风险管理主要程序大全11篇
时间:2024-01-24 17:01:18
风险管理主要程序篇(1)
二、研究框架设计
集团企业财务风险管理是一项涉及面广、技术复杂的系统工程。本文以系统论为理论指导,应用规范研究方法,设计相应的研究框架。
首先,确定研究问题。本文在前人研究成果的基础上确定了研究问题,即集团企业财务风险管理框架研究。以集团企业财务风险为研究对象,研究包括全部管理层次和实施要素的集团企业财务风险管理框架,丰富和完善财务风险管理理论,并为集团企业进行财务风险管理实践提供借鉴作用。其次,根据系统性原则、环境分析起点原则等,构建包括目标层、管理层和基础层三层,涉及管理目标、实施主体、程序方法、保障体系和管理基础五要素的集团企业财务管理框架。最后,对集团企业财务风险管理框架的三层五要素进行了系统分析。
三、构建集团企业财务风险管理框架应遵循的原则
(一)系统性原则
系统论的思想是指导企业财务风险管理的主要理论。系统论强调整体性原则,企业财务风险管理是一个系统,系统是由各组成要素相互联系、相互作用所形成的一个有机整体,系统的各组成要素是不可缺少、不可分割的;系统论强调目的性原则,企业财务风险管理系统通过系统功能的发挥而实现财务风险管理的目标,而系统功能的发挥又与系统的组成及结构有很大关系;系统论强调整体优化原则,企业财务风险管理系统整体性能是否最优会受到该系统组成管理要素及要素间关系变化的影响,若想发挥系统的最优性能,就需要根据环境的变化不断调整系统组成管理要素及管理要素间的关系,从而达到优化企业财务风险管理系统整体性能的目的。
(二)环境分析起点原则
环境分析起点原则从集团企业财务风险管理所面临的社会环境和任务环境分析开始。按照系统理论思想,既然要构建集团企业财务风险管理框架,它就有边界,边界外面就是环境。任何活动的实施都是在一定环境下进行的,集团企业财务风险管理活动具有主动适应环境并受环境影响的双重特性。
众所周知,集团企业财务风险管理的目标是受集团企业战略目标统驭的,制定集团企业战略目标是在环境分析的基础上进行的。因此,只有进行环境分析,才能知晓集团企业财务风险管理所面临的迫切形势,以及所面临的优势和劣势,然后利用环境造成的机会,回避环境造成的威胁,发挥自身优势,回避自身劣势。所以,确立集团企业财务风险管理目标时,必须以环境分析为起点。
(三)目标导向原则
目标导向原则是指我们在构建集团企业财务风险管理框架时,以确立的目标为导向。目标是集团企业财务风险管理的方向、也是评价管理效果的依据。我们应该以目标为导向确定集团企业财务风险管理的主体、活动和保障措施。当然集团企业财务风险管理的实施目标和集团企业战略目标应保持一致,这是由环境分析的结果确定的。集团企业财务风险管理是集团企业财务管理乃至战略管理的一部分,随着环境的不断变化,集团企业财务风险管理处于不同发展阶段,可能会面临不同的问题,因此需要以集团企业财务管理为目标,保持两者目标的一致性。
(四)具体问题具体分析原则
具体问题具体分析原则是指我们在构建集团企业财务风险管理框架时,在确定集团企业财务风险管理的主体、活动和保障措施,以实现集团企业财务风险管理目标时,要立足于我国的现状,根据我国国情,而不是一味地照抄照搬国外的做法。当然,我们构建的集团企业财务风险管理框架可以随着环境而变化、调整、优化,是适应环境的。
具体问题具体分析原则要求我们能够根据环境变化及时改变集团企业财务风险管理框架的构成要素,针对环境保护目标中出现的新的问题不断完善模式。目前,集团企业财务风险管理面临的环境发生着非常迅速、异常巨大的变化,这对我们构建集团企业财务风险管理框架提出了新的要求,即要根据环境变化及时调整层次和目标,明确主体、完善活动、健全保障体系、优化实施基础,合理保证集团企业财务风险管理的效率和效果,实现集团企业财务风险管理的整体目标。
四、集团企业财务风险管理框架的构建
集团企业财务风险管理要遵循系统性、环境分析起点、目标导向、具体问题具体分析原则,构建集团企业财务风险管理框架。我们构建的集团企业财务风险管理框架分为三层结构框架,即目标层、管理层和基础层,如图1所示。
五、集团企业财务风险管理框架的要素分析
(一)管理目标
管理目标是企业通过财务风险管理达到的目标,是我们构建集团企业财务风险管理框架的根本出发点和核心。我们在构建集团企业财务风险管理框架时就必须从管理目标出发。在集团企业财务风险管理框架中管理目标属于目标层的要素。管理目标是在确定企业战略目标的基础上,考虑了企业使命和风险承受度后制定的。当然,目标应该从上向下层层分解,每一层管理主体都负有与其权责相对应的目标、指标和考核标准。
(二)责任主体
责任主体是企业财务风险管理程序方法的实施者或者参与者,是指集团企业财务风险管理实现目标的主体。众所周知,任何实施行为必然包括三个不可缺少的部分:主体、活动和控制系统。集团企业财务风险管理也是一种实践活动,这种活动的主体也是有意识有能动性的人,但是人是处于不同的组织中,根据各自组织的权责实现人的意志。所以,集团企业财务风险管理的责任主体是各级组织中的人,这些组织包括股东大会、董事会、监事会、经理层、部门、岗位、子公司等。
责任主体是集团企业财务风险管理的核心力量,其中,股东大会是公司的最高权力机构,站在所有者角度,通过有效管理所有者的财权,对集团企业财务风险进行管理;董事会是集团企业的经营决策机构,从财务管理的角度看,同样是经营者财务监督体系的核心和最高层。董事会从行政者的角度,通过全方位负责财务决策有效性,对企业财务风险进行管理;监事会是公司的司法者,在财务风险管理领域,监事会应当全而了解集团企业财务风险管理现状,跟踪监督董事会和高级管理层为完善内部控制所做的相关工作,检查和研究日常经营活动中是否存在违反既定财务风险管理政策和原则的行为;总经理及其集体是公司经营管理最高执行层。从日常财务监督的组织、管理和实施过程看,总经理及其集体的主要职责是负责执行财务风险控制政策,制定财务风险控制的程序和操作规程,及时了解财务风险水平及其控制情况,并确保集团企业具备足够的人力、物力、恰当的组织结构、管理信息系统以及技术水平,来有效地识别、度量、控制财务风险,并定期或者不定期评价财务风险控制的效果和效率;部门主要包括财务风险控制部门、财务控制部门、内部审计部门等。企业所有岗位能够实施或者参与财务风险管理的人,都是财务风险管理的责任主体,通过各自职责的履行情况,对企业财务风险进行管理。企业所有岗位都是财务风险管理的责任主体;之所以把子公司单独列为一个责任主体,是因为集团企业所属的子公司往往也存在背离母公司的倾向,从 而使母公司面临失控,导致财务风险。
(三)程序方法
程序方法是企业财务风险管理的基本程序和方法,是责任主体所表现的行为集合,表现为责任主体进行财务风险管理的行为举动,同时也是控制系统主要监督、控制的内容,包括规范的财务风险管理基本流程。集团企业财务风险管理的程序方法至少应该包括:风险识别、风险度量、风险应对和管理评价等。集团企业财务风险管理目标实现的效果和效率是由责任主体实施程序方法的效果和效率决定的,我们必须加强责任主体实施程序方法的引导、控制和评价,以便使集团企业财务风险管理朝着有利于管理目标去组织、贯彻和实施。
(四)保障体系
保障体系是保证各责任主体按照企业财务风险管理流程来实施管理的程序方法得以落实的制度、机制和手段。保障体系是连接责任主体和程序方法的桥梁,是责任主体和程序方法的信息传递和沟通体系,是责任主体实施程序方法的保障机制。没有健全、有效的保障体系,仅仅依靠责任主体的程序方法,很难保证集团企业财务管理的效果和效率,所以我们要建立、健全责任主体实施程序方法的保障体系。本文构建的保障体系包括:完善风险管理的内部控制系统、开展信息化、建立财务预警系统、健全内部管理制度和审计等。
(五)管理基础
风险管理主要程序篇(2)
市场秩序风险是在特定客观情况下,在特定时间内,市场中的某一事件其预期结果与实际结果间的变动程度。变动程度越大,风险越大;反之,则越小。这一定义首先确认市场秩序风险是客观存在的,其大小可度量;其次。风险的存在与客观环境和一定的时空条件有关,当这些条件发生变化时,风险也可能发生变化;最后,风险伴随着企业经营活动的开展而存在,只有在市场中进行经营活动时,才会对该活动有一个预期结果,这是风险存在的前提。
风险管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。在风险监管模式下,通过对市场秩序形势和市场秩序风险进行分析和研究,动态评估市场秩序风险变化情况,并对可能产生的风险隐患提出预警,研究提出消除市场秩序中不稳定、不健康因素的对策措施。
风险管理的重点包括以下四个方面:一是事前管理,即从传统的事后合规性监管向事前预防的动态监管转变;二是科学管理,即从传统的经验判断向科学评估转变:三是重点管理,从传统的粗放式监管向重点防范高风险的差异化监管转变;四是服务公众,在实施风险监管的同时加强与消费者密切相关的预警信息的披露。
二、市场秩序风险的表现层次
市场秩序风险主要分为两大类,一类是市场主体风险,包括虚假出资、商业贿赂、商业欺诈等风险:另一类是市场交易客体风险,包括流通领域食品安全、商品质量和服务风险。市场客体风险根据风险的类型可以分为质量风险、虚假宣传风险和知识产权风险:而市场主体风险又分为系统性风险(整体风险)和非系统性风险(个体风险)。系统性风险是指由于某种全局性的共同因素引起某一行业或某一区域所有企业都存在相同的风险因素,非系统性风险是某一企业特有的风险。
系统性风险又可以按照区域、行业等划分为区域风险和行业风险。由于风险的存在与客观环境和一定的时空条件有关,因此非系统性风险一般包括风险的行业属性、空间属性和时间属性。风险的表现层次如下:
相对于非系统性风险,系统性风险是危害比较大的风险。因为非系统性风险可能是单一经营者自身原因造成的,不具有典型性:而系统性风险可能是制度或规则上的漏洞和缺陷,具有普遍意义,风险有大规模爆发的可能,是风险监管的重点。当然,随着风险的转移和扩散,非系统性风险也可能演变成系统性风险,因此对非系统性风险应判断其是否具有苗头性和普遍意义。
三、当前市场秩序风险存在的主要原因
(一)信息不对称是高风险群体充斥市场的主要原因
信息不对称主要表现为逆向选择问题,即交易双方在达成协议前,南于不知道产品的质量高低,因此只能够根据平均质量支付价格,这样质量高于平均水平的产品就会因为卖不上价钱而退出市场,结果就是造成低风险群体退出市场,市场上充斥的大都是高风险群体。就商品质量和食品安全而言,安全性高的商品或食品就会被安全性低的商品或食品“挤出”市场。
政府在解决信息不对称方面的作为主要包括两个方面的内容:一是以质量监测为基础的商品质量信息:二是以风险评估为基础的消费指导和消费预警。
(二)低成本的无序退市成为市场秩序的主要隐患
目前企业退出主要有两种途径:一是守信、守法企业的有序退出途径,即办理注销,这就意味着需要清理债权债务,需要完税和公告注销;二是违法、失信企业的无序退出途径,即吊销营业执照。企业在有序退出时。需要提供多种材料,履行多种程序以后方可办理注销登记;而无序退出时,只需承担较小的机会成本。因此,吊销营业执照已成为市场主体低成本退市或“侵权式”退市的“首选”方式。这种无序退市的市场主体必然会有一部分通过退出有意识地侵权获利,产生“外部性”行为。
政府在解决无序退市方面的作为主要为两个方面:一是锁定无序退市企业的法定代表人的再投资行为,二是建立主体资格与经营资格相分离的企业登记制度。
(三)信用机制的不健全是造成非系统性风险在区域间转移的基本原因
市场经济是信用经济,信用机制是维护市场经济秩序的基石。而信用机制的缺失将导致市场主体之间无法建立起长期的、稳固的经济联系,在市场信息流动缓慢和透明度较低的情况下,风险主体就会倾向于向其他区域转移。
政府在解决信用机制不健全方面的作为主要为两个方面:一是通过行政强制和行政限制行为强化企业信用信息的行政约束功能,二是通过扩大信用信息的公示和传播强化企业信用信息的市场约束功能。
(四)行业自律机制的缺失是造成非系统性风险向全行业扩散的主要原因
行业协会的行业自律机制主要包括两个方面的内容,一方面是行业内对国家法律法规的遵守和贯彻,另一方面是行业内的行规行约制约自己的行为。近年来,我们更多地强调行业自律的第一个功能。这就造成行业协会在运用行规行约制约自己的功能没有得到有效发挥,这将导致行业内非系统性风险演变成普遍认可的潜规则,最终形成全行业的风险。
政府在行业自律机制建设方面的作为主要包括两个方面的内容:一是引导行业协会建立行规行约实现自我管理的功能;二是引导行业协会发挥在消除行业潜规则规范行业秩序方面的功能。
四、市场秩序风险监管的主要思路
(一)风险的识别与评估
对于风险的识别与评估问题,可以从两个角度来分析。一是从工商职能和问责的角度来审视风险。可以称之为“问责风险评估”,包括三个层次:第一类风险是直接影响人身财产生命安全的风险,这类风险属于首要问责的风险,包括无照经营、食品安全风险等;第二类风险是存在重大市场秩序隐患的风险,这类风险属于直接问责的风险,包括传销、欺诈等;第三类是南于消费争议等民事纠纷行为引起的风险,这类风险属于间接问责的风险,包括知名产品的虚假宣传等。二是从统计资料和检测数据分析的角度来审视风险,称之为“概率风险评估”。评估资料来源主要包括三个方面:一是历史案件信息,二是查证属实的投诉举报信息,三是抽查检测数据。根据问责的轻重程度将风险分成若干类别,根据统计资料和监测数据将风险分成若干级别,建立问
责风险与市场秩序风险相结合的分类分级制度。
(二)风险的监控与预警
经过风险识别和评估环节确定的风险属于静态的、潜在的风险。而风险监控是对风险识别和评估环节确定的风险实施动态跟踪的过程,通过动态的跟踪监控,分析风险的实时状态和发展趋势,从而准确地预测发生风险的可能性。风险监控的信息来源是实时的巡查信息、案件信息和投诉举报信息。风险预警是判断各种风险指标和因素是否突破了风险警戒线,根据判断结果决定是否发出警报,发出何种程度的警报以及用什么方式发出警报。
(三)风险的控制与应对
对于风险识别和评估环节确定的静态风险,建立“预防性控制机制”。一是建立与风险类别和等级相适应的巡查机制。二是要将该风险的类型和级别与执法资源相匹配,例如集中执法力量防范高级别风险。j是针对不同表现形式的风险采取不同的控制措施,例如对于众多的中小企业可以实施以行业性风险监控为重点的效能化管理。
对于风险监控和预警环节确定的动态风险,建立“发现性控制机制”。一是要反馈到风险评估环节,调整相应风险的级别;二是根据风险的紧急和严重程度,通过行政指导、公示披露、专项整治、应急执法等措施,最大限度的消除隐患、恢复常态。三是高度警惕和关注风险的扩散(包括风险的转移和放大),要避免风险由点到面、由局部向全区域蔓延,防止非系统性风险放大为行业风险。需要强调的是,高风险群的转移要比消失更为普遍,因此风险化解后的跟踪非常重要。此外,风险扩散程度与时间具有非常大的相关性。因此快速反应和快速决策是控制风险扩散的最有效方式。
五、加强市场秩序风险监管的建议
(一)建立与风险类别和风险等级相适应的巡查机制
在对辖区内市场主体的风险分析的基础上,运用最适合的巡查方式,提高监管效能。
一是现场检查,对于现场具有商品(食品)的加工、制作、储藏、销售行为的市场主体,因为这类企业具有较高的商品质量风险和知识产权风险,因此采取现场检查的方式。现场检查的方式包括书面核查、实物检查和抽查检测三种方式。要重点关注能够引发部门监管责任的“问责风险”,强化对风险环节的痕迹化管理。
二是对于位于写字楼里面的一般性商务企业,通过MSN等即时通讯工具与写字楼主办单位取得动态联系,让主办单位将写字楼内企业的异动变化情况反馈给工商部门,例如有企业仓促撤离等现象时需要及时报告。对于需要书面核查的具体企业,也可以通过MSN点对点地提交相关材料。
三是对于现场没有直接交易但是提供商品和服务的企业,应将企业网站作为风险控制的主要对象。
(二)建立市场秩序风险指标体系,从定性的风险描述向定量的风险指标控制转变
市场秩序风险指标是在风险识别和评估过程中用来判定风险高低的量化数据。既可以是针对系统性风险(行业、区域)的统计类指标,也可以是针对具体非系统性风险的个性化指标。市场秩序风险指标可以分为两种类型,一种是概率类指标,另一种是阈值类指标。概率类指标要看偏离程度,阈值类指标要看是否越过限制值。
指标在选取时应该满足三个条件:一是指标对市场秩序风险的重要程度,这决定了指标的有效性;二是指标的变化应该能足够反映风险的变动情况。这决定了指标的灵敏性;三是指标需要较全面地反映市场秩序风险情况,这反映了指标的完备性。
(三)建立市场秩序风险数据库,强化风险管理的精细化水平
风险管理主要程序篇(3)
第一条为加强商业银行的操作风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规,制定本指引。
第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。
第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。
第四条中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查,评价商业银行操作风险管理的有效性。
第二章操作风险管理
第五条商业银行应当按照本指引要求,建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系,有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一,但至少应包括以下基本要素:
(一)董事会的监督控制;
(二)高级管理层的职责;
(三)适当的组织架构;
(四)操作风险管理政策、方法和程序;
(五)计提操作风险所需资本的规定。
第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。主要职责包括:
(一)制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策;
(二)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保全行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;
(三)定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性;
(四)确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;
(五)确保本行操作风险管理体系接受内审部门的有效审查与监督;
(六)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系地建设。
第七条商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括:
(一)在操作风险的日常管理方面,对董事会负最终责任;
(二)根据董事会制定的操作风险管理战略及总体政策,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程,并定期向董事会提交操作风险总体情况的报告;
(三)全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目;
(四)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行;
(五)为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等;
(六)及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。
第八条商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门应保持独立,确保全行范围内操作风险管理的一致性和有效性。主要职责包括:
(一)拟定本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;
(二)协助其他部门识别、评估、监测、控制及缓释操作风险;
(三)建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序;
(四)建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理;
(五)为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责;
(六)定期检查并分析业务部门和其他部门操作风险的管理情况;
(七)定期向高级管理层提交操作风险报告;
(八)确保操作风险制度和措施得到遵守。
第九条商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括:
(一)指定专人负责操作风险管理,其中包括遵守操作风险管理的政策、程序和具体的操作规程;
(二)根据本行统一的操作风险管理评估方法,识别、评估本部门的操作风险,并建立持续、有效的操作风险监测、控制/缓释及报告程序,并组织实施;
(三)在制定本部门业务流程和相关业务政策时,充分考虑操作风险管理和内部控制的要求,应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性;
(四)监测关键风险指标,定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况,并及时通报重大操作风险事件。
第十条商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时,应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。
第十一条商业银行的内审部门不直接负责或参与其他部门的操作风险管理,但应定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。
鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。
第十二条商业银行应当制定适用于全行的操作风险管理政策。操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括:
(一)操作风险的定义;
(二)适当的操作风险管理组织架构、权限和责任;
(三)操作风险的识别、评估、监测和控制/缓释程序;
(四)操作风险报告程序,其中包括报告的责任、路径、频率,以及对各部门的其他具体要求;
(五)应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动,及时评估操作风险的各项要求。
第十三条商业银行应当选择适当的方法对操作风险进行管理。
具体的方法可包括:评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。
第十四条业务复杂及规模较大的商业银行,应采用更加先进的风险管理方法,如使用量化方法对各部门的操作风险进行评估,收集操作风险损失数据,并根据各业务线操作风险的特点有针对性地进行管理。
第十五条商业银行应当制定有效的程序,定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险,建立早期的操作风险预警机制,以便及时采取措施控制、降低风险,降低损失事件的发生频率及损失程度。
第十六条重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。
第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段,与此相关的内部措施至少应当包括:
(一)部门之间具有明确的职责分工以及相关职能的适当分离,以避免潜在的利益冲突;
(二)密切监测遵守指定风险限额或权限的情况;
(三)对接触和使用银行资产的记录进行安全监控;
(四)员工具有与其从事业务相适应的业务能力并接受相关培训;
(五)识别与合理预期收益不符及存在隐患的业务或产品;
(六)定期对交易和账户进行复核和对账;
(七)主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度;
(八)重要岗位或敏感环节员工八小时内外行为规范;
(九)建立基层员工署名揭发违法违规问题的激励和保护制度;
(十)查案、破案与处分适时、到位的双重考核制度;
(十一)案件查处和相应的信息披露制度;
(十二)对基层操作风险管控奖惩兼顾的激励约束机制。
第十八条为有效地识别、评估、监测、控制和报告操作风险,商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息,支持操作风险和控制措施的自我评估,监测关键风险指标,并可提供操作风险报告的有关内容。
第十九条商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,并应当定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时这些方案和机制的正常执行。
第二十条商业银行应当制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。
第二十一条商业银行可购买保险以及与第三方签订合同,并将其作为缓释操作风险的一种方法,但不应因此忽视控制措施的重要作用。
购买保险等方式缓释操作风险的商业银行,应当制定相关的书面政策和程序。
第二十二条商业银行应当按照银监会关于商业银行资本充足率管理的要求,为所承担的操作风险提取充足的资本。
第三章操作风险监管
第二十三条商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的,还应提交外部审计报告。
第二十四条商业银行应及时向银监会或其派出机构报告下列重大操作风险事件:
(一)抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;
(二)造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;
(三)盗窃、出卖、泄漏或丢失资料,可能影响金融稳定,造成经济秩序混乱的事件;
(四)高管人员严重违规;
(五)发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;
(六)其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件;
风险管理主要程序篇(4)
(一)框架内容 风险导向审计框架划分成五大子系统。即战略计划、业务程序、组织建构、风险评估体系和抽样模型。具体如下:(1)战略计划。战略计划指建立定位及目标。战略定位即制定风险导向审计实施的步骤、环节和措施。战略目标是确定风险为导向内部审计的范围、目标、职能、方式,重新规划与审视内部审计的业务范围。战略计划指明发展前景,风险导向内部审计实施的第一步是战略计划设立。(2)业务程序。业务程序包括两部分即现有程序侦测和程序变革。现有程序侦测即对先行审计业务程序与运行中的问题进行分析;流程变革是对审计业务程序中的变革内容、方法进行阐明。完成核心业务程序变革才能实现战略计划。业务程序的变革即诊断、分析与再设计内部审计流程,再重构高效率的新流程。(3)组织建构。组织建构由组织建构侦测与组织建构变革组成。组织建构侦测即建构先行审计组织与分析问题;组织建构变革阐明变革内容、方法。所以,组织机构和业务程序是业务程序实现变革的保障,两者相辅相成。(4)风险评估体系风险评估系统由风险评估框架及思路组成。风险评估框架思路指年度审计计划和具体审计项目运用。框架内容包括识别风险评估对象、企业目标、制定风险容忍度与风险偏好、设置风险评估信息数据库、建立评估风险影响程度与发生可能性的选择风险评估模型、标准等;二是分析、识别、评估风险。风险评估系统是风险导向内部审计模式推行的手段与工具,风险评估程序引入于风险导向内部审计模式中,并在内部审计业务程序的各个环节得以运用。(5)抽样模型。抽样模型包括审计抽样方法和审计风险模型与设定样本规模,审计抽样方法指常用的方法;审计风险模型与设定样本规模是明确样本规模和内部审计风险评估结果间联系,及以风险评估结果确定样本规模。抽样技术模型的建立是为了在审计抽样规模及风险评估结果间建立有机的联系。
(二)五个子系统相互关系 实施风险导向内部审计须注意五个子系统的变革因素,变革的最终目的是实现战略目标。要实现战略目标,需其它四个子系统支撑,审计工作的成功变革,五个子系统不可或缺。图1是用金字塔形表示框架子系统的相互关系。
变革管理的最终目标是战略计划。核心流程驱动战略计划的实现,是整个变革管理的关键与要素核心即业务程序变革。它要求并推动组织建构发生变化,而业务程序变革顺利实施的基本保障即组织建构。要实现业务程序变革,就得构建有效的抽样技术模型与风险评估系统,风险评估系统是实现变革的“使能器”,扮演必不可少的角色。总之,框架5 种子系统缺一不可,相辅相成,变革的实施过程, 五项因素和相互关系要综合考虑,使变革顺利进行。
二、风险导向内部审计实施流程分析
评价企业风险管理的有效性是风险导向内部审计的目标,提供合理的保证以实现目标。详细研究风险导向内部审计的方法与实务,将风险管理的方法与技术和现代审计方法与技术结合起来,从一开始,实现目标的风险就要考虑,内部审计将风险意识贯穿于整个审计过程中。
(一)制定审计方案 (1)业务程序分析。控制业务风险是风险导向审计中要达到的结果。审计人员要理解活动内容、执行人、执行顺序、输入内容及结果,从头到尾完整的活动组成一项业务。第一,调查当前业务。应从查看现有的文件开始进行业务调查。与业务相关的资料如程序手册、政策、业务程序图、涉及人员的岗位描述,可以提供必要的信息,如有必要可与执行业务人员讨论,使审计人员能评估此业务设计是否能可控制关键风险。评价业务设计的有效性需详细并足够地了解业务。第二,建立业务程序审计文件。首先,高级业务程序图。高级业务程序图描述业务与子业务的工作流程,使审计人员熟悉业务的系统、活动、子业务和报告间接口,程序图中方框表任务;文件符号表输入输出;圆柱体符号表计算机应用与系统;箭头表工作流方向。简单的高级业务程序图,使审计人员了解必需的业务信息,并能作为详细业务图的总结图。其次,详细业务程序图。高级业务图提供不了更详细的信息。详细业务程序图描述更多具体的输入、任务、行动、系统、决定和输出。还要记录相应的信息,以增进对业务的全面了解。详细业务图提供了大量的业务信息,足以支持审计人员对整体业务设计的充分性、主要控制、及期望的判断。再次,叙述法。叙述文件一是对业务的总体描述;二是主要输入;三是业务的主要步骤;四是主要输出;五是关键控制;六是管理的风险。业务叙述文件格式可以不同,但须注意确保文件是可理解的。叙述文件或业务图也可两者组合,有助于后面对业务设计的理解。保证评估设计的有效性。
(2)分析主要控制。业务由许多行动组成。结果的实现全部行动都发挥了作用,但对结果至关重要的只有很少的行动;关键的行动为主要控制。主要控制的性质和类型可能不同。控制是可防可测的。COBIT ,COSO,COCO等是当前已有的控制模型。主要关注控制起的作用,没有公式或基准表来判定主要控制。审计人员要思考,一是清楚了解期望结果后,必须思考、评估每一个行动不充分执行可能产生的后果及造成损害的严重程度,程度轻可能不是主要控制;可与其它行动同时运行,二者一起构成主要控制(如,自己批准的一项交易,可能非主要控制,但和每月预算执行差额检查共同开展时,两者可构成一个主要控制)。二是思考还有其它补充行动吗?如能防止发生潜在结果的可能性极小。那主要控制可能是补充的行动。三是主要控制的确认要多年经验,但如果按以上做法,大部分主要控制可能辨识出来。
(3)分析业务风险。一是评估业务风险。业务风险的可能与影响可通过审计来验证,评估要有侧重点且保持一致性,关注可能的最坏情况,以及特定业务还须关注风险的声誉、战略或其他影响。评估风险级别—低、中、高。二是记录风险评估。审计底稿应记录每个风险的影响和判断的可能性。整个审计程序的判断基础都贯穿这些判断(如,关键控制、审计测试的确定)。确定风险水平的必要信息要包含底稿每一栏。如风险的名称、定义、重要性、评级和可能性。
(4)理解管理层风险承受水平。管理层要设定风险承受水平,审计小组对内容要合理的理解,其理解不会左右审计人员的判断,能使审计方法和评价会考虑管理层能承受的风险水平。使审计人员平衡管理层与治理层对风险承受水平的了解。很详细是不实际的。管理层须说明风险承受水平及多种可能性。与管理层讨论要关注:一是对管理者目标实现的变化高层管理人员容忍度有多大?二是管理层对KPI执行与监控有多严格?三是管理层认为重大影响是什么,什么是管理层不想处理和承受的潜在风险与情况?以上信息能使审计人员评价程序设计的差距,确定审计测试需要执行与提交哪些。
(5)业务风险管理差距分析。审计方案设计最后一步为要确认设计中没能把关键风险有效控制在期望水平的差异,专业判断与评估业务总体的有效性。先确认差距,评估主要控制,控制每项关键风险在可承受的范围内。审计人员对设计中的存在的差距必须确认。设计有哪些缺陷、缺陷的原因与影响、弥补措施,记录底稿中,差距判断结果要说明设计有无有效性,有没差距,是否重大。最后评估业务的整体有效性,要考虑:关键风险如不能控制在期望水平,是否有缓解因素(如,监督,复查,补偿控制,其他控制措施等)能降低影响,整体而言,可以统一的术语(强、适度、弱设计)交流评估结果。
(二)实施审计测试 业务设计除有效性是不够的,审计测试主要工作还须严格保证按设计运行。(1)测试业务运行。验证是否按设计运行要实施审计测试,审计测试包括符合性测试和实质性测试,符合性测试是确认活动是否符合已制定的规定及指南。实质性测试是为了估计总体值或推断实质值和期望值之间的差异。一是设计良好的业务。审计人员须对属性测试能否增加价值审慎思考。并非所有属性都能对业务运行的有效性评价提供帮助。无需考虑所有属性和风险,应保证风险导向审计的有效。二是设计不充分的业务。某业务可能控制关键风险不能到预期水平,或某些部分没能按设计运行。审计人员应发现可改进的地方。就要量化测试确定设计缺陷和没能按设计运行的影响。此时审计人员应明确量化测试的性质和范围。有时可采用多重测试能达到最高效率和最好效果。能同时提供运行的审计和业务设计证据。(2)记录测试方法和结果。要记录和归纳审计测试的依据和方法,内容有:风险名称、测试方法、测试结果。把关键风险和测试方法与结果联系起来有助于评估业务的有效性。(3)业务运行差距分析。不能把关键风险控制在期望水平的差距确认是测试阶段的最后一步。要用技巧作出专业判断。对运行中的存在的差距必须确认。运行有哪些不足和缺陷,缺陷的原因与影响,弥补措施,记录底稿中,差距判断结果要说明运行有无有效性,有没差距,是否重大。关键风险如不能控制在期望水平,是否有缓解因素(如,监管、审计、补充控制等)能降低影响,整体而言,可以统一的术语(强、适度、弱运行)判断结果。一直以来审计实施阶段,内部审计人员都集中精力于内部控制系统的审查,企业活动的内部控制通过符合性与实质性测试,做出评价。向管理层提出加强内部控制的措施。
(三)编制审计报告 审计报告主要包括以下内容:(1)审计发现。审计发现是认定特定事件、问题、确认的机会或差距。说明审计发现的相关性。审计发现不要不必要的信息。(2)潜在影响。要侧重说明可能的最坏影响,这样最能促发行动。可能的实际最坏影响要主要关注,但需要采取不同行动的其他可能影响也要说明。如可行,要关联业务目标、关键风险或影响,能强化审计发现的相关性。(3)根本原因。理解驱动因素或潜在的原因很重要,可减少或防止问题的重复发生。要避免审计者假设根本原因是复杂或精细的。一般审计师与业务管理人员有必要沟通原因。(4)审计建议。审计发现后有价值的是提出审计建议,内部审计这一阶段要对审计证据评价与整理,撰写审计报告,对被审计单位意见进行征求并对底稿复核、下审计建议和决定。制定可行且有意义的建议最重要。审计建议要着眼于解决而不仅是提出。结果要可测,投入和执行成本应与行动所得的补偿价值相当。审计人员与业务管理人员可对过程监控以确保实施。与业务管理人员一起制定方案更可能成功,因为,管理人员对行动计划的帮助制定,能缓解对抗气氛,有利于实施行动。(5)管理层声明。审计师要保证管理人员能理解审计发现、建议和原因、影响。要与具体责任人及业务管理人员适当讨论审计发现。可能管理人员有不同的想法,审计师应持开放的心态对待这些想法,可能管理人员方案更有效。若审计师的建议,管理人员不同意,可能管理层的风险承受水平审计师没有完全理解。应对管理层的风险承受水平更深入理解,从而与管理人员达成一致。(6)审计处理。下一步审计师要进行审计处理,包括审计报告要包含审计发现内容;修改或合并审计发现,提供更可行方案;与管理人员探讨风险较低、最终审计报告中不包括的审计发现,且对改进机会的信息非正式传递;从审计报告中,以管理层的考虑与后续事实删除些审计发现。最终责任的人对每一项审计发现建议要落实。执行者要确定唯一的一个
风险管理主要程序篇(5)
风险是指组织内部受到某些不确定因素的影响而遭受某种损失的可能性。建筑工程项目一般具有投入资金多、规模大、周期长、不确定性因素多、易受自然条件及地质水文情况和社会环境因素影响等特点,在工程建设期间,工程项目管理组织将不可避免地面临各种各样的风险。随着现代建筑工程项目逐步大型化,国内一些管理组织在20世纪90年代末不断将工程项目风险管理理论应用于工程实践,以使工程项目最大程度上避免各种风险给工程带来的损失,提高管理效率,促进经济效益。
本文论述的建筑工程项目风险管理审计是指业主内部审计部门采用一种系统化、规范化的方法,对工程投资决策、财务管理、工程质量、工期、造价、技术等风险的识别、分析、评价、处理等管理行为的一系列审核活动,是对工程项目风险管理的控制、监督及评价的过程。
一、工程项目风险管理与风险管理审计
工程项目风险管理是项目管理人员对可能导致损失的项目不确定性进行预测、识别、分析、评估和有效地处置,以最低成本为项目的顺利完成提供最大安全保障的科学管理方法。
建筑工程项目风险管理审计是指工程项目组织内部审计部门、内部审计人员采用一种系统化、规范化的方法,对组织内部风险管理程序、对策及体制、机制的合理性、有效性进行审查和评价,是对工程项目风险管理系统的控制、监督及评价的过程。
关于风险管理与风险管理审计二者的关系《,内部审计具体准则第16号-风险管理审计》中提出“风险管理是组织内部控制的一部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”。可以看出,风险管理是风险管理审计的前提和基础,风险管理审计注重确认和测试风险管理部门为降低风险而采取的方式和方法及相关制度和程序,与风险管理本身有所区别。但从工作步骤、工作方法上看,二者有很多相似,其功能和最终目的都是减少组织风险损失,提高组织管理效益,因而风险管理内部审计从某种意义上说又是风险管理的组成部分和重要内容。
二、开展建筑工程项目风险审计的自身特点和现状
1.建筑工程项目风险审计的自身特点。第一,审计范围广。工程项目风险管理审计注重确认和测试风险管理部门为降低风险而采取的方式和方法,因此审计工作涉及整个工程项目管理系统。第二,审计专业性要求更强。审计人员的审计工作由原来的内部控制审计扩展到所有工程风险管理技术审计,工程项目风险管理审计还要求广泛运用统计分析、计算机等技术方法,因此,对审计人员专业技能要求较高。第三,开展工程项目风险管理审计要求有较完备的管理系统及其子系统,如风险管理系统、合同管理系统等,为风险管理审计提供支持。
2.我国开展建筑工程项目风险审计现状。近些年,一些大中型建筑工程项目管理者开始认识到风险管理在现代项目管理中的重要作用,逐步将风险管理理论应用于工程管理实践。但就总体而言,项目管理者风险意识淡薄,缺乏积极、主动、系统的风险管理行为。工程项目管理过程中的风险管理活动往往是瞬时的或者间断性的,缺乏对风险进行定期的复核和再评估。另外,大部分工程项目管理组织的风险管理组织架构还不完善,缺乏现代意义上独立的风险管理部门。这里我们引用风险管理研究与开发项目合作组提出的项目风险管理成熟度模型的四个等级标准,即临时级、初始级、可重复级、管理级。可以看出,风险管理实践在我国建筑工程管理实践中的应用还处在初始级或可重复级。
而风险管理审计工作作为一种现代审计模式,在建筑工程管理实践中,受到管理者风险意识程度、组织内部机构设置、内部审计技术力量等因素的影响,在大多数工程项目中还未全面开展,工程项目风险管理审计尚处在理论研究与初步实践阶段。
三、工程项目风险管理审计的一般原则和审计步骤
1.一般原则。建筑工程项目的风险管理审计应当坚持依法审计、实事求是、独立客观、职业审慎、保守秘密等原则。内部审计人员应认真贯彻执行国家的方针政策、法律法规、规章制度和实务标准,充分考虑工程项目风险管理审计的复杂性、艰巨性,遵循适当程序,采用先进方法和手段,科学有序地按步骤开展审计工作。风险管理审计工作应有利于工程项目生产与管理,增加企业效益。
2.审计步骤。建筑工程项目风险审计的工作要求高、专业性强、责任重、审计风险大。要做好建筑工程项目风险审计工作,防范审计风险,一般要按以下步骤开展各项风险管理审计工作。第一,识别风险。制定工程项目风险管理审计计划,包括制定工程项目财务风险管理、施工生产风险管理、建筑市场风险管理、项目组织人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。第二,分析风险。对工程风险迹象进行深入了解、做好记录,并对风险进行分类。第三,评估风险。分析工程风险的成因及其影响,确定风险程度及等级。第四,监控风险。对可能发生的风险和损失进行跟踪检查或后评估。跟踪已识别风险的发展变化情况,包括在整个工程项目生命周期内,风险产生
的条件和导致的后果变化。第五,处置风险。
以上审计步骤,是开展建筑工程项目的各项风险管理审计具体工作的一般步骤,同时也是风险管理审计的基础性工作,它与各业务部门风险管理的具体工作既有所联系,又有所区别。内部审计机构、内部审计人员应协调各业务部门严格按照以上审计步骤,扎实地做好风险管理审计的基础性工作,有效防范审计风险。
四、建筑工程项目的几类风险管理审计
建筑工程项目的风险管理审计主要包括工程风险管理体制审计、工程风险管理机制审计、工程风险管理程序审计、工程风险管理对策审计。工程项目组织内部审计机构、内部审计人员可以针对建筑工程项目的特点,在工程项目进展的不同阶段应有重点地、有计划地、分步骤地开展以上几类风险管理审计工作。之间并不是彼此分开的,而是相互联系、互为一体的,都是开展风险管理审计工作的重要组成部分,只是在工程项目的不同阶段审计工作的侧重点不同。
1.工程风险管理体制审计。工程风险管理体制审计主要在工程项目组织成立初期开展,审查、评价风险管理体制的合理性和完善性。重点审查、评价建立风险管理制度是否经过充分论证,财务管理体制、考核评价体制和责任追究制度等制度是否健全。
2.工程风险管理机制审计。工程风险管理机制审计一般同风险管理体制审计在项目组织成立初期同期开展,主要审查评价风险管理机制的结构性和尽责性。重点审查、评价高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;审查评价工程风险管理人员的结构和素质,是否具备胜任风险管理的能力,有无高度的事业心和责任心;审查评价全员风险管理的情况,包括工程管理人员在风险管理中岗位的设定和责任的明确性。
以上两项审计是从组织建设方面对风险管理系统的审查和评价,目的是为组织决策层提供组织建设决策依据。虽然这两项审计相对于后面叙述的工程风险管理程序与对策审计,从技术层面上来讲要相对简单,更加侧重于对组织的定性评价,但完善、合理的组织建设是风险管理的基础,同时,也为风险管理程序与对策审计提供组织方面的支持,因此风险管理体制与机制审计工作要认真做到科学、客观、公正、有效。
3.工程风险管理程序审计。工程风险管理程序审计贯穿于工程项目管理的始终,审查、评价内容包括从工程项目的可行性研究、设计,直到项目施工、验收、后期服务等工程项目风险管理框架结构内的所有内容,主要审查、评价风险管理程序的科学性和合理性。内部审计机构应有重点地、有较强针对性地开展审计工作。比如,工程招投标阶段,重点审查、评价招投标过程中风险管理部门是否采取了规范化程序规避风险,规避风险程序是否有效运行;施工过程中,风险管理程序是否有效地通过管理信息系统使得规避风险措施在工程管理中得到落实;组织之间、组织与外部之间财务往来核算办法是否能够通过风险管理程序有效规避风险等。风险管理程序审计和后面叙述的风险管理对策审计涉及到内部审计机构与组织内部各业务部门之间的协调,同时也需要组织内部各部门间的配合,还需要合同管理系统、施工管理系统等其他管理子系统的协作,是开展建筑工程项目的风险管理风险审计的工作重点,也是工作难点。
4.工程风险管理对策审计。工程风险管理对策审计重点审查、评价工程风险管理对策的周密性,即风险应对计划是否对已经发现的风险的每个层面均作了应对的安排,制定风险防范对策有否考虑风险的可规避性、可转移性、可缓解性、可接受性;审查、评价工程风险管理对策的可行性,即风险应对策略是否对已经发现的风险的每个层面采取了有效的措施,是否采取了风险控制、风险自留、风险转移等对策。利用合同条款规避工程风险是工程中最经常、最广泛采用的风险管理办法,因此结合工程实际,工程风险管理对策审计可以通过对工程各级阶段签订合同以及合同实施情况的审查,并结合其他审计程序来完成,已达到对风险管理对策周密性和可行性的审查、评价。
工程风险管理对策审计更加侧重技术审计,工程项目实施阶段各种技术应用复杂、繁多,审计人员不可能对每一项风险规避技术做到充分了解、掌握。内部审计机构可以在各具体业务部门聘请兼职审计员,充实到审计队伍中,增强技术力量,提高工作效率。
五、审计报告
工程风险管理审计报告是风险管理审计的结果,主要包括以下几个内容:第一,审计情况介绍。包括工程项目风险管理审计的范围、内容、方式、时间等。第二,工程项目目前进展的实际状态以及未来状态。第三,风险分析和风险管理评价。第四,工程项目关键的管理问题。第五,最终结论及建议。
审计报告由内部审计机构、内部审计人员撰写,要求做到客观公正、重点突出、专业性强,在征求被审计单位意见后提交工程项目组织管理层审核和应用。
六、工程风险管理审计的注意事项
1.注意建立内部审计机构、内部审计人员与组织其他部门的信任。可以通过聘请兼职审计员,增强技术力量的同时,加强组织内部横向、纵向的联系,增强组织间信任。
2.工程项目风险管理审计要求内部审计机构能够及时、准确地获得与工程项目实施相关的工程信息,要求组织有较完备的信息系统作为工程项目风险管理审计的支持。
3.工程项目风险管理审计作为一种新型的复合型边缘管理实践,它要求审计人员不仅要具有良好的专业素质,更要求相关人员具有对复杂环境的洞察力和减少环境复杂性的能力。
工程项目组织应不断提高审计人员综合素质,培养高层次的复合型人才。
参考文献:
风险管理主要程序篇(6)
[中图分类号]Tu7
[文献标识码]A
[文章编号]1009-5539(2010)03-0039-05
绪 论
项目风险就是项目生命期中的风险,即可能导致项目损失的不确定性。而项目风险管理就是应用项目管理的成熟理论和方法对项目风险进行预测、分析变因、减少不确定性、化解、控制和处理风险。也就是说,项目风险管理是指项目管理人员对可能致损失的项目不确定性进行预测、预算、识别、分析和有效地处置以控制成本,为项目的顺利完成提供最大安全保障的科学管理方法。
一、项目施工阶段风险管理
(一)项目施工阶段风险管理要点
1.项目施工阶段风险管理计划
企业管理层和项目经理部必须在项目管理策划时,对项目风险管理进行策划,制订风险管理计划,以决定如何进行项目风险管理。
风险管理计划制订的依据应包括:(1)项目范围说明;(2)投标文件与工程合同;(3)项目工作结构分解;(4)项目进度安排;(5)项目管理策划的其他结果;(6)企业风险管理程序和有关规定;(7)其他各种信息和历史资料。
风险管理计划的内容应包括:(1)风险管理目标;(2)风险管理范围;(3)可使用的风险管理方法、工具以及数据来源;(4)风险分类和风险排序要求;(5)风险跟踪的要求;(6)风险管理的职责与权限;(7)必需的资源和费用预算。
通常,风险分类和风险排序的方法、标准等,企业在风险管理程序中都有详细规定,但针对具体的项目,在策划时还应结合工程项目实际,因地制宜。施工过程中,项目经理部应根据项目风险管理计划,制订项目风险管理实施计划,配置相关资源,落实人员职责,确保风险管理活动有效进行。
2.项目施工阶段风险识别与风险分析
施工过程中,项目经理部必须随施工进度不断进行项目风险识别和风险分析。
项目经理部应对可能带来风险的以下方面进行风险识别:(1)工程本身的条件;(2)自然与社会条件;(3)市场情况;(4)业主以及其他相关方:(5)项目合同与项目设计;(6)企业管理层以及项目经理部本身;(7)项目变更(包括合同条件、项目设计等)。
风险识别可采取以下方法:(1)文件审查;(2)信息收集技术,如:会议、问卷调查、访谈、专家咨询等。
项目经理部必须将风险识别的结果予以记录并形成风险清单然后对所有记录的风险进行分析,并形成项目风险分析报告。
项目风险分析的主要内容应包括:(1)风险发生的概率,可以根据已有信息和类似项目信息采用主观测验法、专家估计法或会议评审法进行认定;(2)风险损失量的估计,应先进行定性分析,只要可能就应进行定量分析;(3)确定风险等级,应根据企业确定的风险等级划分标准,根据风险损失量的估计进行风险分级,确定风险等级。
3.风险应对与风险监控
项目经理部必须根据风险等级和活动顺序进行风险排序,并根据排序制订应对策略和应对措施,为项目目标实现增加机会、减少失败威胁。常用消除风险或威胁的应对策略有:(1)风险回避;(2)风险转移;(3)风险减轻。常用应对积极风险或机会的策略有:(1)为确保机会的实现,消除与机会实现相关的不确定性;(2)将积极风险的责任分配给最能为项目经理部获取利益机会的第三方;(3)针对积极风险或机会的驱动因素,采取措施,提高机会发生的概率。项目经理部必须根据应对策略制订相应的应对措施形成文件,同时应避免产生新的消极风险。必要时应制订应急计划。施工过程中,项目经理部必须及时收集和分析与项目风险有关的各种信息,对风险应对措施的实施效果进行监控和反馈,必要时制订纠正和预防措施。
(二)项目收尾阶段的风险管理
项目收尾阶段相比其他阶段风险存在的可能性要小一点,但并不能忽视。许多企业重投标、重合同、重施工、轻收尾。其实在收尾阶段并非没有风险。承包商在工程完工或竣工时必须及时办理相关备案手续,得到业主确认工程完工或竣工的文件,否则承包商无法证明已经按照合同约定履行了工期承诺。另外,还要按照合约条件在具备办理工程结算条件时及时将结算报送业主或相关机构,严格遵守时效要求,否则,可能会引起不必要的麻烦。
二、案例分析
南航综合楼工程总建筑面积33766.6m2,檐高44.95m;该工程分为主楼、裙楼2部分,地下部分设有一层地下室,主要功能是车库、设备用房。主楼地上主体12层,建筑高度44.95m;裙楼地上主体5层,建筑高度25.05m。主裙楼相接处设有沉降缝,结构型式为现浇框架一剪力墙结构。
(一)本工程施工阶段风险管理的目标
(1)进度控制目标:工程进度按合同要求完成;(2)质量控制目标:合格工程,外观要求优良;确保一次验收合格,材料损耗率控制在2%以内;(3)成本控制目标:成本不超过公司测算的制造成本;(4)HSE管理目标:达到五无目标,即“无死亡事故,无重大伤人事故,无重大机械事故,无火灾,无中毒事故”。
(二)南航综合楼项目施工阶段风险管理组织(WBs)
(三)南航综合楼项目的风险分解结构根据当地的建筑市场环境,结合本工程的具体情况及以往工程的经验,该工程的风险因素分解如表3-1。
(四)南航综合楼项目施工阶段风险分析
将本工程中工作结构分解与风险因素分解结合起来,对每项工作的四个目标的风险进行量化计算,并制定出相应的应对措施,其中每次工作的风险概率则一般采用专家法来定出,具体结果详见表3-2
(五)南航综合楼项目收尾阶段风险因素控制
项目收尾阶段是巩固、扩大已有经营成果的重要时期,项目经理部在本项目中严格贯彻“施工前为用户着想,施工中为用户负责,竣工后让用户满意”,及采用“四个核定”(核定任务、核定人员、核定时间、核定工资及费用)和回访保修,为此,项目经理部提前对竣工及售后服务期间可能出现的风险因素进行识别、分析,并制定相应措施,使售后服务期间的风险降至最小。
对于风险的识别可以根据以往的经验及本工程的具体情况,也可通过顾客满意情况调查表来识别分析风险。本工程收尾阶段风险因素识别采用核查表法,详见表3-3。
风险管理主要程序篇(7)
[中图分类号] F239.4 [文献标识码] B
一、引言
随着日益加剧的商业竞争和企业经营管控的复杂化,投资者、管理者、董事会以及社会公众等对企业内部审计监督职能期望越来越高。除了对企业财务收支活动的真实、合法性审计之外,内部审计机构还应尽可能发现公司存在的舞弊行为,并对企业面临的战略风险、业务经营风险、管理风险进行识别、评估和采取进一步应对措施。特别是《企业内部控制基本规范》及其配套指引的实施,对上市公司内部审计从制度遵循性审计向风险导向内部审计模式的转变确立了法理基础。对风险导向内部审计的内涵、实施过程、关注重点等内容的分析,对企业在风险管理框架下实施ROIA提供了操作借鉴。
二、文献述评
麦克宁(McNamee)[1]提出了内部审计的新范式―ROIA,反映了ROIA目标与企业目标的契合,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险以及能够管理这些风险的控制,最后测试实际的控制考虑其能否切实管理这些风险。2001年,COSO委员会(Committee of Sponsoring Organization of the Tread way Commission)开始着手对企业整体风险管理框架(Enterprise Risk Management Framework,简称ERM)进行研究,2003年7月了ERM框架征求意见稿。2002年7月25日,美国国会通过了《萨班斯―奥克斯利(SOX)法案》(即《公众公司会计改革和投资者保护法案》,以下简称《法案》)。《法案》要求所有在美国上市的公司都必须设立审计委员会,内部审计的作用与职责得到充分肯定。2004年COSO委员会推出了《企业风险管理――整体框架》,体现了企业内控与风险管理在为利益相关者创造价值中的重要性。
国内关于ROIA大都还局限于金融、保险等高风险行业的研究。如王军法,关旭(2010)分析了ROIA在商业银行风险管理中的重要作用[2]。在内部审计项目过程中,黄海,张晨(2008)认为风险导向内部审计研究主要集中于如何在年度审计计划编制过程中运用ROIA[3]。但是国内关于具体审计项目中贯彻ROIA理念的实践性研究并不多见。如何按照《企业内部控制基本规范》的强制要求实施风险导向内部审计,成为摆在我国上市公司治理层面亟待解决的问题。
三、风险导向内部审计基本理论分析
(一)风险导向内部审计的内涵
IIA在《组织治理―内部审计人员指南》中明确表示:“内部审计是通过对组织的风险管理、控制和治理程序进行确认,才成为有效治理重要基石之一的”。可见,ROIA是以对整个组织的风险进行全面评估与改善,以达到防弊、兴利、增值目的的一种审计理念。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改善风险管理、控制和治理过程的效果,帮助组织实现其目标。
1.风险导向内部审计的本质。在风险管理框架下,受托责任关系以及管理控制发生了一系列变化:首先在于委托人的广泛性所带来的外部受托责任多样化,与强调股东利益的狭义委托受托关系相比,现阶段更加强调各种利益相关者的利益,包括顾客、员工甚至社会等。其次,由于股权的分散,企业规模的扩大,企业内部管理层次的增多,导致内部受托责任的多层性。企业必须将更广泛的外部受托责任关系分解到多层次的风险管理之中,因此ROIA的本质是确保受托责任有效履行的能动的管理控制机制[4]。
2.风险导向内部审计的对象。内部审计对象是内部审计的客体,与内部审计本质有密切关系。这种综合审计相比管理导向内部审计阶段而言,更强调关注公司治理框架中风险发现与风险管理,关注管理者及其经营管理行为可能出现的风险,关注组织在整个治理过程中的决策风险与经营风险。
3.风险导向内部审计的目标。ROIA目标及职能审计主体通过内部审计活动所期望达到的目标或者说是一种境界,体现的是主观的要求。“增加价值”一词是风险导向内部审计的指导方向,是内部审计活动的宗旨和目的,内部审计虽然不参加生产和销售活动,但它可以通过保护组织资产、减少组织风险、降低自身审计成本、提出有价值的建议、增加阻止获利机会等活动来为组织增加价值,为组织带来巨大的利益。
(二)ROIA的理论基础
ROIA作为一种新兴的内部审计模式,要协调好程序理性与结果理性之间的冲突,必须建立在合乎逻辑的以下理论基础之上:
1.委托理论。最初则是于1976年由Jensen & Meckling提出来的,这一理论后来发展成为契约成本理论(张春霖,1994)。内部审计服务主要面向公司管理当局和公司董事会。内部审计是因为所有权和经营权问题而产生,其目的在于降低企业成本、最大化企业价值。委托人和人往往都有各自不同的利益诉求,利益冲突难以避免。内部审计服务正是增强委托人和人信任,化解双方利益冲突的一种制度安排。
2.风险管理理论。早先的风险管理理论把风险管理的对象局限在纯粹风险,且重点放在风险控制上。但从目前的理论研究看,开始转向以企业风险为管理对象的全部风险说法转变。班尼斯特和鲍卡特(1998)在《Practical Risk Management》中认为:“风险管理应对威胁企业资产和收益的风险进行识别、测定和经济控制”。威廉斯和汉斯(2004)指出:风险管理是通过对风险的识别、衡量和控制而以最小的成本使风险所致损失达到最低程度的管理方法。如今,风险管理已成为一门新兴管理学科。ROIA对企业风险识别、衡量以及应对就是风险管理理论在内部审计领域的运用。
(三)风险导向内部审计的特征
索耶将内部审计定义为:对组织中各类业务和控制进行独立评价,以确定是否遵循公认的方针和程序,是否符合规定和标准,是否有效和经济的使用了资源。而ROIA是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。与传统内部审计比较,ROIA的特征主要表现在:一是审计的起点从公司的全面风险识别与评估开始,从企业内部控制环境出发,识别与评价财务报告层次的重大错报风险,包括企业战略与商业模式规划、经营业务执行层面的风险源;二是审计的方法方面,更加注重分析程序的运用,比如业务收入,成本等的趋势、结构以及比较分析等;三是审计的目标侧重在识别与应对风险基础上,为公司价值增值提供确认与咨询服务。
四、风险导向型内部审计实施机制
实施机制是实施的程序和过程,是指制度内部各要素之间彼此依存,有机结合和自动调节所形成的内在关联和运行方式。ROIA实施机制主要指ROIA章程的制定,部门的建立和ROIA的具体实施过程。
(一)制定风险导向型内部审计章程
内部审计是组织内部保障和支持组织目标实现的一种独立的管理活动。其活动范围涉及各个不同的职能部门、不同的管理层级以及各种信息资源。因此,在内部审计章程中对内部审计活动目标、权利和职责进行清晰明确的界定是开展内部审计的基本条件和重要保障。内部审计章程一般由内部审计机构起草,起草的章程要与组织目标和内部审计准则相一致,然后报给高级管理层、董事会、审计委员会或其他治理机构批准或通过。章程一经批准便形成管理当局与内部审计机构双方的协议。内部审计章程的内容主要包括:内部审计工作的目的;ROIA在组织中的地位,即独立性;ROIA有权接触和执行与审计工作有关的资料、人员和财务;ROIA活动范围,包括在风险管理中的责任和对后续审计的授权;有关开展保证服务和咨询服务的规定和原则。
(二)风险导向内部审计机构设置
内部审计机构是在公司从事审计监督和风险识别与评估工作的独立部门,是公司内部治理体系的重要组成部分。为提高审计监督效率和效果,公司应按照相对独立性原则、功能性与效率性统一原则、权威性原则设置风险导向型内部审计机构。此外,正如Yung-MingShiu(2008)所言,风险管理和以风险为本的监管是否有效,很大程度上决定于内部控制制度的执行情况以及内部审计人员的能力。因此,公司应随审计环境变迁,不断提高内部审计人员的专业胜任能力和服务水平。具体包括:内审人员与被审计部门一起证实他们工作的共同组织目标;内审人员应告知被审计部门在审计过程中的全部审计发现;内审人员应该保持对风险管理、公司治理、财务法规以及审计技术等方面的持续学习。
(三)规范ROIA实施程序
一般而言,内部审计程序包括审计计划、审计实施、审计报告、后续审计等主要阶段。ROIA实施程序则更加突出对风险管理过程的测试与评价。在审计计划之前要结合对公司各部门基本情况的了解,初步评估被审单位的重大错报风险,制定审计工作计划。在审计实施阶段,首先确认组织所要达到的目标,其次要采用风险评估程序,分析达成目标的潜在风险水平和审计重点,再次通过控制测试程序和实质性程序,分别验证被审组织的风险管控措施的有效性和经营业务过程及结果的合规性、公允性等。在审计报告阶段,内部审计人员应该就风险审计过程中发现的问题与管理层、董事会进行充分讨论,最终确定可接受的风险水平,出具审计报告,为防控风险、提高管理效率发挥内部审计的咨询及服务职能。在后续审计阶段,一是要检查审计建议和纠正措施的实施情况,二是对风险的再评估,确保组织的风险水平得到有效管理和控制。
建立内部控制机制对内部审计提出了新要求。传统制度遵循性的企业内部审计应适应新形式的需要,确立以风险管理为审计导向,管理流程为审计路径,以强化内控为审计核心,以价值增值为审计目标的风险导向内部审计模式,以确保内控新机制的有效实施。然而,风险导向型内部审计这一前沿问题在我国仍处于初步探索阶段,无论是在理论层面还是在实践操作上都缺乏系统化和结构化的思考。本文一方面通过对风险导向内部审计的内涵、实施过程、关注重点等内容的全面分析,为企业在风险管理框架下实施ROIA提供了理论支撑;另一方面,通过对ROIA的实施过程描述以及案例企业的应用分析,为企业实施ROIA提供了操作借鉴。
[参 考 文 献]
[1]David Me. Namee. Risk-basedauditing [J]. The Internal Auditor,1997(8):22-27
[2]王军法,关旭.风险导向内部审计在商业银行中的管理与应用[J].财会研究,2010(12):70-80
[3]黄海,张晨.风险导向模式在内部审计项目实施中的运用分析[J].会计之友,2008(9):11-13
风险管理主要程序篇(8)
中图分类号: TS958 文献标识码: A
0引言
近年来,国家经济始终保持较高的发展速度,电力建设力度也不断加强,电网工程项目数量较多。而电网建设工程因为施工环境复杂、建设周期长、工作和工序繁多,存在多种形式的安全风险。由于风险是抽象的概念,同时受多种因素的影响,不易对其严重程度进行合理的评估,也就难以科学地进行控制。国网公司2011年提出了“电网工程施工安全风险的识别、评估和控制办法”,对风险进行科学地识别和评估,量化描述,按照动态风险的分值确定严重程度,并进行分级管理和控制,增强了风险管理的科学性、针对性,具备较强的可操作性。
1 施工安全风险的识别
根据国网公司对施工安全风险的管理办法,将电网工程施工安全风险类别分为两类。
第一类是固有风险,指在正常情况下,施工作业中存在的安全风险,典型的固有风险有人身触电、高处坠落、物体打击、机械伤害、起重伤害、火灾、坍塌、电网事故、交通事故等。
第二类是动态风险,是指在作业时特定情况下,施工作业过程中存在的安全风险,是以固有风险为基础,结合作业人员、机械设备、材料、施工方法、外部环境、安全管理等实际情况,实施的修正计算。动态风险是确定风险管控措施的最终依据。
2 施工安全风险的评估
2.1 施工安全风险等级的划分
国网公司将安全风险从小到大划分为五个等级:
一级风险(稍有风险):指作业过程存在较低的安全风险,不加控制可能发生轻伤及以下事件的施工作业。
二级风险(一般风险):指作业过程存在一定的安全风险,不加控制可能发生人身轻伤事故的施工作业。
三级风险(显著风险):指作业过程存在较高的安全风险,不加控制可能发生人身重伤或人身死亡事故的施工作业。
四级风险(高度风险):指作业过程存在高的安全风险,不加控制容易发生人身死亡事故的施工作业。
五级风险(极高风险):指作业过程存在很高的安全风险,不加控制可能发生群死群伤事故的施工作业。
2.2 施工安全风险评估的流程
2.2.1固有安全风险评估
固有安全风险值受风险发生可能性、风险事件出现的频率、发生风险事件产生的后果三个因素的影响,国网公司建立了《电网工程固有风险汇总清册》,并在清册中明确了各种情况下固有安全风险的数值和等级。
固有安全风险评估流程如下:
1、工程开工前,业主项目部组织设计、施工、监理项目部开展项目交底及风险点初勘工作。
2、施工项目部根据风险交底及初勘结果,从《国家电网公司电网工程风险识别、评估及控制办法》的《电网工程固有风险汇总清册》中选择相应的作业工序及其对应的风险等级,确定本工程各施工工序固有风险等级,编制本工程的《施工安全风险识别、评估、预控清册》。
3、施工项目部筛选三级及以上固有风险工序,建立《三级及以上施工安全风险识别、评估和预控清册》,经施工单位相关职能部门审批、监理项目部审查、业主项目部确认后。
2.2.2动态安全风险评估
国网公司在动态安全风险评估中提出了维度和动态调整系数的概念,并建立了《维度实际情况与K值的取值关系表》。
维度即影响动态风险的六方面因素,即作业人员、机械设备、材料、施工方法、环境、安全管理。根据这六方面因素的执行情况确定对应的风险值。
动态调整系数K为六个维度对应风险值的平均值。
动态风险的评估过程如下:
1、在分项工程作业前,施工项目部按照《维度实际情况与K值的取值关系表》,计算出各工序作业风险动态修正系数K,对《三级及以上施工安全风险识别、评估和预控清册》中固有风险值D1进行修正,得出动态风险值D2,D2=D1/K。
2、依据动态风险值D2,查阅《施工安全风险值D与风险等级关系表》,确认实际作业存在的安全风险等级,建立《三级及以上施工安全风险动态识别、评估及预控措施台帐》。
3、实际作业时再次确认六个维度影响因素的取值情形与作业实际情形是否一致。当出现情形变化时,重新计算动态风险值及作业存在的安全风险等级。
2.3 施工安全风险评估的分级管理
建管、施工、监理单位应建立电网工程施工安全风险评估分级管理制度,按照“年度策划、月度评估、周预警、日报告”要求,对三级及以上施工安全风险实施分级评估管理,即省公司将重大风险纳入年度安全管理策划、业主项目部组织月度安全风险评估、施工项目部填写周安全风险预警清单、业主项目部实施重大风险日报告。
3 施工安全风险的控制
3.1 施工安全风险的动态控制
动态风险等级是确定决定风险控制措施的主要依据,要对施工安全风险进行有效控制,首先应考虑降低风险等级,以减轻事件后果的严重程度。由于动态修正系数K受作业人员、机械设备、材料、施工方法、外部环境、安全管理等六个维度实际情况影响,因此对维度进行控制是降低风险级别的有效措施。可以考虑从以下几种方法加以控制:
1、合理安排有关作业人员
施工单位的企业负责人、项目经理、专职安全生产管理人员和特种作业人员均必须持证上岗。对于技术比较复杂或难度较大的工作必须由有多次工作经验、业务技能水平较高、身体素质及精神状态较好的人员实施,除了采取可靠的安全措施外,还必须由有经验的人员带领和监护,严禁临时用工参与此类工作;对体质不适或精神状态不佳的人员,适当安排从事比较简单的工作或暂停其工作。
2、使用合适且合格的机械设备
施工单位应建立现场施工机械安全管理机构,配备施工机械管理人员,落实施工机械安全管理责任,对进入现场的施工机械和工器具的安全状况进行准入检查,并对施工过程中起重机械的安装、拆卸、重要吊装、关键工序进行旁站监督。施工队(班组)安全工器具应定期试验、送检。
3、加强设备材料进场管理
要严把工程设备和材料进场关,统一配送的设备材料必须进行到货验收,施工单位自购材料必须有合格证,并按要求送检,业主单位应组织抽检,确保不让不合格的设备材料进入施工环节。
4、精心编制施工安全技术方案
施工项目部应认真组织编制《项目管理实施规划》、《安全文明施工实施细则》、《工程施工强制性条文执行计划》等安全策划文件并报审实施;对安全风险较大的分部分项工程或重要临时措施、工序、特殊作业等,应编制专项施工方案或安全技术措施,报上级审批后进行专项交底,部分超过一定规模危险较大的项目还应组织专家进行认证审查。
5、合理选择施工环境
一是要保证合理的施工工期,不得因为抢进度而降低施工标准;二是要尽量形成开阔的施工作业面,以便于施工,对于复杂环境要保证隔离措施的完善;三是要选择合适的天气进行施工,少数恶劣天气下不进行高风险施工;四是要在施工现场实施安全文明施工和安全设施标准化,创造良好的安全施工环境和作业条件。
6、完善施工安全管理体系
业主和监理、施工企业均应建立安全管理、安全保证和监督体系,并保证安全管理人员到位,项目现场均应配置安全员,完善现场安全管理各项制度,认真组织开展班前班后会等各项安全管理活动,认真开展安全监督检查,发现缺陷及时闭环整改。
3.2 施工安全风险的分级控制
3.2.1 二级及以下施工安全风险等级工序作业
施工项目部组织开展二级及以下施工安全风险控制,监理项目部实施巡视检查。
1、二级及以下固有风险工序作业前,施工项目部应复核各工序动态因素风险值,仍属二级风险的,按照常态安全风险管理组织施工。
2、二级及以下固有风险动态升级为三级及以上风险的,应采取措施尽可能降低至二级及以下风险。否则,按照三级及以上等级风险控制办法组织实施。
3、特殊条件(暴雨、雷雨、大雾、冰雪等恶劣天气时的户外作业)下,经动态因素调整后,对风险等级低于二级的,考虑到作业条件的特殊性,应将风险等级按照三级及以上风险进行控制,极端情况下,应停止施工。
3.2.2三级及以上施工安全风险控制管理
1、三级及以上固有风险工序作业前,施工项目部应组织进行实地复测,计算动态风险等级,并报施工单位相关职能部门审批、监理项目部审查、业主项目部确认。
2、优先采取针对性措施降低三级及以上施工工序风险等级。采取措施后仍然在三级及以上风险的,应严格执行《电网工程安全施工作业票B》,制定“电网工程施工作业风险控制卡”,报施工单位相关职能部门审批后,在作业前递交监理项目部审查、业主项目部确认。同时,根据分级管控要求,各级管控人员必须亲临现场监督检查、会签作业票。
3、四级及以下固有风险经过动态修正后出现五级风险的,应通过改善作业人员、机械设备、材料、施工方法、环境、安全管理等六个维度中某些维度的条件,把风险等级减低为四级及以下之后,再行施工。
4、采取措施后仍然出现五级风险作业工序时,施工项目部必须重新编制专项施工方案(含安全技术措施),由业主项目部组织专家进行方案论证,并报省公司基建部备案。作业时各级安全管理人员务必到岗到位,安全措施落实到位,条件不能满足时必须停止施工。
4 结束语
对电网工程施工作业安全风险进行分级管控是降低基建安全风险、确保电网工程施工安全可控、在控、能控的重要举措,具备较强的针对性和可操作性。建设管理单位、监理单位和施工企业均应明确职责、落实责任,严格按照国网公司关于电网工程安全风险识别、评估、控制的工作流程开展相关工作,落实控制措施,切实提升工程现场的安全水平。
参考文献:
风险管理主要程序篇(9)
中图分类号:D9
文献标识码:A
文章编号:1672-3198(2010)13-0324-02
税收风险管理是最近各地都在研究的税收管理新理念,其目的是将现代风险管理理论引入税收征管工作,最大限度地防止税款流失并降低征税成本。作为税收风险的一部分,税收执法风险已成为各级税务机关在执法过程中必须面对的潜在风险。通过实施积极主动管理,创造稳定有序的征管环境,才能有效防范和规避税收执法风险的发生。
1 税收执法风险与风险管理简析
1.1 税收执法风险
税收执法风险是指税收执法人员在执行公务过程中,未严格按照法律法规的要求执法,损害了国家和纳税人的利益,而应承担一定的责任。
1.2 风险管理
风险管理是指对税收执法风险进行识别、适应和处置,其目的是避免风险或使损失减至最小。据有关资料显示,目前OECD中已有超过2/3的国家实行了税收风险管理,我国税务执法机构也应有针对性地引入世界风险管理理念和管理经验。
2 当前税收工作面临的执法风险
2.1 实体不规范引发的征收管理风险
征收管理风险是指执法主体在执行或解释法律、法规、规章和其他规范性文件所赋予的职责职能中应作为而未作为、未完全作为或作为了为赋予的职责职能范围内的事物而形成的影响和后果。主要表现为:基础管理工作不到位,税务人员对相关政策法规理解不到位,征管工作流程执行不严,税务登记内容不准确;纳税人性质认定错误以及发票领用、审核程序不健全、不规范;政务公开不及时,税收政策宣传不到位,税率执行错误,提前和延缓征收税款,日常纳税辅导不细致,未依法保障或侵犯了纳税人的合法权益等。
2.2 程序不规范引发的行政诉讼风险
行政诉讼风险是指税务执法主体因实施税务行政执法行为,在税收执法过程中产生税务行政争议而引起的税务行政复议撤销、税务行政诉讼败诉、税务行政赔偿等后果和影响,使税务执法主体处于不利地位,在诉讼中面临败诉等风险。主要表现为程序不合法或不规范、实体应用错误两个方面:
(1)不按程序作出税务行政处罚引发的风险。税务行政处罚按罚款额的多少,分为简易程序和一般程序。《行政处罚法》第三十三条规定:“违法事实确凿并有法定依据,对公民处以五十元以下,对法人或者其他组织处以一千元以下罚款或者警告的行政处罚的,可以当场作出行政处罚决定。”本文是关于简易程序的规定,简易程序之外的其他处罚适用一般程序。根据《国家税务总局关于税务行政处罚听证程序实施办法(试行)》第三条的规定:“税务机关对公民作出2000元以上(含本数)罚款或者对法人或者其他组织作出1万元以上(含本数)罚款的行政处罚之前,应当向当事人送达《税务行政处罚事项告知书》,告知当事人已经查明的违法事务、证据、行政处罚的法律依据和拟将给予的行政处罚,并告知有要求举行听证的权利。”而税务机关在执法中经常忽视了这一必要程序,为求方便而采取简易程序当场处罚。
(2)不按程序作出限缴税款通知书引发的执法风险。当税务局对企业未按照《税务处理决定书》要求进行整改而作出《关于限期缴纳税款的税务事项通知书》时,需要提供证据证据证明两个事实:第一,税务机关在企业收到《税务处理决定书》之后,对该企业是否进行整改以及整改情况进行过验收;第二,税务机关经过验收之后,发现该公司整改结果不符合《税务处理决定书》要求。然后很多时候,税务机关提供的证据只能证明企业在《税务处理决定书》作出之前存在问题,而无法证明在其作出之后的情况。所以由于事实认识不清,税务机关经常在复议中遭受撤销原决定的结果。
2.3 司法渎职风险
司法渎职风险是指税务执法行为过程中因主观过失、未履行或未完全履行职责,造成侵犯国家税款及财产重大损失而可能触犯法律的危险或后果,从而被追究行政执法责任,甚至面临被检查机关以涉嫌职务犯罪提出指控。主要表现为;贪污、受贿、挪用公款、、、、隐瞒情况、弄需作假,勾结唆使偷逃税行为,违反法律和行政法的规定,造成国家税收严重流失并使国家利益遭受重大损失。
2.4 由于机构分设引发的风险
1994年税务组织机构分设为国税、地税,税务机关之间“三交叉”矛盾暴露,即管户交叉、征税交叉、检查交叉,进而导致两套机构不协调。当认定意见出现分歧时,更使纳税企业无所适从,大幅度提高了税务机关之间的协调成本与纳税人的遵从成本。两套机关各自为政、缺乏信息沟通,执法效率和征管能力下降,导致大量税款流失,加大了税收执法风险。
3 从风险管理视角防范税收执法风险的对策
3.1 进行风险识别与预警
3.1.1 风险识别
风险识别是指在损失风险刚出现或出现之前,就予以识别,以准确把握各种风险信号及其产生原因。税务机关应正确、全面地认识在执法过程中可能面临的所有潜在风险,及时发现和预防,选择最佳处理方法。风险识别的具体方法主要有:
(1) 现场观察法。通过直接观察具体涉税业务活动,了解和掌握其在执法中面临的各种风险。
(2) 询问法。对执法人员或执法对象提出一系列风险咨询问题,以加强其对执法过程中可能引发的风险的系统认识,促使其去收集和分析专门信息,并制定系统的风险管理对策和计划。
(3) 业务流程法。即以业务流程图的方式,将从税收政策解读、税款追缴、税款征收、到税款入库等过程划分为若干环节,每一环节再配以更为详尽的作业流程图。据此确定每一环节进行进行重点预防和处置。
(4) 内部交流法。即通过与各部门有关人员的广泛接触和信息交流,全面了解各部门的风险发生情况,以发现被遗漏或忽视的风险,提高各部门在风险管理中的协同能力。
(5) 案例分析法。即在预测未来可能出现的风险的基础上,从过去的风险管理实践中寻找相似的案例和经验,吸取有关教训,并以此作为制定对策的主要依据。
3.1.2 风险预警
风险预警是指要在风险实际发生之前,捕捉和监视各种细微的迹象变动,以利预防或为采取适当对策争取时间。风险预警对于预防或识别重大风险事件显得尤为重要。建议税务机关建立税收风险预警机制。该机制是一个以计算机和网络技术为依托,能够对各种信息进行科学分析、评估和判断的完整体系,包括税收收入、税收执法、纳税人违法、系统外风险的预警指标,以提高风险意识,强化风险管理。
3.2 制定预防体系和预防策略
3.2.1 预防体系
为避免造成财政收入的重大损失和对税务机关的不利影响,税务机构应花大力气进行风险预防,但这并不意味着需要进行全方位设防,因为这既不可能也不经济。所以,应选择那些发生概率大、后果严重的事件,进行重点预防。
构筑预防体系要解决好两个问题:一是选择重点预防对象;二是构筑完善的预防体系。一个完善的预防体系需要由以下四个部分组成:
(1)经济和技术措施。如监督、检查、立法、环境监视等。
(2)与外部保持良好的沟通。如建立早期预警体系,协调与纳税人的关系等。协调与纳税人的关系,首先是要保持与纳税人的良好沟通,以尽早获知纳税人的计划和动作;其次要在准确把握信息的基础上,对纳税人开展游说和说服工作。协调与纳税人的关系应严格防止陷入行贿事件,否则,很可能给税务机构带来更大的风险。
(3)改进内部工作。如税收执法机构设置、岗责体系和业务流程设计中潜在的高风险区域,有针对性地调整职责设置和权力运行体系,避免税收执法权的过度集中以及监控盲点的出现。
(4)组织内部防范机制培育。如建立“学习型税务组织”,提升税务文化与税务管理水平。我国现行税务组织管理模式需要引入“学习型组织”思维和管理模式,并将其转变为与时俱进、不断学习的创新精神。这样,有利于激发税务员工的工作热情和创造力,使现代税务组织的发展立志高远,瞄准21世纪社会发展水平和社会公共需求,心中牢记国家赋予税务组织的使命和责任,提升税务组织文化。
3.2.2 预防策略
俗语道:不怕一万,就怕万一。因此,税务部门应该提前做好准备工作,制定一系列相应的处置程序和规范,并编制成小册子,以利在风险事件发生时争取时间,应对得当,弱化风险。
制定预防策略要求建立严密的税收法律体系和建立服务型税务机关与合作遵从理念:
(1)建立严密的税收法律体系,规范执法操作,完善执法保障。一是完善税收法律体系,形成相对平衡和相互制约的法律机制;二是健全工作机制,实施有效的法律监督和制约,保证在税收立法、执法等方面的公正、公开、规范和准确;三是提高税法层次,加强法规建设,完善执法保障;四是维护税收政策的统一性,规范税收文件避免与相关法律、法规发生冲突而引起风险。
(2) 坚持依法治税,建立服务型税务机关与合作遵从理念。税务机关在尽力为纳税人服务的同时,要始终坚持基于国家权力而依法治税的精神,即依法治税是第一位的,在此基础上倡导服务税收与“合作遵从”。坚持“简税制、宽税基、低税率、严征管”的税制改革指导思想,才能体现服务税收的基本要求。只有搞好纳税服务,才能构建和谐税收征纳关系,而和谐税收征纳关系的建立可以提升“纳税遵从”度。从“纳税遵从”再到“合作遵从”理念的转换,意味着遵从始终是这一理念的本质与核心,只是“合作遵从”在以“纳税遵从”为本的基础上,强调了纳税人与征税人之间在征纳关系上的“合作”,“合作遵从”力争避免和减少税企、税民之间的对立,是“遵从”的最佳形式,也是“双赢”的形式,体现着以德治税与依法治税的统一。建立良好的税收环境是避免税收执法风险的基础。
3.3 构建风险管理组织
建立税收风险管理中心机构,实行税收风险评估制,并通过实施金税工程、信息管税,提高税收管理水平。风险管理的核心就是要税务机关密切关注可能存在的风险,建立风险评估机制,找出降低风险的办法,是对执法机构和纳税人实行慎重、认真的评估以及对他们执法或履行法律义务的信誉、诚信的提升。风险管理组织要塑造“公正、进取、公开”的理念和管理模式,实现扁平化管理。将风险管理权力延展到各个管理层面,从旧时的控制管理转向以参与式管理为标志的新型管理,最大限度地利用人力资源和信息现代化资源,让组织成员广泛地参与组织管理,增强组织成员使命感、责任感,让组织的内部效率正真地转化为外部效率,在风险管理中发挥应有的效率和作用,从而减少税收执法风险。
参考文献
风险管理主要程序篇(10)
中图分类号:F239.45 文献标志码:A 文章编号:1673-291X(2014)02-0193-03
风险导向内部审计是企业进行风险管理的一种有效工具,其目标是在全面评估企业风险的基础上,通过对风险进行事前评估与控制,对风险处于何种状态做出准确判断,为控制风险提供依据。与传统的审计模式相比,现代风险导向内部审计更注重从宏观上把握审计风险,审计工作重心从实施阶段前移到计划阶段,关注的核心从内部控制转向风险,在审计的全过程自始至终都关注风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以风险为中心出具审计报告,协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心,即计划阶段对风险进行评估,实施阶段对相关风险进行持续监控和报告,报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计,故本文对我国企业如何实施风险导向内部审计提出几点建议,与大家探讨。
一、建立全流程风险管控机制
建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。
一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合,建立在对公司重要领域的认定、风险自我评估的基础上,以重大风险和重要风险为导向,明确审计重点,确定年度审计项目。在充分调研的基础上,组织相关部门进行风险自我评估,识别各自存在的风险,排列风险次序,出具风险自我评估结果,以此为依据,确定本年度审计关注点,编制年度审计计划。风险导向内部审计中,风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段,企业要根据风险评估结果和以前年度审计情况,合理分配审计资源,将审计资源重点放在高风险领域。
二是建立风险管控标准,有效识别风险。就是按统一的标准梳理各业务环节的流程,审计部门牵头,各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理,对应将风险点、控制措施嵌入到流程中,建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。
三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险,包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准,指导各单位业务人员开展业务流程的穿行测试,通过全流程的穿行测试验证各业务层面风险受控情况,运用自审、互审和复审相结合的方法,推进全员、全流程的风险自我审计。
四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图,建立企业审计风险资源库,为相关部门提供风险关注和控制优化的依据。
风险管控机制将风险管理流程与审计基本程序有机融合,更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准,并根据风险环境的不断变化及时调整风险评价标准,以适应管理需要。而且,风险管控是一个持续、循环的管理过程,不能将风险管理审计作为一次性的专项审计项目,在风险管控执行过程中,要不断地关注风险,针对问题制定有效的控制措施。
二、以风险为导向,优化具体审计项目实施程序
以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长,管理环节复杂,管理风险和审计风险都较高,采用风险导向固定资产投资审计,识别和评估重大管理风险和关键控制节点,全面审计,突出重点,可以有效提高审计效率,降低审计风险。其审计程序如下:
一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排,需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系,审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。
二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况,注重从宏观层面了解固定资产投资项目的基本情况,获取背景信息,包括行业状况、监管环境、建设模式、建设目标等信息,对固定资产投资项目面临的风险进行分析,识别和评估固定资产投资项目系统风险和关键风险。
三是业务流程分析。在全面评估固定资产投资风险基础上,从投资项目风险入手,进一步了解流程,更新识别的风险,对高风险项目和资金重点监控,从整体上把握审计重点。
四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上,运用分析性程序,分析关键流程,评估固定资产投资项目重大风险,分析对目标产生影响的风险以及风险控制,测试实际的控制能否切实管理这些风险,这是风险导向审计关注的重点。
五是根据风险评估结果,确定项目审计范围和审计重点,制定相应的审计策略。具体是设计审计步骤,根据审计步骤进行审计抽样并对样本进行监督,实施实质性测试等审计程序。在审计实施过程中,要根据审计实施情况对项目方案进行重新评估,扩大审计范围或增加审计程序,实施进一步测试以修订审计方案,保证审计质量。
杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象,建立风险识别模型,对每一类风险进行排序,将其划分为不同的级别,即高风险、敏感风险、适中风险、低风险,直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明,在风险因素中,风险结构一般是高风险占10%,敏感风险占30%,适中风险占40%,低风险占20%。风险审计规划在审计资源配置时,要依据风险水平高低配置审计资源,对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计,对于处于敏感风险性质的风险因素一般抽样50%进行重点审计,对于适中风险因素一般抽样 25%,而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高,配置的审计资源越多,根据风险评估结果,将主要的审计资源分配在高风险领域,有的放矢,提高审计效率。
六是根据对流程设计有效性测试结果得出审计结论,出具审计报告,提出管理建议。
三、建立以审计调查法为基础的风险评估机制
风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估,主要是通过对业务流程的梳理,找出流程关键控制点,并选择科学的风险评估方法对控制点进行风险分析,以准确识别和正确评价风险。以审计调查法为基础的风险评估方法,能清晰揭示风险的高发区域和风险变化趋势,操作性强,评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查,采用审计调查法对风险发生频率和严重程度进行分析和预测,对风险进行分级分类管理,根据风险水平确定审计重点。步骤如下:一是确定评估范围。评估范围与审计范围相关,对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据,这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理,确定各组风险数据的影响程度级别,据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围,分别对审计项目各类风险、各类子风险的概率和影响程度进行评估,对所采集的一定期间的风险数据,采用审计调查法分析历史数据,寻找各风险的变化趋势和集中趋势,建立能描述各风险变量未来变化态势的模型,运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测,求出风险预估值,并运用政策分析法,整理和分析可能影响各类风险变量的政策因素,对固定资产投资风险预测值进行修正和完善,确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况,布局安排审计资源,对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理,包括:将风险评估结果与企业事先确定的风险管理策略(如各类风险的承受度等)进行对比,并分别采取不同的风险应对措施;协助企业建立风险预警机制,对达到风险预警线的风险发出预警信号,采取相应的风险控制措施;对风险发展趋势进行预测,帮助企业规避和防范风险。
四、建立风险自我评估和预警机制
建立风险预警机制,对风险进行实时监控,可以有效管理和预防重大风险。风险预警机制前移风险管理关口,使风险管理重点由事后监督向事前预防、事中控制转移,防患于未然。企业可以根据风险评估结果,针对风险高发区域建立预警机制,完善风险预警指标体系,如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆,对异常情况提前发出预警,帮助管理层完善风险管理程序,控制风险。在风险导向内部审计中,使用风险自我评估(RSA)法,可以有效提升风险预警效率。风险自我评估是指内部审计要监督:(1)风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估,分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符,并在审计报告中反映分析结果。(2)风险事件识别的充分性。(3)风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。(4)风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理,是否反映企业实际风险水平。综合分析企业的内外部环境,审核风险预报的根据及预报的级别是否合理。(5)风险控制措施的有效性。主要是对业务控制程序进行测试,检查是否有效,是否能够控制风险,并对检查发现的问题提出改进措施和建议,帮助企业管理风险,降低风险损失。(6)风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得,风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员,让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。
此外,企业应建立风险审计信息系统,完善审计资源数据库,积极推进审计手段创新,加强内部审计队伍建设,合理配备审计项目组成员,有效提高内部审计效率和质量,提升风险导向审计的价值增值功能。
风险管理主要程序篇(11)
1风险管理与内部控制架构
西方商业银行都建立了全面风险管理框架,对各类业务、各种风险进行管理和控制,并根据各自的业务特点和管理需要,对风险进行分类。如摩根大通银行将风险主要划分为信用风险、市场风险、操作和经营风险、流动性风险、权益风险,按照风险种类进行管理和控制。
在风险控制结构的设计上,主要考虑要保证银行能够形成强势的、信息充分的风险文化,使银行在进行经营决策时,能够在风险与回报之间进行平衡,进而实现股东回报最大化。因此,风险控制的要点是要保证银行的经营行为要与对风险的承受能力保持一致,避免造成过大的风险压力。
在组织架构上,实行层级管理,分为3个层面。首先是董事会及其下属的风险管理委员会(风险政策委员会),其职责主要是从宏观层面上设定银行的风险管理政策、方针,批准风险管理政策、进行风险限额授权、对管理层的风险管理工作进行评价等,而不涉及具体业务的风险管理工作。其次是高级行政管理层,负责建立操作流程、风险限额、风险准备的提留等。再次是具体执行层面,由专门的风险管理部门负责对具体业务风险的管理、授信业务的审批、检验风险管理程序是否合理。
蒙特利尔银行自董事会到各级管理部门均建立了不同层次的风险管理委员会,包括董事会所辖风险审核委员会、行长所辖部门风险委员会、风险管理委员会及资本管理委员会等。董事会及管理层负责审核风险管理的政策及规定,风险管理委员会及审计委员会负责处理大额业务或特殊业务、制定信贷政策及风险管理框架等;专业化的风险管理小组负责处理特定行业、部门或产品的风险;专一的小组负责贷款的清理及回收。信贷员正式上岗之前必须经过一系列的业务知识和技能的培训,并经过严格的资格认定;对待特殊风险问题,需聘请咨询专家提供支持;资产组合管理人员通过引入信息管理系统,及时利用外部各种渠道掌握客户的全面信息。审计部门每季度对银行的内部控制状况进行评价,并将评价结论向董事会的审计小组进行汇报。
蒙特利尔银行很强调风险管理专家的作用,在银行的风险管理部门和前台经营部门中都设有风险专家,风险管理专家的能力和经验有助于强化风险管理的作用,提升纪律化、高效的风险管理程序的价值;为评估和接受风险建立风险管理标准;在决策过程中采用有效的模型,以作出合理商业判断。
摩根大通银行的最高决策机构是董事会,在董事会下设有风险政策委员会,负责所有风险的管理。风险政策委员会下设立了执行委员会。执行委员会的职责有两项,一是负责战略指引,二是负责内部评价。执行委员会下设立了资本委员会和风险管理委员会。资本委员会的职责有以下6项:(1)提出资本比率的目标建议并负责监控该比率;(2)提出资本分配的建议;(3)监控公司及母公司的流动性,批准抵押品及流动性计划政策;(4)评价公司的资本充足性及债务水平;(5)为资本充足性和流动性的讨论提供一个论坛;(6)从潜在流动性风险的角度评价特殊目的实体的风险敞口。风险管理委员会的职责有以下6项:(1)提供全面、直接的风险描述及风险偏好;(2)评价并批准公司政策和风险战略:以保证银行的风险管理和监控能够准确反映经营授权、经营行为、合法性及是否满足监管要求等;(3)批准集合限额和授权以控制风险;(4)监控重要风险敞口、头寸集中度、资产流动性、重要头寸及交易的风险限额,对压力情况给予特别关注;(5)评价折扣的充足性并批准损耗;(6)提供风险讨论的论坛。
纽约银行风险政策部门的层级划分及职责是:最高一级是高级风险政策官,负责监控整个银行的市场风险、信用风险、操作风险;其下设立分别负责信用风险、市场风险、操作风险的高级官员;然后是高级国际业务风险官;最后是地区信贷官,分别负责欧洲、亚洲及其它地区风险控制。
2信贷风险控制方法
2.1摩根大通银行风险经理制度
摩根大通银行在总行设首席风险经理,曲副行长或副行长级高级管理人员担任,负责全行各种风险的控制和管理,监控各种可能对全行业务发展有重大影响的“重大风险”。在首席风险经理领导之下,每个信贷业务部门都有信贷风险的专门管理人员——信贷高级风险经理,他们都由首席信贷官主管。在首席信贷官之下有3个高级信贷官,其中2人分别负责国际或国内的批发业务,另1人负责零售业务。在3个高级信贷经理之下,还有区域风险经理,分成几个地区,例如亚太地区、欧洲地区等。或者按产品分,如资本市场、信用卡等。在区域风险经理之下,每个部门还有信贷风险管理人员,他们在技能、分析、管理方面比较有优势,所以能从事这项工作。在业务部门内,风险管理人员有最高审批权,即他们对其各自所负责管辖的区域或产品领域内的信贷额度有最终的审批决策权。这里还有一个原则,即每个信贷风险管理人员有两个上司,一个是较高级的信贷执行官员,一个是本部门的负责人。这种方法使高级信贷人员能够参与信贷管理,他们不仅说行与不行,还要说出理由。
2.2信贷业务双签制度
摩根大通银行根据不同部门、不同级别有关人员的能力和业务需求,给予不同的信贷业务决策审批权限。风险较高的业务需要高级管理人员审批,风险特别高的还要更高一级的官员批准。但不管谁批.至少需要2个或2个以上的签字人。蒙特利尔银行除客户管理部门授权之内的业务、风险较低的业务及特定的小额业务之外,银行发放贷款时,除信贷经营部门(客户管理部)批准同意外,还需要得到信贷监控部门的同意。如果两个部门意见不统一或超权限的项目均要分别报上一级主管部门。
2.3小额信用风险的控制
由于零售业务单笔规模小但笔数多,违约率高但单笔违约损失小的特点,其风险主要表现为系统风险。根据这一特点,蒙特利尔银行针对零售业务采用了自动审批贷款系统,只要将客户资料输入.系统即可以判断是否应该给予该客户以信用支持,以及可以给予多少信用额度。该系统还和社会信用系统相连接,可以直接得到该客户的信用资料。自动审批贷款系统的采用,在控制系统风险的前提下,极大地节约了人力成本。
3风险管理程序和风险管理模型
严格的风险管理程序和有效的风险管理模型是风险管理中非常重要的手段。银行通过使用这些程序和模型,保证了整个银行系统对风险管理的一致性和有效性。程序是银行的操作规范,一旦制定以后,就要求各部门和分支机构严格按程序操作。这种程序是对经营和管理行为的约束,银行工作人员只要遵守这些程序,就会得到程序给予的保护。银行审计部门每隔一定时间就会对这些程序进行评价。
模型在银行中使用的范围很广,从非常简单的交易,到复杂的贷款组合管理和资本管理。银行的经营部门使用这些模型,来指导战略决策,用于制定每天贷款、交易、承销、投资和操作决策。在风险计量方面,也开发了有效的模型。银行使用这些模型来计量各类风险敞口(包括信用风险、市场风险、流动性和融资风险、操作风险)。蒙特利尔银行以在险资本方法计量银行整体风险。
模型的广泛采用,依赖于银行内部有效的审查能力。依据已经建立起来的程序,模型必须先由风险管理人员独立进行测试和评价,以保证其完整性不因经营环境和使用者的改变而改变。这样的程序对模型的适用性和假设前提的合理性提供了独立的证明。在模型采用之前进行检查,保证了输出结果的正确。对模型的测试和评价,还包括输出结果的敏感性。对模型和假设前提,根据情况进行更新。评价的日程安排取决于评价的复杂性和评价对财务的潜在影响。
4管理政策
信贷管理政策、风险管理政策等是指导银行日常风险管理、经营活动的原则。纽约银行和蒙特利尔银行按照营业单位(或产品线)制定信贷政策,由于这些政策的执行涉及到整个银行的利益,因此,在蒙特利尔银行,这些政策由风险主管向董事会提出。在蒙特利尔银行,每个信贷经营部门还要制定贷款指南,要得到风险管理部门同意。
5风险回报观念与经营管理
风险回报的观念在银行日常经营管理中得到了充分的体现,这一观念贯穿于银行的资本管理、战略管理、产品定价等各方面。在资本管理上,引入了经济资本、在险资本等概念。其核心思想是,各种银行业务都承担了不同程度的风险,因而需要不同数额的资本来作保障。在险资本是依据风险进行资本管理的基础,可以具体计量出为支持某种产品线的活动所需的资本及资本的潜在成本,以此对该产品线的表现进行综合评价,并对各类产品线的表现进行比较。
在战略管理上,强调银行最后承担的风险必须与银行股东回报最大化的目标相一致。因此,基于上述资本管理的基础,可以对各种客户战略、产品战略进行比较,进而作出选择,确定银行经营战略,调整日常经营。在产品定价方面,按照高风险高回报、低风险低回报的原则,具体确定每一笔业务的价格。
6内部风险等级评定
内部风险等级评定是商业银行内部风险管理的重要手段,对客户和产品都要进行内部风险等级评定。对产品的评级建立在客户评级的基础上,有时对产品的评级会高于客户评级,但不会低于对客户的评级。银行通过对产品评级,来确定这笔业务应得的回报,评级较高的业务,只需要较少的资本保证,可以定价较低,反之,则定价较高。
纽约银行的内部风险等级分为18级,基本上分别与穆迪的评级、标准普尔的评级一一对应。蒙特利尔银行客户风险级别从0到80,摩根大通银行的信用评级分为10个等级。3家银行内部风险等级的认定程序稍有不同。纽约银行和摩根大通银行内部风险评级工作由前台部门的人员提出评级结果,但要得到后台风险管理部门的认可。由于银行都实行全面风险管理,后台人员会对前台人员的风险分析进行辅导,前台和后台人员对风险有着共识。如果风险管理人员认为评级结果有问题,可以提出不同意见,但要提出充足的理由。蒙特利尔银行由客户管理部门根据特定的模型对客户进行风险评级,风险管理部门需经常对客户评级进行抽样调查,确定评级是否合理。对客户的信用评级实行年审制,对每笔不良贷款实行季审并采取必要的准备金或冲销措施。
