時間:2023-08-25 17:12:12
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險管理的主要策略,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
隨著信息技術的大力發展,信息系統設計項目在企業或單位中所發揮的作用越來越大。因此,如何建設和完善信息系統設計項目已成為當前企業或單位亟需解決的重要問題之一。但是,因信息系統設計項目具有范圍界定困難、運行環境復雜以及項目變更頻繁等特點而導致在具體的實施過程中易出現風險問題。故而,對信息系統設計項目中的風險因素進行分析,有著重要的意義。本文根據相關的文獻研究資料并結合多年的工作經驗可知,信息系統設計項目的風險因素主要體現在以下幾個方面:一是,需求風險,其主要包括功能需求、可靠性需求、環境需求、用戶界面需求、安全保密需求以及資源使用需求等;二是,技術風險,其來源于信息系統設計項目在技術上是否可行、合適以及成熟,或相應的技術是否滿足信息系統設計項目目標;三是,集成風險,其來源主要是如何將數據庫技術、開發技術以及網絡技術糅合在一起;等等。
2加強信息系統設計項目中風險管理的策略
風險管理是信息系統設計項目中的重要組成部分,發揮著極其重要的作用。在一定程度上,風險管理在信息系統設計項目中的合理運行能夠減少風險的發生,從而有利于實現效益最大化的目的。同時,由于信息系統設計項目運行的環境較為復雜,導致在實際運行的過程中易出現風險問題。因此,企業或單位應采取行之有效的策略來不斷加強信息系統設計項目中的風險管理,以此來盡可能地降低風險的發生概率。針對上文所述風險因素,本文根據相關的文獻研究資料并結合多年的工作經驗,共總結出以下幾點策略。其具體內容如下:
2.1制定科學、合理的風險管理計劃
在信息系統設計項目的風險管理中,風險管理計劃是其關鍵環節。同時,風險管理計劃也是信息系統設計項目中風險管理得以順利開展的重要依據。因此,要加強信息系統設計項目的風險管理,企業或單位應根據具體的實際情況來制定科學、合理的風險管理計劃。要做好這一點,首先,企業或單位應充分認識到風險管理計劃的重要性。其次,相關人員應根據本企業或單位的具體實際情況,并結合相關的法律、法規來對風險管理的計劃進行制定,以此來確保其計劃的合理性和科學性。再次,為了增強風險管理計劃的有效性和實用性,企業或單位還應及時地對其作出相應的修改和調整。最后,企業或單位還應根據風險來對信息系統設計項目中風險管理的成本、質量以及進度進行平衡。
2.2提高風險識別的能力
一般而言,“風險識別”是指將不確定性風險轉變為明確性風險的陳述過程。同時,風險識別不僅是開展風險管理的第一步,而且存在于信息系統設計項目建設的后續過程之中。因此,要加強信息系統設計項目的風險管理,企業或單位還應采取行之有效的策略來提高風險識別的能力。要做好這一點,首先,企業或單位可以根據相關的文獻研究資料,并結合相關方法(例如,問詢法、項目分解法等)來對風險進行識別。其次,為了確定風險識別的全面性,企業或單位還應征求各方面的意見。通過分析相關的文獻研究資料可知,信息系統設計項目中常見的風險主要包括人員職業素質不高、項目頻繁變更以及使用過時技術等。最后,企業或單位應針對性地制定出相應的風險防范措施,以此來確保風險管理的有效進行。
2.3做好風險監督與控制方面的工作
所謂“風險監控”是指,在信息系統設計項目具體實施的過程中,控制風險發生的情況和監督風險管理的過程。對于風險管理而言,至關重要。換言之,做好風險監督與控制方面的工作是能夠有效控制風險的重要途徑之一。因此,要加強信息系統設計項目的風險管理,企業或單位還應重視并做好風險監督與控制方面的工作。要做好這一點,首先,企業或單位應不斷更新風險監督與控制的技術。一般而言,風險監督與控制的技術主要包括預留管理、差異和趨勢分析、技術績效評估以及風險審計等。其次,企業或單位還應明確風險監督與控制的內容。通過分析相關的文獻研究資料并結合多年的工作經驗可知,風險監督與控制的內容主要包括監視殘余風險、跟蹤已識別的風險、評估某些計劃對降低風險的有效性以及不斷對新的風險進行識別等。
2.4組建一支高素質的風險管理人員隊伍
在一定程度上,風險管理人員素質的高低直接影響了風險管理的水平。因此,要加強信息系統設計項目的風險管理,企業或單位還應采取行之有效的策略來組建一支高素質的風險管理人員隊伍。要做好這一點,首先,企業或單位應根據的實際情況來建立相應的人才選拔制度和考核制度,以此來確保風險管理人員的整體素質處在一個較高的水平。其次,企業或單位還應定期對風險管理人員進行培訓和再教育,以此來不斷提高其專業素質。再次,企業或單位還應完善激勵機制和獎懲制度,以此來穩定風險管理人員隊伍和提高其工作的積極性。最后,企業或單位還應建立并健全相關的監督機制,以此來規范風險管理人員的職業行為。
2.5對項目需求范圍進行明確
要加強信息系統設計項目的風險管理,企業或單位還應對項目需求范圍進行明確。要做好這一點,首先,在信息系統設計項目的前期調研過程中,企業或單位應充分對客戶現有的相關情況進行了解。同時,還可以采用原型法配合調研表格的形式來進行相關的調研活動。值得注意的是,應重點考慮到信息系統設計項目干系人的需求。其次,企業或單位還應引導用戶將信息系統設計項目的基本目標描述出來。同時,還應策略性地提醒因功能實現導致的各種情況,如成本增加、技術復雜、進度變長以及質量的難以把控等。最后,企業或單位應在前期調研結果的基礎上,通過雙方的溝通確認來將信息系統設計項目的實施范圍確定下來。除此之外,加強信息系統設計項目中風險管理的策略還包括嚴格控制項目的變更、定期舉行項目報告和會議、制定應急策略以及制定風險防護措施等。
3結語
(一)會展項目的風險來源
會展項目最大的特點就是具有很大的不確定性,這些不確定性會在項目活動的實際開展中對會展項目造成很大的影響,影響會展活動的預期目標,甚至造成財產損失或者人員傷害等,這些不確定性因素是會展項目風險的總體方面的來源。從小層次來講,會展項目活動中會有很大的人流量,所以,會展人員的行為也是會展項目風險的重要來源,他們的行為能夠直接影響到會展項目的風險的受控程度。另外。會展的設備等設施也會成為風險的來源,例如設備安置不當,設備牢固性不強等造成一系列人員傷害或者財產損失等。這些會展項目的風險來源是風險管理策略研究的重要參考依據。
(二)會展項目的風險類型
會展項目在具體的開展過程中會存在多種多樣的風險,這些風險由于歸納的原則不同,所以就會出現不同類型的風險。例如,通常我們把影響會展項目目標進度的風險稱為進度風險,對會展項目實施階段產生影響的風險稱為實施風險;如果按會展項目風險的來源歸納可分為外部風險和內部風向,外部風險主要是由于會展外部環境等原因造成的,內部風險主要是由于會展項目開展中會展的內部因素引起的風險;如果按風險的屬性特征分類,會展項目的風險類型可分為技術風險、財務風險、市場風險等。除此之外,會展項目風險也可分為質量類風險、預算類風險、時間類風險等。總體來講,會展項目風險的類型不同會導致風險管理不同從而影響風險管理策略的研究。
(三)會展項目風險的主要特性
針對會展項目風險來講,其自身的一些特性是我們研究風險管理策略不可忽視的重要因素。會展項目風險主要有四大特性。一是風險事件的隨機性,在會展項目的開展過程中,有時會不可預料的出現一些風險事件,這類風險事件不再預期的計劃或者意料之中,是隨著某些突變因素而發生的偶然性事件,因此,在實際的風險管理過程中對這種隨機性事件的處理是具有一定的難度的,需要提前做出相應的應對突變策略;其次是風險的漸進性,會展項目風險的出現往往不會是一層不變的,會隨著項目活動的階段呈現不斷變化的趨勢,可能是越來越復雜化,也可能是隨著階段的不同其風險程度不斷減弱的趨勢,針對這種風險的漸變特性,在會展項目風險管理過程中需要根據風險的變化特點來采取相關策略進行風險處理;再者就是風險的相對可預測性,這一特性在實際上是有利于風險的管理的。在會展項目開展之前通過預測相關風險可以在實際活動過程中及時應對項目風險,減少風險的損害;最后是風險的潛在損失特性,既然是風險就會對實際的活動造成不同程度不同類型的損失,會展項目風險的這一特性也是進行風險管理最為重要的因素,風險管理的目標就是最大化的減輕風險帶來的損失,保證會展項目順利的進行。因此,會展項目風險的這些特性能夠對風險管理的規劃產生很重要的影響,在進行會展項目風險管理策略的研究中必須依據這些特性來制定相關方案。
二、會展項目風險管理
(一)會展項目風險管理的概念
會展項目的風險管理主要是指在實際的會展項目開展活動中相關管理人員通過對可能影響會展開展的不確定因素進行預測評估,然后綜合分析,采取有效的防治措施來避免風險的發生或者最大化降低風險,保證會展項目的順利開展,達到預期的效果。
(二)會展項目風險管理的相關特性
會展項目風險管理的特性影響著風險管理策略的研究。會展項目風險管理具有時效性、有償性、動態性以及信息依賴性等特性。時效性,會展項目風險管理的時效性主要是指在會展的不同階段所面臨的風險是不同的,所要承擔的責任也是不同的。對于組織者來講,根據這一特性只需要分析好每個階段的風險然后采取措施承擔這些風險即可;有償性,會展項目風險管理的有償性主要是指在實際的會展項目開展過程中用來防治或者最大化降低風險時所要付出的必要性的財力和人力等成本;動態性,會展項目風險管理是隨著會展項目活動的相關因素的變化而變化的一個的動態管理過程,當會展項目的相關因素發生變化時,原有的相關風險就會發生變化,因此對風險的管理也就需要重新計劃實施;信息依賴性,會展項目的風險管理首先需要獲得關于風險本身的大量信息,并且分析相關信息來進行管理,因此,會展項目風險管理具有很強的信息依賴性。
(三)會展項目風險管理的相關內容
會展項目風險管理主要包括風險管理規劃、項目風險的識別、項目風險的度量、制定風險的應對措施、項目風險的監測與控制。項目風險管理規劃主要就是確定在實際的管理過程中如何進行項目風險管理活動,也包括制定相關風險管理計劃等;項目風險的識別指的是確定項目的風險類型有哪些,基本特性是什么以及產生的主要影響,最后制定出相應的會展項目風險事件識別報告;項目風險的度量主要包括項目風險的定性度量以及定量度量等相關工作,這些相關度量工作又包括風險發生可能性的度量、后果嚴重程度的度量、風險影響范圍的度量以及風險發生時間的度量等;項目風險應對規劃簡單來講就是制定項目風險應對計劃,通過對項目風險嚴重性的考慮來制定相應的應對計劃,對嚴重性較高的項目風險來制定風險應對計劃能夠產生很好的效果,對相對嚴重性不高的風險可以適當放松計劃的制定;項目風險的監測與控制就是在整個會展項目活動過程中依據項目風險管理計劃來監測風險發生及變化,從而采取相應的措施控制項目風險。
三、會展項目的風險管理策略
(一)依據會展項目風險的相關內容進行相關風險管理
會展項目的風險相關內容主要有風險的來源、類型以及特性等,不同的內容對風險管理的影響不同。在實際的會展項目風險管理過程中,應該提前分析相關風險的來源以及類型,在依據風險的相關特性制定管理方案。例如,針對由不確定因素引起的項目風險可以提前預測好這些不確定因素,制定多種應對策略來處理這類風險。對于人為因素引起的風險可以在實際的會展活動中控制約束規范相關人員的行為來減少風險發生的概率。
(二)采取多樣化的會展項目風險管理策略
會展項目風險管理策略需要多樣化。首先需要風險的預防策略,對可能發生的風險進行預測估計,然后事先改變會展項目的相關計劃來預防項目風險,避免風險的發生。例如,在實際的會展項目開展過程中可以適當的選擇放棄某部分項目來避免風險的發生,也可以提前做好計劃以及處理應對的方案。其次做好預防和較少損失的工作,對已發生的風險及時采取應對策略把風險帶來的損失較少到最低。具體來講,可以對相關會展工作人員進行安全防范教育或者培訓;加強現場監控,保證會場能夠在監控之下進行;加強治安工作等。再者是接受或共擔風險,接受風險主要是對于會展項目影響較小的一類風險而言的,此類風險發生時可以及時安排相關人員疏散,進行醫療救治等。共擔風險主要是通過與其他組織合作來降低會展項目風險發生的可能性;最后是做好保險工作,這一風險管理策略主要是通過借助保險機構或者公司來分擔風險。多樣化的會展項目風險管理策略能夠對不同類型的風險進行及時的應對處理。
四、結語
關鍵詞:商業銀行;流動性風險;風險管理
中圖分類號:F83 文獻標識碼:A
原標題:簡談商業銀行流動性風險管理的問題與措施
收錄日期:2013年7月4日
一直以來,商業銀行承擔著促進經濟增長的國家宏觀職能,又有著強大的國家信用支撐,人們總會將銀行的命運與政府的支持緊密聯系在一起,認為政府會承擔銀行的一切風險,銀行不會倒閉,也不會發生流動性危機。流動性風險管理的主體是商業銀行,然而我國商業銀行內部缺乏完善流動性風險管理的有效機制,而且還沒有形成對流動性監管的自覺意識。這導致我國商業銀行流動性管理只注重流動性監管指標的良好表現,對提高流動性風險管理能力的重視度不高,對資產管理策略和負債管理策略的完善不積極,這使我國商業銀行缺乏流動性風險的危機感。
一、我國商業銀行流動性風險管理的現狀及問題分析
目前,隨著金融衍生工具不斷創新,其在銀行業務中占據的比重越來越大;同時,金融風險與市場不確定性不斷增強,造成銀行風險管理日趨復雜。這些都會直接制約商業銀行的資產變現能力和獲取主動負債的能力。銀行業對外開放后,在批發和零售業務方面,國內商業銀行處于劣勢地位,就產品種類、質量和資金的安全性而言,與外資銀行很難抗衡。因此,我國商業銀行受到沖擊的可能性逐步加大,商業銀行流動性風險監管難度大大增加。
二、提高我國商業銀行流動性風險管理的措施
隨著國內宏觀經濟日趨走弱和國外市場復蘇乏力,銀行業面臨的各類風險開始進入集中爆發期。同時,隨著我國銀行業改革和金融業對外開放的進一步深化,國內金融環境和銀行系統正在與世界市場對接,而國外銀行因為流動性風險而破產的案例也有可能在我國銀行身上上演,提高我國商業銀行流動性風險的必要性和緊迫性在加大。根據有關國內外監管機構流動性風險管理的相關政策,結合對國內外銀行業流動性風險管理的分析和借鑒,監管機構和銀行可以從以下方面提高我國商業銀行流動性風險的管理水平:
(一)提高銀行流動性風險管理意識。目前,我國商業銀行因流動性風險而倒閉的銀行很少,絕大部分銀行從上到下對流動性風險的認識就顯得較為薄弱。管理層不重視對流動性風險管理,沒有按要求建立起完善的流動性風險管理體系,更不用說加大投入建立流動性風險信息管理系統;在具體的流動性風險管理方面,僅僅以滿足銀監會的監管目標為主要任務。因此,建議商業銀行加強內部溝通力度,提高銀行流動性風險管理意識。同時,提出具體的流動性風險管理方面的要求,要求銀行在軟硬件上予以滿足。
(二)完善銀行監管策略。商業銀行根據不同指標的有效程度,設立一套完整的內部監管策略。商業銀行內部風險管理部門應在總體上把握其流動性風險狀況,重點關注特定指標異常情況下銀行流動性風險的狀況,在經濟形勢趨弱時,同時關注特定指標和綜合指標的變動情況。
(三)提高銀行流動性風險管理水平。進行流動性風險管理的根本在于銀行自身,銀行是流動性風險管理政策的執行者,能否積極有效地實施流動性管理辦法是防止流動性風險爆發的決定因素。
1、提高全體員工對銀行流動性風險的警惕性。針對流動性風險的防范意識不僅要灌輸到銀行的管理層,更應普及到銀行的全體員工,需要銀行全體員工對銀行流動性風險有較強的意識。
2、保持流動性風險管理部門的獨立性和有效性。流動性風險可能對銀行乃至金融體系帶來災難性的影響,銀行流動性風險管理部門的重要性就顯得特別重要,期間難免出現權力和利益等方面的沖突,提高流動性風險管理的有效性,需要保持流動性風險管理部門的獨立性。
3、實施全面的流動性風險管理。隨著業務機構的不斷調整,我國商業銀行資金來源和資金運用均存在多樣化發展的趨勢,需把與流動性風險相關的所有要素都考慮在內,實施全面的流動性風險管理。
三、近期國內銀行開展流動性風險管理的建議
去年國內銀行集中爆發了各類銀行風險,如信用風險、操作風險、聲譽風險、法律風險的案件不斷發生,銀行關于流動性風險管理的壓力逐漸加大。近期國內銀行可以從以下方面開展流動性風險管理:
(一)完善流動性風險管理體系。根據我國銀監會對流動性風險管理辦法的要求,銀行須建立完善的流動性風險管理體系,在“流動性風險治理結構”、“流動性風險管理策略、政策和程序”、“流動性風險識別、計量、監測和控制”、“流動性風險管理系統”等方面形成完整的框架。
(二)加大對流動性風險管理方面的培訓。我國商業銀行需要加大對員工流動性風險管理方面的培訓,這不僅有利于提高員工形成流動性風險管理的意識,而且能夠提高員工流動性風險的管理水平。開展培訓可以選擇內部培訓和外部培訓相結合的方式進行。
(三)測評各類風險案件對銀行流動性的影響程度。針對國內發生的“上海鋼貿企業信貸斷鏈案”、各地頻發的票據案、“杭州擔保圈案”、“上市公司高額負債案”、“地方政府融資平臺案”和“房產企業資金緊張案”等可能引發流動性風險的案件進行綜合性測評,不定期的開展各項壓力測試,根據測評結果調整資金來源和資金運用結構。同時,商業銀行應及時向監管部門上報風險水平以贏得政策支持。
(四)拓寬資金來源渠道作為保持資金穩定的主要任務。我國商業銀行經常在每月末、每季度末通過各種渠道獲得巨額短期資金來“沖時點”,這種現象較為普遍,大額資金的不正常流動不僅會增大銀行獲得資金的成本,而且也會對銀行造成災難性的沖擊。事實上,“沖時點”的這種現象本身就說明了銀行在流動性風險防范方面的不足,這種被動式的流動性風險管理無疑可能放大銀行的流動性風險。因此,想法拓寬資金來源渠道,保持資金來源的穩定性應成為商業銀行近期開展流動性管理的主要任務。
主要參考文獻:
[1]鄧方園.商業銀行流動性風險管理[J].經營管理者,2013.1.
關鍵詞:企業風險管理有效性 公司價值風險管理策略
引言
在市場經濟環境中,受諸多不確定因素的影響,企業在發展時往往會面臨著很大的風險,對企業經濟造成嚴重損害,如世界經濟危機或金融危機等,破壞范圍甚至會波及全世界。對實際分析可知,某些企業因危機破產倒閉,而某些企業卻能夠進一步發展,與其風險管理水平有著很大關系,如若加強風險管理,采取降低額外資本支出或提高資本使用效率等方法,對公司價值的提升將大有裨益。
1、企業風險管理及其不足
1.1、風險管理
企業風險指的是對企業發展形成阻礙、給企業帶來重大損失的所有可能性因素,在任何企業或組織的經營發展中,都勢必存在著各種各樣的風險,這就要求必須加強風險管理,風險管理即能夠識別風險并加以處理,進而實現可持續的價值最大化,可分為風險量化以及具體的管理程序兩部分,具體包括對風險的識別、分析、整合、監控和應對等。
1.2、風險管理中的不足
風險管理中的不足主要有:
1.2.1、對企業的經濟資本以及償還能力有所忽視,在實際中,很所企業之所以會破產倒閉,很大一部分原因在于償付能力的欠缺;
1.2.2、缺乏對結構性風險管理工具的重視,從當前來看,金融市場異常發達,在風險管理中必然要涉及到金融衍生品等金融工具,由于使用不合理,往往會給企業帶來重大損失,如若對此有所忽視,風險管理的有效性必將難以充分發揮;
1.2.3、另外,對企業的利益相關者、可持續風險管理的重視不夠,也是企業管理中的缺陷,尤其是當前,社會責任、環境問題等都是研究重點。
2、影響公司價值的關鍵因素
2.1、風險管理水平
企業風險管理水平與公司價值之間呈正相關,在相關的理論研究中,某些公司設置了首席風險官,且所處的層級較高,說明公司從戰略上對風險是極為重視的,再加上對風險的認識和處理都比較全面,有很多可取之處。實踐證明,從對企業規模、盈利能力、股權結構以及財務杠桿等因素的控制來看,風險管理與公司價值密切相關,且管理水平越高、能力越強,公司的價值越大。公司規模與公司價值呈負相關,即企業的規模越大,估值越低,在國內上市的金融公司中體現得尤為明顯,如在2012年,工商銀行的市盈率約為6倍,但小規模銀行的估值可以達到9倍或11倍;盈利能力對企業價值呈正相關;財務杠桿和董事會結構的影響較小,而股權結構與其平方項的正相關和負相關,說明第一大股東持股比例對公司價值的影響是非線性的。
2.2、風險管理策略
企業可能是受到內外部各種因素的影響,才進行風險管理的,如股東要求、社會責任等,相應的管理策略也就可以分為兩種,一是主動型策略,即企業結合自身狀況而采取的策略,包括成立風險管理機構、利用結構性工具對沖公司經營資產的風險敞口等;二是被動型策略,即在外界影響下才進行的風險管理,包括保險公司的償付能力監管導致的保險公司資本金管理等。相比較而言,主動型風險管理策略更有利于增加公司價值。
2.3、風險管理覆蓋率及滲透性
在風險管理中,管理策略很重要,同時,管理的深度和廣度也很重要,因為企業有其自身的內部組織結構,涉及諸多方面,且風險管理中的影響因素很多,必須做全方位的考慮,在深度、廣度上都達到一定的要求,才能發揮風險管理的作用。同時,風險管理的覆蓋率還是衡量企業風險容量的重要標準,覆蓋率越大,說明公司價值越高。
3、如何加強風險管理
某投資銀行成立于1995年,規模中等,儲戶主要為本市市民,在2008年美國次貸危機的影響下,股價逐季下跌,市值也大幅縮水,為此,銀行采取了一系列措施。
3.1、加大外部監督力度
市場經濟存在有很多不確定因素,經常會形成各種風險,所以企業在發展中,應樹立起風險意識,主動加強風險管理。從國內的實際出發,對許多大型國有企業而言,因與國民經濟發展密切相關,除了企業自身要重視風險管理,還應加大外部監督力度,促進企業的風險管理水平能夠有進一步的提升。
3.2、創造良好的市場環境
以國內金融市場為例,其發展還有很大的不足,主要體現在經濟發展和金融衍生品市場發展不同步,即國內的金融衍生品市場條件有限,而企業對其所需過大,只得通過境外市場滿足要求,如此一來,對沖成本有所提升,再加上其過程比較繁雜,需要浪費大量時間,使得風險管理效率有所降低。所以必須為金融衍生品市場提供良好的發展環境。
3.3、企業自身樹立風險意識
企業要想更好地發展,必須提高自身的經營管理水平,因此,作為市場的主體,企業首先要樹立起風險意識,結合實際情況建立合理的風險管理理念;其次,還應選擇較為適宜的風險管理工具,重視風險管理能力的培養,同時也應加大對社會責任的重視,并加強可持續風險管理,在此基礎上方能提高企業的風險管理水平,為企業帶來更大的效益。
4、結束語
在企業管理中,風險管理尤為總要,對企業的經營管理、經濟效益以及發展水平有著直接影響,因此,必須加大對風險管理有效性的研究力度,并結合企業的實際狀況,采用相應的管理策略,以達到增加企業價值的目的。
參考文獻:
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現階段的特點
信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法
依賴外部的信息安全管理行業
在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
將商業銀行所面臨的全部風險放在一個框架中考慮。傳統風險管理以及電子商務安全風險管理都是風險管理系統中子系統,二者相互聯系、相互影響,不可分割。嘗試借鑒信用風險與操作風險度量的方法與思想,短期內將其與信用風險控制銜接,最終形成一個全面的商業銀行安全風險管理框架。
(四)商業銀行要積極促進電子商務安全風險管理策略的改進(1)充分利用國內或國外能夠獲得的信息系統審計、外部信息安全評估等服務,采取定期評估審計、不斷采取措施改善風險狀態的策略;(2)在目前商業銀行的組織與管理體制下,風險控制部門與傳統金融業務部門的流程需不斷改善,商業銀行必須創造條件,加強風險管理部門與電子商務部門的交叉配合,包括各部門人員的配置、培訓等各方面;使風險管理部門能夠履行安全風險管理的監控與審計職能;(3)商業銀行必須重視對傳統金融風險與電子商務安全風險的統一度量問題的研究,不斷提高風險管理部門綜合控制風險的能力,充分考慮電子商務安全風險與信用風險、操作風險的交叉問題,為實現全面風險管理奠定基礎。依賴外部的信息安全管理行業在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
關鍵詞:博物館;藏品;風險管理
處在市場經濟和知識經濟時代,在信息化條件下,隨著博物館社會交流的頻繁,博物館面臨的風險隨著增多。例如,2011年埃及國家博物館在動亂中遭到搶劫,損失慘重;同年5月以來,故宮博物院發生的失竊、文物損壞等一連串危機事件,引起社會輿論的持續關注,使故宮身陷窘境。在這兩次危機事件中,前者是由埃及國內政治危機間接引發的博物館的風險,后者是由故宮博物院內部原因導致的博物館的風險。這兩起都屬于藏品風險,此外,博物館的風險還來自人員的風險、館舍及設備的風險等,它們是緊密相聯、相輔相成,組成了一個有機整體。由此可見,現代博物館引進"風險管理"這門管理科學,使博物館對于各類風險有所準備、進而進行有效的管理和預防具有積極意義。
一、博物館藏品風險管理的定位及其含義
風險是指遭受損失、傷害、不利或毀滅的可能性,主要表現為不確定性。博物館同其它組織一樣,在經營管理中會面臨不同層面的風險因素,需要控制其風險。根據國家相關規定,國家級或省級博物館為一級風險單位,擁有1萬件以上和5萬件以下的博物館為二級風險單位;而擁有1萬件藏品以下的博物館為三級風險單位。近年來,博物館藏品風險的問題在我國博物館界是關注之熱點。風險管理作為現代博物館管理學中的重要內容之一,對博物館藏品風險管理具有重要意義。對博物館藏品進行風險管理是一個管理過程,包括風險評估、風險管理決策與方式選擇、風險管理效果評價等工作,目的是避免或降低由不確定的危險因素導致藏品損毀的可能,以獲得博物館正常運作和管理的安全保障。
目前為止,國內學術界對于博物館藏品風險的釋義是"藏品遭受損害的可能性",北京故宮博物院的劉舜強指出,藏品風險就是在藏品保管、保護、修復、展示、運輸、研究及相關情況下,由不確定的危險因素導致藏品損毀或受到傷害的可能。他認為這些風險因素,一方面來自藏品本身,另一方面則來自藏品所處的外部環境及與藏品發生關系的人。因此,對藏品進行風險管理是對藏品活動的過程控制,是對藏品本身及外部環境和對與藏品發生關系的人進行管理。如在展示字畫、絲織品等藏品時,不僅應有防彈玻璃制作的框架或裝有報警裝置的展柜對其進行防護,而且要考慮到藏品可允許的光照量、運輸面臨的風險,以及展廳面臨的種種不確定因素的威脅--帶腳輪的轉椅、帶酒精揮發物質的飲料、工作人員、清潔工人、以及展廳的防盜防火設備等。
對于現代博物館來說,藏品的風險管理就是通過風險評估、風險管理決策、風險管理效果評價等環節以盡可能降低成本,有計劃地處理風險。這就要求博物館在管理過程中,采取各項應對措施,可能發生的風險進行識別,預測各種風險發生后對藏品造成的消極影響。
二、博物館藏品的風險評估方法
藏品的風險評估主要有兩種,包括藏品風險識別和風險估測。
藏品風險識別主要是識別其內在風險及外在風險,是風險管理的基礎環節。只有全面了解各種風險,才能夠預測風險發生的概率和損害程度,從而選擇應對風險的有效策略。博物館業務工作涉及范圍廣,專業性強,難度相對較大,博物館的風險識別是藏品風險管理中難度最大的一部分,主要由調查人員通過系統性工作,尋找藏品的所有潛在風險,根據每個風險的特點,分析藏品風險的不確定性,進而轉變為明確的風險評估。識別的方法是通過收集和觀察有關藏品的包裝過程、運輸過程、展覽過程、修復過程的資料和數據,根據每個過程的特點,查找和分析各個環節潛在風險的規律性,分析藏品風險的不確定性,從藏品本身和外部環境找出藏品潛在的風險敏感因素,確定其敏感程度。
風險估測是在風險識別的基礎上,分析博物館藏品風險發生的概率和風險事故發生后可能造成的損失的嚴重程度。藏品風險估測一般包括兩個方面:一是預測風險的事故發生概率,二是預測風險的損失程度。預測風險的概率是指運用定性與定量的方法分析資料,觀察造成藏品損失的規律性,估計和預測風險事故的發生概率,可以使博物館在一定程度上減少損失的不確定性。預測風險的損失程度,也就是預測博物館藏品可能損壞的程度,進而可以對損壞概率高和損壞程度大的風險進行重點防范。
三、博物館藏品風險管理決策與方式選擇
博物館藏品風險管理決策是以藏品風險估測為基礎的。風險估測為風險管理決策提供信息資料和決策依據,科學的風險管理決策是實現風險管理的前提和核心內容。風險管理過程是根據藏品風險評估的結果,對每一個風險進行次序排列,采取措施減少這些風險,編制風險防范計劃,將藏品風險轉變為風險應對。
首先,制定藏品風險防范策略。藏品風險防范策略可以分為規避、接受、保護、降低、轉移幾種方式。"規避"是指排除特定威脅,特別是排除特定威脅的起源。特定的風險事件是可以排除的,讓藏品回避已知風險,從而保障藏品安全,是藏品風險管理的最高目標。"接受"是不采取任何行動,將風險保持在現有水平。這樣的風險是可控或者危害極小的,對于藏品而言是可以接受的。"保護"是通過對藏品的材質、構造的考察、研究藏品的保存、展示環境,以及修復工作,為藏品量身制定風險保護措施,使藏品安全得到保障。"降低"是借助相應的手段將藏品風險發生的可能性降低到可接受程度,以降低遭受災難性損失的風險。"轉移"則是指將藏品風險全部或部分轉移給獨立機構,使藏品安全而得到保障。比如,在明確的風險戰略的指導下,與資金雄厚的獨立機構簽訂保險合同,將藏品轉移給從事風險合并事務的專業保險公司或其他風險投資機構,這是一種符合市場經濟規則且公平的轉移手段。但由于可保風險必須是符合一定的條件的純風險,所以風險轉移不是藏品管理的主要風險應對策略。
在制定了風險防范策略后,就要制定相應的風險行動計劃。制定風險行動方式主要考慮五個方面的因素:可規避性、可接受性、可降低性、可保護性、可轉移性。例如關于水彩畫藏品的問題,風險管理小組就需要考慮多方面因素:從光照對顏料的危害程度,到物理損害的起源,到展廳的酒水飲料對藏品的影響,到運輸過程遭受持械搶劫的可能性,到人為破壞、火災和被盜的危險。在執行風險應對的過程中,制定以上任何一種風險的防范策略已經是很困難了,要平衡各種風險需要將多重標準應用于所有方面,綜合考慮該風險是否可規避、可接受、可降低、可保護還是可轉移。制定風險行動計劃應該對突發事件快速作出反應,按照預先制定好的風險行動計劃進行。此外,還要對照防范計劃,定期向管理小組報告藏品風險應對工作進展。風險行動步驟可以是順序性的,也可以同時進行。例如,針對藏品被盜風險,博物館可以根據情況使用"人防、物防、技防"三防并舉的措施,三種方式同時進行,特別是加強現代技術防范措施,加強人員安保,降低藏品被盜風險,以確保藏品安全。
四、博物館藏品風險管理效果評價
[關鍵詞]風險風險管理安全生產
一、引言
20世紀80年代中期,自改革開放、實行市場經濟體制以來,國外各種介紹風險管理的理論與書籍被介紹到中國,風險管理的課程已經逐步在走進大學課堂。風險管理教學、研究和應用開始起步,企業經營領域的風險管理專著開始面世,在許多大型工程的建設過程中,也已開始應用風險分析的理論,風險管理研究已成為管理學科研究領域中重要的課題。
風險管理力求把風險導致的各種不利后果減少到最低程度,使之正好符合有關方在時間和質量方面的要求。一方面,風險管理能促進決策的科學化、合理化、減少決策的風險性;另一方面,風險管理的實施可以使生產活動中面臨的風險損失降至最低。
目前我國大部分企業沒有專門的人員或機構進行企業風險管理活動,每個人或部門往往只針對自己工作中的風險獨立地采取一定對策,缺乏系統性、全局性。企業中的風險管理基本上是一種被動式管理;企業中風險管理活動往往是間斷性的,缺乏系統、科學的風險管理理論方法指導。
構建企業風險管理體系,是在對相關信息采集的基礎上,分析可能導致生產活動中出現風險的根源性因素,通過定性與定量相結合的方法發現企業各生產環節管理與運作過程中的潛在風險。充分重視企業風險管理,建立風險管理體系,并對風險分析的理論方法進行全面、深入、細致的研究,將對成功實現企業目標,達到資源的優化配置起到重要的理論指導作用。
二、風險管理的內涵
1.風險的含義
風險和危險是不同的,風險包含著一種不確定性,每個結果的概率是可知或可以估計的,而危險則只意味著一種不好的預兆。因此,有時雖然有危險存在,但不一定要冒此風險,我們要想方設法去改變風險發生的條件,使之不發生,甚至帶來轉機。綜上所述,可以這樣定義的風險:風險就是活動或事件消極的,人們不希望的后果發生的潛在可能性。具體地說,風險一般應具備以下要素:(1)事件(不希望發生的變化);(2)事件發生具有不確定性;(3)風險的影響(后果);(4)風險的原因。
將風險表示為事件發生的概率及其后果的函數,即
R=f(P,C)(1)
式中,R--風險,P-概率,C-后果。
風險和不確定性是我們很容易混淆的概念:不確定性是客觀事物永遠發展變化的客觀特性,是產生風險的原因。雖然風險和不確定性這兩個概念經常互相使用,但它們并不是一回事。不確定性僅僅考慮事件發生的肯定程度,而風險則要考慮事件發生后果的嚴重程度。
不確定性在某些特定的情況下并不完全是壞事,關鍵要看不確定性是在向著我們希望的方向發展,還是相反。再次說明,風險是針對不希望發生的事件而言的,它包括以下兩個方面:
(1)發生的可能性;
(2)一旦發生,后果的嚴重程度。
由此知道,有兩類事件的風險性質是沒有爭議的,一類事件是“高可能性,嚴重后果”,對這類事件可以立即判定屬于高風險問題;另一類事件是“低可能性,輕微后果”,對這類事件我們可以立即判定屬于低風險問題。有兩類事件的風險等級的判定是容易引起爭議的,它們是:
(1)高可能性,輕微后果;
(2)低可能性,嚴重后果。
這兩類風險性質的判定與個人的主觀判斷有很大的關系,不同的人由于持有不同的立場、觀點,以及所處的環境不同,會有不同甚至相反的判斷。圖中的后果嚴重程度如果逐步增大的話,人們在做出決定時會越猶豫,在這種情況下,對項目風險等級的判定會更加依賴個人的解釋。這時,主管人員一方面要依靠不同領域的專家,另一方面也要做好準備,對判定風險問題作最后的決斷。
2.風險管理的含義
風險管理涉及到各個行業,每個行業都有其自身的特點,企業風險管理是指生產過程中,風險管理部門對可能遇到的各種風險因素進行識別、分析、評估,以最低成本實現最大的安全保障的過程。
從表層上分析,風險管理就是對生產活動或行為中的風險進行管理,從深層上研究,風險管理是指主體通過風險識別、風險量化、風險評價等風險分析活動,對風險進行規劃、控制、監督,從而增大應對威脅的機會,以成功地完成并實現總目標。風險管理的主體是管理人員,客體是生產活動中的風險或不確定性,大型、復雜的生產活動過程應設置專門的風險管理機構和相應的風險負責人。
風險管理是一個過程,由風險的識別、量化、評價、控制、監督等過程組成,通過計劃、組織、指揮、控制等職能,綜合運用各種科學方法來保證生產活動順利完成;風險管理技術的選擇要符合經濟性原則,充分體現風險成本效益關系,不是技術越高越好,而是合理優化達到最佳,制定風險管理策略,科學規避風險;風險管理具有生命周期性,在實施過程的每一階段,均應進行風險管理,應根據風險變化狀況及時調險應對策略,實現全生命周期的動態風險管理。
三、風險管理過程及方法
風險管理過程包括風險規劃、風險識別、風險評價、風險處理和風險監控幾個階段:
1.風險規劃
風險規劃,指決定如何著手進行風險管理活動的過程。風險規劃確定一套完整全面有機配合、協調一致的策略和方法并將風險其形成文件的過程,這套策略和方法用于識別和跟蹤風險區;擬定風險緩解方案;進行持續的風險評估,從而確定風險變化情況并配置充足的資源。在進行風險規劃時,主要考慮的因素有:風險管理策略、預定義角色和指責、各項風險容忍度、工作分解結構、風險管理指標體系。
規劃開始時,我們要制定風險管理策略并形成文件。早期的工作是:確定目的和目標;明確具體區域的職責;明確需要補充的技術專業,規定評估過程和需要考慮的區域;規定選擇處理方案的程序;規定評級圖;確定報告和文檔需求,規定報告要求和監控衡量標準。如有可能,還要明確如何評價潛在資源的能力。
風險規劃過程的運行機制是為風險管理過程提供方法、技巧、工具或其他手段、定量的目標、應對策略、選擇標準和風險數據庫。其中,定量的目標表示了量化的目標;應對策略有助于確定應對風險的可選擇方式;選擇標準指在風險規劃過程中制定策略;風險數據庫包含歷史風險信息和風險行動計劃等。
風險管理計劃在風險規劃中起控制作用。風險管理計劃要說明如何把風險分析和管理步驟應用到項目之中。該文件詳細的說明風險識別、風險評估、風險處理和風險監控的所有方面。風險管理計劃還要說明項目整體評價的風險的基準是什么,應當使用什么樣的方法以及如何參照這些風險評價基準對項目整體進行評價。
2.風險識別
風險識別是風險管理的第一步,即識別實施過程中可能遇到(面臨的、潛在的)的所有風險源和風險因素,對它們的特性進行判斷、歸類,并鑒定風險性質。風險識別的目的是減少的結構不確定性。亦即發現引起風險的主要因素,并對其影響后果做出定性的估計。該步驟需要明確兩個問題:明確風險來自何方(確定風險源),并對風險事項進行分類;對風險源進行初步量化。
風險的識別是風險管理的基礎,應是一項持續性、反復作業的過程和工作。因為風險具有可變性、不確定性,任何條件和環境的變化都可能會改變原有風險的性質并產生新的風險。對風險的識別不僅要通過感性認識和經驗進行判斷,更重要的是必須依靠對各種客觀統計資料和風險記錄進行分析、歸納和整理,從而發現各種風險的特征及規律。
常用的風險識別方法有:專家調查法(頭腦風暴法、德爾菲法、訪談法、問卷調查法)、情景分析法、故障樹分析法等。
我們簡單介紹一下目前應用廣泛的故障樹方法。故障樹方法簡稱FTA,是用于大型復雜系統可靠性和安全性分析的一個有力工具。利用FTA來分析一個系統時,我們關心的是找出造成某個不希望的事件(頂端事件)發生的各種可能原因,FTA使用演繹的方法找出使頂端事件發生的可能的次級事件,反映了各次級事件引起頂端事件發生的邏輯關系,這種關系用圖形表示出來就像一顆以頂端事件為根的倒長著的樹,故障樹因此得名。
3.風險分析和評價
風險分析和評價是在對風險進行識別的基礎上,對識別出的風險采用定性分析和定量分析相結合的方法,估計風險發生的概率、風險范圍、風險嚴重程度(大小)、變化幅度、分布情況、持續時間和頻度,從而找到影響安全的主要風險源和關鍵風險因素,確定風險區域、風險排序和可接受的風險基準。在分析和評價風險時,既要考慮風險所致損失的大小,又要考慮風險發生的概率,由此衡量風險的嚴重性。
風險分析和評價的目的是將各種數據轉化成可為決策者提供決策支持的信息,進而對各風險事件后果進行評價,并確定其嚴重程度排序。在確定風險評價準則和風險決策準則后,可從決策角度評定風險的影響,計算出風險對決策準則影響的度量,由此確定可否接受風險,或者選擇控制風險的方法,降低或轉移風險。在分析和評價風險損失的嚴重性時應注意風險損失的相對性,即在分析和評估風險損失時,不僅要正確估計損失的絕對量,而且要估計組織對可能發生的損失的承受力。在確定損失嚴重性的過程中,必須考慮每一風險事件和所有風險事件可能產生的所有類型的損失及其對主體的綜合影響,既要考慮直接損失、有形損失,也要考慮間接損失、無形損失。風險影響與損失發生的時間、持續時間、頻度密切相關,這些因素對安全生產的影響至關重要。
風險分析和評價的方法主要有:專家打分法、蒙特卡羅模擬法、概率分布的疊加模型(CIMM模型)、隨機網絡法、風險影響圖分析法、風險當量法等。
4.風險處理
風險處理就是對風險提出處置意見和辦法。通過對風險識別、估計和評價,把風險發生的概率、損失嚴重程度以及其他因素綜合起來考慮,就可得出發生各種風險的可能性及其危害程度,再與公認的安全指標相比較,就可確定的危險等級,從而決定采取什么樣的措施以及控制措施應采取到什么程度。有效處理風險,可以從改變風險后果的性質、風險發生的概率或風險后果大小三個方面提出多種策略。
5.風險監控
風險監控就是通過對風險識別、估計、評價、處理全過程的監視和控制,從而保證風險管理能達到預期的目標。監控風險實際上是監控生產活動的進展和環境,即情況的變化,其目的是:核對風險管理策略和措施的實際效果是否與預見的相同;尋找機會改善和細化風險控制計劃,獲取反饋信息,以便將來的決策更符合實際。在風險監控過程中,及時發現那些新出現的以及預先制定的策略或措施不見效或性質隨著時間的推延而發生變化的風險,然后及時反饋,并根據對生產活動的影響程度,重新進行風險識別、估計、評價和處理,同時還應對每一風險事件制定成敗標準和判據。
風險監控還沒有一套公認的技術可供使用,由于風險具有復雜性、變動性、突發性、超前性等特點,風險監控應該圍繞風險的基本問題,制定科學的風險監控標準,采用系統的管理方法,建立有效的風險預警系統,做好應急計劃,實施高效的風險監控。
風險監控應是一個連續的過程,它的任務是根據整個(風險)管理過程規定的衡量標準,全面跟蹤并評價風險處理活動的執行情況。有效的風險監控工作可以指出風險處理活動有無不正常之處,哪些風險正在成為實際問題,掌握了這些情況,管理部門就有充裕的時間采取糾正措施。同時,建立一套管理指標體系,使之能以明確易懂的形式提供準確、及時而關系密切的風險信息,是進行風險監控的關鍵所在。
風險監控的主要方法有:審核檢查法、監視單、風險報告等。
四、總結
風險管理是一個全壽命的動態過程,與管理的四個階段,即啟動、規劃、實施和結束階段密切結合,滲透在壽命周期的全過程之中。在企業有效開展風險管理能夠促進各單位決策的科學化、合理化,減少決策的風險性,能為企業提供安全的經營環境,能夠保障企業經營目標的順利實現,能夠促進企業經營效益的提高。無論從理論還是從實踐的角度來說,大膽創新、探索性地恰當運用風險管理的理論與方法,已成為關注的一個熱點,對于提升企業管理水平、加強安全保障、創造更好的經濟效益具有十分重要的意義。
參考文獻:
[1]符志明:航天風險管理[M].北京:機械工業出版社,2005.1
[關鍵詞] 財務危機 籌資風險 風險策略
一、財務籌資風險的產生及其在企業整體風險中的地位
籌資風險是指企業在融資活動中由于資金市場、宏觀經濟環境的變化或融資來源結構、幣種結構、期限結構等各種不確定因素而給企業帶來損失的可能性。市場經濟條件下,企業籌集資金主要有兩個渠道:所有者投資和借入資金。籌資風險主要來自于資本來源和資本結構兩個維度。資本來源方面,利率的波動導致企業負債籌資成本加大,進而增大企業還本付息壓力,引發企業財務風險;資本結構方面,一些企業為片面追求財務杠桿效應,不合理安排所有者權益與負債的比例,資產負債率過高,一旦經營風險暴露,收益的不確定性極易導致資金鏈條斷裂,使企業喪失償債能力,陷入財務籌資風險。
財務籌資風險的在企業整體風險中的地位如下圖所示:
二、構建企業財務籌資風險管理策略
財務籌資風險管理是一項復雜而艱巨的系統工程,防范與化解財務風險必須構建科學有效的財務風險監管系統,保障企業財務活動的順利進行,以實現預期財務目標。如同任何可控風險管理,構建企業財務籌資風險管理策略必須建立在科學的風險管理程序的基礎之上。
1.建立科學的風險管理程序
第一步,通過資金預算表和每股收益無差別點的資本結構分析圖對財務籌資風險進行識別。為了保證生產正常運行,企業必須把有限資金合理分配、使用,即通過預算企業投資規模來確定總體籌資規模。資本結構是所有者權益和負債之間的比例關系,如果資本結構不當,會嚴重影響企業的效益,增加風險,甚至導致企業破產。為了實現企業價值最大化,實務中,確定最佳資本結構所采用的工具一般是利用“每股收益無差別點”,用該方法可檢驗各項融資計劃在不同的息稅前盈余(EBIT)水平上對每股凈收益(EPS)的影響。當EBIT數額超過其無差別點水平時,負債籌資能為企業帶來較高的每股凈收益EPS,反之則應當采用權益籌資方式。第二步,結合企業生命周期的不同發展階段,對企業主要風險進行評估,從資本來源和資本結構角度構建企業的財務籌資戰略。
2.財務籌資風險管理策略的恰當選擇――財務風險管理的關鍵
恰當地選擇風險管理策略能夠有效地防范和化解各種財務風險,將風險損失最小化,這是財務風險管理過程的關鍵階段。(1)籌資風險降低策略。風險降低是基于企業不愿意被動接受特定的后果分布狀態,而通過自身努力改變不利后果的概率。為改變不利分布狀態所做的努力,稱為風險降低或者風險緩解。常見的風險降低形式是風險分散和套期保值。就企業財務籌資風險而言,為降低風險,通常通過多種籌資渠道、利用多種籌資方式來籌集所需資金:如合理確定負債與權益籌資比重;負債內部長期資金與短期資金的比重等。(2)籌資風險回避策略。財務風險回避是考慮到風險事故存在和發生的可能性較大時,主動放棄或改變某項可能引起風險損失的方法。就風險管理的一般意義而言,回避風險是一種最徹底的處置風險的方法,通過回避風險可以在風險事故發生之前,完全徹底地消除某種風險可能造成的損失,而不僅僅是減少損失的影響程度。然而,回避風險的做法終究是一種消極控制風險的方法,不是一種長久之計。 如企業僅為了回避財務籌資風險而選擇全權益融資,就損失了負債的財務杠桿利益。(3)籌資風險轉移策略。財務風險轉移策略是指將風險性理財活動通過某種方式轉移給其他經濟實體或個人,從而消除或減少理財活動的風險。轉移風險的方式主要包括以下兩種:一是保險轉移法;二是合同與財務協議法。對企業而言,前者是風險轉移的最主要形式。(4)籌資風險保留策略。 風險保留包括風險接受、風險吸收和風險容忍。它是一種由企業自己承擔風險事故所致損失的一種財務風險管理技術,其實質是將企業自身承受的風險以及生產經營過程中不可避免的財務風險承受下來,并采用必要的措施加以控制,以減少風險程度或減少不利事項的發生。市場經濟條件下,企業總是在各種不確定性環境中進行生產經營的,風險充斥著各種決策過程。理性的經濟人更多采用風險保留策略來實現財務利益的最大化。如企業努力建立企業風險管理文化、健全財務風險管理信息系統、財務風險管理組織系統、財務風險管理預警系統、財務風險管理決策支持系統等一系列措施都是為了增強自身抵御財務風險的能力。
總之,財務籌資風險管理因各個企業所處的內外部環境不同,其管理系統的構建也各異。財務籌資風險管理策略的恰當運用,有助于企業把財務風險管理推向戰略管理的高度,更好地防范和化解各種財務風險,實現企業財務管理的最終目標,實現企業的可持續發展。
參考文獻:
[1]吳少平 李小燕:談財務危機預警分析指標的確定標準.金融科學,2000
[2]劉存霞:關于我國企業財務管理目標的再探討.經濟師,2003
【關鍵詞】科研項目 科技 風險管理
黨的十八屆三中全會提出,要深化科技體制改革,建設國家創新體系。科研項目是建設國家創新體系極為重要的載體,提高科研項目管理水平是深化科技體制改革、落實創新驅動發展戰略的主要渠道。科研項目作為一項開創性的活動,具有極大的不確定性,始終與風險相伴相生,因此,加強科研項目風險管理對于任何科研主體來說都十分重要。
一、科研項目風險概述
風險是指在特定環境和時間段內發生某種損失的可能性,是未來的不確定性對實現既定目標的影響。科研項目風險是指在規定的時間進度、資源條件下完成既定的科研任務和目標的不確定性。這一風險的測量指標一般包括兩個維度,一是發生風險的可能性,也就是概率,二是發生風險對應的損失,包括但不限于經濟上的。科研項目最大的特征就是探索性、創新性,很大程度就是依托既有的技術條件向未知領域的拓展,而風險恰恰就是創新的伴生物。這決定了相比于其他項目管理,科研項目的風險更加突出,更加復雜,應該受到格外關注和重視。根據相關調研,隨著國家創新驅動戰略的深入實施,科研項目規模迅速擴大,科研成果大量涌現,但是在科研項目的管理上也存在較為粗放的問題,不少項目存在質量不高、進度失控、成本費用超預算、成果不理想等問題,特別是過于重視項目立項申報,對項目實施和過程控制重視不夠,項目管理的風險意識較為薄弱,反映了項目風險管理水平有待提高。
二、科研項目風險管理的主要流程
科研項目風險管理是項目風險分析、識別、評估、應對的過程,核心是根據識別出來與科研項目相關的各個風險,按輕重緩急,逐條逐項明確風險應對措施,采用相應管理方法和手段,從事前、事中、事后三個管理階段,對風險進行有效的防控。其中,重中之重是事前防范,最大限度避免項目風險事件的發生,最大程度降低項目出現損失的可能性。根據科研項目管理的特點,其風險管理的主要流程應該包括四個方面。
(一)建立項目風險管理組織。在科研項目申報立項和預可研之初就要在項目團隊明確項目風險的組織和人員,重大項目應有專職的風險管理小組和崗位,統一項目的風險管理,明確責任。
(二)項目風險初始信息收集。信息是管理決策的基礎,也是風險管理的基礎。要做好科研項目風險管理,前提是要盡可能全面地收集項目的基本信息,收集與項目相關的有價值的信息,包括政策情況、技術情況、設備情況、專家情況、人員情況、合作方的情況等等,并進行必要的篩選、提煉、對比、分類,建立項目的基礎信息庫,為風險識別與評估做好準備。
(三)項目風險識別與評估。采用定性與定量相結合的方式,對項目存在的風險進行識別與評估,確立主要風險種類和具體風險點,并進行重要性排序,重點是要做到全覆蓋、無死角,因為很多重大風險往往出在看似不經意的地方。定性方法主要可采用問卷調查、項目組集體討論、相關專家咨詢、情景分析、由專人主持的工作訪談和調查研究等。定量方法主要可采用統計推論、計算機模擬、事件樹分析等方法。條件具備的情況下,最好能通過一些列的假設和條件設置,建立統一的度量單位和風險測度模型,對風險進行定量評估,根據風險發生可能性的高低和對目標的影響程度的評估,繪制項目風險坐標圖,確立更加科學的優先順序。
(四)項目風險管理策略與應對實施。根據識別出來的風險,結合項目團隊的風險偏好、風險承受度等因素,選擇確立包括風險規避、風險轉移、風險承擔、風險轉換、風險補償等適合的管理策略。根據不同策略,分類制定包括人、財、物配置的風險應對方案,并全面組織方案實施。
(五)風險管理過程監控與動態優化。結合風險應對方案,把風險管理貫穿到科研項目的全過程,覆蓋到項目運作的各個環節,尤其要加強關鍵節點的監控,保證風險管理措施的有效實施。針對項目運作期間出現的新情況、新問題,要迅速對風險策略和應對方案進行動態優化調整,增強風險管理對環境變化的適應性和有效性。
三、科研項目的主要風險點
科研項目風險在項目立項、可研、審批、招標投標、實施、結項等各個期間均應做好風險管理,保證項目質量。根據科研項目的一般屬性和特殊性,有幾個關鍵風險點需要認真加以重視。
(一)技術風險。不管是基礎研究、應用研究還是開發研究,科研項目的根本任務是探索和認識未知領域,其最大的不確定性就是技術層面的風險。第一,因為現有的認識水平、技術水平、科學知識及其他現有條件的限制,技術規劃不合理,出現無法預見、難以克服的技術困難,特別是所依賴的相關技術不配套、不成熟,技術支撐條件存在不足,造成關鍵技術無法突破。第二,對研究平臺要求過高,不切實際,主要是項目研究需要的實驗設備及實驗實等硬件條件不夠完善,特別是一些高尖端的實驗設備,無法滿足研究需要。第三,項目技術的相關技術人員的能力存在不足或與項目研究領域不匹配,制約了項目研究開發。
(二)項目團隊風險。人是科研項目成敗的決定性因素,是科研項目的重大風險源。首先是選擇項目負責人的風險。根據吳建南(2010)等學者對科研項負責人相關特征與科研項目績效的相互關系的實證研究,結果表明:項目負責人職稱對科研項目績效存在顯著的正向影響;項目負責人年齡與項目績效呈U型曲線關系;項目負責人擔任領導職務、出國留學經歷對項目績效存在顯著的負向影響;項目負責人學歷以及過往承擔項目經歷對項目績效沒有顯著影響。因此,項目負責人的基本素養、個人能力、精力投入對科研項目具有重要影響。其次是選擇項目成員的風險。在項目立項申報時為達到項目對職稱、學歷、人數等方面的要求,容易出現“掛名”充數的現象,在項目實際開展過程中,預先計劃的科研人員因為種種原因無法投入到實際研究工作中來,或者因為來自不同部門或單位,有各自的科研任務而不能專心致志地投入研究工作。此外,團隊風險還體現為項目成員因工作變動、疾病等各種原因不能繼續參加研究,而后續替補人員又無法馬上跟進,造成項目開展受到不利影響。
(三)費用控制風險。科研經費不足也是當前困擾很多科研項目順利開展的重要因素。主要體現為:一是費用預算出現偏差。因為對項目涉及到的實驗設備、器材、元器件及人力的所需的規模數量及市場行情估計不足,造成項目申報時經費預算偏少。二是經費使用不合理。在設備采購、消耗品使用、人工成本支出等方面過于粗放,缺乏有效的項目財務管理和監督,成本控制不力,導致經費支出混亂,超支嚴重。三是有些項目涉及到自籌經費,在經費來源上不能得到有力保證,容易造成項目因為經費中斷無法繼續開展。
(四)進度控制風險。項目進度是評價科研項目的重要指標,不能按計劃如期完成科研目標也是科研項目的重大風險。首先是項目計劃過于樂觀。對科研項目需要的時間周期和可能遭遇的困難估計不足,對人員到位、資源匹配、實驗攻堅、結果驗證等重點環節擬定的計劃不切實際,造成項目無法如期完成。其次是進度管理前松后緊。由于缺乏對過程節點的有效控制和督促,容易出現在項目前期工作精力投入不足,大量任務拖到項目后期進行的現象,加上中間變故的增多,造成項目超期。
四、增強科研項目風險防控能力的建議
針對科研項目風險的主要特點及其風險管理主要內容,應該在樹立全面風險管理意識、制定合理有效地項目管理制度、建立覆蓋全面地風險管理體系、加強信息化技術應用等方面來增強科研項目風險防控能力。
(一)樹立科研項目全面風險管理理念。必須要重視項目管理風險意識的強化,從單位負責人、項目團隊負責人到每一名科研人員都要聯系自己的崗位職責,充分認識項目可能出現的不確定性及其后果,要樹立全面風險管理理念,把科研項目風險管理與項目研發等核心工作緊密結合起來,融入到科研項目日常管理和主要流程之中,形成由科研項目承擔單位、項目團隊負責人、一線科研人員組成的三道項目風險管理防線。
(二)建立覆蓋科研項目前、中、后臺的風險管理體系。主要是立足科研項目的總體目標,通過在科研項目的各個環節執行風險管理的主要流程,建立全面風險管理體系,包括風險管理策略、風險管理主要措施、風險管理職責分工、項目內部控制系統等。重點要把業務中心與管理中心相分離,將項目的具體科研工作作為的項目前臺,將項目成本管理、事務性工作作為項目的中后臺,讓前臺集中精力做好項目研發,讓中后臺做好對項目前臺工作的服務,形成相互支持、相互監督、相互制約的風險防范格局。
(三)制定行之有效的科研項目風險管理制度。制度建設是抓好項目風險管理的基礎,也就是要讓項目團隊成員能夠有據可依、有章可循地在做好研究開發工作的同時,認真履行風險防控的職責。其核心就是要做到權、責、利清晰明確,不能留有模糊空間,否則就會形成項目風險防控的盲區。科研項目工作中的某一個具體環節,如果多頭多人都負責,結果就是無人負責,從而形成項目管理的漏洞,成為項目風險源。制度建設就是要掃除這些管控盲區,確保每一個項目成員都能各盡其能、各盡其責。
(四)加強信息化技術在科研項目風險管理中的應用。信息化是提高各個領域管理效率的重要手段,對科研項目風險管理也是一樣。要通過一定的技術和方法,建立從項目立項到項目結題的全過程的科研項目信息化管理平臺,并在其中嵌入風險管理流程,建立項目風險關系信息系統,對成本預算控制等一些關鍵運作流程的控制要實現信息化管控。要通過項目信息化運作,既能提高項目開發的效率,更可以增強項目運作過程的透明化,使項目開發過程、各項資源匹配、項目進度控制等都能更加清晰有效地得到控制,從而增強對項目風險的防控能力。
參考文獻:
[1]邵舒揚,董浩.基于層次分析法的科研項目風險研究.山西科技,2014(06).
[2]蔣琰,陳謙明,黃海,楊寧.基于項目能力成熟度模型的科研項目風險控制.軟科學, 2009(06).
[3]吳建南,章 磊,鄭永和.科研項目負責人特征與項目績效的關系研究――基于科學基金面上項目的實證分析. 科學學與科學技術管理,2010(12).
關鍵詞:銀行業務;操作風險;策略分析
中圖分類號:F830.33 文獻標識碼:A 文章編號:1001-828X(2013)11-0-01
一、我國商業銀行操作風險管理的發展分析
2004年巴塞爾新資本協議后,全球銀行業對操作風險的認識提升到一個新的層次。受國際監管理念的影響,同時受金融機構案件頻發的警醒,近年來,我國監管機構和商業銀行加大了操作風險管理力度。2005年銀監會出臺了防范操作風險的“十三條”規定,2007年5月,頒布了《商業銀行操作風險管理指引》,并指出,操作風險是“由不完善或有問題的內部程序、員工和信息科技系統,以及外部事件所造成損失的風險,包括法律風險,但不包括策略風險和聲譽風險”,2008年9月又頒布了《商業銀行操作風險監管資本計量指引》,指出商業銀行選擇標準法、替代標準法和高級計量法之一來計量操作風險的監管資本,2012年了《商業銀行資本管理辦法(試行)》,對新資本協議提出的操作風險組織架構、政策、工具、流程和報告路線方面的監管要求做出了全面承接與細化,并要求國內銀行業在2018年前達標。至此,在中國銀行業,操作風險管理被作為主要風險管理職能納入了全面風險管理體系。
二、我國商業銀行操作風險成因分析
(一)對操作風險管理的認識存在主觀偏差
一是認為操作性風險是操作部門或操作崗位員工才會產生的業務風險,對操作風險的普遍性、危害性和長期性缺乏足夠的認識,同時缺乏對操作風險的有效認識和整體把握。二是認為操作風險管理主要是管理層的任務,與自己的切身利益關系不大,導致操作風險管理的執行力度受到影響。三是管理層面還存在操作風險管理理念和認識深度參差不齊的現象,導致未能有效實施操作風險管理的規劃。
(二)操作風險管理工具的實際應用有待加強
目前,我國商業銀行的操作風險管理還處于初期階段,管理基礎比較薄弱。在風險管理實際執行中,對風險管理工具的認知和應用還存在報送數據、報告之類的初級操作,且報告的風險分析質量不高,數據錯漏現象時有發生。另外,專業風險管理人才普遍欠缺,不能熟練運用操作風險三大工具實現風險識別、評估、監控和預警處理的全流程管理,使管理層不能全面深入了解所面臨的操作風險,不能有效根據自身的承受能力和發展策略采取針對性的應對措施。
(三)操作風險監測分析不到位
目前,操作風險管理對事前的防范和事中的控制措施關注度不夠,主要是對已發生或已存在的風險采取事后的管理處罰措施并提出相關的改進意見,管理部門通常將工作重點集中在事件后的突擊檢查、查找問題、整改工作和處理責任人等。操作不按流程、審核不到位、隨意簡化程序等問題依舊屢查屢犯,不能從根源上有效控制和防范操作風險。另外,風險預警體系不夠健全,缺乏事前全面、系統的評價機制,不能有效的對風險損失事件進行預測和控制。
(四)基層操作風險相對突出
基層機構數量眾多,管理鏈條過長,監管相對較弱,是違規操作發生的原因之一。根據監管部門的案情通報,大案要案及違規事件主要大部分都集中在銀行的基層機構,反映出銀行對基層機構的控制及基層機構自身的操作風險管理能力相對較弱,制度執行力不強,風險最為突出,基層營業網點操作風險主要表現在違規操作屢查屢犯。
三、我國商業銀行操作風險管理的對策分析
(一)培育操作風險管理文化
管理者應充分了解本行操作風險現狀,營造全員共同參與的操作風險管理環境,確立全面風險管理理念,從經營理念、管理制度、行為規范等方面形成內部積極和諧的風險管理文化氛圍。組織多形式、分層次的操作風險管理培訓,培訓課程應涵蓋操作風險管理實務、風險資本計量、操作風險管理師資培訓等,保證各級員工獲得足夠的操作風險管理知識和技能。
(二)完善操作風險管理激勵約束機制
改善和強化績效考核和約束機制,加強對監管政策及要求的學習與傳達。由于基層機構內控水平較為薄弱,操作風險管理應把基層機構的內控執行效果作為評價、驗證操作風險管理的重要標準。不僅要加強對基層機構操作風險的及時監控,還應將風險因素的考核納入網點負責人績效考核范疇,并加大操作風險的考核權重,提高內控管理工作效果考核分值,明確獎懲標準。通過考核促進基層行重視操作風險管理,從而激發全體員工積極參與操作風險管理。
(三)加強內控管理與操作風險管理一體化建設
良好的內部控制建設,可有效防范起因于內部管理流程、人員以及系統的操作風險。實際工作中,對操作風險發揮主要控制作用的是內部控制體系。內控管理和操作風險管理工作一體化管理思路,要從組織與職責、體系與流程、管理工具和信息系統等方面將內控管理與操作風險管理兩項工作整合起來,避免內控與操作風險管理中的重復工作,節約時間成本與人力資源。同時,借鑒操作風險的監控指標、風險容忍度等工具,使內控管理決策更加科學,成本效益比更趨合理。
(四)完善風險評估與監測體系,強化事前預警監測
建立操作風險監控分析平臺,實現對異常交易的篩查、核查和驗證,對交易、行為、實物進行實時監控。在日常管理中,應充分考慮IT資源成本優先實現對高風險業務的監控,并及時根據監控情況及業務發展實際,在現有的參數化預警模型基礎上,進一步完善預警模型及監測體系,滿足完善監控平臺用戶需求,加強對操作風險特性的識別,著力提升風險分析能力,識別和防控重大操作風險,促進業務流程優化和系統完善,完善的操作風險識別、計量、監測和控制程序。
參考文獻:
[1]楊天玲.銀行操作風險成因及對策研究來源[J].金融與保險,2008(06).
[2]許文,徐明圣.風險映射與商業銀行操作風險控制[J].銀行家,2008(07).
(一)風險管理基本原則的確定
一般來說,金融機構的董事會首先要根據自身的市場定位確定風險管理的基本理念和原則,并要求風險管理委員會和相應的風險管理部門積極予以落實。
我們可以簡要地比較美林和摩根等公司的風險管理原則。
1美林公司的風險管理原則
在美林公司,盡管風險管理的方法和策略一變再變,但以下述6個原則為基礎的基本理念卻幾乎沒變。這主要包括:任何風險規避方案中,最重要的工具是經驗、判斷和不斷的溝通;必須不斷地在整個公司內部強化紀律和風險意識;管理人員必須以清晰和簡潔的語句告誡下屬:在資本運營中哪些可以做,哪些不可以做;風險管理必須考慮非預期的事件,探索潛在的問題,檢測不足之處,協助識別可能的損失;風險管理策略必須具備靈活性,以適應不斷變化的環境;風險管理的主要目標必須是減少難以承受的損失的可能性。這樣的損失通常源自無法預計的事件,大部分的統計和模型式的風險管理方法無法預計。
在過去幾年,用數學模型來測量市場風險已成為世界范圍內眾多風險管理的要點,風險管理幾乎成了風險測量的同義詞。美林公司認為,數學風險模型的使用只能增加可靠性,但不能提供保證,因此,對這些數學模型的依賴是有限的。
事實上,由于數學風險模型不能精確地量化重大的金融事件,所以,美林公司只將其作為其他風險管理工作的補充。
總的來講,美林公司認為,一個產品的主要風險不是產品本身,而是產品管理的方式。違反紀律或在監管上的失誤可導致損失,而不論產品為何或使用何種數學模型。
2摩根公司的風險管理原則
摩根斯坦利則認為,風險是金融機構業務固有特性,與金融機構相伴而生。金融機構在經營活動中會涉及各種各樣的風險,如何恰當而有效地識別、評價、檢測和控制每一種風險,對其經營業績和長期發展關系重大。公司的風險管理是一個多方面的問題,是一個與有關的專業產品和市場不斷地進行信息交流,并作出評價的獨立監管過程。
應當說,這些基本的風險管理原則既是其長期進行風險管理的經驗的總結,也是其實施風險管理的基本知指導原則,在整個風險管理體系中占有十分重要的地位。
(二)確定風險管理的基本程序
董事會制定風險管理及控制戰略的第一步是,根據預定的風險管理原則,并根據風險對資本比例情況,對公司業務活動及其帶來的風險進行分析。在上述分析的基礎上,要規定每一種主要業務或產品的風險數量限額,批準業務的具體范圍,并應有充足的資本加以支持。此后,應對業務和風險不斷進行常規檢查,并根據業務和市場的變化對戰略進行定期重新評估,并將結論應直接報告決策層。
在識別風險和確定了抵御風險的總體戰略后,公司就可以制定用于日常和長期業務操作的詳細而具體的指引。為此,風險管理的政策和程序中應包括,風險管理及控制過程中的權力及遵守風險政策的責任,有效的內部會計控制,內部和外部審計等。如果公司較大較復雜,則需要建立集中、自主的風險管理部門。就風險管理和控制部門而言,最重要的是配備適當的專業人員、并獨立于產生風險的部門。
因為控制結構的有效性取決于運用它的人,因此,有效控制的前提是機構內所有員工都具有高度的責任。在確定風險管理及控制過程的權力和責任時,一個重要的因素應是將風險的衡量、監督和控制與產生風險的交易部門分開。高級管理層應保證職責適當分開,員工的責任不應互相沖突。
二金融機構風險管理架構的比較
(一)金融機構風險管理的基本架構
現代金融機構因其業務的偏重點不同而具有不同的風險管理體系,但其基本構架都大同小異。一般來說,金融機構設有"風險管理委員會"集中統一管理和控制公司的總體風險及其結構。"風險管理委員會"直接隸屬于公司董事會,其成員包括:執行總裁、全球股票部主任、全球固定收入證券部主任、各地區高級經理、財務總監、信貸部主任、全球風險經理以及一些熟悉、精通風險管理的專家等,下面直屬不同形式的風險管理部門來實施風險管理委員會的戰略和要求。
同時,金融機構應具備風險管理及控制的報告和評估程序,包括檢查現行政策和程序執行報告和發現例外情況的制度。一般來說,風險暴露以及盈虧情況應每日向負責監控風險的管理層報告,后者應簡要向負責公司日常業務的高級管理層匯報。另外,金融機構要對風險戰略、政策和程序的評估應該定期開展,評估應考慮到現行政策的結果、業務以及市場的變化。風險管理及控制政策的方法、模型和假設的變更應由決策層審核。政策和程序應要求風險管理及控制部門參與對新產品和業務的考察。
"風險管理委員會"的主要職責是:設計或修正公司的風險管理政策和程序,簽發風險管理準則;規劃各部門的風險限額,審批限額豁免;評估并監控各種風險暴露,使總體風險水平、結構與公司總體方針相一致;在必要時調整公司的總體風險管理目標。"風險管理委員會"直接向董事會報告,它每周開一次例會(需要時可隨時召集)討論主要市場的風險暴露、信貸暴露與其它各種頭寸,研究潛在的新交易、新頭寸以及風險豁免等問題。
"風險管理委員會"下設不同形式的、分離或者整合的風險管理部門(如分別設立市場風險管理部門、信用風險管理部門等,或者整合為一個完整的風險管理部),他們均獨立于公司的其它業務部門。市場風險管理部門負責監管公司在全球范圍內的市場風險結構(包括各地區、各部門、各產品的市場風險);信用風險管理部門負責監管公司在全球范圍內的各業務伙伴的暴露額度;審計部通過定期檢查公司有關業務和經營狀況,評估公司的經營和控制環境。
金融機構的風險管理采用多層制,除了"風險管理委員會"及其市場風險管理部門、信用風險管理部門、審計部外,其它如融資部、財務部、信息技術部以及各業務部的部門風險經理均參與風險的確認、評估和控制,并接受風險管理部的監督和評估、考核。這些部門的經理及代表每隔一周開一次例會(需要時可隨時召集)以求溝通信息、交流經驗、正確評估風險、調險管理政策。
以下是對美林等幾家公司的比較。
(一)美林公司的風險管理架構
為了在基層交易部門強化風險管理機制,美林公司制定了公司風險控制策略和操作規程,要求相關的區域機構和單位在識別、評價和控制風險時予以遵循。
這些策略和操作規程的實施涉及許多部門,包括全球風險管理部、公司信貸部和其他的控制部門(比如財務、審計、經營以及法律和協調部門)。為了協調上述風險管理部門的工作,公司還成立了由風險管理部、公司信貸部和控制部門高級管理人員組成的風險控制和儲備委員會,該委員會在風險管理過程中發揮著重要的監督作用。
風險控制委員會和風險管理部對所有的機構交易活動進行總的風險監督。風險控制委員會獨立于美林的交易部門,定期向公司董事會下屬的審計和財務委員會匯報風險管理的狀況。
儲備委員會監測與資產和負債有關的價值和風險。美林公司針對那些可能導致現存資產價值損失或帶來新的負債的事件,確定在目前形勢下使公司資產和負債保持平衡的儲備水平。儲備委員會通常由主要的財務官員任主席,主要負責考察和批準整個公司的儲備水平和儲備方法的變化。儲備委員會每月開會一次,考察當時的市場狀況,并對某些問題采取行動。美林公司在決定儲備水平時會考慮管理層在下述方面的意見(Ⅰ)風險和暴露的識別;(Ⅱ)風險管理原則;(Ⅲ)時效、集中度和流動性。
(二)摩根斯坦利的風險管理架構
摩根公司的高級管理人員在風險管理過程中發揮重要的作用,并通過制定相應的風險管理策略和規程予以保障,以便在對各種各樣的風險進行識別、評估和控制過程中,提供管理和業務方面的支持。隨著對不斷變化的和復雜化的全球金融服務業務認識的提高,公司不斷地檢討風險管理策略和操作規程,以使其不斷完善。
公司的風險管理委員會,由公司大部分高級管理人員組成,負責制定整個公司風險管理的策略及考察與這些策略相關的公司業績。風險管理委員會下設幾個專門風險管理委員會,以幫助其實施對公司風險活動的檢測和考察。除此之外,這些風險管理委員會還考察與公司的市場和信用風險狀況、總的銷售策略、消費貸款定價、儲備充足度和合法實施能力以及經營和系統風險有關的總體框架、層次和檢測規程。會計主任、司庫、法律、協調和政府事務部門及市場風險部門,都獨立于公司業務部門,協助高級管理人員和風險管理委員會對公司風險狀況進行檢測和控制。另外,公司的內部審計部門也向高級管理人員匯報,并通過對業務運營領域的考察,對公司的經營和控制環境進行評價。公司經常在每一個管理和業務領域,聘用具有適當經驗的專家,以有效地實施公司的風險管理監測系統和操作規程。
三對主要類型的風險的管理戰略
金融機構風險管理主要涉及市場風險、信用風險和其他風險的管理,同時針對不同的風險的特點,確定不同的實施方案和管理戰略。
(一)主要的風險類型
1市場風險
市場風險是指因市場波動而使得投資者不能獲得預期收益的風險,包括價格或利率、匯率因經濟原因而產生的不利波動。除股票、利率、匯率和商品價格的波動帶來的不利影響外,市場風險還包括融券成本風險、股息風險和關聯風險。
美國奧蘭治縣(ORANGECOUNTRY)的破產突出說明了市場風險的危害。該縣司庫將"奧蘭治縣投資組合"大量投資于所謂"結構性債券"和"逆浮動利率產品"等衍生性證券,在利率上升時,衍生產品的收益和這些證券的市場價值隨之下降,從而導致奧蘭治縣投資組合出現17億美元的虧損。GIBSON公司由于預計利率下降,購買了大量利率衍生產品而面臨類似的市場風險。當利率上浮時,該公司因此損失了2000萬美元。同樣,寶潔公司(Procter&Gamble)參與了與德國和美國利率相連的利率衍生工具交易,當兩國的利率上升高于合約規定的跨欄利率時(要求寶潔公司按高于商業票據利率1412基點的利率支付),這些杠桿式衍生工具成為公司承重的負擔。在沖抵這些合約后,該公司虧損1.57億美元。
2信用風險
信用風險是指合同的一方不履行義務的可能性,包括貸款、掉期、期權及在結算過程中的交易對手違約帶來損失的風險。金融機構簽定貸款協議、場外交易合同和授信時,將面臨信用風險。通過風險管理控制以及要求對手保持足夠的抵押品、支付保證金和在合同中規定凈額結算條款等程序,可以最大限度降低信用風險。
近來,信用風險問題在許多美國銀行中開始突出起來,根據1998年1月的報告,其季度財務狀況已因環太平洋地區的經濟危機而受影響。例如,由于亞洲金融風暴,JP摩根(JPMORGEN)將其約6億美元的貸款劃為不良貸款,該行97年第四季度的每股盈利為1.33美元,比上年的2.04美元下降35%,低于市場預期的每股收益1.57美元。
3操作風險
操作風險是指因交易或管理系統操作不當引致損失的風險,包括因公司內部失控而產生的風險。公司內部失控的表現包括,超過風險限額而未經察覺、越權交易、交易或后臺部門的欺詐(包括帳簿和交易記錄不完整,缺乏基本的內部會計控制)、職員的不熟練以及不穩定并易于進入的電腦系統等。
1995年2月巴林銀行的倒閉突出說明了操作風險管理及控制的重要性。英國銀行監管委員會認為,巴林銀行倒閉的原因是新加坡巴林期貨公司的一名職員越權、隱瞞的衍生工具交易帶來的巨額虧損,而管理層對此卻無絲毫察覺。該交易員同時兼任不受監督的期貨交易、結算負責人的雙重角色。巴林銀行未能對該交易員的業務進行獨立監督,以及未將前臺和后臺職能分離等,正是這些操作風險導致了巨大損失并最終毀滅了巴林銀行。
類似的管理不善導致日本大和銀行在債券市場上遭受了更大損失。1995年人們發現,大和銀行的一名債券交易員因能接觸公司會計帳簿而隱瞞了約1億美元的虧損。與巴林銀行一樣,大和的這名交易員同時負責交易和會計。這兩家銀行都均違背了風險管理的一條基本準則,即將交易職能和支持性職能分開。
操作風險的另一案例是Kidder,Peabody公司的虛假利潤案。1994年春,KIDDER確認,該公司一名交易員買賣政府債券獲得的約3.5億美元"利潤"源于對公司交易和會計系統的操縱,是根本不存在的。這一事件迫使Kidder公司將資產售予競爭對手并最終清盤。
操作風險可以通過正確的管理程序得到控制,如:完整的帳簿和交易記錄,基本的內部控制和獨立的風險管理,強有力的內部審計部門(獨立于交易和收益產生部門〕,清晰的人事限制和風險管理及控制政策。如果管理層監控得當,并采取分離后臺和交易職能的基本風險控制措施,巴林和大和銀行的損失也許不會發生,至少損失可以大大減少。這些財務失敗說明了維持適當風險管理及控制的重要性。
(二)對市場風險的管理策略
金融機構維持合適的頭寸,利用利率敏感性金融工具進行交易,都要面對利率風險(比如:利率水平或波動率的變化、抵押貸款預付期長短和公司債券和新興市場資信差異都可帶來風險);在外匯和外匯期權市場做市商或維持一定外匯頭寸,要面對外匯風險,等等。在整個風險管理框架中,市場風險管理部門作為風險管理委員會下屬的一個執行部門,全面負責整個公司的市場風險管理及控制并直接向執行總裁報告工作。該部在重點業務地區設有多個國際辦公室,這些辦公室均實行矩陣負責制。它們除了向全球風險經理報告工作外,還要向當地上一級非交易管理部門報告工作。
市場風險管理部門負責撰寫和報送風險報告,制定和實施全公司的市場風險管理大綱。風險管理大綱向各業務單位、交易柜臺經風險管理委員會審批的風險限額,并以此為參照對執行狀況進行評估、監督和管理;同時報告風險限制例外的特殊豁免,確認和公布管理當局的有關監管規定。這一風險管理大綱為金融機構的風險管理決策提供了一個清晰的框架。
市場風險管理部門定期對各業務單位進行風險評估。整個風險評估的過程是在全球風險經理領導下由市場風險管理部門、各業務單位的高級交易員和風險經理共同合作完成的。由于其他高級交易員的參與,風險評估本身為公司的風險管理模式和方法提供了指引方向。
為了正確評估各種市場風險,市場風險管理部門需要確認和計量各種市場風險暴露。金融機構的市場風險測量是從確認相關市場風險因素開始的,這些風險因素隨不同地區、不同市場而異。例如,在固定收入證券市場,風險因素包括利率、收益曲線斜率、信貸差和利率波動;在股票市場,風險因素則包括股票指數暴露、股價波動和股票指數差;在外匯市場,風險因素主要是匯率和匯率波動;對于商品市場,風險因素則包括價格水平、價格差和價格波動。金融機構既需要確認某一具體交易的風險因素,也要確定其作為一個整體的有關風險因素。
市場風險管理部門不僅負責對各種市場風險暴露進行計量和評估,而且要負責制定風險確認、評估的標準和方法并報全球風險經理審批。確認和計量風險的方法有:VAR分析法、應力分析法、場景分析法。
根據所確認和計量的風險暴露,市場風險管理部門分別為其制定風險限額,該風險限額隨交易水平變化而變化。同時,市場風險管理部門與財務部合作為各業務單位制定適量的限額。通過與高級風險經理協商交流,市場風險管理部門力求使這些限額與公司總體風險管理目標一致。
1美林公司的市場風險管理策略
美林公司市場風險管理過程包含了下述三個要素:(i)溝通;(ii)控制和指導;(iii)風險技術。
風險管理按地理區域和產品線組織,以確保某一特定的區域或某一產品交易范圍內的風險管理人員能進行經常和直接的溝通。同時,風險管理部門應與高級的交易經理進行定期和正式的風險研討。
為了彌補基層交易部門風險規避技術的不足,公司風險管理部門制定了一些規范和準則,包括交易限額,超過限額必須提前得到批準。另外,作為新的金融產品檢測過程的一部分,新的金融產品交易要由風險管理部門和來自其他控制單位的代表批準。某些業務,比如高收益證券和新興市場的證券承銷、不動產融資、臨時貸款等,在向客戶作出承諾前,需要事先得到風險管理和其他控制部門的批準。風險管理部門有權要求減少某一特定的柜臺交易風險暴露頭寸或取消計劃的交易。
風險管理使用幾種風險技術工具,包括風險數據庫、交易限額監視系統、交易系統通道和敏感性模擬系統。風險數據庫每日按產品、資信度和國別等提供庫存證券風險暴露頭寸的合計數和總數。交易限額檢測系統使風險管理部門能及時檢查交易行為是否符合已建立的交易限額。交易系統通道允許風險管理部門去檢測交易頭寸,并進行計算機分析。
敏感性模擬系統用來估算市場波動不大和劇烈波動兩種情形下的損益。每一次測算時僅考慮一個重要風險因素,比如利率、匯率、證券和商品價格、信貸利差等,同時假設其他因素不變。以此為基礎,風險管理部門可以檢測到整個公司的市場風險,并根據需要調整投資組合。
2摩根斯坦利的市場風險管理策略
公司利用各種各樣的風險規避方法來管理它的頭寸,包括風險暴露頭寸分散化、對有關證券和金融工具頭寸的買賣、種類繁多的金融衍生品(包括互換、期貨、期權和遠期交易)的運用。公司在全球范圍內按交易部門和產品單位來管理與整個公司交易活動有關的市場風險。公司按如下方式管理和檢測其市場風險:建立一個交易組合,使其足以將市場風險因素分散;整個公司和每一個交易部門均有交易指南和限額,并按交易區域分配到該區域交易部門和交易柜臺;交易部門風險經理、柜臺風險經理和市場風險部門都檢測市場風險相對于限額的大小,并將主要的市場和頭寸變化報告給高級管理人員。
市場風險部門使用Value-at-Risk和其他定量和定性測量和分析工具,根據市場風險規律,獨立地檢查公司的交易組合。公司使用利率敏感性、波動率和時間滯后測量等工具,來估測市場風險,評估頭寸對市場形勢變化的敏感性。交易部門風險經理、柜臺風險經理和市場風險部門定期地使用敏感性模擬系統,檢測某一市場因素變化對現存的產品組合值的影響。
(三)信用風險的管理策略
信用風險管理是金融機構整體風險管理構架中不可分割的組成部分,它由風險管理委員會下設的信用風險管理部門全面負責。信用風險管理部門直接向全球風險經理負責,全球風險經理再依次向執行總裁報告。信用風險管理部門通過專業化的評估、限額審批、監督等在全球范圍內實施信貸調節和管理。在考察信用風險時,信用風險管理部門要對風險和收益間的關系進行平衡,對實際和潛在的信貸暴露進行預測。為了在全球范圍內對信用風險進行優化管理,信用風險管理部門建立有各種信用風險管理政策和控制程序,這些政策和程序包括:
(1)對最主要的潛在信貸暴露建立內部指引,由信用風險管理部門總經理監督。
(2)實行初始信貸審批制,不合規定的交易要由信用風險管理部門指定成員審批才能執行。
(3)實行信貸限額制,每天對各種交易進行監控以免超過限額。
(4)針對抵押、交叉違約、抵消權、擔保、突發事件風險合約等訂立特定的協議條款。
(5)為融資活動和擔保合約承諾建立抵押標準。
(6)對潛在暴露(尤其是衍生品交易的)進行定期分析。
(7)對各種信貸組合進行場景分析以評估市場變量的靈敏性。
(8)通過經濟、政治發展的有關分析對風險進行定期評估。
(9)和全球風險經理一起對儲存時間較長、規模龐大的庫存頭寸進行專門評估和監督。
美林公司通過制定策略和操作規程以避免信用風險損失,包括確立和檢測信用風險暴露限額及與某一訂約方或客戶交易額限額、在信用危機中取得收繳和保留抵押品或終止交易以及對訂約另一方和客戶不斷地進行信用評價的權利。業務部門有責任與公司制定的策略和操作規程保持一致,并受到公司信貸部門的監督。公司信貸部門實行集中分區管理。信貸負責人分析和確定訂約另一方或客戶的資信狀況,按訂約方或客戶設立初始或當前的信貸限額,提議信用儲備,管理信用風險暴露頭寸和參與新的金融產品的檢測過程。
許多類型交易包括衍生品和辛迪加貸款要提前報請公司信貸部門批準。公司信貸部門所能審批的交易數量是有限的,限額視該項交易的風險程度和相關客戶的資信度確定,超過此限額,須上報公司信貸委員會批準。
借助信用系統手工和自動記錄的信息,公司信貸部門能檢測信用風險暴露頭寸在訂約另一方/客戶、產品和國別的集中度。這一系統能按訂約另一方或客戶累計信用風險暴露頭寸,維持整個訂約方/客戶和某一產品的風險暴露限額,并按訂約另一方或客戶識別限額檢測數據。整個公司庫存頭寸和已執行交易的詳細信息,包括現在和潛在的信用風險暴露頭寸信息會不斷地更新,并不斷地與限額相比較。如果需要,可增加抵押貸款數額,以減少信用風險暴露頭寸,并記錄在信用系統中。
公司信貸部門與業務部門一起設計和完善信用風險測度模型,并且分析復雜的衍生品交易的信用風險暴露頭寸。公司信貸部門還檢測與公司零售客戶業務有關的信用風險暴露頭寸,包括抵押品和住宅證券化額度、客戶保證金帳戶資金數額等。
集中度風險可以視為信用風險中的一個重要類型。集中度風險,即金融機構業務對單一收入、產品和市場的依賴風險。美林公司定期檢測集中度風險,并通過實施其分散化的經營戰略和計劃來減少此風險。最近,美林公司已將其全球的收入來源分散化,從而減少了公司收入對單一金融產品、客戶群或市場的依賴。
雷曼兄弟公司通過產品、客戶分散化和交易活動在地區分布的分散化,以圖實現減少風險的目標。為此,公司合理地分配每類業務資金的使用額,為每類產品和交易者制定交易限額,并對上述額度做地域上的合理分配。公司根據每一類業務的風險特性,尋求相應的回報。根據與公司指南相一致的收益獲得能力、市場機會和公司的長期戰略,公司定期地重新分配每一業務的資金用量。
(四)操作風險的管理策略
作為金融服務的中介機構,金融機構直接面臨市場風險和信用風險暴露,它們均產生于正常的活動過程中。除市場風險和信用風險外,金融機構還將面臨非直接的與營運、事務、后勤有關的風險,這些風險可歸于操作風險。
在一個飛速發展和愈來愈全球化的環境中,當市場中的交易量、產品數目擴大、復雜程度提高時,發生這種風險的可能性呈上升趨勢。這些風險包括:經營/結算風險、技術風險、法律/文件風險、財務控制風險等。它們大多是彼此相關的,所以金融機構監控這些風險的行動、措施也是綜合性的。金融機構一般由行政總監負責監察公司的全球性操作和技術風險。行政總監通過優化全球信息系統和數據庫實施各種長期性的戰略措施以加強操作風險的監控。一般的防范措施包括:支持公司業務向多實體化、多貨幣化、多時區化發展;改善復雜的跨實體交易的控制。促進技術、操作程序的標準化,提高資源的替代性利用;消除多余的地區請求原則;降低技術、操作成本,有效地滿足市場和監管變動的需要,使公司總體操作風險控制在最合適的范圍。
美林公司采取多種方式管理它的操作風險,包括一個維持支持系統、使用相關技術和雇傭有經驗的專家。美林公司借助信息系統提供的對主要市場操作風險的評價信息,能對世界范圍內不斷變化的市場環境立即作出反應。內部管理信息報告使得高級管理人員能有效地識別潛在的風險,控制風險暴露頭寸,并促使眾多的內部管理策略和規章彼此相協調。有經驗的業務人員應對交易、結算和清算業務提供支持和控制,對客戶及其資產行使監管,并且單獨向高級管理人員報告。
因此,在現代金融市場的競爭中,西方主要的金融機構之所以能夠獲得良好的經營成果,其相對完善的風險管理體系的有效有效運行是一個關鍵性的因素,這主要包括:董事會確立了恰當的風險管理原則和戰略;具有獨立有效的風險管理框架;擁有全面系統、嚴格而又靈活的風險管理政策和程序,并積極開發強調的風險管理技術工具,而且培養了一大批高素質的專業人才隊伍,這既是一個良好的風險管理體系的主要環節,也是值得當前我國的金融機構借鑒的重要內容。
主要參考文獻
AnthonySaunders,CreditRiskMeasurement,JohnWileyandSons,1999.
許建華,《國外金融機構風險管理模式和方法》,載《證券市場導報》2000年。
證監會國際組織技術委員會報告,《金融機構及其監管當局風險管理與控制指引》(征求意見稿),中國證監會網站。
一、自主創新――3C框架在全面風險管理領域的探索
3C全面風險管理標準包括基本框架、實務標準、操作指南,基本涵蓋了COSO全面風險管理框架和國務院國資委頒布的《中央企業全面風險管理指引》的所有內容。3C全面風險管理標準力求自主創新,除增加了實務標準、操作指南(COSO和國資委還未)這些具有可操作性的內容之外,在基本框架方面也進行了一系列的創新,充分考慮了中國企業的實際情況,在構建中國企業自己的全面風險管理標準方面進行了有益探索。僅基本框架而言,在全面風險管理領域的探索是全方位的,簡單歸納起來主要包括以下幾個方面:
(一)總體結構邏輯關系簡單明了
COSO全面風險管理框架主體結構由定義、內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控、職能與責任、企業風險管理的局限、該做些什么等構成。《中央企業全面風險管理指引》由總則、風險管理初始信息、風險評估、風險管理策略、風險管理解決方案、風險管理的監督與改進、風險管理組織體系、風險管理信息系統、風險管理文化、附則等組成。而3C全面風險管理基本框架從總體結構上是按照目標體系、風險整合、管理融合來安排的,形成了由目標體系、風險整合、管理融合組成的有機體系,貫徹嚴密的目標――風險――管理的邏輯關系。
(二)框架內容力求科學系統
COSO全面風險管理框架認為企業風險管理包括8個相互關聯的構成要素。這些構成要素是:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。《中央企業全面風險管理指引》沒有直接引入管理要素概念,僅從全面風險管理內容看,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統5個方面。3C全面風險管理基本框架從總體看包括目標、風險、管理3個部分,從流程看包括管理準備、管理實施、管理報告和監督改進4個程序。具體探索體現在以下幾個方面:
1.3C全面風險管理基本框架沒有引入“內部環境”要素,而是將COSO全面風險管理框架中“內部環境”要素中的具體內容全部融入了整個框架中。COSO全面風險管理框架中“內部環境”界定的風險管理理念、風險容量、董事會、誠信與道德價值觀、對勝任能力的要求、組織結構、權力和職責的分配、人力資源準則等要素,既有全面風險管理的“軟要素”,又涉及到全面風險管理“硬要素”,確實是全面風險管理的基礎,但用“內部環境”來界定難以理解,使人容易產生是誘發風險的內部環境因素,因此,3C全面風險管理基本框架沒有引入“內部環境”要素,而是將它們分別作為全面風險管理的基礎和內容獨立出來了。
2.3C全面風險管理基本框架沒有把“目標設定”作為全面風險管理的基本要素,并將COSO全面風險管理框架“目標設定”改為“目標確定”。目標管理很重要,是管理中的管理,目標確定是企業目標管理的核心內容,是企業管理工作的首要任務,董事會和各級管理人員必須確定目標。企業管理層在確定目標時要考慮風險因素,這是必然的,但全面風險管理工作不能事事從確定目標開始,確定目標本身就是管理人員的事,全面風險管理作為企業管理的一項核心內容,可以把目標確定作為風險管理的內容進行關注,但不是流程,至多說目標確定是全面風險管理的前提條件之一。
3.3C全面風險管理基本框架把COSO全面風險管理框架“信息與溝通”作為全面風險管理的重要手段,而不單獨作為全面風險管理的一個流程或重要要素。信息在現代社會很重要,溝通無限,全面風險管理的全過程都涉及“信息與溝通”,不可能也沒有必要獨立出來,應該貫穿于全面風險管理的全過程。
4.3C全面風險管理基本框架把COSO全面風險管理框架“事件識別”定義為“風險識別”,把COSO全面風險管理框架“風險評估”細化為“風險分析”、“風險計價”、“風險評價”,把COSO全面風險管理框架“控制活動”重新定義為“風險控制”,把COSO全面風險管理框架“監控”改為“監督改進”,并細化為“風險監督”、“風險審計”、“管理改進”等。
5.3C全面風險管理基本框架從我國企業的實際情況出發,把全面風險管理流程界定為管理準備、管理實施、管理報告、監督改進四個基本流程。對每個具體流程都明確了工作內容、方法、步驟以及相應的表單,具有可操作性。
6.3C全面風險管理基本框架在包含COSO全面風險管理框架基本內容的同時,又增加了不少內容。比如明確提出風險偏好、風險意識、風險理念、風險文化等全面風險管理軟要素;增加了全面風險管理政策、戰略、策略、決策,風險學習等重要內容;總結了我國企業全面風險管理的一系列重要方法和工具;增加“風險預警”的獨立內容,強調實時報警的重要性;增加“管理報告”的獨立環節,強調風險報告的重要性;增加“風險審計”獨立內容,強調風險審計的重要性,等等。
(三)將目標作為全面風險管理的前提而獨立出來了
COSO全面風險管理框架認為企業風險管理框架力求實現主體的戰略、經營、報告和合規4種類型的目標,并認為目標設定是事項識別、風險評估和風險應對的前提。《中央企業全面風險管理指引》未涉及企業目標的具體內容。3C全面風險管理基本框架首先界定了企業的目標體系,將其作為全面風險管理的前提而獨立出來了。具體探索表現在以下幾個方面:
1.3C全面風險管理基本框架明確了目標概念。企業目標是盡可能地創造價值,使企業價值最大化,全面風險管理目標與企業目標在總體方向上是一致的,但具體目標肯定是不同的,不能把企業目標和全面風險管理目標混為一談。
2.3C全面風險管理基本框架明確了目標分類。從全面風險管理的需要出發,考慮到我國企業的一般情況,企業的目標可從總體上分為社會目標、管理目標、經營目標、財務目標、遵循目標、其他目標等一級目標,在這個一級目標下細分了若干個二級目標,在二級目標下再細分三級目標。當然,在三級目標下,還可再繼續分下去,這就看企業管理的細化程度了。
3.3C全面風險管理基本框架明確了目標體系。企業目標是一個相互聯系、相互依存的目標體系。企業目標體系是有層次的。由于企業存在著不同的管理層次,每一層次都有其自身的目標,低一層次的目標必然要服務于高一層次的目標。企業目標體系是相互關聯相互滲透的。企業目標體系是需要整合的。企業目標體系是不斷變化的。
4.3C全面風險管理基本框架將COSO全面風險管理框架目標設定改為目標確定。
(四)強調了風險整合的理念
COSO全面風險管理框架特別強調風險組合觀,《中央企業全面風險管理指引》雖未明確提出風險整合的概念,但都有風險組合觀的思想。3C全面風險管理基本框架借鑒了COSO全面風險管理框架風險組合觀的觀點,將風險整合作為全面風險管理的基本標準,并明確了風險偏好、風險意識、風險理念、風險文化等全面風險管理軟要素。具體探索表現在以下幾個方面:
1.提出了一個全面的風險概念,認為危險和機會并存。COSO全面風險管理框架引入了“事項”這一概念,事項包括風險和機會。《中央企業全面風險管理指引》用不確定性對企業實現其經營目標的影響來定義企業風險,抓住了風險的本質特征,但其只是針對經營目標的影響,范圍狹窄。
2.明確界定了風險因素。COSO全面風險管理框架和《中央企業全面風險管理指引》均未明確風險要素,3C全面風險管理基本框架明確界定風險是由風險因素、風險事故和風險損失3要素構成。
3.確定了風險屬性。COSO全面風險管理框架首先界定了主體的所面臨的不確定性,國務院國資委頒布的《中央企業全面風險管理指引》對風險屬性沒有明確的界定,3C全面風險管理基本框架認為風險屬性是多樣的,具有客觀性、相對性、可變性、不確定性等屬性,其中不確定性是風險的本質特性。
4.明確了風險分類。COSO全面風險管理框架對風險未進行明確的分類,《中央企業全面風險管理指引》對風險按其內容和能否為企業帶來盈利等機會為標志進行了分類。3C全面風險管理基本框架認為企業風險應從總體上分為社會風險、管理風險、經營風險、財務風險、遵循風險、其他風險六個一級風險,在這些一級風險下細分了若干個二級風險,在二級風險下再細分三級風險。實際工作中,根據全面風險管理的需要,在三級風險下,還可再繼續分下去,但考慮到全面風險管理的成本和效益,一般分到三級即可。
(五)突出了內部控制與風險管理融合
COSO全面風險管理框架和《中央企業全面風險管理指引》都體現了管理融合的思想。3C全面風險管理基本框架將管理融合視為企業風險管理自身內部的融合,企業風險管理與企業業務的融合,企業風險管理與企業管理的融合,突出了內部控制與風險管理的融合。具體探索表現在以下幾個方面:
1.重新定義了全面風險管理。
2.明確全面風險管理目標。
3.強調了全面風險管理意義。
4.增加了全面風險管理政策、戰略、策略、決策的新內容。
5.明確了全面風險管理的主體。
6.確定了全面風險管理內容。
7.細化了全面風險管理流程。
8.總結了我國中央企業全面風險管理的方法。
9.將信息與溝通獨立出來。
10.增加了全面風險管理學習。
(六)進一步統一了全面風險管理語言
3C全面風險管理基本框架將風險辨識、風險確認、事件識別統一為風險識別,并定義為確認風險的過程;將風險計量、風險衡量、風險量度、風險測量、風險估計、風險估價統一為風險計價,并定義為風險的量化過程;將風險策略、風險應對、風險工具統一為風險應對,并定義為選擇應對風險策略的過程;將控制活動、控制政策、控制程序、控制措施、應對措施 統一為風險控制,并定義為應對風險的各種措施;將監督檢查、監督評價、持續監督、監控、監控系統、內部監督統一為風險監督,并定義為監督檢查風險的過程等等。
此外,3C全面風險管理實務標準和操作指南是COSO全面風險管理框架和《中央企業全面風險管理指引》所沒有的內容,不具有可比性,但它都是全面風險管理實際工作非常需要的具有可操作性的內容。
二、必然趨勢――內部控制和風險管理逐步走向融合
內部控制與風險管理走向融合,是一個必然的趨勢,這不僅是內部控制體系向前邁進了一大步,也為內部審計的發展指明了方向,因此為了適應這樣一種發展趨勢,我國現行的內部控制體系有必要逐步向全面風險管理體系升級和完善。
實際上,世界上內部控制與風險管理已逐漸融合了,把內部控制與風險管理試為同一事件。1992年,Treadway委員會的發起組織委員會(the Committee of Sponsoring Organizations of the Treadway Commission)了《內部控制――整合框架》,2004年,該委員會又了《企業風險管理――整合框架》,在該框架附件C中明確:內部控制被涵蓋在企業風險管理之內,是其不可分割的一部分。
國資委頒布的《中央企業全面風險管理指引》要求企業在開展全面風險管理工作的同時,還要與其他管理工作緊密結合,把風險管理的各項要求融入企業管理和業務流程中。我國的有些企業都在積極探索內部控制與風險管理的融合之道,中天恒管理咨詢公司為我國某中央企業設計的《全面風險管理手冊》,與公司現有管理體系和管理手段相銜接,實際上不僅僅是內部控制與風險管理的融合,而是整個管理的融合。
內部控制與風險管理融合的道理其實非常簡單。企業在實現目標的漫程中,會遇到各種各樣的風險;因此,就要采取措施控制風險。也正因為有風險才要控制,如果沒有風險,控制就是多余的了,就是添亂,當然更是浪費資源。風險與控制的關系簡單地說就是風險減去控制就等于剩余風險。當然,這個剩余風險一定要在企業可接受的水平范圍內。
如果內部控制與風險管理融合后,企業至少沒有必要既設立風險管理部,又設立內部控制部,設一個風險控制部就夠用了。風險管理與內部控制融合,就是要打破風險和控制水平之間的平衡,不要把現代企業的風險管理和控制僅僅當成是一項純粹的企業經營活動,它是一項包括了企業咨詢專家、企業決策者、中層管理者以及企業員工在內的綜合管理系統,需要各方面力量的協調和配合才能實現。
