[关键词]全面风险管理;企业管理;信息系统
[DOI]1013939/jcnkizgsc201619090
随着社会的发展和企业管理水平的提高,全面风险管理在我国企业发展的应用范围更加广泛。虽然目前全面风险管理主要的应用领域为金融领域,但是可以看出,将全面风险管理应用于其他领域是未来的发展趋势。然而,我国全面风险管理由于起步较晚,在组织体系的建立、控制活动流程等多方面还存在较多的不足。全面风险管理的发展较慢不仅限制了企业的内部控制管理,还有可能使企业陷入生存危机。因此,为了促进我国企业的更好发展,相关负责人必须加大对全面风险管理的重视,并根据全面风险管理在我国企业中的应用现状提出具体的改进对策。
1我国企业全面风险管理的应用现状
11缺乏完善的全面风险管理组织体系
我国许多企业在全面风险管理组织体系建立等方面存在严重的不足,主要表现在:第一,企业的全面风险管理部门设置不当。[1]风险管理属于企业的内部控制环节,加强对风险管理部门的重视有助于加强企业的内部控制,增强企业发展的内驱力和凝聚力。然而我国许多企业对于全面风险管理的意识还存在严重的不足,使得企业的风险管理部门依附于其他部门;第二,管理人员职责不够清晰,影响其职能的正确发挥。全面风险部门管理中,许多企业并没有指定明确的风险管理制度,导致风险管理人员的职责不清晰,影响其职能的有效发挥。风险管理的主要职能包括有:第一,加强企业应对风险的能力;第二,加强企业的内部控制与管理;第三,对企业领导人员的行为和工作进行规范。然而,风险管理人员的职责不清则会导致我国企业内部机制出现混乱,导致我国企业内部控制成为空谈。
12企业全面风险管理信息系统不够健全
随着科学技术的发展,全面风险管理信息系统的建立能够更好地将各项风险信息涵括在内,并根据现代化风险管理方法进行统筹管理。[2]采用信息系统加强全面风险管理有利于提高工作人员的工作质量和效率。然而,全面风险管理信息系统的建立对网络安全的依赖性较强,网络出现安全故障将会直接影响企业全面风险管理信息的传递和全面风险管理职能的有效发挥。此外,全面风险管理信息系统的建立与企业的经营成本具有直接的联系,如何统筹对信息系统的投入和获取的经济效益成为了企业发展的另一难题。
13全面风险管理控制活动有待提高
控制活动是实现全面风险管理的重要手段,加强对风险管理的控制活动流程和实施的控制才能切实做好企业管理工作,促进企业的发展。目前我国企业管理人员在控制活动方面的弊端在于,企业在全面风险管理的具体控制活动流程等认识较浅,且缺乏有效的内部控制机制,导致我国控制活动的规范性还有较大的提高空间。
2全面风险管理在企业管理中的应用对策
1建立健全的全面风险管理组织体系
建立健全完善全面风险管理组织体系是我国企业加强管理的重要手段与措施,具体操作如下:
第一,根据国际上的全面风险管理原则、目标的设置等,结合本企业的实际情况,建立其企业立体的组织结构。全面风险管理的组织结构一般由四方面组成:执行团队、知识管理和技术支持团队、战略制定团队以及目标管理团队。这些不同的团队分别负责不同的管理任务,团队之间既相互分离又相互合作;第二,以科学技术为基础,建立网络化组织结构。全面风险管理网络组织结构具有较为明显的特征,其中包括智能化、自动化实现风险管理等。与其他的网络风险管理相比,全面风险管理网络化在人员的分配和调动方面具有更强的能动性,团队之间既相互分离又相互联系,且全面风险管理具有更加完善的知识管理等团队组织,对于人才的培养、及时和知识的科学等更加有保障。
2完善企业全面风险管理信息系统设置
完善企业全面风险管理信息系统设置具有一定的必要性和可行性。从必要性方面来讲,随着时代的发展,企业面临的市场竞争更加激烈化。在激烈的市场竞争环境中,企业只有增加科技投入才能提高竞争水平。而从风险管理角度来看,企业风险管理中所需要的信息和数据来源较为广泛、数据信息的分类也较为散乱,单纯依靠人力将信息进行收集和处理必然需要花费大量的时间和精力,而通过设置信息系统进行企业的全面风险管理则能有效提高工作效率,降低人力等成本;从可行性方面开看,全面风险管理信息系统设置利用科学技术的时效性、智能性等特征,能够有效提高风险管理工作的质量和效率。加强信息系统设置与管理对于提高企业的内部控制效率等有着重要的意义。[3]完整的全面风险管理信息系统应该由多个模块组成,包括内控信息、风险信息、监控预警、信息沟通等。不同的模块控制着不同的风险信息数据,有利于明确分工和合作。
3规范全面风险管理的控制活动
全面风险管理的控制活动必须规范化,这要求我国企业在内部控制与管理过程中需要规范控制活动流程。规范的控制活动流程如下:
首先,部门人员加强对企业经营状况和财务信息的分析;其次,建立独立的财务会计报告流程,包括编制报表、进行会计报告等;最后,以文本形式加强对企业不同经营业务的控制。业务文本控制指的是采用流程图和文字等形式记录业务详情,加强对生产经营活动各项业务的文本控制可以方便信息的查找,保证全面风险管理的质量。
3结论
综上所述,当前我国企业中全面风险管理的问题有:缺乏完善全面风险管理组织体系、企业全面风险管理信息系统不够健全、全面风险管理控制活动有待提高,要加强全面风险管理在企业管理中的应用需要企业建立健全的全面风险管理组织体系、完善全面风险管理信息系统设置并规范全面风险管理的控制活动。
参考文献:
[1]王强全面风险管理体系建设与内部控制在企业管理中的应用[J].企业科技与发展,2012(11):128-129,134
[2]张庆企业全面风险管理体系架构研究[J].中国市场,2009(5):54-55
[3]张琴,陈柳钦企业全面风险管理(ERM)理论梳理和框架构建[J].当代经济管理,2009(7):25-32
[4]赵杨,吕文栋北京市高新技术企业全面风险管理评价及能力提升研究[J].科学决策,2011(1):10-53
[5]李相志基于内部审计的企业全面风险管理研究[J].财会通讯:学术版,2008(11):78-80,129
[6]王静浅谈全面风险管理在企业的应用与实践[J].中国商论,2015(7):35-37
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
[关键词]金融机构 风险管理 农村信用社
一、农村信用社加快实施全面风险管理的必要性分析
(一)实施全面风险管理是农村信用社向现代化银行改革过渡的需要。目前,农村信用社深化改革第一阶段的任务基本完成,正在由“深化改革试点”全面转入“深入实施和攻坚”阶段,并按照股份制、银行化的改革方向加快向现代化银行业金融机构迈进。建立实施全面风险管理模式是我国银行业金融机构融入国际金融体系、实现与国际接轨、提高风险管理水平的必然选择。农村信用社要实现股份制商业银行的改革目标,就必须适应银行业改革的大势所趋,更新风险管理理念,改革传统落后的风险管理模式,结合实际积极探索和建立全面风险管理体系。
(二) 实施全面风险管理是农村信用社适应市场激烈竞争的需要。随着我国农村金融体系的日趋完善,特别是银监会放宽农村地区金融机构市场准入的门槛,农村金融市场已进入激烈竞争的时代。农村信用社在广大农村“一枝独秀”的格局被彻底打破,只有不断引入现代金融管理理念,建立全面风险管理模式,才能适应市场多元化的竞争需要。实施全面风险管理是农村信用社提高核心竞争力的关键所在。
(三)实施全面风险管理是农村信用社实现健康可持续发展的需要。农村信用社同其他商业银行一样,是经营“风险”的金融机构,以“经营风险”为获取价值最大化的根本手段,是否能够妥善控制和化解风险,直接决定经营发展的成败。随着各项业务的不断发展和市场竞争的日趋加剧,农村信用社风险也呈现出复杂多变的特点,只有通过实施全面风险管理模式,才能对经营发展中面临的各类风险进行有效识别、计量、监测和控制,从而保持稳健经营、稳步发展。
(四)实施全面风险管理是适应现代金融监管的迫切要求。提高风险管理水平不仅是银行业生存发展的需要,也是现代金融监管的迫切要求。随着农村信用社改革的不断深化,银行业监督管理部门对农村信用社监管的标准不断提高,且正在加快与国内商业银行的监管标准接轨,以敦促农村信用社不断提高自身风险管理水平。建立全面风险管理体系,既是农村信用社适应外部监管的要求,也是提升风险管控能力的现实需要。
二、农村信用社全面风险管理的对策和措施
(一)创建全面风险管理文化。全面风险管理文化是融合现代金融 企业 的管理思想、风险管理理念、风险管理行为、风险道德标准与风险管理环境等要素于一体的文化,是金融企业文化的主要组成部分。当前,农村信用社必须提高对风险管理的认识,更新风险管理理念,着重突出以下三个方面:一是强化风险管理的核心地位。鉴于以往农村信用社因风险管理不力引发的一系列问题和 历史 教训,农村信用社必须牢固树立风险管理“高于一切、压倒一切”的思想意识,正确把握审慎经营、风险可控的原则,坚持以风险管理为总抓手,把风险防控观念贯彻到全部工作和各个环节的始终,真正突出风险管理的核心地位和首要位置。二是实现风险管理的“三个转变”。首先,在风险管理方式上,要由事后风险化解向事前、事中、事后全方位的风险防范和控制的思想转变;其次,在风险管理的侧重点上,要由信用风险为重点向信用风险、市场风险、操作风险、流动性风险、合规性风险等多种风险并重的一体化综合管理理念转变;第三,在风险管理的覆盖面上,要由单一的区域,分散的岗位和片面的专业向不留死角、不出空白、不遗漏洞的全方位、多层次、广覆盖转变。三是抓住高管人员这一关键环节。加强农村信用社风险管理必须从管理层抓起,管理人员要从自身做起,带头树立审慎经营、内控优先的思想理念,引导和带领广大员工将全面风险理念贯彻落实到每一项工作、每一个细节之中。
(二)改善全面风险管理的环境。一是加快理顺行业管理体制。按照股份制、银行化的改革方向,加快 农村 信用社管理体制和产权制度改革,进一步建立权责明确、 科学 规范的行业管理体系,理顺各级农村信用社的责权利关系,整合资源优势,为有效实施全面风险管理提供体制保证。二是建立全面风险管理的架构。结合规范完善县联社法人治理,进一步明确理(董)事会、监事会和高级管理层在全面风险管理中的职责,落实责任,分工协作,齐抓共管。理(董)事会要合理拟定全面风险管理的规划,制定风险管理的政策,并对风险管理负最终责任;监事会检查和调研日常经营活动中是否存在违反既定风险管理政策和原则的行为。高级管理层负责执行风险管理政策,制定风险管理的程序和操作规程,并确保有足够的人力、物力和恰当的组织结构、管理信息系统以及技术水平,从而有效地识别、计量、监测和控制各项业务和经营环节出现的各种风险。
[关键词]巴塞尔新资本协议;全面风险管理;信用风险
[中图分类号]F830.45 [文献标识码]A [文章编号]1008-2670(2009)02-0020-03
近日,银监会在中国银行业新资本协议实施高层指导委员会第一次会议上明确,新资本协议实施的制度将在2008年、2009年准备和测试,2010年起监管部门开始接受商业银行的实施申请,银行推行基于巴塞尔新资本协议的全面风险管理理念正当其时。
一、巴塞尔新资本协议
1987年12月10日,国际清算银行(BIS)在瑞士巴塞尔召开了包括美国、英国、法国、联邦德国、意大利、日本、荷兰、比利时、加拿大和瑞典(十国集团)以及里斯本和瑞士在内的12国中央银行行长会议,其下的巴塞尔银行监督委员会(the Basel Committee nnBanking Supervision)于1988年提出以规范信用风险为主的“统一计量资本和资本标准的国际协议”,对银行的资本比率、资本结构、各类资产的风险权重等方面作了统一规定。然而,此协议存在着诸多不足,主要表现在粗线条的风险权重不能精确地把资本与银行面临的风险密切地结合在一起,未能从监管上为银行改善自己的风险管理水平提供激励;在计算资本充足率时,对所有的企业,无论其信用如何,风险权重均为100%;没有充分认可风险缓解技术的作用,例如抵押和保证。有鉴于此,巴塞尔委员会不断修改完善协议,于1999年6月,公布了“巴塞尔新资本协议(征求意见稿)”(简称新协议);其后,在广泛征求各国银行业和监管当局意见的基础上,新协议又经过多次修改,于2004年6月公布正式稿,并计划从2006年底开始在成员国推广实施。
新协议由三大支柱组成,分别从资金管理者和风险管理者角度、监管者角度以及投资者角度对银行风险的内涵、计量方法以及风险防范方式等做出了更加全面系统的阐述。
第一支柱:最低资本充足率要求(资金管理者和风险管理者角度)。新协议将银行风险的范围确定为信用风险、市场风险和操作风险三方面,并为计量风险提供了几种备选方案。
关于信用风险的计量,新协议提出了两种基本方法:第一种是标准法;第二种是内部评级法。内部评级法又分为初级法和高级法。对于风险管理水平较低的银行,新协议建议其采用标准法来计量风险,计算银行资本充足率;当银行的内部风险管理系统和信息披露达到一系列严格的标准后,银行可采用内部评级法。在计量市场风险和操作风险方面,委员会也提供了不同层次的方案以便银行根据自身情况进行选择。
第二支柱:监管部门的监督检查(监管者角度)。这部分内容是第一次纳入协议框架。新协议认为,为了促使银行的资本状况与总体风险相匹配,监管当局可以采用现场和非现场稽核等方法审核银行的资本充足状况。监管当局应该考虑银行的风险化解情况、风险管理情况、所在市场的性质、收益的可靠性与有效性等因素,全面判断银行的资本充足率是否达到要求,在其资本水平较低时,监管当局要及时对银行进行必要的干预。
第三支柱:市场约束(投资者角度)。它是现代公司治理结构研究重大进展的体现,其作用在于进一步强化资本监管和促进银行体系运作中的安全与稳健。新协议充分肯定了市场具有迫使银行合理地分配资金及控制风险的作用,市场奖惩机制可以促使银行保持充足的资本水平,支持监管当局更有效地工作。为了市场约束的有效实施,必须要建立和完善银行信息披露制度。
新巴塞尔协议对风险考察更广泛、全面、灵活。它摒弃旧协议“一刀切”式的监管框架,为银行提供了更多的风险计量方式,银行和监管当局可以根据业务的复杂程度、自身的风险管理水平等灵活地进行选择。同时,新协议提供的衡量风险的方法具有更高的敏感性和准确性,从而能够更为有效地确保监管目标的实现。此外,新协议重点强调市场约束,这使银行经营更加透明。随着银行一系列敏感信息被定期、强制地披露,公众能够更为准确地了解银行的清偿能力,充分发挥外部监管的作用,保证银行经营的合法、高效、透明,同时也有效避免了由于信息不对称给客户造成的损失。为达到新协议的要求,银行必须将构建自身全面风险管理体系作为今后的工作重点。
二、全面风险管理
通常情况下,风险管理是指银行识别、计量、监测和控制所承担的各类风险的全过程。其大致经历了三个阶段:第一,20世纪80年代,由于信用风险导致金融机构大量倒闭,结果是产生了“巴塞尔协议”对资本充足性管理的理论与实践。第二,20世纪90年代以后,随着衍生金融工具及交易的迅猛发展,市场风险日益突显,其结果是出现了市场风险测量新方法VAR(风险价值方法)。第三,1997年亚洲金融危机爆发以后,银行风险管理理念、方法与模式需要重新设计,于是全面风险管理应运而生。
全面风险管理始于20世纪90年代中后期,其内在推动力主要有二:其一是金融风险机构面临的风险因素多样化,各银行都会因风险控制措施不当而发生损失,有的案例损失金额巨大;其二是银行风险管理模型和风险度量技术日趋成熟,尤其是信用风险和操作性风险量化取得了较大突破,全面风险管理具备可行性。
全面风险管理是指统一集中管理整个机构的各种风险。这是一种思想或理论,而不是具体的风险管理方法或技术,是基于风险一体化的基础,采用一致的标准测量并加总这些风险。对于银行而言,全面风险管理就是银行为了达到经营目标,由董事会推动和参与,由具体业务和管理部门实施的风险管理程序。该程序贯彻于战略制定和业务经营各个环节,覆盖各风险类别和业务单元,目的在于将风险控制在可接受范围内,并实现银行利润目标。其内涵包括:一要覆盖全面的风险因素,这些因素来自不同风险种类(信用、市场、操作、流动性及其他风险)、不同地理区域、不同业务部门和不同的管理层面;二是强调从银行整体的角度对这些风险因素进行全面的汇总和整合,但不是简单罗列和汇总。
三、基于巴塞尔新资本协议的全面风险管理体系
从2007年起,主要发达国家和地区将开始实施新巴塞尔资本协议,因此有许多银行已经开始全面风险管理的实践。尽管全面风险管理不存在统一的模式,但由于其覆盖面广,技术复杂,整合程度高,信息传递频繁,因此要求银行合理设计组织架构,优化职能配置。具体而言,应该包括如下若干要素:
1 构建全员化的风险管理文化
风险管理文化决定银行经营管理过程中的风险管理理念和经营模式,它影响着银行业务的各个环节。要建立风险管理文化就是要倡导和强化风险意识,树立囊括各个部门、各项业务、各种产品的全员化的风险管理理念。一些金融机构发展的历史和经验表明,风险管理文化是内部控制体系中的“软因素”,在银行经营管理中占有十分重要的地位。落后的企业文化尤其是风险管理文化往往是金融业在风险管理上出现问题甚至失败根源。因此,银行应当针对“巴塞尔新资本协议”建立学习型团队,重点加强学习、提倡和培育风险管理文化、鼓励银行各部门对全面风险管理与新巴塞尔协议进行研究,逐渐形成一种全员化的全面风险管理理念。积极推行涵盖事前预测、事中管理、事后处置的全过程风险管理行为,为防范金融风险打下良好基础。
2 构建全面的风险管理体系
行为组织学告诉我们:组织结构是企业的“经脉”,是保证企业经营正常运转的基础性制度因素。为了提高风险管理的准确性和针对性,职能配置往往要与业务单元紧密结合;为了增强管理的有效性,又必须在整个银行层面上进行快速整合,这就需要管理架构存在强大的综合和集中能力,这种集中包括风险基础数据的集中、风险报告的集中、限额管理的集中等等,因此就需要构建一套全面的风险管理体系。
结合我国银行的风险管理实践,全面风险管理组织体系应将高级管理层、首席风险官、风险管理部、风险管理团队及风险经理等全面囊括进去,实现上下联动,保证风险管理实施效果。具体组织模式不一而足,下面所示组织模式仅供参考。
3 应用先进的风险管理技术
新资本协议中包含了三种方法:标准法、初级内部评级法和高级内部评级法。
(1)标准法(Standard Approach)。新资本协议对不同的信用风险标的加以区分,主要有国家、银行、公司风险等。同时按照不同信用等级,给予了不同的风险权重。例如,对公司风险不再一视同仁皆为100%的风险权重,而是依据信用评级机构给予的评级,分别赋予不同的权重。此外,新协议要求进行国家信用评级,并鼓励采用外部评级机构的评级结果。但在使用外部信用评级时,不允许使用者仅将信用评级结果纳入风险权重的计算,而是要深入了解并复核外部评级的方法及结果。
(2)初级内部评级法(Foundation Internal Ratings Based Approach)。新资本协议规定银行运用内部评级法估计借款人资产的信用风险时,要遵守严格的方法和计量标准;同时,针对不同的贷款种类要采用差别的分析架构,如公司贷款损失与消费性贷款损失等。使用初级评级法的银行需评估借款人的违约概率(PD),并将其结果转换成未来可能发生损失的金额。如果银行采用自己的评级体系来计量风险资产,必须由金融监管机构审查,并通过批准,而且应严格遵守财务披露的规定。在内部评级法下,银行被允许按照监管标准,使用其内部评级法估算违约概率(PD),而其他要素则由监管机构提供。
在这场史无前例的金融危机发生后该如何看待金融创新?改革开放30年的中国银行业如何在大步前进的同时进行风险管理?
积极应对
中科院研究生院金融科技研究中心主任潘辛平认为,由于美国掌握了全世界65%的货币量,因此此次金融危机不是一般风险控制可以解决的,而是整个金融格局的问题;中国银行业应从中吸取教训,金融创新须谨慎,但不应停止。
如果剖析现代银行的运作,会发现其实质就是基于风险处理能力而盈利的组织。从这一点讲,银行的经营目的就是在可控的风险内获得最大的利润。因此金融风险并不是越小越好,面对日益多元与波动的全球金融市场,现代银行必须学习在更为复杂的风险环境中生存。从国外金融业的实践来看,现代商业银行管理风险的普遍原则是:不消极回避风险,而是积极地度量风险、管理风险,并通过合理地承受风险来获取与风险相匹配的风险回报。在中国改革开放30多年的进程中,创新始终伴随着金融业的进步,引领中国金融业不断走向更高的阶段,成为中国金融业健康发展的动力。
风险管理是金融机构的生命线,风险管理水平是金融机构核心竞争能力的重要内容。加强信息技术在金融机构风险管理中的应用,建立金融机构内部的风险管理系统,是提高风险管理水平、实现风险管理现代化的重要途径。
现代银行面临的主要风险可以归纳为政策及法规风险、信用风险、操作风险和市场风险等等。其中,可用信息化手段量化的风险是信用风险、操作风险和市场风险。简单地说,风险管理就是对银行业务中的风险进行确认、量化、报告、预警的一个过程,用信息技术语言来说,风险管理就是用一个科学的方法建立风险管理的模型,对数据进行整理、加工、展现、挖掘的一个详细数据处理过程。
通过近20年的发展,国际上在风险管理机制方面已经初步形成了一整套系统,包括风险识别系统、风险报险系统、风险决策系统、风险避险系统、全程监控系统等。
SAS公司是全球领先的商业智能和分析软件供应商,也是全球最大的风险管理软件供应商和风险管理服务商之一。SAS公司亚太区风险管理总监约翰・弗雷表示,中国银行业在抵御流动性风险一直有很大的优势。中国的银行拥有一个非常强大的监管机构,而且中国的银行拥有低资产负债率和高存款率,因此流动性风险对于中国银行业并不是什么大问题。
“对风险的理解和数据管理是中国银行业现在所面临的最大的挑战。”约翰・弗雷表示,在中国的银行中,项目经常被划分成很多小块,而没有一个能够宏观驾驭的架构。最终结果是银行在不同部门有不同的系统,管理层很难发现风险究竟在哪里。
“只有把数据整合在一起,这样银行才能够知道自己哪里存在风险。”约翰・弗雷认为,各银行要抵御潜在的风险,必须投资建立数据系统,“这就是为什么中国银监会要求各银行遵守《新巴塞尔协议》的原因。”
工商银行通过《中国工商银行内部评级法工程整体规划项目》报告,对工行未来公司治理机制和全面风险管理改革进行了整体规划,并逐年设计了实施路线图。建设银行也在全行实施了“风险管理平台工程”项目。招商银行、中信实业银行、兴业银行、北京银行则纷纷引进风险管理服务和软件系统,更多的银行也在建设风险管理信息系统。
尽管一些大型银行已经制定了风险管理实施规划,但当前国内银行用户中形成完整风险管理体系的还不多。而一些风险管理的首尝螃蟹者在实施中也遭遇到数据、应用起点以及管理文化等障碍。
他山之石
风险系统建设是个循序渐进的过程,各大银行可以根据自身特色,从主到次选择各类风险进行规划实施。比如对于我国银行来说,目前面临的最大风险是信用风险。新巴塞尔协议采用标准法和内部评级法来评价信用风险,我国银行管理信用风险的能力还比较弱,仍存在使用“一逾两呆”的贷款分类法,由于缺乏外部评级机构,评价信用风险的标准法也难以实施,而构建内部评级法、完善信用模型、建立自己的评价体系是我国银行风险管理的当务之急。
另外,还可以借鉴国外已成熟的风险控制理念。如市场风险的衡量和控制,在国际银行界有着一套比较成熟的方法,依托于现代金融工程理论的风险价值法ValueAtRisk(VaR)、风险调整的资本收益率Risk Adjusted ReYdmonCapffal(RaRoc)被广泛运用。
2005年,银监会《商业银行市场风险管理指引》,要求商业银行加强市场风险管理,确保在合理的市场风险水平之上安全、稳健经营。
交通银行早在2004年7月开始,在第一家试点单位杭州分行运行信贷管理系统。后来又陆续在长春、哈尔滨、大庆、苏州、绍兴、合肥、南宁、兰州等分行上线运行,目前在全国全部86家分支行的上线运行推广。交行信贷管理系统是一个大集中模式下的综合性信贷业务管理系统,系统覆盖全行信贷业务数据,一体化处理信贷业务检查、控制、审批、统计、分析、决策、预警;系统以风险控制为核心,优化审、贷、放三级制约机制下的授信全程业务管理流程。
中国银行的“千里眼经济情报预警”信息系统的以集成外部负面信息为主要特点,利用先进的网络技术和专家的风险因素判断,对风险预警信息的采集、分析与整理流程进行了提升,并建立和完善巡视制度,由总行向一级分行和海外机构派出巡视组。
[关键词]银行;全面风险管理;必要性
引言
现代风险管理中,全面风险管理是一个重要的组成部分。随着人们对风险认识的日益全面和银行面临风险因素的不断多样,在银行实行全面风险管理是非常必要的。本文凭借多年的实际工作经验,对银行实施全面风险管理的必要性以及实施过程中的影响因素进行了分析,并在此基础上提出了相应的措施,希望能提高银行的全面风险管理能力。
1.全面风险管理的内涵
作为现代风险管理重要的组成部分,全面风险管理出现于上世纪九十年代。这是由于人们对风险因素的认识更为全面、金融机构所要面对的风险因素也更加多样。在上世纪包括本世纪在内的各金融危机事件来看,操作风险、市场风险和信用风险交织在一起,给风险管理提出了挑战。全面风险管理对战略目标从制定到实现的全过程进行管理。全面风险管理有企业各层级、全面风险管理要素和企业目标三个维度,合规目标、报告目标、经营目标和战略目标四个目标,交流、监控、信息、控制活动、风险对策、风险评估、事件识别、目标设定和内部环境八项要素[1]。
在银行实施全面风险管理就是系统化的管理银行机构内的各个种类风险和层次业务单位,包括操作风险、市场风险和信用风险的负债组合和金融资产。
2.银行实施全面风险管理的必要性
2.1外部形势对银行的必然要求
①股份制改造对银行的推进。我国对银行的股份制改造要求其能够建立包括操作风险、市场风险和信用风险的全面风险管理系统,能够对风险进行有效的监控和识别。
②多元化的市场格局。随着改革开放的不断深入,国有商业银行所面对的业务类型和客户群体越来越复杂,分类竞争也在不断加剧。如果不建立有效的全面风险管理体系,难以对原有的管理习惯进行改变。
③监管机构的要求。银监会对国有银行设定了非常细致的考核指标,为了完成这项指标,银行必须对协调能力进行均衡,使用全面风险管理模式。
2.2银行自身发展的需要
①适应工作重心的转移。为了处置不良资产、改进计划经济体制遗留的一些缺陷,银行必须实施全面风险管理。银行的工作重心从信用风险向全面风险管理转变。
②提升核心竞争力。面对越来越激烈的市场竞争,银行必须拥有并提升自己的核心竞争力,以此来吸引战略伙伴和股东的投入,获得回报。全面风险管理能够有效的营造和提升银行的核心竞争力。
③对风险管理战略进行定位。为了改变原有的业务战略和风险管理战略部匹配的问题,克服业务发展与风险管理的瓶颈,必须实行全面风险管理,以免二者失衡带来的业务隐患演变为实际风险[2]。全过程和全方位的风险管理能够对风险管理战略重新定位,并全面提升银行的风险应对能力。
3.银行实施全面风险管理面临的影响因素
3.1机制因素
当前我国的各大银行还不具备健全的风险管理机制,机制因素会对全面风险管理的实施产生影响。我国的银行还没有完全形成垂直、完善的风险管理体制,特别是没有建立独立的风险管理体系,由于缺乏独立性,很多内部指标考核因素会受到外界的干扰。在银行内部,科学、完整的岗位职责体系还没有建立,各岗位和部门在一定程度上仍然存在借口悬空、职责不明、界面不清等问题,难以组织预见性和主动性的活动,多以应付式和反应式的活动为主,难以开展有效和持续的风险监控。
3.2外部环境因素
我国还没有普及针对个人和企业的征信中介服务,银行审查客户信用需要较高的成本。不仅如此,社会的道德规范和信用意识并未完全建立,银行的全面风险管理还有一定难度。我国的信息披露并未完全建立,外部监管措施也不够严谨,银行缺少市场的有效约束。
3.3技术因素
在技术层面上,银行还不具备成熟的信息系统应用技术和风险管理技术。当前银行主要使用的是经验分析方法,具有较强的主观性,对监测、度量、风险识别等领域还缺乏客观性。由于信息系统应用技术的落后,确实市场信息和业务信息的情况严重,风险管理模型和资产组合管理模型都难以建立,风险敞口难以掌握。在风险管理的数据上也缺乏可靠性,其数据的质量和数量都远远不够。信息失真的情况对风险管理决策的科学性造成了干扰。
3.4文化因素
文化因素是一个容易被忽略的因素,事实上我国的银行中普遍缺乏良好的风险管理文化,银行人员缺乏风险管理意识。在经营管理中风险管理文化是银行内部控制体系中的重要组成部分。然而我国银行受到体制和历史因素的影响,风险管理文化非常薄弱。在银行内部控制体系中往往对市场开拓、业务发展比较重视,对制度建设和风险管理比较轻视。甚至很多银行人员对风险管理的重要性一知半解,严重阻碍了全面风险管理在银行的实行。
4.银行如何实施全面风险管理
我国银行要实施全面风险管理并非易事,但实行全面风险管理是银行发展过程中必不可缺的一项重要内容。因此,在实施全面风险管理时要注意以下几个方面。
4.1内外关系的处理
全面风险管理的内外部机制包括外部机制与内部机制,以内部为主的公司治理体系和以外部为主的信用体系缺一不可。在实施全面风险管理时,要分析造成风格管理虚位和缺位的治理失当和信用失范等问题。
全面风险管理的实施要注意内外机制的关系。风险管理的制度安排需要内部机制,也就是通过治理结构;风险管理的惩戒约束和信用体系需要外部机制,也就是诚信责任和信用体系[3]。在当前的背景下,内外部机制尚未完全建立,在实施全面风险管理时首先要宣传普及基本的风险管理理论,进而对信誉风险、诚信责任等进行强化。经营管理的透明度必须提高,接受社会的监督。
4.2宏观和微观关系的处理
宏观层面主要是对全面风险管理战略进行制定,包括风险管理原则、风险可承受区间、风险管理目标等等。对发展目标进行估算,对监管资本与经济资本的缺口进行预测。银行要配置资本金的区域和主线,并对风险管理的长期投入进行规划。建立风险管理的模型,对各部门和机构的历史数据进行收集整理,并对风险管理的模型进行检测。以此来确定风险敞口、产品建议等,将风险管理模式动态化。
银行要处理好宏观与微观的关系,也就是讲宏观策略落实到微观层面。要确定各岗位的职责权限,将风险管理落实到每个部门和员工的身上,并加强部门协调。银行要建立完善的纵向报告制度和横向协调机制,提高风险应对能力。
4.3共性和个性关系的处理
共性主要体现在风险管理流程的制定,对产品分类方法的确定,将风险管理全方面的落实,将风险管理和业务发展结合起来。将风险以管理的角度划分为可控与不可控,从而进行风险管理授权。银行要选拔和培养专业化的风险管理团队,以提升全面风险管理的能力。
在体现共性的同时要兼顾个性化管理,也就是实现管理体制以业务流程为中心,从源头控制风险。特别是要注重对潜在风险的识别和管理,提高风险的前期控制能力。对于不同的风险点要使用不同的风险管理手段。
4.4建立风险管理文化
要在银行内部建立和完善风险管理文化,对全体员工加强职业道德和风险意识教育,特别是对分行行长、管理人员的风险意识和风险控制能力进行加强[4]。业务一线要建立风险识别和控制意识。制定行之有效的规章制度,强化文化背景,不断在全行内加强风险管理的意识。
5.结语
银行实施全面风险管理势在必行,必须不断采取各项措施,认真研究对全面风险管理的实施产生影响的各项因素,推进全面风险管理。
参考文献
[1]栾鸾.全面风险管理、经济资本管理与内部评级[J].农村金融研究,2012(03)
[2]项俊波.构建农行全面风险管理体系[J].中国金融家,2013(04)
关键词:商业银行 全面风险管理 工作原则 基本架构
中图分类号:F830.33 文献标识码:A
文章编号:1004-4914(2013)04-210-01
商业银行是经营风险较大的特殊企业,随着对风险的认知和把握能力的不断提高,在稳定、发展和盈利动机的激励下,对风险管理的需求也不断提升。建立和完善全面的风险管理体系已经成为商业银行急需解决的重大课题。
一、全面风险管理的内涵及现状
全面风险管理,包括信用风险、市场风险、操作风险在内的风险管理体系,是对各种风险、各业务品种、流程各环节实施全面风险管理,具体有:市场风险、信用风险、流动性风险、业务操作风险、法律约束风险、会计财务风险、信息资讯风险、经营策略风险等。商业银行现行的风险管理存在许多的不足。
第一,内部控制体系存在弊端。大部分银行未设立独立的专业化部门承担风险管理,更多的是依靠非独立专业部门负责或由各个专业内部控制。在全行范围内,往往没有形成针对风险的统一的政策标准,各职能部门之间缺少必要的沟通协调,操作风险管理处于分散、割裂状态。第二,商业银行现行的风险管理方法和手段落后。目前商业银行的风险管理尚处于初级管理阶段,主要依赖专家管理,主要手段是质量控制,还没有建立起风险管理系统。商业银行目前所采取的风险管理手段和方法基本上难以反映本行风险管理的总体水平和分布结构,与国际上风险管理要求差距不小。第三,风险管理的基础数据匮乏。根据新巴塞尔协议,用于计算监管资本的内部操作风险计量法,必须是建立在对内部损失数据至少5年的观察基础上。可是国内商业银行目前很少有建立损失事件数据库,大多缺乏损失和风险方面的历史数据。风险管理需要信息系统强有力的支持,但是我国商业银行信息系统建设严重滞后。另外,由于社会诚信机制不健全,行业数据和公共外部数据的真实性无法准确判断,也影响到风险计量和管理决策。
二、全面风险管理工作原则
全面风险管理,建立有效平衡风险与内控运行机制,促进各项业务持续健康发展。全面风险管理总的原则是:以最小的成本获得最大的保障,注重事前管理,用数量化衡量风险程度、预设最坏的愿境、模拟各种情景评估,做好应对性管理。
全面风险管理必须对风险进行风险识别、风险评价、风险控制,以减少风险负面影响。就目前商业银行的现状而言,风险管理应遵循以下基本原则。
1.风险管理部门垂直管理原则。为保持风险管理的相对独立性,按照战略导向,建立适应现实金融生态、适合业务发展、有利于价值创造。垂直化的风险管理组织架构:下级风险管理机构对上级风险管理机构负责,上级风险管理机构负责对下级风险管理机构的业务运行组织、指导和工作布置,进行绩效评价,加强对风险管理工作的集中领导,强化风险管理政策、制度标准、风险监控和信贷审批的统一管理,增强风险管理的独立性和有效性。
2.整体联动与相互制衡原则。按照客户导向优化业务流程,建立风险管理融入业务流程的平行作业机制,加强前、中、后台的整体联动和有效制衡,促进有效经营。
3.人员专业化管理原则。建立对信用、市场、操作风险的专业管理模式,细化风险管理岗位设置,建立专业化的风险管理队伍,运用精细化的风险计量技术和分析工具,提高风险管理的专业化和精细化水平。
4.权责利匹配原则。在确保风险管理权威性和独立性并实施垂直化管理的风险组织的前提下,完善风险管理与各项风险决策行为的责任制度,明晰各级风险管理机构和人员的权力和责任,清晰界定各种风险与相关部门和机构的工作关系,建立与风险管理相配套的激励约束机制。
三、全面风险管理的基本构架
目前,我国商业银行的治理结构和经营机制改革正在向纵深发展,借鉴国际银行业风险管理的实践经验,构建风险管理架构。
1.搭建独立的垂直的风险管理体系,实施集中管理的风险治理组织结构。一是设立独立的自成体系的操作风险与信贷风险管理部门。如单独指定某个部门承担起管理责任。在基层单位机关部门必须设立兼职风险管理人员,做到独立分析判断、管理决策。二是实行垂直化的风险控制作业流程。三是明晰各部门兼职风险管理人员在风险管理中的定位和职责,确立其管理边界。
2.建立风险管理指标考核体系,对基层机构进行量化考核。建立经济资本约束和绩效考评机制,强化经济资本约束力。通过风险资本的计量与分配,运用风险管理调整资本收益率,将可能发生的损失量化为成本。贯彻风险和收益并重的全面平衡发展的理念,促进全行关心防范操作风险。其次对基层单位设置风险量化的考核指标体系,以期达到持续监测逐渐减少风险,直至消除风险。
3.建立统一的风险管理政策。商业银行要制定和执行统一明确的风险管理政策,做到既符合国家规则,又符合本行特点的风险事件分类标准;结合本行自身经营特点、业务规模、内外部资料,确定各业务品种的操作流程;确定风险计量和资本分配的方法,确定各项业务品种应对操作风险的应急措施,对操作风险成功和失败的案例进行分析和补救。
4.提高操作风险管理技术。慎重研究和选择新巴塞尔协议所建议的三种计量方法,积极做好数据收集和系统设计,逐步开发适合本行特点的内部风险计量模型。整合信贷管理系统、客户信息系统、资金管理系统等业务系统的信息。借助先进的IT技术,建立操作风险与信贷风险、市场风险的历史数据库,为测量风险、分配资本和设计模型打下数据基础。
5.建设风险管理文化。商业银行必须建设符合本行特点的风险管理文化。银行高层应首先提高对风险控制的认识程度,把风险管理工作作为核心工作来抓。在全行内推行风险管理的理念,把风险管理作为关系银行可持续发展的重要工作来抓。着重提高基层单位的风险防范意识,将风险管理落实到每一名员工的岗位职责与业绩考评中。
参考文献:
1.章彰.商业银行信用风险管理[j].金融经济,2002(3)
2.圣文.商业银行信贷风险研究[j].金融经济,2004(4)
3.董谭玖.我国商业银行信贷风险管理研究[j].金融经济,2005(3)
关键词:信息安全;安全生产风险管理体系;风险评估;风险控制
0引言
随着信息化建设的飞速发展和普及,各行各业的网络化、信息化水平显著提高,无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持,在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性,关系企业或国家机密,一旦面临威胁和遭遇攻击,就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域,信息安全风险管理依然研究不够深入,较多采取的基于问题的管理方式,遭到攻击或同类行业遭到攻击后,进行系统排查,查找系统漏洞,然后堵住漏洞,这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线,只有事前做好各类防范和应急处置,管控风险是实现安全生产的重要保证,在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系,降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。
1风险管理体系概述
1.1安全生产风险管理体系概念
安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上,基于电网实际情况提出的了一种安全生产风险管理思路和方法,以风险管控为主线、以“计划-实施-检查-改进(PDCA)“闭环管理为原则,系统地提出了安全生产管理的具体内容,指明了风险管控的目标、规范要求和管理途径,为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”:基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计;系统性是指企业在设计管理系统框架及业务流程节点时,保证流程节点的充分性并遵循PDCA的闭环管理模式,理清业务与业务之间的输入、输出关系;规范性是指企业应明确各项工作的执行标准,确保执行标准的唯一性、科学性,同时企业各部门、生产单位、班组能够按照标准开展工作,保证企业管理的统一性;持续改进是指企业应建立完善的问题发现机制及问题改进机制,能够及时发现系统运行过程中存在的问题并进行改进,同时不断地完善企业管理系统的策划,实现管理系统的持续改进。自2007年建立以来,全网范围内风险管控方法得到有效应用,安全生产管理基础得到进一步夯实,主要安全生产指标持续向好。
1.2基于风险的信息安全管理框架
南方电网安全生产风险管理体系,为电网企业提供了非常有效的一套安全生产管理方法,其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型,强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进,目前主要应用在电网、设备、作业和职业健康风险管控上,并取得了不错的成绩,也为信息安全管理带来了有益的启示,即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架,探索信息安全风险管理长效机制[4]。
2基于风险的信息安全风险管理体系建立的重要环节
2.1确定风险评估的目标
从管理目的出发,是安全生产风险管理体系的一个重要思想,以目的为导向,分析在现状下实现目的存在的障碍因素,也就是管理关键流程节点,从而确定业务的管理脉络,实现以基于风险的管理思路,最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性,并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性,资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求,满足相关方的要求、满足法律法规的要求等方面[4]。
2.2风险识别
风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险,找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标,同时,由于企业信息化水平的逐步提高,对于信息系统和服务技术的依赖日益增加,企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时,确保信息安全的三性,降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效,因此选择合适的风险评估办法和模型,对信息安全管理来说至关重要。
2.3信息安全风险评估
2.3.1信息安全风险评估模型
风险评估是在确定影响信息安全风险评估的三个维度的基础上,选择定性或者定量的风险评估方法,对识别出的风险发生的可能性或可能导致的后果进行衡量,并根据评估结果划分风险等级,然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险值=R(A,T,V)=R(L(T,V),F(A,V))。
2.3.2信息安全风险评估实施与运行
(1)信息安全风险概述通俗来讲,风险概述就是风险的管理方案,基于风险评估的结果,制定年度风险管控重点工作安排,为年度安全生产工作计划提供方向。概述报告编制时,应充分考虑风险数据的输出应用,为涉及相关单位(部门)的管理提供输入。风险概述报告至少包含以下信息:风险描述、风险范畴、风险细分种类、风险等级和风险控制措施,并按风险等级排序。(2)风险控制风险控制是在风险评估之后,控制措施建议应综合考虑风险控制成本与风险造成的影响,结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择:消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出,优先考虑技术措施。属于组织结构不完善的,建立信息安全组织体系。属于管理措施的融入管理办法,编制各层次的信息安全管理体系文件,包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度,明确管理要求;属于物理安全隐患的,加强机房、门控、安保系统和队伍建设;属于信息系统保护的,纳入信息安全项目建设计划,提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力;属于作业过程执行的措施,将信息安全管控要求纳入作业指导书、“两票”等作业标准,减少人的因素引发的信息安全事故事件;属于人员技能和意识的纳入教育培训计划;属于信息安全应急响应的建立信息安全应急预案或现场处置方案,并按照演练计划开展应急演练[7]。
2.4风险监测
风险控制措施制定后需要对措施的有效性进行评估,年度风险预控措施计划表。风险控制措施应明确责任单位(部门)、责任人、完成时间。在制定风险控制措施时,应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容,制定月度风险监督计划,并明确各项预控措施执行情况的各级监督部门,确保风险措施按计划落实执行。
2.5管理回顾,持续改进
PDCA闭环管理是安全生产风险管理体系核心之一,通过定期开展管理回顾,审视信息安全风险管控的有效性,进而形成长效机制持续改进。在回顾过程中注意以下几个方面:(1)识别变化,优化管控手段企业所面临的内部和外部环境不是一成不变的,当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入;当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案,并保存变化过程的相关资料。(2)建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进,通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面,纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等,并进行根本原因分析,制定纠正或预防措施,通过评估措施的有效性,进行统计输出应用,输出应用到信息安全管理制度、能力与意识提升等各个环节,进而确保企业的信息安全管理水平得到持续提升。
