风险往往可能在不同环节暴露出来,最终给企业造成巨大的损失。目前,电力企业的风险现状不容乐观。首先,电力企业作为国家重要能源部门,其关注的社会效益有时大于企业经济效益。其次,受地方政府发展经济影响,短期行为较多,投入产出不成正比。最后,随着国家产业政策调整和经济发展方式的转变,销售端受国家定价控制影响,成本端受电煤价格不断上涨影响,企业无法根据自身的投资行为、成本压力来合理确定自身的盈利能力和水平,电费回收难度加大。因此,复杂的电力营销风险在一定程度上极有可能转化成财务风险。综上所述,控制风险要站在全局的角度去考虑,而单一的业务部门又很难做到这一点。
(二)风险评价更充分、更客观
风险管理的首要环节是对风险的识别。首先,内部审计可以凭借其相对独立的身份和地位,不参与企业具体经营业务活动,又不对产生的问题承担直接的管理责任。它可以作为“局外人”,看清组织和行业的发展趋势、企业自身的优势和不足、外部环境的机会与威胁,立足于全局开展工作,更好地实施风险识别预警。其次,它作为一个综合性部门,审计范围覆盖企业全盘,掌握的信息丰富多样,更容易从中发现存在的风险隐患问题并进行风险分析,找出管理漏洞并制定应对策略等。再次,内部审计人员长期服务于各自企业本身,与企业战略目标一致,企业利益与其自身利益又息息相关,从风险管理的效果和建立风险防控体系长效机制角度来看,他们更具责任感。
(三)风险控制更合理、更有效
风险是一种潜在的可能的损失。风险导向审计作为当今主流的审计方法,越来越受到重视。而内部审计的职能也由传统的企业内部控制向风险管理转变。有效的风险管理可以减少和防止企业的损失,增加企业的价值。内部审计参与风险管理可以依据组织所处的环境,纵观全局,从组织规模、机构设置、经营战略、政策法规、监督方式等方面检查各项程序控制的有效性。对于风险的评估,内部审计可以有效评价风险评估的合理性、评估方法的科学性、报告的及时性等。内部审计参与风险控制活动,可以依托自身独立于业务部门的优势,更好地检查控制相关经济业务活动、职责分离是否适当、授权审批是否恰当、凭证和记录是否充分、信息沟通是否顺畅、单据传递是否及时、内部核查程序是否合理等。
(四)能够引起高层管理者的重视
尽管有些企业也有风险管理部门,但它作为企业的一个职能部门往往受到高层的压力影响,独立性受限,难以发出自己的声音。而内部审计作为董事会及其审计委员会和最高管理层实施控制的手段,在企业管理尤其是风险管理、内部控制、组织运营及公司治理等方面地位突出。董事会领导直接管理集团的内部审计部门,有任何的评估意见可以直接与董事会的领导汇报,使管理人员更加重视审计部门的意见,更彻底地实施所提意见
三、内部审计如何参与风险管理
内部审计参与风险管理与一般风险管理部门进行的风险管理相比既有联系又有区别。风险管理都是为了控制并降低企业的潜在风险,这是它们的本质联系。而双方所处的地位不同,决定了他们在风险管理中扮演的角色也不相同。正是因为这种差异的存在,内部审计在参与风险管理的过程中应更有针对性。
(一)高度契合于企业战略目标
第一,为了能使企业的核心利益与战略目标保持高度统一,内部审计部门要有针对性地组织技能培训、技术投资和资源配置。第二,根据企业的战略目标来设定部门的评价标准和工作重心。在评价内部审计对象时,应充分理解公司的战略目标,把审计对象的工作与公司的战略目标是否一致作为评判的第一标准。第三,企业的战略目标是内部审计工作的风向标,做好内部审计工作,把握公司战略方向,才能使公司长远发展。内部审计还可以根据研究子公司的业务情况、财务状况及内部控制制度来为公司发展过程中遇到的难题提供解决方向,保证下属公司的发展方向与集团的战略目标相统一
(二)立足于流程梳理优化
内部审计人员应摒弃传统的审计习惯,不要将过多的时间和精力花费在简单的翻阅账本,被企业固有的工作流程和措施策略所束缚,而是要从中发现业务状况、公司内部资源的开发利用、质量控制、商品采购、营运和服务等各个方面是否有可以改进的地方。所以,在现代审计中,必须转变观念,把风险管理作为内部审计的首要任务。内部审计工作重心必须立足于企业内控制度和流程梳理优化上。有效的内部管理和业务流程是企业实现战略目标、降低风险的强有力的保证。如果在制度标准和业务流程设计上存在缺陷,这对一个企业来说是致命的错误。内部审计应结合实际,对流程梳理优化提出意见,这样就能使解决问题的方法更有针对性和可操作性。
(三)充分利用企业技术手段
随着时代和科技的发展,现代企业对内部审计有着更为重要的要求,包括企业的投资、采购、生产环节,也要注重经营、销售方面,这其中就产生了大量的审计数据。内部审计人员过去广泛依赖的盘存、观察、函证、查阅、询问、统计抽样等传统方法已经无法适应现代审计的需要,必须充分利用企业技术手段,以信息化建设为基础,通过多维数据分析,及时、准确地发现企业内部控制和生产经营管理中存在的问题。企业要充分利用集团局域网等现代通信技术,实现财务、业务、人力资源等部门的集中管理,建立信息数据库和服务库,利用多媒体网络的方便快捷,及时查询各被审单位的数据系统,对经营管理进行实时监控,使审计情况能够及时高效地完成,不要等到出现大问题才发现,由被动转为主动,提高企业审计部门的工作效率,使审计工作更加准确、高效、及时。
(四)注重实效,保证质量
首先,内部审计不能只是停留在监督管理、反映问题的层面,而是要具有及时发现问题的能力,并且要有应对措施,为企业日常的经营和运作处理问题,提出有效的方案、对策。其次,要根据企业目前的发展制定相关战略措施,提出合理化的审计报告。发现问题,提出意见和建议后,要及时监督有关部门的整改落实情况,确保问题能够得到正确、及时的解决,真正实现改中求进,进中求好。要把企业风险管理同内部审计日常工作相结合,增强风险意识,引入先进的风险审计方法和手段,立足于做好常规审计,着眼于推进重点审计。对企业发生的重大投资、工程建设和企业负责人的经济责任审计要予以重点关注。优化资源配置,对高风险领域和部门要指派专人跟进,持续审计。假如审计部门能够深入了解所查公司的经营活动,从中发现不足,就能及时探究问题产生的原因及解决之道,降低风险。
综上,在市场经济多元化的今天,市场竞争愈演愈烈,企业健康、高效地发展成为永恒的主题。现代企业组织形式多种多样,无论是股东会、董事会、监事会都不能完全满足企业的管理需求。企业自身的内部控制和规范化管理依然是影响企业持续发展的原动力。如何能更好地做到这一点,内部审计参与风险管理是一种趋势和方向。内部审计需要充分发挥内部监督和风险管控职能,实时反映、评价企业经营的风险情况,提高企业的经营管理水平。
参考文献:
[1]张坤,李嘉明,周和生.风险管理与内部审计[M].北京:化学工业出版社,2004.
[2]夏丹宁.推进风险管理审计的思路[J].中国内部审计,2004(12).
[3]林英杰.中德内部审计制度比较[J].中国内部审计,2005(03).
[4]姜晓丽,侯佳,曹宁宁.从风险管理谈公司治理与内部审计的整合[J].中国内部审计,2005(04).
打造符合中国国情的IT GRC
从合规角度来看,近年来,公安部、国资委、银监会、证监会、保监会都曾专门过针对信息安全或科技风险管理的具有行业特色的法规或指引要求,体现出企业应对IT风险管理及合规要求的紧迫性和特殊性。同时,企业内部管理规范(被称为中国版“萨班斯法案”)对企业内部管理和风险防范提出了更加明确的要求,这极大推动了企业风险管理、合规管理类工具(IT GRC)的发展。针对这一市场,包括IBM、SAP、Oracle 、CA等在内的国外GRC解决方案提供商,包括德勤、普华永道等在内的咨询公司,以及慧点、用友、金蝶、浪潮等国内ERP厂商们都开始积极布局,GRC产业在国内迅速崛起。
实际上,IT GRC的概念并不新颖,作为一个早被业界认可的通用术语,GRC代表一种思想和理念,是企业逐渐从分散管理模式向跨业务单位、跨IT平台的集中模式发展,从而全面而高效地应对治理、风险管理和合规三个方面挑战的解决方案。而事实上,国外绝大多数IT GRC软件都不适合中国的管理模式与法律规范要求,国内企业亟待一款真正符合中国国情、技术管理方面都适合中国企业特点的全新产品。
上海安言信息技术有限公司是国内最早从事信息安全管理咨询的机构,由一批具有信息安全专业技能与管理实践经验的专家构成,在国内最早开展ISO27001、ISO20000、PCI等国际信息安全标准的咨询工作,先后完成了交通银行、农业银行、国家电网等大型企业的信息安全管理体系建设。
安言信息一直关注相关领域厂商和用户单位的市场动向。长期服务企业的过程中,安言发现企业迫切地需要将管理制度、流程等要求切实落实到日常工作中去,需要IT GRC工具进行支持。其决策层认为:国内IT GRC应用市场存在巨大的潜在,国内应有理由挺进这一蓝海、向“洋品牌”叫板。基于此,安言信息于2011年设计并实现了一套用于支撑企业、特别是银行金融企业的IT治理、合规与风险管理落地的平台化软件系统ITRMS。
IT GRC需求分析
在设计ITRMS之初,上海安言信息技术有限公司从技术层面、应用层面和合规角度对国内产品进行了周密分析,提出产品一定要有自己的特色,要有创新的风格,这是该产品开发的出发点和落脚点。
通常意义上,GRC应用或解决方案大都具备以下功能:定义企业风险与控制框架;设计风险管理流程;与ERP、SCM、CRM等系统对接,实现应用控制的自动监控;提供数据自动采集和智能分析;自动化系统审计测试;提供报表信息;提供其他附加功能,如身份管理、访问控制、流程控制、数据安全等控制措施。这些功能体现了GRC作为一种集中管理模式,对企业运营过程中各类风险进行集中监测、预警和控制,并与法律合规及审计进行紧密关联以提供管理层决策的设计思想。
尽管以各类GRC软件或解决方案为代表的产业发展已经风生水起,但作为其中非常重要的一支――IT GRC,却并不显山露水。
一方面,传统GRC应用更多是从企业EPM、ERP、CRM、SCM等管理模式中抽取、延伸并集成,侧重企业运营和财务,并不特别针对IT,其无论是管理模式、操作方式、结果展示还是知识系统,都没有考虑IT的特殊性。
另一方面,企业IT又面临极大的合规压力和操作风险,特别是一些极度依赖信息系统的行业或领域,如金融、电力、通信等,层出不穷的监管要求、屡屡发生的信息科技事故、“救火队员”一样尴尬的角色扮演,都使得企业IT急需在IT GRC方面找到更有针对性也更具实效的答案。
就风险管理来说,以银行金融业为例,无论《新巴塞尔资本协议》还是银监会《商业银行信息科技风险管理指引》,都强调对以信息科技风险为主体的操作风险的管理。信息科技风险,无论是从来源、范围、形态、特点还是影响上,都与战略风险、声誉风险、国家风险、法律风险、信用风险、市场风险、流动性风险等传统风险有着很大区别。
首先,信息科技风险存在于企业各个领域和层面,只要有信息或信息系统的存在,都涉及信息科技风险。
其次,信息科技风险有着明显的时间性,从信息系统规划、设计、运行、更新到报废,信息科技风险存在于信息系统的全生命周期。
另外,信息科技风险有人为和自然因素,也有管理和技术之别,从起因上表现出多源性。
此外,信息科技风险覆盖IT战略、IT治理、IT绩效、IT规划和架构、项目管理、系统开发、运营流程、基础设施、信息安全、业务连续性、外包管理等各个领域,具有形态的多样性。
最后,信息科技风险影响广泛,除信息系统外,还会对员工个人、业务运营、法律合规以及企业声誉造成直接影响。
近年来,公安部颁布的等级保护相关系列标准、银监会的《商业银行信息科技风险管理指引》、证监会的《证券期货业信息安全保障管理办法》、保监会的《保险公司信息系统安全管理指引》,都纷纷体现出企业应对IT风险管理及合规要求方面的特殊性。
IT GRC规划设计实施
通常来讲,IT GRC会出现两类情况:其一是以IT支持GRC,即基于IT来实施企业GRC,将GRC作为一个电子化的整合平台,这还是传统GRC概念;其二是针对IT实施GRC,即针对IT或在IT领域实施治理、风险管理和合规。我们在产品设计时特别强调后一种情况。
IT GRC作为针对企业IT治理、风险管理和合规管理的一整套解决方案,在规划设计和实施操作中必须要考虑以下三方面问题。
首先,IT GRC必须考虑到自上而下的治理问题。IT治理是企业治理在信息时代的重要发展,是描述企业是否采用有效机制,使得信息系统及IT应用能够完成企业赋予它的使命,同时平衡信息化过程中的风险,确保实现企业战略目标的过程。IT治理的使命在于:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,并适当管理与IT相关的各类风险。
其次,在统一的IT治理框架下,IT GRC必须建立起完备的IT风险管控机制,这是IT GRC最为核心的内容,具体包括:1)明确IT风险管理范围,构建IT风险库;2)建立IT风险管理流程,包括风险识别、风险评价、风险控制、风险监测等关键活动,同时确定识别时机和监测途径,确定风险偏好和可接受水平;3)参考监管要求和国际规范(如COSO-ERM、CobiT、ISO27001、ISO31000、RISK IT等)建立风险控制框架和基线;4)对风险进行持续监测;5)制定信息与沟通策略,建立风险报告机制。
另外,IT GRC在展示和报告方面需充分考虑IT法律合规方面的要求,一方面应建立合规管理框架,包括识别合规要求,评估合规现状,建立合规映射,落实合规责任,推动合规检查,提供合规报告等活动。另一方面,还应形成风险与合规的联动机制,确保任何风险监测或事故报告都能追溯到相关管理对象和合规要求,并能提供合规证据。
除上述三个大的方面,IT GRC还应建立支撑相关工作的流程操作和运行保障机制,并尽可能与企业信息系统和应用进行关联,最终实现信息科技风险和合规的全过程与实时性管理。
先进的IT GRC管理理念要想在企业中得到实践,并有针对性地为企业服务,咨询是其中的重要一环;企业信息安全与IT治理咨询服务是GRC理念在实际企业中的个性化实践。
安言ITRMS助力企业实现IT GRC
安言ITRMS是一个集合规管理、人员管理、风险管理、制度(体系文件)管理、流程管理、意识提升、安全检查、绩效评价、报告管理、知识管理等功能的全面的、可扩展的IT GRC应用平台。其面向包括高级管理层、风控部门、合规部门、审计部门、IT部门、安全管理部门等在内的企业各个领域,以IT风险库为基础,通过持续的IT风险监测和联动机制,实现IT全生命周期的风险管理,并将人员职责、制度规范、操作流程、意识培训等日常控制工作融入其中。
借助该平台,企业围绕IT规范化管理开展的各项工作,特别是之前被广泛接受的基于ISO20000标准的IT服务管理体系、基于ISO27001标准的信息安全管理体系、基于CMMI的软件开发过程管理,以及基于BS25999标准的业务持续性管理体系,都可以进行有效整合并嵌入其中,从而改变以往各自为政分散式的管理模式,基于信息科技风险管理与合规这一核心思想,形成集中化的管理模式。
管理对象:ITRMS支持全面的IT风险库,各类IT风险就成为平台管理的对象。作为信息科技风险管理的配置基础,据此可呈现基于系统、运营业务、岗位或IT基础设施的风险视图。
驱动机制:ITRMS覆盖业务相关的信息全生命周期,从需求分析到系统开发、系统上线、运维支持,涵盖开发和运维部门,涉及企业内部管理和供应商管理,通过风险监测及预警来驱动整个风险管理过程。
控制功能:信息科技风险管理落实到位,体现在各种流程化的日常工作当中,如信息安全事件管理、日志集中管理、访问控制和权限管理、业务连续性预案演练等,所有这些可能嵌入在其他专用系统和应用中的控制流程,都可以与ITRMS进行接口,以便与风险联动。
支持保障:通过制度文件场所化、人员职责明确化、检查工作常态化、绩效评价可量化、培训推广多样化以及有效的知识管理,为信息科技风险管理提供支持保障,这也是传统信息安全及信息科技管理最事务性的日常工作。
内外呈现:信息科技风险管理需要对外合规、对内追责。一方面,通过即时呈现,提供合规报告,从容应对合规检查。另一方面,落实责任,追溯到人,可随时展示工作业绩。
具体实现上,ITRMS采用层次化的软件架构,各层之间关系松耦合,下层通过接口为上层提供服务,如下图所示。其中,基础设施层为平台提供支撑,驱动层控制业务逻辑的流转,业务层为平台提供管理所需要的基本功能,展示层提供各种对外视图。
ITRMS采用层次化的软件架构
实际上,通过ITRMS的规划设计和部署实施,企业可借此构建一个较为完整的信息科技风险和信息安全管理的工作流平台和知识管理系统,并形成企业内部一个专业化的PORTAL。
(一)控制风险的长效机制还没有完全形成
目前,各家商业银行的风险管理实际上是以风险控制为主要目标,对整个风险管理工作缺乏统筹规划和战略考虑,不能很好地服务于全行业务发展实际和效益最大化的经营目标。在风险控制中,主要以单点控制、间断控制为主,往往拘泥于对单个风险不系统、滞后、被动和片面的控制,不能实现内部控制的连续性和系统化,不能在业务流程中嵌入风险管理环节,实现风险的源头和过程控制。在业务发展上,缺乏自我约束和平衡机制,不能正确处理发展业务与风险管理的关系,不能充分考虑风险管理的要求,做到风险控制优先,甚至还简单地将风险管理与业务发展平行化或对立化,导致出现风险管理偏好和业务发展偏好之间的过度波动,不能形成有机协调的合力。在制度建设上,现有风险管理制度不健全和存在的缺陷,本身就使银行经营面临极大风险,加上在执行、检查、评价等诸环节的不到位,更使得监督制约显苍白无力,风险监管的有效性大打折扣。
(二)合规风险管理体系和组织架构尚未真正建立起来
近年来,各家商业银行借鉴国际先进商业银行的成功经验,陆续实施了包括授权授信、审贷分离、岗位制约、内部审计等在内的一系列风险管理措施,在风险管理工作中取得了一定成绩,但这些探索仍是局部的、零散的,尚未建立涵盖风险甄别、风险报险、风险决策、风险避险、全程监控等在内的一整套全面的风险管理体系,还不能实现对所有机构、所有人员、所有业务、所有过程、所有种类风险的管理。特别作为风险管理重要传导载体的组织系统薄弱,集中统一的风险管理组织架构的基础还很不稳固,以风险管理为主线的管理组织体系尚不健全,风险管理宏观政策的推行及业务操作还缺乏上下左右相连、纵横贯通的组织网络和结构载体。风险管理部门与相关业务部门职责关系界定不清,且以信贷资产风险监管为主要职能,其他分散的风险管理职能或交叉重叠或权责不清,存在管理盲区。同时,从事风险管理的专业人才资源稀缺,队伍建设相对滞后与风险管理要求不断提高的矛盾突出。这种风险管理体系的不健全,不仅抑制了以此为依托的风险管理工作的开展,更阻碍了商业银行合规风险管理战略思想的实施。
(三)风险管理技术工具难以适应新形势的要求
在金融市场开放步伐和金融工具创新步伐不断加快的背景下,新的风险不断涌现,表现形式也越来越隐蔽。由于宏观经济变化引发的系统性风险、周期性风险逐步加大,价格风险、市场风险开始显现,表外业务风险和金融衍生产品风险时有发生,这些新的风险对风险管理技术提出了更高的要求。但目前商业银行风险管理技术和工具还比较落后,国外很多先进的风险管理工具如风险评级、风险预控、资产组合分析和各类风险缓释技术至今尚未在风险管理工作中得到广泛应用。特别是风险分析和风险评级的技术过于简单,缺乏有效的风险适时监测和控制手段,不能对有限的信息资源进行技术处理,难以对风险管理形成有效的支撑。通常是事后被动处理多,事前主动防范少;定性分析多,深度数理分析少;静态分析多,动态分析少;立足局部分析多,站在全局角度分析少。如何运用先进的风险管理技术工具来科学规避风险,实现风险防范和业务发展的平衡,既是一个全新的要求,也是一个严峻的考验。
二、合规风险管理体系应具备的主要特点
(一)风险管理目标上,以为商业银行创造利润为最终目标取代单纯的风险控制目标
作为现代商业银行,其风险管理目标不仅是管住风险,而且必须与企业经营的总体目标保持一致,与股东权益长期提高的价值取向保持一致,即风险管理要服务于企业实现利润最大化的核心目标,风险管理能够提高承担风险所带来的收益。因此,风险管理部门不能就风险论风险,在风险管理过程中要充分考虑成本、收益和业务发展,追求过滤掉风险的收益,不仅要通过控制不良资产来减少损失,还要通过建立合规风险管理体系,确保在有效控制风险的前提下,保持银行的客户、产品等各渠道源源不断地创造出更多的效益,为企业持续创造丰厚的回报,保证银行效益最大化的最终目标的实现。
(二)风险管理内容上,以全面风险管理取代单一的风险管理
国内外风险管理的实践表明,尽管商业银行的所有业务都包含一定程度的风险,但商业银行内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,我们不能仅仅从某项业务、某个部门的角度考虑风险,必须坚持以效益最大化为中心,按照业务增长与风险控制相适应、风险成本与风险收入相匹配的基本原则,建立涵盖信用风险、市场风险、操作风险等各类风险的、技术先进、制度健全、适度集中、执行有效的合规风险管理体系。在宏观管理层面有统一的风险管理战略、统一的风险管理政策、统一的风险管理制度和统一的风险管理文化。在微观操作层面对所有机构、所有业务、所有过程中蕴涵的各种风险加以识别,用统一的标准和先进的技术方法进行测量并加总各种风险,在通盘考虑各种风险的状况和影响的基础上,采取相应的风险管理与控制措施,确保其风险管理能够覆盖所有业务和所有环节中的一切风险,确保风险管理能够识别银行面临的一切风险。
(三)风险管理技术上,以模型深度度量取代简单的浅度度量
长期以来,一些商业银行习惯运用定性分析和简单的数据分析方法,通过完善贷款保证措施、贷款限额、信用额度、信用等级等传统的信贷管理手段,来加强对贷款发放环节的风险控制和降低信贷业务的风险损失。而国际银行业风险管理技术早已从“我们只做好贷款”、“贷款应该评级”演变到“对风险进行定价”,通过量化风险测算为单笔贷款的风险准入和风险成本判断提供支持。同时,作为股份制商业银行的出资人,股东也会对资本配置效率提出更高的要求,不仅要求单笔业务风险收益匹配,而且对在资产组合层面上风险收益能否平衡的要求也更加苛刻,银行必须采取对自留风险定价、资产证券化、对部分资产组合从事避险交易等动态的风险管理措施来减少系统性风险。因此,风险管理支持技术也要适应新的形势的要求,主动引入内部评级法等先进的定量技术工具,设计出针对单笔业务和资产组合两个层面,涵盖信用、市场、操作三类风险的计量模型,实现由浅度度量向深度度量的转变。
(四)风险管理机制上,以资本精细化管理取代资本粗放管理
多年来,尽管商业银行反复强调以效益为中心,但在实际工作中,普遍不能很好解决扩大业务规模与提高效益的关系,不能很好解决短期效益与长期效益的关系,最终导致以浪费资本这种最稀缺的资源为代价来换取业务的规模扩长。为有效防止分支机构因盲目追求短期收益而忽视对业务潜在风险的充分衡量,避免风险对资本的冲击,必须采取能将资本、风险和收益有机衔接的资本精细化管理工具。这种精细化的资本管理工具包括资本配置和绩效考核两部分。在资本配置上要以经济资本为核心约束风险资产总量的增加,指导业务资源的有效配置,促进资产结构调整和优化。在绩效考核上强调资本回报对经营管理的约束,设定恰当的绩效评价期限,并充分考虑风险因素及风险管理战略的执行效果,实现由考核账面利润向考核风险调整后资本回报率(RAROC)的转变,打牢经济资本占用与经济资本回报的内在关系,为不同产品、客户和部门的风险建立共同的衡量基础。
(五)风险管理组织上,以垂直管理取代层级管理
从目前国内银行业的现实情况看,如果金融机构同时身兼风险承担者和风险监控者的双重职责,往往乐于追求业务量和利润的增长,而忽视由此可能带来的更大的风险。因此,风险管理必须保持一定的独立性,风险承担者不能同时为风险监控者,风险承担与风险监控必须分离。而实现垂直管理后,便于上级行风险管理部门对下级行风险管理部门负责人和同级业务部门“风险管理窗口”负责人的直接管理和考核,有利于总行风险战略和政策的传导,有利于下级行风险管理人员和风险窗口管理人员在所辖区域和领域内全面监控执行总行风险管理政策,有利于总行风险管理部门综合归纳各区域、各领域的风险暴露,及时进行合规风险整合和对冲,从而实现对整个机构的积极风险配置。
三、建立合规风险管理体系的具体措施
(一)树立科学的风险管理理念,全力营造风险管理的文化氛围
风险管理是现代商业银行经营管理的灵魂,通过营造风险管理的文化氛围,及时准确把科学的风险理念传导给每一位员工,使之牢固树立风险意识,形成风险防范的惯性思维,是做好风险管理工作的重要保证。要树立过滤掉风险的收益和发展的风险理念,处理好风险管理与业务发展的关系,以风险管理作为业务发展的先决条件。在发展业务的同时也要考虑潜在的风险,确定合理的风险度,既不能在风险面前畏难回避,也不能盲目夸大风险事实。要在主动预测管理控制各类风险源、疏导化解风险为我所用的前提下最大限度追求企业效益最大化,理性支持各项业务的健康发展。要树立风险回报理念,根据风险回报的差异,对不同的客户、业务、产品发展战略进行量化的比较和选择,在经营工作中正确处理资本、收益和风险的关系,在风险和收益的平衡中实现资本的保值增值,确保风险和收益应匹配。
(二)制定明晰的风险管理战略,引导风险管理工作的有序开展
风险战略是风险管理的行为指南。作为公司治理结构完善的现代商业银行,董事会要根据经济环境、国际银行同业风险管理发展趋势、市场定位和主要股东的风险偏好,确定合理的投资回报目标,制定确保业务可持续健康发展的风险管理战略。整个风险管理战略应包括风险管理的目标、风险可承受区间、风险管理的原则。资本金的管理,即估算发展目标、预测经济资本与监管资本的缺口,规划资本的最佳结构并提出筹资方案,确定资本金在经济区域、业务主线及不同行业之间的配置,对银行风险管理的长期投入进行规划等。风险管理委员会以董事会的风险管理战略为依据,制定全行的风险管理政策。各级管理层具体负责风险战略和风险管理政策的贯彻落实。风险管理部门根据董事会、风险管理委员会、高层管理者确定的风险管理战略、规划、政策和操作指引,通过授权管理、授信制度、控制目标等手段,及时有效地传导给分支机构和各风险窗口,对信用风险、市场风险、操作风险等实施全面有效管理。
(三)搭建垂直独立的风险管理组织架构,制定完善的风险管理流程和规章制度
为实现风险管理与业务发展的有效制衡,目前商业银行风险管理组织架构应从现行的平面式层级化管理向矩阵式垂直化管理过渡,确保风险管理的独立性和权威性。一要坚持分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,由董事会对风险管理负最终责任,董事会授权首席风险官和风险管理委员会在保持独立性的前提下代为行使风险管理职权,实行在首席风险官统一领导下的“下管一级”和“分类管理”的积极的风险管理模式。各级风险管理部门要相对独立于业务部门,承担起平行制约和行为监督的责任,抑制过度追求商业机会、利差贡献或业务量而违背风险管理原则的行为。二要坚持集中与分散相结合的原则。即对风险管理的决策和宏观管理层面实行集中,统一全行的风险管理政策、制度、程序,而对风险管理的微观操作层面实行分散化管理。三要坚持“扁平化与窗口化统一”的原则,实现风险管理关口的前移。实行扁平化,就是要在风险管理过程中,尽可能地减少风险战略和政策的传导过程,减少决策程序中的不必要环节,保证信息传输的及时准确。实行窗口化,就是要将风险的日常监控单元直接设置到业务经营部门内,使风险管理涵盖各业务领域,更加贴近市场,实现对风险的全面、及时监控。
进一步优化风险管理流程,实现风险管理与业务管理的平行作业。要从管理的角度将风险进行分类,并确定相应的风险管理授权,逐步做到按产品、地区、业务、主线来识别风险,分支机构要在授权范围内,对信用、市场、操作等风险进行控制,在此基础上,实现风险的分类管理,即所有风险都由专门的风险管理部门和专业的风险管理人才进行分类管理和实时监测,提高风险管理的效率。同时,要建立科学的风险决策流程,决策的各个环节既要讲程序和制约,更要讲科学和专业;既要讲控制,也要讲效率;既要讲民主,也要有问责,确保风险决策的程序性、科学性和专业性,确保对业务发展及市场竞争的快速反应和对风险的及时预警。
及时进行风险管理制度、方法、措施的梳理归纳,尽快填补风险管理制度建设的空白。一要建立内部控制评价制度。将所有风险单元的风险管理过程纳入监控和考核体系,并与绩效管理、薪酬分配和干部晋升挂钩,促进风险管理工作的完善和开展。二要健全和完善法人授权管理制度。结合各级行风险内控建设管理的完善程度、经营管理范围、水平,制定相应的法人授权等级评价办法,实行区别授权,同时,建立授权执行效果的后评价制度,充分发挥授权管理在风险管理中的重要作用。三要建立风险限额管理制度。对商业银行面临的各类风险进行量化、汇总、分解、控制,将风险控制在可以承受的限度内。四要建立制度评估反馈机制。各制度制定部门要定期自我评估,从而使规章制度的建立、修改和废止工作始终处于良性循环的状态。五要严格制度的执行,对违反制度规定的,要严厉追究责任。
(四)推进内部评级工程建设,打造合规风险管理的核心工具
由于风险管理不同于单一的风险控制,它是一项涵盖全要素、全方位和全过程的系统管理工程,因此,必须引入与之相适应的全新的技术工具。而目前已经公布,并将于2007年正式实施的《巴塞尔新资本协议》所积极倡导的内部评级法,无疑为各商业银行的风险管理提供了先进的技术工具。所谓内部评级法(IRB),实质上是一套以银行内部风险评级为基础的资本充足率计算及资本监管的方法。它由银行专门的风险评估部门和人员,运用一定的评级方法,对借款人或交易对手按时、足额履行相关合同的能力和意愿进行综合评价,并用简单的评级符号表示信用风险的相对大小。内部评级主要包括客户评级和债项评级两个方面,它能够提供客户违约概率(PD)、违约损失率(LGD)、预期损失率(EL)、非预期损失率(UL)、违约敞口(EAD)等关键指标,不仅在授信审批、贷款定价、限额管理、风险预警等基础信贷管理中发挥决策支持作用,而且也是制定信贷政策、计提准备金、分配经济资本的重要基础。
内部评级法从国家风险、地区风险、行业风险、产品风险、客户风险以及债项风险等多种角度进行风险评级,在敏感性、准确性和系统性等方面对风险计量提出了更高要求,能够增强商业银行对各种风险的鉴别分析能力。尽管中国银监会对新资本协议的实施制定了“两步走”和“双轨制”的策略,但内部评级法作为新资本协议着力推荐的风险管理工具,正在成为全球银行业开展风险管理的主流技术模式。实施内部评级法不仅有利于提高各商业银行的风险管理水平、增强核心竞争能力,也有助于树立商业银行在投资者和社会上的良好形象。
实际上,一些商业银行已经对内部评级工程建设给予了高度重视,并在信用风险评级预警系统等前期工作方面取得了初步进展。今后一段时期,要加快内部评级体系的实质性的开发建设,促使阶段性成果及时转化为生产力,使内部评级法尽快成为信贷政策、授权管理、风险限额管理、产品定价、经济资本分配、准备金计提、绩效考核、资本充足率测算等方面的核心工具,使商业银行能够充分利用先进的风险管理技术进行正规化、系统化的风险管理。
(五)发挥经济资本的约束作用,建立以资本回报率为基础的风险自我调控机制
由于缺乏经济资本的约束,在各商业银行发展过程中,曾经出现过存贷款业务的大起大落和贷款从惜贷到激增的快速扩张,经济资本在各商业银行经营活动中的基础地位的逐步确立,使得在风险管理工作中,能够借助于经济资本的本质属性建立风险自我调控和约束机制。我们知道,银行的风险来自于不同的部门、机构和业务,风险造成的非预期损失只能通过银行的资本来消化。将经济资本配置到各部门、机构或各项业务,不仅可以清楚显示各部门、机构和各项业务的风险水平,实现资本与风险的匹配,而且可以使经济资本成为银行确定其风险控制边界的基础:当经济资本在数量上接近或超过各考核单位的实际资本(即监管资本)时,说明其风险水平已经接近或超过其实际承受能力,促使考核单位要么通过一些途径增加实际资本,要么调整资产结构、减少高风险资产,控制或回缩其风险承担行为,这样,就起到了对风险的约束作用。
在此基础上,通过引入资本回报率指标,可以构建高效、自动运转的风险管理机制。各商业银行在衡量各经营单位对股东价值的贡献时,应采用风险调整后的资本回报率指标。其计算公式为:风险调整后的资本回报率(RAROC)=(利润-预期损失)/经济资本=(收入-支出-预期损失)/经济资本。由此计算的资本回报率指标,既考察了银行的盈利能力,又充分考虑了该盈利能力背后承担的风险。RAROC指标把银行的风险与收益紧密联系在一起,使银行风险管理和业务发展的成果体现为一个简单的数值。银行各部门、机构和各项业务都可以计算自己的RAROC指标,并且相互间可以直接对RAROC指标的高低进行比较。根据RAROC指标的这一性质,各级管理者可以通过RAROC这一核心考核指标进行风险监控和管理。这样,可以把风险管理融合在各项业务工作中,使各种风险的管理联系起来,彻底改变了过去那种对各类风险的单独分析、孤立管理,在银行总体范围内形成一个集中统一的风险管理机制。新晨
(六)建设高素质的员工队伍,奠定实施合规风险管理的人力资源基础
在银行风险管理中,人是风险管理实践活动的主体,需要充分发挥积极性、创造性、主动性;同时,人又是风险管理实践的首要对象,人的风险是最大的风险,要实现两者的有机统一,必须建立一支高素质的风险管理队伍。目前,各商业银行风险管理队伍无论数量还是质量都不能满足实施合规风险管理的需要。因此,必须按照现代人力资源管理理论的要求,加快各级各类风险管理人才的培育和引进,以有竞争力的薪酬制度和专业技术职务晋升制度吸引高素质的专业人才从事风险管理工作。特别为防范和化解商业银行由于混业经营趋势明显增强带来的新的金融风险,要有计划招聘或培养具有银行、证券、保险、信托等多种从业经验的人才,建立高素质、复合型的风险管理队伍,以加强对金融交叉产品和衍生产品的风险识别、度量和控制,建立起一支适用于合规风险管理的专业化人才团队。同时,随着风险分析方法和管理技术升级以及银行业务的发展,还要对包括风险管理人员在内的所有员工进行持续有效的差别化培训,使整个经营管理队伍在风险管理知识和能力上时刻保持先进性和实用性。
参考文献:
[1]马蔚华主编.资本约束与经营转型[M].北京:中信出版社,2005.
陈小宪.加速建立现代商业银行的资产负债管理体系[J].金融研究,2003,(5).
关键词:外资银行风险监管巴塞尔协议
金融全球化不可避免地会对银行业的经营发展产生重大影响。银行业务的跨国化增强了经营风险,也增大了监管的需要。2006年12月11日起,我国全面开放银行业,按照入世承诺,对外资银行实行国民待遇。这既是机遇又是挑战,中国银行业将经历一个艰难而充满希望的调整阶段。但我国的风险监管体制与风险监管发达的美、英、日、法等国相比,有待进一步完善。如何改善和加强对外资银行的风险监管,控制外资银行带来的金融风险,已经成为摆在中国金融监管机构面前需要解决的迫在眉睫的问题。
一、国际外资银行信用风险监管经验
西方发达国家普遍拥有比较健全发达的银行业,由于政治、经济、文化等历史渊源各不相同,各国纷纷建立了各具特色的银行监管体制。通过研究美国、英国、这两个主要的西方发达国家银行业风险监管的经验,对我国建立符合新开放时期的现代化银行监管制度是不无裨益的。
1、英国在外资银行风险管理方面的先进经验
(1)比率风险监管体系
1997年,英国银行在1987年的《银行法案》授权下制定出“比率和比例风险监管体系”,所谓的比率风险监管体系是风险测评、监管措施、价值评估的综合体系,它是由英国金融服务权力机构(FinancialServicesAuthority,FSA)对银行业务、风险纪录、宏观经济环境做出综合性评估,以制定有效的监管计划和使用恰当的监管措施。
FSA参照COMELB指标和COM指标对银行进行风险初步测评。COMELB指标包括资本、资产、市场风险、盈利、债务、业务六个方面;COM指标包括控制、组织、管理三个方面。风险测评的目的在于系统地识别银行业务的固有风险,评估其风险控制的充足性和有效性,明确其组织结构与管理体制,初步建立对这些银行的监管体系。通过对银行商业风险和控制风险的评估,将银行分为四个等级(A、B、C、D),对A、B等级的银行只需要对其风险控制做出适当的监测,对C、D等级的银行则需要采取监管措施。FSA可以对C、D等级的银行采取如下监管措施。如要求银行提供全面的会计师报告、成立FSA的专家小组对银行财政、信用领域进行检查;向跨国银行的母国监管者收集相关信息、与银行高级管理层进行审慎性会晤及特别性会议讨论银行未来发展计划等。在下一次风险测评之前,FSA会对风险测评、监管体系、监管措施的使用做一次价值评估,以保证银行已完成必要的整改工作、FSA已完成监管体系中所预定的工作和监管措施被正确的执行。此外,FSA还对其监管阶段工作的有效性做出评估和复查所有银行是否仍然符合立法的最低标准。
(2)习惯法
在立法方面,尽管在欧共体各国的中央银行中,英格兰银行的独立性较差,但它却在银行监督方面比之其他国家的中央银行拥有更大的灵活性。在英国,法律常由“习惯法”替代,金融管理机构与信贷机构间的关系更多地使用“道义劝说”或“君子协定”原则来理顺,而不是采取强制性的命令方式。70年代以来,英国已正式结束了银行业的“自我管制”状态,代之以用法律的形式对银行实施管制,外国银行机构也不例外。“1979年银行法”生效后,管理走向正规化,但是对大型银行的管理仍沿用传统方法,很少采取强制性措施。目前英国管制外国银行的法律依据主要有《1987年银行法》、1971年《竞争和信用管制条例》等。
2、美国在外资银行风险管理方面的先进经验
作为拥有悠久管理外资银行历史和丰富经验的大国,美国在外资银行风险管理体制上有其独特之处。
(1)双重评估体系
世界上大多数国家在对外资银行的评估体系上多半采用单一制,即外资银行与国内银行适用同一种评估体系。而美国对其国内银行适用的是国际通行的“骆驼评级体系(camel)”,即对银行的资本充足率、资产质量、管理水平、盈利状况和流动性五个方面进行评估。对外资银行,则考虑到外资银行的分行和行不是独立的法人,许多因素(如资本调控或资产流通等)都受制于总行,采取的是“roca”等级评估制,即对外资银行的风险管理、作业调控、遵守法规、资产质量四个方面进行评估,将重点放在风险评估、风险跟踪、风险控制上。在美国通货监理署(OCC)现行的监管体系中,骆驼评级和风险评级是两个并行的体系,他们一起构成风险监管的整体方法,二者之间有一些区别。camels是对历史形成的存量也就是运行结果进行评价,风险监管(评级)是对经营过程的控制状况进行分析、评价;前者出现的背景主要是针对信用风险,后者主要针对市场风险、操作风险等。
(2)var(valueatrisk)风险测定方法
1995年12月美国金融机构正式将jp摩根公司发明的var风险测定方法作为银行风险测定和管理的工具使用。var是指在某一特定的时期内,在一定的置信度下,给定的资产组合可能遭受的最大损失值。与巴塞尔协议资本充足率的计算方法相比,var方法主要用以测定市场风险,风险监管的实质是重视对过程控制的评价。(3)争取实现统一立法
在立法方面,当前各国银行目睹并经历了不断加剧的银行国际化分支运作,银行界也在呼唤着实施统一的国际化资本法规,以维持一个健康的国际银行操作环境。美国的立法机构已经单边制定了两个法规,即1978年的《国际银行法规》(IBA)和1991年的《外国银行的强化监控法规》。《国际银行法规》中对外资银行的风险性监管做出总体性规定。其目的在于让大量的外国银行受到类似于美国国内银行的监督与管理,并减少人为的不必要的银行机构间的竞争。
二、巴塞尔协议体系给国际外资银行风险监管带来的影响
1988年7月,巴塞尔委员会颁布的《关于统一国际银行资本衡量和资本标准的协议》(即通常所说的“巴塞尔协议”),该协议设定了资本充足率。通过对资本充足率的规定,银行业监管机关可以加强对商业银行资本及风险资产的监管,也对衍生工具市场的监管有了量的标准。加上1997年9月颁布的《有效银行监管的核心原则》共同构成对外资银行风险性监管的基本规定。《有效银行监管的核心原则》指出监管者应当制定和利用审慎性法规的要求来控制风险,其中包括资本充足率、信贷风险管理、市场风险管理、其他风险管理和内部控制监管等。
2001年1月,巴塞尔委员会公布了资本协议的第二次征求意见稿,此次协议被称为巴塞尔新资本协议。包括欧洲银行界在内的国际银行界对新资本协议表现出极大的关注。有关风险的范围在协议中不断扩充:从信用风险到市场风险,进而又涵盖了操作风险、法律风险、流动性风险以及名誉风险等其他风险。这是监管当局对日趋复杂的国际金融环境的必要应对,是走向全面而准确监管的步伐。
作为国际银行界的监管准则,巴塞尔新资本协议针对风险管理提出的标准法和内部评级法为将来商业银行进行风险监管指明了方向。内部评级法比标准法更能敏感地反映信用风险,但同时也意味着商业银行要在资产组合层面实现风险和收益的匹配,并相应地进行经济资本配置。欧洲大型商业银行和中小商业银行的信用风险管理将在新协议影响下面临不同的选择路径。这种选择也将对未来若干年内我国银行风险管理机制的改革具有重要的借鉴意义。
概括而言,巴塞尔新资本协议的推出为国际银行业的风险监管提供了统一的框架标准,为银行业风险有效监管奠定了坚实的基础。协议及其补充文件倡导的原则和方法对银行业的监管方向有着深远的影响,规范了国际银行业风险管理的发展,并成为国际银行业风险监管的指导蓝本和实践框架。
三、国际外资银行风险监管经验对我国的启示
第一,完善我国的外资银行准入制度,选择资本雄厚,经营业绩、资产状况良好,熟悉国际金融市场,具有丰富管理经验、良好经营能力和风险控制能力,具有先进的IT技术和国际网络优势的外资银行进入我国。高素质的外资银行大都资金雄厚,有利于维护我国金融市场的稳定,管理先进、控制经营风险的能力强,能够做到稳健经营。且资信较好,能遵守法规,注重公平竞争,重视自身市场形象。有利于我国金融市场健康有序的发展。
第二,充分考虑中外资银行的差别。我国正处于转轨时期市场化金融体系构建进程,国有银行、政策性银行、股份制银行、地方银行以及外资银行等在资本结构、经营状况和风险管理能力各异。这就要求我们在相关风险监管指标的制定和监管某些选择方面,要根据各个银行所处的具体情况,提出针对性强、灵活度大的方案,进行分类监管。同时,在逐步融入国际金融大环境的中国银行业,面临的风险也不再仅限于信用风险,而是要迎接市场风险、流动性风险、法律风险等来自各方的考验。因此,在制定监管指标时应具有预见性,充分考虑到现阶段及今后一段时期内银行可能面临的各种信用风险、市场风险以及其他风险,为未来银行业经营环境的变化留有足够空间,不至于使监管法规陷入被动的境地。
第三,加强科学的外资银行风险评估体系化研究。外部监管与银行内部风险管理相结合,监管者与被监管者的关系由对抗型向协作型的转变,是银行监管的趋势。银行内部风险模型的建立不仅是银行自身经营的必要,也是确保监管有效实施的重要保障。除了可以参照国际上通行的“骆驼评级体系(camel)”外,考虑到目前在中国境内的外资银行三种形式(外国独资银行、外国银行分行、中外合资银行)中,占主导地位的是外国银行分行,可以参照美国的做法,与国内银行的“camel”评价体系相区分,采用“roca”等级评估制,将重点放在风险管理、作业调控、遵守法规、资产质量上,以加强风险控制。
第四,完善与健全对外资银行的监管法规。参考国际监管经验可以看到先进的监管体制离不开成熟的法规的配合。2002年以前我国对外资银行的监管还停留在是否合规的事后检查阶段,缺乏以预防为主的风险性监管。2002年2月1日新出台的《中华人民共和国外资金融机构管理条例》初步确立了我国外资银行风险监管的指标体系,然而,与风险监管发达的美、英、日等国相比,我国的风险监管体制还显得极不健全,有待进一步完善。我国在外资银行监管方面的立法层次比较低,在风险监管方面并没有出台相关专门性规范。面对开放时期可能的外资银行数量激增,我国应制定出风险监管的总体政策和量化指标,设立专门的类似于英国FSA的监管机构来执行这些法规。
【参考文献】
[1]王卫东:现代银行全面风险管理[M],中国经济出版社,2001.
[2]章彰:商业银行信用风险管理——兼论巴塞尔新资本协议[M],中国人民大学出版社,2002.
[3]田应奎:现代金融有效监管的国际比较[M],中国言实出版社,2000.
关键词:风险管理;内部控制;企业风险管理
Abstract:Risk management transited from disperse study of multiple fields to integrated framework of enterprise risk management in last fifty years. This paper summarizes the major views about traditional risk management theory,financial risk management theory,internal control theory and enterprise risk management theory,and reviews the future development tendency of risk management after the subprime crisis.
Key Words:risk management,internal control,enterprise risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2011)02-0023-05
2007年次贷危机的爆发,各大金融机构的破产,使得风险管理再度成为理论界研究的热点,雷曼兄弟、美林等公司都曾经是风险管理的先行者,但还是在危机面前走向了破产,那么究竟该如何进行风险管理呢?在回答这个问题之前,我们有必要回顾一下风险管理理论的演进与发展,从历史的脉络中来寻找企业风险管理的精要所在。
一、传统风险管理理论
风险管理作为一门学科出现,是在二十世纪60年代中期。1963年梅尔和赫奇斯的《企业的风险管理》、1964年威廉姆斯和汉斯的《风险管理与保险》出版标志着风险管理理论正式登上了历史的舞台。他们认为风险管理不仅仅是一门技术、一种方法或是一种管理过程,而且是一门新兴的管理科学,从此风险管理迅速发展,成为企业经营和管理中必不可少的重要组成部分。
传统风险管理的对象主要是不利风险(也就是纯粹风险),目的就是为了减少纯粹风险对企业经营和可持续发展的影响;企业风险管理所采取的主要策略就是风险回避和风险转移,保险则成为最主要的风险管理工具。
在这个阶段,研究者的主要工作就是对风险管理对象的界定和区分,辨别出那些对企业只有不利影响的风险类型并着手解决,是传统风险管理的重要思路。实践中,纯粹风险确实对企业的可持续经营具有很大的影响,特别是那些没有预测到的纯粹风险,往往会直接拖垮一个企业,而且企业对纯粹风险的管理涉及到机会成本的问题,这更加需要企业在综合权衡的基础上做出风险管理决策(Gahin,1967),因此,纯粹风险一直被当作风险管理的对象和目标。而具体的解决办法,是以保险作为主要手段,通过购买保险来转移那些影响企业的纯粹风险,至于如何购买保险、购买什么样的保险就属于风险管理决策的范围了,而不仅仅是一种技术手段,实际上,风险管理就是从保险行为中延伸出来的管理手段,因此,保险在这个时期的风险管理中具有重要的作用(Denenberg,1966)。
此外,这一时期风险管理的应用从企业扩展到了市政领域。Todd(1969)、Vaughan(1971)通过对美国九个州市政管理的调研发现,市政官员对风险管理的认识还十分薄弱,提出加强市政领域的风险管理是市政官员的重要职能,目的是保证市政财务预算免受意外灾害的影响,以保持提供应有的市政服务的能力。
而这个阶段风险管理理论的重要成就是实现了与主流经济、管理学科的融合。风险管理方法论的提出无疑是最为重要的,1965年Hedges第一次提出了有关构建企业风险管理的方法论,界定了分析风险管理的观察视角问题,指出风险管理往往存在着两种不同的视角:一是基于首席财务官职位的财务政策视角,二是基于风险管理官职位的风险与保险视角,同时指出,保险是企业风险管理的重要工具,但是保险并不意味着风险管理的全部,从而将风险管理的范围进一步拓展,并且明确了保险只是风险管理的一种工具,使得风险管理从方法论角度更为全面和完善。Close(1974)将风险管理与现代管理学中的复杂组织系统模型相结合,为风险管理学科的发展提供了更为主流的理论来源;Cummins(1976)将风险管理与传统的企业理论相结合,运用现代经济学的分析方法来确定风险管理的最优策略,从而使风险管理融入到金融市场理论中并成为金融学的一个重要领域。
二、金融风险管理理论
如果说传统风险管理理论是为了解决纯粹风险,那么金融风险管理就是为了应对投机风险的问题,是为了实现“风险最小条件下的收益最大,或是收益一定条件下的风险最小”目标,这是金融风险管理与传统风险管理的最重要区别。
金融风险管理理论的重要组成部分,就是自二十世纪50年代开始发展起来的一系列现代微观金融方法:Markowitz(1952)提出的资产组合理论为金融风险管理提供了有利的支撑,用统计学中的方差来度量风险, 用期望值来度量收益,并且首次在此基础上研究了证券资产的投资组合问题,指出投资者的理性投资行为是以追求在相同风险下的收益最大化或在相同收益下的风险最小化为基础;在此基础上,Hart 和Jaffee(1974) 又提出了将银行所有资产和负债视同为一种特定类型的证券组合来进行管理的理论框架, 根据该理论框架, 商业银行的资产分布、贷款分布应形成一个合理的投资组合, 应避免风险过度集中;Sharpe(1964)提出的资本资产定价模型(CAPM)则是开创了现代风险资产定价理论的先河,提出了投资的回报与风险成正比的基本规律,即资产的期望报酬等于无风险利率加上风险调整后的收益率,揭示了在均衡条件下证券的期望收益率和市场风险之间的关系,证明了通过证券组合可以有效地分散和规避非系统风险,但是无法分散具有整体特征的系统性风险;因此,对于企业进行风险管理来说,每种业务的费用至少应等于资本的CAPM成本,从而可以确保投资的回报率经过风险调整后能够实现最大化;Black和Scholes(1973)提出了著名的Black―Scholes期权定价模型,解决了期权定价问题,推动了金融衍生产品的迅速发展和现代金融风险管理市场的形成,为企业的风险管理提供了更为精确的工具,企业可以通过金融衍生工具市场的交易进行风险管理,既可以通过金融衍生品交易来转移市场风险,也可以通过信用衍生品的交易来进行信用风险管理。这些理论的提出,使得风险管理突破了传统模式下依靠保险转移风险的思路,开始利用风险获取收益,标志着风险管理理论开始向纵深发展。
这个阶段风险管理的对象十分繁杂,但是影响最大的则是外汇风险。布雷顿森林体系的崩溃使得汇率的波动性明显加大,原油价格的大幅上涨使得企业的生产成本难以控制,这些对于那些大型跨国公司来说影响都很大,其中外汇风险是最致命的,汇率的波动影响企业的已实现利润、持有的金融资产的价值以及预期的收入,因此以企业的预期效用最大化为原则的风险管理,在具体策略和措施的实施中也受到企业的风险态度的影响:如果企业风险管理的目的是为了减少外汇风险敞口至零,那么企业将会采取分散化的财务策略;如果外汇风险仅仅是被看成另外一个必须考虑的风险变量的话,那么企业将会采取集中化的财务策略;同时,企业在管理外汇市场中的风险时往往采取不对称的态度,即针对不同的货币,采取不同的管理行为和策略:在“软”通货中,企业会采取有利措施来抵消可能会带来的未预期损失,相反在“硬”通货中,企业偏向于保留部分正向敞口(Folks,1972;Rodriguez,1974、1978)。
金融风险管理的工具以ART为主,这是一种随着资本市场和保险市场融合而出现的、综合保险和衍生品两者特点的风险转移产品,是一系列非传统风险转移产品、风险工具和风险技术的总称,一般分为用来防范传统风险的非传统风险工具和基于资本市场的风险管理工具(James Lam,2003)。其中,专属保险公司是用来防范传统风险的非传统风险载体的重要方式,它可以为母公司提供税收减免优惠,从而提升公司的盈利能力和市场价值(Davidson和Thornton,1987、1988;Wood、Glascock和Bigbee,1988)。而Ullrich(1992)的研究揭示了专属保险公司的另外一个优势,即提供给母公司更优先的成本优势:相对于商业保险公司来说,专属保险公司能够为母公司而不是为商业保险公司提供储备基金的投资收入;为母公司在手续费和利润获取方面实现成本减少;为母公司进入再保险市场提供方便以降低交易成本;通过提供有竞争力的保险业务而进化成母公司的利润中心;协助母公司规避周期性的商业保险市场。
三、内部控制理论
实际上,内部控制理论是风险管理理论的重要分支,特别是2004年COSO颁布了《企业风险管理―整合框架》后,风险管理与内部控制的关系更为紧密,内部控制融入到企业风险管理(ERM)框架中。
(一)内部会计控制
内部会计控制是内部控制理论发展的第一个阶段。Grady(1957)指出,内部会计控制就是一个综合了组织的计划和商业中运用的协调过程的制度,用于预防未预期到的或是错误的操作带来的资产损失、检查管理决策中用到的会计数据的准确性和客观性、提升运营效率和鼓励遵守已制定的政策等。Scott(1976)则认为,内部控制不应当被看成是一个人格因素,而是应当看成是一个经营和管理环境的函数,而且环境的一个重要因素是实际行为,而不是态度,因此内部控制更强调其管理本性。
美国注册会计师协会(AICPA)是这个阶段促进内部会计控制发展的重要力量,它的一系列公告和文件,如《SAP No.1》、《SAS No.1》和《SAS No.55》等,不仅对于推动内部会计控制的完善具有积极的作用,而且对于完善、发展的方向以及具体的业务操作等都提供了有价值的意见。
(二)内部控制整体框架
1992年COSO了《企业内部控制―整体框架》,第一次系统构建了企业的内部控制体系。COSO框架下的内部控制,更多的是基于独立会计师的视角,明确指出,内部控制是由企业董事会、经理层以及其他员工影响实施的,旨在为财务报告的可靠性、经营效果和效率以及现行法规的遵循而提供合理保证的过程;同时提出了企业内部控制构成的概念,认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监督五大要素组成,由此内部控制的概念完全突破了审计的局限,向企业全面管理控制的范畴发展。1994年COSO委员会又提出了《对外报告的修改篇》,增加了与保障资产安全有关的控制,从而进一步扩大了内部控制的范围。
在COSO报告的基础上,这一阶段的研究对内控报告和内控信息披露格外重视,从而使得内控领域的研究更加具有整体化的色彩。内控报告对投资者加深对公司的全面了解具有积极作用,密切了投资者和公司之间的沟通联系,强化了投资者对公司经营能力和竞争优势的信任,增强了投资者对公司的信心(Willis,2000);内控信息的披露也间接具有分辨公司好坏的功能,那些不敢提供内控报告的公司较之那些提供了内控报告的公司来说,往往会具有更差的财务表现,同时内控报告的公布使企业能够彰显自己的核心能力和竞争策略,以图对投资者的决策施加影响,这也间接使得外部投资者能够对公司的内部控制施加影响,从而使得内部控制的发展真正进入到了全面、综合的阶段(Mcmullen,1996;Newson,2002)。
这个时期,英国的内部控制理论发展也很迅速。卡德伯利报告、哈姆佩尔报告,以及作为综合准则指南的特恩布尔报告堪称英国内部控制研究史上的三大里程碑。1992年的卡德伯利报告以内部控制、财务报告质量以及公司治理之间的关系为前提,从财务角度入手并将内部控制置于公司治理的框架下,特别强调内部控制声明的重要性,并且重视独立的审计委员会对内部控制的意义,还第一次提出了实行独立董事制度的观点,在很多领域开创了英国内部控制和公司治理的先河。1998年的哈姆佩尔报告明确提出了内部控制的目的是保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性,认为董事对内部控制具有关键的作用,并且强调了“内部控制不局限于财务方面,而是应该包括更多的管理过程”的观点。1999年的特恩布尔报告则是英国内部控制和公司治理研究的集大成者,为公司及董事会提供了具体的、颇具可行性的内部控制指引:高度重视董事会在内部控制中的地位和作用,包括制定正确的内部控制政策、对内部控制有效性的复核以及实行正确的风险管理政策等;尤为重要的是,该报告较早地认识到内部控制与风险管理的关系并且对公司管理层在风险控制和管理中的角色进行了分析与界定,从而为内部控制向全面风险管理的发展提供了初步的借鉴。
从上述内部控制理论的发展过程来看,内部控制理论的演进经历了“平面―三维” 的过程:在内部会计控制阶段,控制环境、控制活动和会计系统三要素构成了一个平面的控制系统;在内部控制整体框架中,控制环境、控制活动、风险评估、信息与沟通、监控五要素,则演变成了一个三维的控制系统。
四、企业风险管理理论
COSO的《Enterprise Risk Management ―Integrated Framework》,是一份具有划时代意义的风险管理报告。它是在1992年《Internal Control―Integrated Framework》的基础上,结合《萨班斯―奥克斯法案》在报告方面的要求进行扩展研究而最终形成的。该报告对企业风险管理(ERM)下了一个全新的、综合的定义:“企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”,并列出了风险管理的八要素:内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控,从而为企业风险管理提供了更为具体的思路。
学术界的研究很大一部分体现在企业风险管理与公司价值的关系上。Allayannis等(2001)分析了运用衍生品进行风险管理对企业价值的影响,运用托宾Q作为企业价值的替代变量,通过对1990―1995年间720家非金融企业运用外汇衍生品情况的研究,发现运用了外汇衍生品后,企业的价值呈现正增长的态势,风险对冲的报酬对于那些在外汇领域具有风险敞口的企业来说,在统计和经济意义上都具有重要影响,比那些同样面临外汇风险敞口却不实行对冲的企业高大约4.87%的市场价值;而对于那些本身不具有外汇风险敞口,但是在经营中涉及到进出口业务的企业来说,衍生品对冲带来的市场机制提升并不明显。同时,还发现了有利的证据支持风险对冲能提升企业价值的假设。Hoyt和Liebenberg(2008)运用美国上市保险公司的资料数据,对2000―2004年期间共166家保险公司的经营情况进行了分析,得出的结论是,采用ERM的公司,其公司价值的增加具有较大的普遍性,这种价值的增加体现在公司特征上,表现在采用了ERM的公司往往规模更大,行业多样化、国际化程度更高以及财务融资能力较强等;同时,本文的研究还发现,采用ERM的公司价值比未采用ERM的公司平均高出3.6%,且在统计和经济意义的检验方面均为显性,从而证明了ERM对提升公司价值的积极作用。Kallenberg(2007)分析了风险管理对于公司价值的影响,指出随着世界经济一体化的发展,风险管理和风险交流越来越成为企业经营的重要内容。他以ABB公司为例分析了开放的、直接的风险管理对于建立公司信誉和维护公司价值的重要意义,ABB公司的股价在2001―2002年间下跌了90%,其中50%是与石棉危机有关的。
对风险管理要素的研究也受到了学者们的关注。Andreas Muller(1999)分析ERM流程的角度是成本控制,他认为ERM包括风险剥离(risk stripping)、风险地图(risk mapping)、风险组合和套期(risk packing and hedging)三个阶段。Colquitt等(1999)以实证研究的方法分析了风险经理在ERM过程中的角色及作用。Lisa Meulbroek(2002)在传统风险管理流程风险识别、风险衡量(可能性预测和后果评估)、风险策略制定和方法选择的基础上,提出了建立公司价值模型来提高风险管理能力的方法。CAS(2003)对ERM流程的分析注重了企业环境因素的影响,在传统风险管理流程的基础上,着重强调了环境分析的基础性意义,提出了ERM流程包括环境分析、风险识别、风险量化、风险整合、风险优化和利用、风险控制与评估等步骤的循环。
对利益相关者与企业风险管理关系的研究是最近的一种趋势。注重企业的社会责任、声誉风险以及可持续发展在风险管理中的应用,逐渐将这些问题纳入到企业风险管理的分析框架中,从而将风险管理的目的拓展到了利益相关者最大化方面。CAS―ERM报告(2003)就提到了企业风险管理的目的就是为了增加组织的利益相关者在短期和长期的价值;Marsiglia等(2005)、Forstmoser(2006)的研究分别从企业价值所面临的社会责任和可持续性挑战、企业声誉风险的管理问题出发,来研究风险管理问题,从而将对企业风险管理的研究扩展到了一个新的领域。
五、展望与趋势
始于2007年的次贷危机对风险管理提出了新的挑战,未来的风险管理需要在以下两个方面进行加强:
第一,企业破产风险的衡量问题。次贷危机中,很多金融机构的流动性是在极短时间内枯竭的,偿付能力在几个月中发生了根本性的变化,那么,以防范企业破产风险为直接动因的企业风险管理,该如何来衡量企业的破产风险呢?该使用什么工具来动态监控呢?
第二,风险管理工具的使用问题。本来作为风险管理工具的金融产品如CDS等,反而变成了导致企业破产的风险来源,本意是要分散、降低风险,结果反而集聚、恶化了风险,那么该如何来使用这些具有两面性的工具呢?
参考文献:
[1]Fikry S. Gahin,A Theory of Pure Risk Management in the Business Firm[J],The Journal of Risk and Insurance, 1967,34(1):121-129.
[2]Herbert S.Denenberg,J.Robert Ferrari,New Perspectives on Risk Management:The Search for Principles[J], The Journal of Risk and Insurance,1966, 33(4):647-661.
[3]J.David Cummins,Risk Management and the Theory of the Firm[J],The Journal of Risk and Insurance,1976, 43(4): 587-609.
[4]Harry Markowitz,Portfolio Selection[J],The Journal of Finance,1952,7(1):77-91.
[5]William F Sharpe,Capital Asset Prices:A Theory of Market Equilibrium under Conditions of Risk[J],Journal of Finance,1964,19(3):425-442.
[6]James Lam,Enterprise Risk Management:From Incentive to Controls[M].London:John Wiley and Sons,2003:88-91.
[7]Thomas Ullrich, Pooling Risks in a Captive Insurance Company[J], The John Liner Review , 1992, (6): 41-49.
[8]Richard R. Scott,Attribution of Internal Control[J],Journal of Black Studies, 1976,6(3):. 277-290.
[9]George Allayannis,James Weston,The Use of Foreign Exchange Derivatives and Firm Market Value[J], The Review of Financial Studies spring,2001, 14(1): 243-276.
[10]Robert E. Hoyt,Andre P. Liebenberg,The Value of Enterprise Risk Management:Evidence from the U.S. Insurance Industry[R],the Society of Actuaries, 2008.
[11]Kristian Kallenberg,The Role of Risk in Corporate Value:A Case Study of the ABB Asbestos Litigation[J], Journal of Risk Research,2007,10(8): 1007-1025.
[12]L.Lee Colquitt,Robert E. Hoyt,Ryan B.Lee,Integrated Risk Management and the Role of the Risk Manager[J],Risk Management and Insurance Review, 1999,2(3): 43-61.
[13]Lisa Meulbroek.Integrated Risk Management for the Firm:A Senior Management’s Guide[R],Harvard Business School Working papers. 2002.
[14]Casualty Acturial Society Enterprise Risk Management Committee,Overview of Enterprise Risk Management[R].2003.
