前言:我们精心挑选了数篇优质风险管理原则文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
关键词:风险,整体风险管理框架,职责
中图分类号:C93文献标识码: A
风险管理(Risk Management,RM)最早是由美国学者威廉斯和汉斯提出的。他们在其著作《Risk Management and Insurance(1964)》中指出,风险管理是通过对风险识别、衡量和控制而以最小的成本是风险所致损失达到最低程度的管理方法。
传统的企业风险管理,管理对象局限于单个风险或各组织相关风险,在管理标准、政策、模式和手段等缺乏全企业范围内的一致性,在各项业务活动中是隔绝的。参与的部门也局限于财务部门、安全管理部门、纪律监察部门等有限部门,而且往往不是经营行为的第一行为人。在现代市场经济环境日益复杂,企业面临风险越来越多的情况下,传统企业风险管理模式下出现重大以外风险事项的可能性在不断增大。
如今,越来越多的企业主动开展整体风险管理,进行风险管理体系建设,在企业运作过程中,通过对风险确认和评估,采用合理的经济和技术手段对风险加以控制,或已将其提升公司治理及制定公司战略相结合,我们认为这些都是优秀的风险智能型企业的显著体现。但是整体风险管理的流程和措施写进规章制度里,并对员工加强企业风险管理的宣传和要求,但是这些是否能切实让风险管理的状态和正确的思考方式深入日常管理?本文从风险管理九个方面,阐述如何确保整体风险管理充分发挥其风险保障作用。
统一的风险定义
一个整体风险管理良好的企业,应该是在公司治理层面就设定了企业整体的风险治理基调,董事会应当支持和强调这一基调,并倡导风险文化,自上而下形成对风险统一的定义。企业认识到风险并非只有负面的影响,若能抓住机遇,创造实现战略目标的程序,抵消不利影响,创造有利机会,也可能会产生积极的影响。
企业内部通过定期执行风险评价的核心流程,逐步建立起明确的风险库。各个部门和员工在确定岗位职责中已考虑或能基本包含了风险管理因素,所有的部门及岗位设置均与风险管理理念匹配,且每个员工理解并参照执行。
建立风险管理框架
运用统一而且在业界领先的风险管理框架(如《企业风险管理-整合框架》、国资委《全面风险管理指引》,ISO31000风险管理原则和指引等)有助于企业沿着较为成熟的方式开展风险管理工作,因此应用统一的风险管理框架也是现代企业整体风险管理的特征,运用适当标准支持的统一的风险管理框架应贯穿于整个组织,以管理风险。
三、风险管理主要角色和职责
在治理层面科学地分配风险管理职责是企业风险管理工作能口顺利开展的基础之一。适当的风险管理组织,包括:风险管理委员会,由联合部门组成的风险管理领导小组及执行小组,或指定由审计部、风控部等负责风险管理的归口工作,并明确定义了风险管理的角色、职责和权限,以维护完善的治理结构,促进公司战略的有效实施。
四、治理层的风险管理职责
治理层(董事会及下属各专业委员会)应对公司风险管理实务保持适当的透明度和清晰度,以履行其风险管理职责。
同时,清晰治理层的议事规则及决策程序,也是避免发生越权及舞弊的重要手段。企业的重大决策由集体论证后决策,重大决策通过集体论证有利于全面地、辩证地、细致地分析问题,可避免出现独断或越权审批的情况。
董事会应该负责评估公司风险容忍度以及现行的风险管理的恰当性,而未成立董事会的大型国有企业,则由党政联席会议作为最高决策机构履行该职责。
五、管理层的风险管理职责
管理层需要对风险管理计划的设计、实施以及维护其有效性承担主要责任。管理层及风险管理的执行小组负责编制风险评估报告,并针对风险管理评估报告中所反应的问题,进行改进。公司应采取风险管理会议或编制风险管理报告的形式,确定工作改进计划及行动方案。
六、风险归口管理部门的职责
风险管理的归口部门应在管理层的领导下,定期执行风险评估核心流程,从风险影响程度、发生的可能性等不同评估维度开展风险评级,对重要、重大风险制定应对策略并执行。同时风控部门或审计部门等风险管理归口部门应针对公司的内部控制与风险管理进行自我评估,并形成专项评估报告。
为形成管理闭环,公司应采取一定的措施实现对风险管理的实施情况进行考核及监督。
七、业务部门的风险管理职责
业务部门应负责其经营业绩,以及在公司建立的风险管理框架中实施风险管理,是发现风险、评估风险以及应对风险的过程中的重要组成部分。
公司风险管理框架的建立离不开业务部门的支持及自上而下良好的沟通机制。各业务部门应该积极开展与国内外同行、先进企业的沟通学习等,通过了解行业标杆提升自身能力。
公司各业务部门应根据公司的经营目标、工作流程以及相关法律制度的变化情况,结合风险管理的内容,修订内部政策及程序,定期更新并修订相关制度。
八、职能支撑部门的风险管理职责
职能支撑部门(如财务部门/人力部门/法律部门/信息管理部门等)对主营业务提供支撑,能够在组织实施风险管理的过程中向业务部门提供支持,形成一个全员风险管理的能力和氛围。职能支撑部门对本部门日常运营中的风险承担责任,同时对与其职能相关联的业务风险也有监控责任,能对各业务部门制定的风险应对的政策、程序和控制,从横向层面提出参与意见,或与业务部门共同制定风险应对的各项政策和程序。
九、风险保障部门的管理职责
论文关键词:高校现状,风险,风险管理原则,风险控制
引言
ISO31000:2009《风险管理原则与指南》,是国际标准化组织正式的用于风险管理的国际标准。该标准是在经济全球化的新环境下,“特定事件”和“特定法规”的基础上产生的,体现了世界范围内风险管理的最新理论和最佳实践。在全球金融危机尚未结束的今天,该标准的具有重要意义。该标准涵盖了风险管理范围、风险管理有关术语和定义、风险管理原则、风险管理框架和风险管理过程等五个重要组成部分,为组织提供了一个科学的风险控制模型。
风险是客观存在的,任何组织都面临着各种各样的风险,组织所有活动都涉及风险。因此,应对其实施有效管理。风险管理就是指“指导和控制某一组织与风险相关问题的协调活动”。这些管理活动包括风险评估、风险处理、风险承受和风险沟通。做好这些活动的前提是认真学习风险控制原则、深刻领会风险管理原则、严格遵循风险控则原则。
1风险管理创造并保护价值
风险管理首要原则就是“风险控制应该创造价值、保护价值”。执行以减少损失、创造价值为目标的风险管理原则,有助于组织实现目标,取得具体的成绩、改善各方面的业绩,包括人员健康和安全、合规经营、信誉程度、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面。例如学校的风险管理,首先应该合规办学,也就是办学要考虑法律法规要求、考虑社会需求,这样才能永续发展,如果不考虑社会需求,盲目招生和培养,毕业生找不到工作,这就是风险;风险管理创造并保护价值的另一个方面就是信誉度和社会认可,对学校来说信誉度非常重要,学校应该十分注重树立自己的信誉度,得到社会的认可,只有这样,所生产的产品(即学生)才能得到社会欢迎。如果培养的学生不注意保值,信誉度和社会的认可程度就会下降,学生招生和就业都存在风险。总之,风险管理首先要考虑创造并保护价值。
2风险管理嵌入组织的管理过程
“风险管理嵌入组织的管理过程”是风险管理的第二个重要原则。一个组织包括安全、环保、产品实现、财务等诸多方面,管理是即一个综合的管理,然而这些方面无一不存在风险,因此风险管理不是孤立地,而是组织管理过程不可缺少的重要组成部分。包括战略规划、所有项目、变更管理等过程。例如学校的发展规划,在规划院系、专业的同时,必须考虑师资力量、就业状况、教室容量、其他资源等是否有风险,这种风险管理必须嵌入到规划中,控制这些风险,规划才能实现;风险管理必须嵌入到所有项目,例如:建一个实验室,药品使用风险管理、火灾风险的管理、实验室使用价值等都应嵌入到实验室建设项目中;变更风险管理,例如:变更《有机化学课程》的任课老师,对变更的新老师能力进行评估、讲课安排旁听、考试成绩等都要进行控制。只有这样,才能使新项目、运行项目、更改项目的风险都得到控制。
3风险管理支持决策过程
这是风险管理的第三个重要原则。组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有助于判断风险、有助于决策行动的优先顺序、选择可行的行动方案,从而帮助决策者作出合理的决策。风险管理要支持决策首先要识别风险、分析风险、评价风险,以及认识风险状况,制定管理风险方案。例如:三鹿奶粉,如果充分识别供货商产品质量这一风险,提供决策依据,选择合格供方从而控制风险,就不会出现在奶粉中加入过量三聚氰胺,导致中毒这样的严重事故。
4明确风险管理涉及的不确定性
“明确风险管理涉及的不确定性”则是风险管理的第四个原则,由于风险具有不确定性,显然风险管理也就具有不确定性。因此,风险管理必须考虑到这些不确定性和不确定的性质,这是风险管理的一项重要原则。例如:学生在实验室做实验,不确定的风险有:首先结果不正确性,其性质有可能试剂不合格、操作不认真、环境不合格等;其次是学生中毒风险,其性质可能是危险化学品撒漏、试验中产生的废气、操作不当等,对这些不确定的风险和风险性质都应该明确,以引起学生的重视,才能有效的控制这些风险。
5风险管理是系统的,结构化的和及时的
Abstract: Point out that risk management principle is a core component of the model of risk control. Introduces the principles of risk control throughout the management of risk control, and describes the application of risk management principles in the university.
关键词: 高校现状;风险;风险管理原则;风险控制
Key words: university status; risk; risk management principles; risk control
中图分类号:G64 文献标识码:A文章编号:1006-4311(2011)08-0306-01
0引言
ISO 31000:2009《风险管理原则与指南》,是国际标准化组织正式的用于风险管理的国际标准。该标准是在经济全球化的新环境下,“特定事件”和“特定法规”的基础上产生的,体现了世界范围内风险管理的最新理论和最佳实践。在全球金融危机尚未结束的今天,该标准的具有重要意义。该标准涵盖了风险管理范围、风险管理有关术语和定义、风险管理原则、风险管理框架和风险管理过程等五个重要组成部分,为组织提供了一个科学的风险控制模型。
风险是客观存在的,任何组织都面临着各种各样的风险,组织所有活动都涉及风险。因此,应对其实施有效管理。风险管理就是指“指导和控制某一组织与风险相关问题的协调活动”。这些管理活动包括风险评估、风险处理、风险承受和风险沟通。做好这些活动的前提是认真学习风险控制原则、深刻领会风险管理原则、严格遵循风险控则原则。
1风险管理创造并保护价值
风险管理首要原则就是“风险控制应该创造价值、保护价值”。执行以减少损失、创造并保护价值为目标的风险管理原则,有助于组织实现目标,取得具体的成绩、改善各方面的业绩,包括人员健康和安全、合规经营、信誉程度、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面。例如学校的风险管理,首先应该合规办学,也就是学校办学要考虑法律法规要求、考虑社会需求,这样才能持续发展,如果不考虑社会需求,盲目招生和培养,毕业生找不到满意的工作,存在数量较大的待业毕业生,这就是风险;风险管理创造并保护价值的另一个方面就是信誉度和社会认可,对学校来说信誉度非常重要,学校应该十分注重树立自己的信誉度,得到社会的广泛认可,只有这样,所生产的产品(即培养的学生)才能得到社会欢迎,对学生本身而言可以更好的实现其社会价值和个人价值。如果培养的学生不注意保值,信誉度和社会的认可程度就会下降,学生招生和就业都存在风险。总之,风险管理首先要考虑创造并保护价值。
2风险管理嵌入组织的管理过程
“风险管理嵌入组织的管理过程”是风险管理的第二个重要原则。一个组织包括安全、环保、产品实现、财务等诸多方面,管理是即一个综合的管理,然而这些方面无一不存在风险,因此风险管理不是孤立的,而是组织管理过程不可缺少的重要组成部分。风险管理包括战略规划、所有项目、变更管理等过程。例如学校的发展规划,在规划院系、专业的同时,必须考虑师资量力、就业状况、社会需求、教室容量、其他相关资源等是否有风险,这种风险管理必须嵌入到规划中,控制这些风险,规划才能实现;风险管理必须嵌入到所有项目,例如:建一个实验室,药品使用风险管理、火灾风险的管理、实验室使用价值等都应嵌入到实验室建设项目中;变更风险管理,例如:变更《有机化学课程》的任课老师,对变更的新老师能力进行评估、讲课安排旁听、考试成绩等都要进行控制。只有这样,才能使新项目、运行项目、更改项目的风险都得到控制。
3风险管理支持决策过程
这是风险管理的第三个重要原则。组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有助于判断风险、有助于决策行动的优先顺序、选择可行的行动方案,从而帮助决策者作出合理的决策。风险管理要支持决策首先要识别风险、分析风险、评价风险,以及认识风险状况,制定管理风险方案。例如:在高校相关专业的设置上,如果充分认识到专业与社会需求的不一致这一风险,提供决策依据,选择合理的专业和适中的招生规模,就不会出现部分专业就业存在巨大压力,毕业生找不到工作的情况。所以,高校的风险管理会支持决策过程,使高校健康持续的发展。
4明确风险管理涉及的不确定性
“明确风险管理涉及的不确定性”则是风险管理的第四个原则,由于风险具有不确定性,显然风险管理也就具有不确定性。因此,风险管理必须考虑到这些不确定性和不确定的性质,这是风险管理的一项重要原则。例如:学生在实验室做实验,不确定的风险有:首先结果不正确性,其性质有可能试剂不合格、操作不认真、环境不合格等;其次是学生中毒风险,其性质可能是危险化学品撒漏、试验中产生的废气、操作不当等,对这些不确定的风险和风险性质都应该明确,以引起学生的重视,才能有效的控制这些风险。
5风险管理是系统的,结构化的和及时的
系统化是指全面的、综合的和连续的,而结构化则是指相互支撑。系统化和结构化是一种过程管理的方法,风险管理也是一个过程,因此,同样符合过程管理系统化和结构化的管理原则。组织的风险管理是有许多风险管理过程组成的,在风险管理过程中,要将多个风险管理过程按照一个统一的风险管理系统来管理,这样能够取得最优的效率和结果。例如,学校实验室有药品管理、电器使用、仪器使用、试验过程等风险,这些风险必须是各相关部门做好本职工作,控制好风险,同时又必须相互支持和配合才能有效的控制实验室的风险。因此,风险管理是系统的,结构化的和及时的。
【关键词】建筑业;供应链风险;风险管理
建筑企业的特殊性,它是在给别人做产品。任何建筑企业都需要把建筑物这个产品打造好,这个产品投入运行之后有很长的使用年限,因此,在管理和维护上有一个固定的联盟,对企业的产品有一个很好的保障,对建筑企业的信誉也有非常好的促进作用。建筑工程项目对于风险的管理最主要就是提高工程的性价比,提高质量,降低风险发生的概率。
1 建筑业供应链风险概述
由于供应链系统是一个复杂的系统。再加上供应链上节点企业带来损失的种种不定因素,在生产和流通过程中影响供应链非正常运行,甚至导致供应链解体,在工程过程中影响建筑供应链正常运行,给节点上各企业带来损失,致使工程项目的工期、质量、安全等不能完成预期目标。建筑工程供应链风险管理是供应链中的核心企业与供应链中各方协商合作,应用风险管理工具解决由于建设过程中的物流,信息流,资金流动或者有关活动所引起的影响供应链中的风险和不确定性因素,也就是对建设工程供应链运行过程中可能出现的各种风险进行识别,评估从而采取及时有效的方法进行控制,力求以经济、合理、可行的方法进行处理,以便保障工程建设活动保质保量的完成,同时各方经济利益不会有所损失的一种管理过程。
2 建筑业供应链风险管理原则
2.1 建筑业供应链管理风险来源
供应链风险的来源是各种不确定性因素的存在,由于供应链上的企业之间是相互依赖的,任何一个企业出现问题都有可能波及和影响其他企业,影响整个供应链的正常运作,甚至导致供应链的破裂和失败。建筑业供应链管理外部风险主要与所处外部环境有关,包括自然灾难造成的风险,市场经济变化带来的风险,新的政治、政策出台带来的风险等,总之任何阶段发生的与外部环境有关的事故都可归结为外部风险。工程自身原因造成的损失可归结为内部风险。
2.2 建筑业供应链风险管理原则
风险识别指在不确定事件发生前能够对即将发生的风险进行识别并提前预防的一种方法。在建筑项目中风险识别作为风险评价体系的基本组成部分,其主要工作是对可能发生的风险识别,判断并运用现有手段进行归类,在这个过程中还要找出引起风险的原因,并提前预估如果发生此类风险会有何种结果,针对结论及时行动,在事情发生前解决问题。风险识别的目的可以归结为以下两点:一是为了较容易的评估和得出风险的等级,二是可以有针对性的解决问题,做到有的放矢使事情事倍功半。能否正确识别影响力大的风险,关系到风险管理的成败,没有识别出具有重要影响力的风险,仅对影响整个项目占次要地位的风险进行研究,这种避重就轻的做法很容易造成项目的失败,而承包商就会面临无任何预兆的风险,这样就会造成承包商的损失。
建筑企业大多凭借经验和一般常识辨别和分析工程项目实施中所遇到的常见风险,但对于建筑供应链各节点成员而言,不只看到自己存在的风险,还要能借助外部力量对供应链中存在的新的、潜在的风险进行识别和分析。建筑项目风险识别的方法很多,主要有专家调查法,环境分析法,现场考察法,幕景分析法等几种组合方法。
3 建筑业供应链风险管理的策略
由于建筑产品的一次性,单件性,施工现场固定等特性,建筑供应链具有生产集中,不稳定和不确定等特征,基于这些特征,建筑业应加强供应链风险管理,做出相应的策略。
3.1 择优选择合作伙伴
选择好的供应链合作伙伴可以使建筑业供应链在系统内形成一股强大的凝聚力,增强成员企业之间的团结协作,减少不必要的矛盾冲突,从而减少内耗,并且形成一种相互信任、相互尊重、共同创造、共同发展、共享成果的双赢关系;使得供应链的成员与整体有相同的利益要求和共同的价值标准,从而维持供应链的稳定的合作成本与敏捷性。合作伙伴的优化将体现供应链风险管理中的此消彼长特性,有利于风险在合作伙伴之间的合理转移,实现分险共担。比如我们在整个过程当中,要考虑我们的客户是谁,就是像银行一样,选择了一个大客户、好客户,风险相对较小,比如我们现在跟惠普合作,其作为全球世界500强企业,也是目前最大的IT企业之一,我们就会更相信他的承诺,风险自然就小。”
3.2 建立高效的信息传递渠道
供应链实质上是一种松散的企业联盟,当供应链规模日益扩大,结构日趋繁复时,供应链上发生信息错误的机会也随之增多。信息传递延迟将导致上下游企业之间沟通不充分,对产品的生产以及客户的需求在理解上出现分歧,不能真正满足市场的需要。同时会产生牛鞭效应,导致过量的库存。在供应方与采购方之间建立良好顺畅的信息沟通渠道,使材料供应商能共享总承包企业的信息,从而提高供应商的应变能力,减少信息失真造成的不确定。采购部门作为供应商与生产部门联系的纽带,应协调好供应与生产的关系,尽量选择专业采购人员进行采购,采取集中采购与分散采购相结合的方式,从而尽可能的降低不确定。
3.3 物料管理方面的策略
物料部门要根据工程实际情况选择物料供应商,在选择时要有一定的管理策略,这样才能更好的避免在管理中出现风险的可能性。
工程中物料管理工作的核心就是库存管理。由于库存不能马上为企业产生经济效益,同时承包方却要为库存物资承担资金、场地、人员占用而发生库存成本,所以需要物料部门对库存有效的控制,但另一方面库存又是工程中所必须的,对保证生产的正常秩序作用重大,具有其积极的一面。库存控制的目标之一就是对生产成本进行控制,所以库存成本是库存控制决策时主要考虑的因素。物料部门处于物料管理的核心地位。应对项目部门负责,对资料员进行管理,当发生突发事件,物料部门处理物料问题的同时要及时和项目部门进行沟通,通报库存情况,弄清工程进度做到心中有数,开始积极规划下一步安排。作为资料部门,应及时下达有关物料更改通知,并全程跟踪新物料进场情况,但不需要事必躬亲,要给资料部门一定的权力,使其能灵活机动的应变突况。物料部门要充分了解库存情况,根据工程进度,使库存所需物料保持在适度水平,同时要有未雨绸缪的计划充分考虑工程可能出现的情况,使库存的物料既要满足工程使用,同时如果发生突况可以有足够后备物料进行供应,直到新的物料进场。
4 总结
供应链是一个多节点企业共同加盟串并相连的复杂系统,链上任何一个环节出现问题都会波及和影响到整条供应链。由于建筑行业的特殊性,每个环节都是紧密连接在一起的过程。加强建筑业供应链风险及管理,及时预防、控制和转移风险,保证整条供应链连续、平稳、有效地运行,实现利益共享、风险共担。不仅能够通过整合企业经营资源、为企业带来新增效益,还可以帮助企业实现防范各种风险的目标,它与建筑企业风险管理系统的融合也将使企业最终实现“既做项目、也做市场”的目标。
参考文献:
一、关键风险预警体系构建的必要性
当前经济全球化和一体化进程速度加快 , 在激烈的竞争环境下,企业面临战略、市场、运营、财务及法律等多方面的诸多风险.通过建立关键风险监控预警体系,科学设置监控指标,及时掌握、分析关键风险的变化趋势,动态调整管理策略,向决策层及时发出预警信息并提前采取预控措施,实现对关键风险的动态管理和有效管控,保证企业战略目标的实现.
二、建立关键风险预警体系的原则
建立风险预警体系的目的在于以关键风险为起点,量化预警指标和区间,明确管理权责和程序,运用信息管理系统,实现对重大风险的实时、动态预警管理,不断完善企业风险管理体系.各个企业建立风险预警体系的方式方法虽然不完全相同,但是有效的预警体系存在共性.
1. 系统性原则企业是由多个职能子系统构成的有机整体,企业面临的风险并不是孤立或单一的,往往是由不同部门共同造成的,也可能是一系列风险形成的风险组合.因此,企业风险预警系统的构建,必须考虑各子系统的相互联系和影响,基于系统、全面和完整的基础上,覆盖企业和所属单位的各种业务和事项.
2. 重要性原则在风险预警体系建设过程中,需要结合企业自身的经营业务特点,关注企业的重要业务事项和高风险领域,分析企业在经营管理活动中将面临的关键风险.
3. 灵活可操作性原则风险预警体系的建设要综合考虑企业内外部环境因素,体系的设置尽量简化,预警指标因势利导,实施动态管理运作,保证预警体系的灵活性.同时选取的预警指标便于量化,针对所选指标要考虑其具有确切的且可持续获得的数据来源,确保指标有数据易于获取与度量.
三、关键风险预警体系的构建
为进一步加强了企业关键风险的日常管理和监督,企业应在内部建立一套切实可行的关键风险预警体系,以降低企业经营过程中面临的风险,实现企业的持续健康发展.笔者认为,较为完善的风险预警体系应包括建立风险预警机构、开展风险调研与评估、确定预警指标及阈值以及预警结果的应对与处置,并依托关键风险预警信息系统平台,进行有效运转和实时监督.
1. 健立风险预警机构在企业内部应设立专门负责风险预警工作的组织机构,明确风险预警工作的决策机构、归口管理部门、各职能部门及业务单位在关键风险预警体系中的职责与分工,为培育企业风险管理文化,实现风险预警工作全员化奠定基础.
2. 开展风险调研与评估从企业战略、市场、运营、财务和法律等方面,收集相关的内外部风险信息,结合宏观环境、行业环境分析,识别企业内外部的风险源,通过调查问卷、风险访谈以及风险研讨会等多种方式,打分排序得出风险排序表和风险坐标图.
3. 确定预警指标和阈值以关键风险为出发点,采取定性和定量相结合的方式,设定关键预警指标.通过参考行业综合数据、企业的内部历史数据及考核对标数据,并在结合自身风险容忍度及生命发展周期的基础上,设置符合本企业风险管理要求的预警区间和阈值.
4. 预警结果的应对与处置企业各职能部门和业务单位应在日常经营中持续关注风险改善状况,确保风险得到化解或降低.针对不同的预警区间,在关键风险预警信息系统中设置"红黄绿"亮灯预警方式,通过红、黄、绿三种颜色直观反映风险预警结果,并针对不同的预警结果,及时制定有效的风险应对策略和措施.
5. 开发运行关键风险预警信息系统风险预警信息系统是风险预警体系信息化的体现,是企业用于日常监控关键风险的工具,是企业进行风险预警的科学、合理的手段.风险预警信息系统推进了风险预警体系建设的改进与完善.关键风险预警信息系统通过对预警指标进行模拟亮灯预警的方式,简单明了的反映企业风险预警结果,便于企业及时制定应对策略,并根据系统设定的处理流程进行处理,降低风险带来的损失.
6. 监督与维护风险预警是一项系统性、持续性的工作,风险预警工作归口管理部门应根据企业业务变化和面临的内外部环境因素影响,定期对风险预警体系进行更新、维护.
巴塞尔委员会关于
操作风险的监管要求
巴塞尔委员会在1998年的《操作风险管理》专题文件中,首次要求银行必须对操作风险进行专门管理,并提供相应监管资本的支持。2003年2月,巴塞尔委员会《操作风险管理和监控的稳健做法》,对操作风险管理提出了10大原则,内容涉及风险管理环境、风险管理措施、监管职责、信息披露等方面,指出银行在操作风险管理中应综合考虑经营规模、业务性质、复杂性等一系列因素,并强调,不管银行的经营规模与业务范围如何,有效的操作风险管理框架至少应包括由董事会和高级管理人员制定的明确战略、浓厚的操作风险与内控氛围、有效的内部报告机制及应急预案等多种因素。2004年6月,巴塞尔委员会在其的《新资本协议》中正式将操作风险管理纳入全面风险管理之中。
巴塞尔委员会提出了操作风险的3种计量方法,即基本指标法、标准法、高级计量法,3种方法在复杂性、风险敏感度和资本节约效应方面逐渐加强。基本指标法和标准法是针对操作风险管理水平较为初级的银行,其中基本指标法要求银行抵御操作风险的资本相当于前3年总收入均值乘以15%,而标准法将银行业务分为8个类别,分别以其前3年净利润均值乘以12~18%的系数。高级计量法则为国际活跃银行和操作风险管理水平较高的银行所偏重,其风险敏感度更高,但在具体运用方面由于涉及模型开发等复杂程度较高的工作,目前还处于在某些业务中局部使用和逐步推进阶段。
国际银行业操作风险管理的主要做法
20世纪90年代以来,随着巴林银行、里昂信贷银行等多家知名银行由于操作风险防范疏漏而倒闭,操作风险管理问题开始日益受到国际银行业的重视。同时,由于银行业竞争加剧,产品服务日趋复杂多样以及监管部门要求不断提高等因素,提高操作风险管理水平也成为银行业的客观需要。
有关调查统计显示,目前全球大部分银行在操作风险管理方面仍处于初步识别风险和数据积累阶段,将近10%的机构尚未着手进行操作风险管理,只有不足20%的机构将操作风险纳入日常管理。一般而言,资产超过1000亿美元的大型银行操作风险管理进展较快,资产少于10亿美元的小型银行则大部分刚刚起步。
近年来,国际银行业操作风险管理逐步走向集中化模式,除业务部门在操作风险管理中发挥重要作用外,加强了管理部门和专职监控人员的参与,赋予其明确的权力。在欧洲地区,这种集中化趋势更为突出,并已明显走在同业前列。据穆迪公司2004年的一次调查显示,几乎所有欧洲银行都建立了集中化的操作风险管理部门,在全行范围内应用和推广管理工具、管理方法、管理政策,负责监控操作风险敞口和损失,积累和集中处理相关数据,提交高层操作风险管理报告,规划操作风险缓释策略。操作风险的集中管理可以解决基层业务经理和风险控制人员缺乏全局意识,难以正确执行总部决策等问题。但与市场风险管理中控制交易员敞口的方法不同,对操作风险的全面管理和控制一般不容易仅落实到某一个特定部门或个人,而应由基层管理人员和专职支持部门共同负责,涉及一线业务人员,风险管理、信息科技,人力资源、法律与合规及稽核监察等部门。一方面,操作风险管理组织各环节应有较明确的职权界定,另一方面,要保证风险管理、稽核监察等部门在其所属分支机构中的适度独立性,以确保风险管理体系运行有效和集中管理报告路线的畅通。
合理运用量化工具,识别和评估所有银行产品、活动、流程和系统中的操作风险,为进一步计算操作风险所需提取资本金做准备,是操作风险管理中的关键环节。当前国际大银行尝试采用的主流方法有:自我风险评估、损失事项登记、风险指标设置、风险打分卡等。
自我风险评估法是由操作风险管理部门或行内专家研究制定风险评估问题清单,并由操作风险管理部门人员、业务部门操作风险负责人、分支机构操作风险负责人组成工作组并定期召开研讨会。汇丰集团、荷兰商业银行等在实践中即采用这种方式,并且都是至少每年召开一次研讨会。如汇丰集团首先在各分支机构由业务部门人员进行集体讨论,再逐级汇集到分支机构业务联络员、操作风险联络员、分支机构首席操作风险官、分支机构首席执行官、总部操作风险管理主管。自我风险评估能充分调动有关操作风险管理各方的积极性和智慧,对全行操作风险战略和技术细节都能提供富有价值的专家性意见和行动指南。
损失事项登记是银行在积累了一定操作风险损失数据的基础上,通过建立损失事项登记系统,运用内部网络系统定期或实时报告操作风险有关情况,可包括查证操作风险损失原因、自动预警和通知、上载有关损失案例及分析、统计和复核操作风险损失数据等功能。通过网上损失事项登记系统,银行可以实现对操作风险损失事件和有关情况的实时了解和预警。
风险指标设置是指通过定期审查设定的银行有关财务指标或管理指标,来提醒银行操作风险变化情况。基本指标如按业务部门考察员工病假天数、合同工比例、系统死机频率等。荷兰商业银行已经设置了一整套风险指标系统,根据不同业务共设置了60个指标项目,提供相应的“红绿灯”警戒线系统,设置风险容忍度,向管理层定期提交概要报告。
操作风险打分卡,简单讲就是通过一定的转换系统,把定性评估转换成定量指标,以便对不同的操作风险类别进行排序。打分项设置和具体分值的确定因行而异,与各行业务经营特点和风险大小有关。打分卡方法可以独立使用,也可以与损失登记、风险指标等结合运用。
最后,关于操作风险管理信息系统。目前,国际主流银行操作风险管理信息系统都仍在探索与构建中,相对成熟、发达的市场风险和信用风险管理信息系统,显得比较落后。不少国际知名银行正在为建设理想的操作风险管理信息系统而努力,这种系统将可实现从一线高效提取、积累数据,向后台和管理层综合提供各种信息的功能,并能与其他内部系统(必要时也可与外部系统)顺畅连接,以下载数据和运算。信息系统用户可对原始数据进行处理。银行既可自行开发也可外购信息系统,但要注意两点:一要将重点集中在操作风险管理的关键领域;二要为今后更新版本和扩充功能预留必要的空间。
我国商业银行操作
风险管理的思考
一是以人为本,努力培育良好的合规机制和合规文化。这是强化操作风险管理的无形武器,也是国内商业银行非常需要的一种手段。合规,就是经营操作符合国家法律、法规,监管部门规章及银行内部制度的规定,强调合规,既要有相应的工作机构(合规部或合规岗)和工作机制,又要逐步建立鼓励主动合规的银行文化,这就需要加强对员工的教育,以人为本,长抓不懈。
关键词:商业银行 全面风险管理 工作原则 基本架构
中图分类号:F830.33 文献标识码:A
文章编号:1004-4914(2013)04-210-01
商业银行是经营风险较大的特殊企业,随着对风险的认知和把握能力的不断提高,在稳定、发展和盈利动机的激励下,对风险管理的需求也不断提升。建立和完善全面的风险管理体系已经成为商业银行急需解决的重大课题。
一、全面风险管理的内涵及现状
全面风险管理,包括信用风险、市场风险、操作风险在内的风险管理体系,是对各种风险、各业务品种、流程各环节实施全面风险管理,具体有:市场风险、信用风险、流动性风险、业务操作风险、法律约束风险、会计财务风险、信息资讯风险、经营策略风险等。商业银行现行的风险管理存在许多的不足。
第一,内部控制体系存在弊端。大部分银行未设立独立的专业化部门承担风险管理,更多的是依靠非独立专业部门负责或由各个专业内部控制。在全行范围内,往往没有形成针对风险的统一的政策标准,各职能部门之间缺少必要的沟通协调,操作风险管理处于分散、割裂状态。第二,商业银行现行的风险管理方法和手段落后。目前商业银行的风险管理尚处于初级管理阶段,主要依赖专家管理,主要手段是质量控制,还没有建立起风险管理系统。商业银行目前所采取的风险管理手段和方法基本上难以反映本行风险管理的总体水平和分布结构,与国际上风险管理要求差距不小。第三,风险管理的基础数据匮乏。根据新巴塞尔协议,用于计算监管资本的内部操作风险计量法,必须是建立在对内部损失数据至少5年的观察基础上。可是国内商业银行目前很少有建立损失事件数据库,大多缺乏损失和风险方面的历史数据。风险管理需要信息系统强有力的支持,但是我国商业银行信息系统建设严重滞后。另外,由于社会诚信机制不健全,行业数据和公共外部数据的真实性无法准确判断,也影响到风险计量和管理决策。
二、全面风险管理工作原则
全面风险管理,建立有效平衡风险与内控运行机制,促进各项业务持续健康发展。全面风险管理总的原则是:以最小的成本获得最大的保障,注重事前管理,用数量化衡量风险程度、预设最坏的愿境、模拟各种情景评估,做好应对性管理。
全面风险管理必须对风险进行风险识别、风险评价、风险控制,以减少风险负面影响。就目前商业银行的现状而言,风险管理应遵循以下基本原则。
1.风险管理部门垂直管理原则。为保持风险管理的相对独立性,按照战略导向,建立适应现实金融生态、适合业务发展、有利于价值创造。垂直化的风险管理组织架构:下级风险管理机构对上级风险管理机构负责,上级风险管理机构负责对下级风险管理机构的业务运行组织、指导和工作布置,进行绩效评价,加强对风险管理工作的集中领导,强化风险管理政策、制度标准、风险监控和信贷审批的统一管理,增强风险管理的独立性和有效性。
2.整体联动与相互制衡原则。按照客户导向优化业务流程,建立风险管理融入业务流程的平行作业机制,加强前、中、后台的整体联动和有效制衡,促进有效经营。
3.人员专业化管理原则。建立对信用、市场、操作风险的专业管理模式,细化风险管理岗位设置,建立专业化的风险管理队伍,运用精细化的风险计量技术和分析工具,提高风险管理的专业化和精细化水平。
4.权责利匹配原则。在确保风险管理权威性和独立性并实施垂直化管理的风险组织的前提下,完善风险管理与各项风险决策行为的责任制度,明晰各级风险管理机构和人员的权力和责任,清晰界定各种风险与相关部门和机构的工作关系,建立与风险管理相配套的激励约束机制。
三、全面风险管理的基本构架
目前,我国商业银行的治理结构和经营机制改革正在向纵深发展,借鉴国际银行业风险管理的实践经验,构建风险管理架构。
1.搭建独立的垂直的风险管理体系,实施集中管理的风险治理组织结构。一是设立独立的自成体系的操作风险与信贷风险管理部门。如单独指定某个部门承担起管理责任。在基层单位机关部门必须设立兼职风险管理人员,做到独立分析判断、管理决策。二是实行垂直化的风险控制作业流程。三是明晰各部门兼职风险管理人员在风险管理中的定位和职责,确立其管理边界。
2.建立风险管理指标考核体系,对基层机构进行量化考核。建立经济资本约束和绩效考评机制,强化经济资本约束力。通过风险资本的计量与分配,运用风险管理调整资本收益率,将可能发生的损失量化为成本。贯彻风险和收益并重的全面平衡发展的理念,促进全行关心防范操作风险。其次对基层单位设置风险量化的考核指标体系,以期达到持续监测逐渐减少风险,直至消除风险。
3.建立统一的风险管理政策。商业银行要制定和执行统一明确的风险管理政策,做到既符合国家规则,又符合本行特点的风险事件分类标准;结合本行自身经营特点、业务规模、内外部资料,确定各业务品种的操作流程;确定风险计量和资本分配的方法,确定各项业务品种应对操作风险的应急措施,对操作风险成功和失败的案例进行分析和补救。
4.提高操作风险管理技术。慎重研究和选择新巴塞尔协议所建议的三种计量方法,积极做好数据收集和系统设计,逐步开发适合本行特点的内部风险计量模型。整合信贷管理系统、客户信息系统、资金管理系统等业务系统的信息。借助先进的IT技术,建立操作风险与信贷风险、市场风险的历史数据库,为测量风险、分配资本和设计模型打下数据基础。
5.建设风险管理文化。商业银行必须建设符合本行特点的风险管理文化。银行高层应首先提高对风险控制的认识程度,把风险管理工作作为核心工作来抓。在全行内推行风险管理的理念,把风险管理作为关系银行可持续发展的重要工作来抓。着重提高基层单位的风险防范意识,将风险管理落实到每一名员工的岗位职责与业绩考评中。
参考文献:
1.章彰.商业银行信用风险管理[j].金融经济,2002(3)
2.圣文.商业银行信贷风险研究[j].金融经济,2004(4)
3.董谭玖.我国商业银行信贷风险管理研究[j].金融经济,2005(3)
任何类型的企业都会面临一定的风险,集团企业从单体企业发展而来,集团企业的财务风险不仅具有单体企业均具有的投机性、综合性和分散性等特征,同时具有“牛鞭效应”、系统性和动态性等特征。因此,集团企业尤其需要加强风险管理。
二、研究框架设计
集团企业财务风险管理是一项涉及面广、技术复杂的系统工程。本文以系统论为理论指导,应用规范研究方法,设计相应的研究框架。
首先,确定研究问题。本文在前人研究成果的基础上确定了研究问题,即集团企业财务风险管理框架研究。以集团企业财务风险为研究对象,研究包括全部管理层次和实施要素的集团企业财务风险管理框架,丰富和完善财务风险管理理论,并为集团企业进行财务风险管理实践提供借鉴作用。其次,根据系统性原则、环境分析起点原则等,构建包括目标层、管理层和基础层三层,涉及管理目标、实施主体、程序方法、保障体系和管理基础五要素的集团企业财务管理框架。最后,对集团企业财务风险管理框架的三层五要素进行了系统分析。
三、构建集团企业财务风险管理框架应遵循的原则
(一)系统性原则
系统论的思想是指导企业财务风险管理的主要理论。系统论强调整体性原则,企业财务风险管理是一个系统,系统是由各组成要素相互联系、相互作用所形成的一个有机整体,系统的各组成要素是不可缺少、不可分割的;系统论强调目的性原则,企业财务风险管理系统通过系统功能的发挥而实现财务风险管理的目标,而系统功能的发挥又与系统的组成及结构有很大关系;系统论强调整体优化原则,企业财务风险管理系统整体性能是否最优会受到该系统组成管理要素及要素间关系变化的影响,若想发挥系统的最优性能,就需要根据环境的变化不断调整系统组成管理要素及管理要素间的关系,从而达到优化企业财务风险管理系统整体性能的目的。
(二)环境分析起点原则
环境分析起点原则从集团企业财务风险管理所面临的社会环境和任务环境分析开始。按照系统理论思想,既然要构建集团企业财务风险管理框架,它就有边界,边界外面就是环境。任何活动的实施都是在一定环境下进行的,集团企业财务风险管理活动具有主动适应环境并受环境影响的双重特性。
众所周知,集团企业财务风险管理的目标是受集团企业战略目标统驭的,制定集团企业战略目标是在环境分析的基础上进行的。因此,只有进行环境分析,才能知晓集团企业财务风险管理所面临的迫切形势,以及所面临的优势和劣势,然后利用环境造成的机会,回避环境造成的威胁,发挥自身优势,回避自身劣势。所以,确立集团企业财务风险管理目标时,必须以环境分析为起点。
(三)目标导向原则
目标导向原则是指我们在构建集团企业财务风险管理框架时,以确立的目标为导向。目标是集团企业财务风险管理的方向、也是评价管理效果的依据。我们应该以目标为导向确定集团企业财务风险管理的主体、活动和保障措施。当然集团企业财务风险管理的实施目标和集团企业战略目标应保持一致,这是由环境分析的结果确定的。集团企业财务风险管理是集团企业财务管理乃至战略管理的一部分,随着环境的不断变化,集团企业财务风险管理处于不同发展阶段,可能会面临不同的问题,因此需要以集团企业财务管理为目标,保持两者目标的一致性。
(四)具体问题具体分析原则
具体问题具体分析原则是指我们在构建集团企业财务风险管理框架时,在确定集团企业财务风险管理的主体、活动和保障措施,以实现集团企业财务风险管理目标时,要立足于我国的现状,根据我国国情,而不是一味地照抄照搬国外的做法。当然,我们构建的集团企业财务风险管理框架可以随着环境而变化、调整、优化,是适应环境的。
具体问题具体分析原则要求我们能够根据环境变化及时改变集团企业财务风险管理框架的构成要素,针对环境保护目标中出现的新的问题不断完善模式。目前,集团企业财务风险管理面临的环境发生着非常迅速、异常巨大的变化,这对我们构建集团企业财务风险管理框架提出了新的要求,即要根据环境变化及时调整层次和目标,明确主体、完善活动、健全保障体系、优化实施基础,合理保证集团企业财务风险管理的效率和效果,实现集团企业财务风险管理的整体目标。
四、集团企业财务风险管理框架的构建
集团企业财务风险管理要遵循系统性、环境分析起点、目标导向、具体问题具体分析原则,构建集团企业财务风险管理框架。我们构建的集团企业财务风险管理框架分为三层结构框架,即目标层、管理层和基础层,如图1所示。
五、集团企业财务风险管理框架的要素分析
(一)管理目标
管理目标是企业通过财务风险管理达到的目标,是我们构建集团企业财务风险管理框架的根本出发点和核心。我们在构建集团企业财务风险管理框架时就必须从管理目标出发。在集团企业财务风险管理框架中管理目标属于目标层的要素。管理目标是在确定企业战略目标的基础上,考虑了企业使命和风险承受度后制定的。当然,目标应该从上向下层层分解,每一层管理主体都负有与其权责相对应的目标、指标和考核标准。
(二)责任主体
责任主体是企业财务风险管理程序方法的实施者或者参与者,是指集团企业财务风险管理实现目标的主体。众所周知,任何实施行为必然包括三个不可缺少的部分:主体、活动和控制系统。集团企业财务风险管理也是一种实践活动,这种活动的主体也是有意识有能动性的人,但是人是处于不同的组织中,根据各自组织的权责实现人的意志。所以,集团企业财务风险管理的责任主体是各级组织中的人,这些组织包括股东大会、董事会、监事会、经理层、部门、岗位、子公司等。
责任主体是集团企业财务风险管理的核心力量,其中,股东大会是公司的最高权力机构,站在所有者角度,通过有效管理所有者的财权,对集团企业财务风险进行管理;董事会是集团企业的经营决策机构,从财务管理的角度看,同样是经营者财务监督体系的核心和最高层。董事会从行政者的角度,通过全方位负责财务决策有效性,对企业财务风险进行管理;监事会是公司的司法者,在财务风险管理领域,监事会应当全而了解集团企业财务风险管理现状,跟踪监督董事会和高级管理层为完善内部控制所做的相关工作,检查和研究日常经营活动中是否存在违反既定财务风险管理政策和原则的行为;总经理及其集体是公司经营管理最高执行层。从日常财务监督的组织、管理和实施过程看,总经理及其集体的主要职责是负责执行财务风险控制政策,制定财务风险控制的程序和操作规程,及时了解财务风险水平及其控制情况,并确保集团企业具备足够的人力、物力、恰当的组织结构、管理信息系统以及技术水平,来有效地识别、度量、控制财务风险,并定期或者不定期评价财务风险控制的效果和效率;部门主要包括财务风险控制部门、财务控制部门、内部审计部门等。企业所有岗位能够实施或者参与财务风险管理的人,都是财务风险管理的责任主体,通过各自职责的履行情况,对企业财务风险进行管理。企业所有岗位都是财务风险管理的责任主体;之所以把子公司单独列为一个责任主体,是因为集团企业所属的子公司往往也存在背离母公司的倾向,从 而使母公司面临失控,导致财务风险。
(三)程序方法
程序方法是企业财务风险管理的基本程序和方法,是责任主体所表现的行为集合,表现为责任主体进行财务风险管理的行为举动,同时也是控制系统主要监督、控制的内容,包括规范的财务风险管理基本流程。集团企业财务风险管理的程序方法至少应该包括:风险识别、风险度量、风险应对和管理评价等。集团企业财务风险管理目标实现的效果和效率是由责任主体实施程序方法的效果和效率决定的,我们必须加强责任主体实施程序方法的引导、控制和评价,以便使集团企业财务风险管理朝着有利于管理目标去组织、贯彻和实施。
(四)保障体系
保障体系是保证各责任主体按照企业财务风险管理流程来实施管理的程序方法得以落实的制度、机制和手段。保障体系是连接责任主体和程序方法的桥梁,是责任主体和程序方法的信息传递和沟通体系,是责任主体实施程序方法的保障机制。没有健全、有效的保障体系,仅仅依靠责任主体的程序方法,很难保证集团企业财务管理的效果和效率,所以我们要建立、健全责任主体实施程序方法的保障体系。本文构建的保障体系包括:完善风险管理的内部控制系统、开展信息化、建立财务预警系统、健全内部管理制度和审计等。
(五)管理基础
管理基础是企业有效实施财务风险管理的内部管理环境,是集团企业财务风险管理的客观环境和经济基础。任何责任主体、程序方法和保障体系都不可能脱离实际而存在,只有立足于实际,具体分析管理基础,才能制定有效的程序方法,实现集团企业财务风险管理的目标。集团企业财务风险管理环境的优劣和优化程度,对企业财务风险管理的影响程度之大有时超过我们的想象,一些企业破产、失败、出现严重财务风险,表面上是风险管理不力,但部分根源在于管理基础恶劣。本文认为框架的管理基础主要包括:公司治理结构、正直诚信原则和道德观、财务风险管理哲学、企业的组织结构、责任的分配和授权、员工能力、董事会和审计委员会、人力资源政策、错弊和报告、企业文化等。
【关键词】商业银行 风险管理 控制 策略
一、商业银行风险管理的产生
一般认为,风险就是一种不确定性,风险具有客观性、不确定性、可预测性、不利性以及和收益的对称性。
商业银行是经营货币的金融中介组织,与一般工商企业的最大不同就在于利用客户的存款和其他借入款作为主要的营运资金,自有资本占比低这一特点决定了商业银行本身具有较强的内在风险特征。
随着现代商业银行的不断发展,银行所面对的风险对象和性质早已超越了最初的内涵。从对象上看,已经由单一的借贷产生的信用风险演变为信用风险、市场风险、操作风险等在内的多类型风险;从性质上看,从最初的局部风险演变为全球风险。尽管风险对象和性质发生了很大的变化,但总体上都可以纳入系统性风险和非系统性风险的范畴。系统性风险是指经济活动的参与者必须承担的风险。非系统性风险包括信用风险、市场风险、流动性风险、操作风险和法律风险等,是银行自身面临的风险,成为银行风险管理的主要内容。当然,无论如何划分风险的种类,有一点是肯定的,即风险存在于银行业务的每一个环节,商业银行提供金融服务的过程也就是承担风险和控制风险的过程。
二、我国商业银行风险管理战略
我国商业银行风险管理坚持以人为本,建立起对风险管理人员价值尊重的氛围,主动保持与其他机构和基层行的沟通、协调,使各级风险管理人员在物质上建立起强烈的价值归属感,在精神上建立起崇高的使命感。以科学发展观指导商业银行风险管理,理性处理好风险管理和业务发展的关系,明晰科学的商业银行风险管理战略,坚持全面的风险管理;建立垂直化、扁平化的商业银行风险管理组织架构,完善的风险预警机制,建立强有力的商业银行风险管理信息系统和反映风险成本的绩效考核体系。
三、我国商业银行风险管理的信用风险
信用风险是商业银行所面临的基本风险,也是目前我国商业银行最主要的金融风险。信用风险是指由于交易对方(债务人)信用状况和履约能力的变化导致债权人资产价值遭受损失的风险。
(一)银行信用风险形成的直接后果是出现坏账、呆账
分析银行信用风险产生的原因,主要有以下几种:缺乏诚信道德、缺乏信息对称、缺乏完善体制、缺乏商业银行风险管理技术。
(二)信用风险管理的组织架构
我国商业银行信用风险管理组织架构分为四层:第层是董事会和董事会风险管理专业委员会,第二层是高级管理层,第三层是总部的风险管理部,第四层是承担信用风险的业务营销部门及后台支持部门。
(三)商业银行风险管理的信用风险管理原则
1.依法合规。严格遵守法律法规及监管机构的规定,合规稳健经营是风险管理有效实施的前提。
2.收益匹配。通过主动地控制,收益平衡和损失,每类业务活动都应获得至少与其承担风险相匹配的收益。
3.相对收益。风险管理相对孤立于业务发展,有独立的机构、人员,以独立的视角,对业务发展中存在的风险进行客观识别、度量和控制。
4.严格问责。通过严格的内部控制机制,明确岗位职责分工,清晰权责。
5.一致协调。确保风险管理的目标与业务发展的目标相一致,并保持统一的风险管理战略和控制策略。
6.充分披露。银行负有按照监管要求,向监管机构提供风险信息或向社会公众披露的责任。
四、我国商业银行风险管理的市场风险
(一)我国商业银行风险管理中市场风险的概述
1.市场风险管理目标及体系
为有效贯彻市场风险管理目标,在国际活跃银行内部都形成了符合公司治理机制要求的、分工明确的商业银行风险管理体系。主要的特点是:董事会负责确定的银行风险管理战略中包含了市场风险的内容,如董事会审议确定对市场风险的最大容忍程度,对市场风险管理负最终责任。高级管理层必须确保市场风险被独立地测量、监控和报告,保证市场风险活动的透明度。在所有情况下,业务部门最终要为他们承担的市场风险负责,并保持在限定的额度内。
2.市场风险管理流程
在两种不同的市场风险管理体系下,管理流程会有差异。但总体上市场风险是“自上而下”的管理。银行的董事会在确定全年利润总量时,同时确定与之匹配的风险总量指标,并已正式书面文件交给高级管理层。风险总量指标都涵盖三大风险,如信用风险最大损失、操作风险容忍度等,与市场风险有关的指标,包括一般情况下各类承担市场风险的投资组合的最大损失及极端情况下最大损失等。根据董事会确定的风险与利润指标,银行的高级管理层将其分解到各部门,各部门再进一步分解到各具体的业务单元。在层层分解中始终坚持风险目标与利润目标相匹配的原则。在需要调整某一部门的利润计划时,同时也要考虑对其风险指标的相应调整。
国际活跃银行中负责管理市场风险的职能部门必须通过市场风险管理系统,对各业务单位风险指标执行情况监控,自下而上汇总出集团每个业务层面银行整体的市场风险数量。每个业务单位对超过风险限额的业务需要向上一级有权审批的风险官进行汇报。若确定需要超限额授权,向负责市场风险管理的职能部门进行申请。上一级有权审批的风险官可以对增加申请提出反对,并向负责市场风险管理的职能部门汇报。负责市场风险管理的职能部门根据集团风险总量状况判断是否可以增加业务单位的风险指标。重大交易的风险限额增加还必须向高级管理层申请,商业银行风险管理的高级管理层在判断需增加的风险限额对当年利润影响的基础上,做出是否同意增加风险限额的决策。
(二)市场风险管理的控制框架
就一般原则而言,商业银行对市场风险的管理应该包括董事会、高级管理层和具体负责部门三个不同的层次。商业银行的董事会承担着对市场风险管理实施监控的最终责任,确保商业银行有效地识别、计量、监测和控制各项业务所承担的各类市场风险。商业银行的高级管理层负责制定、定期查审和监督执行市场风险管理的政策、程序以及具体的操作规程,及时了解市场风险水平及其管理状况,并确保银行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类市场风险。
为了避免潜在的利益冲突,商业银行应当确保各职能部门具有明确的职责分工,以及相关职能的适当分离。商业银行的市场风险管理职能与业务经营职能应当保持相对独立。
(三)我国商业银行风险管理中市场风险管理的原则和工具
1.市场风险管理原则
我国商业银行对市场风险的管理应遵循合规性原则、授权有限原则、内控优先原则、分离牵制原则、风险可接受前提下的效益最大化原则。
合规性原则指承担市场风险的业务必须依法合规,对于超过本级机构权限的业务必须得到上级有权机构的批准后才能办理,严禁超权限开展业务。
授权有限原则指通过严格岗位责任制,防止授权不清或过度授权而导致的内部管理失控现象。
内控优先原则要求内控规章制度必须渗透到承担市场风险的各个业务过程和环节,覆盖所有业务岗位。设立新机构,开办新业务,开发新产品必须保证内控措施先行到位。
分离牵制原则要求三分离,即前台交易、后台结算、监控、稽核检查相分离,交易额度、客户授信额度、操作权限在设置、使用、监控方面相分离,不同头寸相分离。
风险可接受前提下的效益最大化原则即根据董事会风险管理专业委员会审批通过的风险限额对各交易单位和各投资组合的日常经营活动进行监控,确保各项业务在承担有限风险的前提下实现效益最大化。
2.市场风险管理工具
目前我国商业银行在市场风险管理中运用的工具包括:风险价值估算、敏感度分析、情景分析、压力测试、逐日盯市和限额控制。
五、我国商业银行的操作风险
(一)操作风险的概述
根据巴塞尔新资本协议的定义,结合我国商业银行经营与商业银行风险管理实际,操作风险被定义为:由于内部程序不完善、操作人员差错或舞弊、IT系统失灵和技术失误以及外部事件给银行造成损失的风险。
(二)我国商业银行操作风险管理原则
我国商业银行风险管理的操作风险管理应遵循以下四项原则:
1.全面管理原则:操作风险管理覆盖银行的各个部门,具有高度分散化的特点,所以必须要完善操作风险管理,建立相应的操作风险管理制度,控制操作风险的损失。
2.及时调整原则:操作风险管理应同商业银行面临的内部环境(银行经营战略、方针和理念)和外部环境(国家法律、法规、政策制度)相适应,并具有前瞻性。
3.成本与收益匹配原则:操作风险管理措施与具体业务的规模、复杂程度和特点相适应,使用完善的管理机制将操作风险损失控制在银行经营所能承受的范围内,以合理的成本实现管理目标。
4.责任追究原则:操作流程的每个环节必须有明确的负责人,要严格按规定对违反的直接责任人和管理人员进行追究。
(三)建立商业银行操作风险长效机制
1.建立有力的操作风险管理流程和框架
强化内控建设,逐步建立覆盖所有业务风险的监控、评价和预警系统,加强对风险数据的收集,通过对风险的定性分析与定量测算,正确评价风险的状态与程度。实施风险转移,缓释操作风险,培育操作风险文化,建立起共同的风险管理价值观,健全操作风险监控体系,重视日常监管检查,充分发挥稽核监督职能,建立循环的持续改进过程。
2.开展运行效果评估
必须要建立科学的管理机制运行评估体系,对机制运行的各个环节进行及时监督,评判其优劣,并根据实际情况随时进行调整、改革、充实和完善,使管理长效机制不断地趋于合理,始终处于良性运行状态。
参考文献
[1]曹廷求.我国商业银行风险管理机制研究[D].济南:山东大学,2008.
[2]王韶峰.我国商业银行操作风险管理体系研究[D].太原:太原理工大学,2010.
[3]肖芳,吴迪.商业银行声誉风险管理对策初探[J].现代金融,2010(06).
[4]姜连义.农信社合规风险管理的路径选择[J].中国农村金融,2012(04).
[5]路晨蓉.强化商业银行合规风险管理的路径探讨[J].青海金融,2008(07).
[6]亢爱林.对当前基层商业银行风险管理问题的几点思考[J]. 时代经贸(下旬刊),2008(12).
关键词:商业银行;声誉风险;组织体系
中图分类号:F832.33 文献标识码:A 文章编号:1003-9031(2010)07-0046-05DOI:10.3969/j.issn.1003-9031.2010.07.10
声誉风险管理规范界定为各金融部门在对其经营活动中的声誉风险进行识别、估测、评价的基础上,优化组合声誉风险管理技术,对声誉风险实施有效的控制,妥善处理声誉风险所致的后果,以最小的成本达到最大的安全保障的过程。声誉风险管理作为商业银行风险管理的重要内容之一,与其它风险管理要素紧密相连,同其它风险管理一样,完善的管理组织体系是强化声誉风险管理的基本保障。因此,构建商业银行完善的声誉风险管理组织体系成为有效落实声誉风险管理措施,实施有效管理的重要策略。
一、现行商业银行声誉风险管理组织体系中存在的问题
声誉风险实际上是覆盖面与诱发原因最广泛的风险,但国内商业银行在风险管理实践中并没有对构建声誉风险管理组织系统高度重视,相比较其它种类风险管理的组织体系,现行的商业银行声誉风险管理组织体系构建还存在较多的问题。
(一)对构建组织体系重视不够
同操作风险、信用风险等其它风险管理相比,声誉风险管理起步晚,在商业银行声誉风险管理理论和实践中都还处于探索阶段,国际上也没有成熟的经验可供借鉴。而声誉风险面对的经营环境复杂,管理目标多样,国内商业银行对声誉风险管理没有足够的重视,在组织体系建设方面没有找到适当的位置,多是将声誉风险管理组织体系的职能依附于或分散在部分职能部门,没有深入研究声誉风险管理目标、措施与完善组织体系之间的内在联系,对于出现的声誉风险危机,往往临时搭建组织管理机构进行应付。究其原因主要是商业银行的高管人员没有充分认识声誉风险管理在整个风险管理中的位置,没有充分认识组织管理体系在落实声誉风险管理目标中的位置。
(二)组织架构仍不健全
声誉风险管理组织体系是指:在声誉风险管理范围内按照既定的声誉风险管理秩序和内部联系,组合成一个管理组织各部门行权顺序、空间位置、聚散状态、联系方式以及各要素之间相互关系的整个管理系统的“框架”。显然,整体性是组织架构的重要本质特征,即组织体系应有尽有,而目前商业银行声誉风险管理职责所需的组织架构大部分已构成,但不健全。虽然大多数商业银行建立了由股东大会、董事会、监事会和高级管理层组成的公司治理基本结构,但不同的利益牵绊使得管理决策的执行缺少独立性与权威性,而集中于以盈利为目的的业务决策服务上,组织体系内的互相合作与制衡的机制较为薄弱。从声誉风险管理的组织体系来看,大多数商业银行还未设置专门机构进行全程的声誉风险管理。声誉风险管理组织部门大多是由银行本有的内控、监察、稽核和法律等部门平移而来,而这些部门并没有接受过专门的声誉风险管理培训,对声誉风险管理还缺乏深入的认识和准确的定位,而且欠缺管理经验。
(三)职责界定尚不明晰
虽然大多数商业银行的声誉风险管理组织体系框架已初具雏形,但各决策主体、职能部门在声誉风险管理方面的职责尚未清晰划分,没有达到全面风险管理的基本要求。例如:董事会所肩负的风险战略管理职能薄弱;没有明确的声誉风险管理战略;商业银行声誉风险管理的目标和方向缺少指导性和方针性;声誉风险管理整体组织缺乏战略规划指导;风险管理部门不能在充分覆盖银行各类风险的情况下对声誉风险集中管理。国内大多数商业银行的风险管理部门职责仅仅实现对个别风险的集中管理,目前尚未将声誉风险等纳入其管理范畴。再如,声誉风险管理监督评价职能缺失。按照巴塞尔协议,健全有效的风险组织体系必须要配备独立的风险管理评估系统和独立的审计机构,从国内的情况来看,大多数银行虽设立了对风险管理目标计划的实施情况进行评估的风险管理委员会,但风险管理各项职能执行情况的稽核审查缺乏[1]。
(四)战略落实部门分散
声誉风险管理的特点要求对可能引发的一切潜在风险统一管理思想,并实行高度集中管理,以保证管理政策的高效性,对声誉风险可能涉及的内容、因素实行全覆盖管理。国外商业银行一般通过设立风险管理委员会统一领导声誉风险管理部门,以实现集中统一的要求:风险管理委员会负责管理全行包括声誉风险在内的八类风险,制定商业银行的声誉风险管理政策、措施以及防范和处置声誉风险危机;声誉风险管理部门则负责落实执行统一的关于声誉风险政策、措施以及有关决议,并进行风险识别、评估、监测、报告等具体内容。而国内受各方面因素和条件的限制即便设置了风险管理委员会,也尚未覆盖银行所面临的可能引发声誉风险其他各类风险因素,声誉风险管理部门只是在整合可能引发声誉风险的各类风险过程中自觉或不自觉的防范了声誉风险。声誉风险的管理职能分散于多个部门,使得风险管理组织框架被割裂开来,体现声誉风险管理要求的管理的集中性、统一性不足。
(五)声誉风险管理方面专业人才较少
在商业银行各类风险管理当中,由于声誉风险的无形性风险评价、计量、评估十分困难,相比较其管理人员需有很强的专业性。专业人才是声誉风险管理组织构架的重要软实力,声誉风险管理各个层次都要有专业的管理人才负责。而目前商业银行声誉风险一般由各级行行政办公室负责管理,办公室在各行管理层级一般归类在后台、非业务部门,在人员配置上专业性人才缺少,声誉风险管理方面的专业人才配备也没有到位,就是处于声誉风险管理阶梯上层的董事会与监管会而言,制定组织管理运行政策措施所需的信息收集处理流程上也缺专业乏技术人才支撑。而处于管理阶层的中下层管理岗位在金融、法律、会计、审计等不同专业间的有效互补和科学搭配方面存在不足。声誉风险的覆盖面广,影响范围大,声誉风险管理专业人才缺乏使得支撑整个风险管理职能框架得不到有效的运作。
(六)信息系统尚不畅通
全面的风险管理组织体系要求商业银行内部各个阶层构造一个完善的信息系统、一个有效的信息沟通渠道。目前商业银行声誉风险管理组织框架中依然存在信息系统不完善、不畅通等问题。从纵向看,董事会与风险管理委员会在声誉风险管理决策分析问题上,由于缺乏与管理部门有效的沟通渠道,从而影响了组织框架各环节的正常运转和作用发挥,使得组织框架中的决策系统、执行系统和监督系统环节的有效运转缺少支撑;从横向看,涉及声誉风险的各个平行业务部门彼此相互隔离,缺少畅通的信息沟通,造成声誉风险管理机构重叠或者出现部分领域空白。
(七)基层分支机构在声誉风险管理中组织缺位
完整、有效的声誉风险管理链条在总行―分行―支行各个不同层面都应当承担相应机构的声誉风险管理职能,以确保对声誉风险管理全过程性的覆盖。目前国内商业银行的声誉风险管理主要是高级管理层、总行、分行的集中管理,在支行基层机构层面缺乏独立行使声誉风险管理职能的角色[1]。主要表现在:支行基本没有专门负责声誉风险管理的岗位设置,更谈不上人员配备;没能有效地传承落实自上而下的声誉风险管理政策与措施,无法实现有效的垂直管理;基层业务经营活动与声誉风险管理目标基于成本-收益的矛盾,最终导致声誉风险管理在基层管理成效弱化或缺位等等。
二、 构建商业银行声誉风险管理组织体系的基本原则
商业银行的声誉风险组织管理体系为声誉风险管理目标服务,组织体系的完善程度与风险管理质量一般成正比,但商业银行管理内容众多,不可能任何管理目标都通过加大组织体系的投入来实现目标,因为还存在管理的成本、效能等问题。同时,不同的组织管理模式效果也不一样,如何构建和构建一个什么样的商业银行声誉风险管理组织体系就必须坚持一定的原则,而这些原则又必须充分体系商业银行经营管理和声誉风险的特征及内在要求。
(一)全覆盖原则
全覆盖原则即商业银行声誉风险管理组织框架能够涵盖所有银行经营业务和所有风险管理环节中的一切声誉风险。商业银行声誉风险种类多样,涵盖了所有内部与外部风险,而且来自不同的利益相关者负面评价始终存在,声誉风险呈现出一种常态化,所以要求声誉风险管理组织体系组织职能必须覆盖声誉风险的全部。当然,这并不是设置与声誉风险诱因、种类一一对应的机构,而是要有管理到声誉风险范围职能的组织,要设置专门的声誉风险部门以及对应的岗位来履行声誉风险管理组织框架内的相应职责,尤其是应对其他一切可能诱发声誉风险不可预期的风险事件,事前制定出相应的管理程序、控制方法以及组织体系权限与职责分配。
(二)独立性原则
独立性原则主要表现在商业银行声誉风险管理在组织制度上形成一个由董事会与风险管理委员会直接领导,以独立风险管理部门为中心,与各个业务部门紧密联系的职能上独立的声誉风险管理系统。由于声誉风险不易界定,且又可能是各种风险进一步延伸与恶化的结果,与声誉风险管理相关联的利益相关者很多,涉及的层面较广,所以设立的声誉风险管理组织体系必须具有相对的独立性,具体表现在两方面:一是董事会与高级管理层之间声誉风险管理职责的独立性;二是风险管理战略制定与落实之间的独立性。但独立性原则并不排斥各阶层各部门之间的信息沟通与管理合作,对此巴塞尔委员会以及我国银行业监督管理委员会都特别强调:董事会、高级管理层和基层业务部门之间要进行充分的交流和合作。
(三)资源共享性原则
这一原则要求商业银行构造的声誉风险管理组织体系能为内部各个阶层构造一个包括信息纵向的上通下达以及横向有效的信息沟通渠道。所谓“纵向上通”即是中基层风险管理部门与声誉风险管理评估监督部门直接向董事会、监事会和高管层报告;“纵向下达”即是高层管理和监督委员会将声誉风险管理原则、政策政策信息下达到中基层管理人员;横向的沟通交流即各管理阶层相关部门之间要保持信息的互通,使得在拥有充分有效的信息状态下声誉风险管理各环节正常有效进行。
(四)一致性与权威性相结合原则
一致性原则要求商业银行在构建声誉风险组织管理框架时,首要注意的是声誉风险管理战略目标与业务发展战略目标保持本质上的一致。声誉风险管理组织体系为业务发展提供良好的环境和有效的内部运作机制,而业务发展的过程中将声誉风险管理看作有力的保障。一致性原则并不是否认管理中权利的权威性界定,当业务部门与声誉风险管理部门的权威性位于相同等级时,必然会在两个部门形成清晰的权力边界割裂。所以商业银行声誉风险管理要渗透到各业务部门中,监督管理部门就要有强于业务部门的权威性,减少声誉风险管理中的抵触,确保各个岗位职责的充分实现。其次要注意上下阶层管理思想与管理策略保持一致,由董事会制定声誉风险管理策略并落实到各级管理部门,管理理念保质保量的传达,同时上层管理决策者要辩证的接受基层管理意见,适时的对管理策略做出调整,保持管理步调上下一致。一致性的原则不是排除上层董事会、监管层的权威性,决策管理者与监督管理者一定要不受外部因素的干扰以保持其客观、公正性。
(五)集中性与分散性相统一原则
商业银行声誉风险与其他各类风险之间较强的因果关联性,声誉风险管理组织体系构建应遵循集中与分散相统一的原则。作为其他各类风险的延伸后果难以就其本身进行管理,即便实施了管理行为效果也不明显,所以要建立专门联系其他各类风险的管理部门[2]。不同类型的商业银行风险应由相应的专业风险管理机构负责管理,分散管理力量集中专业管理资源应对各个风险,分散设置风险管理组织部门与体系。最后,要将分行、支行的的声誉风险管理专门机构风险管理报告集中汇到总行高级管理层,最终由董事会及管理委员会在统筹规划中实现声誉风险管理组织体系的集中管理。声誉风险的集中管理从整体上把握商业银行面临的声誉风险状况,而集中的组织框架下可能诱发声誉风险的其他七大风险由不同的专业机构来管理,从另一个角度侧面提高了声誉风险管理的效率和水平[3]。
三、 进一步完善商业银行声誉风险管理组织体系的构想
声誉风险管理组织体系是商业银行声誉风险管理体系的重要内容,它是决定商业银行在控制、监督和评估其他各类风险业务部门风险承担能力效力的关键。商业银行声誉风险管理除了通过一系列的管理程序和处理办法实施以外,还要依照国际惯例与国内监管机构的要求在内部组织体系设置上有个合理的安排,并充分体现商业银行声誉风险独具的特殊性以及在组织体系构建上的个性化要求。
(一)进一步发挥董事会在声誉风险管理组织体系中的战略性作用
国家银行业监督管理委员会2009年8月颁发的《商业银行声誉风险管理指引》指出,“商业银行董事会应制定与本行战略目标一致且适用于全行的声誉风险管理政策,建立全行声誉风险管理体系,监控全行声誉风险管理的总体状况和有效性,承担声誉风险管理的最终责任。”①因此,商业银行声誉风险管理在组织制度上由董事会直接领导,董事会作为声誉风险管理的最高决策部门要建立与银行战略一致的声誉风险管理制度,使承担声誉风险管理的各部门管理者对声誉风险职责有具体的界定,设立专门的声誉风险管理委员会作为日常管理事项,将声誉风险管理纳入到统一的标准体系中,并在声誉风险管理一致的指令和原则,直接向董事会和高级管理层报告,保证所发指令的贯彻与执行。
(二)充分发挥各职能部门在声誉风险组织体系中的主体作用
风险管理要在充分体现风险类型与特点的基础上建立管理阶层、管理部门的对应关系,尤其是声誉风险与其他各类风险有较大的关联性,同时又要具有自己的特殊性,如表1所示。
由表1可看出,不同类型的风险其特点不同,管理方式也不相同,管理所涉及到的重点部门也不一样。声誉风险的涉及面过广、影响因素较大,从组织管理体系的角度就要求各业务条线需要有相应的负责声誉风险管理的职能岗位。为此,要充分发挥各职能部门在声誉风险管理组织体系中的主体作用。首先,设置声誉风险管理的主要负责人,作为第一责任人,必须深入业务环节对声誉风险负总责,监察分析各部门声誉风险情况,研究董事会、风险管理委员会制定的政策措施,及时解决工作中存在的凸显的和潜在的声誉风险问题;其次,各个部门设分管声誉风险管理工作的负责人负责落实声誉风险有关政策措施、法律法规,指导协调本部门的声誉风险监督、检查,组织开展声誉风险事件的应急救援和调查处理工作,无论何种业务部门的声誉风险管理岗位人员都应按照统一的风险管理流程及时有效地监测、报告和处理本条线或部门的声誉风险;第三,相关职能部门或岗位之间需要建立高效的信息沟通和运作协调机制,分管业务发展工作的负责人支持配合分管声誉风险管理工作的负责人协调业务发展与声誉风险管理两者关系。所以,只有各部门的声誉风险管理岗位人员能够对声誉风险快速做出反应和决策,才能及时、有效地处理声誉事件,保证声誉风险管理后续工作的顺利进行。
(三)建立集中与分散相结合的矩阵模式的组织管理体系
目前,商业银行声誉风险管理组织模式设置并没有统一的标准,无论是集中的直线模式、分散的事业部模式,还是集中与分散相结合的矩阵模式,关键在于是否适合商业银行本身的声誉风险管理实际情况,是否可以保证各阶层有效地履行相应职责,但无论是何种模式最重要的是声誉风险管理体系能体现体系设置的基本原则。
1.集中的直线管理模式。对于大多数实行“总分行制”的商业银行,其总行内部设置与分行内部设置都是按照职能组织模式设置,声誉风险管理部门与其他职能部门平行,负责整个商业银行声誉风险管理活动,如图1所示:集中的直线模式主要以“块块”管理为主,“条条”垂直管理为辅,使得声誉风险管理职权集中,从整体上把握商业银行的声誉风险,而且最大限度保证了风险管理部门的独立性.但该模式将风险管理部门与业务部门隔离,可能顾此失彼导致声誉风险管理策略与业务发展战略不适应[4]。
2.分散的事业部管理模式。分散的事业部声誉风险管理组织模式下,整个商业银行按照基本业务种类划分部门,如个人金融部、公司金融部、资产托管部等,各个事业部都有自己的运营单位和声誉风险管理单位,如图2所示:分散的事业部模式以“条条”垂直管理为主,“块块”管理为辅,使得声誉风险管理与业务发展紧密结合,实现管理成本-收益的平衡。但各个事业部分散管理难以从整体把握银行声誉风险管理全局,出现机构重叠、信息闭塞、资源浪费的现象,同时抓经营运作与风险管理使得声誉风险管理独立性弱化。
3.集中与分散相结合的矩阵管理模式。这一模式相比较更适合商业银行声誉风险管理现实需要。以经济资本利润为中心设立事业部的矩阵模式,商业银行在总行设立声誉风险管理部,同时在分行支行设立受总行声誉风险管理部直接领导对其负责的声誉风险管理小组,负责事业部的声誉风险事件处理工作,实施同时向事业部和总行声誉风险管理部报告的制度,如图3所示:在避免了前面的两种模式不足的基础上,实现风险管理与业务运营的有机结合,在有效控制业务范围的同时强化总行的垂直管理。所以集中与分散相结合的矩阵管理模式充分体现了声誉风险管理组织结构体系设立有效性和独立性原则。
当然,不同规模的商业银行在构建声誉风险管理组织体系时应当注意要与自身的发展状况、经营管理环境、应对内外部风险的能力等因素相适应。
(四)积极培育声誉风险管理的专业人才
构建战略目标明确、结构清晰、职能完备的商业银行声誉风险管理部门是商业银行风险管理现代化的要求。但在建立和完善商业银行声誉风险管理组织模式过程中,对各层管理人员识别潜在声誉风险的思维能力和解释能力也提出较高要求。因此,商业银行在进行人力资源配置时,一方面要集合金融、法律、会计、审计等经济管理专业人才,同时还要信息系统、计算机技术等不同专业人才辅之强有力的流程和信息技术、创新技术给予支持,来自多方面的人才通过有效互补和科学搭配增强声誉风险管理的成效性;另一方面,对在声誉风险管理过程中逐步积累声誉风险管理经验的人才可以分配到各个分支机构或声誉风险管理主要部门继续进行声誉风险管理的培训,在实践中丰富和发展声誉风险管理理论,培育声誉风险管理专业队伍,为建立商业银行声誉风险管理长效机制打下基础。
(五)构建高效的信息沟通渠道
现代商业银行管理中,声誉风险管理战略和政策的正确制定、声誉风险管理策略的实施、声誉风险管理的监察与报告都依赖于所获取的有关声誉风险信息的充分性和准确性,独立的、封闭的风险管理组织体系只会导致信息在声誉风险管理职能部门和业务发展部门之间流通不畅。构建高效流畅的信息沟通渠道,横向看即是在各个业务职能部门与声誉风险管理职能部门之间建立良好的沟通交流渠道和交流机制;纵向看即是自上而下的声誉风险管理政策、措施的下达与实施效果报告渠道。通过覆盖业务部门与声誉风险管理职能部门的信息系统,完善总行―分行―支行网络信息实时检测系统,声誉风险管理人员与风险管理部门定期进行交流和交换,严格规范声誉风险报告制度,宣传推广良好的声誉风险管理文化都可以实现信息的充分沟通与交流。
(六)强化与完善基层分支机构声誉风险管理职能
目前,商业银行最普遍的组织管理模式是总行―分行―支行制,支行基层机构层面缺乏独立行使声誉风险管理职能的角色,支行没有专门负责声誉风险管理的岗位。为此,商业银行应在支行一级单位设置声誉风险管理岗位,配备具有专业知识能力人员专门负责声誉风险管理;对于由于链条中断没能有效地落实声誉风险管理政策与措施的情况可以加强中间职能部门的监管,实施实时监控报告制度,保证有效的垂直管理顺利运作;对于基层业务经营活动与声誉风险管理目标基于成本-收益的矛盾情况,要加强业务部门与声誉风险管理部门的信息交流沟通,建立成本-收益数据库,通过量化的方法及时作出最优的管理成本与经济收益组合,选择恰当的时机与科学有效的方法逐步强化声誉风险管理在基层管理成效。
总之,商业银行声誉风险组织体系与其他风险管理组织体系既有区别,又有联系,在吸收国际商业银行声誉风险管理组织体系经验的同时,应结合我国商业银行现状,不断构建和完善我国的商业银行高效的声誉风险管理组织体系,为商业银行健康、稳健、持续发展提供组织保障。
参考文献:
[1]毛应梁,张吉光.我国商业银行全面风险管理组织框架问题分析[J].新金融.2007(7):14-18.
[2]唐弋宇.浅析商业银行声誉风险管理[J].金融与经济.2009(11):93-95.
本刊谨向积极参与本次征文活动社会各界的人士包括长期支持本刊的读者、作者表示衷心的感谢。同时,我们将抓紧征文活动的后期进程:组成专家评审委员会,评选出优秀论文并尽快予以公布。今后,本刊将本着创办精品期刊、服务于商业银行战略转型、服务于读者的基本宗旨,继续举办类似的活动,以繁荣理论研究和深化实践探索,希望社会各界一如既往地支持我们。
内容提要:风险管理是商业银行经营管理活动的核心,风险管理的好坏在很大程度上决定一家银行经营的成败。与国际先进银行相比,特别是与巴塞尔新资本协议提出的全面风险管理精神相对照,国内商业银行在风险管理方面仍存在较大差距。在目前产权改革初步告一段落的情况下,国内商业银行下一步的改革将围绕建设符合现代金融企业要求的体制机制方面展开,而全面风险管理体系的建立首当其冲。本文在对巴塞尔新资本协议和国内外银行业的有关实践进行总结的基础上,概括出了商业银行建立全面风险管理组织框架的基本原则,并对国内商业银行提出了有关政策建议。
关键词:商业银行 全面风险管理 组织框架
中图分类号:F830.49文献标识码:B 文章编号:1006-1770(2007)07-014-04
风险管理是商业银行经营管理活动的核心,风险管理的好坏在很大程度上决定一家银行经营的成败。近两年来,随着银行业改革不断推向深入,特别是国有银行股份制改造和上市取得巨大成功,国内商业银行的经营管理状况得到极大改善,风险管理有了明显好转。但与国际先进银行相比,特别是与巴塞尔新资本协议提出的全面风险管理精神相对照,国内商业银行在风险管理方面仍存在较大差距。进入金融业的重要转折期和重要发展期,在产权改革初步告一段落的情况下,国内商业银行下一步的改革将围绕建设符合现代金融企业要求的体制机制方面展开,而全面风险管理体系的建立首当其冲。因此,构建全面风险管理组织框架是当前国内各商业银行的一项紧迫任务。
一、商业银行全面风险管理组织框架的判定原则
从巴塞尔新资本协议的精神和国际银行业的实践来看,全面风险管理组织框架并不仅仅意味着架构形式上的建立,还包括职责明确、功能健全、信息沟通顺畅、体系运行有效等深层次的内涵,即形神兼具。概括来说,风险管理组织框架全面与否应符合六项标准,即一致性、全面性、独立性、权威性、互通性和集中与分散相统一。这也是商业银行构建全面风险管理组织框架应遵循的基本原则。具体来看:
1、一致性原则
所谓一致性原则是指,银行在制定风险管理框架时,首先应确保其风险管理目标与业务发展目标的一致性。风险管理的目的在于为业务发展提供一个健康的环境和内部机制,而不是抑制业务的发展。在发展业务的过程中,应将风险管理看作有力的保障,而非阻碍因素。这是建立有效的风险管理框架的前提。
2、全面性(或称为有效性)原则
全面性原则可以归纳为两个确保,即银行应确保其风险管理框架能够涵盖所有业务和所有环节中的一切风险(即所有风险都有专门的、对应的岗位来负责),确保该职责框架能够识别银行面临的一切风险。尤其对于新产品、新业务,银行应确保这些产品、业务在创新出台和引进之前就为其制定出适当的风险管理程序和控制方法,即“内控先行”的原则。
3、独立性原则
这包括三个方面的内容,即董事会与高级管理层之间风险管理职责的独立性(风险管理战略、政策制定与实施之间的独立性)、独立的专门负责风险管理的部门(风险管理部门应独立于业务部门)、独立的风险管理评估监督部门。独立性原则的实质就是要在银行内部建立起一个职责清晰、权责明确的风险管理机制。因为清晰的职责划分是确保风险管理体系有效运作的前提。值得注意的是,独立性原则并不排斥部门之间的交流与合作。对此,巴塞尔委员会特别强调董事会、高级管理层和审计机构之间要进行充分的交流和合作。
4、权威性原则
权威性原则意味着,在银行的风险框架中应确保风险管理部门和风险管理评估监督部门具有高度权威性,尽可能不受外部因素的干扰,以保持其客观、公正性。从理论上来讲,当两个部门的权威性处于相同层面时,每个部门会形成不同且清晰的权力边界,并将两个部门割裂开来,从而使两者之间的合作和沟通难于实现。这一点在风险管理部门和业务部门之间得到突出体现。银行的风险管理势必要渗透到业务部门的运作中,因而很容易受到抵触。如果风险管理部门没有强于业务部门的权威性,风险管理工作将难以顺利执行下去。理论和现实都证明,必要的监督可以确保各个岗位职责的充分实现,但监督部门如果缺乏权威性,监督就会形同虚设。
5、互通性原则
互通性原则要求银行建立一个完善的信息系统,进而在银行内部形成一个有效的信息沟通渠道――包括信息上报(即风险管理部门与风险管理评估监督部门直接向董事会、监事会和高级管理层报告的渠道)、信息下达以及内部信息的横向流动(即各相关部门之间要保持信息的互通)。有效的信息沟通可以确保所有的工作人员(包括董事会及高级管理人员)都能充分理解其工作职责与责任,并保证相关信息能够传递给适当的工作人员,从而使风险管理的各个环节正常运行。
6、集中与分散相统一原则
全面风险管理的基本内涵就是商业银行作为一个整体,董事会和高级管理层应充分了解银行面临的各类风险状况,并对各类风险实施有效管理。鉴于此,商业银行全面风险框架的设置应遵循集中与分散相统一的原则。为了确保各类风险都得到管理并及时向高层汇报,不同类型的金融风险应由相应的专业机构来负责管理,不同的风险管理机构最终都应直接向总行高级管理层中的专职风险管理行长负责,由其统筹规划,实现风险的集中管理。同时,考虑到业务的多样性和风险的复杂性,在风险集中管理的大框架下,不同类型的风险应交由不同的专业机构来管理,以提高管理的效率和水平,比如,合规风险应由独立的合规部门而不是传统的风险管理部门来管理。风险的分散管理有利于各相关部门充分发挥专业知识,集中力量将各类风险控制好,体现出专业化分工的优势。而风险的集中管理则有利于从整体上把握银行面临的全部风险,从而将风险策略与商业策略统一起来,实现业务发展与风险管理的有效平衡。风险管理过于集中往往使该部门力不从心,不能专心于某类风险;风险管理过于分散则往往容易造成信息割裂和管理真空,不利于银行商业策略与风险策略的结合,甚至违背银行的发展策略。
二、当前国内商业银行风险管理组织框架存在的问题
近几年来,国内商业银行在风险管理方面进行了众多改革和积极探索,风险管理组织框架不断完善。但离全面风险管理组织框架及其六项原则的要求仍有较大差距,这集中表现在:
(一)外形上,风险管理组织架构不健全,部分环节尚未建立或较为薄弱
1、作为构建全面风险管理组织框架基础的公司治理仍不健全
健全、有效的公司治理是全面风险管理组织框架得以建立和运行的基础。目前,国内大多数商业银行都建立起由股东大会、董事会、监事会和高级管理层“三会一层”组成的公司治理基本结构。但从深层次看,董事会、监事会、高级管理层在风险管理方面的职责尚未清晰划分,各自为履行风险管理职责所需的组织架构还未完全建立,三者之间互相合作与制衡的机制较为薄弱。可以说,国内商业银行构建全面风险管理组织框架的起点不高,基础不牢,从而影响全面风险管理体系的有效运转。
2、董事会风险管理委员会缺乏运行支撑
董事会的风险管理职能主要是通过下设的风险管理委员会来行使。而董事会风险管理委员会风险管理职能的充分履行依赖于两方面因素:一是委员会有一个强有力的日常办事机构,负责信息收集、决策执行、材料准备等工作;二是委员会与高级管理层的风险管理体系有效对接,信息传输、决策传达、情况汇报等相对顺畅。国内商业银行在这两方面普遍做得不够。一是董事会风险管理委员会要么没有设置专门的日常办事机构,要么办事机构资源配备不足,特别是缺乏训练有素、有专业知识的专业人才,从而无法有效支撑委员会风险管理职能的充分行使;二是高级管理层的风险管理体系与董事会风险管理委员会缺乏有效对接,委员会无法获得行使风险管理职能所需的信息、技术等方面的支撑,双方之间的沟通渠道缺乏;三是国内大多数商业银行董事会风险管理委员会的人员构成中,具有银行业风险管理经验的人员缺乏,而且在金融、法律、会计等不同专业背景人员之间的有效互补和科学搭配方面存在不足,从而制约其风险管理职能的发挥。
3、高级管理层层面风险管理架构分散割裂,统一性、集中性不足
全面风险管理的基本要义是对信用风险、市场风险、操作风险等各类风险进行集中、统一的管理,实现对各类风险的全面覆盖。体现在风险管理组织框架上,就是要有独立的部门(机构)对风险进行集中、全面管理,而不是将风险管理职能割裂开来,分散于多个不同部门。从国外的情况来看,商业银行大多是通过设立风险管理委员会和风险管理部门来实现这一要求的。风险管理委员会为管理全行各类风险的专门委员会,负责制定银行的风险管理政策、措施以及协调解决重大风险问题。风险管理部门则负责落实执行风险管理委员会的政策、措施以及有关决议,并对全行各类风险进行集中、统一的具体管理,包括风险识别、评估、监测、量化并报告等具体内容。从国内的情况来看,受各方面因素和条件的限制,风险管理委员会尚未覆盖银行面临的各类风险,对信用风险、操作风险关注较多,而对市场风险、合规风险等新型风险的管理则相对欠缺。而风险管理部门也未能有效整合银行的风险管理职能,更多的是在信用风险领域开展管理工作,其他各类风险的管理职能则分散于多个部门,使得风险管理框架被割裂开来,集中性、统一性不足。
4、银行基层分支机构风险管理角色缺位
全面风险管理组织框架意味着商业银行在董事会、监事会、高级管理层、总行、分行、支行等不同层面都有相应的机构(单位)承担相应的风险管理职能,以确保对风险管理全过程的覆盖以及风险管理链条的完整性、有效性。目前,国内商业银行的风险管理职能主要集中于高级管理层、总行和分行,确保了总行对风险的集中管理。但在支行等基层机构层面则缺乏独立行使风险管理职能的角色。这并不是说基层支行没有为风险管理设置岗位和配备人员,而是指有效承接总行或分行层面风险管理体系链条的环节缺乏,没有实现风险的垂直管理,基层支行风险管理主要受支行行长领导,并向其负责。在利润考核的驱动下,基层支行的业务经营不可避免与风险管理产生矛盾,并最终导致风险管理职能的弱化和缺位。
(二)内涵上,风险管理职责不完善,现有风险管理组织框架无法达到全面风险管理的要求
1、董事会风险战略管理职能薄弱,风险管理体系建设缺乏科学规划指导
制定风险管理战略是商业银行风险管理的第一环节。因为风险管理战略明确了一家商业银行风险管理的目标和方向,确定了银行的风险偏好,对风险管理体系建设和风险管理工作的开展起指导性、方针性作用。风险管理战略环节的职能是由董事会及其下属风险管理委员会承担的。由于组织架构方面的缺陷,特别是受制于有效运行支撑不足,国内商业银行董事会的风险战略管理职能普遍薄弱,银行缺乏完整、清晰的风险管理战略,这使得整个银行风险管理组织框架建设缺乏科学指导。
2、风险管理部门对风险的全面、集中管理程度不高,不能充分覆盖银行面临的各类风险
本文前面提出的“全面性(有效性)”原则要求,商业银行应确保有一个独立、强大的风险管理部门对全行包括信用风险、市场风险、操作风险等各类风险进行集中管理,以确保风险管理的全面性和有效性。国内大多数商业银行虽设立了独立的风险管理部门,但其职责并未达到全面性的要求,仅仅实现对信用风险的集中管理,尚未将市场风险、操作风险等纳入管理范畴。这种风险分散管理的状况,既不利于发挥风险管理专业人员的优势,提高风险管理的效率;又不利于董事会和高级管理层对银行风险管理状况的全面了解,影响风险管理政策的制定。
3、风险管理监督评价职能缺乏
巴塞尔委员会认为,健全的风险管理框架除了设立一个独立的风险管理部门之外,还应有一个独立的风险管理评估系统和一个独立的审计机构(定期审查银行风险计量、监督与控制职能的执行情况)。风险管理的评估一般由董事会下设的风险管理委员会负责,风险管理的审计稽核一般由董事会下设的审计委员会和银行的内部审计部门负责。按照巴塞尔委员会的规定,审计部门应就“银行是否有负责设计风险管理系统的独立的风险控制部门;董事会和高级管理层是否积极参与了风险控制工作;风险执行是否合规;有关风险政策、控制与程序是否得到遵循;风险管理人员配置是否合理等”问题进行审计。从国内的情况来看,大多数银行已经在董事会下设立了风险管理委员会,就风险管理目标计划的实施情况进行评估。但风险管理各项职能执行情况的稽核审查缺乏。董事会下虽然设立了审计委员会,但并没有对风险管理职能执行情况进行有效的稽核审查,导致风险管理组织框架中对风险管理的监督评价职能缺乏。
(三)运行上,风险管理信息系统不完善,风险管理体系赖以运行的信息支撑不足
全面风险管理组织框架是一个由决策系统、信息系统、执行系统和监督系统组成的有机体系。其中,信息系统是这一体系的基础,是其他三个环节有效运转的支撑。无论是风险管理战略的制定,还是风险管理政策的执行、风险管理活动的开展,都依赖于一个健全的信息系统。而国内商业银行风险管理组织框架存在的一个不足之处就是信息系统不健全、信息渠道不畅,从而影响风险管理组织框架各环节的正常运转和作用发挥。这也是目前国内商业银行大要案频频发生、屡禁不止的主要原因之一。
三、构建国内商业银行全面风险管理组织框架的建议
根据本文前面提出的六项原则的要求和国内商业银行风险管理组织框架存在的不足,笔者认为,当前国内商业银行构建全面风险管理组织框架应重点做好以下工作:
(一)进一步完善公司治理,夯实全面风险管理组织框架的基础平台
国内大多数商业银行已初步建立起以“三会一层”为主体的公司治理基本架构,实现了“形似”的要求。下一步完善公司治理的重点在于建立健全公司治理运行机制,达到“神似”的最终目的。具体来说:第一,进一步明确董事会、监事会和高级管理层在风险管理中的不同职责,划分权力边界,承担起各自的角色,建立起既相互合作又相互制衡的的运行机制;第二,进一步健全董事会、监事会及其下设专门委员会有效运行的支撑体系,设立专门的日常办事机构,确保董事会、监事会层面的风险管理职能与高级管理层的风险管理职能有效对接;第三,逐步建立董事、监事知情权保障机制,特别是风险管理方面的知情权,为董事、监事充分履行职责提供信息保障。
(二)强化董事会的风险战略管理职能,提高全面风险管理组织框架建设的前瞻性、指导性
根据巴塞尔新资本协议的全面风险管理精神,国内商业银行应进一步强化董事会的风险战略管理职能,为构建全面风险管理组织框架提供科学指导。一是结合市场定位和业务发展战略,董事会制定与银行自身发展水平相适应的风险战略,并据此确定风险偏好,对银行风险管理活动的开展做出规划;二是建立健全风险战略管理机制,定期对银行风险战略执行情况和业务发展情况做出评价,并据此调整完善风险战略,确保风险战略的科学有效;三是强化董事会对银行风险政策的最终审批权力,确保风险政策符合银行风险战略的长远规划,促使高级管理层建立起符合银行风险战略的风险管理体系;四是探索实施首席风险官制,在董事会下设立首席风险官,直接向董事会负责,与高级管理层形成有效制衡,强化董事会的风险管理职能。
(三)完善高级管理层下风险管理体系,实现风险管理职能由分散割裂转向集中统一
针对本文第二部分分析的国内商业银行存在的风险管理职能分散割裂问题,进一步整合高级管理层层面的风险管理职能,完善风险管理组织框架。第一,进一步完善高级管理层下风险管理委员会的设置,针对目前国内银行业的现状,考虑为风险管理委员会配备具有相应专业知识的专职人员,分别对信用风险、市场风险和操作风险实行集中管理,扩大风险管理委员会的覆盖范围,提高风险管理的集中性和统一性。第二,整合总行层面分散于多个部门的风险管理职能,将其纳入风险管理部门的管理范畴,实现风险管理部门对全行风险的全面集中管理。与此同时,要逐步改变那种风险管理部门既承担风险管理职能,又承担业务经营与业务指导职能的做法,真正实现风险管理与业务经营的分离,确保风险管理的独立性。
(四)健全基层分支机构的风险管理组织架构,实现风险的垂直化、矩阵式管理体系
针对基层分支机构风险管理架构缺失的现状,国内商业银行应逐步推行垂直化、矩阵式的风险管理体系,设置基层分支机构的风险管理部门和岗位,确保整个银行风险管理体系链条的完整性。具体来说:一是在银行推行垂直化、矩阵式风险管理体系,总行首席风险官和风险管理部门为风险管理的最终负责人和部门,分支行层面的风险官和风险管理部门对上一级风险官和风险管理部门负责,并受其领导,同时又向分支行的行长汇报工作。该体系有利于确保风险的集中管理,提高风险管理效率。二是在基层分支机构设置风险经理岗位,由上一级风险官和风险管理部门委派,协助其进行风险管理,不受基层分支机构的干预,客观独立地对基层分支机构的风险进行管理。三是风险官与风险管理部门定期进行交流和交换,以解决分支机构之间、分支机构与总行之间信息不畅的问题。
(五)完善风险管理的监督评价体系,确保风险管理组织框架的有效运转
有力的监督评价体系可以确保银行的风险管理政策得到充分落实、各项风险管理职责得到有效执行,并使银行风险管理体系得到持续改进。目前,国内商业银行对风险管理的监督评价普遍较为薄弱,尚未形成完整的体系,持续性、有效性不足。对此,应从以下三方面入手:第一,建立董事会对高级管理层风险管理情况的监督机制,促使高级管理层充分贯彻落实董事会制定的风险战略和风险政策;第二,强化监事会对董事会、高级管理层风险管理职责履行情况的评价机制,确保董事会、高级管理层充分承担各自的风险管理职能;第三,建立风险管理的审计监督机制,由银行内部审计部门或独立的外部审计机构对银行风险管理体系中各环节的风险管理职责执行情况和风险管理的合规性进行稽核监督。
(六)建立健全风险管理信息系统,为全面风险管理组织框架提供信息支撑
巴塞尔委员会特别强调要建立一个完善的信息系统,进而在银行内部形成一个有效的信息沟通渠道――包括信息上报、信息下达以及内部信息的横向流动。完善的风险管理信息系统不仅仅局限于网络信息系统,还包括银行内部定期和不定期的信息交流系统。对此,国内商业银行因从三方面入手:一是进一步完善网络信息系统,为总行与分支机构之间、分支机构与分支机构之间、总行各部门之间进行信息交流建立沟通渠道;二是在银行内部建立起风险信息沟通渠道,特别是建立起一个较为完善的风险信息汇报框架,实现风险信息下达、风险信息上报以及风险信息横向流动的畅通;三是逐步建立风险损失数据库,特别是操作风险损失数据库,为风险量化技术的运用打下基础。
参考文献:
1、 詹姆斯.林著 黄长全译《企业全面风险管理――从激励到控制》 [M] 中国金融出版社 2006
2、 米歇尔.科罗赫等著曾刚等译《风险管理》[M] 中国财政经济出版社 2005
3、 田玲著 《德国商业银行风险管理研究》[M] 科学出版社 2004
4、 罗恩.顿波等著 黄向阳等译 《风险规则》[M]中国人民大学出版社 2000
5、 张吉光 等著 《商业银行全面风险管理》[M] 立信会计出版社2005
6、 巴塞尔银行监管委员会 《巴塞尔银行监管委员会文献汇编》[M] 中国金融出版社2002
7、 巴曙松著 《巴塞尔新资本协议研究》[M] 中国金融出版社 2003
作者简介:
伴随着外部生产经营环境的日益复杂化,进一步强化风险管理工作在很大程度上已经成为企业能否顺利实现自身发展战略,推动健康持续发展的重要环节。企业实施风险管理的效果和效率依赖于企业风险管理组织架构的建立和完善。企业管理者应当将风险管理组织架构的设计作为风险管理的重要内容来加以落实,确保其职责明确、上下沟通顺畅、分工细化,只有这样才能保障风险管理的组织完善有效。在风险管理实践中,企业业务部门风险属性跟风险管理部门的属性存在着不一致的情况,这就要求管理者在进行风险管理组织架构设计时,紧密结合本单位管理实际和特点,完善自身风险管理机制,最大程度发挥风险管理部门的效用。
二、企业风险管理组织架构设计工作重点
当前,企业风险管理基本上都是实行全员风险管理,在风险管控过程中董事会、经理层、财务部门、市场部门以及审计部门等都会参与其中,风险管理涉及到企业生产经营的各个方面,这也意味着企业职工以及管理层在风险管理中都承担着一定的责任,全员化风险管理正越来越成为趋势。上述这些风险管理参与者都是风险管理组织架构的参与因子,在风险管理组织架构设计上需要在上述参与因子中做好风险管理责任的细化和落实工作。一般来讲,企业进行风险管理组织架构的设计工作应当重点围绕以下两个方面来开展:一是明确风险管理相关责任主体在整个风险管理过程中的地位以及作用,建立完善风险管理委员会等相关风险管理职能部门,在风险管理委员会、经理层、业务部门、财务部门以及董事会等之间合理进行权责分配;二是明确各个主体之间的关系,合理选择集权式管理模式以及分权式管理模式,完善各个风险管理岗位的职责以及人员配置。
三、企业风险管理组织架构的设计原则分析
企业在进行风险管理组织架构的设计时,需要依据以下几个方面的原则来实施:第一,全员参与原则。企业风险管理涉及的面比较广,影响因素也比较多,要确保风险管理的实施效果就需要企业全员职工的积极参与。将企业所有职员都作为风险管理的影响者以及参与者,在整个企业范围内进行风险管理的配合及协调工作。同时在进行风险管理组织架构设计时还需要充分结合各个部门、各个层级的定位和职能发挥,通过编写风险管理手册来进一步明确责任,切实将风险具体细化,落实到位。第二,权责明确原则。确保权责明确是实施风险管理的关键点。在权责的划分明确上一般会涉及到部门职工积极性发挥和主动性以及权利限制等。在这一方面要确保不相容职务相分离,杜绝人为操纵现象的出现;合理分工,减少职责的重复和遗漏;对权限层级进行明确划分,严格规定风险管理层级限额并加以贯彻落实。同时,还需要确保报告线的完整性,需要根据企业管理关系以及自身业务的复杂程度合理安排报告线的长短,确保企业管理者能够及时获得本单位风险管理情况。第三,信息畅通原则。在设计风险管理组织架构时,需要确保信息畅通无阻,并减少信息流动成本。下级组织应当能够向上级沟通风险暴露情况以及政策执行情况,上级组织应当可以及时向下级传达相关政策和策略,各个部门之间应当保持信息畅通,加强信息共享。要避免信息流动的复杂化,减少信息流动干扰。
四、企业业务部门风险管理模式选择分析
对于业务部门来讲,实施风险管理的组织问题会涉及到集权模式以及分权模式这两种,在集权式风险管理模式下,企业集团总部的风险管理负责人负责处理企业的大部分风险管理事务,而在分权管理模式下,企业具体子部门、子公司的风险管理经理人会日常处理本单位、本部门的风险管理事务,并据此向总部风险管理经理进行汇总报告。集权式风险管理模式能够实现在风险管理过程中达到经济规模化,有助于减少高层管理者跟风险经理之间的信息障碍,确保企业风险管理政策的一致性,但是这一模式会削弱公司其他风险管理部门以及职员对于企业风险管理的重视。分权式风险管理模式的优势是在实现风险集中管理的基础上,能够对本单位的风险成本进行细化,并具体到各个具体的管理部门或者业务部门,明确责任,有助于风险管理政策的落实和贯彻。能够提升各个具体业务部门对于风险管理的重视。在日常的风险管理过程中,也有助于及时发现具体执行中所出现的各种风险管理问题,进而采取及时有效的措施加以纠正,便于风险管理活动下放到具体执行部门。但是这一模式也有着自身的不足,就是在缺乏有效沟通渠道的情况下,企业高层管理部门可能难以全面、及时、准确地把握各个业务部门以及分公司的风险管理事项,很容易导致公司上下层政策沟通不畅,出现政策不一致性,进而影响到风险管理政策的整体效益和效果。
五、结语
关键词:内部控制 风险管理 COSO
1 概述
近年来,企业面临的经济环境越来越复杂多变,各种风险因素都在变化和增大。与国外发达国家相比,我国企业的内部控制和风险管理水平还比较落后。我国的风险管理体系亟待完善。因此,通过科学的方法研究一套有效的风险管理体系变成了我国企业进一步发展的必然要求和重要保证。在内部控制的基础上建立风险管理体系,可以使企业在复杂的环境中更有竞争优势,提升其风险承受力,降低损失,提升适应环境的能力。
2 基础理论分析
2.1 内部控制、COSO的含义与构成要素分析 ①内部控制的含义。内部控制是由企业管理人员以及学术界学者们在实践中不断创新和改进而共同推动发展的。内部控制作为企业自我调节和制约的一个内在机制,是由企业的董事会、管理层和其他人员实现的过程,旨在为财务报告的可靠性、经营的效果和效率提供合理保证,与风险的管理密切相关。②COSO内涵。COSO是美国最早在1985年由各大会计师协会创建的防范虚假财务报告委员会,自创建以来,通过分析财务舞弊原因以提升财务真实性为最终目的,有很高的权威性。随后,COSO委员会相继了内部控制整合框架等管理内部控制的纲领性经典文件。这些文件指导我国企业完善风险管理,并进入了一个法制化的阶段。1992年,COSO委员会内部控制的相关报告,同时也对风险管理进行了比较全面的阐述,并在1994年对内部控制的涵义进行了补充和增加,不断完善我国基于内部控制的风险管理水平。③内部控制的构成要素分析。内部环境是企业进行风险管理的基础,为其他要素的顺利进行提供了基本的组织结构。COSO报告阐述了组成内部控制的构成分别为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监督8大要素。这要素是一个有机的整体,它们并不是单纯罗列的过程,而是一个相互作用、相互影响的过程。内部控制的这要素彼此关系非常紧密。
2.2 风险管理的内涵 风险存在于企业的生产管理和经营管理的每一个阶段,有客观性、可转变性、不确定性和偶然性。风险可以被分为系统风险以及非系统风险。其中,非系统风险来自内部,而系统风险更多的来自外部的宏观因素。非系统风险对企业整体都会产生影响,并且较难规避。
2.3 通过COSO对内部控制与风险管理的启示 通过对COSO的深入理解,得到了对企业内部控制与风险管理的启示。内部控制能够触及到企业的任何部门,可以设置相互制约的岗位及人员,提高预测和控制风险的及时度和准确度。促进企业有效的规避风险。内部控制有不可忽视的作用,从内部控制的角度来进行风险管理,弥补了之前关于这方面研究的欠缺。对丰富风险管理方法、提高预测风险的准确性、节约风险控制成本、改善现状等具有重要的意义。
3 基于内部控制构建风险管理体系
3.1 基于内控构建风险管理体系的原则 结合内部控制管理应对策略,确定风险管理体系构建方案,遵循的原则为:①系统原则。风险管理是一个整体相互联系、相互作用的体系。这个体系以防范风险为出发点,以实现风险管理为最终目的,将所有流程作为一个有机整体,促进管理目标的实现。②基于内部控制原则。风险管理要通过内部控制管理的流程来逐步完成,设计风险管理体系时也要以内部控制的8大要素为基础来考虑风险管理的操作要求,把所有控制和管理活动划分为以每个要素为基础进行风险管理。③预防原则。构建全面风险管理体系时要尽量以突出预防为主,以预防为主才能将风险控制在发生前,事前采取预防措施,防止风险发生后再补救而给公司带来的损失。④持续改善原则。由于外部和内部管理环境的要求是不断变化的,所以风险管理不是一个静态系统,而是一个必须持续改进的动态系统。
3.2 基于内部控制完善风险管理的实施步骤 ①制定风险管理的总体目标和子目标,收集风险管理的初始信息确定风险管理的总体目标,将风险管理的目标分解到企业内部的各个职能部门,形成风险管理总体目标统领各部门的子目标。②在内部控制的基础上进行风险辨识和风险评估。建立规范化的内部控制体系,根据内部控制的8大要素完善战略目标、控制风险活动等与风险管理有关的制度。③针对不同类风险,建立风险管理制度政策。设立能够反映企业运营状况的风险管理指标,同时建立重大风险的指标监控和预案,对危险值的变化趋势进行量化分析,实时监控风险指标在经营生产中每个状态的趋势变化状态。④对重大风险建立风险应对措施和预案。按照我国企业制定的风险管理政策和计划,分配到企业内部各个部门来实施具体计划。制定风险管理措施有力实施的保障预案,最大程度的使风险管理规范化。
4 总结
综上所述,本文通过COSO的启发,基于内部控制分析进行风险管理,并融合了内部控制进行风险管理。结合企业自身的规模、特点和环境等,在完善内部控制管理的同时,构建风险管理体系,尽早处理风险。
参考文献:
[1]唐妍.企业会计信息系统内部控制影响因素研究[D].辽宁大学,2012.
[关键词]风险管理 理性计算 反思与批评 风险治理
一、风险管理的发端及其基本意涵
风险,从广义的角度讲,伴随着人类的整个发展历程,凡是存在不确定性的和灾难性后果的地方就存在风险。风险管理与人们天然地渴望降低不确定性的本性相联系。但风险的观念以及风险管理的观念并非始终为人们所理解,Judith Green(1997)从对“事故(accident)”系谱学地分析出发,认为风险观念是人们摆脱了决定主义的命定论并接受了理性的因果分析时才得以产生。Gray等(2001)认为,风险管理扎根于资本主义发展初期,但只有到了20世纪40年代后,风险管理才得到了进一步的发展,所以也有人认为现代风险管理起源于20世纪二三十年代统计方法在大规模生产中的运用,在二战中随着数学概念在军事领域的运用而得到发展,直至五十年代,决策科学作为一门确切的学科出现后,风险管理的一般观念才得以出现。不同的人或组织对风险管理可能形成不同的界定,但在任何定义中,风险管理都包含三个基本要素:风险管理的主体、风险管理的对象、风险管理的方式和原则。故本文将从这三个方面简要勾勒出风险管理理念的演进和发展。
二、以理性计算为基础的风险管理
风险管理的出现建立在概率论在管理科学中的系统运用,起初的风险管理建立在理性计算的基础之上。以理性计算为基础的风险管理大致包括两个视角,即风险管理的技术视角和经济学视角。风险管理的技术视角,就是力图通过对大量数据的统计分析在风险暴露和风险后果之间建立联系,形成风险分析的技术模型,其基本的内容大致包括数据收集、风险分析和风险应对措施的采取。经济学视角的风险管理与技术视角的风险管理最为接近,其基本的理论假设是成本—收益原则和预期效用理论。
早期(从20世纪40年代到60年代)以理性计算为基础的风险管理,对风险采用了一种客观实体主义的定义,即将风险视为可能发生的对人类造成负面伤害的事件。这种定义在保险业和化学工业中最广泛地被采用,风险本身是可以通过数据的收集、模型的建立而得到估算的,比如在保险业中的风险评估和管理。应对风险的方法大致包括风险处理、风险规避、风险转移等。
在这一阶段,即风险管理主要以理性的计算为基础阶段,风险管理的主体是单一的,即作为管理者的个人、企业或者政府(或者说是风险分析和管理的专家);管理的对象,亦即被定义为风险的事物,也是明晰的,对何谓风险在这一阶段并没有太大的争议;而风险管理的原则和方法也是命令式的。
以理性计算为基础的风险管理,其最大的优点在于其模型的简单性和明晰性,尽管这种简单性与明晰性可能获得一种方法论上的活力,能够分析数据、风险描述和价值判断,但其最大的不足之处也正是在于由于其简单性和明晰性而无可避免的狭隘性。
三、对以理性计算为基础的风险管理的反思和发展
进入上世纪70年代,人们开始对这种以单纯的理性计算为基础的风险管理提出了大量质疑和批评,不同的视角和理论被引入了风险研究之中。下文主要介绍三种主要的理论视角,即心理学视角、社会学视角和文化研究视角,及其对风险管理的反思和发展。
心理学视角的风险研究强调人们对风险的感知,即对风险的主观判断和评估,风险认知是风险管理者在风险认定和策划风险排减措施时必须考虑的因素。由于风险感知的引入,风险管理开始从纯粹客观的分析,转向开始关注人们主观对风险的判断,风险管理也开始转向一种来自于底层的视角,对风险的认定也并非仅限于专家的视角。
社会学的视角将风险的定义由实体论层面拓展到了社会定义和社会建构层面,“真实的”风险后果总是包含着社会诠释并与群体的价值和利益相联系。Zinn 和Taylor-Gooby(2006)概括了社会科学中五种风险研究的理论路径:理性选择路径、反思性现代性路径、后现代视角、系统理论视角、批判理论路径。理性选择路径将后果的不确定性与管理决策联系起来,强调不同的个人偏好与组织文化价值对风险的可能性和后果的理解。反思性现代性理论假设现代性的元理性基础已经失去了其合法化力量,经典的现代性转向了反思性的现代性,包括生活方式的个体化、知识和价值的多元化以及个人生活计划不确定性的增长等。系统理论视角将风险视为一种与社会定次级群体紧密相连的基础性社会建构,社会系统不断内在化外在威胁,将外在威胁转化为风险,风险的接受者和承担者之间存在非连续性。批判理论强调发达的或晚期资本主义的悖论和自反性后果,强调政治权力运用造成不平等的风险分配。后现论家发展了一种最为激进的建构主义观点,何谓风险、何谓收益及其何种程度都依赖于社会力量的塑造作用,重视社会框架和文化偏见的作用。
风险的文化视角将风险视为由社会中结构性力量所决定的社会建构,诸如健康威胁、不平等、公平性、控制等问题都不是有科学分析可以决定的,而只能是社会中不同行动者信念和理性的再建构。这些建构反映了不同风险领域中各个群体或组织的利益与价值以及这些群体之间共享的意义、文化产品和自然现象。风险政策是所有行动参与者持续斗争的结果,是将各自对风险的理解纳入公共日程之中,并强加给他者。自我利益之间需要做出妥协以实现群体自己的现实,不同群体之间为了建构有意义的现实有必要进行沟通,决定可能的现实建构的范围和界限。
各种研究视角的引入,丰富了人们对风险管理本身的理解,风险认知、风险沟通、风险参与等概念的提出,打破了原有风险管理的狭隘界限。风险管理的主体的单一性和明晰性受到质疑,风险的界定也成为一个建构、商讨甚至斗争的过程,风险管理的方式也开始变得更为复杂。
四、风险治理:风险管理理念的综合演进
对传统的以理性计算为基础的风险管理受到了多重挑战:风险感知挑战了理性风险分析的理想模型,技术性的风险分析也面临挑战,科学专家的权威开始受到挑战,政府在风险管理中的合法性也开始受到质疑。1992年英国皇家协会了一份关于公共风险感知和风险管理过程的报告,首肯了风险的可接受性之于科学的风险管理的重要性,企图将风险分析的技术科学观念与风险感知的社会和心理分析整合起来。90年代后,国际政治、经济、社会的巨大变迁也要求一种更为综合的风险管理框架,风险治理的观念开始出现。
治理(governance)的概念在90年代中期以后在有关国际关系、比较政治科学、政策研究、环境与技术社会学以及风险研究的文献中大量出现,涉及风险治理的组织和机构也大量出现。从国家层面来看,治理阐述了涉及到政府与非政府行动者的集体决策的结构和过程,现代社会中的治理被视为政府机构、经济力量和市民社会行动者之间相互作用的结果。在全球层面,治理意味着一种横向组织结构,包含了政府和非政府行动者,这些行动者在没有更高权威组织的情况下做出决策,非政府组织扮演了一种至关重要的角色。风险治理包含了横向和纵向两个为维度,横向上看,风险治理包含了政府及其机构、行业(或企业)、科学和学术团体、市民社会(或非政府组织)等行动者,从纵向看,风险治理包括了地方性风险治理、区域性风险治理、全国性的风险治理、跨国的风险治理以及全球性的风险治理。风险治理成为一个多维度、多元行动者的综合的风险管理框架,风险治理要求考虑各种情境性因素,诸如不同的制度安排以及包含不同风险感知的政治文化。
2001年欧盟委员会,提出了良好的风险治理必须遵循的几个原则:开放性、参与性、责任性、有效性、一致性、均衡性与辅。2005年,基于传统的风险分析和风险管理的路径和有效的风险管理的基本原则,国际风险管理委员以风险治理的概念为基础,提出了一个整合了的风险管理框架。这个整合的框架力图提供一种综合的方式以整合风险认定、风险评估、风险管理和风险沟通,弥补之前风险治理中的不足。这个框架包含了风险预评估、风险评估、可忍受性与可接受性判断、风险管理以及伴随以上每一个阶段的风险沟通。
五、小结
从摆脱决定主义的命定论观念到以理性计算为基础的风险管理理念的出现,再到更为强调主体的多元、对象的不确定以及原则和方法上的协商和参与的风险治理框架的出现,风险管理理念经历了其自身的发展和变化。随着现代化、信息化和经济全球化进程的加快,人们一方面享受着社会快速发展所带来的各种好处,但另一方面,人们也更加深刻地认识到社会快速发展背后所隐藏的危机,风险管理理念的演进也恰好体现了这种现代性自身的困境。如何走出这种现代性的困境,走向何种理念和原则的风险管理,有待于我们进一步地思考。
参考文献:
[1]Green, Judith, Risk and Misfortune(1997). The Social Construction of Accidents, London: UCL Press
[2]Gray, P. C. R. and Wiedemann, P. M.(2001) 'Risk management and sustainable development: mutual lessons from approaches to the use of indicators', Journal of Risk Research, 2: 3, 201—218
[3]Aven,Terje and Renn, Ortwin(2010). Risk Management and Governance: Concepts, Guidelines and Applications, Heidelberg: Springer
[4]Zinn, J. O., & Taylor-Gooby, P. (2006). Risk as an interdisciplinary research area. In P. Taylor-Gooby & J. Zinn (Eds.), Risk in social science (pp. 20–53). Oxford: Oxford University Press
关键词:风险管理;内部控制
中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01
一、风险管理和内部控制的联系
美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。
内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。
二、风险管理和内部控制的区别
“企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。
三、目前企业风险管理工作存在的问题
(1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。
四、构建体现全面风险管理的内部控制新机制
(一)构建具有本企业特色的创新风险管理理念
将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
(二)构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
(三)构建全新的内部控制组织体系原则
(1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
(四)构建符合内控要求的业务管理新制度
传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
参考文献: