时间:2023-10-23 10:43:08
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇风险管理的基本流程,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
论文关键词:风险,全面风险管理,风险管理框架
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献
[1](美)COSO,方红星,王宏译.企业风险管理—整合框架[M] ,大连:东北财经大学出版社,2007.
从中国企业构建全面风险管理体系基础条件来看,中国企业尤其是在境外上市的企业近几年以来一直致力于企业内部控制建设,已经建立了一套比较完善的内控体系,编制了内部控制手册和自我评估手册,初步搭建了以风险管理为核心的内部控制基础平台。这是中国企业建立健全全面风险管理体系的基础条件。当然,多数企业的内控系统通过对流程的控制主要对运营风险、财务风险等风险建立了比较完善的控制体系,但是还不能覆盖企业面临的所有风险,如战略类、市场类风险,不能对其进行有效的管理和控制。
所谓基于内控的全面风险管理体系,简单地说,就是在内部控制建设的基础上,构建全面风险管理体系,是适合已经建立内部控制体系的企业进行全面风险管理建设的一条创新路径。这既符合国际上内部控制逐步向全面风险管理发展的潮流,也是中国企业构建全面风险管理体系的现实选择。
3C框架和流程
中天恒管理咨询公司经过多年的探索和实践,专为中国企业打造的3C全面风险管理基本框架(下文简称“3C框架”)如图1。
3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的,形成了由目标体系、风险整合、管理融合组成的有机体系,贯彻严密的目标――风险――管理的逻辑关系。
企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容,可以把目标确定作为全面风险管理的前提条件进行关注,并将其贯穿于全面风险管理工作的始终。
风险是对企业目标实现产生影响事项发生的不确定性,包括了危险和机会,是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素,是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来,是全面风险管理的一个基本标准。
全面风险管理是为合理保证企业目标实现,对企业风险进行全面管理的动态过程,是对企业风险进行整合管理的过程,是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容,是必须明确的;全面风险管理政策、战略、策略、决策是企业全面风险管理的基础,影响整个全面风险管理工作;全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。
全面风险管理融合,是企业风险管理自身内部的融合,是企业风险管理与企业业务的融合,是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多,其中最重要的就是要做到内部控制与风险管理的融合。
3C框架与COSO的不同
3C框架没有直接引入管理要素概念,从总体看包括目标、风险、管理三个方面;从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。
3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”;把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”;把COSO全面风险管理框架“控制活动”重新定义为“风险控制”;把COSO全面风险管理框架“监控”改为“监督改进”,并细化为“风险监督”、“风险审计”、“管理改进”等。
3C框架将风险辨识、风险确认、事件识别统一为风险识别,并定义为确认风险的过程;将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价,并定义为风险的量化过程;将风险策略、风险应对、风险工具统一为风险应对,并定义为选择应对风险策略的过程;将控制活动、控制政策、控制程序、控制措施、应对措施统一为风险控制,并定义为应对风险的各种措施;将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督,并定义为监督检查风险的过程等等。
论文关键词:商业银行:风险管理
一、我国商业银行风险管理的基本任务和要求
在现阶段,我国商业银行风险管理的基本任务可以分为两部分,从商业银行内部看,风险管理的基本任务是通过建立严格的内控制度和良好的公司治理机制,最大限度的防范风险和确保银行业务的健康发展,从而实现银行股东价值的最大化从商业银行外部看,风险管理的基本任务就是通过加强商业银行监管,进行金融体系的改革和完善,从根本上防范和化解金融风险。
为了实现风险管理的基本任务,尽快提高我国商业银行的风险管理水平,必须满足四个方面的要求:
第一,要适应业务发展要求。风险管理的根本目的是确保业务发展健康和持续。不顾风险的发展和不顾发展的“零风险都是不对的,风险管理并不是杜绝风险,而是在资本配比的范围内实现风险和收益的合理匹配。
第二,要适应外部监管要求。随着银行业的不断发展,外部监管越来越严格。外部监管对商业银行来说,是合规经营的外在力量,也是加强风险控制的内在需求。
第三,要适应业务流程再造的要求。风险管理发挥应有的作用,重要的一点是有科学的风险管理组织架构,而风险管理的组织模式又是以商业银行的业务流程为基础的。今后商业银行将按照各自的业务特点围绕盈利中心进行业务流程的再造相应地风险管理组织模式也要适应这一变化的要求,只有这样,风险管理才能实现与业务的紧密结合。
第四,要适应国际先进银行风险管理发展趋向的要求。我国商业银行风险管理产生时间还很短,与国际先进银行还有很大差距。因此,我国商业银行必须紧跟国际风险管理的发展趋势,及时掌握银行风险管理的先进技术和理念,以适应日益激烈的竞争需要。
二、商业银行风险管理的一般原则
商业银行风险管理是银行业务发展和人们对金融风险认识不断加深的产物。商业银行从产生至今,其风险管理经历了资产业务的风险管理;负债业务风险管理;资产负债业务风险管理;表外业务风险管理等阶段。其管理范围逐步扩大,管理方法日益科学。2001年巴塞尔委员会公布了《新巴塞尔资本协议》征求意见稿(第二稿),至此,西方商业银行风险管理和金融监管理论已经基本完善,国际银行界相对完整的风险管理原则体系基本形成。《新巴塞尔协议》的基本原则集中体现了如下几个方面:
(一)坚持信用风险是银行经营中面临的主要风险,但新协议开始重视市场风险和操作风险的影响及其产生的破坏力,并在资本充足率的计算公式中,分母由原来单纯反映信用风险的加权资产加上了反映市场风险和操作风险的内容;
(二)坚持以资本充足率为核心的监管思路,在新协议中,保留了对资本的定义及资本充足率为8%的最低要求。同时,新协议放弃了1988年协议单一化的监管框架,银行和监管当局可以根据业务的复杂程度、自身的风险管理水平灵活选择使用,允许银行选择内、外部评级等;
(三)充分肯定了市场具有迫使银行有效而合理分配资金和控制风险的作用,强化信息披露和市场约束。在新资本协议中,对银行的资本结构、风险状况、资本充足状况等关键信息的披露提出了更为具体的要求。
三、中国商业银行风险管理的现状及存在的问题
近年来,为了化解银行信用风险,我国采取了多方面的措施。不仅按照《巴赛尔协的规定计算风险资产、补充资本金,还运用较传统的信用风险度量法,由信贷主管人员在分析借款企业财务报表和近期往来结算记录后进行信贷决策,并采取较先进的以风险度为依据的贷款五级分类法对银行的信贷资产进行分类管理。但多方面的管理措施并没有大幅度降低商业银行的信用风险,造成我国商业银行信用风险管理效果不显著的原因是多方面的:
1.在风险管理体制方面
改革开放以前,我国是计划经济体制,大财政、小银行是金融的基本格局,银行制度则以高度集中计划管理和行政约束为主要特征。经过多年改革,国有商业银行公司治理结构取得了很大进展。但是,我国现代商业银行制度还未真正确立,公司治理方面的缺陷不但使得我国商业银行信用风险管理基础薄弱,而且也严重制约了国有商业银行的发展。
2.在组织管理体系方面
尽管目前我国商业银行普遍实施了审贷分离制度,客户经理部负责发放贷款,信用风险管理部负责审查贷款,通过信用风险管理部不直接接触贷款客户来回避贷款风险。但与国外相比,国内商业银行的信贷部门和贷款复核部门之间不独立,受外界干扰较多,独立性原则在工作中体现不够,而且部门之间、岗位之间普遍存在界面不清、职责不明现象。
3.在风险管理工具及技术方面
目前的国际金融市场上,各种金融衍生工具层出不穷,金融创新业务在银行业务中占据着越来越大的比重,随着金融风险与市场不确定性的增强,银行风险管理也变得日趋复杂。国内商业银行在金融产品创新以及金融工具的使用上虽然有所改进,但仍远远适应不了现实的需要,尤其是在利用金融衍生工具进行信用风险管理方面。
四、中国商业银行风险管理的完善
风险管理体制改革要遵循全面风险管理原则,建立全员参与,对包括信用风险、市场风险、操作风险在内的各类风险、各业务品种、各业务流程,能够在微观层面和银行整体层面实施有效管理的风险管理体系;还要遵循风险管理相对独立性原则,风险承担与风险监控分离,风险管理体系与业务经营体系保持相对独立,建立垂直化管理的风险管理组织架构。同时,要提高风险管理的效率,按照提高市场响应能力、加强内部风险控制、符合外部监管要求的原则,梳理和优化相关业务流程。具体说来可从以下几个方面予以探究、实践:
1.优化风险管理文化
风险管理文化是风险管理体系的灵魂,有效风险管理体系建设必须以先进风险管理文化培育为先导。只有培育良好的风险管理文化,才能使风险管理机制有效发挥作用,才能使政策和制度得以贯彻落实,才能让风险管理技术变得灵活而不致僵化,才能让每一位员工发挥风险管理的能动作用。让整个银行更新观念和认识,统一思想和步调,为科学风险管理体制机制的建立和有效运行做好思想和舆论准备,调动全体员工的积极性,能动参与风险管理。
2.建立健全风险管理体系
一般来说,风险管理体系应该包括风险管理组织体系、政策体系、决策体系、评价体系等内容。(1)风险管理组织体系。我国商业银行风险管理的组织体系应从两个层面进行调整:一是要适应商业银行股权结构变化,逐步建立董事会领导下的风险管理组织架构。董事会是银行经营管理的最高决策机构,在董事会之下设置风险管理委员会,作为银行风险管理战略、政策的最高审议机构;二是在风险管理的执行层面,改变行政管理模式,逐步实现风险管理横向延伸、纵向管理,在矩阵式管理的基础上实现管理过程的扁平化。(2)风险管理政策体系。一是以银行的风险偏好为基础进一步完善我国商业银行的风险管理政策体系。银行要在承担风险的水平和收益期望及对风险的容忍水平一致的前提下,体现银行总体和各个业务单元承担风险的性质和水平。二是建立一个完整的风险管理政策体系。该体系应涵盖所有的业务领域,每个业务部门和地区都必须执行。同时,风险管理政策体系又要体现分类管理和因地制宜的差别化原则,针对不同业务和地区的特点,在风险管理方面要区别对待。(3)风险管理决策体系。风险管理决策体系的核心是坚持公正和透明原则。目前,我国商业银行建立了客户评价、风险授权和授信、审贷分离、集体审贷等一系列信贷风险管理制度,有效地防范了逆向选择风险。需要指出的是,科学的决策体系不可能杜绝所有的风险,但可以通过决策程序的民主化和科学化杜绝‘反程序”操作,实现决策水平的提升。(4)风险管理评价体系。风险管理政策制度要适应业务发展和变化的需要,就必须建立风险管理的评价体系。评价体系要以风险和收益的量化为基础。目前,要以资产质量和资本回报率为主要内容,降低不良资产的比率,提高资本回报率。
3.努力提高风险管理的技术水平
建立科学的风险管理信息系统,掌握先进的风险度量技术是目前商业银行提高风险管理的技术水平的关键。提高风险管理技术水平是一项复杂的工程,业务和风险管理过程的不同阶段对风险管理工具和技术的需要也是不同的,这在一定程度上决定了风险管理的整体效果不取决于任何先进的风险管理工具的单独使用,而是所有风险管理技术综合运用的结果。
【关键词】 工程设计企业 风险管理 对策
随着企业的发展壮大,新情况、新事项逐渐增多,加之内外部市场环境的不断变化,企业所面临的风险日益加大。所以当今企业必须全面有效地开展风险管理工作,才能做到未雨绸缪,防微杜渐,保持和增强企业的竞争优势。本文基于工程设计企业风险管理的工作实践,认为风险管理工作可以从风险管理体系建设、风险信息识别与评估、风险管理策略和措施、监督与改进等方面来开展。
一、风险管理体系建设
企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险管理,指企业围绕总体经营目标,通过在管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
做好企业风险管理工作对提高企业风险防范能力、增强市场竞争力至关重要,有效的风险管理可以确保企业把风险控制在可承受范围之内;确保真实、可靠的数据信息与沟通;确保遵守有关法律法规、企业有关规章制度和重大经营管理措施的贯彻执行;确保企业不因灾害性事件或人为失误而遭受重大损失。因此,企业应从上到下高度重视此项工作,应以现有的管理流程和规章制度为基础,建立符合企业实际的风险管理组织体系和制度体系。
首先,根据企业组织架构特点建立整体覆盖的风险管理组织体系,成立由企业领导担任组长的风险管理领导小组,全面领导企业风险管理工作,并明确指定企业各职能部门及下属各单位领导为本部门、单位的风险管理第一责任人。指定领导亲自负责有利于明晰责任,提高对风险管理工作的重视程度。同时,为促进日常工作的有序开展,需在风险管理领导小组下设置具体职能部门为风险管理归口部门,全面组织协调企业风险管理的日常工作,包括负责组织企业风险管理体系的建立、日常维护及改进,建立健全组织机构、工作流程和规章制度;组织收集风险信息,建立风险事件库;辨识、分析、评价风险,完善内部控制系统;组织建立公司重大风险监控预警机制;指导、监督所属各单位建立健全风险管理体系等等。企业其他各职能部门则负责对其职责范围内存在的各类风险进行管理,下属各单位应全面贯彻落实企业总体风险管理制度,按照整体要求做好风险管理工作。
其次,除了建立风险管理组织体系之外,企业还应根据自身情况制定风险管理制度体系,制定完善的相关制度和基本工作流程,为全面开展风险管理工作提供制度保证和工作依据。一般说来,企业风险管理制度包括:风险管理工作办法、不同风险事项应急预案、风险控制程序等。风险管理基本工作流程为:收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险应对措施风险管理监督与改进。
二、风险信息识别与评估
有效的风险管理体系是企业顺利地开展风险识别与评估工作的重要保障。企业应充分识别内外部情况,找准和找全现阶段面临的主要风险事项,并对其进行分类。一般来说,以管理要素为标志,工程设计类企业的风险可划分为战略风险、运营风险、财务风险、资金风险、投资风险、法律风险、海外风险七大类,每一类中又分别包含若干不同的风险事项。
各类风险包含的主要风险事项如下。战略风险:包括战略制订、战略实施、战略动态调整等;运营风险:包括公司治理、重大决策、机构设立与注销、市场经营、管理创新、合同管理、质量管理、技术管理、项目管理、人力资源管理、安全生产、节能减排、职业健康、国家安全与保密、宣传与信息安全等;财务风险:包括会计核算、财务管理、资产管理、经费管理等;资金风险:包括融资、金融工具使用、资金结算、担保、外汇管理等;投资风险:包括股权投资、项目投资等;法律风险:包括合同管理、合规审查、重大法律纠纷、知识产权保护、劳动用工管理等;海外风险:包括市场经营、市场环境、运营监控、海外投资等。
企业可根据识别出的风险事项建立风险事件库,以便在风险管理过程中随时查找、对照、评估效果、完善措施。同时,由于企业所处内外部环境的不断变化,应对风险信息进行动态监控,风险管理归口部门要根据不同阶段风险事件的变化及时更新企业风险事件库。风险事件库应包含风险名称、风险类别、风险描述、发生条件、风险后果、风险应对措施几个方面。以工程设计类企业最常面临的几个风险事项为例,列举风险事件库相关内容(见表1)。
在实际操作中,风险识别和评估可采用问卷调查、集体讨论、专家咨询和调查研究等方法。企业各部门和下属各单位处在企业生产经营管理活动的第一线,应注意在实际工作中查找和收集风险信息,分析风险发生的条件及可能性的高低,评估风险对企业的影响程度,提出重大风险,建立风险监控预警指标体系。企业风险管理归口部门应在结合各单位、各部门提出的重大风险和风险监控预警指标体系的基础上,提出整个企业层面上的重大风险和风险监控预警指标体系。
经过评估的风险,按照发生的可能性可分为经常、很大、中等、偶尔、极少五种情况;按照对企业的影响程度可分为灾难性、重大、中等、轻微、可忽略五种情况。风险发生可能性很大并且会产生重大影响的,就应判断为重大风险,需要引起企业高度重视。
三、风险管理策略和措施
依据风险评估结果,企业可结合自身条件、外部环境和发展战略,根据自身风险承受能力,选择风险承担、风险规避、风险控制、风险分担等适合的风险管理策略,并针对各类风险特点,确定风险应对措施。应对措施应满足合规要求,满足风险控制与运营效率及效果相平衡的原则,具有适用性、可操作性,并坚持在实际工作中严格贯彻执行。例如,对于日常流程和制度无法预控,一旦发生损失较大的重大风险,应制定专项风险应对方案;对于日常经营及管理活动中的重大风险,应针对风险所涉及的所有环节,制定或完善内控制度和涵盖各个环节的全流程控制措施,由事后控制变事前、事中及事后全过程风险控制;对于其他风险,应针对风险所涉及的各项流程,把关键环节作为控制点,建立或完善内控制度和流程,将风险控制在可承受的范围内。特别要注意的是,对于企业重大风险事项,均应在充分进行风险分析的基础上,上报公司高级管理层(设有董事会的公司还应对上报董事会审议的事项进行规定)讨论、决策,并由监事会(监事)进行监督。
风险管理的内控措施一般包括重要岗位权力制衡控制、授权审批控制、绩效考评控制、利益冲突回避控制、经营活动分析控制、财产保护控制、重大风险预警控制等。风险管理措施的制定可采取定性和定量相结合的方法,并积极借助信息化手段推进风险管理措施的实现。
现以工程设计企业战略制订及调险为例,论述其管理措施。企业应制订具有引领性和可执行性的发展战略,否则可能会导致企业盲目发展,丧失机遇和动力,难以形成竞争优势,甚至造成经营失败。针对这类风险,企业制定了明确的控制要求:战略规划制订前需进行详细调研;应具有保障实现发展目标的实施路径、保障措施;对战略规划实施情况进行分析,当外部环境发生重大变化时,履行适当程序调整规划。再根据各项要求制定了具体的控制措施:首先,由各相关职能部门对分管领域业务进行分析预测,制定分目标,根据公司近年主要经济指标情况和上级要求,在全面分析现状和预测内外部环境变化趋势的基础上制定总目标;其次,根据发展目标确定重点任务和保障措施,要求具有指导性和可行性;最后,分析战略执行情况和内外部市场环境变化情况,评估调整规划要求,经决策层审批后年度工作计划。
企业战略规划的制定和动态调整过程均严格执行控制措施,避免了因发展战略脱离实际、偏离中心而导致过度扩张、经营失败;也避免了发展战略因主观原因频繁变动而导致资源浪费,甚至危及企业的生存和持续发展。
四、监督与改进
企业只有对风险管理工作进行监督和改进,才能实现整个管理环节的闭合。应建立全面风险管理监督机制,制定监督制度,明确检查对象、内容、方法,明确各部门在风险管理监督中的职责权限、程序、方法和要求。应定期总结和分析已制定的风险管理策略、内控措施及专项风险应对方案的有效性和合理性,结合实施情况不断修订和完善。在重大风险,如公司发展战略、组织结构、重要经营活动和业务流程、关键岗位员工等发生较大调整或变化时,还应组织对相关风险管控的专项监督检查。
此外,企业还应从风险信息沟通、风险管理培训、风险文化营造三方面为顺利开展风险管理工作提供支持。注重风险管理信息的沟通,建立风险管理信息报送体系,明确风险管理相关信息的收集、处理及传递程序,确保信息及时沟通,促进风险管理工作有效运行;加大风险管理的培训,在全面风险管理基础知识及基本技能培训的基础上,建立高风险岗位的岗前培训制度,加强对关键岗位风险管理理念、管控核心内容、操作规程的培训;在内部各个层面营造风险管理文化氛围,各级领导应在培育风险管理文化中起表率作用,积极传播风险管理文化,牢固树立风险无处不在、无时不在意识和理念。
【参考文献】
【关键词】全面风险管理;物资供应
一、引言
近年来,国际和国内环境发生了重大深刻的变化,尤其是受到全球性金融危机的爆发,欧债危机蔓延,国内经济增长逐步放缓得宏观经济环境的影响,国网省物资公司经营不仅面临着各种外部风险,另外随着国家电网公司“三集五大”建设的深入,更面临着业务模式不断变革完善所带来的物资采购等内部风险。在面临内外部风险的环境下,作为省物资公司,努力提升风险管理水平,规避和防范重大风险的发生,成为企业核心竞争力的一个重要方面。因此实施全面风险管理,是省物资公司提升公司管理水平,提升物资供应的效率和效益的必然要求。
二、全面风险管理概述
美国COSO委员会定义全面风险管理是“一个实体的董事会、管理层和其他员工实施,适用于战略制订和整个组织范围的程序。该程序用于识别可能影响该实体的事件,管理风险使之处于其偏好范围之内,并为实体目标的实现提供合理的保证”。该定义为讨论全面风险管理提供了一个统一的框架。
2006年6月,国务院国有资产监督管理委员会出台了《中央企业全面风险管理指引》,指引中定义全面风险管理,是“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。
三、国网省物资公司实施全面风险管理的对策
国网省物资公司要做好全面风险管理工作,应该按照《中央企业全面风险管理指引》的要求,结合自身业务的特点,建设实施全面风险管理体系:
1.建设全面风险管理体系的总体目标
国网省物资公司全面风险管理体系的目标是基于省物资公司在“三集五大”中的定位,在公司经营管理中加强风险管理,培育良好的风险管理文化,确保将公司经营管理中的风险可控,公司合法合规经营,信息沟通真实可靠,提升物资供应的效率和效益。
2.构建全面风险管理组织体系
要将全面风险管理的各项要求融入到业务流程中,必须要有组织体系的保障。建立公司全面风险管理“三道防线”:第一道防线是公司各级业务部门;第二道防线是公司全面风险管理委员会及办公室;第三道防线是公司纪检审计部门。公司应设立全面风险管理委员会,由公司总经理担任委员会主任,下设全面风险管理与内部控制办公室,由办公室和各专业部门负责人组成,设置风险管理岗位,配备专门人员,全面负责公司风险管理的日常工作。
3.加强风险管理文化建设
风险管理文化是企业文化的重要组成部分。公司要大力培育和塑造良好的风险管理文化,把全面风险管理的理念和意识融入所有的业务和管理活动中,使风险管理成为企业所有部门和员工自觉的行为,做到全员参与,把风险管理的责任落实到每一位员工。
4.建立全面风险管理流程
要实施全面风险管理体系,要围绕全面风险管理的总体目标,在公司经营管理的过程中和业务流程中执行全面风险管理的流程体系。风险管理基本流程主要包括:初始信息收集、风险评估、风险管理策略、内部控制、监督改进。
(1)收集风险管理初始信息,建立风险信息库。公司应以岗位为基础、以业务流程为依托,动态收集风险初始信息,并对初始信息进行筛选、提炼、分类,开展风险梳理识别工作。通过风险梳理和识别,建立涵盖全部风险的统一的风险信息库,为风险评估提供依据。公司各部门要定期开展对风险信息的收集和辨析工作,及时更新信息库。
(2)风险识别与评估。对收集的风险管理初始信息和各项业务管理及其重要业务流程进行风险评估。根据风险发生可能性的高低、风险发生后对目标的影响程度来确定公司的重大风险。风险评估包括风险辨识、风险分析、风险评价三个步骤。
(3)风险管控策略的制定。通过分析公司自身和外部的条件,围绕战略目标,风险承受程度等来选择风险管控策略。公司对风险实施有效地控制采用的主要方法有:风险规避、风险降低、风险分担和风险承受。
(4)风险管理相应解决方案的制定和实施。公司应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案,风险解决方案应包括事前、事中、事后的应对措施和危机状况的处理计划。制定相关的内控措施,如审批制度,明确涉及重大事项的批准程序,重大资金支付的集体决策程序等。通过在公司各部门开展风险管理工作,实现风险管理体系的良好运行。
(5)监控与改进。公司应定期对风险管理工作的有效性进行自查和评价,及时发现存在的缺陷并改进,实现闭环管理。建立风险责任制度,将各部门风险管理工作列入绩效考核体系,从制度上保证持续改进和提升全面风险管理的水平。
四、结语
总之,实施全面风险管理,推进内控体系建设,将极大推进企业防范风险,提升管理水平,特别是在国家电网公司建设“三集五大”体系的战略部署的背景下,在国网省物资公司实施全面风险管理,构建完善的内部控制体系,对于提升物资供应的效率和效益工作目标的实现,对于提高公司抗风险能力和核心竞争力都具有现实而长远的意义。
参考文献:
【关键词】内控体系 全面风险管理体系 融合
一、前言
2006年6月国资委了《中央企业全面风险管理指引》(简称“《指引》”),这是我国第一个全面风险管理的技术性指导性文件。《指引》对央企开展全面风险管理工作的总体目标、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了全面阐述。
2008年6月,财政部、证监会、审计署、银监会、保监会(简称“五部委”)联合了《企业内部控制基本规范》,确认了内部控制的五要素,标志着我国企业内部控制规范体系建设取得重大突破。2010年4月年五部委联合印发的《关于印发企业内部控制配套指引的通知》规定,自2011年1月1日起在境内外同时上市的公司,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司开始实施包括《企业内部控制基本规范》和《企业内部控制配套指引》在内的企业内部控制规范体系。
二、A集团公司实施全面风险管理及内控规范的情况
A集团为一家地方性的国有独资有限公司,为控股型集团公司,原控制两家上市公司:B公司(沪港两地的上市公司)和C公司(在深圳证券交易所上市)。A集团十分重视风险控制,把风险控制列为“十二.五”战略的三大战略举措之一,并在2010年对下属企业进行了一次全面风险管理调研的基础上,从2011年在全集团范围内启动了全面风险管理体系建设工作,聘请专业机构,协助并指导各企业以《中央企业全面风险管理指引》为依据,结合企业实际,通过风险辨识、分析、评价,对经营中存在的风险事件进行确认并制定风险管理策略方案,编制全面风险管理实施手册。
A集团旗下的B公司为沪港两地的上市公司,根据规定列为首批实施内控规范企业,从2011年即率先积极贯彻实施五部委联合的《企业内部控制基本规范》及相关配套指引,全面开展内控规范体系的建设及实施工作,通过梳理流程风险、完善内控制度,制定内控手册将内控规范融入经营活动中,并于2011年度起披露内控自评价报告和内控审计报告。C公司的企业也于2012年开始全面实施内控规范。
三、存在问题
A集团推行两个体系建设以来,对企业的规范运作,控制重大风险发挥了作用,但经过几年的运行,其存在的问题也显现出来。一是由于两个体系的建立和实施遵循不同的理论依据,使用的技术手段不同,且在建设阶段由不同的专业机构辅导,造成了两张皮的现象,未把两个体系很好地融合起来,风控内控工作人员未能清晰的理解两者之间的内在联系。二是因上市公司监管以及年度外部审计的要求,内控规范的实施相对到位,但是全面风险管理体系的实施存在着部分企业不够重视、未真正落地运行的现象。
四、关于A集团内控体系和全面风险管理体系融合的思路
针对存在问题,正确理解两者内在关系,推进两者融合已十分必要。
(一)正确理解内部控制规范与全面风险管理的联系与差异
两者密切联系,各有侧重,又互有补充:
1.两者均为企业目标实现的过程提供合理保证。
2.两者互有交叉。全面风险管理包含内部控制。《指引》把内部控制作为风险管理解决方案的重要措施,是控制风险及减轻风险的一项重要措施;而内部控制也包含风险管理,风险评估为内控规范五要素的关键要素之一,以风险为导向实施内控控制,是贯穿内控规范的主线;
3.两者定位与侧重点不同,运用的对策与方法各有不同。风险管理理论引入了定性、定量的风险评估模型,建立了多种风险应对工具与手段,其中内部流程控制措施被看做是风险管理的重要手段之一;而内部控制主要通过对过程的控制来实现其管控目标,更关注流程与操作层面。
(二)A集团公司内控体系与全面风险管理体系的融合思路
由于A集团的成员企业都在上市公司的框架内,实施内控规范是上市公司要求,因此为避免冲突或重叠,实现两个体系运转的统一与协调,从资源效率出发,作者认为,应实施以风险为导向的内控规范,并辅以重大风险管理为重点的全面风险管理的融合思路。
1.建立并实施以风险为导向的内控体系。A集团的企业都制定了内控手册,但偏重于关注业务的流程控制,对风险的预测与评估较为弱化,可通过引入风险的概念,运用全面风险管理中先进的风险评估方法与工具,强化内部控制中“风险评估”这一要素,针对重要重大风险建立关键控制点,植入内控流程中,以充实内控体系,通过覆盖于全业务的内控控制,确保企业的安全运行。
2.实施以重大风险控制为重点的全面风险管理。全面风险管理是由风险监测、风险识别、风险评估、风险反应(风险管理策略和风险管理解决方案)等一系列环节组成的一个循环流程。对企业面临风险的识别和评估,既是企业选用何种风险对策、实施何种管理措施的前提,亦是建立企业内部控制的基础。在风险识别和评估基础上所建立的内部控制,能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险,更不能转嫁、承担、化解、分散风险,风险发生后的补救也是风险管理的重要内容,因此建立了合理而有效的内部控制系统,科学而全面的风险管理仍是必不可少的。而重大风险的发生严重影响企业的运营,甚至危及企业生存,因此以重大风险控制为重点,实施全面风险管理。
五、结语
综上所述,A集团从自身实际出发,应建立以风险为导向的内控体系为基础,实施以重大风险控制为重点的全面风险管理,将内控体系和全面风险管理体系两者有效地融合,取长补短,从而实现最佳的协同与整合。
参考文献
2006年10月26日,中国银监会了《商业银行合规风险管理指引》(以下简称《合规指引》),该指引明确了商业银行合规风险管理的目标是通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,促进商业银行全面风险管理体系建设,确保其依法合规经营。
目前,全球银行业已普遍认同把“合规”视作一门独特的风险管理技术。2005年4月,巴塞尔银行监管委员会出台的《银行合规和合规部门》,提出了合规管理十项原则,向各国银行业金融机构及其监管当局推荐有效管理合规风险的最佳做法。
对于商业银行来说,如果说巴塞尔新资本协议是银行业面对的一个财务问题,那么“合规”则是银行业生存和发展必须首先面对的一个原则问题,因此如何实施合规风险管理已成为我国商业银行必须思考的问题。为此银行的最高管理层应首先确定合规经营的核心文化理念,提高全体员工的诚信意识与合规意识,使合规风险管理真正成为商业银行迈向全面风险管理的通道和手段。
建立合规风险管理体系
根据银监会《合规指引》的要求,商业银行应建立有效的合规风险管理体系,设立与商业银行风险管理战略和组织结构相适应的合规风险职能管理部门,设计合规风险识别和管理流程,加强对合规风险的事前和事中识别、评估、控制和监测,包括报告路线的梳理和确定、规范问责制等具体要求。
从商业银行的经营管理实践角度看,合规风险管理不仅仅涉及合规风险管理的专业化管理职能的建设,“合规”工作的开展也不是一个简单的对各项法律法规进行制度汇编、检查等传统的合规管理过程。合规风险管理对国内商业银行的真正挑战在于:从部门银行向流程银行的转变。合规风险管理体系的建设首先要解决将各业务及管理活动、各条线和运作单元与外部法律法规之间的映射关系。这就要求合规风险管理体系必须建立在流程银行的基础上。同时合规风险管理体系的建立也为商业银行实现从“部门银行”向“流程银行”的转变提供了一个非常难得的管理变革的契机和通道。
商业银行在建立合规风险管理体系过程中,应确立以核心业务流程为基础、依据相关监管要求对所有业务和管理活动的流程进行梳理、整合与优化,完成基于流程的、文件化的合规风险管理体系的建立。全面开展风险评估、完成基于流程的风险库的建立,努力实现业务经营集约化、内部管理规范化、市场营销专业化、考核激励科学化和风险控制流程化,使商业银行的风险管理能力与业务快速发展基本匹配。
要实现上述管理目标,商业银行首先要对现有的管理现状进行梳理,包括对现有的外部法律法规和银行内部的规章制度、银行产品和业务、部门及岗位职责、IT系统等方面进行梳理、整合和优化。其次协调其他管理项目之间的关系,包括公司治理层面上开展的优化组织结构的调整与再造、产品创新与业务流程再造、岗责管理、绩效考评与激励等各方面的相互匹配和衔接。明确商业银行的合规政策、确定合规管理部门的组织结构和资源要求,编制合规风险管理计划和合规风险识别和管理流程等。
完成以商业银行业务及管理流程为基础的包括合规风险管理政策、程序以及合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度在内的可持续改进的合规风险管理体系的建立,是构建商业银行风险管理长效机制的基础。
落实合规风险管理制度
作为高层管理者,在文件化的合规风险管理体系初步建立之后,就必须要着手解决该体系的持续运行维护和制度的执行力方面的问题了。没有一个科学的管理运行机制为保障,管理文件或制度即便建立,在实践中也面临着这样的尴尬局面:一方面是管理者下了很大的决心并花费巨大的投入所形成的管理制度或文件,另一方面在日常的经营管理工作中各级管理者常常并不按照形成的制度去执行。
落实合规风险管理三项基本制度,提高执行力。
《合规指引》要求商业银行在建立合规风险管理体系的同时,建立有利于合规风险管理的三项基本制度,即合规问责制度、合规绩效考核制度和诚信举报制度。三项合规制度的落实是提高管理执行力的关键。
岗责管理体系的建立是合规问责制度得以有效实施的基础。商业银行在完成了合规风险管理体系的建立,并全面开展风险评估、完成基于流程的风险库建立的同时,应进一步完善商业银行岗责体系的建设,最终实现“一流程一程序,一岗位一手册”。
合规绩效考核制度的建立则是确保流程作业要求和岗责要求得以落实的重要保证。通过引进诸如平衡计分卡等目标管理技术和方法,体现倡导合规和惩处违规的价值观念。
与此同时,建立诚信举报制度,鼓励员工举报违法、违反职业操守或可疑行为,并充分保护举报人,形成合规为荣、违规为耻的良好合规文化氛围。
利用科技手段,提高合规管理体系运行和维护的效率。
在管理实践中,各商业银行与业务流程管理相关联的岗责管理、绩效考评和诚信举报这三大合规基础管理制度之间往往是相互独立的,由不同的职能部门分管,彼此之间缺乏有机的关联和互动。在此情况下就必须以科技平台为支撑实现三套文件体系的整合和一体化。
没有科技平台的支撑,无法实现不同职能部门之间相互配合、衔接、实时互动和整体持续改进。构建合规/岗责/绩效“三合一”全面风险管理体系的IT科技管理平台是不断提高合规风险管理体系运行效率的关键。
提高合规风险管理水平
商业银行一旦确定和实施了全面合规风险管理体系,势必要实现商业银行合规风险管理常态化,全面提升商业银行的整体管理水平,并发挥其应有的作用。
构建一个模式。构建起适应中国市场特色的符合现代商业银行运行要求的内部风险控制模式。全面合规风险管理体系能够改变过去商业银行在风险控制方面以单点控制、间断控制为主的局面,实现内部控制的连续性和系统化。这种模式能够不断地识别各种风险,能使各项业务和管理活动处于严格的受控状态,并通过不间断的审核和评审,不断提高风险管理水平,从而确保经营目标的实现。这些正是现代商业银行运行机制的内在要求,也是今后国内商业银行参与国际竞争的重要基石。
培育一种文化。通过全面合规风险管理体系的建立,使员工养成按制度办事的良好习惯,让“合规优先”的原则在各级领导和员工脑海中根深蒂固,使合规意识贯穿在企业所有员工的行为中,成为一种自觉和必然的行为准则,形成健康的合规文化。
培养一批骨干。通过在全面合规风险管理体系建设过程中不断的观念更新、学习培训、分析问题、解决问题,锻炼一大批业务骨干,使其成为掌握现代商业银行业务知识和科学管理方法的复合型人才,这些人才将会成为商业银行发展的中坚力量。
完成一次整合。解决银行的经营管理目标与业务部门的一般要求、人力资源管理的绩效考评三者之间由于缺乏有效的协调互动而导致整个管理体系效率低下的弊端,实现流程管理、合规管理、岗责管理、绩效考核多方面的整合,提升商业银行的整体管理水平。
风险管理效率是银行竞争力的核心
银行的风险管理就是通过对风险存在及发生的可能性、风险损失的范围与程度进行识别、计量、分析,并对业务经营的全过程进行风险控制,以实现最大限度的收益与风险保障相匹配的管理行为。其基本任务或者说主要职责就是避免最坏的或最不希望出现的情况发生。由于风险管理都是需要支付成本的,风险管理的效率就是对风险管理的资源投入与经营成效的比较,其核心在于选择最优的风险管理方案,在尽可能降低风险成本的同时,实现尽可能高的经营收益。所以说风险管理也是银行最基本的管理,是银行保持可持续发展、可持续盈利的关键因素。
银行间的竞争说到底就是风险管理效率的竞争,风险管理效率最能体现银行的核心竞争力。只有高效率的风险管理才能在复杂多变的市场环境中识别、计量、控制风险,识别、计量和控制那些别的银行识别不了、计量不了、控制不了的风险,才能体现出一家银行的核心竞争力。银行在经营中,如能事前就识别出风险,及时采取相应的措施,就可以避免损失;如未能及时识别,就可能遭受风险损失。但从短期来看,银行间的风险识别、度量、控制效率高低很难进行比较,通常需经过一段时期的实践,才可有比较清楚的区分。
风险管理与业务经营是同一问题的两个侧面,银行对风险识别的效率、计量的效率、控制的效率直接决定了业务经营的效率,业务经营的效率反映的就是风险管理的效率。由于市场是不断变化的,银行要在这个变化当中不断发展,就必须不断改进和提高风险管理效率。银行要有可持续的竞争优势,就必须在风险管理上下功夫,努力提高风险管理效率,通过提高风险管理效率来营造自身独特价值的组织执行力,以获取一流的经营业绩、一流的经营效率。
风险管理效率的提升也是一个系统的组织过程,涉及风险管理组织体系和流程再造、风险管理创新、经营绩效考核评价和激励约束机制、人力资源开发、信息科技应用、风险文化和公司治理等诸多方面的因素,而不是某一种因素简单作用的结果。只有将它们有机地整合起来,持续地改进、优化风险管理,才可能有适应市场需要的效率,才可能不断创造出新的经营业绩。
风险管理的效率是由银行的风险管理能力决定的,风险管理能力的高低又决定业务经营效率的高低。在市场竞争的环境下,每家银行都希望能有更高的风险管理效率,但这需要以更高的风险管理能力为基础。所以银行的风险管理效率有赖于其经营者对银行自身特点和内部条件、外部环境的清醒判断,明确自身的发展方向和路径,确定风险偏好和总体发展目标,确立业务发展和盈利增长模式,制定总体的风险管理战略。在此基础上,还要将银行长中期发展目标与短期经营目标及日常工作有机融合起来,尤其要把战略目标落实到具体的资产结构、负债结构等经营结构的调整优化上,将银行的各种资源有效地整合到战略目标的实施上来。
中国银行业不良资产存量与不良资产比重经过近十年的连续“双降”,银行业信贷资产质量有了很大的改观,到2010年末不良贷款率已经降到了国际同业的较低水平。
那么我们是否可以说中国银行业的风险管理效率已经达到国际先进水平了呢?显然不是,因为不良贷款率还不能完全反映银行风险管理的效率,全面提高风险管理的效率对中国银行业来说,可能要比压降不良贷款更难。尤其是随着中国银行业在国际金融市场上的日渐活跃,参与国际金融市场的竞争要求自身在风险管理方面有更高的效率,这是一个新的、更加严峻的挑战,所以尽快提高风险管理的效率已成为中国银行业的当务之急。
风险管理效率最直观的表现是流程
银行的风险管理流程是指与风险管理相关各部门、各环节、各岗位职责的总和,它直接决定了银行业务经营的运行效率,也是最直观表现的风险管理效率。从表面上看,影响银行办理业务速度快慢的主要因素是流程的长短;而从实质上看,这个流程的长短归根到底是由风险管理效率决定的,流程只是现象,本质是风险管理效率。
流程长短的通常表现是在业务办理速度的快慢上,如客户到银行来办理业务,首先感觉到的就是办理业务所需的时间。所需的时间越短,速度越快,客户就越满意,反映银行风险管理的效率也就越高。需要说明的是,银行对客户的服务效率并不完全反映风险管理的效率,风险管理的效率也不全部表现为对客户的服务效率,对客户的服务效率问题还会涉及到其他许多相关的因素,但不论其他因素有多少,风险管理效率都是其中最重要的影响因素之一。
尽管每家银行的偏好、战略会有所不同,也会有不同的经营模式和管理体制,但是必须有严格的风险管理,这是由银行的本质特性决定的。没有一家银行会愿意用较长的流程来为客户服务,只是由于受到自身风险管理能力的制约,当其尚处于较低水平时,只能容忍较长的流程,随着风险管理能力的逐步提高,风险管理的效率才能随之提高,流程才有可能缩短。从银行发展的历史中就不难发现,在理性的自我约束背后都有一个沉重的故事,那些表现为流程环节的风险识别和控制措施都是用巨额代价换来的,而并非一开始就是这样的。在具体的实践中,通常是出一次事故案件,经过分析,查找出风险管理上的薄弱环节,通过整章建制,补充和完善一些制度性规定来堵塞漏洞。而每补充和完善一项制度,实际上都会增加一些操作的要求或环节。累积的教训多了,规章制度就多了,流程也就长了。可见要缩短流程,提升风险管理效率是有条件的。银行业务操作流程的长短既不是随意确定的,也不能随意改变,它是由一系列的规章制度决定的,而这些规章制度又大都以风险损失和惨痛教训为代价换来的,它构成了银行风险管理流程的基础。
由于信贷业务占银行资产业务的比重较大,信贷资产质量的优劣对银行经营绩效的影响很大,所以风险管理效率的高低,在信贷业务中表现得更为突出。如对信贷客户的风险评价、风险等级的确定、贷前的调查、贷款项目的风险评估、抵质押品价值的评估、贷款的审查、审批、贷后的监测检查等环节都是对贷款风险识别、度量、缓释、控制的措施,并构成了信贷业务的操作流程。如果不良贷款比例高,就说明在信贷风险的识别、控制上有问题,而改进和加强的基本做法就是增加风险识别和控制的要求和环节。例如中国的一些银行,不良贷款率曾高达30%以上,存量不良贷款的清收处置甚至赶不上新发生不良贷款增长速度。在这种情况下,降低不良贷款就成为风险管理中的主要问题,而解决这个问题的措施,就是要增加风险成本投入,包括设立专门的部门、增设风险审查环节和岗位,上收信贷业务的审批权,配置更多的中后台人员来识别和控制风险。这些措施无疑会加长信贷业务的操作流程、降低市场竞争力,但两弊相权取其轻,只能放慢发展的速度来确保信贷资产的质量。
再如当票据单证方面的差错事故或欺诈案件上升,并带有一定的普遍性时,银行就要分析风险产生的原因,找出易发事故案件的薄弱环节和风险高发的一些领域或客户,为防范同类问题再次发生,维持正常的经营,就必须提高对其风险的识别、度量、控制能力。通常的做法是补充、修改和完善某些规章制度,增加一些风险识别和控制的要求,也可能会增设一些操作环节,由更多的人员来承担风险识别和控制的工作,包括增加对票据真伪的识别环节和单证要素审查的内容,增加专职的授权岗位等等,以强化对风险的识别,提高对风险的判断和把控。这样的结果是事故案件等风险问题可能会得到有效缓解,但银行的业务操作流程就会加长,对客户服务的效率就会受到影响,甚至会失去部分市场机会和既有的竞争优势。
由此可见,风险管理制度的完善程度不仅直接影响银行风险管理的效率,也是银行风险管理能力的体现。只有不断的优化和完善风险管理的规章制度,才会有银行业务经营的高效率,有了业务经营的高效率才会有高的客户满意度,也才会有市场竞争力。尽管优化流程、提高业务操作和对外服务的效率一直是银行风险管理的重要改进内容,但在这个过程中,必须要确保风险可控,避免出现大的风险损失。
任何脱离风险管理能力去改变风险管理制度,以求减少环节、缩短流程的做法都不能真正的提高效率,即使它可以暂时使客户满意,但最终不仅会增大银行的经营风险,也会加大客户的风险,还会直接威胁银行的生存。当然这里也要注意风险管理的度,过度的风险控制也不是积极有效的风险管理。如果采取万无一失的风险管理措施虽然可以降低风险,但却以牺牲大量的市场机会为前提,同时还要消耗大量的人力、物力、财力,这在实践中也是不可取的;如果一项风险管理措施能把风险控制在可承受的范围内,即使在防控风险上没那么严密,但却有利于业务的发展,人财物成本相对也较低,那么这项风险管理措施可能更适合、更有效。
从风险管理流程上看,通常的感觉是大型银行的业务流程要比中小银行更长,其内部的职能分工也比中小银行更细,但这并不能说明大型银行的风险管理能力比中小银行弱。这主要是因为大型银行办理的是风险较大或较复杂的业务,不仅数额大,各种不确定因素多,而且影响大,涉及面广,一旦发生问题,损失也会大。因此需要有更加严格的风险管理措施来予以保障。当然大银行也有需要改进的地方,如一些大银行没有按客户及业务的复杂程度和风险大小来制定不同的流程,把一些较简单、风险较小的业务也都按复杂业务的标准流程来处理,这就影响了这些业务的办理效率。为解决风险控制与提高效率的问题,大型银行应在确保能有效防范和控制风险的基础上,可按业务的风险大小和复杂程度来设置不同的操作流程。即风险大、复杂程度高的业务实施长流程;风险小、较简单的业务实行短流程;其余的实施标准流程。这既保证低风险业务的高效率要求,又控制了高风险业务,满足了业务发展的效率需要。总之,只有通过完善各项风险管理的规章制度,整合各类风险业务的操作流程等,才能实现流程的优化,形成较高的风险管理效率。
风险管理效率的主要评价因素是效益
银行风险管理的效率实质上也表现为风险管理的质量,风险管理效率的高低也就表现为风险管理质量的优劣。因此通常评价银行风险管理效率的高低,既有资产质量指标,如不良资产率、不良贷款率等;有操作质量指标,如差错事故率、案件发生率,差错事故及案件损失率等,还应有更重要的经营效益指标,如资产收益率、资本回报率、人均效益等等。
资产收益率(ROA)是综合反映银行风险管理效率的指标。同量的资产能否获取更高的收益,是衡量一家银行风险管理效率的重要指标,也是银行竞争力的综合反映和集中表现。从表面来看,资产收益率反映的是资产营运的效率或资产经营的成效,但实质是由风险管理效率来支撑的。风险管理效率决定资产质量,资产质量决定资产收益,高质量的资产才能带来高的收益,低质量的资产不仅不能带来收益,还会有风险损失。那些虽然能保全,但不能覆盖经营成本的资产,以及低于平均收益率的资产,也都不是好资产。所以分析银行风险管理效率的高低,不仅要看资产收益的总量,而且更要看资产的风险收益结构及其变动趋势、各类不同收益资产在总资产中的比重,如高收益低风险资产、高风险低收益资产占总资产的比例,资产的集中度风险以及抗击外部事件冲击的风险承受能力等等。
首先是信用风险对资产收益率的影响。由于信贷业务是银行经营的主要业务,高质量的信贷资产才有可能给银行带来好的收益。风险管理的任务就是把控住信贷风险,保持可持续的竞争优势,来实现既定的经营收益目标,而不是简单地看静态的贷款违约率(PD)、违约损失率(LGD)。高的不良贷款率一定是风险管理效率有问题,但低的不良贷款率并不等于风险管理效率就没问题。不良贷款率的高低是一个相对的概念,并不能完全说明风险管理效率的高低,只是风险管理效率的一个重要指标。对银行不良贷款率的评价必须要对风险与收益进行比较分析才有意义,简单地用数字进行比较还很难说明问题。高风险高收益,低风险低收益。如收益能覆盖风险,那么就可以说这个风险是可以接受的;如收益不能覆盖风险,不能补偿可能形成的风险损失,那么,这个风险即使从数额看并不大,也是不可接受的。所以有时不良贷款率低,尤其是在顺经济周期条件下,不良贷款率的下降并不完全反映银行风险管理效率的提升。事实上,银行的不良贷款率也不是越低越好,零不良率并不是风险管理的目的,风险管理要求的是做到风险可控,尽可能降低风险损失,尽可能用收益来覆盖风险,确保银行的安全运行和收益最大化,而不是单纯地追求无风险,这也是对风险管理效率最基本的认识。
其次是市场风险对资产收益率的影响。尽管说信用风险仍是中国银行业目前的主要风险,但随着市场化程度的提高、市场环境、监管要求等的变化,信贷资产占银行总资产的比重正在逐步下降,不少商业银行已在50%左右,越来越多的非信贷资产通过市场交易买卖来获得回报,市场风险对资产收益率的影响也就越来越大。尤其是市场风险与信用风险的相互交叉引发的风险,相互转移的风险隐患需要高度关注,这也是对中国银行业风险管理能力的考验。
第三是流动性风险对资产收益率的影响。银行的总资产是由不同流动性的资产组成,流动性不同的资产,其收益也不同。由于流动性风险与资产收益率通常是成负相关关系,通常是控制了流动性风险,就会影响到资产收益率,考虑了资产收益率往往就会增大流动性风险。不同流动性资产组合可以构成对流动性风险的防范,把握流动性与收益率的最佳比例,使它既能满足银行日常清算支付以及应对临时性急需所要求的流动性,又要尽可能降低保持流动性的成本,提高资产的收益率,这也是银行风险管理的重要内容,也是风险管理效率高低的标志之一。
资本占用也是反映风险管理效率的重要影响因素。资本对银行来说是最重要的资源,资本的占用与效率紧密相关,资本占用的结构直接反映了银行风险管理的效率。用同量的资本经营更多资产、获得更高的回报,是银行风险管理效率最重要的体现,也是反映银行风险管理能力的重要指标。资本占用高,资本回报率低,说明风险管理效率不高;反之,资本占用低,资本回报率高,说明风险管理效率高。当然这也与银行的风险偏好、风险战略有关。
在银行的风险管理中,资本是解决非预期风险的,非预期风险大的资产所占的资本高,非预期风险小的资产所占资本少,所以非预期风险的大小直接影响到资本占用和资本回报率(ROE)。银行风险管理的一项重要任务就是要降低资产的非预期风险,尽可能减少单位资产对资本的占用。风险管理效率高,对风险的把控能力强,就可以把一些非预期的风险转变为可预期、可确定的风险,使非预期风险的敞口缩小,就可以节约或少占用资本,就可以用同量的资本支撑更多的资产业务,就可以扩大经营的规模。
降低单位资产的资本占用,也就是降低了经营的成本。如果风险管理效率不高,就会因非预期风险高而增加资本占用,增大经营成本。银行要通过提高风险管理效率来不断推出新的既能满足市场竞争需要,又是非预期风险较小的资产业务。同时还要对存量资产进行结构调整,尽可能降低高资本占用的资产比重,提高资本的回报率。
尽管银行的资本实力与风险承受能力有关,但这种风险承受能力还不能完全说明其风险管理的效率。因为资本数额更是反映了股东的实力,如股东实力强,不仅可以把更多的当年盈利转为资本,还可以不断地给银行增补资本,来增强其对非预期风险的承受能力。
目前中国银行业的资本占用相对来说还不是最优的,与国际上的一些知名银行相比还有差距,非预期风险相对还比较大,并直接影响了银行的资本充足率。如国际前十大知名金融机构的核心一级资本总额比中国的几家大银行要小,但它们的资产总额则普遍比中国的银行要大、资本充足率也都要高,单位资本的效率除美国的几家银行外,也都高于中国的银行。说明中国的几大银行在资本效率方面还有较大的提高空间。
人均效益也是反映风险管理效率的一个重要因素。风险管理效率与人力成本关系密切,提高风险管理效率的目的是取得尽可能多的盈利。而风险管理是有成本的,其中最主要的是人力成本,在银行的经营成本中人力成本占有很大的比重,对经营效益的影响也比较大。一定的人力成本投入带来的收益产出,就是人力资源的投入产出率,通常以人均效益、人均利润来表示。因此尽可能降低人力成本是银行经营管理的一项重要内容,也是提高风险管理效率所要解决的问题。
对中国的大型银行来说,目前的员工数量、人力资源的投入产出等,既有以往体制留下来的问题,也有银行自身管理的问题。其所形成的人均效益等指标,与国际上的一些同类银行尚有较大的差距,这也正是中国的大型银行所面临的一个挑战。只有努力提高人均效益指标,才会有可持续的国际竞争力。
对银行风险管理的效率还可以通过其内部的职能分工和员工的岗位分布,来分析前中后台员工的分布结构,不难发现这也是影响人均成本、人均效益的一个重要因素,并可直观地判断出银行风险管理的效率问题:看与过去相比是否有改善;与国内外可比银行相比是否有差距。如前台人员占比大,中后台人员占比小,就说明市场竞争力较强;如中后台人员占比较高,前台营销人员占比相对低,说明风险管理效率不高,因为中后台人员主要是帮助前台人员强化风险识别和控制的。如果银行的资产质量相同,而中后台人员占比大,至少可以说,在风险识别环节中,存在重复劳动等问题,不仅使业务处理的流程拉长,还会增加经营成本。随着银行风险管理技术的改进,尤其是信息技术和员工素质的提升,一些为加强风险识别、控制的重复环节就可以优化省略,中后台人员也会随之减少,人均的经营效益就会提升。
提高风险管理效率的主要措施
除上述分析外,还有不少对银行风险管理效率有较大影响的因素,这些因素同时也是提高风险管理效率的重要措施。
风险偏好与公司治理。风险偏好对风险管理效率具有基础性的影响,不同的风险偏好会直接影响风险管理的效率。较激进的风险偏好虽然会在短期内提高效率但从长期来看则可能会带来较高的风险;较保守的风险偏好虽然可能会控制一些风险,但不会有较高的效率。我们倡导的是谨慎而积极的风险偏好,在有效控制风险的基础上尽可能地提高效率。
公司治理对风险管理效率具有制度性的影响,它直接关系到银行风险管理的构架、政策及流程等。国内外银行的实践表明,银行风险管理效率的提升有赖于较完善的公司治理。同时公司治理也是银行风险管理的重要内容,尽管银行的公司治理并没有一个固定的模式或样板,但相对合理的公司治理是在实践中不断完善的。银行公司治理决定风险管理的体制机制、上下级机构间的分权授权、同级机构间的职能划分、分支机构和职能部门之间的事权划分、内控制衡监督检查等,这些都与流程长短的设置紧密关联。
中国银行业要在经营转型中,不断完善自身的公司治理,进一步健全风险识别体系、风险监测体系、全面内控体系、风险成本控制体系和风险决策问责制度、审慎会计制度、信息披露制度以及激励约束机制等,确保银行风险管理效率的持续提高。通过强身健体来提高风险管理能力,并按有关法律法规和监管要求,可以把分权、制衡、问责、透明等现代公司治理的基本理念、基本原则、基本要求来形成一整套明确完整的传导、执行、监督、控制、反馈机制,使公司治理结构和机制成为推进银行风险管理效率提升的内在驱动力。
不断创新。经济的全球化趋势正深刻地改变着全球银行业的运作,激烈的竞争要求银行必须以市场需求为导向不断加快创新,尤其是风险管理的创新。只有不断地进行风险管理的创新,才有可能保持较高的风险管理效率,才能有可持续的竞争优势,才有可能为客户提供高效、便捷、实用的特色金融业务,所以创新已成为银行提升风险管理效率的关键,进而更是银行生存与发展的关键。
同时创新本身也充满风险,其一是因为银行风险管理创新的过程实际就是对风险识别、度量、控制的过程,没有很强的风险管理创新能力,就很难能掌控好创新本身及其过程中的风险。其二是因为风险管理的任何创新又都是对银行既有风险识别能力、风险度量能力、风险把控能力的考验。创新能力主要是由风险管理能力来决定的,银行只有具有较强的风险管理能力才可能有较强的创新能力,进而才可能有较高的风险管理效率。其三是因为风险管理本身也需要创新,由于经济金融环境复杂多变,金融创新层出不穷,银行业务日趋多样化,竞争更加激烈,迫使银行对风险管理的体制、机制、技术、方法等方面进行创新来提升风险管理能力,而这又会给银行带来新的不确定因素。
信息技术。先进的信息技术是提升风险管理效率的重要技术基础。现代银行的风险管理离不开信息技术的支撑,先进的信息技术可以促进银行风险管理效率的提高。从技术的角度来分析,影响银行风险管理效率的因素,主要有两方面的问题:一是银行采用的信息技术可能不够先进,需要升级改造;二是没有充分利用信息技术的优势,仍以手工操作为依据制定的风险管理规章制度来设置流程,即便是采用了一些较先进的信息技术,仍会是长流程、低效率。
随着信息技术的进步及其在银行风险管理中的深度应用,不少风险控制环节可以用技术方式来解决。如可以充分运用信息系统先进的计量分析功能,开展各个维度的风险分析,为风险管理提供更加全面、完整的决策依据,并为风险管理流程的设定和完善、风险限额的确定和管理等提供数据和技术支持。还可依托信息技术的特点,来改造和调险管理的模式、方法,如可以把业务的分散处理模式改变为集中处理,并实行远程控制,在一些重要的风险控制环节上用来替代人工操作,尽可能减少人工干预,使有些风险环节只表现为逻辑上的分离和控制等等。总之,先进的风险管理理念和先进的信息技术相结合,就可以发挥出极大的变革力量,给银行提升风险管理效率带来革命性的变化,包括优化员工的岗位分布结构,降低中后台员工的数量和比重。
员工素质。从一定意义上讲,员工的职业素质直接决定了风险管理效率,员工的风险理念和风险识别技能是风险管理效率高低的决定性因素。在银行的风险管理中最关键的是人、是员工。由于员工素质是不可复制的,所以银行竞争的焦点说到底是员工素质的竞争,风险管理的流程长短也与员工素质高低紧密相关。在实践中我们通常会面临的问题是:一方面员工总量不少,表现为经营中的人均指标不够先进;另一方面,高素质员工又比较缺乏,一些关键环节和重要岗位找不到合适的员工,不能满足银行风险管理高效率的要求。要解决这个问题可从两方面来考虑:
一是银行在提升风险管理效率中也要坚持以人为本,倡导先进的风险管理文化,以实现价值最大化为核心价值理念,来激发广大员工的创新热情和工作效率,完善绩效考评和激励约束机制,用制度、机制和文化的力量把员工的行为统一到提升风险管理效率上来,创造有利于优秀人才脱颖而出的环境,让每一个员工都有施展才能的机会,使全体员工的主动性、积极性、创造力得到充分的发挥,从而保证银行的愿景、使命和目标的实现。