全面风险管理要求优选九篇
全面风险管理要求第1篇
为有效贯彻国资委“管理提升”要求,南方电网公司在2013年的工作会议上,将全面风险管理体系建设列为2013~2015年工作重点,并明确了全面风险管理框架。同年,广东电网公司在深化创先工作总体方案中提出了2013~2015年全面风险管理总体创先关键举措。全面风险管理体系建设工作已经成为了供电企业提升管理水平重要内容,但是目前全面风险管理工作在供电企业中仍然缺乏成熟有效的建设方案。针对目前的情况,江门局认真学习《中央企业全面风险管理指引》,结合南方电网关于全面风险管理的要求,研究与探索了江门局全面风险管理体系建设方案。江门局通过建立风险数据库、制定风险应对策略、健全风险管控机制和风险管理评价机制等措施,建立起一套运转有效的全面风险管理体系,并获取了丰富的风险管理实践经验和理论成果。
2全面风险管理工作现状诊断
随着创先工作的有序开展,江门供电局在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但是对比全面风险管理的要求,仍然存在以下不足:
2.1风险体系覆盖的全面性有待提高
江门局虽然在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但并未建立覆盖全部领域的全面风险管理体系框架,如战略、市场和公共关系等方面的风险仍缺乏有效的管控措施。
2.2专业风险管理的协调性有待加强
目前,江门局安全、财务与经营、法律、廉洁四个领域已经开展专项风险管理工作,但是各领域之间的管理工作尚未有效的统筹协调。专项风险管理工作由各专业部门牵头开展,各专业领域之间交叉和重合的风险管控工作尚未得到有效统筹。随着全面风险管理体系建设工作的不断开展,战略风险、市场风险、公共关系风险也纳入风险管理的范围,自此风险管控涉及专业面更广泛,如果各领域之间缺乏系统运作和协调性,这七大类风险管控就会显得杂乱无章,无法全面管控。
2.3风险数据库的实用性有待提升
各专业领域的风险数据库只是对风险信息进行了简单的罗列,具有大而全的特征,不适用于日常工作。目前各专业领域都识别出大量的风险点信息,但是对于一些真正影响企业决策、安全生产、经营策略的重大风险,没能制定切实有效的风险应对措施,导致风险数据库只是风险点的累加而实用性不强。
2.险文化建设的有效性有待加强
风险文化和风险意识的建设水平不高。目前,江门局风险管理文化氛围亟需提升,部分人员对风险管理不够积极主动,对于风险的危害性、易发性不够重视。各领域风险文化建设举措执行力不强,存在走过场的现象。此外,风险管理人员的专业知识和管理能力也有待加强。
3全面风险管理体系建设
针对现状诊断中发现的问题,江门局以公司战略为导向,在公司董事会领导下,按照“统筹规划、探索创新,专业归口、分级负责,全面覆盖、规范运作”的原则,参照公司一体化管理的规范要求,坚持“整体部署、分专业分步实施、逐层推进、持续改进”的思路,建立了一套既符合一般风险管理要求,又符合电网行业特征,既符合国资委风险管理要求,又具有南网特色的全面风险管理体系框架。
3.1全面风险管理框架
全面风险管理体系由风险管理组织机制、风险管理规范化机制、风险管理运作机制、风险管理信息系统、风险管理文化五部分组成。
3.1.1风险管理组织机制。指公司全面风险管理工作的主要参与主体以及各自的职责权限划分。公司风险管理组织应包括董事会、风险管理委员会、风险管理办公室、风险管理专业小组、审计部、下属分子公司等各主要参与主体。
3.1.2风险管理规范化机制。指运用一体化工作方法,对风险管理相关工作进行结构化设计后形成的规范化管理机制。该机制包含了风险管理工作的业务分类、流程设计、管控策略、统一规范策略和一系列规范性文件。
3.1.3风险管理运作机制。指各级单位在组织职责要求和规范化要求的指引下,于业务过程中执行风险管理基本流程并产生成果的过程。风险管理运作机制要求公司各级单位在清晰的职责划分和协同下,在业务管理PDCA循环中,开展风险识别、评估、应对、监督等工作,并形成风险库、风险评估结果、风险应对方案、监督评价结论等成果。
3.1.险管理信息系统。指公司用于支持风险管理工作的信息系统。公司风险管理信息系统应与业务应用系统结合,具备风险信息的采集、存储、加工、分析、传递、报告等功能,支持风险识别、评估、应对、监督等风险管理流程。
3.1.5风险管理文化。指公司各级员工对待风险的价值观、理念、态度和行为方式。公司风险管理文化应承接公司整体文化体系,覆盖上下各级员工,将风险管理转化为员工的共同认识和自觉行动。
3.2全面风险管理组织机制
江门局按照风险管理要求,结合工作实际,设置风险管理组织机构,为风险管理工作提供组织支持。全面风险管理组织机构包括全面风险管理委员会、全面风险管理办公室、风险管理归口部门、业务部门和监督部门。
3.2.1全面风险管理委员会。成立全面风险管理委员会。全面风险管理委员会由局领导担任主任,成员由部门主任及县(区)分子公司主要负责人组成。各县(区)分子公司需按照市局要求成立全面风险管理委员会。主要职责:(1)统筹领导全面风险管理体系建设与评价工作;(2)审批风险管理方面制度和流程;(3)审批并签发风险环境分析报告、风险管理工作年度计划、全面风险管理报告、全面风险管理监督报告;(4)审批重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制以及重大决策的风险评估报告;(5)培育风险管理文化,推动风险管理信息系统的建设;(6)审批、决定全面风险管理中的其他重要事项。
3.2.2全面风险管理办公室。全面风险管理委员会下设全面风险管理办公室,挂靠在企业管理部,全面风险管理办公室主任由企管部负责人担任。各县(区)分子公司全面风险管理办公室设在办公室或综合部,全面风险管理办公室主任由部门负责人担任。主要职责:(1)组织风险管理归口部门开展全面风险管理体系建设与评价工作;(2)组织风险管理归口部门制定、完善风险管理相关制度与流程;(3)组织风险管理归口部门开展风险环境分析、制定全面风险管理工作计划、编制全面风险管理报告;(4)组织风险管理归口部门制定跨领域重大风险应对策略及方案;(5)指导、监督风险管理归口部门开展风险管理工作;(6)组织开展风险管理绩效考核工作。
3.2.3风险管理归口部门。按照“专业归口”管理原则,市局风险管理由七个风险管理归口部门负责,各风险管理归口部门分工详见表2,县(区)分子公司风险管理归口部门详见表3。主要职责:(1)按照全面风险管理体系建设要求,落实专业领域风险管理工作;(2)指导、组织业务部门进行风险环境分析;(3)负责专业领域风险管理工作计划和方案的制定、组织实施、监督评价工作;(4)组织制定专业领域重大风险管理策略和应对方案;(5)指导、组织业务部门进行风险自我控制,执行风险管理基本流程;(6)负责开展专业领域风险评价工作,撰写专业领域风险管理报告。
3.2.4业务部门。业务部门在风险管理归口部门的指导下开展风险管理工作,业务部门应指派一名风险管理联络员作为风险管理归口部门在业务部门的联络窗口。主要职责:(1)配合风险管理归口部门制定风险管理工作计划;(2)落实风险自我控制,执行风险环境分析、风险识别、风险评估、风险应对、风险监控等活动;(3)配合制定重大风险管理策略和应对方案;(4)配合开展风险管理评价工作,配合编写全面风险管理报告。
3.2.5监督部门。监察审计部作为全面风险管理工作的监督部门,主要职责:(1)研究提出全面风险管理监督机制,制定风险监督相关制度;(2)制定全面风险管理监督方案,并组织实施;(3)按照风险管理委员会统一部署,对业务部门风险管理措施落实情况进行监督;(4)根据监督情况,编写风险管理监督报告。
3.3全面风险管理规范化机制
为规范全面风险管理工作,江门局制定了各类工作指引和全面风险管理体系评价标准。
3.3.1制定《全面风险管理指引》。为推动全面风险管理体系建设,提升风险管理防范和控制能力,江门局根据国资委《中央企业全面风险管理指引》的相关规定,按照网省公司全面风险管理工作部署,结合风险管理实际情况,制定《全面风险管理指引》。指引遵守以下原则:(1)全面控制原则。将风险管理与生产经营活动相结合,实现全员参与、全领域覆盖、全过程监控;(2)突出重点原则。以重大风险、重大事件(指重大风险发生后的事实)和重要流程的管理为重点,开展全面风险管理工作;(3)有效落地原则。全面风险管理工作开展应与其他管理工作紧密结合,力求把风险管理的各项要求嵌入日常业务流程及管理规范,确保实效落地;(4)成本效益原则。风险管理工作开展与风险应对措施制定应兼顾成本与效益,实现成本与效益的平衡。
3.3.2制定风险管理各项工作指引。编制《全面风险管理组织机构设置及工作指引》《绩效考核工作指引》《基于风险管理的岗位职责表梳理工作指引》《基于风险管理的制度流程修编工作指引》《全面风险管理信息沟通机制工作指引》。各项工作指引为全面风险管理工作的落地提供指导和规范。3.3.3制定管理体系评价标准。江门局按照全面风险管理体系建设要求,运用风险管理评价理论、成熟度理论,建立了全面风险管理体系评价标准。
4结语
全面风险管理要求第2篇
关键词:企业 全面风险管理 内部控制 体系
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
全面风险管理要求第3篇
论文关键词:商业银行风险管理;全面风险管理体系;风险分散化
全面风险管~(Enterprise—wideRiskManagement,ERM)是商业银行追求的风险管理目标,这种风险管理方法旨在全面衡量、控制和管理商业银行经营中不同业务的风险,并利用风险分散化的技术手段,全面整合风险,使银行拥有合理的资本储备。与全面风险管理相对应的是经典的风险集合管理,就是将银行的风险分类管理,如果在整合风险类型的基础上,进行资本的计算,其标准的程序是:经济资本(全部):经济资本(风险)+经济资本(信用风险)+经济资本(操作风险)+经济资本(商业风险)。
全面风险管理体系追求的目标是既要建立风险防范的组织体系,又要有衡量银行的各方面风险及其分散化影响的量化方法。如果将各种风险看成是一个独立组合的一部分,那么银行在实行全面风险管理体系后,就能享受分散风险带来的好处,而不必为每一种风险分别购买,这样也就降低了银行的资本储备,使银行能更合理地使用自己的资金,并在竞争市场上获得竞争优势。
下面我们以花旗银行、德意志银行和大通银行国外商业银行作为研究对象,对国外银行的全面风险管理体系进行分析,并为我国商业银行的全面风险管理体系建立,提供有益的思路和参考方法。
一、花旗银行
(一)管理体系
花旗银行风险管理体系的基本结构是由一名副总裁直接负责全行范围内的风险管理,领导风险管理委员会,作为银行最高的风险管理机构。
花旗银行将风险管理职能作为一个重要的职能独立于其他的经营部门之外,不受日常经营部门的影响,其风险管理框架尽可能覆盖广泛的各个经营领域,以及考虑到了全球经营业务的分散性。花旗银行的独立的风险管理者负责建立和实施风险管理策略和其部门内部的风险管理执行,同时也要保证其执行于花旗整体的风险管理标准相一致。花旗银行独立的风险管理者负责建立和实施风险管理策略和其部门内部的风险管理执行,同时也要保证其执行于花旗整体的风险管理标准相一致。
(二)风险管理基本程序和方法
花旗银行在风险管理中采取一种“风险窗口”的管理方式,其中主要包括:宏观经济状况分析和行业分析、风险敞口的评估和风险的处理三个部分。花旗银行在风险管理上非常重视将风险的管理程序提前,进行事前的风险管理,在分析数据的基础上。对不同地区不同行业的未来走势做出预测,从而制定相应的业务发展和风险管理策略,保证银行业务的正常开展。
1.信用风险。花旗银行将信用风险分为消费者信用风险和公司信用风险两大类。风险管理的程序着重于公司层面的标准,以保证风险管理的统一性和全面性。
花旗银行在消费者信用风险管理方面实行组合管理的原则,充分考虑到组合内风险因素的相关性和分散性,并且消费者信贷也是花旗银行整体信贷资产的很大部分,占据69%的份额。这些信贷资产也产生于成百上千的客户,无论是地域还是行业,都具有很强的分散性。
公司信用风险管理方面,也非常强调将业务经营与风险管理的程序进行结合,同时保证风险管理的独立性,并存在一个单独的中心,控制风险的相关性、风险头寸暴露程度、以及限额的制定和管理等。并且对整体的公司信用风险进行组合管理,提高对风险整体的认识。
2.市场风险。花旗市场风险的管理和信用风险管理一样,都是在企业层面展开,进行策略的制定和执行,并且保证风险管理从上至下的一致性。每一个业务部门都必须建立一个独立的市场风险管理机构,建立市场风险管理框架,包括风险限额管理、风险测量、风险控制等方面。
对于交易组合的风险,花旗主要通过因素敏感性分析、VAR(Value—at—Risk)、压力测试来进行。每一个交易组合也都有其相应的风险管框架体系,其中包含限额管理、测量和控制。
二、德意志银行
(一)管理体系
在德意志银行的风险管理体系中,俘在一个专门的委员会风险小组(GroupRiskBoard)对银行的风险管理策略的制定和执行负全部的责任,并且负责制定银行整体的风险管理框架。委员会风险小组实际I:就是德意志银行的风险管理委员会,并且由CRO(ChiefRiskOfifcer)领导一在风险管理委员会中,不同的风险归一个统一的风险部门进行管理,而不像以前分别由不同的风险管理部门进行管理,这样使得德意志银行在全面风险管理方面更加得心应手。风险管理委员会在德意志银行的风险管理框架中,具体的将银行风险管理职能分为五个部分,分别由不同的部门负责实施。这五个部分分别是:风险测量和报告、限额制定、风险识别、头寸管理和质量监督。
(二)风险管理基本程序和方法
在德意志银行的风险管理过程中,非常强调量化模型和研究的重要性,风险管理层正是根据量化的风险因素,对银行各个不同部门和风险种类进行风险额度的分配和管理。
1.风险分散化管理。德意志银行在风险量化度量中,不仅仅重视对各个风险单独类别的量化研究,同时更加注重对银行整体风险的研究,考虑各类风险之间的相关性和独立性。在德意志银行,管理层以资本来度量业务风险因素的大小,同时考虑到不同风险的分散化作用。
经济资本是测量在一定程度的置信条件、一定的时期内可能遭受的损失。在德意志银行,置信程度为99.98%。其中,VAR作为一种比较成熟的技术,是德意志银行用来衡量经济资本,测量风险因素的一种手段:
三、大通银行
(一)管理体系
大通银行其将银行所面临的风险分为:流动性风险、信用风险、市场风险、市场风险、风险等具体种类,并且在其各个经营部门中,分别设有独立的风险管理委员会,对各个业务部门经营所面临的风险进行管理。并且各个风险管理委员会将风险管理报告向上提交给高层的经营管理部门和人员。
在大通银行的高层风险管理机构中,又具体分为两个风险管理组织:资产负债风险管理和银行风险管理。这两个风险管理组织机构将传统的银行资产负债业务和银行的投资银行业务的风险管理进行分别管理。大通银行的风险管理机构的设计具体情况见大通银行2004年年报。
各个部门的风险管理委员会,在银行首席风险管理执行官的统一下完成各自的风险管理工作,首席风险管理执行官在整个银行的范围内独立实行银行风险管理和控制职能,并且直接向银行的董事会负责,向银行的最高管理层报告银行一定时期的整体的风险状况和应该采取的风险控制策略。
(二)风险基本程序和方法
1.风险分散化管理。大通在风险管理上最主要的手段是风险分散化和控制。大通银行通过其广泛的经营范围,对银行自身经营过程中所面临的风险进行分散化,并且对各种风险进行相应的组合管理,统一控制,统一分配风险额度,以达到全面控制银行风险的目的。正是由于实行了风险分散化的管理方法,大通银行的资本需求,在单个风险累加的基础上有显著的降低,使银行的资源配置更加合理。
从有关数据可以看到,大通银行通过风险分散化获得近20%的收益。大通银行总的经济资本需求是通过模型确定的,而这种预测是在风险分散化的基础上进行的。把通过风险分散化调整的资本需求与普通股权益相比较,以此来估计资本的利用效率。大通银行的风险管理政策就是维持一个能支持企业增长的适当资本水平,并能为风险损失提供保护。
2风险度量技术。大通银行通过动态来测量内部和外部的对日常经营业务和银行头寸产生影响的因素,并识别银行可能面临的风险因素。并且由经营部门和风险管理部门共同参与制定适当的风险管理策略。
在度量风险因素方面,大通银行采取综合采用多种风险测量技术的方法,其中包括:预期损失、未预期损失、VAR和压力测试等多种手段。并且定期的对银行风险测量的模型的假设参数进行检查,保证其正确反映银行的状况,减小模型风险的产生。同时,大通银行建立了相应的风险监视和控制政策机制,风险监测控制机制范围覆盖银行日常的所有的经营领域和业务,并且大通银行的风险报告体系涵盖了银行所有的经营业务,向管理层提供日、周、月的相应风险报告。
四、对外国商业银行全面风险管理体系的分析
综合上面谈到的花旗、德意志、大通等外国主要商业银行在全面风险管理方面的策略和方法,有以下三方面的认识。
第一,国际大银行在风险的量化度量方面比较成熟,能够较为准确地对包括信用风险、风险、操作风险等进行度量,从而为银行的风险管理以及经营决策提供帮助和依据。在量化度量方面,国外商业银行在市场、信用和操作风险等方面,都在引入VAR(Value—at—Risk)的衡量方法,并利用VAR结果直观地反映银行可能面对的风险损失,而且在置信度的选择上,已经达到很高的要求,德意志银行的置信度选择在99.98%,已经超过巴赛尔委员会要求的99.9%的置信度,更高于可接受的行业标准95%的水平。这说明在风险管理水平上,国外较先进的银行对自身的要求是很高的,这种风险防范的高要求将确保银行的稳健经营和对风险损失的防范能力。
在利用VAR进行风险量化分析时,各银行主要采取三种方法:参数预测法(ParametricEstimation)、模拟法(HistoricalSimulation)和蒙特卡罗模拟法(MomeCarloSimulation)。参数预测法能很容易计算并得到较精确的结果,但是它的假设前提是正态分布,而且对于非线性组合将很难计算。历史模拟法的优点是没有分布假设而且很容易理解,但需要较长时期的历史数据而且只能用一个样本路径。蒙特卡罗模拟法的优点是在分布上约束很少,而且在精确度上能更好地控制,但是具有很强的时效性同时具有模型风险。
第二,国外商业银行采用整合风险的管理方法,考虑各类不同的风险以及同类风险之间的相关性和分散性,使其能够更准确的把握银行整体的风险特征。对银行各类风险的相关性进行分析,并利用风险分散性来确定合理的经济需求已经使国外商业银行全面风险管理最核心的内容。这也是现代全面风险管理体系中最前沿的问题。
全面风险管理要求第4篇
全面风险管理,由于其更加契合商业银行的高风险经营的特点,具有更好的风险管理效果,因此,得以在各种风险管理方法中脱颖而出,成为更为优越的经营理念和经营方法。
二、我国商业银行全面风险管理存在的主要问题
经过长期的发展,到目前为止,中国基本建立健全了银行机构体系,银行基本实现了从专业银行向商业银行的转型,各主要商业银行也基本实现了股份制改造,大大提高了商业银行的公司治理效率。尽管如此,由于基础差、底子薄、发展快、从业人员素质较低和市场环境较差等原因,我国商业银行的风险管理还存在许多问题。
1.尚未形成正确的风险管理理念
风险管理理念决定了商业银行在经营管理过程中风险管理的行为模式,它渗透到银行业务的各个环节,影响到银行内每个员工的行为,在商业银行经营管理中占有十分重要的地位。但是,目前我国国有商业银行的风险管理理念还比较落后“,重业务、轻管理”的情况比较普遍,科学发展模式和全面风险管理理念亟待建立。并且我国商业银行普遍缺乏差别化的管理理念。不同地区、不同业务、不同风险之间是存在差异的,这就要求在实施风险管理的时候需要区别对待,不能一概而论。但是在实际情况中,我国商业银行普遍缺乏这种理念,这不仅不能降低银行的风险,反而容易增加新的风险。此外,我国商业银行没有形成全员风险管理的意识,风险管理意识还没有渗透到全部员工,没有贯穿到业务拓展、经营管理的全过程。依法、合规经营意识薄弱,大多数员工对风险管理的认识不够充分。
2.缺乏完善的风险管理组织结构
在我国,绝大部分的商业银行缺乏能够进行独立经营与有效管理各种风险的管理部门和管理体系,风险管理需要的运行机制与组织得不到有效保障。目前,我国风险管理的重点仍然是信用风险领域,而操作风险以及市场风险得不到足够的重视,风险管理的组织结构不够优化合理。除此之外,我国银行的分支行普遍存在综合风险管理部门缺失的问题,内部的审计职能还有很大的空白需要补充。
3.风险管理的方法与技术手段落后
国外商业银行为实现全过程监督和控制风险管理,大量运用金融工程、数理统计模型等先进方法,而我国商业银行的风险管理尚处于初级管理阶段,主要依赖专家管理,主要手段是质量控制,以主观经验的定性分析为主,科学的量化分析不足。在风险识别、度量、监测等方面不够精确和科学。在国外广泛使用的一些计量模型,我国大部分商业银行并没有采用。另外,我国商业银行的风险管理工具的开发相对滞后,风险计量技术达不到要求。例如,许多商业银行的信用风险尚未进行公司、国家、银行、零售贷款、专项贷款、股权投资方面的细分;评级体系仍实行5级甚至4级分类法,与先进银行10级以上分类方法有较大差距。
三、构建我国商业银行全面风险管理体系的对策建议
1.制定清晰的风险管理战略
风险管理战略是指从经营管理全局和长期发展的角度,对银行风险倾向和风险防范与化解的总体安排和原则,它是银行具体风险管理政策和操作的基础。风险管理战略的主要步骤包括风险辨识与评估、风险测绘、风险定量、风险机会辨识、风险降低行动方案规划、资本调整决策等。
2.建立运行有效的风险组织结构
好的风险管理结果要靠科学的风险管理流程来实现,科学的风险管理流程要靠严谨的风险管理组织结构来保障。风险管理流程的设计必须与风险管理组织结构相互呼应,如美国银行的6σ管理方法等。中国商业银行的风险管理流程大多分为风险识别、风险测量、风险监测、风险控制等几个环节,很少将这些流程和组织结构的职责和岗位相关联,不能很好地体现出流程和组织之间的支持关系。这就需要中国商业银行业在对风险管理体系进行整体规划的基础上,调整风险管理组织架构和部门职责的相互关系,并建立相应的监督和考核机制,务必使流程的每一个环节落实到确定的部门。从组织结构方面来看,风险管理工作必须从上而下推动,有必要设立“董事会—风险管理委员会—风险管理办公室”的组织架构。董事会决定商业银行的经营策略、风险管理与控制策略、监督策略,并对银行所承担的风险富有完全的责任。风险管理委员会负责组织实施董事会制定的风险管理战略和决策、拟定银行年度风险限额、从风险管理角度审批银行重大经营活动等重大风险管理事宜。风险管理办公室则作为商业银行风险管理委员会的常设机构,主要承担银行的日常风险管理工作,对银行的各类风险进行监测和评估,并形成风险报告。
3.构建审慎的风险管理文化
商业银行管理层需要在全体员工、全体部门和全部业务流程中建立风险成本的概念,风险管理的过程应该让每个员工都参与,从上到下各个阶层的人员都要有风险意识,将风险管理文化发展成为商业银行文化的一个重要组成部分。除此之外,还应该将风险管理融入到商业银行日常的业务活动和经营管理之中,在日常的工作中创造风险文化与合规文化。
4.加大商业银行IT系统的投入,提高风险计量水平
信息系统可以为量化风险提供有力支持,而量化风险是商业银行落实全面风险管理的必然要求。在长期的研究过程中,许多学者提出了多种测量风险的模型,如摩根的VaR模型,目前,受到金融界的广泛认可,是应用最多的风险管理模型。此外,还有KMV模型和RAROC模型等。这些模型的应用,对于风险计量水平的要求很高,需要我国商业银行加大对IT系统的投入,同时充分发挥人的主观能动性,定量分析与定性分析相结合,提高对风险的前瞻性预测的准确程度。
5.加强风险管理专业的人才队伍建设
商业银行全面风险管理能力的高低最终体现为人才队伍整体素质的高低。全面风险管理对员工的素质要求很高,不仅是在量化风险的方面,还有对宏观经济走向的预测,对经济周期和经济政策的分析等方面,都要求风险管理人员具备很高的理论素养和综合素质。因此,风险管理对员工的理论知识和计量技术的要求都很高,这对我国商业银行的人才队伍建设提出了非常高的要求,不仅要招聘到这样的人才,还需要在银行内部建立科学完善的培训体系,加快我国商业银行的风险管理队伍建设。
四、结语
全面风险管理要求第5篇
【关键词】商业银行;信息系统;研发风险;组织体系
根据Gartner统计,互联网75%攻击行为已经由网络层转移到应用层,另据NIST报告,目前已经发现漏洞有92%源自系统应用软件,加强信息系统研发风险管理,增强信息系统安全性,已成为商业银行信息系统研发管理的重要内容之一。
随着金融信息化的深入,科技自主创新价值日益凸显,国内大中型商业银行普遍建立了自己的信息科技部门或研发中心,以科技创新驱动业务、服务和管理创新。在研发风险管理方面,部分商业银行建立了研发风险管理体系,从组织、管理、技术等各方面体系化提高和保障信息系统安全性。
商业银行信息系统研发风险组织以安全知识探索和研发风险管理为主要活动,通过建立和实施研发风险管理工作流程,提供安全技术支持服务,在产品立项、安全需求转化、安全编码、安全测试等阶段落实安全技术要求,提高信息系统安全性。因此,研发风险管理组织是商业银行研发风险管理体系的重要组成部分,对于加强商业银行信息系统研发风险管理具有重要的基础性意义。
一、建立研发风险管理组织体系的必要性
1.完善全面风险管理组织体系的需要。
2004年的新《巴塞尔资本协议》强调商业银行不仅要重视传统的信用风险、市场风险和流动性风险,而且提出操作风险管理要求,并将信息科技风险划归操作风险管理范畴。信息科技风险已经成为商业银行全面风险管理体系的组成部分之一,而信息系统研发风险又是信息科技风险的重要内容,因此,加强信息系统研发风险管理,建立健全研发风险管理组织体系,是对商业银行全面风险管理组织体系的完善。
2.满足监管要求的需要。
随着信息技术的不断进步与发展,信息系统的安全建设显得尤为重要。2012年6月29日,人民银行下发“银发[2012]163号”文件,要求进一步落实《信息安全等级保护管理办法》(公通字[2007]43号),加强银行业信息安全等级保护工作。此外,银监会、公安部、审计局等监管机构对信息系统风险管理和开展安全检查都有明确要求。信息系统安全建设需要专门的工作组织来推动落实,因此,建立健全商业银行信息系统研发风险管理组织体系,开展安全制度建设、安全标准建设、项目安全管理和信息系统安全达标评审等一揽子工作,成为防范信息系统研发风险管理的迫切需要。
3.提升研发风险管理水平的需要。
随着商业银行经营发展对信息系统的依赖性越来越大,信息系统故障所带来的影响也越来越大。信息系统的健壮性和稳定性已经成为衡量商业银行服务水平的重要方面。建立健全完善的研发风险管理组织体系,增强开发人员安全意识,指导开发人员安全设计和安全编码,加强信息系统研发风险管理,成为全面提升研发风险管理水平的需要。
二、研发风险管理组织体系现状与问题
商业银行信息科技部门或研发中心普遍设立了风险管理委员会和安全管理部门,形成了信息科技风险管理组织,满足了基本工作需要。但是,多数商业银行的信息科技风险管理组织未能深入到研发风险管理领域,在一定程度上制约了研发风险管理工作的开展。主要问题包括:一是研发风险管理组织机构不完善,缺少专职部门推动研发风险管理工作开展;二是研发风险管理组织职能不完善,相关机构仍然以迎接上级检查为主业,未能真正履行研发风险管理职责;三是研发风险管理角色不明确,未在项目组设立研发风险管理角色,研发风险管理组织与项目组之间缺乏沟通联系,相关管理要求难以传导和落地;四是研发风险管理人才队伍不完整,研发人员缺乏安全技术、技能,整个组织层面缺少安全专家团队对信息系统安全设计进行指导和把关。
三、研发风险管理组织体系建设思路
完善的信息系统研发风险管理组织体系的主要特点在于组织和运行机制的创新性,以及适应研发风险管理组织职能而形成的新管理制度。在组织和体制创新基础上,研发风险管理组织必将在信息科技风险管理中崭露头角,并以强劲的势头向科技创新的各个环节渗透。
1.信息系统研发风险管理组织体系架构
信息系统研发风险管理组织以提升信息系统安全性,实现持续的高水平研发服务为目标,不仅需要进行信息系统架构设计和产品研发工作,还需要开展产品质量控制和安全标准研究等工作。因此必须在层级式研发风险管理组织体系总体框架下,加强架构设计、质量控制、安全指导和标准研究等的力量,同时增进各执行层级间的互动,构建和形成“层级+互动式”的信息系统研发风险管理组织体系。
图1 信息系统研发风险管理组织体系
构建完善的信息系统研发风险管理组织体系,需从以下几方面开展。
一要坚持风险管理委员会的顶层设计,贯彻安全与发展并重思想,将系统等级保护要求和监管要求等融入信息系统建设,努力从战略层面建设安全稳定的信息系统。
二要加强安全管理部门的安全管理职能,大力开展安全标准研究和源代码扫描等技术支持服务,推动信息系统事前定级工作,建立信息系统研发风险管理机制和统一的安全需求规范并严格落实,事中开展源代码漏洞扫描等安全技术支持服务工作。改变原有的事后定级,安全措施与等级保护级别不一致,安全整改难度大等的被动局面。
三要加强应用开发部门、技术管理部门、质量管理部门、安全管理部门和安全专家组的安全人员建设,增强风险管理委员会与各部门或者各部门间的衔接,形成研发风险管理组织体系。通过安全人员的安全管理活动,构建安全稳定的信息系统,增强市场竞争力。
信息安全经理是项目组安全开发负责人,负责在研发过程中落实信息系统安全需求,提升开发人员的安全意识,降低因安全意识薄弱等导致的风险;信息安全督导团队是各部门联系的纽带,督导信息安全经理落实安全需求,辅助开展源代码漏洞扫描等安全技术支持服务,减少信息系统风险隐患;架构设计团队承担着信息系统架构分析设计职责,架构设计好坏决定了信息系统的成败;质量管理团队是信息系统研发生命周期质量管理体系的制定实施者,负责制定研发过程规范及配套度量体系,加强信息系统研发生命周期源代码、技术文档等的质量管理;安全专家组参与信息系统研发风险管理各评审和审核等,切实提升信息系统的安全性。
四要加强测试管理部门信息系统安全测试工作,在业务功能测试基础之上,强化信息系统安全功能测试和安全漏洞扫描测试,以进一步验证信息系统安全功能的有效性,排查可能导致黑客攻击的安全漏洞。
2.明确的职能定位是研发风险管理组织发展的根本保障
信息系统研发风险管理组织的兴起和发展具有强烈的需求导向性,根据需求导向设计组织结构,明确信息系统研发风险管理任务,开展研发安全管理活动。加强信息系统研发风险管理,提升信息系统安全性为信息系统研发风险管理组织建立和发展提供了根本动力。
组织职能定位是研发风险管理组织生存和发展的关键。风险管理委员会是信息系统研发风险管理组织体系的决策机构,负责贯彻执行信息科技风险管理策略,制定研发过程安全管理整体策略,对研发过程安全管理工作进行监督和指导,体现了组织机构的发展方向。
应用开发部门、技术管理部门、质量管理部门、安全管理部门和测试管理部门在风险管理委员会统一领导下,开展信息系统研发安全保障工作。技术管理部门开展信息系统安全架构分析;质量管理部门保障信息系统研发生命周期质量安全;安全管理部门职能重塑,在原有应对监管部门监督检查基础之上,进行信息系统安全标准研究、制定维护安全技术规范、组织研发安全管理活动、督导开发人员落实安全需求和提供源代码扫描技术支持服务等;测试管理部门开展信息系统投产前的安全功能测试和安全漏洞扫描测试;安全专家组是信息系统安全管理和研发领域的佼佼者,参与研发安全评审。明确的职能定位必将带动信息系统研发风险管理组织的发展。
3.形成符合科技发展的可持续改进运行机制
在遵循科技发展规律基础之上开展信息系统研发风险管理是研发风险管理组织保持活力的前提。研发风险管理组织的生命力在于按照科技发展规律来设计组织和运行机制。应用开发部门、技术管理部门、质量管理部门、安全管理部门、测试管理部门、安全专家组等紧密围绕信息系统研发主线,并在风险管理委员会统一领导下进行协作,提升信息系统安全性。对具体信息系统来说,其研发风险管理的角色来源于不同的部门。他们同时接受项目组和所属部门的管理,也充当着项目组和部门之间联系的纽带。这种矩阵式管理能够充分发挥不同领域专业人员的优势,取长补短,互通有无,使研发风险管理组织的整体运作效能达到最佳。
研发风险管理组织按照信息系统研发项目而组织产生,它加强了不同部门之间的配合和信息交流,同时由于对重要决策问题有发言权,增加了参与者的责任感和积极性,再通过相关组织的研究审核后经风险管理委员会,有利于形成研发风险管理决策的良性循环。在研发风险管理工作过程中,应根据商业银行信息科技组织结构调整,以及外部监管要求的变化,定期对研发风险管理组织进行改进维护,以确保研发风险管理组织的持续有效运转。
商业银行信息系统研发风险管理组织体系是研发风险管理体系的重要组成部分,是信息系统研发风险经营风格和战略思想的具体体现,是实现优良研发产品和保持长期竞争战略的基本保障,是研发中心的安身立命之本。
参考文献:
[1]信息安全技术,信息系统安全等级保护基本要求[Z].GB/T22239-2008.
[2]操龙灿.基于自主创新的大企业研发组织体系构建与界面管理[J].合肥工业大学学报(社会科学版),2007(02):99-100.
[3]陈宝明.我国新型研发组织发展现状与政策建议[J].中国科技论坛,2013(03):27-31.
全面风险管理要求第6篇
关键词:中央企业;风险管理;信息化
风险管理信息化是指如何在一个有风险的环境里,事先设计实行一系列流程,继而在实际工作中,严格依照这些流程执行,通过信息技术的运用对企业可能发生各种风险进行及时的预警,并采取有效的措施把风险减至最低的管理过程。作为一门新兴的学科,我国在理论上对风险管理信息化的研究还需要进一步深入,企业在实践中开展风险管理信息化建设的时间也比较短,但是这并不妨碍其在实际工作中发挥的作用。正如企业风险管理的发展,同样是在学术上和实践中同时发展,相互借鉴;风险管理信息化也随着实际工作的进展持续发展。因此,风险管理信息化研究是一项具有较强的实用性、创新性和可操作性的研究。
一、 企业风险管理概述
美国学者威雷特认为,风险是一种关于不希望发生的事件发生的不确定性的客观现象。简单的说,风险就是遭受损失的可能性。许多学者从不同的角度对风险管理的进行了研究。美国许布纳博士在1930年美国管理协会发起的一项保险问题会议上首次提出风险管理的概念。从风险因素角度来看,风险管理指那些针对风险因素展开的各种管理活动,以及将不同风险因素整合而进行的全面管理活动。从管理风险的工具和方法来看,风险管理则可分为内部控制活动和风险产品交易活动。其中,内部控制活动主要使用管理制度、组织结构、审计稽核等工具和方法;而风险产品交易活动则主要是运用风险计量、衍生品对冲、风险定价补偿等方法。从盈利管理的角度来看,风险管理则包括风险定价、经济资本配置、风险调整资本回报、风险调整业绩考核等活动。我国学者将风险管理看作是为通过对风险进行识别、评估和管控,以最小的代价把风险造成的损失降到最少的管理活动。
本文认为,企业风险管理是结合企业长远发展战略,通过对多种要素的控制将管理流程化,目的是识别那些影响企业生产经营活动中存在的潜在风险,把风险降低到最小化,帮助企业实现利润最大化。企业风险管理应以企业利润最大化为目标,以企业生产经营管理活动为研究对象,通过将信息技术融入到风险管理中,准确分析和预测企业目前和将来可能遇到的所有潜在风险,并及时、有效地控制那些不利因素所造成的负面影响,为企业发展创造机会。
二、 全面风险管理信息化的必要性
1. 政府监管部门要求。国资委的《中央企业全面风险管理指引》和其他部门的《内部控制基本规范》等文件及配套指引,提出企业应将信息技术应用于风险的防范和控制,建立科学有效的企业风险管理信息系统和健全以风险管理为导向的内部控制制度。在国资委制定的“十二五”中央企业改革发展目标中,风险管控能力是做强、做优、打造世界一流企业的核心指标和要素之一。2012年,国资委开展管理提升活动,全面风险管理被列为十三个重点专题内容之一,要求企业通过管理提升活动,把风险管理打造成企业的核心竞争力。为实现政府监管部门所提上述目标和要求,风险管理信息化作为一种有效的手段和途径,就格外显得更加重要和紧迫。
2. 国际环境要求。随着全球经济一体化进程的加速,企业迎来前所未有的发展机遇,与此同时面临的各类风险不断涌现。从世界上许多国家发生的金融危机,到大量银行倒闭等事件,都说明了风险的发生不是孤立的,是受多方面的因素影响的。特别是2008年国际金融危机以来,国内外宏观经济环境发生了复杂而深刻的变化,债务危机蔓延、地缘政治更趋复杂、国际贸易保护主义持续升温、国际市场竞争更趋激烈、全球经济复苏趋缓,下行风险加大。我们必须始终牢固树立风险意识,建立健全风险管理信息化体系,克服越来越多的不确定性因素可能产生的负面影响,提升应对各种内外部风险的能力和水平,保障公司持续稳定健康发展。
3. 公司内在发展需求。目前,一些中央企业开启了新的伟大航程,不断加大走出国门的步伐,国际化经营份额比例日益增长,面对的各种风险也急剧增加,加强全面风险管理信息化建设就尤其重要。这就要求企业应优化顶层设计,统筹规划全面风险管理体系架构,明确各层面风险管理职责分工,建立健全全面风险管理工作机制,上下衔接、有序运行,推进风险管理信息化融入公司经营管理的各领域、各环节,实现风险管理常态化。通过加强全面风险管理信息化建设水平,有效防范控制各类风险,抓住发展机遇,提高企业综合管理水平,增强核心竞争力,为企业战略目标的实现提供可靠性保障。
三、 全面风险管理信息化现状分析
一些中央企业在风险管理信息化建设方面,已经做到理念超前、程序规范、技术先进、运行效果良好,成功有效预测并化解了大量的企业风险。这些企业风险管理组织体系比较健全,从董事会开始自上到下清晰界定风险管理职责,如董事会对风险管理的整体有效性负责,风险管理部门负责风险管理政策制定和日常执行情况的监控,各业务单元设置风险管理负责人,为风险管理信息化建设奠定了良好的基础。在此基础上,企业将先进的信息技术融入到风险管理工作之中,不断提高风险管理信息化水平,实现风险管理方法由定性向定性与定量相结合的转变,企业风险管控能力和水平不断得到加强。尽管部分企业在风险管理信息化建设方面已经取得了一定的成绩,但是按照政府相关监管部门管理提升要求,企业的风险管理信息化建设方面还存在着不足之处。一是风险管理网络体系尚未形成,相关部门及部分企业的风险管理职能尚不明确,不利于全面风险管理信息化建设工作的深入开展。二是风险管理信息化制度体系不够完备。风险信息收集、风险评估、风险应对、监控预警、监督评价与改进等制度、办法及工作标准还没有完全形成。三是风险管理信息化专业化水平不高,信息化技术运用不充分,量化评估工作应用较少,风险信息的传递和共享机制等方面有待完善。四是风险管理信息化的监督评价与改进机制尚未建立,风险管理的效率和效果难以保证。
四、 全面风险管理信息化构想
1. 风险管理信息化建设的基本原则。为保证风险管理信息化建设的科学、实用和有效,在制定规划时应坚持几项基本原则。一是科学性原则。风险管理信息化是建立在管理科学和信息技术等理论基础上,科学性是最基本的原则。在结合企业实际情况的前提下,风险管理信息化建设应充分研究管理学和信息技术等学科的相关理论,为后续工作奠定扎实的理论基础;二是系统规划原则。风险管理信息化建设要坚持“统一规划、统一标准、统一设计、统一投资、统一实施、统一管理”的原则。要从企业全局的角度优化配置信息资源、集中决策、统一部署,建成具有全局性、集成性的信息平台。这样,可以避免产生新的“信息孤岛”,使企业风险管理信息化整体水平得到提高。风险管理信息化的内容要覆盖单位各项生产经营活动等业务领域,同时又是一个动态的系统化工程,在选用技术时应有通盘考虑,根据企业的实际情况将信息技术与企业的风险管理有效结合起来,科学预测各种环境变化可能给企业风险管理体系带来的影响,及时对信息化覆盖的范围和水平进行调整和完善,努力做到信息集成与过程集成,以获得效益最大化。如企业风险管理信息系统可依托现有信息资源,与其他各类业务信息系统进行无缝对接,部分数据能够从现有的ERP(Enterprise Resource Planning,企业资源计划)、BIW(Business Information Warehouse,商务信息仓库)、EC(Electronic Commerce,电子商务)、CMIS(Contract Management Information System,合同管理系统)等业务信息系统中自动提取,实现信息资源共享。三是坚持实用性的原则。信息化是一种手段,不是目的,信息化必须为企业的生产经营管理活动服务,信息化要“建用结合、以用为主”,不同规模的企业对风险管理信息化规划有不同的要求,风险管理信息化规划设计时必须针对企业现有的风险管理体系需要,制定出适合企业自身需求的信息化规划,不能一味追求先进技术和最新版本。
2. 全面风险管理信息化的主要作用。风险管理信息化通过融入到企业生产经营管理各项业务之中,在企业风险管控方面发挥举足轻重的作用。一是市场风险管控的作用。对于任何企业而言,市场风险是最大的风险。企业在日益激烈的市场竞争环境下,市场风险管控有效,就会保证正确的投资方向。反之,如果投资方向有大的偏差,整个企业就会存在破产的风险。确定关键的市场风险防控点,建立基础信息资源体系,为生产经营管理和战略决策提供及时准确的信息支撑,通过对各种市场风险进行识别、分析、评估、预警和控制,能够快速应对市场变化,及时化解国内外经济环境所带来的负面影响,有效降低市场快速变化产生的风险。二是经营风险管控的作用。通过企业资源计划等信息系统的科学运用,有效控制客户信用、资金、投资、采购等经营风险。如信用管理控制系统能够做到对客户信用进行动态管理,自动根据客户的信用等级进行检查;资金管控系统对企业所有现金集中管理,有利于对企业的资金统一调度和使用,在更加充分有效利用闲散资金的同时,还能够提高企业现金流的预算管理水平,并借助于现金流来加强成本费用的预算管理,将预算管理的控制点前移,真正的做到事前预算,事中控制,事后分析;在投资管理控制方面,通过投资管理信息系统的应用,对项目预算实时控制,有效控制超预算列支现象的发生;采购管控系统可以加强企业对供应商的管理,对供应商的业务状况进行科学评价,供应商一旦出现信誉问题或提供的产品出现质量等问题的,将被清理出企业采购资源库,有效避免了对质量低劣物资的任意采购行为,防止企业效益的流失。三是生产风险管控的作用。风险管理信息化建设在企业生产过程中的作用也是十分明显的,通过生产风险管控系统的运用,加强了生产各相关环节的质量管控,为质量问题早发现、早预警、早控制提供了有效手段,有效降低了生产环节可能出现的各类风险,避免生产异常及生产波动产生的产品质量和安全等事故。
3. 风险管理信息化建设的措施企业应组织开展全面风险评估,研究企业重大、重要风险,逐级分类汇总,明确全面风险管理信息化体系框架和各层级风险管理信息化建设重点,推进风险管理信息化专业技术和工具的应用,为公司战略和经营决策提供支撑。为促进全面风险管理信息化建设,根据国资委《中央企业全面风险管理指引》,参照国际风险管理标准ISO31000《风险管理原则与指南》和国家标准委《风险管理原则与实施指南》(GB/T 24353-2009),总结世界一流企业风险管理信息化建设实践,结合国内企业实际,首先应该制定企业全面风险管理体系框架。在这个体系框架中,主要包含三个方面的内容。一是全面风险管理的目标和策略。二是实现风险管理目标和策略的保障体系,包括组织体系、制度体系。组织体系纵向上分层管理,横向上分类管理,按照管理职能分工,坚持谁主管谁负责的原则,对各类风险实行分类管理。制度体系主要包括全面风险管理办法、风险评估指引、风险监控预警指引、风险管理监督检查和评价办法等。三是全面风险管理的基本流程。全面风险管理工作的基础是信息收集,决策层面要重点收集宏观经济形势、行业运行总体态势、政策、法律变化等方面相关信息;执行层面重点收集专业相关风险案例、各类内控缺陷等信息。通过信息收集,为全面风险管理工作提供支撑。全面风险管理工作的核心是风险评估。企业风险评估可采用年度风险评估、专项风险评估和日常(动态)风险评估等多种形式。运用定性、定量的风险评估方法,并借助风险建模、量化工具等,分析评价风险发生的可能性及其影响程度,最终确定风险等级和风险管理工作重点,提升企业风险应对的准确性和有效性。根据风险评估结果,研究制定重大、重要风险管理目标和策略,落实风险应对措施,并根据内外部环境变化,及时调整、完善风险应对措施,建立健全重大、重要风险应急预案,通过多种方式的风险应对,有效提升公司风险管控能力,强化风险管理的效率和效果。监控预警是全面风险管理工作的重要手段。对重大、重要风险,要确定风险预警指标及预警值,建立监控预警指标体系与监控预警机制,及时、有效将风险监控预警信息传递专业管理部门和风险管理部门,提升公司风险预测能力,强化风险事前控制。监督评价与改进是全面风险管理工作的保障。各级风险管理部门对公司风险管理制度建设及执行情况独立进行检查评价,按规定程序报告并监督改进。通过监督评价与改进,有效促进公司全面风险管理工作,形成自我完善和持续优化的闭环管理。
体系框架确定后,将信息化专业技术和工具融入到体系之中,以实现全面风险管理信息化。以企业现有管理信息系统为基础,科学开发、系统规划,构建信息化平台,将信息化建设融入到全面风险管理体系之中,建立全面风险管理信息系统,实现信息收集、风险评估、风险应对、跟踪监控、风险预警、检查评价与报告等全流程的在线处理。逐步与相关业务系统有效衔接,提高风险管理信息在企业集团公司与分、子公司之间,专业部门之间的信息集成与共享,既要能够满足专项业务风险管理的要求,也能满足企业总体和跨单位、跨专业部门的风险管理综合要求,增强风险管理工作效率和效果,为经营管理决策提供有效支撑。
参考文献:
1. 陈秉正.公司整体化风险管理.北京:清华大学出版社,2003.
2. 胡杰武,万里霜.企业风险管理.北京:清华大学出版社,2009.
3. 刘威汉.财金风险管理理论、应用与发展趋势.北京:中国人民大学出版社,2005.
4. 杨姗媛,朱建明.基于内部威胁的信息安全风险管理模型及防范措施.管理现代化,2013,(2):47-49.
5. 徐贤浩等.现代风险管理.北京:中国纺织出版社,2006.
6. 阿瑟安德森.全球信息战略信息时代的商业风险管理.北京:新华出版社,2000.
基金项目:国家自然基金青年项目(项目号:71302038);吉林省科技发展计划资助项目(项目号:20140418069FG);吉林大学基本科研业务费项目(项目号:2012BS042)。
全面风险管理要求第7篇
[关键词]巴塞尔新资本协议 全面风险管理 工商银行 现状
巴塞尔委员会于2004年6月了新资本协议,提出将资本要求的覆盖范围由信用风险延伸到市场风险和操作风险,并积极鼓励商业银行采用内部评级法计算资本要求以提高资本的风险敏感性。《新资本协议》的出台和应用,无疑成为全面风险管理的推动力,对银行业由单一风险管理向全面风险管理转化起到了决定性作用。
一、我国商业银行实施新资本协议的原则
银监会于2007年2月《中国银行业实施新资本协议指导意见》,明确将在国内银行业实施新资本协议,对我国银行业采取分类实施、分层推进、分步达标的原则实施新资本协议【2】。首先,对中小银行采取与其业务规模和复杂程度相适应的资本监管制度,降低资本监管的合规成本,对大型商业银行实施新资本协议有助于提高国际竞争力;其次,各家商业银行实施新资本协议时间可以先后有别;第三,采取分步达标的原则。先开发信用风险、市场风险的计量原则,再开发操作风险计量模型,现阶段主要以信贷业务为重点推进内部评级体系建设。
二、商业银行实施全面风险管理现状
根据银监会对商业银行实施新资本协议的原则与要求,工商银行于2003年就积极投入到新资本协议的建设中去,深入推进全面风险管理制度体系建设。
(1)全面风险管理体系涵盖的风险类型
目前工商银行的风险管理体系中基本涵盖了信用风险、市场风险、流动性风险、操作风险、法律风险、国别风险、声誉风险等在内的所有业务环节与风险。工商银行在年报中从信用风险敞口、内部评级状况等方面对信用风险进行了披露;对市场风险从利率风险与汇率风险方面进行了披露;对操作风险从操作风险事件、损失率等进行了披露;对流动性风险的各项指标进行了分析。工商银行在2011年年报中披露,最大信用风险敞口为17,144,063百万元,正常类贷款为74840.60亿元,关注类贷款为2318.26亿元,不良贷款率为0.94%,下降0.14个百分点,;利率敏感性负缺口为9108.51亿元,比上年末增加781.21亿元。
(2)建立了全面风险管理与专业风险管理互为补充的风险管理组织架构
工行在2004年就重组了风险管理委员会,目前已形成了以董事会为风险管理最高权利机构、由风险管委会和总行风险部门管理全行风险、由分支行风险管理机构负责所辖内风险的分层风险管理体系。形成了风险管理委员会——首席风险官——风险总监——风险主管——风险经理为条线的垂直风险管理体系。建立了以“纵向负责报告线为主,横向层级报告线为辅”的双线报告路径。由此形成了垂直领导、横向牵制的风险组织架构。
(3)信息管理系统建设情况
全面风险管理的框架要求银行必须具有良好的管理信息系统。目前工行的信息系统建设已初见成效,工行内部评级法已达到信用风险内部评级法达标的要求。2010年建设了市场风险管理系统,目前已基本完成了操作风险高级计量法(A M A)建设的主体工作,系统框架已经搭建完毕,内部损失事件收集系统(I L D)、风险和控制自我评估系统(R C S A)等模块成功投产,2010 年A M A 系统也开始全面试运行。
三、国有商业银行风险管理存在问题
(1)风险管理的组织架构还需优化,董事会与监管层的有效性还需强化
目前工商银行虽已建立了全面风险管理组织架构,设立了风险管理委员会与首席风险官制度。但风险管委会对全行的风险管理与掌控机制尚未形成,其管理权限与管理机制并未强化,有时甚至导致功能缺失。市场风险与操作风险管理偏软、偏弱。风险管理部门并未能总缆全部风险管理工作,风险管理的独立性未得到有效运用。
(2)风险管理理念与国际一流银行还有一定的差距
通过调查显示,目前工商银行大部分员工全面风险管理意识普遍不强,风险管理会创造价值的理念未贯彻到全行全员。一是管理层普遍从组织架构、管理流程、技术运用等各个方面提高全行的风险管理水平。但是基层员工对风险的敏感性不强。二是中、东、西不同地区的分支行在风险管理的认识上差距较大,让每位员工认识到自身岗位上的存在的风险点,还相当困难。三是风险-收益相匹配的原则未深入人心。现阶段风险管理的重点仍然在风险的事后控制与管理上,对于西方商业银行所普遍采用的动态分析方法还处于引进阶段,尚未研发与投产使用, 风险管理技术水平仍然落后于发达国家。
(3)风险管理人才匮乏,制约全面风险管理的全面推行与实施
现代风险管理不仅要求以管理学、金融学、经济学、数理统计学等学科为基础,而且还需要借助系统工程学、物理学等的研究方法。对银行风险管理人才要求很高。现阶段,工商银行总行通过引进与外培的方式已经配备了风险管理的高端人才,但是分行层面与基层行的风险管理人才相当匮乏,有关风险管理方面的培训也未得到普及,陈旧的知识结构不能适应全面风险管理的要求与需要。中、东、西部地区的人才分布极为不均衡。
四、建立全面风险管理体系的对策
(1)优化风险管理组织架构,提高风险管理组织机构的独立性与实效性。
要吸取国际上先进银行如美国银行、花旗银行风险组织架构经验,切实发挥最高风险管理机构如风险管理委员会的功能。风险管理机构的设置要深入到每一个基层业务线、每一个职能部门,将集中管理和分散管理有机结合。不同的风险由相应的部门或机构进行专业化管理,以提高效率,但这些管理主体要及时将信息反馈给上级风险管理部门,由其进行综合考量,从而使银行风险管理资源达到最优化配置。
(2)构建全面风险预警系统,加强对风险的事前管理。
按照新资本协议的要求,银行现在已经建立起了行之有效的风险管理信息系统,但未建立风险预警系统,对潜在风险因素无法进行有效监测与防范。应该综合银行所处的内外部风险因素,设立各项风险预警指标、建立数理统计模型,利用这个指标体系来衡量银行的风险水平,如果发现有风险异动,及时采取挽救措施。
(3)在全行牢固树立风险与效益平衡的风险管理理念和培养高素质的风险管理队伍
全面风险管理要求将风险意识贯穿于每位员工的行为规范中,在全行范围内树立自上而下的风险管理文化。风险管理要渗透到银行经营管理活动各个层面、各项流程之中。一是要形成风险与收益相匹配的风险理念,处理好风险管理与业务发展的辨证关系;二是要不断探索和创新风险管理的新技术、新方法。三是对不同业务、不同品种、不同地区实行差别化风险管理。另外,要从国内外引进一批具有数理金融知识的人才充实风险管理队伍,也要让员工“走出去”,广泛开展各种有针对性的培训、交流项目,为风险管理的发展提供强有力的人才保障。
参考文献:
[1] 李寿华.解读巴塞尔新资本协议中全面风险管理体系[J].哈尔滨高等专科学校学报,2010,(2):17-18.
[2] 李洪芳.以实施新资本协议为契机加强银行业的全面风险管理[J].理论观察,2009,(3):138-140.
[3] 周杰.巴塞尔新资本协议对商业银行全面风险管理的启示[J].企业导报,2011年第5期.
[4] 郭保民.论商业银行全面风险管理体系的构建[J].中南财经政法大学学报,2011年第3期.
[5] 冯巍.中国工商银行全面风险管理研究[D].华中科技大学硕士学位论文,2010.
[6] 王国琛,许春培,华建栋.农村商业银行全面风险管理现状与路径探讨[J].商业银行经营与管理,2012年第3期.
全面风险管理要求第8篇
2004年6月份通过的新巴塞尔资本协议(BaselⅡ)对原有的框架进行了诸多修改,新协议的主要内容可以总结为三部分:最小资本要求、市场约束和资本充足性的监管约束。
1.最小资本要求
新框架仍将其视为保证银行稳健经营的核心因素。新框架将银行承受的风险系统地分为信用风险、市场风险和其他风险三类,试图把银行经营中所面临的所有风险都涵盖在内。新协议调整了计算风险资产的“标准方法” :在确定资产的风险权重时,提出三种方法:外部评级的结果――通常情况下银行可以据此来确定风险权重;内部评级的结果――由于内部占有信息多,涵盖客户范围广,具有外部评级不具备的优势,原则同意先进的银行可以按照内部评级作为计算风险资产的基础,其细节还需进一步商定;信用风险组合模型――新框架认为该模型可以从整体角度对信用组合进行风险评价,优于内外部的评级,所以鼓励高度发达银行采用此法,但同时也指出,该法在资料充分性以及模型有效性等方面还具有很多的局限性。新框架对于某些高风险的资产对银行稳健经营的负作用给予了足够的估计,甚至对高风险资产规定了高于100%的风险权重。
在市场风险管理方面,不仅保持了1996年“补充协议”中要求对交易帐户中的利率风险、汇率风险与商品风险规定了资本要求,对于利率风险大大高于平均水平的银行,也要求其根据银行帐户中的利率风险提高相应的资本数量。
2.资本充足性的监管约束
新框架认为,为了促使银行的资本状况与总体风险相匹配,监管当局可以采用现场和非现场稽核等方法审核银行的资本充足状况。监管当局应该考虑银行的风险化解情况、风险管理状况、所在的市场性质以及收益的可靠性和有效性等因素,全面判断银行的资本充足率是否达到要求;在资本水平较低时,监管当局要及时对银行实施必要的干预。
3.市场约束
新框架第一次正式引入市场约束机制,充分地肯定了市场具有迫使银行有效而合理地分配资金和控制风险的作用,市场奖惩机制可以促使银行保持充足的资本水平;同时,富有成效的市场约束机制将是配合监管当局工作的有效杠杆。为了确保市场约束的有效实施,必然要求建立银行信息披露制度。新框架规定,银行在一年内至少披露一次财务状况、重大业务活动及风险度以及风险管理状况,这些指标主要包括资本结构、风险敞口、资本充足比率、对资本的内部评价机制以及风险管理战略等,巴塞尔委员会还将在广泛征求意见的基础上,进一步完善现行的信息披露制度,以增强市场的约束能力。
二、新巴塞尔协议下商业银行风险管理的新要求、新趋势
1.要求银行董事会从战略高度认识风险管理,建立完善的、垂直的风险控制体系,并使风险管理日常化、制度化
商业银行经营货币的特殊性以及近几十年来面临的越来越激烈的竞争环境,要求银行管理的最高决策层董事会深刻认识风险管理是商业银行内部管理的核心,将风险管理在整个管理体系中的地位上升到商业银行生存与发展的战略高度,并制定有关风险管理的政策,适度分离风险管理决策和业务决策,改变风险管理决策从属于以利润为首要目标的业务决策的传统管理体制。与风险管理上升到商业银行发展战略高度相适应,在组织制度上不仅要建立完善的风险管理体制,而且要建立完善的、垂直的风险控制体系。即总行一级设一个风险控制委员会,全行的首席风险控制官担任这个委员会的主席,各业务部门和每个分行都设有风险控制官,但他们都是对上一级风险控制官负责,而不是对同一级业务部门的负责人负责。同时,以风险管理部门为中心的风险管理系统的运行要建立在管理日常化和制度化的基础上,既同各业务部门保持密切的联系和信息畅通,又充分强调风险管理部门的独立性和对风险管理的全面系统性。
2.现代商业银行必须高度重视全面风险管理
全面风险管理是银行业务多元化后产生的一种需求。这种管理模式要求我们不仅要重视信用风险、市场风险和流动性风险,还要重视结算风险、操作风险和法律风险等更全面的风险因素,而且不仅将可能的资金损失视为风险,还将商业银行自身的声誉和人才的损失也视为风险。就是说,全面风险管理要求不存在任何管理的“死角”,对不同客户种类,资产业务、负债业务和中间业务等不同性质业务的风险都纳入统一的风险管理范围,并将承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行控制和管理。此外,在银行业务不断国际化的趋势下,全面风险管理要求国内、国际风险管理体系相互衔接和配合,对各国、各地区的风险进行甄别,对风险在国别、地域之间的转化和转移进行评估和风险预警,以系统防范在世界任何地方可能发生的不利事件。如以摩根为代表的跨国商业银行越来越强调在全球业务范围内对所承担的各种风险进行统一的衡量。
3.市场约束和信息披露的地位日益重要
新巴塞尔协议将市场约束列为银行风险管理的第三支柱,充分肯定市场具有促使银行合理分配资金和控制风险的功能。商业银行发展的实践告诉我们,只有经营效益良好、稳健的银行,才有可能从债权人、投资者手中获取更多的资金;相反,经营不善、风险程度高的银行则在市场竞争中处于愈来愈不利的地位,除非它们支付很高的风险溢价,提供额外担保或者加强自己的安全措施。因此,要强化风险管理,就要促进市场游戏规则和内部管理规则的互补互动,充分发挥市场这一“最佳风险管理者”的作用。充分有效的信息披露是强化市场约束、实现监管目标的基础。为了保证市场约束机制的有效执行,新巴塞尔协议提出了全面信息披露的理念,明确规定信息披露包括核心信息披露和附加信息披露两种情况,综合定性信息和定量信息,不仅披露风险和资本充足状况,而且披露风险评估和管理流程,资本结构及风险与资本匹配状况。因此,商业银行应按照信息披露的原则、标准、内容、要点和方式,及时、充分、客观地披露自身组织结构变动和重大关联交易行为,特别是对其业绩、流动性、风险、控制权、战略发展有重大影响的信息,要提高运作透明度,以全面反映商业银行的整体风险、收益及成长性。同时,加大对炮制和传播虚假信息者的惩处力度,遏制信息失真现象。
三、我国商业银行风险管理的现状及存在的差距
1. 对风险和风险管理认识上的差距
我国商业银行对风险认识极不充分,主要表现为:一是过分看重商业银行经营规模,而对利润、资产质量等质的提高认识不足;二是对现代银行的长短期经营目标认识不足;三是商业银行对资本覆盖的风险认识不充分。在风险管理认识上,一方面错误地把风险管理摆在业务发展的对立面上,认为风险管理是设“关卡”、“为难”业务人员,没有把控制风险和创造利润看作是同等重要的事情。另一方面,不能把风险控制与市场营销、市场拓展有机结合起来,认为控制风险就是少发展业务。
2.资本金充足率方面的差距
由于资本来源渠道单一,不良资产比率偏高,盈利水平低,至今未能建立正常的资本金补充制度等原因,中国银行业在资本充足率方面与国际银行业存在较大差距。根据银监会公布的数据,截止2003年末,我国11家股份制商业银行的平均资本充足率为7.35% , 112家城市商业银行平均资本充足率为6.13% ,低于巴塞尔协议8%的要求,也低于国外同业平均12. 25%的资本充足率水平。如果按照更为通行、准确程度更高的五级贷款分类,资本金不足的问题将更为突出。
3.内部评级体系上的差距
新协议突出了内部评级在风险管理中的核心地位。在西方金融发达国家,内部风险评级已经是商业银行进行风险全程化管理的重要手段,广泛应用于多个管理领域。与国际大银行相比,我国商业银行内部评级体系相当落后。在所处发展阶段上,国内商业银行由于历史数据积累少,财务数据可信度低,基本上均处于比较低的打分卡阶段,而国际大银行如花旗银行、德意志银行等已进入比较高级成熟的模型化阶段;在评级指标体系上,国内商业银行差距更为明显。
4.风险管理体制上的差距
西方发达国家商业银行一般都是按照严格的法律程序组建的股份制商业银行,它们产权清晰、制度完善、运作规范、激励机制和约束机制健全有效,特别是具有良好的公司治理结构。这些体制优势使国外商业银行具有较高的风险控制和管理能力。我国商业银行由于产权归属缺位,致使银行公司治理结构极不健全。商业银行即使设有风险管理委员会,也由于其独立性、权威性不够,以及风险承担主体的不明确,而无力对金融风险实现有效的控制,风险管理只能停留在以盈利为目的的业务决策服务的层次上,而不能上升到银行发展的战略高度。
5.风险管理手段上的差距
首先是风险管理专业化程度不高。商业银行的风险包括信用风险、市场风险和操作风险等,各种不同类别的风险,其管理方法有所差异,但是,我们由于缺乏科学的定价信用,难以实现市场风险和信用风险的分离,难以实行独立的风险管理。其次是风险量化管理技术比较落后。目前,商业银行的风险管理大致停留在资产负债指标管理和头寸管理的水平上,对于当今国际上流行的分析量化和管理方法,只停留在理论介绍和引入阶段,尚未在实践中具体运用。
四、完善我国商业银行风险管理的几点建议
1.架构全新的商业银行风险管理体系
健全的风险管理组织体系是实现全方位、全过程风险管理的组织保障,也是完备的风险管理制度和科学的风险管理流程的基础载体,还是风险管理水平的重要标志。为此,一是整合商业银行后台管理部门,构建现代意义上的风险管理委员会。通过对全行风险内控管理政策、制度、程序的集中统一管理,实现风险管理从事后处置向前期控制转变,从风险资产的管理向资产风险的管理转变。二是在主要业务部门推行风险经理制,对本部门经营管理中的各类风险分别进行日常监测、评估、管理和报告。由于风险经理根据银行风险管理的需要,进行客户的风险识别,最终决定贷款的授信、发放等,所以要建立相关的考核和选拔“准入”制度,严格界定风险经理和客户经理之间的职责划分,力求做到责、权、利相统一。三是建立风险管理评价体系,对各级机构的风险管理工作进行动态考评。在目前情况下,评价体系要以资产质量和资本回报率为主要内容,降低不良资产比率,提高资本回报率。同时,对风险管理政策、风险决策过程进行“回头看”,总结经验教训,并据以完善政策,改进流程,加强管理。
2.健全商业银行风险管理运行机制
我国商业银行要实现稳定发展的目标,在重组风险管理的组织结构体系后,必须建立、健全符合新巴塞尔协议精神的内部运行机制。首先要完善银行运作的自律机制,自觉接受来自监管当局(银监会)的监管指令和来自市场上的存款客户、投资者和有关债权人的约束力。为此,商业银行要以新巴塞尔协议信息披露规则为指导,借鉴美国、新加坡等的经验,按照由内到外、逐步公开的原则,构建多层次的信息披露体系,稳步推进以会计信息为核心包括其他信息在内的信息披露工作。其次要建立资产与负债的对称和平衡机制。所谓对称与平衡,从形式上看就是资产与负债相一致、相吻合;从实质上讲就是按照以存定贷、自主运用、比例管理的原则,在科学分析的基础上,实行资产、负债的期限与利率结构配比的对称性管理。加大结构调控力度,使负债结构进一步优化,资产配置进一步合理,降低负债成本,提高资产整体获利能力。最后要建立健全御险机制。主要措施包括建立健全积累机制,不断增补银行的自有资金;建立风险准备金制度,适当提高准备金提取率;逐渐降低风险系数大的贷款资产的比重,扩大风险系数小的证券和其他资产形式的比重;对大额风险贷款实行保险,包括贷款企业财产保险和银行贷款保险等等。
3.不断完善商业银行风险管理的手段
首先要加快风险管理的信息化建设。商业银行要充分利用现有客户资源、历史数据和市场信息,借鉴国际商业银行风险管理信息系统的经验,着力构建涵盖风险监测、风险分析和不良资产处置等环节的风险管理信息系统,全面提升风险管理能力。其次,在风险管理信息系统的基础上,做好商业银行的内部评级。银行内部信用风险计量依据的是对借款人和特定交易类型风险特征的评估,一个或一组借款人的违约概率是内部评级法可计量的核心,但要全面反映银行潜在的信贷损失,还必须衡量违约损失率、违约风险值以及某些情况下的期限。因此,商业银行应以改造和完善资产评级制度,特别是改造和完善贷款风险分类制度为切入点,逐步建立起以客户为中心的风险识别管理体系。再次,在风险管理定量分析方面,重点考虑以下两方面的突破:市场风险测量方法――风险价值法和作为银行业绩衡量与资本配置方法的风险调整的资本收益率。最后,针对目前国内信用环境较差的实际,研究、开发一套具有反欺诈功能的风险监测系统。通过量化和建模的方法,甄别虚假财务数据,从源头扼制风险的发生。
4.着力培养和建立专业化的风险管理队伍
全面风险管理要求第9篇
近些年来,在监管部门的督促和约束下,城商行在风险管理组织架构和模型、工具的开发等方面取得了一定的成绩,但与国内其他商业银行相比,城商行的全面风险架构体系还需要完善和改进、风险管理人才相当匮乏、风险管理工具方法比较落后。因此城商行应该在加强风险管理规划、构建和完善合理的组织架构以及人才培养等方面多下功夫。
目前国内城商行全面风险管理体系建设现状
城商行全面风险管理体系建设不断推进
加强风险管理为导向的公司治理结构建设。大部分城商行都建立了“三会一层”并下设相关的风险管理委员会,设立了首席风险官以及风险管理的专门机构――风险管理部,使得风险管理更加职能化和专业化。风险的规范管理使得城商行的抗风险能力和可持续发展能力显著增强,由此带来了资产规模和资产质量的显著提高,很多城商行被知名评级机构给予较高的信誉评级,同时,城商行的股权也受到了包括大型机构投资者在内的各类投资者的青睐。
风险管理理念明显增强。一些做法先进的城商行向基层银行派驻了风险经理,做到了风险关口前移和打造了基于风险管理嵌入的各个条线的业务流程体系。相关业务部门和单元的业务人员摆脱了以前控制风险与收益之间相对立的观念。
部分城商行已进入内部评级法的模型、工具开发和体系建设阶段。杭州银行、大连银行把开发的内部评级体系模型应用到中小企业贷款决策中,通过对中小企业的财务因素和非财务因素进行评估而确定其准入门槛。吉林银行通过咨询公司为其构建对公客户内部评级系统(IRs),并启动了债项评级的相关开发工作。通过内部评级系统的开发和应用,大大提高了城商行的风险计量水平和风险管理能力。降低了不良率的同时,提升了银行的服务质量。
与国内其他股份制商业银行相比,城商行的全面风险管理仍存一些问题
风险管理文化基础薄弱。由于很多城商行都是由城市信用社过渡而来,风险管理观念淡薄,风险管理没有作为风险文化根植于所有员工的心中,贯穿到业务拓展的全过程。全面风险管理理念还没有树立,没有形成全行认同的风险管理文化;风险管理侧重于后台管理,没有将其作为信贷决策、贷款定价、资本资源配置的有利工具。同时,部分人员将风险片面地等同为违规、案件和损失,一些风险管理人员将风险管理简单地理解为控制,部分业务人员将风险管理看作是业务拓展绊脚石,仅注重信用风险的控制和计量,而对市场风险、操作风险、法律风险等还没有做到统筹考虑、系统管理。
风险管理组织架构不健全,风险管理职责划分不够清晰。大部分城商行虽然已经建立了现代公司治理架构,比如设立了首席风险官,成立了相应的风险管理部,但仍缺乏有效的风险管理运作机制,风险承担主体不明确,权力、责任和利益的分配不合理。董事会、高管层以及相关委员会在风险管理的职责划分上还不够清晰,造成某些角色的重叠,不能很好地发挥出董事会、监事会和管理层在风险管理中的作用。
风险管理不够全面。多数城商行的风险管理还停留在信用风险管理层面,缺乏全面风险管理的规划,忽视市场风险、操作风险的识别与管理。不同部门在风险管理职责分工上不够清晰,而且整体协调性不够。在信用风险管理方面,缺乏有效的整体控制,发放贷款更多依赖抵押物和担保的设置,信用风险管理部门缺乏客户信用评级,不利于信用风险的事前控制。在市场风险管理方面,城商行由于资产规模限制,可运用的资金管理手段相对单一,应对市场波动风险的能力不足。在操作风险管理方面,更多依靠原有的业务操作手册进行,缺乏系统的梳理和优化。
内控管理体制不完善,风险管理执行力度较弱。我国大部分城商行的内控还不能完全适应防范和化解金融风险的需要,不能适应银行审慎经营和银行业监管的需要。银行内部缺乏一个统一完整的内部控制法规制度及操作规则,内控制度还存在着许多漏洞和隐患。如贷后管理检查报告制度淡化,客户经理的职责履行不到位等都缺乏必要的控制手段。岗位轮换制度没有得到普遍推行,未能很好地造就业务多面手和综合管理人才,达到“一专多能”的目的。
风险管理人才严重匮乏。由于银行风险管理的综合性和专业性,要求从事风险管理的人员必须具备很高的素质,受过严格的专业训练,否则将很难理解业务和产品的风险性质,更难以采取适当的风险防范措施。同时全面风险管理要求风险管理人员对全行各个业务条线、各业务单元的风险管理情况有全面的了解和把握,这样才能保证对风险的快速识别和有效计量,目前我国城商行从事风险管理人员的数量和质量还远未达到进行全面风险管理的需要。
风险计量技术达不到要求,风险管理工具的开发相对滞后。我国城商行离新资本协议规定的内部评级法最低标准至少在以下方面还存在差距:首先,大部分城商行的信用风险尚未进行公司、国家、银行、零售贷款、专项贷款、股权投资方面的细分;评级体系仍实行5级分类法甚至4级分类法,与先进银行10级以上分类方法有较大差距。其次,没有成熟的风险计量模型,信用评价仍以定性分析为主,且社会信用体系不健全,信息滞后且有效性差,客户风险评价的准确性较差。再次,数据系统既不能满足复杂的风险计量要求,又不能满足5~7年历史数据观察期的要求。最后,内部评级尚未全面应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面,缺乏以风险为导向的资本资源配置机制。
风险预警信号滞后,缺乏先进的预警技术。风险的隐蔽性和损失形成的滞后性决定了风险预警的重要作用,只有及时准确地根据风险预警体系提供的风险预警信号,采取有效的风险预控措施,风险管理才能达到未雨绸缪的理想效果。但目前绝大多数城商行没有有效建立与此相适应的风险预警体系和预警机制,在一定程度上增加了城商行风险的不可预见性,造成了银行经营过程中存在若干隐性风险。
全面风险管理体系建设是满足监管要求、实现可持续发展的必然条件
自2004年作为国际银行监管准则的“巴塞尔协议Ⅱ”实施以来,各国银行监管机构把其作为出台各种监管指引的主要参考标准。国外许多先进银行已经参照其
相关要求完成了全面风险管理体系建设,我国银监会要求国内银行进行分类、分层和分步达标。目前国内的工、农、中、建、交和招商银行已经通过了银监会“巴塞尔协议Ⅱ”实施的达标验收工作。
我国城商行风险文化基础较差,更应正确认识和理解“巴塞尔协议Ⅱ”的宗旨,即巴塞尔新资本协议给予采用高级计量方法的银行以资本上的优惠,是通过提高信贷资产对风险的敏感度逐步实现,并非一蹴而就。因此城商行抓紧实行全面风险管理不但是满足“巴塞尔协议Ⅱ”和国内监管机构的要求,而且是在激烈的竞争中提高核心竞争力、实现可持续发展的必然条件。
微观层面的全面风险管理与“巴塞尔协议Ⅱ”的第一支柱是紧密结合的。
“巴塞尔协议Ⅱ”要求银行在计算监管资本的时候,不但要考虑信用风险,还要考虑市场风险以及操作风险,并分别给予了不同风险资产的权重,这也是“巴塞尔协议Ⅱ”第一支柱的核心内容。而微观层面的全面风险管理要求商业银行运用适当风险评估方法对所有风险做出一致、准确、及时的度量,根据度量结果借助一定工具和程序进行风险定价,并在不同部门之间合理配置资本。“巴塞尔协议Ⅱ”对于其中的风险识别、风险计量和风险控制三大环节又都同时提出了一些要求和相应方法进行选择。比如计量信用风险,“巴塞尔协议Ⅱ”建议采用由易到难的标准法和内部评级法(IRB);市场风险计量则提出了标准法和内部模型法(IM)的要求,操作风险的计量要求采用基本指标法、标准法和内部测量法(IMA)。
宏观层面的全面风险管理可从“巴塞尔协议Ⅱ”提出的三大支柱体现出来。资本充足率作为第一大支柱,计算公式为资本/风险加权资产,在“巴塞尔协议I”中,其分母反映的主要是银行信用风险。而“巴塞尔协议Ⅱ”中分母同时包括信用风险,市场风险和操作风险三大层面,因而是对银行全面风险数量状况的有效监管。监管当局检查作为第二大支柱,重点是监督银行资本金与其风险数量、风险管理水平相匹配,是对全面风险管理体系的行业监督。市场纪律作为第三大支柱,重点要求银行公开信息披露必须强制合规,是对全面风险管理进行的社会监督,是对监管当局监管的有效补充。
“巴塞尔协议Ⅱ”为商业银行,特别是处于快速发展中的城商行进行全面风险提供了有利契机。城商行可以参照其提供的风险权重标准以及计量方法来划分其面临的信用风险暴露类别,并相应地提出方法来计量,为我国城商行改进风险计量技术、健全风险管理组织框架、重组风险管理流程提供了直接借鉴,有助于城商行风险管理科学化和精细化,及时揭示、动态监测信贷风险,约束商业银行信贷行为,促进银行盈利模式转变和经营行为理性化,推动城商行可持续和科学发展。
全面风险管理体系建设是实现可持续发展的必然要求。根据目前的商业银行的剧烈竞争以及同质化经营的现状,谁能管得住风险,谁就能在竞争中把握主动权。以不确定性为特征的风险在银行体系表现的可能更具有易变性,特别是城商行防范风险意识还比较淡薄,全面风险管理体系建设恰恰可以在全方位角度预防和控制风险的发生。良好的全面风险管理体系对银行的资本配置、贷款定价、绩效考核等都有很大帮助,而这些方面的良好处理恰恰可以增强城商行的可持续发展能力。
城商行构建全面风险管理体系的对策建议
城商行应利用后发优势,借鉴国内外大型银行风险管理的经验,兼顾合规要求与适用目标,制订与发展战略相匹配的风险管理制度。在还没有合规时限要求下,城商行有时间去思考并着手逐步实施“巴塞尔协议Ⅱ”,在提高风险控制水平的同时提高效益。城商行应把握时机,做好全面风险管理规划、构建和完善合理的组织架构、注重数据基础建设以及内部评级体系的模型开发与应用。
做好全面风险管理规划,加强风险管理文化建设
俗话说:“建设未启,规划先行”,尽管大部分城商行定位于服务地方、服务中小的市民银行,但由于地域条件、历史特点的差别使得城商行的发展规模和速度不尽相同,因此要根据本行的发展战略对本行的发展阶段和风险管理现状认真梳理,寻找自己的差距和不足,才可以做到对症下药。这样全面风险管理规划应该摆在战略的高度,同时与本行的发展战略相匹配。良好的规划可以使自己少走弯路,更好地利用资源、提高效率,在激烈竞争中占据有利地位。
良好的规划为全面风险管理指明了方向,而风险管理文化建设却可以把风险管理理念贯穿于全行的每一个“角落”。我国城商行风险文化基础较弱,更应重视风险文化的构建。采取多种方法加强风险管理知识教育,树立“全面风险管理、全员风险管理”的理念,让员工充分认识到商业银行风险存在的客观必然性和风险管理的持久性,通过主动的风险管理来实现风险和收益的平衡。同时要全面培育健康的风险管理文化,实现商业银行风险管理的目标由“管住风险”向“为股东创造价值”过渡,推行涵盖事前预测、事中控制和事后处置的全过程风险管理行为,将其贯穿到所有员工和所有业务中去,建立良好的风险控制文化,形成风险控制的文化氛围、风险防范的道德评价和职业环境。
构建和完善合理的组织架构
合理的组织架构是实现全面风险管理的有效保证。首先,在完善股权结构调整为背景下的公司治理过程中,应该加快“三会一层”建设,目前大部分城商行已经做到了这一点。其次,建立和完善以风险管理为导向的相关委员会和部门的设置。再次,制订相关委员会的议事规则以及各个条线的风险管理相关的制度和规则的调整,厘清相关部门和委员会的权利、责任和利益的划分。最后,根据各个城商行的发展实际和制订与完善不同阶段风险管理相关的中长发展规划,为全面风险管理确定前进方向。
重视风险管理人才的培养
建立全面风险管理体系需要深厚的金融财务理论基础、数理基础和计算机技术,培养、建立和长期拥有一批风险管理的专业人员。对于人才匮乏的城商行来讲更要长期培养、挖掘和储备符合条件的人才,并设法保持其稳定性,防止人才流失。对于风险管理的核心技术,最好将其分散化,以防止个别人才流失对整个风险管理体系的冲击。同时,还要注意对现有人员的定期培训和优化调整,及时更新风险管理人员的知识体系,从而确保全面风险管理体系的先进性和实用性,全面提升员工的风险意识与控制风险的能力。
注重数据基础建设和相关技术积累
全面风险管理的核心任务就是建立内部评级体系以及相关模型工具的开发和应用,为资本配置、贷款定价、绩效考核提供有力支撑。根据城商行的模型开发实践发现,城商行的数据基础相当薄弱。应在现有信息数据系统的基础上,加强信息科技建设,建立广覆盖、长跨度、时效强、高质量、运行可靠和管理规范的数据管理体系,才能为持续增强的风险管理能力奠定坚实的基础。城商行项目管理需要实现外包与引智的结合,注重知识的转移和技术的积累。在流程管理和IT系统开发上所适用的外包战略同样适用于“巴塞尔协议Ⅱ”项目的建设。但需要注意的是,前期的规划要有自身人员的充分参与,保证其合规性与适用性;后期的模型验证与维护要重视和强调文档化与知识转移。
