论文关键词:风险,全面风险管理,风险管理框架
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献
[1](美)COSO,方红星,王宏译.企业风险管理—整合框架[M] ,大连:东北财经大学出版社,2007.
关键词:企业管理;风险管理
一、全面风险管理的定义
全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。同时,全面风险管理也是一种企业日常管理行为,主要通过设定企业战略发展经营目标,在日常生产经营中,实现全面覆盖企业风险、全员参与风险控制,在企业风险偏好范围内有效管理企业各环节风险的持续过程。
二、建立全面风险管理的组织体系
推行全面风险管理,首先要在企业内部建立不同层级的风险管理组织机构,企业可设立专职的全面风险管理工作小组,负责推进工作。一般情况下,成熟的企业全面风险管理组织体系包括四个层次,
根据风险管理组织机构应履行的风险管理责任,应当明确各层级机构的基本职责,如:董事会需要负责审议并确定本企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;了解和掌握本企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策等。
而作为全面风险管理实施的关键部门——风险管理专责部门,一般由企业的综合管理部门,如:企管部、办公室或监察部门担任,对董事会负责,主要的职责包括审议风险管理策略和重大风险管理解决方案,审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;定期组织企业全面风险管理工作的评估等。
作为日常具体业务流程的运作部门,是企业全面风险管理的具体执行部门。在全面风险管理工作中,应接受风险管理职能部门的组织、协调、指导和监督;执行风险管理基本流程;提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制等。
三、收集企业风险管理初始信息
收集企业全面风险管理初始信息是实施全面风险管理的第一项工作。企业在收集初始信息时,按照一般企业推行风险管理的范围,主要从以下五方面来收集信息:
1.战略风险方面的信息。主要有涉及本行业的国内外宏观经济政策以及经济运行情况,国家的产业政策,行业科技进步、技术创新的有关内容;企业的主要客户、供应商及竞争对手的有关情况;主要竞争对手、标杆企业信息等。
2.财务风险方面的信息。主要财务风险信息有:企业的财务状况,成本费用情况;财务业务中曾发生或易发生错误的业务流程或环节等。
3.市场风险方面的信息。主要有:产品或服务的价格及供需变化,主要客户、主要供应商的信用情况,潜在竞争者、竞争者及其主要产品、替代品情况等。
4.运管风险方面的信息。主要有:人力资源情况,市场营销情况、生产制造情况、流程管控情况、质量管理情况等。
5.法律风险方面的信息。主要有:与企业相关的政治、法律环境;与企业签订的重大协议和有关贸易合同;影响企业的新法律法规和政策,以及本企业发生重大法律纠纷案件的情况等。
企业收集的各类风险管理初始信息,经过筛选、提炼、对比、分类等程序后,如来源可靠、条理清晰、分类恰当、依据充分,可以按照一定的要求进行确定,定义为企业全面风险管理的初始信息。
四、进行风险辨识,编制企业风险清单
企业风险辨识前,要进行充足的准备,事先应清晰了解企业设定的战略目标和经营目标,以明确风险辨识的具体方向,要了解设定目标,确定风险辩识方法,设计风险辩识方法框架,风险辩识技术培训,基础资料收集,同时要注重内部的协调沟通。
风险辨识的具体范围一般应包括外部风险辩识和内部风险辩识。在风险辩识范围内,通过一定风险辩识方法,识别出影响企业实现目标的风险事项(包括外部和内部),及风险事项的诱发因素(包括外部的经济、自然环境、政治、社会与技术因素;内部的机构、人员、流程与技术因素)。最后,风险辨识应考虑正常、异常和紧急三种状态;过去、现在和将来三种时态。
风险辩识有一些常用的基本方法,如:经营目标识别法,操作运营研究法,流程图分析法,行业标准对照法,调查问卷法,座谈交流法,风险清单识别法,财务报表分析识别法,个别访谈法,风险评估研讨会。每一类型的风险辨识应选用哪些方法,应根据具体情况而定。风险辨识后,会形成企业的《风险辨识清单》。
五、风险评估管理
企业风险管理信息经辨识后,要进行评估管理,评估风险发生的可能性,可通过风险发生的可能性评估标准和可能性判断标准的矩阵来进行评估。
可能性评估的选用标准,指针对各类风险特征,制定可供选择的评价具体风险事件发生可能性的标准,一般按照发生的频率、发生的概率和现状持续时间进行可能性评估,可依据各项风险事件选择适合的标准,但每项风险只能选择一项标准。可能性判断标准,指为每一种可供选用的评估标准设定一定的判断区间,每一区间对应一种可能性。一般设定五个判断区间,即五种可能性:罕见(非常低)、不太可能(低)、有一定可能(中等)、很可能(高)、肯定发生(非常高);对应可能性的分值,为每一种可能性设定一个分值,如对五种可能性设定1-5分五个分值。
根据风险分析结果已形成的风险事件清单,对照“风险事件发生可能性评估标准模型”,为风险清单的每一项具体风险事件选定其中一项可能性发生标准。在对企业现状及过去历史情况基础上,根据辩识过程了解到的风险事件的原因及其他情况,确定其所在的某一区间,得出每一个风险的综合评估结果。
六、风险管理策略
风险管理策略,是指企业根据自身经营特点,固有经营条件,所处行业环境,围绕企业发展战略,以企业的风险偏好、风险承受度、风险管理有效性标准为前提,选择适合的风险管理工具,同时确定实施风险管理所需人力和财力资源的配置原则。
一般的风险管理工具有:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制。风险管理的工具选择,应该以各项风险管理工具的适用范围为依据,结合风险发生的可能性及风险发生的影响程度而确定;要针对某项风险事件选择一项或几项合适的风险管理工具应对后,能使该风险事项的剩余风险降至企业的风险容量之内。应当注意的是,当选择了风险承担,则不再选择其他风险管理工具;当选择了风险规避,则不再选择风险稀释—对冲工具。
七、制定风险解决方案
制定风险解决方案,应考虑的事项主要包括四项:
1.风险管理的优先次序,可结合企业自身风险管理能力,风险的可管理性,风险程度,成本效益性四项因素综合确定;
2.风险容忍和偏好,应结合本企业经验教训,历史事件,历史事件发生时所体现的应对能力,对董事会、总经理及其他高级管理人员、关键岗位员工的风险偏好,及本企业的风险容忍水平进行合理分析和客观评估;
3.纳入重大风险、重大事件、重要决策、重要流程的事项,在风险管理的排序中应作为优先项目考虑;
4.关键风险要素的存在,关键风险要素包括风险事件、风险原因、损失,企业应针对风险清单中的风险事件所描述的特定事项,其产生的直接原因,及所承受的后果,制定风险管理具体措施。
风险解决方案的有效实施,需要一定的配套手段,以便减少随意性和对个人的依赖。在人力方面,企业高层要高度重视,选择及培训适合的风险管理人才;在制度方面,要建立和严格执行既定的工作流程和规范,将风险管理措施融入业务流程中;在机制方面,要建立权责分配机制和双赢激励机制。
八、风险管理的监督与改进
风险管理的监督方式,可采用持续监控和专门评价两种方式,结合风险管理的具体情况也可以两者结合。持续监控是指对风险管理体系的建立与实施的情况进行常规、不间断的监督和检查;而专门评价是在企业战略目标、组织结构、主要经营活动、关键业务流程等发生较大调整或变化情况下,针对风险管理的某一或某些领域进行的监督检查。
关键词:企业 全面风险管理 内部控制 体系
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
关键词:农信社;风险管理;路径
农信社推进全面风险管理体系建设,紧密围绕发展战略,制定风险管理战略目标,健全风险管理组织架构,完善风险管理政策制度,创新风险管理方法,加强风险管理队伍建设,培育风险合规文化,逐步构建覆盖全面、管理科学、运转有效的全面风险管理体系。
一、全面推进信用风险权重法
计划部门牵头,相关部门配合,全面推进信用风险权重法计算。具体推进实施过程中,要注意:一是计算各类表内风险加权资产时,要从资产账面价值中扣除相应减值准备,然后乘以相应的风险权重。二是计算各类表外风险加权资产时,应将表外项目名义金额乘以信用转换系数得到等值表内资产,再按表内资产的处理方式计量风险加权资产。三是按照“实质重于形式”的原则,根据《资本办法》规定,对各类非信贷资产和表外业务进行会计核算,并准确计提监管资本。对于借助通道投资形成的资产,要按照“穿透原则”采用基础资产的风险权重;对于委托贷款、委托投资、非保本代客理财、远期资产购买等表外业务,要按照实际承担风险计提资本。四是要确定现金类资产、对中央政府和中央银行的债权、对公共部门和金融机构的债权、对一般企业的债权、对符合标准的小微债权、对个人的债权、股权和非自用不动产等的划分标准和流程,做到分类准确,对应的加权风险资产计算精确。
二、建立信用风险限额管理办法和建立信用风险内部报告体系
要建立风险限额管理办法,分别确定重点客户限额和组合限额的设置方法和具体流程。建立限额监测报告制度,设置相应监测指标,重点监测接近限额的重点客户和组合客户的风险情况,并深入分析,提前制定风险防控措施。对于突破限额的,要认真分析原因,及时采取措施,降低信用风险。同时要建立限额主动调整机制,限额变化必须经高级管理层审核通过。对于集中度风险,要建立集中度风险管理流程和风险缓释工具,对行业、地区、单一客户等集中度指标进行限额管理,并制定突破限额的风险处置流程。
要建立信用风险内部报告体系,明确各类信用风险报告标准格式、报告流程、报告频率、报告岗位和报告责任人。明确信用风险报告内容,包括但不限于信用风险总体情况、不同类资产的迁徙情况、监管资本变化及变化原因等,要确保董(理)事会、高级管理层、信用风险主管部门能够及时掌握资产组合信用风险变化情况,为防范信用风险提供决策依据。
三、开展市场风险标准法建设
风险管理部门牵头,相关配合,建立健全市场风险治理框架、确定账户划分管理办法和市场风险管理政策。
1.健全市场风险治理架构。根据董(理)事会承担对市场风险管理实施监控最终责任,风险管理部门负责落实董(理)事会审批市场风险的管理战略、政策和程序,落实董(理)事会确定可以承受的市场风险水平;根据高级管理层负责对本机构市场风险管理体系的建设,落实高级管理层定期审批交易账户的交易策略和银行账户投资策略,确保交易账户和银行账户发生的业务与董(理)事会批准的风险偏好保持一致,及时掌握本机构市场风险管理情况,对于可能发生的重大不利市场风险变动及时做出应对策略。明确计划财务部在推进市场风险管理体系建设方面的职责。计划财务部要准确划分交易账户和银行账户,识别交易中交易对手风险,采用金融质押品和净额结算等手段进行风险管理。风险管理部门要及时监测和定期评估市场风险,制定市场风险管理办法,修订管理流程。审计部要定期对市场风险进行内部审计,及时评估风险情况并提出整改意见,跟踪整改情况。
2.确定账户划分管理办法。计划财务部负责制定银行账户、交易账户划分标准、管理政策和程序,根据银行账户和交易账户的性质和特点,分别采取相应识别、计量、监测和控制方法,并按照监管要求计量市场风险资本。
3.制定市场风险管理政策。风险管理部门负责建立市场风险报告制度,包括交易性市场风险的日常报告、非交易性市场风险的定期报告、市场风险的监控报告、估值和损益的计量报告等。建立完善的市场风险监测办法,每日监测限额使用情况。根据发展战略、风险管理能力和外部市场环境确定市场风险偏好,风险偏好要有定性指标和定量指标。要以单笔交易为基础、组合交易为对象,开发适应本机构业务规模和业务复杂程度的风险管理工具,建立有效的风险管理平台,制定详细的市场风险识别、计量、评估和监测等操作流程。结合实际情况采用保证金、期权、互换、信用衍生品等工具对冲市场风险敞口。要建立重大市场风险处置流程,确定市场风险的风险限额,并在限额内设定预警值,制定突破限额预警值后应采取的措施。短期内,至少要采用头寸限额、集中度限额、敏感性限额和止损限额来进行风险管理。
四、积极推进操作风险基本指标法建设
风险管理部门牵头,各业务管理部门配合,健全操作风险公司治理体系、操作风险管理政策体系等。
1.健全操作风险管理的公司治理体系。风险管理部门负责落实董(理)事会操作风险管理战略和总体政策,向董(理)事会报告操作风险管理总体情况、高级管理层处理重大操作风险事件情况,监控和评价操作风险管理政策执行情况。负责落实高级管理层建立的与业务性质、规模和复杂程度相适应的操作风险管理体系,制定操作风险管理政策和操作规程,督促各部门切实履行操作管理职责,确保操作风险管理体系正常运转。
2.建立操作风险管理政策体系。风险管理部门负责按照董(理)事会、高级管理层要求制定本机构统一的操作风险管理政策,建立适当的操作风险管理权限和责任,建立和完善操作风险识别、评估和控制程序。建立操作风险报告程序,明确风险报告路径、频率,定期监测并报告操作风险状况和重大损失情况,针对潜在操作风险建立早期预警机制。要明确操作风险分类标准和类型,对操作风险的识别、监测、评估、控制、缓释和报告等管理流程进行详细规定,建立操作风险双线报告制度。风险管理部门要明确操作风险的资本计量方法、分配标准和考核流程。对现有和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理等,及时进行操作风险评估。建立操作风险管理在业务部门、操作风险管理部门和审计部门的“三道防线”机制,畅通信息沟通和共享机制。审计部负责定期检查和评估操作风险管理体系运行情况,对新出台的操作风险管理政策、制度进行独立评估,并向董(理)事会报告。
3.制定业务连续性管理办法。业务发展部牵头,风险合规和信息科技部门配合制定完善业务连续性管理办法。从管理政策、组织架构、管理工具及预案建设(包括科技系统、基础设施)等提出业务连续性管理体系建设目标。要加强业务连续性管理政策制度、管理流程、管理工具等建设,制定和完善业务连续性管理政策、业务连续性突发事件应急管理办法、业务影响分析模版、业务风险分析模版、预案制定模版等,明确业务影响分析、风险评估、预案建设等业务连续性管理日常工作的要求和基本流程,明确突发事件响应及业务恢复基本流程。
4.制定外包风险管理办法。信息科技部牵头,办公室、风险合规及相关业务部门配合,制定统一的外包风险管理政策,明确外包风险管理组织架构和职责分工,明确外包业务范围,规范外包业务管理流程及权限,制定外包业务风险评估及尽职调查相关内容。明确外包业务的分包及转包相关事项,明确外包业务突发事件应急预案和机制,对外包业务风险进行持续监督管理。
五、强化流动性风险体系建设,严控声誉风险。
风险管理部门牵头,计划财务、资金营运和办公室等部门配合推进流动性风险体系建设。对于流动性风险,应制定流动性风险管理办法、流动性风险监测管理办法、流动性压力测试和应急预案。提高流动资产和核心负债的稳定性;严格执行流动性指标,加强流动性风险的识别和监测;加大流动性风险压力测试,制定分层次的流动性资产储备、救助应急通道和应急预案,提高流动性风险应急处置能力。同时,由综合管理部门牵头,风险合规及相关部门配合,完善声誉风险管理办法,明确声誉风险管理的类别和等级,以及应对声誉风险的报告和处置流程,积极协调联动各方,妥善处理声誉风险,严防风险扩散蔓延。
【关键词】 内部控制; 风险管理; 业扩报装; 风险控制
一、内部控制在企业应用中的局限
内部控制是社会经济发展和企业管理实践的必然产物,是企业制度的重要反映,经历了内部牵制、控制制度、会计控制、整合控制、风险管理等发展阶段。1992年COSO的《企业内部控制――综合框架》①强调对企业经营的效率效果、财务报告的可靠性和相关法规的遵循性等目标,该框架一经即被企业广泛接受和采用。2002年美国国会和政府通过的萨班斯―奥克斯利法案(简称SOX法案)②对企业财务报告的可靠性和信息披露提出了严格要求,并将COSO《企业内部控制――综合框架》作为企业合规要求的主要参考标准,该法案进一步推动了内部控制在企业的实施。2004年COSO的《企业风险管理――整合框架》强调风险管理对战略制定和实施过程的保证,体现了内部控制向风险管理的演变,但该框架由于是主要延伸了内部控制的思路和方法,大多企业在实施过程中与内部控制的差异不大。
内部控制对企业控制风险、完善内部制度和规范管理程序等发挥了重要作用,但随着内外部环境的不确定对企业影响的加剧,内部控制的局限性制约了复杂风险的管理需要。
(一)风险观的局限
内部控制将风险的概念定位于损失的可能性这一表述,关注于管理中可能存在的缺陷、制度和流程的遵循等流程层面的风险,但对制度和流程之间的联系、决定制度与流程的企业因素、外部环境的影响等方面的整体层面风险关注不足,而这些风险恰恰是企业影响最大、最应关注的风险。
(二)控制手段的局限
内部控制手段往往局限于规范流程上的审批、审核、权责配置等有限手段,缺乏针对战略及业务等整体层面风险的战略性措施和结构性管理手段,如业务结构的调整、客户导向的管理机制、外部合作关系变化等高级手段,而这些是解决整体层面风险的必需手段,也是落实流程内部控制的基本依据。
(三)控制机制的局限
内部控制强调以制度和流程为基础的日常控制程序,主要体现在对业务流程固有风险的常态化控制,对流程相关企业整体层面的风险和需要整合管理的风险通常无能为力,并难以适应环境变化和企业风险管理能力、资源变化而需要实现的优化控制。
2006年国务院国资委的《中央企业全面风险管理指引》 ③提出了一套系统的风险管理框架,更加关注于企业整体层面的风险管理,并将内部控制作为风险管理体系的重要组成部分,但仍未具体明确与内部控制的整合方法,因此在复杂的业务流程风险控制上仍主要借助内部控制的方法。2008年财政部等五部委的《企业内部控制基本规范》④是对传统内部控制的继承和发扬,并借鉴了《中央企业全面风险管理指引》中的一些风险管理方法,拓展了内部控制对企业战略和整体风险的关注,但在如何实现对企业整体层面风险与业务流程的内部控制之间的联系仍未具体明确。
二、基于风险管理的内部控制方法
传统的内部控制难以适应风险的变化和整体层面风险管理的需要,发展中的全面风险管理方法对业务流程上的风险控制缺乏有效手段,因此,综合内部控制与全面风险管理方法成为企业的必然选择。笔者在研究中发现,内部控制与风险管理的方法可以通过整合实现优势互补,可以通过风险管理的方法解决整体层面的风险管理,并以其形成的风险解决方案为基础,结合内部控制落实流程上的风险控制,即通过基于风险管理的内部控制整合解决企业各层面的风险。同时,基于风险管理的内部控制进一步强调以风险为导向,以风险识别和评估为基础控制风险,继而分析、设计和实施内部控制。
基于风险管理的内部控制主要包括三个方面的内涵:一是以风险管理的方法解决传统内部控制的局限,特别是解决企业整体层面风险;二是在业务流程上相应采用内部控制的手段落实整体风险解决方案,并解决流程层面的风险;三是强调风险为导向的控制策略与内部控制措施。基于风险管理的内部控制主要方法结构如图1所示。
具体来讲,基于风险管理的内部控制需要在风险评估、风险控制策略和控制方案、风险管理组织职责、内部控制手段等方面实现整合,表现为一个闭环的管理过程(如图2所示)。
(一)整合风险评估
风险评估以业务目标为基准,考虑到业务活动中的内外部风险因素,从风险的不确定性对业务目标的影响角度实现对整体层面风险与流程层面风险的整合评估。同时,分析风险的具体成因和影响方式,并确定需要重点管理的风险。
(二)制定风险控制策略与控制方案
基于风险管理目标和不同的风险及其特征,特别是针对重大风险,制定相应的控制策略,包括规避、接受、控制、转移等,以及实现控制策略的具体风险控制方案。风险控制方案包括整体层面风险的风险管理措施、流程层面风险的内部控制措施等,为优化组织职责和具体落实流程内部控制提供指导方向。
(三)优化风险管理组织职责
根据风险控制方案调整或优化具体的组织职责,并利用内部控制的方法明确业务活动的制衡关系、重要的决策授权权限和关键业务环节的分工界面等。特别需要强调,在业务流程中落实风险管理三道防线的职责关系,根据风险控制职责分工、风险管理专责机构的定位等,将具体职责与关键控制环节结合起来落实。
(四)落实流程内部控制
根据风险控制方案,实现内部控制措施对风险控制方案在具体业务流程中的承接和落实。同时,在流程上设置关键控制点,具体规范控制措施、控制责任、控制方式以及控制检查手段等,并修订和完善相关制度及标准。
(五)监督与改进
强调风险管理第二、三道防线的作用,通过关键控制点的控制检查及时监督内部控制的执行情况,同时,采用内控自评价和内控审计等实现内部控制的改进及持续提升。
三、供电企业业扩报装业务流程的应用实践
供电企业的业扩报装业务是指为客户提供新装、增容及变更用电,从受理申请到正式供电的全过程,包括为客户提供用电咨询、受理用电申请、设计供电方案、供电工程设计与施工管理、装表接电等14个主要流程的全过程服务,涉及营销、客服中心、生产技术部、发展策划部、计量中心、调度中心等多个职能与业务管理领域,业务与管理的复杂程度较高。其中,客户服务中心履行业务的主体职责,发展策划部、生产技术部、调度中心、计量中心、招投标管理中心、法律部履行辅助职责,营销部履行政策及制度标准制定和监督检查职责,但基建部、监察部、风险管理主责部门的职责在现有业务中未有体现。
供电企业的业扩报装业务主要采用传统的内部控制方法,有着一套相对完整的制度体系和流程体系,遵循国家和地方相关行政法规、国家电网公司相关规章制度以及企业自身的管理制度,已经实现了对一般流程风险的有效控制。然而,随着业务环境的变化,不确定因素对业务的影响显著,传统的内部控制已难以适应风险管理的要求。
(一)业扩报装业务主要风险与风险特征
通过对业扩报装业务风险的整合评估,确定了业务相关的12项风险和若干风险点,包括客户服务风险、依法合规风险、工程设计与可研风险、工程招标及采购风险、多经风险、生产运行风险、电能计量风险、管理机制风险、工程概预算管理风险、廉政监察风险、工程施工风险、生产设备设施风险等。其中,风险主要集中在确定供电方案与收费方案、供电工程设计与审查、供电工程施工、电费管理与监督检查等几个关键环节。各项风险反映了不同的风险特征,主要表现在如下方面:
多经风险、管理机制风险、廉政监察风险、工程招标及采购风险反映出的风险特点主要是影响整个业务流程的整体层面风险。其中,多经风险反映了供电企业与附属多经企业之间的管控关系模糊、关联交易不规范和供电企业对多经企业保护等问题对业扩报装业务优质服务的不利影响,并可能由此产生违规和廉政风险;管理机制风险主要反映了流程部分管理职责缺失、部分部门的职责定位不合理、组织职责不明确和流程环节工作界面不清晰等问题对业务流程的影响;廉政监察风险主要反映在业务流程廉政问题显现和相关廉政监察机制缺失方面的问题,可能仍将产生廉政风险;工程招标及采购风险主要反映了客户招标和直接收取工程款项的管理方式可能违背“三不指定”(即不指定工程设计单位、不指定队伍、不指定设备材料)的要求,并可能产生廉政风险。
・生产设备设施风险反映了供电企业因电网基础设施的投入不足、电网布局不合理等原因产生的供电能力不足的问题,在短期内难以解决。
・其他风险,包括客户服务风险、依法合规风险、工程设计与可研风险、工程概预算管理风险、工程施工风险、生产运行风险、电能计量风险等,主要反映了供电企业在业务活动的流程设计与执行方面的问题。
(二)风险控制策略与控制方案
为有效控制业扩报装业务风险,采用基于风险管理的内部控制方法,优化和提升供电企业业扩报装业务流程内部控制。首先明确业扩报装业务风险控制的主要目标:
・保证符合国家、行业法律法规要求,满足国网公司基本政策和公司内部制度规定。
・确保接电运行后电网安全可靠。
・合理控制接电成本、线损成本等,并努力提高业务收益。
・客户导向,为客户提供高效和高质量服务。
・杜绝业务过程中的廉政与行风问题。
基于风险控制的目标要求和风险偏好,以风险为导向,并根据各项风险的特征,制定风险控制策略和控制方案,其中:
・多经风险采用风险控制策略,调整与多经企业的业务管控关系,规范关联交易和业务过程,从而降低风险发生的可能性和影响,并在设计与施工单位资质管理、工程招标、工程施工质量控制等活动中按调整后的方案控制。
・管理机制风险采用风险控制策略,增加基建部门、纪检监察部和风险管理专职机构在业务流程相关环节中的作用,优化客服中心在业务中的定位及具体职责,明确业务相关各个部门的具体职责和关键环节的工作界面。
・廉政监察风险采用风险规避策略,增加纪检监察部在易产生廉政问题流程环节的监督与检查职责,并规范具体的检查措施。
・工程招标及采购风险采用风险规避策略,调整客户招标模式,规避合同风险,并取消代收工程款项的规定。
・生产设备设施风险采用短期风险接受的策略,短期内接受该风险对企业的不利影响,长期通过设备设施的发展、更替等降低风险的可能性及影响。
・客户服务风险、依法合规风险、工程设计与可研风险、工程概预算管理风险、工程施工风险、生产运行风险、电能计量风险等各项流程层面的风险根据其风险特征,分别采用风险规避或控制等策略措施,并明确具体的风险控制措施。
(三)风险管理的组织职责
根据风险控制策略和控制方案,具体调整和优化业务相关部门的风险管理组织职责,包括:增加基建部对工程设计图的审核职责,增加风险管理专职部门对关键控制点的风险控制检查职责和监察部的廉政风险检查职责,调查客户服务中心独立现场勘察和中间检查的职责,强化营销部业务程序与标准的控制职责,强化发展策划、生产技术、调度中心和计量中心在相关环节中的风险控制职责等。
同时,具体明确业扩报装的不相容职责、主要授权审批权限,并规范各部门在关键流程上的分工界面等,其中:
・不相容职责包括供电方案设计与供电方案审批、供电方案设计与供电合同审批、工程咨询与工程招标、设计图审核与工程招标、工程招标与中间检查及竣工验收、装表接电与运行检查等。
・授权权限包括受理客户申请、确定供电方案与收费方案、设计图审核、施工单位审核、中间检查、竣工验收、确定计量方案、供电合同审批等权限,在企业内部领导层和部门间合理分配相应的授权。
・工作分工界面包括客户中心、营销部、发展策划部、生产部、基建部、调度中心、计量中心、经法部、风险管理专职部门、监察部等部门在前期咨询、用电申请与受理、现场勘察、供电方案与收费方案设计、供电方案与收费方案审批、工程设计与施工招标、工程设计图审核、工程施工、中间检查、竣工验收、签订供电合同、装表接电、常规运行等环节的具体工作分工界面。
(四)流程内部控制
基于风险控制策略与控制方案,并在完善风险控制职责的基础上,采用流程内部的方法具体落实风险控制方案,包括:
・明确业扩报装各项流程的流程目标,流程相关部门的工作职责,并以流程图和流程说明的方式规范具体流程程序。
・确定各项流程的关键控制点,规范控制点的控制部门和控制岗位、具体的控制措施和控制标准、控制的制度与标准依据、控制频率和控制方式等,形成内控矩阵。
・选择关键控制点,确定控制点的检查方法、检查责任和检查频率,作为内部控制的保障措施。
・根据确定的流程内部控制措施,修订和完善相关的制度和标准,落实业扩报装业务流程内部控制的制度保障。
(五)监督与改进
业扩报装业务流程的内部控制采用过程监督、内控自评估和内控审计的方式保证内部控制的有效性。
・过程监督主要基于内部控制检查的方法,由风险管理专责部门按照关键控制点的检查方法检查关键控制点的执行情况,并由纪检监察部检查廉政情况,根据检查结果做出及时改进。
・内控自评估主要由业务流程相关部门定期对本部门的内控执行情况做出评估,并提出自我改进的意见。
・内控审计主要由内审部门根据年度风险评估情况,选择业扩报装业务相关重大风险,执行重大风险相关内控审计。
四、结语
建设风险管理文化
一汽集团倡导“风险无处不在”的意识和理念,做任何工作首先要考虑风险,能不能承受,然后再决定干不干,怎么干。多年来,一汽集团反复通过党政联席会、党委扩大会议、高级经理和管理人员以及业务骨干的风险管理培训班、集团各种宣传媒体,自上而下传播和灌输这一意识和理念。
要把风险无处不在的意识和理念在一个特大型汽车企业牢固树立起来,形成一汽独特的风险管理文化,仅靠传播和灌输是远远不够的,还必须融入制度,变成日常行动和习惯。四年来,一汽集团陆续制定和实施了《战略管理程序》《品牌管理流程》《产品生命周期管理流程》《乘用车产品诞生主流程》《商用车产品诞生主流程》《企业经营管理业务活动方案的风险管理流程》《金融衍生业务管理规定》等重要管理标准,力图通过管理标准的执行,达到控制重大经营管理风险的目的,使经营管理和业务人员在日常工作中能够养成自觉控制风险的行为习惯。
以《企业经营管理业务活动方案的风险管理流程》实施为例,该管理标准要求所有重要和重大经营管理和业务活动在方案策划阶段(方案包括:规划、计划、可研报告、立项报告、设计方案、实施方案等),就要进行风险评估,提出风险应对策略和应对措施。目前,一汽集团已经基本做到,凡是需要经过集团党政联席会议和发展规划委员会审议和批准的重大投资项目,如果在报批方案中没有风险评估和风险应对措施等内容,就作为否决项不能通过集团公司党政联席会议、发展规划委员会的审议和批准。
由此一汽集团的风险管理文化初步建立起来。
基础管理工作“组合拳”
企业中的重大风险一般都是系统性风险,不是靠单一措施能够解决的,应从加强基础管理工作入手,采取“组合拳”来管控重大风险。近几年,为实现自主品牌发展战略目标,防范各方面的重大风险,一汽集团侧重从组织体系建设、管理标准建设、流程绩效指标体系建设等基础管理方面采取系统性解决措施。
(一)根据集团新的功能定位,加快组织结构调整,防范可能因此而引起的重大风险。
“十二五”期间,一汽集团投资力度比较大,投资项目比较多,为了强化集团对投资项目实施阶段的管控,保证项目如期投产,一汽集团组建了发展部,全面负责投资项目和生产准备项目管理。
随着国内汽车市场竞争加剧,走出国门,拓展适合的海外市场,寻找新市场空间已是必然,为实现一汽海外发展战略,一汽集团组建了海外事业管理部。
为了强化集团的经营控制功能和资金运作能力,满足内控“不相容”岗位分离的要求,一汽集团把财务控制部拆分为经营控制部、财务管理部和资金管理部。
近两年,一汽集团通过集团功能重新定位,组建、调整和完善组织结构,不但强化了集团管控能力,同时也有效规避了组织机构设置方面的重大风险。
(二)建设和完善管理标准,从流程和制度层面防范重大风险。
管理标准建设是企业基础管理的重要组成部分,其作用就是规范企业经营管理和业务活动的流程、程序、工作标准和职责分工,保证企业经营管理和业务活动合规和受控。近两年,一汽集团在管理标准建设方面主要采取以下几项措施。
一是建立管理和业务流程结构框架和管理标准框架。首先对现有管理和业务流程开展分析,进行价值链梳理,理清主要业务间彼此关联关系;然后对标大众和丰田等国际一流汽车公司,研究和分析其管理和业务流程,找出国际一流汽车公司有而一汽集团缺失的重要管理和业务流程,如“设计愿景和战略”“对知识、改进和变革进行管理”流程等,绘制出一汽集团业务地图;基于业务地图,再对管理和业务流程进行分层,形成了完整的管理及业务流程和管理标准结构框架(一级流程15个,二级流程85个,三级流程900个)。
二是对照内部控制要求找差距。为保证一汽集团管理标准的内容符合《企业内部控制基本规范》《企业内部控制应用指引》,满足上市合规要求,一汽集团组织多期集中培训,聘请内控专家到公司对《企业内部控制应用指引》中18项要素逐项讲解,使管理标准编写人员理解和掌握内部控制要求。在此基础上,组织相关人员将一汽集团现有399个管理制度与《企业内部控制应用指引》18项要素要求进行对比分析,查找和梳理未满足要求的管理标准,提出管理标准编写和修订清单。
三是制定管理标准编写计划,明确管理标准编写任务和要求。2012年计划完成一汽集团内部控制手册和包括业务外包管理等管理标准,满足内部控制要求。后续还将对原有的基本满足内控要求的管理标准,进行规范、细化和补充,提高管理标准的操作性,为相关管理和业务流程以及信息化建设作好准备。
(三)建立和完善流程绩效指标体系,解决重大风险预警问题。
流程绩效指标体系是检查衡量管理和业务流程是否达到目标的一种有效工具,对流程风险具有可量化的风险预警功能。
一汽集团在建立和完善流程指标体系过程中,一是根据已确定的管理流程结构框架,对原来已有的指标项进行重新分析、识别和优化,同时对标国际一流汽车公司,借鉴并引入一些关键的缺失指标项,形成一个更科学和适宜的指标项体系。
二是给指标项赋值,即确定指标值。指标值高低标志着企业管理水平和竞争实力的高低,根据要成为“国际重要汽车制造商,销量排名世界前10”的战略目标,一汽集团已经把国际一流汽车公司指标值作为追赶目标。下一步,将组织流程责任部门制定分阶段实现目标。
建设风险管理信息系统
风险管理信息系统建设是《中央企业全面风险管理指引》提出的一项重要任务,是提高重大风险管控水平和能力的重要手段。一汽集团十分重视风险管理信息系统建设,经过四年的探索和实践,在重大风险管控方面取得一定成效。
(一)重大风险评估信息化
2009年一汽集团设计、开发了“风险管理”模块。该模块共由业务流程梳理、风险分析归集、风险管理应对、风险展示等6个子模块构成,使用范围覆盖一汽集团所有职能部门以及自主品牌的分、子公司;一汽集团每年的风险管理初始信息收集、风险分析、风险评估等工作都可在系统上进行,并自动生成集团级和分、子公司级风险坐标图。
(二)重大风险解决措施管理信息化
一汽集团建设了“工作计划”系统,集团历年重点工作计划都可在系统中完成编制、审批和检查,并具备完工日期提前提示功能和完成状态显示功能。为加强重大风险解决措施落实力度,2011年一汽集团首次将集团重大风险解决措施纳入“工作计划”模块。
一汽集团每年从10月份起策划下一年度工作,重大风险解决措施和集团其他重要工作任务都要按规定编制形成周节点计划。内容包括:工作任务及子项、开始和完成时间、交付成果及完工标准、分管高级经理、工作具体负责人等。到当年12月底计划编制完毕,下一年度1月1日上网运行。计划执行中,由专门的评价团队进行网上检查或现场检查,检查内容为,工作是否按期完成、是否达到完工标准,给出完工状态(红、绿灯)。
在此基础上,为了实现重大风险管理状态的在线监控和管理,一汽集团对已有的“企业运营驾驶舱”进行整合开发,增加了风险管理功能。在驾驶舱系统“体系建设”模块,每一项集团重大风险及解决措施都有集团领导班子成员分工负责,每一位班子成员至少负责一项或一项以上重大风险。重大风险状态用红、绿、灰色灯表示。风险应对措施未完成亮红色灯,风险应对措施按规定完成亮绿色灯,风险解决措施正在实施过程亮灰色灯,首次实现了中高层管理者对重大风险解决措施完成情况的在线动态监控。
每年10月至12月,一汽集团开始组织评估下一年度重大风险,并制定风险解决方案。风险解决方案主要包括风险描述、原因分析、风险应对策略和风险解决措施。
风险解决方案中的风险描述、原因分析、风险应对策略等均录入“驾驶舱”系统,风险解决措施则进入“工作计划”系统。由于“工作计划”系统与驾驶舱已实现对接,风险解决措施随后全盘导入“驾驶舱”系统。
下一年度的1月1日起“工作计划”系统和“驾驶舱”系统联网运行。在“工作计划”系统,如果某一项重大风险措施未按期完成,系统自动亮起红灯,与其同步,“驾驶舱”系统中的该项重大风险主管科室界面、主管职能部门界面、主管副总经理界面、总经理和董事长界面均亮起红灯,董事长和总经理及分管副总经理随时都可以进入驾驶舱关注和监控重大风险。发现重大风险处于红灯状态,能够在系统中逐级找到该风险措施的部门负责人、科室负责人和岗位责任者,逐级过问风险措施未完成的原因,实现了重大风险的垂直监控。截至目前,一汽集团重大风险控制有效率达到集团内部绩效控制指标以上。
建立重大风险管控考核评价机制
做好任何工作都离不开检查和考核,推行全面风险管理也不例外。为了保证重大风险管控措施落到实处,一汽集团从三个方面加强检查和评价考核工作。(一)风险管理领导小组定期听取风险管理工作汇报。
一汽集团风险管理职能部门每年年末对全年风险管理工作形成报告,并向主管副总经理汇报;每年1~3月编写全面风险管理报告,对上年度重大风险管控情况进行总结,提出本年度重大风险评估结果和风险解决方案建议,4月向集团风险管理领导小组汇报并获得批准和指示。对由分、子公司承担的重大风险解决措施,其完成情况则由一汽集团经营管理运行控制评价小组进行定期检查和评价,评价报告上报分、子公司的董事长。
(二)风险管理职能部门定期检查和监督。
一汽集团风险管理职能部门每个月对“工作计划”系统中集团重大风险解决措施完成情况进行网上检查,并不定期进行现场抽查。对即将到达完成节点的任务,检查人员将提前对责任单位进行提示,要求相关部门按时完成计划任务。
关键词:商业银行;操作风险;风险管理
2008年1月24日,法国第二大上市银行――法国兴业银行宣布,旗下一名在巴黎的交易员因从事巨额欺诈交易而给该银行造成了49亿欧元的损失。这是一起商业银行操作风险管理出现严重问题的典型案例,对于正在快速发展的中国银行业具有重要的警示意义。
操作风险管理一直是我国商业风险管理的薄弱环节,自2004年以来,我国商业银行接连爆发了多起欺诈事件并造成巨大损失。当前,我国已经兑现加入WTO时全面开放银行业的承诺,因此,能否有效解决操作风险问题不仅关系到我国商业银行的生存与发展,更关系到我国的金融甚至经济安全。加强对操作风险管理的研究对提高我国银行业风险管理水平,增强其安全性、盈利性和竞争力具有重要的理论与现实意义。
一、商业银行操作风险的界定与管理标准
《新巴塞尔资本协议》对商业银行的操作风险做了明确界定[1],即操作风险是指由不完善或失效的内部流程、人员及系统或外部事件而造成银行损失的风险;操作风险包括人员风险、系统风险、资本控制风险、产品和销售风险、流程操作风险、工作环境风险以及法律风险,但不包括战略风险和声誉风险。
巴塞尔银行监管委员会(简称“巴塞尔委员会”)同时提出了“三大支柱”即最低资本要求、监管当局的外部监督以及市场约束以要求资本监管更为准确地反映银行经营的风险状况,可视为操作风险管理的最低标准[2]。第一支柱即最低资本要求的本质在于使商业银行为操作风险配置相应的资本,并通过一系列定性和定量的度量规范判定其是否取得特定评估方法的使用资格。第二支柱即监管当局的外部监督要求商业银行必须按机构风险全貌评估所需经济资本,且评估程序必须由监管机构审查。第三支柱即市场约束要求商业银行及时公开地披露操作风险管理信息,以借助市场力量来促使银行稳健经营。
二、我国商业银行操作风险成因分析
我国商业银行出现操作风险的原因主要有:管理理念失当、组织结构缺陷以及管理方法落后等三大原因。
1.管理理念失当
我国商业银行在管理理念上存在许多误区,归结起来主要有:首先,轻视事前防范而偏重事后管理。我国商业银行往往在操作风险出现引起损失后采取处罚措施,试图以严厉的处罚遏制风险的出现,而缺乏操作风险的事前防范和事中控制措施。其次,轻视对整个银行体系操作风险的全面分析而偏重对操作风险个案的查处。因此,导致如欺诈等案件的屡次发生。再次,轻视对高层领导人员的管理而偏重对基层操作人员管理。典型地表现在内部审计部门往往将精力集中于基层操作人员,却仅对高层管理人员进行离任审计而缺乏日常稽核监督,近年许多银行高层纷纷落马则充分说明了这一点。最后,轻视对操作风险的全面管理而偏重审计稽核。多数银行往往将操作风险等同为操作性风险,因此往往将操作风险管理职能赋予内部审计部门而非风险管理部门,从而造成诸如系统因素引起的操作风险无人管理。
2.组织结构缺陷
我国商业银行组织结构的缺陷导致操作风险的管理出现问题,集中体现于风险管理部门组建不利,具体表现在:
首先,管理职责分散。银行不同类型的操作风险由不同的部门负责,缺乏部门间协调。比如,安全保卫部负责安全保卫方面的操作风险,内部审计部门负责操作性风险,科技部门负责系统方面的操作风险。管理职责的分散使银行无法全面进行操作风险管理,使得有些操作风险因无人管理而陷入真空状态。
其次,管理职能缺失。这在银行基层分支机构里体现得较为明显。我国银行的操作风险管理基本由内部审计部门负责,仅在总行有设置风险管理经理一职,而基层机构基本没有专门的操作风险管理部门,因此造成基层分支机构操作风险管理职能的缺失。
最后,部门权力缺乏。主要体现为内部审计部门的权威性不强。我国商业银行大都将内部审计部门作为操作风险管理的职能部门,在部门设置上与一般部室平行而非直接隶属于监事会,因此导致该部门缺乏权威性,从而造成对分支机构的稽核监督容易,而对总行层面的稽核监督难以开展。
3.管理方法落后
我国商业银行的操作风险管理以定性管理为主,多从管理制度方面入手,缺乏定量管理即风险数据库和度量模型的建立[3],从而给操作风险的科学度量和研究带来很大的困难,因此造成操作风险管理的主观性强且缺乏科学性,管理方法仍停留于较低层面。
三.我国商业银行操作风险管理流程设计
我国商业银行完善操作风险管理的首要措施是规范操作风险管理流程[4],可建立包括目标设定、风险识别、风险评估、风险缓释和风险报告等流程。具体地:
操作风险管理的目标设定指导整个操作风险管理流程。商业银行根据其风险环境,通过选定风险偏好和风险容忍度,制定操作风险管理政策,并设定风险管理的目标要求。
操作风险识别是进行操作风险管理的起点。商业银行可根据《新巴塞尔资本协议》的分类运用决策树方法来识别操作风险。
操作风险评估是操作风险管理流程的核心。商业银行可设置相关业绩评判指标分别对不同种类的操作风险进行评估,确定其受险程度。
操作风险缓释是缓解释放操作风险的过程。商业银行可以通过调整其政策以抵御预期风险;通过资本管理以缓释非预期风险;通过保险转移异常风险。
风险报告存在于操作风险管理流程的各个环节。风险报告为决策部门提供完整的风险管理信息披露,以促进风险管理部门间的信息交流和反馈。
四、结论
操作风险管理是我国商业银行风险管理的重要环节,关系其安全性、盈利性和竞争力。当前我国商业银行操作风险管理存在管理理念失当、组织结构缺陷以及管理方法落后等三大问题。本文建立了包括目标设定、风险识别、风险评估、风险缓释和风险报告等流程在内的我国商业银行操作风险管理流程,力求通过规范流程逐步提高我国商业银行操作风险的管理水平。
作者单位:东华大学旭日工商管理学院
参考文献:
[1] 巴曙松. 巴塞尔新资本协议框架下的操作风险衡量与资本金约束[J]. 经济理论与经济管理,2003(2):17-20.
关键词:商业银行;合规风险;嵌入式管理
近年来,我国银行业暴露出的重大违规事件比比皆是,银行业的财政和声誉损失严重。究其主要原因是我国的银行业没有将合规视为重要的风险管理,合规风险并不是银行业关注的重点风险。如今大量的银行合规风险事例的出现,合规风险引起了银行业的重点关注。我国银行业必须要认真分析和研究自身所面临的合规风险,并认真加以解决。
一、准确把握合规风险管理的内涵及意义
合规,是指使商业银行的经营活动与法律、规则和准则相一致。合规风险是指银行因未能遵循合规法律、规则和准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。合规风险管理的任务正是及时发现并制止风险产生以及由此造成的破坏。有时,合规风险也指诚信风险,因为银行的商誉有时与其一贯遵循的诚实廉正原则和公平交易原则密切相关。为了满足监管当局的监管要求,银行必须采取有效的合规政策和流程规定,以确保在违反法律、规则和标准的情形发生时,银行管理人员能够采取适当措施予以纠正。
合规是银行业及相关及融机构的一项核心风险管理活动,健全、有效的合规风险管理机制,是实施以风险为本监管的基础。合规风险贯穿于银行业务的全过程,涉及银行各层次的所有员工,随时、随处都可能会产生合规风险,只有银行管理好自身的合规风险,监管机构的合规性监管才可能有效。就银行而言,违规经营、道德风险是长期困扰和制约银行稳健发展的主要因素,根源就在于我国的银行业一直没有将合规视为风险管理的一项活动,更没有将合规作为一个重要的风险源来管理,长期以来合规一直不是银行重点关注的风险领域。因此,银行就要转变观念。银行主动避免违规事件发生,主动发现并采取适当措施纠正已发生的违规事件,其岗位手册也是一个相关制度和相应做法持续修订的周而复始的循环过程。这一合规风险管理的过程,是构建银行有效的内部控制机制的基础和核心。合规与银行的成本与风险控制、资本回报等经营的核心要素具有正相关的关系,合规能为银行创造价值。
二、当前我国商业银行合规风险管理存在的问题
(一)合规风险管理没有引起足够重视。一是多数银行都是重业务拓展,而轻合规管理。二是重事后管理,轻事前防范。三是重执行层操作人员管理,轻管理层人员约束。
(二)合规风险管理机制有待进一步完善。一是合规管理没有完善、垂直的合规风险管理体制还没有完全形成。一些银行特别是中小银行,还没有成立独立的合规风险管理部门来对合规风险进行统筹管理,还没有形成横向到边、纵向到底的全面和全方位的合规风险管理架构。二是合规风险管理职责分散。目前有的中小银行合规性管理分别由财会、信贷不同的业务部门进行自律监管,这种自立门户、各自为政的合规管理模式,使得合规风险管理不能有效地独立于经营职能,同时由于缺乏专门的管理部门进行统一组织协调,使得合规风险管理有的部门重叠,形成重复管理,有的职责不清,出现管理真空。
(三)合规风险管理法规制度可操作性不强。目前,合规风险管理还不能完全适应防范和化解金融风险的需要,不能适应银行审慎经营和银行业监管的需要。有的银行内部缺乏一整套统一完整、全面科学的合规风险管理法规制度及操作规则,不少制度规定有粗略化、大致化、模糊化现象,缺乏可操作性。同时合规风险管理的激励约束机制不健全,奖励力度较小,惩罚措施较轻。
三、实施合规风险嵌入式管理,提高银行业抗风险能力
通过全面引进合规风险嵌入式管理模式,努力提高风险管理的及时性和有效性,使商业银行的合规管理实现岗、责、人相匹配,以促进内部相互制衡机制有效发挥作用,使全行风险管理能力与经营发展实现整体协调与匹配,为“平安银行”建设提供更为有效的合规保障。合规风险嵌入式管理,是以流程和岗位责任为基础,在业务流程的相关环节中落实相关法律、规则、准则和本行规章制度的要求与规定,随流程落实内控,提高过程控制能力和人员执行力,系统地提升合规风险管理体系有效性,从而有效解决和纠正在经营中有章不循、内部管理规章制度和操作流程执行不力而导致的合规失效问题。
(一)要在合规风险管理中嵌入合规文化建设。如果银行上下都严格遵守高标准的道德行为准则,那么该银行合规风险的管理是最为有效的。董事会和高级管理层应采取一系列措施,推进银行的组织文化建设,促使所有员工(包括高层管理人员)在开展银行业务时都能遵守法律、规则和标准。银行在组建内部的合规部门时,应遵循巴塞尔银行监管委员会所规定的原则,而合规部门则应支持管理部门推进以职业操守为基础,建设蓬勃向上富有活力的合规文化,从而促进形成高效的公司治理环境。建立一整套有效管理各类风险的职业行为规范和做事方法;而且在银行内部,要形成浓厚的合规文化,做到人人合规。所有员工都要有足够的职业谨慎、具有诚信正直的个人品行以及良好的风险意识和行为规范;银行内部要具有清晰的责任制和问责制,以及相应的激励约束机制,形成所有员工理所当然要为他从事的职业和所在岗位的工作负责任的氛围,进而逐步形成合规文化,这对于银行有效管理包括合规风险在内的各类风险至关重要。
