时间:2023-09-07 17:42:09
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇公司战略风险管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:保险经纪行业;风险管理;思考
随着全国保险机构的逐渐增多,涉及的经费的数字也愈来愈庞大,从而保险经纪公司的身影出现在我国的保险市场也越来越频繁。但是战略风险的管理和外部环境的不利影响,以及自身的尚未完善,违法违规现象普遍存在等问题严重影响了保险经纪公司的健康发展。这些问题的解决不容忽视。在上述背景下,对公司发展过程的战略风险进行系统分析和研究,探寻出创业型保险经纪公司在战略风险管理存在的问题,提出相关建议和措施,降低保险经纪公司在管理方面的不准确性,针对问题进行分析,使其具有借鉴和研究价值。
一、国内外的研究状况
目前具体对于保险经纪公司的战略风险管理的问题研究,无论是国内还是国外都没有系统化的研究模型及结论。据我们所了解到,风险的基本定义是由于损失的不确定性对企业造成的影响,战略风险也可简单理解成企业整体损失的不确定性。企业战略管理研究可以大概分成三个阶段:以SWOT方法分析为基础的经典战略管理阶段,对企业内部环境和外在条件系统分析的阶段和最终确立企业战略的阶段。在20世纪80年代的战略方针是以五种竞争力量作为模型,价值链的分析作为基础而确定企业战略;到了90年代以后,战略理论开始多方面发展,以核心能力理论、超越竞争型理论等新的战略管理理论为主。ChristopherJ.Clarke指出企业的战略执行能力比提出的战略质量本身重要,在把风险管理贯穿于战略经营的过程中,应重点关注这个问题。2007年,战略风险被描述为“战略风险管理关注的是商业运营中的几个关键因素。有时战略风险会改变价值创造的基础,将这种价值变成企业的收入支柱;有时战略风险又会影响和客户之间的关系”。在个人层面上,对待企业战略风险,因心理偏见而导致的判断风险,是可以通过培训和教育,使他们了解到风险背后的不良后果和应该承担的责任,从而达到进步的。公司层面上,由于主观偏见而导致的判断风险,是可以通过创建风险评估模块来揭示的。
二、我国保险经纪公司发展中的隐含的问题
如今,保险经纪行业虽然在国内取得了较快的发展,但与保险行业发达的国家相比,我国保险经纪公司的规模还比较小,专业水平低下。在发展过程中,不仅要受外部市场和政府政策的影响,同时也受内部股东自身的背景单一、组织结构不够完善、专业服务能力较低、缺乏人才等问题的限制。此外,一些违法违规行为、工作人员职业道德教育的匮乏等问题也不断影响着保险经纪公司的发展。上述问题严重不利我国保险经纪行业的良性运转,同时严重制约了我国保险经纪行业向更高层次的发展,亟需探讨并解决。具体包括以下几个方面:
(一)外部环境的不利影响
在我国,外部环境对保险经纪公司有以下两个不利影响:一是保险经纪行业的认可度不够,二是保险经纪监督策略不完善。我国保险经纪公司虽然已经建立十余年了,其发展也十分的迅速,但是与国外的相比,国内的保险经纪公司存在时间依然尚短,规模也不够,宣传力度也远远不及,导致了社会认可度不高,差距较大。比如在保险市场上,大多数客户并不知道保险经纪公司是干什么的,或者直接与保险,保险公司混为一谈,或者被认为是保险公司的展业的渠道之一,这些都非常不利于保险经纪公司展现应有的价值。另外,随着我国改革开放后,市场经济体制不断完善,我国的生活水平不断提高,各大企业对风险管理的工作也逐渐重视起来,保险经纪人的需求量增大。在2001年和2002年,我国出台了《保险法》和《保险经纪机构管理规定》,首先明确要求了我国保险经纪人的法律基础,此政策极大鼓舞了保险经纪行业发展的信心。然而,相关配套的法律实施原则和行政条例的可执行度依然不高,保险经纪监管政策仍然需要进一步的完善。
(二)自身不足对其发展的限制
目前,国内各大企业纷纷成立了自身系统内的保险经纪公司,为战略风险的管理进行铺垫。这个举动壮大了保险经纪从业人员队伍,也充实了保险经纪行业的力量。然而此类保险经纪公司的成立,由于其行业背景的限制,其业务来源多靠行政手段,自身的技术水平较低,不利于保险经纪公司立足于市场,也不利于提高自身的专业服务能力和展业能力。从长远来看,也不利于保险经纪公司的发展。保险经纪公司的业务核心应为严格按照保险经纪业务的要求,为投保方提供风险管理、保险方案设计、协助索赔、风险评估等一系列的服务。但部分保险经纪公司的经营机制不够完善,无法充分发挥保险经纪人应具备的价值,损害了投保人的权益。如一些保险经纪公司缺乏长远规划,经营机制不完善,最终导致不能有效履行为投保人提供保险服务的职能,从而发生合同纠纷。另外,从业于保险经 纪行业的工作人员缺乏完善的管理教导和经营技能,具体来说就是无经验可论,无技能可施。人才的匮乏在很大程度下影响着保险经纪公司的发展,专业的风险管理人才和风险管理数据库的缺失,使得保险经纪公司无法真正实现为客户提供优质服务,协助客户进行高效风险管理的核心价值。在国内,保险经纪人大都没有发展自己的业务特色,发展形式单一,忽视了立足于市场的根本职能,降低了自身的专业服务能力。
三、战略风险管理的应对方法
保险经纪公司的战略风险管理策略决定了企业风险管理的方向,保险经纪公司在各种战略风险管理因素的评估为制定经营策略提供必要的依据,随着风险管理水平的提升以及管理现状的不断变化,公司应对自身的战略风险管理策略进行定期的考核和评估,以检查其科学性和适用性,及时根据实际来进行修订和完善。为降低战略风险发生的概率,减少公司的损失并对风险进行有效利用,依据风险的性质及战略风险的管理目的,主要有以下的战略风险管理策略:
(一)“转移”策略即是把风险进行转移,例如公司付出一定的代价将风险以某种方式转嫁给他人承担,将战略风险的最终后果转移到其他地方。代价则一般指的是盈利业务和利息等,转嫁方式分为再保险转移和非保险转移。
(二)“减弱”策略即通过降低战略风险发生的几率或者削弱降低后果的严重性来控制战略风险的损失。战略风险减弱策略不能消除风险的发生的可能性。
(三)“自留”策略前提是公司拥有足够的实力,能够承担风险所带来的损失。风险自留就是公司用其自身的内部资源来弥补损失,直接将损失冲减利润计入成本中。因此,我们对我国保险经纪公司战略风险管理的建议如下:一是依据提供的风险分析,结合风险的具体情况,积极开发国内寿险市场,实现产寿险发展的平衡;二是针对保险经纪制度的缺陷,所造成的经营风险问题,积极向监管机构及行业协会反映,促进加快完善保险经纪法规制度;三是适当增强对保险经纪公司的从业限制,积极吸纳和培养人才;四是对战略风险进行模拟虚构,作出应对备案,大力开发增值业务,拓宽自身的服务渠道,最终促进自身的良好建设。
四、结语
国内保险经纪公司应该坚持“以技术为根本,以客户为中心”的运作理念,坚定维护投保人的利益,站在他们的立场上思考改进。战略风险管理制度的完善和执行,加强风险管理量化技术的落地是保险经纪公司的重中之重。随着保险业的发展,保险经纪人展业竞争日益尖锐,应担负起自己的责任,实现自身的价值,为企业的可持续发展,为勾勒保险经纪行业的美好蓝图添砖加瓦。
作者:林巍巍 单位:英大长安保险经纪集团有限公司
参考文献:
[1]陈鹏.我国财产保险公司偿付能力研究[J].山东经济,2007.
考生要结合自己的实际与课程的特点,因地制宜,通过科学的复习方法,达到事半功倍的效果。鉴于全国注会考试选拔性的特点,其各科考试都要求全面客观地反映教材及其考试大纲的要求,要全面考核考生掌握知识的水平、分析问题的能力和作为注册会计师所具备的实际执业能力,因此,首先要明确注会考试中《公司战略与风险管理》科目的命题特点,结合往年考试情况分析,有以下几个方面的特点供参考:
(一)全面考核、重点突出,紧密围绕大纲要求从基本概念和基础知识出发。考虑到本科目作为全国注册会计师考试的实际情况。考生要注意难易程度的把握,重在掌握注册会计师所需的同《公司战略与风险管理》相关的基本知识和能力。从去年本科目试题的情况来看,它基本涵盖了考试大纲所确定的公司战略与风险管理这两个部分的考试范围,并且这两部分的内容比重大体适当(相对而言,公司战略的比重略微大一点)。试题对每一部分的重点掌握得当,较为突出地反映了公司战略、风险管理各部分的中心内容。这主要体现在对基本概念、名词术语等方面的命题上,侧重运用性的知识点考察,如对SWOT分析法的考察、内部控制的理解和运用、风险类型等等,他们占试题基础部分的比重较大,这一点从客观试题中看得非常明显。
(二)重视知识理解、实际应用及职业能力需要。同时联系实际这一点相对于基础知识的掌握运用而言,是较有难度的,它测试考生是否具有成为一名注册会计师的基本执业能力。而这些能力的形成和发挥是一个综合的过程,它既包括有无坚实的基础知识和灵活全面的掌握知识,更主要的是测试了考生具备运用基础知识判断问题、分析问题和解决问题的能力。这些试题的难度是递进的,它们一般体现在是否能具有从所提供的试题信息中识别相关信息并根据这些信息进而做出正确的判断和选择。这些试题猛一看,似乎是教材中的“原话”内容表述,但细细一看,似乎又是“陌生”的,它们略微高于教材。考生在复习中,要想培养一种发现问题,并按一定的工作程序解决问题的能力,就必须认认真真地掌握教材及其考试大纲中的要求。此外,要求考生能够以合适的角色并根据这一角色的要求,用简明扼要的方式提出建议、观点和意见,也是考察学生的一个能力。许多试题实际上是在考察考生是否懂得考生所掌握的相关知识以及应具备的职业道德和掌握相关的分析问题、解决问题的能力等。这在简答题、综合题中是较为明显的,这些试题要求考生经过所学知识的分析,具有一定的基础知识、实践经验、较强的分析判断和解决问题的能力,否则将很难准确、全面地发现存在的问题。
(三)掌握新知识、新内容,实现知识更新的需求坚持终身学习,有较强的知识更新能力是对注册会计师在市场经济条件下不因技术不断变革而落伍的基本素质要求之一。时代的要求给注册会计师及时更新知识提出了更高的要求和挑战,特别是相关领域所涉及的新知识,公司战略与风险管理是一门综合性强、涉及学科较多的课程,因此掌握并回答好本科目试题对考生而言,并非易事。本年度考试中对新知识、新内容理解和掌握程度的试题也占据了一定的比重,如结合金融危机、人民币和美元汇率等出的一些题目体现了这一特点,这些试题源于教材又高于教材。如果考生的运用教材知识的能力较强,对于上述问题的解答将会变得比较容易。另外,在本科目的考试中,还特别强调考察考生能否综合运用多种知识和技能去分析问题和解决问题。
二、掌握合理学习方法的建议
结合考试大纲要求和本年度的命题,可以看到本科目对于考生的知识能力可以分为由低到高的三个等级,由易到难分别是:专业知识能力、基本应用能力和综合运用能力。从本年度的试题构成来看,也体现了这样的安排。这三方面的能力和知识构成如同地核到地幔的向外扩展一样,三层圆代表知识核心、知识中层和知识的外层。如图1所示。笔者认为,这三种能力的测试中,较多的是第二种能力的测试,其次是第三种能力的测试,第一种能力的测试比重并不是很高。可以预见,随着以后注册会计师考试中《公司战略与风险管理》科目的成熟和完善,这个趋势还会加强。虽然从表面来看,《公司战略与风险管理课程》相对于其他注册会计师考试的课程而言似乎容易一些,但真正要掌握这门课程并非易事,其困难主要体现在实践和应用上。如何在实践中提升公司战略与风险管理的境界、意识和理念是十分重要的。为较好地掌握该门课程,建议采用学习方法如下:
(一)理解和掌握每章的基础理论知识考生在复习中要注意结合案例,来理解每章的相关知识和理论,并做到融会贯通。把知识点能够从不同的侧面、不同的角度进行堆积搭配,从不同的视角进行审视、分析和思考。长期下去,坚持不懈,相信考生对教材基本知识点的掌握一定会与日俱增,不断提高的。
(二)梳理和总结各章要点在通读教材的基础上,结合各章考试大纲要求及习题能够认真练习,要针对各章的知识点,对每章内容进行梳理、回顾和总结。
(三)重视案例
民航院校培养的人才首先要适应民航业快速发展的需要以及地方政府发展民航的人才需要。《公司财务战略与风险管理》把服务民航、服务地方经济作为首要任务,结合航空公司经济运行的特点,分析民航企业为谋求企业资金均衡有效的流动和实现企业整体战略而对企业资金流动进行全局性、长期性与创造性的谋划,解析民航企业存在的风险因素及其形成机理,了解各种风险构成、计量、风险评估与规避机制,结合数据分析和收益管理系统,让学生锻炼对真实问题的分析能力。课程不但可以拓展学生的国际视野,提升民航运输专业技能,还系统地锻炼学生的综合分析能力,将学生的业务技能培养和综合分析能力相结合,很大程度上提升学生实践能力。课程建设目标是通过分析民航企业为谋求企业资金均衡有效的流动和实现企业整体战略而对企业资金流动进行全局性、长期性与创造性的谋划,解析民航企业存在的风险因素及其形成机理,了解各种风险构成、计量、风险评估与规避机制,结合数据分析和收益管理系统,让学生锻炼对真实问题的分析能力和解决问题的能力,加深对行业的了解。
二、课程内容设计
(一)基于竞争力导向的财务战略选择与评价。随着经济全球化快速发展,企业理财环境也变得愈来愈复杂化和不确定化,企业加强战略管理已经成为当前管理界的趋势和潮流,与之相适应的财务战略管理也日益受到关注。我国航空运输企业目前正处于一个战略调整和战略发展的阶段,因此对航空运输企业财务战略管理中存在的问题及对策进行研究和探讨就显得十分必要。企业财务战略是企业诸多职能战略之一,它不仅服务于企业的总体战略,而且贯彻企业战略的总体要求,同时对其他职能战略起着支持和促进作用。在企业的竞争力中,财务战略及其管理能力和水平是企业各方面能力的综合体现,有了健全的财务体系和有利的融资、投资战略,企业的发展战略才能顺利地实现。通过对航空公司、机场财务战略管理情况的调查研究,可以将财务战略管理思想真正有效地运用到民航的经营管理中,为民用航空企业科学的财务管理提供参考。
现代企业战略财务管理要求企业建立以竞争力为核心的战略财务管理体系。它既可以用来推动价值创造的观念,并深入到公司各个管理层和一线职工中,又与企业资本提供者(包括企业股东和债权人)要求比资本投资成本更高收益的目标相一致,从而也有助于实现企业价值和股东财富的最大化。核心竞争力关注于企业的竞争对手、企业在环境中的定位、企业价值链中最具有增值部分的作业、建立战略联盟。核心能力是形成企业竞争力的支撑点,是“内力”,核心竞争力是“外力”,两种力量结合可扩大企业的竞争优势。竞争优势是在市场竞争环境中的综合能力。
基于分析,财务战略模块可以重点讨论财务战略目标、企业核心竞争力的衡量(尤其是民航运输企业的核心竞争力评价体系)、财务战略决策、财务战略实施与控制、财务战略计量与评价。公司投资战略、公司融资战略、收益分配战略一带而过,主要航空公司(如三大航)和主要机场的财务战略从制定到实施和评价可以以案例的形式穿插。主要教学内容安排见图1、图2。(图1、图2)
(二)价值导向的内部控制构建与评价——以民航运输业为例。民航企业具有高投入、高技术与高风险等“三高”特点。从航空公司经营过程来看,航空公司经营过程中面临诸如经营风险、财务风险、汇率风险、安全风险、政治社会风险等各种风险。从全民航角度看,都需要一套科学与有效的风险评估与风险规避体系,这将有利于充分发挥民航总局的行业监督与指导等宏观调控作用,同时使得航空公司能够预知风险并及时采取有效的措施规避与对抗各种风险。通过对民航企业所面临的各种风险分析、评估、规避与对抗机制与体系的研究,建立航空公司风险评估系统,探寻规避风险的机制、途径与方法,使得航空公司形成科学有效的风险分析评估、规避与对抗机制与规程具有重要的战略意义。
课程从我国航空公司的自身需要出发,结合影响航空公司经营的内外部环境特点,研究航空公司存在的各种风险的成因与机理,运用系统动力学对影响航空公司经营的各种风险进行定性与定量分析,建立一套适应我国航空公司实际的风险分析、风险评价指标、风险处理及规避机制与规程,运用与建立航空公司风险评估评价模型,对航空公司风险评估进行实证研究。把握航空公司经营的特点及其面临的各种风险现状,分析与研究航空公司风险形成机理,研究航空公司的各种风险构成(包括经营风险、财务风险、汇率风险、安全风险、政治社会风险等研究);对航空公司各种风险进行定性与定量研究(包括风险的定性分析研究:运用流程图分析法等进行定性分析;各种风险的定量分析与研究:运用系统动力学原理,建立数学模型对航空公司所承担风险进行量化分析与研究);对航空公司风险评估与规避机制(包括风险评估与规避组织机制、信息收集与传递机制、分析评估机制、风险处理与对抗机制等方面)和航空公司风险分析评估指标与指标体系(包括分析评估原则与标准、分析与评估程序、风险衡量指标及指标体系、风险分析评估结果的修正与评价等研究)进行研究;建立与开发航空公司风险评估系统,并选择试点单位运行检验航空公司风险评估系统,以验证航空公司风险评估系统的稳定性、有效性、准确性,并进行修正与完善。
从内部控制与价值管理和价值链的内在关系,不难发现内部控制是为实现企业的价值最大化目标而设计的,其主要内容就是要建立一个基于价值导向的内部控制环境,通过对各种价值活动的约束和激励以保障各项价值活动高效地运行,从而实现公司价值链的整体增值。我们的课程要梳理内部控制相关理论,结合COSO委员会的《内部控制整合框架》和我国的《企业内部控制基本规范》,阐述内部控制的内涵,从控制环境、风险评估、控制活动、信息与沟通、内部监督这五个要素分析我国民航机场和航空公司内部控制现状,并提出优化建议。结合全面风险管理理论,构建民航运输企业的价值导向内部控制体系,并对其战略风险、安全风险、经营风险、财务风险、法律风险和市场风险等风险因子的成因、分类及其规避进行分析和探讨。旨在预防和矫正错误和舞弊的萌生与发展,改善企业运营管理的科学性和可靠性,进一步降低事故率、减少损失,提升民航企业的核心竞争力,促进民航业的健康持续发展。我们寻求企业的风险分析、风险控制、风险预警、风险补偿系统及其各系统的有机组合,拟定一个企业经营战略、组织架构、业务流程、信息系统、绩效考核等多方面紧密配合的整体方案。
课程要讨论价值导向内部控制评价模型。该模型的内部控制突破了企业的物理边界,界定评价主体为控制主体,延伸了评价客体,评价模式采用过程指标和结果指标相结合的综合评价模型,评价方法采用定性评价与定量评价相结合的综合评价,避免了对于内部控制评价的盲自乐观和短板效应。根据行业特性,我们搜集近两年我国民航机场和航空公司的内部控制资料,计划实证分析我国民航机场内部控制现状,回归分析实现内部控制目标的关键控制要素,发现内部控制建设与企业价值的博弈关系以及公司治理结构影响内部控制的有效性的证据。
三、教学方法与手段
根据课程的性质和教学内容,结合航空公司、机场工作特点,综合运用灵活多样的教学方法,包括案例展示教学、启发式教学、讨论式教学、协同式教学等,强调学生创新能力的培养。以团队设计、教师指导、学生参与为形式,打造一批基于财务战略与风险管理课程孵化的开放性题目。开放性题目不仅为学生提供了最贴近现实的科研场景,更是培养学生实践能力和科研素养的最佳途径。开展开放性科研项目运营探索,有效地实现了教学和科研的双向贯通,培养了学生的创新能力。以培养学生参与实践创新能力为目的,以民航经济与管理数据库为依托,实现了利用科研项目成果和教师科研能力向学生创新实践能力的提升转化,而且通过学生参与项目的方式为一批研科研项目提供了支撑和帮助,真正实现了科研和教学的双向贯通,培养了学生的创新能力。采用新的教学模式及教学方法,注意充分发挥学生的主动精神,使他们能够综合运用所学的经济管理理论知识和民航专业知识,在全面提高学生的素质,特别是实践能力、创新精神与创新能力方面取得明显的效果。采取各种小组讨论、头脑风暴等方式调动学生学习的主动性和自觉性,激发学生创造性思维的积极性,有利于学生综合素质的培养,提高面对未来挑战的自信心。
四、课程特色
【关键词】 风险导向内部审计; 风险管理; 再确认与咨询
2001年国际内部审计师协会颁布《内部审计实务框架标准》,将内部审计定义为“一项独立、客观的保证和咨询活动,其目的在于增加价值和改进组织的经营。它通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标。”这一定义将公司内部审计上升为参与风险管理、加强公司治理和管理的一项控制活动。那么内部审计参与风险管理的基本目标是什么、参与风险管理后审计对象如何界定、具备什么职能才能实现参与目标以及参与风险管理的审计流程如何设计等一系列问题就需要梳理清楚。
本文以对公司风险的认识为基础,首先将公司风险划分为治理风险与管理风险,由此将公司风险管理活动划分为治理风险管理活动与管理风险管理活动两大类;其次,分析了以风险为导向的内部审计基本目标,确定了对治理风险管理活动(系统)与管理风险管理活动(系统)的具体审计目标和审计对象;最后,给出了再确认风险管理活动与对风险管理活动提供咨询服务的内部审计业务流程,构建了再确认与咨询服务有机兼容运作的内部审计业务流程系统。
一、公司风险、风险管理与内部审计
(一)公司风险及其划分
风险就是公司经营过程中面临的不确定性,它既可能给公司经营目标的实现带来机会,也可能给其带来损害。现代市场经济条件下的公司风险分析与管理侧重于其负面影响。按照公司风险存在的领域,把公司风险划分为治理风险与管理风险两大类。
1.公司治理风险
公司治理风险也称为战略风险,它是由公司治理结构与治理机制设计与运作不恰当而可能引起损失的风险。由于公司治理机构是公司经营管理活动的战略决策机关,公司治理风险直接影响到公司的价值创造。战略风险往往影响整个企业的发展方向、目标和业绩。从本文定义的风险角度分析,公司治理风险是指公司整体损失的不确定性,源于公司治理层对公司未来发展方向、目标和未来战略环境预测不当,导致战略目标制定不当与战略实施不力,致使公司遭遇发展困境的可能性。具体指公司治理结构中决策层、监督层不恰当行为可能给公司目标实现带来的负面影响,即可能发生的损害事项。这种损害是指公司管理当局(包括董事会、管理层)在自身建设、协调运作以及履行职责的制度安排中,由于内外部环境变化以及事前未能预料因素的影响,导致一定时期内公司治理实践偏离企业价值最大化目标的各种事项,主要包括:(1)公司治理层的失职风险。在公司重大决策与经营过程中,战略方向与经营目标不当、董事会决策不当、监事会监督乏力或管理当局由于未能关注到公司经营过程中所面临的重大经营风险而给股东造成的损害。(2)公司治理层的道德风险。在公司经营活动中,董事会、监事会和高层管理当局的行为偏离公司价值最大化的目标,从而使股东利益受到损害的事项。它是公司治理层存在主观上的故意而产生的损害行为。具体分为大股东的道德风险和管理层的道德风险。前者指大股东利用其在公司治理结构中的优势地位,通过一些手段侵犯小股东的利益行为,如通过关联交易剥削小股东、占用公司资金、控制公司的各项重大经营决策、选择管理者等事项;后者指公司管理当局在涉及公司利益活动中的故意不作为,或者利用公司资源为自己谋取私利等事项或行为。
2.公司管理风险
公司管理风险也称经营风险或运作风险,是指公司业务运作过程中由于管理制度或内控制度不健全或执行不力、管理方面的故意或失误而导致经营目标实现困难或者损失的风险。具体包括经营风险、资产风险和信息风险。(1)经营风险是由于公司各级管理当局出于利益动机故意或经营能力不足而未能关注到公司经营过程中面临的重大经营风险,从而给公司造成损失的可能性。面对复杂的企业经营外部环境,管理层可能处于私利动机或经营能力不够,无法正确识别和评估并购、融资、生产、营销等经营过程中的威胁因素,从而使公司及股东利益遭受损害。(2)资产风险源于经营风险,经营风险不能或不去有效识别与防范直接导致公司资产受损,这种资产受损的可能性就是资产风险。(3)信息风险是指信息在公司各部门之间未能及时充分交流,以及为公司制定决策提供低质量不完全信息使公司业务受损的可能性。信息风险也包括向外部人提供错误或误导信息导致公司对外承担责任的可能性。
公司经营从风险视角分析,就是对公司治理风险与管理风险的有效识别、分析与应对的系统过程,这一过程就是风险管理。
(二)公司风险管理
2003年,COSO将企业风险管理定义为“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO的企业风险管理框架揭示了公司风险管理的本质、目标以及公司所面临的重要风险,指出企业风险管理本身是一个由企业董事会、管理层和其他员工共同参与的、应用于企业战略制定和企业内部各个层次与部门的、用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面流程化管理的一个动态过程,风险管理最终要为企业目标实现提供合理保证。
按照前文对公司风险的划分,公司风险管理可以相应分为公司治理风险管理与公司管理风险管理。治理风险管理是一个由企业董事会、监事会和管理层共同参与的、应用于企业战略制定的、用于识别可能对公司造成潜在影响的重大决策事项并在公司整体风险偏好范围内进行多层面流程化管理的一个动态过程。管理风险管理则更多是由管理层与其他员工共同参与的、应用于企业内部各个层次与部门的、用于识别可能对企业各项运营活动造成潜在影响的事项并在公司整体风险偏好约束下进行流程化管理的一个动态过程。公司治理风险管理与管理风险管理有机结合,为企业目标的实现提供合理保证。
(三)公司风险导向内部审计:风险管理活动(系统)的再确认与咨询
顺应内部审计发展的客观规律,21世纪的内部审计已发展到风险导向审计阶段。内部审计的职能从传统的财务监督、业务评价拓展到对公司风险管理的再确认和咨询。
风险管理的再确认是内部审计人员以内部控制是否适当为基础,综合确认公司治理风险管理系统与管理风险管理系统的可靠性与有效性,发表再确认意见或通过披露重大风险控制问题来暗示公司治理层与管理层对风险管理是否适当的意见。通过提供富有成效的确认意见和改进方案,用于控制风险改善决策,提升公司价值。
风险管理咨询则是内部审计人员直接作为专家顾问参与风险管理活动,改善公司风险管理状况。为此内部审计人员要树立为公司价值增值的服务理念,对于在再确认过程中发现的风险管理不足及时提出改进建议,同时要协助治理层预测、决策重大事项,以风险管理为出发点,分析、确认、揭示关键性的经营风险与管理风险,帮助企业在承担适度风险的同时抓住发展的机会,使内部审计计划与公司风险管理策略紧密联系,切实发挥内部审计在公司治理和管理中的风险管理咨询功能,更好地实现公司目标。
内部审计实施对公司治理层与管理层风险管理活动(系统)的再确认与咨询服务,必然要涉及内部审计的地位或为谁服务的基本问题。在“现代内部审计之父”劳伦斯・B・索耶所处的时代,内部审计是管理层的耳目这一观点占据主流地位;而组织治理问题的突现,使得内部审计在协助审计委员会履行职责时扮演越来越重要的角色(加拿大公司治理联合委员会,2001;ICAEW内部控制工作小组,1999);进入21世纪,内部审计需要同时向审计委员会和高级管理层提供他们所要求的对风险管理活动(系统)客观再确认,并为经营管理层提供满足他们要求的咨询服务。这显示了内部审计提供再确认服务与提供咨询服务的兼容性。
二、风险导向内部审计目标与对象界定
明确了现代内部审计以公司风险管理的再确认和咨询为主要职能的基础上,界定风险导向内部审计目标成为内部审计理论与实践发展中的重要问题。
(一)风险导向内部审计基本目标:协助控制风险增加价值
国际内部审计师协会(IIA)2001年将内部审计定义为“内部审计是一项独立、客观的保证和咨询活动,其目的在于增加价值和改进组织的经营。它通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标。”这一定义揭示了内部审计的基本目标是控制风险、促进价值增值。该目标与公司治理、公司管理的基本目标一致。公司价值增值是通过不断实现每个经营周期价值最大的一个动态过程。价值最大是公司治理层与管理层各部门协同运作、权衡风险与收益的关系、进行合理的资源配置的运作结果。由于公司风险整体上分布在公司治理层面与公司管理层面,内部审计控制风险与价值增值活动也随之提升到公司治理与公司管理的整体层面,而不再局限于对管理者个人或某一部门的活动评价,这与前文讨论的21世纪“内部审计作为一项增值性活动,既为管理层服务,又为治理层服务”的认识完全一致。
基本目标需要通过内部审计对公司风险管理的再确认与咨询服务实现。根据现代企业管理的木桶理论,企业的绩效是由木桶最短的一块木板决定的。内部风险导向审计进行风险管理再确认与咨询的关注点就是识别治理风险管理与管理风险管理中的短板,从全局出发、以客观的角度对公司内部各层次、各部门的风险管理活动进行再确认,加长短板,使公司的综合风险管理得到最好的控制。
(二)风险导向内部审计具体目标
笔者将公司风险分为治理风险和管理风险两大类,在此基础上公司风险管理活动(系统)分为治理风险管理活动(系统)与管理风险管理活动(系统)。风险导向内部审计为了实现控制风险、增加公司价值的基本目标,需要对两类风险管理活动(系统)进行再确认与咨询。那么这两类风险管理审计的具体目标是什么?
1.治理风险管理活动(系统)审计目标
(1)协助公司制定整体风险管理战略。内部审计人员依据对公司情况全面深入了解的优势,可以客观地从企业全局的角度进行风险识别,在此基础上对公司治理风险管理活动进行再确认,进而协助完善公司的风险管理战略。
协助完善公司治理风险战略过程中,内部审计人员首先对治理层风险管理活动进行再确认。包括公司总体风险管理战略与公司经营战略的一致性、公司风险政策的恰当性、公司治理风险管理制度的科学性与规范性等。其次,为治理层提出修订完善公司治理风险管理活动的建议,采取系统化、规范化的方法对风险管理、风险控制及治理风险程序进行评价,积极协助审视公司制订的风险管理战略以及与战略匹配的经营目标和决策依据,提高公司治理风险管理质量。最后,对尚未建立规范的风险管理系统的公司,内部审计人员向治理层和管理层提出建立风险管理系统的建议,实现改善公司治理层风险管理活动、指导管理层加强风险管理,从而帮助企业实现价值增值的目标。
(2)协助控制战略风险。战略风险源于公司治理层对公司未来发展方向、目标和未来战略环境预测不当,战略目标制定不当与战略实施不力致使公司遭遇发展困境。战略风险往往影响整个企业的发展方向、目标和业绩。以风险为导向的内部审计通过对公司治理风险活动(系统)的再确认与咨询,辨别公司战略目标与战略方向方面存在的潜在风险,并以现代风险管理理论为指导提出控制公司治理风险的基本建议,协助治理层控制战略风险。
2.公司管理风险管理活动(系统)审计目标
对公司管理风险管理活动(系统)的审计目标不同于治理风险审计目标,主要由于二者业务活动内容不同所致。对管理风险管理活动(系统)的具体审计目标是:
(1)协助制定公司经营管理内部控制制度。公司经营管理活动是执行治理层决策的业务过程。现代公司经营在充满不确定性的市场环境中,需要加强风险管理活动(系统)。公司管理风险管理制度是在分解公司整体风险管理战略基础上制订的。内部审计首先应当确认经营管理内部控制制度中风险管理制度的遵循性与合理性;其次,测试风险管理制度的有效性;最后,协助管理当局修订或完善具体的风险管理制度,由此促进公司实施有效的风险管理战略。
(2)协助控制经营风险与资产风险。公司管理运营中的经营风险及与之相应的资产风险,存在于公司管理风险管理活动中。有效的风险管理系统可以控制经营风险与资产风险。内部审计通过对管理风险管理系统设计与运作有效性的再确认,可以协助控制公司经营风险与资产风险。
(3)协助控制信息风险。在日益激烈的市场竞争中,为了防范日益增大的管理风险,公司应在其管理系统中建立全面的风险管理制度,内部审计可以在支持并参与风险管理过程中通过对管理风险活动的再确认与咨询协助控制管理风险。具体方法包括:一是采取间接控制和直接控制的方法,从评价各部门的内部控制制度及其风险管理制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域的风险管理系统中查找管理漏洞,以风险发生的可能性大小为依据,作出再确认评价,防范风险;二是内部审计在部门风险管理中进行风险管理协调。内部审计通过再确认管理风险管理活动(系统)的有效性,提出咨询建议参与风险管理并合理有效地防范、控制风险,减少公司经营不确定性带来的损失,以增加公司价值。
(三)风险导向内部审计对象
前文把风险导向内部审计目标界定为控制风险增加价值,这一目标是通过内部审计的再确认与咨询服务实现的。再确认与咨询服务的对象是公司风险管理活动或风险管理系统及其有效性。具体就是公司治理风险管理系统及其有效性和公司管理风险管理系统及其有效性。因此,以风险为导向的内部审计对象是公司治理风险管理系统、公司管理风险管理系统及其有效性。
三、风险导向内部审计流程:再确认流程与咨询服务流程
风险导向内部审计目标是通过对公司两大风险管理系统的再确认与咨询服务实现的。再确认与咨询业务流程的有效设计为实现审计目标提供合理保证。
(一)风险管理活动(系统)再确认流程
内部审计人员通过对公司治理层面与管理层面风险管理活动(系统)及其运作的测试,确认公司风险管理系统设计与运作的合理性与有效性。
风险导向内部审计的起点为公司的经营战略、风险战略和风险管理业务流程。风险管理流程包括风险识别、风险分析、风险应对与控制以及在此基础上制订的风险管理战略或计划。内部审计的再确认则是对公司风险战略与经营战略的匹配性、合理性的再确认以及以上四个环节的风险管理活动及其有效性的再认定。
1.公司风险战略与经营战略的一致性确认。
2.风险管理步骤及其执行的再确认。风险管理战略是公司整体应对风险的基调,它的确定应在公司风险承受能力范围内,并与公司经营战略一致。风险战略与公司经营发展适宜与否也体现了治理层的战略决策能力与实力。内部审计人员对公司风险管理的确认,首先就要对治理层的风险管理战略及其业务流程进行再确认。其次,对风险管理步骤设计的合理性、执行的有效性进行再确认。风险管理是公司治理层或管理层对所面临的以及潜在的风险加以判断、归类和鉴定风险性质、衡量风险大小、确定应对策略的系统过程。再确认过程中,内部审计人员首先对公司风险识别、分析、衡量与应对过程进行再认定,重点关注公司面临的内、外部风险是否得到充分、适当的确认,所面临的主要风险是否均已被识别出来。在再确认公司风险管理行为及其恰当性时,内部审计人员要评估相关风险管理制度文件与流程文件的规范性,通过“穿行测试”测试风险管理流程控制风险的有效性。
(二)风险管理活动(系统)咨询业务流程
1.协助开展风险预测
风险预测工作在风险管理工作中起到关键作用。进行风险预测工作,可以使管理人员面向未来、洞察未来,认识未来环境的不确定性,为未来做好准备,将可能遇到的风险减小到最低程度。风险预测主要考虑经营环境风险因素,如行业竞争的风险、高层管理者的风险偏好等。
2.协助进行风险分析和评估
风险分析主要考虑可能出现的风险和公司可承受的风险能力、可能出现在风险中的可控风险及非可控风险、主要风险和次要风险、产生风险的主要矛盾方面和次要矛盾方面、风险中的表面风险和实质风险;同时分析风险的类型,产生风险的主观、客观因素,风险类型转化的条件,风险因素转化为风险事故的条件,风险事故转化为风险后果的条件以及风险控制的条件等。
风险分析和评估的一般步骤如下:
确定风险管理咨询对象――分析可能产生的风险因素――估计可能产生的风险事故现象和事故点――确定可控制、不可控制风险事故的条件、主观因素、客观因素――评估可能产生的风险损失――确定风险控制点――管理控制风险对策――不同控制风险对策的成本效益分析――确定可承受风险能力范围和不可承受风险――确定风险管理控制方法。
3.协助制定风险管理战略与计划
风险管理的再确认与咨询服务在内部审计实践中是有效兼容的,通常的情况是内部审计人员首先进行风险管理系统及其有效性的再确认,在再确认过程中发现问题,提出改进意见与建议,为以后期间风险管理活动(系统)的有效控制风险提供经验并提出建议。每一个经营周期期间或期末,再开始下一轮的风险管理系统及其有效性的再确认。二者循环往复,构成内部审计再确认与咨询服务的运作系统,如图1。
四、总结
风险导向内部审计侧重于从治理高度和管理层次两方面分析公司的风险管理活动(系统)。确认不同主体捕捉潜在的风险点(即风险识别)、风险分析与应对活动的有效性,通过对产生风险的各个环节进行分析评价,最终确认公司不同层次与不同环节风险管理水平,通过咨询提出改进风险管理的建议。提升公司风险管理质量,实现控制公司风险、提升公司价值的基本增值性目标。
【参考文献】
[1] 王学龙.论风险导向型内部审计在企业风险管理中的作用[J].中国内部审计,2010(2).
[2] 李曼.风险导向审计的价值实现[J].财会通讯,2010(18).
[3] 耿慧敏.现代内部审计的新态势:风险导向[J].南京审计学院学报,2009(1).
[4] 钟黎明,钟源.基于企业价值增值的内部审计研究[J].价值工程,2008(1).
[5] 刘新琳,周兵.内部审计参与企业风险管理的路径分析[J].审计月刊,2008(1).
[6] 李心合.内部控制:从财务报告导向到价值创造导向[J].会计研究,2007(4).
[7] 刘红霞,韩女原.中国上市公司董事会治理风险研究[J].当代财经,2007(6).
[8] 刘世谨,张继勋.内部审计与风险管理[J].审计与经济研究,2006(6).
[9] 于玉林.内部审计在企业治理、风险管理和内部控制中的作用[J].审计月刊,2005(3).
[10] 金 日方,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究,2005(2).
[11] 朱湘忆.论企业风险管理与内部审计[J].管理世界,2005(4).
[12] 王志楠.加强审计项目计划管理的思考与实践[J].审计研究,2005(5).
[13] 刘英明.基于公司治理的内部审计问题研究[J].审计研究,2004(5).
[14] 张坤,李嘉明,周和生,等.风险管理与内部审计[M].化学工业出版社,2004.
[15] 田丽云,尹钧惠.内部审计参与风险管理的动因及其运作探讨[J].现代财经,2004(8).
[16] 朱荣恩,贺欣.内部控制框架的新发展――企业风险管理框架――COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003(3).
[17] Lawrence B.Sawyer,Mortimer A.
Dittenhofer,James H.Scheiner.索耶内部审计:上卷[M].中国财政经济出版社,2005.
如今关于公司治理的领导思想基本上一致认为,董事会的重要职责之一就是理解公司战略及相关风险,并保证管理层的风险管理措施是适宜的。战略风险评估是评估公司所面临的重大风险的系统而持续的过程。进行初步评估对于高管和董事会来说是一项极具价值的活动。
通常,战略风险评估是由管理层依据董事的投入与验证来执行的。在这个过程中,将风险评估与公司战略和战略执行程序直接联系起来是非常重要的。评估的精确形式以及产生的战略风险文件,取决于公司风险管理程序的成熟程度。
以下战略评估七大步骤,反映了风险的动态性,构成了一个在公司内部持续不断循环,或者是封闭循环的过程。同时也显示出战略风险评估师一个持续的过程,而并非一次性事件。在其执行过程中允许加以修改和定制,以适应公司的成熟程度和能力。
第一步:
深刻理解公司战略
理解公司战略及其关键构成部分,重点是识别与核心战略相关的具体的风险。这一步骤所需要的信息大部分可以在公司和业务部门的计划、战略总结以及管理层和董事会的资料中取得。在步骤的最后,董事会和管理层应该对公司战略的关键构成元素以及它们与回报驱动战略(RDS)框架的联系有深入清晰的理解。
例如,公司战略中涉及合作的部分的关键行为需要在评估中考虑并鉴别。这些合作包括合资企业、离岸外包、业务外包或者其他联盟形式。一家公司可能有多种合作安排,其中有些相对风险较低,例如经营餐厅,但是其他的,比如信息技术外包,也许承担着很高的风险。据此,关键的问题在于哪个合作者、采用何种合作方式对于执行战略来说是最为重要的,这些就是我们要努力去识别的。
第二步:
收集战略风险相关的观点与数据
这一步骤的目的是从管理层和董事会处,收集与核心商业战略相关的主要战略风险的观点和数据。做这一步有许多方法,例如行政访谈、调查以及焦点团队反馈。进行这一步时,公司文化应予以考虑。有的公司对调查能够很好地接受,而有的则不能。如果管理者分布很广,个人面谈可能难以实施,因而远程会议或者电话访问就成了不错的选择。包括业务部门领导的管理层的主要成员都应该被要求参与。获得董事会成员,特别是审计委员会成员和公司的内部及外部审计人员的想法也是十分有用的。
在进行以上评估的过程中我们发现,比起简单地问个人什么是战略风险这样的开放式问题,提供重点框架或者范围会使得访谈更为有效。战略风险管理(SRM)框架(见图1)在这里非常有用。SRM的组成部分与RDS框架的原理相对应。讨论与问题将从与步骤一中的战略分类相联系的SRM框架里有风险的部分中产生。
参与者也应当被鼓励去识别他们认为会抑制公司完成战略、实现商业目的能力的外部风险。这些外部风险包括系统风险、新兴风险领域或如管制等其他外部风险。参与者也可对他们所识别出来的风险可能的严重程度或是影响力进行评级。
第三步:
初步制订战略风险概要
利用前两步中收集到的信息可以准备一份初步的战略风险概要文件,该文件的格式和复杂程度应该依公司的风险管理成熟度和能力而定。由于这个信息的作用是激发执行层面和董事层面的讨论与理解,过于细节或大量的数据可能会适得其反。
许多公司都发现图形演示十分有助益,比如用色彩来表示不同层次风险的热点地图。还可以基本清单为起点,随着风险管理程序的逐渐成熟,增加细节并提高复杂程度。
就潜在层面的问题或者与某个风险区域或类型相关的影响进行交流也是很有用的。传统的方法是可能性和影响力分析。然而最近,那些高影响力及低可能性的风险引起人们很大关注, 例如那些因其极低的可能性而经常被轻视的系统性风险。为了应对这种风险,一些公司正在增添新的维度,例如风险来袭的速度或者公司对风险的防备。此外,战略风险概要的细节和复杂程度应该反映公司风险管理程序的成熟程度。
第四步:
验证并最终确定文件
初步的战略风险文件必须通过主要参与者的验证,确保其反映了他们关于最重要的战略风险的看法。哪些参与者涉及和验证战略风险文件的确切过程应取决于企业文化。有的公司公布初步文件以取得反馈,有的进行跟进访谈,还有的采取小组展示与讨论的方式。这一验证过程可以包括所有利益相关者或者只包括其中一部分。可能的风险文件报告格式也可以进行公布,从而获取关于不同格式的观点看法。但是需要记住的是,让足够的参与者来验证这份文件以及突出风险,对于整个评估过程来说是极为重要的。
第五步:
制定战略风险管理行动计划
战略风险一经识别,高层管理者和董事就会很快询问关于减轻和监控风险的计划,因此我们建议公司将建立并实施初步行动计划,当作评估的核心部分,而不是作为一个次要的独立的行为。此外,将要采取的具体行动取决于公司风险管理实践的成熟程度。
根据我们在德保罗大学战略风险管理实验室的工作以及多种研究显示,许多公司正以渐进的步骤进行风险管理,而不是直接驶向理想的最终状态。因此,公司可以利用战略风险成熟度诊断(表1)和战略风险管理路线指南(表2)作为工具,来让这一步骤变得便易。具体的措施取决于公司的具体情况,通常包括以下措施:
减少识别出的部分风险的减灾活动和策略;
决定风险是增是减的风险监管活动,包括平衡计分卡和战略地图等工具;
将战略风险管理工具整合于战略执行过程中定期更新战略风险文件的程序;
各种形式的报告活动;
针对识别新的或正在出现的风险的程序。
这一步骤为提高整个公司内,不同风险和控制部门之间信息及风险的共享,创造了新的机会。这份行动计划是整个公司所需要采取的措施,而非一个风险或控制部门。这种企业范围的焦点是建立全公司风险管理文化的另一个步骤。
第六步:
沟通战略风险概况和战略风险管理行动计划
在评估的阶段,公司应该有确定的战略风险概况和初步行动来应对已识别的战略风险。沟通并建立关于风险的共通认识,是战略管理中被普遍认可的主要做法。事实上,“信息与沟通”是企业风险管理核心构成之一。
这一步骤要求管理层实现与全公司的深入交流,来表达公司关于其战略风险的看法以及执行相关行动计划的重要性。沟通必须上及董事,因为这是一个需要他们注意与互动的主题。
沟通过程为建立或加强公司风险文化创造了机会。公司重要风险的信息应该在整个公司内部分享。员工应该在公司风险活动、政策和总体指导等方面实现信息沟通。特别地,公司不同风险控制部门和业务部门之间,应该沟通并做到信息共享。需要强调的是,成功的交流是一项反复过程,并需要持续注意和加强。
第七步:
实施战略风险管理行动计划
战略风险评估程序的真正价值在于公司最后采取的行动。这些行动的目的是建立公司持续性战略风险管理程序并“画完这个圆”。如上所述,风险的动态性要求持续的过程来监控和管理。行动计划应该能够让这种过程得以实施和加强。
公司应当考虑如何报告和更新行动状态,包括向董事会报告。当其战略风险管理程序持续不断成熟,公司就应当考虑下一阶段需增加的步骤,以提升其整个风险管理程序。
内容摘要:商业银行的公司治理关系到商业银行的未来发展和收益以及竞争力问题。商业银行公司治理结构是风险管理的一个基础平台,而风险管理是商业银行公司治理的重要内容和目的。因此研究商业银行的公司治理结构与风险管理的关系,对提升商业银行的治理水平和面对国际国内同行竞争具有重大的意义。本文旨在通过对完善我国商业银行公司治理,加强风险战略的研究,进一步思考如何采取有效措施防范银行战略性风险。
关键词:商业银行 公司治理 风险管理
过去20多年来,公司治理问题受到广泛的讨论和前所未有的共识,公司治理问题已凸显为关系到全球经济金融稳定与发展的核心要素。而对商业银行来说,公司治理更有独特的重要性与特殊性,商业银行公司治理问题在国际上引起了广泛关注。尽管这几年来,很多专家和学者对我国商业银行公司治理存在的问题及成因进行了研究,但是到目前为止,对于商业银行公司治理与风险管理之间的关系还缺乏系统深入的研究。因此,进行这方面的研究,显然具有重大的理论意义。
文献回顾
(一)国内研究基本情况
由于亚洲金融危机的警示,以及国内各家银行面临的严峻的不良贷款问题,中国的经济学家们在近年来也开始对银行风险进行了不少研究。王庆华(2000)指出商业银行新的风险管理系统要以加强内部和外部监管为核心,把握住三个方面:加强外部监管力度,改善金融总体环境;以有效的内控制度加强银行内部风险管理制度对风险的控制;采用多种金融技术手段防范市场风险。李辉(2004)研究了商业银行风险内部管理与外部监管的协调,指出商业银行的内部风险管理与外部监管本质统一于风险的管理与控制,但由于内部驱动力的差异、激励与约束相容的困境以及监管的成本等问题,两者又存在矛盾与冲突,因此协调二者之间的关系必须充分发挥银行内部风险管理的前提作用。
(二)国外研究基本情况
国外关于商业银行风险管理的研究比较成熟,已形成一套完备的风险管理理论和应用体系。从银行治理研究的国外进展看,理论性文献的基本思路是从商业银行与一般公司相比较所体现出的特殊性着手来研究银行治理问题,这类研究的目标主要是确立适合于银行治理的理论架构。Amihud and Lev(1981)开创性地从道德风险的角度研究了公司治理对银行风险控制的影响,随后Brewer and Saidenberg(1996)等都遵循同样的思路作了进一步研究。这种观点的主要思想是,在存款保险制度下,作为贷款主要决策者的银行股东存在追求更高风险以最大化自身价值的动机,并由此引发道德风险。与此不同,随后兴起的“公司控制论”认为,所有者―管理者之间的问题才是20世纪80年代美国银行风险增加的主要原因,因为高管人员是银行贷款的真正决策者和风险控制的关键之所在(Gorton and Rosen,1995)。
商业银行公司治理与风险管理的关系
(一)商业银行公司治理是实现风险管理的前提和基础
公司治理是实现风险管理的前提和基础,完善的公司治理是有效提升风险管理的制度性保证。商业银行的风险伴随银行业务而生,贯穿银行业务的全过程,由于商业银行的风险管理是一个非常复杂的系统工程, 需要完善的组织机构和制度安排来保证。首先,风险管理的组织架构、运行机制、流程的效率、信息透明度等,都是公司治理中需要解决的问题。其次,风险管理最基本的要求是制衡和效率,公司治理的核心内容之一也是制衡与效率。欧美和日本的银行管理模式都出现过问题,这在很大程度上可以归咎于制衡出了问题。欧美模式客观上导致少数人控制公司,日本模式中存在大量的关联交易,信息披露不透明、不彻底,这反映出公司治理中缺少制衡,所以出现了风险。
为了使全面风险管理能有效运行,属于公司治理范畴的组织机构中,必须有和全面风险管理对应的功能部门,否则,全面风险管理就缺少运行的载体。从这个意义讲,公司治理中的组织机构是全面风险管理的硬件平台。商业银行公司治理中的制度安排,为全面风险管理提供了畅通无阻的信息传递渠道和科学决策的环境,同时也是减少操作风险、降低道德风险的必要手段。董事会是银行风险管理的最高决策机构,对风险管理承担最终责任,并通过其风险管理委员会和审计委员会进行监督,管理层负责执行风险管理制度。董事会和管理层有责任和义务设置重视风险的公司文化基调,协调业务目标和风险容忍度,通过激励机制,保证全行对风险充分重视,风险管理政策和程序得到一致实施。
(二)风险管理是商业银行公司治理的重要组成部分
银行业务的本质决定了它必须承担各种风险,所以构建全面风险管理体系是银行公司治理的重要组成部分。近10年来,许多组织和机构都对银行公司治理展开了专项研究,其中也提出了风险管理的体系和方法,如2004年OECD的《关于公司治理原则》修订版,COSO的《企业风险管理综合架构》,2006年巴塞尔银行监管委员会的《加强银行公司治理》,巴塞尔新资本协议中对银行风险治理也提出了详细要求。许多银行业监管机构也制定了专门针对银行的公司治理要求,如英国金融管理局的《公司治理综合条例》,以及我国银行业监督委员会提出的《国有商业银行公司治理及相关监管指引》等。OECD关于“治理”定义是:“公司管理层、董事会、股东以及其他利益相关者之间的一整套关系”。这套关系所要协调的目标,是确保董事会、经营管理层所有的活动,要满足股东利益。要实现这个目标,需要通过制订公司战略、确保实现这些目标的方式以及执行情况的监督等手段来构成治理架构。具体到“风险治理”,它不仅包括风险管理和风险分析,还包括风险相关的决策及执行如何在不同参与者之间展开,风险涉及相关人员部门如何分工、目标和活动如何协调和调解。
制定风险战略是商业银行发展战略中一个不可或缺的组成部分,其核心内容就是确定银行的风险偏好和容忍度。风险偏好和容忍度就是明确银行能够承受多少风险或者多大的资本耗用,即能做哪些业务,不能做哪些业务,并要控制在什么程度之内。董事会作为所有者的代表对银行的资产安全负最终责任,其有责任制定银行的风险战略,设定银行的风险偏好和容忍度。银行的风险战略应反映宏观形势、同业竞争形势的变化,与银行所处的发展阶段和自身能力特征相适应。在风险战略确定以后,银行全面风险管理的推进,就必须以风险战略为依托,将董事会所设定的风险偏好和容忍度分解到各种不同的风险类别中去,并以此为依据将风险战略体现在银行的资本管理等各个方面。
完善商业银行治理机构推动风险管理
(一)建立完善的公司法人治理结构
我国独特的政治、经济、文化、法治和金融生态环境,决定了我国商业银行的公司治理结构与西方银行的公司治理结构存在较大的不同。我国的银行多为国有或国有背景的银行分立、持股或改制而来,经营模式多从国营改制而来。各级干部多从行政机关、事业单位和国有或国有背景企业改制而转入、调入、跳槽。行政化的一元思维方式还根深蒂固地存在着,没有相互制约、相互监督的概念。职业经理人市场和体系不完善。由于组织机构和内部设置制约,内控管理往往存在分工不明、责任不清、控制不力的情况,可能导致管理缺乏有效的监督制约,不能形成协调与制约机制,这也必然导致风险管理过程的薄弱,造成银行风险。
所以对商业银行的组织结构进行改造,建立以完善的法人治理结构是加强风险管理的前提。重点在于,加强股东大会作为权力机构,董事会作为决策机构,监事会作为监督机构,管理层作为日常经营管理机构的分责、分权、制衡的体制,加强总行对全系统、上级行对下级行的集中管理与监督。
(二)建立风险管理组织架构
构建全面完善的风险管理组织架构是推行全面风险管理的组织保障。要推行全面风险管理,减少地方政府和分行管理层等其它利益相关者对风险管理的不正当干预,就必须要改变我国商业银行长期以来以地区分行为主体的行政管理模式,建立总行主导的、垂直管理的风险管理组织架构模式。这种风险内控管理组织结构的设置能够保证银行风险管理中事前授权审批、事中执行和事后审计监督的独立性,从组织形式上体现现代商业银行风险管理的程序性和独立性原则。
(三)建立激励约束与内部监督机制
激励约束机制是银行所有机制中最具有导向效应的机制,激励机制应该与全面风险管理相适应。一方面,银行在对各业务条线、分支机构进行绩效考核和激励时,需要更加注重对风险因素的考核,要对风险战略的执行情况和全面风险管理目标的实现情况进行重点考核,并在薪酬激励中加以体现。有效手段就是在经济资本计量的基础上,引入RAROC(风险调整后资本收益率)考核,不仅仅考核银行业务单元当期的收益,更将银行获得收益所承担的风险成本和资本成本纳入考核中去。另一方面,要强化对风险责任的追究。无论是决策层、执行层还是监督层乃至操作层都必须履行相应岗位所需承担的风险管理和内控职责。本质上看,银行经营的核心,不是资金,而是风险。所以,对管理层影响资本安全及与承担风险相匹配的收益的执行情况需要进行持续监督。同时,需要管理层有良好的风险自控机制,由各业务部门自发主动地去识别和控制风险。目前,国内银行风险管理部门有很多关于当前资产情况的报表和报告,但这仅能说明银行过去和现在的风险管理现状,从董事会的角度来说,还需要建立确保业务部门将来开展业务也不偏离目标的持续的风险自控机制。
(四)建立银行风险文化
董事会和管理层有责任和义务设置重视风险的公司文化基调,树立起良好风险文化氛围,为整个银行更好地经营和管理风险创建一个良好的土壤。
商业银行的风险管理文化是由知识、制度和精神三个层面所构成,风险管理理念属于风险管理文化的精神层面,它是风险管理文化的核心。一个银行的风险管理理念是一整套共同的信念和态度,风险管理理念是用来指导、规范一个银行的组织和员工有效识别和管理风险的理念和方法,它是风险管理文化的最高层次。它决定着该银行从战略制定和执行到日常的活动都应该如何考虑风险。风险管理理念反映了银行的价值观,影响着它的经营风格,并且决定如何应用企业风险管理的构成要素,包括如何识别风险、承担哪些风险,以及如何管理这些风险。风险管理理念中的价值标准、思维方式和行为方式可以通过员工的观念世代相传,不受时间和空间的限制,长久地体现银行的风险管理风格。
董事会与管理层是风险管理文化执行的推动力。董事会和管理部门的诚信和对价值观的承诺会影响企业的优先选择和价值判断,被认为是行为标准。管理诚信在实体活动的所有方面都是道德行为的先决条件。诚信和道德价值是环境的核心要素,影响着设计、管理和监管其它企业风险管理组成部分。银行高级管理层的使命就是创建并推行企业文化。在风险管理文化的创建和推行方面,高级管理层首先要在其经营思想中贯彻正确的风险管理理念和风险管理价值观,通过对风险价值观念的提炼和风险管理文化建设方案的策划,为银行风险管理文化的构建指明方向。
综上,公司治理是企业核心竞争力的重要组成部分,是金融机构保持稳定发展的关键要素,公司治理的最终目的是要实现决策科学化,推动公司价值持续的提升。银行的公司治理和风险管理存在着密切的联系,银行应该从提升核心竞争力的角度来不断完善其公司治理,通过不断的完善治理结构和治理机制来防范治理风险。
参考文献:
1.李辉.商业银行风险内部管理与外部监管的协调[J].投资研究,2004(6)
2.王庆华,耿强.全球金融并购新动向[J].江苏统计,2000(1)
3.Merton,R.C.An Analytic Derivation of the Cost of Deposit Insurance and Loan Guarantees.Journal of Banking&Fi-nance.1977,1
一、BCBS关于操作风险管理框架的研究
1998年9月巴塞尔银行监管委员会(下文简称BCBS)了第42号文件《操作风险管理》,分别从六个方面概括地指出了商业银行操作风险管理框架,即管理层如何进行监督管理,如何进行内部控制,监督可能发挥的作用,怎样计量风险、监控风险和建立管理信息系统,控制操作风险的措施,相关的程序和政策等。
2003年2月BCBS公布了商业银行操作风险的第96号文件《操作风险管理和监管的稳健做法》。提出了操作风险管理的10项原则,具体包括风险管理的环境、风险管理(含识别、衡量、监督检测和控制及缓释等)、监管者的作用、信息的披露等四个方面,从而完善和丰富了商业银行管理操作风险的结构框架,对商业银行管理操作风险具有重大意义。
2004年6月BCBS公布了《统一资本计量和资本标准的国际协议:修订框架》,该修订框架针对计算操作风险资本的定性资格标准的形式,通过高级计量法和标准法简要地指出了商业银行操作风险管理的基本内容。
2006年4月7日,BCBS公布了《有效银行监管核心原则》和《核心原则评价方法》征求意见稿。2011年7月,全球巴塞尔协议Ⅲ终于敲定了全球金融监管新框架,BCBS明确表示,为避免全球再遭金融海啸冲击的风险,将全球系统重要银行的核心一级资本充足率提高1%至2.5%,且需在2016年至2018年的三年内逐步达标。
二、基于内部控制的操作风险管理框架要素分析
(一)英国银行家协会的全面操作风险管理框架 英国银行家协会在1999年操作风险管理调查分析报告中指出:“操作风险的管理框架正在兴起,它包括一套相互结合的过程、工具和降低策略。”该报告总结了操作风险管理框架由6层金字塔结构组成,包括策略、政策、风险管理流程、风险缓解、经营管理和企业文化等要素组成的操作风险管理框架。
2003年,巴塞尔委员会为配合“巴塞尔新资本协议”出台而了《操作风险管理和监管的良好做法》,其中关于操作风险管理的七原则被分为两部分,即“构建一个合理的风险管理环境”和“风险管理:识别、评估、监测和缓释/控制”。前一类措施包括董事会、内部审计和高级管理人员在操作风险管理中的角色,它和英国银行家协会框架结构中的 “文化”层面的含义实质上相似;后一类措施包括操作风险管理的策略、步骤和方法。可见,巴塞尔委员会试图通过这份文件推广的操作风险管理良好做法在本质上与英国银行家协会的基本框架是一致的。
(二)COSO委员会的企业全面风险管理框架 COSO委员会于2004年9月公布了《企业风险管理——整合框架》(Enterprise Risk Management-Integrated Framework,简称ERM框架,又被称为全面风险管理框架)。ERM框架认为,全面风险管理是从制定企业战略目标开始,到实现目标的风险管理流程。它可以概括为:
三个层面:业务目标、全面风险管理的要素、公司的层级;
四个目标:战略性目标、经营性目标、报告性目标和合规性目标;
八个要素:目标设定、内部环境、风险衡量、事项判断、风险应对、控制活动、信息与沟通和监测。
全面风险管理中的要素必须为公司的四个目标服务;公司的三个层面要坚持四个同样的目标;每一个层面都必须基于风险管理的八个要素进行。
ERM框架认为,风险管理(内部控制)涉及企业中的各个层面,包括模型坐标表示的企业和它的经营单位,即企业总体层面、部门层面、业务单位、子公司;模型横轴表示的八个模块,即每个层面的内部控制和风险管理都包括企业风险管理(内部控制)的八个要素;模型纵轴表示的四个目标层,即每个层面的风险管理和内部控制都有助于实现四大目标。全面风险管理强调对企业整体风险的控制和管理,组成了包括四大目标、八个要素和总体层面及各业务层次的三维立体矩阵模型框架结构。
三、基于内部控制的商业银行操作风险管理框架构建
(一)操作风险管理环境与文化层 主要表现在:
(1)公司治理:董事会与高层经理的作用。公司治理本质是公司管理层、董事会、股东和其他利益相关者之间一系列的关系,核心在于董事会和高级管理层管理公司实务和考虑股东和债权人以及其他公司利益相关者利益的合理方式和有效激励。公司治理为公司制定目标、确定实现目标的手段和监测目标的实现过程提供了基本的框架,因此,有效的公司治理是商业银行安全稳定运行的最基本前提,是商业银行所有内部控制和风险管理活动的基础,进而成为商业银行有效控制操作风险管理和培育良好风险管理环境和文化的关键。同时,商业银行完善的公司治理制度能够对高层管理人员形成权力制约和监督,从而有效的遏制高层管理人员引发的操作风险事件,能够直接改善操作风险管理状况。
(2)内部控制:业务部门与内部审计部门的作用。内部控制主要突出业务部门控制和内部审计部门的作用。操作风险可以来自于商业银行的任何一项业务、产品和流程。因此,业务部门自身对其产品和流程的管理和控制成为操作风险管理框架中的重要一环,业务部门对日常经营管理中的操作风险管理负责,确保每一条业务线上的内部控制措施与操作风险管理的政策和程序相一致,从而为管理商业银行整体操作风险提供帮助。同时,商业银行的内部审计单位,应对操作风险管理框架和内部控制系统的有效性进行综合监控和审计。审计部门可向负责操作风险管理的人员提供有价值的数据,但其自身不能直接进行操作风险管理,也不对操作风险管理负责。
(二)操作风险管理战略与政策层
(1)操作风险管理战略 主要表现在:
操作风险管理战略主要包括商业银行的操作风险管理目标、操作风险偏好和操作风险管理政策的改进等三个方面的内容,即解决“商业银行愿意接受什么风险”和“在何种程度上去接受这些风险”等基本问题的答案。总体而言,操作风险偏好是操作风险战略的核心内容,原因是操作风险管理目标取决于商业银行发展总体战略和风险管理总体目标,以及外部监管的要求,而操作风险容忍度是操作风险偏好的量化表示。根据国际银行业的通行做法,商业银行的风险管理水平和业务目标相结合,再加上银行的价值导向就可计算出其风险偏好。所以,商业银行应当在确定其操作风险偏好时应注意:不能影响银行业务的正常运行,风险偏好既不能过于激进,也不能过于保守;风险偏好不但要与风险意识水平一致,同时还应当与银行的管理经验与技巧相一致;银行风险偏好不能大于银行风险管理(包括人员、组织结构、科技系统等)设施所能承受的水平。
(2)操作风险管理政策。对于具体的操作风险管理单位和银行业务单位而言,风险战略通常表现过于宏观,和日常管理和经验相比,还有很长距离,而且缺乏细化的制度和方法。他们更想了解怎样实现这些风险战略,它们需要做些什么才能落实这些风险战略。操作风险政策就是对操作风险管理流程、工具和报告制度等具体规定。需要注意的是,操作风险管理政策应该在商业银行内部创造一种机制,在这种机制下,所有重大的操作风险都可以被有效的识别、量化和监督,并且适用于量化不同类型风险的管理工具可以被有效划分,同时能反映业务活动开展所处的内部和外部环境,还要不断进行检查和更新。
(三)操作风险管理技术方法 主要表现在:
(1)识别操作风险。操作风险管理流程的开始是操作风险识别,同时操作风险识别也是操作风险衡量、应对、检测等环节顺利开展的前提。操作风险评估程序对商业银行经营目标及可能阻碍目标实现的事件进行有针对性的研究,识别所有主要产品、活动、程序和系统中固有的操作风险,明确回答在商业银行业务运行过程中将面临哪些操作风险、导致操作风险的因素是什么、操作风险应该如何描述等问题。需要注意的是,操作风险识别必须在银行没有对风险采取任何对策之前进行。只有这样,有关操作风险管理人员才能充分了解银行的真实情况,然后采取通过比较前后的风险管理措施的有效性来评估银行风险管理的效用。
(2)评估操作风险。操作风险评估程序是在识别出潜在的操作风险之后,对操作风险的定性和定量的分析程序,以决定哪些风险是不能接受的,必须规避或转移出去,而哪些操作风险是可以接受的,能够保留或控制。完成这一步骤需要考虑操作风险两个方面的性质:一是可能性,即潜在风险在风险事件作用下转化为实际损失的概率;二是影响力,即如果不对潜在风险实施任何控制措施,风险实际发生可能对商业银行造成的影响,这种影响不仅造成损失,更主要的是对公司经营目标实现的潜在冲击。
(3)操作风险监测。商业银行的操作风险监测主要从以下几个方面进行分析:操作风险诱因、关键风险指标、损失事件、因果模型。操作风险损失事件和诱因分析的监测可以发现操作风险的易发点、传导机制和发生损失,有利于深入认识商业银行的操作风险管理状况,并在此基础上用因果模型对风险诱因、风险指标和损失事件进行统计分析,确定与风险关联度较髙的风险因素,从而为操作风险管理指明方向。商业银行应该建立操作风险矩阵或“关键风险指标”(KPI)体系,以保证重要风险的扩大都能立即得到相应力度的控制,减少损失增加的隐患,同时为将来损失增大的风险提供早期预警。
我国的情况比较特殊,大多数企业仍然没有实行与现阶段情形相适应的审计模式。由于大家对风险导向内部审计理解存在一定的偏颇,导致风险导向内部审计还未能够在我国企业内部推行。企业战略目标实现的风险会随着时间和所处情形的不同而改变现状,最关键的因素在于风险能够帮助企业寻找商机,为企业创造机会。企业风险是内部审计现阶段所有处理的重要关键所在,因此,如果不能很好的理解企业的战略目标,就会导致内部审计的战略不能有效实行。
二、管理风险的不准确导致运行失效
现阶段,很多企业对于风险管理都已有力自己的认识,明确了其重要性,在此基础上,设置了与公司相对对应的管理制度,但是对于风险管理的理解,还是存在一定的偏颇,导致其设立的制度不能有效运行,未能发挥其主要作用。并且大部分员工对风险管理的理解存在一定的误差。首先,他们认为只有相应的部门才应该对其相应职责赋予责任,而实际上,公司内所与风险管理有关联的人员人员都应承担着相应的责任。其次,使风险管理的整体分裂。因此,员工对风险管理的错误认识导致风险管理体制不健全,无法制定风险管理的具体措施,使得内部审计提供的鉴证咨询服务受到影响,致使内部审计没能够发挥其管理和价值创造的作用。
三、相对应的改进措施
(一)建设企业适合的风险导向内部审计布局
1、完善公司治理布局。自主性和专业性是内部审计实施审计工作的基础,这在于内部审计在公司中的地位问题,而机构的地位及设立的高度在于公司的治理布局。由此可见,合理的公司治理结构能够有力的保障内部审计保持实质的自主性和专业性,有助于内审部门分析和评价影响企业目的实现的风险,进而确立具体可行的审计项目。2、建设学习型内部审计组织。风险导向内部审计需要对企业长期的战略目标进行分析和识别,要为企业未来发展提供方向,这就使得公司内部审计人员学习心得技术和方法,因此,建设学习型内部审计是企业风险管理效率提高的关键。
(二)全面建设公司风险导向内部审计的战略布局
1、建立公司风险导向内部审计应用性框架。应用性框架可以为企业战略规划提供指导方向。合理的风险导向内部审计应用性框架,应该考虑企业的目的、战略、环境和资源等各项元素,其理念应贯穿于整个框架之中。2、以风险为指导方向的内部审计战略。战略筹划主要包含两个因素,战略的探析研究和战略的选取。内部审计应考虑企业的目的和战略筹划,识别其影响因素,制定相关的内部审计战略规划。
(三)建设高效的风险管理体制
一、全面风险管理的内涵及特征
COSO委员会将全面风险管理定义为全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定开始贯穿到企业的各项活动中,用于识别那些可能影响到企业潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。我国也引入了全面风险管理方法,在2006年6月时,国家资产管理委员会出台了《中央企业全面风险管理指引》,将全面风险管理定义为,企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
具体来说,全面风险管理相对于传统风险管理而言,有如下特征:
1.就目标而言,传统风险管理仅仅是为了消极地回避风险;而全面风险管理是公司战略目标的重要保障,利用多种手段管理风险。
2.就管理主体而言,传统风险管理主要是指财务部门的财务风险控制;而全面风险管理强调公司的全体员工的共同参与,各个部门的协调配合。
3.就管理客体而言,传统风险管理仅仅关注单一的风险个体,而全面风险管理从总体上综合考虑一系列风险集合,如信用风险、市场风险、操作风险等。
二、网络环境下保险公司全面风险管理的实施流程
(一)制定全面风险管理目标
任何一个管理方案,都需要首先明确目标。同样,将全面风险管理的目标与企业的战略结合起来,是实施全面风险管理的起点。
一般来说,全面风险管理的目标涉及两个方面:一是损失控制目标,这与传统风险管理无异,主要是涉及保险最基本的经济补偿职能,要实现日常稳定经营;二是价值创造目标,与传统风险管理相区别的是,全面风险管理寻求风险优化,即在充分的风险分析的基础上,公司将资产分配到风险较小、收益较高的领域,从而实现资源的优化配置,实现企业资产的保值增值,故在制定全面风险管理的目标时,需要考虑到公司价值创造的目标。
(二)确立自身的风险偏好
对于全面风险管理的目标来说,保险公司除了控制传统的经济补偿风险,还涉及到价值创造的目标,而后者更是区别于传统风险管理的根本特征。保险公司需要通过对风险的全面管理,实现企业价值的最大化,因此,有必要确立自身的风险态度。
风险偏好类型大致可以分为三种:风险厌恶型、风险中立型、风险喜好型,保险公司需要根据自身的风险偏好适时调整自身的全面风险管理策略。比如,一个保险公司若是属于风险喜好型,则可能采取较为激进的策略。在设置风险偏好的时候,企业需要综合考虑自身的资产状况、经营目标、经济形势等多种综合因素。
(三)实施全面风险管理
这一流程涉及到具体的实践操作,与传统风险管理一样,包括:风险识别、风险分析、风险管理、绩效评估四大步骤。
1.全面风险识别
风险识别是指风险管理人员通过大量来源可靠的信息资料进行系统了解和分析,认清经济单位存在的各种风险因素,进而确定经济单位所面临的风险及其性质,并把握其发展趋势。这个阶段是实施全面风险管理的基础性工作,强调全面性的风险识别,即综合考虑企业当前面临的所有风险,进行全面的认识,列出风险清单。
2.全面风险分析
风险分析涉及到定性分析和定量分析两个方面,定性分析要求保险公司认清所面临的风险的本质和内在逻辑联系;定量分析则需要保险公司建立起一套统一的测量模型,该模型需要综合考虑信用风险、市场风险、操作风险的内在联系,将多种风险因素都纳入模型测度之中。
3.全面风险管理
这个步骤要求风险管理者在风险识别和风险分析的基础上,从多种可选的风险管理方案进行研究并选择其中最合理的方案,并加以贯彻实施。这个步骤需要站在全面的高度上综合考虑和度量风险之间的逻辑关系,并将价值创造的目标放在首位,实现公司内部资源的优化配置,达到风险优化的目的,在风险控制的基础上,实现企业价值的最大化。
4.全面风险管理绩效评价
保险公司需要定期对风险管理的绩效进行跟踪评估,并对此进行适时的调整,以符合企业的战略目标和监管要求。
三、保险公司在全面风险管理时代下的对策
(一)完善保险公司的组织架构体系
按照保监会的要求,设立风险管理部门,履行风险管理执行职能,对上负责贯彻董事会的风险管理决策,制定具体的全面风险管理政策;对下记录并检测各个业务单位的风险活动,并进行动态调整,使得日常业务操作符合风险管理目标。从而,为全面风险管理提供组织保障。
(二)加强风险管理人才的储备
目前,保险业的专业性高素质人才还远远跟不上国际水平,而风险管理这项工作对从业人员的专业素质要求极高,因此保险业迫切需要建立一批高素质的人才队伍。对此,一方面需要构建专业的内部培养体系,积极招聘和培养高素质的风险管理人才;另一方面还要实施开放的引进人才策略,从外部引进专业的人才,带来先进的风险管理经验。为全面风险管理工作的开展奠定坚实的人力资源基础。
(三)借鉴国外先进经验,具体问题具体分析
目前,我国保险行业还不成熟,因此需要怀着开放的态度,吸收借鉴国外保险公司先进的保险理念,同时还要做到具体问题具体分析,不能照搬移植,要建立起一套适合自身发展的全面风险管理策略,从而促进行业自身的发展。
二十一世纪是全面风险管理的时代,只有建立全面风险管理体系,才能够应对当前错综发杂的金融风险环境,增强保险公司的经营能力,促使保险行业的稳定健康发展。
参考文献
[1]张健.基于制度设计与措施选择论保险公司全面风险管理[J].保险研究,2008,4.
[关键词]税务风险 防范 SWOT分析 QSPM矩阵
近年来,国际上很多大公司因为对税务风险的防控不严而出现税收上的麻烦,“安然”税务案件使安然公司倒闭,“毕马威”长达三年的税务案件使其失去大量市场份额。国内众多偷逃税案件也给企业带来巨额损失,国美、苏宁、创维、娃哈哈、中国平安等诸多国内知名公司都曾先后深陷其中,企业经营和声誉都遭受了不小的损失。加之一些传统诸如税收法律法规的不健全,税务机关的自由裁量,地方具体政策与税收法规的不一致等,都使得税务风险管理成为企业风险管理和公司治理的一项重要内容,加强企业税务风险管理,已经不是可有可无的问题,而是非常现实的迫切问题。
一、税务风险与税务风险管理
企业税务风险是由于企业涉税事项的不确定性而导致企业经济利益的损失,具体表现为企业现金流量表上的非正常现金流出。具体包括两个方面:一是企业未能正确遵守税法,应交未交或者错交,从而面临补税、罚款、加收滞纳金、刑罚处罚以及声誉损害等风险;二是由于企业适用税法不准确,没有充分运用税收优惠和合理的纳税筹划方案导致企业应交多交,承担了不必要税收负担,带来企业现金流量的损失和资金时间价值的损失。
企业税务风险管理指的是企业对可能带来经济利益损失的涉税不确定事项进行管理的过程,这一过程贯穿企业经营活动的始终,包括税务风险的识别,税务风险的评估,税务风险的管理等内容,核心目的是减少税务损失,增加企业经济利益。
二、SWOT分析法分析Y控股集团的税务风险
Y控股集团有限公司创建于1990年,经过五次成功改制发展成为涵盖电缆、医药、房地产、生化和投资五大板块的大型民营股份制企业集团。SWOT分析法主要从企业所面临的内外部两个环境来进行考量。在进行企业外部环境分析时主要考察的是企业所面临的外部市场机会(opportunity)以及威胁(threat),在对企业内部环境分析时主要考察的是企业自身所具有的优势(strength)和劣势(weakness)。通过把企业所面临的外部环境与内部环境利好和不好的方面列举出来构造成矩阵的形式根据不同分布给出不同的战略组合。
运用上述架构,制作Y控股集团税务风险的SWOT矩阵如下:
三、Y控股集团税务风险管理的战略选择――基于QSPM定量分析
定量战略计划矩阵(QSPM矩阵)是战略决策阶段的重要分析工具。该分析工具能够客观地指出哪一种战略是最佳的。QSPM前一阶段的分析结果来进行战略评价。QSPM的分析原理是这样的:将前一阶段制定的各种战略分别评分,评分是根据各战略是否能使企业更充分利用外部机会和内部优势,尽量避免外部威胁和减少内部劣势四个方面,通过专家小组讨论的形式得出。得分的高低反映战略的最优程度。于本文而言,QSPM分析主要基于SWOT分析之后,对SO,WO,ST和WT四种战略按重要性进行评分排序,找出最优和可行的战略。
根据上述四种战略,用QSPM矩阵对所有关键因素和四种战略进行量化分析。表中所列权重系数及吸引力分值由企业财务和战略管理人员根据企业战略规划集体评估得出。
表2 Y控股集团税务风险管理QSPM打分表
注:吸引力分值1=没有吸引力;2=有一些吸引力;3=有相当吸引力;4=很有吸引力;总吸引分数等于权重乘以吸引力分值
根据表3中QSPM打分结果,Y控股集团在税务风险的防控上应该以WO和SO战略为主:
设立专业税务部门,引进专业人才,建立企业基本税务制度,与税务机关加强协调联系,通过第三方规范企业的各类涉税事项,用足用好国家税收优惠政策。
具体包括:
1.利用企业文化和影响力,企业具有吸引力的薪酬体系,大力引进税务专业人才,从根本上提高企业处理涉税事项的能力;
2.建立企业税务管理的基本制度,设立专业税务部门,专门处置各类涉税事项,包括税务风险的识别、评估和处置,税企关系的协调等。
3.深化与税务师事务所等第三方的合作,在第三方的协助下规范企业各类涉税事项,降低涉税风险。
4.充分利用国家税收优惠政策,获取合法税收利益,提高公司在外的美誉度,为公司取得较好的经济效益。
本文通过界定税务风险和税务风险管理的定义,运用SWOT分析法对Y控股集团税务环境的分析,给出了四种战略组合,并通过QSPM矩阵量化分析给出了Y控股集团在税务战略选择上的建议。期望本文对Y控股集团税务风险的分析能够对我国其它民营企业有所借鉴,提高他们税务风险管理的能力和水平,进一步提高企业的核心竞争力。
参考文献:
[1]许捷.企业税务风险管理理论与框架研究[D].成都:西南财经大学.2007
[2]TomNeubig&BalvinderSangha.Taxriskandstrongcorporategovernance[J].TaxExecutive.2004.Mareh一April
[3]李淑萍,孙莉.税收风险管理的探索与实践[J].财政研究.2004(12)
[4]李淑萍,孙莉.建立健全规避税务风险的管理体系[J].税务研究.2005(2)
[5]蔡昌.税务风险―防范、化解与控制[M].北京:机械工业出版社.2006
[6]林天义.关于加强大企业税务风险管理的思考[J].税务研究.20l0(9)
[7]张云华.企业税务风险原因分析与制度设计[J].税务研究.2010(9)
[8]国家税务总局.大企业税务风险管理指引[N].国务院公报.2009(35)
[9]盖地,张晓.企业税务风险管理:风险识别与防控.财务与会计[J].2009
[10]金道强.企业税务风险及其防范[J].金财会.2005年第9期
[11]Emst&Young.Freehills,CorrsRevenueGroupandGreenwoods,TaxRiskManagement.2007
[12]李建琼.企业税收风险管理机制研究[D].西南财经人学.2007
[13]曹建新,詹长杰.论税务风险管理与公司治理[J].财会月刊.2011.6
2400页报告直指“软肋"
工行聘请的普华永道公司完成的《内部评级法工程整体规划项目》日前通过了验收。在这份长达400页的报告中,工行未来8年公司治理机制和全面风险管理改革的整体规划被设计得清清楚楚。此外,普华永道还为工行设计了逐年实施路线图,从而使工行先前提出的建立一套现代商业银行公司治理结构的目标轮廓也变得清晰起来。
报告指出,工行现行的公司治理结构有两个明显的特点:一是实行行长负责制,这种结构存在的一个重要问题是缺乏有效的权力制衡和监督。另一个特点是,总行政策制度实行各部门的条条管理,业务经营上各分行又具有较强的独立性,全行的战略和政策难以从上往下垂直贯彻,信息也难以从下往上真实反映,条块之间的矛盾突出。
工行有关人士介绍说,除董事会、CEO及其下属委员会外,普华永道为工行设计的公司治理目标结构包括业务、风险管理、后台支持和内审四个部门。该治理结构设计体现了四大原则,即权力制衡和监督,明确风险承担责任制,独立的风险管理职能,各条职能实行垂直管理。
打造全面风险管理体系
据悉,未来10年,工行的全面风险管理首先将从完善风险管理战略入手,通过三个主要环节制定和实施风险管理战略:一是根据银行的风险偏好,测算特定业务战略所需的资本金数量。二是根据所需资本金数量建立相应的授信限额体系,通过控制该限额体系的执行,进而将业务风险控制在银行确定的风险偏好内。三是对各条业务线进行风险调整的绩效考核,评估和优化风险战略的实施效果,以平衡风险、收益和增长三者之间的关系。
此外,全面风险管理还要求风险管理组织、流程、工具和系统必须服务于风险管理战略的实现,而风险治理结构则需要相对稳定。据介绍,工行未来在全面风险管理组织框架建设中,除了在董事会、CEO两个层面分别设置负责风险管理的委员会以外,还在首席风险官下设立风险战略部门、信用风险管理部门、市场风险管理部门、操作风险管理部门、合规部门、信贷检查部门等。
股改必过“三道槛"
工行股改面临的最大挑战,是如何尽快彻底地解决过去遗留下来的历史问题。这些历史问题归纳起来就是三点:不良资产要核销、拨备要提足、资本充足率要达到8%以上。据测算,今年年末工行的不良资产比例能够下降到13%,核心资本充足率可以达到较高水平,但资本金仍然严重不足,风险拨备的覆盖率也很低。从000年至004年上半年,工行经营利润连续大幅度增长,累计实现1900亿元左右,这些利润中近90%都用来提取风险拨备和消化历史财务损失。但由于缺口太大,仍然与上市要求有着较大的差距。工行有关人士估计,如果没有任何外来的帮助,按照现在的发展速度,工行用6年的时间,可以彻底解决不良资产的问题,拨备覆盖率达到100%,资本金达到监管标准,同时盈利能力增强。(摘自004年8月11日《上海证券报》)
商业银行综合化经营面临的特殊风险
在综合化经营背景下,商业银行除了面临常规的金融风险如信用风险、市场风险、操作风险、流动性风险外,还会遇到实行综合化经营所带来的特殊风险。
集聚性风险。指金融机构在后台集中、内部管理系统调整、战略制定、业务规划、管理层聘用等重大问题决策方面所面临的不确定性向公司总部集中的风险。例如,综合化经营下,金融机构更倾向于建立统一的发展战略、统一的业务规划,因此一个错误的战略决策将迅速传播到整个系统,影响全部业务单元的经营绩效。此时,风险爆发的力度和速度加大,所造成的影响也更加广泛。
内部交易风险。指金融机构内部各业务单元之间由于资金和商品的相互划拨、交叉持股、相互担保、为了避税或逃避监管目的相互转移利润等复杂的资金与业务往来关系,致使风险在集团内部传播、扩散和放大。例如,在经济不景气时,如果非银行业务单元发生财务危机,该金融机构总部出于切身利益,必然想方设法通过银行业务单元从财力上加以资助,容易导致非银行业务单元的风险直接或间接传递到银行业务单元。
财务杠杆风险。指实现综合化经营后的商业银行在负债能力上具有杠杆效应。这种杠杆效应主要是通过资本的重复计算、监管缺位或不同业务单元对财务杠杆要求的不同来实现的。以资本重复计算为例,如果金融机构总部与各业务单元之间存在股权投资关系,那么在计算该机构的举债规模时必须将重复计算的资本剔除,否则就会产生超过监管部门规定或该金融机构偿债能力的高财务杠杆风险。
利益冲突风险。指当金融机构服务于两个或两个以上的利益主体时,有可能通过牺牲其中一个主体的利益,而使另一个主体处于更好的位置上,从而造成各主体利益间的差异。这些利益冲突表现为:为支持证券业务的发展,银行向客户不谨慎放款;非银行业务单元利用金融机构的整体声誉从事高风险业务,损害了投资人与债权人的利益;金融机构内部各业务单元违背客户意愿,联合起来强制性地锁定客户的业务范围等。
透明度风险。指金融机构由于组织结构或业务流程过于复杂,有可能导致透明度下降,从而对外部监管机构和市场、控股公司管理层了解和评估真实风险状况造成困难。透明度风险会使金融机构内部各业务单元之间的协调和沟通存在时滞,在危机发生的初期无法事先预警,同时容易导致监管者和外部利益相关者无法明确该机构相关业务和经营活动的真实情况,容易产生监管盲区。
法律法规风险。指因国家法律、法规、政策的缺位或变动,以及金融机构违背国家法律、法规、政策而导致的对金融机构经营产生不确定性影响的风险。目前,我国商业银行综合化经营面临的法律风险主要包括:一是针对综合化经营的法律法规缺位,导致相关金融活动无章可循,造成相关金融交易或产品合法性不确定;二是现有的分业监管的部分法律法规不尽合理,导致不同业务间的交叉和不公平竞争;三是对法律法规条款的理解有歧义或执行不力,导致法律适用有偏差或错误,影响了金融活动的安全。
构建全面风险管理模式
综合化经营背景下,金融机构面临的风险日益增多且复杂化,传统的风险管理制度和技术手段不一定能够对新的风险分布和特质进行及时反映和控制,因此,如何在整体层面上建立一个有效反映和控制风险的管理体系成为一个非常重要和迫切的问题。对此,自20世纪90年代起,国际金融监管机构一直要求金融机构建立全面风险管理体系。在外部监管机构的指导和要求下,国际先进商业银行开始了建设全面风险管理体系的努力,起到了良好的防范与化解风险的作用。
全面风险管理是一个受企业董事会、管理层和其他人员影响的过程,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而确保企业取得既定的目标。全面风险管理框架有三个维度:第一是企业的目标,即战略目标、经营目标、报告目标和合规目标;第二是全面风险管理要素,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和沟通、监控;第三是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。三个维度的关系是:全面风险管理的八个要素服务于企业的四个目标;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。
对于综合化经营的金融机构,全面风险管理要求其风险管理系统处理并平衡银行、证券、保险、信托业务中的常规风险和特殊风险,以及这些风险涉及的各种金融资产与资产组合,直至业务人员。推行全面风险管理有利于对整个金融机构内各层次的业务单元、各种风险进行通盘管理,保证金融机构整体利益的最大化,具体包括以下内容:
创造良好的内部风险管理环境
(1)培育健康的风险管理文化。要培养全员的全面风险意识和全面风险管理理念,在员工中营造出重视风险管理的文化和氛围,最终实现风险管理文化的精神层面与物质、制度、行为层面的有机衔接。
(2)构建垂直化的风险管理组织架构。建议在金融机构总部层面设立风险管理委员会,该委员会直接受董事会领导,负责领导全公司的全面风险管理。同时,在总部层面建立起独立于各业务单元的风险管理职能部门,并建立起其间的有效的管理与沟通机制。这种机制一方面要保证风险管理部门对各业务单元运作时的风险进行有效的监督和预警,另一方面要保证各业务单元与风险管理部门能够就有关风险信息进行充分的交流,确保风险管理部门基本职能的发挥。在各业务单元,可以根据业务规模选择设立由总部风险管理部门垂直领导的风险管理分部;也可以建立风险经理制,由总部风险管理部门直接派驻风险经理进行风险管理。
(3)培养高素质的风险管理人才。要培养、选拔有证券、保险、信托、投资等多种从业经验的人才,建立高素质、复合型的风险管理队伍,加强对金融交叉产品的风险识别、度量和控制的研究,致力于高效、全面的风险管理。
明确设定全面风险管理的目标
(1)确定战略目标。要对公司整体战略目标在各个层次及领域进行分解,从而使管理层能有效识别与战略相关联的风险,并且考虑这些风险之间的关联度,以战略目标为依据确定公司整体风险偏好与容忍度。
(2)制定总部层面、各业务单元以及操作层面的经营目标。总部层面上,设定分年度的不良资产控制目标、扣除风险损失后的盈利目标等;业务单元层面上,设定资产组合管理目标、信用风险管理目标、市场风险管理目标、流动性风险管理目标、扣除风险损失后的赢利目标等;具体操作层面上,设定操作风险管理目标以及集聚性风险、内部交易风险、财务杠杆风险、利益冲突风险、透明度风险、法律法规风险等特殊风险的管理目标。要将风险容忍度贯彻到业务单元层面和具体操作层面的目标设定过程中。
(3)设定风险监控目标。要定期分析全公司的风险状况,对可能产生或已经产生的损失,提出相应的改正措施。具体包括:资本充足率目标、资产组合和客户风险集中度目标、资产负债比例目标等。
(4)明确全公司范围内的风险报告目标。对各项经营目标和监控目标的履行情况要准确报告,确保风险报告的及时性与有效性。风险报告包括资产组合报告、套期报告、交易战略报告、压力测试报告、资产质量报告和风险价值度报告等。
健全风险识别的流程
应根据公司风险偏好、容忍度和设定的风险管理战略,制定风险识别的工作流程。在实施步骤上,首先,以战略、流程和业务活动为出发点,以风险偏好和风险容忍度为标杆,在全公司范围内,自下而上、由内到外对各类潜在风险进行全方位梳理,形成风险事件详细目录清单;其次,以业务单元为单位进行全面地风险排查,并进行风险事件排序;最后,建立风险事件分类矩阵,筛选出尚未进行有效管理的风险事件,理清全公司风险管理中存在的问题。
引入先进的技术工具,从定性和定量两个方面提高对常规风险的评估水平
在信用风险方面,对大中型企业客户建议引进摩根集团的CreditMetrics(信贷度量工具),麦肯锡公司的Credit Portfolio View(信贷组合浏览工具),穆迪公司的RiskCalc(风险防漏工具)和Credit Monitor/Portfolio Manager(信贷监控/组合管理工具)等系统;对个人客户和小型企业客户,要完善个人信用风险评级系统,加快评估客户信用风险的效率。
在市场风险方面,通过引入并完善VAR(在险价值)、损益表敏感度分析、情景分析与压力测试等技术和支持工具的应用,设计并优化价格限额和流动性限额,逐步建立交易部门、交易单元、交易台、交易员等多个层面的限额体系,实现对市场风险的高效识别与评估。
在操作风险方面,要借鉴巴塞尔新资本协议的操作风险分类思路,以战略、流程和业务活动为出发点,自下而上、由内到外对各类潜在的操作风险因素进行全方位梳理,形成详细的风险清单,并不断进行动态调整,提高对操作风险的评估水平。
在流动性风险方面,金融机构除了保留一定比例的备付金外,可以持有流动性较好的国债类债券作为第二类准备。同时可以运用资产负债管理工具,采用流动比等一系列流动性监测指标,防范和化解流动性风险。
对声誉风险、系统风险、杂项风险等其他常规性风险,引入交叉风险识别技术。通过专家判断和数据挖掘,建立每两类风险之间的相关系数矩阵,逐渐过渡到对其他常规风险的损失曲线分布和定量研究上,实现在金融机构整体范围内进行常规风险的识别和防范。
建立有效的“防火墙”制度,应对特殊风险
对于综合化经营背景下的集聚性风险、内部交易风险与利益冲突风险,建议设立金融机构总部层面与各业务单元间的防火墙制度。该制度是以风险为管理对象,强调将异业风险限制在各自业务领域内,防止风险扩散和蔓延的管理制度,具体包括信息防火墙、人事防火墙、业务防火墙等。通过禁止或限制信息、资金或人员在银行与证券、保险、基金、信托等业务单元间的任意流动,禁止以关联交易的形式在金融机构总部及各业务单元间任意调配资金,该制度能够将集聚性风险、内部交易风险与利益冲突风险控制在有限的范围之内。
完善内部控制活动的运行机制
对于综合化经营背景下的财务杠杆风险、透明度风险与法律法规风险,应从完善金融机构的内控制度入手,通过实行科学的资本管理、采用严谨的内部控制程序与方法、完善公司治理机制、建立系统化、透明度高、及时性强的信息披露机制,将金融机构的一切活动置于内外部监管之下,提高其业务运作的透明度,加强对其经营的合法合规性的管理。
建立和完善全面风险管理信息系统和有效的风险报告制度
(1)借鉴国际商业银行风险管理信息系统的经验,利用现有的客户资源和历史数据,构建涵盖风险监测、风险分析和不良资产处置等风险管理环节的全面风险管理信息系统,实现风险管理信息的收集、整理、分析、评价、预警以及建议方案等生成自动化、传输网络化,以确保风险管理信息的时效性和准确性。
(2)完善风险报告制度。明确风险报告的频率、深度与职责,针对综合化经营下金融机构常规风险与特殊风险的不同特点,制定差别化的风险信息传导机制,建立纵向报送与横向报送相结合的信息交流线路,保证信息的真实准确,实现信息共享,使风险管理部门制定的风险政策能够得到良好地贯彻。
建立全面风险管理监控制度以及持续改进机制
