风险管理和风险控制的区别范文

时间:2023-08-31 17:03:28

导语:如何才能写好一篇风险管理和风险控制的区别,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

风险管理和风险控制的区别

篇1

关键词:风险管理;内部控制

中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01

一、风险管理和内部控制的联系

美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。

内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。

二、风险管理和内部控制的区别

“企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。

三、目前企业风险管理工作存在的问题

(1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。

四、构建体现全面风险管理的内部控制新机制

(一)构建具有本企业特色的创新风险管理理念

将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。

(二)构建切合实际的内部控制评价机制

传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。

(三)构建全新的内部控制组织体系原则

(1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。

(四)构建符合内控要求的业务管理新制度

传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。

参考文献:

篇2

关键词:操作风险;内部控制;委托

一、 前言

操作风险是银行面临的基础风险之一,在国内外金融发展史中,未能妥善控制操作风险,而遭致重大损失的事件不胜枚举。从199年英国巴林银行倒闭,到2008年法国兴业银行由于交易员违规操作损失49亿欧元,操作风险已逐渐成为全球银行业面临的最大风险之一。国内商业银行近几年来也发生了多起由操作风险引起的银行大案,2003年中国农业银行内外勾结骗贷4969万元,200年中国银行的高山案造成近3亿元损失,2006年中国银行发生43亿元的票据诈骗案,这些生动的案件表明国内商业银行在管理操作风险方面还比较欠缺,商业银行对操作风险的内部控制尚待加强。

从我国商业银行操作风险的表现形式看,人员因素和内部流程是导致商业操作风险损失的主因,这与巴塞尔委员会对全球业绩良好的大银行进行操作风险数据调查的结果有着根本性区别,这也反映出我国商业银行内部控制的薄弱或内部控制制度执行不力。《商业银行内部控制指引》要求内部控制涵盖操作风险管理,内部控制制度、监管体系的薄弱与不完善才导致上述银行要案频发。

二、 商业银行操作风险与内部控制的关系

(一) 操作风险与内部控制的定义

根据巴塞尔委员会在2004年6月正式颁布的巴塞尔新资本协议第64段所给的定义,以及2007年中国银监会《操作风险管理指引》中的定义,本文将操作风险定义为由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。中国人民银行在2002年9月公布的《商业银行内部控制指引》中指出,内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法对风险进行事前防范、事中控制和事后评价的动态过程和机制。

(二)操作风险与内部控制关系研究的理论基础

解释商业银行操作风险存在的理论有很多种,但最具有解释力的是委托理论。在现代企业制度中,资产所有者和公司最高决策者(董事会或总经理)之间就存在这种关系。关系可以存在于一切组织,一切合作性活动中,存在于企业的每一个管理层级上。委托关系的实质是委托人不得不为人的行为承担风险,而这又来自信息的不对称和契约的不完备性,因此委托理论分析的是不对称信息下的激励问题。

在信息不对称和不完备契约条件下,委托人和人间的利益冲突会产生人“道德风险”,酿成“内部人控制”,引发委托型操作风险。而委托理论视角下的内部控制则是由企业各层管理人员共同执行的,相邻层级之间存在着控制与被控制的关系,其中不同层级的管理者由于其委托人处于不同层次,受托责任的大小也不同,因而掌握着不同的控制权力并承担相应的责任。

(三)内部控制与操作风险管理的关系分析

内部控制的最终目标是要实现商业银行安全稳健地运行。一个有效的内部控制意味着银行具有很强的风险防范和控制能力,风险案件很少或几乎不发生;反之,则是银行内部控制失灵的结果和表现。内部控制与操作风险管理是两个既有相同之处,又有明显区别的范畴。尽管两者的基本原则相同,在管理的内容上也存在许多重叠,但两者的重点、对象和目标是不同的。

就强调的重点而言,操作风险强调“区别”管理,区分出可承担的风险、可转移的风险,并采取不同的管理手段;内控机制强调控制机制建设,包括建立内部控制政策和程序并保证它们在银行内部被严格执行。在管理对象方面,操作风险管理的对象是内部事件和外部事件,内控机制的对象是银行内部组织架构中的各个组成部分。比如,从董事会到高级管理层、中级管理层甚至普通员工,从银行的后台、到前台,从产品的研发部门到产品的风险管理部门、营销部门等。在管理的目标方面,操作风险管理的目标是单一的,即风险最小化或盈利最大化,而内控机制的目标是多重的,既要遵守国家的法律法规、金融监管规章和银行内部的规章制度,也要保证自身的发展战略和经营目标的全面实施和实现;既要保证风险管理体系的有效性,又要保证业务记录、财务信息及其他管理信息的及时性、完整性和真实性。

内部控制与操作风险管理的相关性表现在以下几个方面。

1控制操作风险有助于内部控制实现其目标。商业银行内部控制具有经营目标、财务报告目标与遵循目标3大目标,而操作风险管理则要测量操作风险以配置经济资本,以及分析操作风险的成因并加以防范。内部控制是操作风险管理的必要环节,通过保证合法经营,为实现商业银行操作风险管理目标提供合理保障;反之,测量并防范操作风险,可以帮助实现商业银行内部控制的三大目标。因此,内部控制与操作风险管理的目的具有一致性。

2操作风险的防范主要依赖完善的内部控制。巴塞尔银行监管委员会1997年《有效银行监管的核心原则》中提出,“最重大的操作风险在于内部控制和公司治理机制的失效”。可见操作风险的防范主要依赖完善的内部控制。商业银行的内部控制应当是一个由不同要素、不同运行环节组成的有机体。从要素体系来看,内部控制必须包括内部控制环境、风险识别和评估、内部控制措施、信息交流和反馈、监督纠正与评价大要素。其中任一要素的缺失都会导致内部控制的失灵,要素的不健全也会造成内部控制的低效和无效。从运行体系看,内部控制是一个由决策、建设与管理、执行与操作、监督与评价、持续改进个环节组成的有机系统。该系统有效运行的充分必要条件是每个环节的顺利运转,任一环节的失灵必然回造成操作风险大案要案的发生。

3内部控制是银行管理操作风险的基础。银行的操作风险主要源于内部控制不完善和失误,这是操作风险区别于信用风险和市场风险的最重要的方面。如果要降低和消除银行的操作风险,关键是要从银行内部控制入手,克服这些不完善和失误的地方。巴塞尔银行监管委员会认为资本约束并不是控制操作风险的最好办法,对付操作风险的第一道防线是严格的内控机制。对于外部因素导致的操作风险,因为外部事件是银行不可控制的,因而除了采用保险等风险缓释手段进行规避外别无他法。而由内部因素导致导致的操作风险却是银行可以防范的,通过加强内控建设,完善银行的业务流程、人事安排和会计系统,并强化法规执行控制,就能在相当程度上避免内部失误和违规操作,从而防范操作风险。

从巴塞尔新资本协议中对操作风险的定义可以看出,操作风险主要分为内部程序风险(流程风险)、人员风险、系统风险和外部事件风险这四大类风险,而对这四类风险内部控制中都可以找到相应制度机制能对风险进行相应控制。如流程风险,内部控制可以通过授权控制、职责分离制度等对其进行控制;对人员风险,内部控制中强调建立科学、有效的激励约束机制,培育良好的企业精神和内部控制环境,创造全体员工充分了解且能履行职责的环境;对系统风险,内部控制中有专门针对计算机信系统的内部控制制度;对外部事件风险,则有建立应急制度的规定,在一定程度上对此类风险进行防范和控制。所以从操作风险的定义看,内部控制与其存在着密切的联系,下面对操作风险的特征进行更深入的分析,探讨内部控制和操作风险之间的关系。

4内部控制能更好地应对操作风险的特征。

首先是内生性。操作风险内生于银行的业务操作,且大多与银行独特的内部风险管理环境有关,这为内部控制在操作风险管理中发挥重要作用奠定了基础。

其次是人为性。巴塞尔新资本协议中分类的七种操作风险中有六种与人相关。人为因索在引发操作风险的因素中占有直接的、重要的地位,绝大多数的操作风险更多的可以归因于有意(道德风险)或无意的人为操作失误。最后是广泛性。内部控制视角下我国商业银行操作风险研究从覆盖范围看,操作风险实际上几乎覆盖了银行经营管理所有方面的风险。

内部控制是操作风险管理实践的现实选择。当前银行为管理操作风险而从事的活动包括许多方面和形式,如改善公司治理、审计稽核、合规检查、项目管理、I新技术应用和I安全、业务持续计划、保险、业务外包、提取资本金、风险定价等等。这些管理操作风险的活动和方法从风险管理策略的角度可以分为两大类:风险规避和风险承担,风险承担又可进一步分为三类:内部控制、风险转移和风险吸收。不同类型的风险应当选择不同的管理方法:对于应视为管理重点的高频低损型操作风险,主要应通过改善流程、制定相关业务程序等内部控制控制的方法对其进行管理,也可以通过风险吸收的方式,如提取准备金并将成本计入产品定价中、提取风险资本金等;对低频高损型操作风险,可以通过内部控制中制定完善的紧急预案或业务持续计划的方法降低风险损失,也可以采用风险转移的方法,如将此类业务外包给专业技术公司或进行保险等;对低频低损型操作风险,可以通过内部控制对其进行管理,也可以进行风险吸收;对发生频率高,造成损失又大的操作风险,银行往往采取风险规避的方式,即拒绝开展此项高风险业务或者关闭已开展的业务。

三、加强内部控制以防范操作风险的对策

商业银行操作风险控制是一项长期的任务,需要相关人员的共同努力。针对商业银行的实际情况,借鉴国外的先进经验,对银行的操作风险控制应采取以下主要对策。

(一)建立和完善商业银行组织机构

首先,机构设置要合法科学商业银行股份制改造以后面临的首要任务就是要建立两级、四权分离的现代公司组织机构,并从公司价值最大化的角度考虑,加强利益相关者的共同治理,不断完善商业银行的公司治理结构、委托结构、股东治理结构和经理人制度。其次,规章制度要严密高效、相互制约;再次,成立资产管理委员会、贷款审查委员会、保密工作领导小组、内审委员会等组织,形成稽核部门对内审委员会负责,内审委员会对法人负责的制度。

(二)完善商业银行的内部控制制度

首先,理清现有各项规章制度,查找制度层面上的空白点和执行层面上的薄弱环节,进一步增强制度的可操作性,加大对重要业务风险点岗位的内部控制,不断健全财务信贷稽核等部门的规章制度,制定其操作流程岗位职责等规则,使员工有章可循有法可依。其次,制定合理的激励考核制度,形成良好的文化导向。银行的考核指标除了现有的数量指标和速度指标外,还应加入质量指标和风险控制指标,对风险控制做得好的员工和部门进行精神上和物质上的双重奖励,形成一种正确的激励导向来引导员工的行为取向,提高员工防范操作风险的主动性把强制性的内部控制转化为员工自觉的风险防范行为,更好地防范和控制操作风险。最后,强化责任追究制度要构建严格的内控问责与惩戒制度将具体责任落实到具体岗位,然后按照岗位进行责任认定与追究对因违规而引发操作风险给商业银行带来损失的员工要严惩不贷。

(三)加快经营管理体制改革,创建良好的内部控制环境。

完善法人治理结构,按照现代企业制度的要求,使商业银行成为真正自主经营、自负盈亏、自我发展、自我约束的法人实体和市场主体。建立符合国际标准的财务会计制度和信息披露制度,构建科学的经营管理体制,构造先进的人力资源管理和激励约束机制,实现经营管理信息化,为内部控制的建立与健全奠定良好的基础。加强各种制度建设,包括建立健全内部审计制度、内部控制制度、人事制度、风险管理制度等。建立健全操作风险的评估机制,利用审计监督手段控制操作风险,保持风险控制的独立性。

(四)建立完善的内部稽核系统和操作风险控制流程

要加强内部稽核监管部门的独立性和直属性,将稽核部门置于董事会的直接领导下,每一级的稽核部门和稽核人员都由上级稽核部门直接领导,形成一种独立的垂直领导体系,同时要做到稽核人员的人事工资福利等与所在行完全脱钩,割断稽核人员与所在行的利益关系,使稽核部门在处理与被稽核监督对象的关系上处于比较独立的地位。建立标准化的操作风险控制流程是加强内部控制确保制度落实的基础,商业银行应结合操作风险的特点确定一套完整统一的操作风险管理框架,涵盖操作风险的识别、评估缓释监测和报告等方面。

参考文献:

[1]尹桂芳论提高商业银行操作风险的防范能力[J]山西财经大学学报,2009

篇3

关键词:风险管理 内部审计 证券交易所

中图分类号:F239 文献标识码:A

文章编号:1004-4914(2011)07-186-02

一、基于风险管理导向的内部审计

(一)风险管理及其一般框架概述

企业风险管理框架是在内部控制整体框架基础上发展起来的。不断出现的风险使企业日益认识到风险管理的重要性,内部控制逐渐呈现与风险管理靠拢和一体化的趋势。在这种形势下,COSO(Committee of Sponsoring Organization of the Treadway Commission)把关注的焦点投向风险管理上,并于2001年委托普华永道编写“风险管理框架”,比较系统地对全面风险管理理论和实践作出总结。2004年9月,COSO《企业风险管理――整体框架》(Enterprise Risk Management Integrated Framework)( ERM),ERM提出内部控制是风险管理的一部分,这标志着内部控制在理论上开始转向风险管理阶段。COSO指出,“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项、管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”ERM在继承《内部控制――整体框架》主体内容基础上增加三个要素,形成以下八要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。受此影响,我国内部审计协会2005年的内部审计具体准则16号《企业风险管理审计》提出,“风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”

(二)基于风险管理导向的内部审计

20世纪90年代初期,外包成为企业实施内部审计较为普遍的方式,内部审计的职能开始通过聘用中介机构来实现。这使内审人员须从高于内部控制角度,综合考虑企业内外环境因素,重视对风险的全面分析,既关注审计风险又关注经营风险,据此制定与企业状况相适应的多元审计计划。20世纪90年代以后,知识经济等外部环境的变化引起企业管理重大变革,最明显的就是实施公司治理改革、强化风险管理、改造组织机构和业务流程,而强化风险管理对内部审计的发展产生巨大影响。很多优秀企业的内部审计,从风险管理的视角持续审视公司治理和企业各个领域工作,风险管理导向审计(Risk-Management Based Auditing)便应运而生。

风险管理导向内部审计是在风险导向内部审计基础上的改进,二者的本质区别在于审计理念和技术方法的不同。风险导向内部审计的起点是企业的内部控制,偏重于内部审计行为自身的风险,关注于应采取而未采取的缓和关键风险的控制措施与过程。内审人员通过对审计对象进行风险职业判断,评价审计对象风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。风险导向内部审计的内在思想是审计业务必须将审计风险控制在可接受风险水平内。不是制度基础审计之外的一种方法,而是制度基础审计的发展。风险管理导向的内部审计,则关注企业当前风险管理效果与所追求的风险管理效果的差距,通过综合评估经营控制风险以确定实质性测试的范围、时间和程序。其审计起点为企业的经营战略及其业务流程,如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。

二、我国证券交易所内部审计现状

首先,内部审计职责定位尚不清晰。实务中,我国证券交易所内部审计部门与其他风险控制部门往往存在冲突,影响了内部审计的独立性和风险控制的有效性。如有的证券交易所风险管理部门涉及多个部门,这些部门职能如何划分,以形成有效的监督制衡机制,还有待系统加以梳理和明确。

其次,内控制度建设和风险管理工作尚待加强。内控制度建设和风险管理是证券交易所的基础性工作,能保证内部审计工作有章可循,提高整体审计效率。目前我国的证券交易所作为会员制的事业单位,形式上是企业法人,由于自身定位的制约,一方面,没有形成公司层面上的内部风险控制规范,未充分考虑权责分配原则,难以形成有效的内部控制机制。另一方面,由于缺乏内控制度化,内部审计部门动态的规章制度、业务操作规程和标准尚需建立完善。此外,证券交易所受到行业性质影响,对组织的内部控制的理解还不深刻,存在将内部控制等同于内部牵制,造成职责不清、责任不明的现象。

第三,传统内部审计方式不适应发展的需要。目前,证券交易所的内部审计模式还主要依赖传统的工作方式。随着跨国公司迅速崛起,企业竞争日益激烈,特别是20世纪90年代以后,知识经济等外部环境的变化引起企业管理重大变革,最明显的如实施公司治理改革、强化风险管理、改造组织机构和业务流程,传统的控制导向、过程导向以及风险导向内审,难以胜任内部审计已扩展的业务需求。如以现场审计为主的内审方式的局限性就表现在审计范围有限、时效性难以保证、审计手段落后和适时审计难以开展,由此导致内控执行机制缺乏科学性,可能直接影响到证券交易所安全运行。

第四,内部审计的独立性有待加强。内部审计监督机制是内部控制和风险管理的重要组成部分,行使综合性再监督职能,具有独立性和权威性。在目前特定经济环境下,证券交易所各项法律、法规以及配套措施不健全,长期接受行政指令,内控监督机制不完善,缺乏权威性和独立性,监督管理作用没有得到充分发挥, 由此产生一些弊端。在内部审计监督机构方面,不受被监督人员和部门的辖制,是能否有效发挥该部门职能的一个先决条件,证券交易所的内部审计部门,目前尚不能直接对最高决策层或决策机构负责。

最后,内控监督机制缺乏系统性。从风险角度来看,内控监督机制是特定组织防范化解风险,促进稳健发展的关键。由于目前证券交易所的产权不明晰,内部控制机制一定程度存在行政干预的弊端,人员、资产和财务等方面受到上级主管机关的制约。这种背景下的证券交易所重市场发展而轻视管理,重拓展上市资源、交易系统更新、产品创新,轻加强内部控制和风险管理,难以真正对自身风险加以系统控制,可能对发展战略和目标的全面实现带来影响。

三、证券交易所如何实施风险管理导向内部审计

(一)证券交易所内部审计总体目标

纵观西方发达证券交易所的风险管理体系,均是对整个交易所内各个层次的业务单位,各个种类风险的一种系统化管理,这种管理要求将交易风险、市场风险、操作风险等各类风险,包含这些风险的金融资产与负债组合,以及承担这些风险的各个业务部门都纳入到统一的管理体系之中,并对各类风险依据统一标准进行测量和加总,再依据各项业务的相关性实施全面风险管理。比如,伦敦交易所财务审计部门制定和建立的风险管理体系,将交易所分成不同的风险控制单位,各业务部门的风险控制是基础,将风险按照不同的等级进行记录,然后汇总到财务审计部门。在此基础上由财务审计部门严格把关,定期上报CEO或风险委员会,风险委员会实施最终控制。

风险管理导向内部审计的总体目标,即在发生损失前作出最有效的安排,使损失发生后需要的资源与保持有效经营必要的资源,能够达成适度平衡。也即通过对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。证券交易所基于风险管理的内部审计,应立足于对整体风险管理进行系统审查、分析和评价,制定与业务状况相适应的审计策略。内审人员要运用系统化、规范化的方法,以对审计对象的风险评估为基础,以量化风险权数为重点,综合分析评审影响审计对象业务活动和内部控制活动的各种因素,对风险管理过程的适当性和有效性进行监控、检查和评价。这里的“风险”不是单纯意义的“审计风险”,而是经营过程中面临的各种风险,包括所有可能对证券交易所战略和目标实现产生影响的事件、行为和环境。此时的内部审计应成为结合风险管理的一种有效工具,在发挥对内部控制效率和效果的评价,促进内部控制改善的同时,更多是参与风险管理。因此,它既可以作为管理者的指南,也可用作通报风险,进而满足内部控制、风险管理、信息交流和监督等多维要求。结合行业特点和组织定位,我国证券交易所风险管理导向内部审计的目标主要有两方面:一是宏观目标,即确保国家法律、法规和国家金融证券政策的贯彻执行,保障资本市场的稳健运行和维护良好的市场秩序,避免违规监管带来的风险;二是微观目标,即确保证券交易所自身业务发展、市场监管与服务目标全面实现,以利于堵塞漏洞,消除隐患,有效地减少差错和失误,防范和化解市场风险。

(二)证券交易所的内部审计模式

首先,建立风险评估指标体系,以对风险变量实行定量和定性分析。运用数学模型量化和评估各类风险,对每类业务固有风险的高低进行评估,得到固有风险分值,根据一定时期内某项业务发现问题的频率,发现重大问题的频率情况,对业务固有风险的分值进行调整,得出各项业务风险总计值,并对其由高到低排序,分值越高风险越大,据此选定审计重点和审计项目。在严格检查、打分和初步得出评价等级基础上,通过定量和定性评估,对评价结果实施风险等级管理,并按照风险等级逐步加大审计力度和监督范围。

其次,确定风险评估的范围。通过初步调查、分析性检查、了解、评估等方法,同时,在业务操作系统中嵌入审计软件,输入审计基础数据、信息,运用数据采集与转换系统的智能转化,自动识别和筛选风险,据以确定内部的审计范围,评估固有风险。内审人员通过检查内部各项经营政策,确定证券交易所经营战略、风险管理理念和方法、对风险的好恶程度以及对风险的可容忍水平,对已有的风险的衡量结果进行再检验,以确定其是否适当,对不恰当的估计予以更正。

第三,了解和评估重要资料来源,收集、研究证券交易所当前发展情况、趋势等行业信息,确定可能对经营目标产生重大影响的关键风险,以及行业中对这些风险的相关控制程序的最佳实务。比如,伦敦交易所的风险管理体系要求将交易所划分为不同的经营单位,每个单位均是不同风险的记录者,审计部门汇总后报送给CEO或风险管理委员会。

第四,评估风险防范措施的充分性。内审人员就审计对象所采取的风险防范措施进行检查,提出改进措施和建议。对证券交易所信息系统开发过程的风险防范措施的评估,包括审查系统的可行性,系统分析的恰当性,系统开发、运行过程中的控制流程的恰当性、系统测试的全面性和恰当性、系统文档资料的完整性、系统安全的维护性。内审人员在评价风险应对措施的适当性和有效性时,应考虑采取风险应对措施后的剩余风险水平是否在公司可接受范围内,风险应对措施是否适合组织经营、管理特点,成本效益的考核与衡量等。此外,还要评价风险控制程序的有效性,评估风险管理系统识别和预警风险的能力。

第五,实施全面评估。对于涉及证券交易所的各项风险点进行测试、评估和评价,内审人员通过广泛开展各个业务领域和各个管理层次的访谈活动,了解业务部门的目标、相关风险以及管理层为降低风险所采取的措施和控制监督活动,与行业最佳实务比较,分析差异,评估降低风险、风险报告和相关控制活动的有效性和充分性,对已识别风险是否充分进行评价。内审人员对管理层所采用的风险评估方法进行审查主要考虑:已识别的风险的特征,相关历史数据的充分性与可靠性,管理层进行风险评估的技术能力以及成本效益的考核与衡量等。在将审计初步结果与审计对象充分交换意见达成共识基础上,就审计结论形成书面文件,作出审计报告。

最后,实施后续审计。内审人员应当根据全面评估的风险大小,确定是否进行追踪审计和后续审计以及审计范围,风险越大,追踪审计的范围就越大。当证券交易所风险管理部门的风险预警系统预知或识别出风险因素时,应根据该因素的特点提出风险的防范和控制措施,并建议相关部门采取措施防范风险。内审人员应对有关部门针对风险所采取的防范和控制措施进行评估,检查其是否充分、得当。对于风险缺乏充分的控制措施,内部审计应提出改进建议,以提升证券交易所的风险管理水平,降低风险损失。

参考文献:

1.王晓霞.企业风险审计「M].北京:中国时代经济出版社,2005

2.陈毓圭.对风险导向审计方法的由来及其发展的认识,会计研究,2004(2)

3.孟焰,潘秀丽.企业风险管理审计研究.审计研究,2006(3)

4.刘玉霞.论风险导向审计在基层央行内部控制中的运用.武汉金融,2007(3)

篇4

[关键词]危险源辨识;风险评价;风险控制

中图分类号:X922 文献标识码:A 文章编号:1009-914X(2015)41-0362-01

引言

我国加入WT()后,企业的安全管理应当更加科学化。通过危害辨识、风险评价和风险控制的研究,可以使企业的管理上档次,可以体现风险管理的思想。即以最经济合理的方式消除风险导致的各种灾害后果,包括运用一整套系统而科学的管理方法,如运用系统论的观点和方法研究风险和环境之间的关系;运用安全系统工程的理论和分析方法辨识危害、评价风险;根据成本效益分析,针对企业所存在的风险做出客观而科学的决策,以确定处理风险的最佳方法,降低企业的风险、提高企业的经济效益和市场

竞争力。另外,开展危害辨识、风险评价及控制措施研究的重要性还在于:危害辨识、风险评价和风险控制是职业安全健康管理体系的基础、输入和动力。职业安全健康管理体系运行的主线是风险控制的过程,其基础是危害辨识、风险评价和风险控制的策划。为了控制风险,首先要对企业所有作业活动中存在的危害加以识别,然后评价每种危害性事件的风险等级,依据法规要求和组织OSH方针确定不可承受的风险,再对不可承受的风险予以控制。危害辨识、风险评价和风险控制是职业安全健康管理体系的主要输入,体系几乎所有要素的运行均以危害辨识、风险评价和风险控制策划的结果作为重要依据。因此,企业进行危害辨识、风险评价和风险控制是十分必要的。

1 危险源辨识、风险评价和风险控制过程中易出现的问题

从目前实施的职业健康安全管理体系,进行危险源辨识、风险评价和风险控制中存在的问题主要表现为:

一是对危险源辨识、风险评价和风险控制程序文件学习理解不够,在进行危险源辨识、风险分析时没有条理性,对作业环节、作业过程没有做全面分析,有的作业环境经过改造后,没有对新的危险源重新辨识,存在着危险源辨识不够全面的问题。

二是对重大危险源辨识、评价的方法使用不当,对在什么情况下使用什么评价方法概念不清。在用LEC方法判定时,各单位对同一工艺过程危险源分析时L、E、C的取值存在误差较大,导致得出的结论也有很大区别。

三是危险源辨识、风险评价后,对控制措施的掌握标准不一。控制措施一般包括过程控制(如规程、法律法规、作业指导书等)、制定管理方案及编制应急预案,而在有些单位采取的控制措施并不能完全控制风险,从个体防护、职业健康查体预防、改善作业环境等方面也要加强。

2 企业如何开展危险源辨识、风险评价和风险控制

2.1 掌握危险源辨识方法

危险源辨识的方法很多,每一种方法都有其目的性和应用性的范围,下面介绍几种可用于建立职业健康安全管理体系的危险源辨识方法。

(一)询问、交谈

对于企业的某项工作具有经验的人,往往能指出其工作中的危害。从指出的危害中,可以初步分析出工作中所存在一、二类危险源。

(二)现场观察

通过对作业环境的现场观察,可发现存在的危险源。从事现场观察的人员,要求具有安全技术知识并掌握了职业健康安全法规、标准。

(三)查阅有关记录

查阅企业的事故、职业病的记录,可从中发现存在的危险源。

(四)获取外部信息

从有关类似企业、文献资料、专家咨询等方面获取有关危险源信息,加以分析研究,可辨识出企业存在的危险源。

(五)工作任务分析

通过分析企业成员工作任务中涉及的危害,可辨识出存在的危险源。

(六)安全检查表(SGL)运用已编制好的安全检查表,对企业进行系统的安全检查,可辨识出存在的危险源。

(七)危险与可操作性分析

(八)事故树研究(ETA)

(九)故障树分析(FTA)

上述几种危险源辨识方法从着眼点和分析过程上,都有其各自特点,也有各自的适用范围和局限性。所以企业在辨识危险源的过程中,往往使用一种方法是不足以全面地辨识其存在的危险源,必须综合地运用两种或两种以上方法。从某种程度上说SGL是比较规范的危险源辨识方法。

2.2 风险评价、风险等级的确定

“风险”为“某一特定危险情况发生的可能行和后果的组合”,“风险评价”为“评估风险大小以及确定风险是否可容许的过程。”风险评价的目的是对所有已经识别的危险源的严重程度进行分级,评估风险的可容许性,确定风险等级,确定需要制定目标,管理方案加以控制的危险源,根据风险等级的结果有针对性地进行风险控制。

(一)常见的风险评价方法有:

(1)作业条件危险性评价法(LEC法)

(2)矩阵法

(3)预先危害分析法(PHA)

(4)故障类型及影响分析(FMEA)

(5)风险概率评价法(PRA)

(6)危险可操作性研究(HAZOP)

(7)事故树分析(FTA)

(8)事件树分析(ETA)

(9)头脑风暴法等等。

2.3 危险源辨识及控制工作必须依靠人

危险源辨识及控制的过程必须依靠人,这也充分体现了以人为本的思想。要搞好危险源辨识工作,首先要落实责任,分工负责:

(1) 管理者代表要负责全厂危险源辨识、风险评价和控制的组织领导工作;

(2) 安监部门负责危险源辨识、风险评价及控制的组织、实施等管理工作,确定重大危险源,列出清单,建立相应的管理方案并组织和监督实施;

(3) 人事部门配合安监部门负责职业病及劳动保护方面的危险源辨识、风险评价及控制的组织、实施和汇总;

(4) 各生产及相关部门负责本部门工作中以及主管外包工程中的危险源辨识、风险评价,并制定控制措施;

(5) 从班组到部门都要落实人员责任,保证工作开展的连续性和记录的完整性。

2.4 风险控制的一般措施

降低风险的方法有终止(避免或减少在危险中的暴露)、处理(控制损失)、容忍(降为可接受的风险)、转移(参加保险或外包)。

风险控制措施有:

(1)停止使用剧毒物质,以无危险物质取代,或改用危险性较低的物质;

(2)隔离人员或危险;

(3)限制危险,如实施紧急应变等措施;

(4)用工程技术方法控制危险,如采用通风、机械安全防护、隔音等;

(5)培训教育;

(6)加强管理控制,如制定安全守则,实施工作许可、监督检查等;

(7)个体防护;

(8)确保控制方法是主动的而不是被动的;

(9)规定风险等级,通过目标和管理方案消除或控制风险;

(10)通过运行和专业控制,并与其能力相适应,在不产生新的职业安全健康风险的前提下降低风险等级,使不可容许风险达到可接受程度,实现风险的有效控制。

3 企业开展危害辨识、风险评价和风险控制的意义

开展危害辨识、风险评价及风险控制措施,可以为国家安全监察和管理提供技术支持,为事故的调查分析与处理及事故预防提供科学的决策依据,提高我国的安全生产管理和事故预防水平。同时,可以使企业管理上档次,体现风险管理的思想;可以降低企业的风险、提高企业的经济效益和市场竞争力。开展危害辨识、风险评价及控制措施,还可以为企业建立职业安全健康管理体系奠定良好的基础,并提供科学的依据。

参考文献

篇5

关键词 国有企业 风险管理 制度优化 内部控制

中图分类号:F272.7 文献标识码:A

对于内部控制和风险管理的关系在理论界一直争论不休,其中,一种观点是认为风险管理中包含着内部控制,最为具有代表性的是美国的ERM框架――该框架认为内部控制是风险管理的必要组成部分,当然,也有学者认为风险管理比内部控制更为复杂;另一种观点认为内部控制包含着风险管理,风险评估与风险管理被看做是企业内部控制的关键要素之一。当然,也有观点认为内部控制与风险管理等同,在现实的商业行为中,二者是一体化的,其区别仅在于人为的分离。当然,在这些观点之中,第一种观点得到了更多的共识。在我国,国有企业掌握着我国民经济的命脉,关系着国计民生,大量的案例表明,国有企业风险管理的失效说明了国有企业实时内部控制和制度优化的必要性。因此,国有企业应该加强内部控制,控制风险,建立健全风险管理的长效机制,防患于未然,这对促进国有企业的稳步发展,防止国有资产的流失,具有十分重要的现实意义。希望通过本文的工作为时下国有企业的风险管理和制度优化提供一定的可供借鉴的管理信息,更好的促进国有企业的可持续健康发展。

一、国有企业风险管理的特点

(一)全员化管理。

国有企业风险管理不仅仅是高层领导和管理人员的责任,而是涉及企业内部所有人员。只有全体员工树立了风险管理意识,全员参与风险管理,才能取得最终的效果 。比如,部分国有企业根据每一位员工的工作内容,将质量指标和对应的失败风险分解,变成每一位员工的日常管理内容,每一个人都清楚自己的工作内容和不按照要求的方法操作会带来的各种质量风险。通过员工自行管理,品质人员集中管理,管理层监督执行的方式到达全面管理质量的提升。

(二)经济化管理。

国有企业在风险管理的过程中,需要合理调配投入的资源与产出的结果,因为风险管理也同样存在着边际效益递减的规律:当管理风险的投入达到某一临界点的时候,再追加的投入所产生的管理效果将会逐渐缩小,最终造成资源的浪费 。所以在风险管理的过程中依然要遵循经济规律而并非一味加大投入。

(三)全程化管理。

国有企业的风险管理是由降低和控制风险的一系列程序组成,其中包括风险的识别与分解、风险管理目标的确定、风险管理方法的选择、风险管理的实施与修正和风险管理结果评估。企业风险管理框架包含8个要素:内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通和监控――这8个构成要素同时也是有效的企业风险管理的判断标准。

(四)源头化管理。

对于风险管理范围来讲,一方面要分业务、分部门、分层次管理风险;另一方面也需要将各个层次的风险加以汇总,站在全局的高度来定义和管理,从战略决策的源头对风险进行管控。国有企业一般均设有信息分析部门,专门收集企业外部环境信息以及变化情况,在汇总信息的基础之上,综合分析个因素之间的关系以及组合之后对战略实施产生的影响,为企业战略制定提出参照意见,以确保战略方向的正确和风险最小化 。

二、我国国有企业风险管理的现状

(一)企业高管风险难以有效规避。

目前,我国国有企业内部控制的侧重点,主要是针对帮助国有企业高层管理者掌控企业资产和业务,以及侧重于帮助其对国有企业中层管理人员和普通员工的控制。而对于国有企业高层管理者本身,诸如董事长、总经理、财务总监等则缺乏一定的制约能力,这在无形之中往往会使得国有企业由于缺乏对高管人员的有效监管和控制而面临风险。

(二)风险管理技术手段滞后。

当前,风险防范和风险管理的思想还尚未完全融入我国国有企业的内部管理中,相较于风险防范和管理,我国国有企业更重视企业的受益。在我国国有企业中,普遍存在着风险管理思想水平较低,风险识别、评估和应对等风险管理技术手段还相对落后。无论对国有企业制定战略目标,还是组织业务活动和识别风险,都有非常深刻的影响。

(三)风险管理机制尚不完善。

我国目前国有企业风险管理机制尚不完善,国有企业内部人员对风险管理的重要性认识不足 。此外,很多国有企业的风险管理机制与企业实际管理和经营的需求不相匹配,或者其风险管理机制的执行不够严格,使得制度本身与实际的执行情况出现脱节现象。除上述之外,我国目前还有部分国有企业存在简单“照搬”和“移植”国外做法的情况,导致我国国有企业内部控制不仅过于繁琐,效率还不高。

三、国有企业风险管理的制度优化

(一)完善国有企业的风险管理制度。

国有企业要制定风险管理政策,强调风险管理的重要性,强化全体员工的风险意识;明确风险管理机构和人员的地位以及职责范围;明确风险管理的目标、内容及程序;将风险管理与业绩考核挂钩,明确违反风险管理规定的处理措施。此外,要制定重大风险管理制度,包括战略风险管理制度:涉及投资组合、资源分配、组织结构、产权改革、企业文化等;财务风险管理制度:涉及汇率、利率、税率、借贷担保、资产买卖、投资风险等;经营风险管理制度:涉及新品开发、重要客户关系、商业秘密、人员流动;还有政策法律风险管理制度等。

(二)风险管理业务外包。

如果企业暂时没有技术和能力对风险进行全面管理,也可以将风险管理业务进行外包,尤其是相对复杂的金融业务,可以和银行、保险、信托等金融机构合作,借助对方的风险管理技术和经验,促进业务发展的同时,也提升自身的风险管理水平。目前越来越多的国有企业意识到风险管理的重要性,和有实力的金融机构及咨询公司结为战略伙伴已逐渐成为趋势。

(三)增强国有企业的风险意识。

当前的市场经济环境要求国有企业主动处理有可能威胁企业生存和发展的小确定因素,而不是在风险到来时被动应对。这就要求企业在整个组织系统中强化风险意识,首先,要将风险管理提升到战略层次 。企业的决策层在确定发展方向时必须要充分分析、识别、评估存在的风险,这样才能避免战略意义上的失误,消除影响企业发展的种种不确定性。只有国有企业的全员积极参与,才能将风险意识植入企业文化之中,最终有效控制和避免企业生存发展中遇到的种种风险。

(四)健全国有企业的风险管理体系。

结合国有企业的实际,在董事会的专门委员会设立之前,可以考虑在董事会中指定一位董事专门负责企业的风险管理事务,与监事会主席配合,行使风险管理委员会的职权。企业的财务负责人为风险管理的第一直接责任人,是企业实现有效的风险控制的枢纽,其作用和职责相当于企业的首席风险官。有条件的企业可以考虑设立专门的风险管理机构,或者将风险管理的具体职能设在审计部门,负责对风险的识别、分析、评估并提出控制建议。同时,企业在实施风险管理过程中,要注重发挥会计事务所、律师事务所、咨询管理公司等专业中介机构的作用,以保证决策的客观性和科学性。

四、结束语

随着全球经济一体化程度不断加深,企业经营环境日趋复杂,预防可能发生的风险以及在风险发生后将损失控制在最低已颇为重要。风险管理机制对企业的正常运作起着独特作用。现实情况是部分国有企业风险管理机制不够完善,我们必须采取有效措施,综合运用各种内部审计风险控制手段和方法,对企业风险实行全方位的控制。本文对这一问题进行了系统的研究,得出一些有价值的结论,希望这些结论能够有效的指导实践。

(作者单位:中国平煤神马集团物资供应分公司)

参考文献:

[1]杜立成. 我国国有企业风险管理分析 现代商业,2011(10):181-182.

[2]车琳. 如何加强国有企业风险管理.改革与开放,2012(9):43-44.

[3]王伟. 基于风险管理视角的国有企业内部控制机制研究. 商业研究,2011(6):12-14.

篇6

一、中央银行会计集中核算系统概念及功能

中央银行会计集中核算系统(简称ABS),是人民银行采取集中核算方式处理会计业务的计算机网络系统。它通过与“支付系统”连接,为金融机构提供资金清算服务,并办理人民银行内部资金汇划业务。中央银行会计集中核算系统以中心支行(或分行、营业管理部,以下简称中心支行)为基本会计核算单位,成立核算中心,中心支行本级营业部及所属各县(市)支行为营业网点,核算中心设置综合柜、联行柜,通过中心服务器连接各专柜和营业网点终端,自动处理全辖账务。城市处理中心(简称CCPC)是连接ABS和国家处理中心(简称NPC)之间的桥梁,中央银行国库业务系统(简称TBS)和ABS均为中央银行的业务处理系统的组成部分。

一般来说,中央银行会计集中核算系统具有以下功能:一是支持功能,即有利于中央银行实施货币政策,支持公开市场操作、债券交易、同业拆借、外汇交易等金融市场资金的及时清算;二是监管功能,即充分利用中央银行会计集中核算系统蕴藏的大量会计业务信息资源,为金融监管提供信息和手段。如法定存款准备金的管理,金融监管信息的统计分析,异常支付的预警监视等;三是效益功能,即能更好地发挥中央银行支付清算服务的作用,提供快速、高效、安全的支付服务,加快社会资金的周转;四是控制功能,即会计业务处理的过程能真实完整地反映会计信息,更有利于控制会计风险。

二、央行会计集中核算区别于传统核算的特征

中央银行会计集中核算系统的御用改变了原有会计核算的管理体制和运转模式,在核算方式、账务组织管理、业务操作流程等方面都发生了很大的变化,主要表现在以下几个方面:

(一)核算方式的自动化,加剧了其对硬件可靠性和连续性的依赖

ABS不是一个独立运行的系统,银行会计活动和支付清算服务原始信息,已不主要是通过纸凭证传递,而是通过网点柜、联行柜及支付系统其他参与者的录入、复核、传输等环节,将会计核算信息转换为电子信息进行传输。会计核算数据传输的信息化网络化对计算机设备和网络的安全性提出了极高的要求。

(二)账务核算的前后台分离,传统的会计核算内控理论面临挑战

目前,中央银行会计集中核算系统设置了双层处理结构,实现了前后台的分离。这样,客观上造成同一核算主体的会计人员分散在中心支行及其县支行,而且这些人员的管理和考核分别由不同的单位和部门负责,会计核算的风险控制已不完全是传统的内部控制的概念。如何面对全新的组织形式,对会计人员进行管理,实现有效的风险防范和控制被提到了议事日程。

(三)清算账户的集中管理,改变了核算和运行管理方式

中央银行会计集中核算系统对清算账户的设置采取“物理上集中摆放,逻辑上分散管理”的模式,改变了中央银行各核算主体对所辖账户的控制管理,不仅人民银行可以处理清算账户的借贷业务,而且账户所属的金融机构也能通过前置机系统处理借贷业务,支付系统各参与者都能通过计算机网络实现对账户的访问,处理各项贷记业务。因此,清算账户的设置对会计人员业务操作的准确性和操作速度提出了更为严格的要求,各项核算业务更加依赖于稳定可靠的系统运行环境,系统运行的风险点进一步增加。

三、央行会计集中核算系统的风险剖析

ABS在支付清算方式、账务组织、业务流程方面的改变,使得整个系统的风险控制和风险管理也发生了较大的变化。从使用新系统一年多的情况来看,新系统的风险主要表现在以下几个方面。

(一)制度性风险

ABS系统和支付系统运行以来,运行管理方式和具体操作内容都必须依靠制度的约束来完成,约束不力就容易造成管理和操作的随意性,从而引发风险。其一,支付运行的管理模式不明确,影响支付系统的运行效率。其二,制度的执行流于形式,没有认真按章办事,或者制度的监督执行不到位。如对参与行查询查复的时限要求等。其三,制定的制度跟不上业务变化的要求,造成风险控制无据可依。如CCPC的日常管理制度内容不全面,操作性不强。其四,操作流程制定得不够严谨、规范,不能做到与系统功能设置的相互牵制。其五,对一些重要事项的风险估计不足造成风险控制不到位。

(二)人员风险

人员风险主要由以下三类人员造成:一是内部的管理控制人员。如操作人员不认真执行口令保密制度和操作规程,管理层对制度执行情况检查不到位;工作人员没有认真履行职责,审核不严、操作失误;操作人员恶意合谋,录入虚假信息,发生经济案件;工作人员服务理念不强、服务效率不高造成的核算系统资源利用不足,整体效能不能最大化发挥等。二是外部人员。如外部人员通过计算机网络技术攻击系统,致使核算系统不能正常运行;非法进入核算系统,破坏数据,造成数据丢失或泄密;恶意修改数据,发生案件等。三是支付系统各结点的管理控制人员。如支付系统各参与者内部控制不严,网络安全工作不细,工作人员不认真履行职责等。

(三)操作风险

一是ABS运行后,网点发生的联行业务生成联行往账信息后,上传核算中心联行柜,由联行柜添加相关信息后生成和发出联行往账业务,由于网点持有业务的原始凭证,联行柜无法对接收的网点信息进行核对,资金风险难以在日常核算过程中进行有效控制;二是不能有效对县(市)支行营业网点的开销账户进行监督;三是营业网点凭证传递不及时,存在风险点。

(四)运行风险

ABS系统对计算机设备与网络设备可靠性和连续性的过分依赖。中央银行会计活动和支付清算服务原始信息,已不再通过纸质凭证传递,而是通过网络将营业网点、联行柜及支付系统其他参与者录入的会计核算信息转换为电子信息,进行相互传输。一旦系统或网络发生故障,极易造成账务积压,从而造成较大的运行风险。

四、有效控制央行会计集中核算系统风险的对策

(一)健全风险管理制度,整合优化业务流程

制度建设是完善内控和风险管理的基础,健全完善内控制度必须以防范支付清算风险为出发点。由总行对各核算中心制定的业务制度和操作流程进行整合、完善,解决规章制度缺乏相互制约的问题。现有的管理和制度建设应侧重于三个方面。一是对现有的管理和内控制度进行修订完善;二是明确界定重大事项的内容,严格审批程序,规范对处理结果的检查制度;三是建立有效落实制度的长效机制,强化管理责任,制度分解到岗,责任到人,建立风险控制的奖惩制度,赏罚分明。

(二)严把核算关,落实风险防范措施

一是加强内外账务核对制度,在ABS系统下进行内外账务核对尤为重要,通过对账可及时发现问题,从而保障资金安全;二是各营业网点对每日账务做好事后审核, 要严格审查凭证的规范性、合法性、资金往来的合规性,不仅要注重对单项业务准确的审核,更要加强对资金流向的监督;不仅要注重表内业务的审核,更要加强对表外业务、内外对账的监督,真正从源头上把好资金的出口关;三是加强营业、事后监督、会计财务、支付结算、科技、货币信贷等部门协调沟通,针 对 出 现 的 新问题、新情况,商讨对策,共同防范资金风险,提高会计核算质量。

(三)加强会计事后监督,完善监督机制

一是事后监督部门应制定本辖区内统一的实施细则,操作流程,建立健全规章制度,突出各岗位及部门之间的互相制约,统一基层行的业务操作,使每一笔业务,每个环节都处于制度的监督下;二是事后监督部门应在次日对主要业务的合规性进行审核,提高事后监督的时效,能尽快处置可能出现的风险,使风险程度降到最低,同时事后监督部门负责核算监督,并配合业务主管部门做好现场检查,定期或不定期检查会计人员是否严格按操作程序办理各项业务,各项规章制度是否得到贯彻执行等;三是应尽快开发一套事后监督软件,与ABS系统实现数据共享,实现ABS系统与事后监督系统联网,从ABS系统采集数据,会计核算与事后监督同步进行,与录入的凭证、清单、流水账等信息进行自动对比,提高事后监督质量。

篇7

西方发达国家普遍拥有比较健全发达的银行业,由于政治、经济、文化等历史渊源各不相同,各国纷纷建立了各具特色的银行监管体制。通过研究美国、英国、这两个主要的西方发达国家银行业风险监管的经验,对我国建立符合新开放时期的现代化银行监管制度是不无裨益的。

1、英国在外资银行风险管理方面的先进经验

(1)比率风险监管体系

1997年,英国银行在1987年的《银行法案》授权下制定出“比率和比例风险监管体系”,所谓的比率风险监管体系是风险测评、监管措施、价值评估的综合体系,它是由英国金融服务权力机构(FinancialServicesAuthority,FSA)对银行业务、风险纪录、宏观经济环境做出综合性评估,以制定有效的监管计划和使用恰当的监管措施。

FSA参照COMELB指标和COM指标对银行进行风险初步测评。COMELB指标包括资本、资产、市场风险、盈利、债务、业务六个方面;COM指标包括控制、组织、管理三个方面。风险测评的目的在于系统地识别银行业务的固有风险,评估其风险控制的充足性和有效性,明确其组织结构与管理体制,初步建立对这些银行的监管体系。通过对银行商业风险和控制风险的评估,将银行分为四个等级(A、B、C、D),对A、B等级的银行只需要对其风险控制做出适当的监测,对C、D等级的银行则需要采取监管措施。FSA可以对C、D等级的银行采取如下监管措施。如要求银行提供全面的会计师报告、成立FSA的专家小组对银行财政、信用领域进行检查;向跨国银行的母国监管者收集相关信息、与银行高级管理层进行审慎性会晤及特别性会议讨论银行未来发展计划等。在下一次风险测评之前,FSA会对风险测评、监管体系、监管措施的使用做一次价值评估,以保证银行已完成必要的整改工作、FSA已完成监管体系中所预定的工作和监管措施被正确的执行。此外,FSA还对其监管阶段工作的有效性做出评估和复查所有银行是否仍然符合立法的最低标准。

(2)习惯法

在立法方面,尽管在欧共体各国的中央银行中,英格兰银行的独立性较差,但它却在银行监督方面比之其他国家的中央银行拥有更大的灵活性。在英国,法律常由“习惯法”替代,金融管理机构与信贷机构间的关系更多地使用“道义劝说”或“君子协定”原则来理顺,而不是采取强制性的命令方式。70年代以来,英国已正式结束了银行业的“自我管制”状态,代之以用法律的形式对银行实施管制,外国银行机构也不例外。“1979年银行法”生效后,管理走向正规化,但是对大型银行的管理仍沿用传统方法,很少采取强制性措施。目前英国管制外国银行的法律依据主要有《1987年银行法》、1971年《竞争和信用管制条例》等。

2、美国在外资银行风险管理方面的先进经验

作为拥有悠久管理外资银行历史和丰富经验的大国,美国在外资银行风险管理体制上有其独特之处。

(1)双重评估体系

世界上大多数国家在对外资银行的评估体系上多半采用单一制,即外资银行与国内银行适用同一种评估体系。而美国对其国内银行适用的是国际通行的“骆驼评级体系(camel)”,即对银行的资本充足率、资产质量、管理水平、盈利状况和流动性五个方面进行评估。对外资银行,则考虑到外资银行的分行和行不是独立的法人,许多因素(如资本调控或资产流通等)都受制于总行,采取的是“roca”等级评估制,即对外资银行的风险管理、作业调控、遵守法规、资产质量四个方面进行评估,将重点放在风险评估、风险跟踪、风险控制上。在美国通货监理署(OCC)现行的监管体系中,骆驼评级和风险评级是两个并行的体系,他们一起构成风险监管的整体方法,二者之间有一些区别。camels是对历史形成的存量也就是运行结果进行评价,风险监管(评级)是对经营过程的控制状况进行分析、评价;前者出现的背景主要是针对信用风险,后者主要针对市场风险、操作风险等。

(2)var(valueatrisk)风险测定方法

1995年12月美国金融机构正式将jp摩根公司发明的var风险测定方法作为银行风险测定和管理的工具使用。var是指在某一特定的时期内,在一定的置信度下,给定的资产组合可能遭受的最大损失值。与巴塞尔协议资本充足率的计算方法相比,var方法主要用以测定市场风险,风险监管的实质是重视对过程控制的评价。(3)争取实现统一立法

在立法方面,当前各国银行目睹并经历了不断加剧的银行国际化分支运作,银行界也在呼唤着实施统一的国际化资本法规,以维持一个健康的国际银行操作环境。美国的立法机构已经单边制定了两个法规,即1978年的《国际银行法规》(IBA)和1991年的《外国银行的强化监控法规》。《国际银行法规》中对外资银行的风险性监管做出总体性规定。其目的在于让大量的外国银行受到类似于美国国内银行的监督与管理,并减少人为的不必要的银行机构间的竞争。

二、巴塞尔协议体系给国际外资银行风险监管带来的影响

1988年7月,巴塞尔委员会颁布的《关于统一国际银行资本衡量和资本标准的协议》(即通常所说的“巴塞尔协议”),该协议设定了资本充足率。通过对资本充足率的规定,银行业监管机关可以加强对商业银行资本及风险资产的监管,也对衍生工具市场的监管有了量的标准。加上1997年9月颁布的《有效银行监管的核心原则》共同构成对外资银行风险性监管的基本规定。《有效银行监管的核心原则》指出监管者应当制定和利用审慎性法规的要求来控制风险,其中包括资本充足率、信贷风险管理、市场风险管理、其他风险管理和内部控制监管等。

2001年1月,巴塞尔委员会公布了资本协议的第二次征求意见稿,此次协议被称为巴塞尔新资本协议。包括欧洲银行界在内的国际银行界对新资本协议表现出极大的关注。有关风险的范围在协议中不断扩充:从信用风险到市场风险,进而又涵盖了操作风险、法律风险、流动性风险以及名誉风险等其他风险。这是监管当局对日趋复杂的国际金融环境的必要应对,是走向全面而准确监管的步伐。

作为国际银行界的监管准则,巴塞尔新资本协议针对风险管理提出的标准法和内部评级法为将来商业银行进行风险监管指明了方向。内部评级法比标准法更能敏感地反映信用风险,但同时也意味着商业银行要在资产组合层面实现风险和收益的匹配,并相应地进行经济资本配置。欧洲大型商业银行和中小商业银行的信用风险管理将在新协议影响下面临不同的选择路径。这种选择也将对未来若干年内我国银行风险管理机制的改革具有重要的借鉴意义。

概括而言,巴塞尔新资本协议的推出为国际银行业的风险监管提供了统一的框架标准,为银行业风险有效监管奠定了坚实的基础。协议及其补充文件倡导的原则和方法对银行业的监管方向有着深远的影响,规范了国际银行业风险管理的发展,并成为国际银行业风险监管的指导蓝本和实践框架。

三、国际外资银行风险监管经验对我国的启示

第一,完善我国的外资银行准入制度,选择资本雄厚,经营业绩、资产状况良好,熟悉国际金融市场,具有丰富管理经验、良好经营能力和风险控制能力,具有先进的IT技术和国际网络优势的外资银行进入我国。高素质的外资银行大都资金雄厚,有利于维护我国金融市场的稳定,管理先进、控制经营风险的能力强,能够做到稳健经营。且资信较好,能遵守法规,注重公平竞争,重视自身市场形象。有利于我国金融市场健康有序的发展。

第二,充分考虑中外资银行的差别。我国正处于转轨时期市场化金融体系构建进程,国有银行、政策性银行、股份制银行、地方银行以及外资银行等在资本结构、经营状况和风险管理能力各异。这就要求我们在相关风险监管指标的制定和监管某些选择方面,要根据各个银行所处的具体情况,提出针对性强、灵活度大的方案,进行分类监管。同时,在逐步融入国际金融大环境的中国银行业,面临的风险也不再仅限于信用风险,而是要迎接市场风险、流动性风险、法律风险等来自各方的考验。因此,在制定监管指标时应具有预见性,充分考虑到现阶段及今后一段时期内银行可能面临的各种信用风险、市场风险以及其他风险,为未来银行业经营环境的变化留有足够空间,不至于使监管法规陷入被动的境地。

第三,加强科学的外资银行风险评估体系化研究。外部监管与银行内部风险管理相结合,监管者与被监管者的关系由对抗型向协作型的转变,是银行监管的趋势。银行内部风险模型的建立不仅是银行自身经营的必要,也是确保监管有效实施的重要保障。除了可以参照国际上通行的“骆驼评级体系(camel)”外,考虑到目前在中国境内的外资银行三种形式(外国独资银行、外国银行分行、中外合资银行)中,占主导地位的是外国银行分行,可以参照美国的做法,与国内银行的“camel”评价体系相区分,采用“roca”等级评估制,将重点放在风险管理、作业调控、遵守法规、资产质量上,以加强风险控制。

第四,完善与健全对外资银行的监管法规。参考国际监管经验可以看到先进的监管体制离不开成熟的法规的配合。2002年以前我国对外资银行的监管还停留在是否合规的事后检查阶段,缺乏以预防为主的风险性监管。2002年2月1日新出台的《中华人民共和国外资金融机构管理条例》初步确立了我国外资银行风险监管的指标体系,然而,与风险监管发达的美、英、日等国相比,我国的风险监管体制还显得极不健全,有待进一步完善。我国在外资银行监管方面的立法层次比较低,在风险监管方面并没有出台相关专门性规范。面对开放时期可能的外资银行数量激增,我国应制定出风险监管的总体政策和量化指标,设立专门的类似于英国FSA的监管机构来执行这些法规。

【参考文献】

[1]王卫东:现代银行全面风险管理[M],中国经济出版社,2001.

[2]章彰:商业银行信用风险管理——兼论巴塞尔新资本协议[M],中国人民大学出版社,2002.

[3]田应奎:现代金融有效监管的国际比较[M],中国言实出版社,2000.

篇8

摘要:商业银行内部审计对提高银行的经济效益是十分重要的,必须充分认识和肯定其增值功能,并积极开发利用。内部审计在商业银行公司治理、风险管理和遵循管理三大环节中能够为银行整体价值的提升提供持续支持和保障。

关键词:商业银行;内部审计;增值功能;公司治理;风险管理;增值型内部审计

1增值型内部审计的内涵

增值即为增加价值。增加价值:“组织的存在,是为其所有者、其他利益关系方、客户和顾客创造价值或谋取利益”。增值型内部审计,即能为组织增加价值的内部审计。增值型内部审计并不是新生的一种审计类型,它是内部审计发展的一个新阶段。它和以前的内部审计没有严格的分水岭。

增值型阶段是现代内部审计的一个革新性阶段,它是内部审计的一次重大变革。在这个发展阶段上,审计理念发生了根本性的变化,审计人员不仅要善于发现问题,而且更要善于解决问题,并积极向管理当局推销自己的内部审计产品;在这个发展阶段,审计策略发生了重大的改变,广泛采取“参与性”的审计策略,被审计人员参与到内部审计中来,强调与被审计人员建立良好的伙伴关系,在这个发展阶段,审计目标与组织的目标相一致,帮助组织实现其目标就是内部审计的目标;在这个发展阶段,内部审计关注的焦点就是组织的风险,识别、防范、降低组织风险就是它自始自终的使命;在这个发展阶段,内部审计的目的就为组织增加价值,为组织增加价值就是内部审计自身存在的价值。那么增值型内部审计和传统内部审计在价值增值有什么区别呢?增值型内部审计和传统内部审计在价值增值不同的是:

(1)过去传统的内部审计不注重为组织增加价值,它开展的许多活动相对于增值型内部审计来讲是不增值,或者虽然增值,但由于所耗费的资源和成本大于增值所带来的价值,所以从整体上来说是不增值的。而增值型内部审计全面转变审计观念,不增值的审计业务尽量少做,能增值的传统审计业务尽量提高工作效率减少资源耗费和成本,重点在大力拓展高增值的审计业务。

(2)传统的内部审计部门是一个资源消耗者,是一个费用中心,它不直接给组织增加价值。而增值型内部审计是一个价值增值者,是一个利润中心。它在消耗资源的同时,通过给组织提供有价值的建议直接给组织增加价值。

(3)过去传统的内部审计为组织间接增加价值的事实往往受到忽视。人们的计量记录只有内部审计花出去的钱,由于其只是一个费用中心,不计量收入。而增值型内部审计有所不同,由于其是一个利润,成本的耗费有记录,为组织增加的价值也因该有衡量和记录。

2商业银行内部审计增值性的分析

银行管理的基本目的是使银行的资本市场价值增加达到最优化水平。但是银行报表所报告的统计数据却是按照所谓账面价值计算的。因此,充分与准确地估计银行的市场价值是客观评价银行管理的依据。如果某家银行的股票在有效运行的股票市场上市,并且交易非常活跃,就可以准确地计算市场价值。就账面价值而言,银行的账面资产等于银行的账面负债()与银行的账面价值()之和:.就银行市场价值而言,银行的市场资产加上银行的无形资产等于市场净值与银行的市场负债之和.银行的的无形资产包括存款保险的价值,银行与客户的关系,银行的注册价值以及其他的非账面资产。因此以市场价值计算的银行价值为:

这一公式可以解释为什么有的银行在账面上其净值为负数,但以市场市场价值计算,其净值为正数;或者说,银行的无形资产往往可以抵消银行净值的账面价值。

在很多情况下,银行资产的账面价值与市场价值之间存在很大的差距,当银行账面()与市场价值(差距时,该银行存在所谓的隐藏资本或未入账资本,银行隐藏资本由两个来源:银行账面资产和市场资产的差距,银行资产负债表外项目。这就时1990年凯恩和尤兰尔使用了一个简便的计量公式来测量银行的隐藏资本,这一公式被称为统计学的市场价值核算模式()。即:市场价值()银行账面(=隐藏资本。

公司的价值最大化实际就是隐藏资本的最大化,而隐藏资本包括无形资产和未入账资本,提高隐藏资本的价值就要提高商业银行在公众心目的价值和对未入账资本的风险管理。未入账资本主要是表外业务,所以商业银行应加强表外业务的监管。

提高隐藏资本价值的途径之一就是通过内部审计活动的开展,促进商业银行加强公司治理、健全内部控制制度和防范风险。良好的公司治理、健全的风险管理系统和完善的内部控制体系有利于提高商业银行的公众心目中形象和减少商业银行经营过程中的风险,从而增加收益。这和增值型内部审计的定义关于内部审计的增值作用是一致的。

3内部审计在商业银行公司治理领域的增值途径

商业银行公司治理的主题主要是两个方面,即控制的有效性和风险管理的有效性。内部审计在公司治理中的作用可以归纳以下几方面为:评估控制环境,对控制的有效性进行测试;评价管理层执行控制过程的有效性;对风险控制系统的充分性和有效性进行评价;对管理层的风险管理过程进行评价;执行审计委员会的欺诈分析和特别调查;对高层基调进行独立评价。可以看出,商业银行内部审计的公司治理作用除内部控制和风险控制这些“硬控制”之外,还涉及到组织的“软控制”,也就是组织的“高层基调”。在这里着重讨论内部审计如何评价商业银行公司治理中的“软控制”。

3.1内部审计与公司治理结构

在商业银行公司治理结构中,管理层执行风险和控制的措施,并向董事会报告其工作状况,董事会为了证实管理层报告的真实性,授权审计委员会对其进行验证,审计委员会利用内部审计和外部审计职能对管理层的风险、控制的管理与执行情况进行检查和证实,内部审计和外部审计将检查、证实的情况向审计委员会报告。这样形成了一个有效的公司治理。一个有效的公司治理可以对风险管理系统和控制系统进行充分的监控,对它们的监控直接有助于组织达成其目标。

3.2内部审计与审计委员会

近年来,针对改善商业银行公司治理的立法和建议提高了审计委员会的地位,巴林银行倒闭后,对审计委员会的重视将会继续加重,同时对审计委员会的期望也会日益上升。正如美国国家公司董事联合会指出,审计委员会是公司治理的重要角色,审计委员会是确保财务报告和控制信息质量以及风险管理和识别的重要因素。内部审计是审计委员会进行公司治理直接工具。

3.3内部审计与管理层

管理层是公司治理的主要力量,管理层设定高层基调处理组织的日常经营事务,管理层对公司治理的作用是巨大的。内部审计为管理层提供各种验证和咨询服务,同时又作为审计委员会的治理工具,对被治理的对象管理层的控制与风险管理业绩进行验证。这使得管理层也很需要内部审计对自身内部控制和风险管理方面的业绩进行验证,使之以内部审计的验证报告为依据对信息真实性提供个人保证。内部审计的验证服务直接关系到高级管理层就上述责任承担的风险大小,所以内部审计在商业银行公司治理中的验证服务与管理层的利益是一致的。验证服务是管理层与审计委员会共同需要的,而且,内部审计师为管理层提供许多增值服务,它只不过是作为顾问和咨询者的身份,并没有参与决策,决策仍然由管理层来执行。

3.4内部审计与外部审计合作

商业银行内部审计师和外部审计师的合作对提高验证信息的质量具有重大意义,内部审计师可以通过有关商业过程和活动,以及对组织面临风险的深入了解,来帮助外部审计师有效地进行财务报告的鉴证,而且内部审计师和外部审计师共享风险分析的信息。

4商银行内部审计增值功能的具体措施

4.1在商业银行公司治理中提供增值服务

(1)评价治理环境。好的治理环境为商业银行的公司治理提供了文化、结构和政策基础,直接关系到治理的效率。内部审计通过评价总体治理结构和政策、评价治理道德、评价审计委员会的活动、评价风险管理结构与政策、评价内部审计的组织与结构等措施,以达到优化公司治理环境的目的。

(2)评价治理过程。治理过程是支持治理环境的具体活动,内部审计参与公司治理的具体措施是:评价舞弊控制和沟通过程、评价薪酬政策及其相关过程。评价财务治理过程、评价与战略规划和决策相关的治理活动、评价治理业绩盼计量。

(3)评价治理程序。治理程序是关系到治理过程效率的至关重要的步骤和实践,它是利用评价内外部治理报告程序、评价提升和追踪治理问题的程序、评价治理的改变和学习程序、评价支持治理的软件和技术等手段来达到优化治理程序的目的。

4.2在商业银行风险管理中提供增值服务

国外最新研究认为,内部审计在风险管理中的作用是商业银行内部审计增值功能的新内容。在商业银行的风险管理中,内部审计可通过提供鉴证和咨询服务来增加组织的价值,主要体现在两个方面:一方面,内部审计师可通过评价风险管理过程、评价关键风险的报告、检查关键风险的管理等措施,就公司风险管理活动的效率向董事会提供客观的建议,促使关键的经营风险得到恰当的管理,确保企的内部控制系统得以有效运行;另一方面,内部审计师可以通过为风险的鉴别和评价提供便利、指导制定应对的风险管理措施、协调企业风险管理活动、强化对风险的报告、维持和开发适合银行的企业风险管理框架、协调制定有待董事会批准的风险管理战略措施等,更好地为风险管理提供咨询服务。

近年来,美国通用汽车公司也以“参与风险管理,提供独立评价和建议”为内部审计重新定位,并写进了公司内部审计章程。我国商业银行内部审计部门可以借鉴国外经验,将其参与风险管理明确写入内部审计章程,以有利于在风险管理过程中提供独立的评价和建议,有效发挥内部审计划于风险的控制作用,提高风险管理的效率和效果。但是,为确保内部审计的独立性和客观性不受损害,内部审计师要注意不能设置风险偏好和对风险管理过程施加影响,不能代为决定风险应对措施,也不能按管理者的意图执行风险应对措施和承担风险管理的责任。

4.3在商业银行遵循管理方面提供增值服务

所谓遵循管理,指的是在各部门及雇员遵守法律法规、银行发展战略以及内部规章制度方面的管理。合规性、遵循性审计是内部审计的传统职能,在这里无需赘述,需要强调的是内部审计在保证商业银行按所设定的目标经营,确保遵守银行内部的政策和程序,忠实于对利益相关者的承诺等方面具有效率评价和持续监测作用。

必须认识到,内部审计在公司治理、风险管理和遵循管理中提供的增值服务,具有内在的统一性。风险管理的实施要以遵从和遵守为基础,良好的遵从、遵守可帮助风险管理的实施;公司治理围绕着风险管理和遵从、遵守而展开。把这三者进行有效地整合将为商业银行内部审计充分发挥增值功能、实现增值目标提供更大的空间。而内部审计通过深入参与商业银行的公司治理、风险管理和遵循管理。可以达到促进完善商业银行的内部控制和风险管理,持续支持和保障组织整体价值提高的目标,也在这个过程中完成了内部审计自身价值的提升。

参考文献

1肖元真.新世纪全球科技与经济发展大趋势丛书[M].北京:科学出版社,2007

篇9

[关键词]国有企业;法律;风险管理

[作者简介]伍玲玲,女,汉族,大学本科学历,广西建工集团建筑机械制造有限责任公司法律顾问,经济师。

二十世纪50年代,风险管理与公司治理理论在欧美逐步形成。二十世纪80年代以后,不少发展迅速但忽视风险管理的企业纷纷暴露出一些长期潜伏的问题。并引发了难以挽回的危机,最终导致企业破产。世界上有30多个国家颁布了对上市公司风险管理的立法,发达国家的许多公司对风险管理进行了更大力度的改革,加强了对公司治理结构和财务报告系统的内部控制,重新赢回了投资者信心。在国内,近年来银广厦和新疆德隆系的崩盘、中航油约5.54亿美金的巨额亏损,以及中国银行巨额资金被侵占责任人外逃,这些重大事件都集中反映了我国企业法律风险防范意识的淡薄。据国务院国有资产监督管理委员会统计,至2004年底,中央企业报请国务院国资委协调的法律纠纷案件达146起,涉及中央企业131家,直接涉案金额199亿元,间接涉案金额已超过450亿元。由此可见,法律风险防范问题已成为各国有企业运营和发展所面临的重大课题,也成为风险管理体系中至关重要的一部分。

一、企业法律风险的概念及特征

(一)企业法律风险的概念

当今学术上对风险的概念有多种定义,归纳起来是指风险是可测定的不确定性,与收益呈正相关关系。企业法律风险,是指由于企业外部法律环境发生变化,或由于包括企业自身在内的法律主体未按照法律规定或合同约定有效行使权利、履行义务,而对企业造成负面法律后果的可能性。

(二)企业法律风险的特征

企业作为独立法人实体,可以将企业风险分为自然风险、运营风险、财务风险和法律风险。其中前三种风险分别以不可抗力、市场环境和资金交易为特征,而法律风险主要是以法律因素为产生原因,以承担法律责任为后果。它与企业所面临的其他风险既有区别又有联系。因此,其具有以下特征:

1 企业法律风险产生的缘由是法律因素。导致企业产生法律风险的法律因素主要指:(1)企业外部法律环境的状况及其变化。一方面指法律和行政执法力度的状况,另一方面指法律的出台、修改和废止,以及行政执法状况的变化。这种变化既可能使企业产生新的法律风险或现有的法律风险消除,又可能使企业发生法律风险的可能性和损害程度增大或减小。(2)企业未依据法律规定有效实施法律控制措施。换而言之,就是企业未有效地获得、行使或保护法律赋予的权利,使企业无法有效利用法律赋予的权利维护其应有的利益,从而降低了企业的核心竞争能力,使企业产生不必要的损失。(3)企业或与企业发生法律关系的各类主体的行为。这种行为包括违反法律的规定、违反合同的约定以及实施的侵权行为。实施上述行为的主体可以是企业本身,也可以是企业以外的其他主体,或者是双方实施的行为。应当注意的是,并非所有的法律因素都会导致企业的法律风险,只有那些对企业产生负面影响的法律因素才会最终给企业带来法律风险。

2 企业法律风险存在于企业运营的各个管理环节。法律规范了企业生产经营的各个方面,也规范了企业从设立到企业终止的全过程。因此,法律是贯穿企业经营活动始终的一个重要标尺和依据。企业与政府、企业与企业、企业与消费者以及企业内部的关系,都要通过相应的法律来调整和规范。政府对企业的指导和监管,已经从过去的行政手段转变到以经济和法律的手段为主:企业与企业作为平等的市场主体,只能依靠合同法等民商法律进行调整和规范;企业内部各种关系,包括劳动关系、质量管理、安全生产管理、财务管理等,都要依据劳动法、产品质量法、安全生产、会计法等法律来调整和规范;企业与消费者之间也必须按照消费者权益保护法等法律法规来调整。企业作为法律规范的主体之一。只要其行为涉及法律规定,就有可能存在法律风险。可以说,在市场经济中,企业的所有经营活动都离不开法律规范的调整,企业实施任何行为都需要按照法律的规定,在法律的整体框架下进行。

3 法律风险发生导致的后果是企业承担法律责任。法律风险产生于法律因素,终结于法律后果。法律风险发生导致的后果主要包括企业承担民事责任、行政责任和刑事责任。企业发生法律风险的后果通常为承担民事责任,主要表现为支付违约金、赔偿经营损失、赔礼道歉、消除妨害等等。行政责任主要是由于企业违反政府或监管机构的有关管理规定而被行政管理机关处以罚款、没收违法所得、吊销执照等。而刑事责任发生在企业的行为触犯刑法时,依法被人民法院判处刑罚,表现为企业判处罚金、法定代表人判刑的“双罚制”。

4 企业所面临的法律风险和其他风险紧密相关。企业法律风险虽然不同于企业面临的其他风险,它具有特有的法律特征,但是法律风险并不是与其他风险截然分开的,它们之间具有紧密的联系。从企业整体运营的角度看,企业法律风险和财务风险是交叉互融的,财务风险的特点决定了法律风险的特点,法律风险的控制效果又在很大程度上影响着财务风险的大小。法律风险在许多情况下与财务风险是同时存在的,法律风险防范占据重要地位,有效控制企业法律风险可以在很大程度上避免和降低经营风险,经营风险经常导致企业产生较大的法律风险。

二、当前国有企业法律风险分析

(一)机构不全,职能不强,队伍专业化水平待提高

主要表现在:一是机构尚需健全,职能有待强化。一些国有企业尚未建立专门法律机构,法律部门多隶属于办公室或政工部门,规章制度不够健全,尚未形成经常性长效工作机制。由于体制上的原因,法律工作人员难以从根本上介入经营决策、项目论证、工程招投标等重要经营活动,往往是事后的“救火队员”,从而造成各项经济活动缺少法律审查环节,埋下许多经济隐患和经营风险。二是专职法律工作人员较少,专业素养有待提高。许多国有企业缺少专职法律工作人员,多为兼职,业务能力相对较弱。在当前经济纠纷日益增多的形势下,专职法律工作人员不足,业务水平不高,已成为制约国有企业发展的瓶颈。

(二)缺乏法律和契约意识,合同纠纷增加

主要表现在:一是合同法律意识不强,合同行为风险加大。这是当前国有企业经营比较突出的问题。表现为一些国有企业的经营管理人员缺乏必要的合同法律知识,在签订和履行合同中存在实体上及程序上的诸多问题,规范化程度不高,在合同标的、文本格式、履行方式等方面存在不少法律漏洞。二是合同审查论证失严,违约责任条款欠缺。当前有的国有企业签订合同,对事先审查、论证、调研工作重视不够,风险意识不强;有的经营人员违规操作,甚至仅凭人情关系就草率签约,导致合 同权利、义务设定失误,特别是造成违约责任条款残缺不全。这样一旦对方违约或者钻合同条款的漏洞,就会使己方陷入被动,造成不应有的损失。三是合同担保设定违规,违约责任追究困难。国有企业在市场经济往来中,必然要与其他经济主体发生合同担保关系,有时为担保人,有时为被担保人。国有企业在签订重要合同时设定担保,可减少风险,保障履约。但如果设定担保时不规范,如担保人无担保能力,担保财产有权利瑕疵等,就会导致担保虚设,一旦发生违约,担保责任无法落实,责任追究困难重重。另外,有的国有企业在为其它企业提供担保时不够审慎,风险意识不强,有时会陷入被动,代人承担履约责任,却无法向被担保人追偿,造成重大经济损失而无计可施。

(三)欠款回收难度大,司法判决执行难

主要表现在:一是法律救济途径单一,欠款回收难度较大。有的国有企业由于市场法律意识不够强,依法经营和依法维护合法权利的机制尚有待完善,防范化解市场风险的能力不强。遇有对方违约的合同纠纷,救济途径比较少,一般习惯于以和为贵,以协商为主,有时难以奏效,使合同纠纷长期得不到解决,国有企业的经济损失难以弥补,违约方的责任难以落实,对国有企业经营极为不利。二是依法维权力度不大,司法判决执行困难。国有企业只有重视并行使合同权利,才能有效保障合同目的的实现。但有的国有企业经营人员权利意识不强,依法维护企业权益的积极性不高,造成一些外欠款项难以收回,形成呆账、坏账从而积累了较大数额的不良资产。

三、如何建立国有企业法律风险防范机制

建立法律风险防范机制的目的是要通过发现、识别、分析、控制和处理公司面临的各项法律风险,制定、实现相应的应对措施,使法律风险被控制在企业所能接受的范围内,实现企业承担的法律风险与经营收益相优化和平衡。因此,有效的法律风险防范应具备以下内容:

(一)确立企业总法律顾问在法律风险控制中的核心作用

总法律顾问制度是企业法律顾问制度的核心,是企业管理的重要内容和现代企业制度的重要组成部分,也是企业依法进行经营决策、有效防范法律风险和依法维护合法权益的重要内容和制度保障。总法律顾问是全面负责企业法律事务的高级管理人员,直接参与企业经营决策,向企业法定代表人负责。总法律顾问制度的建立和完善是企业法律风险防范体系建设的重要保障,总法律顾问应当全面领导企业法律风险防范机制的建立和运行监督管理工作。企业应将推行总法律顾问制度与完善法人治理结构、建立现代企业制度相结合,将实施企业总法律顾问制度与建立和完善企业法律风险防范机制相结合,明确总法律顾问和其他企业法律顾问在法律风险防范机制中的职责和地位,以总法律顾问为核心,以全体企业法律顾问为主导,使企业总法律顾问岗位、职责到位;法律顾问机构、制度到位,企业全体员工风险防范制度、责任到位,实现企业依法决策、依法经营管理、依法维护合法权益的规章制度健全,法律风险保障体系不断完善,企业依法治理和国际竞争能力进一步提高,全面提升企业防范和控制法律风险的综合管理能力。

(二)组建高素质的管理团队,发展企业法律顾问对法律风险控制机制的主导作用

建立和完善企业法律顾问制度是建立企业法律风险防范机制,进行企业依法决策、依法经营管理的需要,也是法律风险防范机制得以切实贯彻实施的重要制度保障。通过建立健全企业法律顾问制度,充实法律管理队伍,明确法律顾问的职责和管理权限,完善企业各项内部管理机制,提升法律顾问队伍素质,提高对风险进行防范和管理的重视,达到增强依法经营的能力和水平的效果。企业法律顾问要在法律风险防范机制中充分发挥主导和监控作用,实现法律风险防范机制的有效运作。企业法律顾问应主导和推动法律风险防范机制的建设,承担起法律风险控制机制设计和监督执行的职责,构建风险防范机制的架构,确定企业管理层、各部门、各级员工、各种岗位在法律风险防范机制中的职责和任务。推动机制的落实和实施。在法律管理方面,企业法律顾问应通过实施具体法律管理手段,不断完善内部法律管理制度和流程,对具体经营管理环节提供法律分析意见,实施法律风险调查,进行法律风险论证,制定风险控制措施,提高法律管理效率和水平,在各个生产经营环节嵌入法律管理,防范企业法律风险。

(三)通过风险分析评估、控制管理、监控更新构建法律风险的防范机制

建立法律风险的防范机制要注意增强法律风险控制的主动性、前瞻性、计划性和时效性,通过风险分析评估、风险控制管理、风险监控更新三个主要阶段进行法律风险防范。三个阶段既相互独立,又相互衔接、协调统一,共同构成科学的动态闭环运行体系,通过落实制度、流程、组织、职能和资源配置为风险防范机制提供基础保障。

1 风险分析评估。这是法律风险控制的第一阶段,风险分析评估的结果将直接决定法律风险的控制对象是否适当,控制手段是否适应。分析评估的范围主要包括:企业所在行业整体法律风险评价、企业外部法律环境的研究、企业内部治理结构和管理流程的调查,以及企业具体经营管理过程中存在的具体法律风险分析。其中重点内容是具体法律风险分析,包括对企业现有法律风险进行识别、归类、评分和分级排序。首先,要对企业进行全面深入的法律风险调查、研究以往案例,发现和识别企业面临的各方面法律风险,确定法律风险源,梳理详细的风险清单。其次,结合企业自身实际,从经营活动主要涉及的法律主体和业务运营的不同方面出发,根据法律管理工作的不同方面,企业经营管理的特征和企业整体战略目标确定对风险的分类方法,对所发现的法律风险进行归类。再次,对各类法律风险进行评分排序,划分风险等级,提出下一阶段进行风险控制管理的整体建议。

2 风险控制管理。在第一阶段风险分析评估的基础上制定企业法律风险管理战略,它是企业处理法律风险的总体指导政策,包括风险控制原则和企业可承受度。按照风险管理战略的原则,对第一阶段进行风险分级调整。针对不同级别的法律风险,重点从风险预警和防范人手,制定出具体的风险控制措施,明确风险管理目标和时间表。进一步确定各类风险的预警机制,风险的化解措施和风险的补救方案,采用不同的手段和方法降低、转移和消灭风险,实现风险的事前防范、事中化解和事后补救。对于企业面临的最紧急、关键的、重大的风险,从制度、职责、人员和措施等方面明确处理程序,妥善处理法律风险,减少企业损失。

3 风险监控更新。进行风险监控更新是法律风险控制的必要阶段,有助于保证机制的合理性和有效性。因此,对于风险分析和风险控制两个阶段的设计和效果,企业应定期对前两阶段的实施过程和结果进行监督、评价,并对其进行更新。要对风险防范机制架构的设计、风险防范机制所运用的方法,以及机制运行的效果进行整 体评估,查找其中存在的问题和原因,研究改进方案,对下一个周期的风险分析评估和风险控制管理进行改进和调整。

(四)建立和优化法律风险控制的制度和流程,为风险防范提供有利的内部法律环境

企业的法律风险在很大程度上是来源于企业内部管理制度和内部控制措施的不完善。实现法律风险控制效果,将风险防范手段落实到企业具体法律管理工作中要重点把握四个方面:

1 强化事前预警意识和防范措施,从研究和发现法律风险的成因人手,尽早识别和消除风险根源,提前对风险进行预防,杜绝简单的事后补救,建立并完善法律风险评估和预警机制。

2 强调法律风险管理在经营决策和经营管理活动中把关作用,通过对法律风险控制点的把握,将各项法律风险防范措施纳入日常经营管理制度和流程,实现法律管理手段对风险的有效控制。

3 拓展法律风险管理思路,开拓法律工作模式,创新理念,使法律工作从传统的事务性工作转变为管理性与操作性并重的工作,总结提升管理经验,规范管理流程,明确管理模式,提高法律风险管理的执行效率。

4 强调精细法律管理手段,提升法律风险管理水平,形成企业内部上下协调统一,灵活高效的企业法律风险控制管理体系,发挥法律管理对风险控制机制的监督保障作用。即:搭建包括重大决策法律论证制度、合同管理制度,招标投标管理制度,知识产权管理制度,案件纠纷管理制度,授权委托制度在内的各项适应企业实际的法律管理制度,实施包括制定合同范本,加强普法教育,编制风险管理岗位手册,对重要岗位进行法律风险管理上岗培训、岗位考核,宣传包括公司风险管理及控制的政策在内的各方面法律风险控制举措,使企业风险控制管理在制度上得到充分保障,把企业的一切生产经营活动都纳入法律化轨道,以增强法律风险控制能力。

(五)以建立依法决策机制为重点,对企业决策和经营管理全过程进行控制 企业应该对重大经营决策提前进行合法性和法律可行性研究,建立重大决策法律论证制度,使法律顾问参与企业重大投资决策和经营决策的全过程,保证企业重大举措的风险控制。企业法律风险来源于经常性的经营管理活动,因此不仅要对重点项目进行风险防范,还要从整体上控制法律风险,从关键环节人手,点面结合,全程监控,将所有的经营管理行为都纳入法律风险控制体系管理,使企业对外合同交易、市场拓展、劳动管理、财务管理等经营管理活动都纳入法制化、规范化的轨道。通过积极参与企业经营决策管理活动,进行全程跟踪、全面管理、重点监控,使法律风险控制在更广范围内、更高层次上发挥应有的作用。

(六)加强对员工的风险管理培训,全面提高企业各级人员的法律风险防范意识

从国外公司的案例和教训中可以看出,在致命的风险事件中,人的因素总是扮演着十分重要的角色。虽然企业可以制定出各种规章制度和运作程序来防范、控制和规避法律风险,但如果没有每一个风险控制岗位的切实操作和落实就无法实现风险控制的目的。因此,在大力倡导建立风险防范制度,完善风险监控机制的同时,要对企业各级员工进行广泛的法律风险管理培训,加强对高层管理人员和重要岗位业务人员的上岗培训和考核管理。

(七)搭建统一的法律风险信息化管理平台,保持顺畅的信息交流和沟通渠道

企业的法律管理要从传统的事务性工作脱离出来,实现跨越式发展,需要借助先进的现代科技方法和信息化管理手段。企业可以依托电子化系统,对现有资源进行梳理和整合,搭建统一的法律风险信息和知识管理平台,实现有效的知识管理,使公司管理层与员工之间、企业法律顾问之间、法律顾问与各业务部门构筑一道通畅的信息沟通渠道和信息交流平台。企业一方面可能通过广泛、便利、快捷的信息传递与更新,实现法律风险的信息化管理;另一方面还可以利用信息化处理方法进行对风险的调查和分析,落实风险控制制度和流程,从而提高整体风险控制效率和效果。

篇10

关键词:商业银行;合规风险管理;资本回报率

文章编号:1003-4625(2006)11-0048-04中图分类号:F832.33文献标识码:A

Abstract:Along with the rapid development of financial globalization & marketization and the unceasingly intensification of inter-bank competition, especially with the profound changes of internal management structure and management mechanism resulting from banks’ joint-stock system reform, the whole financial operation environment has become increasingly complex. Commercial banks are not only facing the traditional credit risk, but also undertaking more changeable operation risk and market risk. The difficulty of commercial banks’ risk management has been aggravated. Implementation of compliance risk management has become a key link in the management level. This thesis has pointed out the weak links in commercial banks’ risk management as well as the main characteristics that compliance risk management system should have, and put forward relevant proposals on how to establish a compliance risk management system.

Key words: commercial bank; compliance risk management; ROC

一、目前商业银行风险管理工作中存在的薄弱环节

(一)控制风险的长效机制还没有完全形成

目前,各家商业银行的风险管理实际上是以风险控制为主要目标,对整个风险管理工作缺乏统筹规划和战略考虑,不能很好地服务于全行业务发展实际和效益最大化的经营目标。在风险控制中,主要以单点控制、间断控制为主,往往拘泥于对单个风险不系统、滞后、被动和片面的控制,不能实现内部控制的连续性和系统化,不能在业务流程中嵌入风险管理环节,实现风险的源头和过程控制。在业务发展上,缺乏自我约束和平衡机制,不能正确处理发展业务与风险管理的关系,不能充分考虑风险管理的要求,做到风险控制优先,甚至还简单地将风险管理与业务发展平行化或对立化,导致出现风险管理偏好和业务发展偏好之间的过度波动,不能形成有机协调的合力。在制度建设上,现有风险管理制度不健全和存在的缺陷,本身就使银行经营面临极大风险,加上在执行、检查、评价等诸环节的不到位,更使得监督制约显苍白无力,风险监管的有效性大打折扣。

(二)合规风险管理体系和组织架构尚未真正建立起来

近年来,各家商业银行借鉴国际先进商业银行的成功经验,陆续实施了包括授权授信、审贷分离、岗位制约、内部审计等在内的一系列风险管理措施,在风险管理工作中取得了一定成绩,但这些探索仍是局部的、零散的,尚未建立涵盖风险甄别、风险报险、风险决策、风险避险、全程监控等在内的一整套全面的风险管理体系,还不能实现对所有机构、所有人员、所有业务、所有过程、所有种类风险的管理。特别作为风险管理重要传导载体的组织系统薄弱,集中统一的风险管理组织架构的基础还很不稳固,以风险管理为主线的管理组织体系尚不健全,风险管理宏观政策的推行及业务操作还缺乏上下左右相连、纵横贯通的组织网络和结构载体。风险管理部门与相关业务部门职责关系界定不清,且以信贷资产风险监管为主要职能,其他分散的风险管理职能或交叉重叠或权责不清,存在管理盲区。同时,从事风险管理的专业人才资源稀缺,队伍建设相对滞后与风险管理要求不断提高的矛盾突出。这种风险管理体系的不健全,不仅抑制了以此为依托的风险管理工作的开展,更阻碍了商业银行合规风险管理战略思想的实施。

(三)风险管理技术工具难以适应新形势的要求

在金融市场开放步伐和金融工具创新步伐不断加快的背景下,新的风险不断涌现,表现形式也越来越隐蔽。由于宏观经济变化引发的系统性风险、周期性风险逐步加大,价格风险、市场风险开始显现,表外业务风险和金融衍生产品风险时有发生,这些新的风险对风险管理技术提出了更高的要求。但目前商业银行风险管理技术和工具还比较落后,国外很多先进的风险管理工具如风险评级、风险预控、资产组合分析和各类风险缓释技术至今尚未在风险管理工作中得到广泛应用。特别是风险分析和风险评级的技术过于简单,缺乏有效的风险适时监测和控制手段,不能对有限的信息资源进行技术处理,难以对风险管理形成有效的支撑。通常是事后被动处理多,事前主动防范少;定性分析多,深度数理分析少;静态分析多,动态分析少;立足局部分析多,站在全局角度分析少。如何运用先进的风险管理技术工具来科学规避风险,实现风险防范和业务发展的平衡,既是一个全新的要求,也是一个严峻的考验。

二、合规风险管理体系应具备的主要特点

(一)风险管理目标上,以为商业银行创造利润为最终目标取代单纯的风险控制目标

作为现代商业银行,其风险管理目标不仅是管住风险,而且必须与企业经营的总体目标保持一致,与股东权益长期提高的价值取向保持一致,即风险管理要服务于企业实现利润最大化的核心目标,风险管理能够提高承担风险所带来的收益。因此,风险管理部门不能就风险论风险,在风险管理过程中要充分考虑成本、收益和业务发展,追求过滤掉风险的收益,不仅要通过控制不良资产来减少损失,还要通过建立合规风险管理体系,确保在有效控制风险的前提下,保持银行的客户、产品等各渠道源源不断地创造出更多的效益,为企业持续创造丰厚的回报,保证银行效益最大化的最终目标的实现。

(二)风险管理内容上,以全面风险管理取代单一的风险管理

国内外风险管理的实践表明,尽管商业银行的所有业务都包含一定程度的风险,但商业银行内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,我们不能仅仅从某项业务、某个部门的角度考虑风险,必须坚持以效益最大化为中心,按照业务增长与风险控制相适应、风险成本与风险收入相匹配的基本原则,建立涵盖信用风险、市场风险、操作风险等各类风险的、技术先进、制度健全、适度集中、执行有效的合规风险管理体系。在宏观管理层面有统一的风险管理战略、统一的风险管理政策、统一的风险管理制度和统一的风险管理文化。在微观操作层面对所有机构、所有业务、所有过程中蕴涵的各种风险加以识别,用统一的标准和先进的技术方法进行测量并加总各种风险,在通盘考虑各种风险的状况和影响的基础上,采取相应的风险管理与控制措施,确保其风险管理能够覆盖所有业务和所有环节中的一切风险,确保风险管理能够识别银行面临的一切风险。

(三)风险管理技术上,以模型深度度量取代简单的浅度度量

长期以来,一些商业银行习惯运用定性分析和简单的数据分析方法,通过完善贷款保证措施、贷款限额、信用额度、信用等级等传统的信贷管理手段,来加强对贷款发放环节的风险控制和降低信贷业务的风险损失。而国际银行业风险管理技术早已从“我们只做好贷款”、“贷款应该评级”演变到“对风险进行定价”,通过量化风险测算为单笔贷款的风险准入和风险成本判断提供支持。同时,作为股份制商业银行的出资人,股东也会对资本配置效率提出更高的要求,不仅要求单笔业务风险收益匹配,而且对在资产组合层面上风险收益能否平衡的要求也更加苛刻,银行必须采取对自留风险定价、资产证券化、对部分资产组合从事避险交易等动态的风险管理措施来减少系统性风险。因此,风险管理支持技术也要适应新的形势的要求,主动引入内部评级法等先进的定量技术工具,设计出针对单笔业务和资产组合两个层面,涵盖信用、市场、操作三类风险的计量模型,实现由浅度度量向深度度量的转变。

(四)风险管理机制上,以资本精细化管理取代资本粗放管理

多年来,尽管商业银行反复强调以效益为中心,但在实际工作中,普遍不能很好解决扩大业务规模与提高效益的关系,不能很好解决短期效益与长期效益的关系,最终导致以浪费资本这种最稀缺的资源为代价来换取业务的规模扩长。为有效防止分支机构因盲目追求短期收益而忽视对业务潜在风险的充分衡量,避免风险对资本的冲击,必须采取能将资本、风险和收益有机衔接的资本精细化管理工具。这种精细化的资本管理工具包括资本配置和绩效考核两部分。在资本配置上要以经济资本为核心约束风险资产总量的增加,指导业务资源的有效配置,促进资产结构调整和优化。在绩效考核上强调资本回报对经营管理的约束,设定恰当的绩效评价期限,并充分考虑风险因素及风险管理战略的执行效果,实现由考核账面利润向考核风险调整后资本回报率(RAROC)的转变,打牢经济资本占用与经济资本回报的内在关系,为不同产品、客户和部门的风险建立共同的衡量基础。

(五)风险管理组织上,以垂直管理取代层级管理

从目前国内银行业的现实情况看,如果金融机构同时身兼风险承担者和风险监控者的双重职责,往往乐于追求业务量和利润的增长,而忽视由此可能带来的更大的风险。因此,风险管理必须保持一定的独立性,风险承担者不能同时为风险监控者,风险承担与风险监控必须分离。而实现垂直管理后,便于上级行风险管理部门对下级行风险管理部门负责人和同级业务部门“风险管理窗口”负责人的直接管理和考核,有利于总行风险战略和政策的传导,有利于下级行风险管理人员和风险窗口管理人员在所辖区域和领域内全面监控执行总行风险管理政策,有利于总行风险管理部门综合归纳各区域、各领域的风险暴露,及时进行合规风险整合和对冲,从而实现对整个机构的积极风险配置。

三、建立合规风险管理体系的具体措施

(一)树立科学的风险管理理念,全力营造风险管理的文化氛围

风险管理是现代商业银行经营管理的灵魂,通过营造风险管理的文化氛围,及时准确把科学的风险理念传导给每一位员工,使之牢固树立风险意识,形成风险防范的惯性思维,是做好风险管理工作的重要保证。要树立过滤掉风险的收益和发展的风险理念,处理好风险管理与业务发展的关系,以风险管理作为业务发展的先决条件。在发展业务的同时也要考虑潜在的风险,确定合理的风险度,既不能在风险面前畏难回避,也不能盲目夸大风险事实。要在主动预测管理控制各类风险源、疏导化解风险为我所用的前提下最大限度追求企业效益最大化,理性支持各项业务的健康发展。要树立风险回报理念,根据风险回报的差异,对不同的客户、业务、产品发展战略进行量化的比较和选择,在经营工作中正确处理资本、收益和风险的关系,在风险和收益的平衡中实现资本的保值增值,确保风险和收益应匹配。

(二)制定明晰的风险管理战略,引导风险管理工作的有序开展

风险战略是风险管理的行为指南。作为公司治理结构完善的现代商业银行,董事会要根据经济环境、国际银行同业风险管理发展趋势、市场定位和主要股东的风险偏好,确定合理的投资回报目标,制定确保业务可持续健康发展的风险管理战略。整个风险管理战略应包括风险管理的目标、风险可承受区间、风险管理的原则。资本金的管理,即估算发展目标、预测经济资本与监管资本的缺口,规划资本的最佳结构并提出筹资方案,确定资本金在经济区域、业务主线及不同行业之间的配置,对银行风险管理的长期投入进行规划等。风险管理委员会以董事会的风险管理战略为依据,制定全行的风险管理政策。各级管理层具体负责风险战略和风险管理政策的贯彻落实。风险管理部门根据董事会、风险管理委员会、高层管理者确定的风险管理战略、规划、政策和操作指引,通过授权管理、授信制度、控制目标等手段,及时有效地传导给分支机构和各风险窗口,对信用风险、市场风险、操作风险等实施全面有效管理。

(三)搭建垂直独立的风险管理组织架构,制定完善的风险管理流程和规章制度

为实现风险管理与业务发展的有效制衡,目前商业银行风险管理组织架构应从现行的平面式层级化管理向矩阵式垂直化管理过渡,确保风险管理的独立性和权威性。一要坚持分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,由董事会对风险管理负最终责任,董事会授权首席风险官和风险管理委员会在保持独立性的前提下代为行使风险管理职权,实行在首席风险官统一领导下的“下管一级”和“分类管理”的积极的风险管理模式。各级风险管理部门要相对独立于业务部门,承担起平行制约和行为监督的责任,抑制过度追求商业机会、利差贡献或业务量而违背风险管理原则的行为。二要坚持集中与分散相结合的原则。即对风险管理的决策和宏观管理层面实行集中,统一全行的风险管理政策、制度、程序,而对风险管理的微观操作层面实行分散化管理。三要坚持“扁平化与窗口化统一”的原则,实现风险管理关口的前移。实行扁平化,就是要在风险管理过程中,尽可能地减少风险战略和政策的传导过程,减少决策程序中的不必要环节,保证信息传输的及时准确。实行窗口化,就是要将风险的日常监控单元直接设置到业务经营部门内,使风险管理涵盖各业务领域,更加贴近市场,实现对风险的全面、及时监控。

进一步优化风险管理流程,实现风险管理与业务管理的平行作业。要从管理的角度将风险进行分类,并确定相应的风险管理授权,逐步做到按产品、地区、业务、主线来识别风险,分支机构要在授权范围内,对信用、市场、操作等风险进行控制,在此基础上,实现风险的分类管理,即所有风险都由专门的风险管理部门和专业的风险管理人才进行分类管理和实时监测,提高风险管理的效率。同时,要建立科学的风险决策流程,决策的各个环节既要讲程序和制约,更要讲科学和专业;既要讲控制,也要讲效率;既要讲民主,也要有问责,确保风险决策的程序性、科学性和专业性,确保对业务发展及市场竞争的快速反应和对风险的及时预警。

及时进行风险管理制度、方法、措施的梳理归纳,尽快填补风险管理制度建设的空白。一要建立内部控制评价制度。将所有风险单元的风险管理过程纳入监控和考核体系,并与绩效管理、薪酬分配和干部晋升挂钩,促进风险管理工作的完善和开展。二要健全和完善法人授权管理制度。结合各级行风险内控建设管理的完善程度、经营管理范围、水平,制定相应的法人授权等级评价办法,实行区别授权,同时,建立授权执行效果的后评价制度,充分发挥授权管理在风险管理中的重要作用。三要建立风险限额管理制度。对商业银行面临的各类风险进行量化、汇总、分解、控制,将风险控制在可以承受的限度内。四要建立制度评估反馈机制。各制度制定部门要定期自我评估,从而使规章制度的建立、修改和废止工作始终处于良性循环的状态。五要严格制度的执行,对违反制度规定的,要严厉追究责任。

(四)推进内部评级工程建设,打造合规风险管理的核心工具

由于风险管理不同于单一的风险控制,它是一项涵盖全要素、全方位和全过程的系统管理工程,因此,必须引入与之相适应的全新的技术工具。而目前已经公布,并将于2007年正式实施的《巴塞尔新资本协议》所积极倡导的内部评级法,无疑为各商业银行的风险管理提供了先进的技术工具。所谓内部评级法(IRB),实质上是一套以银行内部风险评级为基础的资本充足率计算及资本监管的方法。它由银行专门的风险评估部门和人员,运用一定的评级方法,对借款人或交易对手按时、足额履行相关合同的能力和意愿进行综合评价,并用简单的评级符号表示信用风险的相对大小。内部评级主要包括客户评级和债项评级两个方面,它能够提供客户违约概率(PD)、违约损失率(LGD)、预期损失率(EL)、非预期损失率(UL)、违约敞口(EAD)等关键指标,不仅在授信审批、贷款定价、限额管理、风险预警等基础信贷管理中发挥决策支持作用,而且也是制定信贷政策、计提准备金、分配经济资本的重要基础。

内部评级法从国家风险、地区风险、行业风险、产品风险、客户风险以及债项风险等多种角度进行风险评级,在敏感性、准确性和系统性等方面对风险计量提出了更高要求,能够增强商业银行对各种风险的鉴别分析能力。尽管中国银监会对新资本协议的实施制定了“两步走”和“双轨制”的策略,但内部评级法作为新资本协议着力推荐的风险管理工具,正在成为全球银行业开展风险管理的主流技术模式。实施内部评级法不仅有利于提高各商业银行的风险管理水平、增强核心竞争能力,也有助于树立商业银行在投资者和社会上的良好形象。

实际上,一些商业银行已经对内部评级工程建设给予了高度重视,并在信用风险评级预警系统等前期工作方面取得了初步进展。今后一段时期,要加快内部评级体系的实质性的开发建设,促使阶段性成果及时转化为生产力,使内部评级法尽快成为信贷政策、授权管理、风险限额管理、产品定价、经济资本分配、准备金计提、绩效考核、资本充足率测算等方面的核心工具,使商业银行能够充分利用先进的风险管理技术进行正规化、系统化的风险管理。

(五)发挥经济资本的约束作用,建立以资本回报率为基础的风险自我调控机制

由于缺乏经济资本的约束,在各商业银行发展过程中,曾经出现过存贷款业务的大起大落和贷款从惜贷到激增的快速扩张,经济资本在各商业银行经营活动中的基础地位的逐步确立,使得在风险管理工作中,能够借助于经济资本的本质属性建立风险自我调控和约束机制。我们知道,银行的风险来自于不同的部门、机构和业务,风险造成的非预期损失只能通过银行的资本来消化。将经济资本配置到各部门、机构或各项业务,不仅可以清楚显示各部门、机构和各项业务的风险水平,实现资本与风险的匹配,而且可以使经济资本成为银行确定其风险控制边界的基础:当经济资本在数量上接近或超过各考核单位的实际资本(即监管资本)时,说明其风险水平已经接近或超过其实际承受能力,促使考核单位要么通过一些途径增加实际资本,要么调整资产结构、减少高风险资产,控制或回缩其风险承担行为,这样,就起到了对风险的约束作用。

在此基础上,通过引入资本回报率指标,可以构建高效、自动运转的风险管理机制。各商业银行在衡量各经营单位对股东价值的贡献时,应采用风险调整后的资本回报率指标。其计算公式为:风险调整后的资本回报率(RAROC)=(利润-预期损失)/经济资本=(收入-支出-预期损失)/经济资本。由此计算的资本回报率指标,既考察了银行的盈利能力,又充分考虑了该盈利能力背后承担的风险。RAROC指标把银行的风险与收益紧密联系在一起,使银行风险管理和业务发展的成果体现为一个简单的数值。银行各部门、机构和各项业务都可以计算自己的RAROC指标,并且相互间可以直接对RAROC指标的高低进行比较。根据RAROC指标的这一性质,各级管理者可以通过RAROC这一核心考核指标进行风险监控和管理。这样,可以把风险管理融合在各项业务工作中,使各种风险的管理联系起来,彻底改变了过去那种对各类风险的单独分析、孤立管理,在银行总体范围内形成一个集中统一的风险管理机制。

(六)建设高素质的员工队伍,奠定实施合规风险管理的人力资源基础

在银行风险管理中,人是风险管理实践活动的主体,需要充分发挥积极性、创造性、主动性;同时,人又是风险管理实践的首要对象,人的风险是最大的风险,要实现两者的有机统一,必须建立一支高素质的风险管理队伍。目前,各商业银行风险管理队伍无论数量还是质量都不能满足实施合规风险管理的需要。因此,必须按照现代人力资源管理理论的要求,加快各级各类风险管理人才的培育和引进,以有竞争力的薪酬制度和专业技术职务晋升制度吸引高素质的专业人才从事风险管理工作。特别为防范和化解商业银行由于混业经营趋势明显增强带来的新的金融风险,要有计划招聘或培养具有银行、证券、保险、信托等多种从业经验的人才,建立高素质、复合型的风险管理队伍,以加强对金融交叉产品和衍生产品的风险识别、度量和控制,建立起一支适用于合规风险管理的专业化人才团队。同时,随着风险分析方法和管理技术升级以及银行业务的发展,还要对包括风险管理人员在内的所有员工进行持续有效的差别化培训,使整个经营管理队伍在风险管理知识和能力上时刻保持先进性和实用性。

参考文献:

[1]马蔚华主编.资本约束与经营转型[M].北京:中信出版社,2005.

[2]陈小宪.加速建立现代商业银行的资产负债管理体系[J].金融研究,2003,(5).