时间:2023-03-16 16:29:15
序论:在您撰写风险管理体系论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
引言
自二十一世纪以来,我国高等教育进入快速发展时期,高校数量大幅增加,规模不断扩大,为经济和社会发展培养了大量的人才。同时,高校也呈现出办学主体多元化、经费来源多样化、体制结构复杂、竞争激烈等特点,高校面临前所未有的运行风险。因此,运用风险管理、内部控制等原理和方法,探索和研究高校风险管理基本理论,构建一套符合现代高校特点的风险管理体系,是高校深化改革与进行现代化管理的新方向。
一、高校主要风险因素分析
随着高等教育体制改革的不断深入,高校成为自我承担风险的主体。目前,高校面临的主要风险包括:经营运作风险、安全保障风险等。
1.1经营运作风险
一是政策法规风险。由于我国的法律体系尚在不断变化和完善之中,新的法律法规不断产生,原有的法律遗留问题短期内难以消化,政府的管理政策和行为也在不断变化和调整,这使得高校在发展中面临法规和政策的不确定性。高校管理运作因政策法规的变化或不符合政策法规的要求而承担较大的风险。
二是专业设置风险。随着经济、社会改革的不断深入和产业结构调整的加快,社会对人才的知识层次、专业技能的要求不断提高。为了适应社会对人才的要求,特别是为了吸引优质生源的需要,不少高校在专业设置上存在“三越”现象,即专业越多越好、专业名称越新越好、专业去向描绘得越吸引考生越好,高校的专业设置越来越以市场为导向。但是,市场不是完美的,有自身的许多缺陷。市场虽然能够反映当前的就业状况,却不能充分地指明将来的就业需求。有些专业可能现在非常热门,假如以此为据而扩大招生,谁能够保证四年以后这些专业还是热门呢?由于市场缺陷的存在,以市场为导向进行专业设置,必然会妨碍人们对于人才需求的科学判断。在高校专业招生和专业设置的问题上,也应该“风物长宜放眼量”,不能仅仅把一时的就业市场需求状况作为惟一的尺度,否则就会贻害整个教育发展乃至我国的科学发展。
三是市场竞争风险。首先表现为招生的竞争。由于近十年高校连续扩建扩招,高校数量增加、规模扩大,考生有了更多的选择机会。高校的招生效果越来越取决于高校的知名度、专业水平、学科设置以及所在地区的社会经济发展水平。特别是地方高校之间、民办高校之间的招生大战愈演愈烈,许多高校已经出现了招生难的现象。
二、安全保障风险
一是食品卫生风险。高校是人口密集的公共场所,食品安全尤为重要和敏感。但由于后勤社会化,高校难于监督,高校发生严重食品安全问题的现实风险增加。
二是校园环境安全。高校是开放式的公共场所,人员众多,流动量大,这将给高校的消防安全、治安保卫、事故防范等工作很大的压力。
三是人身心理风险。大学生思想活跃,富有激情,自我意识强烈,但同时思想偏激易冲动,承受挫折能力弱,极易发生心理问题和矛盾冲突,造成严重的后果。
2我国高校在风险管理方面存在的问题
高校在运行和发展中面临诸多风险,但是我国高校风险意识普遍淡薄,多数高校未建立系统高效的风险管理体系,风险应对现状不容乐观。
一是风险管理活动在我国尚处于起步阶段。风险管理作为一门专业的管理科学是二十世纪三十年代在欧美等西方国家逐渐发展起来的,直到八十年代中期才被引入国内。但直到今天在我国仍处于探索研究阶段,仅在一些特殊行业和大中型企业初步应用,远未达到普及推广、广泛应用的程度。
二是高校风险管理意识薄弱。我国高等教育管理体制改革已经进行了多年,高校开始由过去国家统一拨款、统一招生、统一分配的高度集中的计划管理模式向自主化、市场化转变,但仍处于起步阶段,改革还不够深入,原有体制的影响在较长一段时间内难以消除,我国高校的风险意识普遍薄弱。
三是高校尚未建立系统的风险评估管理体系。现阶段,完善的风险管理评估体系在我国还处于空白状态,风险管理还是一个崭新的课题,尚无成功的经验可以借鉴。
三、高校风险管理体系的构成
根据风险管理理论及其实践经验,高校管理体系主要有组织保障子系统、规范标准子系统、风险评估子系统、实施执行子系统组成。
3.1组织保障子系统
一是建立专业的风险评估管理委员会。高校风险管理是一项全面的管理工作,涉及面广,专业性强。必须建立包括财务、管理、信息情报、安全、卫生、法律、等方面的专家技术人员组成的管理委员会,定期进行风险评估工作。
二是制定完善的风险评估管理工作程序。要根据高校自身的特点制定包括风险规划、风险识别、风险评价和风险应对等各环节的工作程序,使高校的风险评估管理工作有序进行。
3.2规范标准子系统
一是规范的风险管理制度。为使风险管理成为高校内部一项经常性的工作,发挥其促进和改善高校管理状态的作用,必须按照风险产生的原因和发展规律,制定适用、规范的风险评估管理制度,这是风险管理工作得以正常进行的基础。
二是科学的风险评估标准。即根据风险评估管理的要求,以强化内部管理与控制为目的制定工作标准,确定风险等级标准,为风险管理提供依据。
3.3风险评估子系统
一是广泛的数据收集网络。运用调查、询问、统计等方法在主要部门和关键控制环节建立数据收集点,对高校运营过程中的行政管理、教育教学、招生就业、资金筹措、安全保障等各主要活动中存在的不确定因素和风险因素进行收集整理,形成分类、量化、系统的数据源,为风险评估提供数据资料。
二是客观的风险评估平台。在这个平台上运用统计、计算、定性等分析方法,对各项风险数据进行识别、计算、分析,得出客观的风险评价结果为高校应对和处理风险提供决策依据。
三是可靠的结果反馈机制。开展风险评估的目的是为了指导高校规避和应对风险,因此必须建立可靠的结果反馈机制,将风险评估的结果及时、准确地反馈给相关管理部门,加快信息交流,保证信息对称。
3.4实施执行子系统
一是恰当的风险应对方案。在对风险因素进行收集、识别、分析、评价,并将评价结果反馈的基础上,还应当根据评价结果,充分发挥服务、咨询功能,为高校决策层提供恰当的风险应对方案,以指导改进薄弱环节,完善管理,堵塞漏洞,规避风险。
二是高效的执行监督措施。决策层的风险应对策略是否得到了执行,执行力度的大小,措施是否得当,也需要进行分析、评估和控制,这就需要执行监督措施。
三是全面的风险管理效果评估。风险管理效果评估是指实施风险管理方案后的一段时间内(半年、一年或更长一些时间),由风险管理人员对风险管理相关环节进行回访,考察实施风险管理方案后管理水平、教学科研水平、经济效益等方面变化,并对风险管理全过程进行系统的、客观的分析;通过风险管理活动的检查总结,评估风险管理方案的准确性,检查风险处理对策的针对性,分析风险管理结果的有效性;通过分析评估找出成败的原因,总结经验教训;通过及时有效的信息反馈,为未来风险管理决策和提高风险管理水平提出建议。
四、高校风险管理工作的基本流程
高校风险管理工作的基本流程一般由风险规划、风险识别、风险评价、应对策略、效果评估等若干环节组成,这些环节相互制约,相互作用,并对高校风险管理的最终效果产生影响。
4.1风险规划风险规划是高校开展风险管理活动的首要步骤。高校要根据面对的竞争压力,分析内外环境及管理现状,制定包括准确的目标定位(如承受风险目标、规避风险目标、控制风险目标等)、具体的应对实施计划(如风险形势估计、风险评估规范和风险规避计划等)、有力的组织机构(如风险管理委员会、风险评估组、风险项目执行组等)、完善的制度保障(如风险管理制度、风险评价标准、风险因素标准等)、合理的经费预算、科学的技术手段(如抽样调查、数理统计、定性定量分析、决策树模型)等内容的风险评估管理规划。
4.2风险识别风险识别是整个风险管理过程中最重要、最困难的环节。如果不能及时识别高校面临的风险,就不可能控制与规避风险。因此高校风险管理人员必须通过绘制流程图、制作风险档案、开展风险调查、财务报表分析等科学方法对高校运营过程中可能发生的风险因素进行预测、感知和统计,识别高校面临的风险源,判断预测的风险是否存在,以及这些因素的影响程度。
4.3风险评价风险评价包括对风险成因、发生概率、危害程度、损失大小、预期时间等因素进行定量与定性分析等过程,是高校风险管理体系中最主要的环节。通过对所有潜在风险的发生概率,规避或减小风险的可能性估值等数据进行测算、分析和评价,并与高校决策层能够承受的公认的安全指标进行比较,得出风险评估结果,并决定是否风险预警。
4.4应对策略在风险评估的基础上,从改变风险后果的性质、风险发生的概率和风险后果大小等方面,提出处置和应对风险的意见、办法和措施供决策层选择:
一是风险规避。在风险事故发生之前,高校可以采取适当的手段,将风险因素完全消除,避免可能造成的损失,这是一种最简单同时也是最彻底、最有效的反相应的策略。
二是风险转移。在不能完全避免风险的情况下,为了避免承担风险损失,高校可在法律和道德允许的范围内有意识地将可能发生风险的项目或后果转嫁给其他组织或个人,这种风险应对策略必须遵循让风险承担者得到相应回报以及谁有能力管理风险就由谁分担的原则。
三是风险预防。即在风险发生之前,高校可以采取消除或减小风险因素的措施,以达到降低风险发生概率,减轻损失程度的目的。
四是风险控制。在高校面临不能回避或转移的风险时,高校可以采取各种技术手段,降低风险损失的程度,达到控制风险的影响范围和后果大小的目的,这也是一种积极的风险应对策略。
五是风险承受。在风险管理过程中,当发现所有应对方法的成本费用可能超过潜在风险事件造成的损失时,高校可以采取留置消化风险,自行承担风险损失的应对策略。:
六是风险应急。针对可能发生的风险,还应当事先制定应急预案,及时应当无预警信息的风险事件发生。这个风险应急方案应该包括重大、突发风险事故发生后高校应做出的正确反映、补救方案和实施步骤等内容,一旦发生突发事故,高校能以最快的速度,最好的效能,有序地实施救援,最大限度减少风险事件的影响。
4.5效果评估
对高校风险管理体系的各个环节进行效果评估是高校风险管理活动降低成本,提高效率,改善效果的重要步骤,是有效预防和规避风险的重要手段。
一是对高校风险管理体系中的计划安排、目标设定、程序步骤进行评估,以促进该体系的科学性和前瞻性。
二是对高校在风险管理中的机构设置、人员配备、管理制度、规范程序等进行评估,以评价该体系的安全性和完善性。
三是对高校风险管理体系中在数据采集、风险识别、风险评估、风险应对等各个环节中所采用的技术手段、方法措施是否实用、先进、可靠等状况进行评估,以评价该体系的稳定性和有效性。
四是对高校风险管理体系中的资金预算、运行成本、降低损失或带来的收益进行评估,以评价该体系的经济性。
总之,高校开展风险管理能有效地预防、规避、和控制风险。虽然高校的风险管理工作还处于实验探索阶段,但开展风险管理的效果还是显而易见的,特别是在公办高校普遍缺乏风险意识的情况下,强调高校的风险管理工作有非常重要的现实意义。
参考文献:
[1]孙星.风险管理.经济管理出版社[M].2007,(1).
[2]罗璎珞、李晓勇.风险评估实施过程中的影响因素[J].计算机安全,2004,(8).
[3]马玲玲.从风险管理看如何加强企业内部控制[J].内蒙古科技与经济,2005,(9).
关键词:内部审计;风险管理
每个组织的存在都有其目标,在实现目标的过程中,存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,从而为企业增加价值。
1企业风险管理体系简介
企业风险管理(EnterpriseRiskManagement,简写为ERM)的实质是企业有效利用各种资源,以战略的方式管理风险,使企业在多变的环境下以稳健的方式运作,从而获得增加价值的机会。在全球竞争激烈的市场中,任何企业都处于动荡多变的环境之中。企业面临的风险越来越多,风险引发的损失规模也越来越大,这些都促使企业对风险管理给予高度的关注。要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。
(1)内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,包括建立企业的风险文化,制定明晰的战略、目标,明确企业的风险责任人和利益相关者,使用统一的风险语言,为其他风险管理要素打下基础。
(2)目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。
(3)事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。
(4)风险评估。评估风险是ERM执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险地图。评估风险事件的方法有很多,如定量方法、定性方法,企业可以根据自身的具体情况来制定自己的评估方法。
(5)风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企
业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。
(6)控制活动。控制措施就是在接受风险的情况下,评估因接受风险所带来的额外费用和保险费用,评估因控制带来的管理成本和回报。在降低风险的情况下,明确所需的控制活动,评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为,调险地图。风险发生的可能性和频率是很难改变的,最有效的就是通过对风险管理成本的控制,将风险尽量降低到企业可承受范围以内。
(7)信息和沟通。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的ERM报告。在风险活动中发生的成本费用和控制活动。其次要沟通ERM的有效性和成本费用。保证在企业中有定期的ERM报告,尤其是包括员工的责任义务完成状况以及对ERM的检查情况,CRO和其他重要的执行官要对ERM的有效性和成本加以测量和存档,同时明确向董事会和执行官报告的责任和途径。
(8)监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确ERM可以给企业带来的利益与价值,了解风险评估的正确性,为下一次的评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。
从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。转贴
2内部审计在风险管理中的作用
根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计可以发挥以下作用:
(1)内部审计人员熟悉公司业务并能够随时深入到生产经营的全过程去了解掌握具体情况,收集大量的第一手资料,从中发现存在风险的隐患问题,进行风险分析,提请管理层注意风险管理和控制等的相关建议。
(2)内部审计通过咨询服务方式积极协助公司进行风险管理过程的建立。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。
(3)内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。
①评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致,应进行报告。
②评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同,风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来,规模大的、在市场筹资的公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
(4)内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。在现代企业制度下,公司全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上查找问题,分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
3将企业风险管理融入内部审计程序
在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。
(1)在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。
(2)确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。
(3)编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。
(4)在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。
■中国银行业风险管理体系失效,亟待反思风险管理的方法、目标及体系构建
■实施内部评级体系离不开完善共享数据库等基础设施
■任何脱离现实的硬性与国际风险管理惯例接轨的做法都只能形成障碍。
在现代商业银行经营管理中,风险管理处于核心地位,风险管理能力实际上构成了银行核心竞争力的主要基础。衡量一家银行的关键主要是看其能不能驾驭风险,能承受多大程度的风险,如何通过所具有的组织框架来认定、判断、识别和管理风险。
从目前的实际情况看,中国银行业的风险管理体系基本属于失效的风险管理体系,不论是解决目前的风险还是应对未来风险环境的挑战,商业银行风险管理体系都存在严重的先天不足,特别在以下4方面面临着现实抉择。
风险管理方法:艺术还是科学?
银行的风险管理在目前仍然被认为只是一门艺术,而尚未发展成一门真正的科学。这是由目前通行的风险管理技术本身所决定的。然而,巴赛尔银行监管委员会所倡导的内部评级法是一种依据过去而预测未来的基于统计的方法,而由于管理环境和经济基础条件的持续性变化,以过去的数据为基础并不能对未来进行准确的判断,甚至还可能造成误判。
代表了目前国际银行业较为先进风险管理水平的内部评级法,旨在通过风险敏感度更高的监管资本要求来影响银行的行为,促使银行强化风险管理能力,从而增强整个银行体系的安全性与稳定性。在设计内部评级法的过程中,巴赛尔委员会借鉴了国际银行业近年来开发的多种现代信用风险管理模型的经验,即在对信用风险的处理上采用风险价值的基本思想。具体来讲,就是运用VaR来确定监管资本要求和在资产组合层面上处理信用风险,并在风险权重函数、期限调整因子的确定、风险集中度的调整以及风险要素的估计等方面广泛地运用了这些模型的理念。
内部评级法体现了国际银行业风险管理的发展趋势,具有如下特点:
■从定性分析转向定量分析;
■从计分卡向模型化转化,并寻求二者的有机结合;
■从单项贷款分析转向组合分析;
■从盯住账面价值转向盯住市场价值;
■描述风险的变量从离散型转向连续型;
■尝试考虑宏观周期对信用风险的影响;
■广泛汲取相关领域的最新研究成果,如保险精算理论、神经网络理论等,并结合运用计算机大容量处理技术。
国际银行业开始大量开发、使用并依赖于各种风险模型以识别、衡量并管理风险及进行决策始自于上个世纪70年代,经过30多年的发展,风险模型已经广泛应用于企业风险管理、经济资本与监管资本配置、银行系统信用风险、信托资产管理及内部获利能力等方面的衡量,并且发挥了一定的作用。但现有的模型也显示出了一些缺陷和不足之处。
特别要指出的是,风险管理模型本身并未将金融业变成一个更安全的世界,甚至可能带来模型风险。
任何分析工具都是人类智慧的产物,它们都试图通过有限变量的模型来描绘真实世界。但一个模型可能会抓住它所描绘的真实世界的大部分特征,但也可能同时会忽略掉一些重要的内容,而且模型还可能会逐渐改变市场行为,从而使模型本身失去作用。
国内外的研究表明,在模型应用的实践中,当银行的经营者使用模型不当、或依据了错误的数据估计或夸大了模型解释能力时,有可能会导致银行信誉与获利能力水平严重恶化,这种现象被学界和业界称为模型风险。
这一现象包含了两方面含义:一方面,就现有的模型能力和现实世界的复杂性来看,由于真实世界要远远复杂于任何我们能够创建的用以描述它的数学模型,因此我们有可能采用不恰当的模型来描述真实世界的风险。另一方面,即使我们选择了正确的模型,但由于数据过时、出现偏差和错误,实际业务也可能与模型的前提假设相互脱离从而造成银行操作中的模型风险。巴赛尔银行监管委员会成立的模型工作组对10国集团国家商业银行内部评级体系现状的调查表明,国际银行业主要有三类评级过程:基于统计方法的评级过程;部分基于专家判断的评级过程;完全基于专家判断的评级过程。
只考虑各种定量技术(如信用评分模型)的内部评级体系和完全基于贷款和信用人员的个人经验以及专业技能的内部评级体系,这只是两种极端的做法。
大多数国际先进银行根据多年的风险管理实践得出了如下结论:即使在根据模型进行等级评定的系统中,个人的经验也起着非常重要的作用,例如信用评估人员或贷款评估人员就可能会根据个人经验来模型所评定的等级。此外,在开发、实施这些模型以及构建模型的输入参数等方面,个人的专业技能也是一个重要的前提条件。
在所考察的银行中,绝大多数银行都表示,在内部评级体系中使用了大量的主观判断因素,其中对这些因素的相对重要性并没有正式的约束。半数以上的银行是利用专家对大型公司进行内部评级,而在所有基于无约束专家判断的内部评级过程中,评级人员在进行等级评定时,都可以使得最终等级明显偏离于统计模型所给出的结果。
总之,在风险管理模型尚未完备之前,具有丰富管理经验的风险专家仍将发挥不可替代的作用,银行风险管理在较长的时期内还会属于管理艺术的范畴。
风险管理目标:效益还是风险?
效益与风险是一对对立统一的矛盾体,现代银行的本质是通过管理风险来取得收益。但从国内商业银行近年的管理实践来看,存在着通过缩小信贷规模来降低风险的趋势,甚至在某种意义上引发了困扰国有商业银行的流动性陷阱问题。2002~2005年我国银行业贷款复合增速率达到12.6%,其中增速最快的是股份制商业银行和城市商业银行,分别达到27.2%和21.6%,国有商业银行在此期间的增长速度却仅有8.3%。
风险作为一个永恒的主题,时时存在于银行的各个层面,随着国内存款比例的不断上升,银行风险主要表现为流动性过多带给商业银行的困境。自2000年以来,国内商业银行由流动性不足转为流动性过多,特别是2005年以来,金融机构流动性相对过多的问题越来越突出。截至2005年9月,中国银行业存差资金9万亿元,是2000年的3.7倍。
流动性相对过剩,将导致银行业过度竞争,盲目追逐大户,非理性降低贷款条件和下浮贷款利率,从而放大信用风险和利率风险。将过高的流动性投向资金和货币市场,也将导致货币市场主要投资工具利率持续走低甚至与存款利率倒挂。由于流动性过剩涉及到金融市场很多方面的问题,故影响性及牵动性极大。社会资金过多涌入银行,将使银行业金融资产被动性膨胀,收益率持续下降,使得中国的银行业面临前所未有的流动性风险。
商业银行还通过另外一种方式来规避风险在短期内的凸现,那就是从结构上加大中长期贷款的比重。2004~2005年底,中国银行业短期贷款比重由42.16%降到43.64%,下降了5个百分点,而中长期贷款的比重则由42.96%上升到44.93%,上升了2个百分点,且逐季上升。在银行分类中,国有银行的中长期贷款比重较高,为56.6%,超过53.9%的定期存款比例;尽管股份制银行的中长期贷款比重略低,为46.2%,且低于定期存款47.33%比例,但出于避险等目的,股份制银行也在逐季不断提高中长期贷款的比重。
按照新资本协议中的要求,商业银行必须广泛树立全面风险管理的理念,任何业务部门和人员都要树立风险观念,都有责任控制本部门和本岗位的风险,并为推行全面风险管理的流程、组织、机制和体制奠定基础。同时必须认识到,加强风险管理与提升经营业绩是相得益彰,加强风险管理会降低不良贷款率和风险成本,能按季收到足够多的贷款利息,从而提高创利水平和经营业绩。讲拓展必须要权衡数量质量、成本收入、风险效益、投入产出的关系。在注重业务发展的同时,必须将风险管理的理念贯穿到业务操作的各个环节,既要有效益观念,也要有风险观念、成本观念。
风险管理体系:引进还是自建?
中国银行业风险管理体系刚刚进入打分卡阶段,多数中小银行的发展程度更低,有的还停留在分析模版阶段。与发达国家先进银行相比,中国银行业的差距不仅仅是资本充足率低、风险评级处于初级阶段等方面,还有更多方面,既有体制上的差距,更有机制、观念、文化、技术、理论、工具、模式、管理上的差距。
就内部评级体系来说,它不仅仅是一个分析模型和计算机系统问题,它涉及客户评价、项目评价、资产五级分类、资产组合分析和信贷政策等多方面内容。而中国银行业目前还只是从信誉、履约记录上粗略地考察客户,而不是以风险为核心进行深入分析。信用风险管理部门、审批部门等后台部门对客户风险评级具有的权限,以及如何应用评级结果进行决策和管理,目前仍不是十分明确。项目评价、债项评级、市场风险分析等功能,更是散落在多个部门手中,并未形成统一的模式和完整的体系。数据基础是内部评级体系能否成功运行的保证,包括数据完整性、数据质量和管理信息系统(MIS)等三个方面。中国商业银行开展内部评级的时间不长,数据储备严重不足,且数据缺乏规范性、数据质量不高。首先,许多客户的财务数据可能不真实或不够准确;其次,评级基于客户过去的财务指标,缺乏对现金流量的分析和预测,使评级结果不能反映客户未来的偿债能力;第三,指标的权重设置主要依据经验或专家判断,主观因素影响较大,降低了评级结果的准确性;第四,评级过于依赖企业自身的财务数据,对宏观经济周期、行业和地区风险的分析不足,指标设置缺乏预警功能,导致评级结果对风险的敏感度不高,难以及时反映客户信用状况的变化。同时,缺乏统一的数据仓库和现代化的管理信息系统及其相应的数据接口,无法满足包括风险评级在内的各种管理工具的数据需要。
巴赛尔新资本协议规定,采用内部评级法初级法的银行至少需要5年的数据来估计违约率(PD),而采用内部评级法高级法的银行至少需要7年的数据来估计违约损失率(LGD)。由于中国建立内部评级体系的时间尚短,目前最缺的就是数据积累,特别是缺乏一个完整的经济周期的数据,难以进行合理的压力测试以及对评级结果的返回检验,这几乎是所有银行面临的最大困难。
针对这种现状,国内商业银行的内部评级体系构建究竟应该选择什么样的路径呢?完全照搬国外的管理模型存在着模型风险等水土不服的问题;全依靠自己又缺乏相应的人力资源基础和足够的数据;将项目采取外包的方式即不符合中国的国情,也存在数据的安全性等问题,况且国内尚不具备能为商业银行提供这一服务能力的外部机构。不论以何种方式外包,其结果还将是由国外的机构来完成最终的工作。
从国内商业银行实践看,工商银行的内部评级法构建似乎走出了一条相对成功之路:那就是依靠外部机构根据国际经验提供需求,同时工行内部人员参与评级体系构建全过程,以达到培养自有人才之目的。最后再由工行的相应技术部门完成评级体系的设计和构建等工作。这一做法既保证了自有人才队伍建设和数据安全,同时也使其体系的设计水平达到了与国际水平的充分对接。
风险管理信息系统:独立还是联合?
风险管理体系是指战略、政策、模式、组织、文化等一整套体系。有效的风险管理体系要适应风险环境,并渗透在商业银行经营活动的各个环节层次。目前国有商业银行风险管理体系基本形成,但是在协同、贯彻以及风险文化建设等方面较为薄弱。
特别需要指出的是,有效风险管理的重要基础是风险管理信息系统。只有具备有效的风险管理信息系统,才能识别、度量和分析风险,制订正确的管理措施并落实风险管理责任。信息系统包括存储客户基本信息、财务信息、经营管理信息、信誉记录、账户交易记录、合同信息的客户数据库,存储宏观经济、产业经济、金融市场等信息的环境信息数据库,存储自身资产品种、数量、质量、分布的数据库,以及建立在规范、完整、及时、准确的数据信息基础上的计量、分析、评估、处置系统。目前,有效的风险管理信息系统已成为国有商业银行实现现代风险管理的最大瓶颈。
新资本协议所倡导的内部评级法是建立在广泛收集、总结各国成熟经验、经过充分讨论后提出的最基本的标准,对评级的主要环节给出了详细的指导,具有相当的先进性、实用性和可操作性。
【关键词】内部控制;风险管理;公司治理;战略管理
受美国2002年出台的萨班斯——奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。
本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。
一、内部控制、风险管理的理论发展及其关系
(一)内部控制理论的发展
20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
2002年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。
我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。
(二)风险管理理论的发展
企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。
我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。
(三)内控体系建设与全面风险管理工作的联系和作用
全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。
二、宝钢在内控体系建设领域的实践
宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。
内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。
在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。
三、宝钢在风险管理领域的实践
宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:
(一)以法人治理为基础,建设风险管理的组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。
(二)与管控模式相结合,制定风险管理策略和流程
宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。
因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。
(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
四、整合的风险管理框架设想
通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统:
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。:
(二)风险管理系统应与公司战略管理系统相整合
风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
【主要参考文献】
[1]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[2]吴轶伦.内部控制自我评价[J].上海财经大学学报,2004,(4).
[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会,2006,(3).
[4]方红星.内部控制审计组织效率[J].会计研究,2002,(7).
[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社,2001.
[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3).
[7]朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003,(6).
[8]金或日方,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究,2005,(2).
[9]严晖.风险导向内部审计整合框架研究[M].中国财政经济出版社,2004.
[10]宋夏云.现代风险导向审计模式的背景分析与理论创新[J].中国审计,2005.
[11]胡春元.审计风险研究[M].东北财经大学出版社,1997.
论文摘要:风险管理能力已经成为商业银行生存与发展的核心能力之一。伴随着全球金融一体化进程的加快,商业银行面临的经营风险越来越复杂,与外资银行竞争的日趋激烈,中国商业银行业固有和新增风险进一步加大,银行业管理的内外部环境也更加复杂多变。面对越来越激烈的竞争环境,如何全面提高自身的竞争力,构建完善的风险管理体系,提高对金融风险管控的水平,是中国银行业尤其是商业银行迫切需要解决的重要问题。经济资本的引入将有助于我国银行提高经营管理水平,增强自身决策能力,取得较高的利润回报率。推进全面风险管理体系建设,实现资本的合理配置。
论文关键词:经济资本商业银行风险管理
经济资本的数量额度和管理机制决定了银行的风险容忍度和风险偏好,通过经济资本在各类风险、各个层面和各种业务之间进行分配。可以清楚地显示不同地区、部门、客户和产品的真实风险水平,实现资本与风险的匹配,防止业务的盲目扩张,从而推动资源分配机制的不断完善。
一、经济资本的含义以及计量
经济资本又称风险资本、风险经济资本,是基于银行全部风险的资本,是一种虚拟的、与银行非预期损失等额的资本。银行业务的风险损失分三类:预期损失、非预期损失和异常损失。银行资产损失曲线见图1。
损失概率分布
预期损失(ExpectedI.oss,EL)是指银行从事某项业务所产生的平均损失,计算公式为:EL=AE×LGDXEDF其中:AE为风险敞口;LGD为违约时的真实损失率;EDF为预期违约率。一般以准备金计入银行经营成本或在产品价格中补偿,已不构成真正的风险。灾难性损失发生概率极低,但损失巨大。非预期损失额就等于经济资本。也可将非预期损失称为经济资本。
经济资本的计量是经济资本管理的核心,也是经济资本配置、计算风险调整后资本回报率(aAROC)及经济增加值(EVA)的基础。依照现代商业银行所面临的主要风险,经济资本也可相应地分为覆盖信用风险的经济资本、覆盖市场风险的经济资本与覆盖操作风险的经济资本,其计算基本公式为:经济资本=信用风险的非预期损失+市场风险的非预期损失+操作风险的非预期损失一重叠计算的损失从数量上来看,在其他条件不变的情况下,银行管理者总是希望银行需要持有的经济资本越少越好,越少的经济资本表明银行实际承担的风险水平越低。
二、经济资本在商业银行风险管理中的应用
2006年底开始生效的《巴塞尔新资本协议》指出,资本作为银行抵御风险的最终保证,应在所有敞口上得到合理配置,资本配置的基本原则是将资本要求与风险度量直接挂钩,这是新资本协议基本框架第二支柱内容的一部分。
(一)样本数据的采集
以某大型国有控股商业银行一地级市分行为例,该银行2002年7月至2007年1月发生的全部公司贷款数据,共有370笔贷款。其中2007年1月31日仍具有余额的贷款227笔,没有余额的贷款143笔(已到期并本息结清)。将具有余额的227笔贷款作为一个组合,计算其非预期损失,其中11笔贷款已到期但本息未全部偿还,作违约处理。我们需要估计在2007年1月31日这一时点各债务人的年违约概率,并在这一时点计量该贷款组合的非预期损失。
(二)违约概率的估计
该银行已建立了客户信用评级系统,根据债务人的信用评级与其年违约概率之间的映射关系,可以分别确定2007年1月31日这一时点各债务人的年违约概率(见表1)。
(三)违约损失率的估计
我们采用该行上一期,即1998年1月至2002年6月的违约损失率38.2461%作为该分行2002年7月至2007年1月发生的公司贷款的预期违约损失率的估计值。按照加权平均的方法进行频带划分并要求每个频带内的贷款笔数不少于10笔,将贷款组合划分为8个频带,计算结果如下(见表2):
(四)样本数据的分组以及频带的划分
一旦确定了频带,便可估计出各频带内的预期违约个数和预期损失,并计算出贷款组合的违约损失分布。将不同频带内的贷款项目作为一个整体计算整个贷款组合的违约损失分布,使用聚合信用风险模型结合表2的参数,计算得出整个贷款组合损失为1×L的概率P(1oss=n×L),n=0,1,2……从而得出损失分布图.如图2所示:
根据违约损失分布图计算出贷款组合的预期损失和在置信水平=99.9%下的非预期损失,结果如表3。
根据《巴塞尔新资本协议》所要求的置信水平99.9%,计量出该贷款组合应配置的经济资本为12510.7万元。另外,按照预期损失的计算公式:预期损失(EL)=风险敞口(EAD)×违约概率(PD)×违约损失率(LGD),计算出的预期损失为5269.012万元,与表3中的预期损失5339.300万元相差不大,说明该方法是可行的。
三、在现阶段中国商业银行经济资本运用过程中应注意的问题
第一,在管理上,某些地方的银行就存在着重理论、轻操作,重宣传、轻落实,重推广、轻实践等问题。日常工作中,更多地关注表内贷款管理,对经济资本的管理幅度不能涵盖银行全部风险;与财务和资产风险的管理衔接性不够;较注重风险资产经济资本的事后定量计量,而不具备资源配置和预算管理的功能,没有形成对风险资产和资本回报的有效约束机制。
第二,在考核方式上,由于各行的考评办法与银监会《商业银行资本充足率管理办法》对资本的要求存在资产分类不一致、资本要求比例存在差异,所以导致和以经济增加值为核心的事后考核机制仍然不是刚性的资本约束,在一定程度上误导了经济资本的导向性作用。
关键词:商业银行;风险管理
一、商业银行风险管理的新变化
金融是现代经济的核心,银行业是金融的重要组成部分。商业银行的基本使命就是以承担风险和管理风险来获取收益。美国花旗银行前总裁沃特·瑞斯顿曾指出:“银行家的任务就是风险管理,简言之,这也是银行的全部业务。”
随着整个风险管理领域的迅速发展,商业银行风险管理也在不断发生变化,从而现代风险管理也表现出与传统风险管理不同的特点。主要表现为风险管理环境和风险管理方法的改变。
(一)风险管理环境变化
近年来随着我国金融体制改革的深入推进,我国利率、汇率及股票价格市场化进程不断加快,如何应对市场化条件下这三大风险变量的变化,对商业银行的风险管理提出了更高的要求。同时,随着金融业内部的行业结构整合力度的加大,银行、证券、保险、信托等行业混业经营的趋势越来越明显,出现了一些集银行、证券、保险、信托业务于一身的集团化金融机构,在我国当前仍实行金融业分业监管的体制下,无疑使商业银行所面临的风险更加多样化和复杂化。
随着我国加入世界贸易组织,2006年我国银行业全面开放,由此而带来的国际竞争将使得我国商业银行风险管理面临着更为严峻的挑战。激烈的市场竞争导致了市场大量创新金融产品的出现,金融创新产品的出现,使得市场的结构更加复杂,商业银行理解和认知新产品的难度也随之加大。
(二)风险量化度量和管理方法的革命
传统的风险管理主要采用管理的主观经验判断和定性分析的方法,缺乏科学的定量分析方法及手段,较少使用风险的量化模型,难以解决当前金融市场出现的各种新情况和新问题。随着现代金融理论的发展以及金融创新速度的加快,风险度量和管理这一领域正经历着一场革命性的变化,尤其VaR、CSFP、KMV等大量先进的现代风险管理技术与工具的出现。这些风险管理技术的出现才使风险定价、信用衍生产品和资产证券化以及金融机构整体经济资本配置和全面风险管理得以迅速发展,风险管理决策的科学性不断增强。
二、我国现行银行风险管理的缺陷
近几年来,我国的银行在风险管理方面取得了长足进步,各银行高级管理层不再只盯着贷款业务,风险部门不再只擅长于管理风险,交易人员也不会谈衍生产品而色变。但是与国外同行相比,我国银行还存在较大的差距。主要表现在以下几个方面:
(一)银行风险管理的组织架构还不完善
在我国,许多银行并没有制定科学合理的风险治理规划,一些银行在组织结构设计上也存在缺陷。尽管大多数银行在表面上已经建立了多种风险类型的管理委员会,但他们的风险管理委员会在数量上要么太多,要么不足,而且都没有明确各自的职能和责任。由于各委员会的职能和责任划分不够明确,也就难以避免管理上的重叠与缺口。
(二)风险管理信息系统建设滞后
风险管理信息系统是风险管理的主要依据,是提高风险管理水平的有力的技术保证。但是,由于我国商业银行风险管理的起步时间较晚,导致积累的相关基础数据不足。同时,由于我国还没有建立起完善的公司治理结构和信息披露制度,使得不少企业的财务数据存在基础数据收集困难、公布出来的数据存在一定程度的失真等问题。而且,我国商业银行在信息系统开发上缺乏前瞻性和不连续性,这些都制约了风险管理模型的建立。
(三)风险量化管理技术落后
目前,我国商业银行在风险管理技术方面还停留在最初阶段。虽然有少数银行自主开发出了模型,但都很简单,而且并未得到实践的检验。一些关键风险管理参数及计量模型,如预期损失(EL)、经济资本(EC)、风险调整后收益(RAROC)等并没有被大部分商业银行所采用,商业银行的市场风险管理更多停留在制度建设与资金计划层面,一些先进的风险量化模型与技术还没有得到普及与有效应用。
(四)风险管理工具缺乏
自上个世纪70年代以来,国际金融衍生产品市场发展迅速,已成为商业银行规避风险、获取收益的重要工具,促进了金融市场稳定发展和金融创新的开展。然而,目前我国既缺乏成熟的金融衍生品市场为商业银行提供对冲利率风险、汇率风险、信用风险的平台,也没有成熟的资产证券化市场供商业银行通过贷款证券化、贷款出售转移风险。衍生金融产品的缺乏,极大限制了我国商业银行通过多样化资产组合来降低风险的可能性,明显制约了我国商业银行风险管理的现代化进程。
三、加强我国商业银行风险管理的途径
(一)完善商业银行的治理结构
公司治理是对公司的管理层、董事会、股东和其他利益相关者之间权利与责任的制度安排。治理结构是商业银行风险管理的原动力。公司治理从根本上决定了管理层和董事会在公司管理活动中的基本行为方式和利益关系,是商业银行实现全面有效的风险管理的决定性因素。良好的治理结构是商业银行开展风险管理工作的前提条件。我国商业银行可以借鉴国际上先进银行的做法,在制度上建立起现代治理结构和有效的内控体系,这包括建立起有效的风险管理体系、严格的内审制度以及独立董事制度等。
(二)加强对现代风险管理知识和技术的学习
20世纪90年代以来,伴随着现代金融理论知识的不断发展以及金融创新速度的加快,出现了大量先进的风险管理技术与工具,使整个金融体系运行的稳定性得到了很大的提高。是否采用科学先进的风险管理技术与工具,已经成为反映风险管理能力高低的重要标志之一。从实践来看,国外先进银行在风险管理技术方面都具有雄厚的实力和巨大的优势。因此,我们必须不断学习西方先进的商业银行风险度量和管理技术,尤其是建立现代风险度量方法和现代风险度量模型,开发适合我国国情的风险计量工具。
(三)加快风险管理信息系统建设
高质量的风险管理信息系统是银行开展风险评估的重要依据。通过风险管理信息系统的建设,大量的计算、对比监督工作都可以通过计算机自动完成,有利于提高风险管理的效率,并且使得许多以前很难开展的风险监控手段变成现实。我国的商业银行要尽快按照巴赛尔协议的要求建立起独立的、高质量的数据库,加强基础数据的积累,并及时更新数据信息,为国内银行风险的度量和检测提供基础数据支持。同时要不断加大对银行信息系统建设的投入,确保信息系统开发的前瞻性和有效性,使信息系统最终能涵盖银行的所有业务。
(四)加强对商业银行的监督管理
我国的金融监管在一定程度上滞后于实践的发展,为加强对商业银行的监督管理,保障金融安全,需要立法机关和相关的监管部门共同努力。在立法过程中,应进一步加强规划性、系统性、针对性和可操作性,切实提高立法质量。银行监管机构应当要求银行建立有效的风险控制系统,以及时识别、度量、监督和控制风险的发生。监管者应对银行与风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,还要监督检查商业银行是否建立了完善的风险管理组织体系,是否按要求对相关信息进行了披露以及风险管理部门是否履行了风险监管职责等。
参考文献
[1]黄丽珠.《市场开放条件下中国商业银行核心竞争力与合规风险管理》,金融时报,2007年1月8日.
[论文摘要]风险导向审计是一种在审计实践中产生的,为了适应现代社会的高风险环境,以风险评估为中心的审计模式。当前,我国对现代风险导向审计这一先进、新兴的审计技术的理论研究和实务运用与国外相比还有一定差距。为了缩小这一差距,加快现代风险导向审计在我国的研究和运用,本文对现代风险导向审计在企业风险管理中的应用进行了研究。
在企业风险管理中,旧的内部审计模式已不能满足要求,呈现出一些局限性,如:制度导向审计模式着眼于对内部控制制度及其执行整体情况的了解和分析而对企业风险因素关注不够;注重内部控制,忽视企业目标,导致过度控制日益严重。因此,新的审计模式在企业风险管理中便应运而生,现代风险导向审计理论及其应用的研究己成为国内外审计理论界与实务界广为关注的前沿课题。一些国际著名会计师事务所在与学术界的合作研究中,己取得了令人欣喜的成果,并不断把它运用到实践中。审计模式已发展至现代风险导向审计阶段。2003年国际审计与鉴证准则理事会(IAASB)颁布了新风险准则,以推动风险导向审计的变革。现代风险导向审计作为一种新的审计方法更作为一种新审计理念,成为备受审计职业界关注的热点。它代表了现代审计方法发展的最新趋势,是社会经济发展的必然要求。本文对风险导向审计在风险管理中的应用进行了探讨。
一、风险导向审计应用中存在的问题
(一)注册会计师的综合素质存在较大的差距
实施现代风险导向审计方法,要求注册会计师具有判断企业是否具有生存能力和合理的经营计划的能力。注册会计师不仅要熟练掌握会计、审计知识,也要掌握管理知识、行业知识和法律知识等,还要熟练运用各种分析工具对各种财务指标和非财务指标进行分析。目前我国会计师事务所90%以上的业务是审计业务和会计业务,没有经济、法律和管理方面等多元化的背景。注册会计师不了解企业的经营状况,不了解相关行业,不懂得管理、行业等方面的知识,不具备运用数理统计方法的能力。这些都不利于现代风险导向审计方法的实施。
(二)相关数据积累不够,信用体系不尽完善
实施现代风险导向审计方法,注册会计师必须要掌握宏观环境、监管环境、行业状况以及企业经营战略等方面信息,判断企业的诚信,评估企业的经营风险,则要求会计师事务所应该建立功能强大的数据库,以满足注册会计师了解企业的战略、流程、风险评估、业绩衡量和持续改进的需要。现阶段我国很多企业的会计信息严重失真、公司治理和内部控制很不完善,注册会计师对行业风险和企业经营风险缺乏了解,数据积累严重不足。另外,我国的信用体系还没有完全建立起来,没有信用指标,很难判断企业的诚信。由于数据积累不足和信用指标的缺乏,影响了现代风险导向审计方法的实施。
(三)审计成本有所增加
实施现代风险导向审计方法,首先需要培训注册会计师,使他们熟悉业务流程等有关方面的知识,这就需要有一定的投入。实施现代风险导向审计方法初期,在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,必然导致工作时间和审计成本的增加。会计师事务所总是要讲求成本与效益的,成本能得到补偿是实施好新的审计模式的前提。在会计市场竞争激烈的情况下,成本的增加往往不可能与收费的增加同步,这就有可能因为注册会计师实施的实质性程序有限,在没有发现内部控制存在缺陷或测试内部控制不充分的情况下,增加审计风险。
(四)建立风险评估体系中的问题
审计风险评估体系的设计虽然有其可行性的分析,但是一定的程度上仍然存在大量的需要解决的问题。①在指标体系设计中,应该包括非财务指标,多设计出新的非财务指标,并要注意财务指标与非财务指标的相互协调。新的评估指标体系还应同时兼顾企业经营过程和结果,应包括反映企业人力资源素质变化及人员周转的指标,应与企业竞争策略相结合,应该做到短期效益与长期效益相结合,尤其应该注重设计反映长期效益的指标。②尽管非财务指标很重要,但为了避免非财务指标主观性和易于操纵的特点,企业应该考虑加强这些非量化的财务性指标的可行性。③根据权变理论,当企业的竞争策略、经营环境改变时,指标体系也会随之变化,即应随时评价指标体系的适用性,所以所建立的新的评估体系应该有一定的灵活性。④风险导向审计在我国还刚起步,我国当前事务所法律风险普遍很低,审计人员缺乏运用风险审计技术提高审计质量的动力,加之比较完善的风险审计运用方法尚未形成,短期内还很难提供高质量的风险审计技术。
二、风险导向审计在风险管理应用中的策略
(一)大力提高注册会计师职业判断能力
审计是一种依靠经验和知识进行判断的职业,审计风险要素的评估、审计证据的收集等,都主要依靠注册会计师的职业判断,存在很强的主观性。注册会计师的职业判断是审计工作不可或缺的关键因素,并对审计质量产生重要影响。而我国注册会计师一般专业知识较扎实,但缺乏丰富的职业经验,职业判断水平不高,特别是在涉及审计风险的时候。因此,应通过后续教育和工作培训来强化注册会计师的风险意识,增强注册会计师在审计风险评估和控制方面的职业判断能力,使其以应有的职业谨慎态度和超然独立性执行审计业务,从而降低审计风险。
(二)做好新的审计风险准则的衔接和培训
职能部门应加大对新审计风险准则和方法的宣传与培训,让会计师事务所和社会公众理解和接受新的风险审计准则和方法。对审计人员的培训不仅应该包括审计风险准则的内容和要求,还应包括审计小组人员配备、风险评估技术、新进员工的培训和后续教育等相关内容。对社会公众而言,审计职业应该积极地估计公众的预期,尽可能地使社会公众了解财务报表审计不是舞弊审计,审计人员只是对财务报表提供高可靠性的保证,并不是专门追查舞弊。
(三)通过参加职业责任保险抵御审计风险
由于独立审计是一个具有高度社会责任和高度执业风险的行业,会计师事务所即使已足够重视对审计风险的管理,也仍要承受一部分风险。而且随着与审计相关的法律制度的建立健全,会计师事务所的民事赔偿责任不断增大,因此,会计师事务所应采取一定措施抵御审计风险。我国大部分会计师事务所采取了提取执业风险基金的做法,把审计风险引起的损失平均分摊到各个时期,在会计师事务所内部化解的方法。而国际会计师事务所通行的做法是参加职业责任保险,它可以将注册会计师行业的资金积累起来,由全行业共同承担职业风险事故造成的损失,发生事故后的赔付能力可以满足社会公众的需要。这样,不仅可以提高自身的风险承受能力,而且也是对社会公众负责的表现。
参考文献
[1]中国内部审计协会,内部审计理论与实务[M]北京:中国石化出版社,2004
[2]蔡春,赵沙,现代风险导向审计论[M]北京:中国时代经济出版社,2006