风险管理主要程序
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇风险管理主要程序范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
风险管理主要程序范文第1篇
【关键词】 衍生工具; 风险管理; 内部控制
近年来,关于我国是否应当允许保险资金参与衍生工具交易,成为保险领域一个热点话题。据悉,监管部门已经提出《保险资金参与金融衍生产品交易暂行办法》(征求意见稿)以及《保险资金参与股指期货交易监管规定》(征求意见稿),允许保险公司运用衍生品对冲或规避现有资产或负债的市场、信用或流动性风险,这预示着我国保险资金管理将进入一个新的阶段。然而,衍生工具是一把锋利的双刃剑,其在为企业提供避险的同时,自身也蕴含巨大的风险,包括市场风险、信用风险、操作风险、流动性风险和法律风险,尤其是衍生工具交易的复杂性和杠杆性使得其风险管理的难度远远超过传统的金融工具(李明辉,2008)。20世纪90年代中期以来,国内外均发生多起因衍生工具交易而导致巨额损失的案例,远的如巴林银行事件、大和银行事件,近的如中航油事件、中信泰富事件。因此,对保险公司而言,参与衍生工具交易必须要加强衍生工具内部控制与风险管理,从而有效地控制相关的风险。本文拟对保监会国际组织(International Association of Insurance Supervisors,IAIS)关于衍生工具风险管理的规定进行介绍和分析,从而为我国监管部门制定保险机构衍生工具风险管理与内部控制制度以及保险公司加强衍生工具业务风险管理实践提供借鉴。
一、IAIS衍生工具监管准则关于衍生工具风险管理的规定
1998年10月,保监会国际组织下属的技术委员会衍生工具分委员会了《衍生工具监管准则》(Supervisory Standard on Derivatives:Report from the Derivatives Sub-Committee of the IAIS Technical Committee)。该准则就从事衍生工具交易的保险公司的风险管理控制以及报告框架作出了规定。在该准则中,IAIS鼓励其成员在考虑各自所监管的保险公司所从事的衍生工具的规模、范围和复杂性的情况下要求保险公司建立有效的控制和报告机制。尽管该准则旨在为保险监管部门如何评估保险公司的衍生工具风险控制提供指南,也就是着眼于外部监管,但其对于从事衍生工具交易的保险公司建立内部控制与风险管理制度同样具有借鉴意义。①
(一)衍生工具的风险
该准则指出,衍生产品具有固有风险,这些固有风险应当被恰当地管理。与传统的交易活动一样,保险公司必须应对衍生工具交易的信用、市场、流动性、现金流量、操作和法律风险。上述风险的性质和程度取决于衍生工具是如何被使用的(Para.5)。
(二)衍生工具风险管理实践
该准则指出,衍生工具风险管理实践包括以下六个方面:
1.书面政策与程序
该准则指出,良好的衍生工具风险管理过程的首要要素是以下书面政策与程序:(1)关于管理风险的责任关系的清晰描述;(2)建立恰当的风险度量系统;(3)制定恰当的、结构化的风险承担限额;(4)关于完整而及时的风险监控与报告的规定;(5)建立有效的独立内部控制;(6)使所有从事衍生工具交易的员工均知晓上述政策和程序。
由于衍生工具交易是保险公司整体活动的一个组成部分,对衍生工具风险管理的考虑必须要放在保险公司整体风险管理框架之内加以统筹考虑,以保证保险公司的总体风险敞口处于其风险偏好以内。因此,该准则强调,衍生工具交易的风险管理过程应当尽最大可能与保险公司的总体风险管理框架融为一体。
2.董事会
作为企业决策控制的顶端,董事会在企业风险管理中的角色主要是监督管理层建立健全风险管理(COSO,2004;刘笑霞和李明辉,2007)。该准则规定,从事衍生业务的保险公司董事会在衍生工具方面的职责主要包括:
(1)制定有关的政策与指南
董事会应当制定公司的总体风险管理战略,包括运用衍生工具的目标。董事会应当制定并批准关于衍生工具的运用恰当的政策,这一政策应当与保险公司的目标、战略和总体风险偏好相一致。该政策应当包含受托责任部门的责任关系和受托责任的框架。这样的政策应当与所有从事衍生工具的员工沟通。IAIS强调,保险公司的总体资产/负债管理战略应当考虑衍生工具敞口。尤其是,衍生工具敞口与其他金融工具的敞口不应当产生与公司的投资战略不一致的净敞口。
董事会应当批准成文的、关于所运用的衍生工具的种类、目的和运用条件以及可接纳的对手的指南。并且,董事会应当确保经批准的政策和程序在着手从事衍生工具交易之前就已经生效。
(2)决定是否从事某种衍生工具交易
董事会应当考虑公司涉足不同种类的衍生工具是否适当。例如,存在以下情形时就应当取消或者限制运用某些种类的衍生工具:潜在的敞口不能被可靠地计量;由于市场缺乏流动性,要想终止一项衍生工具十分困难;由于是场外交易,衍生工具无法随时出售;无法独立地对定价进行验证;对手不值得信赖。
(3)制定风险敞口限额
董事会应当在考虑衍生工具的使用目的以及其所导致的信用、市场、流动性、现金流量、操作和法律风险的基础上对衍生工具制定风险敞口限额。尤其对场外交易而言,对任何一个交易对手都应当有一个定量化的限额。
IAIS强调,衍生工具的敞口限额应当纳入到保险公司根据投资战略所制定的整体限额当中。风险敞口应当根据公司的总体资产负债表头寸来计算。例如,在计算信用风险时,董事会应当考虑所有累计的保险公司所面临的信用风险,无论这些风险是来自于衍生工具、证券、再保险或是其他的交易。
(4)内部控制
确保管理层建立与衍生工具规模、性质和复杂性相适应的内部控制机制,是董事会在衍生工具方面的重要职责。在该准则中,IAIS指出,在运用场外交易衍生工具时,董事会应当确保公司有适当的能力来对衍生工具的定价进行独立验证。董事会应当保证保险公司的报告和内部控制机制是用来监控衍生工具的运用是否与公司的既定目标和战略以及法律与监管要求相符的。
(5)董事会的专业胜任能力
了解衍生工具交易的性质及相关的风险,是董事会能够对机构的衍生工具活动进行有效监督的重要前提。在该准则中,IAIS强调,董事会应当保证其全体具有充分的专业知识理解与衍生工具相关的重要问题,并且,所有执行和监督衍生工具交易的个人都具有充足的知识和经验。
3.高管层
管理层对主体中包括风险管理在内的所有活动负有直接责任。建立有效的风险管理政策与程序并保证其有效执行,是管理层受托责任的一个重要内容。各个层次的管理层是企业风险管理具体政策的制定者和主要执行者(刘笑霞和李明辉,2007)。
IAIS指出,就衍生工具业务而言,管理层的职责包括:具体划分管理衍生工具的责任关系、(建立)恰当的风险度量机制、恰当的风险承受限额结构、有效的内部控制、完整的风险报告过程。
高管层应当制定明确的书面操作政策与程序,以实施董事会所确定的衍生工具政策。每个保险公司的操作政策和程序应当有所不同,但其详细程度应当与衍生工具使用的复杂程度和数量以及保险公司的战略与目标相一致。
高管层应当分配充足的资源来建立并维护良好而有效的风险管理机制。这些机制应当与前台、后台、会计与报告机制融为一体。
高管层至少每年应根据公司的交易和市场条件来评估其书面操作政策与程序的适当性,并由董事会批准衍生工具政策与程序的变动或者重申现有的政策。
4.风险管理(职能部门)
目前,西方许多金融控股公司、跨国公司以及大型上市公司,均设立独立的风险管理机构,专门负责风险管理事务。可以说,设立独立的风险管理职能机构,已经成为西方企业风险管理的一个惯例,实际上,独立的风险管理职能机构已成为企业风险管理组织架构的核心(刘笑霞和李明辉,2007)。IAIS指出,保险公司应当建立一个正式的组织结构来监督和管理公司投资活动的风险。IAIS还就风险管理部门在监督和管理衍生工具风险方面的职责作出了具体规定:
(1)风险管理的整合性
IAIS指出,来源于衍生工具交易的风险,包括市场风险、信用风险、流动性风险、现金流量风险、操作风险和法律风险,应当与来源于非衍生工具交易风险的类似风险一起来进行监督和管理,这样,高层管理才能够定期对风险敞口进行综合评估。
(2)风险管理部门的责任
总部的风险管理职能部门应当分配资源来度量衍生工具的特定风险,并将其与事先确定的风险限额相比较,进而报告给高管层。风险管理职能部门的责任主要包括:(a)如果可以的话,对公司所从事的每一种衍生工具交易的主要风险类型制定具体的限额,这些限额应当与公司的总体风险管理过程以及其资本头寸的充足性相一致;(b)依照规定关注并迅速报告违反限额的情况;(c)评估过去的风险管理活动;(d)监督衍生工具交易是否符合公司的总体风险管理战略、对手的信用以及限额。
(3)衍生工具风险的度量
IAIS要求,度量源于衍生工具的各类风险的系统应当完整而准确,这样的风险应当在组织范围的层面上进行度量并对交易性和非交易性业务的风险进行加总,如果适当的话,则应按照类别(group-wide basis)进行度量和加总。这样的系统因公司而异,但都应当具备以下要求:(a)能够充分反映风险和所从事的交易的规模;(b)能够准确而及时地捕捉和度量所有重大的风险;(c)能够为保险公司不同层级所有相关人士所理解。
(4)控制活动
一旦风险管理政策和限额已经生效,就应当建立适当的程序来监控对这些政策和限额的遵循性,这些程序应当有助于预防和较早地发现不遵循风险管理政策的行为。在许多情况下,这包含某种形式的日常监控。
(5)风险管理政策和程序的监控
风险管理职能部门应当评价风险政策和限额是否完善。为此,应当对广泛的市场情景和不断变化的投资与操作环境实施常规的压力测试。一旦保险公司识别出其环境很可能存在风险,应当保证有恰当的政策和程序来有效地管理这些风险。
(6)风险报告
风险管理职能部门应当定期向高管层中的适当层级以及董事会报告。报告的频率取决于是否能够使高管层和董事会拥有充分的信息来判断保险公司风险(risk profile)的变化性。报告应当标明衍生工具交易是如何实现既定的目标并遵循经批准的政策和程序的。
5.内部控制
内部控制是风险管理的重要工具。要有效地管理衍生工具的风险,必须要建立健全内部控制,以降低风险发生的概率以及对保险公司的影响,从而保证保险公司目标的实现。在内部控制方面,IAIS着重强调以下几点:
(1)人力资源
所有执行、监督、控制和审计衍生工具业务的个人都应当具备适当素质并拥有适当水平的知识和经验。
(2)控制活动
IAIS强调,应当建立适当的内部控制系统来保证衍生工具交易处于恰当的监管之下,并且,这些交易只有在符合保险公司经批准的政策与程序的情况下才能够进行。每家保险公司所采用的内部控制的范围和性质应当有所不同,但都应当包括以下程序:(a)前台、后台、会计系统之间的核对应当在恰当的水平上进行,这一水平取决于衍生工具交易的范围(作为指南,活跃地运用衍生工具的保险公司应当每天进行核对)。(b)应当建立有用来限制所有各方从事特定的衍生工具交易的权力的程序,这要求保险公司内部负责遵循、法律和文件事务的人员之间必须要紧密并定期进行沟通。(c)用以确保衍生工具的所有各方都对交易条款达成一致的程序。及时进行发送、接收和核对的程序应当独立于前台。(d)用来确保正式的文件能够尽快完成的程序。(e)用来确保交易员对头寸的核对情况作出报告的程序。(f)用来确保头寸被恰当地结算和报告,并确认稍后的收付款的程序。(g)用来确保所有的授权和交易限额均没有被超越以及所有的违规行为应立即被识别的程序。(h)用来确保独立地检查比率或价格的程序。(i)用来监督任何需要采取特定行为(如期权的行权)或者预期转移一项基础资产以确保该项交易被中止或者使保险公司处于作出或者取得该项转移的位置的衍生工具的程序。
(3)报告
IAIS要求,保险公司应当编制定期而及时的衍生工具交易报告,该报告应当以清晰可理解的语言并包含定量与定性的信息来描述公司的风险敞口。关于报告的频率,IAIS指出,原则上,这些报告应当每天编制以提交给高管层。根据衍生工具交易的性质和范围,报告频率也可以低一些,但IAIS建议至少每月要向董事会报告一次。关于报告的内容,IAIS指出,报告应当涵盖以下方面:(a)对本期以及相关的中止头寸期间衍生工具交易的评述;(b)对交易对手信用风险的分析;(c)在本期任何违反规章或内部限额的具体情形以及所采取的行动;(d)计划的未来交易。
(4)职责分离
不相容职务分离是内部控制的一项基本要求,巴林银行事件、法兴银行事件都反映出,职责分离不完整是导致衍生工具违规操作的重要原因。IAIS强调,负责度量、监督、清算和控制衍生工具的职能应当独立于前台职能,这些职能应当配备有充足的资源。
(5)对外部资产管理人的控制
当聘请外部资产管理人时,董事会应当确信高管层能够监督这些外部管理人的行为是否符合董事会批准的政策与程序。保险公司应当具有适当的专业知识并确信,在合约条款之下,其能够获取充分的信息来评价这些资产管理人是否遵循公司的投资指令。
6.内部审计
内部审计师在评价企业风险管理的有效性并提出改进建议方面具有重要作用。通过对管理层的风险管理程序进行监控、检查、评估、报告,并对其充分性和有效性提出建议,内部审计师可以帮助管理层和董事会(或审计委员会)加强风险管理(COSO,2004)。
IAIS在准则中对建立和完善内部审计制度,从而加强对衍生工具风险管理的监督作出了规定:(1)内部审计职能部门的建立及其独立性。IAIS规定,保险公司应当有一个涵盖衍生工具交易并能够及时识别内部控制漏洞和操作系统缺陷的内部审计。内部审计部门必须独立于衍生工具业务部门和监督部门。关于衍生工具交易的问题应当向高管层和董事会报告。(2)审计范围。内部审计的范围应当由胜任的、对衍生工具的风险有充分了解的专业人士来确定。(3)对风险管理的评价。内部审计师应当对机构的风险管理职能部门的独立性和总体有效性进行评价。为此,他们应当全面地评价与度量、报告、限制风险有关的内部控制的有效性。内部审计师应当评价对风险限额的遵循性、向高管层和董事会报告的信息的可靠性和及时性。(4)对衍生工具业务的复核与监督。内部审计师应当定期对衍生工具操作进行复核,以确定其是否与保险公司的法定义务相一致。
二、IAIS准则对我国保险公司建立衍生工具风险管理机制的启示
IAIS的衍生工具监管准则对保险企业建立健全衍生工具相关的风险管理制度作出了原则性的规定,这些规定对于我国保险公司利用衍生工具来管理保险资金具有重要的借鉴意义。具体而言,我国保险公司在建立衍生工具风险管理机制时,应当注意以下方面:
(一)制定书面的衍生工具风险管理政策
正如IAIS所指出的,成文的、正式的衍生工具风险管理政策与程序是良好的风险管理的首要要素。衍生工具的复杂性和风险性,决定其风险管理要比传统的金融工具更为复杂,为此,保险公司必须要根据自身所从事衍生工具交易的性质、规模、复杂性来制定相应的风险管理政策。衍生工具风险管理政策应当就企业的风险偏好与容忍度、职责分离、相关部门和人员的责任、衍生工具交易的目标、所从事的衍生工具的规模与品种、新交易品种的批准、风险度量、风险限额、内部管理报告的种类与频率等问题作出规定。上述政策应当涵盖企业所有的衍生工具活动。
由于衍生工具业务只是保险公司所有业务的一个组成部分,为了保证保险公司整体风险管理目标的实现,上述政策应当与企业整体的内部控制和风险管理政策与程序保持一致。并且,为了保证上述政策的落实,保险公司应当保证与衍生工具业务相关的所有个人均充分了解与其职责相关的所有政策和程序。
尤其应当强调的是,保险公司参与衍生工具业务,必须严格限于套期保值,禁止从事投机活动,以保证保险资金的安全。
(二)完善组织结构,明晰责任关系
完善的组织结构、明晰的责任关系,是实现风险管理目标的重要前提。所有人员都应当明确自身在衍生工具方面的职责以及与其他部门和人员的关系,以明晰责任关系。
1.董事会负责监督
董事会应当确保管理层建立了衍生工具风险管理与内部控制机制。董事会(或其下属风险管理委员会)应当确定公司的总体风险管理战略,并批准公司关于衍生工具运用的恰当的政策,这一政策应当与公司的目标、战略和总体风险偏好相一致。董事会批准的衍生工具政策至少应当包括:(1)确定公司的风险偏好;(2)规定公司所从事的衍生工具产品以及交易类型;(3)评价与批准新产品或新交易类型的具体要求;(4)提供充分的人力资源和其他资源以确保经批准的衍生工具交易以稳健的方式进行;(5)确保关键的风险控制职能部门(如风险管理、内部审计)具有恰当的结构和人员配备;(6)明确衍生工具交易的管理责任;(7)识别公司衍生工具活动所面临的各种风险并建立明确而完整的控制限额;(8)规定与衍生工具交易的性质和规模相一致的风险衡量方法;(9)规定头寸的压力测试;(10)需要向董事会或董事会下属委员会提交报告的种类与频率。董事会应当确保经批准的政策和程序在着手从事衍生工具交易之前就已经生效并为相关的部门和员工所知。
董事会(或其下属的风险管理委员会、审计委员会)应至少每年对现行衍生工具风险管理与内部控制政策进行评价,确保其与公司的资本实力、管理水平一致。新产品推出频繁或系统重大变化时,应相应增加评估频度。
董事会还应当批准适当的与衍生工具业务相关的薪酬政策。衍生工具交易相关人员(包括高管层、交易部门管理层和交易人员)的薪酬,应当建立在长期业绩的基础上,避免根据具有较大波动性的短期业绩决定薪酬。
2.高管层负责制定并实施具体政策与程序
保险公司高管层应当制定明确而具体的衍生工具操作政策与程序,以实施董事会所确定的衍生工具政策。保险公司最高管理层中应有熟悉衍生工具业务的专人负责监督、核准衍生工具交易相关事项,并与董事会、风险管理委员会以及具体业务、财务部门保持良好的沟通。
高管层在衍生工具风险管理与内部控制方面的职责主要包括:(1)具体划分管理衍生工具的责任关系;(2)建立恰当的衍生工具风险度量机制;(3)制定公司衍生工具的风险限额,这些限额应当与公司整体风险限额综合考虑;(4)确保建立并实施有效的内部控制制度;(5)建立完整的衍生工具内部风险报告制度;(6)定期对衍生工具头寸进行评估,以确定其是否符合公司的风险管理政策、其风险是否处于公司风险容忍度之内。在从事衍生工具业务之前,管理层应确保已经获得所有的批准手续并建立了恰当的操作程序和风险控制制度。
3.建立独立的风险管理机构
保险公司应当建立独立的、能够胜任风险管理实践的风险管理部门,来专门负责风险管理事务。风险管理部门应当独立于衍生工具交易及营销部门,并能够向公司的高管层报告。
保险公司风险管理部门在衍生工具方面的责任主要包括:(1)对公司所从事的每一种衍生工具交易的主要风险类型制定具体的限额。(2)根据既定的政策和程序来计量、监控衍生工具的风险并直接向高管层报告。(3)监督衍生工具交易是否符合公司的总体风险管理战略,包括:监督违反限额的情况并迅速向不负责交易的管理层报告;对风险敞口进行盯市并对前后台的头寸和损益进行核对;监督每一个交易对手的信用敞口是否超过限额,并向不负责交易的管理层报告例外事项。(4)评估公司过去的衍生工具风险管理活动。(5)编制风险管理报告(包括每天的损益结果和总头寸、净头寸)并提交给管理层、董事会或风险管理委员会。
4.交易部门
保险公司应当根据所从事衍生工具交易及风险管理的复杂性,委派具备相关资格的专业人员从事衍生工具交易,并配备相应的交易监督人员。交易部门的主管应加强对交易员的监督。
5.审计委员会和内部审计部门
公司内部审计部门或类似机构,应当定期对衍生工具风险控制制度的设计和执行进行审查,以及时发现存在的内控缺陷并提出改进意见。内部审计部门应当向董事会或其下属的审计委员会报告其相关发现,并与高管层保持良好的沟通。
值得指出的是,无论是董事会、高管层、风险管理部门、业务部门以及其他相关部门和员工,都必须要具备衍生工具相关知识和技能,能够胜任衍生工具交易与风险管理实务。为此,在招聘相关人员时,应当注重专业胜任能力、职业操守的考察,并加强交易人员的职业道德、专业知识和技能后续培训。
(三)建立衍生工具风险的识别、度量和应对机制
1.风险识别
保险公司应当根据自身的经营目标、资本实力、管理能力和衍生工具的风险特征,确定能否从事衍生工具交易及所从事的衍生工具交易的品种和规模。
公司在每次从事衍生工具活动之前就应当识别该活动的风险,包括:信用风险、市场风险、流动性风险、操作风险和法律风险。在进行衍生工具交易之后,应当定期识别持有的衍生工具所暴露的各种风险。
2.风险评估
保险公司应当根据所从事衍生工具的性质、信息系统和历史资料的完备性等因素采用定量或非定量技术来科学地评估衍生工具的风险。(1)市场风险的评估。公司应当运用适当的风险评估方法或模型对衍生工具交易的市场风险进行评估,并按市价原则管理市场风险,调整交易规模、类别及风险敞口的水平。衍生工具市场风险的评估方法包括风险价值法(VaR)、名义价值法、久期分析法、敏感性分析等。(2)信用风险的评估。对衍生工具信用风险的度量应当同时考虑现时信用风险和因为衍生工具未来价值发生变动后对手违约而产生的潜在信用风险两方面(G-30,1993),其中,当前信用风险敞口一般用合约的重置成本来估计,而潜在的信用风险敞口则应以衍生工具组合未来价值波动的情况(概率分布)来计算潜在损失的期望值。在进行衍生工具交易之前,保险公司必须对交易对手的信用状况进行评估。(3)操作风险的评估。保险公司可以采用内部度量法、损失分布法、Delta-EVT等方法评估衍生工具的操作风险。(4)流动性风险的评估。在对流动性风险进行评估时,应当考虑以下因素:市场交易的规模;市场因子的变化;现金流量(金额和时间)预测;可用于平仓的替代性金融工具;合约的标准化程度;等等。(5)法律风险的评估。对于衍生工具交易(尤其是场外交易)而言,其法律风险的识别与评估主要应当考虑:交易对手交易资格(当然也包括自身有无权从事该项交易的评估);相关法律(包括合同法、税法、破产法、担保法等实体法以及诉讼、仲裁等程序法及国际私法)对衍生工具交易的影响;合约内容法律效力;有关法律变更对衍生工具交易的影响。
3.风险应对
保险公司应当根据风险评估结果和公司的衍生工具业务风险可接受水平,采取相应的风险管理策略,包括规避风险、转移风险、承受风险、抑减(缓释)风险。
(四)实施严格的限额控制和不相容职务分离
保险公司应当根据自身衍生工具的性质、规模与复杂程度以及风险管理系统的类型,对衍生工具制定严格的限额,包括交易量限额、止损限额、到期限额、VAR限额等,并对超限额交易进行严格的跟踪。在定风险管理限额时,应评估自有资本对风险的承担能力。
保险公司应当建立并严格执行授权和止损制度。在进行衍生工具交易时,必须严格执行分级授权和敞口风险管理制度,任何重大的交易或新的衍生工具业务都应得到董事会的批准,或得到由董事会指定的高管层的同意。在因市场变化或决策失误出现账面浮亏时,要严格执行止损制度。
保险公司应当实行严格的不相容职务分离制度,前台、、后台部门应当各有分工、相互制约,尤其是衍生工具交易、确认、清算人员不得兼任。公司清算部门应当加强对超限额交易和保证金给付的监控,一旦发现未按事先计划进行的交易,应当及时反馈和报告给风险管理委员会或董事会。
(五)建立有效的内部风险报告机制
保险公司应当建立与交易系统衔接的风险管理信息系统,及时提供衍生工具相关的交易和其他数据,并对衍生工具交易的实际情况进行实时监控。保险公司管理层应当通过内部风险报告系统随时获取有关衍生工具交易风险状况的信息,并及时采取应对措施。
保险公司的风险管理部门或其他职能部门应当根据相关的政策与程序向适当层次的管理层报告衍生工具风险度量结果。至少应当每天向负责监管但自身不从事交易的管理人员报告风险暴露情况和损益表;向董事会或其下属风险管理委员会报告的频率和内容可以根据市场状况等因素确定,但应当能够使董事会或风险管理委员会获取充分的信息以便判断公司风险的变化情况。
(六)加强对衍生工具风险管理的监督
为了保证衍生工具风险管理政策和程序的持续有效,保险公司必须要对相关风险管理机制进行有效的监督,包括持续性监督和单独评价,以发现其制定和实施中存在的问题并及时加以纠正。
保险公司的内部审计部门(或类似机构)应当对衍生工具内部风险控制制度进行审查,其审查内容包括但不限于以下方面:(1)复核公司总体风险管理系统的恰当性和有效性,包括相关政策、程序和限额的合理性和稳健性,以及公司对相关的政策、程序和限额的遵循性;(2)复核各种操作控制(包括职责分离)以及相关的部门、员工对既定政策与程序的遵循性,并测试其有效性;(3)调查非常事项,如重大的违反限额的行为、未经授权的交易、不一致的估价或会计差异;(4)对公司衍生工具风险评估模型及其假设的合理性进行审计;(5)复核公司风险管理信息系统的充分性,包括衍生工具风险报告的内容和频率以及报告关系的合理性。内部审计部门的相关结论和意见,应当向审计委员会或类似机构报告,并在报告之后检查相关建议措施的落实情况。在必要时,内部审计部门可以向董事会和最高管理层报告。
【参考文献】
[1] Committee of Sponsoring Organizations of the Treadway Commission(COSO). Enterprise Risk Management - Integrated Framework.2004.
[2] Group of Thirty (G30). Derivatives: Practices and Principles.1997.
[3] International Association of Insurance Supervisors. Supervisory Standard on Derivatives Report from the Derivatives Sub-Committee of the IAIS Technical Committee.1998.
风险管理主要程序范文第2篇
关键词:巴塞尔新资本协议;法律风险;风险监管
中图分类号:F832.0文献标识码:A 文章编号:1007-4392(2008)05-0007-04
巴塞尔银行监管委员会(Basel Committee on Banking Supervision,以下简称巴塞尔委员会)在2004年6月公布的《统一资本计量和资本标准的国际协议:修订框架》(InternationalConvergence of Capital Measurement and Capital Standards:ARevised Framework,以下简称《新资本协议》)①中,首次将法律风险纳入了国际银行资本充足率监管框架,要求国际活跃银行采用规定的方法计量法律风险,并以此为基础确定其资本标准。该协议对商业银行全面风险管理体系的建立以及各国银行资本监管制度的完善都提出了更高的要求,并将于2006年底开始在十国集团国家实施。因此,解读《新资本协议》和其他有关巴塞尔文件的规定②,阐明“什么是法律风险”、“由谁来管理法律风险”和“如何管理法律风险”等问题,将有助于推动我国银行监管制度与国际银行监管惯例接轨,优化银行公司治理结构,提高银行业的风险管理水平和综合经营能力。
一、法律风险的概念及类型
法律风险是银行业务中的固有风险。然而,对“什么是法律风险”,各国监管当局的理解并不一致。例如,英国金融服务局(FSA)侧重于从制度层面上来理解法律风险,认为这种风险是因“法律的效力未能认识到”、“对法律效力的认识存在偏差”或者“在法律效力不确定的情况下开展经营活动”而使“金融机构的利益或者目标与法律规定不一致而产生的风险”。美国联邦储备委员会(FRB)则侧重于从交易层面上来认识法律风险,认为诉讼、客户基于规避法律或者避税的目的而与银行进行的交易,以及客户实施的其他违法或者不当行为都可能给银行带来法律风险。芝加哥储备银行(Federal Reserve Bank of Chicago)也认为:“法律风险是不可执行的合同、诉讼或者不利判决等使银行的营业中断或者对银行的业务活动或者经营条件产生不利影响的可能性。”
就“什么是法律风险”形成共识,无疑是建立统一的商业银行法律风险监管制度和管理体系的基础。为此,在1997年公布的《有效银行监管核心原则》(以下简称《核心原则(1997)》)中,巴塞尔委员会首次以列举的方式对法律风险做了定义。《核心原则(1997)》指出,法律风险主要表现为因下列情形而引发的风险:(1)不完善或者不正确的法律意见或者业务文件;(2)现有法律可能无法解决与银行有关的法律问题;(3)法院针对特定银行作出的判决;(4)影响银行利其他商业机构的法律可能发生变化;(5)开拓新业务且交易对手的法律权利不明确。为使各商业银行在建立和实施法律风险管理体系方面保有一定的主动性利灵活性,《新资本协议》在前述定义的基础上又作了概括性的说明,即“法律风险包括但不限于因监管措施和解决民商事争议而支付的罚款、罚金或者惩罚性赔偿所导致的风险敞口(risk exposure)”,并明确要求国际活跃银行采用规定的方法计量法律风险并为之配置相应的资本。
进一步分析,法律风险又分为运营法律风险(operationallegalrisk)和环境法律风险(enviro-nmental legalrisk)两种类型。所谓运营法律风险,是指因银行自身的操作风险控制体系不充分或者无效,未能对法律问题作出反应而产生的风险。这种类型的法律风险与特定的银行相联。
所谓环境法律风险,是指法律本身导致意外的、不利的后果的风险。其主要表现为可能对所有商业银行的风险敞口产生不利影响的外部法律事件,即法律的变化。与前述运营法律风险相比,环境法律风险不仅有着不同的风险来源和风险事件类型,而且还属于不可控风险,单个银行无法采取有效的措施阻止特定风险事件的发生。尽管如此,银行仍然可以运用风险缓释技术把环境法律风险的不利影响降低到可以接受的水平。因此,环境法律风险管理也是商业银行法律风险管理体系不可或缺的组成部分。
二、法律风险的特征
首先,法律风险是一种特殊类型的操作风险。根据《新资本协议》的规定,操作风险(operational risk)是指“由不完善或者失效的内部程序、人员和系统或者外部事件造成损失的风险。本定义包含法律风险,但不包含战略风险(strategic risk)和声誉风险(reputational risk)”。从上述定义来分析,操作风险不仅包括一般性操作风险(general operational risk),也涵盖了运营法律风险。归纳起来,操作风险事件主要有以下七种类型:(1)内部欺诈;(2)外部欺诈;(3)雇佣政策和工作场所安全;(4)客户、产品和业务操作;(5)实物资产的毁损;(6)业务中断和系统失灵;(7)执行、传递和业务流程管理。通常,前两种风险事件(内部欺诈和外部欺诈)不可能属于法律风险事件,尽管银行在这些风险事件中可能遭受损失,但这些损失与法律责任无关;后五种操作风险事件则都有可能引发法律风险。由此可见,法律风险并不是操作风险的一种独立风险来源和风险事件类型,而是一种因内部程序、人员和系统或者外部事件造成的,具有一定法律特征并需要由法律人员(内部律师或者外聘律师)运用专业判断才能够有效地管理的操作风险。
其次,法律风险区别于信用风险和市场风险的一个重要特征,在于它与“法律”的紧密联系,且普遍地存在于商业银行业务活动和管理控制的各个方面。研究表明,信用风险是指“银行的借款人或者交易对手不能按照事先达成的协议履行义务的可能性”,它与特定的某个或者多个交易对手相联系;市场风险是指“因市场价格变动而导致银行表内外头寸遭受损失的风险”,它与特定的产品、资产组合或者资产类别相联系;而法律风险则是指银行因经营活动不符合法律规定或者外部法律事件导致风险敞口的可能性,它与特定的内部程序、人员、系统或者外部法律事件相联系,其信息来源异常分散。正是因为如此,对信用风险和市场风险的管理强调统一和集中,风险管理活动主要由相应的风险管理部门来进行,而对法律风险的管理则强调分散化。除了法律风险管理部门,所有的业务部门以及与管理和控制有关的部门(如操作风险管理部门)都在法律风险管理程序中承担相应的责任。因此,法律风险管理体系应当独立于信用风险和市场风险管理体系,其管理程序和主要方法也不同于管理信用风险和市场风险的程序和方法。
再次,法律风险也不同于合规风险,因为商业银行需要为之配置充足的资本。所谓合规风险(compliance risk),是指“银行因未能遵守法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则而可能受到法律制裁或者监管处罚、重大财务损失或者声誉损失的风险。……合规所涉及的法律、规则和准则不仅包括那些具有法律约束力的文件,还包括更广泛意义上的诚实守信和道德行为准则”。显然,合规风险广泛涵盖了一般性操作风险、运营法律风险和声誉风险,但不包括环境法律风险和其他的外部事件风险。虽然巴塞尔委员会一直强调商业银行应当有效地管理各种风险,但是《新资本协议》只对信用风险、市场风险和操作风险提出了资本要求。合规风险管理主要是针对内部控制体系的建立和实施情况,其目的在于确保银行遵循有效的合规政策和程序,并采取适当的措施纠正违规行为,计量风险并不是合规风险管理程序的重点。因此,对于属于合规风险但不属于操作风险和法律风险的声誉风险,商业银行只须审慎地管理而不必为之配置资本。但是,对于法律风险,商业银行不仅要采取措施予以控制,而且还应当为抵御这类风险而维持充足的资本。这是法律风险区别于合规风险的重要特征。
三、法律风险的管理程序
(一)法律风险的识别
法律风险的识别(identification)是运用法律风险的定义对各种风险事件的法律性质进行分析判断的过程。商业银行应当能够识别所有重要的产品、活动、程序和系统中固有的法律风险,这是整个法律风险管理程序的基础性工作。为此,法律风险管理部门应当根据银行在提供有关金融产品和服务方面积累的经验等主观标准以及法律法规的有关规定等客观标准,对业务活动中使用的各种文件的合法性、导致风险敞口的潜在法律责任的性质以及立法、司法和行政执法实践对风险敞口的影响等因索进行全面的分析判断。这种分析判断应针对具体的金融产品和服务及其风险状况来进行,在已经或者准备跨境提品和服务的情况下,还应建立在国别的基础之上。
(二)法律风险的评估
法律风险的评估 (assessment)是对已经识别出的法律风险进行量化的过程。根据量化结果,银行能够确定可接受的和不可接受的法律风险敞口,并对后者采取适当的风险缓释措施。按照《新资本协议》的有关规定,商业银行可以根据业务性质、规模和复杂程度以及法律风险管理水平选取基本指标法 (Basic Indicator Approach)、标准法 (Standardised Approach)或者高级计量法 (Advanced Measurment Approach)来计提法律风险资本。其中,高级计量法要求商业银行依据风险敞口指标 (exposureindicator)、风险事件发生的概率(probability)和风险事件损失(loss given event)等三个方面的数据来计算各业务线(business line)的预计损失量(expected loss amount),并以此为基础汇总确定其法律风险资本标准。为此,商业银行必须建立并实施独立的法律风险评估程序。基本指标法和标准法则对法律风险没有敏感性,不考虑不同商业银行在法律风险管理水平方面的差异,只要求商业银行根据年度业务总收入或者各业务线年度业务收入的一定比例来计提法律风险资本。在这种情况下,独立的法律风险评估程序并不是法律风险管理的必经阶段。尽管如此,对法律风险进行有效的评估也会使商业银行更准确地掌握自身的风险状况。
巴塞尔委员会指出,对内部损失事件数据的跟踪记录是开发使用可靠的法律风险评估体系的前提。因此,损失数据的获取是法律风险评估程序的重点和难点。按照《新资本协议》的有关规定,在采用高级计量法计提法律风险资本时,应当以至少五年的损失数据为基础计算确定法律风险事件发生的概率及法律风险事件损失。为此,法律风险管理部门应当注意收集本行的法律风险损失数据,并按业务线、法律风险事件类型和法律责任的性质分类进行统计;如果内部损失数据不充分,或者商业银行的法律风险管理水平较高,没有发生“足够”的损失事件,就必须考虑利用相关的外部数据,即同业数据。这些数据可以是公开的数据,也可以是行业集合数据。
(三)法律风险的监测
法律风险的监测(monitoring)是及时地对已经识别出的法律风险进行重要性(significance)方面的判断和评价,并向董事会和高级管理层报告重要的法律风险信息的过程。巴塞尔委员会指出,商业银行应当建立一系列程序来定期监测法律风险状况和重大的法律风险事件。有效的法律风险监测程序对充分管理法律风险而言至关重要。定期监测行为有助于迅速发现并纠正法律风险管理政策、程序中的缺陷,从而大大降低法律风险事件发生的频率和重要性水平。
法律风险监测的对象是可能造成损失的法律风险事件。但是,这并不意味着法律风险管理部门的监测活动仅仅局限于那些已经发生的风险事件。除了监测法律风险事件,商业银行还应当明确适当的法律风险指标(legal risk indicators)及其临界值(threshold)并持续地对之进行监测,以便为法律风险事件的发生提供早期预警。这样的指标应该具有前瞻性,并能够反映法律风险的来源。根据法律风险工作组的建议,比较常见的法律风险指标包括:(1)法律的立、改、废;(2)市场惯例和标准合同文本等的重大变化;(3)关键人员的变化:(4)推出新的金融产品或者进入新的市场;(5)跨行业提品或者服务:(6)主管当局针对其他银行的监管行为或者其他法律制裁;(7)在重大问题上,外聘律师意见的重大变化:(8)聘任不熟悉的法律顾问;(9)正式法律意见别的条件或者假设等。需要说明的是,法律风险在不同的商业银行、同一商业银行的不同业务线中的表现形式不可能完全相同。因此,穷尽地列举适用于所有银行的法律风险指标是不可能的。商业银行应当根据业务性质、规模和复杂程度建立自身的法律风险指标体系。随着法律风险管理水平的提高,法律风险指标体系也将不断地发展和完善。
(四)法律风险的控制和缓释
法律风险的控制和缓释(control and mitiga-tion)是通过有效的授权审批和监督机制来防范法律风险并采取适当的措施降低重大法律风险的过程。如前所述,运营法律风险属于既可以控制也可以缓释的风险,而环境法律风险则属于不能控制但可以缓释的风险。巴塞尔委员会强调,商业银行应当制定控制或者缓释重大法律风险的政策、程序和步骤。为了控制运营法律风险,法律风险管理部门应当对业务活动中使用的文件进行全面的审查,井根据法律和交易惯例的发展和变化,定期更新标准合同文本等法律文件;法律风险管理部门还应当配备足够的应诉或者参与行政程序的法律专业人员,并对法律风险事件可能造成的财务影响进行分析。
对于上述可以控制的运营法律风险,商业银行可以通过加强法律风险培训、改进产品设计、完善信息披露、明确划分客户群体和投保商业性责任保险等方式进行缓释。对于无法控制的环境法律风险,商业银行可以根据风险评估结果决定是否接受。如果特定环境法律风险的重要性水平难以接受,法律风险管理部门应当建议董事会或者高级管理层及时调整经营战略,包括缩减业务范围、停止某些业务活动或者裁撤某些海外分支机构。
四、完善我国商业银行法律风险监管制度的几点建议
(一)进一步细化法律风险的表现形式
明确法律风险的表现形式是提高我国商业银行法律风险管理水平、构建有效的法律风险监管体系的前提。根据《新资本协议》和其他有关巴塞尔文件以及我国有关法律、法规的规定,我国商业银行可能承担的运营法律风险主要表现为:1 合同可能依法撤销或者确认无效;2 合同可能被依法变更,且变更的结果不利于银行;3 因违约、侵权或者其他事由被提讼或者申请仲裁,依法可能承担赔偿责任;4 知识产权受到侵犯;5 业务活动违反法律、法规等的规定,依法可能承担行政责任或者刑事责任。我国商业银行可能承担的环境法律风险主要表现为下列可能对银行的业务活动产生不利影响的外部法律事件:1 有关法律、法规等的制定、修改或者废止;2 有关国家机关依法作出的法律解释;3 最高人民法院作出的判决;③4 海外分支机构所在的国家或者地区法律制度不完善。
(二)引导商业银行完善管理法律风险的组织结构
由董事会和高级管理层、法律风险管理部门以及向董事会负责的内部审计部门共同组成的组织结构是法律风险管理体系有效运作的基础,这种组织环境能够保证商业银行有关的管理部门和业务部正确理解并有效执行法律风险管理战略、政策和程序。与上述要求相比,我国商业银行管理法律风险的组织结构是有其“形”而无其“实”。目前,我国四大股份制商业银行普遍设立了独立于合规风险管理部门的法律事务部门,其他全国性的股份制商业银行也大都在法律与合规部内设立了负责法律事务的处(室),其主要职责是出具法律咨询意见、参与法律文件起草和谈判签约以及管理法律诉讼等。虽然这些职责都与法律风险管理有关,但并未全面覆盖法律风险管理程序的各个方面,法律事务部门系统地开展识别、评估、监测以及控制和缓释等法律风险管理工作还缺乏应有的组织保障。此外,内部审计部门的独立性不强也是制约法律风险管理体系建立和有效实施的重要因素。目前,我国商业银行的内部审计部门与操作风险管理部门和合规风险管理部门还没有完全分开,既负责管理操作风险和合规风险,又负责监督内部控制体系和各种风险管理程序的实施,既是“运动员”也是“裁判员”。并且,虽然《商业银行操作风险管理指引》要求内部审计部门独立评估并向董事会报告操作风险管理体系的运行效果,但在更多的情况下,内部审计部门并不是直接向董事会负责,其地位与一般的管理部门并无二致,事实上也无法对其他风险管理部门实施有效的监督。因此,引导商业银行重新定位法律事务部门的职责、提高内部审计部门的独立性应当成为法律风险监管制度的重要内容。
风险管理主要程序范文第3篇
每个组织的存在都有其目标,在实现目标的过程中,存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,从而为企业增加价值。
企业风险管理体系简介
要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。
第一是内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,为其他风险管理要素打下基础。
第二是目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。
第三是事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。
第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。
第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。
第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。
第八是监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。
从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
内部审计在风险管理中的作用
根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计要发挥两方面的作用:
第一是对风险管理过程的充分性和有效性进行评价,主要从以下几个方面进行评价:1.评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订;2.与相关管理层讨论部门的目标,看分解到各部门的目标是否对战略目标提供足够的支持;3.评价管理层对风险的识别和评估是否准确;4.分析控制措施是否完善,是否可以使企业风险发生的可能性和影响都落在风险容忍度之内;5.风险监控是否持续得到执行,监控报告制度是否恰当,风险管理报告是否充分、及时。
第二是以咨询顾问身份协助机构确定、评价并实施针对风险管理的方法和控制措施。内部审计在该方面的作用包括:1.进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面,并且使每名员工能够有效识别风险并提出有效控制措施,实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估专题讨论会。针对重大风险隐患,要集合企业内外部的专家进行专题研讨。审计人员既是组织者,又是参与者,同时也是学习者。3.开发自我评估工具。对风险管理进行深入研究,利用现代技术开发适合本企业的评估工具
将企业风险管理融入内部审计程序
在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。
1.在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。
2.确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。
3.编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。
风险管理主要程序范文第4篇
【关键词】内部控制;企业风险管理;风险审计
一、企业风险管理
(一)企业风险管理概念
根据《企业风险管理框架》(简称ERM框架),“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从组织战略制定一直贯穿到组织的各项活动中,用于识别那些可能影响组织的潜在事件并管理风险,使之在组织的风险偏好之内,从而合理确保组织取得既定的目标。”ERM框架有三个维度,第一维是组织的目标,包括战略目标、经营目标、报告目标和合规目标;第二维是企业风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和交流、监控;第三维是组织的各个层级,包括整个组织、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是,企业风险管理的八个要素都是为组织的四个目标服务的;组织各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。企业风险管理定义直接关注组织目标的实现,并且为衡量组织风险管理的有效性提供了基础。该定义强调:风险管理本身并不是一个结果,而是实现结果的一种方式;决定一个组织的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断;该过程应应用于组织内部每个层次和部门,可以从一个组织的总体来认识,也可以从一个单独的部门或多个部门的角度来认识;该过程是用来识别可能对组织造成潜在影响的事项并在风险偏好的范围内管理风险。
(二)企业风险管理要素
1.内部环境。内部环境包含组织基调,是组织员工如何看待风险、对待风险的基础,包括风险管理理念、风险偏好、正直和道德价值观及工作环境,是其他所有风险管理要素的基础,为其他要素提供规则和结构。管理当局是内部环境的重要组成部分,对其他内部环境要素有重要的影响,其职责是建立组织风险管理理念,确定组织的风险偏好,营造组织的风险文化,并将风险管理和相关的初步行动结合起来。
2.目标制定。组织先制定使命,在此背景下,管理层制定战略和目标,并把目标逐层分解为战略目标(高层次目标,和组织使命方向一致,并支持使命)、运营目标(有效且高效地使用资源)、报告目标(报告的可靠性)和合规目标(遵循适用的法律法规)。企业风险管理框架就是为实现组织目标服务,确保管理层参与目标制定流程,确保所选择的目标不仅和组织使命方向一致,支持组织的使命,而且能够保证制定的目标与组织的风险偏好相一致。
3.事项识别。事项既可能带来消极后果,也可能带来积极后果,或者带来混合后果。消极后果的事项意味着风险,它会阻碍价值创造或破坏现有价值。积极后果的事项会抵消消极影响,或者带来机会(所谓机会,就是事项如果发生,能促进目标的实现,能支持价值创造或价值的保存)。因此,管理者应识别影响组织目标实现的内外事项,分清风险和机会。企业风险管理能够改善对交叉影响的有效反应,并能为各种风险提供统一的风险反应对策。
4.风险评估。识别和分析风险,考虑可能性和后果,在此基础上决定应如何管理风险。风险评估可以使管理者了解潜在事项如何影响组织目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从组织战略和目标的角度进行。
5.风险反应。风险反应是管理层选择风险反应方式并制定一套措施把风险控制在组织的风险容忍度和风险偏好之内。风险反应可以分为规避风险、减少风险、共担风险、接受风险和利用风险。规避风险是指采取措施退出会给组织带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对组织的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。利用风险是把风险看作机会,利用可能发生的风险及其影响。对于每一个重要的风险,组织都应考虑所有的风险反应方案。
6.控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
7.信息和沟通。识别、分析和沟通来自于组织内部和外部的相关信息,必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证组织的员工能够执行各自的职责。有效的沟通包括组织内上传、下达和平行的沟通,还包括将相关的信息与组织外部相关方进行有效沟通和交换。
8.监控。监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。组织可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证组织的风险管理在组织内务管理层面和各部门持续得到执行。
二、风险管理审计
(一)风险管理审计的目标
风险管理审计是指胜任的专职机构和专业人员对组织内部风险管理程序、风险反应、管理制度及机制的合理性、有效性进行独立的审查和评价过程。风险管理审计的根本目的是最大限度地增加组织价值。
审计目标是回答“通过审计要证明什么”的理论问题,是审计行为的出发点,是审计工作的指南,也是审查和评价审计内容所期望达到的境地和最终结果。审计目标体系由总目标、一般目标和项目目标构建。
(二)风险管理审计的内容
审计内容是回答“审计什么”的问题。根据ERM框架中的要素,风险管理审计的内容主要包括:
1.风险管理程序的科学性和合理性,主要包括风险管理开发阶段所制订的风险管理框架结构的内容;风险管理试探阶段所实施风险管理框架结构的内容;风险管理回顾阶段所丰富并增强风险管理框架结构的内容;风险管理展开阶段所推广并实施风险管理框架的情况;风险管理支持阶段所需要提供的各种基础组织以及服务。
2.风险反应的周密性和可行性,主要包括风险反应计划的周密性(如有否考虑风险的可规避性、可转移性、可减少性、可接受性);风险应对策略的可行性(如是否采取了风险控制、风险自留、风险转移)。
3.风险管理制度的合法性和完善性,主要包括风险管理制度的合法性(如建立风险管理制度是否经过充分论证);风险管理体制的完善性(如考核评价体制和责任追究制度是否健全)。
4.风险管理机制的结构性和尽责性,主要包括高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;风险管理人员的结构和素质;全员风险管理的情况。
(三)风险管理审计的程序
1.审计规划阶段,包括选定被审计对象和制定风险管理审计计划。被审计对象选定工作包括识别被审计对象的策略、识别潜在被审计对象和排列被审计对象的顺序。制定风险管理审计计划包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。
2.审计测评阶段,包括风险的分析、评估和监控。(1)分析风险。审计人员应对风险迹象进行深入了解、描述和记录,并对风险的可能性和发生频率进行分类。风险可能性分析结果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本确定”等类别,风险发生频率分析结果一般可分为“高频率、高损害风险”,“高频率、低损害风险”,“低频率、低损害风险”,“低频率、高损害风险”等类别。(2)评估风险。审计人员应分析风险的成因及其影响,并确定风险程度及等级。风险程度一般分为“极高”、“高”、“中等”、“低”和“极低”等级别。风险概率用风险发生可能性的百分比表示,风险量=风险概率×风险损失量。(3)监控风险。审计人员应对可能发生的风险和损失进行跟踪检查。跟踪已识别风险的发展变化情况,包括在整个项目生命周期内,风险产生的条件和导致的后果变化,作出减缓风险的方案,调险管理计划。
3.审计报告阶段,包括汇总审计结果、出具审计报告和追加后续审计。(1)汇总审计结果,包括审计现状、标准、差异、原因和建议等部分。如审计建议中对损失大、概率大的灾难性的风险要避免;对损失小、概率大的风险,可采取措施来降低风险量;对损失大、概率小的风险,可通过保险或合同条款将责任转移;对损失小、概率小的风险,可采取积极手段来控制。(2)出具审计报告,包括标题、收件人、正文、附件、签章、报告日期等基本要素。审计报告正文部分主要内容有:审计目标、风险概况、审计依据、审计结论、审计评价和审计建议等。(3)追加后续审计。ERM是一个动态的过程,审计测试应与之相协调,追加后续审计显得重要。后续审计应将重点放在最严重的问题上,相关部门是否予以纠正,若不纠正,责任和原因到底在哪儿;对一般事项可仅限于询问和简短的讨论。
【参考文献】
[1] 朱荣恩,贺欣.内部控制框架的新发展――企业风险管理框架[J].审计研究,2003,(6).
[2]中国内部审计协会.内部审计理论与实务[M].中国石化出版社,2004.
风险管理主要程序范文第5篇
关键词:汇率风险管理VaR
2005年7月21日,我国开始实行以市场供求为基础、参考一篮子货币进行调节、有管理的浮动汇率制度。之后又相继出台了扩大即期外汇市场交易主体范围、引入询价交易方式、扩大远期结售汇范围、允许掉期交易等一系列改革措施。在金融监管方面,以《市场风险管理指引》、《商业银行资本充足率管理办法》为核心,以《金融机构衍生产品交易业务管理暂行办法》为补充,以《商业银行市场风险监管手册》为检查工具,一套相对完整的市场风险管理和监管法规体系已基本建立。这样,无论是从市场环境看还是从监管要求看,提高与完善商业银行汇率风险管理水平都迫在眉睫。
汇率改革对商业银行的影响
人民币汇率制度改革,本质是将原先完全由中央银行承担的汇率变动风险,通过汇率弹性的扩大,将部分汇率风险转移至企业和个人等经济活动主体承担,从而减少中央银行调节汇率的成本。对于我国的银行业而言,这是一个福音。由于人民币长期以来盯住美元,中央银行吸收了全部汇率变动的风险,以美元计值从事国际经济交易的企业在客观上并无汇率风险。只是以非美元计值从事国际经济交易的企业有管理汇率风险的需求,这就在很大程度上制约了银行为企业提供金融工具进行汇率管理的积极性。而在新的汇率制度下,从事国际经济活动的主体将会面临汇率变动带来的风险,银行业就可以不失时机地提供诸如远期合约、外汇期权、货币互换、保理、福弗廷等可以避免汇率风险的金融工具和产品,以满足各经济主体的避险要求。个人外汇理财和人民币理财业务也会因汇率变动剧烈性与经常性而获得新的拓展空间。从国外汇率风险管理的经验看,汇率风险管理主要是通过金融机构提供的各种金融工具来实现的。
汇率改革在给商业银行带来发展机遇的同时,也让商业银行面临严峻的挑战。汇率的波动将直接影响银行的外汇敞口头寸。,新的汇率制度下,商业银行以外币计价的各种资产与负债,会随着汇率的波动而发生变动,从而产生盈亏;银行客户的外汇风险上升会影响银行的信贷资产质量。汇率波动的频率提高后,银行客户面临的外汇风险会增加,直接从事国际贸易的企业会因汇率波动而导致盈亏起伏,进而影响企业的偿贷能力,使银行贷款的风险增加。最后,外汇衍生产品给银行带来的风险增加。从2005年8月2日开始,远期结售汇业务的范围扩大,交易期限限制放开,同时允许银行自主报价,并允许银行对客户办理不涉及利率互换的人民币与外币掉期业务。这些措施的出台在促进银行外汇衍生交易发展的同时,也使得银行面临的各种相关风险增加。在提供远期、掉期等衍生产品时,银行能否准确进行定价,能否有效对冲和管理风险,直接决定着银行的竞争力。
商业银行外汇风险管理现状
由于我国长期实行事实上的固定汇率制度,致使国内商业银行外汇风险管理水平普遍不高。具体表现在:
对外汇风险的认识与管理理念有待加强
一方面,从知识水平来看,目前不少商业银行的高层管理人员缺乏外汇风险管理的专业知识和技能,甚至对外汇风险缺乏起码的了解;另一方面,银行人员,特别是高层管理人员,在思想上对在新的汇率制度下银行的外汇风险重视不够,主观上没有加强外汇风险管理的动力。这样,无论是从客观上的能力来看还是从主观上的意愿来看,管理层均不能对外汇风险管理进行有效的实施与监控,致使银行外汇风险管理难以落到实处。
外汇风险管理的政策和程序还有待完善
很多银行根本没有制订正式的书面市场风险管理政策和程序。即便制定了相关的政策与程序,从政策和程序覆盖的分支机构和产品条线看,仍然没有完全覆盖商业银行的各个分支机构、产品条线以及银行的表内、表外业务。另一方面,在制度的实施与执行这一环上,一些制度没有有效地贯彻落实,甚至根本无人执行。
外汇风险的识别、计量、监测、控制能力有待提高
发达国家的同类银行早已能娴熟地运用各种市场风险的计量方式,包括缺口分析、久期分析、外汇敞口分析、敏感性分析、情景分析以及VaR方法等。而国内的银行才刚刚开始尝试计算风险敞口,有些银行甚至至今都不能准确算出本行所承担的单一货币的敞口头寸和所有外币的总敞口头寸。一些银行尽管能够计算VaR值,但并没有把它运用到银行日常风险管理中,如设置交易员限额和产品限额等。而对风险的监测、控制能力则更弱。一方面是由于对风险管理的监测与控制是以对风险的准确识别与计量为基础的,在对风险的识别与计量都无法完成时,对风险的监测与控制就无从谈起了;另一方面,对风险的监测与控制还有赖于完善的风险管理政策与程序。
外汇风险管理的内控体系有待加强
很多银行还没能建立与外汇业务经营部门相互独立的外汇风险管理、控制和审计部门。内部审计对外汇风险管理体系的审计内容不够全面,没有合理有效的审计方法,并且,审计部门重事后稽核,轻事前防范,也没有日常的稽核监督。同时,由于稽核部门没有垂直管理,在行内与一般的部室平行设置,所以也缺乏权威性、独立性,对同级银行管理层没有约束,更谈不上监督。另外,由于外汇交易、外汇风险有较强的技术性,没有专业的内审人员,很难发现银行外汇业务中的潜在风险点。实际上,当前银行的内审部门几乎无人具备开展针对外汇风险审计的能力。另外,大多数银行都没有进行过针对外汇风险(市场风险)的外部审计。
加强商业银行外汇风险管理的建议
银行高管层要加强外汇风险管理意识
对现有银行高管人员进行相关的知识培训,以增强其风险管理意识与相关的知识;让真正精通风险管理的优秀人才进入高级经理层甚至董事会,这样才能真正为各项风险管理政策和程序的制订与实施提供保证。
完善外汇风险管理政策和程序
制定自上而下的外汇风险管理的授权政策和自下而上的报告政策与程序,做到组织合理、权限清晰、责任明确。新产品、新业务的内部审批程序应当包括由相关部门,如业务经营部门、负责市场风险管理的部门、法律部门、财务会计部门和结算部门等对其操作和风险管理程序的审核和认可。要尽快培养和建立一支具备专业知识、能够对包括外汇风险在内的市场风险进行审计的队伍,加强内部审计检查,确保各项风险管理政策和程序得到有效执行。
大力引进和培养专业人才
由于各种原因,目前国内银行风险管理人员专业化水平程度不高,即便涌现一些优秀人才,也会因激励不够或是工作环境不理想而大量流失。人才资源是服务业的核心资源。要建立系统的培训制度、有竞争力的薪酬管理制度和升迁制度。要把引进人才、培养人才和留住人才放在战略的高度。
完善风险管理信息系统
