时间:2023-09-07 17:43:06
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇全面风险管理体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
为有效贯彻国资委“管理提升”要求,南方电网公司在2013年的工作会议上,将全面风险管理体系建设列为2013~2015年工作重点,并明确了全面风险管理框架。同年,广东电网公司在深化创先工作总体方案中提出了2013~2015年全面风险管理总体创先关键举措。全面风险管理体系建设工作已经成为了供电企业提升管理水平重要内容,但是目前全面风险管理工作在供电企业中仍然缺乏成熟有效的建设方案。针对目前的情况,江门局认真学习《中央企业全面风险管理指引》,结合南方电网关于全面风险管理的要求,研究与探索了江门局全面风险管理体系建设方案。江门局通过建立风险数据库、制定风险应对策略、健全风险管控机制和风险管理评价机制等措施,建立起一套运转有效的全面风险管理体系,并获取了丰富的风险管理实践经验和理论成果。
2全面风险管理工作现状诊断
随着创先工作的有序开展,江门供电局在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但是对比全面风险管理的要求,仍然存在以下不足:
2.1风险体系覆盖的全面性有待提高
江门局虽然在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但并未建立覆盖全部领域的全面风险管理体系框架,如战略、市场和公共关系等方面的风险仍缺乏有效的管控措施。
2.2专业风险管理的协调性有待加强
目前,江门局安全、财务与经营、法律、廉洁四个领域已经开展专项风险管理工作,但是各领域之间的管理工作尚未有效的统筹协调。专项风险管理工作由各专业部门牵头开展,各专业领域之间交叉和重合的风险管控工作尚未得到有效统筹。随着全面风险管理体系建设工作的不断开展,战略风险、市场风险、公共关系风险也纳入风险管理的范围,自此风险管控涉及专业面更广泛,如果各领域之间缺乏系统运作和协调性,这七大类风险管控就会显得杂乱无章,无法全面管控。
2.3风险数据库的实用性有待提升
各专业领域的风险数据库只是对风险信息进行了简单的罗列,具有大而全的特征,不适用于日常工作。目前各专业领域都识别出大量的风险点信息,但是对于一些真正影响企业决策、安全生产、经营策略的重大风险,没能制定切实有效的风险应对措施,导致风险数据库只是风险点的累加而实用性不强。
2.险文化建设的有效性有待加强
风险文化和风险意识的建设水平不高。目前,江门局风险管理文化氛围亟需提升,部分人员对风险管理不够积极主动,对于风险的危害性、易发性不够重视。各领域风险文化建设举措执行力不强,存在走过场的现象。此外,风险管理人员的专业知识和管理能力也有待加强。
3全面风险管理体系建设
针对现状诊断中发现的问题,江门局以公司战略为导向,在公司董事会领导下,按照“统筹规划、探索创新,专业归口、分级负责,全面覆盖、规范运作”的原则,参照公司一体化管理的规范要求,坚持“整体部署、分专业分步实施、逐层推进、持续改进”的思路,建立了一套既符合一般风险管理要求,又符合电网行业特征,既符合国资委风险管理要求,又具有南网特色的全面风险管理体系框架。
3.1全面风险管理框架
全面风险管理体系由风险管理组织机制、风险管理规范化机制、风险管理运作机制、风险管理信息系统、风险管理文化五部分组成。
3.1.1风险管理组织机制。指公司全面风险管理工作的主要参与主体以及各自的职责权限划分。公司风险管理组织应包括董事会、风险管理委员会、风险管理办公室、风险管理专业小组、审计部、下属分子公司等各主要参与主体。
3.1.2风险管理规范化机制。指运用一体化工作方法,对风险管理相关工作进行结构化设计后形成的规范化管理机制。该机制包含了风险管理工作的业务分类、流程设计、管控策略、统一规范策略和一系列规范性文件。
3.1.3风险管理运作机制。指各级单位在组织职责要求和规范化要求的指引下,于业务过程中执行风险管理基本流程并产生成果的过程。风险管理运作机制要求公司各级单位在清晰的职责划分和协同下,在业务管理PDCA循环中,开展风险识别、评估、应对、监督等工作,并形成风险库、风险评估结果、风险应对方案、监督评价结论等成果。
3.1.险管理信息系统。指公司用于支持风险管理工作的信息系统。公司风险管理信息系统应与业务应用系统结合,具备风险信息的采集、存储、加工、分析、传递、报告等功能,支持风险识别、评估、应对、监督等风险管理流程。
3.1.5风险管理文化。指公司各级员工对待风险的价值观、理念、态度和行为方式。公司风险管理文化应承接公司整体文化体系,覆盖上下各级员工,将风险管理转化为员工的共同认识和自觉行动。
3.2全面风险管理组织机制
江门局按照风险管理要求,结合工作实际,设置风险管理组织机构,为风险管理工作提供组织支持。全面风险管理组织机构包括全面风险管理委员会、全面风险管理办公室、风险管理归口部门、业务部门和监督部门。
3.2.1全面风险管理委员会。成立全面风险管理委员会。全面风险管理委员会由局领导担任主任,成员由部门主任及县(区)分子公司主要负责人组成。各县(区)分子公司需按照市局要求成立全面风险管理委员会。主要职责:(1)统筹领导全面风险管理体系建设与评价工作;(2)审批风险管理方面制度和流程;(3)审批并签发风险环境分析报告、风险管理工作年度计划、全面风险管理报告、全面风险管理监督报告;(4)审批重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制以及重大决策的风险评估报告;(5)培育风险管理文化,推动风险管理信息系统的建设;(6)审批、决定全面风险管理中的其他重要事项。
3.2.2全面风险管理办公室。全面风险管理委员会下设全面风险管理办公室,挂靠在企业管理部,全面风险管理办公室主任由企管部负责人担任。各县(区)分子公司全面风险管理办公室设在办公室或综合部,全面风险管理办公室主任由部门负责人担任。主要职责:(1)组织风险管理归口部门开展全面风险管理体系建设与评价工作;(2)组织风险管理归口部门制定、完善风险管理相关制度与流程;(3)组织风险管理归口部门开展风险环境分析、制定全面风险管理工作计划、编制全面风险管理报告;(4)组织风险管理归口部门制定跨领域重大风险应对策略及方案;(5)指导、监督风险管理归口部门开展风险管理工作;(6)组织开展风险管理绩效考核工作。
3.2.3风险管理归口部门。按照“专业归口”管理原则,市局风险管理由七个风险管理归口部门负责,各风险管理归口部门分工详见表2,县(区)分子公司风险管理归口部门详见表3。主要职责:(1)按照全面风险管理体系建设要求,落实专业领域风险管理工作;(2)指导、组织业务部门进行风险环境分析;(3)负责专业领域风险管理工作计划和方案的制定、组织实施、监督评价工作;(4)组织制定专业领域重大风险管理策略和应对方案;(5)指导、组织业务部门进行风险自我控制,执行风险管理基本流程;(6)负责开展专业领域风险评价工作,撰写专业领域风险管理报告。
3.2.4业务部门。业务部门在风险管理归口部门的指导下开展风险管理工作,业务部门应指派一名风险管理联络员作为风险管理归口部门在业务部门的联络窗口。主要职责:(1)配合风险管理归口部门制定风险管理工作计划;(2)落实风险自我控制,执行风险环境分析、风险识别、风险评估、风险应对、风险监控等活动;(3)配合制定重大风险管理策略和应对方案;(4)配合开展风险管理评价工作,配合编写全面风险管理报告。
3.2.5监督部门。监察审计部作为全面风险管理工作的监督部门,主要职责:(1)研究提出全面风险管理监督机制,制定风险监督相关制度;(2)制定全面风险管理监督方案,并组织实施;(3)按照风险管理委员会统一部署,对业务部门风险管理措施落实情况进行监督;(4)根据监督情况,编写风险管理监督报告。
3.3全面风险管理规范化机制
为规范全面风险管理工作,江门局制定了各类工作指引和全面风险管理体系评价标准。
3.3.1制定《全面风险管理指引》。为推动全面风险管理体系建设,提升风险管理防范和控制能力,江门局根据国资委《中央企业全面风险管理指引》的相关规定,按照网省公司全面风险管理工作部署,结合风险管理实际情况,制定《全面风险管理指引》。指引遵守以下原则:(1)全面控制原则。将风险管理与生产经营活动相结合,实现全员参与、全领域覆盖、全过程监控;(2)突出重点原则。以重大风险、重大事件(指重大风险发生后的事实)和重要流程的管理为重点,开展全面风险管理工作;(3)有效落地原则。全面风险管理工作开展应与其他管理工作紧密结合,力求把风险管理的各项要求嵌入日常业务流程及管理规范,确保实效落地;(4)成本效益原则。风险管理工作开展与风险应对措施制定应兼顾成本与效益,实现成本与效益的平衡。
3.3.2制定风险管理各项工作指引。编制《全面风险管理组织机构设置及工作指引》《绩效考核工作指引》《基于风险管理的岗位职责表梳理工作指引》《基于风险管理的制度流程修编工作指引》《全面风险管理信息沟通机制工作指引》。各项工作指引为全面风险管理工作的落地提供指导和规范。3.3.3制定管理体系评价标准。江门局按照全面风险管理体系建设要求,运用风险管理评价理论、成熟度理论,建立了全面风险管理体系评价标准。
4结语
关键词:风险管理;风险管理模式;风险管理范围一、商业银行风险管理值得借鉴的经验
商业银行有成熟的风险管理经验。据了解,国际、国内先进的商业银行、邮政储蓄银行及部分发达地区农信社都实行了全面风险管理,积累了较丰富的管理经验。如建行引进了国际先进的风险管理模式,构建了集中、垂直的风险管理体系,加强了各环节的整体联动和有效制衡,建立了风险部门与相关部门的信息沟通机制,加大了对集团客户的监控力度。建设银行风险管理组织架构为:总行设首席风险官,一级分行设风险总监,二级分行设风险主管并向县级支行派出风险经理。实行授信业务平行作业,即:信贷客户经理、风险经理及专职贷款审批人按照各自的岗位职责,遵循既定的操作流程和“双线”汇报线路,对各自的作业结果独立承担责任。风险经理在平行作业中对其上级风险主管负责,对《客户信用评级报告》、《项目评估报告》等风险揭示的充分性、准确性负责。专职贷款审批人在授权内对其客户信用评级、授信审批决策的合理性和授信审批质量负责。信贷客户经理、风险经理和专职贷款审批人,在同一授信业务流程中,通过岗位制约,最大限度地避免,从而降低风险隐患。
二、县级联社构建全面风险管理的建议
1、整合机构完善职能,提高风险管理能力。
对县级联社风险管理职能进行重新定位,在贷前、贷中和贷后三个环节与信贷部门平行作业。在同一业务流程中,以客户为中心进行业务协作,加强各环节的整体联动和有效制衡,两个部门“四只眼睛”共同防范风险。实行两条线汇报,即:信贷和风险部门独立向联社领导汇报贷前调查、资料审查情况及建议,联社领导根据两个部门的汇报情况做出正确决策,从而保持风险管理体系与业务管理体系的相对独立,增强风险管理的有效性,实现风险管理科学化、制度化,逐步达到“一个流程齐调查、双向汇报堵漏洞、三个环节相制衡、四只眼睛盯客户、综合协调防风险”,提升县级联社的风险管理水平,为业务经营又好又快发展奠定坚实的基础。
(1)县级联社的风险管理流程:
首先是业务受理然后是调查评估接着资料审查再由县级联社贷审会审批然后是县级联社理事长审定再贷款发放到贷后检查过后就是风险监测与风险评价和风险预警、风险处置最后是贷款逾期督办后就是保全资产然后再依法清收处置后就是贷款收回了。
(2)基层信用社的风险组织框架设计:
在各个信用社的风险主管的设立中,城区联社所属信用社的风险主管由副主任兼任,按照业务种类分别设个人业务风险经理与公司业务风险经理,这也是依据城区与乡镇信用社的情况有不同而实行的区别对待。
(3)基层信用的社风险管理流程:
首先是业务受理然后是调查评估接着资料审查接着就是信用社贷审组审议然后是风险主管意见然后就可以贷款发放接着就是贷后检查与风险监测和风险评价还有风险预警与风险处置随后就是保全资产最后就是依法清收处置再贷款收回就可了的。
(4)营业网点的风险管理设计:
各个营业网点的风险管理员享受网点负责人的待遇,实行垂直管理并且由网点会计兼任。不参与经营考核。主要履行:①监督出纳、信贷、储蓄等各项规章制度的执行情况;②是对会计出口严把关:监督整个贷款发放的过程,对上级信贷审批条件与限制性条款的落实情况进行审查;③是定期或不定期查库;④是加强授权与密码管理,对柜员监控到位、防范到位、检查到位;⑤是监督综合业务系统柜员操作20条禁令执行情况,防范操作风险与道德风险。⑥是定期监测与评价风险状况,撰写风险管理评价报告这六项风险管理职责
2、建立风险管理机制、夯实风险管理基础。
逐渐建立和完善报告机制、风险预警机制与责任追究机制要做到管理有目标、工作有评价、部门有制约、操作有制度、过程有监控、风险有监测、岗位有职责、事后有考核才能全面风险管理提供保障。①是加强制度执行力度,维护制度的严肃性和权威性,有效防范各类风险。②为了实现制度的科学性、适用性与可操作性,修改完善现行信贷、风险管理办法等相关规章制度。③是建立信息沟通机制,加强部门协调配合。风险管理人员与信贷、监审等相关部门人员享有同等的信息访问权限,加强与其它部门的信息沟通。及时收集、汇总在贷款管理、跟踪监测过程中发现的风险信息,分析其可能对农村信用社产生的影响程度和范围,形成分析报告,为联社领导决策提供参考。风。④是建立风险识别体系。要借鉴商业银行的经验,运用现代科技手段,从风险组织流程、风险数据库、风险管理信息系统等方面,建立科学的内部风险评价方法,逐步建立涵盖所有业务的风险监控和评价预警系统。
3、培育风险管理理念,实行全面风险管理。
各县级联社要提高对全面风险管理重要性的认识,积极培育员工的风险管理理念。一是建立全面风险管理文化,防范道德风险。积极培育和强化全员风险管理意识,树立正确的职业道德观、价值观和风险观,培育人人对风险负责的风险管理文化。二是加强员工队伍建设,防范操作风险。近年来,农村信用社发生的案件大多因操作风险控制不力所致,如何防范和控制操作风险是农村信用社风险管理的重点和难点。县级联社首先要净化风险源头,在新招聘员工时坚持做到“四化”,即:市场化、多元化、精品化和专业化。定期对各业务岗位人员进行岗位轮换,落实强制休假和离岗稽核制度,净化经营环境。三是强化责任意识,落实全面风险管理。(作者单位:河南省驻马店职业技术学院)
参考文献:
——xxx支行实施全面风险管理的必要性、方式和难点
中国银监会主席助理王华庆在上海举行的“第三届中国国际金融论坛”上说:中国银行业必须构建全面风险管理体系。最近,我又在重庆大学聆听了陆静博士关于《银行全面风险管理体系》的两次讲课,因而对商业银行全面风险管理有了新的认识和理解。我认为:商业银行实际上是一种风险管理行业,其价值的创造必须通过对风险的有效管理来实现,因此,建立全面风险管理体系不是一种可有可无的奢侈品,而是商业银行赖以生存和发展的必需品。那么,结合实际,在xxx支行实施全面风险管理的必要性、方式和难点是什么呢?下面我分三个方面回答如下:
一、必要性:实施全面风险管理既是我行自身控制风险的需要,又是当今金融监管的最高要求。
一方面,“中国银行业必须构建全面风险管理体系”,这是我国金融监管最高当局的监管要求;另一方面,要把我行建成“百年老店”,必须构建全面风险管理体系。目前,在xxx支行实施全面风险管理的必要性主要表现在以下三个方面:
(一)有利于提高支行的风险控制能力
对于商业银行来说,信用风险、市场风险、操作风险、法律风险无处不在,我们的每一项业务都具有一定的风险,银行业务的任何变化,无论是推出新的业务还是对现有业务的改良,都会引起相关业务流程的变化。比如我们资产负债表的结构发生变化,对我们的风险管理策略和程序就应随之进行调整。然而,传统的、单一的风险管理模式解决不了类似的整体风险控制问题,所以我认为,在xxx支行实施全面风险管,有利于从整体上提高我们的风险控制水平和能力。
(二)有利于防范各种金融风险
银行是一个高风险的行业,任何环节都可能出现风险,但只要我们针对战略规划、产品研发、投融资、市场运营、财务结算、内部审计、法律事务、人力资源、物资采购等各个环节建立和完善风险管理的基本流程,培育良好的风险管理文化,建立包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统在内的全面风险管理体系,加强对支行负责人、客户经理、会计、出纳和守库员等重要岗位人员等关键岗位和重要人员的管理,加强银企对账工作,就能有效控制风险。所以我认为,实施全面风险管理有利于防范各种金融风险。
(三)有利于培养健康的信贷文化
从金融行业的普遍情况来看,凡是问题出得多的地方,都是忽视风险管理、不求质量的盲目发展造成的恶果。而一些发展较好的银行,则是那些一直坚持稳健经营、时时能够把握风险的银行,他们普遍具有健康的风险意识,所以,我认为要搞好一个银行,信贷风险文化必不可少,除了必须具有清晰的信贷管理理念、完善的信贷管理手段、健全的信贷操作规范和自觉的风险管理行为外,还要有高度的风险管理意识,如:银行是通过对风险的有效管理而创造价值的;任何收益都不能弥补本金的损失;最大的风险是缺乏风险意识;信贷风险处处存在,防范风险人人有责;信贷标准不应因追求规模、短期利润和外部压力而降低。然而,要建立以风险控制为核心的信贷文化理念,必须依赖于全面风险管理体系的建设,也就是说,全面风险管理体系的建设有利于培养健康的信贷文化。
二、方式:把内部控制机制与全面风险管理环节紧密结合起来,构建xxx支行全面风险管理体系。
从方式上讲,我支行建立和实施全面风险管理体系应把内部控制机制与全面风险环节紧密结合起来,具体方式如下:
(一)按照横向平行制衡、纵向权限制约的原则,完善内部管理组织架构,如根据业务发展的需要,建立和完善下列内部组织架构:
1、授信审批小组;
2、财务审批小组;
3、反洗钱管理小组;
4、案件专项治理小组。
(二)进一步完善各项业务的规章制度。比如:
1、保证金帐户管理制度;
2、风险识别与监测制度;
3、违约客户跟踪管理制度;
4、信贷责任追究制度;
5、客户进入退出制度;
6、会计交接与授权管理制度;
7、待销毁重要空白凭证管理制度;
8、公章管理制度;
9、atm机管理规定;
10、其他应收款管理制度。
(三)对印章和重要空白凭证加强管理,严格执行印押、证分管制度,印、押、证的领用、使用和交接要做到手续完整、登记记录齐全,同时,印、押、机要做到人离加锁,营业终了入库保管。重要空白凭证要设定专用库房,指定专人管理,出、入库要手续齐全,出售、使用重要空白凭证要坚持按规定的制度和程序操作。同时,加强对关键、重要岗位和人员的管理,特别是要加强对支行负责人、客户经理、会计、出纳和守库员等重要岗位人员的监督。
(四)加强银企对账工作,对于未收到企业对账回执或联系不到客户的情况,要积极主动地到开户企业对帐,真正发挥对帐制度的预警作用,及时发现与处理银企帐不符的问题,防止银行内部人员和企业人员内外勾结、联手作案。
(五)提高内控意识,保持高度警觉,不能存有丝毫侥幸心理和麻痹大意,要完善异常行为监测和报告制度,对异常现象及早采取果断措施,提早介入、防范,有效控制风险。
【关键词】商业银行 全面风险管理体系 建设路径
风险是指引起企业损失产生的可能性,包括损失和可能性,排除了损失不可能存在和损失必然发生。一般来讲损失出现的概率在0和1之间。商业银行风险一般是指银行经营管理过程中,实际经营状况与预期产生偏差,使银行资金效益、安全和流动性等方面蒙受损失的一种可能性。
一、商业银行风险及风险管理
由于商业银行经营货币商品与其他有形商品相比,具有自身的特殊性,主要表现在:首先,商业银行风险内涵独特。商业银行作为一种特殊的信用企业,风险边界更宽。在金融资产效益、安全、流动性等方面都存在着丧失或损失的可能性,均在风险边界内。如果金融机构的借贷款不能按期收回本息,必然遭受损失,导致客户提存和贷款资金供给的中断,进而危及金融机构的发展和生存,如果金融机构资金流动性丧失,缺乏客户应付款项的支付保障,进而导致商业银行的倒闭;其次,商业银行风险源泉的双重属性。商业银行在其存贷业务及其他业务都蕴藏着各种不确定风险,由商业银行间接生产的性质决定商业银行风险的双重性,一方面是银行内部管理能力,导致经营管理的内部风险,另一方面是客户的信用风险,由于客户生产经营的失误,投资失败,导致本息难以收回的外部风险;再次,商业银行信用链和支付链风险。商业银行作为货币金融体系的一部分,通过信用链和支付链,将业务活动渗透到社会经济诸领域,影响巨大。如果一家银行出现危机,必然引发多米诺骨牌效应,从而破坏客户和有业务联系的金融机构,乃至整个社会的经济信用关系。所以,许多国家把金融安全和稳健运行视为国家安全。
商业银行风险一般包括信用风险、国家风险、市场风险、利率风险、流动性风险、操作风险、法律风险、声誉风险。面对如此复杂的风险种类,必须强化风险管理。
风险管理是通过对风险的识别、衡量和控制,以最少的成本支出控制经济价值减少的程度。风险管理的目的是通过对企业各种业务活动、计划、安排和控制,减少各种不确定事件的影响效度,从而恢复财务上的稳定性和营业上的活力,或以固定的费用使长期风险损失减少到最低。良好的风险管理可以降低决策错误的概率,提高企业附加价值。
商业银行风险管理就是通过风险分析、预测、控制等方法,预防、回避、排除或者转移银行业务经营过程中的风险,减少损失,保证资金安全。一方面使特定条件下的风险最小;另一方面实现收益最大化。由于商业银行风险的隐蔽性和预测的难度,所以,商业银行风险管理必须是一项系统工程,必须整合银行各项业务、各个层级和各个机构资源,构成全面风险管理体系,确保商业银行流动性、盈利性、安全性。
二、商业银行风险成因分析
商业银行开始市场经营的时间段,风险管理还处在初级阶段。归纳起来,我国商业银行的风险成因主要表现为:
首先,银行资产质量低。由于商业银行自身利益驱动、自我约束力差,缺乏内部控制机制,加之政府的干预和宏观政策调控,金融危机影响等内外因素,商业银行资产出现许多呆账或坏账。
其次,日益严峻的市场化风险。由于金融市场的不确定风险,使银行面临资金流动性或支付危机的风险。当市场不完善和商业银行拆借行为的不规范,必然导致资金流动性或支付危机。
再次,日益加大的汇率风险和金融衍生品交易风险。各商业银行在日益扩大的外汇业务和外汇交易中,面临着汇率频繁波动,加之管理缺失,金融衍生品交易风险不断加大。
最后,日益加大的市场利率风险。金融市场的深入,金融产品的市场利率及央行利率调控,必然呈现出频繁的利率变化。
基于上述风险成因,必须建立严格的内部控制和外部风险监管;减少内生风险和外生风险的存在因素。而且着眼于内部风险控制,结合外部监控,设计商业银行全面风险管理体系,覆盖商业银行各层级、各部门和人员,对各类实质性风险进行系统管理。
三、建立商业银行全面风险管理体系
建立和完善商业银行全面风险管理体系,包括信息流通和政策协调系统、风险预防系统、风险预测系统、风险评估系统、风险预警系统、风险处理系统。从硬件和软件方面系统构建全面风险管理体系,从强化内部风险管理出发,增强风险防范能力。优化商业银行风险管理的组织设计;深化风险管理的认识和态度,把风险管理纳入企业文化之中。
设计科学的风险管理组织:
设计商业银行风险管理体制,主要考虑商业银行的战略、组织与激励制度。
表1 商业银行战略目标与制度设计
首先,商业银行全面风险管理条件必须是在银行内部进行组织设置,执行风险管理程序和处理、根据风险管理战略实现风险管理目标。按照有效性原则设置商业银行内部组机构,充分体现风险管理的规范和标准,与金融体制相对应、能够适应外部环境变化。根据风险层次和种类的差异性,科学合理设置内部组织结构,形成完善的风险管理组织体系,使商业银行的风险管理做到系统化和制度化。
其次,建立商业银行风险管理体制。在商业银行内部设置专门的风险管理部门,设立内部风险管理委员会,密切配合内部审计、统计、业务操作,全面搜集、处理相关信息,系统进行风险识别、分析、评估与控制,严格监控商业银行日常运作,自我约束以实现自身平衡,快速适应金融环境变化,确保金融资产安全运行,提高金融产品的流动性和盈利能力。
合理设置商业银行的业务部门,充分体现防范风险思想。建立商业银行业务的连带性和连续性,尤其是信贷风险管理,必须实现信贷业务在部门之间的连带而非独立完成:分开信贷管理和信贷业务,管理部门负责贷款审批与管理,业务部门负责贷款前期评估和贷款发放。
细化风险管理程序,并严格执行,实现风险管理具体化和制度化。设立的风险管理指标体系,比如风险指标、界限指标、产品状况指标、国家风险指标、对方风险指标、附带风险指标、价格风险指标、兑现风险指标、权益风险指标、证券承销风险指标等。通过风险管理指标体系,实现商业银行的科学管理和稳健经营。
组织结构设置与银行决策体系,是根据管理体系的分层逻辑上制定的。把银行决策层次分为战略决策、经营管理决策和业务发展决策,组织结构同样也分为董事会、各种委员会、总经理、业务部经理。
表2 商业银行风险与管理
注:1=战略决策层,2=管理决策层,3=业务决策层
表2确定了风险管理中的相应管理机构,体现了商业银行风险管理组织结构的对应关系,明确了风险管理和经营管理的关联。其中,信用风险的管理由信贷部、审查部和计划不来完成,由他们与客户直接接触,收集、分析信息,掌控风险。流动性风险管理由营业部、资金运营部、计财部等部门来完成,在流动风险管理中,本币资金的筹措和外币资金操作均由专门部门负责。利率风险管理由资金运营部、计财部负责,因为利率变动风险是由于市场利率水平变化引起的银行利息收入波动和下降的风险。汇率风险管理主要由海外部、资金运营部、计财部负责,因为外汇汇率波动会使银行资产蒙受损失。投资风险管理由资金运营部、投资银行部、计财部等部门综合管理。因为银行在对有价证券或动产、不动产进行投资时,市场价格波动导致资产受损。事务处理风险管理由营业部、稽核部共同负责。因为银行业务部门或其他部门在处理有关业务过程中,操作人员可能会因主观或客观原因造成损失。经营风险管理和政策性风险管理由银行最高决策机构及下属的风险管理委员会责成计财部,配合人力资源部、规划部完成,因为经营风险属于银行经营决策的事务。
四、建立全面风险管理的企业文化
(一)培养商业银行全面风险管理核心观念
商业银行通过建立独特的企业文化和管理哲学,培养共同的企业文化。首先培养商业银行共同的文化理念。让员工把银行使命和商业伦理内化于心,让员工自觉自愿遵守银行共同的行为准则,促使个人风险和部门风险降到最低,实现个人和企业利益最大化;选择好恰当的管理人员。其中投资、稽核人员必须强调法律意识,并具备高超的业务能力。树立商业银行各级员工风险意识和避险观念。认识到银行业务多样化特征,必然有着多样化风险;把握银行利润、银行规模和发展速度与风险平衡。
(二)掌握商业银行风险管理的基本流程
首先,识别风险。商业银行金融商品和衍生品日益增多,存在许多潜在风险,要求风险管理人员具有专业知识和风险分析能力,准确识别风险管理。其次,规避风险。商业银行针对信用风险,必须回避高风险客户和信用评级低的客户,以免损失。正确处理好保值与银行利益和风险之间的关系。再次,分散风险。商业银行采用不同资产组合,减少风险,增强市场风险、流动性风险、信用风险的外部控制。最后,限制风险和相互核对风险。将交易风险限制在一定范围内。设定交易限额和风险限额。在部门分工上,金融业务不能由一人单独完成,必须由多个部门相互核对,复核监督。
五、总结
商业银行合理的风险管理必须建立完善的风险衡量系统、风险限定系统、管理资讯系统。全面准确反映风险类型,并得到各级银行人员理解,建立风险监测中心;促使资产水平和风险管理的有效性保持一致,界定各种风险分类边界,形成风险报告机制。总之,商业银行必须建立和完善全面风险管理体系,构建商业银行内部风险管理的长效机制,引入外部风险管理机制,形成商业银行全面风险管理新体系。
参考文献
[1]孙,国外银行风险管理架构与流程的经验及启示[J],农村金融机构,2011(1).
[2](美国)比得・S・罗斯主编,唐旭、等译.商业银行管理.经济科学出版社,北京.1999.3.
[3]戴国强.商业银行经营学.高等教育出版社,北京.1999.8.
[4]曾康霖.商业银行经营管理研究.西南财经大学出版社,成都.1999.
[5]马丽娟.现代商业银行业务教程.中国经济出版社,北京.2000.8
[6]刘园.商业银行表外业务及风险管理.对外经济贸易大学出版社,北京.2000.10.
[7]殷孟波.商业银行经营管理.中国人民大学出版社,北京.2000.12.
[8]杨琨.商业银行客户经理制.中国金融出版社,北京.2001.2.
[9]唐纳德・R・费雷泽.商业银行业务―对风险的管理[M].北京:中国金融出版社,2002.
关键词:《巴塞尔协议Ⅲ》;风险管理;体系
中图分类号:F830 文献标志码:A 文章编号:1673-291X(2014)04-0125-02
一、《巴塞尔协议Ⅲ》全面风险管理理念
《巴塞尔协议Ⅲ》在前两个协议的基础上对风险管理提出了更全面的考察,进一步要求各国商业银行提高抵御金融风险的能力,协议为银行提供了更多和更复杂的风险计量方法和模型,每个国家应该根据自身银行业发展的阶段以及自身监管能力进行选择。协议也强调了市场约束的重要性,要求银行强制性的披露部分敏感性信息,让社会和民众能够发挥外部监管的作用。为了达到新协议的要求,倭国上写银行需要构建全面风险管理体系。
二、《巴塞尔协议Ⅲ》对中国商业银行的影响
《巴塞尔协议Ⅲ》有三大支柱,分别是最低资本规定,监管审核和市场约束。
(一)最低资本规定
新协议提高了对最低资本规定的要求,而中国商业银行仍然面临较大的信用风险,不良贷款余额居高不下,资产质量不可避免的下滑,致使倭国商业银行很难达到新协议的要求。
(二)监管审核
中国监管当局对于银行业有着较为强大的掌控能力,不过对于提高银行内部风险管理水平还没有很有效的措施,很多政策浮于表面。
(三)市场约束
新协议要求银行向市场披露相关信息,使民众也能对银行业的情况有相应的了解,起到对银行的外部监管作用。同时也能减少由于信息不对称给银行客户造成的巨大损失。中国市场约束以及信息披露机制不健全,因此新协议对于中国银行业的风险管理具有重大的指导意义。
三、构建中国商业银行全面风险管理体系
在当前经济一体化、金融全球化的大环境下,中国商业银行面临着来自国际先进银行的巨大挑战和压力,为了更好地发展,银行只能以新协议为指导,努力克服自身的不足,增加自身的竞争力,不断完善自身的风险预警机制,提高风险管理能力,才能在国际上占有一席之地,真正跻身国际先进银行的行列。
(一)完善贷款风险管理机制
中国商业银行的信用风险绝大部分来自于不良贷款,应该加强贷前贷中以及贷后管理。做好贷前调查评估,提高贷中监督力度,建立健全贷后风险监管体系。银行可以根据多年来的损失数据资料建立自己的内部风险评估机制,对于贷款风险形成预警机制,减少商业银行潜在的贷款风险。
(二)学习新的风险管理计量方法
新协议提出了更为高级的风险计量方法,对于中国商业银行是一个巨大的挑战,对于IT技术以及专业人员的要求更高。首先中国商业银行应该提高对于使用风险管理计量模型的重要性的认识,不是敷衍于表面,而是真的投入实际操作中去。其次银行应该在了解模型的基础上结合自身特点进行创新,发现最适合自己的风险管理计量方法。最后银行应该加强对自身人员的培养。
(三)加强信息披露
中国商业银行在信息披露方面一直有缺陷,在新协议的要求下,监管机构应该制定一系列信息披露规章制度,增加信息透明度。商业银行应该定时高质量的披露信息,包括敏感性信息,让市场参与者可以通过披露的信息了解银行的真实情况,起到外部监管的作用,也能保证市场参与者的利益,减少了信息不对称造成的恶果。
关键词:保险风险管理;风险偏好;风险分类;偿付能力风险管理
中图分类号:F840 文献标识码:A 文章编号:1001-828X(2014)010-000-01
保险公司作为以经营风险为主业的法人主体,其自身风险管理能力对于公司健康持续发展至关重要。因此,本文拟从保险公司风险管理工作历程回顾、行业发展及监管思路分析、保险公司风险管理发展方向及路径等三个方面着手对保险公司加强风险管控能力进行分析。
一、十年风险管理历程回顾
回顾保险业近十年来的风险管理发展历程,大致经历了以下几个重要阶段:
1.风险管理初创期(2007年以前)
2007年以前保险公司风险管理工作处于摸索期,各保险公司按照自己的理解和对风险管理的认识来开展风险管理工作,初步搭建公司治理架构,建立包括董事会、监事会和管理层等机构在内的组织架构,并围绕主要业务开展风险检查等工作。从整体上看,在这一阶段,风险管理工作及制度体系相对零散和不成体系。
2.风险管理发展期(2007-2010年)
2007年4月保监会印发了《保险公司风险管理指引(试行)》,文中保险监管机构第一次明确提出全面风险管理概念,并要求保险公司应当建立由董事会负最终责任、覆盖所有业务单位的风险管理组织体系;将保险公司面临的主要风险分为保险风险、市场风险、信用风险和操作风险等四大类风险,并要求保险公司编写《年度风险评估报告》。
3.风险管理完善期(2010年以后)
2010年和2012年,保监会分别印发《人身保险公司全面风险管理实施指引》和《人身保险公司年度全面风险管理报告框架》,明确了各人身险公司须建立全面风险管理体系及相应的组织架构,有效识别、评估、计量、应对和监控风险;将人身险公司在经营过程中面临的主要风险概括市场风险、信用风险、保险风险、操作风险、战略风险、声誉风险和流动性风险七类;对年度全面风险管理报告框架提出明确要求,并制定了六类风险33个风险监测指标。
二、明确监管思路,把握行业发展趋势和方向
保监会近年提出了“放开前端、管住后端”的监管思路,即要在资源配置过程中使市场发挥其决定性作用,来推动和促进经济体制改革的深化,进而推动保险行业的市场化管理程度。在放开前端方面,保监会一是减少事前的行政许可,改变主要依靠审批、核准等事前管制手段来防范风险的监管方式,把经营权还给市场主体;二是逐步拓宽了保险资金运用渠道,使保险资金运用多元化。但在放开前端的同时,意味着保险公司的自主经营权增大,因此在不同的经营思路和管理风格下,风险的暴露程度也会出现较大差异,在这种情况下,风险管理的任务和挑战将更加艰巨。在管住后端方面,保监会主要是通过资本约束机制强化事后监管,强化对持续性风险的事中监控,及时化解风险,守住风险底线。
2014年8月10日国务院了《关于加快发展现代保险服务业的若干意见》,该意见从总体要求、构筑保险民生保障网,完善多层次社会保障体系、发挥保险风险管理功能,完善社会治理体系、完善保险经济补偿机制,提高灾害救助参与度、大力发展“三农”保险,创新支农惠农方式、拓展保险服务功能,促进经济提质增效升级、推进保险业改革开放,全面提升行业发展水平、加强和改进保险监管,防范化解风险、加强基础建设,优化保险业发展环境、完善现代保险服务业发展的支持政策等十个方面,对保险业未来加快发展、深化改革提出了政策措施。保监会项俊波主席指出,《意见》是保险业改革发展的最大政策红利,同时也提出未来10-20年是保险业发展的黄金期。
三、保险公司风险管理的发展方向及路径
在上述保险行业发展趋势和方向分析的大背景下,保险公司在过去十年已经取得的风险管理工作成果和积淀的基础上,需进一步明确风险管理发展的方向和路径,以求最大程度和最高效地服务于业务发展和经营管理。
1.建立健全以风险偏好为核心的全面风险管理体系
根据保监会在《人身保险公司全面风险管理实施指引》中的规定,“风险偏好是公司在实现经营目标过程中愿意承担的风险水平,是公司对风险的基本态度,为战略制定、经营计划实施以及资源分配提供指导”。风险偏好作为经董事会审批同意的公司基本风险态度,其作用主要体现在:一是风险偏好是风险管理的逻辑起点,是全面风险管理体系的重要组成部分;二是风险偏好体系是企业的整体风险观,体现企业在实现目标过程中愿意承担风险的基本态度;三是风险偏好增强风险管理的前瞻性和主动性。上述三点阐述了风险偏好体系成为全面风险管理体系核心的依据和意义,风险偏好体系作为全面风险管理体系的核心内容,与公司的业务战略相一致,并通过传导机制与公司的管理决策和业务活动相联系。
2.积极推进“偿二代”下的风险管理工作
中国大型企业经营发展所面临的问题:战略落地效果差,战略绩效评估不到位,重战略规划轻战略执行;以法律实体为对象管理,整合效率低下;管理以职能部门为单位,而非以流程为核心;总部管控能力弱,难以对集团业务规划、资源分配和经营监控进行适当管理;人力资源管理机制、绩效考核机制;流程纵向、横向梳理不顺,管理界面模糊不清,管理标准体系繁杂,制度体系冗杂;风险评估缺乏系统性、全面性,风险管理无法真正落地;内部监督失效,只停留于结果的事后审计,缺乏事前、事中的过程管理监督;IT整体规划与管理提升整体步调不一致,IT应用控制的设计与风险评估结果未能有效衔接。基于企业发展所面临的各类问题,内外需求使风控体系建设变得必要且迫切。2006年6月6日国资委印发《中央企业全面风险管理指引》,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统(以下简称风控管理体系),从而为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会、审计署、银监会、保监会(“五部委”)于2008年6月28日和2010年4月26日分别了《企业内部控制基本规范》及配套指引,规定了内控合规时间表。利益相关者对于企业建立风险管理体系的审核要求,对企业可能面临的风险进行全面、系统的识别、评估以及应对。企业的自身发展需要、企业竞争力是企业各种能力的综合体现,并非仅指企业的盈利水平,而是表现为企业长期的生存和发展能力。提高企业竞争力的一个重要方面就是要提高企业的风险管控能力。在内外部环境瞬息万变的情况下,能否及时掌握风险信息并采取适当行动已经成为企业提高竞争力的必要条件,而风险管理信息化控制已经成为大势所趋。
2风控管理体系建立目标与企业需求
为满足外部监管和管控要求,结合企业多元化战略等特点,对企业全面内控及风险管理水平和能力进行诊断和优化,加强内部管理水平,防范企业风险,围绕企业战略经营目标,建立覆盖企业各业务、各部门的风险识别、评估及应对机制,培养和建立企业内部的风险管控专业化人才队伍,加强企业合法合规经营。风险管理信息化控制要求企业流程规范、制度完善,对企业一些风险采取风险预警及采用风险应对措施,行业内部提出建立《全面风险和内部控制风控管理体系》的理念。2009年,集团公司成立风险审计内控部门,下属单位也相继成立风控审计部门,目的为了建立更好的企业,防止出现企业战略与经营层面的一些风险,借助国外的经营管理思想,提出风险和内控理念。在企业经营发展中会面临各种各样的风险,如在战略层面企业需要投资一个新的企业,需要评估整个市场的定位,评估战略风险、实施结果风险、企业资金流风险,决策层面的风险、流程方面的风险、生产过程中进度风险、质量风险等等,这些风险都是企业所需要面临的,怎样规避这些风险以及采取应对措施,尽量减少对企业的损失是建立风控体系的目标。当然也存在利好的风险,如果对这类风险应对得当,对企业的发展反而是有利的。全面风险管理体系建设目标是建设以风险管理为导向、以内部控制和内部审计为手段的风控体系,并通过信息化将风控体系与各价值链活动和管理活动有机融合,提升企业运营管控水平,保证企业战略经营目标落地。
3风控管理体系建设总体思路
传统企业建立风控体系是以部门级需求为主、以企业风控主管部门为主,独立完成各类风险评估,建立部门级风控体系,仅仅是风控审计部门的一个风险评估工作平台,并未达到企业级防控目标,提升不了企业战略高度。企业风险有战略经营层面风险、资金风险、库存风险、生产风险、IT风险、服务风险、交付风险等渗透在各个业务流程中,只有各个业务部门知道各个业务的风险发生点,所有风险的监控需要各业务部门协调,由企业级风险控制部门统管,组成企业级风控团队,提高企业风险管控能力。为了满足企业的经营发展,需从部门级风控需求上升至企业级风控需求,驱动企业战略目标,使企业业务流程化,组织绩效最大化,建立基于端对端流程的业务协作和信息共享,面向企业级需求总体设计和规划企业风险控制管理体系。
控管理体系的建设方法
做好企业的风控管理,实际上是对企业IT系统的治理和改造过程,将风控点渗透到企业信息系统中,找到风险点在何处,分析哪些风险是对企业影响最大的,哪些风险是业务层面的,由公司风控管理部门协调管理。风控体系建设目标分为体系建设和IT建设两部分。首先企业应明确风险是企业全部门的事情,要培养企业员工风控意识,没有风控意识,企业制度不完善,业务流程不规范甚至没有业务流程,都将影响企业的经营战略。风险管理文化要贯穿至企业各业务和流程中,完善企业各类制度、规范流程,梳理出各类风险点,企业就有了风险体系和风险管理文化,基于风控体系企业的合规性IT建设就有良好的基础了。从体系优化到IT系统固化:风险监控预警与内部控制系统采用一套流程、不同视角的设计理念,可在企业战略管理、科研生产等各项活动中,对各类风险进行识别、评估、应对和分析,通过数据集成提供实时动态的风险监控预警。发挥IT技术对风控体系在各业务系渗透作用,力促营造依法合规、科学规范、风清气正的运营氛围,保障企业的持续发展。
5风控管理体系的蓝图设计、方案设计
围绕企业战略流程的嵌入式管控体系,梳理出各业务风险点。风险监控值、目标值、阀值和实际值都来源于业务。根据企业发展阶段,通过风控系统风险数据的准确性得到保证,风险指标的合理性、监控预警模型和算法得到规范,实现企业风险智能监控;企业领导层所关注的各个层面的风险展示界面清晰、快捷;企业风险点明确;风险评估、预警准确及时;为决策及管理层提供风控主题,使风控企业内闭环流转,提高工作效率。经过大量的闭环运行,企业预警模型才能逐步完善,基于模型创建风险指标,才能实现企业风险的智能监控。风控体系建设蓝图设计使风险-内控-审计有机结合,在各项业务活动中管控风险。风控体系的建设从企业战略目标出发,梳理业务架构,考虑影响战略目标实现的各风险领域,在此基础上设计支撑战略目标实现的内控管理流程及具体控制措施。风控体系的建设应将企业已有的应用系统与风控系统集成设计。企业风控体系的建设,实际也是对企业IT系统的治理和改造,将风险点渗透到各个相关系统业务点,通过风控系统也业务系统关联,达到风控目标。全面风险管理框架是:风险管理体系-风险管理文化-风险管理组织职能体系-内部控制系统-风险管理信息系统-风险管理绩效考核。风险管理体系———风险管理文化是企业文化的一个重要部分,风险管理文化的建设应融入企业文化建设全过程,将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的风险管理机制。风险管理文化需在企业内部形成共同的风险语言,在各个层面营造风险管理文化氛围。风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识。建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化。风险管理体系———风险管理组织职能体系第一道防线,有关职能部门和业务单位。提出这道防线,最大好处是把风险管理的手段和内控程序融入到了企业的各业务单位的工作与流程中,防止风险管理与各业务单位的工作脱节,搞“两张皮”。第二道防线,专职风险管理职能部门和董事会下设的风险管理委员会。在进入全面风险管理阶段,设立这道防线,有利于统一组织领导,统一策略与标准,共享人力资源。第三道防线,审计委员会、内部审计部门。风险管理体系———内部控制系统从企业战略出发,以风险为导向,通过评估、改善与提升、监督的方法维护公司内部控制系统的有效运作,实现内部控制的五个目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。风险管理体系———风险管理信息系统:风险管理信息系统需包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。风险管理体系———风险管理绩效考核,各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门;企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员;建立内控考核评价制度,把各业务单位风险管理执行情况与绩效薪酬挂钩。
6结论
关键词:海外;电力投资;风险管理;体系
一、研究背景与意义
海外电力投资是一种跨区域、跨体制、跨文化的投资行为,具有投资金额大、投资周期长、利益相关方多等特点,这使得海外电力投资项目不确定因素多,投资企业面临的风险纷繁复杂。中国企业在开展海外电力项目投资风险管控中,需充分利用自身有限的资源,紧抓核心领域和重大风险,以最小的风险管理成本获得最大的安全保障,提高风险管控的成效。作为国有海外电力投资公司,必须不断探索适合自身需要的风险管理手段,加强自身风险管控能力建设,才能确保不发生颠覆性风险。既要避免为了追求短期利益而忽视风险管理,又要避免一味的害怕风险而放弃商业机会,在风险管理和投资收益之间找到自己的盈亏平衡点,才能实现长期的稳健经营,在复杂多变的国际政治经济环境中立于不败之地。
二、HT公司风险管理体系构建
(一)HT公司风险管理体系的基本原则(1)全面覆盖。开展投资风险管理要按照“全类型,全周期,全要素”的原则。以投资流程为主线,做到事前预防、过程控制、结果可控。(2)突出重点。海外项目涉及的风险点众多且复杂。因此,应当抓住海外项目风险特点,在全面覆盖的基础上,关注重要业务事项和高风险领域。(3)持续推进。体系执行过程中,结合实际情况及存在的不足,不断完善和健全管理体系的建设。
(二)HT公司风险管理体系的组织结构为保障海外电力项目投资风险管控措施的有效落地,HT公司建立了“两级机构,统一归口,多类专项”的风险管控组织结构。两级机构是指,在公司总部和项目子公司,两个层面分别设立风险管理机构;统一归口是指,由公司法律风险部作为海外投资项目风险管控归口管理机构;多类专项是指,针对项目重大风险,由风险管理委员会批准,组建专项应对小组,一个小组对应负责一项重大风险。
(三)HT公司风险管理的基本流程海外项目风险管理的具体步骤包括:风险识别、风险分析、风险决策、实施决策和评估改进五个方面。其中风险识别是最重要的第一步,可以通过尽职调查、案例分析、问卷调查等多种方法,建立自己的风险库,再通过定期向海外项目收集风险月报,不断更新已有的风险库。然后通过发生概率和影响程度两个维度对已识别的风险进行评估,不同参与人赋予不同权重,汇总结果形成风险地图,必要时也可聘请外部机构进行专项风险的分析,内外充分结合,互相补充。在风险评估的基础上各部门分工合作,结合各自的专业制定有针对性的风险管理策略,并细化落实为具体的风险应对措施。针对重大风险也可组建跨部门的风险专项治理小组,定期研究风险的最新变化,实时跟进风险的化解。最终在实施风险应对的过程中,定期进行风险排查,发现现有措施的不足,持续评估改进,实现风险的闭环管理。
三、HT公司风险管理体系的建设成果
(一)建立总部全面风险管理流程公司年度全面风险评估工作由风险管理牵头部门牵头,公司领导、中层及全体员工全员参与。首先对公司风险清单进行补充、更新,并对各级风险逐一进行评估。然后采用问卷调查的方式,根据公司风险评估标准从风险发生的可能性高低、影响程度大小两个维度对风险进行评估,评估出公司下一年度面临的前十大风险。最后根据风险评估结果,组织各部门合理选择风险管理策略,并针对重大风险制定专项应对方案,细化落实到具体岗位和业务流程中去,建立健全重大风险事前、事中、事后全过程监控机制。
(二)建设PRP项目风险管理信息平台为实现项目风险的及时监控,HT公司搭建了PRP风险管理电子平台,以替代传统的以层报物理表单、人工统计为主要特征的风险信息收集处理模式。该平台集风险识别、风险评估、过程监控、各级领导按权限实时查询等功能于一体,实现了利用电子信息化手段及时掌握、集成处理、实时跟踪风险事项,公司项目风险管控的效率与效果明显增强。
(三)搭建海外项目风险管理体系公司将海外电力项目投资的全过程,分为“开发、融资、建设、运营”四个阶段,总结各阶段的规律和特点,提炼出“6655”核心管控要素,通过“要素管控”抓住项目投资风险管控的关键,构建了在公司风险管理委员会领导下,开展“阶段管控、要素管控、措施管控、制度管控”的“四维管控”体系,自上而下、层层细化,确保海外电力项目投资全过程风险可控、受控。
四、HT公司风险管理体系存在的不足和改进方向
【关键词】电力企业;ems/ohsms;安全生产风险管理体系;融合
1.引言
1.1电力企业贯标和实施安风体系的现状
目前电力企业为提高综合竞争力,普遍采用qms、ems、ohsms、nosa等管理体系标准,甚至是多种标准的同时使用。另外,为南方电网公司服务的电力企业正逐步建立安全生产风险管理体系,以提高电力工程的市场竞争力,提高企业的安全、健康和环境管理水平。但是,多个管理体系的实施,也给企业带来了压力,企业必然要面对实施的各个管理体系标准进行分别认证的现实问题,导致了企业标准认证的多次性与重复性,导致了企业各项资源的浪费,甚至导致企业综合管理水平的降低。
安全生产风险管理体系目前只有南方电网公司指定的三家单位有资格进行外审,而这些单位又不具备审核ems、ohsms、qms等体系的资质,造成大部分电力企业无法邀请同一家认证机构同时进行ems、ohsms和安风体系的审核和颁发证书。所以,电力企业一般需要每年接待几个按照不同评审准则和程序进行审核的认证机构。
由于各个管理体系之间存在许多不同之处,所以大多数电力企业在实施以上体系时都采用了各自独立的体系,而且是多套标准体系各自独立实施。同时,认证工作通常都是分开进行的。所以,它们会形成若干套文件系统,每套文件相互独立,由各自主管部门受控发放。由于文件的独立编制和沟通欠缺,就必然导致文件要求相互矛盾的地方。为了应对各个体系的认证,不得不设立相应的几套组织机构,并配置相应的负责人和工作人员,极大的浪费了资源和降低了管理效率。
1.2安风体系与ems、ohsms融合的趋势
很显然,单元化的管理手段已不能满足企业发展的要求,而体系之间的融合必将是大势所趋,能够带来管理效率的提高,体系建立、认证和维护费用降低等好处,将作为企业全面管理活动中的一个重要手段,推动企业管理向国际化、标准化、程序化、科学化迈进。
目前,国内管理体系之间的融合还仅限于质量管理体系(qms)、环境管理体系(ems)、职业健康安全管理体系(ohsms),有三位一体的,也有两两整合的。本文将探讨如何有效的将安全生产风险管理体系与现有的ems、ohsms进行融合。
2.安全生产风险管理体系、ems、ohsms产生的背景和现状
2.1安全生产风险管理体系
2.1.1安风体系产生的背景
国际知名的五星安全系统(nosa),是南非矿业的管理体系,偏重于设备管理。为了更好地让管理体系适用于南方电网和电力行业的特性,落实“一切事故都可以预防”的安全理念,提升公司管理软实力,2008年南方电网公司基于nosa管理实践,丰富和发展nosa的风险控制的思想,结合电网企业的特点,组织人员对体系进行了调整、改进和进一步完善,正式形成并出版发行南网企业规范《安全生产风险管理体系》。2011年南方电网公司安委会会议上提出,在2012年全面推进体系建设工作,实现50%以上的基建单位外审达到一钻的目标,2013年实现100%的基建单位外审达到一钻,20%达到两钻的目标。
安全生产风险管理体系是基于目前电力企业安全生产基础不扎实,管理较为粗放,缺乏系统性,安全管理以关注事故为主,安全生产形势时有反复等安全生产管理现状和企业发展要求而建立的,体系从风险控制出发,希望通过系统化、规范化、持续改进的安全生产管理模式和方法,解决安全生产“管什么、怎么管,做什么、怎么做”的问题。
2.1.1安风体系发挥的作用
(1)实施全面风险管理,将防范事故的关口前移,建立了预先识别和控制的前瞻性管理模式,由以前的关注事后分析与控制转变成强调事前风险分析预控,提升了电网的安全风险控制能力。
(2)通过管理使工作向精细化、量化转变,实现管理要求落地。
(3)由以前的粗放管理逐渐系统化、规范化,明确安全生产的管理对象
与内容,建立了管理与作业标准,实施pdca闭环管理,通过闭环达到安全管理水平持续上升的目的。
(4)促使了全员参与风险管控,按标准做事,将工作做到位。
2.2环境管理体系(ems)
2.2.1ems产生的背景
水体污染、大气污染、水土流失、生态环境破坏等环境问题日益严重,已成为制约人类生存和经济发展的重要因素。面对环境迅速恶化的严峻形势, 强调可持续发展的iso14000系列标准在此大趋势下产生了。我国于1999年正式推广iso14000系列标准,并陆续的将iso国际标准转换成国家标准进行颁布实施。
2.1.2ems发挥的作用
(1)能够树立企业良好形象,改善与相关方的关系,满足顾客环保的要求,降低环境风险,有效促进企业环境与经济的协调和持续发展。
(2)能够尽可能降低生产对环境的影响,节省能源与资源,降低成本,增加效益。
(3)能够促进企业整体管理水平的提高,提升企业竞争力。
2.3职业健康安全管理体系(ohsms)
2.3.1 ohsms产生的背景
随着全球经济一体化进程的发展,职业健康安全逐渐纳入国际贸易范畴,与经济贸易挂钩,职业健康安全受到国际社会的普遍关注。从20世纪80年代开始到1999年,全球都在对ohsas标准化问题进行研讨。1999年英日标准协会、挪威船级社等13个组织总结各国的经验提出了职业安全卫生评价系列(ohsas)标准。我国于1999年正式推广ohsas标准,至2011年底,颁布了最新版gb/t28001-2011标准。
2.3.2 ohsms发挥的作用
(1)提高管理水平,在管理方法、模式上与国际接轨,有效克服旧的安全管理模式的弊端。
(2)能够使安全管理的消极服从变为自发的积极主动参与,提升安全管理工作在企业的地位。
(3)开展的员工系统培训,提升员工职业健康安全自我保护意识。
(4)能够树立企业良好形象,改善与相关方的关系,促进企业整体管理水平的提高,提升企业竞争力。
3.安全生产风险管理体系与ems、ohsms的融合
3.1融合的意义
现阶段,南方电网公司大力推广的安全生产风险管理体系在很大程度上与ems、ohsms互补,能进一步提高电力企业安健环管理水平。建立系统的、科学的综合管理体系,使之成为相互衔接、相互融通、相互协调的统一整体是十分必要的,主要有以下几个方面的意义:
(1)安全生产风险管理体系与ems、ohsms在融合后产生了统一的标准,减少了因个人的认识差异导致的不平衡和各自倚重现象,有利于完善体系运行基础工作,使各部门发展均衡。
(2)提高了体系运行的效率,提升了资源利用率,减少了不同管理体系要素之间的交叉、重复要求,避免了相互不协调或者矛盾,保证管理体系的统一、有序,方便文件的管理,减少了编写的工作量,方便日后文件的修订。减少了审核成本,可以同时内审、外审、管理评审等。
(3)能够满足企业多方认证的要求,还能对安全、健康、环境进行综合性的管理。
3.2融合的可行性
电力企业建立、实施安全生产风险管理体系与ems、ohsms的融合是完全可行的。因为,首先电力企业愿意对安全、健康、环保三个方面实施综合控制,已经在ems、ohsms等体系上有着丰富的运行经验,有满足体系融合所需的人力资源和其他资源。其次,融合体现了三个管理体系本身的要求,能够更好的揭示三个管理体系标准的兼容性。再次,三个管理体系既存在很多的不同之处,也有很多共同之处,能够体现很强的关联性和兼容性。比如,三个管理体系均采用了pdca动态循环的管理模式,都要求体系的运行过程中强化自身,通过运行pdca动态循环,周而复始,螺旋式上升的循环递进,实现体系的持续改进和不断完善。又如,三个管理体系在方针、目标、内审、管理评审、纠正与预防等结构和要素上有相似之处。最后,目前已有部分电力企业正在尝试进行三个体系的融合,取得了一些成果。
3.3融合的方法
不同的管理体系进行融合一般有两种方法,即直接建立管理体系和对现有的各个独立的管理体系进行有机的融合。前者比较适用于刚刚建立的、规模较小或组织结构较为简单的企业。后者即是本文的研究重点,探讨如何在各个体系成功运行的基础上,增加新的管理体系要素,并对它们进行有效融合。
融合的思路是首先
将ems和ohsms两者进行整合,构建出整合后的环境和职业健康安全管理体系(e&ohs),再将安全生产风险管理体系融合进整合好的e&ohs体系,但应将pdca循环贯穿始终。体系融合示意流程如图1所示。
3.4融合的成果
安全生产风险管理体系与ems、ohsms进行有效融合后称之为安健环管理体系,实现对现有电力企业安健环管理的改进和优化。安健环管理体系应能包括环境管理体系、职业健康安全管理体系以及安全生产风险管理体系的所有要求,对三个体系的所有要素进行过有机的整合。同时,构建完成的安健环管理体系应具有很强的兼容性,能够兼容质量管理体系、nosa、安全生产标准化等其他管理体系,如下图所示:
3.4.1构建原则
融合意味着建立一个同时符合安全生产风险管理体系与ems、ohsms管理体系标准的管理体系,把三个体系所有要素、所有要求不遗漏、不重复地结合在一起,构造一个“使用共有要素”的安健环管理体系。所以,为将各要素进行有机融合,需要将相同的要素合并,相近的要素融合,不同的要素各自独立。
合起来安健环管理体系同时符合三个管理体系标准的要求,必须符合电力企业的实际。在这个管理体系中,共有要素只出现一次,要素的要求涵盖原三个体系标准中该要素的要求,所有的共有要素和特殊性要素都被定置于一个合理的结构框架的适当位置。三大体系都是基于pdca管理模式,所以合起来的安健环管理体系应基于pdca管理模式,建立一个兼容性强、持续改进和不断循环的管理体系。
3.4.2体系文件结构
在编写安健环管理体系文件时,应以某一个标准(比如ems、ohsms)为主线编写,程序文件必须满足三个体系标准对文件的要求,除了标准规定的强制性程序文件外,还要根据电力企业自身的生产特点和安健环风险因素增加必要的程序文件,但是文件数量不易过多,以适用有效为原则。
电力企业安健环管理体系的体系文件应包括管理手册、管理标准和工作文件三个层次。管理手册包括电力企业的安健环管理方针、管理目标、组织机构、管理职责、职能要素分配表、体系的范围及要求等内容。管理标准是电力企业进行管理的重要工具和方法、进行管理活动的依据和具体标准、进行管理控制的主要手段。
在编制体系文件时,应关注整体标准的格式是否统一,引用文件的有效性,管理流程pdca循环的充分性,标准的可操作性(5w1h,明确由谁,什么时间,在哪,做什么,怎么做),标准与标准之间的衔接,标准是否根据管理流程进行有层次性地划分等细节。
3.4.3融合难点探讨
每个管理体系的侧重点都不同,所以在融合的实际过程中笔者发现融合也有较为棘手的地方,比如,ems中的环境因素辨识与控制与安风体系中的环境与职业健康风险评估的融合,ohsms中的危险源辨识、风险评价和控制措施的确定与安风体系中的作业风险评估的融合,ems、ohsms管理方案与安风体系的中高风险控制措施之间的对应等等。融合时,可采用的思路和方法是多样的,可针对性的选择与企业相匹配的。
关键词:电信企业;财务风险;风险管理
电信企业作为随着我国社会经济快速发展而形成的一种现代化服务产业,其自身具备较强的网络化及现代化特性。近几年来,随着我国信息技术水平的不断提升,这给电信企业的今后发展提供了条件,经济效益水平也随之提高。但是,因为随着科学技术稳定发展,而电信企业在日常运行等方面均需要得到科学技术的支持,因此,电信企业也应该根据时展,增强自身综合竞争实力,实现内部各项设备及技术的创新,在这种情况下,给电信企业财务管理提出了严格的标准。由于受到各种因素的影响,导致财务风险问题频频出现。基于此,电信企业应该给予财务风险管理高度注重,并结合实际情况,做好财务风险管理工作,在提升电信企业财务管理水平的同时,减少不必要风险出现,实现企业稳定运营。
一、电信企业财务管理的基本概述
财务管理作为企业内部管理的主要内容,不但直接影响企业资金决策和应用,同时也决定企业的后续发展。良好的企业财务管理是企业稳定发展的依据。但是在各个领域中,财务管理将具备特有特性,这就要求加以全面分析。随着我国电子信息技术水平的全面提升,带动了电信行业的发展。当前,我国电信行业已经得到了良好发展,运营规模也逐渐扩充,在这种情况下,电信行业之间竞争将不断加剧。为了能够在市场竞争中占据稳定地位,电信企业必须做好财务管理工作。但是从实际情况来说,电信企业在开展财务管理工作时,因为面临的风险因素比较多,从而加剧了财务风险的出现,这给电信企业整体运营和发展带来了不利影响。因此,电信企业需要结合财务管理中存在的各种风险问题,加大探究力度,并从自身角度出发,做好财务风险管理工作,将各种不必要风险进行规避,保证企业运营安全,在给企业运营发展提供充足资金的基础上,给电信企业整体运营提供保障。
二、导致电信企业财务风险出现的主要因素
(一)思想意识因素
不具备较强的财务风险管理意识是当前我国电信企业财务风险管理水平不能实现全面提升的主要因素。意识直接影响行动,只有树立良好的财务风险管理意识,才能保证电信企业财务风险管理工作有序落实,并实现电信企业财务风险管理水平的提升。但是,从目前情况来看,我国部分电信企业在财务风险管理方面,普遍存在意识淡薄现象,例如诸多电信企业把工作重心放置在日常运营及经济效益获取等方面,忽略财务风险本质作用。并且,部分电信企业内部对财务风险管理作用认识存在误区,普遍认为电信企业财务风险管理工作只是对企业各项财务活动及支出情况进行记录,对企业整体运营和发展不能起到一定效果,导致部分电信企业财务风险管理工作无法顺利落实到实处,影响财务风险管理自身作用的发挥。
(二)管理体系因素
完善的财务风险管理体系,可以给电信企业财务风险管理工作顺利开展提供依据,实现电信企业财务风险管理水平的提升。针对电信企业来说,只有全面构建财务风险管理体系,才能实现对财务风险的把控,并掌握财务风险产生因素,提出对应的风险防范和处理对策。所以,构建完善的财务风险管理体系对于电信企业而言是极为必要的。但是,当前我国大部分电信企业在财务风险管理体系构建上均缺少完善性,对财务风险管理体系构建必要性缺少深入认识。例如,诸多电信企业财务风险管理团队组建力度不高,财务风险管理工作人员自身素养有待提升,已经构建的财务风险管理团队在专业水平上良莠不齐,在这种情况下,导致财务风险管理质量不理想,引发诸多财务问题。
(三)成本管理因素
从电信企业自身角度来看,其作为一个资金密集型企业,不但在行业技术发展及设备更新上有着严格的标准,同时还要投放诸多的资金,再加上电信企业内部资产环境的改变,国家诸多优惠政策在近几年间不断消除,电信企业为了能够实现自身的稳定发展,就要做好成本管理工作,加强企业融资,给企业提供充足的发展资金,实现企业的稳定发展。但是,即便电信企业已经实现了融资,但是采用的融资方式较为单一,无法给企业提供充足资金保障,再加上企业没有对各项成本加以科学管理,存在资金支付较为随意,这给部分人员随意占用资金提供了条件,无法有效提升资金应用效率,给企业带来一定损失。
三、加强电信企业财务风险管理的优化对策
(一)强化思想意识
意识作为行动的前提依据,电信企业为了全面提升财务风险管理效率,实现企业的健康发展,就要高度关注财务风险管理工作,树立良好的财务风险管理意识,从而实现企业财务风险管理质量的提高。电信企业可以采用由上至下的管理理念,强化财务风险管理意识,并要求企业领导层级人员参与到财务风险管理工作中,发挥自身引导作用,带领职工一同参与,完善相关管理体系,提高企业整体管理效率。并且,电信企业还要定期开展专业培训工作,提升财务工作人员的专业素养和水平,并给予财务风险管理工作充分重视,从基础上给电信企业财务风险管理工作开展提供支持,在企业内部营造良好的财务风险管理氛围,促进电信企业财务风险管理水平和质量的提升。
(二)完善管理体系
完善的财务风险管理体系,可以给电信企业财务管理工作开展提供依据,真正实现财务风险管理工作的有章可循、有据可依,从而提升企业财务风险管理效率。电信企业在进行财务风险管理体系构建时,应该从以下几个方面入手。首先,培养财务工作人员风险识别意识。风险识别作为确保电信企业财务风险管理工作顺利进行的依据,能够有效地规避和处理各种财务风险问题。所以,电信企业需要科学设定财务风险预警体系,并编制规范的财务风险管制流程,以此促进企业财务风险识别水平的提升。其次,加强财务风险管理体系构建。财务风险管理体系作为电信企业实现对各项财务风险进行防范和处理的对策,电信企业应该科学设定财务风险管理战略,针对行业实际情况制定相关制度,执行相应管理方式,强化企业财务风险管理水平,以此保证电信企业财务风险管理质量,最大程度减少财务风险问题出现。
(三)加强成本管理
众所周知,资金作为影响电信企业今后发展的重要因素,所以,应该做好电信企业资金规划工作,并加强成本控制及探究,构建完善的成本管理体系,全面落实职责分配体系,对项目成本费用加以科学规划和管理。并且,电信企业在落实成本管理工作时,应该从整体角度入手,将各种资金应用把控在合理范畴内,提升资金应用效率,防止不必要资金消耗,给企业创造理想的效益。此外,电信企业也可以根据时展,把现代化技术运用到成本管理工作中,通过建立成本管理信息系统,对各个部门资金消耗情况进行监管,并把资金应用信息记录到系统中,在实现企业资源科学分配的同时,给企业发展决策制定提供精准依据。
四、结语
综上所述,电信企业财务风险管理效率及质量将会给企业的未来发展带来直接影响。要想实现电信企业的稳定发展,除了要增强自身综合竞争实力之外,还要给予财务风险管理工作充分重视,强化财务风险管理意识,完善财务风险管理体系,给财务风险管理工作顺利开展营造良好的环境,在提升企业财务风险管理水平的同时,给电信企业今后发展奠定良好基础。
参考文献
[1]曲卫华.企业财务人员如何防范及控制财务风险[J].企业改革与管理,2017(23).
[2]张彬.电信企业转型下的财务管理职能拓展分析[J].财会学习,2016(18).
近年来,如何引导企业完善内部控制、加强风险管理,以便应对日益复杂的经营管理风险,成为理论界和实务界关注的热门话题。本文运用规范分析、案例分析等方法对我国企业内部控制和风险管理研究及应用现状进行了积极的探索。
【关键词】
内部控制;风险管理;关系研究
1.引言
随着经济全球化进程的不断加快,企业面临着更加激烈的市场竞争环境,经营中面临的不确定性风险也越来越大,这就要求企业必须更多的关注内部控制和风险管理的内容。
2.我国企业内部控制和风险管理的研究现状
国内对内部控制与风险管理的相关研究建立在解读、评价美国COSO报告的基础上,随着诸多学者开始从风险管理的视角研究内部控制,并提出了许多重要观点,对基于风险管理的内部控制研究也取得了一定的成果。
丁友刚、胡兴国(2007)认为,随着经济与组织环境的变迁,内部控制的思想内涵也在不断丰富和完善:从简单经济环境下的实物风险控制,发展到报告风险控制、经营风险控制以及合规性风险控制。最后,内部控制作为一种内部风险控制机制融入到企业风险管理框架之中。
李国忠(2009)以中国神华为例对建立以风险管理为导向的内部控制体系进行了研究。他认为,企业应当从以下几个方面来提升全面风险管理的水平:(1)构建全面风险管理体系基础框架;(2)建立风险动态重估机制;(3)建立经营指标风险动态监控预警机制;(4)实施风险导向审计;(5)开展风险管理考核;(6)搭建全面风险管理信息系统框架。
陈关亭、黄小琳、章甜(2013)认为我国尚未形成公认的内部控制评价体系的关键问题在于内部控制评价指标、指标权数和评价模型的非标准化。他们基于企业风险管理框架(简称ERM框架)(COSO 2004)并结合我国相关规范设计内部控制评价指标体系,采用层次分析法(简称AHP)研究指标权重,联合采用模糊综合评价法(简称FCE)构建模糊评价数学模型,实现了内部控制评价从定性分析到定量研究的转变,合理解决了在模糊环境下综合评判多因素、多层级内控系统的不易定量、不宜精确判断问题以及单独使用层次分析法所致的主观因素影响,有效提升了内部控制评价结果的可靠性。
李维安、戴文涛(2013)分析了内部控制、风险管理、公司治理三者产生的根源,从战略管理角度构建了三者的关系框架,既理清了理论方面存在的误区,又为政府监管部门、企业制定和实施有关公司治理、内部控制和风险管理的规范和措施提供了指导。
3.我国企业内部控制与风险管理的应用现状
3.1 把内部控制体系和全面风险管理体系相互独立起来
建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。在相关管理理论和实践不断发展变化的今天,有时候先做起来比争论更有意义。
3.2 内部控制与全面风险管理理念在企业实践落地难
由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这就造成了企业在这方面的理解有差异或者关注度不够,除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些,事实是理论来源于实践又高于实践,这些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。
3.3 国内尚未形成公认的内部控制评价体系
目前我国尚末形成公认的内部控制评价体系,其中尚末解决的关键问题为内部控制评价指标、指标权数和评价模型。虽然国内外理论界对内部控制评价模型、指数、指标和权数有所研究,但无论观点还是结果都不尽一致,甚至存在较大差异。如2012年的厦大内控指数和迪博内控指数(陈汉文,2012;胡为民,2012)即对我国内部控制百强企业的内控水平给予了迥然不同的回答―在百分制下内控指数均值分别为65.67和87.55(差异值21.88),排序差异率100%,指数值差异率100%,入围差异率77 %(其中,排序差异率指两家根据内控指数统计出的百强企业顺序排名差异率,指数值差异率指相同的入围企业内部控制指数的差异比例,入围差异率则表示进入内部控制百强企业的不同企业差异比例)。与此同时,我国99%以上的上市公司管理层自评报告和外部审计师的内控审计报告却认为其内部控制体系是有效的。
3.4 把内部控制与全面风险管理体系的建设理解为建章立制
在企业实践中,普遍认为内部控制和风险管理就是内部控制制度和风险管理制度。把内部控制与全面风险管理体系的建设理解为建章立制。认为按照相关部门或主管单位的要求,建立了相关的规章制度,就已经建立了内部控制体系和风险管理体系。其实从COSO框架的定义中,我们可以看出它们都被明确为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
4.结论
健全的内部控制框架会促进企业全方位的发展,包括企业生产经营活动的顺利运行、企业财产的安全和战略方针的贯彻和实现。如何在激烈的市场竞争中出类拔尖,在于内部控制与风险管理是否完善。因此,我国企业还需在完善企业内部控制与风险管理的道路上不断的探索、进取。
参考文献:
[1]黄丽霞.企业内部风险管理初探[J].管理纵横,2010(15)
[2]周冀.内部控制理论研究文献综述[J].合作经济与科技,2014(06)
[3]周莜琪.基于风险管理的内部控制体系研究[D].长春:东北师范大学,2013
参照信息安全风险评估规范等标准来说,信息设备信息安全风险包含三个要素,即脆弱性、威胁和资产,每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。具体风险分析原理图如图1所示。从图1中可以发现,信息设备所面临的信息安全风险并非某种单一来源的安全威胁,而是三种要素互相影响、互相关联的某种动态的平衡关系,而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。
2信息设备全生命周期风险管理
信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段,每个阶段的内容如图2所示。规划设计阶段应能够描述信息系统建成后对现有模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的目标。这个阶段,风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。部署阶段是根据规划设计阶段分析的威胁和制定的安全措施,在设备部署阶段应进行质量控制。测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试,包括基础测试、功能性测试及安全性测试等。运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接,对于变更的系统,还可能存在新的信息安全风险,因为其可能替换了新的系统组件等。
3信息设备风险管理体系
传统的信息安全管理体系主要依据ISO27001相关标准搭建,ISO27001标准采用基于风险评估的信息安全风险管理,具体采用了PDCA模型过程方法来全面、系统、持续的改进组织的信息安全管理。ISO27001采用的PDCA模型不仅适用于传统信息安全管理,同时也适用于信息设备的安全风险管理。
3.1总体思路
信息设备风险管理总体借鉴PDCA管理模型的相关理念,将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进,形成一套有效的安全风险管理防护方法,对信息设备进行不同时间阶段、不同维度、不同重点的管理,有效防范和控制信息安全风险,增强信息安全体系的检测能力、保护能力,为用户开展风险管理提供全方位的管理思路。
3.2风险管理模型
融合传统风险管理的PDCA模型,将传统风险管理中动态模型的思路加以延续,增强信息设备状态的动态特性,主要分为四部分:管理规划、管理实施、管理检查、管理改进。管理规划:决策层要明确政策、目标、策略、计划,形成具体的管理规划,明确组织风险管理的整体目标和方向,确定对信息设备进行风险管理所要达到的目的和状态,从而防止后续制定的风险管理规范和组织与已有的战略决策、制度、规范等相违背而导致不可执行的问题。管理实施:管理层在深入领会和遵照管理规划的指示后深入研究信息设备各阶段所面临的信息安全风险,对信息设备各环节制定详细的风险管理实施规范和标准,以便具体的业务部门、人员等能严格按照管理规划的计划和要求来实施风险管理规范。管理检查:管理检查作为监督信息风险管理实施效果的主要手段之一,需要确保管理检查手段的全面性、科学性、客观性,需要覆盖各个管理阶段,客观而高效的评价风险管理实施效果。管理改进:通过归纳总结前阶段管理检查的工作成果,结合信息设备各阶段在实施信息风险管理中碰到的各类问题,从管理规划、管理实施、管理检查等各阶段提出信息风险管理改进意见,从而持续的改进信息设备各阶段的安全风险管理体系。
3.3风险管理体系的构建
根据安全风险的特点、信息安全三个关键要素以及信息设备各阶段的特点,我们应明确安全风险的几个控制手段,然后有计划的加强整个信息设备安全风险管理体系的建设,才有可能最终有效控制信息安全设备风险。首先,根据企业所处的环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御各种威胁,最终主动降低安全风险。要实现对安全风险的管理和控制,需要实现完整的风险管理流程,具体为发现安全风险,即通过有效的手段确定安全风险的资产和区域、定位安全风险存在的区域、评估安全风险,准确高效的评估安全风险,了解安全风险的大小和实质、强制措施降低风险,通过管理或强制等安全手段,主动降低安全风险、安全防御通过各类系统、网络安全设备、防御各类安全威胁、安全问题修补,主动修补存在的各类安全漏洞,全面降低安全风险。以上是完整的信息设备安全风险管理流程,对整个信息设备安全风险的管理和控制,这些步骤缺一不可,同时,风险管理流程还应根据企业的具体情况,有不同的实现方式。其次,实现信息设备风险管理的详细步骤包括:确定信息安全标准和方针、统计信息设备资产,进行资产识别、检测信息设备资产存在的安全漏洞、了解潜在的威胁、分析存在的安全风险、通过各种手段如安全防护产品来降低已有的安全风险、对信息设备评估安全效果和影响、对已有信息设备安全策略进行对比及改进。最后,实现完善的信息设备安全风险管理,还需要有计划的完善自身的安全风险管理体系,制定相应的整体安全策略。建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成信息设备成熟完备的动态安全风险管理体系。
4结束语
