時間:2023-08-30 16:46:09
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險管理的基本流程,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
論文關鍵詞:風險,全面風險管理,風險管理框架
一、引言
中國自2001年加入WTO以來,中國對外開放不斷深入,從十六大召開后,中國企業進入了對外開放新階段,紛紛加大了“走出去”的戰略步伐。隨著企業跨國經營和全球化進程的加快,企業面臨的不確定因素加大,如一度被視為明星企業的中航油,2004年折戟獅城,損失5.5億美元,折射出企業風險控制能力的薄弱,在企業界引起極大的震動。面對慘重的教訓,企業的經營理念也悄然發生了轉變,避免滅頂風險比獲取超常收益更重要,這是企業界的共識。尤其在經歷了2007年以來的史無前例的經濟危機后現代企業管理論文,風險管理被受到前所未有的重視,然而企業在開展風險管理的過程中,發現不同版本的風險管理框架差異較大,如何選擇適合企業自身的風險管理框架是擺在企業面前的實際問題,本文擬對目前國內外比較具有影響力的風險管理框架進行分析和比較,以期為企業實施全面風險管理提供幫助。
二、全面風險管理框架比較
目前國內外具有影響力的風險管理框架有美國COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企業風險管理—整合框架》(以下簡稱COSO風險管理框架)。國際標準委員會于2009年頒布的《ISO/FDIS31000風險管理—原則和指引》(以下簡稱ISO31000),該風險管理標準是在2004年修訂的澳大利亞/新西蘭風險管理標準(AS/ NZS 4360)的基礎上制定的。中國有國資委于2006年6月頒布了《中央企業全面風險管理指引》(國資發改革[2006]108號)(以下簡稱《指引》)。本文擬從風險和風險管理概念、風險管理流程、風險管理架構等內容對三個框架進行比較分析。
1.風險概念比較分析
COSO風險框架將風險定義為“風險是指一個事項將會發生并給目標實現帶來負面影響的可能性”,而事項是源于內部或外部的影響目標實現的事故或事件,事項可能有正面或負面的影響,或兩者兼而有之。從COSO對風險的定義可以看出,負面影響的事件為風險,正面的影響的事件為機會,強調風險的負面作用,并將目標明確分為戰略目標、經營目標、報告目標和合規目標。這種分類方法有助于企業關注風險管理的不同側面,滿足企業增長和報酬以及監管者的要求。
《指引》認為企業風險是“指未來的不確定性對企業實現其經營目標的影響”,這里的影響包括正面的和負面的或者是兩者兼有論文下載。并將風險明確指出對經營目標的影響。因此從風險的定義上可以看出,《指引》對企業風險的定義明確指出對經營目標的影響,經營目標是與經營戰略相對應的目標,這可從《指引》后面提到的風險管理策略的制定要和經營戰略相適應,經營戰略是屬于業務層面的戰略,可以看出《指引》中企業風險更多指業務層面的風險而言的。
ISO31000將風險定義為“不確定性對目標的影響”。并指出影響是指實際與預期的偏差,可是正面的或負面的或兩者兼有。并表明目標可以有不同方面,如財務、健康和安全以及環境目標,可以體現在不同的層次,如戰略、運營、項目、產品和流程層面。從ISO31000對風險的定義描述可以看出ISO31000對風險的定義更加全面,兼顧了傳統的財務、健康、安全以及環境風險,表明了風險的兩面性,即正的作用和負的作用。
從以上比較來看,各風險管理框架對風險的定義基本上達成共識現代企業管理論文,即風險是不確定性對目標的影響,區別是目標的范圍不一樣和風險的兩面性上。《指引》特指經營目標,COSO將目標分為戰略目標、經營目標、報告目標和合規目標,ISO31000目標范圍更加廣范,可以指不同方面,也可以指不同層面。
2.風險管理概念比較分析
COSO 認為“企業風險管理是一個過程,它由一個企業的董事會、管理層和其他人員實施,應用于企業戰略制定并一直貫穿到企業的各項活動中,旨在識別可能會影響企業的潛在事項,管理風險以使其在該企業的風險容量之內,并為企業目標的實現提供合理保證”。根據企業風險管理的定義可以發現COSO所指的企業風險管理覆蓋的企業活動的范圍包括戰略制定活動。
《指引》認為全面風險管理,“指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法”。《指引》中的風險管理的總體目標,包括戰略目標、經營目標、報告目標、合規目標和危機管理目標。與企業風險的定義相適應,風險管理的定義也是圍繞經營目標的實現,而展開了一系列活動。
ISO31000認為風險管理指“對指導和控制組織有關風險的活動進行協調”,即所有跟風險有關的指導和控制活動都稱為風險管理,涉及不同層面不同范圍。
從以上比較分析可以看出,《指引》的風險管理覆蓋的范圍相對較窄,而COSO,強調風險管理不僅包括經營層面的活動而且包括戰略制定活動。ISO31000的風險管理涉及任何與風險有關的指導和控制活動,涉及的程度和范圍更加廣范。
3.風險管理流程比較分析
COSO風險管理流程包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。COSO框架的風險管理流程始企業內部環境,并認為內部環境影響組織中人員的風險意識,是企業風險管理所有其他構成要素的基礎。COSO將目標設定作為風險管理流程的一個關鍵要素,并明確指出目標設定是事項識別、風險評估和風險應對的前提條件。在識別和評估影響業績的風險必要的措施來管理風險之前首先要設定目標。COSO區分四種類型的目標:戰略目標、經營目標、報告目標和合規目標。
《指引》風險管理基本流程包括現代企業管理論文,收集風險管理初始信息;進行風險評估;制定風險管理策略;提出和實施風險管理解決方案;風險管理的監督與改進。信息與溝通貫穿于整個流程中。《指引》并未在風險管理流程中提到目標的設定,但是從風險的定義、風險評估可看出其中暗含著目標設定的內容。
ISO31000風險管理基本流程包括溝通與協商、建立環境、風險評估、風險處理、監控與回顧,如圖1所示論文下載。ISO31000將溝通與協商是整個風險管理流程的首要因素,旨在采用一種工作團隊的工作方法,為風險管理建立一個適合的環境。通過與內外部利益相關者進行充分的溝通與協商有助于有效識別風險、不同領域的專業知識被用于風險分析、風險評估標準的建立、風險管理計劃的執行和風險管理流程的變更等,確保整個風險管理過程中能充分理解和考慮利益相關者的利益。另外,ISO31000將環境建立作為風險管理流程的一個重要步驟,環境建立包括內外部環境的建立、風險管理流程環境的建立以及風險評估標準的建立。該步驟使風險管理活動與內外部環境相匹配,并在組織內建立了風險管理的組織基礎和范圍,如界定風險管理活動的目標和風險管理流程的責任、風險管理的范圍、廣度和深度以及風險評估的有效性和風險評估的標準等。
圖1. ISO31000風險管理流程
從以上對各標準的風險管理流程來看,內容上基本相同,區別之處所反映的理念存在差異,COSO強調內部環境和目標設定,ISO31000強調溝通和協商以及環境的建立,《指引》強調信息收集,在整個風險管理流程中貫穿信息與溝通的內容。
4.風險管理架構比較分析
COSO風險管理架構保留了其內部控制框架的三個維度結構,即目標維、風險管理要素維和管理層級維,并在此基礎上進行了拓展,目標由內部控制框架的3類擴展為4類,即除了經營目標、報告目標和合規目標外,增加了戰略目標。風險管理要素由內部控制框架的5個擴展為8個,包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。管理層級包括整個企業、職能部門、業務單位和分支機構4層。目標、要素和管理層級之間的關系為:各管理層級是風險管理主體,目標是企業努力實現的對象,風險管理要素是目標實現的步驟,企業的各個管理層級都要按照風險管理的8個要素為4個目標服務。
《指引》的全面風險管理框架包括總體目標、風險管理文化、風險管理流程和全面風險管理體系四個組成部分,其中風險管理體系由風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統構成。風險管理總體目標除包括COSO的四大目標外,還增加了“確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失”的應急管理目標。《指引》清晰提出風險管理的三道防線,即各有關職能部門和業務單位為第一道防線;風險管理職能部門和董事會下設的風險管理委員會為第二道防線;內部審計部門和董事會下設的審計委員會為第三道防線。但《指引》四個部分內在的邏輯關系表述的不是十分清晰。比如:建立全面風險管理體系是先建基本流程還是先建立體系沒有界定清楚。風險管理基本流程中和風險管理體系中都有風險管理策略的內容現代企業管理論文,二者的內涵是否一致,并沒有闡述清楚,風險理財措施屬于風險管理工具或方法之一,它與組織職能體系、內部控制系統的內容不在一個管理層面上。對于全面風險管理體系中最重要的目標政策體系的沒有突出。風險管理的目標政策對風險管理基本流程、風險管理體系和風險管理文化三個部分具有指導和引領的作用,但是在指引中沒有獨立章節表述,相關內容也不夠詳盡。
ISO31000風險管理架構定義為“為整個組織設計、實施、監控和檢查與持續改進風險管理提供基礎和組織安排的系列要素”。其中基礎要素包括“管理風險的政策、目標、授權和承諾”。組織安排包括“計劃、領導、職責、資源、流程和活動”。風險管理框架被植入到組織的整個戰略和運營政策的制定和實踐活動中。ISO31000風險管理框架如圖2所示。
圖2. ISO31000風險管理架構
ISO31000風險管理框架建立了風險管理原則、風險管理架構和風險管理流程之間的關系。如圖3所示。風險管理原則為建立風險管理架構提供指導方針論文下載。風險管理架構中的管理政策,程序和活動,系統地應用到風險管理流程中,同時風險管理流程應在風險管理架構中通過風險管理計劃,成為組織各個層面和活動的組成部分,并得到實施。從風險管理原則可以看出,ISO31000風險原則除了包括COSO和《指引》的風險管理理念外,還提出風險管理成為決策的組成部分,充分體現風險管理的重要性。價值的充分體現。
圖3. 風險管理原則、風險管理架構和風險管理流程之間的關系圖
三、比較分析結論與實施建議
根據全面風險管理的目標和覆蓋范圍,全面風險管理可以劃分三個階段,初級階段、中級階段和高級階段。初級階段主要關注經營目標,在企業內開始導入全面風險管理,風險管理的理念、方法和工具處于試用階段,企業內部需要逐步形成統一的風險語言和廣為接受的風險管理方法、措施、政策、職責分配以及風險管理流程和關鍵經營活動融合的過程,風險管理處于探索和價值逐步接受過程。風險管理中級階段,風險管理逐步被接受,且提出了更高的要求,將風險管理提升到戰略層面,和戰略進行整合,保障戰略目標的實現,發揮風險管理的價值創造和價值保持作用。風險管理高級階段,風險管理應用于決策過程,為決策提供信息基礎,并有機的與企業的內外環境、組織、文化和戰略相融合現代企業管理論文,并隨著內外部環境的變化而變更,成為企業的競爭力的重要來源。
從以上對各全面風險管理框架的概念、流程和架構的比較分析可以看出, ISO31000風險管理標準風險管理的范圍和理念以及整個框架相對比較完善,適用于風險管理高級階段。COSO風險框架將風險管理提升到戰略層面,適用于風險管理中級階段,但COSO風險框架僅提出了風險管理的要素和風險管理的目標,并未提出風險管理體系。《指引》適用于風險管理初級階段。ISO31000風險管理標準解決了以上所有的問題,闡述清了風險管理原則、風險管理構架和風險管理流程之間的關系,為全面風險管理的實施掃清的障礙。
因此,中國中央企業在全面建設風險管理框架時,以《指引》為基礎,充分參考與借鑒COSO的目標設定內容以及ISO31000的風險管理標準的內容,使風險管理流程和風險管理體系有機融為一體。同時應該指出《指引》的內容是適應中國企業風險管理實踐而制定的風險管理框架,隨著風險管理實踐的開展,企業應提升風險管理的范圍,即將戰略制定活動和保障戰略目標的實現納入全面風險管理的范圍。最后,在實踐中充分貫徹ISO31000風險管理的思想和內容,使風險管理向更高的階段邁進,從而不斷提高企業自身的風險管理能力和增強企業的核心競爭力。
參考文獻:
[1](美)COSO,方紅星,王宏譯.企業風險管理—整合框架[M] ,大連:東北財經大學出版社,2007.
[2]國有資產管理委員會.中央企業全面風險管理指引(國資發改革[2006]108號)
一、有關《國家電網公司安全風險管理體系實施指導意見》的概述
《實施指導意見》共5章25條,包括總則;教育培訓;作業安全風險管理;企業安全風險管理;電網安全風險管理;闡述了國家電網公司安全風險管理體系建設的基本原則;強調了開展安全風險管理教育培訓的重要性及主要內容;說明了作業層、企業層、網省公司及總部層開展風險管理的基本流程和內容。這標志著國家電網公司關于安全風險管理體系建設的一些重要問題,如基本原則、體系內容、工作機制、重點要求等,有了一個比較系統、科學的闡述,和實事求是的定位,對于公司各單位立足實際,正確理解和開展安全風險管理工作,具有指導作用。《實施指導意見》基本原則和思路可以概括為24個字6句話:“堅定方向、理清思路、分清層次、分清專業、弄懂會用、持續改進”。
二、電力市場穩定性與風險管理措施
1、首先我們要堅定風險管理的發展方向。我們知道,安全管理的實質是風險管理,我們現階段在公司系統中開展安全風險管理,實施危險源辨識、風險分析、風險評估、風險控制,逐步建立基于閉環過程管理的安全風險管理體系,這個體系的建立既是現代企業安全管理發展的必然方向,也是我們實現安全“可控、能控、在控”的客觀要求。通過大力開展宣傳動員和教育培訓,使各級人員弄懂學會風險管理的基本知識,理解風險管理的意義、作用、內容和流程,供電公司各項工作,我感到抓的特別緊也特別實,我們現在搞宣傳培訓,實際就是在做這項工作,通過學習和培訓來提高我們自身安全風險分析能力和安全管理控制水平。
2、理清風險管理的工作思路。在這方面,我們要堅持“以人為本、實事求是、注重實效、穩步推進”的基本原則,還要貫徹“分專業、分層次、抓培訓、理流程、建機制、抓落實”的工作思路,(為此我們要)高度重視安全風險管理教育培訓工作,奠定安全風險管理的良好基礎。
3、建立分層次的風險防控體系。按照各自管理職責和工作特點,不同管理層次負責控制不同程度和類型的安全風險,逐級落實安全責任。一各部門有各部門管理的安全風險,班組長有班組長管理的安全風險,員工也即直接操作者郵資機的安全責任,逐級落實安全,責任具體來說,在工作中要掌握好一個首要任務和一個目標,首要任務就是供電企業以防止電網大面積停電事故作為首要任務,重點防控大面積停電風險;目標是無論供電企業也好、還是基建施工單位都要以提高員工安全意識和風險防范能力為目標,重點防控人身傷亡、設備損壞、供電中斷事故風險;基層班組、工區、個人重點控制作業過程中的違章、誤操作、人身傷害等各類作業安全風險。
4、建立分專業的風險防控體系。就是要發揮安全生產“三個組織體系”的共同作用。三個體系——安全保證體系、安全監督體系、安全責任體系,通過發揮三個組織體系的共同作用)形成專業配合并各負其責的安全風險防控機制。各級安監部門牽頭制定安全風險管理總體方案和工作計劃,組織開展宣傳培訓和風險評估,監督落實風險防控措施;那么,調度、生產、營銷、基建等部門要按照“誰主管,誰負責”原則,負責管理范圍內的電網、供電、人身、設備等各類安全風險的辨識、分析和防控工作,落實各自職責和義務。前面是分層次管理,這條是分專業防控。
5、弄懂學會風險管理的基本方法。要弄懂學會風險管理的基本方法作為每位員工來講我們就要加強理論學習,正確理解安全風管理工作。因為它是對以往安全工作和現有安全管理手段的總結、提煉、延伸,是突出預防為主、實施過程控制、改進管理績效的科學手段。通過學習并結合日常安全工作實際,學會并自覺運用風險管理的方法,達到發現危害、控制風險、預防事故、保障安全的目的。作業中存在的危險源是可以預控的。一般來說作業中存在的危險源可以分為兩大類:一類是顯現的危險源,通過現場考察或認真預知就可以發現。例如:正因為人們知道電氣作業會有觸電危險,所以事先戴好絕緣手套、穿好絕緣鞋,與帶電體保持一定的安全距離。登桿作業前,人們也會預感到存在的墜落危險,因此,上桿之后,小心地掛好安全帶。另一類是潛在的危險,因此,這就需要進行科學地辨識預控。潛在的危險也是一種客觀存在的事務,只要是客觀存在的事物,人們就有能力去認識它和控制它,這就需要我們加強安全理論學習,弄懂學會風險管理的基本方法。
6、建立持續改進的工作機制。應該建立一個怎樣的風險管理工作的機制?建立完善有效的安全風險管理體系,關鍵在于持之以恒、常抓不懈、不斷改進。認真組織制定各階段工作計劃和實施方案,嚴格按照計劃和方案開展工作,注重加強過程監督和偏差糾正,在總結提煉的基礎上,采取切實有效措施,實現下一輪工作的持續改進,這樣才能不斷提高企業安全管理水平。我們還要有條不紊地推進安全風險評估管理工作。
三、電力市場穩定性與風險管理結論
我們根據《實施指導意見》開展好安全風險管理體系建設,從堅定風險管理的發展方向、理清風險管理的工作思路、建立分層次的風險防控體系、建立分專業的風險防控體系、弄懂學會風險管理的基本方法、建立持續改進的工作機制等幾個方面淺析了電力市場穩定性與風險管理的措施。加強理論學習,正確理解安全風管理工作,《實施指導意見》指導下學會并自覺運用風險管理的方法。
關鍵詞:商業銀行 全面風險管理 工作原則 基本架構
中圖分類號:F830.33 文獻標識碼:A
文章編號:1004-4914(2013)04-210-01
商業銀行是經營風險較大的特殊企業,隨著對風險的認知和把握能力的不斷提高,在穩定、發展和盈利動機的激勵下,對風險管理的需求也不斷提升。建立和完善全面的風險管理體系已經成為商業銀行急需解決的重大課題。
一、全面風險管理的內涵及現狀
全面風險管理,包括信用風險、市場風險、操作風險在內的風險管理體系,是對各種風險、各業務品種、流程各環節實施全面風險管理,具體有:市場風險、信用風險、流動性風險、業務操作風險、法律約束風險、會計財務風險、信息資訊風險、經營策略風險等。商業銀行現行的風險管理存在許多的不足。
第一,內部控制體系存在弊端。大部分銀行未設立獨立的專業化部門承擔風險管理,更多的是依靠非獨立專業部門負責或由各個專業內部控制。在全行范圍內,往往沒有形成針對風險的統一的政策標準,各職能部門之間缺少必要的溝通協調,操作風險管理處于分散、割裂狀態。第二,商業銀行現行的風險管理方法和手段落后。目前商業銀行的風險管理尚處于初級管理階段,主要依賴專家管理,主要手段是質量控制,還沒有建立起風險管理系統。商業銀行目前所采取的風險管理手段和方法基本上難以反映本行風險管理的總體水平和分布結構,與國際上風險管理要求差距不小。第三,風險管理的基礎數據匱乏。根據新巴塞爾協議,用于計算監管資本的內部操作風險計量法,必須是建立在對內部損失數據至少5年的觀察基礎上。可是國內商業銀行目前很少有建立損失事件數據庫,大多缺乏損失和風險方面的歷史數據。風險管理需要信息系統強有力的支持,但是我國商業銀行信息系統建設嚴重滯后。另外,由于社會誠信機制不健全,行業數據和公共外部數據的真實性無法準確判斷,也影響到風險計量和管理決策。
二、全面風險管理工作原則
全面風險管理,建立有效平衡風險與內控運行機制,促進各項業務持續健康發展。全面風險管理總的原則是:以最小的成本獲得最大的保障,注重事前管理,用數量化衡量風險程度、預設最壞的愿境、模擬各種情景評估,做好應對性管理。
全面風險管理必須對風險進行風險識別、風險評價、風險控制,以減少風險負面影響。就目前商業銀行的現狀而言,風險管理應遵循以下基本原則。
1.風險管理部門垂直管理原則。為保持風險管理的相對獨立性,按照戰略導向,建立適應現實金融生態、適合業務發展、有利于價值創造。垂直化的風險管理組織架構:下級風險管理機構對上級風險管理機構負責,上級風險管理機構負責對下級風險管理機構的業務運行組織、指導和工作布置,進行績效評價,加強對風險管理工作的集中領導,強化風險管理政策、制度標準、風險監控和信貸審批的統一管理,增強風險管理的獨立性和有效性。
2.整體聯動與相互制衡原則。按照客戶導向優化業務流程,建立風險管理融入業務流程的平行作業機制,加強前、中、后臺的整體聯動和有效制衡,促進有效經營。
3.人員專業化管理原則。建立對信用、市場、操作風險的專業管理模式,細化風險管理崗位設置,建立專業化的風險管理隊伍,運用精細化的風險計量技術和分析工具,提高風險管理的專業化和精細化水平。
4.權責利匹配原則。在確保風險管理權威性和獨立性并實施垂直化管理的風險組織的前提下,完善風險管理與各項風險決策行為的責任制度,明晰各級風險管理機構和人員的權力和責任,清晰界定各種風險與相關部門和機構的工作關系,建立與風險管理相配套的激勵約束機制。
三、全面風險管理的基本構架
目前,我國商業銀行的治理結構和經營機制改革正在向縱深發展,借鑒國際銀行業風險管理的實踐經驗,構建風險管理架構。
1.搭建獨立的垂直的風險管理體系,實施集中管理的風險治理組織結構。一是設立獨立的自成體系的操作風險與信貸風險管理部門。如單獨指定某個部門承擔起管理責任。在基層單位機關部門必須設立兼職風險管理人員,做到獨立分析判斷、管理決策。二是實行垂直化的風險控制作業流程。三是明晰各部門兼職風險管理人員在風險管理中的定位和職責,確立其管理邊界。
2.建立風險管理指標考核體系,對基層機構進行量化考核。建立經濟資本約束和績效考評機制,強化經濟資本約束力。通過風險資本的計量與分配,運用風險管理調整資本收益率,將可能發生的損失量化為成本。貫徹風險和收益并重的全面平衡發展的理念,促進全行關心防范操作風險。其次對基層單位設置風險量化的考核指標體系,以期達到持續監測逐漸減少風險,直至消除風險。
3.建立統一的風險管理政策。商業銀行要制定和執行統一明確的風險管理政策,做到既符合國家規則,又符合本行特點的風險事件分類標準;結合本行自身經營特點、業務規模、內外部資料,確定各業務品種的操作流程;確定風險計量和資本分配的方法,確定各項業務品種應對操作風險的應急措施,對操作風險成功和失敗的案例進行分析和補救。
4.提高操作風險管理技術。慎重研究和選擇新巴塞爾協議所建議的三種計量方法,積極做好數據收集和系統設計,逐步開發適合本行特點的內部風險計量模型。整合信貸管理系統、客戶信息系統、資金管理系統等業務系統的信息。借助先進的IT技術,建立操作風險與信貸風險、市場風險的歷史數據庫,為測量風險、分配資本和設計模型打下數據基礎。
5.建設風險管理文化。商業銀行必須建設符合本行特點的風險管理文化。銀行高層應首先提高對風險控制的認識程度,把風險管理工作作為核心工作來抓。在全行內推行風險管理的理念,把風險管理作為關系銀行可持續發展的重要工作來抓。著重提高基層單位的風險防范意識,將風險管理落實到每一名員工的崗位職責與業績考評中。
參考文獻:
1.章彰.商業銀行信用風險管理[j].金融經濟,2002(3)
2.圣文.商業銀行信貸風險研究[j].金融經濟,2004(4)
3.董譚玖.我國商業銀行信貸風險管理研究[j].金融經濟,2005(3)
關鍵詞:稅務人員 執法風險 管理
一、稅務人員執法風險管理的理論基礎及現實意義
(一)稅務人員執法風險防范的理論基礎
1、法治理論。孟德斯鳩說:“一切有權力的人都容易濫用權力,這是萬古不易的一條經驗。有權力的人們使用權力一直到遇有界線的地方才休止”。稅收法治的核心功能是“控權”,即要求稅收行政執法工作必須有效控制權力濫用,切實防范行政執法風險,才能實現法治的根本目的。在20__年全國稅務系統依法治稅工作會議上,國家稅務總局黨組科學、系統地概括了新時期依法治稅思想的理論內涵,并提出了“內外并舉、重在治內、以內促外”的指導方針,其中強調指出,“重在治內”關鍵在于依法治權、依法治官,其實質就是要嚴格約束稅收執法權力的運用,確保權力與責任的一致性,從而在源頭上遏制執法隨意性,有效防范執法風險。
2、風險管理理論。風險,是指未來的不確定性對主體實現其既定目標的影響。風險管理起源于二十世紀五十年代的美國,其間歷經純粹風險(生產安全)管理-財務風險管理-全部風險管理的漸進演進過程。進入二十一世紀,風險管理領域出現了整體化風險管理趨勢,并在一些大型企業中開始應用。這是一種將企業所面臨的所有風險(如戰略風險、財務風險、市場風險、運營風險、法律風險等)統一考慮的綜合性的企業風險管理理念。
目前世界上頒布生效的整體化(全面)風險管理框架有十多個,其中描述的風險管理理念、過程和方法等大體一致。根據國務院國有資產監督管理委員會20__年的《中央企業全面風險管理指引》,全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,從而為實現風險管理的總體目標提供合理保證的過程和方法。其總體目標是幫助風險管理主體全面系統地辨識、衡量、排序并處理所面臨可導致其偏離既定目標的風險。《指引》將風險管理框架概括為一個基本流程、一個體系。
基本流程包括收集風險管理初始信息、進行風險評估、制定風險管理策略、提出和實施風險管理解決方案、風險管理的監督與改進五個步驟。這五個步驟形成一個嚴密的閉合流程:收集風險管理初始信息是風險評估的基礎和起點;風險評估包括風險辨識、風險分析和風險評價三個部分;通過制定風險管理策略,確立風險管理的目標,并建立起相應的管理原則和機制;通過制定和實施風險管理解決方案,建立一整套管理風險的方法和手段并應用到實際工作中;通過持續的監督與改進使整個流程順暢運轉。
一個體系指風險策略、組織與職能、內部控制、風險管理信息系統和風險管理文化五個模塊。風險管理策略,指企業根據自身條件和外部環境,圍繞企業發展戰略,確定風險偏好、風險承受度、風險管理有效性標準,選擇風險承擔、風險規避、風險轉換、風險控制等適合的風險管理工具的總體策略,并確定風險管理所需人力和財力資源的配置原則。組織與職能則確定相關職能部門履行全面風險管理的職責,與其它部門一起形成風險管理組織體系,將風險管理責任落實到每一個崗位。內部控制包括保證風險得到有效控制的完整的內部控制體系和完善的內部控制制度,對風險做到提前預防、適時管理和及時反饋。風險管理信息系統包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等,解決了風險管理決策所需信息以及決策效率的問題。風險管理文化促進企業風險管理水平、員工風險管理素質的提升,保障企業風險管理目標的實現。這幾部分相互影響、相互支撐,構成了企業風險管理的整體框架。
(二)稅務人員執法風險防范的現實意義
近年來,隨著稅收征管的科學化、精細化、規范化逐步深入,稅收執法的手段也日益深化和完善,同時也加大了稅收執法的風險。特別是工作在第一線的基層稅務干部,面對復雜的征納關系,繁多的執法環節,日益完善的稅收法律、法規、規章,加之風險防范意識不強,從而導致執法風險連年增加,涉稅案件也呈上升趨勢,其中稅務干部被追究法律責任的案件占有很大比例。
面對這一嚴峻形勢,各級稅務機關通過建立稅收執法檢查、稅收執法責任制等多項制度,初步形成了稅務人員執法行為風險管理機制,執法風險在很大程度上得到有效的控制。但認真審視我們現有的風險管理機制,不難發現以下問題:
1、風險管理意識相對不足。稅收執法檢查、稅收執法責任制等基本上屬于事后監控,對執法風險缺乏系統地、定時地事前尤其是事中的風險控制,不能從根本上防范重大風險以及其所帶來的損失。
2、監控管理鏈的脫節。在制度
設計中,注重了責任的分解,將絕大多數責任風險都由基層一線干部承擔,而忽視了對領導層以及稅務機關本身應承擔風險責任的落實,因而形成監控管理鏈的脫節。
3、風險管理缺乏充分的信息支持。以往所采取的控制方式主要以人工為主或人機結合,對于具體風險,缺乏量化和信息化的數據支持,不能從數據分析應用的視角建立必要的風險預警、評估及控制機制,使得目前我們的風險控制能力偏低。
稅收執法風險實質上是一種法律風險。因此,在稅務人員稅收執法風險防范工作中,借鑒全面風險管理理論,建立以事前、事中監控為重點的執法風險管理機制,既是嚴格依法治稅、提高稅收征管質量、深化稅收征管改革的客觀需求,又是提高稅務干部自身風險防范意識,保障干部敢于執法、公正執法、安全執法的現實需要,這對稅務部門不斷提高依法行政水平和構建社會主義和諧社會的能力,將起到有力的支撐和保障作用。
二、稅務人員執法風險管理體系的組成
完整的執法風險管理體系由風險管理策略、風險管理組織職能、風險內部控制制度、風險管理信息系統、風險管理文化五部分構成。
(一)執法風險管理策略
1、避免。包括主動放棄或撤銷、改變行政執法行為等方式。對適用法律法規錯誤、程序違法等違法行政引發的風險,可以采取主動放棄或撤銷的方式。因納稅人對稅務執法行為不理解或不配合等引發的風險,應采取主動改變執法行為的方式。如,稅務機關在查封、扣押等強制執行措施時,因實施查扣行為遭到納稅人的暴力阻撓,現場稅務執法人員應立即中止查扣,及時請求公安機關予以協助。
2、預防。是指在風險發生前,為了消除和減少可能引起的風險而積極采取阻止、延緩、減輕的措施。在認真分析引發風險因素的基礎上,對稅收執法行為指向的對象、后果進行綜合分析,隨時對引起風險的各種因素變化情況加以了解,采取有效防范措施,在日常執法過程中參照有關風險指標對執法行為進行預警控制,盡力消除引起風險的各類因素的存在和發展。
3、控制。是指風險發生時為降低風險帶來的不利影響而采取的積極有效措施。要正確識別風險及風險的影響程度,合理、合法制止風險的擴大,以減少風險帶來的負面影響。如,稅務機關錯誤地扣押了納稅人的商品、貨物或其他財產侵犯其合法權益的,要主動承認工作的失誤并承擔國家賠償責任、及時對直接責任人酌情作出行政處理。
(二)執法風險管理組織職能
風險管理組織職能主要是解決執法風險管理“誰來做”和“做什么”的問題。風險管理職能部門承擔著風險評估、匯總風險信息、落實風險管理責任、風險管理制度建設、維護更新風險信息庫等職責,在風險管理中起著不可替代的作用。按照分層管理原則,在市局、職能科室與基層執法部門分別成立稅收執法風險評價工作領導小組;按照分類管理原則,由各職能科室根據職責分工分別承擔不同類別執法風險的管理工作;根據集中管理原則,由處于超然地位的紀檢監察部門負責全局執法風險的監督檢查工作。
(三)執法風險內部控制制度
盡管內部控制理論最先也最多應用于企業組織,但內部控制的一些基本理念和方法仍然是值得稅務機關借鑒的。因為稅務機關的內部管理與企業管理雖有不同,但本質上都屬于組織管理。有效的內控可以保證明確授權,對風險做到提前預防、適時管理和及時反饋,能保證執法行為的效率和效果,保證信息的準確性。稅務人員執法風險內部控制制度主要包括以下內容:
內部環境。根據國家有關法律法規,明確決策、執行、監督等方面的職責權限,形成科學有效的職責分工和制衡機制。
風險評估。采用定性與定量相結合的方法,按照風險發生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關注重點和優先控制的風險,合理確定風險應對策略。
控制活動。結合風險評估結果,通過手工控制與自動控制、預防性控制與發現性控制相結合的方法,運用相應的控制措施,將風險控制在可承受度之內。
信息與溝通。建立信息與溝通制度,明確內部控制相關信息的收集、處理和傳遞程序,確保信息及時溝通,促進內部控制有效運行。
內部監督。規范內部監督的程序、方法和要求,對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。
(四)執法風險管理信息系統
風險管理信息系統為執法風險管理的全過程提供及時、準確的信息,包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等各項功能。
應采取措施確保向風險管理信息系統輸入的業務數據和風險量化值的一致性、準確性、及時性、可用性和完整性。對輸入信息系統的數據,未經批準,不得更改。
風險管理信息系統應能夠進行對各種風險的計量和定量分析、定量測試;能夠實時反映重大風險和重要業務流程的監控狀態;能夠對超過風險預警上限的重大風險實施信息預警。
風險管理信息系統應實現信息在各職能部門、業務單位之間的集成與共享,既能滿足單項業務風險管理的要求,也能滿足整體和跨職能部門、業務單位的風險管理綜合要求。
(五)執法風險管理文化
將執法風險管理文化建設融入稅務文化建設全過程,采取多種途經和形式,加強對風險管理理念、知識、流程、管控核心內容的培訓,培養風險管理人才,培育風險管理文化,將風險管理意識轉化為執法人員的共同認識和自覺行動,牢固樹立風險無處不在、風險無時不在等意識和理念,促進稅務機關建立系統、規范、高效的風險管理機制。
三、稅務人員執法風險管理基本流程
建設執法風險管理體系只是完成了進行風險管理硬件設施的籌備,而要完成對執法風險的管理,還要在此基礎上執行執法風險管理的基本流程。該局建立的稅務人員執法風險評價流程是:
(一)建設并不斷完善風險"信息庫"
主要以省級“大集中”軟件及青島市局征管查詢系統為依托,建立綜合業務處理平臺,通過信息技術將涉及存在執法風險的各種特定信息整合到一個工作平臺中去,圍繞提高征管查工作質量和工作效率,按照數據采集管理、數據分析管理、數據核實管理、落實過錯問題管理設置四大功能模塊,通過信息平臺下達具體的工作事項、嫌疑過錯執法數據和考核標準,形成面向操作層、管理監控層、決策支持層的全方位執法風險綜合信息系統。
(二)風險評估及風險解決方案
1、風險識別。稅收執法風險點按照稅務登記管理、發票管理、申報征收、稅收管理、稅務稽查等執法環節進行歸集,建立稅務人員稅收執法風險評價指標體系(共編列60個風險點指標),明確具體執法風險點、風險表現、政策依據、數據分析方法、評價期間、評價時點、評價部門及人員。
2、風險分析。分析和描述風險發生的可能性、風險發生的條件、風險產生的影響等,包括對風險產生原因的分析和對風險產生結果的分析,統一分析的判定標準。根據影響程度輕重和所依據的不同法律、法規以及執法所產生不良后果的處理手段,稅收執法風險可以劃分為高級、中級、低級三個類別。
3、風險評價及風險解決方,!案。采取執法人員自我評價、部門評價、市局評價的三級評價模式,對執法行為層層審核把關,分級落實考核責任,確保執法“零風險”。具體的評價流程如下圖: (三)風險管理的監督與改進
經過自我評價、部門評價、綜合評價發現有過錯且能立即改正的,不納入目標管理考核;對于無法改正的按照有關考核辦法考核,對
違反《青島市地方稅務局稅收執法權和行政管理權監督制約辦法》及有關規定的嚴重執法過錯,按規定追究相關人員責任。
市局稅收執法風險評價小組對本期執法風險評價結果進行綜合考評并在全局予以通報。通報的內容主要包括本期全部稅務人員執法基本情況、存在的問題及原因分析、責任追究以及下一步的整改措施等方面。
四、稅務人員執法風險管理應注意的問題
膠南市地稅局在建立完整的稅收執法風險管理體系方面進行了積極、有效的探索,基本實現了對執法行為進行事前預警、事中控制的目標。結合實際工作中存在的問題,我們認為還應當在以下幾個方面加以關注:
一是開展執法風險管理工作應當重點關注高級別風險的管理和重要流程的內部控制。
二是開展執法風險管理工作應與其他稅收管理工作緊密結合,把風險管理的各項要求融入稅收管理和業務流程中。風險管理體系不是凌駕于現有管理體系之上的,而是對現有管理體系的提煉總結和提高。
三是應注重建立具有風險意識的稅務文化,促進風險管理水平的提高以及執法人員風險管理素質的提升,保障風險管理目標的實現。
1.工作流程落實過程中存在的風險
目前我國鐵路逐漸向高速化、高鐵化發展,在鐵路建設過程中,各種各樣的新設備和新技術相繼投入使用,管理的安全性也有了較大提升,相關的管理部門也基本掌握了鐵路生產的規律,安全工作的管理也逐漸向流程化發展,但是依然存在一些安全管理問題:一是相關的安全管理規章制度和現場的實際情況不吻合,有安全管理保障滯后和缺失的情況出現。二是現場安全管理工作和規定的標準不符合,管理比較隨意。三是在作業生產過程中,管理人員無法按照規定的作業標準和技術要求完成生產。四是氣候的變化和施工的環境對作業人員與管理人員的行為習慣和思維方式造成了一定的影響,并會因此產生不必要的風險。五是在作業過程中,沒有按照相關的規定標準進行施工。
2.在現場管理過程中存在的風險
在鐵路供電班組作業的過程中,因為電力調度安排、鐵路行車調度安排、立體化條件的限制、電力作業的管理等管理內容對安全的要求比較嚴格,因此在管理過程中,相關的管理人員要樹立更高的管理要求和管理標準。供電班組在現場管理過程中,主要存在以下幾個方面的風險:一是在現場管理過程中,工作環境非常亂。二是相關的管理人員在思想方面存在一定的問題。三是沒有對施工過程中的施工現場進行安全檢查,考核作業不到位。四是在進行作業的過程中,未制定具體的施工計劃和施工方法,當遇到突發事件時,無法及時的進行處理。五是經常會出現違章作業的情況。六是在進行特種作業時,沒有對相關的作業人員進行全面的安全教育培訓。
二、鐵路供電班組安全風險管理的有效措施
為了保證企業生產的經濟性和安全性,在對鐵路供電班組存在的安全風險進行全面的衡量、識別和預測后,就需要使用行之有效的方法來對風險進行處理。
1.建立科學合理的風險管理制度
班組管理要根據鐵路的實際情況,建設科學合理的風險管理制度,對安全管理制度和風險源頭之間存在的差距進行對比,進一步完善和修訂對風險源進行預防與控制的管理制度。在制定風險管理制度的過程中,需要考慮以下幾個方面的問題:一是整治生產流程。在對設備運行、日常巡檢、設備維修、設備生產、應急處理的方法、施工配合等工作進行管理的過程中,要按照規范、嚴格的作業標準對施工程序進行控制。二是整改管理制度。要根據安全管理的基本責任和基本職能,建設科學合理的管理崗位工作流程、領導崗位工作流程、技術崗位工作流程等基本流程標準,要建設出可以包含所有員工在內的工作流程系統和工作標準。三是整改作業的實行準則。為了可以保證在作業過程中,所有環節都有基本的管理標準,所有程序都有參考依據,保證生產有序、規范的進行開展,要制定詳細的一次作業和日常工作的執行流程與執行標準。
2.對風險出現的原因進行預判
在對風險進行管理的過程中,為了防止出現不必要的隱患和意外,要使用合理的方法對風險進行判斷和分析,并根據實際情況對風險進行及時的控制。在管理時,要按照作業標準化、管理規范化、設備標準化的準則進行管理,要根據不同的時間段、不同的作業環境找到風險存在的主要原因,要根據實際的風險等級,選擇合理的控制措施和預防措施。通過對風險進行預控管理,可以有效地保證供電班組生產的安全性。
3.落實安全風險管理責任在管理過程中,執行是一個非常重要的管理內容,任何制度離開執行都是空談。在制定風險管理責任的過程中,首先要對風險進行評估,把風險項目作為管理的基礎,詳細劃分出具體的管理責任,并根據不同的部門對責任進行逐級劃分,對各個班組的責任、部門的責任以及責任專員進行明確,當出現危險情況后,根據出現的風險級別及時進行處理,通過使用這種風險管理責任落實的方法,可以對管理效率進行有效的提升。通過明確的分工,讓每一個職員都知道自己所應該承擔的責任,使得安全風險管理工作更加的標準化、細節化和規范化,以確保每一個風險源的管理都可以及時的進行落實,保證制度的順利執行。
4.深化安全管理檢查效果很多管理人員在管理過程中,容易形成習慣性的行為和心理,在對風險進行判斷時,經常會在不考慮現場實際情況的情況下,對班組進行管理,存在非常大的安全隱患。為了保證安全管理的效果,在管理過程中,班組管理人員要根據實際情況,對管理的安全性進行調整。其中主要需要注意以下幾個方面的問題:
(1)在對電力班組進行管理的過程中,要根據不同的地域情況,針對性地進行指導和檢查,對安全管理過程中遇到的傾向性問題和關鍵性問題進行解決,從根本上對隱患進行消除,確保班組運行的安全性。
(2)在遇到雨雪、大風天氣時,要針對性地對班組風險進行查找和治理。
(3)使用不定期檢查或者隨時抽查的方法來取代固定式的管理與檢查方法,對職工人員和管理人員的固定思維進行消除,以此來保證管理的有效性。
三、結論
保證藥品的產品質量符合規定,達到藥品生產管理的最終目的。在藥品生產過程中,多種風險因素都有可能影響產品質量,而風險管理的內涵正是通過收集、識別風險因素、評估影響因素的風險級別、制定針對性的風險控制措施預防和規避、減少風險因子對藥品生產質量的影響和可能造成的損失。另外,風險管理對生產過程也具有監控、監督作用,從而確保生產過程的安全性、可控性。
2實施藥品生產風險管理的重要性
風險管理是藥品生產企業質量管控系統自我完善機制的一個重要措施。通過對藥品生產過程進行風險管理,可明確風險因素及其風險級別,增強藥品生產的規范性和應對風險能力,降低藥品生產中人員、設備、物料、環境等風險因子對產品質量的影響,同時規避和減少可能由相關風險為企業造成的經濟、名譽等損失,而系統性、針對性的管理也能監督生產過程、及時排除質量隱患,因此藥品生產中實施風險管理具有重要意義。
3藥品生產風險管理現存問題
3.1管理者的風險管理意識不足:
部分藥企的生產管理人員對風險管理的基本程序、內涵、重要性認識不足,往往存在風險意識不足、管理片面的情況。舉例來說,多數藥企的風險管理往往更注重風險監控、風險應對,往往不能有效識別風險因子和安全隱患、不能對風險級別進行正確評估,同時缺乏對員工開展針對性的風險管理知識培訓,削弱了風險管理的系統性、前瞻性、可控性。另外,由于缺乏應對級別,應對手段相對單一,影響了風險管理的效果。
3.2對物料供應商的風險管理缺乏重視:
制藥企業的風險管理更多地關注內部管理,如人員操作規范性、設備設施完好性、質量體系保障能力、環境符合性等等,而對物料供應商提供的物料、內包材等關鍵原輔材料的風險管控不足,體現在缺少對物料、內包材供應商資質進行嚴格的評估、認定,部分原材料缺少針對性的檢測驗收方法等,這些都是可能造成藥品質量隱患的風險。
3.3風險管理缺乏靈活性:
部分藥企雖然制定了風險管理制度,但風險應對措施的制定多依據現有的規章制度、缺乏深入調研,同時風險識別、風險評估中的評級方法相對單一、風險指標一成不變,這也導致生產風險管理缺乏變通性、靈活性,不利于發現、識別新的隱患、風險因素,也不利于在工藝流程改變的情況下對相同的風險指標進行評級。
4藥品生產風險管理創新舉措
4.1強化生產管理者、一線工人的生產風險意識:
風險管理,需要全員、全過程、全方位的支持與參與,而不是孤立的個體行為。要以講座、例會等形式對生產管理者、一線工人進行生產風險管理培訓,包括風險管理概念、風險管理在藥品生產管理中的重要性、風險管理的基本流程、實踐和應用等知識,對管理者還應組織進行出國考察、參與企業管理層交流,從而強化全體生產人員的風險管理意識。
4.2建立完整的生產風險管理體系:
將風險管理范圍擴展至物料采購、檢驗、生產全過程,成品貯存、發運等各個環節(尤其是產品制作的關鍵工序、成品包裝的風險管理),同時制定管理制度,完善風險管理鏈條,保證風險識別、風險評估、風險應對、風險監控四個環節均能正常運行,并采用信息化管理,及早發現風險因子、安全隱患并進行及時處理。
4.3實時更新風險管理制度:
當工藝流程、生產條件等發生改變時,應及時更新風險管理制度中的要求和標準,并由責任人員完成風險管理的再評估,并向生產管理者報告、組織審核,探討應對、防范措施,通過上述手段可增強風險管理的靈活性和適用性。
5結語
關鍵詞:風險管理構成要素
美國COSO委員會于2004年9月頒布了《企業風險管理—整合框架》(以下簡稱《框架》),旨在為各國的企業風險管理提供一個統一術語與概念體系的應用指南。為了幫助中央企業建立健全風險管理長效機制,增強企業競爭力,促進企業持續、健康、穩定發展,防止國有資產流失,提高投資者回報水平,保護投資者利益,國務院國有資產管理委員會借鑒發達國家企業風險管理的法律法規、國外先進的大公司在風險管理方面的通行做法,以及國內有關內部控制機制建設方面的規定,于2006年6月頒布了《中央企業全面風險管理指引》(以下簡稱《指引》)。本文著重分析《框架》和《指引》的區別,以期對我國企業的風險管理有所借鑒。
企業風險管理的定義比較
在《框架》中企業風險管理的定義如下:企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。
《指引》中的全面風險管理,指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險管理的組織職能體系、風險管理信息系統和內部控制系統等,從而為實現風險管理的總體目標提供合理保證的過程和方法。
企業風險管理的目標比較
《框架》將主體的目標分成四類,即與高層次的目的相關的戰略目標;與利用主體資源的有效性和效率相關的經營目標;與主體報告的可靠性相關的報告目標;與主體符合適用的法律和法規的合規目標。
《指引》將風險管理的目標分成五類,除了涉及以上四類目標之外,還提到另一個目標,即確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失。
企業風險管理的構成要素比較
在《框架》中,企業風險管理包括八個相互關聯的構成要素,即內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。在《指引》中,風險管理的基本流程包括五個方面的工作,即收集風險管理初始信息、進行風險評估、制定管理策略、提出和實施風險管理解決方案、風險管理的監督與改進,也就是企業風險管理的五個構成要素。盡管兩者對風險管理組成部分的稱謂不同,但是其內涵還是有很多相同的地方的。本文僅分析兩者的不同點。
《框架》認為內部環境是企業風險管理其他構成要素的基礎,為其他要素提供約束和結構。它影響著戰略和目標如何制訂,經營活動如何組織以及如何識別、評估風險并采取行動。它主要包括主體的風險管理理念、風險容量、董事會的監督,主體中人員的誠信、道德價值觀和勝任能力,以及管理當局分配權力和職責的方式。《指引》認為,風險管理初始信息是良好的風險管理的基礎,詳細列舉了企業管理戰略、財務、市場、法律四類常規風險所需的重要基礎信息,還特別強調企業應注重針對這四類風險廣泛收集導致企業危機的國內外案例。
《框架》認為,目標設定是事項識別、風險評估和風險應對的前提。在管理當局識別和評估實現目標的風險,并采取行動來管理風險之前,首先必須有目標。而《指引》所稱的風險管理基本流程中并不包括目標設定這一構成要素。
《框架》中的事項識別是指管理當局識別將會對主體產生影響的潛在事項,并確定它們是代表機會還是風險,或者兩者兼而有之。事項通常并不是孤立地發生的,因此管理當局在事項識別過程中應該明白事項彼此之間的關系。通過評估這種關系,確定風險管理活動的最優指向。《指引》中的風險辨識相當于事項識別,而這里所稱的風險辨識只是指查找企業各業務單元、各項重要經營活動及重要業務流程中有無風險,有哪些風險。
在《框架》中,管理當局將企業風險分為固有風險和剩余風險。而《指引》將風險分為戰略風險、財務風險、市場風險、運營風險和法律風險等;或者以能否為企業帶來盈利等機會為標志,將風險分為純粹風險和機會風險。
《框架》將風險應對分為四種類型,即回避、降低、分擔和承受。在《指引》中,對戰略、財務、運營和法律風險采取風險承擔、風險規避、風險轉換、風險控制、風險轉移、風險對沖、風險補償等方法。
與《指引》不同的是,《框架》還提出了管理層應從一個企業全局或者組合的觀點來考慮風險,決定企業的風險觀是否適應于與其目標相對應的整個風險容量。
企業風險管理組織體系的構成比較
《框架》指出企業風險管理由諸多方面實施,包括董事會(直接地或通過其下屬委員會)、管理當局、內部審計師和其他人員。外部方面也可能會提供對主體的企業風險管理活動有用的信息,例如外部審計師、立法者、客戶、商業伙伴、外包服務提供者、債券評級機構等。
《指引》指出企業風險管理組織體系主要包括規范的公司法人治理結構,風險管理職能部門,內部審計部門的法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責,而沒有包括外部方面的人員或機構。
企業風險管理信息溝通渠道比較
《指引》指出,企業應建立貫穿于整個風險管理基本流程,連接各上下級、各部門和業務單位的風險管理信息溝通渠道,確保信息溝通的及時、準確、完整。
《框架》對溝通的闡述則更加全面,突出了溝通的重要性。對于那些將要報告的信息,必須有暢通的溝通渠道和清晰的傾聽意愿。如果正常的溝通渠道不起作用,就需要單獨的溝通途徑來充當自動防故障機制。它還指出最關鍵的溝通渠道位于高層管理當局和董事會之間。溝通的具體方式包括政策手冊、備忘錄、電子郵件、公告板通知、網絡等。
對目標、構成要素、主體內各個單元的關系比較
在《框架》中,目標、構成要素、主體內的各個單元可以通過一個三維矩陣以立方體的形式表示出來。這三個維度的關系是:企業風險管理的八個要素是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從以上八個方面進行風險管理。這種表示方式既能夠從整體上關注一個主體的企業風險管理,也可以從目標類別、構成要素或主體單元的角度,乃至其中的任何一個分項的角度去加以認識。而《指引》中則沒有體現這種關系。《指引》指出,企業開展全面風險管理工作應與其他管理工作緊密結合,把風險管理的各項要求融入企業風險管理和業務流程中。
另外,《指引》和《框架》對違反誠信準則行為的態度不同。《指引》指出,對違反道德誠信準則的行為,企業應嚴肅查處。而《框架》還指出,應形成鼓勵員工報告所懷疑的違反行為的機制,以及針對知情而不報告違反行為的員工的懲戒措施。同時,高層管理當局的行為和他們所作的表率對道德準則遵守也相當重要。
參考文獻
1.美國COSO制定,方紅星譯.企業風險管理—整合框架[M].東北財經大學出版社,2005
隨著金融技術的日趨復雜化以及金融創新的日益頻繁,銀行活動及其操作風險特征變得更加復雜多變,國外的巴林銀行倒閉、日本大和銀行國債事件、法國興業銀行事件,以及國內的中國銀行“森豪公寓按揭貸款”、農業銀行管庫員盜竊巨額庫款案等,都與沒有嚴格執行制度密切相關,操作風險管理成為銀行風險管理的重要內容。2004年6月巴塞爾委員會了《新資本協議》,將操作風險納入資本監管范疇。2005年2月,針對國內部分銀行機構制度不健全、制度執行不嚴、違規查處不力、內部控制薄弱并導致大案、要案屢有發生的實際,銀監會下發了《關于加大防范操作風險工作力度的通知》(簡稱十三條)。2007年5月14日,銀監會了《商業銀行操作風險管理指引》,至此,結合國內實際,銀監會通過推進五級分類制度強化銀行信用風險監管,并在先后《商業銀行市場風險管理指引》和《商業銀行合規風險管理指引》后,對金融機構所面臨的信用風險、市場風險和操作風險三大風險監管已經形成一套完整法規。本次《操作風險管理指引》的,對進一步加強銀行風險監管,提高識別、控制操作風險的能力和風險管理水平,建立操作風險管理長效機制,提升銀行業的整體國際競爭力,防范銀行業大、要案的發生和促進銀行業穩健運行,必將產生極其重大的影響。
二、我國銀行業操作風險管理的現狀
(一)操作風險的定義
一般意義上講,操作風險,指因操作流程不完善、人為過失、系統故障或外來因素所造成的經濟損失,廣泛存在于銀行經營管理的各個領域,是銀行經營管理面臨的基礎風險之一。商業銀行日常工作中,典型的操作風險事件包括內部欺詐,外部欺詐,雇傭合同以及工作狀況帶來的風險事件,客戶、產品以及商業行為帶來的風險事件,有形資產的損失,經營中斷或系統出錯,涉及執行、交割以及交易過程管理的風險事件。
操作風險事件難以在事前充分預期,并往往來源于制度、系統缺陷和人員舞弊行為,具有較強的內生性,即使建立相對完善的內控制度和監督檢查機制,也難以充分預計未來持續期內的所有變動因素并徹底杜絕內部舞弊所造成的違法犯罪行為。
(二)操作風險管理滯后于發展。在全球經濟一體化、社會與經濟環境快速發展、商業銀行全球化和綜合化經營的趨勢下,金融創新層出不窮。金融產品、服務的復雜性提高, 各項業務超常規發展,操作風險的類型不斷演變。在認識不到位、風險管理手段不足的情況下,發生操作風險和造成損失的可能性增加。
(三)操作風險管理尚處于起始階段。長期以來,我國商業銀行偏重信用風險和市場風險管理, 未設立獨立的專業部門承擔操作風險管理的職責,而是由非獨立專業部門牽頭負責或由各專業條線內部控制,沒有形成針對操作風險的統一的政策標準,有章不循,違章操作的現象時有發生。對操作風險管理主要采取定性管理、質量控制,尚未建立起操作風險管理系統。在建立按新巴塞爾協議計量監管資本操作風險的損失事件數據庫、開發和運用操作風險的資本分配模型、定量計算操作風險等方面,與國際先進商業銀行以資本約束為核心的操作風險管理存在差距。
三、內審部門對防范操作風險所擔負的責任
銀監會的《商業銀行操作風險管理指引》第十一條規定:商業銀行的內審部門不直接負責或參與其他部門的操作風險管理,但應定期檢查評估本行的操作風險管理體系運作情況,監督操作風險管理政策的執行情況,對新出臺的操作風險管理政策、程序和具體的操作規程進行獨立評估,并向董事會報告操作風險管理體系運行效果的評估情況。筆者認為上述規定應包括以下幾層涵義:
(一)內部審計部門作為風險防范的第三道防線,對操作風險管理框架,以及框架在銀行的建立和執行情況進行審計、監督和評價。
(二)內部審計部門對操作風險管理政策和流程的充分性和有效性進行評價。
(三)內部審計部門應當制定具體的實施辦法,并合理配置審計資源,對操作風險管理政策執行情況進行評價,評價的頻率根據操作風險大小和重要性等因素來確定。內部審計部門應當對重大策略改變、管理架構變動等影響操作風險管理政策的事件給予關注。
(四)內部審計部門應當將審計結果及時上報高管層,同時提供給風險管理部門。操作風險管理職能部門和相關業務部門應根據審計管理建議,按照成本收益匹配原則,對操作風險管理采取相應的改進優化措施,以保證操作風險管理機制的有效性和不斷完善。
四、銀行內部審計部門在操作風險管理工作中應發揮的作用
操作風險管理是當前銀行風險管理的重大問題,與國外商業銀行相比,國內銀行在管理思想、技術、方式、水平等方面存在明顯差距。同時,與信用風險和市場風險相比,操作風險又具有明顯的特點:即操作風險大多是銀行可控范圍內的內生風險,并往往屬于人的風險。如何結合操作風險的特點和銀監會、國內銀行的職責定位,進行系統化的操作風險管理,不僅對銀行各級機構和部門是個嚴峻挑戰,對內審部門也是一個重要課題。內部審計承擔著健全與完善內控的職責,在開展操作風險管理時如何發揮作用,筆者認為目前應著重關注以下方面。
(一)關注操作風險管理架構及部門職責劃分。組織架構及職責劃分是風險管理的基礎,是制定、完善、傳導操作風險管理政策或方法的途徑,是建立與各商業銀行業務性質、規模和復雜程度相適應的操作風險管理體系的前提。審計人員在工作中,應按銀監會相關文件規定,關注各級機構和部門有無指定牽頭部門負責全行操作風險管理?各機構操作風險管理體系如何構建?職責是否清晰?分工是否重疊或適當?實施情況如何等等,為評價被審計對象的操作風險管理狀況作好準備。
(二)關注被審對象操作風險管理流程的健全性和有效性。各經營機構應建立操作風險管理的清晰流程,包括對操作風險識別、評估、控制/緩釋、監測、報告等環節,這是操作風險管理的制度基礎。在開展審計評價時,審計人員應關注各級機構如何開展操作風險的識別與評估工作,確立了哪些關鍵控制環節點?日常操作風險的檢查監測怎樣開展?發現隱患如何報告?對于影響程度較大的操作風險事件損失或損失發生頻率較多的產品,是否及時進行操作風險重檢?損失是否得到及時報告等等,從而對被審計對象的操作風險管理水平狀況作出合理評價。
(三)從內控檢查與評價入手開展操作風險管理。落實規章制度是開展操作風險管理最直接和有效的手段。在開展工作時,內部審計應加強對關鍵業務環節執行情況的檢查入手,從關鍵崗位員工的定期輪崗制度、強制休假制度、不相容崗位和職能分離情況、授權制度及對操作風險管理獎懲機制等方面展開監督檢查,這些基本制度的執行情況對防范操作風險發揮著決定性作用。通過進一步加大內部控制的檢查與評價力度,為防范操作風險管理發揮基礎作用。
(四)提出完善內控及業務系統的方法與建議。按照多米諾骨牌理論,人員道德并不直接導致操作風險,規則及流程缺陷與人的缺陷結合才導致操作風險。完善流程和規則,糾正人的錯誤行為是防范風險最有效的手段。因此,內部審計應當經常檢修工作流程和規則,提出消除業務系統缺陷的建議和措施,將改進與完善內部控制作為參與操作風險管理的基本方法,并納入日常工作目標管理,如此才能較好擔負起操作風險管理的職責。
(五)關注從業人員行為的監督及管理過程。《商業銀行操作風險管理指引》第十七條指出:“對重要崗位或敏感環節員工八小時內外行為要進行規范;建立基層員工署名揭發違法違規問題的激勵和保護制度是防范操作風險的重要措施。” 血的教訓表明:情節重大且性質惡劣的操作風險(尤其內部員工欺詐與道德風險)往往與銀行疏于關注員工行為相關。內審部門應當充分重視這項規定要求,要結合審計活動的開展,收集適當證據判斷管理層是否采取措施認真執行了這一規定,督促管理層加強員工行為監管,為防范操作風險打下基礎。
(六)加強對新流程、新產品的操作風險識別及評估。新流程與新產品不確定性因素較多,各級機構和部門在實施推廣前,應當確保對新產品、新流程及新系統的操作風險的充分識別和評估。內部審計也應積極參與其中,并且,在新流程和新產品推出后,內部審計要繼續跟蹤了解對經營管理目標可能產生不良影響的關鍵風險點,對缺乏控制或控制不足的業務流程提出完善建議,對控制過度并導致服務效率低下的情況提出優化方案,促進業務健康發展。
(七)嚴格追究制度,強化責任意識。在審計活動中,應按照權責對等原則,從決策、監督、管理和經辦四個層面,清晰界定各層級、各業務條線(部門)和崗位的操作風險責任。對因制度缺陷、監測檢查不到位、管理不善、執行不力等操作風險引發的損失事件或給建設銀行聲譽帶來不良影響的行為,審計部門應按照分工負責的要求,提出追究責任人責任的意見或建議,督促各個方面增強責任感,更加有效地履行職責。
1.1持續改進思想的發展
風險管理是項目管理的主要部分,其目的是追求積極活動的最大化和不利活動的最小化。自上個世紀90年代中期以來,持續改進思想被引入到項目風險管理,這離不開國際標準化組織的ISO9000標準和美國CarnegieMellon大學軟件工程研究所(SEI)的能力成熟度模型(CMM)的貢獻。這二者對于項目管理不僅體現在標準方面,更體現管理思想和原則方面的意義,比如ISO9000提出管理的八項原則,CMM提出5個層次的持續改進。它們都著眼于質量和過程管理。但是它們的基礎各不相同,前者是確定一個質量體系的最低要求,而CMM強調持續的過程改進。盡管ISO/DIS9000:2000版也增加了持續改進原則,但仍屬于單一層次的標準,而CMM模型分成5個等級,適用范圍也更加廣泛。CMM把管理內容定義為若干關鍵過程任務,并設立了初始化、可重復性管理工作、識別組織基本能力的管理工作、確立企業競爭力管理工作、通過持續改進方法提高企業競爭力和管理能力。目前來看,引入持續改進的項目風險管理的基本原則,在ISO/DIS9000:2000的基礎上,充分利用CMM持續改進方面的優勢,建立起一套規范化并且能夠持續改進的過程和質量管理循環,不斷提高風險管理的質量和效率。
1.2面向持續改進的項目風險管理的優點
持續風險管理流程主要是來源于卡耐基梅隆大學軟件工程研究所的“持續風險管理指南”(CRM),在項目風險管理領域被稱為項目風險能力成熟度模型(RMMM),這個框架基于成熟程度、文化和組織的其他相關屬性,由一系列與項目有關風險的流程、方法和工具組成,并為風險管理提供了一個主動管理的合理環境。它主要針對:一是對可能會出現錯誤(風險)的部分持續評估。二是決定哪類風險最主要,并且進行重要程度描述。三是實施處理風險的戰略。
這種基于過程的方法與傳統的基于事件風險管理方法顯著不同。后者所要實施的策略要等到風險事件發生,然后再有所反應,接下來再采取措施來阻止它再次發生。相反,持續改進的風險管理具有以下優點:一是能夠在問題發生前預防。二是改進產品質量。三是使得資源更好地被利用。四是增進團隊合作。五是為投資決策設立預期目標,并且提供解決方案。
2、基于持續改進的風險管理能力成熟度模型
2.1風險管理能力成熟度模型
與項目管理的其他知識域不同,風險管理貫穿于項目管理的始終,風險管理程序屬于與項目管理程序相互交叉的雙維度結構。同時,項目生命周期階段形成了項目風險管理的第3個維度,這3個維度構成了項目風險管理成熟度模型(RMMM)。RMMM是項目管理成熟度模型(PMMM)的子集,RMMM在SEI中也被稱作CRM.盡管PMMM的研究起源于歐洲,但是其核心仍然是CMM.CMM模型主要通過項目生命周期,設置可以持續改進的關鍵管理流程域(KPA)來進行項目管理。CMM目前已應用到多個研究和實踐領域,比如面向系統開發的SD—CMM,面向系統工程的SE—CMM,面向項目團隊的P—CMM等等。但是不可否認,國際項目管理協會(IPMA)和PMI對PMMM開發作了很多研究工作并取得了很大成果,并且已經得到了產業界的認可。
2.2項目風險管理成熟度模型的層次
PMMM的主要優點在于可以為不同的項目或者公司定制用以測評成熟度各層次的方法。同樣,RMMM(CRM)也為項目定義測評風險管理成熟度提供了高效的方法,其特征是可定制的,其核心是圍繞項目生命周期階段所進行的持續改進,即風險流程改進(RPI)。應該注意到,流程改進是過程,而不是目標。RMMM(CRM),采用CMM的1至5級來描述項目風險及相關流程,因為CMM是一切成熟度模型的基礎和根本,可以說是元模型。RMMM(CRM)包括5個層次:
第1層次為通用術語。組織第一次認識到風險管理的重要性,并且學習風險管理知識、語言和術語。第2層次為通用過程。組織運用風險管理,開發相應的可重復利用的通用風險管理過程和方法。第3層次為方法集成。把所有風險管理方法集成為單一方法,可以最好地實現風險管理協同效應和過程控制。第4層次為基準比較。確定風險管理基準點與比較的指標和內容,基準比較必須連續進行,改進風險管理構成及執行方法,并增強競爭優勢。第5層次為持續改進。組織評估通過風險管理基準比較獲得的信息,然后決定是否能改進單一方法。
2.3持續風險改進通用風險域
RMMM(CRM)根據項目生命周期,利用工作分解結構圖(WBS)設立不同的可用于持續改進的通用風險域。比如考慮到建設項目為系統運營就緒的基礎設施、硬件和軟件、建造、進度和成本、每個項目的合同樣本等等。一般說來,大型工程項目可用一個3層的風險識別流程描述出來:
(1)全局風險域(這些潛在風險影響項目整體并且會導致全程項目成本/進度全部策略的改變或者再評估)。
(2)項目風險域(這些潛在風險影響每一個基本項目并且對實現項目目標有潛在影響或者要求項目范圍或者個別合同水平上變化以及它與其他項目界面關系上)。
(3)個別合同風險域(這些風險對個別合同中的域有潛在影響,而且具體到特別合同上,直接影響成本、進度和具體合同的效率)。
3、項目風險管理持續改進的功能與步驟
3.1項目風險管理持續改進的功能
盡管RMMM(CRM)有5個層次,但是所有工作不是必須被依次魚貫地完成,而是可以重疊進行的,這主要取決于項目組愿意承擔的風險大小。從這個意義上來說,RMMM是柔性的,適應性很強,能夠與傳統風險管理程序、風險管理知識域緊密結合。在實施中風險應該用重要程度來計劃,這依賴于項目、管理者和個體的目標和限制條件。這意味著,雖然一個風險管理模型不能適用于所有情況,但是可以通過RMMM的持續改進與風險管理程序、風險知識域的適應性組合、動態調整,就能夠適應各種復雜情況,并提供合理的風險管理程序與功能。通常,項目風險管理持續改進的功能主要有:
(1)識別。在風險成為問題前,搜尋并定位風險。
(2)分析。通過系統化分類、估計和理解以降低不確定性并提供計劃和行動框架的流程,把風險轉換成決策信息。
(3)計劃。把風險信息轉化為決策和適當的消減行動(現在與未來)以及實施。
(4)跟蹤。通過項目生命周期來監控風險指標和風險消減計劃。
(5)控制。糾正與計劃執行的偏差。
(6)溝通。貫穿所有以上提供信息和反饋的功能給所有項目相關利益人。
關于風險活動以及當前和新產生風險在這些功能實現的過程中,要考慮到不同的相關利益人和管理層次的差異,特別是相關利益人應該理解風險管理是如何適應整體項目管理流程的。這些流程之間以及與其他項目管理知識域之間交互作用,并要求不同階段不同項目團隊成員參與到持續改進的項目風險管理中來。所以說,面向持續改進的風險管理必須因項目管理階段不同、主體間差異而有所不同,貫穿于項目管理始終。持續改進的風險管理,應該通過相關利益人和項目組在不同層次上的不同的職責、指標和風險的分配來實施,具體如下:一是風險經理。檢查、批準和提供與風險計劃和行動有關的資金。二是用戶識別風險。三是項目經理。識別風險并設計風險管理和行動計劃,跟蹤、溝通與風險管理計劃對應的項目績效。四是項目經理。識別風險并且設計消減風險選擇方法。五是項目組成員識別風險。
3.2持續風險管理的步驟
持續改進過程的步驟是一種基于PDCA循環的系統化問題解決方法,改進通常是階段性的,要觀察每個階段各個過程的整體效果,而不是分散進行。不然的話,分散優化會降低整個項目的效率。具體的步驟如下:
(1)識別項目風險流程改進機會。這一階段的目標是選擇適當的項目風險流程用于改進。例如,工程實施中土地使用權獲取、建筑設計、融資分析的關鍵環節和過程,對整個項目前期工作的效果和目標影響重大,因此作為關鍵的風險流程用于改進。
(2)評價需改進的風險流程。這一階段目標是選擇有挑戰性的問題及確定改進的指標。重點就是把需改進的項目風險流程的具體指標細化,并確定改進的具體目標。
(3)分析項目實施中存在的問題。這一階段目標是識別目前風險管理中存在的原因,充分利用有關工具和方法找出原因。
(4)采取措施。計劃并采取適當措施改正不規范的做法,針對風險管理工作流程進行改正,以達到目的,消除存在的問題。
(5)確認改進的結果。評價采取的風險管理措施是否達到了目標。
(6)改進方法標準化。這一階段主要目標就是確保項目風險管理的水平得到維持,要確保已經改進的工作效果通過制定的管理流程圖、程序、制度、標準等已成為日常工作的一部分,并可以把這一階段的規范化管理成果推廣到其他過程或部門。
(7)為下一階段或未來項目進行計劃。主要針對遺留問題制定計劃并評價其效果,通過學習其他部門的經驗為下階段工作和未來項目提供規范化管理的知識。
4、項目風險管理流程改進的價值
4.1風險管理流程改進的目標
持續改進是RMMM(CRM)的核心,因此,風險流程改進業務(RPI)是降低項目風險和成本的基礎。一般的項目經理只是相信看得見的投資收益,而不是采納RPI及所能帶來的非顯而易見的收益。傳統的風險流程改進計劃目標是通過很高的風險管理成本,從而取得項目高績效和高可靠性。現行的風險資源型管理方法,是把風險當作獲取收益的資源,通過風險預算的低成本,取得項目的中等績效和中等可靠性。但是利用風險預算,來彌補流程環境的不足是不能獲得期望收益的。相反,雖然RPI沒有較明顯的滿意投資收益,但是用定量方法仍然是能夠度量成本和收益。這是由于RPI能夠形成良好的風險流程,可以降低與不良流程相關的風險。RPI是可以用CMM第2層次的工作來實施,并且最終能夠實現低成本、高績效、高可靠性的目標。
4.2風險管理流程改進的成本
RPI的成本是決定項目成本和收益的重要方面。RPI成本模型主要包括:風險流程基礎設施成本,風險流程改進實施成本,風險流程改進技術路線成本和風險流程評估成本。
這些直接和間接的成本和收益均包括定性和定量兩個方面。定性成本被歸因于與生產低劣產品相關的現存不合理流程的成本。這可能導致客戶不滿意或者喪失未來商機,這些成本如客戶滿意度下降、瑕疵糾正成本、返工成本,以及由于違約而導致的業務損失成本等。利用有效的風險評估方法能夠把定性因素轉換為定量成本,這可以通過評估不同因素相關風險,然后為每一項分配風險預算來實現。風險預算是規避風險的成本乘以風險發生概率。要建立RPI投資的成本收益模型的一種方法是,定義關鍵指標以期能夠跟蹤和度量項目。這些關鍵指標以關鍵質量指標(KQI)形式出現,與TQM項目所定義的部分指標相一致。還可以體現為關鍵性能指標(KPI),與項目經理和職員的設想一致。其他指標能夠體現為項目健康指標(PHI),與項目規劃階段的相一致,而且易于在項目跟蹤活動中被定期檢查。
4.3項目風險管理流程改進的價值
風險流程改進價值包括建立合理風險流程的直接結果以及改進產品質量和客戶滿意度的結果。有關可定量化價值包括:增加生產力、降低產品周期、降低開發與維護成本等。不可定量化價值包括:改進客戶服務水平、適應需求,以及降低維護的努力。這些定性化價值可以通過特定方法來轉換成定量價值。在實施RPI過程中,應當建立統一的成本價值模型。利用可以為不同組織所使用的統一模型,可以很方便用于結果和價值比較,也可以為企業建立一個可能的標桿或基準(Benchmark)。這個模型的另外一個價值是提供一個度量RPI努力的基準。通常,流程改進要至少經歷一個完整的RPI周期,平均需要18~36個月。但是目前沒有通用或標準模型來進行RPI的收益成本驗證,因為處理定量化的部分較容易,但處理RPI定性化成本和收益方面很難。為了證明RPI的成本收益,對項目風險域改進的潛在收益需要利用風險評估方法定性并定量化,如利用項目風險分析管理模(PRAM)。
PRAM現在已經被很多歐洲公司用于識別、分析和減低與系統集成項目有關的風險。PRAM風險管理模型可以應用于對關鍵流程持續的風險識別和疊代工作,該方法核心概念是風險預算,它通過把預算價值加在潛在的RPI收益上,來度量RMMM(CRM)的風險管理的價值和效果。
總之,隨ISO9000:2000和CMM的大規模應用,以及工程項目復雜性的增加,對RMMM或者CRM的需求也將逐漸增加。因此,要想提高項目運轉效率和可靠性,有效地降低風險,應通過持續改進的方法對項目風險進行管理。
參考文獻:
「1凱西。施瓦貝爾。IT項目管理「M.北京:機械工業出版社,2002:390.
「2parisonofThreeApproachestoProjectRiskManagement「R.PMIMelbourneChapter.BroadleafCapitalInternationalPtyLtd,2000.
「3Aninternationalguidetobestbusinesspractice:RiskManagement「S.StandardsAustrlia,1999.
「4AS/NZS4360(1999)「R——RiskManagement.
關鍵詞:電力企業,風險管理,定量風險評估
0、引言
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。
1、風險管理的主要內容
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(QuantitativeRiskAssessment—QRA)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程,見圖1。
2、風險管理的組織實施與基本流程
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。
3、電力企業定量風險評估(QRA)
電力企業QRA的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業QRA對企業的作用主要體現在:通過QRA有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展QRA可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施QRA具有現實意義。
3.1電力企業QHA的基本框架模式
電力企業QRA是指在工業系統QRA的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。
3.2電力企業QRA的主要工作內容
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定QRA實現目標和實施條件等。
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立風險數據庫,既作為QRA的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。ALARP原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。
3.3電力企業QRA常用方法
根據電力企業QRA的工作內容和實現要求,結合電力企業本身特點,電力企業QRA常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術和故障模式影響分析與致命度分析(FMEACA)技術;風險與可操作性研究技術;事件樹分析技術;基于概率影響圖技術、人工智能、專家系統、可靠性工程技術期望值法、風險主觀、客觀估計法、模糊評估法等。
關鍵詞:電力企業,風險管理,定量風險評估
引言
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。
一、風險管理的主要內容
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(QuantitativeRiskAssessment—QRA)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程。
二、風險管理的組織實施與基本流程
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。
三、電力企業定量風險評估(QRA)
電力企業QRA的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業QRA對企業的作用主要體現在:通過QRA有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展QRA可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施QRA具有現實意義。
3.1電力企業QHA的基本框架模式
電力企業QRA是指在工業系統QRA的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。
3.2電力企業QRA的主要工作內容
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定QRA實現目標和實施條件等。
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立
風險數據庫,既作為QRA的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。ALARP原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。
3.3電力企業QRA常用方法
根據電力企業QRA的工作內容和實現要求,結合電力企業本身特點,電力企業QRA常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術和故障模式影響分析與致命度分析(FMEACA)技術;風險與可操作性研究技術;事件樹分析技術;基于概率影響圖技術、人工智能、專家系統、可靠性工程技術期望值法、風險主觀、客觀估計法、模糊評估法等。
一、內部控制與風險管理關系辨析
內部控制思想和管理實踐早在18世紀西方國家就已經出現,當時只是以賬目核對和崗位分離為手段來保證賬目正確,防范舞弊行為的發生。1945年,美國注冊會計師協會的審計程序委員會在《內部控制:一種協調制度要素及其對管理當局和注冊會計師的重要性》的報告中,首次將內部控制定義為:“為了保護財產的安全完整,檢查會計資料的準確性和可靠性,提高企業的經營效率以及促進企業貫徹既定的經營方針,所設計的總體規劃及所采用的與總體規劃相適應的一切方法和措施。”1994年,COSO在《內部控制——整體框架》對內部控制定義的描述如下:內部控制是由董事會、管理層和員工共同設計并實施的,旨在為財務報告的可靠性、經營效率和效果、相關法律法規的遵循性等提供合理保證的過程。報告將內部控制劃分為控制環境、風險評估、控制活動、信息與溝通和監控5個要素。這一內部控制的定義得到廣泛的認同并沿用至今。內部控制本質上是組織的內部風險控制機制,它是有助于降低企業風險的一種控制機制,內部控制的最終目標是提高企業的經營管理水平和風險防范能力(丁友剛、胡興國,2007)。
風險管理起源于20世紀30年代的美國,并從美國向世界范圍內傳播。20世紀中期,一些行業開始嘗試著運用保險的方法進行風險管理。從20世紀后期開始,由于環境的不斷變化,控制手段和措施的不斷豐富,風險管理的外延和內涵也有了很大的擴展。隨著對風險認識的不斷提高,人們對風險管理也有了更深的理解和判斷(董大勝,韓曉梅,2010)。2004年,在COSO出臺的《企業風險管理——整合框架》中,對企業風險管理定義如下:企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。風險管理包括八個組成要素:內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。總的來講,整合框架強調在整個企業范圍內識別和管理風險的重要性,強調企業的風險管理應針對企業目標的實現,要求企業在戰略制定階段就應考慮風險因素。企業對風險的控制不僅面向過去,也要面向未來;企業的風險管理不僅貫穿于戰術層面也貫穿于戰略層面(謝志華,2007)。
關于內部控制與風險管理的關系,目前代表性的觀點有三種:一是認為風險管理包含內部控制,COSO《企業風險管理——整合框架》(2004)中明確指出,風險管理包含內部控制,企業風險管理比內部控制范圍廣得多;二是認為內部控制包含風險管理,加拿大COCO報告(1995)認為,風險評估與風險管理是內部控制的關鍵要素;三是認為內部控制就是風險管理,風險管理系統與內部控制系統沒有差異,這兩個概念的外延變得越來越廣,3E在變為同一事物(謝志華,2007)。總而言之,內部控制理論和風險管理研究的發展是緊密聯系、息息相關的。董月超(2009)認為,兩者的相同之處在于:對參與的主體要求相同,都對企業實現目標提供合理的保證,都強調要主動應對風險;兩者的不同之處在于:目標體系不同、組成要素不同、產生效益的方式不同、風險管理的理念不同。內部控制屬于企業管理范疇,而風險管理屬于企業治理范疇,風險管理是對內部控制的繼承與發展。丁友剛、胡興國(2007)指出,內部控制本質上是組織的內部風險控制機制,它是有助于降低企業風險的一種控制機制,內部控制的最終目標是提高企業的經營管理水平和風險防范能力。
正因為有這樣不同的認識,在企業管理的實踐層面,許多企業在21世紀初轟轟烈烈地全面更新了內部控制體系之后,又于近幾年全面推進風險管理,從組織結構改良開始,設立了獨立的風險管理機構,建立風險管理體系,讓那些剛剛開始嘗試執行的內部控制制度戛然而止。筆者認為,內部控制與風險管理的直接載體都是企業的經營活動,內部控制與風險管理都以企業法人為邊界,從這一點來說,不能將二者截然割裂開來。內部控制重心在企業的高管層之下(經營活動),風險管理的重心在高管層之上(戰略設計、決策),內部控制主要關注不相容職務是否分離,風險管理主要關注經營目標實現過程中的不確定性。兩者間的關系辨析固然重要,它有助于理清思路,找準內部控制與風險管理工作的側重點。但是,更為關鍵的是:如何構建一個架構將兩者有機融合、指導企業管理實踐。“他山之石,可以攻玉”,日本自2003年成立“風險管理與內部控制研究委員會”以來,經過8年多的發展,積累了豐富的經驗,形成了一套行之有效的辦法,值得我們借鑒。
二、日本內部控制與風險管理政策研究
2001年美國安然事件之后,日本企業會計審議會于2005年初成立了內部控制專業委員會,并且于2007年2月頒布了《關于財務報告內部控制評價與審計準則以及財務報告內部控制評價與審計實施準則的制定意見書》、《財務報告內部控制評價與審計準則》和《財務報告內部控制評價與審計實施準則》。準則在美國COSO委員會內部控制概念框架的基礎上,結合日本企業的特點(資產的取得、使用及處分的手續繁雜,因而資產受到特別的關注),對內部控制的定義如下:內部控制是指一個單位為了實現其經營目標,保護資產的安全完整,保證會計信息資料的正確可靠,確保經營方針的貫徹執行,保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手段與措施的總稱。與COSO委員會頒布的三項目標不同,日本內部控制的定義在三個目標的基礎上又增加了資產保全這一目標,強調內部控制是企業內部體制與流程,內部控制能為企業發展提供合理的保障(而不是完全的保障)。
(一)內部控制與風險管理兩者間的關系
對于內部控制與風險管理間的關系,在2005年經濟產業省所召開的《新風險時代的內部控制》的研討會上,將風險管理劃分為兩種類型:與企業發展機會相關聯的風險(是指與企業經營相關的戰略層面的決策風險,具體包括進入新業務領域的風險、新產品開發的風險、資金運作相關的風險、設備投資相關的風險等);與企業業務活動相關聯的風險(是指正確、高效的開展業務相關的戰術風險,具體包括與財務報告相關的風險、與產品質量相關的風險、與信息系統相關的風險、與業務手續相關的風險、與物品、環境相關的風險等)。這兩類風險共同影響企業持續的價值增值,都是企業全面風險管理的對象,但它們與內部控制間的關系卻不盡相同。
對于“與企業業務活動相關聯的風險”,可以通過內部控制流程直接進行防范,這需要建立合理的內部控制架構。管理層可以通過對內部控制體系的構建來管理“與業務活動相關聯的風險”,并以此為基礎,開展包括“與企業發展機會相關聯的風險”在內的全面風險管理。風險類型與內部控制間的關系,如表1所示。
因此,從應對上述兩類風險的角度而言,內部控制與風險管理間的關系表現為:內部控制是應對全面風險的前提,也就是說,內部控制為與業務相關聯的各類風險進行恰當的風險管理活動提供了支撐。兩者的關系可以進一步細化為三個方面:
1.風險評估是內部控制的構成部分
與風險管理相關的風險對策,大多數是在內部控制框架的基礎上形成的。因此,開展風險管理所需的風險評估,由風險評估所形成的風險對策,對風險對策實施情況的評價是內部控制調整、運營情況評價的一部分。
2.風險評估的結果是內部控制進行持續改進的依據
內部控制不僅關乎“與業務活動開展相關聯的風險”,而且必須在各種風險評價以及與風險評價相應的方法經驗積累的基礎上,對內部控制的框架、運行情況進行動態調整。管理層通過風險管理對風險進行評價提出相應方針政策,并在此基礎上對內部控制的各個方面進行持續的改進。
3內部控制促進全面風險管理的完善
內部控制流程中所處理的“與業務活動開展相關聯的風險”,必須及時地反饋給風險管理組織,并在全面風險管理活動中進行評估。
(二)內部控制與風險管理的—體化模式
風險管理與內部控制是市場經濟環境下,企業的經營者為了響應各類企業利益相關者的需求、保證企業永續經營必不可少的管理手段。恰當的風險管理、完善的內部控制體系,有助于提高客戶與投資者對企業的信任度,從而增加企業的價值。正因為如此,2003年,日本經濟產業省在總結先進企業內部控制與風險管理成功經驗的基礎上,融合日本全面質量管理的成功經驗,構建了“內部控制與風險管理的一體化模式”。該模式包括三方面內容:內部控制的PDCA循環,基于風險管理的內部控制評價流程,內部控制與風險管理整合架構。
1.內部控制的PDCA循環
PDCA循環又叫質量環或者戴明環,是管理學中的一個通用模型,是美國質量管理專家戴明博士首先提出的,它是全面質量管理所應遵循的科學程序。PDCA循環就是按照“計劃—執行—檢查—行動”的順序進行質量管理、實現持續改善。從上世紀70年代全面質量管理在日本推廣以來,極大地促進了日本經濟的發展,質量意識深入人心,所以在內部控制體系構建環節,日本經濟產業省也引入了PDCA循環(如圖1所示)。
在內部控制體系構建的PDCA循環中,企業首先在對風險綜合評價的基礎上,把握經營活動的變化,對內部控制的架構進行適當的調整(Plan);運行內部控制程序(DO);通過內部控制的評價(Check),確認內部控制機能的有效性;明確內部控制的調整與改善的方向(Act)。其中,內部控制的評價與內部控制的調整、改善是內部控制PDCA循環的發動機。
2.基于風險分析的內部控制評價流程
內部控制評價是指內部控制制度、行為是否契合內部控制總體目標的達成,包括體系構建的完備性(規則、制度是否健全,內容是否合適)和運行狀況的遵循性(在具體執行運行過程中,是否遵循既定的內部控制規則)。為了促進風險管理與內部控制間的有機整合,日本經濟產業省在對先進企業風險管理經驗總結的基礎上,歸納并形成了基于風險分析的內部控制評價方法。該方法通過對企業風險進行分析,評價內部控制體系是否能夠把握特定的經營活動的風險,并對這些風險進行及時地發現和有效地預防。
以采購活動的“預定工作”為例,由于存在著資金支出的購買活動,一般而言發生舞弊行為的可能性更大,所以存在降低發生舞弊風險的必要性,其內部控制評價流程如圖2所示。內部控制評價的前提條件是對綜合風險評價、對經營活動的把握,具體到購買活動時要考慮如何降低舞弊行為發生的風險。在“采購的預定流程中”,首先要確認內部控制的制度、規則的建設情況(主要確認采購申請填寫人與訂貨負責人是否分離),如果內部控制制度本身不完善,要進行整改。在內部控制制度、規則完善的基礎上(采購申請填寫人與訂貨負責人在制度規定上實現了分離),進一步確認運行情況的遵循性(對運行情況的分析,主要關注運行過程是否按照制度與規則執行),如果存在執行不到位的,需要整改。
3.內部控制與風險管理整合架構
無論是“內部控制的PDCA循環”,還是“內部控制的評價流程”,都屬于企業風險管理與內部控制工作的“單元要素”。如何將這些“單元要素”整合在統一的框架中,促進風險管理與內部控制的有機融合,日本經濟產業省給出了一個通用性的“內部控制與風險管理的整合架構”,如圖3所示。
內部控制與風險管理整合架構顯示,健全的內部控制環境與通暢的信息傳遞渠道,是企業內部控制與風險管理整合架構的基礎。在“金字塔式的組織中”,企業的各個層級通過PDCA循環,讓風險管理與內部控制融入企業經營管理的各個方面。內部控制的評價基于風險分析,實施內部控制評價的人員要能夠準確把握流程現狀,并對作為控制對象的業務有一定程度理解。具體而言,采購的流程由采購部經理負責、制造流程由制造部經理負責,各個業務流程由其流程的負責人負責。但是,在實際工作中流程負責人(采購部經理或者制造部經理)不可能對每一個內部控制進行確認與評價,對于那些更為細化的環節(如采購流程中的“定貨”、“驗收”環節)要由下一層次的負責人(如作業層負責人)來評價。在內部控制的綜合評價中,企業的各個層級不是獨立的開展內部控制評價,而是通過“自下而上”的方式開展連貫式內部控制評價,即從作業層(車間負責人,團隊負責人)到戰術層(各部門經理)再到戰略層(股東等)。在這些評價結果的基礎上,最終形成綜合評價。當發現企業某些業務流程出現問題時,根據問題的風險程度,決定內部控制的改善方案。
此外,在內部控制評價過程中,還要充分發揮內部審計部門的作用。內部審計部門作為獨立的評價機構,對各個層級的內部控制評價的結果進行再評價,確保內部控制評價的客觀性,促進內部控制體系完善,讓企業的風險得到全面的控制。
三、啟示
雖然《企業內部控制配套指引》的出臺,標志著我國企業內部控制規范體系基本建成。但是,就我國企業管理實踐來看內部控制與風險管理未能實現真正的融合,因此影響到內部控制作用的真正發揮。結合日本政府在促進本國企業構建“內部控制與風險管理一體化模式”方面的經驗,筆者提出三點建議:
(1)建立統一協調的外部監管機構。為了促進企業實現全面風險管理,形成有效、柔性的內部控制體系,2003年5月,由日本經濟產業省牽頭,成立了“產(大型企業代表)學(部分高校與科研院所)官(政府機構)”為主體的“內部控制與風險管理”研究會,研究會經過多次研討,最終形成了《新風險時代的內部控制》研究報告,該報告對企業的內部控制與風險管理工作的開展給出了一般性指導意見。目前,我國內部控制和風險管理的監管制度的制訂,分屬于不同的制度框架。內部控制的規范標準,是由財政部、證監會、審計署、銀監會、保監會通過2010年4月26日聯合的《企業內部控制配套指引》來確定的;風險管理的規范標準,是由國務院國有資產監督管理委員會通過2006年6月6日出臺的《中央企業全面風險管理指引》來確定的。由于“政出多門”,缺乏一個統一的規則來協調各項“指引”的內容,這是導致目前我國企業管理實踐不能將二者有機融合的重要原因之一。企業常常為了應付檢查將同一件事情用兩個規范來做,結果是“為了控制而控制”,既增加了企業的成本,又收不到應有的實效。因此,結合我國企業管理的實際情況,構建具有我國特色的內部控制與風險管理一體化模式,需要建立一個統一協調的外部監管機構。
