关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
关键词:传统风险导向审计;现代风险导向审计
中图分类号:F23文献标识码:A
一、两者的定义
战略风险是审计风险的一个高层次构成要素,是财务报表整体不能反映企业经营实际情况的风险。这种风险来源于客观的经营风险或企业高层通同舞弊、虚构交易。现代审计风险模型解决的是企业经营过程中管理层串通舞弊、虚构交易或事项而导致财务报表存在错报怎样进行审计的问题。
传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现财务报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层面考虑财务报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题。
二、传统审计风险模型的局限性
传统风险导向审计主要是通过对会计报表固有风险和控制风险的定量评估,从而确定检查风险,进而确定实质性测试的性质、时间和范围。传统风险导向审计实质上是制度基础审计方法的发展,它还不是一种新的审计基本方法。虽然它使审计效率与效果有了实质性的提高,但它在理论与实务两方面都存在固有的缺陷。
(一)从理论层面分析。传统风险导向审计采用的依然是简化主义,认为审计师通过对管理层关于会计报表账户层面各个不同认定的审计,就可以自下而上地为审计师对整个会计报表发表意见提供充分、适当的证据。这就要求审计师以系统的整体观点,结合简化、分析、综合,并进行适当的平衡,才能够对被审计单位取得深入的理解。虽然传统风险导向审计的理论与实务已经在一定程度上认识到自下而上、由点到面审计思路的缺陷,要求审计师对企业经营环境做一定程度的了解,但它仅作为一种参考,没有将会计报表错报风险与经营风险紧密联系起来。20世纪八十年代后,随着企业与内外部环境之间的联系以及企业内部组成部分之间的联系越来越紧密,传统风险导向审计简化主义的缺陷越来越明显。
(二)从实务层面分析。传统风险导向审计因为采用简化主义的观点,假设审计师通过对各个账户层面的认定进行审计就可以获得充分、适当的证据,所以审计师只需要关注企业的内部控制。因此,在传统风险导向审计模式下,一般认为审计师发现不了上下串通的蓄意造假。也就是说,在这种情况下发现重要错报的概率等于零。这样,审计的价值也就大打折扣,客观上削弱了审计在社会公众心目中的价值。
审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)
经深入研究发现,上述审计风险定义及审计风险模型存在许多不足:第一,该定义认为审计风险是注册会计师对于存在重大错误的财务报表未能适当地发表审计意见的风险。它忽略了这样一个事实:即使财务报表没有重大错误,注册会计师也会因各种原因而发表不恰当的审计意见的可能性;第二,传统审计风险模型仅从审计的过程上把审计风险划分成固有风险、控制风险、检查风险三个因素,未能从审计过程之外分析审计风险产生的深层次社会原因。而实际上,审计风险是审计内环境与审计外环境综合作用的结果;第三,传统审计风险定义及审计风险模型不能够解释如下矛盾的现象:一方面审计实务界普遍认为,审计风险在明显增加;另一方面审计理论界普遍认为,审计质量在普遍提高。
同时,运用传统审计风险模型进行审计所依据的审计手法是以“以证实性为主”,无法将“应有的职业怀疑”观念落到实处。
从制度基础审计到20世纪八十年代西方国家建立起来的风险导向审计,审计的手法一直都是以证实性为主。审计人员所进行的控制测试是为了减少实质性测试的工作量。虽然我们在一些准则中也强调“注册会计师应当根据独立审计准则的要求,充分考虑审计风险,实施适当的审计程序,以合理确信能够发现可能导致会计报表严重失实的错误与舞弊”。但同时我们的准则也强调“注册会计师对会计报表的审计,并非专为发现错误或舞弊”。因此,迄今为止,包括传统的风险导向审计在内的审计手法还都是在“以证实性为主”,奉行的是“无反证假设”和“无错推定”,只不过要求注册会计师在实施证实性审计的过程中去关注可能导致会计报表严重失实的错误与舞弊。这样的模式是与传统的审计风险模型相吻合的,但其不足之处也是很明显的。一方面这种模式不利于缩小审计期望差;另一方面“应有的职业怀疑”在这种模式下难以落到实处,很容易成为一句空话。
三、现代审计风险模型的具体优势
考虑到传统风险导向审计模式的局限性,现代审计风险模型:审计风险=重大错报风险×检查风险,重大错报风险评估是通过“了解被审计单位及其环境并评估重大错报风险”来实现的。这一思想将风险评估的范围拓展了,要求将被审单位的各种风险,包括控制风险、账户及交易层次风险以及其他如经营风险、行业风险、舞弊风险等都考虑进去。总体来说,现代风险导向审计是一种新的审计基本方法,它以被审计单位的经营风险分析为导向,以审计理论、系统理论和战略管理理论为指导,通过自上而下和自下而上相结合的审计思路完成审计工作。其具体优势体现在以下方面:
第一,运用现代审计风险模型进行审计可以更有效地发现经营风险和舞弊风险。现代审计风险模型将固有风险与控制风险综合为重大错报风险,审计人员在审计过程中通过风险评估程序,对重大错报风险存在的可能性进行评估,不仅评估被审计单位的内部控制,同时对企业经营环境、经营战略以及管理层是否诚信等做出风险评估,根据评估结果和可接受的审计风险,进而确定检查风险,确定实质性测试的时间、性质和范围,并且对于各类重大交易、重要账户余额和重要披露,无论内部控制是否存在及有效,必须进行详细审计,这是对传统风险导向审计方法的重大改进。
第二,运用现代审计风险模型进行审计采用的是一种全新审计技术。其基本程序包括:战略风险分析、经营环节问题分析、经营业绩评价、剩余风险评估、实质性审计测试时间、性质和范围的确定。
第三,现代风险导向审计模式是一种“自上而下”的审计模式。独立审计师可以在合理评估剩余风险的基础上有效实施实质性测试程序,然后采用“自下而上”的审计模式,汇总审计情况,最后在评价被审计客户会计报表中的整体错报水平的基础上发表恰当的审计意见。因此,现代风险导向审计程序是一种科学化的系统分析过程。这种模式的优势在于它既可以从整体上把握审计风险因素,简化审计手续,提高审计效率,又可以合理整合审计资源,抓住主要矛盾,提高审计效果。
第四,运用现代审计风险模型进行审计是实施“以侦察性为先导、以证实性为补充”的审计战略。现代企业的特点是规模大、业务繁杂、会计普遍实现电算化、内部控制比较健全。企业会计电算化的普及大大减少了会计上一般错误发生的可能性,管理当局舞弊成为当前会计报表审计中最主要的矛盾。在这种情况下,实施“以侦察性为先导,以证实性为补充”的审计战略可以有效地降低审计风险,并能将“应有的职业怀疑”从一开始就落到实处,从而有效地减少审计期望差。将主要精力转移到关注和控制管理当局舞弊风险,必然要求由原来对管理当局“中性”的看法转变到对管理当局实行“有错推定”,使“应有的职业怀疑”不再是一句空话。舞弊是现代注册会计师进行审计时所面临的主要矛盾,而管理当局舞弊又是矛盾的主要方面,风险导向审计将战略调整到将主要精力转向关注管理当局舞弊风险,充分体现了注册会计师在审计中抓主要矛盾,抓矛盾的主要方面这样一种哲学思想。
总之,现代审计风险模型解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。相应的,现代风险导向审计按照战略管理论和系统论,将由于企业的整体经营风险、战略经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估,是评估审计风险观念范围的扩大与延伸,是传统风险导向审计的继承和发展。
四、现代风险导向审计模型的作用
在现代风险导向审计中运用修订后的审计风险模型,克服了原模型的局限性,强化了审计风险管理。在现阶段,审计人员是用测试和抽查的方法进行审计取证的,所以审计风险无可避免。随着审计结果使用者日益注重维权,一旦不当的审计意见对会计报表使用者造成损失,审计人员就有可能承担赔偿等审计责任,在固有风险与控制风险不易区分的情况下,重大错报风险能更综合地反映被审计单位的风险情况,从而让审计人员有章可循,并在涉及诉讼的时候处于有利的申辩位置。从理论上分析,重大错报风险与固有风险和控制风险乘积差别不应很大,在实际操作中外部风险较容易被认识,而潜在风险具有很大的隐蔽性;单纯的风险容易发现,多种因素交织而成的风险具有复杂性,如国际经济影响,外汇汇率变动,国内经济波动,政治、战争因素的影响,由于新模型将风险因素归为重大错报风险,因此新模型的可操作性比原模型要强得多。同时,新模型的出台对审计人员的理念将会产生重大影响,审计将始终针对重大错报风险的识别与评估;对于审计人员所需承担的责任,也能以对重大错报风险评估结果和审计人员工作形成记录的基础上,再评估为检查标准。
(作者单位:安徽财贸职业学院大位会计学院)
主要参考文献:
[1]马春静.新编审计原理与实务(第三版)[M].大连理工大学出版社,2008.
【论文摘要】与传统的风险导向审计技术不同,战略系统基础审计风险模型将系统理论和战略管理理论更广泛的导入到现代风险导向审计方法体系之中。这种创新的审计模式,具有审计视角前瞻性;审计技术多元化以及审计程序系统性等核心优势。
1战略系统视角下审计风险模式的内涵
战略系统风险审计模式(strategic-systems risk-based audit approach model),又被称为现代风险导向审计技术。它以审计理论、系统理论和战略管理理论为指导,通过“自上而下”和“自下而上”相结合审计思路完成审计工作。试图从企业的战略分析入手,通过“经营风险透视—业绩评价一一会计报表剩余风险分析—实质性测试的时间、范围和性质的确定”的思路,将被审计客户会计报表重大错报风险与企业经营风险分析紧密结合起来。这种全新的模式定义审计风险模型为:审计风险=重大错报风险×检查风险。其中重大错报风险(risk of material misstatement)是指会计报表审计存在错报的可能性,它包括两个层次:会计报表整体层次(overall financial statement level)和认定层次(assertion level)。会计报表整体层次风险主要指战略经营风险。战略经营风险是会计报表整体不能反映企业经营实际情况的风险。这种风险主要源于企业客观存在的经营风险或企业高层通同舞弊、虚构交易。会计报表层次重大错报风险通常与控制环境有关,并与会计报表整体存在广泛联系,可能影响多项认定,但难以限于某类交易、账户余额、列报与披露的具体认定。把战略风险融入现代审计模型,可建立一个更全面的审计风险分析框架。
认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理当局由于本身的认识和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊。新的审计风险模型是随着审计环境和审计实践的发展应运而生的,更符合审计的实际工作情况,有利于注册会计师执行风险评估程序。
2 战略系统视角下审计风险模式的核心优势
传统的风险导向审计不是一种新的审计方式,它只是将审计风险模型应用于制度基础审计之中,并以此指导审计工作进行审计风险控制;现代风险导向审计是一种全新的审计方式,它是审计技术方法在系统理论和战略管理理论上的重大创新,在此基础上的审计风险模型有以下核心优势:
2.1 审计视角的前瞻性
战略系统风险基础审计模式(strategic-system risk-oriented audit approach model),是种广元化的风险控制技术,而传统的风险导向审计技术是种狭义的“会计视角”(accounting lens)。新的审计视野由以往关注内部控制和具体认定层次风险扩大到历史沿革、公司治理结构、发展战略、企业环境等宏观方面,从企业的经营战略分析入手,将被审计单位的环境因素与重大错报风险联系起来,要求审计师应该从更高视角去审视被审计客户的经营风险,从源头上寻找滋生会计舞弊的种种迹象,最大限度地识别被审计客户会计报表中的重大错报问题。
战略系统视角审计风险模型的假设前提是:如果被审计客户的战略制定与实施中存在问题,或者是经营环存在漏洞,在激烈的市场竞争环境下,其经营业绩很可能下滑。面对严格的市场监管和社会公众的合理预期,被审计客户的管理高层为了能够瞒天过海,往往会最大限度地掩饰其不利的经营问题。在这种情形之下,独立审计师所面临的审计风险是很高的,而战略系统风险基础审计模式它试图从企业经营风险的分析入手,全面剖析被审计客户可能存在的各种问题,可以抓住问题的实质与关键所在,从而可以避免审计人员均衡用力而整日操劳于无效率的账表审计之中。
2.2 审计技术的多元性
与传统风险导向审计技术不同,战略系统风险基础审计模式它不仅注重传统的审计技术,而且注重全新的审计技术。虽然传统的风险导向审计也采用分析性复核程序,但它往往只注重与企业会计报表相关的财务指标分析,而很少进行非财务指标分析,因此,传统风险导向审计技术无论从深度上,还是广度上,均劣于现代风险导向审计技术。战略系统风险基础审计模式的优势在于:
(1)战略问题分析技术。战略分析主要是客户外部环境和内部条件分析,独立审计师可以采用四个环境因素(pest)分析技术和波特(porter)分析技术,对客户的战略风险进行综合评估,形成对行业利润的合理预期;
(2)经营风险分析技术。独立审计师可以采用价值链(vca)分析技术、波士顿(bcg)分析技术和机会、威胁、优势与劣势(swot)分析技术,对客户的经营业绩形成合理预期;
(3)业绩评价技术。独立审计师可以采用平衡积分卡(bsc)和标杆管(benchmarking)分析技术,对客户的经营业绩进行总体评估;
2.3 审计资源的效率性
战略系统风险基础审计模式的主要价值在于提高独立审计师发现被审计客户会计报表中存在的重大错报行为,其基本内核是要将独立审计师的主要精力放在高风险领域。独立审计师的精力是有限的,他们不可能对被审计客户的所有账表资料进行逐一地审核,况且即使这样,独立审计师也有可能发现不了会计报表中的问题。独立审计师只能做到合理的预计和确信,而不应该对会计报表的真实性做出绝对的保证。而现代风险审计模式的基本思路将独立审计师所关注的问题前移,试图在增加经营战略风险分析的成本同减少实质性测试的程序的成本之间进行权衡。究竟何种效果最佳,还有待于进一步的实证检验。但是有一点可以肯定,战略系统风险基础审计模式可以帮助独立审计师在制定审计战略之前合理评估被审计客户的经营风险,将审计精力分配到高风险环节,提高审计资源的效率。由此可见,战略系统风险审计基础模式它要求独立审计师全面提升专业胜任能力,密切的关注客户的经营风险,做到审计资源的有效整合,以提高独立审计师的价值。
参考文献:
风险导向审计内涵特征缺陷
一、现代风险导向审计
1、风险导向审计的内涵
现代风险导向审计以系统理论和战略管理理论为指导,通过自上而下和自下而上相结合的审计思路对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加程序,它通过综合评估经营控制风险来确定检查风险,从企业的战略分析着手,通过战略系统分析-环节分析-剩余风险分析-具体审计目标分解-实质性测试时间、范围和性质的确定的思路,将被审计客户会计报表错报风险与企业经营风险紧密地结合起来。这种全新模式要求独立审计师从更开阔的视角发现与被审计单位会计报表中的重大错报行为,从而减少审计失败的风险。
2、风险导向审计的特征
(1)风险导向审计在审计程序上主要以风险评估为中心,将风险的识别和评估贯穿于审计的全过程,加强了风险评估程序,体现了风险导向审计的真正理念。
(2)风险导向审计采取以分析程序为中心,辅助使用询问、检查、观察、穿行测试等其他手段的方法。风险评估的分析对象也由财务信息扩展到了非财务信息,且分析方法工具多样化,如战略分析、绩效分析。
(3)风险导向审计的重点侧重于管理层的舞弊风险,审计人员采取更为个性化的审计程序,对于错报风险和员工舞弊风险,审计人员在审计过程很可能得到企业管理者的配合,因为这同时也是管理者和社会公众的需求,审计人员和管理层之间没有必然的利益冲突。而对管理舞弊风险,由于审计人员和管理者之间存在利益冲突,管理者不可能真正配合审计人员开展审计工作。
(4)风险导向审计要求审计师的知识结构达到一个复合型人才的标准。审计师不但需要精通审计知识,而且要熟练各个层面的风险评估和分析方法,先进的管理学工具,同时要关注行业和管制环境的动态、市场经济的规律、国家的财政、贸易、货币政策及法律的变动等领域的知识信息,最重要的是要具备职业判断能力。
二、现代风险导向审计与传统审计
1、传统审计风险模型的缺陷
(1)传统模式因为在评估固有风险时必须从内部控制入手,使得固有风险概念内涵与外延不一致,逻辑上不能一贯,这使风险模型的科学性受到了极大的损害。
(2)如果注册会计师能把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是注册会计师只要通过控制测试得到了一个比较满意的结果,就理所当然地认为他们已经有了一个比较高的可接受检查风险水平。因为控制测试得到的是内部证据,因为其证明力比较差,并且内部控制在防止无意的错报以及员工舞弊方面虽然有着积极意义,但在防止管理当局舞弊方面,内部控制无能为力。因此,传统模式把控制风险单独作为风险模型的一个乘积因子,这就为审计失败埋下了一个很大的隐患。
(3)由于现有的审计风险模式只能用于账户余额或交易类别,而不能用于财务报表整体,因此,在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的,而不能形成整体的宏观的认识。这就必然导致传统风险模式不能用于财务报表整体,无法满足对财务报表审计整体审计风险的把握和控制。
2、与传统风险导向审计比较现代风险导向审计的特点
(1)审计重心前移,从以审计测试为中心到强调风险评估,审计程序主要包括风险评估程序、审计测试程序(包括控制测试和实质性测试)。充分体现了风险导向审计的核心即:深入了解客户、严格风险评估及强化风险评估对审计程序的指导作用。而传统风险导向审计的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现在大大加强了风险评估程序,真正体现了风险导向审计的理念
(2)风险评估重心由控制风险向联合风险转移。现代管理层舞弊是绕过或逾越内控,导致控制风险很低而实际审计风险很高,所以现代风险导向审计重新认识到固有风险评估的重要性,评估联合风险,并以联合风险的评估水平确定审计测试(包括控制测试和实质性测试)的性质、时间和范围。
(3)风险评估更加重视对客户经营风险的间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险评估,现代风险评估仍落脚在审计风险评估,但更重视间接评估,充分借鉴和吸收了战略分析的成果,从了解客户经营环境、评估经营风险入手。
(4)自上而下和自下而上相结合。传统风险导向审计从控制风险评估入手,视野过于狭窄。而现代风险导向审计,从企业内外环境、经营风险分析入手,以此来发现可能出现重大错报的领域以及评估客户会计政策及会计估计的恰当性,有利于对经济业务实质做出判断。同时,现代风险导向审计并不忽视实质性测试的重要地位,实际上一些大案要案的查处也是从细微处入手的。
(5)重视审计策略,强调具体审计测试个性化。传统审计程序存在标准化的倾向,其一是不能对症下药,没有贯彻风险导向审计思想;二是客户的预期,由于很多客户的财务人员是审计人员出身,或系统学习过审计,或长期与审计师打交道,这使审计人员无法突破客户预先设置的障碍或防范措施。为此,国际新审计风险准则己要求对重大错报风险考虑选用“出其不意”的审计程序。
综上所述,现代风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程,以分析被审计单位的经营风险为导向,从宏观上了解被审计单位及其环境以充分识别和评估会计报表重大错报的风险,从而设计和实施控制测试和实质性程序。该审计模式具有“提高审计效率、降低审计成本”的优势,中小会计师事务所具有实施现代风险导向审计的需求且在实践中具有可行性。中会会计师事务所在具体实施审计中可以吸收现代风险导向审计中的风险理念、风险评估程序结合传统审计方法设计实施针对性的审计程序以达到最优效果。
参考文献:
[1]陈毓圭.对风险导向审计方法的由来及其发展的认识.会计研究,2004.
【关键词】金融风险管理风险测度一致性风险测度
一、引言
金融风险管理是各类金融机构所从事的全部业务和管理活动中最核心的内容,它和时间价值、资产定价被并称为是现代金融理论的三大支柱。金融风险管理分为识别风险、测量风险、处理风险以及风险管理的评估和调整四个步骤。其中,金融风险的测量是金融市场风险管理的核心环节。风险测量的质量,很大程度上决定了金融市场风险管理的有效性;合理风险测度指标的选取,是提高风险测量质量的有效保障。
二、风险测度的发展历史
风险测度理论的发展大致经历了三个阶段:首先是以方差和风险因子等为主要度量指标的传统风险测度阶段;其次是以现行国际标准风险测度工具VaR为代表的现代风险测度阶段;最后是以ES为代表的一致性风险测度阶段。
传统风险测度工具包括方差、半(下)方差、下偏矩LPM(LowPartialMoments)、久期(duration)、凸性(convexity)、beta、delta、gamma、theta、vega、rho等,这些指标分别从不同的角度反映了投资价值对风险因子的敏感程度,因此被统称为风险敏感性度量指标。风险敏感性度量指标只能在一定程度上反映风险的特征,难以全面综合地度量风险,因此只能适用于特定地金融工具或在特定的范围内使用。
方差、半(下)方差、下偏矩LPM等风险敏感性度量指标只能描述收益的不确定性,即偏离期望收益的程度,并不能确切指明证券组合的损失的大小。所以,它们只是在一定程度上反映风险的特征,难以全面综合地度量风险,因此只能适用于特定地金融工具或在特定的范围内使用。
现行的国际标准风险管理工具VaR最初由J.P.Morgan针对其银行业务风险的需要提出的,并很快被推广成为了一种产业标准。风险价值VaR是指在正常的市场条件和给定的置信水平下,在给定的持有期间内,投资组合所面临的潜在最大损失。VaR是借助概率论和数理统计的方法对金融风险进行量化和测度。它最大的优点是可以得出多维风险的一个一维近似值,可用于测量不同市场的不同风险并用一个数值表示出来,因此具有广泛的适用性。巴塞尔银行监督委员会、美国联邦储备银行、美国证券交易委员会、欧盟都接受VaR作为风险度量和风险披露的工具。
但是,VaR作为风险测度的指标,不满足一致性风险测度四条公理中的次可加性公理,不是一种一致性风险测度指标。这就意味着当用VaR度量风险时,某种投资组合的风险可能会比各组成成分证券风险之和还要大,从而导致投资者不愿多样化投资的情况。而且VaR不能测度超过VaR的损失、不适用于非椭球分布函数族、VaR有许多局部极值导致VaR排序不稳定等缺陷,决定着VaR并不是一种合适的风险测度指标。
基于上述风险测度的局限性,Artzner等(1999)提出了一致性风险测度(CoherentRiskMeasure)概念。他们认为一种良好定义的风险测度应该满足单调性、一次齐次性、平移不变性和次可加性四条公理,并将满足这些公理的风险测度成为一致性风险测度。
单调性:
如果投资组合X1在任意情况下的价值都比投资组合X2的价值大,则一致性风险测度度量的X1的风险至少不应该比X2的风险大。也就是说,优质资产的风险应该比劣质资产的风险小。
上式意味着,如果用数量为(X)的资本或保证金加入到投资组合X之中,则恰好可以抵消投资组合X的风险。因此,平移不变性公理要求风险测度在数值上就是为抵消投资组合的风险而需要提供的资本或保证金的数量。
次可加性公理意味着,用一致性风险测度度量出来的所有被监管对象的总体风险,不能比各单个被监管对象的风险之和大。否则,即使各个被监管对象都设置了足够的资本或保证金(Xi),也不能保证所有监管对象总的资本或保证金足以抵消整体风险,因此监管措施就可能失效。可见,次可加性公理主要是从保证风险监管有效性的角度提出的,为监管目的而设计的风险测度应该满足次可加性公理。
由于这四条公理的合理性,一致性风险测度不久就被风险测度理论界广泛接受。
数理金融学家随后在一致性风险测度四公理基础上提出了几种形式不同的一致性风险测度指标,其中ES是最常用的一种。ES就是投资组合在给定置信水平决定的左尾概率区间内可能发生的平均损失,因此被成为ExpectedShortfall。ES对于损失X的分布没有特殊的要求,在分布函数连续和不连续的情况下都能保持一致性风险测度这一性质,使ES不仅可以应用到任何的金融工具的风险测量和风险控制,也可以处理具有任何分布形式的风险源,而且保证了在给定风险量的约束条件下最大化预期收益组合的唯一性。
由于ES风险测度的发展时间不长,ES作为一种一致性风险测度也存在着一定的局限性。VaR与一阶传统随机占优是一致的,ES风险测度与二阶传统随机占优是一致的;但是,VaR与二阶及二阶以上传统随机占优不是一致的,ES风险测度与三阶及三阶以上传统随机占优不是一致的,在特定情况下,运用VaR和ES都不能做出正确的投资决策。
三、结论
总之,风险测度理论至今为止仍然是一个有待进一步开发和完善的领域,有许多值得深入研究的课题。由于现有各种风险测度指标均存在一定的局限性,新的风险测度理论和建立在其之上的新的风险测度指标(性能优良、便于计算、合理检验)是今后值得深入研究的重点和方向。
【参考文献】
[1]ArtznerPh,DelbaenF,EberJ-M,HeathD:Coherent
MeasuresofRisk[J],MathematicalFinance,1999(9).
[2]DirkTasche:Expectedshortfallandbeyond[J],Journal
ofBanking&Finance,2002(26).
关键词:投资银行;系统风险;监管与规制;法律制度
证券中介结构的本质是早期投资银行的业务结构所断定的,守旧的金融规章制度与管控,在证券业规章与管控中纳入投资银行,确保投资者成为管理投资银行的管控者,投资银行管控者的关键点不是防范系统。由于业务结构的改变,使得现资银行重要性越来越突出,现代化投资银行的重要目标就是要建立防范系统风险,来作为管控与规章的关键点。建立防范系统风险,创建现代化投资银行的管控体制,应当建立以效用管控和宏观管控为主的监管模式,将现资银行的监管目标设置为系统风险的防范,改变单一监管的方向。
一、现资银行系统风险揭露及规制与监管欠缺解析
1.解析现资银行系统风险揭露
(1)预防对策与风险界定
目前从理论上而言,还没有完全统一所谓的金融系统风险。美国次贷危机爆发后有学者认为系统风险有经济冲击、增加资金成本或资金减少状况。而金融风险当中,系统风险区别于一般金融风险主要在于:系统风险的传染性很强,而且由于金融的特性断定了其风险的传染性,但是风险传染性会因为金融风险的不同而产生差异,比较于一般金融风险,系统风险容易从市场传染到其他市场或机构。第二,最后的结果会使得稳定发展的金融机构遭受重大损失。从微观立场来看,无法具体区分风险传染性的强弱,由于传染性特点是区别于一般风险和金融风险的重要关键点,另外还能导致原本稳定发展的金融机构遭受重大冲击。综上,界定金融系统风险,预防风险的主要点就是要做好风险抵御工作,防止传染性增强,化解系统风险的重点在于要采取针对性对策来挽回损失。直接和间接是传染的主要两种途径,直接传染指的是通过业务交易途径从特定的市场将风险传染到其他机构当中;间接传染指的是通过投资者信息、流动性市场途径进而冲击其他金融市场或机构。银行风险传染途径大概也有以上两种。
(2)系统风险的理论认识与欠缺
守旧的金融监管与规制的使命就是将系统风险预防作为重要目标,因为投资银行必然会与其他社会资金结算中心有一定的联系。以往,商业银行发放贷款间接融资方式是市场融资模式中最主要的一种方式,银行系统风险揭露容易遭受客户危机。因此,银行业务规制与监管的核心重点必然要放在系统风险的预防上。而金融机构与银行地位不同,但是在金融发展的背景之下,与银行之间的差异极为明显,自身风险具有不易传染特点。与证券公司相比,在结构上具有明显的差异,决定了证券公司不会轻易扩散风险,也不会成为暴露风险的导火线。由于证券公司与银行在结构上具有一定的差异,不会容易遭受市场影响的证券公司,虽然会面临可能破产的情况但是不会将此风险扩散到其他金融系统。
对于系统风险理论知识,通过研究认为金融市场系统风险、支付结算系统风险以及银行市场系统风险是系统风险主要三种模型。综上解析,系统风险理论认识的视野突破了单一立场,金融机构中的系统风险也得到了高度关注。但是从机构立场而言,仍然有一定的局限性,对金融机构与系统风险之间的联系并未充分认识。这是因为监管与规制实践导致缺失了非银行金融机构的监管与规制,忽略了可能会发生的系统风险。
2.现资银行守旧规制与监管欠缺解析
(1)金融规制与监管的合法性与重要性
金融业最大的特点就是预期未来,以发展预期未来经济为根基决定金融主体的行动,以预期未来的数据为参数实现金融交易,这一特点是区别于其他非银行金融机构的最重要的一点,合理预期未来经济发展,将现有经济资源放置于巨大潜力发展的领域当中,合理分配社会资源,带动某一行业经济快速发展。但是这一特点也蕴藏着极大的风险,如果对未来经济发展的预测出现了失误,则会满盘皆输,最终受到风险传染引发系统风险。从市场经济理论为立场,过于乐观往往是因为盲目,进而导致了经济发展预期出现失误结果。其他经济行业而言,盲目性的出现会导致经济损失但是不会轻易受到传染,由于金融业资源配置的社会地位,容易遭受几何倍数的特定风险,将其传染给其他机构,因此,规制标准的建立应当要高于其他机构,更需要坚持谨慎原则来实施规制与监管。
(2)以预防风险为关键,定位投资银行监管目标
将重要性和合理性作为金融关键的重点目标。第一,传统金融业中国的风险揭露是不同的,因此,构建的规制与监管要求应当针对不同金融机构进行差异化对待。第二,以发展历史的角度而言,银行特殊的社会地位,是造成系统风险揭露的主要点,其他金融结构则很难引起系统风险。第三,在金融、经营分业监管状况之下,要区分不同金融机构监管者的职责,促进监管者相互之间的监管效率提升。所以,针对不同金融机构,保持适当的监管重点且对统一的目标进行明确,满足新形势背景下规制与监管的要求。从而综合分析各种监管目标,通过实际考察之后,将系统风险的预防作为规制与监管的重要目标。
(3)现有规制与监管体制下投资银行规制与监管欠缺
第一,忽略了资本市场风险的规制与监管。根据金融机构本质设置不同的规制与监管模式,这是以往传统金融规制与监管的建立思想。比较于货币市场来讲,风险监管与规制的核心重点又不是资本市场,而是避免出现欺诈和内部交易的行为,促进市场效率提升。资本市场风险,特别是预防系统风险很容易受到忽略。投资银行的直接投资业务还是证券承销业务都是要通过资本市场来实现的,当今资本市场中,投资银行的主体地位越来越重要。通过资本市场来完成衍生产品的设计,进而转移系统风险,而投资银行则是这些衍生产品的中介,为获取利润投资于衍生业务交易当中,将风险分散的同时容易扩散这些风险,因此,在资本市场中大量风险被聚集,而金融规制与监管不够重视资本市场风险的预防,最终导致引起银行系统风险的揭露。
第二,监管机制效用不足。多头监管制度已让无法满足监管与规制的要求。比如美国允许混业经营并给予了监管模式,实现规制与监管通过金融控股母公司的监管与规制来实施,因此使得混业经营具有一定的局限性,其他非银行金融机构则无权进行监管。虽然美国的金融监管与规制模式比较于单一的规制与监管模式,有很大的差异。在美国规制与监管制度背景下,不需要规制与监管整体稳定的金融业,这一变化使得美国投资银行可以充分显现出自身的能力,拓展商业银行无法进行的高风险投资项目,在高额利润的获取之下同时也潜藏着巨大的系统风险。
二、完善现资银行规制与监管的对策
1.增强市场准入与规制、监管的退出
(1)增强市场准入的监管与规制
必须要充分认识到系统风险的传染性以及管控原则,禁止准入风险过于复杂的衍生产品,采取针对性应对策略来预防容易传染风险的金融产品。以风险性监管立场,有效控制市场准入机制,从根源上对潜藏的系统风险进行防范,随时对金融风险的发展进行动态跟踪,是调节规制与监管措施的必然要求。预防风险,就要严格审查市场准入机制下的金融业务产品,特别是审查其潜藏的传染渠道。金融市场中,投资银行是主要的金融机构,是衍生产品的研发者,也是资本市场当中的业务交易者。要充分认识到市场准入的重要性,进而实施规制与监管。
投资银行事前业务风险揭露要求要不断规范,严格信息披露,提供交易方与投资方分析潜藏风险的条件,进而将市场自我约束机制充分发挥,通过妥当的监管与规制促进市场自我约束机制效率提升,全面、真实的规范银行交易业务事前风险揭露的要求。
(2)标准化市场退出监管与规制机制
构建资金救助基金,强制银行缴纳资本公积金,在清算破产时作为补偿对手方的经济损失。通过技术标准,将资金公积金与补偿额度、交易风险相联系,提升市场自律。金融业的特点断定了收益性和风险性,近年来的发展更加表明了投资银行具有明显的高收益、高风险性的表现,因此,提取银行资本公积金,要高于一般企业的盈余资本公积金,确保投资银行、企业稳定长远发展的合理性。在资金救助基金中纳入盈余资金公积金,有效防止系统风险暴露以及传染性,而且还能促进市场自律提升,因此,将盈余资本公积金比例提升,进而构建资金救助基金,能够预防系统风险。
2.构建投资银行资本监管机制模式
确定风险资本,构建充足的风险资本核心内容是至关重要的。在构建监管规则时,在风险资本范围当中,应当纳入其他风险因素,创建开放性的资本监管机制。现代化投资银行系统风险的揭露,规定明确的流动性风险要求,而这也是建立投资银行资本监管的重要关键点。计算风险范围时,要注意风险的封闭性,无论是市场风险、流动性风险还是信用风险等等,随着外部不断的变化,不同时期的不同风险也是各有不同的,因此,创建资本监管时,要动态衡量风险资产,构建开放性的资本监管机制。
3.巩固投资银行机构规制与监管措施
投资银行在规制与监管方面,涉及领域众多,除了业务交易、组织结构等之外,银行内部的风险预防、约束机制也是至关重要的。以系统风险预防的立场而言,认为应当以风险管理为重点,增强投资银行规制与监管力度,以此为出发点,审视投资银行规制与监管方面的缺失和不足,进而提出针对性的监管与规制应对策略来完善投资银行的监管模式。
薪酬政策的不合理与治理方式的不妥当,是美国次贷危机引发系统风险的主要根源。以投资银行的薪酬考核角度而言,机构的资产管理、收入增长幅度、股东权益回报以及EPS等,比较同行也其他金融机构的薪酬考核指标,由薪酬委员会来决定薪酬收益。这种薪酬制度与收益有很大的联系,却没有与系统风险相联,使得银行决策者忽略了公司的长期利益,对短期利益去刻意的追求。这种短期利益的追求对决策者参与短期衍生金融产品的积极性提供了激励作用,银行高管的薪酬与激励机制没有与业绩、风险相联,进而引发了“道德风险”。因此,在监管与规制当中,银行高管应当在监管的范围之内纳入薪酬制度。总而言之,应当构建激励为主的薪酬体系,将高管的薪酬与公司的未来发展与经济收益相结合,设置留成报酬机制,避免短期激励因素的过度,而导致银行高管始终参与短期投机。
现资银行规制与监管中,股权分散进而导致决策越位的现象越来越突出,进而也会导致决策者忽略银行机构的未来发展所潜藏的风险因素。基于此,银行高管应当进一步增强业务交易的透明度,在业务交易的流程当中,如果没有达到透明的要求也会导致业务交易存在一定的风险,非透明的业务交易,会对风险监管带来一定的难度,而且也会给参与市场的投机交易增加了刺激影响,进而导致投资银行规制与监管无法贯彻实施。以合理的、有效的透明的方式来完成业务交易,是治理投资银行的必然要求,如果透明度不高,那么参与者以及股东就会无法实施有效的监督作用,也无法将权责分配到每位工作人员的头上。因此,在银行当中,非透明业务交易处理容易导致引发高风险。这些现象的出现,在现资银行中越来越突出,尤其是在资本市场形势下,增加业务交易的透明度,发挥约束作用,能够弥补决策越位的缺陷。
三、总结
现资银行的系统风险具有传染性,市场下滑时更容易引发系统风险,在现有的规制与监管模式下,通过信息披露确保市场自律和投资者的利益,加强关注银行的高风险性。因此建立完善的系统风险规制与监管机制,是当前迫切紧急的一项任务。
参考文献:
[1]包勇恩.现资银行系统风险规制与监管法律制度研究[D].苏州大学,2010.
[2]汪丽丽.非正式金融法律规制研究[D].华东政法大学,2013.
关键词:财务风险管理;信息沟通;风险监督
一、财务风险的概念
财务风险是风险的一种,有狭义和广义之分,狭义的财务风险通常又称为筹资风险,是指企业到期不能正常还本付息的可能性。广义上的财务风险是指受内外部环境或其他因素影响,企业的实际财务收益低于预期财务收益,致使企业蒙受财务损失的可能性。如果不特别指出,本文所说的财务风险取其广义含义。
为了全面认识财务风险,还应该鉴别财务风险与财务危机的联系与区别。财务危机是指企业陷入危及其生存与发展的严重困境,通常导致这种结果的原因是企业不能适应外部环境的变化。财务风险与财务危机并不存在必然的关系,即财务风险并不一定导致财务危机。财务风险与财务危机又存在一定的联系,即财务危机往往是从财务风险开始的,如果对于财务风险没有及时有效地控制,进一步演化可能就发生财务危及。
企业为应对和改变所面临的财务风险状况,通常会采取一定的管理措施和行为,这些活动即是企业财务风险管理。具体来说,财务风险管理包括风险识别、风险衡量、风险应对、风险防范等环节。风险识别、风险衡量、风险应对、风险防范等内容将在下文详细介绍。财务风险管理的目标包括两个方面:第一个方面是财务风险控制目标,它是指企业采取有效措施防止财务风险的实际发生,或将财务风险控制在可承受的范围内。第二是财务损失控制目标,即财务风险不可避免时,将其造成的后果降至最低或控制在一定范围之内。
二、建立健全高效的信息管理机制
一般地,信息管理包含信息收集、整理、分析、传递、存储等环节。随着现代社会信息化程度的深化,以及企业内外部环境的变化,对信息实施有效的管理已经成为越来越多企业的共识。对与财务风险相关信息的管理,同样应成为财务风险管理重要内容。建立高效的信息管理机制,应该从人员、沟通机制、绩效等方面做好工作。人员方面,要配备专人负责企业内部、外部信息的管理工作,人员的专业知识和技能、风险管理意识应该符合财务风险信息管理的要求。人员的综合素质与能力是信息管理质量的核心保证。详细来说,从事财务风险信息管理工作应具备以下素质与能力:一是了解信息组织的基本原理与方法。二是掌握信息管理的常用工具。三是对企业内外部信息保持敏感性,并能够及时获取、整理、分析与企业相关的信息,撰写成定期或不定期报告。四是具有较强的系统分析能力与逻辑思维能力。还应该建立畅通的沟通机制。这里所说的沟通机制涵盖双向的信息流动,既包括自下而上的信息报告,也包括自上而下的信息传达。沟通机制的基本要求是:有效、高效与快速。所谓有效,即是信息能够正确地传达到目标对象;高效是指整个传达过程效率高;快速则是指信息的传达过程所用时间短、传达及时。在绩效方面,为了对信息管理人员形成有效的激励,企业应该完善绩效考核机制,奖惩分明,促进信息管理工作更快更好发展。激励是管理工作的不可缺少的组成部分,人的惰性决定了在实际管理工作中要重视激励制度的设计与执行。实行绩效考核是目前企业激励中的主要方式。对于考核结果符合规定的,给予物质、精神上的奖励,会对被奖励者形成正激励,激励他(她)在今后的工作中再接再厉;对于考核结果不符合规定的,给予适当的物质、精神上的惩罚,提醒他(她)今后做出更好的绩效。
三、建立健全财务风险管理信息系统
建立财务风险管理信息系统对提高企业财务风险管理水平具有积极的意义。第一,使管理更加规范。信息管理系统是建立在出版企业既有业务基础上的,在建立系统的同时,需要对出版企业的已有业务流程、管理制度进行全面的梳理与分析,对其中不合理的流程、管理制度等提出更加科学改进意见,使出版企业的流程更加合理,管理更加规范,运行更加高效。从这个角度来说,建立财务风险管理信息系统的重要性不仅仅在于这个信息系统,同样重要甚至更重要的是通过建立信息系统这个良好的机会,排除阻碍,对原有业务流程进行全面梳理与改进,在信息系统建立完成的同时,企业的流程也变得更加合理、规范、科学。第二,使信息传递的范围更广,管理更“扁平化”。所谓的管理“扁平化”是管理学中的说法,它是指管理者可以同时管理许多的成员。这主要得益于信息技术的发展。在信息不发达的几十年前,人们要想获得某一方面的知识与资料,需要在图书馆、书店等地方,通过一本一本地查阅书籍,慢慢寻找自己想要的内容,其花费的时间成本很高,而且对于能否找到自己想要的内容没有一个确定的答案。此外,信息从高层传达到全体成员中,也需要经过层层的传达才能到达,传播路径长,传播时间长,期间信息的失真情况也变得逐渐严重。信息技术的出现与快速发展在很大程度上改变了原先的信息不对称的情况,只要连接上互联网,便可以获得几乎所有的公开信息。在企业的财务风险管理中,信息系统可以使自下而上以及自上而下的信息流通变得畅通与迅速。而且,在短短的时间内,可以传递到企业中任何目标用户。信息系统可以极大地促进出版企业的流程优化,提高工作效率和效果,及时获得财务风险有关信息,抓住机会防范和化解风险。
建立财务风险管理信息系统需要重点注意两个方面:一是系统要符合企业的实际情况。二是系统重在使用。财务风险管理信息系统的质量评价最重要的不是系统使用的技术的先进、设备的优良、系统功能的全面,尽管这些也是评价系统质量的指标,但最主要的是系统要能够满足企业的实际需求,符合企业的实际状况。如果投入了大量的资源开发上线信息系统,但很多只是理想的,或者不符合企业实际的功能、流程,则系统带来的实际效果将大打折扣。企业应该在全面分析企业自身状况、明确企业自身需求的基础上,开展财务风险管理信息系统的开发,确保系统的实用性。系统上线之后,不能让系统成为摆设,而是应该成为实实在在进行财务风险管理、提高信息管理能力的有力工具。企业应该根据自身实际状况制定专门的规章制度,规定信息系统的使用范围与操作规范,鼓励并要求在日常工作中发挥财务风险管理信息系统的作用。在现实情况中,不乏有的企业花费了不少的人力、财力和物力上线了信息系统,但在初期使用一段时间后,逐渐放弃系统的持续使用,不能充分发挥系统应有的作用。
四、加强财务风险管理的监控
要确保财务风险管理活动的执行,必须有良好的监督约束机制,风险监督是风险管理中不可缺少的环节与步骤。监督对监督对象具有一定的约束力,密切关注监督对象的状况,及时发现存在的问题,采取科学有效的措施积极应对存在的风险,从而确保企业的正常、有序、高效运行。
风险管理监督的过程包括两个环节:第一环节是实时关注风险状况。这一环节是风险管理监督工作的主要部分,也是持续不断的过程,即重在过程。风险管理监督需要密切关注企业内部、外部环境的变化,这里的内外环境是指与企业紧密相关的信息。例如,财务数据、国家法律法规的出台、产业政策的制定等,对内外部信息的收集整理要以相关性、及时性、准确性、全面性为准则,不可盲目收集,也不能遗漏重要的信息。企业还应该从收集整理的信息中,发现可能存在的风险。信息收集的根本目的并不是收集信息,而是利用收集的信息,从中发现对企业发展有益的内容、规律。如何发现信息中隐藏的有价值内容,既需要有较扎实的理论基础,同时也要求有较丰富的实践经验。本文运用的Z模型便是对企业财务数据进行分析,以期发现可能存在的财务风险的方法。企业应该重视理论的指导,同时也要根据实践经验进行适当的调整,提高分析、预测的准确性。风险管理监督的第二个环节是对策制定。企业收集信息、整理信息并从信息中发现有价值的东西后,需要根据得到的分析结果,采取相应的处理措施。如果企业发现了可能存在的风险,则需要仔细分析风险发生的可能性有多大、风险带来的危害是什么、风险是否可以规避等问题,在全面分析风险的各个方面之后,综合考虑应对风险的策略。此外,为防止风险的再次发生,企业还应该制定书面的预防措施,以消除实际或潜在的风险。企业应该通过风险管理监督工作的这两个环节的扎实推进,逐渐推动风险管理工作。
企业建立健全风险管理监督机制,可以从三个方面展开:持续监督、个别评价、缺陷报告。所谓持续监督,是指在企业的生产经营过程中不间断地对企业风险进行监控,这些监控方式包括定期的差异分析、内部审计等。差异分析是指通过分析现状与预期之间的差异来寻找可能存在的风险,并对较重大的问题进一步展开深入调查,从而对风险管理进行监督。内部审计的方式的具体内容在下文会有阐述。持续监督是日常经营管理过程的一部分,是对企业建立和实施风险管理进行的连续、系统的监督和检查。个别评价是对持续监督的补充,它是指对企业建立和实施风险管理的某方面进行的不定期、有针对性的监督活动。与持续监督相比,个别评价的特点是不定期、专门性,但其参与范围与程度不如持续监督。通常情况下,企业可以将个别评价与持续监督进行结合。缺陷报告是持续监督与个别评价之后必需的环节与工作。简单地说,缺陷报告是对于企业中存在的或可能存在的风险,或强化企业风险管理的良好机会,要进行及时、准确、全面地报告。对发现风险的风险进行报告,是让企业认识到存在的风险,以便进一步深入分析,如有必要,则采取及时有效的措施进行应对与消除;对发现提高风险管理水平的机会进行报告,是希望企业抓住良好的发展机会提高风险管理水平。一般地,机会转瞬即逝,良好的机会更是难寻,对于发现了好的机会,需要及时进行报告,紧紧抓住机遇发展自己。
参考文献:
[1] 李光.论现代企业制度下的会计改革[J].财会通讯,2012(09):95-97.
[2] 王关义.中国出版业发展:现状趋势与变革[J].科技与出版,2010(01):53-57.
[3] 王战勤.企业筹资风险管理分析[J].会计之友,2011(32):54-55.
[4] 潘雅琼,赵娉婷.关于我国上市公司汇率风险暴露的实证研究[J].财会月刊,2012(27):63-65.
[5] 孙疏.农村信用社财务风险防范与控制[J].特区经济,2013(02):57-58.
