只有通过对新时期社会保险档案管理创新的必要性以及现存的问题分析,将纸介档案与数字档案的转换,才是需要对新时期提出社会保险档案管理创新的途径策略。
社会保险档案管理现状分析
(一)社会保险的参保人数增长迅速
我国社会保险的参保数,增长迅速。2009年底,全国参加城镇基本养老保险人数为23550万人,比2008年末增加了1659万人。参加基本养老保险的农民工人数为2647万人,比2008年末增加231万人。根据《国家****行动计划(2011-2012年)》指出,到2012年,中国城镇基本养老保险参保人数超过2.23亿,基本医疗保险参保人数超过4亿,失业保险参保人数超过1.2亿,工伤保险参保人数超过1.4亿,生育保险参保人数超过1亿。参加农村社会养老保险和企业年金的人数逐年增长。
(二)社会保险经办机构实施改革计划
近几年来,国内社会保险经办机构全面实施了各种改革计划,早在2009年最后一次国务院常务会议决定将在2010年内开展全国范围的城镇企业职工基本养老保险关系跨省转移接续制度。从2010年7月1日起,流动就业人员基本医疗保险可跨省转移接续。2011年11月15日,人保部就《社会保险费申报缴纳管理规定(草案)》征求意见。根据草案,企业缴纳险种从养老、医疗、失业险三项扩至五项,新增工伤和生育险。这些政策改革都为新时期的社会保险事业的进一步发展营造了很大的发展空间以及机遇。
(三)负责社会保险档案管理的部门分散
一、风险管理与安全管理关系的认识
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的 网络 化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速 发展 ,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以 科学 的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践 历史 来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、 科学 的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的 电子 文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全, 自然 安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的 总结 与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《 计算 机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
3、 陈国云:《档案信息建设的风险管理》,《档案管理》2008年第1期。
关键词:档案安全体系;档案保护;灾害管理;风险管理;信息安全
Abstract:The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory, this paper point out the source of archival security system theory from these aspects: the archival conservation and management theory, risk society theory, risk management theory, disaster management theory, information security theory and safety culture management theory.
Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security
1 引言
2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。
3 结语
2010年,国家档案局提出建设档案安全体系,并迅速付诸实践。实践工作的快速推进,亟须理论的支撑。因此,有必要梳理已有的相关成果,分析相关的理论思想来源,提炼档案安全体系理论,为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想,其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础,其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然,在各学科理论融合发展的大背景下,后面5种学术理论当中,也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此,笔者认为,针对档案安全问题的广泛性与特殊性,在档案安全体系研究当中各种理论思想之间并不是完全割裂开的,是可以相互借鉴吸收的,其共同目标是应对各类档案安全问题,指导档案安全体系建设。
参考文献:
[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):27.
[2]冯惠玲,王健.电子政务建设中的文件管理风险探析[J].中国行政管理, 2005(4):62~66.
[3]冯惠玲.论电子文件的风险管理[J].档案学通讯, 2005(3):8~11.
[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯, 2005(6):51~55.
[5]张宁.电子文件风险管理:识别与应对[J].电子政务, 2010(6):24~30.
[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案, 2010(7):59~61.
[7]向立文,欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯, 2015(4):68~71.
[8]陈国云.档案信息化建设的风险管理[J].北京档案,2008(2):42~43.
[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报,2015-11-23(03).
[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案,2010(7):72.
[11]于海燕.档案灾害预警机制研究[J].档案学通讯, 2011(4):81-84.
[12]吴加琪,周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案, 2012(6):16~18.
[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥:安徽大学, 2010.
[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案,2010(3):21~23.
[15]吴晓红,郭莉珠.数字档案灾害初探[J].档案学通讯,2005(3):80~83.
[16]吴晓红.档案灾害学研究[D].北京:中国人民大学,2007.
【关键词】集团企业;财务风险;管理框架;构建原则
一、引言
任何类型的企业都会面临一定的风险,集团企业从单体企业发展而来,集团企业的财务风险不仅具有单体企业均具有的投机性、综合性和分散性等特征,同时具有“牛鞭效应”、系统性和动态性等特征。因此,集团企业尤其需要加强风险管理。
二、研究框架设计
集团企业财务风险管理是一项涉及面广、技术复杂的系统工程。本文以系统论为理论指导,应用规范研究方法,设计相应的研究框架。
首先,确定研究问题。本文在前人研究成果的基础上确定了研究问题,即集团企业财务风险管理框架研究。以集团企业财务风险为研究对象,研究包括全部管理层次和实施要素的集团企业财务风险管理框架,丰富和完善财务风险管理理论,并为集团企业进行财务风险管理实践提供借鉴作用。其次,根据系统性原则、环境分析起点原则等,构建包括目标层、管理层和基础层三层,涉及管理目标、实施主体、程序方法、保障体系和管理基础五要素的集团企业财务管理框架。最后,对集团企业财务风险管理框架的三层五要素进行了系统分析。
三、构建集团企业财务风险管理框架应遵循的原则
(一)系统性原则
系统论的思想是指导企业财务风险管理的主要理论。系统论强调整体性原则,企业财务风险管理是一个系统,系统是由各组成要素相互联系、相互作用所形成的一个有机整体,系统的各组成要素是不可缺少、不可分割的;系统论强调目的性原则,企业财务风险管理系统通过系统功能的发挥而实现财务风险管理的目标,而系统功能的发挥又与系统的组成及结构有很大关系;系统论强调整体优化原则,企业财务风险管理系统整体性能是否最优会受到该系统组成管理要素及要素间关系变化的影响,若想发挥系统的最优性能,就需要根据环境的变化不断调整系统组成管理要素及管理要素间的关系,从而达到优化企业财务风险管理系统整体性能的目的。
(二)环境分析起点原则
环境分析起点原则从集团企业财务风险管理所面临的社会环境和任务环境分析开始。按照系统理论思想,既然要构建集团企业财务风险管理框架,它就有边界,边界外面就是环境。任何活动的实施都是在一定环境下进行的,集团企业财务风险管理活动具有主动适应环境并受环境影响的双重特性。
众所周知,集团企业财务风险管理的目标是受集团企业战略目标统驭的,制定集团企业战略目标是在环境分析的基础上进行的。因此,只有进行环境分析,才能知晓集团企业财务风险管理所面临的迫切形势,以及所面临的优势和劣势,然后利用环境造成的机会,回避环境造成的威胁,发挥自身优势,回避自身劣势。所以,确立集团企业财务风险管理目标时,必须以环境分析为起点。
(三)目标导向原则
目标导向原则是指我们在构建集团企业财务风险管理框架时,以确立的目标为导向。目标是集团企业财务风险管理的方向、也是评价管理效果的依据。我们应该以目标为导向确定集团企业财务风险管理的主体、活动和保障措施。当然集团企业财务风险管理的实施目标和集团企业战略目标应保持一致,这是由环境分析的结果确定的。集团企业财务风险管理是集团企业财务管理乃至战略管理的一部分,随着环境的不断变化,集团企业财务风险管理处于不同发展阶段,可能会面临不同的问题,因此需要以集团企业财务管理为目标,保持两者目标的一致性。
(四)具体问题具体分析原则
具体问题具体分析原则是指我们在构建集团企业财务风险管理框架时,在确定集团企业财务风险管理的主体、活动和保障措施,以实现集团企业财务风险管理目标时,要立足于我国的现状,根据我国国情,而不是一味地照抄照搬国外的做法。当然,我们构建的集团企业财务风险管理框架可以随着环境而变化、调整、优化,是适应环境的。
具体问题具体分析原则要求我们能够根据环境变化及时改变集团企业财务风险管理框架的构成要素,针对环境保护目标中出现的新的问题不断完善模式。目前,集团企业财务风险管理面临的环境发生着非常迅速、异常巨大的变化,这对我们构建集团企业财务风险管理框架提出了新的要求,即要根据环境变化及时调整层次和目标,明确主体、完善活动、健全保障体系、优化实施基础,合理保证集团企业财务风险管理的效率和效果,实现集团企业财务风险管理的整体目标。
四、集团企业财务风险管理框架的构建
集团企业财务风险管理要遵循系统性、环境分析起点、目标导向、具体问题具体分析原则,构建集团企业财务风险管理框架。我们构建的集团企业财务风险管理框架分为三层结构框架,即目标层、管理层和基础层,如图1所示。
五、集团企业财务风险管理框架的要素分析
(一)管理目标
管理目标是企业通过财务风险管理达到的目标,是我们构建集团企业财务风险管理框架的根本出发点和核心。我们在构建集团企业财务风险管理框架时就必须从管理目标出发。在集团企业财务风险管理框架中管理目标属于目标层的要素。管理目标是在确定企业战略目标的基础上,考虑了企业使命和风险承受度后制定的。当然,目标应该从上向下层层分解,每一层管理主体都负有与其权责相对应的目标、指标和考核标准。
(二)责任主体
责任主体是企业财务风险管理程序方法的实施者或者参与者,是指集团企业财务风险管理实现目标的主体。众所周知,任何实施行为必然包括三个不可缺少的部分:主体、活动和控制系统。集团企业财务风险管理也是一种实践活动,这种活动的主体也是有意识有能动性的人,但是人是处于不同的组织中,根据各自组织的权责实现人的意志。所以,集团企业财务风险管理的责任主体是各级组织中的人,这些组织包括股东大会、董事会、监事会、经理层、部门、岗位、子公司等。
责任主体是集团企业财务风险管理的核心力量,其中,股东大会是公司的最高权力机构,站在所有者角度,通过有效管理所有者的财权,对集团企业财务风险进行管理;董事会是集团企业的经营决策机构,从财务管理的角度看,同样是经营者财务监督体系的核心和最高层。董事会从行政者的角度,通过全方位负责财务决策有效性,对企业财务风险进行管理;监事会是公司的司法者,在财务风险管理领域,监事会应当全而了解集团企业财务风险管理现状,跟踪监督董事会和高级管理层为完善内部控制所做的相关工作,检查和研究日常经营活动中是否存在违反既定财务风险管理政策和原则的行为;总经理及其集体是公司经营管理最高执行层。从日常财务监督的组织、管理和实施过程看,总经理及其集体的主要职责是负责执行财务风险控制政策,制定财务风险控制的程序和操作规程,及时了解财务风险水平及其控制情况,并确保集团企业具备足够的人力、物力、恰当的组织结构、管理信息系统以及技术水平,来有效地识别、度量、控制财务风险,并定期或者不定期评价财务风险控制的效果和效率;部门主要包括财务风险控制部门、财务控制部门、内部审计部门等。企业所有岗位能够实施或者参与财务风险管理的人,都是财务风险管理的责任主体,通过各自职责的履行情况,对企业财务风险进行管理。企业所有岗位都是财务风险管理的责任主体;之所以把子公司单独列为一个责任主体,是因为集团企业所属的子公司往往也存在背离母公司的倾向,从 而使母公司面临失控,导致财务风险。
(三)程序方法
程序方法是企业财务风险管理的基本程序和方法,是责任主体所表现的行为集合,表现为责任主体进行财务风险管理的行为举动,同时也是控制系统主要监督、控制的内容,包括规范的财务风险管理基本流程。集团企业财务风险管理的程序方法至少应该包括:风险识别、风险度量、风险应对和管理评价等。集团企业财务风险管理目标实现的效果和效率是由责任主体实施程序方法的效果和效率决定的,我们必须加强责任主体实施程序方法的引导、控制和评价,以便使集团企业财务风险管理朝着有利于管理目标去组织、贯彻和实施。
(四)保障体系
保障体系是保证各责任主体按照企业财务风险管理流程来实施管理的程序方法得以落实的制度、机制和手段。保障体系是连接责任主体和程序方法的桥梁,是责任主体和程序方法的信息传递和沟通体系,是责任主体实施程序方法的保障机制。没有健全、有效的保障体系,仅仅依靠责任主体的程序方法,很难保证集团企业财务管理的效果和效率,所以我们要建立、健全责任主体实施程序方法的保障体系。本文构建的保障体系包括:完善风险管理的内部控制系统、开展信息化、建立财务预警系统、健全内部管理制度和审计等。
(五)管理基础
管理基础是企业有效实施财务风险管理的内部管理环境,是集团企业财务风险管理的客观环境和经济基础。任何责任主体、程序方法和保障体系都不可能脱离实际而存在,只有立足于实际,具体分析管理基础,才能制定有效的程序方法,实现集团企业财务风险管理的目标。集团企业财务风险管理环境的优劣和优化程度,对企业财务风险管理的影响程度之大有时超过我们的想象,一些企业破产、失败、出现严重财务风险,表面上是风险管理不力,但部分根源在于管理基础恶劣。本文认为框架的管理基础主要包括:公司治理结构、正直诚信原则和道德观、财务风险管理哲学、企业的组织结构、责任的分配和授权、员工能力、董事会和审计委员会、人力资源政策、错弊和报告、企业文化等。
六、结语
集团企业财务风险框架分为目标层、管理层和基础层三个层次,包括管理目标、责任主体、程序方法、保障体系和管理基础等五个要素,它们共同构成集团企业财务风险管理系统。集团企业财务风险管理是非常复杂的,因此,必须构建一个框架,通过综合治理方能取得成效。
参考文献:
作为一种以经营诚信,控制风险为主旨的信用增级机构,担保机构不仅仅要承担着自身企业内部的各类风险,还要承担和把控担保对象的风险。客观上导致风险管理和控制较一般企业难度更大。特别是近几年金融环境相对紧张的情形下,中小型担保公司开始发展起来,对缓解困扰中小企业的融资难问题起到了积极的作用。然而担保公司在发挥相关区域服务功能的同时,风险管理能力明显滞后于业务发展,多数公司的全面风险管理工作尚未实质展开。因而在发展中面临一定的风险。本文试图就担保公司全面风险管理的设计从内容上提出一些初步的研究设想,并以A公司为例进行说明。
2 担保公司全面风险体系构成
担保公司的全面风险管理体系由四大系统和两大支持组成。四大系统即战略系统、运行系统、管理系统、目标系统。两大支持体系风险文化和信息系统支持。
四大系统:战略系统是总控系统,属于体系框架的核心层面;运行系统是操作系统,属于体系框架的基础层面;管理系统是中枢系统,服务于其他系统,属于体系框架的程序层面;目标系统是识别系统,属于体系框架的目标层面。在战略系统的总体控制下,管理系统、运行系统、目标系统发挥各自功能和作用,同时又促进战略系统的完善和发展。它们是整个体系框架的主体部分。
两大支持体系:风险文化属于体系框架的意识保障层面,信息系统属于体系框架的技术保障层面,这两者对体系框架的主体提供支持和保障。
四大系统和两大支持相互衔接、相互作用、相互配合,构建A担保公司全面风险管理体系的有机整体,而持续的监督、评价和改进机制,使整个体系不断优化完善,保证担保公司全面风险管理总体目标的实现,促进公司持续、健康、稳定地发展。
3 担保公司全面风险管理四大管理系统
3.1 战略系统——纲领与规划 战略系统的主要职能是:A担保公司董事会及管理层制定公司中长期发展规划,明确风险管理的总体目标、原则、理念;制定业务风险偏好、承受度以及相应的风险管理政策,培育公司风险文化;识别面临的重大风险与特定事件,并制定管理原则。
战略系统是通过公司的业务组合管理、年度经营计划及绩效评估、中长期发展规划等,将风险管理理念和要求贯彻传达到公司各机构、各层级和各项工作之中,对公司经营和业务的稳定、持续发展起着方向性、决定性的重要作用。
A担保公司企业中长期发展规划,是以成为全国知名的文化产业信用担保公司发展愿景;以稳健经营、开拓创新、严控风险的经营理念,恪守为文化产业服务的宗旨,竭诚为区域内影视、演出、文化旅游、文化商贸等各类文化产业及相关类企业,提供融资担保服务。公司顺应政府导向,围绕产业发展,进行企业化操作,达到商业化目标;助力地区文化产业的发展,成为西部地址文化产业发展助推器,中小企业信用增级服务集成商;以信用担保为主业,做大做强,达到业务量该省第一、全国百强,营运管理水平全国一流的知名担保机构。
3.2 运行系统——决策与操作 运行系统是A担保公司经营管理与业务活动日常运作的操作平台,是公司风险管理工作的前端,是不同业务线、不同工作单元在操作与决策中风险管理理念与政策的贯彻执行,因此,运行系统是全面风险管理体系框架的工作基础。
A担保公司健全风险控制系统的组织机构包括决策机构和职能机构。其中,决策机构包括业务评审委员会和风险管理委员会,职能机构为风险管理部。各部门职责为:①A担保公司业务评审委员会是对公司业务进行综合评审的权力机构,决定是否对该笔业务进行担保。业务评审委员会通过业务评审会议或汇签实现其决策职能。②A担保公司风险管理委员会是对公司业务风险进行管理、决策的权力机构。风险分类、重大风险事件、风险预警、风险处理等事项由风险管理委员会决策并监督执行。③A担保公司风险管理部是风险日常执行的职能部门,负有风险评价、风险分类、风险预警、风险处理等执行职能,执行风险管理委员会的决定,组织召开风险会议。
3.3 管理系统——要素与内控 管理系统按照风险管理的要素和程序搭建,在内部风险管理政策的制定、风险管理防线的设置、风险管理标准与风险管理措施的选取等。
管理系统是A担保公司全面风险管理体系的管理中枢,以公司的风险偏好和风险承受度为指导,通过人、组织、文化、沟通、报告等机制,按照风险管理要素和确定的风险管理流程进行有效风险管理。同时发挥着内部控制功能,以涉及的要素和流程进行监督、评价,促使整个体系不断改进和完善,起到在动态环境中统筹兼顾业务发展和风险控制的作用。
A担保公司风险管理主线是风险控制管理能力是公司核心竞争力和生命线,担保机构在未来的战略调整、市场竞争中生存并健康发展,致胜的法宝或利器就是不断提高风控管理能力。A担保公司管理理念是以人性化管理理论为基础,应用科学管理的手段。对员工以正向激励为主,以各项规章制度作为行为约束,确保公司的各项业务指标的完成,并使员工从精神、物质层面上都得到充分的满足。
A担保公司担保业务审批流程依据分级审批授权,按照以下三级审批。分别为:
①500万元(含500万元)以内担保业务和支付款保函业务审批:a受理:业务部门完成业务评价后,将整理的整套资料包括审批表、会签表交风险经理,风险经理撰写《担保风险报告》,并对业务进行合规合法性审查,出具《合规合法性审查报告》。b业务推荐:完成合规性审查后,进行业务推荐。由业务部门负责人、风险部门负责人、总经理会签,推荐审批。c外部专家审批:业务推荐会签完成后,由综合管理部安排外部专家进行业务审批。d风险管理委员会业务审批:外审完成后,综合管理部组织风险委员会业务审批会议,对业务进行公开讨论和表决。e会议纪要:综合管理部根据会议讨论和表决情况,以会议纪要形式对业务审批进行批复。f董事长备案:将会议纪要抄报公司董事长阅知,进行审批备案。g对审批通过的业务向外出具《担保意向书》。
②500-3000万元(含3000万元)担保业务审批:500万元-3000万元担保业务审批,在完成500万元以内审批1-5流程后,将业务评价报告及有关审批资料,及《提请董事长审批》一并报董事长,由董事长进行最终审批。对董事长审批通过的业务向外出具《担保意向书》。
③3000万元以上担保业务审批 3000万元以上业务在完成500万元以内审批1-5流程后,直接将业务资料和审批资料送董事会成员,以《董事会决议》形式进行审批。对董事会审批通过的业务向外出具《担保意向书》。
3.4 目标系统——评价与检验 目标系统包括对公司面临的重大风险和特定事件的管理。通过评价公司对重大风险和特定事件的管理效果与质量,检验战略系统、运行系统和管理系统的有效性,及时做出内部风险政策等调整建议,确保公司经营发展的持续性和稳定性。
针对特定事件和特定行业的管理,A担保公司为充分发挥区域的融资平台优势和政策扶持优势,争取到由政府制定的《文化类入区企业贷款担保扶持管理试行办法》优惠政策。这将很大程度上解决了文化产业企业融资难的尴尬局面,尤其表现在担保及反担保措施的实施上,具体内容包括:由A担保公司为符合条件的文化企业提供担保,并由区域文化产业发展中心进行反担保。
4 担保公司全面风险管理两大支持系统
4.1 两大支持之一:风险文化 风险文化包括四个层面:即精神文化、制度文化、行为文化和物质文化,是培育和引领着全员的风险意识,明确风险责任和职业操守,对公司的风险管理体系形成了意识形态方面的有力支持。
全员高度风险意识是A担保公司风险文化的核心。风险文化是全面风险在公司企业文化层面的集中体现,风险文化是公司经营策略、战略发展思路、风险偏好、风险管理理念、风险策略及风险管理行为等要素的融合,蕴含在公司全面风险管理体制的各个环节、各个方面,渗透于全体员工的思想观念和行为方式之中。
4.2 两大支持之二:信息系统——报告与反馈 运用信息化手段对风险管理进行总体控制,是A担保公司全面风险管理信息系统体系建设与运行的技术支持和基本保障。同时,公司在机构经营和业务运行中进行信息处理和报告渠道,实现信息报送与反馈,提高风险控制能力和工作效率。
参考文献:
[1]狄娜.2009年度全国中小企业信用担保行业发展报告.中国担保,2010年(4):48-52.
[2]中国银行业监督管理委员会等七部委公布的2010年第3号《融资性担保公司管理暂行办法》49-52.
[3]章彰.商业银行信用风险管理——蒹论巴塞尔新资本协议[M].北京:中国人民大学出版社,2002年.50-52.
[4]朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003年(6):11-15.51-57.
【关键词】非寿险公司 风险预警 ERM理论
一、引言
保险公司作为经营风险的专业机构,其特点决定了它面临的风险远远大于其他公司,它不仅面临着与其他公司相同的一般风险,还存在着保险活动特有的特殊风险。目前我国的保险公司还没有出现过破产,但已有的研究报告表明我国目前的寿险业与非寿险业均处于风险皆高的“双高”情形{1}。由于二者在经营方式、投资活动、保险期限等方面的不同,非寿险公司承保财产损失、责任和信用等面临的风险与寿险公司面临的风险相比,具有更大的不确定性。
随着非寿险市场地不断发展,我国非寿险公司必将面临着更多样化、复杂化的风险,这必会影响到非寿险公司乃至整个保险业的生存和发展。面对着非寿险业的蓬勃发展,对其加强风险监管就显得尤为重要。而从我国目前的调研信息看,大多的信息资料是针事中和事后的统计分析,难以在事故发生前进行及时、有效地警告。因此,建立一套科学合理的风险预警系统就显得刻不容缓,同时对于非寿险业的风险管理也具有非常重要的学术价值和现实意义。
本文对当前非寿险公司的风险预警状况进行全面分析的基础上,论证了风险预警对非寿险公司发展的重要性。之后通过引入全面风险管理理论,从建立原则、系统结构、系统功能三个方面分析了非寿险公司的全面风险预警系统框架。最后探讨了其运行模式和运行过程。
二、非寿险公司风险预警的现状
(一)非寿险公司风险预警概述
预警一词可解释为,在灾害或灾难以及其他需要提防的危险发生之前,根据以往的总结的规律或观测得到的可能性前兆,向相关部门发出紧急信号,报告危险情况,以避免危害在不知情或准备不足的情况下发生,从而最大限度的减低危害所造成的损失的行为。{2}
非寿险公司风险预警是使用特定的方法对非寿险公司经营过程中潜伏或已经暴露的各种风险因素进行监测,通过科学的分析,得出综合评价和结论。目的是通过风险预警机制,在更短时间内采取最有效、最合适的风险管理措施,能够最大限度地维护公司的经营安全。
(二)非寿险公司现有预警方法的局限性
目前来看,早期的非寿险公司风险预警方法大概可归纳为两种方法:传统的统计分析法和指标体系分析法。这两种预警方法主要是运用多种数理统计方法,通过建立预警模型或指标体系,对风险进行预测。虽然经过实证的证明具有一定的预测效果,但也有着局限性,在一定程度上很难满足非寿险公司风险预警的实际需要。
1.模型的建立受制于一定的假设条件。传统的预警模型建立时以假设作为前提条件,比如统计样本要满足正态分布、等协方差、二项分布假设等条件。如果不能满足这些假设条件,就不能保证模型预测的准确性。事实上,许多样本数据常常不能满足这些假设条件。
2.难以处理非确定性、非线性问题。传统的预警方法一般是假定各变量之间为简单的线性关系,或是通过将非线性转化为线性来解决问题。然而,经过这样的处理后,必然会丧失事物本身的不确定性、非线性和复杂性等特性,使得在实际预测中很容易失去效用。
3.不具备动态预警能力。传统的预警方法是通过分析各变量之间的关系,人为地确定预警区间进行预警,样本资料一旦确定,模型的系数便被确立,很难更改。事实上,非寿险公司的经营是在不断变化的,是一个动态的过程,因此传统的预警方法往往具有滞后性,难以对已经变化的风险状况做出准确的预测和判断。
三、ERM理论的引入
通过上文对非寿险公司的风险预警必要性和现有预警方法局限性的分析,可以看出非寿险公司亟须建立一套更为全面的风险预警体系。
(一)企业全面风险管理理论
风险管理理论始于20世纪30年代的美国保险业,50年展成一种现代化管理手段,70年代兴起了全球性的企业风险管理运动,到90年代风险管理在发达国家的企业中基本普及。在我国,80年代中期风险管理理论被引入,主要应用于金融业,其他行业还没有充分认识其重要性。90年展成全面风险管理,进入21世纪之后正逐渐成为学术界和企业界研究的热点。全面风险管理的发展历程大致经历了以下两个阶段。
1.整体风险管理理论。1992年Kent D.Miller提出了整合风险管理的概念,直到2001年,这段期间各领域的学者对整体风险管理理论的阐释各有侧重,形成多个学派。各学派虽然在研究的角度和侧重点存在差异,但基本思路是一致的,均是强调将各种风险及管理综合起来全面的考虑。
2.全面风险管理理论。21世纪之后进入了全面风险管理理论阶段,这一阶段实际上是整体风险管理思想逐渐融合的变革。尤其是在经历了2001年的9.11恐怖主义袭击、2002年的安然公司倒闭等重大事件之后,越来越多的企业意识到了风险的复杂性和多元性,全面风险管理的概念逐渐获得了广泛的认同。世界各国纷纷展开了对全面风险管理的研究,主要包括北美非寿险精算师协会(CAS)提出的全面风险管理、巴塞尔银行监管委员会推出的《巴塞尔新资本议》以及发起机构委员会(COSO)推出的《企业风险管理—整合框架》等。
关键词:银行管制;安全网络;特许权价值;巴塞尔协议;风险承担
文章编号:1003-4625(2010)11-0036-04 中图分类号:F830.1 文献标识码:A
作为处理信息不对称的机构,银行运营面临较大的风险。银行风险既有单家银行的个体风险,也有全体银行的系统性风险。银行系统性风险会对社会经济产生巨大冲击,造成重大社会成本,因此银行业管制在各国都是金融、经济政策的一个重要组成部分。本文对银行业管制与银行风险承担的关系做一理论回顾,指出进一步研究的方向。
一、引 言
Pigou(1938)关于管制的经典文献提出市场垄断、外部性以及信息不对称造成市场失灵,需要政府之手加以援助。运用到银行业,则有银行业准入限制、存款保险制度等管制措施,其目的是为了缓解银行业市场失灵,提高资源配置效率,促进经济发展。虽然理论上也有相反的研究,但是毋庸置疑,银行业管制的实践始终存在,并且每一次金融危机后,银行业管制都被提到更高的程度。
风险承担(risk-taking)是指商业银行选择的风险承受水平。一家商业银行的风险承担水平由银行决策层决定。单家银行的风险承担高一般不会造成银行业系统性风险,但是大银行倒闭引发挤兑效应,则可能形成银行业系统性危机。从美国对金融机构的救助,我们可以看到,“大而不倒”始终是各国银行业监管者面临的难题。系统内银行的风险承担水平普遍高,则系统性风险极易形成和爆发。监管者通过制度设计来防范风险,最优的设计是通过降低商业银行的风险承担来实现银行体系的稳定。本文所指的银行业管制是指监管当局采取的监督和管理措施,主要包括构建安全网络、特许权制度、巴塞尔协议要求。本文以此为线索对相关文献进行梳理,从理论研究的角度总结现有文献对银行业管制是否能够降低系统性风险、是否能够降低银行的风险承担的探讨。
本文结构安排如下:第二、三和四部分分别对安全网络、特许权制度、巴塞尔协议这些监管措施与银行业系统性风险、银行风险承担的关系进行回顾与总结。最后得出结论:没有任何一项制度设计一定会降低银行风险承担,保证银行业系统性危机不出现。不同背景下,各国都要考虑自己的特殊情况采取合适的监管政策。
二、安全网络与风险承担
一般各国的银行业安全网络由两部分构成:最终贷款人以及存款保险制度。
最终贷款人通常为各国的中央银行,它们为那些处于流动性困境中但仍有清偿能力的商业银行提供支持。1907年的美国银行危机促使1913年美国联邦储备体系的建立,目的就在于减少系统性的存款挤兑,降低银行危机的成本。一般而言,最终贷款人只提供几天或几个月的短期流动性支持,同时要对贷款银行进行严格的监控。央行的最终贷款人角色面临的是监管者容忍的适度性问题――究竟商业银行多高的风险承担央行可以容忍,什么不可以,过度容忍可能加重危机的成本。Honohan和Klinge-biel(2003)表明在许多银行危机中监管者流动性支持总额超过了银行系统的资本,时间超过了12个月。美国次贷危机中对金融机构的救助表明,监管者容忍不仅出现在发展中国家、传统的银行领域,而且在发达国家、非传统银行业务中都有可能出现。但是,目前监管者容忍的定量研究尚没有展开。
存款保险制度是构建安全网络的另一项重要制度,由于其采用市场原则,实用性高于最终贷款人制度。存款保险是由保险公司对银行存款进行保险,银行缴纳保费,银行一旦不能归还客户存款由保险公司赔付。在面对系统性危机时,全面的存款保险制度可以有效阻止危机蔓延。而在平常时期,商业化的存款保险人监控银行风险承担水平,这可以提高存款人的信心,避免银行业存款大幅波动。
1935年美国首先建立了存款保险制度,直到1974年仅有12个国家采用该制度。但是上世纪90年代开始,金融危机不断,存款保险制度的范围和影响力不断扩大。据金融稳定局(FSB)统计,此次金融危机中48个行政区域使用了存款保险制度以应对危机。尽管监管者将存款保险制度作为应对系统性危机的最直接、有效的手段并且其作用在危机中正不断被强化,但是,理论界对存款保险制度是否高效仍存在疑问。因为存款保险制度可能导致商业银行的风险转移――提高当期风险承担而将风险转嫁给存款保险机构,最终导致银行业系统性风险。Demirgu c-Kunt和Detragiache(2002)银行危机的研究表明,存款保险制度设计的缺陷增加了一国银行危机的可能性,在契约环境差的国家存款保险制度显著降低了银行稳定性。Baah,Caprio和Levine(2008)认为更宽松的存款保险和系统性银行危机的产生高度相关。如何设计有效的制度既能防范系统性风险同时又能够尽可能减少银行风险承担是各国存款保险制度设计时必然要考虑的问题。Honohan和Klingebiel(2003)对银行危机的研究表明,无限制的存款保险、无限制的流动性支持和高度的低资本容忍,增加了解决危机的最终财政成本。而且,财政成本的高低和经济复苏的速度没有必然联系。Laeven(2004)发现存款保障范围在银行业资本普遍不足的国家和存款人教育程度低的国家特别高,而且存款保险人还会帮助银行利用风险监控的漏洞,从其他纳税人和稳健的银行获利。
由此可见,安全网络的构建是使银行业系统性风险和银行个体风险矛盾的一种制度设计。防范系统性风险的制度设计,可能会诱使商业银行提高个体风险承担。因此,安全网络的构建必须是适度的。
三、特许权价值与风险承担
在绝大多数国家,银行必须获得政府颁发的许可证才能运营,许可证的供不应求使其极具市场价值,这一价值就是银行特许权价值。特许权价值理论认为,商业银行会主动控制自身的风险承担,从而保护政府给予的银行牌照的准垄断租金收益,从而使银行业系统性风险可控。
Marcus(1984)提出特许权价值这一重要概念,以后许多研究都表明特许权价值可以缓解银行的道德风险,降低银行风险承担。如Keeley(1990)认为,放松管制的措施降低了银行的市场力量,侵蚀了q值(银行股权市场价值/账面价值),提高了银行风险承担。特许权价值不仅来自于市场准入壁垒和竞争
限制,也来自于信息优势、利率上限等可以为银行创造垄断租金的其他渠道。此方面的相关研究有Su a rez(1994)、Saunde~和Wilson(1996),Demsetz,Saidenberg和Strahan(1 996)等。Marquez和Hauswald(2002)认为随着市场中银行数量增加,银行信息投入的收益减少。在达到一定门槛后,银行信息源将会集中于自己擅长的一些特定领域以抵抗来自竞争者的威胁,而银行集中于特定信息源的行为提高了市场中企业的逆向选择行为,银行风险承担加大。Berger,Klapper和Turk-Ariss(2008)的研究表明,拥有较大市场力量的银行风险承担低。但是这些银行贷款组合风险高,只不过银行的高股权资本补偿了这一风险。
Boyd等(2005)质疑特许权价值,认为竞争并不会提高银行风险。他们认为拥有市场力量的银行贷款利率高,加重了借款者偿还负担,容易引发借款者的道德风险和逆向选择,从而提高银行的风险承担。Boyd等(2006)提出,市场竞争并不会造成银行不稳定,而是促使银行放贷。Schaeck,Cihak和Wolfe(2006)采用H指标度量发现银行业竞争越强,系统性风险越不容易产生。De Nicol6和Lou-koianova(2007)的分析表明,当银行所有权被考虑的时候,Boyd等的结论更为明显,特别是国有银行拥有大量市场份额的时候,这一现象最甚。
最近,Mart f nez-Miera和Repullo(2008)撰文调和特许权价值理论和BDN模型。他们提出银行特许权价值和风险承担的关系呈u型。这一理论和银行业适度竞争的研究不谋而合,或许找到u型曲线的拐点对银行业监管的实践有重大参考价值。
四、巴塞尔协议与风险承担
作为国际银行业监管合作的成果和指导,巴塞尔协议旨在通过发挥市场的作用降低银行的风险承担,从而达到降低系统性风险的目的。目前几乎所有的国家都承认巴塞尔协议并将其作为国内监管的一个准则。
(一)资本要求
这一监管原则认为作为风险缓冲器的资本可以提高银行的安全,同时,作为期权价值一部分的资本可以减少银行的风险承担,从而降低银行业系统性风险。资本要求作为巴塞尔协议的最核心部分,得到很多理论支持。如Koehn和Santomero(1980)、Keeley和Furlong(1990)的研究表明银行资本低会导致银行的资产组合风险加大。Marshal和Prescott(2000)认为存款保险给银行带来道德风险,为了缓解这一问题,必须建立存在事后惩罚机制的资本要求监管。有相应惩罚机制的资本要求监管可以降低银行风险承担,从而显著地降低资本要求,最优资本监管应该是监管者基于银行风险承担不同而采取不同的措施。
但是也有不少理论研究认为资本要求并不能降低银行的风险承担。如资产组合分析法认为,银行是一个资产组合管理机构,它可以通过选择高风险资产来弥补其资本杠杆,从而维持理想的资本收益率。Ahunbas等(2007)的研究表明,更多资本的银行低效率,风险承担更高。Laeven和Levine(20081的研究表明资本要求、严格的银行管制行为和银行高风险相关,这类银行一般股东拥有较强的控制权,而在股权相对分散的银行,银行风险较低。
在银行资本要求与风险承担的关系中加入问题,则情况和结论更为复杂。Jeitschko和Jeung(2005)考虑了影响银行风险承担的三个实体:监管者、股东和管理者,银行的风险承担与这三者对银行的控制力有关。为监管者所控的银行,它的目标是降低银行风险承担,表现为提高风险承担;为管理者所控的银行,它的目标是提高可控的与个人利益有关的预期价值,这种管理行为和银行的风险承担的关系不确定。Bris和Cantale(2004)的分析表明管理者和股东对贷款组合有不同信息时,资本要求对银行风险承担的影响。因为银行失败或者资本充足率降低都会降低管理者福利,所以管理者会拒绝那些可以接受的风险贷款(但同时利润更高),使银行变得更安全从而保证自己的福利,但是银行由于增大了控制成本而无效率。Sullivan和Spong(2007)的分析表明管理者拥有股权强化了风险承担战略,表明受雇的管理者比股东更有可能提高银行的风险承担以实现当期收益。
尽管越来越多的文献分析银行风险和资本要求之间的关系,资本要求监管也在全球银行业普遍开展,但是实践和理论都仍然没有在这两者之间找到必然的因果关系。
(二)监管部门的监督检查
监管部门的监督检查,是监管部门通过对银行风险承担的监督检查以判断该银行的资本是否充足。监管部门要求各银行建立起合理有效的内部评估程序,用于判断其面临的风险状况。
建立在市场失灵基础上的银行业监管,理论上有两个不同的认识角度,从而衍生出不同的监管理念。从公众利益角度,这一观点认为监管者应站在公众利益的角度来进行监管,政府通过制定适当的监管措施,可以提高银行系统效率、控制风险。公众利益观点支持由监管者制定监管政策并监督执行。从个人利益角度,这一观点认为管制是一个产品,供给者与需求者相互作用决定了管制的状态和目的,银行市场吸引了不同的利益集团:银行家、政客和每一个追求金钱的人,监管政策的制定服从于利益集团的博弈,监管者仅是管制的主要供给者。个人利益观点支持依靠监管的市场原则,监管者不能单独制定政策,而是通过严格的过程监控来实现利益均衡(Shleifer,2005)。
目前影子银行的出现、银行规模扩张、区域扩展、混业经营以及非传统业务的应用,使得监管机构要在各种类型和数量庞大的资产交易中,收集、整理和分析信息以控制风险非常困难。特别是如果监管者目的在于追求自身的政治诉求而不是公共利益,那么设立新的机构或扩大监管机构进行监管只会增加银行业成本,最终导致银行风险承担加大。这是美国和欧洲银行业此次金融危机后加强监管正面临的问题。
(三)市场原则
市场原则的核心是信息披露。只有建立健全的银行信息披露制度,各市场参与者才可能估计银行的风险管理状况和清偿能力,使得银行存款人(包括债务市场的借款者)可以根据给定的风险水平要求足够的风险补偿,从而迫使银行选择适度的风险承担。
市场原则被普遍认为有益于银行和整个金融系统的效率和稳定,此次金融危机更是将银行业透明化提高到了前所未有的高度。Boot和schmeits(2000)认为有效的市场原则减少了金融集团混业经营的利益。但是在违规租金不高时,金融集团会恶化市场原则并由此获益。Hyytinen和Takalo(2002,2004)认为银行系统容易受到存款人的自我实现危机冲击。透明度监管可以通过消除合作失败的可能
性来阻止这一类型的系统性危机。
但是,银行业至少有两个基本特性使得通过加强市场原则来减少金融脆弱性的监管无效。首先,全面的金融安全网消除了透明度监管的惩戒性作用。其次,对银行而言,透明度意味着成本,它减少了特许权价值,因此降低了提高风险承担的成本。此外,在消除合作失败方面,Furman和Stiglitz(1998)认为更高的透明度可能加重了美国上世纪80年代的存贷危机,因为很多银行只能关闭,或者显著缩减贷款或者接受大量资本注入。Cordelia和Yevati(1998)检查了银行风险公开披露如何影响银行风险承担动机和评估被告知的存款人行为如何影响银行体系的安全。当银行能够完全控制自身的风险暴露时,公开披露降低了银行危机的可能性,否则,被告知的存款人会增加银行破产的可能性。De Gmuwe(2008)指出透明度并非阻止金融危机的万能药方,有时候甚至适得其反。
五、结论及建议
(一)银行业管制必然存在
虽然本文在此着墨不多,但是实践证明银行业作为管理风险的机构同样需要监管。大量理论文献着力于寻找最优的监管措施,这已经表明绝大部分理论研究者已经持有银行业需要管制的观点。
(二)银行业管制理论仍有待完善
目前微观层面作用于银行风险承担的措施,如特许权价值以及最低资本要求等,不一定能真正降低银行的风险承担,而宏观层面构建的安全网络又助长了微观层面的风险承担。如何解决这一监管困境,恐怕需要理论和实践者的共同努力,至少目前富有远见性的管制理念尚没有出现。
(三)银行业管制的国际化理论研究尚不够完善
美国次贷危机迅速引发的全球性银行危机表明银行业管制的国际化水平远低于银行业业务的国际化水平。理论研究上管制的国际化研究也远少于商业银行的国际化研究。巴塞尔协议作为银行业国际监管的重要框架,在危机后再次成为各国管制的一个标准化方案。但是笔者认为国际化并非标准化,强调各国监管机构的协调与沟通也不是要设立一个机构高于各国监管机构。
论文关键词:ERM,风险管理,内部控制,发展前景
一 引言
复杂多变的经济环境和关联性越来越强的风险因素使得企业全面风险管理(ERM)备受热捧。ERM同时兼顾了不同风险的综合效应,与企业价值最大化的目标相符合,与企业所有者利益相一致,是一种承担增加公司价值使命的新型风险管理体系和手段(李社环,2003,张琴、陈柳钦,2009)。它正迅速成为企业的最低标准,成为主导企业兴衰的关键因素(Stroh, 2005)。在这样的背景下,真正理解企业风险管理的内涵,掌握企业风险管理的发展规律,成为企业决胜未来的一堂必修课。这就要求我们必须从根本上理解ERM理论发展的来龙去脉。ERM主要有两个理论来源[②]:风险管理理论和内部控制理论。风险管理理论和内部控制理论发展至今已不再是彼此孤立的理论体系,而是你中有我,我中有你发展前景,相互糅合在一起,并最终不约而同地指向了同一个方向——ERM。
二 风险管理理论的发展
1930年美国管理协会的一次保险会议上最早提出了风险管理的概念,风险管理理论和实践自此而始。按照一般管理理论的发展历程,我们将风险管理理论的发展历程分为三个阶段:早期风险管理阶段、现代风险管理阶段和全面风险管理阶段。
(一)早期风险管理阶段
1952年3月马科维茨发表《资产组合的选择》一文提出了著名的均值——方差理论。他首次将统计学中期望与方差的概念引入资产组合问题的研究,提出用资产收益的期望来度量预期收益用资产收益的标准差来度量风险的思想,将风险定量化,为金融风险的研究开辟了一条全新的思路。同时,他首次引入了系统风险和非系统风险的概念,给出了在一定预期收益率水平下使投资风险达到最小化的最优投资组台计算方法,改变了过去常识或经验等定性的衡量风险的方法。与此同时,美国保险统计从业人员开发出了正式的资产/负债管理模式(ALM),用于估计和管理寿险公司中长期产品涉及的利率风险。ALM方法逐渐发展成为寿险公司、养老金、银行和衍生产品所用风险管理技术的基础。1963年Myer和Hedges的《企业风险管理》最早系统地对风险管理进行了研究。1964年Williams和Hans著成《风险管理与保险》一书,进一步全面、系统地对风险管理进行了研究,他们认为风险管理的目标是以最小成本实现损失最小化。在均值一方差模型的理论框架下,William Sharpe (1964)、Limner (1965)、Mossin(1966) 分别推导出了资本资产定价模型(CAPM)。根据CAPM模型,单种资产的总风险中只有其中的系统风险对资产的预期收益有贡献,投资者不会因资产具有的非系统性风险而得到任何附加的预期收益。迄今为止,西方国家的企业财务人员,金融界以及经济学界一直将CAPM作为处理风险同题的重要工具,将其大量运用于财务决策与风险管理等方面杂志铺。1975年Murton提出了多因素C A P M模型对传统C A P M模型予以修正,在市场因素的基础上引入了其他市场之外的因素进行分析。同时期风险管理理论的另一个重要发展就是期权定价理论,它为衍生产品设计理论引入风险管理之中以及对衍生产品的风险管理提出了理论与决策基础,具有十分重要的理论和实践意义。该时期风险管理的重要特点是专注于防范不利风险,风险管理的主要内容是信用风险和财务风险,保险是风险转移的基本方法。风险管理实务主要涉及设立信贷控制、投资与清算政策、审计程序以及保险范围。这些防卫性风险管理实务的目标是最小化损失。
(二)现代风险管理阶段
20世纪90年代兴起的以损失为基础的风险管理方法(Value at Risk,VaR)引领了风险管理的潮流。摩根大通将VaR定义为在既定头寸被冲销或重估前可能发生的市场价值最大损失的估计值。VaR的一个更通俗的定义是[③]:给定置信区间的一个持有期内的最坏的预期损失。VaR成功将风险标准化和数量化,因此在金融领域应用广泛发展前景,非金融机构也因此受益量多,VaR正逐渐成为风险管理领域的规范。而且,VaR目前仍在不断地被改进完善。1992年Kent D.Miller提出了整合风险管理,指出企业可以根据具体的风险状况对多种风险管理方式进行整合,强调风险研究范围的扩展。风险管理的目标由最初的以最小成本实现损失最小化转变为以最小成本获得最大的安全保障 ( Skipper, 1999)。之后在VaR缺陷的基础上发展起来的整体风险管理(Total Risk Management,TRM)综合考虑了影响风险管理的三个因素:价格、偏好、概率,谋求在三要素系统中达到风险管理上客观计量和主体偏好的均衡最优,使投资者承担其所愿意承担的风险从而获得最大的风险报酬。TRM为完整的企业风险管理开辟了新的道路。这一时期,另类风险转移(ART)不断涌现,传统的衍生产品和保险不再是公司风险转移需要的完全解决方案。此时,风险管理专注于管理业务和财务成果的波动性,管理方向从纯粹风险向投机风险转变,由保险型向经营型转变。同时,基德·皮博迪、巴林银行、埃克森、长期资本管理公司等明星企业的危机事件使得企业对营运风险管理的重视骤升。
(三)全面风险管理阶段
Zail et al.(1996),James(1996),Matten(2000)相继提出了经济资本框架(即风险资本框架)的主要内容,掀起了经济资本技术的发展热潮。经济资本技术将风险控制由被动转为主动的同时,在其理念下的EVA指标和RAROC指标将利润指标同风险指标统一起来,以实现风险调整收益最大化。经济资本技术凭借以往风险管理方法无法比拟的巨大优势被迅速推广应用于银行、保险、大型跨国企业的风险管理活动中。经济资本注重风险的模型化和定量计算,大大提高了风险管理的精密度。经济资本有效参与业务战略规划。在制定战略规划时,权衡业务发展与所面临的风险变化之间的平衡,提高业务发展规划制定的科学性,推动企业持续健康发展。
进入二十一世纪以来,日益复杂的国际金融环境促使企业深刻反思巴林银行、长期资本管理公司等金融业巨子在金融动荡中难逃浩劫的缘故。血的教训使得他们进一步深入考虑风险防范与管理问题。他们逐渐发现金融风险往往是以复合的形式存在,不同的金融风险之间往往具有相互联动性。风险管理不应该是对单个业务的单个风险进行管理,而应从整个系统的角度对所有风险进行综合管理。在这种背景下,全面风险管理(Enterprise Risk Management ,ERM)理论应运而生。2001年北美非寿险精算师协会(CAS)在一份报告中明确提出了全面企业风险管理(ERM)。在该报告中发展前景,CAS认为风险管理包括环境扫描、风险识别、风险分析、风险集成、风险评估、风险应对和风险监控7个紧密联系的步骤。2004年6月巴塞尔银行监管委员会发布了《巴塞尔新资本协议》(BASEL Ⅱ)。新资本协议首次提出了全面风险管理的概念,同时关注了信用风险、市场风险和操作风险[④],明确了主动控制风险的原则,鼓励全面风险管理模型的建立和使用,并把激励商业银行不断提高风险管理水平作为两大监管目标之一[⑤]。2004年9月,COSO委员会颁布了《全面风险管理——整合框架》报告。报告强调从整个组织的层面识别和管理风险的重要性,明确提出应该把风险管理提升到公司战略的高度,突出了风险管理的战略意义。Harrington和 Niehaus(2004)认为,风险管理的总体目标是通过风险成本最小化实现企业价值最大化;ABA则认为“商业银行风险管理的目标并不是人们通常误认为的风险最小化 ,而是风险与收益的优化” [⑥]。在这一阶段,企业风险管理以主动处理所有类型的风险为特征,以创造价值为管理导向(张维功,何建敏,丁德臣,2008),成为企业管理的进攻性武器。许多公司将ERM看作是一种衡量重大投资的工具,并最终将其转化为包括成本可容度、提高收益等指标在内的股东价值战略(Adams,Campbell,2005)。
三 内部控制理论的发展
关于内部控制的较早研究来自于审计领域杂志铺。1934年美国《证券交易法》首先提出“内部会计控制”的概念,开创了内部控制理论研究的先河。内部控制理论的发展经历了一个漫长的历史过程。它的发展可分为以下五个阶段[⑦]:
(一)以内部牵制为基础
1936年美国注册会计师协会发布《独立注册会计师对财务报告审查》的文告,首次提出审计师在制定审计程序时,应该考虑的一个重要因素是审查企业的内部牵制和控制。1939年10月美国注册会计师协会的审计程序委员会公布了《审计程序文告第1号》文件,在修改的标准化审计报告中首次增加了对内部控制审查的内容。在内部牵制阶段,账目间的相互核对是内部控制的主要内容,设定岗位分离是内部控制的主要方式。
(二)以内部会计和内部管理为基础
单一的内部牵制无法满足日益复杂的经济环境下的管理需求。1958年,美国注册会计师协会迈出了历史性的一步,将内部控制区分为两类:内部会计控制和内部管理控制。内部控制的内涵得以扩展到管理层面。在这段时期内发展前景,内部控制的重点是建立和健全规章制度,加强控制和管理活动。
(三)以控制环境、会计制度和控制程序为基础
会计体系的不断完善成为内部控制理论发展的一个重要推动力。日臻完善的会计制度被看作是内部控制的一种有效方式。系统、完整的政策程序成为规范的会计制度的有益补充。经济全球化日益开放的格局使企业面临着更为复杂的商业环境。巨大的内外压力下,控制环境理所当然的进入内部控制主体的视野。1987年,美国Treadway报告关注避免虚假财务报表和引导公司治理问题的学术讨论,它认为内部控制包含三个要素:控制环境、会计制度和控制程序。这一时期,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序。
(四)以控制环境、风险评估、控制活动、信息沟通和监控为基础
二十世纪八十年代末期以来,随着政府干预逐渐减弱,审计人员处在一个非同寻常的弱势地位,企业的内部控制悄无声息地发生了巨大转变。两个重要的因素促成了这种变化:信息技术的发展和审计方法的改变。大型的关联数据库不断涌现,数据库存取和操作软件的成本不断降低,这意味着系统需要经常进行改良,信息的及时有效的沟通至关重要,传统的过程控制过时了,控制活动异常活跃起来。科学技术和审计的变化促使控制向组织层面转移,而且,最初政策和程序式的服从被风险语言所代替,在风险系统中,组织高层关注重要的风险。
1992年,Treadway报告的发布机构(COSO)发布了《内部控制——整体框架》,专门强调了公司治理中内部控制的关键作用。该报告包括了内部控制特点分析和其构建与评估的框架,它把内部控制定义为[⑧]:
一个受董事会、管理层、和其他个体影响,用于为以下目标的实现提供合理保证的过程:效力和运营效率;财务报告的可靠性;符合适用的法律法规。
1992年Cadbury 报告指出,董事会应该就财务报告和内部控制体系的效力做出声明,并且审计人员应该就此作出相应报告[⑨]。1994年Rutteman 报告借鉴了COSO对内部控制的定义但着重强调了与内部财务控制有关的部分。它把内部控制定义为:内部控制是为了提供以下合理保证:(1)防止资产未经许可下使用和处置;(2)保留相应的会计记录,维持商业和公共使用的财务信息的可靠性。这样,信息的沟通和监控被纳入了内部控制体系。同一年发展前景,COSO对1992年的《内部控制——整体框架》进行了增补,形成内部控制报告。1995年,加拿大特许会计师协会提出了COCO(Criteria of Control Framework)框架,它提出了控制的定义和一系列评价效力的分类标准。该框架从更高的层次上反映了内部控制和风险管理的关系,内部控制与组织目标的实现密切相关。
(五)以企业全面风险管理为基础
1998年Hampel报告首次把内部控制的注意力从财务报告问题上移开,开拓了内部控制新领域。1999年Turnbull报告走的更远。它是第一个强调公司治理中内部控制和企业风险管理关系的文件[⑩]。它认为公司的内部控制系统在风险管理中起着关键作用,对于实现企业的战略目标意义重大[11]。ICAEW在如何实施Turnbull报告要求方面走的更远,它将内部控制和风险管理完全结合起来。1999年加拿大特许会计师协会提出“内部控制应该包含风险的识别和应对”。Krogstad et al.诠释新IIA对内部审计的定义时提到:内部控制是帮助组织管理风险,提高公司的治理效率。2002年7月,美国国会通过了《萨班斯——奥克斯法案》,第一次对财务报告内部控制有效性提出了明确要求。
随后,在内部控制领域具有权威影响的COSO委员会于2004年9月颁布了《全面风险管理——整合框架》报告杂志铺。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点,是全面风险管理理念在运用上的重大突破。内部控制也由最初的“一点论”发展为当前的“八点论”——内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。这样内部控制框架经历了点——线——平面——三维——立体的发展过程,发展至今的《全面风险管理——整合框架》代表着国际上内部控制研究方面的最高水平,是内部控制理论研究历史性的突破。
至此,风险管理与内部控制的关系发生了巨大转变。风险管理与内部控制已不再是孤立的或是包含的关系,而是完全等价的(陈关亭,2009)。风险管理理论和内部控制理论成为ERM的两大理论来源。
四 ERM理论发展前景展望
ERM是企业风险管理理念和实务上的一次重大转型(韦军亮,陈漓高,王炜,2008),“是要以风险损失为分析基础转变为以企业价值为分析基础,化分离式的风险管理为整合式的风险管理,变单一的损失控制为综合性的价值创造”(卓志,2006)。ERM的特性从实践上契合了企业在风险交互影响和日益复杂的经济环境中更高层次的管理需求。另一方面发展前景,巴塞尔新资本协议(BaselⅡ)、国际财务报告标准(IFRS)、萨班斯法案(Sarbanes-Oxley)等法规法案的颁布和实施在理论层面上进一步促进了ERM理论的发展和推广。正如James Lam(2006)预测的那样,ERM将不断发展成为风险管理的行业标准。
尽管ERM是一种很受企业热捧的战略经营工具,但对很多公司来说,ERM能够得以成功实施的路依然很长[12]。造成这种结果的原因除了有来自企业操作层面的[13],还有来自理论体系层面的因素。这主要表现为ERM理论框架中有诸多尚待完善的部分。其中一个重要的体现就是ERM的界定问题至今国内外学术界仍然争论激烈[14],尚未达成共识。在ERM实施过程中,企业上下连什么是ERM都搞不清楚,这显然不利于ERM在企业的全面顺利实施。再加上ERM牵涉面极广,影响极大,ERM的推广和实施困难重重。实践和理论的需要将引导ERM的后续发展逐步解决这一问题。另一个重要的问题在于,目前ERM体系中缺乏一种行之有效的全面风险管理方法。令人欣慰的是,理论研究一直在继续。巴塞尔新资本协议对此给予了特别关注,协议指导并鼓励集市场风险、信用风险和其他多种风险于一体的各种新模型的创立,实现对全面风险的量化管理。
参考文献
【1】Laura F.Spira and MichaelPage. Risk management:The reinvention of inernal control and the changing role of internalaudit[J]. Accounting, Auditing&Accountability Journal.Vol.16 No.4,2003.
论文关键词:医疗保险信息化管理问题分析
随着信息技术的不断发展和人们对医疗保健水平要求的不断提高,医院信息化建设越来越引起业内外人士的关注和重视。医疗保险管理信息化,指医疗保险的管理通过建立内部及外部的信息管理平台,实现管理和运作自动化、智能化,从而达到共享信息、降低成本、提高效率、改善服务的目的。
1实现医疗保险管理信息化的积极意义
医疗保险管理信息化,不仅是医疗保险发展和生存的需要,而且对实现医疗保险的管理信息化具有非常重要的意义。
1.1提高社会的经济效益,促进宏观调控,增强竞争力
由于原始的管理体制,无法做到及时跟踪掌握,导致医疗保险的管理繁杂,效率低下。实现医疗保险的管理信息化,将会大幅度降低医疗保险的管理成本,提高社会经济效益。有利于社会进行宏观调控。实现医疗保险管理信息化,将带动医疗保险管理系统的自动化作业,管理者能动态收集全社会的医疗情况和信息,变医疗保险的终端管理为医疗保险过程环节的控制管理,及时发现医疗保险中存在问题,采取相应的管理措施,将事后管理变成事前管理。
1.2医疗保险信息化建设的完善成为社会稳定的重要保障
医疗保险是社会经济发展的安全网和稳定器。由医疗保险体系是一项非常复杂的社会系统工程,特别是我国医疗保险信息系统建设存在着地区差异大和发展极不平衡等问题,从总本来看,医疗保险信息化建设经过多年的探索,全国除了为数不多的城市建设相对比较好的以外,大多数城市权得的效果并不理想。
2医疗保险管理信息化建设的现状和存在的问题
2.1医疗保险管理信息化建设的现状
虽然我国信息化管理起步较晚,但发展速度较快,信息技术水平足以满足信息管理的需求。目前我国医疗信息管理存在的主要问题包括国内各地区中的发展极不平衡,主管领导医疗信息管理知识不足和重视程度不高,信息管理人员水平提高缓慢,流程规范化管理及监督力度不强。规范化管理欠缺及对其管理的重要性认识不足医医疗保险是利国利民的大事,医疗保险改革的中心思想是用低廉的费用为广大群众提供优质的服务。我们医疗卫生费用增长超过国民经济增长速度,这对于医院和医疗保险系统都是个很大的挑战。
2.2医疗保险管理信息化建设存在的问肠
首先,对医疗保险信息化建设的艰巨性和复杂性认识不够。社会保障信息系统建设政策性强、涉及面广、信息量大、数据交换频繁,它是一项非常复杂的社会系统工程。狭义上的社会保障至少包括医疗、养老、工伤、失业和生育五个险种、劳动力市场和其它综合业务。广义上的社会保障则是涵盖卫生、民政,社区服务和公安户籍管理等在内的一条龙服务的现代化社会保障体系,从整个系统建设参与单位来看,在系统建设过程中需要协调信息化建设主管部门、劳动局、卫生局、民政局、药监局、技术监督局、财政局以及金融部门等各个方面的利益关系。转贴于中国论文其次,政策制度的制定和实施过多依赖于信息化管理系统。医疗保险信息系统涉及面广、金额大、业务量大、政策性强,关系到群众的切身利益,因此只有采用先进的计算机及网络技术,才能确保系统的安全、可靠,才能为社会提供优质高效的服务。由于应用系统过干复杂使得系统实用性很差,最终也会严重影响社保改革的进程。
另外,医疗保险信息化建设盲目追求快速到位的思想。信息化是潮流,但信息化绝对不是一毗而就、一劳永逸的事情。由于医疗保险信息系统业务纷繁复杂,在数据上既包括参保人员的数据、参保企业的数据,又包括各险种业务和财务的数据,在应用流程上既有横向并联又有纵向串联,同时系统和外界有着千丝万缕的联系。
3完善医疗保险管理信息化的措施
加快对医疗保险信息化管理人员的培养。建立完善的信息化管理机构,经考核选拔出符合信息时代要求的各级信息主管及管理人员。在医学院校设立医疗保险信息管理专业,在职人员要增加信息管理的继续教育,结合新时期特点尽快完善专业学习内容和继续教育大纲。信息管理人员除专业教育外,还要加强法律法规、职业道德及团队精神等素质教育。应该进一步加强医疗保险相关信息的标准化管理。在制作方面一定要遵循国际的信息交换标准,以保证信息统一和共享。
尽快使医疗保险信息形成合理化流程。医生护士在患者住院期间应按时完成病案的每一个环节,在严格把关后,将完整病案及时提交病耗室。检验和检查科室应在规定时间内将患者的报及时送往有关科室。完善医疗保险管理信息化应该更新领导者的管理观念,更加注重信息化建设进程的发展。领导者应具备现代管理者的素质,树立科学的信息化管理理念,加强医疗保险信息化、规范化和标谁化建设,以医疗信息管理为核心。
注重医疗保险信息管理的法制化建设。
我国医疗保险信息化管理从人工操作正逐步被计算机操作所代替。进行信息处理的法律依据不足,出现信息技术超前、相应的法律法规滞后的现象,从某种意义上影响了医疗信急管理科学化向纵深发展。充分体现我国医疗保险信息内容的特色。随着社会的变迁,疾病种类繁多,抗病耐药繁杂,使得中医药的辩论治脱颖而出。因其对一些疾病的治疗有独到的效果,故这些信息值得保存和研究。因此,可根据中医药诊治疾病的特点制定一套我国特有的中医药编码系统这对发展相国医学有重要的作用。
