前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇风险管理制度及流程范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
1 加强煤炭企业风险管理的意义
(1)随着现代科学技术的不断进步,市场经济的不断发展,煤炭开采面临着资源成本、安全成本以及资金成本不断增加的难题,另外,进口煤炭的大幅度涌入也对我国传统煤炭产生一定冲击,直接导致了煤炭价格一路下滑,利润的大幅度下跌。成本的增加,利润的下降,迫使企业面临资金短缺风险,煤炭企业在这样困境中又急需改革创新,由此还面临着产业结构调整等方面风险,因此加大煤炭企业风险管理力度,降低企业风险是企业改革必经之路;(2)从国家宏观经济政策需求来看,煤炭企业作为国家经济的龙头产业,尤其是大中型煤炭企业,在国家整体经济中占有非常大比例。煤炭企业加强全面风险管理,有效规避市场经济中的经营风险、战略风险等,对推动国家宏观经济政策的实施有一定现实作用和实际意义;(3)可持续性、科学性发展是企业得以生存的前提,随着现阶段经营风险的不断加剧,企业如果还停留在传统风险意识,不重视风险管理,那么将很快就会被社会淘汰。因此只有加强企业风险管理,建立健全的全面风险管理制度,对面临的各种风险进行分析与规避,才能真正实现企业科学、可持续发展。
2 煤炭企业风险管理现阶段面临的问题
2.1 风险管理制度不健全
有效科学的风险管理制度能够保障煤炭企业良好有序的生产运营,但目前我国大多数煤炭企业缺少能够满足其生产运营需求的风险管理制度。首先,许多煤炭企业中风险管理体系不健全,只关注针对安全风险的管理,忽略市场竞争中战略风险以及产业结构风险的管理;其次,企业的风险管理体系缺乏统一性,虽然很多企业也制定了风险管理制度体系,但体系缺乏一定整体性和统一性,使得风险管理系统的作用得不到有效发挥;最后,风险管理制度可行性不高,一些企业制定了风险管理制度,但没有真正落实于实施上,只是走走形式,这样使得风险管理制度没有起到任何效果和作用。
2.2 企业领导风险意识不足
很多煤炭企业领导由于缺乏相关专业知识,风险意识不够,将过多精力放在生产与销售的环节,忽视了企业整体运营变化以及外界环境的变化,也忽略对企业进行的定期考核与评估,这样直接导致企业预防风险能力以及应对风险能力下降。当风险发生时,才去被动考虑采取措施解决风险,不仅在人力、物力、财力上耗费更多,随着时间的积累,也不利于企业长远的发展。
2.3 多重风险的挑战
全面风险管理制度不仅是要应对煤炭企业内部可能发生的安全风险、企业运营风险,还要防范市场经济风险、国家宏观政策下产业结构调险等外部多重风险。首先,国家提倡的环境保护政策,资源税改革政策,使得煤炭企业需要不断革新原有技术,不断增加原有成本;其次,受外部经济市场不稳定因素影响以及国际煤炭市场冲击等,对煤炭企业的有序发展都起到了一定阻碍作用;最后,煤炭安全生产风险对煤炭企业来说是最为重要风险之一,不仅直接影响到生产员工的生命安全,还会直接造成企业经济损失,并对企业形象造成很大负面影响,不利于企业的长远发展。因此可以说现阶段的煤炭企业处在一个“内忧外患”的局面,企业必须迅速建立一个科学有效的风险管理制度,对企业面临的风险进行有效规避,保障生产安全,保证生产质量,在适应国家政策的前提下,适时减少市场运营风险,进一步实现煤炭企业可持续性发展。
3 全面风险管理措施
3.1 加强安全生产意识
近年来,煤炭企业生产安全事故频繁发生,原因之一是相关管理人员对安全生产意识不重视,没有积极做到事前防范,一线生产员工对生产流程不规范,缺乏相应的专业知识,这一系列因素导致煤炭企业生产运营中安全风险不断提升,影响企业发展,也威胁着员工们的生命健康安全。因此,企业必须加强生产运营中安全风险管理,使管理人员以及员工树立正确的安全生产观念和意识,加大安全投入,提高安全管理水平,适时安排员工参加专业知识培训,加强一线员工安全操作水平,使每一位管理人员按章办事,按规管理,每一位员工不违章作业,熟练掌握自己的操作流程,从而减少安全风险发生的几率,确保煤炭企业的安全生产,还能提高企业生产效率,为企业带来更大的经济效益。
3.2 健全全面风险管理制度
完善健全的全面风险管理制度是保证企业风险管理工作有序进行的前提条件。首先,明确权责,企业领导上层应当明确自己作为风险管理中心的责任,针对企业生产运营情况、市场经济发展动向、风险管理目标等方面,进行全面系统了解与掌握,制定出一套适合企业发展特点的全面风险管理制度,提前防范企业将面临的风险,并提出解决方法;其次,建立专门的风险管理部门,引入专业人才,提高风险管理的专业化水平。专门风险管理部门具有一定独立性和有效性,直接对企业董事会负责,对董事会提出的风险管理制度进行评估与分析,适时提出专业意见与建议,并在制度的实施阶段起到监督管理作用。
3.3 注重建立信息化管理制度
全面风险管理是指针对企业面临的运营风险、财务风险、市场风险以及战略风险等多方面进行实时监控管理。首先,在管理过程中,需要首先对不同环节中不同风险进行全面系统的信息收集。广泛地、不间断地收集与企业相关的内部以及外部信息,包括企业的历史资源以及未来预测等一系列信息;其次,对收集回来的信息进行进一步分析与评估,定期或不定期对风险进行辨识、分析、评估,对新的原有的风险变化重新评估,并对企业可能遇到的风险进行预测,有效防止风险发生;再次,建立一个健全的风险管理信息系统,通过不断更新和完善信息管理系统,确保风险管理系统数据与企业风险量化值得一致性、及时性以及完整性。对已经输入信息系统中的数据,不得随意更改,并适时根据企业生产情况及外部环境进行补充、调整。现在也有许多煤炭企业开始将风险管理信息系统用于企业生产管理,对于一些生产安全隐患(如井下瓦斯、煤尘等)起到很好的预警效果;最后,制定合理科学的风险管理策略,通常情况下,企业对运营风险、财务风险、战略风险和法律风险等可以采用风险转移、风险对冲以及风险补偿等方式进行风险管理。根据不同风险采用不同方式、策略,并提出可行的解决方案,方案必须包括解决风险的具体目标,解决过程中所需要的条件、手段,在风险发生的不同阶段所采取的不同应对措施。方案制定完成后,还要按照不同职责分工,保证各项措施能够落实到位,确保方案措施的正常实施。
4 加强全面风险管理执行力度
全面风险管理系统的建立与完善,还离不开工作人员的执行。虽然大多数煤炭企业也建立了风险管理制度,但因为工作人员意识不够,企业缺乏宣传,没有制定相应的奖罚制度,导致风险管理制度执行力度不强,进而阻碍了企业风险管理。因此煤炭企业应当通过采取相应措施去加强全面风险管理的执行力度,首先,可以建立内部管理控制体系,在内部环境、风险评估、信息监督、内部监督等方面进行内部有力控制。对重大风险进行有力监控、评估与预测,并及时做出解决方案,力争将风险损失降到最低;其次,要多做宣传,普及相关专业知识,提高工作人员整体的风险防范意识,避免因个人失误造成安全风险发生;最后,要加强事后理赔管理工作,制定赔付资金账目,加强与中介公司,承保公司的沟通交流,提高事后理赔效率。
关键词:经营风险 管理 措施
近年来在农村信用社中存在不少的信用违约以及违法犯罪现象,严重影响了农村信用社的现象,对于农村信用社的发展也带来了负面的影响。农村信用社作为我国重要的金融服务机构,其健康发展对于农村经济发展具有重要的意义。农村信用社在经营管理中应当加强风险管理,严控各种风险,确保各项业务持续稳健发展,更好地支持地方经济发展。
一、农村信用社经营风险管理中存在的问题分析
风险管理意识薄弱。在农村信用社经营的过程中,对于经营目标和考核任务比较关注,对于经营中的风险管理不够重视。在经营过程中没有先进的风险管理理念,风险意识比较薄弱。或者在经营过程中过度追求高收益、高回报,往往忽视了同时存在的高风险。对于风险因素不注重事前管理,往往在风险事件发生后才采取相应的措施。
缺少完善的风险管理制度。目前农村信用社在经营中还缺少完善的风险管理制度,特别是随着金融环境的变化和业务品种的不断增加,农村信用社的风险管理制度已不能够满足当前风险管理的需要,缺少科学的、全面的风险管理制度和操作办法,部分风险管理制度不能够及时跟随时代的发展需要,在制度规定中存在模糊性的特点,缺乏可操作性。同时风险管理中的评价机制不够完善,导致在实践中奖励力度比较小,处罚比较轻,缺少严格的奖惩机制,降低了员工参与风险管理的积极性,认为做好做差都一样,从而导致风险问题的发生。
二、加强农村信用社经营风险管理的策略
(一)提高风险管理意识,树立先进的风险理念
农村信用社要正确认识风险管理对于发展的重要性,理事会(或董事会,下同)、监事会和高级管理层要提高风险管理意识,并积极推动风险管理工作的有效开展。农村信用社要逐步树立先进的风险管理理念,包括:风险管理是企业发展的核心竞争力,是创造资本增值和股东回报的重要手段;风险管理的目标不是消除风险,而是通过主动的风险管理实现风险与收益的平衡。同时,风险理念不仅要存在于领导和管理人员中,更要通过广泛宣传和大力倡导,将其融入员工的日常工作中,培育良好的风险文化氛围。
(二)建立完善的风险管理体系
建立完善的风险管理组织架构。要理顺理事会、监事会、高级管理层及其各自所属专业委员会在风险管理上的职责分工,并建立风险管理部门或指定部门承担风险管理职责,保证风险管理组织架构分工明确、职责清晰、相互制衡、运行高效,同时要加强风险管理条线独立性和专业性,实现风险管理组织体系的有效运行。
风险管理要列入发展战略并成为重要组成部分。风险管理是农村信用社核心竞争力的表现,加强风险管理有助于发展战略更好地实现,因此是发展战略的一个重要方面,发展战略应该包含风险管理方面的目标并且努力实现。
培养高素质的风险管理团队。农村信用社在风险管理方面缺乏专业人才,迫切需要培养合格的风险管理团队,其方法有:一是选派风险管理人员参加外部的专业培训以提高专业素质,优点是原有人员熟悉情况,但提升的过程较慢;二是引进高端的风险管理人才,优点是提升人员素质快,但需经过一段时间的熟悉和磨合才能适应农村信用社的实际情况。可结合实际,灵活运用以上两种方法加强风险管理团队建设。
拓宽风险管理的范围,开展全面的风险管理。农村信用社由于风险管理工作起步较晚,对于风险管理往往只限于信用风险、市场风险和操作风险等传统三大风险,对于法律风险、流动性风险、声誉风险等方面的认识较浅而容易忽视。随着金融环境的变化,这些以往没有引起重视的风险,可能会突然发生并带来严重的影响,因此要重视传统三大风险外的其他风险类型,树立全面风险管理思维。
培育优良的风险管理文化。风险管理文化是企业文化在风险管理方面的体现。要通过高层的推动、广泛而持久的宣传以及内部制度执行等方面的努力,将风险管理行为上升为农村信用社员工自觉行动的思想融入到日常的行为中,构成指导开展各项业务的思维方式。
建立适用的风险管理信息系统,提高风险管理的效率。由于风险管理需要及时且广泛地收集大量的风险信息,并进行处理和分析,因此风险管理信息系统的建立可以提高风险管理的效率,但是农村信用社与商业银行相比,在资产种类、资产规模等方面有着非常大的差异,因此不能照搬商业银行的风险管理信息系统,而要根据自身的资产规模以及业务发展情况建立适用的风险管理信息系统,才能有效提高风险管理的效率和能力。
(三)完善风险管理制度建设
逐步建立风险偏好管理。农村信用社要在完善公司治理和内部控制环境的基础上,围绕发展战略,结合自身的风险管理能力,明确监管约束,按照先定性约束、后定量约束以及先制定整体层面和综合性强的指标、后制定业务条线和分支机构的指标这一顺序,逐步构建风险偏好框架,发挥风险偏好在风险管理中的优势。
风险管理要与具体业务相结合。在农村信用社内部建立风险管理制度和机制,要避免只有高高在上的风险管理框架和组织架构。离开具体业务谈风险管理,就容易使风险管理成为空中楼阁。要使风险管理能够真正落到实处,需要在具体的业务制度和流程体系文件中,尽可能列出存在的风险点,明确风险处置的措施和相应的报告路线,使风险管理成为真正可操作的工作。
实行差别化的风险管理制度。农村信用社虽然是地方性金融机构,但其辖内的经营机构在经营规模、主要业务的种类和所在地经济发展水平也存在较大差异,因此应灵活根据不同经营机构的管理水平和不同地区、不同业务品种等方面风险差异,实行有针对性、差别化的风险管理制度,而不能脱离实际制订一刀切的风险管理措施。
(四)落实风险管理责任,通过正反向激励发挥全员在风险管理过程中的作用
风险管理并不只是高级管理层或者风险管理部门的事情,而是涉及内部所有机构、部门和员工的事情,因此要对风险管理各个环节建立明确的标准和人员责任,指定相应的岗位和人员负责,落实风险管理责任,同时将全体员工纳入到风险管理的流程中发挥员工的主观能动性。对于工作中能够及时防范和降低经营风险的员工,要做好相应的激励措施,提高员工的风险意识和工作积极性;对于工作不认真负责而导致风险管理事件发生的员工,要进行处理,例如记录违规积分、行为考核以及调离岗位等。通过正、反向两方面的约束,并辅以对工作人员的全过程监管,加强事后的追踪和考核,促进员工主动参与风险管理工作。
(五)客观真实反映风险
在实际工作中发生风险事件后,部分农村信用社担心影响自己的形象和声誉,往往不愿意向上级汇报或者报案,认为追回损失就可以了。这种做法不仅不能提高经营风险管理水平,反而影响了风险管理的效果,因此在风险管理中要摒弃家丑不可外扬的观念,对于涉及到违法犯罪的要及时交由司法部门处理,从而形成强烈的警示和震慑作用。
(六)强化风险预警工作
风险预警管理是风险管理体系中的重要内容。经营风险的出现虽具有突发性,但在事发之前都有一定的蛛丝马迹,如果在日常管理中多加注意、观察,就有可能将风险因素扼杀在摇篮中。通过建立完善的风险预警机制,有利于风险管理的决策从而避开经营中的高风险因素。要根据农村信用社经营的实际情况,加强风险数据的积累和研究,完善风险指标,加强对指标的监控和预警,提高风险管理的灵活性,结合发展战略和经营特点等方面风险问题,建立针对性的防范措施。
三、结束语
农村信用社作为我国重要的金融服务机构,其健康发展和安全运营对于其发展具有重要的意义。在农村信用社的经营风险管理中要努力提高内部风险意识,正确认识到经营发展和风险管理的重要关系,将风险管理纳入到日常的考核中,落实相关人员的责任。同时还要加强风险体系建设,分析经营中的潜在的风险因素和薄弱环节,将风险管理能够真正地落实到经营中,提高信用社的服务质量。
参考文献:
[1]王保刚.农村信用社风险管理存在的问题及对策[J].行政事业资产与财务,2012
关键词:护理管理;风险管理;具体应用
护理工作本身存在一定程度的风险,在护理风险发生的情况下,可能会引发护患纠纷,导致患者失去最佳治疗时机等。因此,加强护理风险管理便显得极为重要[1]。本文探讨了护理管理中风险管理的具体应用及效果,现报道如下。
1 资料与方法
1.1一般资料 本次纳入研究的200例需进行护理管理的患者于2014年7月~2015年12月收治我院,均知情同意纳入本次研究,按随机数字表法分为两组。观察组100例中,男52例、女48例;年龄为23~81岁,平均(56.9±2.3)岁;对照组100例中,男53例、女47例;年龄为22~79岁,平均(56.8±2.4)岁。在基本资料上,两组比较没有明显差异(P>0.05),具有可比价值。
1.2方法 对照组患者实施常规护理管理方法,严格按照护理管理流程实施;观察组患者在常规护理管理的基础上,增加一项风险管理,具体实施方法如下。
1.2.1构建完善的风险管理制度 在护理管理中实施风险管理,首先就有必要构建完善的风险管理制度。在风险管理制度制定过程中,需落实首诊问责制、工资绩效制,将风险管理和护理人员的奖惩挂钩。与此同时,制定护理文书管理制度,实现对护理记录格式的统一管理,进一步确保文书可以将患者病情及时有效的反映出来。此外,严格参照风险管理制度规范管理人员、护理人员以及患者各方的行为,从而为风险管理的加强奠定基础。
1.2.2成立风险管理小组 制定好风险管理制度之后,需及时成立风险管理小组,将护士长作为组长,构建护士长、小组长以及小组成员三层管理结构,以此为风险管理体系的完善奠定基础。对于风险管理小组来说,需对护理管理工作过程中的一些情况及时进行了解,认清护理管理过程中潜在风险,进而制定并落实相关防治措施。此外,对于护士长来说,责任重大,需对护理管理过程中的一些护理风险信息进行详细收集,进而及时向上级汇报,然后实施相应的解决措施。
1.2.3加强风险管理培训 在风险管理中,护理人员的素质风险重要,因此有必要针对护理人员加强风险管理培训。一方面,针对风险管理小组中的护理成员进行风险管理涉及的理论知识,使护理人员能够认识到做好护理管理工作的重要性。另一方面,需针对护理人员进行护理技巧方面的培训,使护理人员懂得如何与患者及患者家属沟通,如何利用护理技巧避免一些护理风险,进而使护理人员自身素质得到有效增强。
1.2.险事件报告及处理 在护理管理过程中,难免会出现一些风险事件。因此,相关护理人员有必要针对出现的风险事件及时进行报告,进一步制定并落实针对风险事件的处理方法[2]。并针对风险事件的发生在风险管理小组内展开讨论,找出发生风险事件的原因,使后续护理风险管理工作中能够避免出现类似的风险事件。
1.3判定标准 对比评价护理管理前后,两组护理质量及风险事件发生情况。在护理质量方面,主要评价护理人员的服务态度、责任心、健康宣教能力、沟通能力以及护理技巧能力;采取调查问卷的形式,共5大项,每一项20分;满分为100分,分数越高,表示护理质量越好[3]。
1.4统计学分析 采取SPSS 16.0统计学软件对相关数据进行处理,(x±s)作为计量资料,两组比较用t检验;计数资料用百分率(%)表示,两组比较用χ2检验;P
2 结果
2.1两组各项护理质量指标评分情况对比 两组数据差异有统计学意义(P
2.2两组风险事件发生情况对比 观察组中,发生风险事件4例,发生率为4.00%;对照组中,发生风险事件27例,发生率为27.00%。在风险事件发生率方面,观察组明显要比对照组的低,两组数据差异有统计学意义(χ2=12.237,P
3 讨论
在医院,医学水平的提高不仅仅体现在临床治疗上,还体现在护理管理上。对于部分疾病患者来说,如果护理不当,也会对临床治疗造成很大程度的影响。临床研究表明:在护理管理过程中,可能会引发护患纠纷以及一些风险事件,而要想使这些状况得到有效避免,就有必要在护理管理工作中实施风险管理。在护理管理中的风险管理,即针对护理风险进行管理。首先,有必要在护理管理工作中制定完善的风险管理制定;其次,成立风险管理小组,在小组中落实组内成员的职责、护理任务等。再则,对风险管理小组内护理人员进行护理知识及技巧方面的培训,使护理人员能够完全胜任这项工作。最后,针对风险事件及时进行报告及处理,了解风险事件发生的原因,掌握处理风险事件的方法,以此为后续风险管理工作的强化奠定坚实的基础[4]。
本研究结果显示:①观察组与对照组相比,在护理人员的服务态度评分、责任心评分、健康宣教能力评分、沟通能力评分以及护理技巧评分均显著要高,两组数据差异有统计学意义(P
综上所述,在护理管理中实施风险管理,能够提高护理质量,并降低风险事件发生率;因此,值得采纳及应用。
参考文献:
[1]张春花.儿科护理管理中风险管理的应用分析[J].中外医学研究,2013,11(02):107-108.
[2]张军丽.风险管理在护理管理中的应用探析[J].中国卫生产业,2013,02(09):102-105.
[关键词] 上市公司内部风险控制机制
一、上市公司内部治理与风险控制的关系
公司内部治理机制是股东董事会、总经理之间的责、权、利安排和相互制衡机制。但是,职业经理人取代业主控制企业的经营又产生了“人”问题。从经济学的理性假设出发,委托人和人具有不同的目标函数。人具有道德风险、规避、搭便车等驱动和行为。公司治理所要解决的问题是通过契约关系的制度安排来确保委托人的权益不被侵害。
风险控制是作为治愈市场非有效性而提出,这些非有效性来自于股东在信息非对称、税收、交易成本和法律制度失真情况下搜寻他们利益的冲突。无论直接或间接,风险管理的目标是公司所有者财富的最大化,从风险管理的存在与公司治理所共同关注社会财富看,风险管理可鼓励和保护公司投资、可使管理者的利益与公司所有者利益一致;风险管理能帮助公司开发财务计划和投资项目、能稳定现金股利。
内部控制作为公司为履行管理目标而建立的一系列规章、政策和组织实施程序,与公司治理及公司管理密不可分的。只有从公司治理的高度认识内部控制,而不仅仅将它作为公司日常管理的手段,是正确认识内部控制的本质,发挥内部控制作用的前提。中国证券监督管理委员会于2001年1月的《证券公司内部控制指引》就是从公司治理的高度来指导证券公司内部控制框架的。《证券公司内部控制指引》将内部控制分为内部控制机制和内部控制制度两部分进行规范,很好地说明了内部控制治理在公司治理和公司管理中的作用。
二、上市公司有效控制风险的关键因素分析
1.明确风险控制责任
有效的内部风险控制的基本点是上市公司最高管理层必须承诺对控制风险负有全部责任,即由全权负责整个公司业务的最高层自上而下推动和实施内部控制和风险管理,其制定的各项内部控制和风险原则、制度必须适用于公司所有部门、环节、岗位,并能贯彻执行。概括地说,一套有效的内部控制体系首先需要公司领导层的重视参与和监督贯彻。内部控制体系是一项系统工程,应在公司内构造一个全面的包含两个层面的体系工程和系统。公司层面的、整体的内控体系和业务层面的风险管理系统,包括建立完整的内部控制组织架构、流程、报告路线,明确管理层与业务部门的内控职责、纪律程序和量化的风险管理评价体系以及手段、措施等。能够正确地确认风险,不仅要识别可量化的风险,而且必须认识和控制其它不同类型的非量化风险,比如公司治理结构、法律法
规、道德、人力资源、市场、运作环境以及操作上的风险。
2.平衡风险控制成本
管理层应明确严格风险控制所需成本费用,应由为确保实现公司长远目标和预防、控制风险的有效性来决定,而不是根据短期内的损益情况来考虑控制风险应该支出多少成本费用,应将实施风险管理控制的成本费用支出看作是公司一项连续的、长期的可以给企业带来竞争力和价值增值的投入。有效的内部控制依赖于内部控制职责的明确划分,管理层在划分内部控制职责时要将“控制”与“监督”职责加以细化分解,必须将责任落实到人。在风险控制职能上,业务部门的主管无疑是业务风险控制的责任人,并将承担着业务风险控制的职责,业务部门还应设专人负责日常的业务监控,建立内部风险管理信息的传递与反馈机制,检查稽核部门除负责控制法律法规和道德操守风险外,更多的是监督检查职能,即对业务部门的运作合规性进行检查监督。绩效评估部门主要对投资运作绩效风险进行独立的监控、测定及评估。此外,部门之间还担负着互相监督的责任。
3.树立风险控制意识
有效的内部控制和风险管理的主要特征是公司上下均对风险问题具有很强的敏感性和认知度,相关的部门和人员去认真对待和控制,并通过持续不断的培训教育将控制风险的言行贯彻到企业所有员工的言行之中与部门间的业务环节中。在日常工作中,业务部门是否能够真正有效地进行风险控制将取决于部门以及员工是否能够主动进行风险控制和严格遵守行为操守规范,以及风险管理职能部门是否严格履行职责并与业务部门之间相互进行良好的沟通和合作。
4.建立风险控制报告机制
随着公司在日常管理以及投资交易过程中各种风险的日益增加,通畅的风险报告渠道已成为风险控制过程中日益重要的组成部分,业务部门需要将存在或潜在的风险问题分别向风险管理部门和主管领导报告。风险控制职能部门对日常监控过程中发现的风险问题,应定期、及时编制风险评估报告提交管理层,并将有关信息及时反馈给业务部门。
三、上市公司内部风险控制机制的建立
1.实现内部风险管理的机构化
风险管理在欧美企业界的崛起给我们的启示是应建立独立的风险管理机构来评估和控制所面临的各种风险。风险控制是一个系统工程,实现高质量的风险管理与控制,要求公司各部门紧密配合,在风险控制中承担不同的职能。
(1)保持风险管理的独立性是风险管理成功与否的关键因素,风险管理的报告路线必须独立于公司管理层的战略业务部门,独立向风险管理机构汇报,风险管理机构在业务操作和风险管理上应该建立起有效的管理和沟通机制,这种机制一方面要保证风险管理部门从事风险管理工作的独立性,保证风险管理部门对各业务部门在业务运作时的风险承担能够进行有效的监督和预警:另一方面又要保证各业务部门与风险管理部门能够就有关风险信息进行充分的交流,确保风险管理部门基本职能的发挥。
(2)风险管理部门的独立性固然重要,但各部门应该具有相互支持,共同控制风险的有效合作机制,还得与公司的其他部门互动与交流。尤其是公司的各业务部门、办公室科室,以及高级管理人员之间的互动,他们应成为一个整体风险管理机制的有机组成部分。
(3)在风险管理中,既各有所重,又相互牵制,同时,还要定期召开会议沟通情况、分析形势,共同评估风险,调险管理政策,另外,风险管理机构也与外部人员或机构之间如证监会、外部审计、资信评级机构以及业务客户进行互动等。
2.加强内部风险控制的制度建设
制度建设是风险管理的重要基础,只有制定全面完善的规章制度体系,才能有效保证风险管理工作顺利进行。从决策管理角度,风险管理制度有:
(1)风险预警制度。建立风险评估和检测办法以及重要部门的风险考核指标体系,确保风险源、风险点、风险组别及影响的识别标准和危害程度。根据风险的来源、性质、程度明确责任,划分管理层次,预先制定防范策略。
(2)风险控制制度。风险控制应当包括对整个公司和单个交易的限额、市场风险、信用风险、法律风险、操作风险和流动性风险的控制,所有制度必须根据公司业务特点和风险偏好的内在要求进行设计。以条文明确规定风险控制体系及其操作细则以及授权限制。
(3)应变应急和风险补偿制度。公司要制定切实有效的应变应急措施和风险补偿步骤,尤其是重要部门遇到断电、失火、水灾和抢劫等非正常情况时,应变应急措施要及时到位,按预定功能发挥作用。
(4)风险管理检验制度。高层风险管理机构建立一套完整的检验程序,对公司风险管理制度的执行情况进行测试和监督检查,确保公司风险管理机制有效运行。
(5)信息共享制度。高层风险管理机构应具备共享风险管理和控制的信息渠道。
(6)及时报告制度。建立及时向高层风险管理机构报告风险控制小足或失控制度,一般来说,风险暴露以及盈亏情况应当每日向风险管理机构报告,后者,应向负责的高层管理人员汇报。
从机构管理划分,风险管理制度有:重要会议制度;岗位责任制度;授权分权制度;集体决策制度;定期轮岗制度;关键岗位的制约制度;信息披露制度等。
当前,商业银行处于一个开放、竞争、多样化的金融体系中,资本市场逐渐成熟,以移动互联网为代表的新技术不断涌现,金融生态出现新的格局,金融监管不断收紧,商业银行面临着前所未有的动态发展的外部环境。
金融创新是当前银行业务新形势
客户本位——客户感受(体验)驱动业务创新。在新的时期,伴随着利率市场化、商业银行服务收费管制的放松和个人银行业务的高速增长的过程,商业银行都在实施"以客户为中心"的转变。为提升用户黏度,避免陷入同质化严重的领域进行恶性竞争,商业银行必须不断开发新的业务来适应客户的需求。
科技兴行——新技术(应用)加快了银行创新。以移动互联网为代表的新技术的出现大大降低了金融业的信息成本和交易成本,并由此引发了金融竞争的新格局。目前,各银行不断加大产品及服务创新,在运作模式上更强调互联网技术,尤其是移动互联网技术与金融核心业务的深度整合,移动金融日益融入社会生活的各个角落。
低成本运行——成本和效率因素促进业务服务的融合。随着电子商务的日益普及,第三方支付、互联网公司等积累了大量终端客户。为共享客户资源,降低营销成本,银行与第三方开始走向合作。在未来银行的发展中,银行业逐渐摆脱对网点和人工服务的依赖,实现生产方式的转型。在业务创新过程中,银行业需要投入大量的科技成本。与自行建设及运行管理信息系统相比,外包模式具有节约技术研发、科技管理成本、规避IT投资风险、提高效率等优势。因而,商业银行与金融外包服务商的合作日趋紧密。
商业银行的业务和系统特点
目前主要商业银行大致可分为国有商业银行、股份制商业银行和城商行三种类型。市场竞争环境、自身定位决定了三类银行具有不同的业务特点,因而,其系统在规模、结构和能力方面也具有不同的特点。
国有商业银行——“业务大,系统强”。国有银行是商业银行的主体,其改制后经营活力大幅提高,业务基础好,在资本实力、市场份额、客户资源、人才储备等方面仍具有绝对竞争优势。其业务特点是:存贷款规模大;分支机构、自助设备等网点多、覆盖范围广;客户遍及全球,与外部环境关联性大。与其相适应的是,其系统具有设施先进、交易量大、数据高度集中、信息化水平高等特点。
股份制商业银行——“业务齐,系统专”。股份制商业银行从创建伊始,就完全以企业方式按照市场准则来运作,虽然存款规模和贷款规模比国有商业银行小,但股份制商业银行的经营者普遍有打造全能银行的强烈愿望。其业务特点是:业务种类齐全;实现各业务条线的集中管理;各家银行集中优势资源在某些业务领域逐步形成了自身的经营特色。与业务特点相适应,股份制商业银行系统具有较强的专业性,注重信息资源对业务流程再造和新产品开发的支持功能;注重开发初级信息资源的价值,使其能为组织管理服务。
城商行——“业务小,系统弱”。城市商业银行在成立之初就确立了服务地方经济的市场定位,对当地客户的资信状况、经营效果比较熟悉,其业务具有明显的区域性与地方性特征。其业务特点是:存贷款规模普遍较小;发展程度多取决于当地经济发展;放贷业务相对集中于若干特定类型和风险特征的信贷资产。在业务系统开发过程中,基本采取对大行的“跟踪策略”,整体水平不高,高附加值产品匮乏。
新形势下中国银行业面临的新风险
业务创新带来前所未有的新风险
银行是经营风险的行业。随着外部环境的变革和自身的不断演化,银行业务系统势必会不断面临新的威胁,产生新的脆弱性,从而导致新的风险,甚至是未知的风险。
新业务的应用产生新的风险。在新业务研发过程中,业务需求变更往往比较频繁,导致流程操作可能存在安全缺陷;加之管理控制能力不足,导致软件安全性能和产品质量低下,给系统埋下安全隐患。在新业务上线之初,内控机制往往不够健全,给内外部恶意人员以可乘之机;从新业务的运行环境看,社会信用体系和法制建设往往不能适应业务需要,导致法律风险日益突出。
新业务依赖于新技术,新技术的采用往往会带来未知的风险。新业务的产生离不开新技术的支持。当前的二维码支付,其他一些新兴业务如声波支付、手势支付等,不使用密码、证书等传统认证技术。由于人类认知的局限性,新兴技术的脆弱性和潜在威胁,将会导致风险等问题,而外部无所不在的互联网环境使得攻击资源更加容易获得,导致人们对这种未知风险的担忧也日益加剧。
新业务往往需要系统互联,导致系统日益庞大,结构日益复杂,出现新的风险点。目前,各银行间、银行与证券、保险、公交、铁路、水电气等行业间的系统联接日益紧密。新业务上线之后,势必要连到目前已有的业务系统网络中,导致系统规模和复杂度不断增大,并且加入新的人员和组织因素,从而不可避免地导致脆弱性增加,偶发性和不确定性增大,出现新的风险点。
新业务、新技术的大量采用往往导致管理模式滞后,与业务发展不匹配。组织结构是充分发挥资源效率的关键。在业务创新过程中信息风险管理模式往往出现滞后现象,导致风险管理制度不能适应业务处理的要求,出现一些断层甚至空白点。除此以外,在新旧更替过程中,由于存在着诸多不确定性,管理制度往往存在执行不统一、控制过度或控制不足等问题。
商业银行信息系统风险表现
国有商业银行——“风险程度大,抗风险能力强”。一方面由于国有商业银行信息技术架构庞大、设施复杂、涉及的内容繁多,因而可能存在的脆弱性种类多,范围大;其金融地位又使其成为黑客攻击的首选目标,其面临的外部威胁种类多,危害大,因而所面临的风险在三类银行中也是最大的。另一方面,由于业务规模大,且具有国家信用背书,国有商业银行抗风险能力强;同时,国有商业银行资金实力强大,信息化基础好,技术力量强大,系统的开发、建设运维一般都自行完成,风险控制技术和手段比较完善,信息风险管理水平比较高。
股份制商业银行——“风险种类多,风险较集中”。股份制商业银行打造全能银行的冲动导致信息系统承载的业务种类越来越多,系统越来越复杂,因而,其面临的信息风险种类也是非常多的。股份制商业银行普遍追求规模效应,在某些特色化的金融服务领域,股份制商业银行信息系统占有具足轻重的地位,导致信息风险在这些领域日益堆积和集中,这是股份制商业银行在业务扩展过程需要认真加以防范的。
城商行——“风险区域化,抗风险能力弱”。很多城市商业银行在当地拥有门类齐全的业务,受关注度较高,甚至超过国有商业银行,因而在局部地区,其面临的信息风险种类繁多,风险度大。城商行信息化资金投入少,基础设施薄弱,许多城商行还缺乏基本的灾备中心;同时由于管理经验缺乏,技术人员不足,其风险管理水平比较低下。这种状况与其地区龙头地位是极不匹配的,需要引起高度关注。
金融危机爆发以来,银监会一方面不断推出提高监管力度和有效性的举措,监管覆盖的风险类型日益增多,不但对各类业务创新的真实动机和行为实质进行严格约束,而且越来越多地强调商业银行要加强信息科技风险的管理,将其作为独立的风险种类重点监管。同时,面对日益发展的银行外包服务市场,银监会开始着手进行规范,将外包风险纳入监管范围。风险监管的全面化、纵深化发展对银行业务创新造成了一定的约束。另一方面,也是保证行业健康有序发展,保证公众利益、社会秩序和国家金融稳定的必然选择。商业银行业务创新在推动金融业发展的同时,也增大了金融体系的不确定性,从而客观上提高了金融监管的要求。为维护国家金融稳定、社会秩序和公众利益,防止商业银行过度追逐效益导致业务创新的无序发展,监管层重点关注业务创新带来的风险问题,不断出台针对性的措施,对银行业务创新进行规范和约束,督促银行加强各类风险管理。
城商行面临的挑战
风险控制是商业银行永恒的课题。但在现实情况中,由于对风险管理与业务发展的辩证关系认识模糊,往往存在重业务发展、轻风险管理的现象,在业绩考核主要以业务指标完成情况作为评价标准,忽视风险管理队伍和制度建设,对风险的识别、分析和管理不够完善,给业务经营带来隐患。在新的形势下,旧的问题没有完全解决,新的问题不断涌现,商业银行,尤其是城商行的信息风险管控工作面临着严峻的挑战。
缺乏科学的内部计价体系,风险管控资源配置错位。城商行总体资产规模小,资本不足,缺乏权益性融资渠道,因此需要合理分配资本和资源,优先解决最紧迫的问题。然而,城商行缺乏科学的内部计价体系,在整体层面上把握核心竞争力的能力不足,导致财务资源配置的错位。
科技治理机制不健全,风险管理委员会的核心作用未充分发挥。《信息科技风险监管指引》(以下简称《指引》)要求信息风险管理从源头抓起,完善IT治理,从根本上解决风险管控的原动力问题。在现实中,城商行仍然存在信息科技治理结构不清晰、发展战略规划不到位的问题,导致科技治理机制及管理流程得不到有效执行,董事会和风险管理委员会的战略管理的核心作用未充分发挥,价值未充分体现。
信息风险管理制度不健全,保障措施不完善。商业银行普遍存在“重业务,轻管理”的倾向。在产品设计、系统开发和业务创新过程中,城商行更是往往只关注其效益性,对其存在的潜在风险缺乏研究,导致风险管理制度建设滞后,可操作性不强。同时,由于保障措施不完善,导致风险管理制度执行不力。
内部信息风险管理人才缺乏,技术力量不足。信息科技风险具有高度的专业性和复杂性,由于社会观念、待遇、政策环境等方面的原因,与大行相比,城商行引进信息风险管理人才,尤其是高级人才存在诸多障碍,对提升信息风险管理水平造成严重的制约。出于类似的原因,城商行高级技术人才较为缺乏,力量较为薄弱,难以全面理解新技术、新业务带来的潜在影响,导致系统内部控制的电子化水平较低,整个IT架构也逐渐变得无序,给后续信息风险管理带来严重困难。
缺乏信息风险管控能力指标体系,持续改进机制缺失。目前,城商行普遍缺乏可动态监测的信息风险管控能力指标体系,没有建立起规范的监控、检查、审计、测评流程,输出结果格式不统一,难以阅读和分析,更难以对相关的整改要求进行跟踪和反馈,风险管控工作得不到持续改进。
城商行信息风险应对之策
针对当前面临的挑战,城商行需要积极行动起来,联合监管层、合作方等各方面力量,齐抓共管,通力合作,从管理和技术两方面,确保信息系统在整个生命周期中风险的防范与管控。
全面平衡风险和回报之间的关系,采取最优化的风险处置措施。以信息风险管理委员会为主,集中技术、业务、管理等各方面专家,深入剖析风险的各类因素和作用机制,全面掌握其产生机理,对其进行识别、分类和量化,并采取最合理的处置措施。
真正发挥风险管理委员会的作用,强化风险治理。城商行不仅要成立高级管理层参加的信息风险管理委员会,而且要设立独立的首席信息风险官和对口的执行机构,全面落实信息科技风险管理职责,促进跨专业、跨部门的整体协调和联动,使信息风险管理委员会审议通过的科技治理机制及管理流程能够真正得到执行。
加强信息风险管理制度建设和执行保障力度。对照《指引》要求,深入考察业务可能存在的风险点和技术控制措施的薄弱环节,对现有信息风险管理制度进行完善;同时,制订配套的操作规程和相应的激励约束机制,对各级人员进行风险意识和能力的培训,确保信息风险管理制度能够得到有效执行。
充分发挥外包服务商的能力和作用,提升外包风险管理水平。“他山之石,可以攻玉”,由于人才不足,内部技术力量薄弱,城商行在保持自身主导作用的同时,有必要实行拿来主义,借助强有力的外包伙伴提升信息化水平和风险管控水平。同时,对外包可能带来的风险具有清醒的认识,正确地进行外包决策,选择合适的外包商,有效管控外包人员、系统,使外包可能带来的风险降到最低程度。
建议银监会牵头,多方参与,建立银行业信息系统等级保护标准体系。《指引》是针对商业银行信息风险管理的重要的纲领性文件。然而,《指引》在实施的过程中也遇到一些问题,集中表现为:如何根据信息系统的类型和规模制订有针对性的风险管理要求;如何指导银行将《指引》与现存的各种规章、流程结合起来,以发挥其最大价值;如何把《指引》的实施工作与绩效评估、监管资本要求工作结合起来,建立起有效的激励约束机制。
为此,建议银监会牵头,多方参与,参考公安部等级保护、ISO27001等相关标准,对《指引》进行细化,制订适应银行业要求的信息系统等级保护标准体系,使信息风险管理、安全措施的执行以及监控审核有据可依。
结束语
城商行是信息风险的主体,面临着信息风险管理的严峻挑战,需要积极主动,迅速行动,制订应对之策。否则将为时晚矣。同时,信息风险管理也是一项复杂的系统工程,城商行一家难以独立完成。监管部门、城商行、服务商等相关各方应携起手来,共同应对当前面临的挑战。