关键词:商业银行;信用风险;风险管理
随着中国金融全球化进程的不断加快,金融视角的全面对外开放,充分体现一个具有有序市场竞争性的银行业有助于提高整个社会资源的配置效率和稳定发展。不同于一般金融机构,商业银行作为高负债经营行业,在提供金融服务赚取利润的同时,也承担着来自市场经济发展中的利率风险、操作风险、流动风险、市场风险以及信用风险。在各种风险之中,信用风险与银行流动性、资产总量密切相关,对商业的传统业务、贷款业务、信用担保业务、衍生产品交易等都起到影响。由此可见,信用风险管理水平决定着商业银行的生存和发展方向。因此,在当前的金融全球化和市场波动激烈的经济环境条件下,首要任务是不断提高我国商业银行信用风险管理能力以及加强对信用风险管理的研究。
1商业银行信用风险管理的内容及特征
信用风险管理的首要环节是信用风险识别,信用风险识别是对信用风险的定性分析。银行通过信用事项识别技术来分析信用的影响因素,并以此来判断信用事项代表的风险与机会,为信用风险识别提供相关信息。第二个环节是信用风险计量和评估,它可以使管理者了解潜在事件对企业目标实现的影响。管理者主要从两方面进行风险评估,即估算信用风险发生的可能性大小来预测信用风险带来的影响。与此同时充足的数据来源和良好的信用风险模型是信用风险计量的重要依据。第三个环节是信用风险的控制,该环节是银行根据其信用识别和计量的结果,银行通过其自身所能承担的信用风险能带来的影响进行分析,对其具体的环节进行调整和优化,以达到风险管理的最佳效果。最后一个环节是信用风险的监测,包括内部监测与外部监测。外部监测主要是通过监管部门的监管,主要监管银行的风险资本金。通过内部和外部的监管来控制信用风险,以达到将损失降到最低的目标。信用风险具有客观性、可控性、滞后性、可控性等特征。信用风险的客观性表现为风险是普遍客观存在的,是不会被完全消除的。但可采取相关措施将信用风险调控至可以承受的范围内,即信用风险的可控性。一般情况下,信用风险与借款人内、外部因素息息相关,当某些外部因素发生变化,导致资金不能及时回笼,借款人不能时偿还贷款,最终贷款成为不良贷款,而一定时间后信用风险才会凸显,这便是信用风险的时滞性,因此运用科学有效的信用风险评估体系,能够及时的在一定程度上降低信用风险给银行所带来的损失,这体现了信用风险也具有可控性。
2我国商业银行信用风险管理的现状
2.1商业银行缺乏完善的信用风险评估体系
虽然开始早于2004年,五级分类制度已经在我国商业银行体系里面进行全面的推行使用。按照五级分类制度,商业银行贷款的划分可按照风险程度分为正常类贷款、次级类贷款、关注类贷款、可疑类贷款和损失类贷款。根据这五个等级贷款的违约情况和逾期情况进行监控和记录,根据监控结果得出相应指标,由于各类贷款分类标准不统一,界定不清晰,导致大多数贷款分类情况都按主观分析。加上相关的度量方法和风险评估技术水平无法与快速发展的银行业保持匹配性,银行间大数据基础平台缺失性,笼统的指标并不能对信用风险和操作风险进行全面监控。
2.2商业银行信用风险管理流程具有缺陷性
从国际上先进风险管理经验可知信用风险管理流程决定了风险管理质量,评估信用风险质量存在滞后性。信用风险管理应该在完整流程管理的基础上,自上而下贯穿整个商业银行业务的全部流程,渗透业务发展。商业银行应坚持以信贷业务前控制、信贷业务早期控制和内部消化等作为的信贷风险管理的三大原则,运用分析系统对客户贷款进行动态式跟踪调查,例如信贷风险识别系统、信贷风险量化系统和信贷风险控制系统等。为有效进行信用风险量化,很多商业银行制定了清晰的信用风险控制流程,包括了银行业务的拓展环节,授信的调查、审查、审批、发放环节,贷款发放后的管理环节,对不良资产管理环节等。为促进信用风险的有效管理,设计了信贷控制流程,通过信贷业务前、信贷业务中、信贷业务后的风险管理措施来对信用风险进行控制或规避。但通过实践,与领先国外同行相比,国内大部分商业银行的风险管理流程任存在不足,各部门只履行自己的职能,风险管理工作较难开展,影响着风险管理的效率和统一性。
2.3商业银行信用风险管理治理架构设置不科学目前中国大部分商业银行银行运用的是“三会一层”的风险管理架构,管理体系由总行、一级、二级分行、一级、二级支行五个层次构成。在总行中股东大会分立董事会和监事会,董事会层面再分设风险管理及关联交易控制委员会,高级管理层,审计委员会;经营风险监督控制委员会、风险资产管理委员会和授信审查委员会构成了高级管理层;除二级支行外其他四个层次主要有行长室、综合管理部、公司业务部、个人金融部、运营财会部、风险管理部、人力资源部、安保部等。这种管理体系这使得信息传递时间长、对形势变化反应不灵敏,造成决策效率低下,风险控制能力降低。另外,风险管理部门人员较少且年龄普遍偏大,部门地位常年没有明显提高,其他部门也不会完全配合风险管理部门的工作,使其很难独立开展工作,未能实现独立垂直的风险管理模式。
3加强商业银行信用风险管理体系对策建议
为了有效推进商业银行的信用风险体系优化,应首先从信用风险的管理架构的优化开始,在高级管理层统一部署,各个经营层认真执行,最终推动管理架构的优化。其次是风险管理文化、计量技术、风险管理流程等方面进行梳理优化。不同的企业有着不同的风险管理文化,风险计量技术和管理流程,从这几个方面提出建议对策。
3.1加强信用风险管理架构优化
商业银行应不断完善信用风险体系,密切关注经济新常态,加强对重点行业、地区和重大风险事项的风险管理和识别,及时进行动态调整。了解各级组织部门的职责,完善信用风险管理措施,调整优化信贷结构,强化管理信贷资产质量,以促进战略实施,优化信用风险结构,平衡风险、资本、收益为目标,学习借鉴新资本协议实施成果,优化信贷组合管理措施。加强建设三道防线,完善产品管控机制,改善客户管理体系,改进授权管理体系和流程,优化风险管控技术,提高全面风险管理效率。加强风险案件治理,防范潜在的信用风险,保证资产质量稳定。科学管理和衡量资产质量,将信贷资产分为五类,次级、可疑、损失为不良贷款。同时商业银行应在风险管理架构作出整改,调整风险控制部的设计。经营风险监督委员会监督、管理全行范围内的信用分险,并负责审定信用风险的管理政策与信用风险限额;授信检查委员会是业务交易中的最高决策机构;信用风险监测报告,管理措施的制定由风险管理部负责;表内外业务的审查审批,授信审查和审批的由授信审查部,有效实现相关岗位的行政分离;负责风险资产部主要负责风险资产管理。另外,设立集中出账部门,负责银行业务出账监督管理和管理分支机构;由授信审批部选派员工至分行,负责分行授信审批工作,分行选派审批员工至各支行负责相关授信审批工作,各分支行遵循全行的信用风险管理体制。这有效地实现信用风险的集中垂直管理。
3.2加强商业银行信用风险管理文化优化
信用风险管理理念的优化是对商业银行风险管理灵魂的完善,先进的信用理念使员工自觉遵守管理政策和管理制度,也使制度约束和激励员工行为。促使风险管理更有效力和生命力。管理政策的制定与实施过程与员工行为息息相关,银行应把风险管理理念贯穿到每个员工的思想里,形成风险意识和行动准则,懂得洞察在日常工作中的信用风险,减少信用风险发生的可能性。也要把风险管理理念注入到日常风险管理工作中,涵盖全行的各项业务过程及每个环节,形成与企业文化相适应的风险管理文化,规范银行员工的职业操守,降低银行工作员工的道德风险。发挥风险文化的约束、激励、导向等作用,最大限度提高风险管理的有效力,保证银行业务的稳健发展。但是风险管理意识是不可能一蹴而就的,需要定期在全行范围内进行相关培训,让每个员工都有专业意识,从而创造良好的文化氛围。
3.3加强商业银行信用风险控制流程优化
商业银行应建立信用风险预警监控模型,加强了对信用风险的分析识别。信用风险通过预警监控模型发现时,通常还有机会采取补救措施挽救弥补银行的资产损失,但如果被动地等待不良资产发生往往导致银行资产的巨大损失。先进的预警监控模型可以帮助银行快速有效区分目标客户,促进银行信贷资金效率,也可以成功挑战竞争对手。运用风险预警监控模型对经济金融发展策略、银行的信贷经营管理工作进行有效指导。重大的行业技术变革、行业出现明显衰退、政府调整行业政策,金融环境发生重大变化等都是影响行业预警信号的因素。密切关注各类信息的收集和反馈,加强风险预警,运用风险预警指导信贷业务发展,促进预警监控模型的不断完善。银行业务的资产质量是由分散的每笔资产业务组成的,因此银行总体资产质量状况和银行每笔贷款的质量状况相关。由此可见对每个客户进行信用评级和信用限额尤为重要。进行信用限额主要包括三个方面:第一,要求银行客户提供的资料真实、完整,主要包括财务报告、资产价值的评估报告等,将银行客户提供的审计部门审计过的财务报表比对客户纳税信息,确保资料的真实性;第二,扩大数据库数据来源,通过法律法规立形式,将所有政府部门系统相关数据交由征信机构进行整理汇总,为商业银行不同业务发展需求,提供更多详细的高质量信息;第三,加快信息管理系统的建设,吸收和引进国外先进技术,扩大资金投入力度,不断梳理补充现有数据,为信用限额测算规则建立提供完整的数据支撑。同时商业银行全面的掌握企业的真实信息,有助于及早发现风险信号,采取相应补救措施,避免或减少信用风险的损失。积极推行风险报告机制是为经营决策服务,为风险管理服务,为创造资产价值服务。充分发挥风险报告机制的作用依靠风险报告传递的效率和风险报告的质量。
4结语
信用风险是银行风险的重要组成部分,而银行业是我国金融服务业的主要机构。我国商业银行逐渐意识到信用风险管理对银行发展的重要性,但由于各种政治经济原因,我国商业银行的信用风险管理还是存在许多不足之处,对商业银行的有效管理迫在眉睫。在当前市场经济快速发展的情形下,分析我国商业银行如何进行有效的信用风险管理顺应时代热点。金融危机后信用风险管理环境不断变化,商业银行信用风险管理更加注重定量分析与模型运用,增强了信用风险管理决策的科学性;信用评级机构在信用风险管理中的作用越来越重要;信用风险管理手段也日益丰富和发展,信用风险管理由静态向动态发展。加强商业银行信用风险管理将是中国金融业发展的长期课题。
参考文献
[1]李淼.HX银行企业信用评级体系的优化研究[D].西安:西安理工大学,2009.
[2]谢济全.我国商业银行信用风险管理研究[D].武汉:武汉大学,2008.
[3]马海英.商业银行信用风险分析与管理[M].上海财经大学出版社,2007.
[4]衣向东.我国商业银行信用风险存在的问题及成因[J].时代金融(银行分析),2009(4).
随着《中央企业全面风险管理指引》(以下简称《指引》)和《企业内部控制规范》及配套指引在中央企业的开展和推广,央企陆续建立或准备建立内控和全面风险管理体系,风险管理已经成为企业生存与发展的关键要素。而信息化作为推动和实现企业体制完善、管理创新的重要手段,也早已融入企业的各项管理和实践。越来越多的企业将风险管理信息化纳入企业信息化建设规划当中。已经有相当数量的中央企业建立了内控和全面风险管理信息系统,还有一些企业结合管理实践,从法律、市场、信用、项目等专项业务管理入手形成了专项风险管理信息化应用。
风险管理信息化存在的问题
据调查,目前中央企业全面风险管理信息化建设仍处于起步阶段,仅有少数企业建立了独立的整体或专项风险管理信息系统。信息技术在企业各项风险管理工作中的应用仍不充分,无法满足企业对信息收集、风险评估、预警监测、沟通报告等工作的信息化要求,也未能发挥其对提高风险管理效率的促进作用。
笔者认为风险管理信息化之所以开展缓慢,应用不顺,可能与如下因素有关:
首先是定位不够清晰。一部分企业在建立内控或风险管理体系的同时或之后,实施了风险管理信息系统,但是这样一个系统是作为内控或全面风险管理牵头部门的工作信息平台,用于推动企业内控和全面风险管理管理体系运行?还是希望在各专项业务管理中通过风险管理信息化手段评估和管控业务风险?不少企业对于系统的操作主体、应用范围、管理目标往往不够清晰,导致信息系统效能难以发挥。
其次是不能与业务管理融合。有些企业虽然已经构建了风险管理信息系统,但是业务管理和风险管理在信息化应用中几乎没有交集,在信息系统中难以体系集成与信息共享,使得风险管理变成“管理孤岛”。现代企业已经制定了各种各样足够多的规章制度、流程手册、程序文件、工作指南等;还有各种管理体系,包括质量管理、安全管理、六西格玛、全面预算管理、全面风险管理、HSE、内控规范等。理论上讲,不管引入并建立了多少种管理理念和体系,企业都应当将它们整合成一套制度和流程,而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。如果不能发挥风险管理的整合价值,如果不通过IT技术构建统一的信息化应用平台,实现多个体系的整合和管理的融合,就会不断形成“管理体系孤岛”和“信息孤岛”,也就失去了内控和风险管理的价值和意义。
风险管理信息化的原动力
企业风险管理信息化主要应满足以下两个层面的管理需要:
一方面是建立内控和全面风险管理体系的信息化运行平台,帮助企业开展定期的风险评估、日常风险监控改进和内控评价,编制风险管理和内控评价报告,落实公司层面风险的集中管理,实现风险管理体系的运转。这项业务对于大多数企业来讲,与企业其他业务管理相比较,是企业的“新业务”。因此,有必要建立—套信息系统作为落实该业务的工作平台,便于内控和风险管理职能部门或团队更有效地开展公司层面风险管理工作的组织、沟通、协调和报告,解决风险管理工作推动、监督、评价考核;目前市场上绝大多数产品都是为了满足内控和全面风险管理体系的建设和运行而设计的,已经实施风险管理信息化建设的中央企业多数也是应用的此类产品。此外,在构建此类信息系统时,最好结合中国企业的实际情况,尽可能考虑内控和全面风险管理在信息流(包括风险库、指标库、流程库、控制措施等)、管理过程和评价考核等方面的融合。
另一方面就是企业中作为风险管理第一道防线的业务管理部门,需要将风险管理与企业业务管理相融合,使得风险管理充分融入企业的各项日常工作实践,应用风险管理的手段,评估并管控业务中的风险,体现在业务管理的信息化应用中,支持业务管理的有效风险分析和决策支持,这是业务管理部门所必备的工具手段。
这两个方面既体现企业管理的全局与局部,又体现风险管理的集中与分类,构成了企业风险管理信息化的原动力。
风险管理与业务管理信息化的融合
如何体现管理融合是企业信息化建设的重点和难点。如果一个企业有自己的协同办公管理系统,又有一套ERP,企业的各项业务的管理实践如何既能在执行业务流程的同时有效地评估和管控风险,又不出现“管理体系二张皮”的情况呢?显然,一套业务系统、一套风险管理系统的模式难以适应企业管理应用,换句话说,构建一套风险管理系统既作为企业内控和全面风险管理体系的运行平台,又希望承载风险管理与业务管理的融合要求是很困难的。
《指引》第五十八条明确提出:“已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。”
根据《指引》的要求,对于尚未进行业务信息化建设的企业,应该应用内控和风险管理体系作为管理整合的管理依据和基础保障,将风险管理要素嵌入各项管理业务流程,统一设计一套整合的业务管理信息系统,在业务管理实践中开展并重复风险管理的闭环。
而对于已经构建ERP等信息化应用的企业,可以考虑将风险管理要素分解并构造成较细颗粒度且相对独立的“服务”。若企业具备修改、调整原有管理系统条件的,可以在各业务流程的不同环节中“嵌入”所需要的风险管理服务,根据服务运行的结果,决定下一步流程走向,形成“强控制”。比如,可以提供多个定性和定量的风险分析服务以及风险评价和查询服务,用于在各项业务中开展风险评估和动态查询,并在信息系统中根据风险分析和评价结果确定下一步应对策略和操作环节。
对于不具备业务系统中进行流程控制优化条件的,可以建立数据接口确保业务数据到风险管理系统的单向输入,根据业务管理逻辑和数据分析构成风险管理“服务触发器”,根据风险承受度和管理策略及时发出提示、预警等,但不影响原有系统的流程,形成“弱控制”。
【关键词】灵活运用信贷风险控制手段加强信贷风险管理
一、积极科学进行风险评估
在风险管理中,风险评估具有不同的含义。一般来说,比较普遍的风险评估含义是指管理部门对于不同风险进行识别和计量,一方面,包含对于业务风险状况做出的判断估计,另一方面,包含借助于现代风险计量方法与模型做出的准确计量风险水平,由客户评级和项目风险评价二部分组成。
客户评级,也称客户风险评价。是指风险管理部门采取统一、标准的评级办法,定量和定性分析客户在一定经营期间内的偿债能力和愿望,在此基础之上,综合评判其信用等级。
项目风险评价,主要用于投资额比较大的建设项目,常用于基础设施项目建设。与客户评级相比,项目风险评价要求较高的专业知识,更加依赖专家经验。一般采取定量测算与定性评价相结合的方法。
二、建立健全风险限额管理制度
(一)健全风险限额管理机构与岗位
我国商业银行应逐渐调整信贷业务的管理机构。应该设立专门制定和完善风险限额管理制度的风险限额管理部门,同时,设立专业岗位,组建与调动专门风险限额管理人员,以便于集中审查大额融资客户及跨区域关联客户风险限额方案。其中,风险限额岗位必须按照审贷分离及前后台分离原则进行设置,一般来说,根据审批流程,可以设立以下四个岗位:调查、审查、审议与审批。
这种机构与岗位设置模式具有部门职能独立、岗位职责清晰、业务流程明确的特点。这种职责清晰、流程明确、职能独立的机构与岗位设置模式为风险限额工作的有序开展、有效控制公司客户的融资风险提供了强有力的组织、人员和机制保障。
(二)研究开发科学的风险限额测算方案
授信管理是一项科学性和艺术性相结合的工作,风险限额测算模型突出反映了授信工作的科学性。建立风险限额测算模型的主要目的就是通过科学的方法对客户的合理负债上限和银行承担的融资风险进行量化,避免风险限额的随意化。
三、严格执行信贷业务授权管理
(一)建立分类指导授信权限管理体系
我国商业银行应该依照风险管理需要以及分类管理原则,有针对性的制定区别对待的授信授权方案,针对不同单位及不同分支机构,采取差别化授权管理。一般来讲,具体参照商业银行的风险管理水平、客户资源、资产质量经营效益以及地区环境等划分为不同类别,单独逐一进行具体授权。
(二)制定严格明确转授权规定
为了避免商业银行只专注于进行市场的开拓以及经营目标的完成,对于风险控制疏于管理,同时,防范道德风险规出现,因此,在实际的风险管理中,对需要授信的项目法人客户、集团关联客户统一集中在省一级机构进行审查,不再允许转授授信权限。
(三)推行小企业信贷业务的个性化授权
随着各主要商业银行信贷业务集中管理模式的建立,大中客户的信贷业务授权逐渐被上收成为一种趋势。由于小企业融资需求具有金额小、频率高、融资期限短的特点,如果对小企业实行与大客户一样的授权模式,则会因为授权上收而严重影响小企业的金融服务效率。因此,在借鉴国际商业银行普遍经验的基础上,我国商业银行应陆续以城市为中心,在经济发达的区域实行小企业信贷业务个性化的授权试点。
四、合理进行信贷资产质量分类
(一)确定分类影响因素
根据《巴塞尔新资本协议》、人民银行以及银监会相关金融管理部门意见,同时,参考国际惯例关于信贷资产风险的分类标准,我国商业银行信贷资产风险采取多级分类体系,分为两个方面:客户层面、债项层面。
首先,客户层面主要考虑的因素:财务状况、经营效率、生产经营规模、管理水平、借款人信用等级、宏观经济、市场和行业状况等。
其次,债项层面涉及到的因素有:债务的担保、债项期限、债项用途、法律责任等,同时,还涉及到各项债务之间的关系。
(二)采用科学分类方法
我国商业银行遵照国际《巴塞尔新资产协议》中关于“两维评级”要求,并借鉴了众多国外银行惯例,对于我国的信贷资产多级,进行了两部分类:客户分类与债项调整。
第一,通过对借款人的客户因素进行综合分析,并且设定不同的权重计算,最后得出客户分类结果;第二,在客户分类结果的基础上,综合考虑担保、贷款重组情况、还款记录、展期情况等各种因素,不断地调整客户分类结果;第三,综合比较不同因素的交易调整情况,分析得出信贷资产分类结果。
(三)开发多级分类模型
我国商业银行积极地开发多级分类模型,具体来说,就是刚性控制部分核心参数实行,这样就会大大地降低不同管理人员关于同一客户贷款质量的分类偏差,保证了结果的客观性和准确性。商业银行资产质量多级分类系统通过对每一笔贷款打分情况及分类进度进行综合比较记录,使商业银行风险管理各个层级都可以系统跟踪与查询,这就使得分类透明度大大提高。
参考文献
[1]刘莹.金融危机下我国商业银行信贷风险治理[J].金融视线,2009(9).
[2]杨雅.关于金融危机下商业银行应对信贷风险的思考[J].云南财经大学学报(社会科学版),2009(3).
[3]徐琼.我国商业银行信贷风险管理研究[D].[硕士学位论文].南京:师范大学,2008.
[4]毛愫璜.美国次贷危机与我国商业银行信贷风险管理刍议[J].商场现代化,2009(8).
关键词内部控制风险管理风险管控
一、国有企业风险管控现状
根据国资委等外部监管机构对内控风险管理工作要求,部分国有企业自2007年开始着手建立内控与风险管理体系,编制了内部控制工作手册,建立了风险库和风险评估工作手册,并下发了配套的内控评价和风险管理相关工作办法,形成了定期开展风险评估及内控评价工作的机制。但当前国有企业在内控风险管理工作方面还存在以下问题:
(一)内控风险管理工作水平参差不齐
虽然部分中央企业已建立了内控风险管理体系,建立了定期或不定期风险评估机制,并开展了风险信息化系统建设。但仍有部分企业的风险管理工作刚刚开始,风险评估常态化机制尚未完成,企业内控风险工作建设相对还比较落后,风险管控水平较低,有待进一步加快。
(二)内控风险管理工作实效性不强
虽然已建立了内控风险管理体系,但风险管理工作缺乏完整性和专业性,近年来国有企业在投资、安全环保、人力资源、现金流等方面的重大事件时有发生,不可避免地给企业造成了经济和声誉损失,也凸显了部分企业在重大风险管控方面的薄弱环节。
(三)风控管理信息化建设落后
整体来说国有企业的全面风险信息化建设进度较为缓慢,只有部分国有企业建立起风控管理信息系统。信息技术在企业各项风险管控工作中的应用仍不充分,无法满足企业对信息收集、风险评估、预警测试、沟通报告等工作的信息化要求。已建立起风控信息系统的,其风控系统与企业其他业务系统的融合不足,不能有效量化风险水平,做到实时预警。
(四)风险管理评价与考核机制尚未形成
目前大部分国有企业尚未建立明确的风险管理考核评价办法,对风险管理评价内容、标准的设置以及评价结果的应用等方面缺乏清晰、统一的认识。即使已建立了风险管理考核办法的企业,但实际执行效果不佳,未能真正与企业业绩考核体系有效融合,发挥对风险管控的促进作用。
(五)风险意识薄弱
虽然针对国资委等外部监管机构要求,国有企业建立了内控风险专职部门,并开展了风控体系建设工作,企业领导也对风险有了初步认识,但风险意识仍然比较薄弱。目前,国有金融企业对风险控制比较重视,但仍有不少企业认为风控是可有可无的,工作往往流于形式。相反,不少民营企业家有着很强的风险意识,华为董事长任正非在《华为的冬天》中对华为在迅速发展过程中面临的风险进行全面剖析,他认为,企业从上到下,如果没有真正认识到危机,当危机来临的时候,就会措手不及。
(六)风控管理人才水平参差不齐
由于风险管控对于企业来说仍然属于新生事物,企业风险防范和控制涉及领域广,需要大量高层次的复合型人才,目前国内外对于风险管控方面比较权威的系统性培训和专业认证也较少。因此,企业风险管控人才队伍建设难度较大,风控管理人才水平参差不齐。
二、风险管控能力提升目标和原则
(一)战略导向和风险管控并重的原则
要科学处理业务发展和风险管控之间的关系,既要通过风险管控保证企业的稳健发展,防止颠覆性风险的出现,又要利用经济和市场变局抓住机会风险促进企业可持续发展,积极寻找企业发展与风险管控之间的最佳契合点。
(二)多种风险应对策略并举的原则
风险管控的原则并不是单纯使风险最小化,应该是确保将风险控制在与总体目标相适应并可承受的范围内。要选择适合企业实际情况的风险应对策略,对于重大风险,应做好风险管控措施。
(三)务求实效的原则
应密切关注日常风险控制措施的执行情况,明确风险应对的主责部门及岗位,确保控制措施的有效执行,定期检查管理制度的完整性及适用性,及时对管理制度进行补充、更新和完善,以适应日常管理的需要。
三、提升风险管控能力的具体措施
(一)融入日常管理、注重实效
风险管控工作应有效融入企业的日常经营和业务活动中,避免“两张皮”现象,切实发挥风险管控对企业管理的保障与提升作用。目前部分国有企业的风险管控工作已经与内部控制、内部审计、法律等工作相结合,今后还应加强与企业纪检监察、安全生产、质量管理、全面预算等管理体系的有效融合,提升风险管控的实效性。在企业投资并购、研发技改、采购管理以及工程建设等重大项目或重要业务活动,要嵌入风险识别、评估、监控、报告等功能,行成专项风险评估机制,为企业决策提供依据。对业务部门和分子公司重大风险管控情况要及时跟踪和监控,从源头上控制风险。一线单位要定期上报风险管控情况和风险事件,风险管控职能部门对风险事件进行备案和筛选,针对重大风险管控进展和重大风险事件进行进一步的监控和跟进,并上报企业风险管控领导机构。
(二)开展专项风险管控
要积极探索创新专项风险管控的方式方法,将风险管控的相关理念和方法有效融入专项业务活动中,形成专业性和系统性、切合实际的专项风险管控体系。针对收购兼并、研发技改等投资项目,要明确投资主体和投资审批权限,将风险管控流程融入投资决策制度中,重大投资和兼并收购活动应进行风险识别、风险分析、风险评价、风险应对,提高投资决策的成功概率,避免重大投资失误给企业带来的损失。针对投资对象应充分了解收集各类风险信息,为评估投资并购活动的各类风险打下基础;结合当前市场政策环境和未来发展趋势正确识别和评估各类风险,并与企业的风险承受能力进行比较,对于超出风险承受能力的项目坚决放弃,对于可利用的市场机会要及时把握;制定切实可行的风险应对预案,灵活应变;投资完成后积极推动并购重组的整合,防范各类整合风险,最大程度实现投资目标。
(三)建立风险评估、管控、监督改进的闭环机制
企业风险管控工作应结合内控审计、法律风险检查、纪检监察等工作,形成以风险评估、风险管控、监督改进为核心的风险管控闭环机制。在风险评估方面,要建立定期和日常评估相结合、年度和半年度/季度评估相结合、职能管理与业务层面评估相结合的常态化风险评估机制,确保风险评估的时效性和有效性。企业风险管控牵头部门每年组织开展企业全面风险评估工作,各职能部门、业务单元和分子公司根据业务需要不定期组织开展专项和日常风险评估,重大风险进行季度或半年度动态评估。在风险管控方面,要关注重大和专项风险,建立多层级的风险监控、预警、报告机制,从而提升重大风险及重要业务事项的管控效果。在监督改进方面,积极开展企业内部控制评价、内控或专项审计、法律风险检查、全面风险管理评价与考核等,以评促建,不断提升企业全面风险管理和内部控制体系。
(四)完善风险管控制度、建立风险管理长效机制
完善风险管控相关制度、流程、工作手册,固化风险管控的工作方法和经验,确保风险管控知识的及时有效积累和风险管控工作的规范化开展,也为风险管控工作在企业各层级范围内全面推广和持续开展奠定坚实的基础。要建立集团统一和各分子企业适用的内控手册、内控评价标准、风险评估手册以及内控和风险工作长效机制。各级分支机构每年开展内控评价工作和风险评估工作,并纳入到企业总部的评价报告中,完成集团整体的内控和风险体系建设实施工作。
(五)完善风险信息平台,建立监控预警机制
持续建设完善风险管控信息系统平台,建立风险管理与内控体系、内审体系以及其他办公系统的融合,构建风控一体化信息系统平台,通过信息化手段实现风险管控语言和活动的规范化、标准化。要进一步提升风控系统与其他业务管理信息系统的集成度,提高风险管控信息在集团总部各部门以及分子公司之间的信息集成与共享,解决风险管控的信息不对称问题。按照国资委等监管机构要求建立完善风险管理报告制度,强化风险管理信息沟通机制,确保风险信息传递准确、顺畅、及时、有效。在建立健全风控信息系统的基础上,探索建立多层级的风险监控预警机制,科学设定指标、模型,提升风险预警的准确性和及时性。
(六)建立风险评价与考核机制
探索研究风险管理考核评价机制,通过制度明确风险管理考核评价办法,通过考核评价真正发挥对企业风险管控的促进作用。首先,应明确企业风险管理评价内容、标准的设置以及评价结果的应用,并且统一思想和认识,使风险管理考核评价与企业现有业绩考核体系有效融合。
(七)培育风险管控人才队伍
由于风险管控对于企业来说仍然属于新生事物,企业风险防范和控制涉及领域广,需要大量高层次的复合型人才,目前国内外对于风险管控方面比较权威的系统性培训和专业认证也较少。因此,企业风险管控人才队伍建设难度较大。首先,要通过加强风险管理人员的培训学习,加大对企业各层级人员的风险管控知识的培训,使其理解风险管控工作的理论知识,熟悉工作方法和操作规程。另外要加强企业各部门风控协调员、各分支机构内控工作负责人之间的交流和经验分享,通过日常工作和专项评估检查等工作加大风控人员的相互交流学习,使得发挥其在风险管控工作中的桥梁纽带作用,也要发挥其在风控意识培育、政策宣传中的作用。还可以通过与各方合作,引进、培养、储备相关风控专业人才,为企业长期发展提供人力资源保障。
(八)建立风险管控理念,加强全员风险意识
风险管控绝不是企业一个部门的日常工作,也不仅仅是企业构架和公司运营的一方面,风险管控应该是公司整体运营的一大核心。风险意识是企业进行主动风险管控的关键,风险理念是企业进行有效风险管控的航标。强化公司的风险管控理念,需要树立一种风险信念和风险态度,促进全员风险意识的培养,将风险管控应用到公司战略制定和各个部门的日常经营活动中。要通过广泛的宣传教育、各级各类的培训、检查监督等方式,向员工灌输风险无处不在、无时不有,风险管控的责任重大。在公司内部日常经营管理中形成重制度、重程序、重证据的浓厚氛围。
四、结语
现今国内外经济形势复杂,市场竞争激烈,对于国有企业来说要想继续保持高速稳定增长难度越来越大。目前大多数国有企业正在主动适应经济发展新常态,把加快改革创新放在重要的位置。企业在经营发展、转型升级过程中面临的风险日益复杂,一些潜在风险逐步显现,我们应该更加重视风险管控体系的建设,提升风险管控能力,平衡效益与风险,促进企业更好适应国内外形势的变化,确保企业持续健康稳定发展,提升核心竞争力,保障实现战略目标。
(作者单位为中国民航信息网络股份有限公司)
[作者简介:袁月(1979―),女,北京东城人,硕士。]
参考文献
[1]国资委企业改革局.2013年度部门中央企业全面风险管理汇总分析报告[R].2013.
一、IT治理与风险管理
IT治理是一种引导和控制企业各种关系和流程的结构,确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT方面的要求,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。IT治理是企业治理结构中不可或缺的一部分,而相关的IT治理流程则可确保企业IT目标与业务目标保持一致,并可持续发展。因此,IT治理必须与企业战略目标一致,使IT发挥更大的作用、创造更多的价值,实现公司价值和利益的最大化。
IT治理领域中,首重策略、组织架构、政策与内部流程。控制风险、绩效评量与提供价值则为组织架构中关注的焦点。同时,IT治理牵涉的范畴,包含:IT服务提供、IT服务支援、营运业务展望、基础建设管理与应用管理。其不同视角的IT治理作用如下表。
保证所有的缺陷都已被控制所覆盖利用风险控制与审计策略管理IT风险,要求企业的高层管理者具备良好的风险意识,清晰了解企业对风险的态度,了解合规性要求,将风险管理的职责嵌入组织架构设计中,围绕信息化战略目标构建全面风险管理体系以进行有效的风险管理与控制。
二、IT风险管理体系
基于IT治理的IT风险管理需要执行一整套风险管理程序,必须建立风险识别、风险分析与评估、风险规避与应对、风险监控等流程并严格执行。从操作层面上分析,IT风险管理中对IT风险的控制与审计是风险管理中的两个重要环节:
(一)IT控制
IT控制就是在治理结构下,为实现组织的目标提供合理保证而实施的一系列政策和程序,内部控制是一个持续的过程,为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。
风险控制是指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。风险无法彻底消除,仅能降低、控制与移转,对于残余风险,企业需自行审视可接受的程度。然而,在进行风险控制活动前,需先进行风险评估,对于潜在影响的弱点与威胁胪列出来,并分析评估矫正的优先程序,然后再针对风险,设计有关的预防性、检查性与纠正性的控制。控制的设计,应该就风险评估后的结果,因此,完整的风险评估作业,是极为重要的,不好的风险评估会影响后续控制设计,甚至于控制执行的落实程度。当控制设计完成后,需再次检视相对应的管理政策与办法是否足够满足控制的目标,倘若现有管理政策文件无法满足控制目标的要求,应立即进行增修作业,务必达到与现有作业机制一致的目标。
随着组织的发展对IT的依赖日趋明显,内部原有业务和管理风险特征由于信息系统越来越广泛的运用而出现了变化,业务对信息系统的依赖性增加,因此必须建立起有效的风险控制体系。管理层应从基本的内部控制环境着手建置,从一般信息技术控制环境到业务流程中的内部控制环境,其中应思考系统控制与人工控制紧密结合的协调性与完整性。
(二)IT审计
IT审计是一个获取并评价证据的过程,主要是判断信息系统是否能够保证资产的安全、数据的完整性、有效率利用组织的资源、有效果地实现组织目标地过程。
IT审计是监视和评审IT控制措施的执行情况和有效性的主要手段之一,可以从组织整体业务风险的角度,对实施和运行的控制措施进行持续监控,以管理组织的业务风险。
IT审计可以作为符合法律、法规以及管理要求的控制手段,可以证明管理层建立并维护了恰当的内控措施;可以提供证据说明业务相关数据的完整性,以及可以证明具备合法权限的人正确访问数据;可以提供报警和审计报告确保管理层知道重大信息和任何变更;IT审计可以围绕数据提供报告用于合规性评估,降低遵从成本。作为组织IT风险控制的最后防线,IT审计为组织进行风险防范,提高设计正确性和加强应用的管理控制提供建议。
(三)IT治理、IT控制与IT审计之间的联系
IT治理是为组织建立一个长效的均衡的治理结构,在风险可控的环境下保证组织获益。均衡的环境在满足组织外部约束的同时需要考虑如何降低成本、提高股东收益、满足客户要求以及建立良好的社会形象等条件下不断调整变化而达到的,因此IT治理侧重于宏观决策方面,要做哪些事,由谁来做这些事,以及如何建立决策机制、如何进行有效监控等。
IT控制就是在这样的治理结构下,为实现组织的目标提供合理保证而实施的一系列政策和程序,内部控制是一个持续的过程,为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。IT审计是一个获取并评价证据的过程,主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估,判断管理层关于控制的声明是否是可靠的,所以审计必须保持其独立性,以第三方客观的立场进行检查和评价。
IT治理、IT控制以及IT审计之间既有联系又有区别。共同的关注点在于风险与保证。风险管理的主要目标是为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循。保证,主要来自一系列相互依存的控制政策与程序,以及评价控制有效性的证据,这些证据可以证明控制是连续和充分的。IT治理要明确目标与方向,为IT控制环境与活动设定明确的目标。IT控制要建立一个完整的,具有弹性的内部控制体系,应对组织面临的各种风险挑战和意外事件。IT审计是获取与IT控制和保证措施相关的证据,评估IT控制的有效性、评价IT绩效及IT战略与业务目标的符合程度。
IT治理必须在风险与利益之间找到均衡,通过IT审计不断促进调整IT控制环境,使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。
三、企业IT风险控制与审计实务
(一)组织框架
企业IT风险管理组织框架应当从“决策—管理—执行”三个层面设立风险管理职能,并辅以审计监督机制。
决策机构,通常以风险管理委员会的形式,行使风险管理的决策、风险管理政策的制定与批准等职能。
管理机构通常为设置为风险管理委员会下的职能机构,如风险管理部,是风险管理政策的执行部门,负责根据风险管理的规章制度,协调各执行机构的关系,推动风险管理措施的实施。
风险管理政策与措施的执行是由信息技术部门、相关业务部门等涉及到IT及其安全运作的部门具体实施,尤其是信息技术部门承担大部分的IT风险管理政策、技术的实施。
IT审计部门作为IT风险管理的监督与审计部门,负责检查、评估企业IT风险管理战略、政策、组织与实施的有效性,并提出管理建议。
(二)IT控制与审计规范
企业IT控制规范可以参考财政部等五部委联合的《企业内部控制基本规范》及配套指引,建立有效的IT内部控制框架内,从公司内部控制层面、信息技术整体层面、业务流程层面等建立控制规范。企业IT控制以风险为导向,规范企业组织结构、明确岗位权利责任分配,建立科学的绩效考核体系和制度,提升企业风险管理和应对能力,通过风险评估对企业内部控制体系进行持续评价和改进,最终建立配套信息系统,实现内控体系的信息化落地。从风险的角度去审视内部控制有没有做好;通过对绩效指标的监控去实时检测有没有风险发生,然后再去找到企业的缺陷漏洞;最后通过信息系统将这个体系落地执行。
企业风险管理体系的控制层面上,内部审计发挥着重要的作用,以风险为导向的审计是合理规避IT风险的一种有效途径。IT审计应当建立一套完整的审计标准、规范,并提供可供参考的IT审计指南与实施细则。企业IT审计应当在内部审计总体框架下开展,在制定内部审计章程时要体现信息化条件下内部审计工作的特点,制定有关IT审计的规范与要求,必要时可进一步制定IT审计工作规范。
IT审计是信息技术条件下的内部审计,具有较强的操作性要求,参考各行业的内部审计工作经验,吸收国家审计机关的制度与操作指南,可以从IT整体控制审计、应用控制审计两个方面编制实施细则。
1.IT整体控制审计——确保程序和数据文件的完整性、确保信息系统良好运行。审计内容包括IT基础设施、系统开发、系统运行与维护、变更控制、网络安全控制、访问控制等普遍适用于所有的应用系统的控制。
2.应用控制审计——应用控制与特定的应用程序有关,设计应用控制是为了应对威胁应用系统的潜在风险,确保应用系统处理数据的有效正确而实施的控制。应用控制审计主要包括业务流程控制审计、数据输入处理输出审计,提供业务信息完整性、准确性、有效性、可用性保证。
此外,企业的信息化规划应当在充分考虑风险管理与审计需求的基础上,建立并完善信息化审计工作平台,充分利用信息技术推进IT审计服务于企业治理与全面风险管理,实现价值增值。
四、小结
农村信用合作社长期以来一直是农村金融的重要组成部分,为更好地为“三农”提供服务,更好地发挥支农效应,农信社首先要对自身的风险状况加以控制,根据预测的风险状况积极采取适当措施,化解风险,这对于我国农村信用社更好地为“三农”服务具有重要意义。
【关键词】
农村信用社;内部控制;风险控制;人才
我国的农村信用社是经中国人民银行批准设立,由社员(农民和农村的其他个人)入股组成,实行民主管理,以互助、自助为主要宗旨,主要为社员提供存、贷款业务等金融服务的农村合作金融机构。我国农村信用社内部控制制度是农村信用社为了规范经营行为,加强经营管理,提高经营效益,依据国家有关法律、法规,运用现代企业内部管理理论,在其内部建立起一整套具有规范化管理和控制职能的方法和措施,目前我国农村信用社正处于改革的关键时期,进一步完善和强化内部控制制度,对实现农村信用社经营管理制度化、规范化,努力提高经济效益和经营管理水平,具有十分重要的作用。
1我国农村信用社内部控制体系的基本要求
1.1完善的岗位责任制度和规范的岗位管理措施
农村信用社应当推行内部工作的目标管理,制定规范的岗位责任制度、严格的操作程序和合理的操作标准;并按照不同的岗位,明确工作任务,赋予各岗位相应的责任和职权,建立相互配合、相互督促、相互制约的工作关系;同时,对重要岗位要实行定期轮换,以保证继任者对上一任的工作进行考察,发现缺陷和不足。
1.2内部控制要明确责任划分
内部控制失灵很重要的原因是缺乏应有的责任划分,让一个人承担相互冲突的责任,如一个人同时负责交易的执行与管理等,为其接触有价值的资产并操纵财务数据以牟取私利或隐瞒损失创造了机会。因此,银行的某些责任应分别由不同人员承担。
1.3部门职责的适当分离
合理的职能分工和责任分离能使各部门、各岗位工作人员各尽其职,同时,保证了各个工作环节的相对独立性和安全性,有利于内部控制制度的实施。
1.4有效的内部稽查制度
坚持业务过程中的相互核查制度,可以减少工作差错,防弊堵漏,也是完善业务审批手续,执行授权授信的重要手段。同时,相互核查也是保证资产和交易安全完整的基础。
1.5有效的预警预报系统
建立预警预报系统的目的是为了预知可能出现的失误和问题,及时发现经营过程中的问题所在,防患于未然,减少失误和损失。因此,农村信用社应完善内部控制系统的评审和反馈,对带有苗头性、倾向性的问题进行预测预报,从而把业务风险降到最低。
2树立正确的内部控制管理理念
内部控制管理是提高核心竞争力的重要手段,关系到农村信用社的生存和发展。所以我们要树立合理的内部控制管理理念,充分发挥信用社内部控制机制的作用,实现内部控制制度管理的多元化目标。
2.1着力构建完善的内控制度体系
一是对现行的内部控制制度逐一进行梳理,该完善的要完善,该撤销的要撤销;同时,根据业务发展和民主管理的变化和需要,推陈出新,形成完整系统的内部控制制度体系。二是要制定和完善内部责任。一方面,要通过授权,明确各部门、分支机构的职责权限;另一方面,要健全岗位责任制,将内部岗位进行职责细分,明确每个员工的责任。
2.2完善法人治理结构
一直以来,由于管理体制不顺畅,产权制度不明晰,法人治理结构不健全以及管理职权和责任未落实等原因,农村信用社内部控制建设严重滞后于其业务发展。加强农村信用社内部控制建设,应因地制宜,确立与产权模式相适应的法人治理结构。重点是明确社员代表大会、理事会、监事会和经营班子各自的职责,切实发挥它们的决策、管理、监督和执行职能,相互配合,相互制衡,推动农村信用社各项业务的持续健康发展。
2.3制定严格的员工行为规范制度和劳动管理分配制度,以实现对人员的有效管理
我们要从加强部门的自身监督做起,不断的规范管理,形成横向的制约机制。同时,建立完善的内部控制考核体系,便于农村信用社内部的自我控制和自我约束,还可以对机构的负责人实现有效控制,从而保持业务发展和内部控制的和谐统一。我们要不断完善内部机制,通过机制制约使业务处理与业务监督彻底分离,从而避免个人包揽经营业务全过程而造成的漏洞。
2.4改善负债结构、降低不良贷款率
农村信用社吸收的负债大部分是农民的储蓄存款,导致较高的资金成本,同时农村信用社的经营带有政策性质,其宗旨是不断扩大对三农的信贷支持,为其发展提供优惠便利,然而农村的区域经济普遍欠发达,农业产业的效益比较低,这使得农村信用社的高成本资金的付出无法取得高收益。同时随着近年来不断加大改革力度和不良贷款核销力度,资产质量已有明显改善,不良贷款绝对额和相对额逐年下降,但不良贷款率仍然较高,农村信用社的不良贷款率则仍有很大的改善空间。
3健全风险控制管理
3.1改革落后的风险管理观念和方法,健全风险评估体系
我国农村信用社应从根本上加强对风险管理的认识,尽快成立专门的风险管理部门,对风险进行系统、及时地管理。建立并逐步优化市场风险情景分析和压力测试模型,进一步完善农村信用社信贷风险减值准备测算方法。严格实行贷款管理责任制,按照“审贷分离,分级审批”的原则设置信贷业务操作和管理岗位,并明确各自的职责和权限,建立完善信贷风险预警预报与应急应变机制。
3.2加强人才培训
由于现代风险识别、评估是一门技术性非常强、非常复杂的工作,因而要积极培育和吸纳专业技术人才,加强员T的素质教育和技能培训,提高员工对风险管理新技术、新方法的掌握程度。
3.3建立风险评价和预警指标体系
为加强对农村合作金融机构的金融监管,要全面、客观地评价农村合作金融机构的金融风险,提高金融监管的有效性,督促农村合作金融机构增强金融风险的自我防范、自我控制和自我化解能力,促进其健康、稳定地发展。
4防范农村信用社信息科技风险
4.1完善农村信用社信息科技的风险防范机制
首先,完善信用社各项风险管理制度,制定相应的应急预案,提高信用社的抗风险能力及对突发事件的应变意识。其次,应加强信用社信息系统安全运行的体系建设。建立信息科技风险的管理部门,严格规范其开发、执行及维护等各岗位的管理制度。
4.2强化农村信用社信息科技的风险监管
首先,加强解决农村信用社信息资产的风险评估与定价工作,按照业务的系统性质,科学规划信息资产的风险级别及管理要求。其次,要加强监管部门的定期检查,及时评价农村信用社中科技信息系统的运行状况、防风险能力,发现运作过程中的问题并及时督促解决。
4.3提高农村信用社信息科技的处置风险能力
当前,农村信用社应加强应对风险的紧急处置机制建设,根据实际情况,提高应急处理水平。另外,还要加强信息备份、数据恢复及业务连续性等方面的管理,定期对各种应急预案进行演练与培训,将应急工作从技术管理方面提升到多部门、全方位的落实,以确保发生突发事件时,能在尽量最短的时间内按照预定方案及时处理。
4.4加强信息科技队伍建设
首先,农村信用社要加强与信息科技工作岗位相符合、与金融业务发展相关的培训制度,以加强信息科技工作者的业务水平及各种信息科技风险的认识,从而提高整个农村信用社应用IT的服务档次。其次,加强农村信用社的人才设备建设,通过吸收人才、发挥人才能力、调动人才积极性的方式,充分显示人才的重要作用,不仅提高其对信息科技风险的防范手段,对整个金融业的发展与服务水平都发挥重要作用。
【参考文献】
[1]成保德,《内部控制:强化农村信用社风险防范之对策》,《华北金融》,2009年第5期