时间:2023-09-07 17:41:04
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇全面风险管理体系建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1 引言
在“走出去”战略的指引下,我国对外工程承包取得了快速的发展。根据中国对外承包工程商会统计,自2002年以来,我国对外工程承包完成营业额及新签合同额一直以15%以上的速度增长。对外承包工程企业海外业务发展迅猛,承揽的项目规模不断扩大,国际工程业务市场范围不断扩大,目前已遍布全球180多个国家和地区。
但近年来,骄人业绩的背后,我国企业在海外承包的工程同时也不断暴露出不足,特别是风险管理中的不足,其影子存在于沙特麦加萨法至穆戈达莎轻轨项目产生的巨额亏损、利比亚战乱可能引发的超千亿损失、中铁波兰高速公路项目被迫中止等项目中。这些典型的案例,为众多正在"走出去"的中国企业敲响了警钟,也凸显了国际工程风险管理的重要性。
2 国际工程项目的特点
国际工程项目不仅具有一次性、唯一性、目标明确性、实施条件的约束性、活动的整体性、组织的临时性和开放性等基本特点;还具有投资巨大、复杂程度高、整体性强、技术水平要求高、建设周期长、不确定性因素多、生产要素的流动性、当地政府的管理和干预等特点。这直接导致了国际工程项目的特点较国内工程更复杂,更多变,更难预测和控制。
2.1 合同参与主体的多国性
国际工程项目一般采用全球招标模式,国际工程签约的各方主体通常属于不同的国家,项目不仅受所在国法律约束,同时也受国内法律约束,涉及的法律范围极广。一个大型的国际工程项目建设可能涉及多个国家,在涉及到不同的国家、不同的民族、不同的政治和经济背景、不同参与单位的经济利益时,各相关方之间,很容易就合同要求不容易相互理解,对合同条款的理解也易于产生歧义,导致在出现争端时,对问题的处理往往较为复杂和困难。
2.2 合同条件严谨,要求符合国际惯例
国际工程已经有超过一百年的历史,因国际工程不能单纯按照某国法律进行管理,导致各个国家和国际组织(尤其是行业协会)不断对国际工程的实施情况进行总结和改进,形成并出版了一批比较完善严谨的合同范本,同时也在实施中也养成了一些工程管理的国际惯例,这些范本和国际惯例基本囊括了当今各种类型的合同形态和管理惯例,是国际工程项目实施和合同管理的实践基础。
2.3 技术标准、规范和规程庞杂
国际工程合同文件中需要详尽的规定材料、设备、工艺等各种技术要求,通常采用国际上被广泛接受的标准、规范和规程。如 ANSI(美国国家标准协会标准)、BS(英国国家标准)等等,但有些涉及工程所在国使用的标准、规范和规程。还有些发展中国家经常使用自己尚待完善的“暂行规定”。这些技术要求准则的庞杂性无疑会给工程的实施造成一定事实上的困难。
2.4 建设周期长,工程项目环境较复杂
国际工程工期少则一两年,长则二十至三十年,对于如此长的履约期限,国际工程承包商从要整体长期角度全面考虑国际工程项目实施中可能出现的各种因素,尤其要对项目风险进行充分的调查和分析;如资金紧张、材料供应脱节、清关手续繁琐等等风险呢,工程项目环境复杂,就要求对工程项目实施全过程的项目管理。
3 全面风险管理理念
全面风险管理是目前国内外研究的热点问题,在现代国际项目管理活动中,全面风险管理占据着越来越重要的地位。全面风险管理有四个方面的涵义:一是项目全过程的风险管理,从项目机会阶段到项目的结束后评估,都必须进行风险的研究与预测、过程控制以及风险评价,实行全过程的有效控制以及积累经验和教训;二是对全部风险的管理;三是全方位的管理;四是全面的组织措施。
4 国际工程项目全面风险管理体系建设
“前车之鉴,后事之师”。在深刻剖析国际项目的特点、积极应对负面影响的同时,国际工程项目建立健全全面风险管理体系、运用最新风险理论防范化解经营风险是大势所趋。这对于目前风险治理环境不完善、L险集中管理能力欠缺、风险作业效率不高、风险量化管理和风险内控基础薄弱的从事国际业务的中国企业来说,无疑是一项艰巨的挑战。
4.1 培育全面风险管理环境,夯实体系风险管理的基础
全面风险管理环境是全面风险管理的基础和平台,全面风险管理的其他模块都是在风险管理环境这一的平台上运行的。具体内容包括风险管理文化建设、风险管理组织结构、风险管理人员的培训、管理等。
从全面风险管理文化来看,要营造国际工程项目全员风险管理文化,使风险管理目标、理念和习惯渗透于每个业务环节,内化为每位员工的自觉行为。从全面风险管理组织结构来看,国际工程项目风险管理部门应实现从单纯后台监管的角色转换,风险管理的触角应全面延伸到项目各职能部门和过程控制。从纵向来看,国际工程项目风险管理部门应实现自上而下的垂直管理,企业级风险管理部门直接负责项目级风险管理部门的考核、指导和管理;从横向来看,项目级风险管理部门在项目各业务部门设立风险管理窗口,各业务部门的风险管理窗口人员直接接受其考核、指导与管理,通过有效的组织机构对各方面的风险管理资源进行整合和利用。从风险管理培训来看,除了对项目管理人员和专门的风险业务人员通过专业培训、专题研讨、外出调研等形式进行培训,提高其在风险管理上的专业和综合素质;同时要发挥项目管理人员和专业风险管理人员的作用,不仅仅要让全员知道本岗位的风险还要认识到本岗位的风险会造成怎样的连锁反应,可能对项目造成的危害和损失。通过上述措施,为国际工程项目风险进行全过程、全部、全方位管理打下坚实基础。
4.2 规范全面风险管理流程,确保体系的有序性和有效性
国际工程项目的经营特征决定了每项业务、每个环节都面临现实或潜在的风险,任何忽视流程的思想和行为都可能导致局部或全面的经营失败。因此,实施全面风险管理的一个重要要任务就是统一操作环节、规范管理流程。
国际工程项目中的各项风险管理工作开展应该严格按照流程运作,即:风险管理目标与政策设定、风险监测与识别、风险估计与评价、风险处置、风险管理评价与持续改进、信息交流与反馈。整个管理流程可以简单表述为:首先,项目风险管理部门根据风险管理环境结合企业制定的风险战略、风险政策及对部门的职责分配来确定本部门的风险管理目标,并制定相应的风险管理政策;然后,从产品和服务提供的运作全过程中进行风险识别,并运用风险估计与评价的方法和模型对风险进行定性、定量,并将结果与风险容忍度进行比较分析,提出风险处置方案;最后,对整个风险管理的效果进行评价,并把信息反馈给上级风险管理部门。通过严格的流程循环管控,进而不断健全风险管理制度、及时改进执行程度、各环节的衔接性、流程的合理性、管理体系的环境适应性等方面的缺陷。
4.3 加大风险量化技术应用程度,提升体系风险管理准确性
国际工程项目要结合自身企业战略导向、市场定位、内部资源以及风险管理现状等因素,加大风险量化技术的研究、推广和应用工作,提高风险管理中定量技术的占比。量化技术的应用要以暴露风险和提升风险管理能力为核心目标,通过模拟或实践获得反馈信息,用以验证量化技术的效果,使之得到动态地校正和优化。同时要建立完整统一的数据库,并将数据维护工作常态化,不断提高数据的准确性和针对性,尽快建立起符合国际工程项目要求的,完整、严格、一致的数据标准和相应的数据处理平台,从而保证构建全面风险管理体系中所有量化管理的数据需要。
另外,全面性的企业风险管理很重要的东西就是要把风险和风险之间的互相影响,是否有正相关是否有负相关,或者说这个风险产生之后,我们如何和其他风险放在一起之后再一起考量要如何做风险决策。风险管理要倾向于建立按照逻辑顺序组织的,按照时间顺序排列的(比如,何时最有可能发生风险),并将具有相同性质的风险或相关的风险结合在一起的功能性风险矩阵。而风险矩阵对于较为复杂的国际工程项目来说必不可少,因为项目团队更能理解整体风险,风险矩阵使得向高级管理层汇报主要风险更为容易,并确保风险对策能够及时实施。最重要的是,风险矩阵减少了向其他各方分配风险的方式中的不一致性或缺陷,有助于向合作方和分包商转移风险,保证谈判按部就班地进行,并促使风险计划和现场方案早日制定以处理特定的风险。
只有能够在国际工程项目中灵活运用风险定性和定量分析技术,摸清风险联系,才能最大程度的确保风险在可控范围内,风险管理的准确性才能得到提升。
4.4 强化重点业务的专业化风险管理,提高体系精细化和专业化水平
对于我国大部分建筑企业来说,国际工程的合同、咨询、设计、采购、法律、金融、税收等领域的专业化风险管理,对于中国企业“走出去”,承揽如EPC、BOT、PPP等模式的大型际工程项目提出了严峻的挑战和考验。
实现国际工程项目专业化风险管理,不仅要积极依靠风险管理信息系统,实现专业化风险信息的收集、评估、制定应对信息等,通过信息系统的自动化、网络化,尽量避免人为控制,确保专业风险管理信息的时效性和真实性。同时,还应该加强对于具备商务、法律、外语、合同等专业领域及知晓化风险管理过程的复合型人才的招聘、培养与储备。对于专业化风险管理要把人脑和机脑结合起来,把数学模型的结果和专业风险管理人员的经验和知觉结合起来,以提升项目对于重点业务专业化风险管理的精细化和专业化水平。
参考文献:
[1] 刘尔烈.国际工程管理概论[M].天津:天津大学出版社,2003.
[2] 中国对外承包工程商会.2014年对外承包工程行业发展概况.[EB/OL]. [2013-04-28].http://218.249.118.171/templates/periodical/index.aspx?nodeid=68&page=ContentPage&contentid=28529.
【关键词】信息安全 体系建设
在现有的社会背景下,互联网以及网络通信技术的完善,使得信息传播的速度变得更加的迅速。由于现在信息技术的广泛使用,在企业的运行模式中,信息技术的融合面积也变得更加的广阔,对于信息的依赖程度也日渐加重,信息技术在企业中的渗透变得更加的深入和彻底,在企业正常运作的方方面面中进行了有效的融合。
在企业中使用信息技术,相对应信息技术自身的安全体系要求就变得更加的细致,在信息技术使用过程中安全体系的建设是必不可少的一项重要内容。使用信息安全体系建设来有效的解决信息安全的问题,在今后企业的信息使用中有十分重要的实现价值。针对信息安全体系的构建应该进行以下的分析:
按照现有的信息安全状况进行信息安全体系建设,就是将信息安全的构架进行模块之间相互构建和连接,将它们形成不可分割的整体,使它们共同的结合成为信息安全体系。信息安全体系自身带有系统性,完整性以及全面性的信息安全保障能力,这种整合之后的能力比之前独立的信息安全模块能力之和要具有更多的优势,在现有的信息安全体系建设中,会将企业安全技术,企业安全风险管理,企业安全组织以及运行模式进行安全体系的融合,这种信息安全体系的构建才能符合现在企业的使用要求。
一、信息安全体系信息安全策略的制定
在信息安全体系的构建中,信息安全策略的实施就是信息安全体系的核心内容,这种核心内容的展现就是将企业的信息安全模式进行针对性保护的规划。按照企业保护形式的不同进行细致的分类以及汇总。在信息安全体系的构建中,信息安全策略的实施就是将整体信息安全进行正面的引导,将信息安全体系能够较好的为企业进行服务,将信息安全体系各个方面进行可行性技术的管理,在模块的运行模式中进行有效的保障,并且,信息安全策略在使用的过程中,也包含着信息安全体系构建所有细小分支的内容,这些内容想要全面的进行展现,就应该采用一些方法和技术进行有效的管理,以此来保证信息安全系统整体运行模式的准确性和完备性。
二、信息安全体系安全风险管理体系的制定
在信息安全体系实施过程中,针对于信息安全风险管理的设置,就是按照企业风险为主线,以信息安全相关标准以及需求为策略,将主线与策略进行结合,就是信息安全体系安全风险管理的方案制定标准。在信息安全风险管理体系的制定过程中,首先,应该对企业自身的保护系统进行目标性的确定,将目标进行合理有效的规划;然后,在信息安全体系安全风险管理实施的过程中,对企业自身的风险系数进行可控性的评估,对于现在的风险以及将来的风险进行系数的控制,为企业今后的发展奠定平稳的基础;最后,在信息安全体系安全风险管理体系的制定中,应该将所有的体系规划进行相关专业人员的审核以及评估,在评估的过程中,对企业进行全面的分析,保证安全风险管理体系制定可行性。由于企业安全风险管理体系是贯穿企业全过程的,对于该管理体系的制定,不仅仅应该进行企业的评估,还应该对现有的社会状况进行有效的结合,以便企业在社会竞争状况中有稳固的成长。
三、信息安全体系安全技术体系的构建
在信息安全体系中,安全技术体系的构建就是信息安全体系构建的基础,这种基础性的建设是按照企业安全策略以及安全风险管理进行针对性指导的,这种体系的构建,应该按照现有的状况进行多方面的研究与分析,只有这样才能将企业的各个部门进行结合,将部门的问题进行技术上的落实,共同建立企业各个部门相互协同发展的信息安全体系。这种安全技术体系的良好构建,可以将企业的信息系统进行全方位,多角度,整体性的安全掌控,以保证企业的正常信息安全体系的运转。
四、信息安全体系安全组织与管理体系的构建
在信息安全体系安全组织与管理体系的构建中,应该将安全组织与管理进行有效的设计,这种安全组织与管理体系的构建,就是企业信息安全体系发挥作用的最关键的后盾保障,这种保障的基础就是安全管理体系的科学设计。
关键词:电网企业;风险管理;审计
作者简介:梁国栋(1977-),男,河南新乡人,北京英大长安风险管理咨询有限公司咨询业务一部主任,国家注册管理咨询师,国际注册内部审计师,经济师。
中图分类号:F272 文献标识码:A 文章编号:1007-0079(2013)14-0183-02
随着国务院国资委《中央企业全面风险管理指引》和财政部等五部委联合颁布的《企业内部控制规范》的先后出台,国家部委和监管机构日益重视央企风险管理工作,国家电网公司系统在公司总部的正确引领下,正在大力推进全面风险管理体系和内控体系建设,并在完善组织架构、运营体系建设、专项领域研究和风险文化建设等方面不断取得突破。
内部审计职能作为电网企业全面风险管理体系的第三道防线,需要运用科学的风险管理审计方法,对已有风险管理工作进行客观、真实和有效地评价,责任重大。然而,风险管理审计作为一项尚未完全成熟的审计职能,仍需对其进行不断研究。
一、电网企业风险管理审计理论简述
中国内部审计具体准则第16号《风险管理审计》指出“本准则所称风险管理审计,是指内部审计机构、内部审计人员依据国家法律、法规、政策和标准,独立、客观地对本组织风险管理和治理过程进行监督、评价和咨询,提出改进和加强风险管理的意见或建议的行为”。
根据以上定义,电网企业风险管理审计是指电网企业内部审计部门采用系统化、规范化的方法来进行以测试风险管理体系建设、各业务循环以及相关部门的风险识别、风险评估、风险控制等为基础的一系列审核活动,从而实现对电网企业风险管理工作适当性、有效性的评价,促进电网企业提高风险管理工作的效率和效果。
风险管理审计作为内部审计的崭新领域,与传统的财务审计、制度审计等相比具有两方面的差异。
一是风险管理审计与企业目标直接关联。传统内部审计将着眼点放在财务结果、经营管理活动等方面,并没有与企业战略、经营目标相联系。而风险管理审计则是立足企业经营目标,对影响目标实现的不确定性因素的管理进行审计,把握企业整体和各流程、各部门的风险,通过“目标—风险—管理—审计”的路线将审计对象与企业目标直接联系,从而更好地为企业服务。
二是风险管理审计将原有审计关口前移。在传统的审计模式下,审计的目的是对已经发生的事件进行检查和分析,从而揭示已经发生的风险事件、差错和舞弊。而风险管理审计则立足企业重大风险,对风险的管理过程和效果进行测试、评价和反馈,充分体现事前审计的思想,由原先消极的以“发现和评价”为主的内部审计活动转向积极的防范和解决问题的内部审计活动。
电网企业面临的高风险经营环境日益复杂,带来了自身风险管理需求的提升,如何有效评价风险管理工作是引起电网企业风险管理审计产生的内部背景,与此同时,电网企业风险点众多,内部审计部门还需要对重大风险点进行风险管理专项审计。因此,电网企业引入风险管理审计需求强烈。
二、风险管理审计与企业风险管理的关系
电网企业开展全面风险管理体系建设是一项庞大的系统工程,一方面需要搭建公司级的组织体系、制度体系、流程体系和文化体系,另一方面又要整合原有风险管理工作成果,例如安全风险管理(涉及电网、设备和人身)、财务风险管理、营销风险管理等。为确保风险管理的充分性和有效性,对风险管理进行持续监控必不可少。
在电网企业全面风险管理体系建设过程中,管理层在做出风险管理决策方面负主要责任,而审计人员在管理层的风险决策方面可以提供建议、质疑或者支持,通过运用风险管理方法和技术,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议和意见,为电网企业管理层提供有关决策参考。
因此,风险管理审计的目标就是内部审计部门采用系统、科学的审计方法,结合风险管理工具,对电网企业风险管理工作的完整性、合理性和有效性进行评价。
三、电网企业风险管理审计的内容与方法
国家电网公司目前开展的全面风险管理体系建设工作已经取得了丰硕的成果,根据国网公司系统风险管理体系建设取得的经验,一个设计完整、运行有效的风险管理体系应该包括两个层面的风险管理体系,即公司层面风险管理体系和业务层面风险管理体系,内审部门开展风险管理审计工作的内容,应立足上述两个方面实施,具体如图1所示。
如图1所示,电网企业内审部门可以采取“立足一个体系、抓住两个层面”的工作思路,从公司层面对电网企业开展风险管理体系建设工作的完整性和有效性进行评价,从业务层面对电网企业开展风险管理具体工作的设计有效性和执行有效性进行评价。
在整个风险管理审计过程中,内审部门在公司层面的风险管理审计中往往不用花费过多的精力,而业务层面风险管理则是整个风险管理审计工作的重中之重,一般而言,针对业务层面风险管理的审计可采取如下方式:
1.立足风险管理策略
风险管理策略是电网企业面对公司各类风险的态度,它包括风险偏好、风险承受度等内容。风险管理策略制定的科学与否直接关系到后续风险管理工作的成败,因此在具体审计过程中,必须牢牢抓住风险管理“策略制定程序的合规性、策略选择方法的科学性和策略选择结果的适当性”这三个关键问题。
2.关注企业目标设定
风险的定义是“不确定性对目标的影响”,因此在风险管理审计过程中,要首先关注目标设定是否恰当,是否是管理层或各部门的关注目标。一旦目标发生偏移,则再科学、有效的风险管理工作也将毫无价值,因此在具体审计过程中,应关注设定目标的准确性和适当性。
3.抓住风险识别范围
在目标设定的情况下,风险识别的结果将会对电网企业风险状况的了解产生重大影响。因此,内审部门在审计过程中,应重点关注风险识别的方法是否适当、过程是否严密、结果是否完整。一般意义上,针对设定目标识别出的风险应该是穷尽的,而且是基于原因的(对目标实现有影响的原因或者因素)。
4.分析风险评估标准
评估标准在一定意义上是电网企业风险偏好和承受度的直观反映,风险评估标准涉及到风险发生可能性和影响程度两个维度,审计时要充分考虑到评估标准在电网企业风险偏好的影响下,其风险承受度的极大值和极小值是否与标准相符,因此在开展该阶段审计时,应重点关注风险管理标准设计的前后一致性、科学性和适用性,
5.判断风险控制措施
风险控制措施往往都是针对重大风险而设计的,因此,针对风险控制措施的审计,首先要特别关注该控制措施是否是对重大风险有针对性;其次要关注控制措施设计的全面性;最后要关注所设计控制措施的有效性。审计关注重点可包括风险成因分析、措施制定情况、工作节点安排、具体责任归属和控制预期成果等方面。
6.审视监督改进机制
作为相对独立的第三方,内审职能还应对电网企业风险管理工作的闭环管理机制进行审计和评价,以判断其监督改进工作是否开展?如何开展?以及有效性如何?从而为管理层判断公司风险管理工作的有效性提供证据。因此,审计的关注重点应放在机制是否按照计划、组织、实施、控制、反馈的闭环回路进行。
7.追踪重大风险预警
针对重大风险的监控和预警是整个风险管理工作的核心,也是内审部门在有限的审计资源条件下,有效开展风险管理审计工作的重点。电网企业每年年初都会针对当年的风险情况进行识别、评估,确定重大风险,从而集中优质资源予以管控,并设置预警指标予以监控,内审机构可相应地跟进上述过程,并保持应有的职业敏感性和判断力,从相对独立、客观的角度保持对重大风险的追踪,从而对重大风险的管理工作做到全过程、全方位的评价。
四、电网企业风险管理审计的主要方法
1.问卷调查法
“问卷调查法”是指内审人员针对需要调查了解的风险管理体系构成要素和风险控制点,设计拟调查的问题条款,形成调查问卷以了解风险管理情况的方法。调查问题的提出,应紧紧围绕风险管理体系中的控制点及其管理措施,即对控制点设置的各项控制措施逐一设计调查问题。问卷调查表的设计一般可分三步进行:一是确定风险管理审计目标;二是根据审计目标,确定所要调查的风险控制点及其控制措施;三是根据控制点及其控制措施拟定具有针对性的调查问题。调查问卷的格式,通常有封闭式和开放式两种。其要素一般包括:调查单位、调查项目、调查时间、调查问题、被调查人、审计负责人和审计调查人等。
2.流程图分析
“流程图分析”是指企业风险管理部门将整个企业生产过程的一切环节系统化、顺序化,制成流程图,从而便于发现企业面临的风险。内审部门可根据本企业的生产流程,列举出各个生产环节的所有风险。流程图通常包括风险点、控制点、审批环节等,能够直观反映流程中的风险分部情况。然而,流程图中往往难以直接显示控制点的控制措施,因此还需借助风险控制矩阵、权限指引等表单,以配合对流程图的理解。
3.自我评估法
“控制自我评估”(Control Self Assessment,简称CSA)是IIA协会力推的一种风险控制自我评估方法,在发达国家的企业内审工作中应用比较普遍,是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。内审人员可积极推动企业管理层和部门负责人引入与推广该方法,以实现对风险管理的自我评价。
4.价值链分析
“价值链分析法”指的是审计人员通过对被审计项目的价值链活动进行风险识别并且找出其重大风险,进而对重大风险上的风险管控措施的有效性情况进行评估,同时还对价值链的内部联系和纵向联系进行风险分析,查找所采取的风险控制措施不适当、高成本或者控制效果不佳的问题,做出重大风险管理措施有效性评价并且提出审计建议的一种工作方法。
5.专家意见法
“专家意见法”是指审计人员依据系统的程序,采用匿名发表意见的方式向专家征求意见,即专家之间不得互相讨论,不发生横向联系,只能与调查人员发生关系,通过多轮次调查专家对问卷所提问题的看法,经过反复征询、归纳、修改最后汇总成专家基本一致的看法,作为针对某个风险管理活动的风险管
理情况评价的结果。这种方法具有广泛的代表性,较为可靠。
6.概率分析法
“概率分析法”又称风险分析法,是通过研究影响目标实现的各种不确定性因素发生的频率及其对目标的影响程度,进而对风险的等级做出判断,并对相应的风险管理措施的优劣作出判断的一种不确定性分析法。概率分析法常用于对大中型重要若干项目的评估和决策之中。
五、结语
风险管理审计尚处于不断发展、创新的过程中,在中国企业中的应用尚不普遍,还需要不断的深入研究。随着电网企业风险管理工作的不断深入推进,内审部门作为风险管理的第三道防线,其承担的监督检查职能日益重要,内审部门相对独立、客观、科学地评价风险管理工作成效将是今后电网企业风险管理工作的重点。
参考文献:
[1]国务院国资委.中央企业全面风险管理指引(国资发改革[2006]108号)[Z].2006.
[2]石贵泉,王凡林.现代内部审计理论与实务[M].济南:山东人民出版社,2005.
[3]卓继民.现代企业风险管理审计[M].北京:中国财政经济出版社,2005.
近些年来,在监管部门的督促和约束下,城商行在风险管理组织架构和模型、工具的开发等方面取得了一定的成绩,但与国内其他商业银行相比,城商行的全面风险架构体系还需要完善和改进、风险管理人才相当匮乏、风险管理工具方法比较落后。因此城商行应该在加强风险管理规划、构建和完善合理的组织架构以及人才培养等方面多下功夫。
目前国内城商行全面风险管理体系建设现状
城商行全面风险管理体系建设不断推进
加强风险管理为导向的公司治理结构建设。大部分城商行都建立了“三会一层”并下设相关的风险管理委员会,设立了首席风险官以及风险管理的专门机构――风险管理部,使得风险管理更加职能化和专业化。风险的规范管理使得城商行的抗风险能力和可持续发展能力显著增强,由此带来了资产规模和资产质量的显著提高,很多城商行被知名评级机构给予较高的信誉评级,同时,城商行的股权也受到了包括大型机构投资者在内的各类投资者的青睐。
风险管理理念明显增强。一些做法先进的城商行向基层银行派驻了风险经理,做到了风险关口前移和打造了基于风险管理嵌入的各个条线的业务流程体系。相关业务部门和单元的业务人员摆脱了以前控制风险与收益之间相对立的观念。
部分城商行已进入内部评级法的模型、工具开发和体系建设阶段。杭州银行、大连银行把开发的内部评级体系模型应用到中小企业贷款决策中,通过对中小企业的财务因素和非财务因素进行评估而确定其准入门槛。吉林银行通过咨询公司为其构建对公客户内部评级系统(IRs),并启动了债项评级的相关开发工作。通过内部评级系统的开发和应用,大大提高了城商行的风险计量水平和风险管理能力。降低了不良率的同时,提升了银行的服务质量。
与国内其他股份制商业银行相比,城商行的全面风险管理仍存一些问题
风险管理文化基础薄弱。由于很多城商行都是由城市信用社过渡而来,风险管理观念淡薄,风险管理没有作为风险文化根植于所有员工的心中,贯穿到业务拓展的全过程。全面风险管理理念还没有树立,没有形成全行认同的风险管理文化;风险管理侧重于后台管理,没有将其作为信贷决策、贷款定价、资本资源配置的有利工具。同时,部分人员将风险片面地等同为违规、案件和损失,一些风险管理人员将风险管理简单地理解为控制,部分业务人员将风险管理看作是业务拓展绊脚石,仅注重信用风险的控制和计量,而对市场风险、操作风险、法律风险等还没有做到统筹考虑、系统管理。
风险管理组织架构不健全,风险管理职责划分不够清晰。大部分城商行虽然已经建立了现代公司治理架构,比如设立了首席风险官,成立了相应的风险管理部,但仍缺乏有效的风险管理运作机制,风险承担主体不明确,权力、责任和利益的分配不合理。董事会、高管层以及相关委员会在风险管理的职责划分上还不够清晰,造成某些角色的重叠,不能很好地发挥出董事会、监事会和管理层在风险管理中的作用。
风险管理不够全面。多数城商行的风险管理还停留在信用风险管理层面,缺乏全面风险管理的规划,忽视市场风险、操作风险的识别与管理。不同部门在风险管理职责分工上不够清晰,而且整体协调性不够。在信用风险管理方面,缺乏有效的整体控制,发放贷款更多依赖抵押物和担保的设置,信用风险管理部门缺乏客户信用评级,不利于信用风险的事前控制。在市场风险管理方面,城商行由于资产规模限制,可运用的资金管理手段相对单一,应对市场波动风险的能力不足。在操作风险管理方面,更多依靠原有的业务操作手册进行,缺乏系统的梳理和优化。
内控管理体制不完善,风险管理执行力度较弱。我国大部分城商行的内控还不能完全适应防范和化解金融风险的需要,不能适应银行审慎经营和银行业监管的需要。银行内部缺乏一个统一完整的内部控制法规制度及操作规则,内控制度还存在着许多漏洞和隐患。如贷后管理检查报告制度淡化,客户经理的职责履行不到位等都缺乏必要的控制手段。岗位轮换制度没有得到普遍推行,未能很好地造就业务多面手和综合管理人才,达到“一专多能”的目的。
风险管理人才严重匮乏。由于银行风险管理的综合性和专业性,要求从事风险管理的人员必须具备很高的素质,受过严格的专业训练,否则将很难理解业务和产品的风险性质,更难以采取适当的风险防范措施。同时全面风险管理要求风险管理人员对全行各个业务条线、各业务单元的风险管理情况有全面的了解和把握,这样才能保证对风险的快速识别和有效计量,目前我国城商行从事风险管理人员的数量和质量还远未达到进行全面风险管理的需要。
风险计量技术达不到要求,风险管理工具的开发相对滞后。我国城商行离新资本协议规定的内部评级法最低标准至少在以下方面还存在差距:首先,大部分城商行的信用风险尚未进行公司、国家、银行、零售贷款、专项贷款、股权投资方面的细分;评级体系仍实行5级分类法甚至4级分类法,与先进银行10级以上分类方法有较大差距。其次,没有成熟的风险计量模型,信用评价仍以定性分析为主,且社会信用体系不健全,信息滞后且有效性差,客户风险评价的准确性较差。再次,数据系统既不能满足复杂的风险计量要求,又不能满足5~7年历史数据观察期的要求。最后,内部评级尚未全面应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面,缺乏以风险为导向的资本资源配置机制。
风险预警信号滞后,缺乏先进的预警技术。风险的隐蔽性和损失形成的滞后性决定了风险预警的重要作用,只有及时准确地根据风险预警体系提供的风险预警信号,采取有效的风险预控措施,风险管理才能达到未雨绸缪的理想效果。但目前绝大多数城商行没有有效建立与此相适应的风险预警体系和预警机制,在一定程度上增加了城商行风险的不可预见性,造成了银行经营过程中存在若干隐性风险。
全面风险管理体系建设是满足监管要求、实现可持续发展的必然条件
自2004年作为国际银行监管准则的“巴塞尔协议Ⅱ”实施以来,各国银行监管机构把其作为出台各种监管指引的主要参考标准。国外许多先进银行已经参照其
相关要求完成了全面风险管理体系建设,我国银监会要求国内银行进行分类、分层和分步达标。目前国内的工、农、中、建、交和招商银行已经通过了银监会“巴塞尔协议Ⅱ”实施的达标验收工作。
我国城商行风险文化基础较差,更应正确认识和理解“巴塞尔协议Ⅱ”的宗旨,即巴塞尔新资本协议给予采用高级计量方法的银行以资本上的优惠,是通过提高信贷资产对风险的敏感度逐步实现,并非一蹴而就。因此城商行抓紧实行全面风险管理不但是满足“巴塞尔协议Ⅱ”和国内监管机构的要求,而且是在激烈的竞争中提高核心竞争力、实现可持续发展的必然条件。
微观层面的全面风险管理与“巴塞尔协议Ⅱ”的第一支柱是紧密结合的。
“巴塞尔协议Ⅱ”要求银行在计算监管资本的时候,不但要考虑信用风险,还要考虑市场风险以及操作风险,并分别给予了不同风险资产的权重,这也是“巴塞尔协议Ⅱ”第一支柱的核心内容。而微观层面的全面风险管理要求商业银行运用适当风险评估方法对所有风险做出一致、准确、及时的度量,根据度量结果借助一定工具和程序进行风险定价,并在不同部门之间合理配置资本。“巴塞尔协议Ⅱ”对于其中的风险识别、风险计量和风险控制三大环节又都同时提出了一些要求和相应方法进行选择。比如计量信用风险,“巴塞尔协议Ⅱ”建议采用由易到难的标准法和内部评级法(IRB);市场风险计量则提出了标准法和内部模型法(IM)的要求,操作风险的计量要求采用基本指标法、标准法和内部测量法(IMA)。
宏观层面的全面风险管理可从“巴塞尔协议Ⅱ”提出的三大支柱体现出来。资本充足率作为第一大支柱,计算公式为资本/风险加权资产,在“巴塞尔协议I”中,其分母反映的主要是银行信用风险。而“巴塞尔协议Ⅱ”中分母同时包括信用风险,市场风险和操作风险三大层面,因而是对银行全面风险数量状况的有效监管。监管当局检查作为第二大支柱,重点是监督银行资本金与其风险数量、风险管理水平相匹配,是对全面风险管理体系的行业监督。市场纪律作为第三大支柱,重点要求银行公开信息披露必须强制合规,是对全面风险管理进行的社会监督,是对监管当局监管的有效补充。
“巴塞尔协议Ⅱ”为商业银行,特别是处于快速发展中的城商行进行全面风险提供了有利契机。城商行可以参照其提供的风险权重标准以及计量方法来划分其面临的信用风险暴露类别,并相应地提出方法来计量,为我国城商行改进风险计量技术、健全风险管理组织框架、重组风险管理流程提供了直接借鉴,有助于城商行风险管理科学化和精细化,及时揭示、动态监测信贷风险,约束商业银行信贷行为,促进银行盈利模式转变和经营行为理性化,推动城商行可持续和科学发展。
全面风险管理体系建设是实现可持续发展的必然要求。根据目前的商业银行的剧烈竞争以及同质化经营的现状,谁能管得住风险,谁就能在竞争中把握主动权。以不确定性为特征的风险在银行体系表现的可能更具有易变性,特别是城商行防范风险意识还比较淡薄,全面风险管理体系建设恰恰可以在全方位角度预防和控制风险的发生。良好的全面风险管理体系对银行的资本配置、贷款定价、绩效考核等都有很大帮助,而这些方面的良好处理恰恰可以增强城商行的可持续发展能力。
城商行构建全面风险管理体系的对策建议
城商行应利用后发优势,借鉴国内外大型银行风险管理的经验,兼顾合规要求与适用目标,制订与发展战略相匹配的风险管理制度。在还没有合规时限要求下,城商行有时间去思考并着手逐步实施“巴塞尔协议Ⅱ”,在提高风险控制水平的同时提高效益。城商行应把握时机,做好全面风险管理规划、构建和完善合理的组织架构、注重数据基础建设以及内部评级体系的模型开发与应用。
做好全面风险管理规划,加强风险管理文化建设
俗话说:“建设未启,规划先行”,尽管大部分城商行定位于服务地方、服务中小的市民银行,但由于地域条件、历史特点的差别使得城商行的发展规模和速度不尽相同,因此要根据本行的发展战略对本行的发展阶段和风险管理现状认真梳理,寻找自己的差距和不足,才可以做到对症下药。这样全面风险管理规划应该摆在战略的高度,同时与本行的发展战略相匹配。良好的规划可以使自己少走弯路,更好地利用资源、提高效率,在激烈竞争中占据有利地位。
良好的规划为全面风险管理指明了方向,而风险管理文化建设却可以把风险管理理念贯穿于全行的每一个“角落”。我国城商行风险文化基础较弱,更应重视风险文化的构建。采取多种方法加强风险管理知识教育,树立“全面风险管理、全员风险管理”的理念,让员工充分认识到商业银行风险存在的客观必然性和风险管理的持久性,通过主动的风险管理来实现风险和收益的平衡。同时要全面培育健康的风险管理文化,实现商业银行风险管理的目标由“管住风险”向“为股东创造价值”过渡,推行涵盖事前预测、事中控制和事后处置的全过程风险管理行为,将其贯穿到所有员工和所有业务中去,建立良好的风险控制文化,形成风险控制的文化氛围、风险防范的道德评价和职业环境。
构建和完善合理的组织架构
合理的组织架构是实现全面风险管理的有效保证。首先,在完善股权结构调整为背景下的公司治理过程中,应该加快“三会一层”建设,目前大部分城商行已经做到了这一点。其次,建立和完善以风险管理为导向的相关委员会和部门的设置。再次,制订相关委员会的议事规则以及各个条线的风险管理相关的制度和规则的调整,厘清相关部门和委员会的权利、责任和利益的划分。最后,根据各个城商行的发展实际和制订与完善不同阶段风险管理相关的中长发展规划,为全面风险管理确定前进方向。
重视风险管理人才的培养
建立全面风险管理体系需要深厚的金融财务理论基础、数理基础和计算机技术,培养、建立和长期拥有一批风险管理的专业人员。对于人才匮乏的城商行来讲更要长期培养、挖掘和储备符合条件的人才,并设法保持其稳定性,防止人才流失。对于风险管理的核心技术,最好将其分散化,以防止个别人才流失对整个风险管理体系的冲击。同时,还要注意对现有人员的定期培训和优化调整,及时更新风险管理人员的知识体系,从而确保全面风险管理体系的先进性和实用性,全面提升员工的风险意识与控制风险的能力。
注重数据基础建设和相关技术积累
全面风险管理的核心任务就是建立内部评级体系以及相关模型工具的开发和应用,为资本配置、贷款定价、绩效考核提供有力支撑。根据城商行的模型开发实践发现,城商行的数据基础相当薄弱。应在现有信息数据系统的基础上,加强信息科技建设,建立广覆盖、长跨度、时效强、高质量、运行可靠和管理规范的数据管理体系,才能为持续增强的风险管理能力奠定坚实的基础。城商行项目管理需要实现外包与引智的结合,注重知识的转移和技术的积累。在流程管理和IT系统开发上所适用的外包战略同样适用于“巴塞尔协议Ⅱ”项目的建设。但需要注意的是,前期的规划要有自身人员的充分参与,保证其合规性与适用性;后期的模型验证与维护要重视和强调文档化与知识转移。
【关键词】业务连续性管理 现状调研 业务影响分析 风险评估
一、引言
银行业务连续性管理(简称BCM),是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序[1]。将业务连续性管理纳入全面风险管理体系,能够建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。本文以国内某大型股份制银行客户为分析背景,对如何开展银行业务连续性管理体系建设方法作出了研究。
二、项目背景介绍及业务连续性管理体系建设实施措施
本文研究的项目背景是某行《新资本协议实施规划项目》中的子项目;研究目的是在按照银监会某文件《商业银行业务连续性监管指引》(以下简称监管指引)和新资本协议的有关要求下,参考国外有关标准和国内外同业的实施经验,结合该行现状从而制定覆盖全行总/分/支三级机构业务连续性管理的工作流程和管理体系,以达到同业管理水平及新资本协议和监管指引的要求。
其具体建设措施为:业务连续性管理体系建设项目分为总体规划、总行实施和分行试点推广三大模块。各个模块的主要工作为:
总体规划阶段主要有:现状调研、方案计划制定、体系规划、业务连续性基础培训等;总行实施阶段:业务影响分析和风险评估、重要业务范围界定、制度规范建设、总体预案和专项预案建设、演练;分行试点推广阶段:试点分行调研、试点分行培训、试点分行业务连续性管理相关体系建设、试点分/支行的演练等。
本项目中该行在成立了业务连续性管理组织、初步建立了业务连续性管理相关制度和部分应急预案的基础上,业务连续性管理体系建设的思路应为自上向下,采取分阶段的实施方法开展业务连续性管理体系规划和建设的相关工作。其项目管理框图如图1所示:
三、项目阶段化及具体工作描述
基于上述实施方法,本文根据工作的先后顺序,将业务连续性管理体系规划和建设的相关工作划分为6个阶段,各个阶段工作为:
第一阶段是现状调研阶段,其阶段目标是了解该行业务连续性管理现状,并对比监管要求和国内外最佳实践,通过问卷调查和业务部门访谈,梳理出全行业务产品分类,为业务连续性管理体系规划和建设工作奠定基础[2]。
实际经验表明:为保证形成的业务分类表能准确地根据业务流程或其他特点将业务进行分类、合并,该过程中应重点关注各部门填写的问卷是否准确、全面;访谈应尽量全面、清晰地掌握各部门业务情况,其好处是能够明确区分业务是产品或者活动,同时将各部门的活动梳理全面,夯实下阶段进行业务影响分析和风险评估基础。
第二阶段是业务影响分析和风险评估阶段,其阶段目标是确认重要业务及所需关键资源,并评估业务资源面临的风险,为业务恢复策略和资源规划建设提供依据。
风险评估主要从业务层面和科技层面进行分析。业务层面对重要业务相关部门进行资源调研与风险评估研讨会,收集业务活动所需资源,以及这些资源可能产生的风险。科技层面针对重要业务所需信息资源进行调研,了解信息系统现有的恢复能力,以及系统架构中可能存在的风险。最后,基于分析明确关键业务活动恢复需求与风险。
该过程中应明确与相关部门共同进行业务影响分析的关注指标,业务层面的资源调研与风险评估工作应重点关注参与人员就业务所需资源以及其可能面对的威胁、管理状况填写的完整性和准确性,科技层面的资源调研与风险评估工作应关注现场评估结果与最后确认问卷与汇总数据的完整性和准确性。
第三阶段是业务恢复策略和资源规划建设阶段,其目标是根据业务影响分析结果,依据业务恢复目标,确定业务恢复策略;评估重要业务资源建设和灾备管理现状,根据业务恢复策略建立业务连续性管理资源建设规划[3]。
本阶段的业务恢复策略,主要包括:业务受理策略、业务恢复顺序、业务流量控制策略、数据核对与补录策略、业务风险管控策略、信息系统恢复策略、危机沟通策略等。根据评估结果并结合业务恢复策略开展业务连续性资源建设规划,主要包括:备用业务和办公场地建设、备用信息系统运行场所建设、备用信息技术资源建设、备用人力资源建设以及电力、通讯、消防、安保等资源建设。该阶段的实施过程中应重点关注业务恢复策略与资源建设规划内容的全面性。
第四阶段是业务连续性管理体系建设阶段,其目标是根据业务恢复目标和业务恢复策略制定业务连续性计划、总体应急预案和专项应急预案,定期开展应急预案演练等。
在本阶段,需更新相关部门职责,并将分行业务连续性管理组织架构和职责纳入其中,建立全行统一的业务连续性管理组织。其业务连续性计划的主要内容包括:业务连续性管理组织、应急管理组织、重要业务及关联关系、业务恢复优先次序、重要业务所需关键资源、应急指挥和危机通讯程序、各类预案维护管理要求、应急资源管理等。
第五阶段是分行试点和推广阶段,其目标是为确保业务连续性管理体系在分行落地。这需要选取有代表性的分行作为试点,针对分行特点开展业务连续性工作,经过试点分行总结经验后,推广至全行实施。最终正式实施的试点分行需要具有代表性。
试点分行确定后,项目组对分行业务连续性管理现状进行调研。其范围包括分行业务连续性组织、业务连续性计划、应急预案、特色业务、资源建设等方面。试点分行工作结束后,项目组根据试点分行体系建设经验制定分行推广计划及修订工作指引,提出对分行业务连续性体系建设的要求和落实时间。
第六阶段是业务连续性管理体系评估和改进阶段,其目标是实施全行联动演练,确保总/分/支行联通方案畅通可行,方案有效;同时,完成年度业务连续性管理体系自评估,推动业务连续性管理体系可持续性发展和改进。
该阶段需制定总/分/支行联动演练方案、业务连续性管理体系自评估计划。首先需要对业务连续性管理体系自评估以及监管机构的年度检查整改情况进行跟进,然后根据执行现状,在治理、人员、流程、技术等方面拟定业务连续性管理持续改进规划,推动业务连续性管理体系可持续性发展和改进。
四、项目实施总结
本文通过将银行业务连续性管理体系建设划分为3大模块,以及按照工作的先后顺序划分为6个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的业务连续性管理工作,以满足新资本协议中操作风险管理相关达标要求,降低重要业务中断风险,提高业务风险应对能力;同时满足了银监会《商业银行业务连续性监管指引》的要求,并为该行今后的业务连续性管理工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献
[1]中国银监会.商业银行操作风险管理指引[Z].
[2]王发红,朱锋.我国商业银行创新问题研究[J].济南金融,2001(8).
关键词:高校税务风险风险管理内部控制
一、引言
我国经济发展步入新常态增长时期,正面临经济结构调整优化的关键时刻。以“营改增”为代表的税种改革强化了税收在促进分配正义、鼓励投资、扩大消费与就业以及调整经济结构等方面的调控作用(陈晴,2015)。2014年6月审议通过的《深化财税体制改革总体方案》中明确新一轮财税体制改革,于2016年基本完成重点工作和任务,到2020年基本建立现代财政制度。由此确定建立全面规范、公开透明的现代预算制度;建立科学、公平、统一的税收制度体系;建立事权和支出责任相适应的制度三方面改革目标(贾康,2015)。近年来,我国高等教育逐步形成以财政拨款为主,其他资金为辅的多元化经费格局。高校作为非盈利组织,在公益目标完成的前提下,对部分资源进行有效利用,依法取得科研项目经费,技能培训、房屋场馆租赁等方面的收入,能够为高等教育事业发展提供有力的资金支持。随着高校涉税收入的增加,其所面临的税务风险也在不断上升。高校应该加强对税务风险的认识,评估税务风险关键控制点,建立科学合理的税务风险管理方案,采取相关措施,有效降低税务风险。
二、高校税务风险管理概述
(一)高校税务风险的内涵
税务风险是指高校在日常运转过程中,因涉税行为未正确有效地遵守税法规定而导致未来利益的潜在损失(王雄英,2011)。税务风险的产生受经济政策、法律法规变化以及纳税人主观行为的影响。COSO《内部控制整合框架》中经典的“五因素理论”将税务风险管理要素分为以下五个方面。(1)控制环境:风险管理与高校其他管理活动一样,都会受到内部和外部环境的影响,控制环境是税务风险管理的基础。(2)风险评估:将己经被识别出的风险进行分析,确定出风险的级别和影响程度。风险评估是税务风险管理的重点。(3)控制活动:在风险评估的基础上,对风险进行有效管理和控制,研究应对措施,完成预先设定的控制目标。控制活动是税务风险管理的核心。(4)信息与沟通:在税务部门、高校内部以及其他相关单位间搭建良好的信息沟通渠道,避免由于信息不对称带来的影响,保证信息获得的及时性。信息与沟通是税务风险管理的重要途径。(5)自评与监督:对税务风险管理的效果进行综合评价,检验风险管理的有效性。接受监督,发现风险管理中的薄弱环节,进行改进。自评与监督是税务风险管理的重要保障。
(二)高校税务风险类型
1.按照风险来源不同划分为内部风险和外部风险。内部风险指由于高校管理层未对税务风险有正确的认识,内部控制建设不到位、税务人员的专业水平参差不齐等因素产生的风险。外部风险指由于国家相关经济政策和法律法规的不断更新完善,外部的市场环境变化等产生的风险。2.按照风险类型不同划分为资金支出风险、信誉损失风险、税务违法风险。资金支出风险指由于未按税法规定及时足额缴纳税款产生的风险。除补齐税款外,还要缴纳滞纳金和罚款,会对高校的现金流产生影响,造成额外资金支出。信誉损失风险(陈天灯,2013)指高校因纳税行为不规范造成不良影响,导致严重后果,使高校信誉遭受损害。税务违法风险指由于主观或者客观原因导致高校对税收政策的理解和执行存在重大偏差,在涉税业务办理过程中出现违法行为。3.按照影响程度不同划分为一般风险和重大风险。税务风险产生的影响程度不尽相同,一般风险影响较小,通过及时纠正,所产生的后果是可控的。重大风险影响程度大且后果难以控制。
(三)高校税务风险管理
高校税务风险管理指对风险进行识别、评估、控制的过程。税务风险管理包括制订风险管理策略、落实风险管理权责,不同程度的风险采取对应的措施,将控制效果及时进行反馈。对潜在的风险建立预警机制,提前识别风险发出的信号,降低风险发生的概率。提高管理效率,在涉税行为合理合法的前提下,开展税收筹划,降低税收成本,实现降低税务风险的管理目标。
(四)高校税务风险管理现状分析
一直以来,高校对税务风险管理认识不够,而高校内部控制体系尚处于建设初期,存在税务风险管理人才缺乏、信息化建设不到位的现象,导致税务风险管理还不规范。1.税务风险管理认识不够。高校内部控制工作正处于起步阶段,制度和体系建设处于不断完善中。税务风险管理缺乏系统化、制度化的约束机制,未发挥应有的作用。税务风险管理需要各部门之间的配合,但高校长期以来对税务风险缺乏科学的认识,认为税务风险管理只是财务部门的事情,责权落实不明确。2.税务风险管理人才缺乏。随着高校事业的发展,外部税收政策和税收环境的变化增加了税务风险。大多数高校还是采取财务人员兼任税务会计的方式,缺乏税务风险管理的专业人才,导致税务风险防范意识不高,对税务风险内部控制管理和税收法规信息缺少研究,不能全面准确把握最新的税收政策。3.税务信息化建设不到位。高校的税务信息化建设始终处于薄弱环节,高校的财务系统、增值税发票管理系统和资产管理系统之间没有进行有效的组合,使得税务信息无法进行合理利用和数据对比分析,对高校纳税情况不能进行合理的评估。由于没有建立良好的信息沟通渠道,无法对相关信息进行分析和整合,只能采取被动和应急方式应对税务风险。
(五)内部控制与税务风险管理之间的联系
内部控制是风险管理的关键,也是风险管理的核心内容。税务风险管理作为全面风险管理的一个重要组成部分,借助内部控制这一重要手段,可以规范高校经济业务活动,明确权责分配,合理控制税负水平,保证涉税事项合法合规。高校税务风险管理首先要完善税务风险内部控制机制,内部控制体系的全面、准确、有效决定着税务风险管理的效率。税务风险管理的效果也反映出内控制度是否健全有效。内部控制制度的建设和实施,对高校提高管理水平、建立现代大学制度具有十分重要的作用。
三、基于内部控制的高校税务风险管理体系建设
COSO内部控制———风险管理理论给高校税务风险管理提供了很好的启示,风险管理概念应贯穿于高校所有的经济业务中。将内部控制作为风险管理的关键点,积极推进内部控制体系建设,深入研究符合高校税务工作特色的管理方法,通过税务风险识别评估,采取措施积极应对税务风险。做好税务风险管理的核心工作。
(一)高校税务风险管理体系建设目标
高校税务风险管理要求以风险为导向,对高校面临的税务风险进行系统分析,强化高校发展战略、内部控制、税务风险管理和信息化建设间的融合,构建出能有效预防和控制税务风险的系统,将其控制在合理范围内,实现高校税务风险管理目标。对涉税业务采取事前预防、事中管理和事后反馈的管理方式。积极做好与税务机关的沟通与配合,防范外部环境变化带来的税务风险。
(二)高校税务风险管理体系建设原则
1.独立性原则。高校要按照税法和相关法律规定,对涉税事项进行纳税申报,及时缴纳税款,对税务资料进行存档。在税务风险管理体系建设中,针对不同的业务性质和岗位要求,明确职责权限。对于机构设置、治理结构、业务流程和权责分配应符合相互制约、相互监督的内部控制要求。工作人员按照权责分配,履责尽责,保持良好的独立性,以确保税务风险管理内部控制机制的公平和公正。2.协作性原则。随着高校涉税事项的增多,在进行税务风险管理时,需要各部门、各岗位、各环节间的配合,及时沟通,信息共享,以提高税务风险管理的效率。要及时了解最新的税收政策,避免因政策变化带来的风险。3.重要性原则。在税务风险管理中,把握重点事项,考虑成本效益原则。对涉税业务进行分析,识别关键风险点,对可能产生重大影响的税务风险采取控制措施,进行重点监控。对影响程度一般的风险,保持适度关注。高校要结合具体情况和自身防范风险的能力,有重点地开展税务风险管理活动。
(三)高校税务风险管理体系建设指标
建立税务风险管理指标体系是实施高校税务风险管理内部控制评价的首要步骤,高校税务风险管理指标体系的构建要满足科学完整、具体实用的要求。设计指标时要考虑到评价的目标,符合评价工作的特点和要求。本文以COSO内部控制———风险管理框架为理论依据,结合《财政部关于全面推进行政事业单位内部控制建设的指导意见》(财会[2015]24号)的要求,参照税务风险测评和内部控制要素,选取控制环境、风险评估、风险控制、信息沟通、监督改进5个层面共20个指标构建出高校税务风险管理指标体系,
四、高校税务风险内部控制评价
税务风险评价方法有很多种(沈峰,2015),有德菲尔技术法、层次分析法、沃尔评分法,等等。本文采用专家打分法对高校税务风险内部控制进行评价,由内部控制领导小组专家对税务风险管理指标运行情况进行打分,评分标准见下页表2。对于完成情况优秀的指标得5分,完成情况良好的指标得4分,完成情况中等的指标得三分,以此类推。专家对税务风险管理指标体系中所有的指标进行打分,统计汇总后得出高校税务风险内部控制评价表,见表3。根据高校税务风险内部控制评价总得分情况,按照高校税务风险内部控制有效性评价标准,可以对高校税务风险内部控制的有效性进行一个综合评价。得分在80—100分的,说明高校税务风险内部控制是有效的,暂不存在风险。在60—80之间的,说明高校税务风险内部控制基本有效,不存在重大风险,但还是有风险因素存在,继续给予关注。得分在40—60分之间的,说明高校税务风险内部控制效果较差,要结合具体指标发现问题,找出关键影响要素,采取措施控制风险的产生。得分40分以下的,说明内控基本是无效的,存在重大风险发生的可能性,要引起足够的重视,改善内部环境,分析风险点,积极采取应对措施。
五、加强高校税务风险管理的对策建议
(一)健全内控机制,强化税务风险管理意识
在高校内部树立全面风险意识,确定税务风险管理目标。管理层要从高校发展战略的角度优化内控环境,将内部控制建设作为高校管理制度的重要组成部分,借鉴大企业税务风险管理方法,制定出切实可行的税务风险管理内控方案,并确保方案的有效实施。内控体系建设中要明确对象,厘清职责,落实职责范围,加强税务风险防范责任。完善税务风险管理组织架构,设立专门的税务风险管理部门,配备合格的管理人员负责外部涉税工作,对涉税事项可能带来的税务风险进行分析。对各项政策法规和税收政策进行研究,找到适合的税收优惠政策,进行税收筹划,规范纳税行为。
(二)推进信息化建设,有效识别税务风险
高校应推进信息化建设,发挥信息技术和现代化管理方法在税务风险管理中的作用。以信息化为依托,健全税务风险管理信息系统,准确提供各类税务信息。借助信息技术手段获取“大数据”,有效识别税务风险。对于可能出现的风险点,整合现有资源,搭建共享信息数据库,设置预警线,逐步实现税务风险管理的系统化。通过内控机制的强化解决由于信息不对称产生的风险,对掌握的高校税务数据进行分析,识别、监控来自内部和外部的税务风险。
(三)加强控制活动,提高风险应对能力
税务风险管理中涉及的内外部机构、部门之间要建立起有效的沟通机制,将从外部获取的最新的税收政策法规及时传达到各业务部门,提高高校涉税行为能力,以利于风险控制活动的开展。定期组织检查,发现问题及时纠正,消除隐藏的税务风险。对涉税业务进行事前风险检测与评估,对可能产生的风险进行重要性排序和定量评估,确定出税务风险级别和影响程度,制定必要的应对策略,全面提升高校税务管理内部控制体系运转的效率与效果。高校应借助《深化财税体制改革总体方案》《财政部关于全面推进行政事业单位内部控制建设的指导意见》(财会[2015]24号)政策出台的契机,把握国家财税改革总目标和要求,推进税务风险管理,更好地发挥高校在科技创新、人才培养和产教研等各项经济业务中的积极作用。
参考文献:
[1]陈晴.我国新一轮税制改革的理念变迁与制度回应———以税收正义为视角[J].法商研究,2015,(3).
[2]贾康,刘薇.论支持科技创新的税收政策[J].税务研究,2015,(1).
[3]王雄英.高校税务风险管理之我见[J].财会月刊,2011,(10中).
[4]陈天灯.构建企业税务风险管理体系研究[J].管理世界,2013,(6).
[5]沈峰.略论企业税务风险内控机制的构建与测评[J].税务研究,2015,(7).
[6]陕西省国家税务局课题组.大企业税务风险管理探索[J].税务研究,2014,(10).
关键词:商业银行 合规风险管理 体系建设
合规风险管理的基本内涵
综合巴塞尔银行监管委员会和我国银监会分别的《合规与银行内部合规部门》以及《商业银行合规风险管理指引》,即合规是指“银行的活动必须与所适用的法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则相一致”。合规风险是指“银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则而可能承担法律制裁或监管处罚、重大财务损失或声誉损失的风险”。对合规风险管理的定义,银监会则在巴塞尔委员会要求的基础上增加了“价值创造”内容,包括“识别-预防-纠正-奖惩-完善制度-价值创造”六个要点,即有效识别合规风险,主动避免违规事件发生,主动采取各项措施纠正违规行为,减少因其产生的不良影响,以及制定适当的问责和奖惩措施,持续修订相关制度,完善操作流程及岗位操作手册,有效管理合规风险,持续、动态保障业务安全运行,提升合规创造价值的能力。
加强合规风险管理体系建设的重要意义
加强合规风险管理体系建设是满足监管要求的保证。银监会明确要求商业银行要建立合规部门,加强合规风险管理。面对日益严峻的监管形势,如果银行缺乏有效的合规管理体系作保障,出现违规行为时不但会带来巨大经营风险和直接经济损失,而且可能导致银行遭受声誉风险,同时还会受到监管部门的严厉惩罚。
加强合规风险管理体系建设是全面风险管理的重要抓手。商业银行面临的各类风险中,合规风险是最基本的风险,也是操作风险和信用风险防范的基础。从国内银行风险实际成因来看,商业银行制度不符合法律、法规和监管要求,以及业务操作中违法、违规行为导致的合规风险占相当比重。
加强合规风险管理体系建设是银行业务发展的需要。设立合规部门是银行完善内控的重要标识,透明、系统、健全的合规管理体系有助于银行树立良好的市场形象,使客户、投资者和社会产生强烈的信任感。因此越来越多的银行更加认识到合规管理不仅是应付外部监管的需要,更是银行自身业务发展的需求、创造价值的管理工具。
中外商业银行合规风险管理的差异
(一)合规风险管理理念的差异
巴塞尔银行委员会明确指出:合规应从高层做起,使之成为银行文化的一部分,银行应明确董事会和高级管理层在合规方面的特定职责。如美国货币监理署认为,银行高层的示范作用对银行声誉风险至关重要,包括高层行为是否有力支撑银行所倡导的价值观,董事会和高级管理层在业务活动中是否恪守严格的道德准则等。澳大利亚审慎监管局把有效的合规管理作为获得金融服务业牌照的前提,并于2012年12月规定要求公司定期向内外部利益相关者披露合规审查报告,要求公司高管推动合规培训、提升员工合规意识。
相比之下,国内商业银行对合规经营尚不够重视,主要体现在“合规应从高层做起”这一基本理念没有真正树立起来,普遍认为合规重点是对基层操作人员的管理,而缺少对高级管理人员强有力的约束。实际上只有董事会和高级管理层作出表率时,合规管理才最为有效。
(二)合规风险管理组织架构和职能定位的差异
发达经济体的商业银行普遍设立了独立的合规机构,目前美国的商业银行60%以上设立了独立的合规机构,组织结构比较成熟的如美国花旗银行、摩根大通和富国银行等。合规管理组织结构大致可归纳为两种类型,即集中化的组织结构和分散化的组织结构,两种模式因银行规模、业务类型、经营复杂程度等因素有所差异。
与此相比,国内商业银行往往没有独立的合规部门,大多由配合银监会监管工作的部门负责合规风险管理,有相当一部分合规职能未得到落实,尚不能有效统筹合规风险管理。这与银监会对“银行应当具有独立的合规部门”的要求明显不符。实践中,国内银行通常将合规机构与法律部门合并,成立“法律与合规部”。如2002年以来,中国农业银行、交通银行、民生银行、上海浦东发展银行相继成立了“法律与合规部”;2005年,建设银行在总行设立了独立的“合规部”,以加强合规管理职能,但后来在部门职能整合过程中,又将其与法规部整合,形成“法律与合规部”。2004年工商银行财务重组之前设立“内控合规部”,负责内部控制、常规审计、合规管理事宜。
(三)合规风险管理方法和工具的差异
经过长期实践,一些国际大银行逐步建立了一套比较完善的合规管理工具,主要包括建立合规风险预警系统、潜在客户风险名单、IT解决方案、可疑交易监控、利益冲突记录、授权控制等。如目前美国的银行采用了包括风险管理结构、早期问题探查、解决问题程序、平衡计分卡等手段,以及建立实时在线更新的庞大反洗钱数据库,对各类资金往来进行监控。英国的银行非常重视从机制上确保合规经营,在其内部建立了系统化的合规风险管理体系。
而国内银行在合规风险管理方法和技术运用方面尚处于起步阶段,在合规风险识别、量化、评估、监测等方面大多采用定性分析,科学性不够,大部分银行都没有专门的风险监测和预警系统,没有整合银行内部的历史数据和经营信息,缺少强有力的风险信息管理系统支撑。同时,定量技术工具使用很少,缺少主动引入内部评级法等先进定量技术工具和涵盖信用、市场、操作风险的计量模型,与国际先进同业相比差距较大。
加强我国商业银行合规风险管理体系建设的建议
(一)培育良好的合规文化
银行应把合规风险管理作为银行内部一项核心风险管理活动,并形成良好的合规文化。一是树立“人人有责”的合规意识,使每位员工意识到合规风险遍布于银行各类业务和工作岗位,自觉将规章制度融入日常工作。二是“合规从高层做起”,自上而下推动建立全员合规的文化氛围。高级管理层充分重视和信赖合规部门的工作,发挥好合规部门的作用,积极推进合规风险管理工作。三是“主动合规”,积极沟通、主动发现和暴露问题,积极完善业务规则和操作流程,降低违规风险。如果发现合规风险隐瞒不报,对瞒报者要实施严厉处罚。四是营造“合规创造价值”的合规文化。合规与风险控制、资本回报等核心要素正相关,在平衡风险和收益的情况下实现稳健经营,为银行创造价值。因此,商业银行要培育良好的合规文化,鼓励员工树立合规经营意识,从小处着手,从点滴做起,以合规促发展,用发展来体现合规的绩效。
(二)构建有效的合规风险管理组织架构和体系
实现有效的合规风险管理,必须按照独立性、权威性、全面性原则,以董事会、高级管理层、合规部门、内部审计部门和其他风险管理部门为核心,建立合规风险管理组织架构和体系,合理确定职能定位,明确权责及其独立性。一是合规应从高层开始,明确董事会和高级管理层相关职能职责。二是要界定与高级管理层之间的关系,合规部门应协助高级管理层落实合规管理各项规定,并有权对银行内部可能违反合规政策的事件展开独立调查,调查结果应随时向上级合规部门或所属机构管理层报告。三是要正确界定合规部门与内审部门的职责分工与合作。合规部门对合规风险进行识别、量化、评估、监测、测试和报告,为内部审计部门的合规性检查提供参考;内部审计部门的合规性检查结果也是识别和获取合规风险点的重要信息来源。四是与业务部门实现良性互动,业务部门向合规部门主动进行咨询,提出建议,并为合规部门监测、评估活动提供支持;合规部门通过提供建设性意见,帮助业务部门管理好合规风险,为银行业务与产品创新提供必要的合规预估和支持。五是在组织架构选择方面,集中化的组织结构可能更符合我国商业银行的实际情况,即在总行及分行均设立独立的合规风险管理部门,在分行下属机构设立合规部门或合规岗位。
(三)建立合规风险管理制度体系
“合规”包括“合”和“规”两层含义,其中,“规”是基础,首先有一套可以遵循的“规”,然后才是如何去“合”这套“规”。“规”就是将银行所适用的法律、规则和准则以及银行合规政策等文件有效融入银行内部的各项制度之中,制定内部的业务政策、行为手册和操作流程,形成一整套具有较强执行力的、程序化的合规风险管理制度体系;同时,对现有业务流程等进行统一梳理,收集银行内部合规风险点,以及监管部门的合规风险提示、合规风险案例、合规风险隐患等内容,建立合规风险数据库。因此,建立一个全面、有效的内部规章制度体系,是实现有效合规风险管理的基础。
(四)构建有效的合规风险评价和报告体系
规范标准的合规风险识别、量化、评估、监测和报告体系是有效合规风险管理的基础,也是将风险前移、早预警、早控制,建立健全规范有效的分析评价体系的重要环节。首先,合规部门应在全行其他部门协助下,全面、充分调研,掌握银行各类经营活动涉及的合规风险,包括流程、操作、新产品开发等涉及到的合规风险,提供合规支持。其次,通过合理的评价指标和计量方法,对识别到的各类风险进行量化评估。评价指标可借助技术工具,根据合规风险发生的频率和损失程度或影响大小,通过筛选可能预示潜在合规问题的数据(例如,消费者投诉的增长数、异常交易或交付活动等)进行量化测算,根据量化结果对合规风险进行评估和监测。最后,在此基础上形成关于合规风险识别、评估及监测情况和违规问题的报告,报请管理层和董事会审阅,高级管理层提出改进措施和加强合规管理的建议。
(五)完善责任追究及绩效评价制度体系
一是建立内部责任追究制度,借助具有威慑力的合规责任追究制度,规范经营管理行为,落实合规责任,及时纠正错误,惩处违规行为,充分体现合规创造价值的理念。二是要建立举报监督机制,鼓励一线员工举报违法违规问题,建立合理的举报保护和激励机制,对各类违规行为形成强有力的约束。三是强化制度约束力,加强全过程监督,提升制度设计的合理性,以及与流程、系统的融合程度,减少理解偏差带来的合规风险,增强制度执行力。四是构建科学有效的合规管理评价制度,科学设置合规管理考核指标,加强对业务合规性考核,客观评价各部门、业务条线和分支机构管理人员合规风险管理的能力和内部风险状况,把合规评价结果与相关人员的奖惩挂钩,确保奖惩分明、违规必究,充分体现倡导合规和惩处违规的价值观念。
(六)加强合规风险管理IT系统建设
我国商业银行应加强合规风险管理IT系统建设,建立标准规范的合规风险管理流程、程序和预警体系,合理设计合规风险的监测指标和评价指标,对合规风险进行量化评估。同时根据最新颁布的法律和业务需求、流程的变化及时维护更新系统,实现信息采集、信息共享、风险控制和合规管理的全面优化。
参考文献:
1.张力伟.城市商业银行合规风险管理[J].经济师,2012(9)
2.于春香.地方性股份制商业银行加强合规风险管理浅析[J].现代营销,2012(10)
3.胡为帮.构建城市商业银行合规风险管理长效机制的思考[J].经济师,2013(6)
4.黄丹,秦川.加强商业银行合规风险管理的思考[J].中国内部审计,2013(5)
5.董广英.商业银行合规风险管理探析[J].金融经济,2012(6)
关键词:内部控制;绿化施工企业;风险管理
内部控制与风险管理是企业管理提升中必要的管理工具,二者相辅相成,互为促进。内部控制旨在对企业风险实施管理,风险管理也将进一步促进内部控制体系建设与改进。绿化施工企业是我国工程单位的重要组成部分,其以苗木为主要原材料,结合建设方要求,进行园林工程施工。在当前经济环境下,特别是国家税制改革及供给侧改革等宏观政策要求,绿化施工企业面临着新的机遇与挑战,需要绿化施工企业加强内部控制与风险管理,以不断提升绿化施工企业经营管理效率与质量,促进其持续健康发展。
一、内部控制下绿化施工企业风险管理的重要性分析
1.有利于绿化施工企业适应宏观经济环境
绿化施工企业主要从事建筑施工项目中的绿化工程部分。在当前市场经济环境下,我国经济增速由高速增长转向中高速增长,经济发展由大国向强国转轨,经济新旧动能转化过程中,各行各业都受到很大影响,机遇与挑战共存的状态使得行业发展逐步优化。对于绿化施工企业而言,粗放式的管理已然不适应经济发展的大局,需要不断精细化管理,提高质量与效率。这其中,加强内部控制与风险管理是绿化施工企业不断提升服务与管理的必由之路,也将使得绿化施工企业的供给侧发生质的变化,实现持续健康发展。
2.有利于绿化施工企业防范财务业务风险
绿化施工企业以苗木为主要原材料,苗木作为植物品种,生长的环境要求相对较为特殊,特别是在养护方面,绿化施工企业存在一定的风险。同时,我国营改增已经在全国全行业推广实施,对于绿化施工企业来说,营改增对于其税负、资金等方面管理都提出了新的挑战,面临的风险压力也有所提升,需要绿化施工企业在业务开展过程中,考虑到国家税制改革对企业的影响,进而在经营管理中采取有效措施,不断提升绿化施工企业的竞争能力与水平。
3.有利于绿化施工企业提高管理质量效率
内部控制是企业加强风险管理的主要手段,其在环境分析的基础上,通过对企业经营管理流程的分析,梳理相关风险点,在与企业风险政策结合的基础上,制定相应的风险控制活动,在沟通与交流中,实现内部控制体系的落地,并对内部控制实施的效果进行评价改进,以不断提升内部控制效率效果。可以看出,企业内部控制完全基于风险基础开展管理。绿化施工企业通过内部控制建设将不断加强风险管理,并最终对绿化施工企业的管理质量与效率起到极大的促进与推动作用。
二、内部控制中绿化施工企业风险管理存在的主要问题
1.内部控制风险管理体系建设仍需进一步加强
内部控制与风险管理体系建设是绿化施工企业加强风险管理的首要步骤,是前提和基础。在绿化施工企业内部控制风险管理体系建设中,由于绿化施工企业长期以来管理的粗放性,很多企业仍然存在较大的体系建设不完善等问题。有的绿化施工企业在治理层面较为简单,主要由老板一人说了算,没有相关的集体决策机制。企业管理中缺乏战略规划设计与实施,没有将战略管理作为企业未来的指引,对内外部环境分析不到位,甚至没有相应的分析研究,使得企业发展与宏观环境脱节,容易造成风险。
2.内部控制风险管理实施推进仍需进一步加强
内部控制与风险管理体系建设的目的在于实施,在于对企业的管理实施改进,帮助企业实现风险的提前把控与防范,促进企业持续健康发展。而有的绿化施工企业通过聘请外部服务机构,建立了厚厚一本内控手册,但在后续执行中,缺乏宣传贯彻,在制度修订方面缺乏机制,内部控制体系难以落地,风险管理无从下手。特别是在内部控制执行中,人为因素掺杂过多,使得内部控制的刚性不足,导致内部控制形同虚设。
3.内部控制风险管理改进提升仍需进一步加强
内部控制是一项循序渐进、不断完善的管理手段,企业应建立评价改进机制,不断促进其发展完善。而有的绿化施工企业认为内部控制是对风险管理一劳永逸的事项,缺乏评价机制的建设与实施,使得企业难以适应外部变化莫测的市场环境。也有的绿化施工企业在内部控制对风险管理的评价方面,不知从何下手,在评价中流于形式,成为走过场的工作,难以发现企业存在的实际问题,对企业发展的促进作用微弱。
三、加强内部控制下绿化施工企业风险管理的主要措施
1.持续加强内部控制风险管理体系建设
绿化施工企业应加强企业的治理架构调整,建立集体决策机制,在内部控制建设方面,首先明确企业的风险政策,对风险的偏好有完整的分析与改进政策。同时,全面梳理绿化施工企业工程承揽、采购渠道建设、采购成本控制、工程过程管理、项目结算收款等流程存在的风险点。设置风险出发指标,加强风险的提前判断,提升风险管理防范作用。
2.持续加强内部控制风险管理实施推进
在内部控制及风险管理体系实施过程中,绿化施工企业应对内部控制相关制度流程进行全员宣贯培训,将内部控制的新方法和新流程贯彻至企业每一名员工,提高全员的认同意识,并在实施过程中,提高执行效率。对于内部控制执行过程中出现的问题,绿化施工企业应加强问题的过程管理,建立相关机制,加强沟通与交流,及时解决过程问题。
3.持续加强内部控制风险管理改进提升
绿化施工企业应建立内部控制风险管理的评价与改进,定期对内部控制及风险管理体系的执行情况进行系统评价,组织专门小组,对内部控制和风险管理的效率及有效性进行评价,并形成专题评价报告。绿化施工企业决策组织应对评价报告进行专题研究,对其中的问题划分等级,制定相应的改进措施,将风险点提前化解在初级阶段,促进绿化施工企业不断适应外部经营环境变化,并在企业内部管理中,不断形成效率提升、质量优化的管理环境,促进企业实现持续健康发展。
四、结束语
伴随我国经济发展进入新常态发展,供给侧改革和经济结构调整已成为我国经济发展的主要任务,新的市场环境下,绿化施工企业应加强内部控制建设与提升,并将风险管理作为基本目标,不断促进绿化施工企业持续健康发展。
参考文献
一、构建全面财务管理体系
(一)完善企业预算体系的建设当今社会对企业的预算管理提出了很高的要求,预算管理已经成为企业财务管理的基础内容。一个企业的管理水平在很大的程度上取决于其预算管理的能力。企业为了实现一定的财务目标要综合考量其所面对的各种因素,结合自身的财务计划和规则制度,编制出科学的财务预算。在此基础上,有步骤、有计划的进行预算管理,进而编制出全面的财务管理体系。首先,根据所获得的第一手资料进行科学的预测分析。其次,对财务预算要保持动态化的跟踪改进,使其能够适应不断变化的环境。最后,要对预算的执行进行严格的监督,保障预算能够得到切实的实行。(二)建设企业的财务控制体系资金管理无疑是企业财务控制体系的关键所在,也是全面掌握企业资产耗费、运行情况和资产保全等内容的重要手段。正因为如此,要对有关企业资金流动的各项业务进行严格的会计控制,并结合企业的实物资产管理机构对这些资产进行全面的监控。此外,对企业来说,其成本费用管理攸关其产品与服务的最终竞争力,因此企业要加强对这类有形、无形资产损耗的控制,尽可能的降低各种成本。企业财务控制体系的建设离不开资金管理的责任制,财务的内部控制制度要完备,内部约束要强力有效,并得到切实的执行。(三)加强风险管理体系的建设市场环境的快速不定变化,使得企业面临的竞争日益加剧,企业暴露于越来越多的风险之中。对于企业来说,其既无力控制客户需求的改变,也几乎不能影响社会的经济政治形势,竞争对手又处于不断的强大之中。在这种条件下,企业必须认识到对所面临的风险进行管理是一件十分迫切的任务。企业要增强自身的风险意识,培育和加强对风险进行分析的能力,制定出科学的防范和应对风险的策略,减少风险可能对企业带来的财务冲击和损失。具体来说,企业要结合自己的实际状况,建立一套能够涵盖大多数风险的识别系统,明确各种风险的发生可能和范围,能够利用系统的方法进行风险分析和评估,对各种风险建立一套必要的应对措施,使企业能够对市场的快速变化进行及时的反应。(四)完善财务监督和核查,加强财务培训体系的建设财务监督与核查在企业的财务管理体系中起着重要的作用。商务、法律和财务审计三者能够对企业财务报表的真实性进行审查,监督企业的财务管理活动符合规定,完善企业的内部管理制度,使得企业的经济活动能够合规合法。为了完善财务监督与核查,企业要建立和完善其信息处理系统,从而能够及时应对生产经营过程中的种种问题,做到及时发现及时解决。为了切实提高企业的财务管理水平,要加强企业财务工作人员的业务、道德素质建设。对财务人员的培训体系建设要一丝不苟,加大资金投入,完善培训考核。财务工作人员的入职必须符合一定的条件,确保其具备足够的专业胜任能力。在入职之后,要定时进行技能培训,不断完善其专业知识提高工作能力。对财务工作人员的道德素质教育要持续进行,使其具备客观公正、依法办事等职业操守。(五)建立与完善财务风险管理体系现代社会中,企业的内部环境和市场变化莫测,国内外政治经济形势、用户需求变化和竞争对手策略改变等情况,对现代企业来说都是极难预料与控制的因素,所以财务管理还需要建立并逐步完善一个对财务进行有效管理的风险管理体系,分析风险性质、制定风险对策,减少和分散风险的冲击。如建立适应企业自身特点的风险预警系统,以科学的风险评估方法确定风险可能给企业带来的经济损失,即损失的量化,为控制和化解风险提供决策依据。
二、结论
在新的经济形势下,企业必须构建现代化、复合型的财务管理体系。科学、合理的财务管理体系同时也是企业管理水平与运行效率的标志。构建这种财务管理体系就要加强在财务预算、财务控制、风险管理、财务监督与核查以及培训体系等方面的建设。从而能够快速有效的建立一套符合需求的财务管理体系,提升企业财务管理的水平,增加企业的市场竞争力。
作者:邢志宏 单位:山西大同煤矿有限责任公司物资采购分公司财务部
关键词:信用风险管理 内部评级体系 管理战略
一、商业银行信用风险管理体系的概述
1.商业银行信用风险。商业银行信用风险一般定义为银行的借款人或交易对象不能按事先达成的协议履行义务的潜在可能性。它由两部分组成,一部分是违约风险(default risk),指交易一方不愿或无力支付约定款项而致使交易另一方遭受损失的可能性;另一部分是信用价差风险(credit spread risk),指由于信用品质的变化引起信用价差的变化而导致的损失。以银行实际的风险资本配置为参考,信用风险占银行总体风险暴露的60%,而市场风险和操作风险则仅各占20%。狭义的信用风险通常指信贷风险。由于商业银行本身以经营信用为基础,作为经营货币的特殊企业,其信贷风险与生俱来。随着市场经济的发展,商业银行需要管理的风险也逐步增多,其信用风险依然是最大风险,以我国为例,据了解在剥离大量不良资产的前提下,2005年末,全国商业银行不良贷款13133.6亿元,不良贷款率为8.6l%,其中国有银行不良贷款高达10274亿元,不良贷款率高达10.49%。并且,在开放的市场中,新增的各种经营风险都将最终表现为信用风险。
2.商业银行信用风险管理体系的产生与发展趋势。
(1)商业银行信用风险管理体系的产生。纵观商业银行风险管理的发展,风险管理从产生到发展已经完成了从传统风险管理至现代风险管理的重大转折。传统的风险管理可以追溯到20世纪50年代前期,主要经历了负债管理、资产管理和资产负债的综合管理三个阶段。现代风险管理源于2O世纪80年代初期,国际上多家银行受信用风险的影响而纷纷倒闭,商业银行由此开始普遍重视对信用风险的防范和管理的研究,我国尤其在1997年的亚洲金融危机爆发后,更深刻意识到:商业银行的风险管理理念、体系已经到了必须重新研究的阶段,于是商业银行的全面风险管理体系建设在这样的背景应运而生。
(2)商业银行信用风险管理体系的发展趋势。商业银行信用风险管理体系在当前又有了新的发展趋势,如管理理念由保守型向进取型转变,由单纯控制信用风险转变为灵活运用信用风险。银行业越来越倾向于积极地、富有进取地管理信用风险,以在可接受的信用风险暴露下,实现风险调整收益率最大化;管理方式由人工管理发展到运用计算机系统进行管理,而且信息透明度越来越高,银行业可充分共享包括银行在内的借贷信息和政府有关机构的公开记录等;管理工具由内部控制工具发展到外部交易工具;管理手段由静态向动态方向发展;管理内容由单一资产的信用风险管理向资产组合的信用风险管理发展,并更加注重全面风险管理。银行更注重将信用风险、市场风险和其他多种风险纳入到统一的体系中,进行全面的风险管理;由各自为政向市场化、法制化方向发展;建立了完善的信用管理机构和有效的个人、企业信用评估体系。
3.商业银行信用风险管理体系的影响因素。信用风险管理体系是外部因素和内部因素共同作用的结果。外部因素指由外界决定、商业银行无法控制的因素,如国家经济状况改变、社会政治因素变动以及自然灾害等不可抗拒因素。内部因素是指商业银行对待信贷风险的态度,它直接决定了信贷资产质量高低和信贷风险大小,这种因素渗透到商业银行的贷款政策、信用分析和贷款监督等信贷管理的各个方面。
4.商业银行信用风险管理体系的内容。风险管理是一项系统工程渗透在所有业务中和银行管理的所有层次。目前,国际活跃银行普遍采用金字塔式的风险管理体系,如图1:
该体系可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;此外,风险管理体系还引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。随着改革开放的进一步深入和中国加入WTO,外资金融机构开始进入国内,国外先进的风险管理理念和管理方法逐渐传人我国,一些对银行风险管理比较重视、观念比较先进的国内银行开始认识到对全行风险管理进行统筹规划的重要性,开始慢慢尝试建立自己的风险管理模式。例如,中国银行率先在总行成立全球风险统一管理部,对中国银行的全球业务进行统一的风险管理。
二、商业银行信用风险管理体系建设中存在的问题
信用风险的发生通常具有突发性、不可逆性和传递性特点,而银行信用风险管理体系存在的较多问题,使信用风险的控制能力是有限的。商业银行信用风险管理存在较大问题,主要还是由于银行自身风险管理缺乏系统性和实效性所致。
1.运用现代风险度量模型计量信用风险时存在着主客观因素的制约。主观上。商业银行信用风险度量的主观评价色彩浓厚,长期以来采取的是由信贷主管人员在分析借款对象财务报表和近期往来结算记录后进行信贷决策的主观评价色彩浓厚的传统方法,是静态和被动的管理方式。客观上。缺乏有效的征信渠道和信息披露制度。以我国商业银行为例,目前我国大部分的征信公司经营规模小、收入低、效益差,业务开展上也不尽如人意:个人征信刚刚起步,征信的数据量很小,限制了其使用范围;企业之间信息不互通,透明度差,很多企业的财务数据无从搜集,已公开的一些大企业的财务数据也存在着失真现象。
2.商业银行信用风险评级体系尚不成熟。商业银行缺乏一套完善的信用风险内部评估体系,尚未建立起有效的预警、监测、转移和防范机制。商业银行信用风险评估整体水平较低,缺乏对个体信用风险基本要素及其损失的度量问题的定量研究,先进的信用风险模型的使用几乎没有开展,难以准确地识别和度量经营风险。国际上比较活跃的定量技术方法是VAR度量,目前国内对VAR方法的使用还主要限于交易或部门层次,在银行层次的运用还很少。商业银行普遍没有建立起以科学有效的信用风险识别、度量机制为基础的事前风险控制机制——风险预警机制。由此导致了商业银行的借款管理偏重于抵押贷款,而几乎没有建立具有高效的风险防范和转移功能的衍生产品以及证券化技术转移和分散管理机制。以中圈工商银行信用风险管理体系为例,如表1。
表1中国工商银行信用风险管理体系
3.商、世银行未建立起有关信用资产的历史数据库。随着信息时代的到来.信息科学在银行业的应用取得了长足的进展。但是由于商业银行在信息系统开发上缺乏前瞻性和不连续性,造成信息之间冗余,数据之间的一致性较差。目前商业银行已经或正在建立的信用管理信息系统主要是信息采集系统,以收集客户信息,提供综合查询和统计报表等功能为主,大部分商业银行缺少企业详尽完整
的信息数据库,缺乏模型分析,银行无法迅速传递、反馈和分析信息,以便及时解决商业银行经营中的风险隐患。
4.尚未形成正确的信用风险管理文化。由于长期受漠视风险的思维定式以及行为惯性的影响,目前商业银行依法合规经营意识比较薄弱,多数工作人员对信用风险管坪的认识不够充分,信用风险管理理念陈旧,已不能适应新时期业务的高速发展及风险环境复杂的需要。从我国商业银行来看,信用风险管理文化的缺失最突出的表现为:对银行业发展与信用风险管理的关系认识不够充分和对银行发展的眼前利益与长远目标的协调认识不够充分。
5.金融市场中介服务机构不健全,信用风险管理人才严重匮乏。现代信用风险管理是一门技术性非常强、非常复杂的新兴的管理科学,要求银行风险管理的人员必须具备很高的素质,经过严格的专业训练,否则很难理解业务和产品的风险性质,更难以采取适当的风险防范措施。因此,商业银行信用风险管理人才与风险管理现代化的要求相比显得十分匮乏。商业银行还缺乏一批复合型加专家型的金融风险管理人才和先进的信用风险管理技术人才。
三、进一步完善商业银行信用风险管理体系建设
1.建立风险管理信息系统。要尽可能地提高信用风险管理水平,就需要建立一套完善的信用风险管理信息系统,并在日常业务运营中得到良好的执行。商业银行应该把下一步信息化建设焦点放在信用风险管理之上。首先要加快风险管理的信息化建设。其次,在风险管理信息系统的基础上,做好商业银行的内部评级。商业银行应以改造和完善资产评级制度,特别是改造和完善贷款风险分类制度为切人点,逐步建立起以市场为导向和客户为中心的风险识别管理体系。最后,针对目前国内信用环境较差的实际,研究、开发一套具有反欺诈功能的风险监测系统。通过量化和建模的方法,甄刖虚假财务数据,从源头扼制风险的发生。运用适当模型计量信用风险,并建立健全数据库,致力于开发新的度量模型。注意信贷资料的收集。完善信贷档案管理,做到专人负责、资料完整。组织科技人员统一开发适合本行的数据处理系统。商业银行还应与有关政府部门和科研机构一起,对信用风险度量模型进行改进。或量体裁衣式地开发新的信用风险度量模型,使之更好适应我国的信用风险管理的需要。
2.逐步建立健全内部评级体系。内部评级法在银行风险管理中的应用应按照实施阶段和条件,分为在制定贷款审批权限结构、贷后管理、贷款组合报告与分析等三个方面的应用和在设定信用风险限额、确定贷款损失准备金、风险定价、资本分配与绩效评估的应用这样两个层次。前一个层次在近期可以实现,后一个层次在较长的时间内才能够实现。
3.建立独立体系,完善管理流程。在完善的公司治理结构的基础上,建立相互独立的、垂直的风险管理组织体系。应先明确董事会是银行管理的最高权力和决策机构,下设战略规划委员会负责起草风险管理战略,负责战略风险的管理。监事会下设风险审计委员会,对董事会成员进行监测。风险管理战略必须强调的是只能自上而下,不能自下而上。风险管理战略应在系统内得到充分的认识,其制定、审批、分解执行和监督流程必须得到相应的组织制度保障。完善全方位的风险管理流程,则要逐步做到按产品、地区、业务、主线来识别风险;全面收集银行的业务管理数据。特别是要严格实行贷款授权审批机制。由总行依据分行的资产负债情况,授权分行信贷委员会一个最高审批限额,分行依据最高限额向分行信贷委员会成员转授权,核定每个委员的集体审批权限,当发生贷款时,先由信贷人员对企业资信全面评估,再交由信贷委员会委员批准生效,若贷款超过一定数额,则需报上级行信贷委员会核准,从而形成分层次的贷款授权审批制度。对那些不使用的流程应及时废除。
4.树立重视风险、对风险进行科学管理的企业文化。市场经济是信用经济,培育良好的社会信用意识和法律意识,既是金融健康发展的必要条件,也是创建金融安全的~项基础工作,因此商业银行要会同有关方面,在全社会广泛开展教育和风险教育,引导教育所有金融市场参与者充分认识到信用风险的危害性。在银行内部建立风险管理文化,倡导和强化风险意识,树立囊括各个部门、各项业务、各种产品的全方位风险管理理念,推行涵盖事前预测、事中管理、事后处置的全过程风险管理行为,引导和推进风险管理业务的发展。信用风险管理文化是一种融现代商业银行经营思想、管理理念、风险控制行为、风险道德标准环境等要素于一体的企业文化。商业银行应倡导和强化全员风险意识,树立全方位风险管理理念,要将个人行为与企业发展、风险管理与业务拓展有机结合起来。通过建立这一风险管理文化,使员工以诚实守信、审慎务实的态度来对待每一次信贷调查,以对客户负责、对全行负责、对自己负责的态度,正确审批每一笔业务,建立一支品行端正、作风严谨、技术精湛的风险管理队伍。
5.成立专门的机构、培养高素质的风险管理人才。商业银行的正常运营与其机构的合理设置是分不开的,商业银行的机构设置大都要遵循合理分工相互协调的原则,统一指挥、权责一致、提高效率的原则,加快内部稽核机构建设,建立完善的风险管理部门。风险管理部门直接独立于最高管理者。同时有相当权威的某个人或某个小规模的委员会负责,以确保最高管理者关注实践中发现的问题风险管理是现代商业银行的核心技术,要提高信用风险管理水平,必须培养高素质的人才队伍。现代风险管理需要精通金融学、经济学、数学、计算机的复合型人才。而我国银行风险管理人员的知识结构、年龄结构、能力结构都还很难适应现代风险管理的需要,因此必须培养高素质的风险管理人才。
关键词:电网企业;信息安全;风险;应对措施;管理体系
作者简介:王旭(1964-),男,浙江宁波人,新疆电力公司电力科学研究院,高级工程师。(新疆 乌鲁木齐 830011)张建业(1972-),男,浙江浦江人,新疆电力公司科技信通部,高级工程师,华北电力大学经济与管理学院博士研究生。(新疆 乌鲁木齐 830002)
基金项目:本文系国家自然科学基金资助项目(基金号:71271084)的研究成果。
中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2013)26-0163-03
信息安全风险是信息化时代企业发展和内部管理所面临的一个迫切问题,网络化、信息化的飞速发展能够给企业带来无限的发展机遇,同时也让应用信息化技术的企业面临着各种不同的风险威胁,这些风险因素一旦发生,将对企业的日常运营、战略目标的实现甚至长远发展产生无法估计的影响。有效的信息安全风险管理体系对于企业规避信息安全风险、减少不必要的损失具有重要作用。
对于电网企业来说,信息化建设是推动电网企业智能化、现代化等长远发展的核心推动力,但网络病毒、黑客入侵等一系列风险因素,使得电网企业信息安全同样面临着巨大的挑战,必须对电网企业面临的各类信息安全风险进行有效控制,以保证电网企业的信息化内容正常运行。
一、电网企业信息安全风险分析
电网企业的信息安全风险就是企业的信息系统和网络等面临的来自各方面的风险威胁,各种内外部的、潜在的和可知的危险可能会带来的风险威胁等。随着网络环境的复杂性不断增加,新的信息技术的不断应用发展,电网企业的信息安全面临的风险因素也更为繁多复杂,同时由于其注重信息安全的行业特点,电网企业的信息安全风险管理面临的压力更大。为此需要对这些风险因素进行规范、合理的识别分析,进而建立综合的风险管理体系。
电网企业的信息安全面临着来自不同层次、多个方面的风险因素,有来自外部环境的风险威胁,也有企业内部的风险影响;有技术方面的安全风险,也有人员操作方面的安全风险等。具体的信息安全风险因素主要包括以下几个方面:
1.木马病毒入侵的安全风险
随着网络技术的不断发展、电网企业内外部网络环境的日益成熟和网络应用的不断增多,各种病毒也更为复杂、难解。木马等病毒的传染、渗透、传播的能力变得异常强大,其入侵方式也由以前的单一、简单变得隐蔽、复杂,尤其是Internet网络和企业网络环境为木马等病毒的传播和生存提供了可靠的环境。
2.黑客非法攻击的安全风险
近年来各种各样的黑客非法攻击异常频繁,成为困扰世界范围内众多企业的问题。由于黑客具有非常高超的计算机技术能力,他们经常利用计算机设备、信息系统、网络协议和数据库等方面的缺陷与漏洞,通过运用网络监听、密码破解、程序渗透、信息炸弹等手段侵入企业的计算机系统,盗窃企业的保密信息、重要数据、业务资料等,从而进行信息数据破坏或者占用系统的资源等。
3.信息传递过程的安全风险
由于电网企业与很多的外部企业、研究机构等有着广泛的工作联系与业务合作,因此很多日常信息、数据资料等都需要通过互联网进行传输沟通,在这个传输过程中的各类信息都会面临各种不同的安全风险。
4.权限设置的安全风险
信息系统根据不同的业务内容对不同的部门、员工开放不同的系统模块,用户根据其登陆的权限设置访问其范围内的系统内容。每个信息系统都有用户管理功能,对用户权限进行管理和控制,能够在一定程度上增加安全性,但仍然存在一定的问题。很多电网企业内都存在不同的信息系统,各系统之间都是独立存在,没有统一的用户管理,使用起来极不方便,难以保证用户账号的有效管理和使用安全。另外,电网企业的信息系统的用户权限管理功能设置过于简单,不能够灵活实现更为详细的权限控制等。
5.信息设备损坏产生的安全风险
电网企业内的各类业务信息、数据资料、工作内容等信息都是依托于相应的软硬件设备而存储、传递、应用的,当这些计算机硬件设备、信息系统、数据存储设备、用电支撑设备等由于企业内外部不同作用力的影响而出现瘫痪、停止工作等突发状况时,会带来重要信息内容的泄露、丢失等安全风险隐患。
6.人员操作失误形成的安全风险
电网企业内的专业信息技术人员、业务人员、管理人员对信息系统的操作能力存在一定的差异,一些人员的意识较为陈旧、操作能力较差,在对信息系统、网络连接、数据库等的应用过程中,由于对这些技术内容不熟悉从而产生了一些错误操作,为此产生了许多意想不到的安全风险。同时,在运用过程中存在的思想偏差、理解偏误、粗心大意等导致的误操作也会产生相应的安全风险。
7.技术更新变化带来的安全风险
当前的信息技术、系统开发、网络应用、数据库存储等都在日新月异地飞速变化,几乎每天都会发生更新换代的升级变化,没有任何的信息技术能够长时间使用。电网企业原有信息系统等设备进行升级换代或者与新的数据库内容进行新旧结合以及转换时,会因为兼容性差、不能匹配等原因造成一定的信息安全风险。
二、信息安全风险应对机制
电网企业的信息安全承担着极为重要的作用,而其面临的安全风险也是多方面的,仅从信息系统、技术设备的单一角度进行信息安全风险管理远远不够,对于其他很多潜在的风险因素难以有效应对。因此需要从信息技术技术、企业管理、风险控制等多个维度来建立相应的措施,以应对可能出现的各类风险,从而从硬性技术层面到柔性管理层次形成多维度的风险管理手段。电网企业信息安全风险应对机制框架结构如图1所示。
电网企业的信息安全风险管理应对机制是以风险控制角度为核心、信息技术角度为支持、企业管理角度为保障的双向支持、互为影响的一个环状模型,三者之间紧密配合、共同发挥风险应对的作用,具体内容如表1所示。
三、信息安全风险管理体系
电网企业信息安全风险管理体系是进行信息安全风险管理的核心内容,其他的制度建设等方面的应对机制都是为了更好地使风险管理体系发挥有效的作用,能够在不同的情况下进行信息安全风险威胁的提前预防、风险发生时的控制、事后风险影响的结果处理等。
电网企业信息安全风险管理体系框架结构如图2所示。
1.信息安全风险评估
电网企业信息安全风险评估是风险管理体系的第一部分,风险评估效果的好坏直接影响着后面风险管理环节的执行情况。通过风险评估的准确执行,能够有效识别、分析各种不同风险的种类、来源、影响程度等内容,为后续的风险预防、控制等奠定良好的基础。
信息安全风险评估主要由风险案例库、风险因素分析系统、风险定量定性转化系统、数据统计归纳库、风险分析结果传输体系等构成,通过几个模块的有机结合来科学分析评估电网企业遇到的各类信息安全风险因素。
2.风险事前预防
电网企业信息安全风险事前预防就是在风险没有发生时对各种风险进行提前预防,通过建立的预防计划方案来提前避免风险的发生,从而保证信息的安全性。这是风险管理体系希望达到的最佳效果,因此该环节非常重要。
通过对风险案例库的经常性学习,使相关部门和人员对各类风险有了总体的认识和了解;通过建立相应的风险预警装置来提前警告风险的发生,使电网企业能够提前采取措施来避免风险发生;运用信息安全风险管理制度加强员工的行为能力,避免风险产生;通过信息技术的相关配置,从信息系统、网络、数据等方面提前对一些病毒风险等进行处理。
出色地执行电网企业的信息安全风险预防工作,能够避免很多不必要的麻烦,从而有效减少后面风险控制工作内容。
3.风险威胁转移
将可能发生或者即将到来的信息安全风险有效转移到其他的地方,可使得安全风险没有在电网企业的信息系统中发生,避免了风险带来的威胁损害。风险转移同风险的事前预防一样,能够在很大程度上将信息安全风险带来的威胁降低到最小,避免其带来的各类损失。
4.风险过程控制
在对信息安全造成威胁的风险发生时,采取各种方法、手段进行风险的最小化控制,使风险本身随着控制的进行而逐渐变小甚至消失,将风险发生后造成的影响降低到最小或者控制在能够承受的合理范围内。
主要从信息系统、数据库、网络系统、计算机基础设备等技术方面进行控制;从制度、标准、规范等管理层面进行控制;从人员培训、部门协调等组织结构层面进行控制;从风险发生时制定的风险控制措施、计划进行控制;形成动态反馈的风险发生、控制效果的反馈机制,以便及时对控制方案进行调整完善。
5.风险事后处理
信息安全风险发生后,对电网企业的信息系统、网络、数据库等造成一定的影响,已经没有时间进行及时有效的风险控制,此时的工作重点在于如何采取挽救措施对风险造成的信息安全损失进行弥补,将其影响程度降低到最低。
从电网企业的信息安全风险评估开始,到信息安全风险的预防、风险发生时的控制以及风险后果的处理,对整个过程进行深入的分析、总结,发现风险管理体系存在诸多不足和缺陷,控制计划在某些方面需要进行改进完善。将本次发生的信息安全风险控制过程整理进入案例库,以便下次的风险预防借鉴。
电网企业信息安全风险管理体系中的各个流程环节都是按照一定的流程顺序、风险发生种类、大小而进行的,其具体的流程如图3所示。
6.非常态风险应急处理
在电网企业对信息安全进行风险管理的过程中,有时会出现一些案例库、控制计划之外的非常态风险,这些风险没有以往成功的风险管理经验可以借鉴,这时就需要在电网企业信息安全风险管理体系中建立相应的非常态风险应急处理模块。
电网企业信息安全非常态风险应急处理主要是当意外的紧急风险发生时,能够迅速启动应急预案组织相关人员进行风险应对控制、风险预防和控制等;若风险已经发生,此时能够及时还原数据、隔离外部风险入侵,使信息系统、网络、数据库在最快的时间内恢复正常运作。
四、总结
本文通过对电网企业信息安全重要性进行分析,提出了建立信息安全风险管理体系应对各种内外部风险威胁的必要性。在对电网企业信息安全的概念、特点等分析说明的基础上,深入研究了电网企业的信息安全所面临的各种不同的风险因素,建立了包括信息技术、企业管理、风险控制三个方面在内的电网企业信息安全风险应对机制。结合所建立的电网企业信息安全风险应对机制,本文构建了一套综合、全面的电网企业信息安全风险管理体系。该体系的构建能够从事前风险预防、事中风险控制、事后风险影响后果处理等三个环节进行全面的风险管理。
参考文献
[1]张浩,詹辉红,钱洪珍.电网企业信息安全管理体系建设中的风险管理实践[J].电力信息技术,2010,8(6):21-24.
[2]刘金霞.电力企业给予风险管理的信息安全保障体系建设[J].网络安全技术与应用,2008,(1):42-44.
[3]刘莹,顾卫东.信息安全风险评估研究综述[J].青岛大学学报(工程技术版),2008,23(2):37-43.
【关键词】装备制造 风险 管理
2008年5月财政部等五部委印发了《企业内部控制基本规范》,2010年4月又印发了相关配套指引,包括18项《应用指引》和《评价指引》、《审计指引》。自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。2010年8月,大连华锐重工集团股份有限公司被列入《大连市企业内部控制规范体系建设实施方案》首期确定的10家试点企业之一。
一、装备制造企业以风险防控为重点的内控体系建设管理的意义
(一)实施风险控制管理是企业产业结构调整和产品升级换代的需要
不断调整产业结构和产品结构,把经济发展转移到依靠技术创新、技术进步的道路上来,是企业获得可持续发展的根本保证。大连华锐重工重组以来,经营总量以年均近30%的速度增长,新产品种类不断增加,经营规模位于国内同行业前列。任何一种产品都有自己的生命周期,如果一个企业长期固守一种或几种产品,不断推陈出新、升级换代,那么一旦这种产品生命周期衰退,企业就必然随之衰败。产业结构和产品结构的调整,一是必须随着市场需求变化,推出适应市场需求的新产品;二是必须预测和掌握产品的生命周期,在产品生命周期衰落之前,及时推出可替代的新产品;三是必须掌握科学技术发展的趋势,不断增强产品技术含量,提升产品的功能。在产业结构和产品结构调整中,要正确评估旧产品推出和新产品投入的风险,建立相应的风险管控机制。
(二)实施风险控制管理是企业转型时期的迫切需要
按照大连市政府、国资委的统一部署和要求,大连华锐重工经过几年酝酿,开始进行整体改制上市相关工作。基于企业发展及上市的需要,对企业的管理特别是风险管控提出了更高的要求。近两年来,大连华锐重工从完善制度、流程等方面入手,一直在积极探索、寻找适应企业发展的现代管理模式和风险管控机制。十二五期间,大连华锐重工力争综合竞争能力国内行业领先,致力于打造国际一流装备制造企业集团。
在这一战略的指引下,企业将实现跨越式发展,在产销规模不断扩大的同时,企业承受的风险也在加大,在重要战略决策上,重大事项管理上,重大项目投资上企业都需要风险控制,降低企业运行时所承担的风险。为加强集团风险管控能力,必须通过优化内控流程,健全符合企业特点的、基于风险控制的内控管理体系,使流程、制度贯穿于企业决策、管理和生产经营的全过程,实现全员参与、全过程控制和全方位监督,切实做到用制度管权、用制度管事、用制度管人,实现经营效益、管理效率和风险控制三者平衡,保证企业的可持续发展。基于上述背景,企业在稳步发展的同时,需要在管理体系中重视风险控制管理。
二、装备制造企业以风险防控为重点的内控体系建设管理内涵和主要做法
大连华锐重工通过聘请外部机构为风险管控实施顾问,与企业共同建立了“以风险为导向、以控制为手段、以流程为纽带、以制度为保障、以组织为基础、以系统为载体”为思路的内控体系建设,健全全面风险管理体系,实现全员参与、全过程控制、全方位监督;以风险管理信息系统与加入风险管理功能的ERP系统为技术平台,通过搭建效益、效率和风险平衡的管理机制,建立覆盖项目建设和运营管理各个业务环节的、纵横结合的内控制度体系,切实提高经营管理水平和风险防范能力,保障企业高效、高速、可持续发展。主要做法如下:
(一)明确风险管控模式,建立管控组织体系
1.建立风险管控模型,开展内控体系建设
根据国家财政部颁布的《企业内部控制基本规范》及配套指引,大连华锐重工根据自身实际,总结出自己内部控制“以我为主,借助‘外脑’”的实施策略。内部控制就是控制企业运行中存在或可能存在的风险,涉及企业的方方面面,需要企业所有部门精诚合作,共同推动内控体系建设。
大连华锐重工根据已经确立的实施原则,在集团本部全面铺开内控体系建设,在经营单位中选择3家下属公司作为试点单位,其他单位待时机成熟时再全面推广。由2个职能部门牵头成立专门机构———“内控工作小组”,人员构成从业务领域上涵盖了营销、生产、财务、技术、信息化、人力资源、企业文化、综合管理等方方面面,从年龄看是老中青三结合。这样从专业知识、工作经验和年龄结构等不同角度形成了优势互补。
2.明确职责分工,充分发挥参与者的作用
经过咨询公司的统一培训。大连华锐重工内控体系建设正式启动,内控工作分为流程梳理、风险识别、内控手册编制、制度建设等阶段,其实质是发现问题并实现改善和能力提升的过程,内控工作小组明确每位成员的工作职责,充分发挥参与者作用。同时动员企业各部门领导参与到内控体系建设工作中,起到表率作用。一是要求企业各领导将自己签字负责的文档、管理制度及相关工作向内控领导小组或安永专家汇报。二是定期下发《内控工作简报》,让企业领导及各部门了解工作进度,提出宝贵意见。
(二),搭建全面风险管理框架,开展风险分析
1.搭建全面风险管理框架
大连华锐重工本着“以风险为导向、以控制为手段、以流程为纽带、以制度为保障、以组织为基础、以系统为载体”的思路,构建全面风险管理框架。
该框架以战略、经营、财务、合规为目标,参考COSO的《企业风险管理—整合框架》,制定内部环境、风险评估、控制活动、信息与沟通、内部监督策略及执行、检查与评价、持续改进流程,将效益、效率与风险平衡管理理念融入内控制度建设和重大风险解决方案,形成风险防控的“闭环”管理。以子公司、业务单元、业务分部、公司层面为责任主体,以风险管理信息系统为工具,实现全员参与、全过程控制、全方位监督。
2.梳理流程,识别企业存在的风险点
流程梳理是内控建设的基础准备工作,是查找风险点的有效方法,大连华锐重工内控小组结合《基本规范》的重要性原则,最后形成了包含12项流程类别的《流程清单》,确定将企业186项业务活动作为梳理对象,并利用美国先进的流程管理方法论APQC进行梳理。梳理初期,通过关键业务人员的帮助,内控工作小组了解了具体操作步骤,形成《流程概览表》,结合《流程概览表》,共梳理出流程图251个,风险点416个,其中核心风险点85个,控制活动639个,基本覆盖企业所有重要风险点。
3.完成内控手册,并在经营单位中推广
内控手册是内控建设的阶段性成果,是日后日常操作规程及风险控制的依据,也是提交大连市内部控制规范体系建设工作领导小组验收的必备材料。大连华锐重工将流程梳理阶段完成的集团本部及试点单位的流程文档,包括流程图、流程描述、风险控制矩阵和授权审批表等进行补充、修订、更新和完善后汇编入册,形成集团本部及3个试点单位12个一级流程、60个二级流程和132个三级流程的包括流程综述、适用范围、流程地图、流程图、风险控制矩阵、不兼容职责表、授权审批表及配套制度等内容的12本内控手册。同时,依据集团本部及试点单位的内控体系建设经验,完成16家推广单位内控手册的编写工作。
(三)开展流程穿越,完成信息化融合
1.流程穿越,识别问题,按期整改
大连华锐重工内控工作小组在梳理出风险点后,组织对各流程进行了流程穿越,即审计上所说的穿行测试。内控工作小组通过资料审阅、实地观察、重新执行等手段,识别出设计缺陷与执行缺陷共122项,如,“合格供应商定期评估缺少后续奖惩措施”、“内部采购业务管理制度缺失”、“经营单位资金支付计划未与采购合同付款信息进行匹配,资金收款计划未与营销部货款回收计划一致,可能影响集团公司资金计划的准确性”等。在明确每类问题责任部门的基础上,按照“轻、重、缓、急”原则制定了详细的整改时间表,并按期整改完毕。整改过程中,进一步明确了原有的职能交叉、空白等问题,如确定了采购职能、无形资产职能、产品安装调试职能等等,同时,从无到有初步建立起信用管理体系。
2.与信息化相融合,重点突出信息化的控制功能
《企业内部控制应用指引第18号———信息系统》强调,“企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入信息系统,实现手工环境下难以实现的控制功能”。在内控体系建设过程中,大连华锐重工重点突出信息系统的控制功能。就内控体系、制度体系建设与信息化相融合的问题,内控工作小组组织相关人员进行了专题讨论,最终采购、生产、销售、财务四个与信息系统密切相关的流程共梳理出控制活动329个,其中可以利用信息系统进行控制的为127个,已经利用信息系统控制的为115个,另有“采购合同管理”、“库存管理”、“零部件级生产计划”、“信用管理”等12个业务活动未应用信息系统控制。针对这种问题,企业下发了《关于加强业务活动信息系统控制的通知》,要求各相关业务归口部门针对未应用信息系统控制的业务,负责制定相关业务信息化运行及控制的时间节点和计划,报内控领导小组审核后,会同信息部门组织实施,保证2012年4月1日开始实现系统应用。
(四)内控建设与制度建设融合,更好控制企业风险
制度是内控体系建设的重要“保障”,是内控体系建设必不可少的一个重要环节。大连华锐重工将制度建设定位为制度优化,并融入到内控体系建设实施工作过程中。突出了两个特点,一是打破了以系统、部门为单位进行制度梳理的习惯,而是以流程为纽带优化制度,促进各系统、各部门树立大局意识,从企业角度制订各项制度。二是引入先进理念,实现制度分级管理,制度共分三级,一级制度,统筹效能,即统筹管理、厘清职责、明确原则;二级制度,分级管理,即细化管理、落实职责、规范流程;三级制度,自我管理,即联系实际、响应集团、按需制定。此次优化整合后,企业共形成202项制度,其中一级制度53项、二级制度149项。
为确保这些制度的质量,企业打破部门界限,抽调了各部门制度专干与经验丰富的管理人员共15人成立了跨部门制度审阅小组。审阅小组对上述202项制度进行了为期35天的封闭审核,通过先进的理论和扎实的工作,真正构筑起了“科学、简洁、实用、高效”的制度体系。
科学,即前面说的制度分级并与内控流程科学匹配,形成合理闭环;与优秀企业(宝钢和徐工)实践对标,借鉴优秀企业流程设计;借鉴先进控制手段,优化风险控制节点;增强制度的可操作性。
简洁体现为:制度有效整合(削减重复及定性部分);优化控制重点,关注重要风险点、突出关键控制点;使工作流程完整、连贯;整合管理对象,控制核心风险。
实用体现为:制度涵盖所有重要业务流程、建立“4W1H”标尺(谁、什么时间、什么地点、做什么、怎么做),匹配“四定”原则(定人、定事、定时、定期检查)、提高可操作性、关注运营风险点。
高效体现为:制度明确归口部门、厘清各方职责;完善分级授权机制、缩短审批链;建立流程接口、提高效率;与信息化结合,体现系统控制。
三、装备制造企业以风险防控为重点的内控体系建设管理构建与实施的效果
(一)整合管理资源,提高管理效率,推动企业管理模式转变
实施内控体系建设,推动了各项管理资源的整合和优化,有效地理顺了各部门的管理职能,消除了职能重复、交叉断档和扯皮推诿现象。通过职能划分和工作流程的规范,理清了业务执行的程序及正常流转过程,并通过制度对业务管理内容、方式和流程进行固化,业务过程得到了不断的统一和优化,使各项工作流程更加规范、专业管理也实现了由“粗”到“细”,由“虚”到“实”,管理和效率得到大幅度提高。同时,管理方式和管理理念也发生了改变,由过去的“人管人”转变为“制度管人”,员工行为准则发生了质的转变,从“要我执行”向“我要执行、我会执行、我能执行”转变。减轻了领导解决问题、协调内部各种关系的工作量。各项管理工作更加规范,各项管理制度更加健全,各项工作流程更加清晰,真正形成了闭环控制。