在全面风险管理框架中目标体系是核心,所有的人员、流程和方法必须围绕风险管理的目标制定和执行;组织体系是基础,从组织制度上保证风险管理各项工作的顺利进行,培养全员风险管理的氛围;流程体系是关键,房地产开发项目全过程的风险都要按照风险管理流程进行风险识别、风险分析、风险处理和风险监控;方法体系是手段,促进全部风险的管理。四大体系相辅相成,共同构成了一个相对完整的房地产项目全面风险管理体系。各个体系的具体关系(如图1)。
2房地产开发项目全面风险管理的流程
2.1房地产开发项目风险识别
房地产开发项目风险识别是风险管理的基础。主要用来确定风险来源和进行风险分类的过程。风险识别是在房地产开发项目工作分解的基础上进行的,即针对房地产开发项目的不同阶段,进行风险识别。不同阶段的风险因素不同,风险分类和分组的依据也不同。
2.2房地产开发项目风险评估
房地产开发项目风险评估是通过对风险的定性分析和定量分析,估计房地产开发项目风险发生的概率和可能产生的后果,在此基础上将风险按照高、中、低风险对风险进行排序,编制风险列表,最后根据风险的程度进行专题风险研究的过程。值得注意的是,房地产开发项目的进度、成本、质量风险分析的范围比建筑工程项目的进度、成本和质量的范围要宽,应该从项目可行性研究、项目规划设计、建设和经营各个阶段的工作特点来对其可能出现的风险进行分析。
2.3房地产开发项目风险监控
房地产开发项目风险监控是对风险应对计划执行情况的修正和提高的过程,也是房地产开发项目风险管理有效实施的保障。风险监控不仅仅依据风险应对计划采取风险应对措施,还应该随着项目的深入,对风险识别、评估的结果进行修正,对风险应对计划进行修改,即风险识别、评估、应对、监控和再识别的循环过程。
3房地产开发项目全面风险的应对策略
3.1风险回避
风险回避是根据风险预测评价,经过权衡利弊得失,采取放弃、中止开发项目,或改变开发项目条件,以避开风险源地,从根本上消除风险隐患的措施。通常潜在威胁发生可能性太大,或可能损失后果太严重,又无其他风险管理措施可用时,常采用风险回避。风险回避的做法大体可分为两种:一种是放弃或终止某项可能引起风险损失的活动;另一种是改变活动方案,或改变工作方法。可以看出,风险回避是一种消极的防范手段,有些迫不得己的意味。因为回避风险虽然能避免损失,但同时也失去了获利的机会。所以,在选取风险应对措施时最好慎用风险回避这种防范手段。
3.2风险控制
风险控制是指在风险事件发生前、发生时及发生后,采取的降低风险损失发生概率,缩小风险损失程度的措施。根据风险控制目的,风险控制可以分为风险预防和风险抑制。前者以降低风险损失发生概率为目的;后者以缩小风险的损失程度为目的。风险控制从主动采取预防措施入手,消除和减少风险隐患,降低损失发生频率和损失程度。因而,它是一种积极的风险管理措施。由于风险控制措施成本低、效益好,不会产生不良后遗症。因此对于房地产开发过程中的种种风险,应优先采用风险控制措施。
3.3风险转移
风险转移是指开发商在开发过程中,有意识地将自己不能承担或不愿承担的风险转嫁给其他经济单位承担所采取的措施。风险转移与风险回避不同,它不是放弃或中止项目开发,而是将开发活动中风险可能所致损失的法律责任转嫁给他人承担。风险转移也不同于风险控制,它不像风险控制那样是直接调节风险因素达到降低风险损失概率和程度,而是将风脸转移出去而间接达到降低自身的损失程度。
风险转移的主要途径有合同、保证、期货和保险。合同形式有固定总价合同、成本报酬合同、单价合同等;保险有财产保险、责任保险和人身险。各种合同的对开发商和承包商的风险影响程度不同,开发商可以根据项目的情况,采取适当的合同形式,合理转移风险,参见表1。
风险转移一般在以下情况下采用:(1)风险的转移方和被转移方(风险接受方)之间的损失可以清楚地计算和划分,否则双方之间无法进行风险转移;(2)被转移人能够且愿意承担适当的风险;(3)风险转移的成本低于其他风险管理措施。
3.险自留
风险自留是房地产开发者自己承担风险事件所致损失。在房地产开发中,对一些无法回避,难以控制和转移的风险,或因冒该风险可能获得较大利益时,在不影响开发者根本利益、大局利益的前提下,常采取风险自留措施。风险自留可分成两大类:计划性风险自留和非计划性风险自留。计划性风险自留是主动风险自留,其具体措施有:(l)自己保险;(2)专属保险;(3)损失摊销;(4)借款补偿;(5)自负额保险。非计划自留是被动自留,通过风险应急准备金来应对。风险自留对策应与风险控制对策结合使用,实行风险自留对策时,应尽可能地保证重大项目风险己经保险或实施了风险控制计划。风险自留对策也应与保险对策相比较,以便做出更利于节约风险管理成本的决定。
3.5风险利用
风险利用是指开发商利用人们惧怕风险、追求安全的心理,通过参与确实存在风险的开发活动,依靠自身扎实的风险管理工作,兴利抑弊,谋求自身最大收益的行为。风险利用是风险管理的较高层次,对风险管理人员的管理水平要求较高,必须具有丰富的项目经验,娴熟的技巧和高度的应变能力,才能对风险的可利用性和可利用价值进行分析,有效利用。例如在当前的土地市场化的条件下,经营性土地必须通过招拍挂的方式取得。但是有些精明的房地产开发商却另辟蹊径,从土地一级开发入手,通过争取某地块土地一级开发的开发权,为获得二级开发权打基础。因为如果进行了土地一级开发,就从某种程度上提前对土地的相关信息进行了了解。在进行土地进入二级市场上市交易时具有先天的优势,获取二级开发权的几率就更大。即所谓的“曲线拿地”,就是很好地利用了政策风险。
4房地产开发项目全面风险应对中注意的问题
4.1制定风险应对计划应具有针对性
风险应对计划的制定是风险管理的关键环节,由于项目的独特性和唯一性,在制定应对措施时不可能照搬现有的模式,必须根据项目自身的条件和项目风险识别、评估的结果,提出有针对性的解决方案。同时在制定应对计划时必须克服侥幸心理,为了减少费用支出,不对风险做有效的防范。
4.2注重应对管理方法的组合
无论是风险控制、风险转移还是风险自留等,每种风险应对措施都有它的局限性,面对复杂多变的风险,应注重多种方法的组合,根据项目的具体情况做出多种方案,按照优先级进行排序,避免单一方案无效带来的措手不及。
4.3注意应对管理的经济性
为了避免或减轻风险获取较高的回报,必须付出一定的代价。但是本着节省的原则,有必要对应对措施的有效性和经济性做一个综合评估。比如在应对不可预测的风险时,往往可以采取保险或风险自留的方法,但是哪个方法更
经济有效呢,就可以根据投保的费用和风险预留金的支出做一个比较,从而选出更加经济有效的措施。
参考文献
[1]陈蕾.当前房地产宏观调控政策特点及政策效应思考[J].中国城市经济,2007,(8).
[2]陈煌红,张欣.房地产开发项目全面风险管理[J].西南科技大学学报,2006,(3).
[3]陈祖.关于房地产开发项目管理难点的探讨与分析[J].四川建材,2006,(2).
风险是在一定环境和期限内客观存在的,是损失发生的不确定性。总体而言,非金融企业主要面临的风险可以分为六类:一是环境风险,主要是指企业所在的整体经济运行环境的系统性风险,如国家法律及经济政策风险、社会整体信用风险等;二是战略风险,指对企业战略的分析与制订、评价与选择、实施与控制,以期为企业发展获取最大安全保障的动态管理过程,如企业经营定位、对外并购投资、产品研发等;三是财务风险,主要指公司财务的安全性和流动性的维护,主要是对于以现金流为核心的流动资产的管理风险,以及外部利率风险、汇率风险等经济变量的影响;四是运营风险,指企业在经营过程中对外和对内的管理风险,如内部的安全生产、人力资源、网络安全等,以及对外的合同和供应链风险等;五是市场风险,指市场供给和需求的变化给非金融企业带来的现金流和利润的不确定性;六是危害性风险,主要是指由于意外事故所引发的企业经营风险,如火灾、交通事故以及偷盗等导致企业不能正常运转。现代企业所处环境日新月异,承受不了风险可能带来巨大损失,因此,企业建立全面风险管理体系迫在眉睫。
一、全面风险管理理论
1.风险管理的目标
总体目标就是使用合法合理的手段,通过风险识别、计量和控制,以最小的成本获得最大的安全保障,实现经济单位价值最大化。
2.风险管理一般模型
风险管理的一般模型为风险的识别、风险的衡量、风险的处理以及风险处理效果的检查与评价。
(1)风险的识别与衡量
实行全面风险管理,要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息,通过筛选、提炼、对比、分类、组合,形成优势信息。再将这些精炼的信息用于进行风险识别。
风险识别是查找企业各业务单元、各项重要经营活动和业务流程中有无风险,有哪些风险。风险衡量就是对识别出的风险进行定性和定量分析,衡量风险发生的条件、可能性和发生后的影响。
常用的定性方法有问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、工作访谈和调研等。定量分析常使用统计推论法(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。定性分析和定量分析结合的基础上可以形成风险度量模型,便于企业今后识别与衡量风险。但是应该根据环境的变化,对模型的假设前提、参数等进行适当的调整,保证模型的合理性和准确性。
在全面风险管理中,使用最为广泛的风险确认和排序工具是风险图(风险坐标图),即把风险发生的可能性、发生后的影响程度,作为两个维度绘制在直角坐标系上。绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。
(2)风险的处理
在对风险进行识别和衡量之后,对于不同的风险就可以采用不同的方法。风险管理策略可以分为控制型风险管理技术和财务型风险管理技术,前者主要包括避免、预防与抑制、分散等,后者常见的有自留、转移、对冲。
当风险发生频率较高,风险严重程度较大时,一般采用避免策略。企业可以根据具体情况,选择具体方法:剥离,退出一个市场或剥离一个产品、业务;禁止,不从事高风险经营活动和交易;停止,重设目标、集中策略、重新调动资源,停止特定活动;瞄准,对准商业发展和市场扩展的机会;筛选,避免低回报项目;根除,在风险发生的源头上设计并实施内部控制流程,这是全面风险管理的精髓,也是风险管理的核心。
对于严重程度较低的风险,当发生频率较高时,要通过设计内部控制流程进行预防和抑制;当发生频率较低时,企业可以采取自留的策略,自行承担。风险自留策略不完全是被动地承认风险,也可以通过对产品、服务的重新定价,自我保险和应急计划来进行主动的风险自留。
对于发生频率不高但风险影响程度大的风险,企业一般可以采取保险的方式来进行风险管理。但是并非所有的这类风险都可以通过保险公司得到保险,对于剩余的这类风险,企业可以采取一些财务型的风险管理技术,如转移和对冲,甚至对其中的机会型风险(可能带来赢利的风险)可以采取利用的策略。
(3)风险处理效果的检查与评价
风险是动态的,所以应继续跟进管理后的发展态势,根据具体情况采取措施,使风险得到控制。同时还要对风险管理进行效果评价,即成本—收益分析。企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断完善。
二、风险管理实证分析——以P公司为例
P公司是无锡市一家外贸工厂,年出口额数千万美元。
首先,外贸业务员与客户联系,确认交易并签电子合同;然后外贸业务员向工厂下单;工厂完工后,货物连同单证员制作的单据一并交给货代,货代在指定时间内把货物运到指定港口;外贸业务员在货货之后通知客户,客户按指定方式和金额付款,外贸业务员在确认收到款后将提单等单据寄给客户,客户凭单据取货。这是一套简易的外贸业务流程。在现实中,P公司和客户并不常用信用证方式,一般用TT方式。
根据全面风险管理理论和美国COSO委员会的企业全面风险管理框架,针对P公司来设计一套全面风险管理体系。
1.目标设定
建立全面风险管理体系时,目标是非常重要的,即“要用正确的方法做正确的事”中的正确的事。企业应该先设立一个大目标,然后将目标细分到各个职能部门,如财务部门,生产部门等。在设立总体目标时,最容易出现的误区就是把企业中面临的某一个问题突出并扩大化,如外贸企业将外汇风险视为最主要风险并只对其进行“全面风险管理”。若外汇风险是企业最大风险,那么在设置全面风险管理时,总体目标就应该是围绕外汇风险进行全面风险管理,细分目标时则把与外汇风险管理相关的其他风险的管理和风险源的控制一一设定目标。
2.内部环境
风险“牵一发动全身”,风险管理就需要全员参与,是为全面风险管理要素之一也。企业的内部环境包括风险管理哲学、风险文化、董事会操守和价值观、能力、管理哲学和经营风格、风险偏好、授权和责任、人力资源政策。内部环境是全面风险管理的基础,受企业目标影响又反过来影响企业目标。
对于P公司来说,企业高层首先要有良好的操守和正确的价值观,拥有先进的管理哲学、立体且独到的经营风格。公司员工应该明确企业的目标,在高层和中层管理者的带领下,在公司里建立风险文化。风险文化的建立需要P公司高层的支持,中层管理者的坚决和员工的贯彻,需要各部门在水平沟通和垂直沟通上下功夫,需要考虑了风险的员工权责和薪金的一系列人力资源政策,需要具备专业知识和技能的风险管理人才,这样,P公司就形成了一个适合自身的全面风险管理组织构架。
风险管理实践中在构建内部风险管理环境时最大的困难是执行力问题和水平沟通问题。当战略明确后,如何布置合理的战术,如何贯彻执行,这就是最大的问题之一。执行力是企业“核心战术”与企业“战略性能力”的外化,它是企业“目标系统、动力系统、信息系统、结构系统、路径”的合力。执行力不是一两个部门或几个中高层能够做好的,而应该建立全面风险管理文化,制定合理的良好的制度,坚持贯彻执行,并进行严格的监督、控制及反馈和修正等。
3.风险识别、评估和处理对策
P公司应该收集国内外宏观经济政策、本行业状况、国家产业政策,主要竞争对手相关资料,市场供求信息,客户信用情况,相关法律法规等大量信息,然后进行处理,确认公司面临的战略、财务、市场、运营、法律等风险,再利用风险坐标图进行风险评估,然后根据理论进行对策处理。
例如,P公司面临着客户信用风险和外汇风险。对于信用风险,可以要求客户预付30%-40%的订金,因为P公司生产成本基本在合同金额的30%左右。而对于外汇风险(主要是外币应收款项),可以采取远期外汇交易、金融衍生品等进行风险管理。
这个环节对企业提出了较高的要求,但并非不可做到。企业最常犯的毛病就是在评估和处理风险时,放大或缩小风险的影响,出现过于偏重某一风险或不重视另一种风险。企业应该平静地对待各种风险,同时要一视同仁,对于每一种风险都要准备几种处理对策,在风险事件发生后如何将损失降到最低也应有几套方案。企业应该深挖各种风险管理工具,如外汇风险可以使用计价货币法、提前或推迟结算法、远期交易法、期货法、期权法等,尤其以各种方法的组合策略更有挖掘潜力。
4.风险处理效果评估
在对各种风险采取各种措施之后,应该及时总结和评估效果,不断修订和完善P公司全面风险管理体系。例如对于外汇风险,P公司应该对头寸下的收入情况和采取保值措施之后的收入情况进行对比,然后再和可以采取的方式下的理论收入进行对比,便于今后面对类似情况选择更为合理的工具。
企业往往会忽视这一过程,但是,在控制住一个风险的同时,往往会产生另一新的风险;风险管理的技术再好总会有局限性。所以,对风险管理进行跟进和效果评估对于企业微调风险管理十分重要。这一改进过程也体现了企业对于风险管理的认识程度和执行能力。
5.监控
P公司高层应对主要风险的监控保持独立性和连续性。有条件时应建立专门的风险管理部门,设立首席风险官(CRO),并保持其权责的独立与透明。
有条件的企业可以设立独立的监控部门甚至是监控委员会。
三.结论与建议
1.全面风险管理体系是一个策略流程,代表企业态度和行为以及水平的分水岭。在建立全面风险管理体系时,首先建立风险管理文化,让整个企业参与到风险管理中来,提高员工风险意识和专业素养十分重要。
2.由于建立全面风险管理体系对企业的要求较高,但是其重要性又不言而喻,所以即使企业不完全具备一步到位的条件也应分步实施。先管理突出的重要风险,再由点及线管理一个到多个业务流程的风险,最后由线到面,将所有业务流程含概进来,建立全面风险管理体系。这个体系可以建立三道防线:各有关职能部门和业务单位为第一道防线;风险管理职能部门(有条件时应专设)和董事会下设的风险管理委员会(或者是公司高层)为第二道防线;内部审计部门和董事会下设的审计委员会(或者是专业审计公司)为第三道防线。但是,风险管理的核心要求最好将风险控制在第一道防线上。
3.企业在进行风险管理时,一定要遵守相关的法律法规。公司内部也要建立起规章制度,防止道德风险因素带来的风险。
4.企业在制定风险管理的目标时,除了总目标和损前目标外,一定要有相应的损后目标和应急措施。当面临突发危机和风险造成损失后进行挽救,使风险造成的损害尽可能小。
5.监督与改进工作至关重要,企业除了自己进行外,还应该请外部专业机构进行,提高风险管理的能力,增强企业竞争力。
文章编号:1003-4625(2008)10-0105-5 中图分类号:F833文献标识码:A
全面风险管理是目前风险管理发展的最新趋势,它是一种站在整个公司角度进行的整体化风险管理方式,我们平时见到的公司风险管理(Corporate Risk Management)或整体风险管理(Enterprise-wide Risk Management)也是指全面风险管理。全面风险管理的核心思想是:一个公司的风险来自很多方面,比如,一个保险公司可能会面对由需求变化、利率变化、资产价格变化等带来的种种不同风险,最终对公司产生影响的不是某一种风险,而是所有风险联合作用的结果,所以只有从公司整体角度进行的风险管理才是最有效的。目前关于全面风险管理的理论与方法主要有以下两大类:第一类是基于组织结构体系全面风险标准化度量的全面风险管理方法――ERM(Enterprise-wide Risk Management)。ERM的概念是由美国最大的几家银行和证券公司最先提出的。其核心理念是从企业整体的角度,对整个机构内部各个层次的业务单位和业务环节的各个种类的风险进行通盘管理。ERM 要求对市场风险、信用风险、操作风险等各种风险、各种风险所涉及的金融资产与资产组合(利率、汇率、股票、期权等)以及承担具体风险的各个业务单位,进行全面有效的整合风险管理。第二类是基于风险决策因素的全面风险管理理论――TRM。TRM(Total Risk Management)是从风险决策角度提出的另一种全面风险管理理论,其核心思想是从系统决策的角度出发,引入风险管理策略的三因素概念,这三个因素包括概率(Probability)、价格(Price)和偏好(Preference)因素。风险管理的目标是谋求三要素(3P’S)的最优均衡。目前TRM还只是一个理论上的概念,现实生活中建立如此庞大而复杂的TRM系统现在看来似乎是不可能的。相对TRM理论而言,ERM具有良好的现实可操作性,本文所讲的全面风险管理指的是ERM。
一、全面风险管理经典文献回顾
(一)国内(中文)文献回顾。陈秉正(2003)在其著作《整体化公司风险管理》中论述了风险管理概念的演进、风险管理与企业价值、风险管理与资本管理以及风险管理的各种策略,并对整体化风险管理进行了展望。文章主要是融合了Shimpi(2001)的《整合性公司风险管理》和Doherty(2003)的《整体化风险管理》两本风险管理巨著的精华,论述了全面风险管理的基本理论。阳(2006)《金融机构现代风险管理基本框架》一书从金融机构的风险角色分析入手,归纳了风险的概念和性质,并从金融机构的角度论述了现代风险管理的内涵和特征,以及现代风险管理框架体系的构建。该书的特色在于对风险角色的分析和风险、风险管理概念的归纳,但作者只是提出了现代风险管理的框架体系构建,并没有关于风险管理的实证分析和风险管理框架的具体应用。(美)尼尔・多尔蒂(Doherty, Neil. A.,2003)《综合风险管理――控制公司风险的技术与策略》,这本由陈秉正,王在2005年翻译的风险管理著作认为随着近年来衍生金融市场的快速成长以及金融工程技术的不断发展,加上保险市场开始重视在保单内容的设计上将可保风险与财务风险相结合,因此,当前风险管理的主要目标是反映公司的理财能力和增加公司的价值。整合型风险管理是结合保险与金融工程技术,利用创新性避险工具来管理公司的风险,包括可保风险(Insurable Risk)、财务风险、营运性风险和事业风险(Business Risk)。Doherty, Neil. A.还认为考察风险的成本是进行全面风险管理的基础,因此对风险的成本做了深入分析,并考察了容易产生风险成本的公司结构特征,指出改变公司的结构特征同规避风险一样属于重要的风险管理策略。该书对如何利用简单的和复杂的财务杠杆对风险进行管理,包括应急性融资工具的分析在全面风险管理领域是一个创新,增强了全面风险管理的可操作性。赖志仁(1999)在《风险管理与全球保险之未来趋势》一文中论述了近年来,随着经济全球化和信息技术的不断发展,国与国之间的距离越来越小,产业间的合并和企业并购行为在全球范围内开展,保险、银行、共同基金、资本市场之间的界限变得越来越模糊,金融商品之间的差异性变小,替代性变强。因此金融机构的风险管理不能继续局限于传统的方式,而应该从公司整体的视角上开发一种综合的风险处理方法。该文章还指出多种避嫌工具的风险管理策略会成为未来的潮流,但并没有具体说明企业应该如何整合这些避险工具来处理公司所面临的风险。潘国臣等完成的文章《整合风险管理与会司价值》(2006)指出,新兴风险管理工具有资产避险、负债避险和权益避险三种,这三种避险工具的价格分别为、和,并且三者的关系是>> 。如果采取避险措施之前的资产与负债额分别为与,则在资本结构已经是最优的假设下,采用负债型避险方式对资本结构的冲击是最小的,其次是权益型避险方式,而资本型避险方式对资本结构的冲击是最大的。若是分析损失后对公司资本结构的影响,则单纯使用资产型或负债型避险工具都是不利的,应该综合运用多种避险工具。但文章并没有就该理论进行实证研究。
(二)国外文献回顾。瑞士再保险公司(Swiss Re.)研究部在其著名期刊《Sigma,No3/2005》发表了《产险业资本承保与价值创造的实践》①一文,该文章指出:影响产物保险公司的资本成本因素是投资活动与承保风险的组合。而公司价值比较高的产险公司的承保利润波动较小,这些公司都有较好的风险选择、风险分散与再保险安排,或者使用了创新的风险转移技术。这篇文章的特点是从实证角度出发验证了风险管理提升公司价值的重要作用。Shimpi(2001)年的著作《整合性公司风险管理》中提到:风险就像一头大象,传统的风险管理就像盲人摸象,“虽然每个人都摸对了一部分,但总体上来讲还是错的”。书中对于传统个别的风险管理与创新整合型风险管理做了比较,其中包括:资本管理与风险管理;公司财务与保险;财务长与风险管理人;众多个别风险与整合风险;众多个别市场与整合的市场。并对整合前后的风险管理效果进行了论述。该书与Doherty(2003)②的著作是学术界公认的风险管理理论与实践领域中最经典的两本著作,两本书的着重点不同,内容各有千秋。Doherty(2003)主要论述了各种创新型避险工具的运作与风险分析。Meulbroek(2002)在其论文“A Senior Manager’s Guide to Integrated Risk Management”中强调现代风险管理的观念不应该局限在可保风险暴露单位上,而应该关注会影响公司价值的所有风险,包括营运风险、法律责任风险、财务风险、投资风险、税收负担风险、监管及合规风险等。并提出了处理风险的三大基本原则:一是修正公司的营运方式;二是调整公司的资本结构;三是选择适当的金融工具(包括衍生金融产品)。以此来适应资本市场和保险市场的变化。Meulbroek认为应该用最具成效的方法达成风险管理的目标,使企业在遭受不可预测的意外损失时,可以及时获得融资资金,以维持企业的正常运转甚至进一步发展。Culp(2002)的两篇文章认为,资金管理和风险管理本来是一件事情的两个方面,但长久以来的公司财务处理方法总是将两者分开来管理,这不仅浪费了资源也损失了管理的效率。Culp建议公司应该采用整体化风险管理,利用创新型金融避险工具来管理风险对企业内部的现金流、盈余与资产负债表的不利影响,并避免非预期损失事件实际发生时对公司的财务状况产生巨大的冲击。
二、全面风险管理产生的基础
全面风险管理涵盖的范围很广,它是在图1所示的三个理论与实践基础上发展起来的,内容涉及保险、财务套期保值、投融资、杠杆管理、薪酬设计甚至税收管理等多个领域的内容。③
首先是风险管理与保险理论的发展。风险管理是20世纪六、七十年代为了管理“可保风险”而出现的。Robert Mehr和Bob Hedhes于20世纪60年代建立了可保风险管理的基本框架。之后,可保风险管理又有了一系列的创新,比如有限风险计划;保险公司自身的资产负债管理;以及20世纪90年代出现的捆绑式保障保单,这种保单不仅包括传统的可保风险(财产和责任风险),还包括财务风险(如利率风险和汇率风险),从而打破了保险市场和资本市场之间的障碍。
其次是衍生产品市场和金融工程理论的发展。20世纪八九十年代是金融创新高速发展的时期,其赖以产生和发展的理论基础主要是马柯威茨的资产组合管理理论、夏普和罗斯创立的资产定价模型以及布莱克和舒尔茨创立的期权定价理论。衍生产品和金融工程的发展不仅丰富了风险管理用于套期保值的工具,还为公司其他的风险管理策略提供了方便。公司不仅可用衍生产品对特定的风险进行套期保值,还可以将衍生产品嵌入到公司的负债和权益里。而新近发行的巨灾债券和非传统风险转移工具(ART)则是直接出于风险管理的目的而出现的。
再次是公司风险管理理论的发展。20世纪八九十年代人们开始关注风险对于公司价值的影响,1976年David Cummings通过对资本资产定价模型的进一步分析,说明了公司是如何通过对风险进行保险而实现价值最大化的;Mayers和Smith(1983)又基于风险给公司带来的摩擦成本,提出了更新的公司风险管理理论(关于风险的成本,在文章的第二部分有详细的论述),即风险的摩擦成本或交易成本可以使风险管理成为一个增加公司价值的过程。针对风险的成本解释, Doherty Neil A.(1985)又提出了管理风险的“对偶策略”,即公司既可以通过降低风险又可以通过调整财务或组织结构、改变杠杆作用的方式来减少风险的交易成本。
三、全面风险管理框架
这里主要介绍美国COSO委员会和GARP组织提出的全面风险管理框架。
(一)COSO全面风险管理框架①。COSO全称为“发起机构委员会”( Committee of Sponsoring Organization ),它是一个自愿性质的私营机构,致力于通过商业伦理、有效的内部控制和公司治理来提高财务报告的质量。2004年9月,COSO委员会正式了《全面风险管理――整合框架》(Enterprise Risk Management――Integrated Framework),目前已受到国际企业界、金融界和政府监管部门的广泛关注。新的《全面风险管理――整合框架》对全面风险管理给的定义是:全面风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于企业战略制订并贯穿于企业各种经营活动之中,目的是识别可能会影响企业价值的潜在事项,管理风险于企业的风险容量之内, 并为企业目标的实现提供保证。COSO全面风险管理框架(下称REM框架)力求实现以下四种类型的目标:战略目标―高层次目标,与使命相关联并支撑其使命;经营目标―有效和高效率地利用企业资源;报告目标―报告的可靠性;合规目标―符合法律法规的要求。全面风险管理框架包括八个相互关联的构成要素,这些要素来源于管理当局经营企业的方式,并与企业管理过程整合在一起。这八个构成要素分别是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。企业风险管理随着时间而不断变化,曾经有效的风险应对方式可能会失灵,控制活动可能会变得无效或不再被执行,企业的目标也可能发生变化等。面对这些变化,管理者需要通过控制手段,以确定企业风险管理的运行是否持续有效。监控可以通过持续的管理活动、个别评价或者两者结合来完成。ERM框架有如图2所示的三个维度:第一维是企业的目标,即战略目标、经营目标、报告目标和合规目标;第二维是全面风险管理的八个要素,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控;第三维是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标,每个层次都必须从以上八个方面开展风险管理活动。该框架适合各种类型的企业或机构的风险管理。
(二)GARP全面风险管理框架②。GARP(全球风险专业人员协会)成立于1996年,是在英国老牌巴林银行倒闭、全球风险重要性开始凸现的背景下由风险专业人士倡议产生的专业组织。GARP认为全面风险管理所要做的是了解从金融机构活动中所产生的全部风险同时去有效地管理这些风险,因而一个有效的风险管理方案会平衡风险管理结构和质量方面的问题。基于这一认识该组织认为全面风险管理框架应该包括策略、程序、基础设施和环境四个模组以及它们之间的融合(如图3所示)。
GARP认为,风险管理任务主要包括以下六点: (1) 把交易策略和风险管理策略结合起来,这样可以确保企业在预测并分散风险方面的优势;(2) 建立风险管理过程,这个过程要便于公司组织内部对风险管理的理解和实施,并能主动支持公司的风险管理策略; (3) 通过在组织人员指导和风险行为的支持系统之间的合理安排来提高风险管理的水平; (4) 对各种类型的风险进行理性和动态的划分,合理地反映公司商业策略和外部市场环境所对应的风险;(5) 建立一个风险和行为的衡量系统,这个系统要透明、可信、及时,并具有较强的可操作性,以实现个人行为与企业目标以及风险管理目标的统一;(6)强化组织的风险管理意识,重视风险管理的质量和持续性,提高企业风险承受的能力,满足顾客要求和增加股东收益。GARP全面风险管理的四个模组协调合作,共同负责完成以上六项风险管理任务。实际上GARP方案与COSO的ERM框架并无实质区别,GARP方案囊括了COSO全面风险管理框架的要素,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控,并做了重新组合,更进一步来说,策略是中心,风险管理基础设施、过程和环境是全面风险管理体系的三大平台。
四、全面风险管理的四种基本策略①
全面风险管理策略针对的不是单个风险,而是整个公司的风险剩余,它包括下面四个基本策略。不论风险的来源如何,也不管风险是增加了税收成本还是财务困境成本,只要风险对公司价值产生了影响就可以使用这四种风险管理策略来管理风险。
(一)资产规避策略。“资产规避”可以定义为用一项资产为其他资产所存在的风险提供规避。资产规避策略的思想是:一个包括了基础资产和规避资产的投资组合可以有很小的风险甚至没有风险。比如投资组合F,一定量的资金$被投资于两项资产。第一项是基础资产,每投入的一美元的回报为AB;第二项资产,即规避资产,每一美元的回报为AH。资金$按{1h}分配于两项资产,并且两项资产的相关系数ρBH为负,在接近-1的极限时规避效果最好。
资产规避:F= $(AB+hAH) 0>ρBH≥-1(1)
如果ρBH=-1,则存在某个规避率h*使得投资组合不存在风险,此时COV{ $(AB+hAH) }=0。
再保险保单是保险人采用的一种传统的资产规避形式。新型的资产规避工具是巨灾期权,巨灾期权是根据保险公司所要求的指数价值而制定的期权,当指数达到预先设定的指数值(执行价格)时,保险公司就可以获得一笔支付报酬。资产避险核心思想是当基础资产遭到损失时可以通过另一项资产的获取来弥补,当然中间涉及规避费用的问题(再保险保费或期权价格)。
(二)负债规避策略。与资产规避策略不同,负债规避是在资产负债表的相反方面实现的,即用一种负债的免除来弥补基础资产的损失的风险管理策略。这样,投资组合包括的就不是规避资产,而是基础资产和规避负债的组合。
负债规避:F= $(AB-hLH ) 0
如果ρBH=1,则存在某个h使得投资组合不存在风险,即COV{$(AB-hLH )}=0。许多新型的风险管理策略,如目前市场上存在的股票期权和巨灾债券都属于负债规避。
(三)股权规避策略。全面风险管理的目的包括避免风险带来的各项成本,保值公司对突然损失的融资能力和对投资机会的筹资能力。除了获得外部资本注入和借债,还有另一种方式可以达到这些目的,那就是损失后的股权融资。当损失事件发生后,公司为损失或投资机会筹措资金的难易程度以及资金使用的成本取决于损失事件的严重程度、公司的特许价值以及当时金融市场的环境,而公司所关心的一是资金需求数量和成本,二是损失后的杠杆水平。股权融资可以满足筹资需要,而且不会增加杠杆率。虽然债务融资也可以达到这个目的,但会增加杠杆率①。当一个公司现有的流动资产无力支付投机性损失(流动性危机),而公司其实还具有一定数量的特许价值,这时候采取的资本调整措施实质上是特许价值的一种变现。
股权规避策略有两种方式。第一种是简单的损失后权益融资。这种策略的一个特征就是新的权益资本的可发行价格会由于损失而降低。第二个策略是保险人购买其自己股票的一个看跌期权,这个期权可以在预定规模的损失发生后被执行。这些新的工具已经在市场上发行的“巨灾看跌期权”中被使用。
(四)杠杆调节策略。风险的成本可以通过降低风险或减少风险的交易成本两种方式降低,这是新型风险管理的“对偶性”特征,也是我们进行风险管理策略时考虑问题的两个基本方向。其中减少交易成本的策略可以叫做风险调整策略,而对杠杆率的控制是最重要的风险调整策略,它可以用于降低任何风险来源导致的风险成本,是典型的全面风险管理策略。杠杆调节策略可以用来处理财务困境成本,贷款人和剩余权利要求者之间成本等。此外,如果发生了突然的损失,公司将发现由于杠杆率的降低使得公司在资本市场上处于有利的位置,或者对已破坏资产进行重购,或者对新方案进行融资都变得相对容易。
杠杆调节策略顾名思义是对公司财务杠杆水平的调节,因此严格意义上讲,债务融资和权益融资都属于杠杆调节的范畴,只是由于近年来风险管理领域的创新都集中在新型规避工具的使用上,这些新型工具又都属于股权或负债型避险工具,所以把这两种工具单独拿出来介绍以示重视。除了债务融资和权益融资,杠杆调节策略涵盖的内容还很多,比如红利政策的制定、债务和权益间的转换等,这属于更广泛的公司财务管理的领域。
参考文献:
[1]Culp, C.L., (2002, Spring), Contingent Capital: Integrated Financing and Risk Management Decisions, Journal of Applied Corporate Finance.
[2]Culp, C.L., (2002, Winter), The Revolution in Corporate Risk Management: A Decade ofInnovations in Process and Products, Journal of Applied Corporate Finance.
[3]Doherty, N.A.,(2003). Integrated Risk Management, International edition. The McGraw -Hill. Companies Inc.
[4]Meulbroek,L.K.,(2002).A Senior Manager’s Guide to Integrated Risk Management, Journal of Applied Corporate Finance.
[5]Shapiro,Alan C.andSheridanTitman(1985).“An Intergrated Approach to Corporate Risk Management”,Midland Corporate Finance Journal,3,#2,41-56.
[6]Shelor,Roger M.,Dwight C. Anderson and Mark L. Cross(1992).“Gaining from Loss :Property-LiABility Insurer Stock Prices in the Aftermath of the 1989 California Earthquake”,Journal of Risk and Insurance,5,476-488.
[7]Shimpi,P.A.,(2001).Integrating Corporate Risk Management,NY:Texere LLc.
[8]陈秉正.整体化公司风险管理[M].北京:清华大学出版,2003.
[9](美)尼尔・多尔蒂著.陈秉正、王译.综合风险管理―控制公司风险的技术与策略[M].北京:经济科学出版社,2005.
[10]阳.金融机构现代风险管理基本框架[M].北京:中国金融出版社,2006.
[11]潘国臣等.整合风险管理与公司价值[J].保险研究,2006,(9).
[12]赖志仁.风险管理与全球保险之未来趋势[J].风险管理学报,1999,(2).
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的网络化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速发展,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以科学的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践历史来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、科学的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的电子文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全,自然安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的总结与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《计算机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
1 引言
2010年以?恚?从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希?贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特?拉什、安东尼?吉登斯、沃特?阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程?矸治瞿谕獠看嬖诘姆缦找蛩兀?并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维?比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献:
[1](美)COSO,方红星,王宏译.企业风险管理—整合框架[M] ,大连:东北财经大学出版社,2007.
企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。
在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。
风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。
二、公司风险管理要素审计评价程序及结论
尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《COSO风险管理——整合框架》(以下简称COSO框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;
(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。
3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:
战略目标:创中国第一肉食品品牌;
经营目标:顾客满意最大化,品牌价值最大化;
报告目标:财务报告真实、完整,符合《上市规则》要求;
合规目标:遵循国家、行业、企业的法律、法规、制度。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)爆发动物疫情;
(2)突然而来的业务干扰;
(3)消费者口味及喜好的变化;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;
(6)产品未能迎合市场需求;
(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);
(9)资金安全管理;
(10)资产安全管理;
(11)会计系统故障;
(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司IT部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了IT部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。
参考文献:
企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。
在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。
风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国coso委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。
二、公司风险管理要素审计评价程序及结论
尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《coso风险管理——整合框架》(以下简称coso框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;
(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。
3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:
战略目标:创中国第一肉食品品牌;
经营目标:顾客满意最大化,品牌价值最大化;
报告目标:财务报告真实、完整,符合《上市规则》要求;
合规目标:遵循国家、行业、企业的法律、法规、制度。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)爆发动物疫情;
(2)突然而来的业务干扰;
(3)消费者口味及喜好的变化;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;
(6)产品未能迎合市场需求;
(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);
(9)资金安全管理;
(10)资产安全管理;
(11)会计系统故障;
(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。
3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司it部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了it部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。
参考文献:
Abstract:In recent years,according to the Basel II,Chinese Commercial banks established and implemented Enterprise-wide Risk Management strategies gradually,and achieved good results. However,the building of risk management culture is lagging behind,so that the Enterprise-wide Risk Management can not be fully effective. Impress on the theory of corporate culture and the principles of management,the thesis is proposes the building of the Commercial bank's risk management culture in three levels by analyzing the meaning and role of risk management culture,and explores how to implement the risk management culture correctly.
Key Words:commercial banks,enterprise-wide risk management,culture of risk management,principles of management
中图分类号:F830.33 文献标识码:A文章编号:1674-2265(2009)12-0057-05
风险管理是现代商业银行经营管理的核心内容,是衡量银行核心竞争力和市场价值的最重要因素之一。近年来,依据巴塞尔《新资本协议》的严格风险准则,我国商业银行逐步确立了“全球的风险管理体系、全面的风险管理范围、全员的风险管理文化、全程的风险管理过程、全新的风险管理方法和全额的风险计量”的全面风险管理战略,并付诸实践,取得了较好的效果,全面风险管理基本框架已现雏形。然而,我国风险管理文化建设相对滞后,从而使全面风险管理“徒现其形而未具其神”,全面风险管理对商业银行可持续性发展和实现经营价值最大化的支持效能无法充分发挥。同时,美国次贷危机引发了全球金融危机,使得全球经济陷入流动性不足和经济衰退的窘境,我国商业银行正面临着更多、更为复杂的风险,风险管理形势严峻,风险管理文化建设要求更加迫切。
一、商业银行风险管理文化的内涵和作用
(一)风险管理文化的内涵
风险管理文化是指以银行企业文化为背景,贯穿以人为本的经营理念,在经营管理和风险管理活动过程中逐步形成并为广大员工认同并自觉遵守的风险管理理念、风险价值观念和风险管理行为规范。风险管理文化是一种集现代商业银行经营思想、风险管理理念、风险管理行为、风险道德标准与风险管理环境等要素于一体的文化理念,是商业银行企业文化的重要组成部分。
风险管理文化是银行风险管理活动的凝炼和升华,是得到员工认同并自觉遵循的价值观念和行为准则。风险管理文化既强调精确的技术处理,又强调深刻的人文观念,它决定了商业银行在风险管理上的价值取向、行为规范和道德水准,对商业银行风险管理有着重要的影响。
(二)风险管理文化的作用
1. 风险管理文化是全面风险管理体系的灵魂。随着体制改革和业务拓展,我国商业银行面临的风险将是集市场风险、信用风险、操作风险为一体的综合性风险,而经济金融全球化以及日益激烈的金融市场竞争对现代商业银行风险管理提出了更高的要求,这就要求各商业银行必须构建全面风险管理体系,而全面风险管理体系建设必须以先进风险管理文化培育为先导,通过风险管理文化把风险管理的责任和意识扩散到每个业务部门和每个业务环节,并内化为员工的职业态度和工作习惯,最大限度地发挥员工在风险管理方面的主动性、积极性和创造性,才能使全面风险管理体系有效发挥作用,才能使政策和制度得以贯彻落实,从而持续提升商业银行的风险管理水平和经营效率。
2. 风险管理文化是银行发展的巨大推动力。风险管理文化决定商业银行经营管理过程的风险管理观念和行为方式,在商业银行经营管理中占有十分重要的地位。一家银行倡导的文化,决定了这家银行在市场上能够走多远。银行采取什么样的业务发展战略,风险偏好,部门之间的业务关系是否顺畅,不同部门、不同层次的银行工作人员是否能够在重大的风险问题上达成基本的共识,规章制度是否充分合理并得到贯彻执行,出现了例外情况如何处理,这些问题都能体现银行的风险管理文化。因此,搞好风险管理文化建设是银行治行之本、动力之源、持续发展之基,只有培育良好的风险管理文化,把风险管理理念贯穿于银行业务的整个流程,使风险管理由高深抽象的理论变为现实生动的企业文化,才能使银行的经营目标和风险机制得以有效实现,在效益增长的同时把风险约束在可承受的范围之内。
3. 风险管理文化是银行保持持久竞争优势和经营价值最大化的坚实基础。风险管理文化是商业银行内部控制体系中的“软因素”,先进的风险管理文化和经营管理理念不是有形的规定,而是准确理解巴塞尔新资本协议监管要求,强化资本约束的理念,把风险管理作为商业银行经营管理的第一要务,依托于对风险全面而有效的管理来实现银行经营价值的最大化和保持持久竞争优势,将良好的风险管理文化作为企业文化的重要组成部分,作为企业文化与商业银行经营管理的最佳结合点之一,使商业银行走以内涵式为主的发展道路,以规范求发展,统筹速度、质量、效益和结构,真正实现四者的长期、有机统一。
4. 风险管理文化是银行增强凝聚力和向心力的有力武器。先进的风险管理文化是促进企业进步与发展的内在动力,它能使绝大多数银行员工具有正确的价值取向,从而易于对银行各项重大决策取得共识,激发使命感和责任感。先进的风险管理文化能培育职业道德,促使员工在深化企业改革、利益关系调整等变动中,正确妥善处理公与私的关系,能巩固和发展团结向上、协调稳定的群体关系。先进的风险管理文化在银行整个实践活动中界定员工的思想道德、情操和行为准则,激励员工自觉地按照企业总体水平、统一标准来规范自己的言行,强化员工的创业、敬业精神,为促进银行持续、协调、有效、和谐发展勤奋工作。
二、构建先进的商业银行风险管理文化
(一)构建风险管理文化的三个层次
根据企业文化和管理学的理论,作为银行企业文化重要子系统的风险管理文化应由理念、行为和物质文化三个层次组成,理念文化是核心,行为文化和物质文化是理念文化的保证和表现形式,三者有机结合,共同组成银行风险管理文化的全部内涵。通过三个层次的建设,形成理念科学、制度完善、“三位一体”的健康全面的风险管理文化。
1. 风险管理理念文化。风险管理理念文化又叫风险管理精神文化,相对于风险管理行为文化和物质文化,它处于整个风险管理文化的最深层,并成为风险管理文化的灵魂和核心。
从内涵上讲,风险管理理念文化是指银行在长期发展过程中形成的,全体成员统一于风险管理方向上的思想观念、价值标准、道德规范和风险理论成果的总和。它是商业银行风险管理行为文化与物质文化制度文化的一种总结与升华,是商业银行风险文化中最有活力、最有生命力、最有创造力的核心部分,是银行风险管理的思想上层建筑,即银行风险意识形态的总和。
从外延上讲,风险管理的理念文化包括:商业银行风险精神、商业银行风险价值观、商业银行风险控制观、商业银行风险管理观以及理论化、体系化的商业银行风险管理学。
从国际一流商业银行的实践看,风险管理有三个基本理念。
基本理念一:平衡风险与收益的理念。风险与收益是一枚硬币的两面,风险本身就是事物的客观存在,既是损失的可能,也是盈利的来源。一般来说,风险与收益成正比,银行业务的性质决定了在获取利润时必须承担风险。商业银行风险管理的目标不是消除风险,而是通过主动的风险管理过程实现风险与收益的平衡,要注重风险和收益的平衡关系,敢于承担与预期收益相平衡的风险,通过有效识别、度量、监测和控制风险,追求盈利机会,形成对银行业务过度扩张的有效制约,促使商业银行良性、可持续发展。
基本理念二:全面风险管理的理念。银行损失不再是由单一风险造成,而是由信用风险、市场风险、操作风险等联合造成,对风险的管理也应该全范围、全过程、全员化的管理。全范围的管理:要将信用风险、市场风险和操作性风险等不同类型的风险,资产业务、负债业务和中间业务等不同业务的风险,公司、零售、金融机构等不同客户的风险,都纳入统一的风险管理范围。全过程的管理:风险管理应贯穿于业务发展的每一个过程,哪一个环节缺少风险管理,都有可能出现损失,甚至导致整个业务活动的失败,风险管理必须实现过程控制,前移风险管理关口。全员的管理:风险管理是每一个银行员工的责任,无论是董事会还是管理层,无论是风险管理部门还是业务拓展部门、后勤保障部门,每个岗位、每个人在做每项业务时都要考虑风险因素。
基本理念三:边界管理的理念。风险管理就是要把握风险的度,守住那些危险地带,插上“标签”, 业务运作不能越过这些边界,确保银行的平稳安全运行。银行计算经济资本占用带来的成本,并依据经济资本计算行业、区域和客户的风险限额,对限额实施指令性或指导性管理,风险限额实际上也就是银行的风险边界。
此外,国际一流商业银行的先进风险管理理念还包括:风险管理是商业银行的核心竞争力,是创造资本增值和股东回报的重要手段;风险管理战略应该纳入商业银行整体战略之中,并服务于业务发展战略;商业银行应该充分了解所有风险,建立和完善风险控制机制,对于不了解或无把握控制风险的业务,应该采取审慎态度,等等。
国内商业银行应对本行多年积累的风险管理理念进行提炼,借鉴国际先进风险管理理念,构建前中后台相一致的风险管理理念文化,用正确的风险理念引导全行员工,形成风险管理促进业务发展、业务发展赢得合理回报的良性循环。
2. 风险管理行为文化。如果把风险管理理念文化比喻成风险管理文化的灵魂,那么风险管理行为文化就是灵魂的载体。在一个文化系统中,理念文化必须也必然要发挥灵魂、核心作用,从而渗透到行为文化和物质文化之中。而理念文化的渗透、指导、调整作用,必须有一个逻辑秩序和相应的行为活动,这就是首先通过行为文化的层面或环节发生。
风险管理行为文化,一般包括风险管理的组织架构、制度规范和人的行为表现等。
在建立起现代企业制度的银行里,风险管理的组织架构是一个上下贯通、横向密切相连的网络,主要由股东大会、董事会及其专门委员会、监事会、高级管理层、风险管理部门以及财务控制部门、内部审计部门、法律合规部门等其他部门构成,在全系统内逐步建立起风险管理的垂直体系,独立运作,实现与业务经营的并行管理。
商业银行风险管理的制度规范,是指银行对经营活动中可能出现的各种风险进行预防和控制的一整套制度安排,包括内控机制和激励机制。在风险制度文化建设的过程中,首先要明确各项制度的适用范围和执行效力高低顺序;其次要针对各个环节和阶段,建立全过程管理,形成固有的流程和权限;在此基础上,完善信息收集和传导反馈机制,并且进行周期性评审、梳理、清理和修订制度,保证制度持续有效。
行为表现一般是指人们进行某种活动的具体行为、具体操作中表现出来的稳定的行为习惯、行为规范、行为风格、行为风尚,它独立于风险管理理念文化和组织架构、制度规范,但又不可分割,因为人的行为总是在某种观念和环境支配、影响下形成、实施的。风险管理的行为风尚:遵纪守法、诚信敬业,两者内在一致,共同构成了对行为表现的基本要求。
培育风险管理文化要求商业银行牢牢抓住行为文化建设这一重要层面,构建具有商业银行特色的风险管理机制,让科学的风险管理理念引导制度建设,完善风险管理组织架构,并通过人的行为表现来发扬和发展风险管理理念。
3. 风险管理物质文化。风险管理物质文化,广义上包括两个重要组成部分:一是知识层面,即商业银行在风险管理过程中形成的技术和艺术,它包括银行对各种风险的评估能力、辨识能力、在风险收益上的权衡艺术以及对风险管理模型的开发运用技巧;二是实物层面,即通过商业银行风险管理形成的安全的经营与管理产品、设施、设备和空间环境以及配套的各种物质保障手段等。狭义上,仅指风险管理的知识层面。
目前,我国商业银行风险管理物质文化在知识层面和实物层面均与国际先进银行相比有较大差距,前者主要表现为注重定性分析,主观性较强,定量分析技术缺乏,技术方法落后,技术和工具缺乏等。缺乏精确的度量,就很难对风险做出准确的甄别并对项目做出正确评估,这直接影响了银行风险管理的决策科学性,也降低了风险管理的透明度。后者主要表现为银行经营的产品缺乏定期风险评估、风险缓释功能不足,服务手段没有完全贴近市场需求,风险管理的信息系统和监控设施不完善且技术支持力度不够,经营环境缺乏鲜明和统一的文化特征等,商业银行经营的产品、提供的服务是商业银行经营管理的基本成果,商业银行经营环境是展现风险管理文化的主要窗口,而风险管理信息系统、监控设施等硬件设备是风险管理高效运作的重要保障,实物层面的文化缺乏,不但使全面风险管理体系难以发挥作用,而且会对银行经营形象和声誉产生不利影响。
我国商业银行建设风险管理物质文化主要应从以下几个方面入手:优化贷款风险监测和控制手段,吸收借鉴国际一流商业银行风险管理技术和方法;加强风险管理信息化建设,搭建符合风险管理要求的信息科技平台,建立透明高效的风险信息报告体系;研究系统、科学的资产风险量化和评级技术,从主要依赖主观判断向积极引入现代风险管理方法、模型和技术转变;建立产品定期风险识别和评估机制;设计和推广全球统一的银行经营环境形象,形成品牌效应;根据市场需求,建立标准化和差异化的服务手段,等等。
(二)商业银行风险管理文化的执行
1. 通过管理者的倡导来推进风险管理文化。领导重视是推进风险管理文化建设的先决条件。从文化经营角度看,银行高级管理层的使命就是创建并推行企业文化。各级管理人员首先要在其经营思想中贯通正确的风险管理文化理念和风险管理价值观,通过对风险价值观念的提炼和风险管理文化建设方案的策划,为银行风险管理文化的构建指明方向。
各级领导的思路不仅要转为政策和语言,更要转化为实际行动,一方面要严于律己,身体力行,通过自己的行为、态度、语言及非语言信号来践行风险管理文化,另一方面要培养和塑造风险管理的“模范人物”,宣传报道“模范人物”的先进事迹,通过这两方面的榜样示范作用来推进风险管理文化建设。
2. 通过管理者与执行者的互动来传导风险管理文化。营造风险管理文化,不但需要管理决策层的积极倡导与策划,更要求每个机构的每位员工牢固树立风险意识,积极防范和控制业务风险。从管理者到执行者,要通过有效的推行与传播,努力转变员工的思想观念和行为模式,促进员工对全面风险管理的认知感、认同感和认责感,最终实现风险管理文化三个层面的有机衔接,把风险管理目标、风险管理理念和风险管理习惯渗透于每个部门、每个岗位和每个工作环节,并内化为每位员工的职业态度和自觉行为,力求最大限度地发挥各级员工在风险管理方面的主动性、积极性和创造性,在整个银行形成一种良好的风险管理文化氛围,形成一种风险防范与控制的道德评价和职业环境。
建立顺畅的沟通渠道,保证商业银行高管层对整个风险文化的设计、构思传达到一定的广度和深度。一是自上而下的沟通,确保风险指令传达的及时性,避免和解决沟通中的干扰和失真问题;二是自下而上的沟通,确保员工意见及时反馈到高管层,使风险管理文化得到员工的理解和认同。三是员工之间的沟通,通过各种群体性的宣传、培训、比赛、检测等活动,在群体互动中塑造每位员工的风险管理行为习惯、行为品质、行为风尚。
3. 通过科学的激励约束机制来塑造风险管理文化。建立起一套有利于专家型人才脱颖而出的激励约束机制。加强职业生涯规划的辅导,建立起透明、公开的人才选拔机制。专家序列要更突出专业专注的特点,每一类别下的等级一定要合理,标准一定要清晰具体,尤其是专业素质的要求,一定要紧扣商业银行风险管理的特点,进行必要的细化和量化。同时,要在使用中不断地培训,提升专家的层次,使其不断适应更高、更重要的新的职位,从而不断增进其成就感和归属感。
要在对银行各类风险深入研究的基础上,形成系统科学的风险控制与奖惩制度,一方面让每一位员工认识到自身的工作岗位上可能存在的危险,时刻警觉,形成防范风险的第一道屏障;另一方面,为员工提供能满足其对企业回报预期的资源或支持,创造良好的工作氛围提升员工的投入程度。通过构建有利于调动员工积极性的激励约束机制,培育有利于知识型、创造型人才成长的风险管理文化,加强员工创新能力的培养,优化人力资本与银行其他资源的配置,增进组织内部各成员的有效沟通,让人力资本的效用最大化。
4. 通过以人为本的经营理念来构筑风险管理文化。人是创造文化的主体,又是传承文化的载体,培育风险管理文化要贯穿以人为本的经营理念。
以人为本,首先要创造良好的工作环境,包括构筑管理者与员工之间以及员工相互之间顺畅的沟通渠道;确保人力资源管理制度的科学性和公平性,知人善用,用人惟贤;挖掘员工的最大潜能,鼓励员工创新工作方法,发挥聪明才智。
其次,要建立科学的专业人员任职机制,应积极推进风险经理制度,建立和完善风险经理的任职资格、工作职责、业绩评价和考核管理机制,逐步建设起一支高素质的风险管理队伍。
第三,要加强对员工队伍的教育培训,传授风险管理理论和方法,提高员工的业务水平和专业技能,同时着力培养员工的创新能力,使员工在风险管理技能方面不断得到强化,在风险管理意识方面不断超越自我,紧跟国际银行发展步伐。
5. 通过建立长效发展机制来不断完善风险管理文化。我国银行业在相当长的一段时间里,普遍“重业务发展,轻风险管理”,盲目追求效益,对风险的认识不足、控制乏力,产生了大量的不良资产,也出现了很多违法、违规、违纪行为,并为此付出了沉重代价。目前,这种落后的传统价值观念仍然不同程度地影响了各商业银行的改革与发展,风险管理还没有渗透到商业银行的每一项业务、每一个环节,乃至每一个人的头脑当中,还未成为银行经营管理当中的一种“习惯”。因此,我国商业银行的风险管理文化建设不是一朝一夕就能完成的事情,也不能搞突击式的“面子工程”,必须建立一种长效发展机制。我国商业银行风险管理文化的长效发展机制应该是以科学发展观为指导,进行全面的风险管理,借鉴国际一流商业银行的实践经验,继承传统文化中健康向上、有利于银行发展的精华,在理念、行为、物质三个层面上建立具有内在自我完善功能、在银行持续经营中能长期发挥作用的先进风险管理文化。
参考文献:
[1]马克.洛尔,列夫・博罗多夫斯基.金融风险管理手册[M].北京:机械工业出版社,2002.
[2]叶永刚,顾京圃.中国商业银行内部控制体系研究、设计与实施[M].北京:中国金融出版社,2003.
[3]黄宪,赵征,代军勋.银行管理学[M].武汉:武汉大学出版社,2004.
[4]赵志宏.商业银行风险管理[M].北京:经济管理出版社,2001.
[5]巴塞尔银行监管委员会:有效银行监管核心原则(新版)[M].北京:中国银行业监督管理委员会网站,2006.
[6]黄宪,金鹏.商业银行全面风险管理体系及其在我国的构建[M].北京:中国软科学,2004.
[7]赵志宏.强化风险管理能力是商业银行建立并保持核心竞争优势的关键战略重点[J]. 银行家,2004.
[8]刘莹,胡军统.《巴塞尔新资本协议》与我国银行业面临的挑战[J].技术经济与管理研究,2005.
一、引言
随着安然、世通、帕马拉特以及“银广夏”事件的出现,风险导向审计作为一种重要的审计理念和方法,受到了国内外审计理论界和实务界的广为关注。近年来,国际金融形势复杂多变,公司面临的风险日益加剧,能否对风险进行有效的管理和控制,在一定程度上取决于完善的公司治理体系。而内部审计在公司治理中的特殊地位和重要作用,决定了其在风险导向审计方面的重要地位。无论是国际内部审计师协会,还是中国的内部审计准则都强调了内部审计在公司风险管理中的重要性。
从20世纪90年代中后期开始,国外学者开始关注风险导向内部审计理论的研究,国内学者陈毓圭(2004)在分析了国外职业界以及国际审计与鉴证准则理事会对风险导向审计方法改进的历史后,提出了传统的风险导向审计方法已经不能满足审计业务的需要,急需修改的观点。目前,西方内部审计理论与实践都已经进入了风险导向内部审计阶段。但是,在中国,风险导向内部审计在其框架和具体实施方法方面还存在着不少的争议和困难。
因此,本文将从相关文献的回顾入手,在了解风险导向内部审计的发展现状的基础上,对构建公司风险导向内部审计体系提出几点建议财务论文,以进一步完善风险导向内部审计的框架。
二、相关文献的回顾
进入21世纪以来,中国有很多学者开始关注风险导向内部审计方面的研究,严晖(2004)从管理学角度出发,认为战略管理理论的出现,促进了内部审计由管理导向迈向风险导向阶段。风险导向内部审计的发展深受以迈克尔·波特为代表的战略管理理论以及迈克尔·哈默及詹姆斯·钱皮的企业再造理论的影响。并从国际内部审计协会对风险、内部审计等相关概念的定义出发,构筑了风险导向内部审计理论结构框架。
王晓霞、孙坤、张宜霞(2004)通过从内部审计的定义,首席审计师的概念以及剩余风险3个方面比较分析了国际内部审计协会2001年版《内部审计实务标准》的新变化,指出了2001年版本始终贯穿着风险审计的主导思想,并在研究了风险管理的目标、原则、步骤的基础上,提出了风险导向的内部审计程序。
徐德(2005)立足于COSO委员会提出的《企业风险管理框架》,通过分析风险的特征以及多种分类模式,提出内部审计的开展要与经营风险管理的要求,与公司各级风险管理组织相配合,并且要全过程参与风险审查,进而研究了规避和减少风险的措施与决策,进一步丰富和发展了对内部审计的风险管理控制方法。
孟焰、潘秀丽(2006)分析了风险的实质和分类以及风险管理的内涵,认为对公司风险管理进行监督和评价是现代内部审计发展的结果,风险管理审计的目标取决于对公司内部审计的功能定位。在此基础上,明确了内部审计机构和人员对公司风险管理过程的审查和评价的目标和主要内容,并指出对公司风险管理的有效性进行审查和评价是现在公司内部审计的一个新的领域免费论文。
路媛媛、袁洋(2008)从COSO委员会提出的《企业风险管理框架》产生的背景和风险导向内部审计产生动因出发,阐述了风险导向内部审计的特点和风险导向内部审计与ERM的互动关系,指出公司内部审计参与企业风险管理的必要性,以及风险导向内部审计的发展现状,并且从4个方面提出了风险导向内部审计的实施措施。
邸丛枝、于富生(2009)梳理了国际和国内有关内部审计定义的发展历程,分析了内部审计和风险管理的关系,认为内部审计和风险管理是相辅相成的,内部审计是风险管理的重要组成部分,风险管理是内部审计确认和咨询的对象。并且从内部审计的目标、服务对象、职能、方法等6个方面入手,提出了基于风险管理的内部审计的框架。
国内学者们历年来的这些研究对风险导向内部审计在中国的实施和发展具有很大的推动作用,但是,从文献的梳理过程中可以看出,大部分文献比较重视对风险和风险管理的研究,比较关注风险导向审计目标、内容和程序的分析,很少有文献对风险管理和内部审计两者关系进行详细的分析,也很少出现对风险导向内部审计在实际运用中遇到的问题的探讨,以及对风险导向内部审计的实施措施的研究。
三、风险导向内部审计的发展现状
随着全球经济的快速发展,审计模式经历了账项基础审计、制度基础审计、风险基础审计和风险导向审计4个阶段的发展(胡春元,2009)。现代社会日益激烈的市场竞争和高度膨胀的经营风险,促进了风险导向审计的进一步发展。公司所处的经营环境的变化财务论文,经营风险的大大增加,同时,对公司内部审计的要求也越来越高。为了维持公司可持续发展,风险导向内部审计这种有效和灵活的审计模式便得到了广泛的运用。
(一)开展风险导向内部审计的意义
为了适合经济活动发展的需要,风险导向内部审计模式被广泛运用到公司的经营活动中去。风险导向内部审计不仅能全面关注公司的经营情况,充分识别公司所面临的风险,又能有效配置公司的资源,具有很大的现实意义。而传统内部审计模式只关注公司报表的错报风险,忽视了对公司经营环境与经营风险的评估,已不能满足公司的发展需要。
其次,风险导向内部审计能适应公司目标的多样化,它能对公司的这些目标进行风险评估,了解公司所面临的风险,从而提出防范措施和改进意见,使公司的经营风险降到最低。在事后,对这些风险进行后续评估,可以了解到防范措施的有效程度,有利于公司将来对这些风险进行规避。
作为公司重要组成部分的内部审计机构和内部审计人员,独立于公司的经营管理部分,而且非常了解公司的经营目标和经营流程。由他们开展风险导向内部审计工作,不仅可以随时随地对公司的经营活动展开审查,而且还可以深入到公司经营中极其细微的环节,及时了解公司日常管理中的缺陷,更有利于公司管理体系的完善,实现公司经营目标,增加公司价值。因此,风险导向内部审计在中国公司里有着广阔的应用前景。
(二)风险导向内部审计发展现状
早在2001年,国际内部审计协会就开始强调内部审计要参与工地风险管理过程,这对促进和推动风险导向内部审计的发展具有极大的现实意义。近年来,随着公司经营环境的扩大,经营内容的日趋复杂。面对复杂多变的经济活动,风险导向内部审计更加突出对风险的识别、计量和预测。由于内部审计部门和内部审计人员参与公司风险管理过程,对公司面临或者将要面临的各种经营风险更了解,就更有利于公司健康快速地发展,实现公司的经济效益。
目前,已经有不少公司在日常经营中推进了风险导向内部审计的应用,但还是出现了不少的困难。不同经营范围,不同规模的公司,其所推行的风险导向内部审计模式应是有差异的财务论文,其所负担的成本也是有差异的。因为不同的公司面临的经营风险是不同,其内部审计人员对经营风险的划分也是不同的,也就是说公司的风险管理体系是不同的,内部审计人员的专业胜任能力也是不同的,公司所能负担成本的能力也是不同的。
风险导向内部审计对公司内部审计机构和审计人员的专业胜任能力有很高的要求,即需要具备较高的风险识别能力和丰富的工作经验,而大多数公司的内部审计机构和内部审计人员很难充分识别公司所面临的风险,并对其进行防范。大多数内部审计机构和内部审计人员很难配合风险导向内部审计工作的开展,缺乏风险识别知识,不具备指导管理的意识。
另一方面,风险导向内部审计还处于发展阶段,缺少完善的理论体系的支撑,也没有配套的全面的运作模式。虽然很多公司已经大力推广风险导向内部审计的运用,但审计方法并没有跟上,还是停留在传统的审计方法上,也没有学习国际上有关风险导向内部审计的技术和方法,不能完全发挥风险导向内部审计的作用。
四、对在中国实行风险导向内部审计的政策建议
近几十年来,中国市场经济发生了巨大的变化,全球化进程的进一步加深推动了中国很多公司开始实施风险导向内部审计,以适应经济的发展和公司内部的需求。由于这种审计模式还处于发展阶段,且其与传统的审计模式在技术、方法等方面存在着很大的差异。因此,公司要全面实行风险导向内部审计要注意很多问题。
(一)全面推行风险导向内部审计模式,重视内部审计的独立性
公司应在全面推行风险导向内部审计模式的同时,重视内部审计机构和审计人员的独立性免费论文。独立性是对开展公司风险导向内部审计的最低要求。没有独立性,就没有任何审计质量可言。
内部审计机构和审计人员独立于公司经营管理部门之外开展审计工作,是风险导向内部审计的前提。只有在独立于公司其他部门的情况下开展风险导向内部审计工作,才能全面参与公司的日常运作,客观地对公司所面临的风险进行评估,这样,才能及时地发现公司管理体系的漏洞,有效地提出改善建议,降低公司的风险,完善公司的管理体系,提高公司的经济效益。
(二)加强对内部审计人员专业知识的培训,提高内部审计人员的专业胜任能力
内部审计人员是内部审计机构的重要组成部分,也是开展风险导向内部审计工作的主体,只有内部审计人员充分掌握专业知识和专业技能,才能满足风险导向审计对内部审计人员的要求,公司才能有效地开展风险导向内部审计工作。因此财务论文,公司应加强对内部审计人员的培训,提高他们的专业胜任能力。
风险导向内部审计不同于传统的审计模式,对风险识别和公司治理领域等相关知识有很高的要求。只有内部审计人员拥有较高的风险识别能力的情况下,才能有效地识别公司所面临的风险,及时提出防范措施。只有内部审计人员具备公司治理相关领域的知识的情况下,才能真正参与到公司日常运作中,发现公司管理体系的漏洞,及时提出整改意见。
(三)建立健全公司内部治理机制和风险管理体系
审计质量的高低不仅取决于审计的独立性和内部审计人员的专业胜任能力,还取决于公司内部治理机制和风险管理体系的完善程度。风险导向内部审计的开展主要是对公司所面临的所有风险进行评估,进而提出防范措施。因此,要有效地开展风险导向内部审计工作,就要建立健全公司内部治理机制和风险管理体系。
只有公司拥有比较健全的内部治理机制,才能明确每个审计人员的工作范围,有效地进行资源配置,降低公司的成本。只有公司拥有比较健全的风险管理体系,内部审计人员才能全面参与到公司的风险管理过程中去,及时地发现风险,提高公司价值。
风险导向内部审计是内部审计领域的进一步发展,国外对其理论研究与实践也处于初级阶段。中国公司开展风险导向内部审计比西方国家要晚很多,与西方发达国家还存在着一定的差距,在理论与实践中还有很多问题有待于进一步解决。但随着经济全球化的进一步发展,风险导向内部审计将会有更好的发展,其理论体系和实际应用将得到完善。
责任编辑:
参考文献
(1)蔡春、赵莎等:《现代风险导向审计论》,中国时代经济出版社,2006年。
(2)胡春元:《风险导向审计》,东北财经大学出版社,2009年。
(3)张坤、李嘉明、周和生等:《风险管理与内部审计》,北京工业出版社,2004年。
(4)陈毓圭:《对风险导向审计方法的由来及其发展的认识》,《会计研究》,2004年第2期。
(5)陈武朝:《内部审计有效性与持续性改进》,《审计研究》,2010年第3期。
(6)邸丛枝、于富生:《内部审计的新发展——基于风险管理的视角》,《财会通讯》,2009年第12期。
(7)高伟、李晓慧:《风险导向审计与独立审计准则的运用》,《审计研究》,2004年第3期。
(8)刘峰、许菲:《风险导向型审计·法律风险·审计质量──兼论“五大”在我国审计市场的行为》,《会计研究》,2002年第2期。
(9)黎志刚:《提高现代风险导向审计质量的对策》,《中国注册会计师》,2009年第8期。
(10)孟焰、潘秀丽:《企业风险管理审计研究》,《审计研究》,2006年第3期。
(11)严晖:《风险导向内部审计:背景分析与框架建构》,《财会通讯》,2004年第6期。
(12)王咏梅、吴建友:《现代风险导向审计发展及运用研究》,《审计研究》,2005年第6期。
(13)王晓霞、孙坤、张宜霞:《论风险导向的内部审计理论与实务》,《审计研究》,2004年第2期。
(14)汪月祥、杨文蔚:《金融危机下的风险导向审计对策》,《中国注册会计师》,2009年第11期。
(15)徐德:《论现代内部审计的风险管理控制方法》,《审计研究》,2005年第2期。
2.成长企业的风险管理——郑文平博士采访实录
3.草船借箭有风险──哈佛大学博士陈琳谈金融风险管理
4.公司治理、内部控制、风险管理的关系框架——基于战略管理视角
5.企业风险管理发展历程及其研究趋势的新认识
6.论企业内部控制的风险管理机制
7.集团管理控制与财务公司风险管理——基于10家企业集团的多案例分析
8.村镇银行风险管理现状、问题与对策——以浙江长兴联合村镇银行为例
9.董事会治理与财务公司风险管理——基于10家集团公司结构式调查的多案例分析
10.面向调度运行的电网安全风险管理控制系统 (一)概念及架构与功能设计
11.内部控制、公司治理与风险管理——一个职能论的视角
12.风险管理在住院患者跌倒/坠床预防中的应用
13.国外风险管理理论研究综述
14.风险管理在护理管理中的应用
15.社区灾害风险管理现状与展望
16.新形势下银行信贷风险管理问题的研究
17.全面风险管理模型设计与评价:基于RAROC的分析
18.供应链风险识别与风险管理杠杆选择
19.计及电力安全事故责任的稳定控制系统风险管理
20.公司治理与风险管理:基于治理风险视角的分析
21.互联网信贷、信用风险管理与征信
22.集团企业财务风险管理框架探讨
23.我国商业银行操作风险管理问题解析
24.风险管理发展历程和趋势综述
25.工程项目风险管理研究现状与前景展望
26.投资集团公司财务风险管理探究
27.企业风险管理理论的演进与展望
28.资本配置:商业银行风险管理的核心
29.大断面城市隧道施工全过程风险管理模式研究
30.集团资金集中控制下的风险管理——基于大中型集团公司的案例分析
31.对急诊护理操作实施风险管理的探讨
32.基于贝叶斯网络的地铁施工风险管理研究
33.基于第三方B2B平台的线上供应链金融模式演进与风险管理研究
34.中国地下工程安全风险管理的现状、问题及相关建议
35.基于制度设计与措施选择论保险公司全面风险管理
36.后危机时代商业银行的信贷风险管理
37.地方政府投融资平台风险管理研究
38.企业信息系统与服务外包风险管理研究
39.特种设备风险管理体系构建及关键问题探究
40.论我国风险管理的现状及对策
41.风险管理理论沿袭和最新研究趋势综述
42.论政府风险管理——基于国内外政府风险管理实践的评述
43.我国商业银行风险管理体系再造研究
44.珠三角土壤镉含量时空分布及风险管理
45.互联网金融的风险本质与风险管理
46.灾害风险理论与风险管理方法研究
47.电网运行风险管理的基础研究
48.大型企业税务风险管理问题研究
49.滑坡风险管理综述
50.ICU护理风险管理影响因素及对策研究
51.对我国农业保险风险管理创新问题的几点看法
52.论现代金融机构风险管理十项原则
53.金融机构风险管理机制有效性研究——对风险管理长效机制问题的思考
54.论风险管理体系概念在法律层面的引入——以监事会的完善为目标
55.试论风险投资的阶段性特征及风险管理策略
56.国外体育风险管理体系的理论研究
57.学校体育运动风险管理研究述评
58.工程项目风险管理研究综述
59.我国建筑工程项目风险类型及风险管理对策研究
60.股权激励经理人道德风险的化解——全面风险管理视角
61.风险管理在隧道及地下工程中的应用研讨
62.我国工程项目风险管理进展研究
63.政府农田水利建设项目风险管理研究
64.银行风险管理、资本约束与贷款买卖行为分析
65.全面风险管理框架下商业银行风险预警机制的构建
66.药品安全与风险管理
67.不确定性、联盟风险管理与合作绩效满意度
68.企业风险管理中的风险沟通机制研究
69.廉政风险管理的分析框架:理论、过程和机制
70.风险管理标准化述评
71.企业全面风险管理(ERM)理论梳理和框架构建
72.风险管理:从被动反应到主动保障
73.构建企业税务风险管理体系研究
74.国外电力企业风险管理典型案例及其启示
75.糖尿病护理团队在风险管理中的作用
76.心血管内科重症患者的护理风险管理
77.公司治理、内部控制、风险管理与绩效评价关系研究
78.英美加澳和中国台湾地区医疗风险管理方法与评估工具的比较研究
79.山地自然灾害、风险管理与避灾扶贫移民搬迁
80.企业集成风险管理——企业风险管理发展新方向
81.金融衍生品及其风险管理——基于美国次贷危机视角
82.企业风险管理发展的新趋势
83.银行风险管理、贷款信息披露与并购宣告市场反应
84.内部控制、公司治理、风险管理:关系与整合
85.中小企业信用担保机构的信用与风险管理问题探讨
86.国家审计在地方政府性债务风险管理中的功能认知分析
87.区域生态风险管理研究进展
88.论城市公共安全的风险管理
89.从金融监管改革新形势看商业银行风险管理转型升级的着力点
90.门诊输液患儿应用静脉留置针的风险管理
91.国际巨灾风险管理文献计量分析
92.基于模糊认知图的生态风险管理探究
93.IPCC第五次评估报告对气候变化风险及风险管理的新认知
94.弹性企业风险管理体系建构的探讨——基于供应链弹性等领域的文献回顾与拓展
95.内部控制与风险管理关系辨析——基于概念演进的视角
96.基于风险管理的企业内部控制研究
97.药品风险管理:概念、原则、研究方法与实践
98.基于公司价值视角的企业风险管理有效性检验
99.浅析我国商业银行风险管理的现状
100.企业的风险管理及内部控制
101.不同主体在现代企业风险管理中的作用与责任
102.学校体育风险管理研究追溯与风险应对反思
103.软土地下工程的风险管理
104.从COSO框架报告看内部控制与风险管理的异同
105.论我国互联网金融市场信用风险管理体系的构建
106.推行护理风险管理提高护理服务质量
107.金融风险管理悖论的经济学释析
108.农业巨灾风险管理的比较制度分析:一个文献研究
109.论企业风险管理组织架构的设计
110.我国商业银行风险管理研究
111.浅析金融创新条件下的金融风险管理
112.从银行监管改革变迁看我国商业银行操作风险管理路径选择
113.金融机构风险管理机制研究
114.基于施工总承包模式下的地铁风险管理研究
115.构建我国商业银行碳金融内部风险管理长效机制
116.金融租赁公司风险管理体系构建初探
117.大企业税务风险管理探索
118.对我国商业银行信用风险管理的思考
119.伦敦城市风险管理的主要做法与经验
120.论商业银行全面风险管理体系的构建
121.新环境下的企业风险管理与风险导向内部审计
122.税收风险管理的范畴与控制流程
123.高校风险管理的现状分析及对策
124.进出口食品安全风险管理机制研究
125.中观信息系统审计风险管理的理论探索与体系构架
126.商业银行的信贷战略风险管理
127.风险矩阵在民航机务维修质量风险管理中的应用
128.金融风险管理理论论述
129.国际化大都市风险管理:挑战与经验
130.社会风险管理:框架、风险评估与工具运用
131.金融监管制度演变与金融机构风险管理
132.“营改增”后交通运输企业的税务风险管理能力——以沪市上市公司为例
133.社会保障风险管理国际比较分析
134.现代技术项目风险管理研究的理论热点与展望
135.论我国保险公司的风险管理
136.我国化学品的风险评价及风险管理
