时间:2023-08-25 17:12:12
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险管理的主要策略,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着信息技术的大力发展,信息系统设计项目在企业或单位中所发挥的作用越来越大。因此,如何建设和完善信息系统设计项目已成为当前企业或单位亟需解决的重要问题之一。但是,因信息系统设计项目具有范围界定困难、运行环境复杂以及项目变更频繁等特点而导致在具体的实施过程中易出现风险问题。故而,对信息系统设计项目中的风险因素进行分析,有着重要的意义。本文根据相关的文献研究资料并结合多年的工作经验可知,信息系统设计项目的风险因素主要体现在以下几个方面:一是,需求风险,其主要包括功能需求、可靠性需求、环境需求、用户界面需求、安全保密需求以及资源使用需求等;二是,技术风险,其来源于信息系统设计项目在技术上是否可行、合适以及成熟,或相应的技术是否满足信息系统设计项目目标;三是,集成风险,其来源主要是如何将数据库技术、开发技术以及网络技术糅合在一起;等等。
2加强信息系统设计项目中风险管理的策略
风险管理是信息系统设计项目中的重要组成部分,发挥着极其重要的作用。在一定程度上,风险管理在信息系统设计项目中的合理运行能够减少风险的发生,从而有利于实现效益最大化的目的。同时,由于信息系统设计项目运行的环境较为复杂,导致在实际运行的过程中易出现风险问题。因此,企业或单位应采取行之有效的策略来不断加强信息系统设计项目中的风险管理,以此来尽可能地降低风险的发生概率。针对上文所述风险因素,本文根据相关的文献研究资料并结合多年的工作经验,共总结出以下几点策略。其具体内容如下:
2.1制定科学、合理的风险管理计划
在信息系统设计项目的风险管理中,风险管理计划是其关键环节。同时,风险管理计划也是信息系统设计项目中风险管理得以顺利开展的重要依据。因此,要加强信息系统设计项目的风险管理,企业或单位应根据具体的实际情况来制定科学、合理的风险管理计划。要做好这一点,首先,企业或单位应充分认识到风险管理计划的重要性。其次,相关人员应根据本企业或单位的具体实际情况,并结合相关的法律、法规来对风险管理的计划进行制定,以此来确保其计划的合理性和科学性。再次,为了增强风险管理计划的有效性和实用性,企业或单位还应及时地对其作出相应的修改和调整。最后,企业或单位还应根据风险来对信息系统设计项目中风险管理的成本、质量以及进度进行平衡。
2.2提高风险识别的能力
一般而言,“风险识别”是指将不确定性风险转变为明确性风险的陈述过程。同时,风险识别不仅是开展风险管理的第一步,而且存在于信息系统设计项目建设的后续过程之中。因此,要加强信息系统设计项目的风险管理,企业或单位还应采取行之有效的策略来提高风险识别的能力。要做好这一点,首先,企业或单位可以根据相关的文献研究资料,并结合相关方法(例如,问询法、项目分解法等)来对风险进行识别。其次,为了确定风险识别的全面性,企业或单位还应征求各方面的意见。通过分析相关的文献研究资料可知,信息系统设计项目中常见的风险主要包括人员职业素质不高、项目频繁变更以及使用过时技术等。最后,企业或单位应针对性地制定出相应的风险防范措施,以此来确保风险管理的有效进行。
2.3做好风险监督与控制方面的工作
所谓“风险监控”是指,在信息系统设计项目具体实施的过程中,控制风险发生的情况和监督风险管理的过程。对于风险管理而言,至关重要。换言之,做好风险监督与控制方面的工作是能够有效控制风险的重要途径之一。因此,要加强信息系统设计项目的风险管理,企业或单位还应重视并做好风险监督与控制方面的工作。要做好这一点,首先,企业或单位应不断更新风险监督与控制的技术。一般而言,风险监督与控制的技术主要包括预留管理、差异和趋势分析、技术绩效评估以及风险审计等。其次,企业或单位还应明确风险监督与控制的内容。通过分析相关的文献研究资料并结合多年的工作经验可知,风险监督与控制的内容主要包括监视残余风险、跟踪已识别的风险、评估某些计划对降低风险的有效性以及不断对新的风险进行识别等。
2.4组建一支高素质的风险管理人员队伍
在一定程度上,风险管理人员素质的高低直接影响了风险管理的水平。因此,要加强信息系统设计项目的风险管理,企业或单位还应采取行之有效的策略来组建一支高素质的风险管理人员队伍。要做好这一点,首先,企业或单位应根据的实际情况来建立相应的人才选拔制度和考核制度,以此来确保风险管理人员的整体素质处在一个较高的水平。其次,企业或单位还应定期对风险管理人员进行培训和再教育,以此来不断提高其专业素质。再次,企业或单位还应完善激励机制和奖惩制度,以此来稳定风险管理人员队伍和提高其工作的积极性。最后,企业或单位还应建立并健全相关的监督机制,以此来规范风险管理人员的职业行为。
2.5对项目需求范围进行明确
要加强信息系统设计项目的风险管理,企业或单位还应对项目需求范围进行明确。要做好这一点,首先,在信息系统设计项目的前期调研过程中,企业或单位应充分对客户现有的相关情况进行了解。同时,还可以采用原型法配合调研表格的形式来进行相关的调研活动。值得注意的是,应重点考虑到信息系统设计项目干系人的需求。其次,企业或单位还应引导用户将信息系统设计项目的基本目标描述出来。同时,还应策略性地提醒因功能实现导致的各种情况,如成本增加、技术复杂、进度变长以及质量的难以把控等。最后,企业或单位应在前期调研结果的基础上,通过双方的沟通确认来将信息系统设计项目的实施范围确定下来。除此之外,加强信息系统设计项目中风险管理的策略还包括严格控制项目的变更、定期举行项目报告和会议、制定应急策略以及制定风险防护措施等。
3结语
(一)会展项目的风险来源
会展项目最大的特点就是具有很大的不确定性,这些不确定性会在项目活动的实际开展中对会展项目造成很大的影响,影响会展活动的预期目标,甚至造成财产损失或者人员伤害等,这些不确定性因素是会展项目风险的总体方面的来源。从小层次来讲,会展项目活动中会有很大的人流量,所以,会展人员的行为也是会展项目风险的重要来源,他们的行为能够直接影响到会展项目的风险的受控程度。另外。会展的设备等设施也会成为风险的来源,例如设备安置不当,设备牢固性不强等造成一系列人员伤害或者财产损失等。这些会展项目的风险来源是风险管理策略研究的重要参考依据。
(二)会展项目的风险类型
会展项目在具体的开展过程中会存在多种多样的风险,这些风险由于归纳的原则不同,所以就会出现不同类型的风险。例如,通常我们把影响会展项目目标进度的风险称为进度风险,对会展项目实施阶段产生影响的风险称为实施风险;如果按会展项目风险的来源归纳可分为外部风险和内部风向,外部风险主要是由于会展外部环境等原因造成的,内部风险主要是由于会展项目开展中会展的内部因素引起的风险;如果按风险的属性特征分类,会展项目的风险类型可分为技术风险、财务风险、市场风险等。除此之外,会展项目风险也可分为质量类风险、预算类风险、时间类风险等。总体来讲,会展项目风险的类型不同会导致风险管理不同从而影响风险管理策略的研究。
(三)会展项目风险的主要特性
针对会展项目风险来讲,其自身的一些特性是我们研究风险管理策略不可忽视的重要因素。会展项目风险主要有四大特性。一是风险事件的随机性,在会展项目的开展过程中,有时会不可预料的出现一些风险事件,这类风险事件不再预期的计划或者意料之中,是随着某些突变因素而发生的偶然性事件,因此,在实际的风险管理过程中对这种随机性事件的处理是具有一定的难度的,需要提前做出相应的应对突变策略;其次是风险的渐进性,会展项目风险的出现往往不会是一层不变的,会随着项目活动的阶段呈现不断变化的趋势,可能是越来越复杂化,也可能是随着阶段的不同其风险程度不断减弱的趋势,针对这种风险的渐变特性,在会展项目风险管理过程中需要根据风险的变化特点来采取相关策略进行风险处理;再者就是风险的相对可预测性,这一特性在实际上是有利于风险的管理的。在会展项目开展之前通过预测相关风险可以在实际活动过程中及时应对项目风险,减少风险的损害;最后是风险的潜在损失特性,既然是风险就会对实际的活动造成不同程度不同类型的损失,会展项目风险的这一特性也是进行风险管理最为重要的因素,风险管理的目标就是最大化的减轻风险带来的损失,保证会展项目顺利的进行。因此,会展项目风险的这些特性能够对风险管理的规划产生很重要的影响,在进行会展项目风险管理策略的研究中必须依据这些特性来制定相关方案。
二、会展项目风险管理
(一)会展项目风险管理的概念
会展项目的风险管理主要是指在实际的会展项目开展活动中相关管理人员通过对可能影响会展开展的不确定因素进行预测评估,然后综合分析,采取有效的防治措施来避免风险的发生或者最大化降低风险,保证会展项目的顺利开展,达到预期的效果。
(二)会展项目风险管理的相关特性
会展项目风险管理的特性影响着风险管理策略的研究。会展项目风险管理具有时效性、有偿性、动态性以及信息依赖性等特性。时效性,会展项目风险管理的时效性主要是指在会展的不同阶段所面临的风险是不同的,所要承担的责任也是不同的。对于组织者来讲,根据这一特性只需要分析好每个阶段的风险然后采取措施承担这些风险即可;有偿性,会展项目风险管理的有偿性主要是指在实际的会展项目开展过程中用来防治或者最大化降低风险时所要付出的必要性的财力和人力等成本;动态性,会展项目风险管理是随着会展项目活动的相关因素的变化而变化的一个的动态管理过程,当会展项目的相关因素发生变化时,原有的相关风险就会发生变化,因此对风险的管理也就需要重新计划实施;信息依赖性,会展项目的风险管理首先需要获得关于风险本身的大量信息,并且分析相关信息来进行管理,因此,会展项目风险管理具有很强的信息依赖性。
(三)会展项目风险管理的相关内容
会展项目风险管理主要包括风险管理规划、项目风险的识别、项目风险的度量、制定风险的应对措施、项目风险的监测与控制。项目风险管理规划主要就是确定在实际的管理过程中如何进行项目风险管理活动,也包括制定相关风险管理计划等;项目风险的识别指的是确定项目的风险类型有哪些,基本特性是什么以及产生的主要影响,最后制定出相应的会展项目风险事件识别报告;项目风险的度量主要包括项目风险的定性度量以及定量度量等相关工作,这些相关度量工作又包括风险发生可能性的度量、后果严重程度的度量、风险影响范围的度量以及风险发生时间的度量等;项目风险应对规划简单来讲就是制定项目风险应对计划,通过对项目风险严重性的考虑来制定相应的应对计划,对严重性较高的项目风险来制定风险应对计划能够产生很好的效果,对相对严重性不高的风险可以适当放松计划的制定;项目风险的监测与控制就是在整个会展项目活动过程中依据项目风险管理计划来监测风险发生及变化,从而采取相应的措施控制项目风险。
三、会展项目的风险管理策略
(一)依据会展项目风险的相关内容进行相关风险管理
会展项目的风险相关内容主要有风险的来源、类型以及特性等,不同的内容对风险管理的影响不同。在实际的会展项目风险管理过程中,应该提前分析相关风险的来源以及类型,在依据风险的相关特性制定管理方案。例如,针对由不确定因素引起的项目风险可以提前预测好这些不确定因素,制定多种应对策略来处理这类风险。对于人为因素引起的风险可以在实际的会展活动中控制约束规范相关人员的行为来减少风险发生的概率。
(二)采取多样化的会展项目风险管理策略
会展项目风险管理策略需要多样化。首先需要风险的预防策略,对可能发生的风险进行预测估计,然后事先改变会展项目的相关计划来预防项目风险,避免风险的发生。例如,在实际的会展项目开展过程中可以适当的选择放弃某部分项目来避免风险的发生,也可以提前做好计划以及处理应对的方案。其次做好预防和较少损失的工作,对已发生的风险及时采取应对策略把风险带来的损失较少到最低。具体来讲,可以对相关会展工作人员进行安全防范教育或者培训;加强现场监控,保证会场能够在监控之下进行;加强治安工作等。再者是接受或共担风险,接受风险主要是对于会展项目影响较小的一类风险而言的,此类风险发生时可以及时安排相关人员疏散,进行医疗救治等。共担风险主要是通过与其他组织合作来降低会展项目风险发生的可能性;最后是做好保险工作,这一风险管理策略主要是通过借助保险机构或者公司来分担风险。多样化的会展项目风险管理策略能够对不同类型的风险进行及时的应对处理。
四、结语
关键词:商业银行;流动性风险;风险管理
中图分类号:F83 文献标识码:A
原标题:简谈商业银行流动性风险管理的问题与措施
收录日期:2013年7月4日
一直以来,商业银行承担着促进经济增长的国家宏观职能,又有着强大的国家信用支撑,人们总会将银行的命运与政府的支持紧密联系在一起,认为政府会承担银行的一切风险,银行不会倒闭,也不会发生流动性危机。流动性风险管理的主体是商业银行,然而我国商业银行内部缺乏完善流动性风险管理的有效机制,而且还没有形成对流动性监管的自觉意识。这导致我国商业银行流动性管理只注重流动性监管指标的良好表现,对提高流动性风险管理能力的重视度不高,对资产管理策略和负债管理策略的完善不积极,这使我国商业银行缺乏流动性风险的危机感。
一、我国商业银行流动性风险管理的现状及问题分析
目前,随着金融衍生工具不断创新,其在银行业务中占据的比重越来越大;同时,金融风险与市场不确定性不断增强,造成银行风险管理日趋复杂。这些都会直接制约商业银行的资产变现能力和获取主动负债的能力。银行业对外开放后,在批发和零售业务方面,国内商业银行处于劣势地位,就产品种类、质量和资金的安全性而言,与外资银行很难抗衡。因此,我国商业银行受到冲击的可能性逐步加大,商业银行流动性风险监管难度大大增加。
二、提高我国商业银行流动性风险管理的措施
随着国内宏观经济日趋走弱和国外市场复苏乏力,银行业面临的各类风险开始进入集中爆发期。同时,随着我国银行业改革和金融业对外开放的进一步深化,国内金融环境和银行系统正在与世界市场对接,而国外银行因为流动性风险而破产的案例也有可能在我国银行身上上演,提高我国商业银行流动性风险的必要性和紧迫性在加大。根据有关国内外监管机构流动性风险管理的相关政策,结合对国内外银行业流动性风险管理的分析和借鉴,监管机构和银行可以从以下方面提高我国商业银行流动性风险的管理水平:
(一)提高银行流动性风险管理意识。目前,我国商业银行因流动性风险而倒闭的银行很少,绝大部分银行从上到下对流动性风险的认识就显得较为薄弱。管理层不重视对流动性风险管理,没有按要求建立起完善的流动性风险管理体系,更不用说加大投入建立流动性风险信息管理系统;在具体的流动性风险管理方面,仅仅以满足银监会的监管目标为主要任务。因此,建议商业银行加强内部沟通力度,提高银行流动性风险管理意识。同时,提出具体的流动性风险管理方面的要求,要求银行在软硬件上予以满足。
(二)完善银行监管策略。商业银行根据不同指标的有效程度,设立一套完整的内部监管策略。商业银行内部风险管理部门应在总体上把握其流动性风险状况,重点关注特定指标异常情况下银行流动性风险的状况,在经济形势趋弱时,同时关注特定指标和综合指标的变动情况。
(三)提高银行流动性风险管理水平。进行流动性风险管理的根本在于银行自身,银行是流动性风险管理政策的执行者,能否积极有效地实施流动性管理办法是防止流动性风险爆发的决定因素。
1、提高全体员工对银行流动性风险的警惕性。针对流动性风险的防范意识不仅要灌输到银行的管理层,更应普及到银行的全体员工,需要银行全体员工对银行流动性风险有较强的意识。
2、保持流动性风险管理部门的独立性和有效性。流动性风险可能对银行乃至金融体系带来灾难性的影响,银行流动性风险管理部门的重要性就显得特别重要,期间难免出现权力和利益等方面的冲突,提高流动性风险管理的有效性,需要保持流动性风险管理部门的独立性。
3、实施全面的流动性风险管理。随着业务机构的不断调整,我国商业银行资金来源和资金运用均存在多样化发展的趋势,需把与流动性风险相关的所有要素都考虑在内,实施全面的流动性风险管理。
三、近期国内银行开展流动性风险管理的建议
去年国内银行集中爆发了各类银行风险,如信用风险、操作风险、声誉风险、法律风险的案件不断发生,银行关于流动性风险管理的压力逐渐加大。近期国内银行可以从以下方面开展流动性风险管理:
(一)完善流动性风险管理体系。根据我国银监会对流动性风险管理办法的要求,银行须建立完善的流动性风险管理体系,在“流动性风险治理结构”、“流动性风险管理策略、政策和程序”、“流动性风险识别、计量、监测和控制”、“流动性风险管理系统”等方面形成完整的框架。
(二)加大对流动性风险管理方面的培训。我国商业银行需要加大对员工流动性风险管理方面的培训,这不仅有利于提高员工形成流动性风险管理的意识,而且能够提高员工流动性风险的管理水平。开展培训可以选择内部培训和外部培训相结合的方式进行。
(三)测评各类风险案件对银行流动性的影响程度。针对国内发生的“上海钢贸企业信贷断链案”、各地频发的票据案、“杭州担保圈案”、“上市公司高额负债案”、“地方政府融资平台案”和“房产企业资金紧张案”等可能引发流动性风险的案件进行综合性测评,不定期的开展各项压力测试,根据测评结果调整资金来源和资金运用结构。同时,商业银行应及时向监管部门上报风险水平以赢得政策支持。
(四)拓宽资金来源渠道作为保持资金稳定的主要任务。我国商业银行经常在每月末、每季度末通过各种渠道获得巨额短期资金来“冲时点”,这种现象较为普遍,大额资金的不正常流动不仅会增大银行获得资金的成本,而且也会对银行造成灾难性的冲击。事实上,“冲时点”的这种现象本身就说明了银行在流动性风险防范方面的不足,这种被动式的流动性风险管理无疑可能放大银行的流动性风险。因此,想法拓宽资金来源渠道,保持资金来源的稳定性应成为商业银行近期开展流动性管理的主要任务。
主要参考文献:
[1]邓方园.商业银行流动性风险管理[J].经营管理者,2013.1.
关键词:企业风险管理有效性 公司价值风险管理策略
引言
在市场经济环境中,受诸多不确定因素的影响,企业在发展时往往会面临着很大的风险,对企业经济造成严重损害,如世界经济危机或金融危机等,破坏范围甚至会波及全世界。对实际分析可知,某些企业因危机破产倒闭,而某些企业却能够进一步发展,与其风险管理水平有着很大关系,如若加强风险管理,采取降低额外资本支出或提高资本使用效率等方法,对公司价值的提升将大有裨益。
1、企业风险管理及其不足
1.1、风险管理
企业风险指的是对企业发展形成阻碍、给企业带来重大损失的所有可能性因素,在任何企业或组织的经营发展中,都势必存在着各种各样的风险,这就要求必须加强风险管理,风险管理即能够识别风险并加以处理,进而实现可持续的价值最大化,可分为风险量化以及具体的管理程序两部分,具体包括对风险的识别、分析、整合、监控和应对等。
1.2、风险管理中的不足
风险管理中的不足主要有:
1.2.1、对企业的经济资本以及偿还能力有所忽视,在实际中,很所企业之所以会破产倒闭,很大一部分原因在于偿付能力的欠缺;
1.2.2、缺乏对结构性风险管理工具的重视,从当前来看,金融市场异常发达,在风险管理中必然要涉及到金融衍生品等金融工具,由于使用不合理,往往会给企业带来重大损失,如若对此有所忽视,风险管理的有效性必将难以充分发挥;
1.2.3、另外,对企业的利益相关者、可持续风险管理的重视不够,也是企业管理中的缺陷,尤其是当前,社会责任、环境问题等都是研究重点。
2、影响公司价值的关键因素
2.1、风险管理水平
企业风险管理水平与公司价值之间呈正相关,在相关的理论研究中,某些公司设置了首席风险官,且所处的层级较高,说明公司从战略上对风险是极为重视的,再加上对风险的认识和处理都比较全面,有很多可取之处。实践证明,从对企业规模、盈利能力、股权结构以及财务杠杆等因素的控制来看,风险管理与公司价值密切相关,且管理水平越高、能力越强,公司的价值越大。公司规模与公司价值呈负相关,即企业的规模越大,估值越低,在国内上市的金融公司中体现得尤为明显,如在2012年,工商银行的市盈率约为6倍,但小规模银行的估值可以达到9倍或11倍;盈利能力对企业价值呈正相关;财务杠杆和董事会结构的影响较小,而股权结构与其平方项的正相关和负相关,说明第一大股东持股比例对公司价值的影响是非线性的。
2.2、风险管理策略
企业可能是受到内外部各种因素的影响,才进行风险管理的,如股东要求、社会责任等,相应的管理策略也就可以分为两种,一是主动型策略,即企业结合自身状况而采取的策略,包括成立风险管理机构、利用结构性工具对冲公司经营资产的风险敞口等;二是被动型策略,即在外界影响下才进行的风险管理,包括保险公司的偿付能力监管导致的保险公司资本金管理等。相比较而言,主动型风险管理策略更有利于增加公司价值。
2.3、风险管理覆盖率及渗透性
在风险管理中,管理策略很重要,同时,管理的深度和广度也很重要,因为企业有其自身的内部组织结构,涉及诸多方面,且风险管理中的影响因素很多,必须做全方位的考虑,在深度、广度上都达到一定的要求,才能发挥风险管理的作用。同时,风险管理的覆盖率还是衡量企业风险容量的重要标准,覆盖率越大,说明公司价值越高。
3、如何加强风险管理
某投资银行成立于1995年,规模中等,储户主要为本市市民,在2008年美国次贷危机的影响下,股价逐季下跌,市值也大幅缩水,为此,银行采取了一系列措施。
3.1、加大外部监督力度
市场经济存在有很多不确定因素,经常会形成各种风险,所以企业在发展中,应树立起风险意识,主动加强风险管理。从国内的实际出发,对许多大型国有企业而言,因与国民经济发展密切相关,除了企业自身要重视风险管理,还应加大外部监督力度,促进企业的风险管理水平能够有进一步的提升。
3.2、创造良好的市场环境
以国内金融市场为例,其发展还有很大的不足,主要体现在经济发展和金融衍生品市场发展不同步,即国内的金融衍生品市场条件有限,而企业对其所需过大,只得通过境外市场满足要求,如此一来,对冲成本有所提升,再加上其过程比较繁杂,需要浪费大量时间,使得风险管理效率有所降低。所以必须为金融衍生品市场提供良好的发展环境。
3.3、企业自身树立风险意识
企业要想更好地发展,必须提高自身的经营管理水平,因此,作为市场的主体,企业首先要树立起风险意识,结合实际情况建立合理的风险管理理念;其次,还应选择较为适宜的风险管理工具,重视风险管理能力的培养,同时也应加大对社会责任的重视,并加强可持续风险管理,在此基础上方能提高企业的风险管理水平,为企业带来更大的效益。
4、结束语
在企业管理中,风险管理尤为总要,对企业的经营管理、经济效益以及发展水平有着直接影响,因此,必须加大对风险管理有效性的研究力度,并结合企业的实际状况,采用相应的管理策略,以达到增加企业价值的目的。
参考文献:
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
关键词:博物馆;藏品;风险管理
处在市场经济和知识经济时代,在信息化条件下,随着博物馆社会交流的频繁,博物馆面临的风险随着增多。例如,2011年埃及国家博物馆在动乱中遭到抢劫,损失惨重;同年5月以来,故宫博物院发生的失窃、文物损坏等一连串危机事件,引起社会舆论的持续关注,使故宫身陷窘境。在这两次危机事件中,前者是由埃及国内政治危机间接引发的博物馆的风险,后者是由故宫博物院内部原因导致的博物馆的风险。这两起都属于藏品风险,此外,博物馆的风险还来自人员的风险、馆舍及设备的风险等,它们是紧密相联、相辅相成,组成了一个有机整体。由此可见,现代博物馆引进"风险管理"这门管理科学,使博物馆对于各类风险有所准备、进而进行有效的管理和预防具有积极意义。
一、博物馆藏品风险管理的定位及其含义
风险是指遭受损失、伤害、不利或毁灭的可能性,主要表现为不确定性。博物馆同其它组织一样,在经营管理中会面临不同层面的风险因素,需要控制其风险。根据国家相关规定,国家级或省级博物馆为一级风险单位,拥有1万件以上和5万件以下的博物馆为二级风险单位;而拥有1万件藏品以下的博物馆为三级风险单位。近年来,博物馆藏品风险的问题在我国博物馆界是关注之热点。风险管理作为现代博物馆管理学中的重要内容之一,对博物馆藏品风险管理具有重要意义。对博物馆藏品进行风险管理是一个管理过程,包括风险评估、风险管理决策与方式选择、风险管理效果评价等工作,目的是避免或降低由不确定的危险因素导致藏品损毁的可能,以获得博物馆正常运作和管理的安全保障。
目前为止,国内学术界对于博物馆藏品风险的释义是"藏品遭受损害的可能性",北京故宫博物院的刘舜强指出,藏品风险就是在藏品保管、保护、修复、展示、运输、研究及相关情况下,由不确定的危险因素导致藏品损毁或受到伤害的可能。他认为这些风险因素,一方面来自藏品本身,另一方面则来自藏品所处的外部环境及与藏品发生关系的人。因此,对藏品进行风险管理是对藏品活动的过程控制,是对藏品本身及外部环境和对与藏品发生关系的人进行管理。如在展示字画、丝织品等藏品时,不仅应有防弹玻璃制作的框架或装有报警装置的展柜对其进行防护,而且要考虑到藏品可允许的光照量、运输面临的风险,以及展厅面临的种种不确定因素的威胁--带脚轮的转椅、带酒精挥发物质的饮料、工作人员、清洁工人、以及展厅的防盗防火设备等。
对于现代博物馆来说,藏品的风险管理就是通过风险评估、风险管理决策、风险管理效果评价等环节以尽可能降低成本,有计划地处理风险。这就要求博物馆在管理过程中,采取各项应对措施,可能发生的风险进行识别,预测各种风险发生后对藏品造成的消极影响。
二、博物馆藏品的风险评估方法
藏品的风险评估主要有两种,包括藏品风险识别和风险估测。
藏品风险识别主要是识别其内在风险及外在风险,是风险管理的基础环节。只有全面了解各种风险,才能够预测风险发生的概率和损害程度,从而选择应对风险的有效策略。博物馆业务工作涉及范围广,专业性强,难度相对较大,博物馆的风险识别是藏品风险管理中难度最大的一部分,主要由调查人员通过系统性工作,寻找藏品的所有潜在风险,根据每个风险的特点,分析藏品风险的不确定性,进而转变为明确的风险评估。识别的方法是通过收集和观察有关藏品的包装过程、运输过程、展览过程、修复过程的资料和数据,根据每个过程的特点,查找和分析各个环节潜在风险的规律性,分析藏品风险的不确定性,从藏品本身和外部环境找出藏品潜在的风险敏感因素,确定其敏感程度。
风险估测是在风险识别的基础上,分析博物馆藏品风险发生的概率和风险事故发生后可能造成的损失的严重程度。藏品风险估测一般包括两个方面:一是预测风险的事故发生概率,二是预测风险的损失程度。预测风险的概率是指运用定性与定量的方法分析资料,观察造成藏品损失的规律性,估计和预测风险事故的发生概率,可以使博物馆在一定程度上减少损失的不确定性。预测风险的损失程度,也就是预测博物馆藏品可能损坏的程度,进而可以对损坏概率高和损坏程度大的风险进行重点防范。
三、博物馆藏品风险管理决策与方式选择
博物馆藏品风险管理决策是以藏品风险估测为基础的。风险估测为风险管理决策提供信息资料和决策依据,科学的风险管理决策是实现风险管理的前提和核心内容。风险管理过程是根据藏品风险评估的结果,对每一个风险进行次序排列,采取措施减少这些风险,编制风险防范计划,将藏品风险转变为风险应对。
首先,制定藏品风险防范策略。藏品风险防范策略可以分为规避、接受、保护、降低、转移几种方式。"规避"是指排除特定威胁,特别是排除特定威胁的起源。特定的风险事件是可以排除的,让藏品回避已知风险,从而保障藏品安全,是藏品风险管理的最高目标。"接受"是不采取任何行动,将风险保持在现有水平。这样的风险是可控或者危害极小的,对于藏品而言是可以接受的。"保护"是通过对藏品的材质、构造的考察、研究藏品的保存、展示环境,以及修复工作,为藏品量身制定风险保护措施,使藏品安全得到保障。"降低"是借助相应的手段将藏品风险发生的可能性降低到可接受程度,以降低遭受灾难性损失的风险。"转移"则是指将藏品风险全部或部分转移给独立机构,使藏品安全而得到保障。比如,在明确的风险战略的指导下,与资金雄厚的独立机构签订保险合同,将藏品转移给从事风险合并事务的专业保险公司或其他风险投资机构,这是一种符合市场经济规则且公平的转移手段。但由于可保风险必须是符合一定的条件的纯风险,所以风险转移不是藏品管理的主要风险应对策略。
在制定了风险防范策略后,就要制定相应的风险行动计划。制定风险行动方式主要考虑五个方面的因素:可规避性、可接受性、可降低性、可保护性、可转移性。例如关于水彩画藏品的问题,风险管理小组就需要考虑多方面因素:从光照对颜料的危害程度,到物理损害的起源,到展厅的酒水饮料对藏品的影响,到运输过程遭受持械抢劫的可能性,到人为破坏、火灾和被盗的危险。在执行风险应对的过程中,制定以上任何一种风险的防范策略已经是很困难了,要平衡各种风险需要将多重标准应用于所有方面,综合考虑该风险是否可规避、可接受、可降低、可保护还是可转移。制定风险行动计划应该对突发事件快速作出反应,按照预先制定好的风险行动计划进行。此外,还要对照防范计划,定期向管理小组报告藏品风险应对工作进展。风险行动步骤可以是顺序性的,也可以同时进行。例如,针对藏品被盗风险,博物馆可以根据情况使用"人防、物防、技防"三防并举的措施,三种方式同时进行,特别是加强现代技术防范措施,加强人员安保,降低藏品被盗风险,以确保藏品安全。
四、博物馆藏品风险管理效果评价
[关键词]风险风险管理安全生产
一、引言
20世纪80年代中期,自改革开放、实行市场经济体制以来,国外各种介绍风险管理的理论与书籍被介绍到中国,风险管理的课程已经逐步在走进大学课堂。风险管理教学、研究和应用开始起步,企业经营领域的风险管理专著开始面世,在许多大型工程的建设过程中,也已开始应用风险分析的理论,风险管理研究已成为管理学科研究领域中重要的课题。
风险管理力求把风险导致的各种不利后果减少到最低程度,使之正好符合有关方在时间和质量方面的要求。一方面,风险管理能促进决策的科学化、合理化、减少决策的风险性;另一方面,风险管理的实施可以使生产活动中面临的风险损失降至最低。
目前我国大部分企业没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对自己工作中的风险独立地采取一定对策,缺乏系统性、全局性。企业中的风险管理基本上是一种被动式管理;企业中风险管理活动往往是间断性的,缺乏系统、科学的风险管理理论方法指导。
构建企业风险管理体系,是在对相关信息采集的基础上,分析可能导致生产活动中出现风险的根源性因素,通过定性与定量相结合的方法发现企业各生产环节管理与运作过程中的潜在风险。充分重视企业风险管理,建立风险管理体系,并对风险分析的理论方法进行全面、深入、细致的研究,将对成功实现企业目标,达到资源的优化配置起到重要的理论指导作用。
二、风险管理的内涵
1.风险的含义
风险和危险是不同的,风险包含着一种不确定性,每个结果的概率是可知或可以估计的,而危险则只意味着一种不好的预兆。因此,有时虽然有危险存在,但不一定要冒此风险,我们要想方设法去改变风险发生的条件,使之不发生,甚至带来转机。综上所述,可以这样定义的风险:风险就是活动或事件消极的,人们不希望的后果发生的潜在可能性。具体地说,风险一般应具备以下要素:(1)事件(不希望发生的变化);(2)事件发生具有不确定性;(3)风险的影响(后果);(4)风险的原因。
将风险表示为事件发生的概率及其后果的函数,即
R=f(P,C)(1)
式中,R--风险,P-概率,C-后果。
风险和不确定性是我们很容易混淆的概念:不确定性是客观事物永远发展变化的客观特性,是产生风险的原因。虽然风险和不确定性这两个概念经常互相使用,但它们并不是一回事。不确定性仅仅考虑事件发生的肯定程度,而风险则要考虑事件发生后果的严重程度。
不确定性在某些特定的情况下并不完全是坏事,关键要看不确定性是在向着我们希望的方向发展,还是相反。再次说明,风险是针对不希望发生的事件而言的,它包括以下两个方面:
(1)发生的可能性;
(2)一旦发生,后果的严重程度。
由此知道,有两类事件的风险性质是没有争议的,一类事件是“高可能性,严重后果”,对这类事件可以立即判定属于高风险问题;另一类事件是“低可能性,轻微后果”,对这类事件我们可以立即判定属于低风险问题。有两类事件的风险等级的判定是容易引起争议的,它们是:
(1)高可能性,轻微后果;
(2)低可能性,严重后果。
这两类风险性质的判定与个人的主观判断有很大的关系,不同的人由于持有不同的立场、观点,以及所处的环境不同,会有不同甚至相反的判断。图中的后果严重程度如果逐步增大的话,人们在做出决定时会越犹豫,在这种情况下,对项目风险等级的判定会更加依赖个人的解释。这时,主管人员一方面要依靠不同领域的专家,另一方面也要做好准备,对判定风险问题作最后的决断。
2.风险管理的含义
风险管理涉及到各个行业,每个行业都有其自身的特点,企业风险管理是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程。
从表层上分析,风险管理就是对生产活动或行为中的风险进行管理,从深层上研究,风险管理是指主体通过风险识别、风险量化、风险评价等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功地完成并实现总目标。风险管理的主体是管理人员,客体是生产活动中的风险或不确定性,大型、复杂的生产活动过程应设置专门的风险管理机构和相应的风险负责人。
风险管理是一个过程,由风险的识别、量化、评价、控制、监督等过程组成,通过计划、组织、指挥、控制等职能,综合运用各种科学方法来保证生产活动顺利完成;风险管理技术的选择要符合经济性原则,充分体现风险成本效益关系,不是技术越高越好,而是合理优化达到最佳,制定风险管理策略,科学规避风险;风险管理具有生命周期性,在实施过程的每一阶段,均应进行风险管理,应根据风险变化状况及时调险应对策略,实现全生命周期的动态风险管理。
三、风险管理过程及方法
风险管理过程包括风险规划、风险识别、风险评价、风险处理和风险监控几个阶段:
1.风险规划
风险规划,指决定如何着手进行风险管理活动的过程。风险规划确定一套完整全面有机配合、协调一致的策略和方法并将风险其形成文件的过程,这套策略和方法用于识别和跟踪风险区;拟定风险缓解方案;进行持续的风险评估,从而确定风险变化情况并配置充足的资源。在进行风险规划时,主要考虑的因素有:风险管理策略、预定义角色和指责、各项风险容忍度、工作分解结构、风险管理指标体系。
规划开始时,我们要制定风险管理策略并形成文件。早期的工作是:确定目的和目标;明确具体区域的职责;明确需要补充的技术专业,规定评估过程和需要考虑的区域;规定选择处理方案的程序;规定评级图;确定报告和文档需求,规定报告要求和监控衡量标准。如有可能,还要明确如何评价潜在资源的能力。
风险规划过程的运行机制是为风险管理过程提供方法、技巧、工具或其他手段、定量的目标、应对策略、选择标准和风险数据库。其中,定量的目标表示了量化的目标;应对策略有助于确定应对风险的可选择方式;选择标准指在风险规划过程中制定策略;风险数据库包含历史风险信息和风险行动计划等。
风险管理计划在风险规划中起控制作用。风险管理计划要说明如何把风险分析和管理步骤应用到项目之中。该文件详细的说明风险识别、风险评估、风险处理和风险监控的所有方面。风险管理计划还要说明项目整体评价的风险的基准是什么,应当使用什么样的方法以及如何参照这些风险评价基准对项目整体进行评价。
2.风险识别
风险识别是风险管理的第一步,即识别实施过程中可能遇到(面临的、潜在的)的所有风险源和风险因素,对它们的特性进行判断、归类,并鉴定风险性质。风险识别的目的是减少的结构不确定性。亦即发现引起风险的主要因素,并对其影响后果做出定性的估计。该步骤需要明确两个问题:明确风险来自何方(确定风险源),并对风险事项进行分类;对风险源进行初步量化。
风险的识别是风险管理的基础,应是一项持续性、反复作业的过程和工作。因为风险具有可变性、不确定性,任何条件和环境的变化都可能会改变原有风险的性质并产生新的风险。对风险的识别不仅要通过感性认识和经验进行判断,更重要的是必须依靠对各种客观统计资料和风险记录进行分析、归纳和整理,从而发现各种风险的特征及规律。
常用的风险识别方法有:专家调查法(头脑风暴法、德尔菲法、访谈法、问卷调查法)、情景分析法、故障树分析法等。
我们简单介绍一下目前应用广泛的故障树方法。故障树方法简称FTA,是用于大型复杂系统可靠性和安全性分析的一个有力工具。利用FTA来分析一个系统时,我们关心的是找出造成某个不希望的事件(顶端事件)发生的各种可能原因,FTA使用演绎的方法找出使顶端事件发生的可能的次级事件,反映了各次级事件引起顶端事件发生的逻辑关系,这种关系用图形表示出来就像一颗以顶端事件为根的倒长着的树,故障树因此得名。
3.风险分析和评价
风险分析和评价是在对风险进行识别的基础上,对识别出的风险采用定性分析和定量分析相结合的方法,估计风险发生的概率、风险范围、风险严重程度(大小)、变化幅度、分布情况、持续时间和频度,从而找到影响安全的主要风险源和关键风险因素,确定风险区域、风险排序和可接受的风险基准。在分析和评价风险时,既要考虑风险所致损失的大小,又要考虑风险发生的概率,由此衡量风险的严重性。
风险分析和评价的目的是将各种数据转化成可为决策者提供决策支持的信息,进而对各风险事件后果进行评价,并确定其严重程度排序。在确定风险评价准则和风险决策准则后,可从决策角度评定风险的影响,计算出风险对决策准则影响的度量,由此确定可否接受风险,或者选择控制风险的方法,降低或转移风险。在分析和评价风险损失的严重性时应注意风险损失的相对性,即在分析和评估风险损失时,不仅要正确估计损失的绝对量,而且要估计组织对可能发生的损失的承受力。在确定损失严重性的过程中,必须考虑每一风险事件和所有风险事件可能产生的所有类型的损失及其对主体的综合影响,既要考虑直接损失、有形损失,也要考虑间接损失、无形损失。风险影响与损失发生的时间、持续时间、频度密切相关,这些因素对安全生产的影响至关重要。
风险分析和评价的方法主要有:专家打分法、蒙特卡罗模拟法、概率分布的叠加模型(CIMM模型)、随机网络法、风险影响图分析法、风险当量法等。
4.风险处理
风险处理就是对风险提出处置意见和办法。通过对风险识别、估计和评价,把风险发生的概率、损失严重程度以及其他因素综合起来考虑,就可得出发生各种风险的可能性及其危害程度,再与公认的安全指标相比较,就可确定的危险等级,从而决定采取什么样的措施以及控制措施应采取到什么程度。有效处理风险,可以从改变风险后果的性质、风险发生的概率或风险后果大小三个方面提出多种策略。
5.风险监控
风险监控就是通过对风险识别、估计、评价、处理全过程的监视和控制,从而保证风险管理能达到预期的目标。监控风险实际上是监控生产活动的进展和环境,即情况的变化,其目的是:核对风险管理策略和措施的实际效果是否与预见的相同;寻找机会改善和细化风险控制计划,获取反馈信息,以便将来的决策更符合实际。在风险监控过程中,及时发现那些新出现的以及预先制定的策略或措施不见效或性质随着时间的推延而发生变化的风险,然后及时反馈,并根据对生产活动的影响程度,重新进行风险识别、估计、评价和处理,同时还应对每一风险事件制定成败标准和判据。
风险监控还没有一套公认的技术可供使用,由于风险具有复杂性、变动性、突发性、超前性等特点,风险监控应该围绕风险的基本问题,制定科学的风险监控标准,采用系统的管理方法,建立有效的风险预警系统,做好应急计划,实施高效的风险监控。
风险监控应是一个连续的过程,它的任务是根据整个(风险)管理过程规定的衡量标准,全面跟踪并评价风险处理活动的执行情况。有效的风险监控工作可以指出风险处理活动有无不正常之处,哪些风险正在成为实际问题,掌握了这些情况,管理部门就有充裕的时间采取纠正措施。同时,建立一套管理指标体系,使之能以明确易懂的形式提供准确、及时而关系密切的风险信息,是进行风险监控的关键所在。
风险监控的主要方法有:审核检查法、监视单、风险报告等。
四、总结
风险管理是一个全寿命的动态过程,与管理的四个阶段,即启动、规划、实施和结束阶段密切结合,渗透在寿命周期的全过程之中。在企业有效开展风险管理能够促进各单位决策的科学化、合理化,减少决策的风险性,能为企业提供安全的经营环境,能够保障企业经营目标的顺利实现,能够促进企业经营效益的提高。无论从理论还是从实践的角度来说,大胆创新、探索性地恰当运用风险管理的理论与方法,已成为关注的一个热点,对于提升企业管理水平、加强安全保障、创造更好的经济效益具有十分重要的意义。
参考文献:
[1]符志明:航天风险管理[M].北京:机械工业出版社,2005.1
[关键词] 财务危机 筹资风险 风险策略
一、财务筹资风险的产生及其在企业整体风险中的地位
筹资风险是指企业在融资活动中由于资金市场、宏观经济环境的变化或融资来源结构、币种结构、期限结构等各种不确定因素而给企业带来损失的可能性。市场经济条件下,企业筹集资金主要有两个渠道:所有者投资和借入资金。筹资风险主要来自于资本来源和资本结构两个维度。资本来源方面,利率的波动导致企业负债筹资成本加大,进而增大企业还本付息压力,引发企业财务风险;资本结构方面,一些企业为片面追求财务杠杆效应,不合理安排所有者权益与负债的比例,资产负债率过高,一旦经营风险暴露,收益的不确定性极易导致资金链条断裂,使企业丧失偿债能力,陷入财务筹资风险。
财务筹资风险的在企业整体风险中的地位如下图所示:
二、构建企业财务筹资风险管理策略
财务筹资风险管理是一项复杂而艰巨的系统工程,防范与化解财务风险必须构建科学有效的财务风险监管系统,保障企业财务活动的顺利进行,以实现预期财务目标。如同任何可控风险管理,构建企业财务筹资风险管理策略必须建立在科学的风险管理程序的基础之上。
1.建立科学的风险管理程序
第一步,通过资金预算表和每股收益无差别点的资本结构分析图对财务筹资风险进行识别。为了保证生产正常运行,企业必须把有限资金合理分配、使用,即通过预算企业投资规模来确定总体筹资规模。资本结构是所有者权益和负债之间的比例关系,如果资本结构不当,会严重影响企业的效益,增加风险,甚至导致企业破产。为了实现企业价值最大化,实务中,确定最佳资本结构所采用的工具一般是利用“每股收益无差别点”,用该方法可检验各项融资计划在不同的息税前盈余(EBIT)水平上对每股净收益(EPS)的影响。当EBIT数额超过其无差别点水平时,负债筹资能为企业带来较高的每股净收益EPS,反之则应当采用权益筹资方式。第二步,结合企业生命周期的不同发展阶段,对企业主要风险进行评估,从资本来源和资本结构角度构建企业的财务筹资战略。
2.财务筹资风险管理策略的恰当选择――财务风险管理的关键
恰当地选择风险管理策略能够有效地防范和化解各种财务风险,将风险损失最小化,这是财务风险管理过程的关键阶段。(1)筹资风险降低策略。风险降低是基于企业不愿意被动接受特定的后果分布状态,而通过自身努力改变不利后果的概率。为改变不利分布状态所做的努力,称为风险降低或者风险缓解。常见的风险降低形式是风险分散和套期保值。就企业财务筹资风险而言,为降低风险,通常通过多种筹资渠道、利用多种筹资方式来筹集所需资金:如合理确定负债与权益筹资比重;负债内部长期资金与短期资金的比重等。(2)筹资风险回避策略。财务风险回避是考虑到风险事故存在和发生的可能性较大时,主动放弃或改变某项可能引起风险损失的方法。就风险管理的一般意义而言,回避风险是一种最彻底的处置风险的方法,通过回避风险可以在风险事故发生之前,完全彻底地消除某种风险可能造成的损失,而不仅仅是减少损失的影响程度。然而,回避风险的做法终究是一种消极控制风险的方法,不是一种长久之计。 如企业仅为了回避财务筹资风险而选择全权益融资,就损失了负债的财务杠杆利益。(3)筹资风险转移策略。财务风险转移策略是指将风险性理财活动通过某种方式转移给其他经济实体或个人,从而消除或减少理财活动的风险。转移风险的方式主要包括以下两种:一是保险转移法;二是合同与财务协议法。对企业而言,前者是风险转移的最主要形式。(4)筹资风险保留策略。 风险保留包括风险接受、风险吸收和风险容忍。它是一种由企业自己承担风险事故所致损失的一种财务风险管理技术,其实质是将企业自身承受的风险以及生产经营过程中不可避免的财务风险承受下来,并采用必要的措施加以控制,以减少风险程度或减少不利事项的发生。市场经济条件下,企业总是在各种不确定性环境中进行生产经营的,风险充斥着各种决策过程。理性的经济人更多采用风险保留策略来实现财务利益的最大化。如企业努力建立企业风险管理文化、健全财务风险管理信息系统、财务风险管理组织系统、财务风险管理预警系统、财务风险管理决策支持系统等一系列措施都是为了增强自身抵御财务风险的能力。
总之,财务筹资风险管理因各个企业所处的内外部环境不同,其管理系统的构建也各异。财务筹资风险管理策略的恰当运用,有助于企业把财务风险管理推向战略管理的高度,更好地防范和化解各种财务风险,实现企业财务管理的最终目标,实现企业的可持续发展。
参考文献:
[1]吴少平 李小燕:谈财务危机预警分析指标的确定标准.金融科学,2000
[2]刘存霞:关于我国企业财务管理目标的再探讨.经济师,2003
【关键词】科研项目 科技 风险管理
党的十八届三中全会提出,要深化科技体制改革,建设国家创新体系。科研项目是建设国家创新体系极为重要的载体,提高科研项目管理水平是深化科技体制改革、落实创新驱动发展战略的主要渠道。科研项目作为一项开创性的活动,具有极大的不确定性,始终与风险相伴相生,因此,加强科研项目风险管理对于任何科研主体来说都十分重要。
一、科研项目风险概述
风险是指在特定环境和时间段内发生某种损失的可能性,是未来的不确定性对实现既定目标的影响。科研项目风险是指在规定的时间进度、资源条件下完成既定的科研任务和目标的不确定性。这一风险的测量指标一般包括两个维度,一是发生风险的可能性,也就是概率,二是发生风险对应的损失,包括但不限于经济上的。科研项目最大的特征就是探索性、创新性,很大程度就是依托既有的技术条件向未知领域的拓展,而风险恰恰就是创新的伴生物。这决定了相比于其他项目管理,科研项目的风险更加突出,更加复杂,应该受到格外关注和重视。根据相关调研,随着国家创新驱动战略的深入实施,科研项目规模迅速扩大,科研成果大量涌现,但是在科研项目的管理上也存在较为粗放的问题,不少项目存在质量不高、进度失控、成本费用超预算、成果不理想等问题,特别是过于重视项目立项申报,对项目实施和过程控制重视不够,项目管理的风险意识较为薄弱,反映了项目风险管理水平有待提高。
二、科研项目风险管理的主要流程
科研项目风险管理是项目风险分析、识别、评估、应对的过程,核心是根据识别出来与科研项目相关的各个风险,按轻重缓急,逐条逐项明确风险应对措施,采用相应管理方法和手段,从事前、事中、事后三个管理阶段,对风险进行有效的防控。其中,重中之重是事前防范,最大限度避免项目风险事件的发生,最大程度降低项目出现损失的可能性。根据科研项目管理的特点,其风险管理的主要流程应该包括四个方面。
(一)建立项目风险管理组织。在科研项目申报立项和预可研之初就要在项目团队明确项目风险的组织和人员,重大项目应有专职的风险管理小组和岗位,统一项目的风险管理,明确责任。
(二)项目风险初始信息收集。信息是管理决策的基础,也是风险管理的基础。要做好科研项目风险管理,前提是要尽可能全面地收集项目的基本信息,收集与项目相关的有价值的信息,包括政策情况、技术情况、设备情况、专家情况、人员情况、合作方的情况等等,并进行必要的筛选、提炼、对比、分类,建立项目的基础信息库,为风险识别与评估做好准备。
(三)项目风险识别与评估。采用定性与定量相结合的方式,对项目存在的风险进行识别与评估,确立主要风险种类和具体风险点,并进行重要性排序,重点是要做到全覆盖、无死角,因为很多重大风险往往出在看似不经意的地方。定性方法主要可采用问卷调查、项目组集体讨论、相关专家咨询、情景分析、由专人主持的工作访谈和调查研究等。定量方法主要可采用统计推论、计算机模拟、事件树分析等方法。条件具备的情况下,最好能通过一些列的假设和条件设置,建立统一的度量单位和风险测度模型,对风险进行定量评估,根据风险发生可能性的高低和对目标的影响程度的评估,绘制项目风险坐标图,确立更加科学的优先顺序。
(四)项目风险管理策略与应对实施。根据识别出来的风险,结合项目团队的风险偏好、风险承受度等因素,选择确立包括风险规避、风险转移、风险承担、风险转换、风险补偿等适合的管理策略。根据不同策略,分类制定包括人、财、物配置的风险应对方案,并全面组织方案实施。
(五)风险管理过程监控与动态优化。结合风险应对方案,把风险管理贯穿到科研项目的全过程,覆盖到项目运作的各个环节,尤其要加强关键节点的监控,保证风险管理措施的有效实施。针对项目运作期间出现的新情况、新问题,要迅速对风险策略和应对方案进行动态优化调整,增强风险管理对环境变化的适应性和有效性。
三、科研项目的主要风险点
科研项目风险在项目立项、可研、审批、招标投标、实施、结项等各个期间均应做好风险管理,保证项目质量。根据科研项目的一般属性和特殊性,有几个关键风险点需要认真加以重视。
(一)技术风险。不管是基础研究、应用研究还是开发研究,科研项目的根本任务是探索和认识未知领域,其最大的不确定性就是技术层面的风险。第一,因为现有的认识水平、技术水平、科学知识及其他现有条件的限制,技术规划不合理,出现无法预见、难以克服的技术困难,特别是所依赖的相关技术不配套、不成熟,技术支撑条件存在不足,造成关键技术无法突破。第二,对研究平台要求过高,不切实际,主要是项目研究需要的实验设备及实验实等硬件条件不够完善,特别是一些高尖端的实验设备,无法满足研究需要。第三,项目技术的相关技术人员的能力存在不足或与项目研究领域不匹配,制约了项目研究开发。
(二)项目团队风险。人是科研项目成败的决定性因素,是科研项目的重大风险源。首先是选择项目负责人的风险。根据吴建南(2010)等学者对科研项负责人相关特征与科研项目绩效的相互关系的实证研究,结果表明:项目负责人职称对科研项目绩效存在显著的正向影响;项目负责人年龄与项目绩效呈U型曲线关系;项目负责人担任领导职务、出国留学经历对项目绩效存在显著的负向影响;项目负责人学历以及过往承担项目经历对项目绩效没有显著影响。因此,项目负责人的基本素养、个人能力、精力投入对科研项目具有重要影响。其次是选择项目成员的风险。在项目立项申报时为达到项目对职称、学历、人数等方面的要求,容易出现“挂名”充数的现象,在项目实际开展过程中,预先计划的科研人员因为种种原因无法投入到实际研究工作中来,或者因为来自不同部门或单位,有各自的科研任务而不能专心致志地投入研究工作。此外,团队风险还体现为项目成员因工作变动、疾病等各种原因不能继续参加研究,而后续替补人员又无法马上跟进,造成项目开展受到不利影响。
(三)费用控制风险。科研经费不足也是当前困扰很多科研项目顺利开展的重要因素。主要体现为:一是费用预算出现偏差。因为对项目涉及到的实验设备、器材、元器件及人力的所需的规模数量及市场行情估计不足,造成项目申报时经费预算偏少。二是经费使用不合理。在设备采购、消耗品使用、人工成本支出等方面过于粗放,缺乏有效的项目财务管理和监督,成本控制不力,导致经费支出混乱,超支严重。三是有些项目涉及到自筹经费,在经费来源上不能得到有力保证,容易造成项目因为经费中断无法继续开展。
(四)进度控制风险。项目进度是评价科研项目的重要指标,不能按计划如期完成科研目标也是科研项目的重大风险。首先是项目计划过于乐观。对科研项目需要的时间周期和可能遭遇的困难估计不足,对人员到位、资源匹配、实验攻坚、结果验证等重点环节拟定的计划不切实际,造成项目无法如期完成。其次是进度管理前松后紧。由于缺乏对过程节点的有效控制和督促,容易出现在项目前期工作精力投入不足,大量任务拖到项目后期进行的现象,加上中间变故的增多,造成项目超期。
四、增强科研项目风险防控能力的建议
针对科研项目风险的主要特点及其风险管理主要内容,应该在树立全面风险管理意识、制定合理有效地项目管理制度、建立覆盖全面地风险管理体系、加强信息化技术应用等方面来增强科研项目风险防控能力。
(一)树立科研项目全面风险管理理念。必须要重视项目管理风险意识的强化,从单位负责人、项目团队负责人到每一名科研人员都要联系自己的岗位职责,充分认识项目可能出现的不确定性及其后果,要树立全面风险管理理念,把科研项目风险管理与项目研发等核心工作紧密结合起来,融入到科研项目日常管理和主要流程之中,形成由科研项目承担单位、项目团队负责人、一线科研人员组成的三道项目风险管理防线。
(二)建立覆盖科研项目前、中、后台的风险管理体系。主要是立足科研项目的总体目标,通过在科研项目的各个环节执行风险管理的主要流程,建立全面风险管理体系,包括风险管理策略、风险管理主要措施、风险管理职责分工、项目内部控制系统等。重点要把业务中心与管理中心相分离,将项目的具体科研工作作为的项目前台,将项目成本管理、事务性工作作为项目的中后台,让前台集中精力做好项目研发,让中后台做好对项目前台工作的服务,形成相互支持、相互监督、相互制约的风险防范格局。
(三)制定行之有效的科研项目风险管理制度。制度建设是抓好项目风险管理的基础,也就是要让项目团队成员能够有据可依、有章可循地在做好研究开发工作的同时,认真履行风险防控的职责。其核心就是要做到权、责、利清晰明确,不能留有模糊空间,否则就会形成项目风险防控的盲区。科研项目工作中的某一个具体环节,如果多头多人都负责,结果就是无人负责,从而形成项目管理的漏洞,成为项目风险源。制度建设就是要扫除这些管控盲区,确保每一个项目成员都能各尽其能、各尽其责。
(四)加强信息化技术在科研项目风险管理中的应用。信息化是提高各个领域管理效率的重要手段,对科研项目风险管理也是一样。要通过一定的技术和方法,建立从项目立项到项目结题的全过程的科研项目信息化管理平台,并在其中嵌入风险管理流程,建立项目风险关系信息系统,对成本预算控制等一些关键运作流程的控制要实现信息化管控。要通过项目信息化运作,既能提高项目开发的效率,更可以增强项目运作过程的透明化,使项目开发过程、各项资源匹配、项目进度控制等都能更加清晰有效地得到控制,从而增强对项目风险的防控能力。
参考文献:
[1]邵舒扬,董浩.基于层次分析法的科研项目风险研究.山西科技,2014(06).
[2]蒋琰,陈谦明,黄海,杨宁.基于项目能力成熟度模型的科研项目风险控制.软科学, 2009(06).
[3]吴建南,章 磊,郑永和.科研项目负责人特征与项目绩效的关系研究――基于科学基金面上项目的实证分析. 科学学与科学技术管理,2010(12).
关键词:银行业务;操作风险;策略分析
中图分类号:F830.33 文献标识码:A 文章编号:1001-828X(2013)11-0-01
一、我国商业银行操作风险管理的发展分析
2004年巴塞尔新资本协议后,全球银行业对操作风险的认识提升到一个新的层次。受国际监管理念的影响,同时受金融机构案件频发的警醒,近年来,我国监管机构和商业银行加大了操作风险管理力度。2005年银监会出台了防范操作风险的“十三条”规定,2007年5月,颁布了《商业银行操作风险管理指引》,并指出,操作风险是“由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险”,2008年9月又颁布了《商业银行操作风险监管资本计量指引》,指出商业银行选择标准法、替代标准法和高级计量法之一来计量操作风险的监管资本,2012年了《商业银行资本管理办法(试行)》,对新资本协议提出的操作风险组织架构、政策、工具、流程和报告路线方面的监管要求做出了全面承接与细化,并要求国内银行业在2018年前达标。至此,在中国银行业,操作风险管理被作为主要风险管理职能纳入了全面风险管理体系。
二、我国商业银行操作风险成因分析
(一)对操作风险管理的认识存在主观偏差
一是认为操作性风险是操作部门或操作岗位员工才会产生的业务风险,对操作风险的普遍性、危害性和长期性缺乏足够的认识,同时缺乏对操作风险的有效认识和整体把握。二是认为操作风险管理主要是管理层的任务,与自己的切身利益关系不大,导致操作风险管理的执行力度受到影响。三是管理层面还存在操作风险管理理念和认识深度参差不齐的现象,导致未能有效实施操作风险管理的规划。
(二)操作风险管理工具的实际应用有待加强
目前,我国商业银行的操作风险管理还处于初期阶段,管理基础比较薄弱。在风险管理实际执行中,对风险管理工具的认知和应用还存在报送数据、报告之类的初级操作,且报告的风险分析质量不高,数据错漏现象时有发生。另外,专业风险管理人才普遍欠缺,不能熟练运用操作风险三大工具实现风险识别、评估、监控和预警处理的全流程管理,使管理层不能全面深入了解所面临的操作风险,不能有效根据自身的承受能力和发展策略采取针对性的应对措施。
(三)操作风险监测分析不到位
目前,操作风险管理对事前的防范和事中的控制措施关注度不够,主要是对已发生或已存在的风险采取事后的管理处罚措施并提出相关的改进意见,管理部门通常将工作重点集中在事件后的突击检查、查找问题、整改工作和处理责任人等。操作不按流程、审核不到位、随意简化程序等问题依旧屡查屡犯,不能从根源上有效控制和防范操作风险。另外,风险预警体系不够健全,缺乏事前全面、系统的评价机制,不能有效的对风险损失事件进行预测和控制。
(四)基层操作风险相对突出
基层机构数量众多,管理链条过长,监管相对较弱,是违规操作发生的原因之一。根据监管部门的案情通报,大案要案及违规事件主要大部分都集中在银行的基层机构,反映出银行对基层机构的控制及基层机构自身的操作风险管理能力相对较弱,制度执行力不强,风险最为突出,基层营业网点操作风险主要表现在违规操作屡查屡犯。
三、我国商业银行操作风险管理的对策分析
(一)培育操作风险管理文化
管理者应充分了解本行操作风险现状,营造全员共同参与的操作风险管理环境,确立全面风险管理理念,从经营理念、管理制度、行为规范等方面形成内部积极和谐的风险管理文化氛围。组织多形式、分层次的操作风险管理培训,培训课程应涵盖操作风险管理实务、风险资本计量、操作风险管理师资培训等,保证各级员工获得足够的操作风险管理知识和技能。
(二)完善操作风险管理激励约束机制
改善和强化绩效考核和约束机制,加强对监管政策及要求的学习与传达。由于基层机构内控水平较为薄弱,操作风险管理应把基层机构的内控执行效果作为评价、验证操作风险管理的重要标准。不仅要加强对基层机构操作风险的及时监控,还应将风险因素的考核纳入网点负责人绩效考核范畴,并加大操作风险的考核权重,提高内控管理工作效果考核分值,明确奖惩标准。通过考核促进基层行重视操作风险管理,从而激发全体员工积极参与操作风险管理。
(三)加强内控管理与操作风险管理一体化建设
良好的内部控制建设,可有效防范起因于内部管理流程、人员以及系统的操作风险。实际工作中,对操作风险发挥主要控制作用的是内部控制体系。内控管理和操作风险管理工作一体化管理思路,要从组织与职责、体系与流程、管理工具和信息系统等方面将内控管理与操作风险管理两项工作整合起来,避免内控与操作风险管理中的重复工作,节约时间成本与人力资源。同时,借鉴操作风险的监控指标、风险容忍度等工具,使内控管理决策更加科学,成本效益比更趋合理。
(四)完善风险评估与监测体系,强化事前预警监测
建立操作风险监控分析平台,实现对异常交易的筛查、核查和验证,对交易、行为、实物进行实时监控。在日常管理中,应充分考虑IT资源成本优先实现对高风险业务的监控,并及时根据监控情况及业务发展实际,在现有的参数化预警模型基础上,进一步完善预警模型及监测体系,满足完善监控平台用户需求,加强对操作风险特性的识别,着力提升风险分析能力,识别和防控重大操作风险,促进业务流程优化和系统完善,完善的操作风险识别、计量、监测和控制程序。
参考文献:
[1]杨天玲.银行操作风险成因及对策研究来源[J].金融与保险,2008(06).
[2]许文,徐明圣.风险映射与商业银行操作风险控制[J].银行家,2008(07).
(一)风险管理基本原则的确定
一般来说,金融机构的董事会首先要根据自身的市场定位确定风险管理的基本理念和原则,并要求风险管理委员会和相应的风险管理部门积极予以落实。
我们可以简要地比较美林和摩根等公司的风险管理原则。
1美林公司的风险管理原则
在美林公司,尽管风险管理的方法和策略一变再变,但以下述6个原则为基础的基本理念却几乎没变。这主要包括:任何风险规避方案中,最重要的工具是经验、判断和不断的沟通;必须不断地在整个公司内部强化纪律和风险意识;管理人员必须以清晰和简洁的语句告诫下属:在资本运营中哪些可以做,哪些不可以做;风险管理必须考虑非预期的事件,探索潜在的问题,检测不足之处,协助识别可能的损失;风险管理策略必须具备灵活性,以适应不断变化的环境;风险管理的主要目标必须是减少难以承受的损失的可能性。这样的损失通常源自无法预计的事件,大部分的统计和模型式的风险管理方法无法预计。
在过去几年,用数学模型来测量市场风险已成为世界范围内众多风险管理的要点,风险管理几乎成了风险测量的同义词。美林公司认为,数学风险模型的使用只能增加可靠性,但不能提供保证,因此,对这些数学模型的依赖是有限的。
事实上,由于数学风险模型不能精确地量化重大的金融事件,所以,美林公司只将其作为其他风险管理工作的补充。
总的来讲,美林公司认为,一个产品的主要风险不是产品本身,而是产品管理的方式。违反纪律或在监管上的失误可导致损失,而不论产品为何或使用何种数学模型。
2摩根公司的风险管理原则
摩根斯坦利则认为,风险是金融机构业务固有特性,与金融机构相伴而生。金融机构在经营活动中会涉及各种各样的风险,如何恰当而有效地识别、评价、检测和控制每一种风险,对其经营业绩和长期发展关系重大。公司的风险管理是一个多方面的问题,是一个与有关的专业产品和市场不断地进行信息交流,并作出评价的独立监管过程。
应当说,这些基本的风险管理原则既是其长期进行风险管理的经验的总结,也是其实施风险管理的基本知指导原则,在整个风险管理体系中占有十分重要的地位。
(二)确定风险管理的基本程序
董事会制定风险管理及控制战略的第一步是,根据预定的风险管理原则,并根据风险对资本比例情况,对公司业务活动及其带来的风险进行分析。在上述分析的基础上,要规定每一种主要业务或产品的风险数量限额,批准业务的具体范围,并应有充足的资本加以支持。此后,应对业务和风险不断进行常规检查,并根据业务和市场的变化对战略进行定期重新评估,并将结论应直接报告决策层。
在识别风险和确定了抵御风险的总体战略后,公司就可以制定用于日常和长期业务操作的详细而具体的指引。为此,风险管理的政策和程序中应包括,风险管理及控制过程中的权力及遵守风险政策的责任,有效的内部会计控制,内部和外部审计等。如果公司较大较复杂,则需要建立集中、自主的风险管理部门。就风险管理和控制部门而言,最重要的是配备适当的专业人员、并独立于产生风险的部门。
因为控制结构的有效性取决于运用它的人,因此,有效控制的前提是机构内所有员工都具有高度的责任。在确定风险管理及控制过程的权力和责任时,一个重要的因素应是将风险的衡量、监督和控制与产生风险的交易部门分开。高级管理层应保证职责适当分开,员工的责任不应互相冲突。
二金融机构风险管理架构的比较
(一)金融机构风险管理的基本架构
现代金融机构因其业务的偏重点不同而具有不同的风险管理体系,但其基本构架都大同小异。一般来说,金融机构设有"风险管理委员会"集中统一管理和控制公司的总体风险及其结构。"风险管理委员会"直接隶属于公司董事会,其成员包括:执行总裁、全球股票部主任、全球固定收入证券部主任、各地区高级经理、财务总监、信贷部主任、全球风险经理以及一些熟悉、精通风险管理的专家等,下面直属不同形式的风险管理部门来实施风险管理委员会的战略和要求。
同时,金融机构应具备风险管理及控制的报告和评估程序,包括检查现行政策和程序执行报告和发现例外情况的制度。一般来说,风险暴露以及盈亏情况应每日向负责监控风险的管理层报告,后者应简要向负责公司日常业务的高级管理层汇报。另外,金融机构要对风险战略、政策和程序的评估应该定期开展,评估应考虑到现行政策的结果、业务以及市场的变化。风险管理及控制政策的方法、模型和假设的变更应由决策层审核。政策和程序应要求风险管理及控制部门参与对新产品和业务的考察。
"风险管理委员会"的主要职责是:设计或修正公司的风险管理政策和程序,签发风险管理准则;规划各部门的风险限额,审批限额豁免;评估并监控各种风险暴露,使总体风险水平、结构与公司总体方针相一致;在必要时调整公司的总体风险管理目标。"风险管理委员会"直接向董事会报告,它每周开一次例会(需要时可随时召集)讨论主要市场的风险暴露、信贷暴露与其它各种头寸,研究潜在的新交易、新头寸以及风险豁免等问题。
"风险管理委员会"下设不同形式的、分离或者整合的风险管理部门(如分别设立市场风险管理部门、信用风险管理部门等,或者整合为一个完整的风险管理部),他们均独立于公司的其它业务部门。市场风险管理部门负责监管公司在全球范围内的市场风险结构(包括各地区、各部门、各产品的市场风险);信用风险管理部门负责监管公司在全球范围内的各业务伙伴的暴露额度;审计部通过定期检查公司有关业务和经营状况,评估公司的经营和控制环境。
金融机构的风险管理采用多层制,除了"风险管理委员会"及其市场风险管理部门、信用风险管理部门、审计部外,其它如融资部、财务部、信息技术部以及各业务部的部门风险经理均参与风险的确认、评估和控制,并接受风险管理部的监督和评估、考核。这些部门的经理及代表每隔一周开一次例会(需要时可随时召集)以求沟通信息、交流经验、正确评估风险、调险管理政策。
以下是对美林等几家公司的比较。
(一)美林公司的风险管理架构
为了在基层交易部门强化风险管理机制,美林公司制定了公司风险控制策略和操作规程,要求相关的区域机构和单位在识别、评价和控制风险时予以遵循。
这些策略和操作规程的实施涉及许多部门,包括全球风险管理部、公司信贷部和其他的控制部门(比如财务、审计、经营以及法律和协调部门)。为了协调上述风险管理部门的工作,公司还成立了由风险管理部、公司信贷部和控制部门高级管理人员组成的风险控制和储备委员会,该委员会在风险管理过程中发挥着重要的监督作用。
风险控制委员会和风险管理部对所有的机构交易活动进行总的风险监督。风险控制委员会独立于美林的交易部门,定期向公司董事会下属的审计和财务委员会汇报风险管理的状况。
储备委员会监测与资产和负债有关的价值和风险。美林公司针对那些可能导致现存资产价值损失或带来新的负债的事件,确定在目前形势下使公司资产和负债保持平衡的储备水平。储备委员会通常由主要的财务官员任主席,主要负责考察和批准整个公司的储备水平和储备方法的变化。储备委员会每月开会一次,考察当时的市场状况,并对某些问题采取行动。美林公司在决定储备水平时会考虑管理层在下述方面的意见(Ⅰ)风险和暴露的识别;(Ⅱ)风险管理原则;(Ⅲ)时效、集中度和流动性。
(二)摩根斯坦利的风险管理架构
摩根公司的高级管理人员在风险管理过程中发挥重要的作用,并通过制定相应的风险管理策略和规程予以保障,以便在对各种各样的风险进行识别、评估和控制过程中,提供管理和业务方面的支持。随着对不断变化的和复杂化的全球金融服务业务认识的提高,公司不断地检讨风险管理策略和操作规程,以使其不断完善。
公司的风险管理委员会,由公司大部分高级管理人员组成,负责制定整个公司风险管理的策略及考察与这些策略相关的公司业绩。风险管理委员会下设几个专门风险管理委员会,以帮助其实施对公司风险活动的检测和考察。除此之外,这些风险管理委员会还考察与公司的市场和信用风险状况、总的销售策略、消费贷款定价、储备充足度和合法实施能力以及经营和系统风险有关的总体框架、层次和检测规程。会计主任、司库、法律、协调和政府事务部门及市场风险部门,都独立于公司业务部门,协助高级管理人员和风险管理委员会对公司风险状况进行检测和控制。另外,公司的内部审计部门也向高级管理人员汇报,并通过对业务运营领域的考察,对公司的经营和控制环境进行评价。公司经常在每一个管理和业务领域,聘用具有适当经验的专家,以有效地实施公司的风险管理监测系统和操作规程。
三对主要类型的风险的管理战略
金融机构风险管理主要涉及市场风险、信用风险和其他风险的管理,同时针对不同的风险的特点,确定不同的实施方案和管理战略。
(一)主要的风险类型
1市场风险
市场风险是指因市场波动而使得投资者不能获得预期收益的风险,包括价格或利率、汇率因经济原因而产生的不利波动。除股票、利率、汇率和商品价格的波动带来的不利影响外,市场风险还包括融券成本风险、股息风险和关联风险。
美国奥兰治县(ORANGECOUNTRY)的破产突出说明了市场风险的危害。该县司库将"奥兰治县投资组合"大量投资于所谓"结构性债券"和"逆浮动利率产品"等衍生性证券,在利率上升时,衍生产品的收益和这些证券的市场价值随之下降,从而导致奥兰治县投资组合出现17亿美元的亏损。GIBSON公司由于预计利率下降,购买了大量利率衍生产品而面临类似的市场风险。当利率上浮时,该公司因此损失了2000万美元。同样,宝洁公司(Procter&Gamble)参与了与德国和美国利率相连的利率衍生工具交易,当两国的利率上升高于合约规定的跨栏利率时(要求宝洁公司按高于商业票据利率1412基点的利率支付),这些杠杆式衍生工具成为公司承重的负担。在冲抵这些合约后,该公司亏损1.57亿美元。
2信用风险
信用风险是指合同的一方不履行义务的可能性,包括贷款、掉期、期权及在结算过程中的交易对手违约带来损失的风险。金融机构签定贷款协议、场外交易合同和授信时,将面临信用风险。通过风险管理控制以及要求对手保持足够的抵押品、支付保证金和在合同中规定净额结算条款等程序,可以最大限度降低信用风险。
近来,信用风险问题在许多美国银行中开始突出起来,根据1998年1月的报告,其季度财务状况已因环太平洋地区的经济危机而受影响。例如,由于亚洲金融风暴,JP摩根(JPMORGEN)将其约6亿美元的贷款划为不良贷款,该行97年第四季度的每股盈利为1.33美元,比上年的2.04美元下降35%,低于市场预期的每股收益1.57美元。
3操作风险
操作风险是指因交易或管理系统操作不当引致损失的风险,包括因公司内部失控而产生的风险。公司内部失控的表现包括,超过风险限额而未经察觉、越权交易、交易或后台部门的欺诈(包括帐簿和交易记录不完整,缺乏基本的内部会计控制)、职员的不熟练以及不稳定并易于进入的电脑系统等。
1995年2月巴林银行的倒闭突出说明了操作风险管理及控制的重要性。英国银行监管委员会认为,巴林银行倒闭的原因是新加坡巴林期货公司的一名职员越权、隐瞒的衍生工具交易带来的巨额亏损,而管理层对此却无丝毫察觉。该交易员同时兼任不受监督的期货交易、结算负责人的双重角色。巴林银行未能对该交易员的业务进行独立监督,以及未将前台和后台职能分离等,正是这些操作风险导致了巨大损失并最终毁灭了巴林银行。
类似的管理不善导致日本大和银行在债券市场上遭受了更大损失。1995年人们发现,大和银行的一名债券交易员因能接触公司会计帐簿而隐瞒了约1亿美元的亏损。与巴林银行一样,大和的这名交易员同时负责交易和会计。这两家银行都均违背了风险管理的一条基本准则,即将交易职能和支持性职能分开。
操作风险的另一案例是Kidder,Peabody公司的虚假利润案。1994年春,KIDDER确认,该公司一名交易员买卖政府债券获得的约3.5亿美元"利润"源于对公司交易和会计系统的操纵,是根本不存在的。这一事件迫使Kidder公司将资产售予竞争对手并最终清盘。
操作风险可以通过正确的管理程序得到控制,如:完整的帐簿和交易记录,基本的内部控制和独立的风险管理,强有力的内部审计部门(独立于交易和收益产生部门〕,清晰的人事限制和风险管理及控制政策。如果管理层监控得当,并采取分离后台和交易职能的基本风险控制措施,巴林和大和银行的损失也许不会发生,至少损失可以大大减少。这些财务失败说明了维持适当风险管理及控制的重要性。
(二)对市场风险的管理策略
金融机构维持合适的头寸,利用利率敏感性金融工具进行交易,都要面对利率风险(比如:利率水平或波动率的变化、抵押贷款预付期长短和公司债券和新兴市场资信差异都可带来风险);在外汇和外汇期权市场做市商或维持一定外汇头寸,要面对外汇风险,等等。在整个风险管理框架中,市场风险管理部门作为风险管理委员会下属的一个执行部门,全面负责整个公司的市场风险管理及控制并直接向执行总裁报告工作。该部在重点业务地区设有多个国际办公室,这些办公室均实行矩阵负责制。它们除了向全球风险经理报告工作外,还要向当地上一级非交易管理部门报告工作。
市场风险管理部门负责撰写和报送风险报告,制定和实施全公司的市场风险管理大纲。风险管理大纲向各业务单位、交易柜台经风险管理委员会审批的风险限额,并以此为参照对执行状况进行评估、监督和管理;同时报告风险限制例外的特殊豁免,确认和公布管理当局的有关监管规定。这一风险管理大纲为金融机构的风险管理决策提供了一个清晰的框架。
市场风险管理部门定期对各业务单位进行风险评估。整个风险评估的过程是在全球风险经理领导下由市场风险管理部门、各业务单位的高级交易员和风险经理共同合作完成的。由于其他高级交易员的参与,风险评估本身为公司的风险管理模式和方法提供了指引方向。
为了正确评估各种市场风险,市场风险管理部门需要确认和计量各种市场风险暴露。金融机构的市场风险测量是从确认相关市场风险因素开始的,这些风险因素随不同地区、不同市场而异。例如,在固定收入证券市场,风险因素包括利率、收益曲线斜率、信贷差和利率波动;在股票市场,风险因素则包括股票指数暴露、股价波动和股票指数差;在外汇市场,风险因素主要是汇率和汇率波动;对于商品市场,风险因素则包括价格水平、价格差和价格波动。金融机构既需要确认某一具体交易的风险因素,也要确定其作为一个整体的有关风险因素。
市场风险管理部门不仅负责对各种市场风险暴露进行计量和评估,而且要负责制定风险确认、评估的标准和方法并报全球风险经理审批。确认和计量风险的方法有:VAR分析法、应力分析法、场景分析法。
根据所确认和计量的风险暴露,市场风险管理部门分别为其制定风险限额,该风险限额随交易水平变化而变化。同时,市场风险管理部门与财务部合作为各业务单位制定适量的限额。通过与高级风险经理协商交流,市场风险管理部门力求使这些限额与公司总体风险管理目标一致。
1美林公司的市场风险管理策略
美林公司市场风险管理过程包含了下述三个要素:(i)沟通;(ii)控制和指导;(iii)风险技术。
风险管理按地理区域和产品线组织,以确保某一特定的区域或某一产品交易范围内的风险管理人员能进行经常和直接的沟通。同时,风险管理部门应与高级的交易经理进行定期和正式的风险研讨。
为了弥补基层交易部门风险规避技术的不足,公司风险管理部门制定了一些规范和准则,包括交易限额,超过限额必须提前得到批准。另外,作为新的金融产品检测过程的一部分,新的金融产品交易要由风险管理部门和来自其他控制单位的代表批准。某些业务,比如高收益证券和新兴市场的证券承销、不动产融资、临时贷款等,在向客户作出承诺前,需要事先得到风险管理和其他控制部门的批准。风险管理部门有权要求减少某一特定的柜台交易风险暴露头寸或取消计划的交易。
风险管理使用几种风险技术工具,包括风险数据库、交易限额监视系统、交易系统通道和敏感性模拟系统。风险数据库每日按产品、资信度和国别等提供库存证券风险暴露头寸的合计数和总数。交易限额检测系统使风险管理部门能及时检查交易行为是否符合已建立的交易限额。交易系统通道允许风险管理部门去检测交易头寸,并进行计算机分析。
敏感性模拟系统用来估算市场波动不大和剧烈波动两种情形下的损益。每一次测算时仅考虑一个重要风险因素,比如利率、汇率、证券和商品价格、信贷利差等,同时假设其他因素不变。以此为基础,风险管理部门可以检测到整个公司的市场风险,并根据需要调整投资组合。
2摩根斯坦利的市场风险管理策略
公司利用各种各样的风险规避方法来管理它的头寸,包括风险暴露头寸分散化、对有关证券和金融工具头寸的买卖、种类繁多的金融衍生品(包括互换、期货、期权和远期交易)的运用。公司在全球范围内按交易部门和产品单位来管理与整个公司交易活动有关的市场风险。公司按如下方式管理和检测其市场风险:建立一个交易组合,使其足以将市场风险因素分散;整个公司和每一个交易部门均有交易指南和限额,并按交易区域分配到该区域交易部门和交易柜台;交易部门风险经理、柜台风险经理和市场风险部门都检测市场风险相对于限额的大小,并将主要的市场和头寸变化报告给高级管理人员。
市场风险部门使用Value-at-Risk和其他定量和定性测量和分析工具,根据市场风险规律,独立地检查公司的交易组合。公司使用利率敏感性、波动率和时间滞后测量等工具,来估测市场风险,评估头寸对市场形势变化的敏感性。交易部门风险经理、柜台风险经理和市场风险部门定期地使用敏感性模拟系统,检测某一市场因素变化对现存的产品组合值的影响。
(三)信用风险的管理策略
信用风险管理是金融机构整体风险管理构架中不可分割的组成部分,它由风险管理委员会下设的信用风险管理部门全面负责。信用风险管理部门直接向全球风险经理负责,全球风险经理再依次向执行总裁报告。信用风险管理部门通过专业化的评估、限额审批、监督等在全球范围内实施信贷调节和管理。在考察信用风险时,信用风险管理部门要对风险和收益间的关系进行平衡,对实际和潜在的信贷暴露进行预测。为了在全球范围内对信用风险进行优化管理,信用风险管理部门建立有各种信用风险管理政策和控制程序,这些政策和程序包括:
(1)对最主要的潜在信贷暴露建立内部指引,由信用风险管理部门总经理监督。
(2)实行初始信贷审批制,不合规定的交易要由信用风险管理部门指定成员审批才能执行。
(3)实行信贷限额制,每天对各种交易进行监控以免超过限额。
(4)针对抵押、交叉违约、抵消权、担保、突发事件风险合约等订立特定的协议条款。
(5)为融资活动和担保合约承诺建立抵押标准。
(6)对潜在暴露(尤其是衍生品交易的)进行定期分析。
(7)对各种信贷组合进行场景分析以评估市场变量的灵敏性。
(8)通过经济、政治发展的有关分析对风险进行定期评估。
(9)和全球风险经理一起对储存时间较长、规模庞大的库存头寸进行专门评估和监督。
美林公司通过制定策略和操作规程以避免信用风险损失,包括确立和检测信用风险暴露限额及与某一订约方或客户交易额限额、在信用危机中取得收缴和保留抵押品或终止交易以及对订约另一方和客户不断地进行信用评价的权利。业务部门有责任与公司制定的策略和操作规程保持一致,并受到公司信贷部门的监督。公司信贷部门实行集中分区管理。信贷负责人分析和确定订约另一方或客户的资信状况,按订约方或客户设立初始或当前的信贷限额,提议信用储备,管理信用风险暴露头寸和参与新的金融产品的检测过程。
许多类型交易包括衍生品和辛迪加贷款要提前报请公司信贷部门批准。公司信贷部门所能审批的交易数量是有限的,限额视该项交易的风险程度和相关客户的资信度确定,超过此限额,须上报公司信贷委员会批准。
借助信用系统手工和自动记录的信息,公司信贷部门能检测信用风险暴露头寸在订约另一方/客户、产品和国别的集中度。这一系统能按订约另一方或客户累计信用风险暴露头寸,维持整个订约方/客户和某一产品的风险暴露限额,并按订约另一方或客户识别限额检测数据。整个公司库存头寸和已执行交易的详细信息,包括现在和潜在的信用风险暴露头寸信息会不断地更新,并不断地与限额相比较。如果需要,可增加抵押贷款数额,以减少信用风险暴露头寸,并记录在信用系统中。
公司信贷部门与业务部门一起设计和完善信用风险测度模型,并且分析复杂的衍生品交易的信用风险暴露头寸。公司信贷部门还检测与公司零售客户业务有关的信用风险暴露头寸,包括抵押品和住宅证券化额度、客户保证金帐户资金数额等。
集中度风险可以视为信用风险中的一个重要类型。集中度风险,即金融机构业务对单一收入、产品和市场的依赖风险。美林公司定期检测集中度风险,并通过实施其分散化的经营战略和计划来减少此风险。最近,美林公司已将其全球的收入来源分散化,从而减少了公司收入对单一金融产品、客户群或市场的依赖。
雷曼兄弟公司通过产品、客户分散化和交易活动在地区分布的分散化,以图实现减少风险的目标。为此,公司合理地分配每类业务资金的使用额,为每类产品和交易者制定交易限额,并对上述额度做地域上的合理分配。公司根据每一类业务的风险特性,寻求相应的回报。根据与公司指南相一致的收益获得能力、市场机会和公司的长期战略,公司定期地重新分配每一业务的资金用量。
(四)操作风险的管理策略
作为金融服务的中介机构,金融机构直接面临市场风险和信用风险暴露,它们均产生于正常的活动过程中。除市场风险和信用风险外,金融机构还将面临非直接的与营运、事务、后勤有关的风险,这些风险可归于操作风险。
在一个飞速发展和愈来愈全球化的环境中,当市场中的交易量、产品数目扩大、复杂程度提高时,发生这种风险的可能性呈上升趋势。这些风险包括:经营/结算风险、技术风险、法律/文件风险、财务控制风险等。它们大多是彼此相关的,所以金融机构监控这些风险的行动、措施也是综合性的。金融机构一般由行政总监负责监察公司的全球性操作和技术风险。行政总监通过优化全球信息系统和数据库实施各种长期性的战略措施以加强操作风险的监控。一般的防范措施包括:支持公司业务向多实体化、多货币化、多时区化发展;改善复杂的跨实体交易的控制。促进技术、操作程序的标准化,提高资源的替代性利用;消除多余的地区请求原则;降低技术、操作成本,有效地满足市场和监管变动的需要,使公司总体操作风险控制在最合适的范围。
美林公司采取多种方式管理它的操作风险,包括一个维持支持系统、使用相关技术和雇佣有经验的专家。美林公司借助信息系统提供的对主要市场操作风险的评价信息,能对世界范围内不断变化的市场环境立即作出反应。内部管理信息报告使得高级管理人员能有效地识别潜在的风险,控制风险暴露头寸,并促使众多的内部管理策略和规章彼此相协调。有经验的业务人员应对交易、结算和清算业务提供支持和控制,对客户及其资产行使监管,并且单独向高级管理人员报告。
因此,在现代金融市场的竞争中,西方主要的金融机构之所以能够获得良好的经营成果,其相对完善的风险管理体系的有效有效运行是一个关键性的因素,这主要包括:董事会确立了恰当的风险管理原则和战略;具有独立有效的风险管理框架;拥有全面系统、严格而又灵活的风险管理政策和程序,并积极开发强调的风险管理技术工具,而且培养了一大批高素质的专业人才队伍,这既是一个良好的风险管理体系的主要环节,也是值得当前我国的金融机构借鉴的重要内容。
主要参考文献
AnthonySaunders,CreditRiskMeasurement,JohnWileyandSons,1999.
许建华,《国外金融机构风险管理模式和方法》,载《证券市场导报》2000年。
证监会国际组织技术委员会报告,《金融机构及其监管当局风险管理与控制指引》(征求意见稿),中国证监会网站。
一、自主创新――3C框架在全面风险管理领域的探索
3C全面风险管理标准包括基本框架、实务标准、操作指南,基本涵盖了COSO全面风险管理框架和国务院国资委颁布的《中央企业全面风险管理指引》的所有内容。3C全面风险管理标准力求自主创新,除增加了实务标准、操作指南(COSO和国资委还未)这些具有可操作性的内容之外,在基本框架方面也进行了一系列的创新,充分考虑了中国企业的实际情况,在构建中国企业自己的全面风险管理标准方面进行了有益探索。仅基本框架而言,在全面风险管理领域的探索是全方位的,简单归纳起来主要包括以下几个方面:
(一)总体结构逻辑关系简单明了
COSO全面风险管理框架主体结构由定义、内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控、职能与责任、企业风险管理的局限、该做些什么等构成。《中央企业全面风险管理指引》由总则、风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进、风险管理组织体系、风险管理信息系统、风险管理文化、附则等组成。而3C全面风险管理基本框架从总体结构上是按照目标体系、风险整合、管理融合来安排的,形成了由目标体系、风险整合、管理融合组成的有机体系,贯彻严密的目标――风险――管理的逻辑关系。
(二)框架内容力求科学系统
COSO全面风险管理框架认为企业风险管理包括8个相互关联的构成要素。这些构成要素是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。《中央企业全面风险管理指引》没有直接引入管理要素概念,仅从全面风险管理内容看,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统5个方面。3C全面风险管理基本框架从总体看包括目标、风险、管理3个部分,从流程看包括管理准备、管理实施、管理报告和监督改进4个程序。具体探索体现在以下几个方面:
1.3C全面风险管理基本框架没有引入“内部环境”要素,而是将COSO全面风险管理框架中“内部环境”要素中的具体内容全部融入了整个框架中。COSO全面风险管理框架中“内部环境”界定的风险管理理念、风险容量、董事会、诚信与道德价值观、对胜任能力的要求、组织结构、权力和职责的分配、人力资源准则等要素,既有全面风险管理的“软要素”,又涉及到全面风险管理“硬要素”,确实是全面风险管理的基础,但用“内部环境”来界定难以理解,使人容易产生是诱发风险的内部环境因素,因此,3C全面风险管理基本框架没有引入“内部环境”要素,而是将它们分别作为全面风险管理的基础和内容独立出来了。
2.3C全面风险管理基本框架没有把“目标设定”作为全面风险管理的基本要素,并将COSO全面风险管理框架“目标设定”改为“目标确定”。目标管理很重要,是管理中的管理,目标确定是企业目标管理的核心内容,是企业管理工作的首要任务,董事会和各级管理人员必须确定目标。企业管理层在确定目标时要考虑风险因素,这是必然的,但全面风险管理工作不能事事从确定目标开始,确定目标本身就是管理人员的事,全面风险管理作为企业管理的一项核心内容,可以把目标确定作为风险管理的内容进行关注,但不是流程,至多说目标确定是全面风险管理的前提条件之一。
3.3C全面风险管理基本框架把COSO全面风险管理框架“信息与沟通”作为全面风险管理的重要手段,而不单独作为全面风险管理的一个流程或重要要素。信息在现代社会很重要,沟通无限,全面风险管理的全过程都涉及“信息与沟通”,不可能也没有必要独立出来,应该贯穿于全面风险管理的全过程。
4.3C全面风险管理基本框架把COSO全面风险管理框架“事件识别”定义为“风险识别”,把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”,把COSO全面风险管理框架“控制活动”重新定义为“风险控制”,把COSO全面风险管理框架“监控”改为“监督改进”,并细化为“风险监督”、“风险审计”、“管理改进”等。
5.3C全面风险管理基本框架从我国企业的实际情况出发,把全面风险管理流程界定为管理准备、管理实施、管理报告、监督改进四个基本流程。对每个具体流程都明确了工作内容、方法、步骤以及相应的表单,具有可操作性。
6.3C全面风险管理基本框架在包含COSO全面风险管理框架基本内容的同时,又增加了不少内容。比如明确提出风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素;增加了全面风险管理政策、战略、策略、决策,风险学习等重要内容;总结了我国企业全面风险管理的一系列重要方法和工具;增加“风险预警”的独立内容,强调实时报警的重要性;增加“管理报告”的独立环节,强调风险报告的重要性;增加“风险审计”独立内容,强调风险审计的重要性,等等。
(三)将目标作为全面风险管理的前提而独立出来了
COSO全面风险管理框架认为企业风险管理框架力求实现主体的战略、经营、报告和合规4种类型的目标,并认为目标设定是事项识别、风险评估和风险应对的前提。《中央企业全面风险管理指引》未涉及企业目标的具体内容。3C全面风险管理基本框架首先界定了企业的目标体系,将其作为全面风险管理的前提而独立出来了。具体探索表现在以下几个方面:
1.3C全面风险管理基本框架明确了目标概念。企业目标是尽可能地创造价值,使企业价值最大化,全面风险管理目标与企业目标在总体方向上是一致的,但具体目标肯定是不同的,不能把企业目标和全面风险管理目标混为一谈。
2.3C全面风险管理基本框架明确了目标分类。从全面风险管理的需要出发,考虑到我国企业的一般情况,企业的目标可从总体上分为社会目标、管理目标、经营目标、财务目标、遵循目标、其他目标等一级目标,在这个一级目标下细分了若干个二级目标,在二级目标下再细分三级目标。当然,在三级目标下,还可再继续分下去,这就看企业管理的细化程度了。
3.3C全面风险管理基本框架明确了目标体系。企业目标是一个相互联系、相互依存的目标体系。企业目标体系是有层次的。由于企业存在着不同的管理层次,每一层次都有其自身的目标,低一层次的目标必然要服务于高一层次的目标。企业目标体系是相互关联相互渗透的。企业目标体系是需要整合的。企业目标体系是不断变化的。
4.3C全面风险管理基本框架将COSO全面风险管理框架目标设定改为目标确定。
(四)强调了风险整合的理念
COSO全面风险管理框架特别强调风险组合观,《中央企业全面风险管理指引》虽未明确提出风险整合的概念,但都有风险组合观的思想。3C全面风险管理基本框架借鉴了COSO全面风险管理框架风险组合观的观点,将风险整合作为全面风险管理的基本标准,并明确了风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素。具体探索表现在以下几个方面:
1.提出了一个全面的风险概念,认为危险和机会并存。COSO全面风险管理框架引入了“事项”这一概念,事项包括风险和机会。《中央企业全面风险管理指引》用不确定性对企业实现其经营目标的影响来定义企业风险,抓住了风险的本质特征,但其只是针对经营目标的影响,范围狭窄。
2.明确界定了风险因素。COSO全面风险管理框架和《中央企业全面风险管理指引》均未明确风险要素,3C全面风险管理基本框架明确界定风险是由风险因素、风险事故和风险损失3要素构成。
3.确定了风险属性。COSO全面风险管理框架首先界定了主体的所面临的不确定性,国务院国资委颁布的《中央企业全面风险管理指引》对风险属性没有明确的界定,3C全面风险管理基本框架认为风险属性是多样的,具有客观性、相对性、可变性、不确定性等属性,其中不确定性是风险的本质特性。
4.明确了风险分类。COSO全面风险管理框架对风险未进行明确的分类,《中央企业全面风险管理指引》对风险按其内容和能否为企业带来盈利等机会为标志进行了分类。3C全面风险管理基本框架认为企业风险应从总体上分为社会风险、管理风险、经营风险、财务风险、遵循风险、其他风险六个一级风险,在这些一级风险下细分了若干个二级风险,在二级风险下再细分三级风险。实际工作中,根据全面风险管理的需要,在三级风险下,还可再继续分下去,但考虑到全面风险管理的成本和效益,一般分到三级即可。
(五)突出了内部控制与风险管理融合
COSO全面风险管理框架和《中央企业全面风险管理指引》都体现了管理融合的思想。3C全面风险管理基本框架将管理融合视为企业风险管理自身内部的融合,企业风险管理与企业业务的融合,企业风险管理与企业管理的融合,突出了内部控制与风险管理的融合。具体探索表现在以下几个方面:
1.重新定义了全面风险管理。
2.明确全面风险管理目标。
3.强调了全面风险管理意义。
4.增加了全面风险管理政策、战略、策略、决策的新内容。
5.明确了全面风险管理的主体。
6.确定了全面风险管理内容。
7.细化了全面风险管理流程。
8.总结了我国中央企业全面风险管理的方法。
9.将信息与沟通独立出来。
10.增加了全面风险管理学习。
(六)进一步统一了全面风险管理语言
3C全面风险管理基本框架将风险辨识、风险确认、事件识别统一为风险识别,并定义为确认风险的过程;将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价,并定义为风险的量化过程;将风险策略、风险应对、风险工具统一为风险应对,并定义为选择应对风险策略的过程;将控制活动、控制政策、控制程序、控制措施、应对措施 统一为风险控制,并定义为应对风险的各种措施;将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督,并定义为监督检查风险的过程等等。
此外,3C全面风险管理实务标准和操作指南是COSO全面风险管理框架和《中央企业全面风险管理指引》所没有的内容,不具有可比性,但它都是全面风险管理实际工作非常需要的具有可操作性的内容。
二、必然趋势――内部控制和风险管理逐步走向融合
内部控制与风险管理走向融合,是一个必然的趋势,这不仅是内部控制体系向前迈进了一大步,也为内部审计的发展指明了方向,因此为了适应这样一种发展趋势,我国现行的内部控制体系有必要逐步向全面风险管理体系升级和完善。
实际上,世界上内部控制与风险管理已逐渐融合了,把内部控制与风险管理试为同一事件。1992年,Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)了《内部控制――整合框架》,2004年,该委员会又了《企业风险管理――整合框架》,在该框架附件C中明确:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。
国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时,还要与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。我国的有些企业都在积极探索内部控制与风险管理的融合之道,中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》,与公司现有管理体系和管理手段相衔接,实际上不仅仅是内部控制与风险管理的融合,而是整个管理的融合。
内部控制与风险管理融合的道理其实非常简单。企业在实现目标的漫程中,会遇到各种各样的风险;因此,就要采取措施控制风险。也正因为有风险才要控制,如果没有风险,控制就是多余的了,就是添乱,当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然,这个剩余风险一定要在企业可接受的水平范围内。
如果内部控制与风险管理融合后,企业至少没有必要既设立风险管理部,又设立内部控制部,设一个风险控制部就够用了。风险管理与内部控制融合,就是要打破风险和控制水平之间的平衡,不要把现代企业的风险管理和控制仅仅当成是一项纯粹的企业经营活动,它是一项包括了企业咨询专家、企业决策者、中层管理者以及企业员工在内的综合管理系统,需要各方面力量的协调和配合才能实现。