风险管理主要程序8篇

时间：2023-09-14 16:43:41

绪论：在寻找写作灵感吗？爱发表网为您精选了8篇风险管理主要程序，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

风险管理主要程序

篇1

【关键词】衍生工具；风险管理；内部控制

近年来，关于我国是否应当允许保险资金参与衍生工具交易，成为保险领域一个热点话题。据悉，监管部门已经提出《保险资金参与金融衍生产品交易暂行办法》（征求意见稿）以及《保险资金参与股指期货交易监管规定》（征求意见稿），允许保险公司运用衍生品对冲或规避现有资产或负债的市场、信用或流动性风险，这预示着我国保险资金管理将进入一个新的阶段。然而，衍生工具是一把锋利的双刃剑，其在为企业提供避险的同时，自身也蕴含巨大的风险，包括市场风险、信用风险、操作风险、流动性风险和法律风险，尤其是衍生工具交易的复杂性和杠杆性使得其风险管理的难度远远超过传统的金融工具（李明辉，2008）。20世纪90年代中期以来，国内外均发生多起因衍生工具交易而导致巨额损失的案例，远的如巴林银行事件、大和银行事件，近的如中航油事件、中信泰富事件。因此，对保险公司而言，参与衍生工具交易必须要加强衍生工具内部控制与风险管理，从而有效地控制相关的风险。本文拟对保监会国际组织（International Association of Insurance Supervisors，IAIS）关于衍生工具风险管理的规定进行介绍和分析，从而为我国监管部门制定保险机构衍生工具风险管理与内部控制制度以及保险公司加强衍生工具业务风险管理实践提供借鉴。

一、IAIS衍生工具监管准则关于衍生工具风险管理的规定

1998年10月，保监会国际组织下属的技术委员会衍生工具分委员会了《衍生工具监管准则》（Supervisory Standard on Derivatives：Report from the Derivatives Sub-Committee of the IAIS Technical Committee）。该准则就从事衍生工具交易的保险公司的风险管理控制以及报告框架作出了规定。在该准则中，IAIS鼓励其成员在考虑各自所监管的保险公司所从事的衍生工具的规模、范围和复杂性的情况下要求保险公司建立有效的控制和报告机制。尽管该准则旨在为保险监管部门如何评估保险公司的衍生工具风险控制提供指南，也就是着眼于外部监管，但其对于从事衍生工具交易的保险公司建立内部控制与风险管理制度同样具有借鉴意义。①

（一）衍生工具的风险

该准则指出，衍生产品具有固有风险，这些固有风险应当被恰当地管理。与传统的交易活动一样，保险公司必须应对衍生工具交易的信用、市场、流动性、现金流量、操作和法律风险。上述风险的性质和程度取决于衍生工具是如何被使用的（Para.5）。

（二）衍生工具风险管理实践

该准则指出，衍生工具风险管理实践包括以下六个方面：

1.书面政策与程序

该准则指出，良好的衍生工具风险管理过程的首要要素是以下书面政策与程序：（1）关于管理风险的责任关系的清晰描述；（2）建立恰当的风险度量系统；（3）制定恰当的、结构化的风险承担限额；（4）关于完整而及时的风险监控与报告的规定；（5）建立有效的独立内部控制；（6）使所有从事衍生工具交易的员工均知晓上述政策和程序。

由于衍生工具交易是保险公司整体活动的一个组成部分，对衍生工具风险管理的考虑必须要放在保险公司整体风险管理框架之内加以统筹考虑，以保证保险公司的总体风险敞口处于其风险偏好以内。因此，该准则强调，衍生工具交易的风险管理过程应当尽最大可能与保险公司的总体风险管理框架融为一体。

2.董事会

作为企业决策控制的顶端，董事会在企业风险管理中的角色主要是监督管理层建立健全风险管理（COSO，2004；刘笑霞和李明辉，2007）。该准则规定，从事衍生业务的保险公司董事会在衍生工具方面的职责主要包括：

（1）制定有关的政策与指南

董事会应当制定公司的总体风险管理战略，包括运用衍生工具的目标。董事会应当制定并批准关于衍生工具的运用恰当的政策，这一政策应当与保险公司的目标、战略和总体风险偏好相一致。该政策应当包含受托责任部门的责任关系和受托责任的框架。这样的政策应当与所有从事衍生工具的员工沟通。IAIS强调，保险公司的总体资产/负债管理战略应当考虑衍生工具敞口。尤其是，衍生工具敞口与其他金融工具的敞口不应当产生与公司的投资战略不一致的净敞口。

董事会应当批准成文的、关于所运用的衍生工具的种类、目的和运用条件以及可接纳的对手的指南。并且，董事会应当确保经批准的政策和程序在着手从事衍生工具交易之前就已经生效。

（2）决定是否从事某种衍生工具交易

董事会应当考虑公司涉足不同种类的衍生工具是否适当。例如，存在以下情形时就应当取消或者限制运用某些种类的衍生工具：潜在的敞口不能被可靠地计量；由于市场缺乏流动性，要想终止一项衍生工具十分困难；由于是场外交易，衍生工具无法随时出售；无法独立地对定价进行验证；对手不值得信赖。

（3）制定风险敞口限额

董事会应当在考虑衍生工具的使用目的以及其所导致的信用、市场、流动性、现金流量、操作和法律风险的基础上对衍生工具制定风险敞口限额。尤其对场外交易而言，对任何一个交易对手都应当有一个定量化的限额。

IAIS强调，衍生工具的敞口限额应当纳入到保险公司根据投资战略所制定的整体限额当中。风险敞口应当根据公司的总体资产负债表头寸来计算。例如，在计算信用风险时，董事会应当考虑所有累计的保险公司所面临的信用风险，无论这些风险是来自于衍生工具、证券、再保险或是其他的交易。

（4）内部控制

确保管理层建立与衍生工具规模、性质和复杂性相适应的内部控制机制，是董事会在衍生工具方面的重要职责。在该准则中，IAIS指出，在运用场外交易衍生工具时，董事会应当确保公司有适当的能力来对衍生工具的定价进行独立验证。董事会应当保证保险公司的报告和内部控制机制是用来监控衍生工具的运用是否与公司的既定目标和战略以及法律与监管要求相符的。

（5）董事会的专业胜任能力

了解衍生工具交易的性质及相关的风险，是董事会能够对机构的衍生工具活动进行有效监督的重要前提。在该准则中，IAIS强调，董事会应当保证其全体具有充分的专业知识理解与衍生工具相关的重要问题，并且，所有执行和监督衍生工具交易的个人都具有充足的知识和经验。

3.高管层

管理层对主体中包括风险管理在内的所有活动负有直接责任。建立有效的风险管理政策与程序并保证其有效执行，是管理层受托责任的一个重要内容。各个层次的管理层是企业风险管理具体政策的制定者和主要执行者（刘笑霞和李明辉，2007）。

IAIS指出，就衍生工具业务而言，管理层的职责包括：具体划分管理衍生工具的责任关系、（建立）恰当的风险度量机制、恰当的风险承受限额结构、有效的内部控制、完整的风险报告过程。

高管层应当制定明确的书面操作政策与程序，以实施董事会所确定的衍生工具政策。每个保险公司的操作政策和程序应当有所不同，但其详细程度应当与衍生工具使用的复杂程度和数量以及保险公司的战略与目标相一致。

高管层应当分配充足的资源来建立并维护良好而有效的风险管理机制。这些机制应当与前台、后台、会计与报告机制融为一体。

高管层至少每年应根据公司的交易和市场条件来评估其书面操作政策与程序的适当性，并由董事会批准衍生工具政策与程序的变动或者重申现有的政策。

4.风险管理（职能部门）

目前，西方许多金融控股公司、跨国公司以及大型上市公司，均设立独立的风险管理机构，专门负责风险管理事务。可以说，设立独立的风险管理职能机构，已经成为西方企业风险管理的一个惯例，实际上，独立的风险管理职能机构已成为企业风险管理组织架构的核心（刘笑霞和李明辉，2007）。IAIS指出，保险公司应当建立一个正式的组织结构来监督和管理公司投资活动的风险。IAIS还就风险管理部门在监督和管理衍生工具风险方面的职责作出了具体规定：

（1）风险管理的整合性

IAIS指出，来源于衍生工具交易的风险，包括市场风险、信用风险、流动性风险、现金流量风险、操作风险和法律风险，应当与来源于非衍生工具交易风险的类似风险一起来进行监督和管理，这样，高层管理才能够定期对风险敞口进行综合评估。

（2）风险管理部门的责任

总部的风险管理职能部门应当分配资源来度量衍生工具的特定风险，并将其与事先确定的风险限额相比较，进而报告给高管层。风险管理职能部门的责任主要包括：（a）如果可以的话，对公司所从事的每一种衍生工具交易的主要风险类型制定具体的限额，这些限额应当与公司的总体风险管理过程以及其资本头寸的充足性相一致；（b）依照规定关注并迅速报告违反限额的情况；（c）评估过去的风险管理活动；（d）监督衍生工具交易是否符合公司的总体风险管理战略、对手的信用以及限额。

（3）衍生工具风险的度量

IAIS要求，度量源于衍生工具的各类风险的系统应当完整而准确，这样的风险应当在组织范围的层面上进行度量并对交易性和非交易性业务的风险进行加总，如果适当的话，则应按照类别（group-wide basis）进行度量和加总。这样的系统因公司而异，但都应当具备以下要求：（a）能够充分反映风险和所从事的交易的规模；（b）能够准确而及时地捕捉和度量所有重大的风险；（c）能够为保险公司不同层级所有相关人士所理解。

（4）控制活动

一旦风险管理政策和限额已经生效，就应当建立适当的程序来监控对这些政策和限额的遵循性，这些程序应当有助于预防和较早地发现不遵循风险管理政策的行为。在许多情况下，这包含某种形式的日常监控。

（5）风险管理政策和程序的监控

风险管理职能部门应当评价风险政策和限额是否完善。为此，应当对广泛的市场情景和不断变化的投资与操作环境实施常规的压力测试。一旦保险公司识别出其环境很可能存在风险，应当保证有恰当的政策和程序来有效地管理这些风险。

（6）风险报告

风险管理职能部门应当定期向高管层中的适当层级以及董事会报告。报告的频率取决于是否能够使高管层和董事会拥有充分的信息来判断保险公司风险（risk profile）的变化性。报告应当标明衍生工具交易是如何实现既定的目标并遵循经批准的政策和程序的。

5.内部控制

内部控制是风险管理的重要工具。要有效地管理衍生工具的风险，必须要建立健全内部控制，以降低风险发生的概率以及对保险公司的影响，从而保证保险公司目标的实现。在内部控制方面，IAIS着重强调以下几点：

（1）人力资源

所有执行、监督、控制和审计衍生工具业务的个人都应当具备适当素质并拥有适当水平的知识和经验。

（2）控制活动

IAIS强调，应当建立适当的内部控制系统来保证衍生工具交易处于恰当的监管之下，并且，这些交易只有在符合保险公司经批准的政策与程序的情况下才能够进行。每家保险公司所采用的内部控制的范围和性质应当有所不同，但都应当包括以下程序：（a）前台、后台、会计系统之间的核对应当在恰当的水平上进行，这一水平取决于衍生工具交易的范围（作为指南，活跃地运用衍生工具的保险公司应当每天进行核对）。（b）应当建立有用来限制所有各方从事特定的衍生工具交易的权力的程序，这要求保险公司内部负责遵循、法律和文件事务的人员之间必须要紧密并定期进行沟通。（c）用以确保衍生工具的所有各方都对交易条款达成一致的程序。及时进行发送、接收和核对的程序应当独立于前台。（d）用来确保正式的文件能够尽快完成的程序。（e）用来确保交易员对头寸的核对情况作出报告的程序。（f）用来确保头寸被恰当地结算和报告，并确认稍后的收付款的程序。（g）用来确保所有的授权和交易限额均没有被超越以及所有的违规行为应立即被识别的程序。（h）用来确保独立地检查比率或价格的程序。（i）用来监督任何需要采取特定行为（如期权的行权）或者预期转移一项基础资产以确保该项交易被中止或者使保险公司处于作出或者取得该项转移的位置的衍生工具的程序。

（3）报告

IAIS要求，保险公司应当编制定期而及时的衍生工具交易报告，该报告应当以清晰可理解的语言并包含定量与定性的信息来描述公司的风险敞口。关于报告的频率，IAIS指出，原则上，这些报告应当每天编制以提交给高管层。根据衍生工具交易的性质和范围，报告频率也可以低一些，但IAIS建议至少每月要向董事会报告一次。关于报告的内容，IAIS指出，报告应当涵盖以下方面：（a）对本期以及相关的中止头寸期间衍生工具交易的评述；（b）对交易对手信用风险的分析；（c）在本期任何违反规章或内部限额的具体情形以及所采取的行动；（d）计划的未来交易。

（4）职责分离

不相容职务分离是内部控制的一项基本要求，巴林银行事件、法兴银行事件都反映出，职责分离不完整是导致衍生工具违规操作的重要原因。IAIS强调，负责度量、监督、清算和控制衍生工具的职能应当独立于前台职能，这些职能应当配备有充足的资源。

（5）对外部资产管理人的控制

当聘请外部资产管理人时，董事会应当确信高管层能够监督这些外部管理人的行为是否符合董事会批准的政策与程序。保险公司应当具有适当的专业知识并确信，在合约条款之下，其能够获取充分的信息来评价这些资产管理人是否遵循公司的投资指令。

6.内部审计

内部审计师在评价企业风险管理的有效性并提出改进建议方面具有重要作用。通过对管理层的风险管理程序进行监控、检查、评估、报告，并对其充分性和有效性提出建议，内部审计师可以帮助管理层和董事会（或审计委员会）加强风险管理（COSO，2004）。

IAIS在准则中对建立和完善内部审计制度，从而加强对衍生工具风险管理的监督作出了规定：（1）内部审计职能部门的建立及其独立性。IAIS规定，保险公司应当有一个涵盖衍生工具交易并能够及时识别内部控制漏洞和操作系统缺陷的内部审计。内部审计部门必须独立于衍生工具业务部门和监督部门。关于衍生工具交易的问题应当向高管层和董事会报告。（2）审计范围。内部审计的范围应当由胜任的、对衍生工具的风险有充分了解的专业人士来确定。（3）对风险管理的评价。内部审计师应当对机构的风险管理职能部门的独立性和总体有效性进行评价。为此，他们应当全面地评价与度量、报告、限制风险有关的内部控制的有效性。内部审计师应当评价对风险限额的遵循性、向高管层和董事会报告的信息的可靠性和及时性。（4）对衍生工具业务的复核与监督。内部审计师应当定期对衍生工具操作进行复核，以确定其是否与保险公司的法定义务相一致。

二、IAIS准则对我国保险公司建立衍生工具风险管理机制的启示

IAIS的衍生工具监管准则对保险企业建立健全衍生工具相关的风险管理制度作出了原则性的规定，这些规定对于我国保险公司利用衍生工具来管理保险资金具有重要的借鉴意义。具体而言，我国保险公司在建立衍生工具风险管理机制时，应当注意以下方面：

（一）制定书面的衍生工具风险管理政策

正如IAIS所指出的，成文的、正式的衍生工具风险管理政策与程序是良好的风险管理的首要要素。衍生工具的复杂性和风险性，决定其风险管理要比传统的金融工具更为复杂，为此，保险公司必须要根据自身所从事衍生工具交易的性质、规模、复杂性来制定相应的风险管理政策。衍生工具风险管理政策应当就企业的风险偏好与容忍度、职责分离、相关部门和人员的责任、衍生工具交易的目标、所从事的衍生工具的规模与品种、新交易品种的批准、风险度量、风险限额、内部管理报告的种类与频率等问题作出规定。上述政策应当涵盖企业所有的衍生工具活动。

由于衍生工具业务只是保险公司所有业务的一个组成部分，为了保证保险公司整体风险管理目标的实现，上述政策应当与企业整体的内部控制和风险管理政策与程序保持一致。并且，为了保证上述政策的落实，保险公司应当保证与衍生工具业务相关的所有个人均充分了解与其职责相关的所有政策和程序。

尤其应当强调的是，保险公司参与衍生工具业务，必须严格限于套期保值，禁止从事投机活动，以保证保险资金的安全。

（二）完善组织结构，明晰责任关系

完善的组织结构、明晰的责任关系，是实现风险管理目标的重要前提。所有人员都应当明确自身在衍生工具方面的职责以及与其他部门和人员的关系，以明晰责任关系。

1.董事会负责监督

董事会应当确保管理层建立了衍生工具风险管理与内部控制机制。董事会（或其下属风险管理委员会）应当确定公司的总体风险管理战略，并批准公司关于衍生工具运用的恰当的政策，这一政策应当与公司的目标、战略和总体风险偏好相一致。董事会批准的衍生工具政策至少应当包括：（1）确定公司的风险偏好；（2）规定公司所从事的衍生工具产品以及交易类型；（3）评价与批准新产品或新交易类型的具体要求；（4）提供充分的人力资源和其他资源以确保经批准的衍生工具交易以稳健的方式进行；（5）确保关键的风险控制职能部门（如风险管理、内部审计）具有恰当的结构和人员配备；（6）明确衍生工具交易的管理责任；（7）识别公司衍生工具活动所面临的各种风险并建立明确而完整的控制限额；（8）规定与衍生工具交易的性质和规模相一致的风险衡量方法；（9）规定头寸的压力测试；（10）需要向董事会或董事会下属委员会提交报告的种类与频率。董事会应当确保经批准的政策和程序在着手从事衍生工具交易之前就已经生效并为相关的部门和员工所知。

董事会（或其下属的风险管理委员会、审计委员会）应至少每年对现行衍生工具风险管理与内部控制政策进行评价，确保其与公司的资本实力、管理水平一致。新产品推出频繁或系统重大变化时，应相应增加评估频度。

董事会还应当批准适当的与衍生工具业务相关的薪酬政策。衍生工具交易相关人员（包括高管层、交易部门管理层和交易人员）的薪酬，应当建立在长期业绩的基础上，避免根据具有较大波动性的短期业绩决定薪酬。

2.高管层负责制定并实施具体政策与程序

保险公司高管层应当制定明确而具体的衍生工具操作政策与程序，以实施董事会所确定的衍生工具政策。保险公司最高管理层中应有熟悉衍生工具业务的专人负责监督、核准衍生工具交易相关事项，并与董事会、风险管理委员会以及具体业务、财务部门保持良好的沟通。

高管层在衍生工具风险管理与内部控制方面的职责主要包括：（1）具体划分管理衍生工具的责任关系；（2）建立恰当的衍生工具风险度量机制；（3）制定公司衍生工具的风险限额，这些限额应当与公司整体风险限额综合考虑；（4）确保建立并实施有效的内部控制制度；（5）建立完整的衍生工具内部风险报告制度；（6）定期对衍生工具头寸进行评估，以确定其是否符合公司的风险管理政策、其风险是否处于公司风险容忍度之内。在从事衍生工具业务之前，管理层应确保已经获得所有的批准手续并建立了恰当的操作程序和风险控制制度。

3.建立独立的风险管理机构

保险公司应当建立独立的、能够胜任风险管理实践的风险管理部门，来专门负责风险管理事务。风险管理部门应当独立于衍生工具交易及营销部门，并能够向公司的高管层报告。

保险公司风险管理部门在衍生工具方面的责任主要包括：（1）对公司所从事的每一种衍生工具交易的主要风险类型制定具体的限额。（2）根据既定的政策和程序来计量、监控衍生工具的风险并直接向高管层报告。（3）监督衍生工具交易是否符合公司的总体风险管理战略，包括：监督违反限额的情况并迅速向不负责交易的管理层报告；对风险敞口进行盯市并对前后台的头寸和损益进行核对；监督每一个交易对手的信用敞口是否超过限额，并向不负责交易的管理层报告例外事项。（4）评估公司过去的衍生工具风险管理活动。（5）编制风险管理报告（包括每天的损益结果和总头寸、净头寸）并提交给管理层、董事会或风险管理委员会。

4.交易部门

保险公司应当根据所从事衍生工具交易及风险管理的复杂性，委派具备相关资格的专业人员从事衍生工具交易，并配备相应的交易监督人员。交易部门的主管应加强对交易员的监督。

5.审计委员会和内部审计部门

公司内部审计部门或类似机构，应当定期对衍生工具风险控制制度的设计和执行进行审查，以及时发现存在的内控缺陷并提出改进意见。内部审计部门应当向董事会或其下属的审计委员会报告其相关发现，并与高管层保持良好的沟通。

值得指出的是，无论是董事会、高管层、风险管理部门、业务部门以及其他相关部门和员工，都必须要具备衍生工具相关知识和技能，能够胜任衍生工具交易与风险管理实务。为此，在招聘相关人员时，应当注重专业胜任能力、职业操守的考察，并加强交易人员的职业道德、专业知识和技能后续培训。

（三）建立衍生工具风险的识别、度量和应对机制

1.风险识别

保险公司应当根据自身的经营目标、资本实力、管理能力和衍生工具的风险特征，确定能否从事衍生工具交易及所从事的衍生工具交易的品种和规模。

公司在每次从事衍生工具活动之前就应当识别该活动的风险，包括：信用风险、市场风险、流动性风险、操作风险和法律风险。在进行衍生工具交易之后，应当定期识别持有的衍生工具所暴露的各种风险。

2.风险评估

保险公司应当根据所从事衍生工具的性质、信息系统和历史资料的完备性等因素采用定量或非定量技术来科学地评估衍生工具的风险。（1）市场风险的评估。公司应当运用适当的风险评估方法或模型对衍生工具交易的市场风险进行评估，并按市价原则管理市场风险，调整交易规模、类别及风险敞口的水平。衍生工具市场风险的评估方法包括风险价值法（VaR）、名义价值法、久期分析法、敏感性分析等。（2）信用风险的评估。对衍生工具信用风险的度量应当同时考虑现时信用风险和因为衍生工具未来价值发生变动后对手违约而产生的潜在信用风险两方面（G-30，1993），其中，当前信用风险敞口一般用合约的重置成本来估计，而潜在的信用风险敞口则应以衍生工具组合未来价值波动的情况（概率分布）来计算潜在损失的期望值。在进行衍生工具交易之前，保险公司必须对交易对手的信用状况进行评估。（3）操作风险的评估。保险公司可以采用内部度量法、损失分布法、Delta-EVT等方法评估衍生工具的操作风险。（4）流动性风险的评估。在对流动性风险进行评估时，应当考虑以下因素：市场交易的规模；市场因子的变化；现金流量（金额和时间）预测；可用于平仓的替代性金融工具；合约的标准化程度；等等。（5）法律风险的评估。对于衍生工具交易（尤其是场外交易）而言，其法律风险的识别与评估主要应当考虑：交易对手交易资格（当然也包括自身有无权从事该项交易的评估）；相关法律（包括合同法、税法、破产法、担保法等实体法以及诉讼、仲裁等程序法及国际私法）对衍生工具交易的影响；合约内容法律效力；有关法律变更对衍生工具交易的影响。

3.风险应对

保险公司应当根据风险评估结果和公司的衍生工具业务风险可接受水平，采取相应的风险管理策略，包括规避风险、转移风险、承受风险、抑减（缓释）风险。

（四）实施严格的限额控制和不相容职务分离

保险公司应当根据自身衍生工具的性质、规模与复杂程度以及风险管理系统的类型，对衍生工具制定严格的限额，包括交易量限额、止损限额、到期限额、VAR限额等，并对超限额交易进行严格的跟踪。在定风险管理限额时，应评估自有资本对风险的承担能力。

保险公司应当建立并严格执行授权和止损制度。在进行衍生工具交易时，必须严格执行分级授权和敞口风险管理制度，任何重大的交易或新的衍生工具业务都应得到董事会的批准，或得到由董事会指定的高管层的同意。在因市场变化或决策失误出现账面浮亏时，要严格执行止损制度。

保险公司应当实行严格的不相容职务分离制度，前台、、后台部门应当各有分工、相互制约，尤其是衍生工具交易、确认、清算人员不得兼任。公司清算部门应当加强对超限额交易和保证金给付的监控，一旦发现未按事先计划进行的交易，应当及时反馈和报告给风险管理委员会或董事会。

（五）建立有效的内部风险报告机制

保险公司应当建立与交易系统衔接的风险管理信息系统，及时提供衍生工具相关的交易和其他数据，并对衍生工具交易的实际情况进行实时监控。保险公司管理层应当通过内部风险报告系统随时获取有关衍生工具交易风险状况的信息，并及时采取应对措施。

保险公司的风险管理部门或其他职能部门应当根据相关的政策与程序向适当层次的管理层报告衍生工具风险度量结果。至少应当每天向负责监管但自身不从事交易的管理人员报告风险暴露情况和损益表；向董事会或其下属风险管理委员会报告的频率和内容可以根据市场状况等因素确定，但应当能够使董事会或风险管理委员会获取充分的信息以便判断公司风险的变化情况。

（六）加强对衍生工具风险管理的监督

为了保证衍生工具风险管理政策和程序的持续有效，保险公司必须要对相关风险管理机制进行有效的监督，包括持续性监督和单独评价，以发现其制定和实施中存在的问题并及时加以纠正。

保险公司的内部审计部门（或类似机构）应当对衍生工具内部风险控制制度进行审查，其审查内容包括但不限于以下方面：（1）复核公司总体风险管理系统的恰当性和有效性，包括相关政策、程序和限额的合理性和稳健性，以及公司对相关的政策、程序和限额的遵循性；（2）复核各种操作控制（包括职责分离）以及相关的部门、员工对既定政策与程序的遵循性，并测试其有效性；（3）调查非常事项，如重大的违反限额的行为、未经授权的交易、不一致的估价或会计差异；（4）对公司衍生工具风险评估模型及其假设的合理性进行审计；（5）复核公司风险管理信息系统的充分性，包括衍生工具风险报告的内容和频率以及报告关系的合理性。内部审计部门的相关结论和意见，应当向审计委员会或类似机构报告，并在报告之后检查相关建议措施的落实情况。在必要时，内部审计部门可以向董事会和最高管理层报告。

【参考文献】

［1］ Committee of Sponsoring Organizations of the Treadway Commission（COSO）. Enterprise Risk Management - Integrated Framework.2004.

［2］ Group of Thirty （G30）. Derivatives: Practices and Principles.1997.

［3］ International Association of Insurance Supervisors. Supervisory Standard on Derivatives Report from the Derivatives Sub-Committee of the IAIS Technical Committee.1998.

篇2

第一章总则

第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章操作风险管理

第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：

（一）董事会的监督控制；

（二）高级管理层的职责；

（三）适当的组织架构；

（四）操作风险管理政策、方法和程序；

（五）计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责包括：

（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；

（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；

（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；

（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；

（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；

（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

第七条商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括：

（一）在操作风险的日常管理方面，对董事会负最终责任；

（二）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；

（三）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；

（四）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；

（五）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；

（六）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。

第八条商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门应保持独立，确保全行范围内操作风险管理的一致性和有效性。主要职责包括：

（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；

（二）协助其他部门识别、评估、监测、控制及缓释操作风险；

（三）建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；

（四）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；

（五）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；

（六）定期检查并分析业务部门和其他部门操作风险的管理情况；

（七）定期向高级管理层提交操作风险报告；

（八）确保操作风险制度和措施得到遵守。

第九条商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括：

（一）指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作规程；

（二）根据本行统一的操作风险管理评估方法，识别、评估本部门的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施；

（三）在制定本部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；

（四）监测关键风险指标，定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。

第十条商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

第十一条商业银行的内审部门不直接负责或参与其他部门的操作风险管理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。

鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。

第十二条商业银行应当制定适用于全行的操作风险管理政策。操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括：

（一）操作风险的定义；

（二）适当的操作风险管理组织架构、权限和责任；

（三）操作风险的识别、评估、监测和控制/缓释程序；

（四）操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求；

（五）应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。

第十三条商业银行应当选择适当的方法对操作风险进行管理。

具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。

第十四条业务复杂及规模较大的商业银行，应采用更加先进的风险管理方法，如使用量化方法对各部门的操作风险进行评估，收集操作风险损失数据，并根据各业务线操作风险的特点有针对性地进行管理。

第十五条商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。

第十六条重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。

第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：

（一）部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；

（二）密切监测遵守指定风险限额或权限的情况；

（三）对接触和使用银行资产的记录进行安全监控；

（四）员工具有与其从事业务相适应的业务能力并接受相关培训；

（五）识别与合理预期收益不符及存在隐患的业务或产品；

（六）定期对交易和账户进行复核和对账；

（七）主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；

（八）重要岗位或敏感环节员工八小时内外行为规范；

（九）建立基层员工署名揭发违法违规问题的激励和保护制度；

（十）查案、破案与处分适时、到位的双重考核制度；

（十一）案件查处和相应的信息披露制度；

（十二）对基层操作风险管控奖惩兼顾的激励约束机制。

第十八条为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和控制措施的自我评估，监测关键风险指标，并可提供操作风险报告的有关内容。

第十九条商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并应当定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。

第二十条商业银行应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。

第二十一条商业银行可购买保险以及与第三方签订合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。

购买保险等方式缓释操作风险的商业银行，应当制定相关的书面政策和程序。

第二十二条商业银行应当按照银监会关于商业银行资本充足率管理的要求，为所承担的操作风险提取充足的资本。

第三章操作风险监管

第二十三条商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的，还应提交外部审计报告。

第二十四条商业银行应及时向银监会或其派出机构报告下列重大操作风险事件：

（一）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；

（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；

（三）盗窃、出卖、泄漏或丢失资料，可能影响金融稳定，造成经济秩序混乱的事件；

（四）高管人员严重违规；

（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；

（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；

（七）银监会规定其他需要报告的重大事件。

篇3

论文摘要：本篇论文通过回顾西方先进的风险管理理念、理论、方法、技术以及国内部分学者关于风险管理的研究成果，以COSO2004年9月制定的《企业风险管理—整合框架》为理论基础，以中国某集团为案例研究对象，运用内部审计方法和程序对某集团风险管理八要素进行审计分析和评价，对风险管理理论如何在集团企业实践运用进行了探索和研究，提出企业应逐步建立风险管理系统，为企业在市场经济的大潮中保驾护航。

企业从无到有、从小到大的发展过程，如同人的成长要经历幼年、青年、中年、老年等阶段一样，也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展，经济环境变得瞬息万变，市场竞争越来越激烈。与此同时，企业需要面对的问题越来越多，面临的风险也越来越大，这样就迫使企业必须花费更多的精力对付各种风险。

在市场经济中有许多失败的企业，他们的失败各有其因，但也有一些共同的原因，那就是不重视风险管理，对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境，企业如何运用内部审计的理论、方法、程序分析自身风险管理现状，找出问题和不足，提出改进措施和建议，运用先进的风险管理理论对动态变化的风险进行管理，从而实现目标，使企业能够长期生存发展。

风险管理理论发展至今，不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解，于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准－专业实务框架》。

一、公司简介

某集团有限公司是中国最大的肉制品生产企业之一，其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市，拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术，以其独有的技术方法，研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验，集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年，冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品，自2002年至2004年，其市场占有率连续三年位居中国大型零售商销售首位。

二、公司风险管理要素审计评价程序及结论

尽管某集团在香港联合交易所主板上市，但其实质还是一家中国民营企业，其并没有建立专门的风险管理组织机构、人员、系统，公司风险管理处于“凭感觉进行风险管理”的阶段，只是由管理层根据调查分析、经验总结，识别、列出公司面临的四大类十三种主要风险，并制定了一些防范措施。公司审计部作为监督检查部门，每年至少两次从集团层面对风险管理进行整体评价，并在每季度对分、子公司执行例行审计过程中，重点关注风险管理状况。以下试从集团公司层面，以《COSO风险管理——整合框架》（以下简称COSO框架）中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。

（一）内部环境

1.理论描述。内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。

2.审计评价程序。

（1）设计风险相关文化调查表对风险管理的内部环境进行调查；

（2）审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。

3.审计评价结论。公司的风险管理理念属于风险偏好型，提倡抓住机会，大胆开拓。但对风险管理理念没有一个书面的说明性的陈述，这些理念存在于董事会及高级管理层的头脑中，通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。

（二）目标设定

1.理论描述。设定战略层次的目标，为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。

2.审计评价程序。

（1）获取管理层对目标的书面陈述；

（2）通过访谈、询问，获取公司员工对公司目标的知晓、理解程度的信息；

（3）通过查阅管理层的述职报告，获取目标实现进展情况的信息。

3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述，公司员工对公司的目标知之甚少，经审计调查总结，目标如下：

战略目标：创中国第一肉食品品牌；

经营目标：顾客满意最大化，品牌价值最大化；

报告目标：财务报告真实、完整，符合《上市规则》要求；

合规目标：遵循国家、行业、企业的法律、法规、制度。

（三）事项识别

1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话，并确定它们是否代表机会，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险，它要求管理当局予以评估和应对。

2.审计评价程序。

（1）查阅行业有关资料，询问、访谈高层、中层、一般职工，审查风险识别是否充分、全面；

（2）审查风险识别过程资料，判断是否根据内外部环境的变化定期进行修正。

3.审计评价结论。公司管理层根据调查分析、经验总结，识别、列出公司面临的四大类（行业风险，业务风险，财务风险，合规风险）十三种主要风险：

（1）爆发动物疫情；

（2）突然而来的业务干扰；

（3）消费者口味及喜好的变化；

（4）产品质量出现问题而导致对人身的伤害；

（5）原材料价格波动；

（6）产品未能迎合市场需求；

（7）主要管理层的流失；

（8）其他实体误用、盗用本公司商号（商标）；

（9）资金安全管理；

（10）资产安全管理；

（11）会计系统故障；

（12）违反《上市规则》；

（13）违反食品管理、环保法规有关法律规定。

经审计调查，公司管理层对风险识别较为充分，且计划每年分两次（期中和期末）对公司面临的风险进行全面的核查，若发现风险变化，即使进行调整，但未能严格实施。而对于机会，管理层没有进行专门识别。

（四）风险评估

1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估，并且通常采用定性和定量相结合的方法。

2.审计评价程序。获取管理层对风险进行定性评估的资料，评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估，由于缺乏相关的人才、技术、资料，尚未对风险进行过定量分析。公司管理层计划每年分两次（期中和期末）对公司面临的风险进行全面的核查和平谷，若发现风险变化，及使进行调整修正，但未能严格实施。

（五）风险应对

1.理论描述。在评估了相关的风险之后，管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中，管理当局评估对风险的可能性和影响的效果，以及成本效益，选择能够使剩余风险处于期望的风险容限以内的应对。

2.审计评价程序。通过访谈、询问，了解管理层采取的风险应对策略及理由，评价其合理性。

3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施，从风险应对的角度看多为预防性措施，以降低风险发生的可能性，而没有采取购买保险等风险分担措施。

（六）控制活动

1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织，遍及各个层级和各个职能机构。它们包括一系列不同的活动，例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。

2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险，制定了防范措施，审计部门相应地制订了审计评价程序。

3.审计评价结论。经审计调查，公司管理层对于风险管理的控制活动要素较为重视，制定的风险防范措施较为全面、严密、可操作，大部分得到了严格有效执行，但也有部分单位未能严格执行风险防范措施。

（七）信息与沟通

1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息，以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。

2.审计评价程序。

（1）走访公司IT部和公司内部报刊编辑部，了解评价公司的信息系统的建设和运转情况。

（2）访问公司网站，观察其运转情况；

（3）使用公司的局域网、内部电话网，阅读公司内部报刊，评价其运转情况和功效发挥情况。

3.审计评价结论。公司设立了IT部，建立了较为完备、先进的信息管理系统，通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递，并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。

（八）监控

1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。

2.审计评价程序。

（1）审查内部定期（每天、每周、每月）上报的管理报表（报告），评价风险管理日常监控职能发挥情况；

（2）审查内部审计部门的审计计划、风险管理审计报告，评价其监控职能的发挥情况。

3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控；通过内部审计部门对公司所控制的所有单位、项目进行例行审计，报告中时常反映一些被审单位风险管理状况的信息，对风险管理的监控较为及时，但对公司总部层面的风险监控较为薄弱。

三、结语

企业要想在市场经济的大潮中基业长青，必须对面临的各种风险进行系统地、全面地管理，这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具，结合本企业具体实际情况，对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价，查找问题和不足，对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善，逐步建立企业风险管理系统，是解决风险管理问题的最佳实务。企业应当增强风险意识，逐步建立险管理系统，为企业保驾护航，这样企业才能在市场经济的大海中劈波斩浪，远航。

参考文献：

［1］王晓霞，《企业风险审计》，第一版，中国时代经济出版社，2005。

篇4

关键词:巴塞尔新资本协议;法律风险;风险监管

中图分类号:F832.0文献标识码:A 文章编号:1007-4392(2008)05-0007-04

巴塞尔银行监管委员会(Basel Committee on Banking Supervision,以下简称巴塞尔委员会)在2004年6月公布的《统一资本计量和资本标准的国际协议：修订框架》(InternationalConvergence of Capital Measurement and Capital Standards:ARevised Framework,以下简称《新资本协议》)①中,首次将法律风险纳入了国际银行资本充足率监管框架,要求国际活跃银行采用规定的方法计量法律风险,并以此为基础确定其资本标准。该协议对商业银行全面风险管理体系的建立以及各国银行资本监管制度的完善都提出了更高的要求,并将于2006年底开始在十国集团国家实施。因此,解读《新资本协议》和其他有关巴塞尔文件的规定②,阐明“什么是法律风险”、“由谁来管理法律风险”和“如何管理法律风险”等问题,将有助于推动我国银行监管制度与国际银行监管惯例接轨,优化银行公司治理结构,提高银行业的风险管理水平和综合经营能力。

一、法律风险的概念及类型

法律风险是银行业务中的固有风险。然而,对“什么是法律风险”,各国监管当局的理解并不一致。例如,英国金融服务局(FSA)侧重于从制度层面上来理解法律风险,认为这种风险是因“法律的效力未能认识到”、“对法律效力的认识存在偏差”或者“在法律效力不确定的情况下开展经营活动”而使“金融机构的利益或者目标与法律规定不一致而产生的风险”。美国联邦储备委员会(FRB)则侧重于从交易层面上来认识法律风险,认为诉讼、客户基于规避法律或者避税的目的而与银行进行的交易,以及客户实施的其他违法或者不当行为都可能给银行带来法律风险。芝加哥储备银行(Federal Reserve Bank of Chicago)也认为:“法律风险是不可执行的合同、诉讼或者不利判决等使银行的营业中断或者对银行的业务活动或者经营条件产生不利影响的可能性。”

就“什么是法律风险”形成共识,无疑是建立统一的商业银行法律风险监管制度和管理体系的基础。为此,在1997年公布的《有效银行监管核心原则》(以下简称《核心原则(1997)》)中,巴塞尔委员会首次以列举的方式对法律风险做了定义。《核心原则(1997)》指出,法律风险主要表现为因下列情形而引发的风险：(1)不完善或者不正确的法律意见或者业务文件；(2)现有法律可能无法解决与银行有关的法律问题；(3)法院针对特定银行作出的判决；(4)影响银行利其他商业机构的法律可能发生变化；(5)开拓新业务且交易对手的法律权利不明确。为使各商业银行在建立和实施法律风险管理体系方面保有一定的主动性利灵活性,《新资本协议》在前述定义的基础上又作了概括性的说明,即“法律风险包括但不限于因监管措施和解决民商事争议而支付的罚款、罚金或者惩罚性赔偿所导致的风险敞口(risk exposure)”,并明确要求国际活跃银行采用规定的方法计量法律风险并为之配置相应的资本。

进一步分析,法律风险又分为运营法律风险(operationallegalrisk)和环境法律风险(enviro-nmental legalrisk)两种类型。所谓运营法律风险,是指因银行自身的操作风险控制体系不充分或者无效,未能对法律问题作出反应而产生的风险。这种类型的法律风险与特定的银行相联。

所谓环境法律风险,是指法律本身导致意外的、不利的后果的风险。其主要表现为可能对所有商业银行的风险敞口产生不利影响的外部法律事件,即法律的变化。与前述运营法律风险相比,环境法律风险不仅有着不同的风险来源和风险事件类型,而且还属于不可控风险,单个银行无法采取有效的措施阻止特定风险事件的发生。尽管如此,银行仍然可以运用风险缓释技术把环境法律风险的不利影响降低到可以接受的水平。因此,环境法律风险管理也是商业银行法律风险管理体系不可或缺的组成部分。

二、法律风险的特征

首先,法律风险是一种特殊类型的操作风险。根据《新资本协议》的规定,操作风险(operational risk)是指“由不完善或者失效的内部程序、人员和系统或者外部事件造成损失的风险。本定义包含法律风险,但不包含战略风险(strategic risk)和声誉风险(reputational risk)”。从上述定义来分析,操作风险不仅包括一般性操作风险(general operational risk),也涵盖了运营法律风险。归纳起来,操作风险事件主要有以下七种类型：(1)内部欺诈；(2)外部欺诈；(3)雇佣政策和工作场所安全；(4)客户、产品和业务操作；(5)实物资产的毁损；(6)业务中断和系统失灵；(7)执行、传递和业务流程管理。通常,前两种风险事件(内部欺诈和外部欺诈)不可能属于法律风险事件,尽管银行在这些风险事件中可能遭受损失,但这些损失与法律责任无关；后五种操作风险事件则都有可能引发法律风险。由此可见,法律风险并不是操作风险的一种独立风险来源和风险事件类型,而是一种因内部程序、人员和系统或者外部事件造成的,具有一定法律特征并需要由法律人员(内部律师或者外聘律师)运用专业判断才能够有效地管理的操作风险。

其次,法律风险区别于信用风险和市场风险的一个重要特征,在于它与“法律”的紧密联系,且普遍地存在于商业银行业务活动和管理控制的各个方面。研究表明,信用风险是指“银行的借款人或者交易对手不能按照事先达成的协议履行义务的可能性”,它与特定的某个或者多个交易对手相联系；市场风险是指“因市场价格变动而导致银行表内外头寸遭受损失的风险”,它与特定的产品、资产组合或者资产类别相联系；而法律风险则是指银行因经营活动不符合法律规定或者外部法律事件导致风险敞口的可能性,它与特定的内部程序、人员、系统或者外部法律事件相联系,其信息来源异常分散。正是因为如此,对信用风险和市场风险的管理强调统一和集中,风险管理活动主要由相应的风险管理部门来进行,而对法律风险的管理则强调分散化。除了法律风险管理部门,所有的业务部门以及与管理和控制有关的部门(如操作风险管理部门)都在法律风险管理程序中承担相应的责任。因此,法律风险管理体系应当独立于信用风险和市场风险管理体系,其管理程序和主要方法也不同于管理信用风险和市场风险的程序和方法。

再次,法律风险也不同于合规风险,因为商业银行需要为之配置充足的资本。所谓合规风险(compliance risk),是指“银行因未能遵守法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则而可能受到法律制裁或者监管处罚、重大财务损失或者声誉损失的风险。……合规所涉及的法律、规则和准则不仅包括那些具有法律约束力的文件,还包括更广泛意义上的诚实守信和道德行为准则”。显然,合规风险广泛涵盖了一般性操作风险、运营法律风险和声誉风险,但不包括环境法律风险和其他的外部事件风险。虽然巴塞尔委员会一直强调商业银行应当有效地管理各种风险,但是《新资本协议》只对信用风险、市场风险和操作风险提出了资本要求。合规风险管理主要是针对内部控制体系的建立和实施情况,其目的在于确保银行遵循有效的合规政策和程序,并采取适当的措施纠正违规行为,计量风险并不是合规风险管理程序的重点。因此,对于属于合规风险但不属于操作风险和法律风险的声誉风险,商业银行只须审慎地管理而不必为之配置资本。但是,对于法律风险,商业银行不仅要采取措施予以控制,而且还应当为抵御这类风险而维持充足的资本。这是法律风险区别于合规风险的重要特征。

三、法律风险的管理程序

(一)法律风险的识别

法律风险的识别(identification)是运用法律风险的定义对各种风险事件的法律性质进行分析判断的过程。商业银行应当能够识别所有重要的产品、活动、程序和系统中固有的法律风险,这是整个法律风险管理程序的基础性工作。为此,法律风险管理部门应当根据银行在提供有关金融产品和服务方面积累的经验等主观标准以及法律法规的有关规定等客观标准,对业务活动中使用的各种文件的合法性、导致风险敞口的潜在法律责任的性质以及立法、司法和行政执法实践对风险敞口的影响等因索进行全面的分析判断。这种分析判断应针对具体的金融产品和服务及其风险状况来进行,在已经或者准备跨境提品和服务的情况下,还应建立在国别的基础之上。

(二)法律风险的评估

法律风险的评估 (assessment)是对已经识别出的法律风险进行量化的过程。根据量化结果,银行能够确定可接受的和不可接受的法律风险敞口,并对后者采取适当的风险缓释措施。按照《新资本协议》的有关规定,商业银行可以根据业务性质、规模和复杂程度以及法律风险管理水平选取基本指标法 (Basic Indicator Approach)、标准法 (Standardised Approach)或者高级计量法 (Advanced Measurment Approach)来计提法律风险资本。其中,高级计量法要求商业银行依据风险敞口指标 (exposureindicator)、风险事件发生的概率(probability)和风险事件损失(loss given event)等三个方面的数据来计算各业务线(business line)的预计损失量(expected loss amount),并以此为基础汇总确定其法律风险资本标准。为此,商业银行必须建立并实施独立的法律风险评估程序。基本指标法和标准法则对法律风险没有敏感性,不考虑不同商业银行在法律风险管理水平方面的差异,只要求商业银行根据年度业务总收入或者各业务线年度业务收入的一定比例来计提法律风险资本。在这种情况下,独立的法律风险评估程序并不是法律风险管理的必经阶段。尽管如此,对法律风险进行有效的评估也会使商业银行更准确地掌握自身的风险状况。

巴塞尔委员会指出,对内部损失事件数据的跟踪记录是开发使用可靠的法律风险评估体系的前提。因此,损失数据的获取是法律风险评估程序的重点和难点。按照《新资本协议》的有关规定,在采用高级计量法计提法律风险资本时,应当以至少五年的损失数据为基础计算确定法律风险事件发生的概率及法律风险事件损失。为此,法律风险管理部门应当注意收集本行的法律风险损失数据,并按业务线、法律风险事件类型和法律责任的性质分类进行统计；如果内部损失数据不充分,或者商业银行的法律风险管理水平较高,没有发生“足够”的损失事件,就必须考虑利用相关的外部数据,即同业数据。这些数据可以是公开的数据,也可以是行业集合数据。

(三)法律风险的监测

法律风险的监测(monitoring)是及时地对已经识别出的法律风险进行重要性(significance)方面的判断和评价,并向董事会和高级管理层报告重要的法律风险信息的过程。巴塞尔委员会指出,商业银行应当建立一系列程序来定期监测法律风险状况和重大的法律风险事件。有效的法律风险监测程序对充分管理法律风险而言至关重要。定期监测行为有助于迅速发现并纠正法律风险管理政策、程序中的缺陷,从而大大降低法律风险事件发生的频率和重要性水平。

法律风险监测的对象是可能造成损失的法律风险事件。但是,这并不意味着法律风险管理部门的监测活动仅仅局限于那些已经发生的风险事件。除了监测法律风险事件,商业银行还应当明确适当的法律风险指标(legal risk indicators)及其临界值(threshold)并持续地对之进行监测,以便为法律风险事件的发生提供早期预警。这样的指标应该具有前瞻性,并能够反映法律风险的来源。根据法律风险工作组的建议,比较常见的法律风险指标包括：(1)法律的立、改、废；(2)市场惯例和标准合同文本等的重大变化；(3)关键人员的变化：(4)推出新的金融产品或者进入新的市场；(5)跨行业提品或者服务：(6)主管当局针对其他银行的监管行为或者其他法律制裁；(7)在重大问题上,外聘律师意见的重大变化：(8)聘任不熟悉的法律顾问；(9)正式法律意见别的条件或者假设等。需要说明的是,法律风险在不同的商业银行、同一商业银行的不同业务线中的表现形式不可能完全相同。因此,穷尽地列举适用于所有银行的法律风险指标是不可能的。商业银行应当根据业务性质、规模和复杂程度建立自身的法律风险指标体系。随着法律风险管理水平的提高,法律风险指标体系也将不断地发展和完善。

(四)法律风险的控制和缓释

法律风险的控制和缓释(control and mitiga-tion)是通过有效的授权审批和监督机制来防范法律风险并采取适当的措施降低重大法律风险的过程。如前所述,运营法律风险属于既可以控制也可以缓释的风险,而环境法律风险则属于不能控制但可以缓释的风险。巴塞尔委员会强调,商业银行应当制定控制或者缓释重大法律风险的政策、程序和步骤。为了控制运营法律风险,法律风险管理部门应当对业务活动中使用的文件进行全面的审查,井根据法律和交易惯例的发展和变化,定期更新标准合同文本等法律文件；法律风险管理部门还应当配备足够的应诉或者参与行政程序的法律专业人员,并对法律风险事件可能造成的财务影响进行分析。

对于上述可以控制的运营法律风险,商业银行可以通过加强法律风险培训、改进产品设计、完善信息披露、明确划分客户群体和投保商业性责任保险等方式进行缓释。对于无法控制的环境法律风险,商业银行可以根据风险评估结果决定是否接受。如果特定环境法律风险的重要性水平难以接受,法律风险管理部门应当建议董事会或者高级管理层及时调整经营战略,包括缩减业务范围、停止某些业务活动或者裁撤某些海外分支机构。

四、完善我国商业银行法律风险监管制度的几点建议

(一)进一步细化法律风险的表现形式

明确法律风险的表现形式是提高我国商业银行法律风险管理水平、构建有效的法律风险监管体系的前提。根据《新资本协议》和其他有关巴塞尔文件以及我国有关法律、法规的规定,我国商业银行可能承担的运营法律风险主要表现为：1 合同可能依法撤销或者确认无效；2 合同可能被依法变更,且变更的结果不利于银行；3 因违约、侵权或者其他事由被提讼或者申请仲裁,依法可能承担赔偿责任；4 知识产权受到侵犯；5 业务活动违反法律、法规等的规定,依法可能承担行政责任或者刑事责任。我国商业银行可能承担的环境法律风险主要表现为下列可能对银行的业务活动产生不利影响的外部法律事件：1 有关法律、法规等的制定、修改或者废止;2 有关国家机关依法作出的法律解释；3 最高人民法院作出的判决；③4 海外分支机构所在的国家或者地区法律制度不完善。

(二)引导商业银行完善管理法律风险的组织结构

由董事会和高级管理层、法律风险管理部门以及向董事会负责的内部审计部门共同组成的组织结构是法律风险管理体系有效运作的基础,这种组织环境能够保证商业银行有关的管理部门和业务部正确理解并有效执行法律风险管理战略、政策和程序。与上述要求相比,我国商业银行管理法律风险的组织结构是有其“形”而无其“实”。目前,我国四大股份制商业银行普遍设立了独立于合规风险管理部门的法律事务部门,其他全国性的股份制商业银行也大都在法律与合规部内设立了负责法律事务的处(室),其主要职责是出具法律咨询意见、参与法律文件起草和谈判签约以及管理法律诉讼等。虽然这些职责都与法律风险管理有关,但并未全面覆盖法律风险管理程序的各个方面,法律事务部门系统地开展识别、评估、监测以及控制和缓释等法律风险管理工作还缺乏应有的组织保障。此外,内部审计部门的独立性不强也是制约法律风险管理体系建立和有效实施的重要因素。目前,我国商业银行的内部审计部门与操作风险管理部门和合规风险管理部门还没有完全分开,既负责管理操作风险和合规风险,又负责监督内部控制体系和各种风险管理程序的实施,既是“运动员”也是“裁判员”。并且,虽然《商业银行操作风险管理指引》要求内部审计部门独立评估并向董事会报告操作风险管理体系的运行效果,但在更多的情况下,内部审计部门并不是直接向董事会负责,其地位与一般的管理部门并无二致,事实上也无法对其他风险管理部门实施有效的监督。因此,引导商业银行重新定位法律事务部门的职责、提高内部审计部门的独立性应当成为法律风险监管制度的重要内容。

篇5

现代金融机构所面临的风险主要有：市场风险、信用风险、操作风险和其它风险，其中最主要的是市场风险和信用风险。对这些风险的控制主要是通过以下三大基本因素实现的：(1)董事会确定总体的风险管理原则和基本的控制战略；（2）确定风险管理的组织构架和体系; (3)指定风险管理的一整套政策和程序;(4)运用风险管理的技术监测工具。因为风险管理技术的专门性，我们将不在此进行讨论。

在具体的运作过程中，现代金融机构控制风险的基本措施是：分散化、交易限额、信贷限额，即通过对其产品、交易伙伴、业务活动领域的分散化降低风险;通过为每种产品、每一交易单位设置交易限额，为每一交易伙伴制定信贷限额以规避各种风险。金融机构根据各项业务的获利能力、市场机会、公司的长期战略定期调整各业务、各部门间的资本配置，力图使获取给定收益的风险最小化。

一董事会对总体风险管理理念和基本风险管战略的确定

总体上说，董事会对金融机构承受的风险承担最终责任和义务，因此应负起监控职能。公司整体的风险管理及控制政策应由董事会审批，为保证战略和政策得到遵守并保持适应性，决策机构应通过独立的风险管理部门和独立的内部审计部门进行实施和评估。

（一）风险管理基本原则的确定

一般来说，金融机构的董事会首先要根据自身的市场定位确定风险管理的基本理念和原则，并要求风险管理委员会和相应的风险管理部门积极予以落实。

我们可以简要地比较美林和摩根等公司的风险管理原则。

1 美林公司的风险管理原则

在美林公司，尽管风险管理的和策略一变再变，但以下述6个原则为基础的基本理念却几乎没变。这主要包括：任何风险规避方案中，最重要的工具是经验、判断和不断的沟通；必须不断地在整个公司内部强化纪律和风险意识；管理人员必须以清晰和简洁的语句告诫下属：在资本运营中哪些可以做，哪些不可以做；风险管理必须考虑非预期的事件，探索潜在的，检测不足之处，协助识别可能的损失；风险管理策略必须具备灵活性，以适应不断变化的环境；风险管理的主要目标必须是减少难以承受的损失的可能性。这样的损失通常源自无法预计的事件，大部分的统计和模型式的风险管理方法无法预计。

在过去几年，用数学模型来测量市场风险已成为世界范围内众多风险管理的要点，风险管理几乎成了风险测量的同义词。美林公司认为，数学风险模型的使用只能增加可靠性，但不能提供保证，因此，对这些数学模型的依赖是有限的。

事实上，由于数学风险模型不能精确地量化重大的金融事件，所以，美林公司只将其作为其他风险管理工作的补充。

总的来讲，美林公司认为，一个产品的主要风险不是产品本身，而是产品管理的方式。违反纪律或在监管上的失误可导致损失，而不论产品为何或使用何种数学模型。

2 摩根公司的风险管理原则

摩根斯坦利则认为，风险是金融机构业务固有特性，与金融机构相伴而生。金融机构在经营活动中会涉及各种各样的风险，如何恰当而有效地识别、评价、检测和控制每一种风险，对其经营业绩和长期发展关系重大。公司的风险管理是一个多方面的问题，是一个与有关的专业产品和市场不断地进行信息交流，并作出评价的独立监管过程。

应当说，这些基本的风险管理原则既是其长期进行风险管理的经验的总结，也是其实施风险管理的基本知指导原则，在整个风险管理体系中占有十分重要的地位。

（二）确定风险管理的基本程序

董事会制定风险管理及控制战略的第一步是，根据预定的风险管理原则，并根据风险对资本比例情况，对公司业务活动及其带来的风险进行。在上述分析的基础上，要规定每一种主要业务或产品的风险数量限额，批准业务的具体范围，并应有充足的资本加以支持。此后，应对业务和风险不断进行常规检查，并根据业务和市场的变化对战略进行定期重新评估，并将结论应直接报告决策层。

在识别风险和确定了抵御风险的总体战略后，公司就可以制定用于日常和长期业务操作的详细而具体的指引。为此，风险管理的政策和程序中应包括，风险管理及控制过程中的权力及遵守风险政策的责任，有效的内部控制，内部和外部审计等。如果公司较大较复杂，则需要建立集中、自主的风险管理部门。就风险管理和控制部门而言，最重要的是配备适当的专业人员、并独立于产生风险的部门。

因为控制结构的有效性取决于运用它的人，因此，有效控制的前提是机构内所有员工都具有高度的责任。在确定风险管理及控制过程的权力和责任时，一个重要的因素应是将风险的衡量、监督和控制与产生风险的交易部门分开。高级管理层应保证职责适当分开，员工的责任不应互相冲突。

二机构风险管理架构的比较

(一)金融机构风险管理的基本架构

金融机构因其业务的偏重点不同而具有不同的风险管理体系，但其基本构架都大同小异。一般来说，金融机构设有"风险管理委员会"集中统一管理和控制公司的总体风险及其结构。"风险管理委员会"直接隶属于公司董事会，其成员包括：执行总裁、全球股票部主任、全球固定收入证券部主任、各地区高级经理、财务总监、信贷部主任、全球风险经理以及一些熟悉、精通风险管理的专家等，下面直属不同形式的风险管理部门来实施风险管理委员会的战略和要求。

同时，金融机构应具备风险管理及控制的报告和评估程序，包括检查现行政策和程序执行报告和发现例外情况的制度。一般来说，风险暴露以及盈亏情况应每日向负责监控风险的管理层报告，后者应简要向负责公司日常业务的高级管理层汇报。另外，金融机构要对风险战略、政策和程序的评估应该定期开展，评估应考虑到现行政策的结果、业务以及市场的变化。风险管理及控制政策的、模型和假设的变更应由决策层审核。政策和程序应要求风险管理及控制部门参与对新产品和业务的考察。

"风险管理委员会"的主要职责是：设计或修正公司的风险管理政策和程序，签发风险管理准则;规划各部门的风险限额，审批限额豁免;评估并监控各种风险暴露，使总体风险水平、结构与公司总体方针相一致;在必要时调整公司的总体风险管理目标。"风险管理委员会"直接向董事会报告，它每周开一次例会(需要时可随时召集)讨论主要市场的风险暴露、信贷暴露与其它各种头寸，潜在的新交易、新头寸以及风险豁免等。

"风险管理委员会"下设不同形式的、分离或者整合的风险管理部门（如分别设立市场风险管理部门、信用风险管理部门等，或者整合为一个完整的风险管理部），他们均独立于公司的其它业务部门。市场风险管理部门负责监管公司在全球范围内的市场风险结构(包括各地区、各部门、各产品的市场风险);信用风险管理部门负责监管公司在全球范围内的各业务伙伴的暴露额度;审计部通过定期检查公司有关业务和经营状况，评估公司的经营和控制环境。

金融机构的风险管理采用多层制，除了"风险管理委员会"及其市场风险管理部门、信用风险管理部门、审计部外，其它如融资部、财务部、信息技术部以及各业务部的部门风险经理均参与风险的确认、评估和控制，并接受风险管理部的监督和评估、考核。这些部门的经理及代表每隔一周开一次例会(需要时可随时召集)以求沟通信息、交流经验、正确评估风险、调险管理政策。

以下是对美林等几家公司的比较。

（一）美林公司的风险管理架构

篇6

【关键词】新型集团；规模扩张；财务风险管理；管理系统

中图分类号：F275 文献标识码：A 文章编号：1004-5937（2014）07-0039-03

一、新型集团规模扩张财务风险管控的架构分析

集团企业已经成为企业组织形式的主要发展方向，随着集团企业的规模效应以及层级体系的不断完善，集团企业通过兼并其他集团或者规模扩张不断增大，形成了新型集团。2012年是世界经济转型年，随着世界经济一体化的形成，更多的企业出现了兼并与重组，大规模的新型集团陆续出现，这些新型集团都是由母子关系的企业集团组成。然而，新型集团组织层次的增多以及组织规模的壮大，使财务管理的风险日益增加，控制由于规模不断扩张而增加的财务风险需要先从新型集团规模的架构进行分析。

新型集团规模扩张带来的财务风险管理是在规模扩张后的特定范围内进行分析的，目标是为了控制新型集团的财务风险，并按照监管的要求，建立COSO的内部控制，形成ERM的全面风险管理。新型集团是由单个集团企业发展而来，因此新型集团的财务风险管理比单个集团更加复杂，更加具有动态性和系统性的特点，因此新型集团的财务风险管理需要构建综合、立体的系统才能实现。单个集团的财务风险管理多停留在出现问题才解决的阶段，“拍脑袋想问题，头疼医头，脚疼医脚”，是很多集团企业常用的方法。而新型集团的财务风险管理要从整体目标出发，针对目标进行研究，从宏观的视角进行研究，从集团最高层的视角进行管理，控制财务风险。

从宏观的视角进行财务的风险管理，使财务风险管理更加适应新型集团的需要，而单个集团的财务风险，或是缺少宏观层面的解决，或是从源头进行风险管控架构，还保留着COSO-ERM的痕迹。新型集团的风险管控架构是垂直的视角架构，是从宏观视角建立的一个纵向的严密体系，更加适应新型集团的需要，因此建立一套层次鲜明，纵向逻辑严谨的财务风险管控架构是非常迫切的。

新型集团规模扩张的架构首先是目标架构。所谓的目标架构就是规模扩张后的最终目的，也是指导规模扩张的最终依据。目标架构是规模扩张的主要方向和评价标准，没有目标的扩张没有任何意义，也将出现巨大的财务风险。因此在集团规模扩张之前，就要制定、分析、讨论，并且选择明确的目标，这个目标要切实可行，要脚踏实地，选择的最终执行目标就是新型集团的财务风险管理内容。目标一般分为实际目标和长远目标。在新型集团的母子企业集团中，都有可能出现规模扩张的实际目标，因此，实际目标的财务风险管理应由各个集团进行控制；而长远目标一般存在于集团层面，是新型集团的战略目标，是集团层面的长期整体目标。新型集团规模扩张的长远目标更要具有可操作性，避免出现跳跃式的长远目标，更要避免如“德隆帝国”或者“雷曼兄弟”等集团企业出现的财务风险。

其次是管理架构，这是新型集团规模扩张的核心架构。一般包括管理的主体，管理的程序方法，管理的保障体系等。

最后是基层架构，即完成规模扩张的全部基点，基层架构以实际情况为出发点，立足解决实际面临的各种问题，是新型集团规模扩张架构的基础。

三层架构相互依托，互相制约。管理架构受到目标架构的制约，并以目标架构为导向，更离不开基层架构的支持和保障；基层架构限制和约束管理层的管理主体与程序方法，同时又服务于管理架构，更是目标架构制定的具体依据。其中管理架构是桥梁，连接目标架构与基层架构，是目标架构的具体表现，也是基层架构的现实实践。

二、新型集团规模扩张财务风险管控的要素分析

根据新型集团规模扩张的架构，可以将规模扩张的要素分为：目标要素、主体要素、程序要素、保障要素和基层要素。

（一）目标要素是根本出发点

目标要素是新型集团通过财务风险管理要达到的目标，是构建集团财务风险的根本出发点，新型集团的财务风险管理必须从目标开始，目标是对新型集团的宏观与微观进行的战略评价，通过SWOT分析，确定了目标架构后，充分研究新型集团的风险承受能力与可持续发展所指定的。

（二）主体要素是具体实施者

主体要素是新型集团财务风险管理的具体实施者，是实现目标架构的主体。在新型集团中，主体是各级组织中的具体执行人，这些组织包括，股东大会、董事会、监事会、子集团、下属公司等。股东大会是新型集团的最高权力机关，对集团的财务风险进行宏观管理；董事会是集团的最高决策机关，从行政角度对集团的财务风险进行有效的决策管理；监事会是集团的最高监督机关，可监督董事会与管理层为控制财务风险所做的决策，并监督一切违反财务制度可能出现的财务风险；子集团与下属公司的所有岗位参与或实施财务风险管理的人员，都是控制财务风险的主体要素。

（三）程序要素是基本操作法

程序要素是新型集团财务风险管理的基本操作法，是具体实施者行为表现的集合，为主体要素进行财务风险管理的具体举动，也是被主要监督和控制的要素。新型集团财务风险控制的效果主要取决于具体实施者应用程序方法所取得的效果决定的，因此程序的制定、设计、评价和控制，都要便于向新型集团财务风险管理的有利方向进行组织和实施。程序的方法至少应包含风险的识别、风险的衡量、风险的评价、风险的处理等。

（四）保障要素是制度和手段

保障要素是新型集团财务风险管理中，确定具体实施者按照风险管理程序进行管理，并得以实施的制度和手段，是连接主体要素和程序要素的桥梁，为二者提供信息传递与沟通，是为具体实施者提供的保障机制。这种保障机制至少应包含信息传递、财务预警、健全管理制度、审计、完善风险的评估与管理等内容。健全、有效的保障体系，可以有效提高新型集团财务风险管理的效率，因此健全实施者操作程序的保障体系将及其重要。

（五）基层要素是实际与基础

基层要素是新型集团财务风险管理的实际情况与经济基础，任何的主体、程序、保障，都不可能脱离实际情况而单独存在。只有分析实际情况，立足于经济基础，才能制定合理有效的程序，实现新型集团规模扩张的风险管理目标。基层要素至少应该包含企业组织结构、责任分配、员工能力、人力资源政策、财务风险管理等等。很多大型企业集团的破产和失败，表面现象为财务风险管理不力，内部根源很多都在于基层要素恶劣。

三、新型集团规模扩张财务风险管控的原则分析

新型的集团企业多从单体的企业发展而来，不仅具有单体企业的特征，同单体企业相比较，财务风险更加巨大和复杂，控制财务风险的重要性和紧迫性更加突出，因此新型集团企业的财务风险具有难以识别、难以评估、难以管理的特点。在新型集团日益成为企业组织形式发展方向的今天，必要的控制风险原则将为新型集团提供遵循的依据。

（一）目标导向的原则，即以控制新型集团规模扩张所带来的财务风险目标为导向

目标是评价风险控制的依据和财务管理的方向，应该以目标为导向确定财务风险控制的主体、程序和保障措施。当然，新型集团的财务风险管理目标应该与集团的长远计划相一致。财务风险的管理只是财务管理乃至全局战略性管理的一部分，随着目标和任务的完成，新型集团的规模扩张财务风险管理也会处于不同的阶段，会出现不同的问题，因此，财务风险管理要与新型集团的财务管理保持一致，以财务管理为目标。

（二）问题实时解决的原则

新型集团在确定财务风险控制的主体、程序和保障措施后，以实现新型集团的财务风险控制时，要立足于中国特色社会主义的实际国情和集团企业所在行业的具体行规行情，根据不同的情况选择适合的做法，不能照搬照抄国外的经验。新型集团的财务风险管理随着内外环境的变化，会出现调整、优化等适应性改变，这就要求财务风险管理在适应内外环境需要的基础上，遇到问题随时解决和调整构成要素，根据目标中出现的问题，随时调整和完善。目前，新型集团的内外环境变化迅速，且非常巨大，因此，财务风险管理要实时调整管理架构和基层架构，明确主体要素，完善程序与保障机制，确保集团财务管理的效果和效率，实现新型集团规模扩张的财务风险管理目标。

（三）内外环境分析的原则

新型集团的财务风险管理是一个复杂的系统工程，这个复杂的系统由各个组成因素相互作用，并且相互联系到一起，各个组成因素不可分割或缺，这是集团企业的内部环境。内部环境通过系统的功能以实现控制风险的目标，而内部环境的功能发挥与各个组成因素密切相关，财务风险控制的内部环境是否最优化，直接影响财务的风险控制管理。要想发挥内部环境的最优化，就需要根据内部环境的变化，实时调整系统组成要素之间的关系，从而达到优化的目的，实现新型集团规模扩张的财务风险管理目标。

集团企业的任何规模扩张都是在一定的外部环境下进行的。众所周知，财务风险管理是在企业的长远目标和外部环境分析的基础上展开的，只有不断分析外部环境，才能确定财务风险管理所面临的形势。可利用外部环境造成的优势，严控财务风险，也可发挥自身优势，尽量避免外部环境造成的影响，因此，新型集团的财务风险控制要具有主动性，适应内外部环境的变化，以实现风险控制的目标。

（四）依靠“中国梦”的指导，实现执行主体梦想的原则

新型集团的财务风险控制是一项具体的实际活动，活动的主体是有理想、有思维的人，因此主体的主观能动性对客体的结果有着巨大的影响。十以后，中国梦深入人心，以实现执行主体的个人梦想为契机，充分发挥主观能动性，克服客观存在的风险和制约，通过主体的实践活动控制财务的风险，实现新型集团规模扩张的财务风险管理目标。

四、总结

新型集团规模扩张的财务风险管理是一项复杂的系统工程，执行主体仅依靠程序和保障机制是难以实现财务风险管理控制的，要从整体目标出发，针对目标进行研究，从宏观的视角进行研究，从集团最高层的视角进行管理，形成垂直的视角架构，从宏观视角建立的一套层次鲜明，纵向逻辑严谨的财务风险体系。实现风险管控的三大架构（目标架构、管理架构、基层架构）以及五大因素（目标因素、主体因素、程序因素、保障因素、基层因素），三大架构与五大要素相互制约，相互依靠，缺一不可，共同组成了财务风险管理系统，确保新型集团规模扩张过程中实现财务风险的管理目标。

【参考文献】

[1] 张晓玲.基于财务风险管理的企业集团全面风险管理体系研究[J].财会通讯，2009（2）.

[2] 纳鹏杰.强化我国企业集团财务风险管理的若干思考[J].经济问题探索，2008（12）：142-148.

[3] 张继德，郑丽娜.集团企业财务风险管理框架探讨[J].会计研究，2012（12）：50-54.

篇7

每个组织的存在都有其目标，在实现目标的过程中，存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系，来识别、评价和控制风险，为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性，提出改进意见，帮助企业改进风险管理与控制体系，从而为企业增加价值。

企业风险管理体系简介

要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

第一是内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，为其他风险管理要素打下基础。

第二是目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

第三是事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、会计核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不经济地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

第八是监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险管理中，内部审计要发挥两方面的作用：

第一是对风险管理过程的充分性和有效性进行评价，主要从以下几个方面进行评价：1.评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订；2.与相关管理层讨论部门的目标，看分解到各部门的目标是否对战略目标提供足够的支持；3.评价管理层对风险的识别和评估是否准确；4.分析控制措施是否完善，是否可以使企业风险发生的可能性和影响都落在风险容忍度之内；5.风险监控是否持续得到执行，监控报告制度是否恰当，风险管理报告是否充分、及时。

第二是以咨询顾问身份协助机构确定、评价并实施针对风险管理的方法和控制措施。内部审计在该方面的作用包括：1.进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面，并且使每名员工能够有效识别风险并提出有效控制措施，实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估专题讨论会。针对重大风险隐患，要集合企业内外部的专家进行专题研讨。审计人员既是组织者，又是参与者，同时也是学习者。3.开发自我评估工具。对风险管理进行深入研究，利用现代技术开发适合本企业的评估工具

将企业风险管理融入内部审计程序

在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。

1.在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

2.确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

3.编制审计方案时，通过风险因素分析来确定审计业务工作重点；在审计实施过程中，通过评价内控制度，查找其中的疏漏和薄弱环节；在更新审计范围与计划的内容时，要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。

篇8

企业风险管理体系简介

第一是内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，为其他风险管理要素打下基础。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

内部审计在风险管理中的作用

1.在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

2.确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

推荐范文