時間:2023-08-31 16:08:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險管理和風險控制的區別,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:高校;風險清單;風險管理;內部控制
一、高校內部控制與風險管理的關系
1.高校內部控制和風險管理的定義高校內部控制是其內部治理的重要組成部分,由內部環境、風險分析和評估、控制活動、信息與溝通、內部監督等活動構成,表現為與業務、財務相融合的組織管理結構、制度、程序和措施等,是高校為履行職責、實現目標、應對風險而實施的管理活動。高校的內控目標包括確保各項資金的安全運行,提高資金的使用效益,保障各項活動合法合規、資產安全完整、財務報告及相關信息真實完整,有效預防和防范舞弊腐敗,辦學服務效率和效果能得到提高。高校風險管理是指高校為實現相應的發展目標而面臨不確定性,通過目標設定、識別風險和評估等風險管理活動,將風險控制在可接受的范圍內,有利于提升管理和治理水平,同時減少對高校產生不利影響,從而提升管理水平,減少能對單位產生影響的不確定性因素。根據高校各個部門的職能和權力運行特點來看,風險多數集中在基建、資產管理、招聘、招生、科研等重點環節。2.高校內部控制和風險管理的關系高校內控和風險管理都是高校管理人員將經濟業務作為對象,以期將學校戰略與規劃落到實處,而實施的一系列動態并且靈活的治理過程的集合。高校的風險管理包括內部控制,內部控制以風險管理為出發點,其控制目標、控制活動等依據內外部環境的變化而進行相應變化。高校內控與風險管理的目標和職能有很大的相關性,比如控制環境、控制活動以及風險評估等都是兩者的相同內容。除此之外,高校風險管理包括風險反饋、目標制定等環節,內控是風險管理過程中的重要環節,而風險管理同時又覆蓋了內部控制,貫穿于整個管理過程。所以,風險管理和內部控制工作一般是同時進行的,兩者在運行過程中是統一并協同的。簡而言之,風險管理是內部控制的延伸,內部控制的本質和核心就是風險控制。內部控制以風險管理為出發點,內部控制的發展是一個漸進的過程,內部控制的核心始終是風險管理,其目標、內容隨著內部和外部環境的變化而變化,其本質就是風險控制。因此,高校的風險管理包括內部控制,是高校內部控制的延伸。風險意識和內控制度管理為完善高校控制系統提供了堅實基礎,也是防范風險和高校風險管理的基礎。高校的風險管理考慮的是整體的風險,而內部控制是單純風險的防范和控制。風險管理涵蓋了高校各個層面的發展戰略,其目標不僅是為了保護資產和經營活動的平穩運行,還包括積極利用機會,尋求更好的發展機會。在內部控制和風險管理相互融合的框架體系中,內部控制的目的主要是為了控制整體的、全面的風險。內部控制側重在控制手段上,風險管理側重在控制目標和風險控制上,兩者相互擴展和完善,最后建立一個完整的框架,實現控制風險的目標。兩者在內容和形式上的區別和側重,表明了有效整合的必要性。
二、高校內部控制與風險管理存在的問題
1.財務風險內控制度不健全風險內部控制體系是高校財務內部控制實施的關鍵。有效的工作體系是高校正常運營的保障,制度保障需要學校內部各部門積極配合。目前,高等院校在財務風險內控制度存在明顯不足,仍存在局限性和片面性,無法形成系統化、規范化、可操作的制度框架。而且,高校沒有制定完善的財務內控制度,且高校償債風險防范制度不健全,必然降低高校財務風險應對能力。2.財務流程不規范財務流程規范化是制度落實的關鍵環節,雖然在高校的財務管理過程中,有關部門都相繼出臺了許多管理辦法,但仍缺乏完善的財務業務流程。近年來一些高校內部也制定了相關流程,仍缺乏具體化的管控措施,辦理程序及責任不清晰,大大影響執行效果。在組織控制活動方面,高校對關鍵崗位風險點的把握不夠,缺乏對各個經濟業務環節進行流程化管理。3.風險評估機制缺失隨著高校的經營模式多樣化,高校的招生、教學、科研以及基本建設等環節的財務風險不斷增長。且近年來,高校資金來源逐漸呈多元化、復雜化趨勢,高校面臨的財務風險及考驗越來越多。多數高校長期受事業單位機制影響,財務風險管控意識不足,未能積極有效地制定和落實財務風險評估機制,缺少對經濟業務活動的風險監測和應對方案,導致應對業務和財務風險的能力不足。4.監督機制不完善高校的監管主要以內部監管為主,內部監管主要依靠紀檢和審計兩個部門,同時由于兩部門業務及人力資源限制,難以做到監督工作全面化。且兩部門的分工也容易造成內部財務管理監管的真空地帶。審計部門一般只是對采購項目、基礎項目建設、三公經費等重點內容進行審查,內控的監督及風險管理的范圍受到限制,從而導致內控的監督和管理措施落實不到位。
三、嵌入風險清單管理的高校內控建設優化機制
風險清單是指組織根據自身戰略、業務特點和風險管理要求,以表單形式進行風險識別、風險分析、風險應對、風險報告和溝通等管理活動的工具方法。其目標是使組織從整體上了解自身風險概況和存在的重大風險,明晰各相關部門的風險管理責任,規范風險管理流程,并為構建風險預警和風險考評機制奠定基礎。從單位層面和業務層面以風險清單為工具方法,按照應用環境創建、目標設定、風險識別、風險分析、風險應對、風險報告和溝通、評價與優化的程序,通過風險管理基本框架的構建,來優化高校內控建設,使其符合高校特點的同時具有更強的可操作性。其中風險識別、風險分析、風險應對為關鍵環節。在風險識別環節,首先,查找可能影響高校正常運行的要素,如業務流程、規章制度、信息系統、人員素質等;其次,對查找出的要素進行深入的風險分析活動,判別是否存在風險;最后,梳理風險點,建立全面的風險清單。在風險分析環節,鎖定識別出的單位和業務層面的關鍵風險點,對風險發生的可能性和風險后果的嚴重程度進行深入分析。風險發生的可能性分為高、中、低三個級別,“高”代表會影響高校的正常教學、科研等活動,對運營造成一定程度的影響;“中”代表能夠進行正常的教學、科研等活動,但會對財務活動造成一定程度的影響;“低”代表對財務活動造成的影響較小。風險發生對目標實現的影響程度可分為高、中、低三個級別,“高”代表常常會發生,“中”代表某些情況下會發生,“低”代表極少情況下會發生。結合這兩個標準,對各個風險點的總體風險度和風險等級進行分析和判斷。在確定風險等級后,根據風險的大小確定相應的風險應對措施。確定為高等級的風險,需要進一步分析各個風險產生的原因,采取有效的控制措施將其降低至可承受范圍內,并在后續的活動中持續關注該風險點的發展和動態;確定為中等級的風險,需要保持目前采取的控制措施,同時定期重新評估和分析風險;確定為低等級的風險,需要加強并堅持日常控制措施。
四、嵌入風險清單管理的高校內控建設優化措施
1.改善高校內部控制環境,增強風險防范意識高校風險管理是一個循序漸進的過程,成功與否主要在于高校管理人員和員工能否認知到風險管理重要性。高校管理人員必須充分認識到內部控制和風險管理的重要性,并且在制度體系構建上足夠重視,落實責任,進而全面推行風險管理和崗位責任相融合,全員、全過程、全方位提高內控管理水平。特別是增強教職工風險意識,使大家在高校日常經營活動中認識到自己在風險管理中的職責,實現對風險的精準預測和有效控制,從根源上確保高校各項活動的有序推進。高校的內部控制環境,包括人員道德觀念、能力素質、組織架構、人事制度及管理理念等,是高校風險管理的基礎。一方面,需要重視人員的能力和素質培訓,提高業務水平和能力,進一步提高財會人員的綜合素質,加強溝通,創造和諧向上的工作氛圍。另一方面,不斷完善人事管理等有關制度,在人員聘用、培訓、晉升等環節強化道德價值操守和風險管理意識,創造良好的管理控制環境,有利于促進高校自身的安全和穩定發展。2.健全財務內部控制制度,建設高校風險管理和預警體系高校應當基于自身需求,建立完善的內控制度,規范和控制經濟業務活動,防范財務風險。高校管理層需要根據自身的辦學特點和風險狀況,對財務內控制度不斷進行梳理并修訂。同時對財務業務的主要流程和環節進行優化,加強制度建設,逐步建立起全面、系統的財務內控制度。另一方面,高校可以設立專門的內控管理部門,從總體上規劃各項內部管理工作,從而確保有效發揮其功能和作用。以風險管理為導向的內部控制,最為關鍵的是風險防范。建立健全風險預警體系是高校內部控制與風險管理工作的重要舉措。首先,構建全員、全面、全過程的風險管理體系,將財務風險預警不僅運用到高校投融資等工作中,還要落實到高校教學、科研、招生、就業等各個方面。其次,結合高校自身特點,不斷收集并分析各種影響風險發生的信息,對高校發展與運營過程中存在的潛在風險因素進行動態追蹤,實現事前、事中、事后的全過程監控,建立起動態的風險預警體制機制。最后,不斷優化風險分析評估制度,完善高校風險預警機制,建立風險管理的長效機制,提高風險管理的效率與效果。3.多方位梳理完善業務財務流程,加強內部信息溝通高校在業務財務的規范化管理方面,要覆蓋所有的業務財務流程,精細把控各個環節流程。利用流程化管理手段,將業務的各個處理流程細化,再分解到歸口部門,以明確各個部門崗位的職責權限。同時為了有效提升內控制度的執行力,規范權力的運行,利用內部授權審批制度來實現制衡。隨著風險管理和財務內控的積極推進,高校在對財務業務流程進行調整時,還需要考慮自身情況,重點關注借款、日常報銷、績效獎勵、差旅費的審批流程、基礎建設款項的審批、經費劃撥審批,及一些其他特殊業務的處理流程。不斷建立完善通暢的溝通機制,加強內部信息交流,特別是注重跨級溝通,實現上下級之間的平等雙向溝通。具體可以通過以下手段來建立健全信息溝通機制:第一,建立內部開放式的信息系統,使員工能夠第一時間反映相關情況,管理人員能夠及時做出處理和反饋,從而為各級職能和教學部門提供有效參考;第二,建立投訴和投訴人保護制度,同時應給予適當的獎勵;第三,成立內部小組,完善內部監督機制,定期召開通報會,分析錯弊風險。同時,財務部門相關負責人應定期向學校管理層匯報工作開展情況,貫徹落實《高等學校財務制度》中的要求,從而將財務風險降到最低。4.強化內部監督機制,建立科學的內部控制評價機制運行有效的內部控制體系的建設和實施,離不開健全有效的內部監督機制。與此同時,監督和評價的結果也可以改進風險管理。因此,內控監管和評價制度的完善就成為關鍵。其中的首要工作是基于學校發展規劃設立內控整體目標,把風險管理理念與高校業務活動進行融合,將內控目標、風險管理以及管理機制融合為一體,深入剖析流程,讓高校各項工作更規范。另外,還需要通過自我評價、定期評估等方式對各個部門和崗位落實已分解職責的情況進行檢查與評價,使高校內部控制能夠接地氣,能夠真落實,能夠有實效。高校通過內部、外部監督相結合的方式,依靠內部審計、紀檢等進行常規和專項監察,同時借助外部審計機構、公眾監督等,對學校的經濟業務活動進行系統全面的審查。風險管理機構的設立是風險管理工作實施的基礎,需要不斷對風險管理機構、內控評價和監管制度進行優化和完善。深入調研學校的真實情況,制定高校內部控制整體目標,有效融合風險管理與高校業務活動,將風險管理、內控目標以及內部管理機制融為一體。同時,加強風險管理評估,根據實際情況,細分落實部門和崗位職責,檢查評價控制情況。在高校的管理過程中實施全過程控制,實現內部控制與風險管理的有效融合。
五、結語
在高校的內部控制與風險管理工作中,運用風險清單的管理方法,將這兩種工作結合在一起,通過對風險的規劃、識別與評價,將內部控制與風險管理融合,從而更好地預防、規避和控制風險。同時,不斷更新風險管理理念,樹立風險管理意識,構建完善的風險預警體系和內部控制監督制度。在此基礎上,將風險管理貫穿到高校教學科研、財務收支、業務管理、經營活動等各個領域,從而提高風險管理工作的質量和風險防范能力,規范高校的經濟活動,促進高校的可持續和高質量發展。
參考文獻
1.財政部關于全面推進行政事業單位內部控制建設的指導意見(財會〔2015〕24號).
2.管理會計應用指引第702號――風險清單(財會〔2018〕38號).
3.黃韜.高校財務管理內部控制的探討.中央財經大學學報,2015(S2).
4.歐陽瑞聰.財務風險管控視角下的高校內部控制.財會學習,2017(02).
關鍵詞:房地產;開發;風險管理;項目管理
1、房地產項目風險管理的基本理論
1.1 房地產項目風險管理的概念
房地產項目風險管理是研究房地產開發過程中風險發生規律和風險控制技術的一門管理學科,各經濟單位在風險辨識、風險估測和風險評價的基礎上,根據具體情況優化組合各種風險管理技術,對房地產項目風險實施有效的控制和妥善處理風險所致后果,以期達到以最少的成本獲得最大安全保障的目標。在決策時,能否達到上述期望目標,不僅取決于決策前的風險辨識、分析和評價是否全面正確,還取決于在實施控制方案過程中能否進行正確的效果評價,對控制方案不斷修改,使其更加切合實際。這表明房地產風險管理方案的實施是一個動態過程,管理者必須根據實際情況隨時辨識、分析和評價新風險,修改管理方案,這樣才能達到以最少的成本實現最大安全保障的目標。
1.2 房地產項目風險管理的過程分析
房地產項目風險管理一般包括風險識別、風險分析、風險應對和風險控制等四個階段,各環節緊密聯系,其推行和開展按一定的程序周而復始、循環往復進行。
(1)風險識別是風險管理中最重要的步驟,只有全面、正確地識別房地產開發過程中面臨的所有風險,才能有的放矢地針對風險進行分析,使風險管理建立在良好的基礎之上。通過風險識別應盡可能全面地找出影響風險管理目標實現的所有風險因素,采用恰當的方法予以分類,逐一分析各風險因素產生的根源。風險識別的參與者應盡可能包括項目隊伍、風險管理小組、來自公司其他部門的專家、客戶、最終使用者、其他項目經理、項目相關方以及外界專家等。另外,項目風險識別并非一蹴而就的事情,應當自始至終反復進行。
(2)風險分析包括風險定性分析與風險定量分析,風險定性分析是確定風險發生的可能性及其后果的嚴重性,并按照風險對項目目標可能的影響進行風險排序,以明確特定風險的重要程度從而指導風險應對計劃的制訂,并幫助項目團隊成員修正計劃中出現的偏差。風險定量分析則是量化風險的出現概率及其影響,確定該風險的社會、經濟意義以及處理的費用和效益分析。不僅量化分析每一個風險的概率及其對項目目標造成的后果,而且也分析項目總體風險的程度。通過對項目實施各階段可能存在的風險進行盡可能詳盡的分析,包括分析風險性質、風險發生的可能程度、風險發生對預期利潤的影響程度,使項目可行性研究建立在風險分析的基礎上,選擇可靠性好、風險隱患少、風險程度低的項目管理方案。
(3)針對風險識別和分析的結果,為提升實現目標的機會,降低風險對目標的威脅,必須制訂項目風險應對計劃。風險應對計劃必須與風險的嚴重程度、成功實現目標的費用有效性、項目成功的時間性與現實性相適應,同時也必須得到所有項目利益相關方的認可,并應由專人負責。項目一旦立項,項目管理者就應該緊密結合國家對房地產市場的監管政策,在城市規劃、政策法規的約束條件下,研究房地產的供求現狀及發展趨勢,確定周密的產品方案和營銷策略,圍繞項目開發進度優化資源配置,統籌資金安排,使整個項目的實施有條不紊,進而達到預期目的。
(4)跟蹤已識別的風險,監視殘余風險,識別新出現的風險,修改風險管理計劃,保證風險計劃的實施,并評估風險減輕的效果是項目控制的主要任務。完善的控制體系和有效的實施,是防范風險和控制風險的可靠保證,同時也將成本管理與企業的整體經濟效益直接聯系起來,對減小財務風險的作用極其顯著。一個好的風險控制系統可以在風險發生之前就提供給決策者有用的信息,并使之做出有效的決策,達到項目風險管理的目的。
在以上四個階段中,項目管理者只有充分了解房地產項目的風險情況,對“易發險情”進行認真的分析和預測,并根據自身實力估算投資風險的承受能力,綜合權衡房地產項目的收益和風險,制定各種風險的防范措施,達到風險小而收益高的目的,才是房地產項目管理的真正目的所在。下面結合該項目的案例,運用項目風險管理的基本理論來具體分析該項目開發中存在的風險及產生根源,對重要風險進行估計和評價,同時提出較為詳細的風險管理措施。
2、工程實例:
我公司開發建設的湖州項目總建筑面積約45萬m2,綠地率40%,是由別墅、高層、小高層組合的住宅小區。從規劃設計上看,該項目強調不同建筑群體的統一性和完整性,規劃設計方案既要能滿足該建筑物的各項使用要求,同時又必須符合建筑間距,相鄰建筑間的相協調。從規劃布局上看,項目建設充分體現了現代感與自然文化氣息的結合,建筑互相圍合、各組團間貫穿公共綠地,即統一又形成每個單一的整體,構成氣勢非凡的空間效果。
2.1 項目各階段的風險識別
在投資決策階段,從各項政策方面來看,本項目具有得天獨厚的優勢;從社會環境與經濟環境方面來看,由于國家總體經濟形勢的良好,風險因素也較少。但是由于國家相關部門對國有土地進行了徹底的清查,相繼下發了關于房地產土地交易方面的各項文件,嚴格的土地政策使該項目在土地獲取方面面臨極大風險。
在土地的獲取階段,房地產開發所需巨額資金和融資是開發商最為關切和頗費心機的問題。我國房地產業資金大部分來自于金融機構的貸款,許多開發商利用貸款進行滾動操作,然后將樓盤以個人按揭貸款進行銷售,最終將房地產風險轉嫁到金融機構身上。由于房地產金融體系的內在脆弱性和資產價格的內在波動性,使得該項目也不可避免地具有籌資方面的風險。
在建設階段,該項目也將面臨著招標模式風險、承包合同風險、工期拖延風險、項目質量風險、開發成本風險及施工索賠風險等,但只要施工單位與開發商在房產開發市場具有良好的口碑和品牌效應,因此項目在招標模式、承包方式以及承包合同方面的風險因素也可控制在較小范圍。
在租售階段,該項目采用預售方式,在住宅具有穩定需求的市場條件下,有利于資金的快速回籠,因此這方面的風險因素較少。租售合同風險方面,重要的是銷售價格定位,準確合理的銷售價格能夠比較快地為廣大需求者所接受,從而為資金的快速回籠提供可能。
2.2 項目的風險分析
2.2.1 項目投資階段風險的敏感性分析
通過對與利潤有關的建安工程費、土地開發費、綜合配套費用、住宅售價等敏感因素進行單變量敏感性分析。列出住宅售價因素變化而其他因素不變的情況下,建安工程費、土地開發費、配套費用相對固定的情況下,住宅售價因素對利潤的影響比較關鍵,總結以上幾個因素的變化與成本利潤的關系,是正、負相關的關系。
2.2.2 項目土地獲取階段風險分析
項目在土地獲取階段的風險主要是融資風險,而該項目在融資方面依靠銀行貸款,自身也需具有充足的自由資金,加大融資手段上的多元化,大大降低了融資風險。
2.3 項目的風險控制
(1)項目土地獲取階段籌資風險的控制措施。對籌資風險主要采用風險控制與風險自留,明確不應過度負債,項目開發前期對資金運作應有全過程通盤的考慮,留有余地并有資金補充應急計劃項目;將短期負債與長期負債區別對待,盡量減少短期負債,以適應該項目開發生命周期長的特點;將房地產銷售工作提前,用收入彌補資金不足,減少負債,并提前盈利等。
(2)對設計變更風險、設計方案不合理的風險控制。主要采用風險控制和風險轉移,加強施工前施工圖審查及設計交底,建立健全會審制度;采用監理制度,更好地規范各個單位的行為;嚴格設計變更審查制度等,以便對項目投資控制。
(3)對工期拖延的風險控制。主要采用風險轉移,利用工程承包合同與工程監理合同將該部分風險轉移到施工單位和監理單位,具體措施為:在工程承包合同中,嚴格制定相關工程工期條款,在該項條款中,明確指明工期拖延所造成的后果及相應承擔的責任,將該部分風險轉移到主體承包單位;聘請專業監理公司,在監理合同中同樣設定相應工期條款,明確監理公司對工期拖延同樣負有責任。
(4)對各種安全事故風險以及其他風險的控制。任何風險防范措施都是有“人”來發現并實施控制措施的,對該項目總體而言,首要的是建設一支業務優,能力強、熟悉市場的管理隊伍。有了這樣一支隊伍,就能夠從源頭上減少和消除各種風險因素對房地產項目的影響。另外,進行風險控制管理要注意兩個關鍵問題:一是風險控制目標的確定與分解,二是責任落實。當然,在有效地管理規劃與控制風險時,還應注意工程項目風險控制的執行與反饋。這是對風險控制效率和效果評價與規避風險能力再提高的過程,檢查風險管理方案的實施情況,對風險情況進行監控,用實踐效果評價風險管理決策效果。要確定在條件變化時的風險處理方案,檢查是否有被遺漏的風險,對新發現的風險因素應及時提出對策。
3、結語
對房地產項目風險的分析研究在國外是可行性研究中一項不可缺少的內容,特別是近二三十年來得到了迅速發展。要避免房地產項目管理的風險,必須對房地產項目管理過程中可能出現的種種風險和不確定性因素做出較為精確的定性和定量分析。目前,我國房地產業的發展規律、經營管理的實踐還缺少理論研究和總結提高,許多項目管理者甚至各級政府在房地產項目的運作上還存在一定的盲目性和不科學性,對房地產業的風險更是缺乏深刻的認識,對房地產投資風險的全面論述也比較少。因此,房地產項目風險管理的理論研究和實踐運作,不僅是房地產項目管理者面臨的一個重要課題,而且是房地產業管理和政策制定部門所必須關注的內容。
參考文獻:
[1]譚術魁.房地產項目管理[M].北京:機械工業出版社,2004.
摘要:隨著企業發展及證券市場的日益成熟,企業各類經濟舞弊案件日益明朗化。面對這一現狀,企業必須建立健全成熟完善的內部控制體系,使一切管理活動都無法游離之外,使經濟舞弊行為無處藏身。本文對基于風險管理的現代企業內部控制的構建進行了探討。
關鍵詞 :現代企業;內部控制;經濟舞弊
在內部控制和風險管理的研究上,我國起步較晚也較薄弱,大多是借鑒美國的管理模式,洋為中用。在法律建設方面,我國出臺了《中華人民共和國公司法》、《企業國有資產監督管理暫行條例》、《中央企業全面風險管理指引》、《企業內部控制基本規范》和《企業內部控制配套指引》等一系列的法規條文,這一系列的規范與指引為我國內部控制和風險管理指明了方向,但時代在發展,管理理論在不斷變化,目前內部控制實踐已經發展到與風險管理、公司治理等相融合的新時代。面對這種情況,許多企業無法適應,面臨著無所適從的窘境。所以我們必須深刻認識兩者的關系,并將其提升至符合時展要求的軌道上來。
一、內部控制與風險管理的關系
(一)內部控制與風險管理的融合
一直以來,內部控制與風險管理之間的博弈就沒有停止過,目前主要形成兩種觀點:一種認為二者是兩個完全不同的概念,相互之間不可以取代;另一種認為二者只是術語不同,其實基本沒有區別。之所以產生對立觀點,是因為相關學者對內部控制和風險管理的內涵與外延辦公室不同,或將內部控制作為實現風險管理的步驟與手段,或將風險管理作為內部控制的組成。但無論是何種觀點,目前風險管理與內部控制有一個趨同的傾向,也就是說它們在漸漸的融合之中。據IFAC 的一項調查顯示,全球超過600 學者反饋表示,應加強內部控制與風險管理的一致性工作。我國相關法規條文也體現了融合的理念,如《企業內部控制基本規范》將內部控制作為一個較大的概念,風險管理被囊括其中,而《中央企業全面風險管理指引》又將風險管理作為一個較大的概念,內部控制是重要的實現手段。其實,無論是內部控制還是風險和管理,其作用都是為了防范企業風險,所以它們走向融合也是必然的。理論上講,內部控制與風險管理融合具有一定科學性:①概念雖未形成共識,但實現目標過程的一致性得到人們的廣泛認可;②目標一致,都是為了將風險控制在可控范圍之內;③程序一致,雖然叫法有所不同,但程序的本質有高度的一致性;④方法互用,兩者經常可以替換使用。
(二)內部控制與風險管理的協同
就拿監管機構來說,眼下已經形成了一個穩定的系統,現在又要將其融合在一起,肯定很難實現,這對于內部控制和風險管理領域的專家來講,也是無法接受的。在實踐之中,為了促進兩者的融合,可以通過協同方法來實現。企業沒必要為實現同一目標而制定兩套手冊或指南,也沒必要建立一個內部控制部門,再加上一個風險管理部門,企業應該將其整合起來,同時將風險控制整合到公司治理、戰略及運營之中。理順各種關系,使兩者相互促進、相互融合,形成一個良性循環,才能控制企業持續健康地向前發展。
二、基于風險管理的企業內部控制建設策略
(一)構建以“現金流量”為核心的內部控制模式
企業內部控制是一項復雜而系統的工程,涉及到企業所有的生產經營環節,尋找一個合理的切入點十分必要。資金作為企業賴以生存和發展的基礎,是企業生命的源泉。生產經營其實是人力資源作用于物質資源的過程,在這個過程中貨幣體現了核心作用,所以貨幣也是危險等級最高的資源,能夠安全有效地運行,也決定了風險評估中財務風險的高低。因此,加強“現金流”的內部控制可以促進主體正常組織資金活動,防范和控制資金風險,保證資金安全,提高資金使用效益,而建立和完善以現金流為核心的內部控制和風險管理體系可以為企業高速、持續的發展保駕護航。
(二)加強關鍵環節的風險控制
企業經營活動是由一系列的業務節點構成的,各個節點環環相扣構成了企業活動的整體。業務流程中實現節點的優化和風險因素的控制是提高風險管理能力的根本所在。業務流程的梳理及改革體現在內控上,設置關鍵控制點并選擇相應的控制手段,以實現對操作行為的制衡。收集企業經營過程中的各種信息,進行風險評估與識別,對關鍵風險控制點進行嚴格把關,制定風險管理解決預案,從而保證內部控制的順利進行。關鍵環節所涉及到的人員要進行嚴格的培訓,提高風險管理意識,使其從思想上重視內部控制,重視內部風險管理,其意識對風險管理成敗有直接影響。風險控制具有很強的系統性和聯系性,各單位和部門要權責明確,加強溝通,保證企業運營系統高效運行。優化企業管理功能,實行精細化管理,據此分析企業的關鍵控制環節和風險點,編制企業的風險管理預案。
(三)建立風險預警體系
實踐表明,只有把握風險管理先機,才能發揮風險管理的效用,只有及時、準確掌握經濟動態信息,才能采取針對性的風險管理措施,取得應對風險的主動權。這就要求企業必須適應時展的要求,將先進的信息技術引入其中。一是建立完善、成熟的企業信息管理系統,實現對企業運營數據的收集、存儲、處理和披露,利用先進的算法實現業務信息向會計信息的轉化;二是從風險監控和預警角度出發,建立風險預警分析系統,利用科學、先進的計量模型,實現對企業償債能力、運營能力、獲利能力等狀況的分析,預測企業的風險可能性及大小,隨時做好應對風險的準備。企業要上下協同,提高風險應急能力,一旦觸發風險信息就應該立即向上級匯報,立即組織攻關小組研究應對策略和組織實施,由被動變主動,盡可能避免風險發生,無法避免時盡可能將風險降到企業可接受范圍之內,從而保證企業生產經營活動的維持和正常運轉。
(四)提高員工內部控制意識,讓其主動參與進去
近年來,全員參與是各類管理實踐強調的重點之一,它可有效提高員工的積極性,對積淀企業文化、提高經營效益有重要意義,基于風險管理的內部控制也強調全員參與的重要性。內部控制涉及到企業的每一個生產經營環節,而每一個環節都與員工聯系在一起,所以強調全員參與,通過員工將各個環節有機聯系在一起。讓員工參與控制是內部控制未來發展的趨勢。將企業員工看成是企業的一部分,要充分尊重人才,建立吸引人才、留住人才的激勵機制,并探索出“感情留人、事業留人、制度留人”的特色之路。以此來改變傳統的員工被動接受的局面,進而形成良好的內部控制文化,為企業健康可持續發展奠定堅實的基礎。
參考文獻:
[1]劉霄侖.風險控制理論的再思考:基于對COSO內部控制理念的分析[J].會計研究,2010(03).
[2]張立民,唐松華.內部控制、公司治理與風險管理———《托普典章》為什么不能拯救托普[J].審計研究,2014(05).
[3]姜明群.中美風險管理框架對比分析及對我國企業風險管理的建議(上)[J].國際商務財會,2011(03).
關鍵詞:內部審計;風險管理框架;應用
中圖分類號:F239 文獻標識碼:A 文章編號:1672-3198(2009)03-0237-02
1 引言
2004年美國反虛假財務報告委員會(COSO)頒布了《企業風險管理――總體框架》中,企業風險管理的定義是,由董事會和管理層在制定戰略及在整個企業中實施的、用于識別可能影響組織的潛在事件并根據風險偏好管理風險,為組織實現目標提供合理保證的過程。它強調企業風險管理和內部控制體系整合,使二者共同成為公司治理的強大工具。內部控制體系中核心環節之一的內部審計承擔了監督、評價、檢查、報告和改進等任務,是企業風險管理不可或缺的組成部分。
2004年國際內部審計師協會(IIA)內部審計的定義將風險管理和內部控制、公司治理列為內部審計的工作對象,明確要求內部審計參與風險管理和公司治理過程, IIA《標準》確定了風險審計的方向。
2 風險管理框架下風險導向審計的應用前提
在風險管理框架下,要發揮風險導向審計的作用,必須以風險管理為基礎,改變審計思路,改進審計流程和方法。
2.1 以風險管理框架為理論框架
COSO提出的ERM框架首先增加了戰略目標,將企業風險的關注點引向戰略問題;其次,在內部控制五要素(內控環境、風險評估、內控活動、信息與溝通、監督)的基礎上增加了目標設定、事件識別和風險評估三個要素,與原來的風險評估要素構成了一個完整的風險管理過程;最后,還強調風險管理覆蓋所有層次,包括業務單元、子公司、分支機構和公司的整體層次等內部控制的全部領域。可見,ERM是一個整合公司治理和內部控制的框架,它關注包括公司治理領域和內部控制環節的一切風險。
IIA通過修改內部審計定義加速了它的發展并使其成為現代內部審計發展的趨勢。它是傳統審計的發展,賦予為企業的風險管理提供保證的重要任務,因此,應該讓內部審計和風險管理框架直接聯系,實現協同效應。IIA《標準》對風險審計的規范和指導,極力倡導內部審計在企業風險管理框架中發揮不可替代的重要作用,即內部審計要在風險環境分析、風險事件識別、風險評估、風險反應和控制、風險信息溝通和管理系統監控環節中發揮重要作用。
2.2 以風險管理目標為審計過程的行動指引
全球化、技術更新、資本重組、變化的市場、競爭和管制等因素使企業經營面臨著很多不確定性,現代企業管理的戰略目標是增加企業價值,同時承受相應的風險。不確定性是對價值的破壞或增進,風險與機會并存,管理層把機會反饋到戰略或目標制訂過程中,以便把握住適合的機會。
COSO對企業風險管理定下四大目標:戰略目標――高層次目標,與使命相關聯并支撐其使命;經營目標――有效和高效率地利用其資源;報告目標――報告的可靠性;合規目標――符合適用的法律和法規。在這些目標指引下,風險管理過程就是要合理保證管理層及時了解企業實現目標的程度。依據IIA對內部審計的定義,風險導向審計的總目標是對企業所面臨的風險進行管理,對內部控制和治理過程進行評估,將評估的結果反饋給管理層,從而幫助企業實現目標。其目標基本一致。
COSO風險管理框架擴展了風險管理的廣度和深度,提高了企業管理層控制風險的地位,也提高了風險評估在企業經營中的地位,企業目標分為經營效果和效率、財務報告可靠性和法律法規的遵守程度,內部控制目標提升到企業戰略的層次。風險導向審計對企業風險的監控是指對風險管理要素的內容和運行及一段時期內執行質量的評估,要求在企業風險控制監督過程中取得實效,廣泛收集有關經營決策和風險狀況的信息,評估各個待審計項目的風險,進而確定審計風險控制策略。風險導向審計的焦點體現在分析、確認和解釋關鍵性的經營風險,使審計和企業風險管理策略緊密聯系。
2.3 采用新型的審計思路
傳統的內部審計沿襲“自下而上”、“由點到面”的審計思路,風險導向審計則要求審計人員對企業的戰略管理進行分析,對企業風險做出合理的專業判斷,運用“自上而下”的思路,確定審計的范圍、重點、審計目標和相關審計程序,通過實質性測試的結果,結合重要性判斷來判斷整個企業的風險并最終形成審計意見。
2.4 以企業戰略為審計起點
企業經營戰略指導企業未來的發展方向,內部審計要把握好企業戰略和長遠規劃,才能充分發揮其服務職能,從戰略分析入手,按照“戰略分析――經營環節分析――剩余風險分析”的思路展開風險分析, 確定實質性審計程序的性質、時間和范圍。它使得審計人員從戰略系統觀角度對企業保持和加強風險管理體系的競爭優勢進行分析評價,指導審計重點、范圍、目標和程序,從系統上改進了審計方法,以適應新經濟環境的要求。
2.5 以風險識別為審計主線
風險導向審計以風險識別為起點,通過事前分析評估,提出應對風險的方案并輔之事后總結,完善風險管理制度,并檢查風險控制的有效性,及時揭示和報告潛在風險,提出防范措施和改進建議。
所謂風險識別是指在風險發生前,運用各種方法系統地、連續地發現風險的過程,了解企業存在的各種風險因素及其可能帶來的后果,將風險識別運用到審計中,審計人員可以針對不同的風險程度采取不同的實質性測試程序和相應的風險控制措施。風險識別方法有很多,如環境分析法、財務報表法、流程圖法、情景分析法、決策分析法、動態分析法、頭腦風暴法等,多種方法可在風險識別過程中結合運用。
2.6 以風險評估為控制手段
在風險管理框架下,內部審計的一個重要職能是協助建立和完善企業風險管理制度,對執行情況的有效性進行檢查,及時揭示和報告潛在風險,提出防范措施和改進意見,因此風險評估是風險導向審計的重要手段。它有利于幫我們確定合理的審計程序,揭示被審計單位財務、經營等方面風險,并重點考慮形成這些財務數據的業務經營及其他影響因素等方面,搜集充分、適當的審計證據。非財務因素如企業的戰略優勢在哪里,未來發展前景如何,管理方式與經營理念是否合理,主要競爭對手是誰,重要客戶是誰,人力資源素質怎么樣,面臨的法律監管環境如何及內部控制制度等。
風險評估的核心是分析性復核的運用。所謂分析性復核,就是以財務資料與非財務資料之間的表面關系或可預測的關系,評估財務信息的合理性,分析被審計單位的重要比率,包括這些比率異動及與預期數的差異,目的是評價業務的總體合理性。在多元因素評估過程中,還要將現代管理方法運用到分析性程序中去,使風險因素不再獨立,常用的分析方法有:戰略分析、績效分析、財務分析、會計分析及前景分析等。
3 風險管理框架下內部風險導向審計的應用過程
風險管理是一個動態過程,風險管理框架下的內部審計也是一個動態過程,且貫穿于企業管理全過程。
3.1 理解風險管理是一個動態過程
COSO對風險管理的定義是“風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證” 。從定義可以看出,風險管理滲透于企業經營活動全過程且反復相互影響,風險管理機制的運作是一個動態管理的過程,與經營管理活動交互存在。我們看到,風險和機會有時會互換,也是動態過程,如果把握不好,機會將變為風險,如果控制及時,風險也會轉化為機會。風險管理就是幫助管理層有效處理不確定性,規避風險、把握機會,提高企業創造價值的能力,這也決定了風險管理是個動態過程。
風險管理要素由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監控等八個相互關聯的要素構成。這些要素來源于企業經營方式,各個要素之間相互影響、互相作用。例如,風險評估促進風險應對,并影響控制活動,突出信息和溝通的重要性。因此,風險管理是多方向且反復的過程,不同要素之間相互影響。
3.2 風險導向審計貫穿于企業管理全過程
風險導向審計最終目的是為了完善公司治理,協助管理層應對風險、把握機遇,提升企業價值。它以風險為出發點,由傳統的事后評價變為全過程的動態反應,為管理層提供及時有用的信息,為公司治理相關措施的有用性給予反饋,并提出建議。所以,風險導向審計是將各項管理經營活動整合成一個完整、相互約束和自我改善的體系。它運用立體觀察的理論來判斷影響企業經營風險的各種因素,從企業所處的行業狀況、監管環境、經營目標、戰略規劃到經營方式、業務流程等內外部各個方面來評估企業的風險水平,把經營風險植入到本身的風險評價中去,并貫穿于內部審計的全過程。
我國學者黃園園提出,企業管理活動可以劃分為戰略管理、管理控制和作業活動三個層面,風險導向審計貫穿于企業管理的全過程,內部審計通過作業活動層面的風險導向審計和自我控制評價了解企業風險狀況和管理薄弱環節,進而向戰略管理層或管理控制層提出管理建議,在戰略層做出決策后向管理控制層或作業活動層提供管理咨詢,并在獲得授權的情況下協調作業活動層的改進工作。
3.3 風險導向審計在不同風險管理水平的作用過程
風險導向內部審計與傳統內部審計的區別在于其遵循的邏輯順序是“目標風險控制”,同時根據企業風險評估調整審計戰略,確定審計重點,緊密關注高風險的領域,以提供更相關、更符合管理層和董事會需求的確證信息。
在不同風險管理水平下,風險導向審計所發揮的作用不同(如表1)。在風險暴露階段,內部審計建立在審計風險評估的基礎上,采用風險管理方法;在風險察覺階段,內部審計建立在審計風險評估基礎上,協助建立企業范圍的風險管理方法;在風險確認階段,內部審計使用管理層的風險評估結果,促進風險管理的戰略和政策的實施;在風險管理階段,內部審計建立在管理層的風險評估基礎上,對風險管理過程進行審計;在風險管理融合階段,內部審計建立在管理層的風險評估基礎上,對風險管理過程進行審計。
當然,在不同風險階段,企業風險管理水平是不斷發展和變化的,在這種邏輯思路下,風險導向審計模式應根據不同的風險水平不斷調整審計目標和重點,發揮不同的職能作用。
4 結論與建議
4.1 結論
在風險管理框架下風險導向審計的功能得到有效拓展,在促進風險管理、內部控制和公司治理方面都發揮了重要作用,成為企業風險管理體系的重要組成部分。因此,風險導向審計貫穿于企業管理全過程,必須突破傳統觀念,以企業風險管理框架為理論依據,改進審計流程和方法,與風險管理機制相融合,其審計模式在不同風險管理水平下應隨之相應調整。
4.2 建議
我國內部審計起步較晚,無論在理論研究還是實際應用,與西方內部審計存在較大差距。隨著我國市場經濟體制逐步完善和世界經濟一體化,我國企業與西方企業面臨著同樣經營環境和風險,內部審計作為企業風險管理體系的重要環節,必將面臨嚴峻的挑戰。我們可以從以下三方面著手準備,為全面推廣風險導向審計提供基礎。
[關鍵詞]煤礦;風險管理;預警機制
中圖分類號:X936;F426.21;F224 文獻標識碼:A 文章編號:1009-914X(2014)44-0328-01
1 風險管理基本理論
根據國際標準化組織的定義,風險(R)是衡量危險性的指標,是某一有害事故發生的可能性與事故后果的組合。表示為事件發生概率及后果的函數:R=F(P,L)
式中 P―事件發生的概率;
L―事件發生的后果。
工業風險管理是指企業通過風險辨識、風險分析與評價,并在此基礎上優化組合各種風險管理技術,對風險實施有效的控制和妥善處理風險所致的后果,期望達到以最少的成本獲得最大安全保障。當認定風險可接受時,就保持該狀態,并力圖獲得最大效益;當認定風險不可接受時,則采取相應措施降低風險,并跟蹤監控措施對于降低風險的效果,反饋信息到風險評價和風險管理系統,實現動態的風險控制。風險辨識、風險分析與評價和風險控制以
及效果評估和信息反饋構成一個風險管理周期。
2 煤礦風險管理機制建立
煤礦風險管理的基礎范疇包括:風險辨識、風險分析與評價和風險控制,簡稱風險管理三要素。
2.1 風險辨識
全面辨識煤礦生產各環節中潛在的所有風險因素,這是建立安全生產風險管理機制的必要前提,也是最重要的基礎工作。風險辨識的全面性、系統性、科學性及準確性主要取決于風險辨識模式的設計與方法的選取。結合煤礦生產的特點,提出“生產專業一管理對象一風險類型”的風險辨識模式(如表1所示):將煤礦按照生產專業的不同進行分類,如采掘、運輸、通風、機電等,在每個生產專業中從三類管理對象(點:設施及設備;線:作業過程及工藝;面:作業崗位及操作)的角度,全面辨識各類型的潛在風險因素。
2.2 風險分析與評價
1)風險分析:一是完善風險辨識,主要通過對辨識結果的評審、修改、整理以及必要的再辨識等工作,解決前述風險分類的重復、交叉等問題,進一步保證風險辨識的全面性和準確性。二是風險特點分析,分析各類型風險的屬性及特點,設計相適應的風險評價模式及方法。
2)風險評價:安全生產風險管理是一種循環改進的管理模式,其風險評價并不是對所有辨識出的風險因素的一次性靜態評價,而是一種實時、動態的風險狀態評價。因此,安全生產風險管理的風險評價核心是設計和建立適合于各類風險因素的風險評價方法、模型和標準。由式(1)可知,基于風險的評價主要分析風險發生的概率尸和風險導致的后果嚴重程度L,風險評價方法主要包括以下兩種模式:①風險矩陣法:利用概率P和嚴重度L的分級矩陣定性評價風險等級的評價方法,使用簡單,適用廣泛,但評價的主觀性較強。應用風險矩陣法的關鍵是需要根據國家、行業的相關法規、標準或企業自身的有關規定,結合現場實際情況,建立適應的概率P和后果嚴重度L及風險R分級的相關標準。②指標模型法:通過選取影響風險R變化的指標,構造評價模型,半定量或定量評價風險等級的評價方法,能夠獲得較客觀的定量評價結果,但建立評價指標體系與設計評價模型的過程較復雜。指標模型法選取所有影響風險狀態變化的因素作為指標,根據風險定義,指標可有3種影響風險狀態變化的方式,即:僅影響概率尸、僅影響后果嚴重度L以及同時影響P和L。指標模型法一般按照指標羅列、指標篩選、指標賦值標準、評價模型設計、風險等級標準等步驟進行。
2.3 風險控制
區別于具體風險因素已經顯現或轉化后的事件(事故)處理措施及應急預案,風險管理的控制措施是指針對各潛在風險因素的實時風險狀態,根據風險評價的結果采取對應其風險等級,降低其風險程度至可接受水平的措施。風險控制措施包括對應風險等級的風險響應(響應級別、責任歸屬與關注層面)與各具體風險因素的具體風險控制措施。風險因素的具體風險控制措施可分為管理措施和技術措施兩大類,一般按照如下優先順序采取適合的具體措施:排除、代替、隔離、工程技術措施、管理措施及個人防護等。
3 煤礦風險預苦機制
風險管理的預警技術是一種預防事故、提高風險管理的效率和水平的有效手段。對于風險的預警技術和方法進行研究是實現現代化安全生產風險管理的要求。煤礦企業在建立安全生產風險管理機制的同時,不僅要保證風險管理機制本身的系統性和有效性,而且針對煤礦生產安全工作的特點,還需加強對生產事故有效地預防與預控,這都需要建立并完善相應的預警機制體系[[5,6]0
3.1 風險管理預警機制
風險預警是分析作業場所風險水平,對危機或危險狀態的一種提前的信息警報或警告的方法。借助自動或人工的手段,通過對煤礦所有潛在風險因素的風險狀態的實時監測,動態評價其風險等級,并及時給出相應的警示信息,提示相關部門根據風險預警等級采取相應的風險控制措施。
利用計算機信息技術,結合煤礦企業信息管理及通訊等硬件情況,構建支持風險預警實施運行及循環改進的平臺,可增強風險管理預警的自動化程度以及系統性和準確性;并根據煤礦生產的實際情況,建立健全完善的風險管理預警機制程序及文件體系,切實保障風險管理預警機制的運行,以便更好地發揮風險預警的效能。
3.2 事故危機預警
風險管理的預警機制針對潛在風險因素的實時風險狀態進行監測預警,根據預警的風險等級采取相應的風險控制措施。其評價指標體系是按照經典的風險概念R=f(P,L)建立的。對于煤礦事故風險,尤其那些具有突發性強、無明顯規律性、事故后果較嚴重等特點的重大風險,僅僅依靠經典的風險狀態監測預警,在不能夠保證監測的準確性和實時性、控制措施的有效性和及時性的前提下,是不能保證對這類風險的有效預防及預控的。因此,對于煤礦
生產中此類重大事故風險還需要建立針對危機狀態及事故征兆進行預警預控的事故危機預警。按照預警策劃、危機診斷和風險干預的步驟,通過對煤礦生產過程中各種危機狀態或事故征兆的監測、識別、診斷與評價,及時報警,并根據預警分析的結果對事故征兆的不良趨勢進行矯正、預防與控制,有效地減少事故的發生。
4 結論
安全生產風險管理是應用工業風險管理理論的企業現代安全管理模式,風險預警管理是一種針對風險的實時、動態評價其風險狀態的技術,是現代企業風險管理的較高層次。由于煤礦生產的特點,在煤礦建立并實施風險管理機制符合煤礦安全生產的要求,并能夠切實提高煤礦安全生產管理的系統性和科學性。結合風險管理預警和事故危機預警機制,可進一步保障煤礦的安全生產。參考本文所提出的煤礦安全生產風險管理機制模式,在煤礦企業實際建立及實施風險管理及預警機制的過程中,主要應注意以下問題:
1)煤礦現場生產狀況、環境因素分析:前期的單元劃分、風險辨識及分析模式至關重要,應系統、全面分析煤礦的具體特點,設計采取相適應的模式與方法,確保風險管理實施的可操作性和預警機制的可靠性。
論文關鍵詞:風險管理系統
一、引言
1.1BOT的概念
BOT是英文Build-Operate-Transfer的縮寫,翻譯為“建設-運營-轉讓”。BOT實質上基礎設施投資、建設和經營的一種方式,以政府和私人機構之間達成協議為前提,由政府向私人機構頒布特許,允許其在一定時期內籌集資金建設某一基礎設施并管理和經營該設施及其相應的產品與服務。政府對該機構提供的公共產品或服務的數量和價格可以有所限制,但保證私人資本具有獲取利潤的機會。整個過程中的風險由政府和私人機構分擔。當特許期限結束時,私人機構按約定將該設施移交給政府部門,轉由政府指定部門經營和管理。
1.2BOT的特點
從BOT的概念中我們可以看出,BOT具有市場機制和政府干預相結合的特色,這表現在以下兩個方面:。
一方面,BOT能夠保持市場機制發揮作用。BOT項目的大部分經濟行為都在市場上進行,政府以招標方式確定項目公司的做法本身也包含了競爭機制。作為可靠的市場主體的私人機構是BOT模式的行為主體,在特許期內對所建工程項目具有完備的產權。這樣,承擔BOT項目的私人機構在BOT項目的實施過程中的行為完全符合“經濟人”假設。
另一方面,BOT為政府干預提供了有效的途徑,這就是和私人機構達成的有關BOT的協議。盡管BOT協議的執行全部由項目公司負責,但政府自始至終都擁有對該項目的控制權。在立項、招標、談判三個階段,政府的意愿起著決定性的作用。在履約階段,政府又具有監督檢查的權力,項目經營中價格的制訂也受到政府的約束,政府還可以通過通用的BOT法來約束BOT項目公司的行為。
1.3實施BOT的步驟
1.項目發起方成立項目專設公司(項目公司),專設公司同東道國政府或有關政府部門達成項目特許協議。
2.項目公司與建設承包商簽署建設合同,并得到建筑商和設備供應商的保險公司的擔保。專設公司與項目運營承包商簽署項目經營協議。
3.項目公司與商業銀行簽訂貸款協議或與出口信貸銀行簽訂買方信貸協議。
4.進入經營階段后,項目公司把項目收入轉移給一個擔保信托。擔保信托再把這部分收入用于償還銀行貸款。
二、BOT風險
BOT項目中的風險是指在BOT項目中的特許、建設、運營、移交四個階段里損失發生的不確定性,是一種潛在的危險因素;風險識別是指對在BOT項目融資中尚未發生的、潛在的各種風險進行系統地、連續地認識和歸類,并分析產生風險事件的原因;風險管理是指BOT項目融資中的參與各方對風險進行識別、分析并在此基礎上有效地處置風險,以最低成本實現最大安全保障的科學管理方法。
以項目發起人和項目公司對風險能否控制為標準,可將風險劃分為系統外風險和系統風險,我們通過樹型結構圖可以看出項目所面對的風險是相當復雜的,見圖1:
圖1風險劃分
從圖1可以清晰地看出,一個企業在實施項目時所面對的風險之多,由此有必要建立一種全新的系統來對風險進行管理。
三、BOT風險管理
風險管理包括風險識別、風險分析、風險評估和風險控制等內容,任何BOT項目,萬無一失的情況是不存在的,事實情況是風險無處不在、無時不有。對風險加以識別的目的,在于在風險識別的基礎上,按一般的風險分擔原則確定風險由最有能力承擔的一方承擔,并通過對此風險的管理,達到控制、預防風險的目標,從而使BOT項目順利實施。可見,風險識別是前提,風險評估是重點,風險控制是目的和歸宿,而風險管理是基礎,貫穿于整個過程。它們之間的關系可以用圖2進行說明。
圖2關系圖
四、風險系統的整體結構設計
現在我們從一個企業的角度出發,來搭建企業的BOT風險管理系統,首先就是要做系統的整體結構設計。風險系統的整體結構設計是由數據庫模塊、風險的識別與評價模塊及風險控制模塊三部分組成的,它們之間的結構關系可以用下圖說明,見圖3:
圖3風險系統
4.1數據庫模塊
數據庫模塊由兩部分組成:專家系統庫和風險控制庫。
4.1.1專家系統庫
1.概念:專家系統是一個具有智能特點的計算機程序,它的智能化主要表現為能夠在特定的領域內模仿人類專家思維來求解復雜問題。因此,專家系統必須包含領域專家的大量知識,擁有類似人類專家思維的推理能力,并能用這些知識來解決實際問題。專家系統的基本結構如圖4所示,其中箭頭方向為數據流動的方向。專家系統通常由人機交互界面、知識庫、推理機、解釋器、綜合數據庫、知識獲取等6個部分構成。
圖4專家系統結構圖
知識庫用來存放專家提供的知識。專家系統的問題求解過程是通過知識庫中的知識來模擬專家的思維方式的,因此,知識庫是專家系統質量是否優越的關鍵所在,即知識庫中知識的質量和數量決定著專家系統的質量水平。一般來說,專家系統中的知識庫與專家系統程序是相互獨立的,用戶可以通過改變、完善知識庫中的知識內容來提高專家系統的性能。
推理機針對當前問題的條件或已知信息,反復匹配知識庫中的規則,獲得新的結論,以得到問題求解結果。
在這里,推理方式可以有正向和反向推理兩種。正向推理是從前提條件匹配到結論,反向推理則先假設一個結論成立,看它的條件有沒有得到滿足。由此可見,推理機就如同專家解決問題的思維方式,知識庫就是通過推理機來實現其價值的。
人機界面是系統與用戶進行交流時的界面。通過該界面,用戶輸入基本信息、回答系統提出的相關問題,并輸出推理結果及相關的解釋等。
綜合數據庫專門用于存儲推理過程中所需的原始數據、中間結果和最終結論,往往是作為暫時的存儲區。
解釋器能夠根據用戶的提問,對結論、求解過程做出說明,因而使專家系統更具有人情味。
知識獲取是專家系統知識庫是否優越的關鍵,也是專家系統設計的“瓶頸”問題,通過知識獲取,可以擴充和修改知識庫中的內容,也可以實現自動學習功能。
2.工作流程:用戶通過人機界面回答系統的提問,推理機將用戶輸入的信息與知識庫中各個規則的條件進行匹配,并把被匹配規則的結論存放到綜合數據庫中。最后,專家系統將得出最終結論呈現給用戶。
4.1.2風險控制庫
風險控制庫包含兩個子庫:風險控制過程子庫和風險控制結果子庫,它們的結構如圖5所示:
圖5風險消減數據庫結構
有效性與可行性分析表:分析控制措施的可行性與有效性。
成本分析表:對控制措施進行成本與收益分析。
人員責任分配表:安排適當的人員進行措施的落實。
維護需求表:監督措施的順利實施。
控制措施評價表:對控制措施的結果進行評價。
控制結果表:描述采取控制措施以后的對企業造成的結果進行分析。
4.2風險的識別與評估模塊
4.2.1風險的識別
風險識別是指對企業所面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質的過程,換言之,就是要確定企業正在或將要面臨哪些風險。
4.2.2風險評估
在風險評估之前,必須準確定義風險的主要元素及其相互關系。
資產:對組織有價值的任何東西。
威脅:對組織或系統產生危害的有害事件的潛在原因。
薄弱點:是一個資產或資產組能夠被威脅利用的弱點。
風險評估:識別信息安全風險并確認其大小的過程。
風險評估的流程圖如圖6所示,
圖6風險評估的流程圖
圖6中,風險的計算是按以下公式計算的,風險(R)是以資產(A)、威脅(T)、薄弱點(V)、和已有安全措施(C)為自變量的一個函數。即:
R=F(A,T,V,C).........................................................................................公式1
在實踐過程中,一般通過
R=F(P,I)............................................................................................................公式2
來測量風險,其中P為威脅利用薄弱點對資產或資產組產生影響的潛在可能性,I為威脅利用薄弱點對資產或資產組可能造成的影響。公式中的P或I的值相對便于評估,而且在P和I的評估過程中都必須考慮資產、威脅、薄弱點和已有控制這四個因素,所以說公式2以便于測量的方式最大限度地體現了公式1的函數關系。
4.3風險的控制模塊
風險控制涉及到確定風險控制策略、風險和安全控制措施的優先級選定、制定安全計劃并實施控制措施等活動。要控制風險,就必須實施合理措施,忽略或容忍風險顯然是不可接受的。在組織選擇并實施風險評估結果中推薦的措施之前,首先要明確自己的風險控制策
略。
就應對風險的途徑來說,有以下幾種選擇:
1)降低風險—實施有效控制,將風險降低到可接受的程度,實際上就是力圖減小威脅發生的可能性和帶來的影響。
2)規避風險—有時候,組織可以選擇放棄某些可能引來風險的業務或資產,以此規避風險。
3)轉嫁風險—將風險全部或者部分地轉移到其他責任方。
4)接受風險—在實施了其他風險應對措施之后,對于殘留的風險,組織可以選擇接受。
所以,企業在面對風險時,可以選擇以上措施來應對,但有一點需要明確,面對許多已識別的風險,組織很難對所有的風險一視同仁。風險大小、嚴重程度、緊迫性、所需資源總是有所區別的,故企業應該對所有風險設置優先級,如果是嚴重影響了企業生存的,應該放到最前面,同時,在資源提供和相關支持上也要優先給予。當然,因為各個企業的環境和現實狀況不同,這就決定了在選擇風險控制策略上的多樣性。應對風險,最好的方法就是將合適的技術、恰當的風險控制策略,以及非技術性措施有機結合起來,這樣才能達到較好的效果。風險控制的流程圖如圖7所示,
圖7風險控制的流程圖
七、總結
本文站在一個企業的角度來建立應對BOT風險的管理系統,從系統的整體結構設計到具體的功能實現,具有一定的現實意義,當然了,本文只是提供一個理論的框架,具體到一些功能算法的實現,比如數據庫的邏輯設計及物理設計,以及運用算法(比如C或C++程序設計)來實現風險的評估,即優先級的確認等,沒有給出相應的結構圖和編程算法,但是本文卻給出了這么一種整體的框架結構圖,在當今BOT日益被廣泛運用,卻失敗案例比比皆是的時代,無疑給帶來一縷清新的陽光,應該說是對企業,特別是這些已建立信息系統平臺的企業或是那些打算搭建自己的信息系統平臺的企業無疑具有一定的指導意義。
當然了,因為BOT項目的實施設計到很多的利益相關方,還可以從政府的角度來考慮搭建適合政府部門的風險管理系統,抑或是適合其他相關方的風險管理系統,本文都具有一定的借鑒作用。回顧本文,依此類推,可能所有的風險管理系統基本流程都是一樣的,如圖8所示,但涉及到具體的細節可能不一樣,總是因具體情況而異的。
圖8風險管理流程
參考文獻
1 沈建明.項目風險管理[M],北京:機械工業出版社,2003:71,80
2 馬蘭.基于BOT融資模式的工程項目風險管理研究[D],2005:10
3 李紅亮.BOT項目融資的風險管理研究[D],長沙:湖南大學,2005:13
4 沈健明. 項目風險管理[M].北京:機械工業出版社,2004:11-15
5 璐顧. 項目融資風險管理研究[D].武漢:武漢大學,2005
6 郭捷.工程項目風險分析與BT模式風險管理實證研究[D].天津:天津大學,2004:54
7 張鵬.項目融資風險管理[D].武漢:武漢大學,2005:29
8 陶履彬,李永盛,馮紫良等.工程風險分析理論與實踐[M].上海:同濟大學出版社.2006:18
9 楊亞岐.BOT項目融資的風險管理研究[D].秦皇島;燕山大學,2005:24
10 姚亮,周晶.BOT項目風險及來源分析[J].東南大學學報.2002(t0)
11 武濤.高速公路BOT項目投資風險研究[J].交通企業管理.2007(7)
12 鄭永生,趙吉柱.公路BOT項目融資模式的風險分析及防范[J].集團經濟研究.2007,(230):179.180
13 David Baccarini,Richard Archer.The risk ranking of projects:a methodology[J].International Journal of Project Management.2001,(19):139·145
【關鍵詞】風險控制;風險損失度;定向分析;資質審查
企業的風險是指未來的不確定性對企業實現其經營目標的影響,目前,風險管理已經發展成企業管理中的一個具有相對獨立職能的管理領域,在企業的經營和發展目標方面,風險管理和企業管理、戰略管理一樣具有十分重要的意義。風險管理就是通過減緩風險給企業價值造成的損失,來增加企業的價值。企業的風險管理包括許多方面的內容,下面僅就企業法律風險的分析與控制進行簡述。
一、企業法律風險的分析
1.風險識別。進行法律風險的分析,首先要對風險進行識別,風險識別包括兩方面的內容:一是把企業可能涉及的法律風險識別出來,如勞務派遣用工違規風險、采購合同違約風險。二是把引發這些法律風險的具體行為識別出來,如“勞務派遣用工違規風險”的具體行為包括“將被派遣勞動者再派遣到其它用人單位”、“將連續用工期限分割訂立數個短期勞務費派遣協議等。此外,風險識別的內容還包括法律風險關聯信息的確定,如風險涉及的法律規范、企業內部的相關部門、企業外部的相關主體等。
進行風險識別,其目標有三個層次:一是完整性,即盡可能沒有遺漏的將企業可能會涉及的法律及風險行為全部找出來;二是系統性,即應保證識別出來的法律風險及風險行為在邏輯上是互相獨立的,不應該存在交叉或遺漏的現象;三是實用性,對法律風險及風險行為的描述盡可能準確地反映其內涵、外延,并且通俗易懂。
識別企業法律風險,主要采取以下幾種方法:問卷調查法即采用調查問卷的形式搜集相關信息的一種方法,訪談調研法即通過對相關人員或業務人員進行面對面交流的方式搜集相關風險信息的一種方法,案例分析法即對企業以往的案例進行分析,發現其中可能隱含的風險等,對企業經營管理活動進行全面梳理,判斷是否存在違規風險、違約風險、侵權風險、怠于行使權利風險和行為不當引起的風險。
2.風險測評。風險測評內容包括三個部分:一是風險可能性,即一段時間內發生風險頻次的高低;二是風險損失度,即風險一旦發生后可能給企業造成的損失程度;三是風險水平,即綜合考慮風險發生可能性與風險損失度后對風險嚴重程度的判斷,具體表現為風險可能性與風險損失度的乘積。對風險測評時,不但要有客觀性,即測評結果應盡可能地反映客觀情況,而且要有精確性,即應盡可能細致地區分每個風險的測評結果,在風險數量很多的情況下,也可以比較出測評結果較為接近的風險之間的區別。在對法律風險量化測評后對風險進行分級,分級完成后確定重大風險。
3.定向分析。定向分析是在風險識別及風險測評完成的基礎上進行,主要包括兩個部分,一是風險的數量、種類、等級等分布情況,二是風險的成因、影響、發展趨勢等。定向分析的目標有兩個,一個是根據管理需要多角度地客觀反映企業法律風險的整體狀況,如明確企業的大部分法律風險主要集中在哪些部門,以及企業在與哪些外部主體來往的過程中最容易發生法律風險等;二是通過對基礎數據的挖掘分析,形成結論性的判斷,為企業經營決策提供支撐。
定向分析的方法,法律風險管理體系將其設定了四個定向分析的維度,分別是部門維度、外部主體維度、部門與外部主體交叉維度以及經營管理流程維度。在部門維度的定向分析中,首先將法律風險數據庫中的各項風險及風險行為,按照其所涉及的企業內部部門分拆至各部門,企業經營管理流程維度分析是在明確企業內部主要包括哪些經營管理流程及其與各風險的關聯性的基礎上,將法律風險基礎數據庫中的法律風險及風險行為拆分至各流程,分別進行橫向對比,還可以進一步綜合分析法律風險在各流程之間的整體分布情況。
二、企業法律風險的控制
1.風險控制現狀評估。在企業完成風險評估后,根據風險排序、分級以及重大法律風險確定結果,初步擬定需要控制的風險,即對風險控制現狀的評估。在確定評估對象時,應遵循以下幾個原則:一是重大法律風險優先;二是充分考慮對企業戰略目標實現的影響;三是充分衡量風險控制投入與收益之間的比例;四是判斷風險的內部可控性;五是評估對象最終細化到風險行為。
風險控制評估從八個方面著手,一是資源配置是否合理;二是職責權限,與風險控制相關的職責和權限是否有明確要求,是否執行;三是過程監控是否需要,有無相關要求,執行與否;四是獎懲機制,對相關工作、管理人員在風險控制工作中的表現和成績是否設立了獎懲機制;五是執行者能力要求,企業對與風險控制相關的內部執行者是否有明確的資質能力要求;六是部門內部法律審查,具體內容為是否要求部門內部對一般的法律問題進行審查,如合同起草時,是否要求合同經辦部門內部對合作對方的經營資質、信用記錄進行審查;七是專業法律審查,是否要求法律部門或專業律師對專業性法律問題進行審查或提供相關法律意見;八是風險意識,具體為工作管理人員對風險的存在、風險將會造成的后果以及如何開展風險控制等方面是否有必要的認識和理解。
2.控制計劃制定與實施。風險控制計劃制定的內容包括三個部分:一是明確對風險的控制態度;二是制定具體的風險控制措施;三是確定每項控制措施的責任部門、配合部門以及實施進度,形成控制計劃。制定控制計劃的整體思路是:首先依據相關原則確定對風險的控制態度,其次按控制態度的需求,對照風險控制現狀評估結果,確定風險的控制措施類型和內容,最后將各項風險控制措施進行統籌、整合,并確定各措施的責任部門、配合部門,形成整體風險控制計劃。
關鍵詞:內部審計;風險管理;參與;原因;作用
近些年,隨著資本市場國際一體化的發展,企業面臨的競爭也日趨激烈,為了適應高風險的外部環境,企業的內部結構和組織規模也都在發生變化。因此,為了現代企業的生存和發展,必須改善和加強風險管理。對于一個以電力銷售為主的企業來說,要想在經濟全球化的今天生存和發展下去,內部審計部門必須充分發揮風險管理的獨特作用。
一、內部審計參與風險管理的原因
(一)企業內外部環境發生變化,面臨的風險加大
在市場化競爭愈演愈烈的今天,企業受限于宏觀經濟形勢、產業政策調整等多重影響,外部經營環境日益復雜。因企業的組織規模、機構設置、流程設計等諸多因素與目前的形勢不適合,企業的內部經營風險也與日俱增。對于電力企業來說,為實現經濟效益與社會效益同步發展,如何降低公司所面臨的風險,使國有資產保值甚至增值就成了其關鍵所在。因此,作為相對獨立的內部審計部門和內部審計人員也就必須參與企業的風險管理。
(二)內部審計參與風險管理具有較強的優勢
內部審計既是一個獨立的部門又與其他部門有著密切的聯系,有別于外部審計。內部審計全程參與企業的管理,可以從事前、事中、事后三個階段分別進行風險預警、風險控制和風險評估,而獨立性較強的外審部門往往只能在事后進行結果性風險評價。內部審計一方面對企業所在的環境較為熟悉,明晰企業的戰略目標,深知企業的技術標準和管理流程,能充分運用企業現有的技術手段,對風險的預警、控制和評價更為直觀;另一方面它的地位相對獨立,提出的審計意見更能引起企業管理層的認可和重視。
二、內部審計參與企業風險管理的作用
《內部審計實務標準》對內部審計做出了明確定義:內部審計是一種獨立、客觀的保證與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采用系統化規范化的方法來對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現其目標。
(一)風險管理角度更高、更全面
通常認為,風險具有客觀性、普遍性、損失性、不確定性和可變性五種特征。一個企業從生產環節開始,從產品的設計、原材料的采購、商品的生產,再到銷售環節的營銷、銷售、貨幣資金的回籠,無時無刻不存在風險。而且由于風險具有可變性,一種隱藏的風險往往可能在不同環節暴露出來,最終給企業造成巨大的損失。目前,電力企業的風險現狀不容樂觀。首先,電力企業作為國家重要能源部門,其關注的社會效益有時大于企業經濟效益。其次,受地方政府發展經濟影響,短期行為較多,投入產出不成正比。最后,隨著國家產業政策調整和經濟發展方式的轉變,銷售端受國家定價控制影響,成本端受電煤價格不斷上漲影響,企業無法根據自身的投資行為、成本壓力來合理確定自身的盈利能力和水平,電費回收難度加大。因此,復雜的電力營銷風險在一定程度上極有可能轉化成財務風險。綜上所述,控制風險要站在全局的角度去考慮,而單一的業務部門又很難做到這一點。
(二)風險評價更充分、更客觀
風險管理的首要環節是對風險的識別。首先,內部審計可以憑借其相對獨立的身份和地位,不參與企業具體經營業務活動,又不對產生的問題承擔直接的管理責任。它可以作為“局外人”,看清組織和行業的發展趨勢、企業自身的優勢和不足、外部環境的機會與威脅,立足于全局開展工作,更好地實施風險識別預警。其次,它作為一個綜合性部門,審計范圍覆蓋企業全盤,掌握的信息豐富多樣,更容易從中發現存在的風險隱患問題并進行風險分析,找出管理漏洞并制定應對策略等。再次,內部審計人員長期服務于各自企業本身,與企業戰略目標一致,企業利益與其自身利益又息息相關,從風險管理的效果和建立風險防控體系長效機制角度來看,他們更具責任感。
(三)風險控制更合理、更有效
風險是一種潛在的可能的損失。風險導向審計作為當今主流的審計方法,越來越受到重視。而內部審計的職能也由傳統的企業內部控制向風險管理轉變。有效的風險管理可以減少和防止企業的損失,增加企業的價值。內部審計參與風險管理可以依據組織所處的環境,縱觀全局,從組織規模、機構設置、經營戰略、政策法規、監督方式等方面檢查各項程序控制的有效性。對于風險的評估,內部審計可以有效評價風險評估的合理性、評估方法的科學性、報告的及時性等。內部審計參與風險控制活動,可以依托自身獨立于業務部門的優勢,更好地檢查控制相關經濟業務活動、職責分離是否適當、授權審批是否恰當、憑證和記錄是否充分、信息溝通是否順暢、單據傳遞是否及時、內部核查程序是否合理等。
(四)能夠引起高層管理者的重視
盡管有些企業也有風險管理部門,但它作為企業的一個職能部門往往受到高層的壓力影響,獨立性受限,難以發出自己的聲音。而內部審計作為董事會及其審計委員會和最高管理層實施控制的手段,在企業管理尤其是風險管理、內部控制、組織運營及公司治理等方面地位突出。董事會領導直接管理集團的內部審計部門,有任何的評估意見可以直接與董事會的領導匯報,使管理人員更加重視審計部門的意見,更徹底地實施所提意見
三、內部審計如何參與風險管理
內部審計參與風險管理與一般風險管理部門進行的風險管理相比既有聯系又有區別。風險管理都是為了控制并降低企業的潛在風險,這是它們的本質聯系。而雙方所處的地位不同,決定了他們在風險管理中扮演的角色也不相同。正是因為這種差異的存在,內部審計在參與風險管理的過程中應更有針對性。
(一)高度契合于企業戰略目標
第一,為了能使企業的核心利益與戰略目標保持高度統一,內部審計部門要有針對性地組織技能培訓、技術投資和資源配置。第二,根據企業的戰略目標來設定部門的評價標準和工作重心。在評價內部審計對象時,應充分理解公司的戰略目標,把審計對象的工作與公司的戰略目標是否一致作為評判的第一標準。第三,企業的戰略目標是內部審計工作的風向標,做好內部審計工作,把握公司戰略方向,才能使公司長遠發展。內部審計還可以根據研究子公司的業務情況、財務狀況及內部控制制度來為公司發展過程中遇到的難題提供解決方向,保證下屬公司的發展方向與集團的戰略目標相統一
(二)立足于流程梳理優化
內部審計人員應摒棄傳統的審計習慣,不要將過多的時間和精力花費在簡單的翻閱賬本,被企業固有的工作流程和措施策略所束縛,而是要從中發現業務狀況、公司內部資源的開發利用、質量控制、商品采購、營運和服務等各個方面是否有可以改進的地方。所以,在現代審計中,必須轉變觀念,把風險管理作為內部審計的首要任務。內部審計工作重心必須立足于企業內控制度和流程梳理優化上。有效的內部管理和業務流程是企業實現戰略目標、降低風險的強有力的保證。如果在制度標準和業務流程設計上存在缺陷,這對一個企業來說是致命的錯誤。內部審計應結合實際,對流程梳理優化提出意見,這樣就能使解決問題的方法更有針對性和可操作性。
(三)充分利用企業技術手段
隨著時代和科技的發展,現代企業對內部審計有著更為重要的要求,包括企業的投資、采購、生產環節,也要注重經營、銷售方面,這其中就產生了大量的審計數據。內部審計人員過去廣泛依賴的盤存、觀察、函證、查閱、詢問、統計抽樣等傳統方法已經無法適應現代審計的需要,必須充分利用企業技術手段,以信息化建設為基礎,通過多維數據分析,及時、準確地發現企業內部控制和生產經營管理中存在的問題。企業要充分利用集團局域網等現代通信技術,實現財務、業務、人力資源等部門的集中管理,建立信息數據庫和服務庫,利用多媒體網絡的方便快捷,及時查詢各被審單位的數據系統,對經營管理進行實時監控,使審計情況能夠及時高效地完成,不要等到出現大問題才發現,由被動轉為主動,提高企業審計部門的工作效率,使審計工作更加準確、高效、及時。
(四)注重實效,保證質量
首先,內部審計不能只是停留在監督管理、反映問題的層面,而是要具有及時發現問題的能力,并且要有應對措施,為企業日常的經營和運作處理問題,提出有效的方案、對策。其次,要根據企業目前的發展制定相關戰略措施,提出合理化的審計報告。發現問題,提出意見和建議后,要及時監督有關部門的整改落實情況,確保問題能夠得到正確、及時的解決,真正實現改中求進,進中求好。要把企業風險管理同內部審計日常工作相結合,增強風險意識,引入先進的風險審計方法和手段,立足于做好常規審計,著眼于推進重點審計。對企業發生的重大投資、工程建設和企業負責人的經濟責任審計要予以重點關注。優化資源配置,對高風險領域和部門要指派專人跟進,持續審計。假如審計部門能夠深入了解所查公司的經營活動,從中發現不足,就能及時探究問題產生的原因及解決之道,降低風險。
綜上,在市場經濟多元化的今天,市場競爭愈演愈烈,企業健康、高效地發展成為永恒的主題。現代企業組織形式多種多樣,無論是股東會、董事會、監事會都不能完全滿足企業的管理需求。企業自身的內部控制和規范化管理依然是影響企業持續發展的原動力。如何能更好地做到這一點,內部審計參與風險管理是一種趨勢和方向。內部審計需要充分發揮內部監督和風險管控職能,實時反映、評價企業經營的風險情況,提高企業的經營管理水平。
參考文獻:
[1]張坤,李嘉明,周和生.風險管理與內部審計[M].北京:化學工業出版社,2004.
[2]夏丹寧.推進風險管理審計的思路[J].中國內部審計,2004(12).
[3]林英杰.中德內部審計制度比較[J].中國內部審計,2005(03).
[4]姜曉麗,侯佳,曹寧寧.從風險管理談公司治理與內部審計的整合[J].中國內部審計,2005(04).
打造符合中國國情的IT GRC
從合規角度來看,近年來,公安部、國資委、銀監會、證監會、保監會都曾專門過針對信息安全或科技風險管理的具有行業特色的法規或指引要求,體現出企業應對IT風險管理及合規要求的緊迫性和特殊性。同時,企業內部管理規范(被稱為中國版“薩班斯法案”)對企業內部管理和風險防范提出了更加明確的要求,這極大推動了企業風險管理、合規管理類工具(IT GRC)的發展。針對這一市場,包括IBM、SAP、Oracle 、CA等在內的國外GRC解決方案提供商,包括德勤、普華永道等在內的咨詢公司,以及慧點、用友、金蝶、浪潮等國內ERP廠商們都開始積極布局,GRC產業在國內迅速崛起。
實際上,IT GRC的概念并不新穎,作為一個早被業界認可的通用術語,GRC代表一種思想和理念,是企業逐漸從分散管理模式向跨業務單位、跨IT平臺的集中模式發展,從而全面而高效地應對治理、風險管理和合規三個方面挑戰的解決方案。而事實上,國外絕大多數IT GRC軟件都不適合中國的管理模式與法律規范要求,國內企業亟待一款真正符合中國國情、技術管理方面都適合中國企業特點的全新產品。
上海安言信息技術有限公司是國內最早從事信息安全管理咨詢的機構,由一批具有信息安全專業技能與管理實踐經驗的專家構成,在國內最早開展ISO27001、ISO20000、PCI等國際信息安全標準的咨詢工作,先后完成了交通銀行、農業銀行、國家電網等大型企業的信息安全管理體系建設。
安言信息一直關注相關領域廠商和用戶單位的市場動向。長期服務企業的過程中,安言發現企業迫切地需要將管理制度、流程等要求切實落實到日常工作中去,需要IT GRC工具進行支持。其決策層認為:國內IT GRC應用市場存在巨大的潛在,國內應有理由挺進這一藍海、向“洋品牌”叫板。基于此,安言信息于2011年設計并實現了一套用于支撐企業、特別是銀行金融企業的IT治理、合規與風險管理落地的平臺化軟件系統ITRMS。
IT GRC需求分析
在設計ITRMS之初,上海安言信息技術有限公司從技術層面、應用層面和合規角度對國內產品進行了周密分析,提出產品一定要有自己的特色,要有創新的風格,這是該產品開發的出發點和落腳點。
通常意義上,GRC應用或解決方案大都具備以下功能:定義企業風險與控制框架;設計風險管理流程;與ERP、SCM、CRM等系統對接,實現應用控制的自動監控;提供數據自動采集和智能分析;自動化系統審計測試;提供報表信息;提供其他附加功能,如身份管理、訪問控制、流程控制、數據安全等控制措施。這些功能體現了GRC作為一種集中管理模式,對企業運營過程中各類風險進行集中監測、預警和控制,并與法律合規及審計進行緊密關聯以提供管理層決策的設計思想。
盡管以各類GRC軟件或解決方案為代表的產業發展已經風生水起,但作為其中非常重要的一支――IT GRC,卻并不顯山露水。
一方面,傳統GRC應用更多是從企業EPM、ERP、CRM、SCM等管理模式中抽取、延伸并集成,側重企業運營和財務,并不特別針對IT,其無論是管理模式、操作方式、結果展示還是知識系統,都沒有考慮IT的特殊性。
另一方面,企業IT又面臨極大的合規壓力和操作風險,特別是一些極度依賴信息系統的行業或領域,如金融、電力、通信等,層出不窮的監管要求、屢屢發生的信息科技事故、“救火隊員”一樣尷尬的角色扮演,都使得企業IT急需在IT GRC方面找到更有針對性也更具實效的答案。
就風險管理來說,以銀行金融業為例,無論《新巴塞爾資本協議》還是銀監會《商業銀行信息科技風險管理指引》,都強調對以信息科技風險為主體的操作風險的管理。信息科技風險,無論是從來源、范圍、形態、特點還是影響上,都與戰略風險、聲譽風險、國家風險、法律風險、信用風險、市場風險、流動性風險等傳統風險有著很大區別。
首先,信息科技風險存在于企業各個領域和層面,只要有信息或信息系統的存在,都涉及信息科技風險。
其次,信息科技風險有著明顯的時間性,從信息系統規劃、設計、運行、更新到報廢,信息科技風險存在于信息系統的全生命周期。
另外,信息科技風險有人為和自然因素,也有管理和技術之別,從起因上表現出多源性。
此外,信息科技風險覆蓋IT戰略、IT治理、IT績效、IT規劃和架構、項目管理、系統開發、運營流程、基礎設施、信息安全、業務連續性、外包管理等各個領域,具有形態的多樣性。
最后,信息科技風險影響廣泛,除信息系統外,還會對員工個人、業務運營、法律合規以及企業聲譽造成直接影響。
近年來,公安部頒布的等級保護相關系列標準、銀監會的《商業銀行信息科技風險管理指引》、證監會的《證券期貨業信息安全保障管理辦法》、保監會的《保險公司信息系統安全管理指引》,都紛紛體現出企業應對IT風險管理及合規要求方面的特殊性。
IT GRC規劃設計實施
通常來講,IT GRC會出現兩類情況:其一是以IT支持GRC,即基于IT來實施企業GRC,將GRC作為一個電子化的整合平臺,這還是傳統GRC概念;其二是針對IT實施GRC,即針對IT或在IT領域實施治理、風險管理和合規。我們在產品設計時特別強調后一種情況。
IT GRC作為針對企業IT治理、風險管理和合規管理的一整套解決方案,在規劃設計和實施操作中必須要考慮以下三方面問題。
首先,IT GRC必須考慮到自上而下的治理問題。IT治理是企業治理在信息時代的重要發展,是描述企業是否采用有效機制,使得信息系統及IT應用能夠完成企業賦予它的使命,同時平衡信息化過程中的風險,確保實現企業戰略目標的過程。IT治理的使命在于:保持IT與業務目標一致,推動業務發展,促使收益最大化,合理利用IT資源,并適當管理與IT相關的各類風險。
其次,在統一的IT治理框架下,IT GRC必須建立起完備的IT風險管控機制,這是IT GRC最為核心的內容,具體包括:1)明確IT風險管理范圍,構建IT風險庫;2)建立IT風險管理流程,包括風險識別、風險評價、風險控制、風險監測等關鍵活動,同時確定識別時機和監測途徑,確定風險偏好和可接受水平;3)參考監管要求和國際規范(如COSO-ERM、CobiT、ISO27001、ISO31000、RISK IT等)建立風險控制框架和基線;4)對風險進行持續監測;5)制定信息與溝通策略,建立風險報告機制。
另外,IT GRC在展示和報告方面需充分考慮IT法律合規方面的要求,一方面應建立合規管理框架,包括識別合規要求,評估合規現狀,建立合規映射,落實合規責任,推動合規檢查,提供合規報告等活動。另一方面,還應形成風險與合規的聯動機制,確保任何風險監測或事故報告都能追溯到相關管理對象和合規要求,并能提供合規證據。
除上述三個大的方面,IT GRC還應建立支撐相關工作的流程操作和運行保障機制,并盡可能與企業信息系統和應用進行關聯,最終實現信息科技風險和合規的全過程與實時性管理。
先進的IT GRC管理理念要想在企業中得到實踐,并有針對性地為企業服務,咨詢是其中的重要一環;企業信息安全與IT治理咨詢服務是GRC理念在實際企業中的個性化實踐。
安言ITRMS助力企業實現IT GRC
安言ITRMS是一個集合規管理、人員管理、風險管理、制度(體系文件)管理、流程管理、意識提升、安全檢查、績效評價、報告管理、知識管理等功能的全面的、可擴展的IT GRC應用平臺。其面向包括高級管理層、風控部門、合規部門、審計部門、IT部門、安全管理部門等在內的企業各個領域,以IT風險庫為基礎,通過持續的IT風險監測和聯動機制,實現IT全生命周期的風險管理,并將人員職責、制度規范、操作流程、意識培訓等日常控制工作融入其中。
借助該平臺,企業圍繞IT規范化管理開展的各項工作,特別是之前被廣泛接受的基于ISO20000標準的IT服務管理體系、基于ISO27001標準的信息安全管理體系、基于CMMI的軟件開發過程管理,以及基于BS25999標準的業務持續性管理體系,都可以進行有效整合并嵌入其中,從而改變以往各自為政分散式的管理模式,基于信息科技風險管理與合規這一核心思想,形成集中化的管理模式。
管理對象:ITRMS支持全面的IT風險庫,各類IT風險就成為平臺管理的對象。作為信息科技風險管理的配置基礎,據此可呈現基于系統、運營業務、崗位或IT基礎設施的風險視圖。
驅動機制:ITRMS覆蓋業務相關的信息全生命周期,從需求分析到系統開發、系統上線、運維支持,涵蓋開發和運維部門,涉及企業內部管理和供應商管理,通過風險監測及預警來驅動整個風險管理過程。
控制功能:信息科技風險管理落實到位,體現在各種流程化的日常工作當中,如信息安全事件管理、日志集中管理、訪問控制和權限管理、業務連續性預案演練等,所有這些可能嵌入在其他專用系統和應用中的控制流程,都可以與ITRMS進行接口,以便與風險聯動。
支持保障:通過制度文件場所化、人員職責明確化、檢查工作常態化、績效評價可量化、培訓推廣多樣化以及有效的知識管理,為信息科技風險管理提供支持保障,這也是傳統信息安全及信息科技管理最事務性的日常工作。
內外呈現:信息科技風險管理需要對外合規、對內追責。一方面,通過即時呈現,提供合規報告,從容應對合規檢查。另一方面,落實責任,追溯到人,可隨時展示工作業績。
具體實現上,ITRMS采用層次化的軟件架構,各層之間關系松耦合,下層通過接口為上層提供服務,如下圖所示。其中,基礎設施層為平臺提供支撐,驅動層控制業務邏輯的流轉,業務層為平臺提供管理所需要的基本功能,展示層提供各種對外視圖。
ITRMS采用層次化的軟件架構
實際上,通過ITRMS的規劃設計和部署實施,企業可借此構建一個較為完整的信息科技風險和信息安全管理的工作流平臺和知識管理系統,并形成企業內部一個專業化的PORTAL。
(一)控制風險的長效機制還沒有完全形成
目前,各家商業銀行的風險管理實際上是以風險控制為主要目標,對整個風險管理工作缺乏統籌規劃和戰略考慮,不能很好地服務于全行業務發展實際和效益最大化的經營目標。在風險控制中,主要以單點控制、間斷控制為主,往往拘泥于對單個風險不系統、滯后、被動和片面的控制,不能實現內部控制的連續性和系統化,不能在業務流程中嵌入風險管理環節,實現風險的源頭和過程控制。在業務發展上,缺乏自我約束和平衡機制,不能正確處理發展業務與風險管理的關系,不能充分考慮風險管理的要求,做到風險控制優先,甚至還簡單地將風險管理與業務發展平行化或對立化,導致出現風險管理偏好和業務發展偏好之間的過度波動,不能形成有機協調的合力。在制度建設上,現有風險管理制度不健全和存在的缺陷,本身就使銀行經營面臨極大風險,加上在執行、檢查、評價等諸環節的不到位,更使得監督制約顯蒼白無力,風險監管的有效性大打折扣。
(二)合規風險管理體系和組織架構尚未真正建立起來
近年來,各家商業銀行借鑒國際先進商業銀行的成功經驗,陸續實施了包括授權授信、審貸分離、崗位制約、內部審計等在內的一系列風險管理措施,在風險管理工作中取得了一定成績,但這些探索仍是局部的、零散的,尚未建立涵蓋風險甄別、風險報險、風險決策、風險避險、全程監控等在內的一整套全面的風險管理體系,還不能實現對所有機構、所有人員、所有業務、所有過程、所有種類風險的管理。特別作為風險管理重要傳導載體的組織系統薄弱,集中統一的風險管理組織架構的基礎還很不穩固,以風險管理為主線的管理組織體系尚不健全,風險管理宏觀政策的推行及業務操作還缺乏上下左右相連、縱橫貫通的組織網絡和結構載體。風險管理部門與相關業務部門職責關系界定不清,且以信貸資產風險監管為主要職能,其他分散的風險管理職能或交叉重疊或權責不清,存在管理盲區。同時,從事風險管理的專業人才資源稀缺,隊伍建設相對滯后與風險管理要求不斷提高的矛盾突出。這種風險管理體系的不健全,不僅抑制了以此為依托的風險管理工作的開展,更阻礙了商業銀行合規風險管理戰略思想的實施。
(三)風險管理技術工具難以適應新形勢的要求
在金融市場開放步伐和金融工具創新步伐不斷加快的背景下,新的風險不斷涌現,表現形式也越來越隱蔽。由于宏觀經濟變化引發的系統性風險、周期性風險逐步加大,價格風險、市場風險開始顯現,表外業務風險和金融衍生產品風險時有發生,這些新的風險對風險管理技術提出了更高的要求。但目前商業銀行風險管理技術和工具還比較落后,國外很多先進的風險管理工具如風險評級、風險預控、資產組合分析和各類風險緩釋技術至今尚未在風險管理工作中得到廣泛應用。特別是風險分析和風險評級的技術過于簡單,缺乏有效的風險適時監測和控制手段,不能對有限的信息資源進行技術處理,難以對風險管理形成有效的支撐。通常是事后被動處理多,事前主動防范少;定性分析多,深度數理分析少;靜態分析多,動態分析少;立足局部分析多,站在全局角度分析少。如何運用先進的風險管理技術工具來科學規避風險,實現風險防范和業務發展的平衡,既是一個全新的要求,也是一個嚴峻的考驗。
二、合規風險管理體系應具備的主要特點
(一)風險管理目標上,以為商業銀行創造利潤為最終目標取代單純的風險控制目標
作為現代商業銀行,其風險管理目標不僅是管住風險,而且必須與企業經營的總體目標保持一致,與股東權益長期提高的價值取向保持一致,即風險管理要服務于企業實現利潤最大化的核心目標,風險管理能夠提高承擔風險所帶來的收益。因此,風險管理部門不能就風險論風險,在風險管理過程中要充分考慮成本、收益和業務發展,追求過濾掉風險的收益,不僅要通過控制不良資產來減少損失,還要通過建立合規風險管理體系,確保在有效控制風險的前提下,保持銀行的客戶、產品等各渠道源源不斷地創造出更多的效益,為企業持續創造豐厚的回報,保證銀行效益最大化的最終目標的實現。
(二)風險管理內容上,以全面風險管理取代單一的風險管理
國內外風險管理的實踐表明,盡管商業銀行的所有業務都包含一定程度的風險,但商業銀行內部不同部門或不同業務的風險,有的相互疊加放大,有的相互抵消減少。因此,我們不能僅僅從某項業務、某個部門的角度考慮風險,必須堅持以效益最大化為中心,按照業務增長與風險控制相適應、風險成本與風險收入相匹配的基本原則,建立涵蓋信用風險、市場風險、操作風險等各類風險的、技術先進、制度健全、適度集中、執行有效的合規風險管理體系。在宏觀管理層面有統一的風險管理戰略、統一的風險管理政策、統一的風險管理制度和統一的風險管理文化。在微觀操作層面對所有機構、所有業務、所有過程中蘊涵的各種風險加以識別,用統一的標準和先進的技術方法進行測量并加總各種風險,在通盤考慮各種風險的狀況和影響的基礎上,采取相應的風險管理與控制措施,確保其風險管理能夠覆蓋所有業務和所有環節中的一切風險,確保風險管理能夠識別銀行面臨的一切風險。
(三)風險管理技術上,以模型深度度量取代簡單的淺度度量
長期以來,一些商業銀行習慣運用定性分析和簡單的數據分析方法,通過完善貸款保證措施、貸款限額、信用額度、信用等級等傳統的信貸管理手段,來加強對貸款發放環節的風險控制和降低信貸業務的風險損失。而國際銀行業風險管理技術早已從“我們只做好貸款”、“貸款應該評級”演變到“對風險進行定價”,通過量化風險測算為單筆貸款的風險準入和風險成本判斷提供支持。同時,作為股份制商業銀行的出資人,股東也會對資本配置效率提出更高的要求,不僅要求單筆業務風險收益匹配,而且對在資產組合層面上風險收益能否平衡的要求也更加苛刻,銀行必須采取對自留風險定價、資產證券化、對部分資產組合從事避險交易等動態的風險管理措施來減少系統性風險。因此,風險管理支持技術也要適應新的形勢的要求,主動引入內部評級法等先進的定量技術工具,設計出針對單筆業務和資產組合兩個層面,涵蓋信用、市場、操作三類風險的計量模型,實現由淺度度量向深度度量的轉變。
(四)風險管理機制上,以資本精細化管理取代資本粗放管理
多年來,盡管商業銀行反復強調以效益為中心,但在實際工作中,普遍不能很好解決擴大業務規模與提高效益的關系,不能很好解決短期效益與長期效益的關系,最終導致以浪費資本這種最稀缺的資源為代價來換取業務的規模擴長。為有效防止分支機構因盲目追求短期收益而忽視對業務潛在風險的充分衡量,避免風險對資本的沖擊,必須采取能將資本、風險和收益有機銜接的資本精細化管理工具。這種精細化的資本管理工具包括資本配置和績效考核兩部分。在資本配置上要以經濟資本為核心約束風險資產總量的增加,指導業務資源的有效配置,促進資產結構調整和優化。在績效考核上強調資本回報對經營管理的約束,設定恰當的績效評價期限,并充分考慮風險因素及風險管理戰略的執行效果,實現由考核賬面利潤向考核風險調整后資本回報率(RAROC)的轉變,打牢經濟資本占用與經濟資本回報的內在關系,為不同產品、客戶和部門的風險建立共同的衡量基礎。
(五)風險管理組織上,以垂直管理取代層級管理
從目前國內銀行業的現實情況看,如果金融機構同時身兼風險承擔者和風險監控者的雙重職責,往往樂于追求業務量和利潤的增長,而忽視由此可能帶來的更大的風險。因此,風險管理必須保持一定的獨立性,風險承擔者不能同時為風險監控者,風險承擔與風險監控必須分離。而實現垂直管理后,便于上級行風險管理部門對下級行風險管理部門負責人和同級業務部門“風險管理窗口”負責人的直接管理和考核,有利于總行風險戰略和政策的傳導,有利于下級行風險管理人員和風險窗口管理人員在所轄區域和領域內全面監控執行總行風險管理政策,有利于總行風險管理部門綜合歸納各區域、各領域的風險暴露,及時進行合規風險整合和對沖,從而實現對整個機構的積極風險配置。
三、建立合規風險管理體系的具體措施
(一)樹立科學的風險管理理念,全力營造風險管理的文化氛圍
風險管理是現代商業銀行經營管理的靈魂,通過營造風險管理的文化氛圍,及時準確把科學的風險理念傳導給每一位員工,使之牢固樹立風險意識,形成風險防范的慣性思維,是做好風險管理工作的重要保證。要樹立過濾掉風險的收益和發展的風險理念,處理好風險管理與業務發展的關系,以風險管理作為業務發展的先決條件。在發展業務的同時也要考慮潛在的風險,確定合理的風險度,既不能在風險面前畏難回避,也不能盲目夸大風險事實。要在主動預測管理控制各類風險源、疏導化解風險為我所用的前提下最大限度追求企業效益最大化,理性支持各項業務的健康發展。要樹立風險回報理念,根據風險回報的差異,對不同的客戶、業務、產品發展戰略進行量化的比較和選擇,在經營工作中正確處理資本、收益和風險的關系,在風險和收益的平衡中實現資本的保值增值,確保風險和收益應匹配。
(二)制定明晰的風險管理戰略,引導風險管理工作的有序開展
風險戰略是風險管理的行為指南。作為公司治理結構完善的現代商業銀行,董事會要根據經濟環境、國際銀行同業風險管理發展趨勢、市場定位和主要股東的風險偏好,確定合理的投資回報目標,制定確保業務可持續健康發展的風險管理戰略。整個風險管理戰略應包括風險管理的目標、風險可承受區間、風險管理的原則。資本金的管理,即估算發展目標、預測經濟資本與監管資本的缺口,規劃資本的最佳結構并提出籌資方案,確定資本金在經濟區域、業務主線及不同行業之間的配置,對銀行風險管理的長期投入進行規劃等。風險管理委員會以董事會的風險管理戰略為依據,制定全行的風險管理政策。各級管理層具體負責風險戰略和風險管理政策的貫徹落實。風險管理部門根據董事會、風險管理委員會、高層管理者確定的風險管理戰略、規劃、政策和操作指引,通過授權管理、授信制度、控制目標等手段,及時有效地傳導給分支機構和各風險窗口,對信用風險、市場風險、操作風險等實施全面有效管理。
(三)搭建垂直獨立的風險管理組織架構,制定完善的風險管理流程和規章制度
為實現風險管理與業務發展的有效制衡,目前商業銀行風險管理組織架構應從現行的平面式層級化管理向矩陣式垂直化管理過渡,確保風險管理的獨立性和權威性。一要堅持分層管理原則。即將風險管理的決策、管理、操作職能分別賦予不同層次的機構,由董事會對風險管理負最終責任,董事會授權首席風險官和風險管理委員會在保持獨立性的前提下代為行使風險管理職權,實行在首席風險官統一領導下的“下管一級”和“分類管理”的積極的風險管理模式。各級風險管理部門要相對獨立于業務部門,承擔起平行制約和行為監督的責任,抑制過度追求商業機會、利差貢獻或業務量而違背風險管理原則的行為。二要堅持集中與分散相結合的原則。即對風險管理的決策和宏觀管理層面實行集中,統一全行的風險管理政策、制度、程序,而對風險管理的微觀操作層面實行分散化管理。三要堅持“扁平化與窗口化統一”的原則,實現風險管理關口的前移。實行扁平化,就是要在風險管理過程中,盡可能地減少風險戰略和政策的傳導過程,減少決策程序中的不必要環節,保證信息傳輸的及時準確。實行窗口化,就是要將風險的日常監控單元直接設置到業務經營部門內,使風險管理涵蓋各業務領域,更加貼近市場,實現對風險的全面、及時監控。
進一步優化風險管理流程,實現風險管理與業務管理的平行作業。要從管理的角度將風險進行分類,并確定相應的風險管理授權,逐步做到按產品、地區、業務、主線來識別風險,分支機構要在授權范圍內,對信用、市場、操作等風險進行控制,在此基礎上,實現風險的分類管理,即所有風險都由專門的風險管理部門和專業的風險管理人才進行分類管理和實時監測,提高風險管理的效率。同時,要建立科學的風險決策流程,決策的各個環節既要講程序和制約,更要講科學和專業;既要講控制,也要講效率;既要講民主,也要有問責,確保風險決策的程序性、科學性和專業性,確保對業務發展及市場競爭的快速反應和對風險的及時預警。
及時進行風險管理制度、方法、措施的梳理歸納,盡快填補風險管理制度建設的空白。一要建立內部控制評價制度。將所有風險單元的風險管理過程納入監控和考核體系,并與績效管理、薪酬分配和干部晉升掛鉤,促進風險管理工作的完善和開展。二要健全和完善法人授權管理制度。結合各級行風險內控建設管理的完善程度、經營管理范圍、水平,制定相應的法人授權等級評價辦法,實行區別授權,同時,建立授權執行效果的后評價制度,充分發揮授權管理在風險管理中的重要作用。三要建立風險限額管理制度。對商業銀行面臨的各類風險進行量化、匯總、分解、控制,將風險控制在可以承受的限度內。四要建立制度評估反饋機制。各制度制定部門要定期自我評估,從而使規章制度的建立、修改和廢止工作始終處于良性循環的狀態。五要嚴格制度的執行,對違反制度規定的,要嚴厲追究責任。
(四)推進內部評級工程建設,打造合規風險管理的核心工具
由于風險管理不同于單一的風險控制,它是一項涵蓋全要素、全方位和全過程的系統管理工程,因此,必須引入與之相適應的全新的技術工具。而目前已經公布,并將于2007年正式實施的《巴塞爾新資本協議》所積極倡導的內部評級法,無疑為各商業銀行的風險管理提供了先進的技術工具。所謂內部評級法(IRB),實質上是一套以銀行內部風險評級為基礎的資本充足率計算及資本監管的方法。它由銀行專門的風險評估部門和人員,運用一定的評級方法,對借款人或交易對手按時、足額履行相關合同的能力和意愿進行綜合評價,并用簡單的評級符號表示信用風險的相對大小。內部評級主要包括客戶評級和債項評級兩個方面,它能夠提供客戶違約概率(PD)、違約損失率(LGD)、預期損失率(EL)、非預期損失率(UL)、違約敞口(EAD)等關鍵指標,不僅在授信審批、貸款定價、限額管理、風險預警等基礎信貸管理中發揮決策支持作用,而且也是制定信貸政策、計提準備金、分配經濟資本的重要基礎。
內部評級法從國家風險、地區風險、行業風險、產品風險、客戶風險以及債項風險等多種角度進行風險評級,在敏感性、準確性和系統性等方面對風險計量提出了更高要求,能夠增強商業銀行對各種風險的鑒別分析能力。盡管中國銀監會對新資本協議的實施制定了“兩步走”和“雙軌制”的策略,但內部評級法作為新資本協議著力推薦的風險管理工具,正在成為全球銀行業開展風險管理的主流技術模式。實施內部評級法不僅有利于提高各商業銀行的風險管理水平、增強核心競爭能力,也有助于樹立商業銀行在投資者和社會上的良好形象。
實際上,一些商業銀行已經對內部評級工程建設給予了高度重視,并在信用風險評級預警系統等前期工作方面取得了初步進展。今后一段時期,要加快內部評級體系的實質性的開發建設,促使階段性成果及時轉化為生產力,使內部評級法盡快成為信貸政策、授權管理、風險限額管理、產品定價、經濟資本分配、準備金計提、績效考核、資本充足率測算等方面的核心工具,使商業銀行能夠充分利用先進的風險管理技術進行正規化、系統化的風險管理。
(五)發揮經濟資本的約束作用,建立以資本回報率為基礎的風險自我調控機制
由于缺乏經濟資本的約束,在各商業銀行發展過程中,曾經出現過存貸款業務的大起大落和貸款從惜貸到激增的快速擴張,經濟資本在各商業銀行經營活動中的基礎地位的逐步確立,使得在風險管理工作中,能夠借助于經濟資本的本質屬性建立風險自我調控和約束機制。我們知道,銀行的風險來自于不同的部門、機構和業務,風險造成的非預期損失只能通過銀行的資本來消化。將經濟資本配置到各部門、機構或各項業務,不僅可以清楚顯示各部門、機構和各項業務的風險水平,實現資本與風險的匹配,而且可以使經濟資本成為銀行確定其風險控制邊界的基礎:當經濟資本在數量上接近或超過各考核單位的實際資本(即監管資本)時,說明其風險水平已經接近或超過其實際承受能力,促使考核單位要么通過一些途徑增加實際資本,要么調整資產結構、減少高風險資產,控制或回縮其風險承擔行為,這樣,就起到了對風險的約束作用。
在此基礎上,通過引入資本回報率指標,可以構建高效、自動運轉的風險管理機制。各商業銀行在衡量各經營單位對股東價值的貢獻時,應采用風險調整后的資本回報率指標。其計算公式為:風險調整后的資本回報率(RAROC)=(利潤-預期損失)/經濟資本=(收入-支出-預期損失)/經濟資本。由此計算的資本回報率指標,既考察了銀行的盈利能力,又充分考慮了該盈利能力背后承擔的風險。RAROC指標把銀行的風險與收益緊密聯系在一起,使銀行風險管理和業務發展的成果體現為一個簡單的數值。銀行各部門、機構和各項業務都可以計算自己的RAROC指標,并且相互間可以直接對RAROC指標的高低進行比較。根據RAROC指標的這一性質,各級管理者可以通過RAROC這一核心考核指標進行風險監控和管理。這樣,可以把風險管理融合在各項業務工作中,使各種風險的管理聯系起來,徹底改變了過去那種對各類風險的單獨分析、孤立管理,在銀行總體范圍內形成一個集中統一的風險管理機制。新晨
(六)建設高素質的員工隊伍,奠定實施合規風險管理的人力資源基礎
在銀行風險管理中,人是風險管理實踐活動的主體,需要充分發揮積極性、創造性、主動性;同時,人又是風險管理實踐的首要對象,人的風險是最大的風險,要實現兩者的有機統一,必須建立一支高素質的風險管理隊伍。目前,各商業銀行風險管理隊伍無論數量還是質量都不能滿足實施合規風險管理的需要。因此,必須按照現代人力資源管理理論的要求,加快各級各類風險管理人才的培育和引進,以有競爭力的薪酬制度和專業技術職務晉升制度吸引高素質的專業人才從事風險管理工作。特別為防范和化解商業銀行由于混業經營趨勢明顯增強帶來的新的金融風險,要有計劃招聘或培養具有銀行、證券、保險、信托等多種從業經驗的人才,建立高素質、復合型的風險管理隊伍,以加強對金融交叉產品和衍生產品的風險識別、度量和控制,建立起一支適用于合規風險管理的專業化人才團隊。同時,隨著風險分析方法和管理技術升級以及銀行業務的發展,還要對包括風險管理人員在內的所有員工進行持續有效的差別化培訓,使整個經營管理隊伍在風險管理知識和能力上時刻保持先進性和實用性。
參考文獻:
[1]馬蔚華主編.資本約束與經營轉型[M].北京:中信出版社,2005.
陳小憲.加速建立現代商業銀行的資產負債管理體系[J].金融研究,2003,(5).
關鍵詞:外資銀行風險監管巴塞爾協議
金融全球化不可避免地會對銀行業的經營發展產生重大影響。銀行業務的跨國化增強了經營風險,也增大了監管的需要。2006年12月11日起,我國全面開放銀行業,按照入世承諾,對外資銀行實行國民待遇。這既是機遇又是挑戰,中國銀行業將經歷一個艱難而充滿希望的調整階段。但我國的風險監管體制與風險監管發達的美、英、日、法等國相比,有待進一步完善。如何改善和加強對外資銀行的風險監管,控制外資銀行帶來的金融風險,已經成為擺在中國金融監管機構面前需要解決的迫在眉睫的問題。
一、國際外資銀行信用風險監管經驗
西方發達國家普遍擁有比較健全發達的銀行業,由于政治、經濟、文化等歷史淵源各不相同,各國紛紛建立了各具特色的銀行監管體制。通過研究美國、英國、這兩個主要的西方發達國家銀行業風險監管的經驗,對我國建立符合新開放時期的現代化銀行監管制度是不無裨益的。
1、英國在外資銀行風險管理方面的先進經驗
(1)比率風險監管體系
1997年,英國銀行在1987年的《銀行法案》授權下制定出“比率和比例風險監管體系”,所謂的比率風險監管體系是風險測評、監管措施、價值評估的綜合體系,它是由英國金融服務權力機構(FinancialServicesAuthority,FSA)對銀行業務、風險紀錄、宏觀經濟環境做出綜合性評估,以制定有效的監管計劃和使用恰當的監管措施。
FSA參照COMELB指標和COM指標對銀行進行風險初步測評。COMELB指標包括資本、資產、市場風險、盈利、債務、業務六個方面;COM指標包括控制、組織、管理三個方面。風險測評的目的在于系統地識別銀行業務的固有風險,評估其風險控制的充足性和有效性,明確其組織結構與管理體制,初步建立對這些銀行的監管體系。通過對銀行商業風險和控制風險的評估,將銀行分為四個等級(A、B、C、D),對A、B等級的銀行只需要對其風險控制做出適當的監測,對C、D等級的銀行則需要采取監管措施。FSA可以對C、D等級的銀行采取如下監管措施。如要求銀行提供全面的會計師報告、成立FSA的專家小組對銀行財政、信用領域進行檢查;向跨國銀行的母國監管者收集相關信息、與銀行高級管理層進行審慎性會晤及特別性會議討論銀行未來發展計劃等。在下一次風險測評之前,FSA會對風險測評、監管體系、監管措施的使用做一次價值評估,以保證銀行已完成必要的整改工作、FSA已完成監管體系中所預定的工作和監管措施被正確的執行。此外,FSA還對其監管階段工作的有效性做出評估和復查所有銀行是否仍然符合立法的最低標準。
(2)習慣法
在立法方面,盡管在歐共體各國的中央銀行中,英格蘭銀行的獨立性較差,但它卻在銀行監督方面比之其他國家的中央銀行擁有更大的靈活性。在英國,法律常由“習慣法”替代,金融管理機構與信貸機構間的關系更多地使用“道義勸說”或“君子協定”原則來理順,而不是采取強制性的命令方式。70年代以來,英國已正式結束了銀行業的“自我管制”狀態,代之以用法律的形式對銀行實施管制,外國銀行機構也不例外。“1979年銀行法”生效后,管理走向正規化,但是對大型銀行的管理仍沿用傳統方法,很少采取強制性措施。目前英國管制外國銀行的法律依據主要有《1987年銀行法》、1971年《競爭和信用管制條例》等。
2、美國在外資銀行風險管理方面的先進經驗
作為擁有悠久管理外資銀行歷史和豐富經驗的大國,美國在外資銀行風險管理體制上有其獨特之處。
(1)雙重評估體系
世界上大多數國家在對外資銀行的評估體系上多半采用單一制,即外資銀行與國內銀行適用同一種評估體系。而美國對其國內銀行適用的是國際通行的“駱駝評級體系(camel)”,即對銀行的資本充足率、資產質量、管理水平、盈利狀況和流動性五個方面進行評估。對外資銀行,則考慮到外資銀行的分行和行不是獨立的法人,許多因素(如資本調控或資產流通等)都受制于總行,采取的是“roca”等級評估制,即對外資銀行的風險管理、作業調控、遵守法規、資產質量四個方面進行評估,將重點放在風險評估、風險跟蹤、風險控制上。在美國通貨監理署(OCC)現行的監管體系中,駱駝評級和風險評級是兩個并行的體系,他們一起構成風險監管的整體方法,二者之間有一些區別。camels是對歷史形成的存量也就是運行結果進行評價,風險監管(評級)是對經營過程的控制狀況進行分析、評價;前者出現的背景主要是針對信用風險,后者主要針對市場風險、操作風險等。
(2)var(valueatrisk)風險測定方法
1995年12月美國金融機構正式將jp摩根公司發明的var風險測定方法作為銀行風險測定和管理的工具使用。var是指在某一特定的時期內,在一定的置信度下,給定的資產組合可能遭受的最大損失值。與巴塞爾協議資本充足率的計算方法相比,var方法主要用以測定市場風險,風險監管的實質是重視對過程控制的評價。(3)爭取實現統一立法
在立法方面,當前各國銀行目睹并經歷了不斷加劇的銀行國際化分支運作,銀行界也在呼喚著實施統一的國際化資本法規,以維持一個健康的國際銀行操作環境。美國的立法機構已經單邊制定了兩個法規,即1978年的《國際銀行法規》(IBA)和1991年的《外國銀行的強化監控法規》。《國際銀行法規》中對外資銀行的風險性監管做出總體性規定。其目的在于讓大量的外國銀行受到類似于美國國內銀行的監督與管理,并減少人為的不必要的銀行機構間的競爭。
二、巴塞爾協議體系給國際外資銀行風險監管帶來的影響
1988年7月,巴塞爾委員會頒布的《關于統一國際銀行資本衡量和資本標準的協議》(即通常所說的“巴塞爾協議”),該協議設定了資本充足率。通過對資本充足率的規定,銀行業監管機關可以加強對商業銀行資本及風險資產的監管,也對衍生工具市場的監管有了量的標準。加上1997年9月頒布的《有效銀行監管的核心原則》共同構成對外資銀行風險性監管的基本規定。《有效銀行監管的核心原則》指出監管者應當制定和利用審慎性法規的要求來控制風險,其中包括資本充足率、信貸風險管理、市場風險管理、其他風險管理和內部控制監管等。
2001年1月,巴塞爾委員會公布了資本協議的第二次征求意見稿,此次協議被稱為巴塞爾新資本協議。包括歐洲銀行界在內的國際銀行界對新資本協議表現出極大的關注。有關風險的范圍在協議中不斷擴充:從信用風險到市場風險,進而又涵蓋了操作風險、法律風險、流動性風險以及名譽風險等其他風險。這是監管當局對日趨復雜的國際金融環境的必要應對,是走向全面而準確監管的步伐。
作為國際銀行界的監管準則,巴塞爾新資本協議針對風險管理提出的標準法和內部評級法為將來商業銀行進行風險監管指明了方向。內部評級法比標準法更能敏感地反映信用風險,但同時也意味著商業銀行要在資產組合層面實現風險和收益的匹配,并相應地進行經濟資本配置。歐洲大型商業銀行和中小商業銀行的信用風險管理將在新協議影響下面臨不同的選擇路徑。這種選擇也將對未來若干年內我國銀行風險管理機制的改革具有重要的借鑒意義。
概括而言,巴塞爾新資本協議的推出為國際銀行業的風險監管提供了統一的框架標準,為銀行業風險有效監管奠定了堅實的基礎。協議及其補充文件倡導的原則和方法對銀行業的監管方向有著深遠的影響,規范了國際銀行業風險管理的發展,并成為國際銀行業風險監管的指導藍本和實踐框架。
三、國際外資銀行風險監管經驗對我國的啟示
第一,完善我國的外資銀行準入制度,選擇資本雄厚,經營業績、資產狀況良好,熟悉國際金融市場,具有豐富管理經驗、良好經營能力和風險控制能力,具有先進的IT技術和國際網絡優勢的外資銀行進入我國。高素質的外資銀行大都資金雄厚,有利于維護我國金融市場的穩定,管理先進、控制經營風險的能力強,能夠做到穩健經營。且資信較好,能遵守法規,注重公平競爭,重視自身市場形象。有利于我國金融市場健康有序的發展。
第二,充分考慮中外資銀行的差別。我國正處于轉軌時期市場化金融體系構建進程,國有銀行、政策性銀行、股份制銀行、地方銀行以及外資銀行等在資本結構、經營狀況和風險管理能力各異。這就要求我們在相關風險監管指標的制定和監管某些選擇方面,要根據各個銀行所處的具體情況,提出針對性強、靈活度大的方案,進行分類監管。同時,在逐步融入國際金融大環境的中國銀行業,面臨的風險也不再僅限于信用風險,而是要迎接市場風險、流動性風險、法律風險等來自各方的考驗。因此,在制定監管指標時應具有預見性,充分考慮到現階段及今后一段時期內銀行可能面臨的各種信用風險、市場風險以及其他風險,為未來銀行業經營環境的變化留有足夠空間,不至于使監管法規陷入被動的境地。
第三,加強科學的外資銀行風險評估體系化研究。外部監管與銀行內部風險管理相結合,監管者與被監管者的關系由對抗型向協作型的轉變,是銀行監管的趨勢。銀行內部風險模型的建立不僅是銀行自身經營的必要,也是確保監管有效實施的重要保障。除了可以參照國際上通行的“駱駝評級體系(camel)”外,考慮到目前在中國境內的外資銀行三種形式(外國獨資銀行、外國銀行分行、中外合資銀行)中,占主導地位的是外國銀行分行,可以參照美國的做法,與國內銀行的“camel”評價體系相區分,采用“roca”等級評估制,將重點放在風險管理、作業調控、遵守法規、資產質量上,以加強風險控制。
第四,完善與健全對外資銀行的監管法規。參考國際監管經驗可以看到先進的監管體制離不開成熟的法規的配合。2002年以前我國對外資銀行的監管還停留在是否合規的事后檢查階段,缺乏以預防為主的風險性監管。2002年2月1日新出臺的《中華人民共和國外資金融機構管理條例》初步確立了我國外資銀行風險監管的指標體系,然而,與風險監管發達的美、英、日等國相比,我國的風險監管體制還顯得極不健全,有待進一步完善。我國在外資銀行監管方面的立法層次比較低,在風險監管方面并沒有出臺相關專門性規范。面對開放時期可能的外資銀行數量激增,我國應制定出風險監管的總體政策和量化指標,設立專門的類似于英國FSA的監管機構來執行這些法規。
【參考文獻】
[1]王衛東:現代銀行全面風險管理[M],中國經濟出版社,2001.
[2]章彰:商業銀行信用風險管理——兼論巴塞爾新資本協議[M],中國人民大學出版社,2002.
[3]田應奎:現代金融有效監管的國際比較[M],中國言實出版社,2000.
關鍵詞:風險管理;內部控制;企業風險管理
Abstract:Risk management transited from disperse study of multiple fields to integrated framework of enterprise risk management in last fifty years. This paper summarizes the major views about traditional risk management theory,financial risk management theory,internal control theory and enterprise risk management theory,and reviews the future development tendency of risk management after the subprime crisis.
Key Words:risk management,internal control,enterprise risk management
中圖分類號:F830 文獻標識碼:A 文章編號:1674-2265(2011)02-0023-05
2007年次貸危機的爆發,各大金融機構的破產,使得風險管理再度成為理論界研究的熱點,雷曼兄弟、美林等公司都曾經是風險管理的先行者,但還是在危機面前走向了破產,那么究竟該如何進行風險管理呢?在回答這個問題之前,我們有必要回顧一下風險管理理論的演進與發展,從歷史的脈絡中來尋找企業風險管理的精要所在。
一、傳統風險管理理論
風險管理作為一門學科出現,是在二十世紀60年代中期。1963年梅爾和赫奇斯的《企業的風險管理》、1964年威廉姆斯和漢斯的《風險管理與保險》出版標志著風險管理理論正式登上了歷史的舞臺。他們認為風險管理不僅僅是一門技術、一種方法或是一種管理過程,而且是一門新興的管理科學,從此風險管理迅速發展,成為企業經營和管理中必不可少的重要組成部分。
傳統風險管理的對象主要是不利風險(也就是純粹風險),目的就是為了減少純粹風險對企業經營和可持續發展的影響;企業風險管理所采取的主要策略就是風險回避和風險轉移,保險則成為最主要的風險管理工具。
在這個階段,研究者的主要工作就是對風險管理對象的界定和區分,辨別出那些對企業只有不利影響的風險類型并著手解決,是傳統風險管理的重要思路。實踐中,純粹風險確實對企業的可持續經營具有很大的影響,特別是那些沒有預測到的純粹風險,往往會直接拖垮一個企業,而且企業對純粹風險的管理涉及到機會成本的問題,這更加需要企業在綜合權衡的基礎上做出風險管理決策(Gahin,1967),因此,純粹風險一直被當作風險管理的對象和目標。而具體的解決辦法,是以保險作為主要手段,通過購買保險來轉移那些影響企業的純粹風險,至于如何購買保險、購買什么樣的保險就屬于風險管理決策的范圍了,而不僅僅是一種技術手段,實際上,風險管理就是從保險行為中延伸出來的管理手段,因此,保險在這個時期的風險管理中具有重要的作用(Denenberg,1966)。
此外,這一時期風險管理的應用從企業擴展到了市政領域。Todd(1969)、Vaughan(1971)通過對美國九個州市政管理的調研發現,市政官員對風險管理的認識還十分薄弱,提出加強市政領域的風險管理是市政官員的重要職能,目的是保證市政財務預算免受意外災害的影響,以保持提供應有的市政服務的能力。
而這個階段風險管理理論的重要成就是實現了與主流經濟、管理學科的融合。風險管理方法論的提出無疑是最為重要的,1965年Hedges第一次提出了有關構建企業風險管理的方法論,界定了分析風險管理的觀察視角問題,指出風險管理往往存在著兩種不同的視角:一是基于首席財務官職位的財務政策視角,二是基于風險管理官職位的風險與保險視角,同時指出,保險是企業風險管理的重要工具,但是保險并不意味著風險管理的全部,從而將風險管理的范圍進一步拓展,并且明確了保險只是風險管理的一種工具,使得風險管理從方法論角度更為全面和完善。Close(1974)將風險管理與現代管理學中的復雜組織系統模型相結合,為風險管理學科的發展提供了更為主流的理論來源;Cummins(1976)將風險管理與傳統的企業理論相結合,運用現代經濟學的分析方法來確定風險管理的最優策略,從而使風險管理融入到金融市場理論中并成為金融學的一個重要領域。
二、金融風險管理理論
如果說傳統風險管理理論是為了解決純粹風險,那么金融風險管理就是為了應對投機風險的問題,是為了實現“風險最小條件下的收益最大,或是收益一定條件下的風險最小”目標,這是金融風險管理與傳統風險管理的最重要區別。
金融風險管理理論的重要組成部分,就是自二十世紀50年代開始發展起來的一系列現代微觀金融方法:Markowitz(1952)提出的資產組合理論為金融風險管理提供了有利的支撐,用統計學中的方差來度量風險, 用期望值來度量收益,并且首次在此基礎上研究了證券資產的投資組合問題,指出投資者的理性投資行為是以追求在相同風險下的收益最大化或在相同收益下的風險最小化為基礎;在此基礎上,Hart 和Jaffee(1974) 又提出了將銀行所有資產和負債視同為一種特定類型的證券組合來進行管理的理論框架, 根據該理論框架, 商業銀行的資產分布、貸款分布應形成一個合理的投資組合, 應避免風險過度集中;Sharpe(1964)提出的資本資產定價模型(CAPM)則是開創了現代風險資產定價理論的先河,提出了投資的回報與風險成正比的基本規律,即資產的期望報酬等于無風險利率加上風險調整后的收益率,揭示了在均衡條件下證券的期望收益率和市場風險之間的關系,證明了通過證券組合可以有效地分散和規避非系統風險,但是無法分散具有整體特征的系統性風險;因此,對于企業進行風險管理來說,每種業務的費用至少應等于資本的CAPM成本,從而可以確保投資的回報率經過風險調整后能夠實現最大化;Black和Scholes(1973)提出了著名的Black―Scholes期權定價模型,解決了期權定價問題,推動了金融衍生產品的迅速發展和現代金融風險管理市場的形成,為企業的風險管理提供了更為精確的工具,企業可以通過金融衍生工具市場的交易進行風險管理,既可以通過金融衍生品交易來轉移市場風險,也可以通過信用衍生品的交易來進行信用風險管理。這些理論的提出,使得風險管理突破了傳統模式下依靠保險轉移風險的思路,開始利用風險獲取收益,標志著風險管理理論開始向縱深發展。
這個階段風險管理的對象十分繁雜,但是影響最大的則是外匯風險。布雷頓森林體系的崩潰使得匯率的波動性明顯加大,原油價格的大幅上漲使得企業的生產成本難以控制,這些對于那些大型跨國公司來說影響都很大,其中外匯風險是最致命的,匯率的波動影響企業的已實現利潤、持有的金融資產的價值以及預期的收入,因此以企業的預期效用最大化為原則的風險管理,在具體策略和措施的實施中也受到企業的風險態度的影響:如果企業風險管理的目的是為了減少外匯風險敞口至零,那么企業將會采取分散化的財務策略;如果外匯風險僅僅是被看成另外一個必須考慮的風險變量的話,那么企業將會采取集中化的財務策略;同時,企業在管理外匯市場中的風險時往往采取不對稱的態度,即針對不同的貨幣,采取不同的管理行為和策略:在“軟”通貨中,企業會采取有利措施來抵消可能會帶來的未預期損失,相反在“硬”通貨中,企業偏向于保留部分正向敞口(Folks,1972;Rodriguez,1974、1978)。
金融風險管理的工具以ART為主,這是一種隨著資本市場和保險市場融合而出現的、綜合保險和衍生品兩者特點的風險轉移產品,是一系列非傳統風險轉移產品、風險工具和風險技術的總稱,一般分為用來防范傳統風險的非傳統風險工具和基于資本市場的風險管理工具(James Lam,2003)。其中,專屬保險公司是用來防范傳統風險的非傳統風險載體的重要方式,它可以為母公司提供稅收減免優惠,從而提升公司的盈利能力和市場價值(Davidson和Thornton,1987、1988;Wood、Glascock和Bigbee,1988)。而Ullrich(1992)的研究揭示了專屬保險公司的另外一個優勢,即提供給母公司更優先的成本優勢:相對于商業保險公司來說,專屬保險公司能夠為母公司而不是為商業保險公司提供儲備基金的投資收入;為母公司在手續費和利潤獲取方面實現成本減少;為母公司進入再保險市場提供方便以降低交易成本;通過提供有競爭力的保險業務而進化成母公司的利潤中心;協助母公司規避周期性的商業保險市場。
三、內部控制理論
實際上,內部控制理論是風險管理理論的重要分支,特別是2004年COSO頒布了《企業風險管理―整合框架》后,風險管理與內部控制的關系更為緊密,內部控制融入到企業風險管理(ERM)框架中。
(一)內部會計控制
內部會計控制是內部控制理論發展的第一個階段。Grady(1957)指出,內部會計控制就是一個綜合了組織的計劃和商業中運用的協調過程的制度,用于預防未預期到的或是錯誤的操作帶來的資產損失、檢查管理決策中用到的會計數據的準確性和客觀性、提升運營效率和鼓勵遵守已制定的政策等。Scott(1976)則認為,內部控制不應當被看成是一個人格因素,而是應當看成是一個經營和管理環境的函數,而且環境的一個重要因素是實際行為,而不是態度,因此內部控制更強調其管理本性。
美國注冊會計師協會(AICPA)是這個階段促進內部會計控制發展的重要力量,它的一系列公告和文件,如《SAP No.1》、《SAS No.1》和《SAS No.55》等,不僅對于推動內部會計控制的完善具有積極的作用,而且對于完善、發展的方向以及具體的業務操作等都提供了有價值的意見。
(二)內部控制整體框架
1992年COSO了《企業內部控制―整體框架》,第一次系統構建了企業的內部控制體系。COSO框架下的內部控制,更多的是基于獨立會計師的視角,明確指出,內部控制是由企業董事會、經理層以及其他員工影響實施的,旨在為財務報告的可靠性、經營效果和效率以及現行法規的遵循而提供合理保證的過程;同時提出了企業內部控制構成的概念,認為內部控制整體框架主要由控制環境、風險評估、控制活動、信息與溝通、監督五大要素組成,由此內部控制的概念完全突破了審計的局限,向企業全面管理控制的范疇發展。1994年COSO委員會又提出了《對外報告的修改篇》,增加了與保障資產安全有關的控制,從而進一步擴大了內部控制的范圍。
在COSO報告的基礎上,這一階段的研究對內控報告和內控信息披露格外重視,從而使得內控領域的研究更加具有整體化的色彩。內控報告對投資者加深對公司的全面了解具有積極作用,密切了投資者和公司之間的溝通聯系,強化了投資者對公司經營能力和競爭優勢的信任,增強了投資者對公司的信心(Willis,2000);內控信息的披露也間接具有分辨公司好壞的功能,那些不敢提供內控報告的公司較之那些提供了內控報告的公司來說,往往會具有更差的財務表現,同時內控報告的公布使企業能夠彰顯自己的核心能力和競爭策略,以圖對投資者的決策施加影響,這也間接使得外部投資者能夠對公司的內部控制施加影響,從而使得內部控制的發展真正進入到了全面、綜合的階段(Mcmullen,1996;Newson,2002)。
這個時期,英國的內部控制理論發展也很迅速。卡德伯利報告、哈姆佩爾報告,以及作為綜合準則指南的特恩布爾報告堪稱英國內部控制研究史上的三大里程碑。1992年的卡德伯利報告以內部控制、財務報告質量以及公司治理之間的關系為前提,從財務角度入手并將內部控制置于公司治理的框架下,特別強調內部控制聲明的重要性,并且重視獨立的審計委員會對內部控制的意義,還第一次提出了實行獨立董事制度的觀點,在很多領域開創了英國內部控制和公司治理的先河。1998年的哈姆佩爾報告明確提出了內部控制的目的是保護資產的安全、保持正確的財務會計記錄、保證公司內部使用和向外部提供的財務信息的可靠性,認為董事對內部控制具有關鍵的作用,并且強調了“內部控制不局限于財務方面,而是應該包括更多的管理過程”的觀點。1999年的特恩布爾報告則是英國內部控制和公司治理研究的集大成者,為公司及董事會提供了具體的、頗具可行性的內部控制指引:高度重視董事會在內部控制中的地位和作用,包括制定正確的內部控制政策、對內部控制有效性的復核以及實行正確的風險管理政策等;尤為重要的是,該報告較早地認識到內部控制與風險管理的關系并且對公司管理層在風險控制和管理中的角色進行了分析與界定,從而為內部控制向全面風險管理的發展提供了初步的借鑒。
從上述內部控制理論的發展過程來看,內部控制理論的演進經歷了“平面―三維” 的過程:在內部會計控制階段,控制環境、控制活動和會計系統三要素構成了一個平面的控制系統;在內部控制整體框架中,控制環境、控制活動、風險評估、信息與溝通、監控五要素,則演變成了一個三維的控制系統。
四、企業風險管理理論
COSO的《Enterprise Risk Management ―Integrated Framework》,是一份具有劃時代意義的風險管理報告。它是在1992年《Internal Control―Integrated Framework》的基礎上,結合《薩班斯―奧克斯法案》在報告方面的要求進行擴展研究而最終形成的。該報告對企業風險管理(ERM)下了一個全新的、綜合的定義:“企業風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證”,并列出了風險管理的八要素:內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控,從而為企業風險管理提供了更為具體的思路。
學術界的研究很大一部分體現在企業風險管理與公司價值的關系上。Allayannis等(2001)分析了運用衍生品進行風險管理對企業價值的影響,運用托賓Q作為企業價值的替代變量,通過對1990―1995年間720家非金融企業運用外匯衍生品情況的研究,發現運用了外匯衍生品后,企業的價值呈現正增長的態勢,風險對沖的報酬對于那些在外匯領域具有風險敞口的企業來說,在統計和經濟意義上都具有重要影響,比那些同樣面臨外匯風險敞口卻不實行對沖的企業高大約4.87%的市場價值;而對于那些本身不具有外匯風險敞口,但是在經營中涉及到進出口業務的企業來說,衍生品對沖帶來的市場機制提升并不明顯。同時,還發現了有利的證據支持風險對沖能提升企業價值的假設。Hoyt和Liebenberg(2008)運用美國上市保險公司的資料數據,對2000―2004年期間共166家保險公司的經營情況進行了分析,得出的結論是,采用ERM的公司,其公司價值的增加具有較大的普遍性,這種價值的增加體現在公司特征上,表現在采用了ERM的公司往往規模更大,行業多樣化、國際化程度更高以及財務融資能力較強等;同時,本文的研究還發現,采用ERM的公司價值比未采用ERM的公司平均高出3.6%,且在統計和經濟意義的檢驗方面均為顯性,從而證明了ERM對提升公司價值的積極作用。Kallenberg(2007)分析了風險管理對于公司價值的影響,指出隨著世界經濟一體化的發展,風險管理和風險交流越來越成為企業經營的重要內容。他以ABB公司為例分析了開放的、直接的風險管理對于建立公司信譽和維護公司價值的重要意義,ABB公司的股價在2001―2002年間下跌了90%,其中50%是與石棉危機有關的。
對風險管理要素的研究也受到了學者們的關注。Andreas Muller(1999)分析ERM流程的角度是成本控制,他認為ERM包括風險剝離(risk stripping)、風險地圖(risk mapping)、風險組合和套期(risk packing and hedging)三個階段。Colquitt等(1999)以實證研究的方法分析了風險經理在ERM過程中的角色及作用。Lisa Meulbroek(2002)在傳統風險管理流程風險識別、風險衡量(可能性預測和后果評估)、風險策略制定和方法選擇的基礎上,提出了建立公司價值模型來提高風險管理能力的方法。CAS(2003)對ERM流程的分析注重了企業環境因素的影響,在傳統風險管理流程的基礎上,著重強調了環境分析的基礎性意義,提出了ERM流程包括環境分析、風險識別、風險量化、風險整合、風險優化和利用、風險控制與評估等步驟的循環。
對利益相關者與企業風險管理關系的研究是最近的一種趨勢。注重企業的社會責任、聲譽風險以及可持續發展在風險管理中的應用,逐漸將這些問題納入到企業風險管理的分析框架中,從而將風險管理的目的拓展到了利益相關者最大化方面。CAS―ERM報告(2003)就提到了企業風險管理的目的就是為了增加組織的利益相關者在短期和長期的價值;Marsiglia等(2005)、Forstmoser(2006)的研究分別從企業價值所面臨的社會責任和可持續性挑戰、企業聲譽風險的管理問題出發,來研究風險管理問題,從而將對企業風險管理的研究擴展到了一個新的領域。
五、展望與趨勢
始于2007年的次貸危機對風險管理提出了新的挑戰,未來的風險管理需要在以下兩個方面進行加強:
第一,企業破產風險的衡量問題。次貸危機中,很多金融機構的流動性是在極短時間內枯竭的,償付能力在幾個月中發生了根本性的變化,那么,以防范企業破產風險為直接動因的企業風險管理,該如何來衡量企業的破產風險呢?該使用什么工具來動態監控呢?
第二,風險管理工具的使用問題。本來作為風險管理工具的金融產品如CDS等,反而變成了導致企業破產的風險來源,本意是要分散、降低風險,結果反而集聚、惡化了風險,那么該如何來使用這些具有兩面性的工具呢?
參考文獻:
[1]Fikry S. Gahin,A Theory of Pure Risk Management in the Business Firm[J],The Journal of Risk and Insurance, 1967,34(1):121-129.
[2]Herbert S.Denenberg,J.Robert Ferrari,New Perspectives on Risk Management:The Search for Principles[J], The Journal of Risk and Insurance,1966, 33(4):647-661.
[3]J.David Cummins,Risk Management and the Theory of the Firm[J],The Journal of Risk and Insurance,1976, 43(4): 587-609.
[4]Harry Markowitz,Portfolio Selection[J],The Journal of Finance,1952,7(1):77-91.
[5]William F Sharpe,Capital Asset Prices:A Theory of Market Equilibrium under Conditions of Risk[J],Journal of Finance,1964,19(3):425-442.
[6]James Lam,Enterprise Risk Management:From Incentive to Controls[M].London:John Wiley and Sons,2003:88-91.
[7]Thomas Ullrich, Pooling Risks in a Captive Insurance Company[J], The John Liner Review , 1992, (6): 41-49.
[8]Richard R. Scott,Attribution of Internal Control[J],Journal of Black Studies, 1976,6(3):. 277-290.
[9]George Allayannis,James Weston,The Use of Foreign Exchange Derivatives and Firm Market Value[J], The Review of Financial Studies spring,2001, 14(1): 243-276.
[10]Robert E. Hoyt,Andre P. Liebenberg,The Value of Enterprise Risk Management:Evidence from the U.S. Insurance Industry[R],the Society of Actuaries, 2008.
[11]Kristian Kallenberg,The Role of Risk in Corporate Value:A Case Study of the ABB Asbestos Litigation[J], Journal of Risk Research,2007,10(8): 1007-1025.
[12]L.Lee Colquitt,Robert E. Hoyt,Ryan B.Lee,Integrated Risk Management and the Role of the Risk Manager[J],Risk Management and Insurance Review, 1999,2(3): 43-61.
[13]Lisa Meulbroek.Integrated Risk Management for the Firm:A Senior Management’s Guide[R],Harvard Business School Working papers. 2002.
[14]Casualty Acturial Society Enterprise Risk Management Committee,Overview of Enterprise Risk Management[R].2003.
