一、全面预算管理业务的主要内容及流程
(一)全面预算管理的重要作用
常言道,凡事预则立,不预则废。全面预算管理已经成为现代化企业不可或缺的重要管理模式。它通过业务、资金、信息、人才的整合,明确适度的分权授权,战略驱动的业绩评价等,来实现企业的资源合理配置并真实的反映出企业的实际需要,进而对作业协同、战略贯彻、经营现状与价值增长等方面的最终决策提供支持。全面预算管理是能把组织的所有关键问题融合于一个体系之中的重要管理控制方法之一。全面预算管理不仅仅是控制成本的作用,在提升企业战略管理能力、高效利用企业的资源、提高监控与考核力度、提升收入和节约成本、提高企业经营风险管理能力等方面都发挥着重要的作用。
(二)全面预算管理的主要内容
全面预算依据企业决策方案的要求,对销售、生产、分配以及筹资等活动确定明确的目标。主要表现为预计资产负债表、预计损益表、预计现金流量表等一套预计的财务报表及其附表,借以预计未来期间的财务状况和经营成果。
(三)全面预算管理的主要流程
全面预算管理包括了从预算启动、预算编制、预算执行与控制、预算反馈与分析、预算调整、预算考核、预算总结等内容。
二、全面预算管理流程中面临的主要风险分析
对全面预算管理业务风险的分析,主要是围绕该业务流程中的各项目标的实现进行的。
(一)预算编制阶段
预算编制是企业实施全面预算管理的起点。预算编制环节的主要风险是:
第一,预算编制以财务部门为主,业务部门参与度较低,可能导致预算编制不合理,预算管理责、权、利不匹配;预算编制范围和项目不全面,各个预算之间缺乏整合,可能导致全面预算难以形成。
第二,预算编制所依据的相关信息不足,可能导致预算目标与战略规划、经营计划、市场环境、企业实际等相脱离;预算编制基础数据不足,可能导致预算编制准确率降低。
第三,预算编制程序不规范,横向、纵向信息沟通不畅,可能导致预算目标缺乏准确性、合理性和可行性。
第四,预算编制方法选择不当,或强调采用单一的方法,可能导致预算目标缺乏科学性和可行性。
第五,预算目标及指标体系设计不完整、不合理、不科学,可能导致预算管理在实现发展战略和经营目标、促进绩效考评等方面的功能难以有效发挥。
第六,编制预算的时间太早或太晚,可能导致预算准确性不高,或影响预算的执行。
第七,全面预算未经适当审批或超越授权审批,可能导致预算权威性不够、执行不力,或可能因出现重大差错、舞弊而导致损失。
(二)预算执行阶段
该环节的主要风险是:
第一,缺乏严格的预算执行授权审批制度,可能导致预算执行随意;
第二,预算审批权限及程序混乱,可能导致越权审批、重复审批,降低预算执行效率和严肃性;预算执行过程中缺乏有效监控,可能导致预算执行不力,预算目标难以实现;
(三)预算反馈与分析阶段
缺乏健全有效的预算反馈和报告体系,可能导致预算执行情况不能及时反馈和沟通,预算差异得不到及时分析,预算监控难以发挥作用。
(四)预算调整
该环节的主要风险是:预算调整依据不充分、方案不合理、审批程序不严格,可能导致预算调整随意、频繁,预算失去严肃性和“硬约束”。
(五)预算考核
该环节的主要风险是:预算考核不严格、不合理、不到位,可能导致预算目标难以实现、预算管理流于形式。其中,预算考核是否合理受到考核主体和对象的界定是否合理、考核指标是否科学、考核过程是否公开透明、考核结果是否客观公正、奖惩措施是否公平合理且能够落实等因素的影响。
三、主要的风险管理措施
(一)预算编制阶段
主要控制措施:第一,全面性控制。一是明确企业各个部门、单位的预算编制责任,使企业各个部门、单位的业务活动全部纳入预算管理;二是将企业经营、投资、财务等各项经济活动的各个方面、各个环节都纳入预算编制范围,形成由经营预算、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。
第二,编制依据和基础控制。一是制定明确的战略规划,并依据战略规划制定年度经营目标和计划,作为制定预算目标的首要依据,确保预算编制真正成为战略规划和年度经营计划的年度具体行动方案;二是深入开展对企业外部环境的调研和预测,包括对企业预算期内客户需求、同行业发展等市场环境的调研,以及对宏观经济政策等社会环境的调研,确保预算编制以市场预测为依据,与市场、社会环境相适应;三是深入分析企业上一期间的预算执行情况,充分预计预算期内企业资源状况、生产能力、技术水平等自身环境的变化,确保预算编制符合企业生产经营活动的客观实际;四是重视和加强预算编制基础管理工作,包括历史资料记录、定额制定与管理、标准化工作、会计核算等,确保预算编制以可靠、翔实、完整的基础数据为依据。
第三,编制程序控制。企业应当按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。其基本步骤及其控制为:一是建立系统的指标分解体系,并在与各预算责任中心进行充分沟通的基础上分解下达初步预算目标;二是各预算责任中心按照下达的预算目标和预算政策,结合自身特点以及预测的执行条件,认真测算并提出本责任中心的预算草案,逐级汇总上报预算管理工作机构;三是预算管理工作机构进行充分协调、沟通,审查平衡预算草案;四是预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证,从企业发展全局角度提出进一步调整、修改的建议,形成企业年度全面预算草案,提交董事会;五是董事会审核全面预算草案,确保全面预算与企业发展战略、年度生产经营计划相协调。
第四,编制方法控制。企业应当本着遵循经济活动规律,充分考虑符合企业自身经济业务特点、基础数据管理水平、生产经营周期和管理需要的原则,选择或综合运用固定预算、弹性预算、滚动预算等方法编制预算。
第五,预算目标及指标体系设计控制。一是按照“财务指标为主体、非财务指标为补充”的原则设计预算指标体系;二是将企业的战略规划、经营目标体现在预算指标体系中;三是将企业产、供、销、投融资等各项活动的各个环节、各个方面的内容都纳入预算指标体系;四是将预算指标体系与绩效评价指标协调一致;五是按照各责任中心在工作性质、权责范围、业务活动特点等方面的不同,设计不同或各有侧重的预算指标体系。
第六,预算编制时间控制。企业可以根据自身规模大小、组织结构和产品结构的复杂性、预算编制工具和熟练程度、全面预算开展的深度和广度等因素,确定合适的全面预算编制时间,并应当在预算年度开始前完成全面预算草案的编制工作。
第七,企业全面预算应当按照《公司法》等相关法律法规及企业章程、以及上级单位的有关要求报经审议批准。
(二)预算执行控制
主要控制措施:第一,加强资金收付业务的预算控制,及时组织资金收入,严格控制资金支付,调节资金收付平衡,防范支付风险。
第二,严格资金支付业务的审批控制,及时制止不符合预算目标的经济行为,确保各项业务和活动都在授权的范围内运行。企业应当就涉及资金支付的预算内事项、超预算事项、预算外事项建立规范的授权批准制度和程序,避免越权审批、违规审批、重复审批现象的出现。对于预算内非常规或金额较大事项,应经过较高的授权批准层(如总经理)审批。对于超预算或预算外事项,应当实行严格、特殊的审批程序,一般须报经总经理办公会或类似权力机构审批;金额较大的,还应报经预算管理委员会或董事会审批。预算执行单位提出超预算或预算外资金支付申请,应当提供有关发生超预算或预算外支付的原因、依据、金额测算等资料。
第三,建立预算执行实时监控制度,及时发现和纠正预算执行中的偏差。确保企业办理采购与付款、销售与收款、成本费用、工程项目、对外投融资、研究与开发、信息系统、人力资源、安全环保、资产购置与维护等各项业务和事项,均符合预算要求;对于涉及生产过程和成本费用的,还应严格执行相关计划、定额、定率标准。
第四,建立重大预算项目特别关注制度。对于工程项目、对外投融资等重大预算项目,企业应当密切跟踪其实施进度和完成情况,实行严格监控。对于重大的关键性预算指标,也要密切跟踪、检查。
第五,建立预算执行情况预警机制,科学选择预警指标,合理确定预警范围,及时发出预警信号,积极采取应对措施。有条件的企业,应当推进和实施预算管理的信息化,通过现代电子信息技术手段控制和监控预算执行,提高预警与应对水平。
(三)预算分析
该环节的主要风险是:预算分析不正确、不科学、不及时,可能削弱预算执行控制的效果,或可能导致预算考评不客观、不公平;对预算差异原因的解决措施不得力,可能导致预算分析形同虚设。
主要控制措施:第一,企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度,定期召开预算执行分析会议,通报预算执行情况,研究、解决预算执行中存在的问题,认真分析原因,提出改进措施。
第二,企业应当加强对预算分析流程和方法的控制,确保预算分析结果准确、合理。预算分析流程一般包括确定分析对象、收集资料、确定差异及分析原因、提出措施及反馈报告等环节。企业分析预算执行情况,应当充分收集有关财务、业务、市场、技术、政策、法律等方面的信息资料,根据不同情况分别采用比率分析、比较分析、因素分析等方法,从定量与定性两个层面充分反映预算执行单位的现状、发展趋势及其存在的潜力。
第三,企业应当采取恰当措施处理预算执行偏差。企业应针对造成预算差异的不同原因采取不同的处理措施:因内部执行导致的预算差异,应分清责任归属,与预算考评和奖惩挂钩,并将责任单位或责任人的改进措施的实际执行效果纳入业绩考核;因外部环境变化导致的预算差异,应分析该变化是否长期影响企业发展战略的实施,并作为下期预算编制的影响因素。
第四,建立健全预算执行情况内部反馈和报告制度,确保预算执行信息传输及时、畅通、有效。预算管理工作机构应当加强与各预算执行单位的沟通,运用财务信息和其他相关资料监控预算执行情况,采用恰当方式及时向预算管理委员会和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响,促进企业全面预算目标的实现。
(四)预算调整
主要控制措施:第一,明确预算调整条件。由于市场环境、国家政策或不可抗力等客观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。企业应当在有关预算管理制度中明确规定预算调整的条件。
第二,强化预算调整原则。一是预算调整应当符合企业发展战略、年度经营目标和现实状况,重点放在预算执行中出现的重要的、非正常的、不符合常规的关键性差异方面;二是预算调整方案应当客观、合理、可行,在经济上能够实现最优化;三是预算调整应当谨慎,调整频率应予以严格控制,年度调整次数应尽量少。
第三,规范预算调整程序,严格审批。调整预算一般由预算执行单位逐级向预算管理委员会提出书面申请,详细说明预算调整理由、调整建议方案、调整前后预算指标的比较、调整后预算指标可能对企业预算总目标的影响等内容。预算管理工作机构应当对预算执行单位提交的预算调整报告进行审核分析,集中编制企业年度预算调整方案,提交预算管理委员会。预算管理委员会应当对年度预算调整方案进行审议,根据预算调整事项性质或预算调整金额的不同,根据授权进行审批,或提交原预算审批机构审议批准,然后下达执行。企业预算管理委员会或董事会审批预算调整方案时,应当依据预算调整条件,并考虑预算调整原则严格把关,对于不符合预算调整条件的,坚决予以否决;对于预算调整方案欠妥的,应当协调有关部门和单位研究改进方案,并责成预算管理工作机构予以修改后再履行审批程序。
(五)预算考核
第一,建立健全预算执行考核制度。一是建立严格的预算执行考核制度,对各预算执行单位和个人进行考核,将预算目标执行情况纳入考核和奖惩范围,切实做到有奖有惩、奖惩分明。二是制定有关预算执行考核的制度或办法,并认真、严格地组织实施。三是定期组织实施预算考核,预算考核的周期一般应当与年度预算细分周期相一致,即一般按照月度、季度实施考评,预算年度结束后再进行年度总考核。
第二,合理界定预算考核主体和考核对象。预算考核主体分为两个层次:预算管理委员会和内部各级预算责任单位。预算考核对象为企业内部各级预算责任单位和相关个人。界定预算考核主体和考核对象应当主要遵循以下原则:一是上级考核下级原则,即由上级预算责任单位对下级预算责任单位实施考核;二是逐级考核原则,即由预算执行单位的直接上级对其进行考核,间接上级不能隔级考核间接下级;三是预算执行与预算考核相互分离原则,即预算执行单位的预算考核应由其直接上级部门来进行,而绝不能自己考核自己。
第三,科学设计预算考核指标体系。应主要把握以下原则:预算考核指标要以各责任中心承担的预算指标为主,同时本着相关性原则,增加一些全局性的预算指标和与其关系密切的相关责任中心的预算指标;考核指标应以定量指标为主,同时根据实际情况辅之以适当的定性指标;考核指标应当具有可控性、可达到性和明晰性。
随着我国经济社会的不断进步,保险业发展水平逐步提高,资本市场与货币市场日益成熟,保险业已经成为支撑社会保障体系的重要力量,保险集团已成为金融体系日益活跃的重要组成部分。保险集团是以保险为核心,融证券、信托、银行、资产管理等多元金融业务为一体的紧密、高效、多元的金融混业经营集团。保险集团的金融混业经营使其能够全面参与衍生产品的各个市场环节,但也增加了保险集团市场风险暴露的广度和深度,即由于业务的综合性而能受到金融市场领域风险的直接影响,构成了全面的市场风险。保险集团混业经营中子公司比较复杂,而且每一个子公司业务性质都有其特殊性,给集团市场的全面风险管理带来了极大挑战。
保险集团全面市场风险管理的架构
巴塞尔银行监管委员会在1996年颁布的《资本协议市场风险补充规定》中,将市场风险定义为因市场价格波动而导致表内和表外头寸损失的风险,并根据导致市场风险因素的不同将市场风险划分为利率风险、股票风险、汇率风险和黄金等商品价格风险。随着经济全球化、金融国际化以及金融创新的发展,保险集团面临的市场风险呈现出高层化、扩散化、契约化和网络化等特点。2007年以来的次贷危机又使保险集团的市场风险进一步上升。在这个背景环境下,保险集团应考虑设计一个有效的市场风险管理架构,通过建立和适时调整自身的风险管理机制,来防范和化解集团和子公司层面面临的各类市场风险。
市场风险集成管理的风险管理架构应设计为矩阵式的市场风险管理架构。它应在横向业务整合的基础上,增加纵向的管控,将同属性的交易或者具有相同风险因子的品种进行风险加总。金融集团由决策层确定总体风险资本,然后把总体风险资本限额按横向(子公司)来进行分配。即将风险资本限额在集团不同的子公司之间进行分配,子公司再将所配的风险资本限额配置到每一个业务部门,则每一级的管理者面对的一个关键问题是如何把下一级的投资活动产生的风险限制在可控范围内。如果每一级的风险管理者都能做到随时掌握和监督下一级的风险限额执行情况,并能对突破既定限额的情况进行及时干预,则风险管理就算真正达到目标(层级管理)。
保险子公司与资产管理子公司的市场风险管理
新《保险法》对于保险资金的运用渠道一直有严格规定,只允许投资于银行存款、买卖政府债券和金融债券。由于投资渠道的限制,加之1996年5月以来的8次利率调整,使保险资金处于闲置状态或低收益状态,导致出现了严重的利差损问题,严重影响了保险公司的生存和发展。1998年以后,保险公司陆续获准可以进行同业拆借、买卖中央企业aa+公司债券、国债回购、协议存款、企业债券及证券投资基金。2004年,保险公司又获准可以买卖可转换债券、保险外汇资金境外运用、投资银行次级债。2004年10月,随着《保险机构投资者股票投资管理暂行办法》的颁布,标志着我国保险资金可以直接进入证券市场进行股票投资。一般来说,保险资金运用的原则应符合安全性、流动性、收益性三原则, 并在遵循安全性原则的前提下以求取得更多的收益, 同时应保持一定的流动性以应付日常开支和保险赔付。
保险资金运用可主要按照风险限额管理来实施(子公司层面),首先根据保险子公司(或保险资产子公司)的资本实力、股东目标与风险偏好、监管规定等,确定保险资金运用的总体风险水平以及相应的抵御风险损失的风险资本限额;然后,根据对各业务部门或交易员的风险调整的绩效测量结果,以及其它因素在各层次间进行风险资本限额的分配;最后根据分配的风险资本限额对各业务部门乃至每一笔交易的风险进行监控,并根据风险调整后的绩效评估结果以及其它因素对风险资本限额进行动态的分配调整。
保险公司偿付能力越大承受高投资风险的能力越大,衡量偿付能力的指标有净保费与净资产之比,美国的保险监管认为3:1为满意的最大安全比例,这一比例愈大,保险资金的运用规模可以相对大些。未决赔款准备金与净资产之比高于1:5,保险公司有可能破产,这一比例愈大,保险公司的资金运用规模相对小些。我国2001年制定的《保险公司最低偿付能力及监管指标管理规定》做出了具体规定,其中也规定了财产保险公司资金运用指标,寿险公司投资收益监管指标。严格根据保险公司的资本实力和偿付能力,对保险投资总投资额及其风险限额上做出限定,对保险资金投资的市场风险将起到事前控制的作用。
银行子公司的市场风险管理
我国银监会2004 年了《商业银行市场风险管理指引》,从操作层面上对商业银行的市场风险管理提出了要求。银监会《商业银行资本充足率管理办法》规定,商业银行交易账户总头寸高于表内外总资产的10%或超过85亿元人民币的商业银行需计提市场风险资本。这意味着,银行子公司必须对市场风险进行合理的管理,以便对市场风险资本金进行管理。
银行子公司目前产生市场风险的资金交易品种,主要包括外汇交易(如即期外汇买卖、远期外汇买卖、外汇掉期等)、贵金属交易业务(如黄金白银的即期买卖、远期买卖、掉期及租赁交易)、衍生产品交易业务(如货币掉期、利率掉期、掉期期权、外汇期权、债券期权、利率期货、指数期货、指数期权等)、利率产品业务(如机构债券、公司债券、短期商业票据、新兴市场公债等)、结构化产品业务(如信用违约互换、与信用相连的债券等)。随着利率市场化、金融创新的不断深化,银行子公司的经营重点由传统的贷款业务向市场业务转移,面临的市场风险的种类和规模将成倍增长。
银监会的《商业银行市场风险管理指引》中要求商业银行根据资产负债的特征划分银行账户和交易账户,并针对两个账户的不同特征选择合适的方法计量市场风险。银监会的《商业银行资本充足率管理办法》规定,需计提资本金的市场风险包括以下风险:交易账户中受利率影响的各类金融工具及股票所涉及的风险、商业银行全部的外汇风险和商品风险。其中不包含银行账户中的利率风险。银行子公司应当尽量对所计量的银行账户和交易账户中的市场风险(特别是利率风险),在全行范围内进行加总,以便董事会和高级管理层了解本行的总体市场风险水平。在操作层面上,由于银行账户采用账面价值核算,而交易账户采用市场价值核算,因此常用的var方法主要集中于交易账户的市场风险衡量,而无法覆盖银行账户的市场风险。后者往往使用敞口分析、缺口分析或敏感性分析加以补充。这样,在计量两大账户风险的方法上就出现了不能统一的局面。
银行子公司应对两个账户进行市场风险的统一管理。统一银行账户和交易账户的市场风险管理,有助于高级管理层准确衡量全行范围内存在的风险。两大账户的市场风险管理割裂,则可能因统计口径、参数设置和计量方法的不一致给董事会和高级管理层的决策造成困难。银行账户的var可用monte carlo模拟利率和汇率的未来变动,计算出银行账户在一定置信度下的最大可能损失,这在本质上与交易账户的计量是统一的,因而从技术上而言,统一两大账户的市场风险管理是可行的。
证券子公司的市场风险管理
(一)证券承销业务的市场风险
证券承销业务的市场风险是余额包销的风险,证券承销业务市场风险管理的目标就是要将承销的股票全部销售出去,不能产生余额包销,而股票能否销售出去的核心在于股票发行定价。因此,证券承销业务事前风险管理的核心在于承销证券发行定价能力。另外也可对承销股票的var(ipo新股价格变化可用二级市场中行业相同、经营状况相同的公司的股价变动来反应)进行估算。
(二)证券投资业务的市场风险
证券投资风险主要是股票、债券等金融产品二级市场价格波动的市场风险。可采用以var限额管理为基础的风险管理策略。
(三)融资融券业务的市场风险
2008年10月经国务院同意,中国证监会宣布要启动证券公司融资融券业务试点工作。在融资交易中,证券子公司可能会面临到期客户不能偿还融资款,甚至强行平仓后所得还不足偿还融资款的风险,即客户把损失风险转嫁给证券子公司。还有,证券子公司在动用自己的资金或者证券为投资者融资融券过程中,由于错误判断市场所引起的风险,即股票上涨误判为下跌融出资金,而股票下跌误判为上涨融出股票,也将直接对证券子公司的利润产生负面影响。另外,引入卖空机制后,估值偏高的机构重仓股也会存在下调的风险,抱团取暖的现象将大为减少,这些将增加证券子公司的自营业务难度和风险。
针对融资融券可能的市场风险,证券子公司应建立信用账户预警系统,对客户信用交易帐户的融资买入和质押股票的风险指标进行动态监控,量化融资质押证券强制平仓的预警线和平仓线,并且根据市场趋势调整融资融券的比例。
信托子公司的市场风险管理
2007年3月1日,中国银监会正式颁布实施新修订的《信托公司管理办法》和《信托公司集合资金信托计划管理办法》,同时下发“关于信托公司过渡期有关问题的通知”,这就是业内所谓的信托“新政”。《办法》第二十条规定,信托公司固有业务项下可以开展存放同业、拆放同业、贷款、租赁、投资等业务。投资业务限定为金融类公司股权投资、金融产品投资和自用固定资产投资。目前,信托子公司的自营业务有较大的比重在证券投资上,因此自营业务的实时监测就目前的自营业务的品种而言,反映的主要是证券投资的风险。
对于固有业务项下证券投资的市场风险及管理情况,信托子公司应对因股价、市场汇率、利率及其他价格因素变动而产生和可能产生的风险值进行估算(即证券投资组合的var值),分析上述价格的变化对公司盈利能力和财务状况的影响。对于有些资金信托项目,资金信托计划中承诺通过调整管理费弥补投资者的利息风险,将投资者承受一定的利率风险附带转嫁到信托公司自身上,从而吸引投资者的,信托子公司对这类信托项目的利率风险的估算可采用利率风险var,计算在一定置信水平下,由于基准利率变动导致的管理费用的最大可能损失。
基金子公司的市场风险管理
一般而言,基金投资的实际风险承担者是基金管理公司的客户——基金投资者,而基金管理公司只是受托理财,作为报酬,基金投资者要支付管理费给基金管理公司。因此,从集团层面来看,基金管理资产不纳入集团的市场风险资本限额汇总计算,对基金公司投资组合的市场风险管理主要属于指导建议层面,对其投资的市场风险进行动态测算与评估并给出指导意见。但对有些特殊类型的品种,则应测算其不能保本对基金公司造成的潜在损失,且应对其实施的投资组合保险策略进行严格动态监控。
参考文献:
1 引 言
企业全面风险管理是经济全球化背景下国际大型企业面对日益复杂的外部环境所做出的现实选择。美国世通公司与安然公司丑闻事件、日本住友巨亏事件、英国巴林银行倒闭、中国中航油新加坡公司巨亏事件相继发生后,美国、中国、英国、澳大利亚、日本等国家日益重视企业的全面风险控制。COSO企业风险管理整合框架、萨班斯法案的颁布实施以及中国《中央企业全面风险管理指引》的出台,表明各国政府、监管机构对企业的风险控制能力与防范体系提出了更高的要求。越来越多的国际大公司重视和加强全面风险管理。据普华永道2004年对世界上1400个大中型公司的CEO进行的调查结果看,接近四分之三的企业已经建成或部分建成全面风险管理体系,实施全面风险管理已经成为国际企业风险管理的发展趋势。
中航油巨亏事件发生后,我国中央企业的风险管理问题日益得到各方重视。国资委研究出台了《中央企业全面风险管理指引》,并拟将风险管理纳入中央企业负责人业绩考核指标。
2 企业全面风险管理主流理论框架
国际上主流的风险管理理论框架包括美国COSO的《企业风险管理—整合框架》,我国国资委《中央企业全面风险管理指引》,澳大利亚—新西兰的澳新标准等。
2.1 COSO 企业风险管理框架
COSO是美国反虚假财务报告委员会管理组织,它于2004年9月《企业风险管理—整合框架》,是目前美国上市公司风险管理的参照性标准。该框架的本质是建立一个各方通用的共同语言,为企业风险管理提供清晰的方向和指南。它通过风险组合观点,要求企业管理层必须考虑风险与风险之间如何相互关联,并从业务单元层面和公司内部各个实体层面决定风险组合。该框架包含四个目标(战略、经营、报告和合规目标)和八个相互关联的要素(内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和沟通、监控),并考虑了一个组织内部所有层面的活动(公司层面、职能部门、事业部、分公司等业务单元和子公司)。
2.2 澳新企业风险管理标准
澳新标准是由澳大利亚与新西兰联合标准委员会于2005年9月,澳新标准认为,企业风险管理是一个逻辑和系统的方法,包括建立风险管理基础、风险识别、风险分析、风险评估、风险应对、监督与协商、沟通与评价等,穿插于公司各个业务活动、职能部门和业务流程,使得公司能够达到损失最小化和机遇最大化。
2.3 国资委《中央企业全面风险管理指引》
2006年6月,国务院国有资产监督管理委员会出台《中央企业全面风险管理指引》(以下简称《指引》)。《指引》借鉴了美国COSO内控框架、COSO全面风险管理框架、萨班斯法案、澳大利亚和新西兰联合发表的国家风险管理标准(AS/NZS 4360)、英国风险管理标准、英国公司治理法典、新加坡上市公司治理法规等,又考虑了我国公司治理法规等现有规定和我国企业的实际情况。
归纳起来,《指引》包括了三大部分和八个方面具体内容。三大部分是:风险管理流程、风险管理体系和风险管理文化。其中,风险管理流程包括:风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进;风险管理体系包括风险管理组织体系、风险管理信息系统;风险管理文化包括风险管理文化的目标、内涵和培育方法。这三大部分及其具体内容,共同构成了国资委风险管理指引。
3 国际一流企业全面风险管理现状和经验
风险管理制度是否健全,能否落实到位是关系全面风险管理机制建设目标实现的关键。“中航油事件”、“世通事件”充分体现严格执行风险管理制度的重要性。总结国际企业风险管理经验,主要有以下六个方面经验:
(1)建立完整权威的风险管理组织架构是有效贯彻全面风险管理制度体系的重要保障。许多成功实施全面风险管理的大企业都在董事会下成立了风险管理委员会,由董事长兼任委员会主席。此外,这些公司大多还设立了首席风险官,对风险管理进行集权管理,以增强风险管理机构的权威性。实践表明,建立完整、权威的风险管理组织架构,有利于充分整合和调配企业资源,确保既定的全面风险管理各项制度能够得到有力执行,促进全面风险管理工作得以有效开展。
(2)加强风险管理委员会与审计部门的独立性是实施全面风险管理的基础。国际上成功企业在保障企业全面风险管理体系执行的时候,大都注重风险管理委员会和审计部门的独立性,其风险管理委员会都是在董事会的领导下直接工作,不受公司执行层的影响。这样就能够确保风险管理委员会在整个公司全面风险管理体系中的独立性,以确保能够客观、公正地审视公司的风险。同样,这些公司还注重对全面风险管理体系运作的审计,成立了独立的、由董事会直接领导的审计委员会进行负责,保证了对风险审计的独立性和客观性,保证其能向董事会和风险管理委员会提供独立客观的风险控制改进建议,如意大利的爱迪森集团公司。此外,在这些公司的风险管理委员会和审计委员会中,明确要求引入一定数量的独立董事或外部的风险管理专家和审计专家,以确保对公司风险管理和风险控制的独立性、客观性、科学性。
按照国资委2006年6月的《中央企业全面风险管理指引》,财政部等五部委2008年6月的《企业内部控制基本规范》,笔者所在单位深入开展了全面风险管理,了《全面风险管理报告》、《内控控制管理手册》。然而,在工作实践中,就内部控制与风险管理的认识上有一定的误区,导致对提升内控体系执行的有效性和全面风险管理(以下简称风险管理)水平带来一定的影响。
一、内控控制与风险管理的认识误区
1.认为内部控制与风险管理是相互独立的。认为二者虽有共同点,但是从方式方法手段上看仍有本质的区别;有的认为从管控的目的上看,不完全一致;还有的认为,从企业的业务上看,二者关注的重点不一样,据此认为是相互独立的。
2.内部控制和风险管理的作用被夸大。认为有了内控体系和风险管理体系,企业就可以高枕无忧,希望内部控制和风险管理可以确保企业的成功,确保企业法律法规的遵循性、确保财务报告的可靠性。
3.内部控制和风险管理的重要性被忽略。认为传统的企业管理模式,就可以解决内部控制和风险管理所要达到的目标,而无须另立理论与方法,他们主张应该看到与原有的传统管理模式的差异,应该看到新的管理模式带来的风险和巨大成本。
4.认为内部控制和风险管理体系的建设就是整章建制。认为内部控制和风险管理体系建设,就是建章立制,理解为简单的制度建设。
5.认为内部控制和风险管理理念难于适应企业现状。新的管理理念和技术,与企业原有的管理体系和观点之间存在较在的差距,认为在COSO理念下建立的内部控制和风险管理模式不适合于企业现状。
二、内部控制与风险管理的联系
1.二者的驱动因素是一致的。无论是风险管理还是内部控制,从其在中西方的发展史上我们可以看出,最初的驱动因素在于满足监管要求。随着认识上的不断创新,越来越多的企业认识到内部控制与风险管理的重要性,驱动因素变为首先在于规避风险管理失效会导致难以预计的损失,其次才是为了满足监管要求。
2.二者的主体是一致的。它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观念,指出各方在内控控制或风险管理中应有的角色与职责。
3.二者都是一个“动态的管理过程”。二者的有效性都是在某一时点的一个状态,不能当做某种静态的东西,也不是单独或额外的活动。是一个发现问题、解决问题、发现新问题、解决新问题的不断修正、循环往复的过程,并渗透于企业各项经管理活动中。
4.二者的目标有共同点。都是为企业实现目标提供合理保证。风险管理的目标有四类,其中三类与内控控制相重合,即报告类目标、经营类目标、和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内外的非财务类报告准确可靠。
5.二者的作用是一致的。都是为了防范风险。内部控制的最重要目的之一就是防范风险,没有风险防范这一既重要又明确的目的,内部控制的存在就大打折扣,至少发挥作用的空间会受到极大的限制。
6.二者的组成要素上看,风险管理与内部控制的组成要素有五个方面是重合的,即控制环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别、和风险对策三个要素,增加了战略目标,对内部控制框架进行拓展,把内部控制带到了一个更加宽泛的管理视角。
7.从二者的方法上看,企业的风险普遍存在于生产经营的各个环节,风险信息的取得是实施风险管理的前提,收集不到风险信息,风险管理就无从谈起。而内部控制是通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。这恰好为风险信息的收集提供了极大的方便,可见内部控制是作为风险管理的一种重要手段而存在的。
三、内部控制与风险管理的区别
1.在定义上不一致。在COSO委员会的全面风险管理框架中,把风险定义为“对企业的目标产生负面影响的事件发生的可能性”,将风险与机会区分开来。而在C O S O委员会的内部控制框架中,没有区分风险和机会。
2.在理念上不一致。内部控制解决的是流程问题,包括业务流程、管理流程中的风险控制,解决的是“正确地做事”。而风险管理解决的不仅是流程问题,更要解决战略决策、应急处理;不仅要解决当前问题,更要预测和应对将来可能发生的问题;不仅要解决“正确地做事”,关键要解决“做正确的事”。风险管理把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。而内部控制则是以专业管理制度为基础,实施的遵循性控制活动,它无法防范管理层非理性风险和凌驾于管理制度以上的决策风险。
3.在目标上不一致。风险管理增加了战略目标,这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经目标)的制定过程。显然,风险管理所要实现的目标要远远高于内部控制所要实现的目标。
4.在程序上不一致。全面风险管理包括了风险管理目标和战略的设定、风险评估方法的选择、风险影响程度的制定、风险报告程序等活动。而内部控制负责的是对风险的评估、风险的控制、信息与沟通、监督评价等工作。内控控制不负责战略目标的制定,只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中风险的评估。
5.在环境要求上不一致。企业开展全面风险管理工作是与其他管理工作紧密结合,在综合考虑内部环境和外部环境的情况下,把风险管理的要求融入企业管理和业务流程中。而内部控制则是在内部环境下,根据国家有关法律法规和企业章程,建立的公司治理结构和议事规则。
6.在对策上不一样。风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,这些内容在内部控制中不包含,也是不要求的。
四、如何实施内部控制进行有效的风险管理
古人云:“忧劳兴国,逸豫亡身”、“生于忧患、死于安乐”。小平同志讲:“我们要把工作的基点放在出现较大的风险上,准备好对策。这样,即使出现了大的风险,天也不会塌下来。”古人和伟人都强调了风险管理的重要性。在正确认识内部控制与风险管理的联系与区别的基础上,如何把握“瓶劲”来构建企业全面风险管理体系,是防范风险、管控风险的关键。
1.要创造良好的控制环境。无论是COSO内部控制框架,还是财政部《企业内部控制基本规范》,都强调了内部环境的重要。仔细审视国内外发生的各个风险案例,不管是安然、世通事件,还是中航油事件,都有一个共同的问题,即缺乏有效的风险管理,其根本原因,则是董事会对公司运营风险重视不够、缺乏有效的监督。“风险放在第一位的发展才是科学发展”,“企业家基本职能:预测当前及未来面临的风险”。董事会、管理层的风险管理政策、风险偏好、公司结构、企业文化的价值观直接影响着企业的内部控制与风险管理,因此建立以董事会高度重视的控制环境,是内部控制与风险管理成败的关键。
2.注重建立具有风险意识的企业文化。“没有意识到风险,就是最大的风险”,“没有意料之外,为意料之中做好了准备”,这是企业风险管理的最高境界。内部控制与风险管理最终目的就是要控制风险,避免企业遭受损失。因此,在构建内部控制与风险管理的过程中,应该以风险管理理念为导向。首先,公司董事会、管理层和全体员工必须熟悉企业业务相关的风险,所有员工知晓他们个人职责对企业风险的影响。其次,要关注重大风险。2005年COSO的《企业风险管理-整合框架》要求董事会与管理层将主要精力放在可能产生重大风险的环节上,而不是所有细节的控制上。企业的管理资源是有限的,控制也是需要成本的,如果将主要精力放在所有细小的或微不足道的控制上,就会舍本求末。再次,要深化企业风险管理文化。风险意识是任何风险管理过程的出发点,在有良好的风险意识的团队中,风险在形成或变为重要风险之前,都会被及时识别,及时规避。培训风险意识就需要深化企业风险管理文化。
3.建立责任保障机制。在实践中,一提及内部控制,大家认为就是财务部门的事。企业的内控与风险管理是一个系统工程,其组织体系涵盖企业决策和管理者、风险管理部门、经营系统、内部审计等。企业应在风险管理委员会的领导下,理清体系各要素的部门管理责任,建立“统一管理、分级负责”的管理体制,建立“谁执行谁负责”的责任机制。
建立以“业务主导、部门牵头、审计监督”的职责体系。“业务主导”是指产品研发、市场开发、生产运营、财务管理等业务部门负有内控与风险有效运行的管理责任;“部门牵头”是指内控与风险管理部门统筹管理企业全员、全过程、全方位的风险管理工作,对业务部门负有组织、检查、评价的职能;“审计监督”是指内部审计负责见管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见。
煤炭企业是高风险产业,随着我国社会主义市场经济体制的建立与趋于完善,企业风险也由传统的安全生产风险、财务风险向战略风险、运营风险、法律风险等多领域发展。鉴于煤炭工业面临的诸多风险,国务院国资委于2006年正式了《中央企业全面风险管理指引》,山东省国资委也相应的制定了《山东省省管企业全面风险管理指引》。上述文件的下发实施对于解决煤炭企业存在的全面风险管理具有重要的现实意义,同时也使企业逐步认识全面凤险管理的重要性和迫切性,切实采取行之有效的措施成为大多数煤炭企业的共识。
一、煤炭企业全面风险管理的意义
当今世界经济全球化,对我国企业而言,既带来了新的机遇,又将面临更大的风险。由于很多煤企在实施“战略转移、多元发展”的战略中对风险认识估计不足,出现了一些问题并体会到了深刻教训。煤企要真正实现历史新跨越,确保企业科学发展、和谐发展、又好又快发展,就必须要把研究和加强全面风险管理放在与企业战略发展同等重要的高度,并要作为当前刻不容缓的重要任务来抓,这对于实施全面预算管理,提高预算控制能力,改善预算实施绩效,控制企业经营风险,从而保证企业战略的进一步落实,降低企业经营风险,提升企业管理效率,实现企业价值最大化,具有非常重要的意义。
二、煤炭企业全面风险管理存在的问题
(一)企业领导风险意识薄弱。在企业领导的头脑中认为只要抓好了生产和销售两个环节,那么就没有问题了。只有当风险出现在面前时才被动地进行反思,最后要付出大量人力、物力和财力来应对和处理。在这些方面从来不去作一些防范风险的基础性工作,事故发生再去当合格的“消防员”。时间一长,就会形成恶性循环,对企业的发展是一个巨大的威胁。
(二)风险管理认识存在偏差。所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
内部控制与全面风险管理的差异主要表现在以下几个方面:
1.两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面。
2.两者对风险的对策不一致。全面风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,这些内容都是现行的内部控制框架所不能做到的。
(三)风险管理职能分散。安全生产风险、产品质量风险、市场营销风险、财务风险分别由企业内部对应的部门具体负责,风险管理职能分散,缺少应对的统一有效的全面风险管理的组织协调职能;同时,企业风险管理专门人才严重匮乏,现有的企业风险管理人员综合素质不高,也是开展企业全面风险管理的重要制约因素。
(四)风险管理制度建设不到位。一是制度建设缺乏系统性。有的制度内容简单,有的制度结构设置不尽合理,有的制度彼此之间缺乏相互衔接。二是制度建设缺乏实效性,内容严重滞后、空泛,不能适应形势的新发展也不能紧密结合企业实际提出有针对性的措施。三是制度建设缺乏规范性,存在有章不行、有令不遵的现象。
(五)风险管理组织机构不健全。当前,大多数国有大型煤炭企业开展现代企业制度建设,但是还处于初期阶段,企业仍存在着一定程度的法人治理结构问题,导致各个部门和岗位的人员对其工作职责和工作流程不清晰,风险责任主体不明确,难以形成现代意义上独立的风险管理部门。
三、煤炭企业全面风险管理的实现途径
(一)加强煤炭企业风险管理文化建设,提高企业进行风险管理的自觉主动性。企业文化是企业的灵魂,也是企业在未来的激烈竞争中克敌制胜的法宝。企业应注重建立具有风险意识文化,促进企业风险管理水平,从而保障企业风险管理目标的实现。
1.把风险管理文化建设融入企业文化建设。大力培育和塑造良好的风险管理文化,树立“风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大”等风险管理意识和理念,增强员工的风险管理意识。
2.在企业内部的各个层面营造浓厚的风险管理文化氛围。企业要通过多种形式的宣传和教育,努力传播企业风险管理文化,形成全体员工人人讲道德诚信、企业时时事事依法经营的风险管理文化。
(二)建立企业风险管理工作流程,全面规范企业风险管理工作。1.初始信息收集。实施全面风险管理,企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息。对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。2.风险评估。企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。3.制定风险管理策略。一般情况下,企业对战略、财务、运营和法律风险可采取相应控制。采用风险转移、风险对冲、风险补偿等方法进行理财风险管理。4.提出和实施风险管理解决方案。根据风险管理策略,企业应针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。解决方案制定后,应按照职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。5.风险管理的监督与改进。企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
(三)注重事前防范和事后控制,加强企业风险管理的内部控制制度建设。企业所面临的风险来自两个方面:一是内部管理风险,二是外部经营风险,企业风险主要是指外部经营风险,而企业外部经营风险往往是通过企业内部管理风险起作用。
1.建立健全企业内控制度。主要包括:建立内控岗位授权制度、内控报告制度、内控批准制度、内控责任制度、内控审计检查制度和内控考核评价制度。
2.建立健全企业法律顾问制度。以总法律顾问制度为核心,大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。
3.建立重要岗位权力制衡制度。明确规定不相容职责的分离,主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任。
(四)建立健全高效的企业风险管理组织体系,切实加强对企业风险管理的组织领导。企业建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。
1.建立健全规范的公司法人治理结构。管理层依法履行职责,形成高效运转、有效制衡的监督约束机制。确立董事会在企业全面风险管理中的中心地位,使董事会了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策。
2.明确企业各部门的风险管理职责。企业其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督,执行风险管理基本流程;提出本重大决策、风险、事件和业务流程的判断标准或判断机制;建立健全本职能部门或业务单位的风险管理内部控制子系统。
四、结语
当前,我国煤炭工业面临众多的行业发展风险,特别是煤炭投资热潮逐渐退潮,产能过剩趋势明显及“走出去”到国外占领和开采资源带来的企业外部经营风险,更是国有大型煤炭企业开展和加强企业风险管理的现实依据和直接原因,加强国有大型煤炭企业的全面风险管理,可确保实现企业风险管理的总体目标,尽最大努力降低企业风险,保证企业持续健康稳定发展。
参考文献:
[1]时均通.煤炭企业全面风险管理问题与对策[J].商品与质量:理论研究,2012, (5):145-146.
[2]郑强.煤炭企业风险管理浅析[J].管理观察,2012,(8):86-87.
1.制度层面内部控制中控制活动这个要素是确保行政事业单位风险能够应对和控制的制度和程序,因此内部控制中制度性建设是非常重要的。当前行政事业单位的制度体系并不完善,存在的问题主要有:(1)财务管理制度不健全。表现为单位没有单独制定内部财务管理制度,缺乏明确的财务岗位责任制,无有效的单位内部支出约束机制等,导致了单位财务管理随意性大,财务人员职责不明确,造成了财务管理的失控。(2)资产管理和控制制度薄弱。表现为固定资产在使用过程中缺乏相关的内部控制,会计人员并未像企业那样对资产进行严格的账务管理,“重钱轻物、重购轻管”现象严重,导致资产的账实不符以及资产流失现象严重。(3)预算控制刚性不足。行政事业单位的部门预算制度编制粗糙,没有细化到具体的项目。同时,由于预算之外的追加项目多,使得预算的随意性大,不利于实现预算管理权威性和约束力的功能,也无法发挥预算控制作为内部控制核心环节的作用。
2.环境层面内部环境是内部控制五大要素之首,是实施内部控制的根基。行政事业单位的内部控制环境主要包括:单位的人力资源政策、单位的内部机构设置及权责分配、诚信和价值观念、内部审计机构设置、单位文化等。行政事业单位内部控制环境方面的问题主要有:(1)单位员工尤其是领导层内部控制意识薄弱。缺乏对内部控制知识的了解和掌握,对内部控制在单位管理中的重要性认识不足。(2)行政事业单位的内部组织机构设置不合理、权责分配不清。主要体现在财务会计部门只从事单位的账务处理工作,并没有参与到单位的管理活动和管理决策中。同时,由于行政事业单位存在岗位设置的不合法合理的兼岗现象,不相容职务未能相互分离,从而导致岗位之间的制约和监督力度不足。(3)内部监督机构设置不合理。随着政府对行政事业性收费、罚没收入等财政非税收入实行“收支两条线”的管理方式的开展,以及资金实施国库集中支付、物品购买实施政府采购等制度的实施,行政事业单位领导渐渐将纪检监督等同于内部审计。因此,在内部审计部门设置上也就不再用心,导致内部审计部门虚空,审计人员不具备基本的审计专业水平、对审计单位问题的处理权限不足等问题出现,严重影响了内部审计工作的质量。
3.风险管理层面风险评估是内部控制五要素之一,是实施内部控制的一个重要环节,指单位及时科学的识别和分析单位内部控制目标实现过程中的各种相关风险,并能科学合理地确定应对这些风险的有效策略。行政事业单位风险包含单位组织层面的宏观风险和单位业务层面的微观风险。当前,我国行政事业单位在风险管理方面存在一定的缺失。在组织层面上,由于我国法律法规的不健全以及缺乏有限的制约监督机制,导致我国行政事业面临滥用公共权力和腐败舞弊的风险。与此同时,行政事业单位由于不受市场经济竞争的影响,难以保障公共资金使用的效率性和效果性,使得社会上出现了非法的“寻租”现象,严重浪费了公共资源,造成了经济资源配置的扭曲,不利于我国生产力的健康发展。业务层面上则主要包含预算管理、收支管理、政府采购管理、资产管理、建设项目管理和合同管理中的各种风险,亟待结合行政事业单位具体情况制定详细的针对上述风险的措施。
二、基于全面风险管理的行政事业单位内部控制对策
随着经济全球化的发展,企业在市场竞争中将面对各种各样的风险,如何辨识、评估、监测、控制风险,已成为热点问题。风险管理对于我国绝大多数企业来讲还是个新概念。风险管理是企业管理中一个相对薄弱的环节。风险意识不强。风险管理工作薄弱。是企业发生重大风险事件的重要原因。开展风险管理,既是出资人对企业的要求,也是企业自身参与市场竞争,确保持续、健康、稳定发展的需要。一些专家分析认为,未来几年中,我国的企业必将会掀起一股全面风险管理的高潮。
一、风险管理的起源与发展
“不是要预言未来。而是要为未来作好准备(It is not aboutpredicting the future.but about being prepared for it)”。公元前500年古希腊政治家伯利克利的这句话应该是最早提出的有关风险的概念。
风险管理从19世纪30年代开始萌芽,最早起源于美国。1938年以后,美国企业对风险管理开始采用科学的方法。并逐步积累了丰富的经验。19世纪50年代风险管理发展成为一门学科。风险管理一词才形成。
19世纪70年代以后逐渐掀起了全球性的风险管理运动风潮,随着企业面临的风险复杂多样和风险费用的增加,法国从美国引进了风险管理并在法国国内传播开来。与法国同时。日本也开始了风险管理研究。
近20年来,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1 983年在美国召开的风险和保险管理协会年会上。世界各国专家学者在纽约共同讨论并通过了“101条风险管理准则”,标志着风险管理已进入了一个新的发展阶段。
1986年,由欧洲11个国家共同成立的“欧洲风险研究会”,将风险研究扩大到国际交流的范围。1986年10月,风险管理国际学术讨论会在新加坡召开。风险管理由环大西洋地区向亚洲太平洋地区发展。
中国对风险管理的研究始于1980年。一些学者将风险管理理论引入中国。2005年以来,中国证监会、沪深证券交易所和国资委分别针对上市公司和中央企业。出台了多部法规。要求建立健全公司内部控制制度,尽早确立风险管理长效机制。2006年6月6日。国务院国有资产监督管理委员会制定下发了《中央企业全面风险管理指引》,要求中央企业主动建立企业全面风险管理体系。李荣融主任特别强调:“企业最大的本事就是化解风险”。这标志着我国国有企业全面风险管理的时代已经来临。
二、企业建立全面风险管理体系的必要性
(一)中国企业风险管理面临的许多问题需要我们建立健全全面风险管理体系
1 缺乏正确的风险理念。风险理念是指对风险的态度和认识。风险理念应该与企业所处的内外部环境、企业的资源状况以及企业战略相适应,应该有助于企业战略目标的实现。正确的风险理念既不是对风险的刻意回避,也不是片面为高回报而刻意追求;既不是对风险视而不见,也不是对风险过分强调。
2 有待于从战略高度认识风险管理的必要性。中国企业对风险管理的认识大都停留在职能管理的层次上,风险管理缺乏必要的高度,也没有得到企业高层的必要关注。
3 缺乏系统性风险管理手段。中国企业的风险管理缺乏风险分析和度量手段,缺少专门化的风险管理工具,往往按职能被切分到财务、运营、市场、法律等多个层面,缺乏全局性的整合框架和主线。
4 全面风险管理还未渗透到组织和流程的各个层面。组织的风险理念往往缺乏清晰的表达和内部贯彻,并没有为大多数员工理解和认同,也无法落实到具体的日常工作中。
(二)国内外大公司各类重大风险事件频发为我们敲响了必须建立全面风险管理体系的警钟
如果企业未建立风险管理机制或企业的风险管理失效。将会在某种程度上毁灭股东价值甚至社会价值,将会面临丢失客户、丧失信誉、丢失合作伙伴、营业中断或直接导致破产等风险,国内外许多著名的企业已为我们敲响了警钟。
1 因运营风险而破产的巴林银行。巴林银行(Banings Bank)创建于1793年,在上世纪90年代前是英国最大的银行之一。1995年2月27日,英国中央银行突然宣布:巴林银行不得继续从事交易活动并将申请资产清理。这意味着具有233年历史、在全球范围内掌管270多亿英镑的英国巴林银行宣告破产。
让我们看一看这座曾经在金融市场上耀眼辉煌的金字塔是怎样顷刻倒塌的:1995年,当时担任巴林银行新加坡期货公司执行经理的里森,同时身兼首席交易员和清算主管两职。有一次,他手下的一个交易员因操作失误亏损了6万英镑,当里森知道后,因为害怕事情暴露影响他的前程,便决定动用88888“错误账户”。而所谓的“锚误账户”,是指银行对客户交易过程中可能发生的经纪业务错误进行核算的账户。以后,他一再动用“错误账户”,使银行账户上显示的均是赢利交易。随着时间的推移。备用账户使用后的恶性循环使公司的损失越来越大。此时的里森为了挽回损失,竟不惜最后一搏,在日本神户大地震中。多头建仓,最后造成损失超过10亿美元。这笔数字,是巴林银行全部资本及储备金的1.2倍,233年历史的老店就这样顷刻瓦解了。
巴林银行的破产是由于缺乏足够的职责划分和上级对下级从事业务的监控机制。公司巨大的运营风险导致了其最后的失败。
2 因战略风险而倒闭的日本八百伴公司。八百伴公司创业于1930年。八百伴起初是在静冈县热海市开办的蔬菜水果店。经过30多年的奋斗,小商店有了相当大的发展。1962年正式更改店名为八百伴百货店。从此,八百伴大举拓展海内外事业,开始增辟生产线。兼营家庭生活用品和服装。并先后在巴西、新加坡、香港、上海、英国、美国建立了一系列分号。掀起一股流通业国际化的浪潮,逐步发展成为一个拥有236亿日元资本、42家日本国内骨干店铺、26家海外超市的连锁企业。
1997年9月18日。八百伴日本公司向公司所在地的日本静冈县地方法院提出公司更生法的申请,这一行动。实际上等于向社会宣布了该公司的破产。是什么给这个被称为企业发展奇迹的八百伴带来如此厄运的呢?比较一致的看法是。是由于错误的战略定位。犯了盲目投资的错误,低估了经营非核心业务(如地产、饮食、娱乐)的风险以及开拓新兴市场的风险。八百伴在日本国内根基不深,却一味强调实施全球战略,在国外开拓过头。八百伴“没有一个把什么货卖给什么人的明确的经营战略”。八百伴原本是一个地方超市集团。但在向海外进军的进程中,时而以日侨为
对象,时而又转向当地人。八百伴不仅不断改变销售对象,而且还不断改变经营手法。错误的战略定位最终使八百伴宣告破产,成为日本战后最大的一宗企业破产案。
3 风险管理失效的中航油新加坡有限公司。中航油新加坡有限公司是中国航油集团公司的海外控股子公司,其总裁陈久霖兼任集团公司副总经理。经国家有关部门批准,新加坡公司在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。在此期间,陈久霖擅自扩大业务范围。从事石油衍生品期权交易。陈久霖买了“看跌”期权。没想到国际油价一路攀升,新加坡公司所持石油衍生品盘位已远远超过预期价格。导致新加坡公司现金流量枯竭,最后关闭的仓位账面实际损失和潜在损失总计约5.54亿美元。
新加坡公司从事的石油期权投机是我国政府明令禁止的,而且新加坡公司也成立有风险委员会。制定了风险管理手册。手册明确规定,损失超过500万美元,必须报告董事会。但陈久霖从来不报,集团公司也没有制衡的办法。2004年6月。陈久霖还在新加坡公开表示,新加坡公司只负责帮助客户采购,佣金收入相对稳定。风险很低,不会受到油价高低的影响,具体期货操作在新加坡公司严格的风险管理系统总体控制之下,不存在较大风险。然而。风险管理体制事实上形同虚设,风险管理薄弱甚至最终失控。未能发挥其应有的效应,才导致了最后的结果。
除此之外,美国《财富》500强排名第七名的安然公司和前百名的世通公司相继发生的财务丑闻,是财务风险控制失败的典型案例;香港百富勤公司没有充分认识到新兴金融市场的风险。低估利率和汇率波动的风险。大量投资印尼和泰国市场,在亚洲金融风暴冲击下因资金链断裂而破产,是市场风险控制失败的典型案例。还有西门子贿赂案,国内的广东佛山市利达玩具有限公司出口玩具被召回、老板上吊自杀等等,一件件风险管理缺失或失效而导致失败的案例为我们敲响了警钟。
(三)国内外大公司风险管理水平的不断提高促使我们必须建立健全全面风险管理体系
据普华永道2004年初对世界上1400个大中型公司的CEO进行的调查,其中38%的CEO声称本公司已经建成完整的全面风险管理体系,35%已经部分建成全面风险管理体系。16%正在计划实施全面风险管理体系,只有10%表示正在研究全面风险管理体系或尚无建设全面风险管理体系的计划。
随着国内监管部门和国际组织对企业的监管力度的不断加强,要想在国际交流与竞争中站稳脚跟。要求企业必须建立健全全面风险管理体系。
(四)国家和国际组织出台的相关规定促进我们要建立全面风险管理体系
2006年7月15日。美国出台了《2002年公众公司会计改革和投资者保护法案》(即萨班斯―奥克斯利法案)。该法案明确规定,上市公司必须在年报中披露基于风险管理的内部控制体系的建设情况,并聘请专业机构对内部控制体系的合理性、完善性发表评价意见,这一法案可视为对企业开展全面风险管理内部控制工作的第一部强制性的法律条文。也正是这一方案的颁布。使全面风险管理成为理论界和实务界关注的焦点。
2005年以来。中国证监会、沪深证券交易所和国资委分别针对上市公司和中央企业,出台了多部法规。要求建立健全公司内部控制制度,尽早确立风险管理长效机制。2006年6月,国资委《中央企业全面风险管理指引》。2007年3月。财政部了《企业内部控制标准体系征求意见稿》,2007年6月、9月,沪深证券交易所《上市公司内部控制指引》。2007年6月,国务院《上市公司监督管理条例征求意见稿》,一系列的相关规定表明中国的全面风险管理体系框架已具雏形,中国企业必须建立与之相适应的全面风险管理体系。
三、如何构建有效的全面风险管理体系
(一)建立全面风险管理组织体系,明确全面风险管理责任框架
应明确全面风险管理职能部门,并成立由企业管理部门、财务部门、内部审计部门、法律事务部门以及其他有关职能部门、业务单位的组织领导机构,并明确各自的职责,以推进组织全面风险管理体系的建设。
(二)建立健全全面风险管理信息系统、风险评估系统
企业应广泛、持续不断地收集与本企业战略风险、财务风险、运营风险、市场风险、法律风险等和风险管理相关的内部、外部初始信息。针对收集的风险初始信息。围绕公司战略目标,在公司层面全面辨识风险事件,对风险进行多维度分析,按照统一标准。对所有风险进行综合评价。
(三)明确公司风险管理策略
作为由企业集团组建,立足于集团、服务于集团的非银行金融机构,企业集团财务公司担负着整合集团内部资金、为成员单位提供融资、促进产业结构和产品结构调整、支持企业发展的责任。在企业集团快速扩张、对资金需求不断增加的形势下,财务公司的风险管理面临着前所未有的考验。建立科学高效的风险管理体系、提高财务公司风险管理水平是财务公司防范金融风险、稳健经营和可持续发展的基础和保障,同时也是金融监管的迫切要求。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
对财务公司而言,全面风险管理指的是董事会、高级管理层和所有员工各自履行相应的职责,有效控制涵盖整个公司各个业务层次的全部风险,进而为公司各项目标的实现提供合理保证的过程。构建财务公司的全面风险管理体系应包括五大模块:完善的组织架构、健康的内部环境和风险管理文化、科学的信息传递与风险管理流程、符合监管要求的审慎的资本管理、独立有效的内部控制和内部审计。
一、构建适合财务公司特点的风险管理组织架构
全面风险管理的主要特点是在公司内部设立风险管理委员会,下设风险管理部门,对日常的经营活动中所产生的风险进行管理和上报,公司的最高管理层对风险管理起决定性作用,承担最终责任。
财务公司根据自身的特点一般应设立董事会及其专门委员会、监事会、高级管理层、风险管理部门等风险管理机构。
董事会是最高风险管理和决策机构,承担风险管理的最终责任,负责审批风险管理的战略、政策和程序,确定可以承受的风险水平,督促和评价高级管理层在风险管理方面的履职情况。董事会通常还应指派风险管理委员会负责拟定具体的风险管理政策和指导原则,风险管理委员会最终形成的风险管理文件提交董事会批准。
监事会负责风险的各种监督监察工作,全面了解公司的风险管理状况,跟踪监督董事会和高管层为完善内部控制所做的相关工作,检查调研日常经营活动中是否存在违反公司风险管理政策和原则的行为。
高级管理层负责执行风险管理政策,制定风险管理的程序和操作规程,及时了解风险管理状况,确保配备足够的人力、物力和恰当的组织结构、管理信息系统以及技术水平来识别、计量、监测和控制各种风险。
财务公司应当为全面风险管理设立与公司的经营规模、风险状况相适应的风险管理部门。要保证它的相对独立,要有高管层的大力支持,配备具有高度责任心和风险管理技能的专业人员。
二、培育全员参与的风险管理文化
财务公司应注重风险管理文化的培植,积极倡导和强化风险意识,树立全方位的先进的风险管理理念,建立风险绩效考核,培养公司所有人员的风险敏感度,把风险管理提升到战略高度融入到公司的经营管理中。
当前先进的管理理念主要包括:以资本管理为核心;风险管理目标与业务发展目标统一;风险管理覆盖公司所有业务所有环节中的一切风险,实行“业务发展,风险先行“;风险管理独立权威;分散与集中结合,注重沟通交流等。
三、建立科学高效的风险管理流程
财务公司风险管理流程主要包括风险识别、风险计量、风险监测和报告、风险控制、风险处置与补偿。
目前财务公司的业务范围主要是在企业集团内部吸收成员单位存款,为成员单位提供结算服务,向成员单位发放贷款,提供票据承兑和贴现业务,办理委托业务等。基于此,财务公司面临的风险主要有流动性风险、操作风险、信用风险等。同时,由于财务公司受着银监会、人民银行、证监会等多个部门、多个层次的政策法规的监管,因此财务公司还要重视合规风险的管理,在进行风险管理时应综合考虑合规风险与其他风险的关联性。
财务公司一方面要依据监管机构的风险评价体系,对自身的资产状况、资产质量、管理水平、盈利性与流动性能力及市场敏感度等进行监测,同时也要对自身的风险如客户的信用状况进行分析和评价。目前财务公司的风险计量大多采用各种指标分析法、传统专家判断法等,近年来,对各种风险进行压力测试也是一种新的风险度量方法,受到了越来越多金融机构的重视。对风险的监测一般主要包括两个方面的工作,一是跟踪已识别风险的变化发展情况;二是根据风险变化及时调整风险应对措施,建立风险预警机制。
财务公司对风险的应对策略主要有风险规避、风险预防、风险分散、风险转移。在选择这些风险应对策略时要充分考虑财务公司自身的性质特点、对不同风险的承受能力以及风险管理的成本效益等因素,以达到最佳的风险控制和管理效果。
四、同时满足外部监管和内部管理需要的资本管理
资本是财务公司开展经营活动的前提和基础,是防范金融风险的最后一道防线。无论从外部监管和内部防范流动性风险来看,保持充足的资本都是财务公司安全运营的需要。财务公司应按照中国银监会的《商业银行资本充足率管理办法》(按规定财务公司比照执行)等一系列政策法规的要求,并结合自身经营规模、企业集团的行业特点和资金运动规律,运用科学的计算方法,制定并保持合理的资本充足率水平,提高资产质量、优化资源配置,充分防范流动性风险。
中图分类号: F832.33 文献标识码: A文章编号: 1006-1770(2008)011-039-03
一、问题的提出
本世纪以来,在巴塞尔、发起组织委员会和国际会计准则委员会三大委员会的强力推动之下,商业银行全面风险管理方兴未艾,一些顶尖金融机构着手搭建符合全面风险管理体系要求的组织架构,即以首席风险管为核心,具有集中统一、独立垂直的特征。近年来,随着我国商业银行的体制改革、管理转型以及海外上市,全面风险管理理念逐渐传入我国,部分银行明确提出了建设全面风险管理体系的战略目标,并把建立职责清晰、分工明确的组织架构作为基础设施来加以推进。与此相关的一个基本问题是:我国商业银行应当选择什么样的组织模式,才能有效推进全面风险管理呢?
全盘照搬发达市场先进银行最佳实践显然是不合适的。那或许是我们未来的目标模式,但不可能追求一步到位。我国商业银行必须从当前现实出发,寻找全面风险管理的实现路径。
在长期计划经济体制乃至向市场经济转轨初期,我国的银行业用不着、也谈不上真正的风险管理,这直接导致了目前我国商业银行风险管理基础普遍比较薄弱,大多数商业银行成立风险管理部门也不过最近三五年的事。这种近乎空白的零起点决定了我们不可能直接采用高度集权、高度集中的模式。以区域分支机构为利润中心的组织体制以及非常有限的风险管理工具也不能支撑这种模式。其他一些金融机构采用的事业部或者网络型模式更是离我们太远。
笔者认为,当前我国商业银行可以借鉴成熟的矩阵结构,以加快建设总行风险管理部为契机,以各业务单位内设风险管控机构为依托,建立并理顺两者之间的政策传导、责任路线和报告关系,形成所谓的“大-小”模式。这种模式兼具集中性、控制力、有效性和灵活性,是当前我国商业银行实施全面风险管理的现实选择,也是未来走向集中统一、垂直独立的风险管理体制的过渡模式。
二、“大-小”的框架:“1+3”大拇指结构
对于一家综合经营的商业银行集团而言,“大―小”全面风险管理模式的基本框架简单图示如下:
图中,所谓“大”,是指商业银行总部的风险管理部。在首席风险官的直接领导下,大负责牵头落实整个集团全面风险管理,包括执行监管机构出台的风险指引、董事会批准的风险偏好和高级管理层确定的风险政策,制定基本的风险管理制度并检查制度执行情况,审大风险应急处置预案,评价考核各单位风险管理成效,评估总体风险状况并提出改进建议,统一负责对内、对上报告和对外披露风险管理情况。
所谓“小”,是指商业银行各业务单元、分支机构或子公司内设的负责管理本单位具体风险事务,并与总行风险管理大进行对口联络的机构。根据设立小的单位性质不同,小具体可以分为三种类型,分别代表大风险管理职能在三个维度的延伸。
一是地区小,指在商业银行境内外各省直分行设立的风险管理部,负责综合管理本行范围内的信用、操作、市场和合规风险,包括资产质量日常监控。这是风险管理大职能向各个地域的延伸。集团拥有的境内地区性子行或海外地区性子行,如果主要从事商业银行业务,其风险管理部也可视为地区小。
二是条线小,指在商业银行总部各条线管理部门内设立的某个机构,负责管理本业务条线有关各类风险的各种事务。这是风险管理大职能向业务条线的延伸。条线小的具体实现形式可以是一级部或二级部,或者是若干岗位。比如总行授信管理部可以视作公司信贷业务条线小,零售信贷部、个人业务部、会计结算部、金融市场部、资产负债部、信用卡中心、信息科技部等则一般设有专门的二级部作为风险管理小。
三是行业小,指在从事非银行金融业务的各个子公司内设立的风险管理部,负责综合管理本公司范围的信用、市场、操作和合规风险。比如基金公司、租赁公司、信托公司、保险公司、证券公司等,都应在内部设立风险管理部。这是风险管理大职能跨越银行向其他行业延伸,因此要特别注意适应本行业特征和监管要求。
从集团首席执行官开始,通过首席风险官,各类风险管理指令通过大传达到各个小;反过来,各类风险管理信息从各个小,通过大汇集之后报送到首席风险官和首席执行官。各业务单位分管风险的负责人向上可以直接接受来自首席风险官的指令以及来自下属小的报告,也可向下通过小、大与首席风险官保持间接联络。通过这种双向的风险管理责任线和信息流,就把首席执行官、首席风险官和一个大、三类小以及各单位分管负责人连接成一个有机整体,可以形象地称之为“1+3”大拇指结构。
三、“大-小”模式的应用:以市场风险为例
以市场风险为例,换个视角来理解 “大―小”模式。除大外,市场风险还涉及多个部门小和地区小。这里采用的是广义市场风险,包括交易账户和银行账户的利率、汇率风险以及流动性风险。
自上而下从业务视角看,市场风险分为三类,即流动性风险、投资交易风险和资产负债错配风险,分别由资产负债部下设的司库和金融市场部内设的交易监控部两个小负责日常管理。各境内外分行、子行小通过资金转移定价与总部司库进行利率风险交换,将全行利率风险暴露集中到总行。然后,司库通过利率互换将资金及时转移到交易部门进行统一集中的市场风险管理。
自下而上从驱动因素看,市场风险分为五类,即流动性风险、股票价格风险、商品价格风险、利率风险和汇率风险,由总部风险管理大负责统筹,侧重基础设施建设、基本政策制定、工作统筹协调、风险分析报告和管理监督检查等职能,发挥统筹、支撑、协助市场风险管理小的作用。
四、“大-小”模式的特征
对我国商业银行而言,“大―小”模式既满足银监会市场风险管理指引和巴塞尔新资本协议要求,又符合全面风险管理的基本要义。其主要特点:一是以集约、矩阵、双向为特征,可以使风险管理指令和风险信息报告的路线比较清晰顺畅,符合我国现阶段绝大多数商业银行内部架构和管理实际;二是通过在地区、条线和子公司各个业务单位设立小,可以使日常风险管理更贴近前台业务实际,也能发挥各专业管理的优势和现场决策的效率,避免以牺牲效率为代价进行全面风险管理,并有助于贯彻“风险管理人人有责”的理念;三是大承担各类风险的综合管理职能,有利于保持集团层面风险管理的统一性,有利于把握总体风险,落实整体战略,有利于通过资源共享、经验转移和系统共享获得管理协同效应。
如果把全面风险管理体系看作一个防范风险的立体阵营,小就是处在风险直接发源地即业务管理经营单位身后的第二道防线,而大则是为其提供基础设施和服务支持的第三道防线。在大的背后是审计部作为第四道防线。
实践中,推行“大―小”模式还需解决一些难题,包括如何厘清大与各小的职责边界、大是否参与小的绩效考核、如何保护小的相对独立性和工作积极性等。更重要的是,要通过积极宣传讲解,让相关部门和人员正确理解“大-小”模式的含义,认识到其合理性和现实性,有助于其风险管理和价值实现,从而变成自觉行动。
当前,要特别注意防止和纠正以下可能出现的各种误区,比如:认为既然设立了大,就应该把所有风险交给他们去管理;大将要收编、领导或者替代小;大就是“二传手”,只负责简单的统计汇总和上传下达,不需实质性介入风险管理事务等;小只负责管理信用、市场、操作或合规中的某一种风险。
事实上,“大”、“小”只是一种形象说法,并不意味着大小包含或者上下隶属关系。只有合理分配好大与各小的职责关系,才能有效推进全面风险管理。职责分配不应“一刀切”,可根据单位种类、风险类型和管理能力,在介入方式和介入程度上体现差别化。比如大对信用风险精细管理,对合规风险可能介入不深;对境内分行风险管理进行直接控制,对境外子公司则通过董事会施加影响。各个小负责的是本单位可能涉及的各类风险,当然应把重点放在本单位的主要风险上。比如授信管理部小主要负责信用风险,但也会涉及合规、操作和市场风险;金融市场部小主要负责市场风险,但也会涉及信用风险和操作风险。
五、结论与启示
在我国商业银行风险管理从零散、分割的现状迈向以高度集中和垂直为特征的国际最佳实践的漫漫征途中,“大-小”模式可能是一种比较理想的现实选择。这种模式有助于商业银行借助监管压力,推动全面风险管理体系建设,值得商业银行大胆尝试,积极探索,通过实践不断完善这种模式。为稳妥起见,运行初期,小应向主管上级实线报告,向大虚线报告的模式;在时机成熟之后,可以逐步调整为大实线报告、向本单位负责人虚线报告的模式,并强化风险管理机构和人员的独立性,由上级官风险管理部门负责其职务任命、绩效考核和升迁调动,从而最终实现更加先进的全面风险管理目标模式。
参考文献:
1、刘巴曙松“推动现代风险管理的三大国际力量比较研究” 《中国科技论坛》2008年第7期
2、詹姆斯・林.企业全面风险管理――从激励到控制.中国金融出版社.2006,3
3、 张吉光,梁晓.商业银行全面风险管理.立信会计出版社.2006,4
4、陈四清.商业银行风险管理通论.中国金融出版社.2006,8
5、李明辉.论企业风险管理组织架构的设计. 科学学与科学技术管理.2008,1
6、司武伦.我国国有商业银行风险管理体系的构建.安徽工业大学学报.2007,9
一、引言
2o06年12月l1日,按照“人世”承诺,五年过渡期结束,中国银行业全面对外开放,中外银行之间的竞争将更加剧烈。而风险管理能力是商业银行的核心竞争力之一,一些国际活跃银行之所以几十年甚至上百年长盛不衰,是因为这些银行在风险管理上积累了丰富经验,特别是它们的风险管理组织结构随着竞争环境的变化而不断变革,为风险管理奠定了牢固的基石。而国内银行业的风险管理组织结构,和国际一流银行相比,差距明显,尚存在很多问题。银行风险管理组织结构的落后将带来竞争上的明显劣势,因为,落后的风险管理组织结构带来的是风险管理手段的落后,而风险的失控对银行的发展无疑是致命的。因此,适应外部环境的变化,设计一个健全、有效的风险管理组织结构,对商业银行有效管理面临的各类风险,持续地提升风险管理能力和核心竞争力具有重要意义。
然而,国内关于商业银行风险管理组织结构的研究文献却相当缺乏,直到近几年才陆续有文章发表。但这些文献有的只针对管理某一类风险的组织结构进行研究分析,缺乏全面风险管理的视角f李志刚,2003;蒋东明等,20o4;贾晓菁,2005;黄明喜,2005;刘永兵,2006);有的虽然着眼于整个银行的风险管理组织结构构建,却主要是从实务角度出发,缺乏应有的理论基础(王雪梅,2005;李正旺等,2005)。本文基于权变理论的研究视角,对构建我国商业银行风险管理的组织结构进行了探索以期能为我国商业银行组织结构变革提供借鉴。
二、权变理论概述
权变理论产生于20世纪60—70年代的美国,强调权变的理论和方法,即强调随机应变之意。权变理论的基本观点是有效组织的设计取决于环境的特性。洛什在6o年代首次提出权变方法(Conitngency-Approach),其核心观点认为在企业管理中要依据企业所处内外环境随机应变,而不存在“普遍适用、一成不变或最好的”管理理论和方法。代表人物之一卢森斯指出权变关系是两个或两个以上的变数所对应的一种“IF—THEN”函数关系。在具体的管理实践中,环境是自变量变数,如组织外部的社会经济条件、内部环境等,对应“IF”;而管理的模式、手段、技术,则是相应环境下的因变量变数,即“THEN”。特定的管理情境对应不同的管理方法,并且后者的有效性随前者的不同而变化。不存在既适应于特定环境而又能普遍应用于各种环境的最佳方法。
根据权变理论,组织结构按内外环境的特点来设计,可分成不同的结构模式。伍德沃德在其著作中指出,每种有类似目的和工艺技术的生产系统,都有其独特的组织模式和管理原则。伯恩斯和斯托克的研究认为:企业按照目标、任务、工艺和外部环境可分为“稳定型”和“适应型”两大基本类型。前者适宜采用“机械式”的组织形式——强调严格的组织规范、明确的任务、与权力对等的责任。后者则应采用强调权宜应变、系统内部的相互关系、技能和经验的“有机式”组织形式。洛什和劳伦斯在前任研究基础上提出分类法,强调外界环境影响,用“分化”来表示一个企业适应于外部环境而划分为各个小单位的程度,“综合”或“整体化”来表示协作和管理的统一。比较而言,整体化程度(集权程度)适应于外部环境的企业往往较为成功。赫尔瑞格和斯洛坎则进一步按市场变化、工艺、产品特性等条件将集权程度分为四种模式:事业部制、矩阵结构模式、直线职能结构以及总店控制式。权变理论强调,在进行组织和管理时不存在一个最好的方法。分权并不一定比集权好;官僚机构也并不都坏;明确清楚的目标也不是总好;民主参与式的领导风格也可能不适合于某些环境;而严格的控制在某些时候也可能是适宜的。总而言之,这完全取决于很多相互作用的内部和外部的变量。管理的形式和方法必须根据组织的外部环境和内部条件的具体情况而灵活选用,并随着环境和条件的发展变化而随机应变。权变理论的最终目标是提出最适合于具体情景的组织设计和管理活动。在一种环境条件下所运行的组织运作模式可能不适合另一种环境条件,不存在一个最佳的模式。
权变理论对商业银行组织设计的意义非常大。现代商业银行面l临的是一个迅速变化的外部环境,市场的风云变幻会迅速地影响客户的行为抉择,银行的经营方略必须不断调整,以顺应外部环境的变化,这就要求银行的组织结构设计应符合这一基本要求。
三、基于权变理论的商业银行风险管理组织结构设计
(一)主要的环境影响因素
银行环境指的是存在于银行边界之外的并对银行具有潜在的或部分影响的所有因素,是环境中对银行敏感的和必须对生存做出反应的某些方面。近些年来,随着我国金融乃至整个经济体系市场化和国际化程度的不断加深,我国商业银行风险管理所面临的环境正在发生着深刻的变化,主要表现在市场环境的变化和监管环境的变化。
1.市场环境变化。市场环境变化包括市场风险环境变化和市场竞争环境变化两个方面。首先,从市场风险环境角度看,近年来,构成金融机构风险环境的三大风险变量——利率、汇率和股票价格已实现或基本实现了市场化,其波动性和对金融机构的影响正在发生很大变化。其次,从市场竞争环境角度看,20o6年WTO过渡期结束后,我国银行业全面开放,由此而带来的国际竞争使得我国金融机构经营环境的风险更大。这一方面是由于竞争必然导致市场创新,而创新又必然伴随着更大的风险。另一方面,由于产品创新和风险管理方面的显著差距,我国金融机构可能在国际竞争中处于劣势,从而被迫进入市场中风险较大的一些领域,尤其是风险承担难以得到充分回报的那部分市场,因而风险环境可能更加恶化。
2.监管环境变化。自2O世纪9O年代中期以来,风险监管成为西方各发达国家金融业监管的主流,主要表现在风险资本监管和风险监督检查两个方面。前者是基于资本约束风险承担和业务扩展的基本功能,以敏感反映金融机构风险承担和风险管理水平的监管资本要求来促进金融机构加强风险管理;后者则对金融机构识别、衡量、控制和检测风险的整个风险流程和组织架构提出监管要求并进行持续的监管检查。风险监管的发展突出反映在2004年出台的“巴塞尔新资本协议”中。新协议使得“巴塞尔协议”作为风险的国际协议得到了进一步强化,它通过提高监管资本要求对银行风险的敏感性,并利用内部激励、监管检查和市场约束三种力量来促进银行加强风险管理。新协议覆盖了金融机构所面临的主要风险,反映了国际金融领域全面风险管理发展的需要。新协议首次将包括法律风险在内的由人员、系统和业务流程以及外部事件引致的操作风险纳入到资本要求框架,使得资本协议所覆盖的风险范围由1988年的信用风险和1996年的交易账户市场风险进一步扩展到金融机构全面风险。尽管我国宣布暂不实施新协议,但新协议毕竟是国际金融市场上重要的游戏规则,只要我们继续参与经济全球化进程和国际竞争,就不可避免地要受到它的影响,甚至制约,在银行业全面开放的环境中更是如此。
总之,当前对我国商业银行风险管理组织影响最大的环境因素是WTO过渡期已经结束,中外银行竞争渐趋白热化以及《巴塞尔新资本协议》所代表的更加严格的国际银行业监管。基于这些环境因素的影响,我们认为,我国商业银行风险管理组织结构的设计应充分借鉴国际上先进的风险管理组织结构经验,并适当参考巴塞尔委员会关于风险管理组织结构问题的有关规定,只有这样才能为风险管理构建牢固的基石,尽快缩小与国际活跃银行在风险管理方面的差距,以期与外资银行在竞争中一决高低。
(二)国际经验借鉴
根据组织设计理论,组织结构的整体设计包括三方面内容:需要完成的工作活动、报告关系、部门组合。一是规定的工作活动。设立部门的目的是为了完成对组织有战略意义的任务。为了完成组织认为对其实现目标有价值的任务,往往需要设立特定的部门。二是报告关系。通常也称作指挥链,是一条连续的权力线,它将组织中所有的成员连接起来,并显示谁应该向哪位主管报告工作。三是部门组合方式。部门组合的方式包括职能型、事业部型、矩阵型、横向型以及网络型结构等,每种类型的结构都适用于不同的情景条件,满足不同的需要,都是帮助管理者改进组织效果的一种工具,其有效性如何取决于特定情景条件的要求。下面我们将通过分析巴塞尔委员会和全球风险专业人员协会(GARP)和关于风险管理组织结构的模型或规定,得到一些有益的启示,供我国商业银行借鉴。
1.巴塞尔委员会关于风险管理组织结构问题的相关规定。
巴塞尔委员会对风险管理组织结构的规定散落于委员会出台的几个文件之中,如1997年9月《利率风险管理规则》等,见表1.
经过分析可以发现,巴塞尔委员会关于风险管理组织结构的有关规定侧重于操作层面,它把风险管理组织看作一个由不同子系统组成的有机系统,而每一个相关部门只是这个有机系统中的节点。因而,一个风险管理组织的有效与否既取决于每一个节点的正常运作,又取决于整个有机系统的健康运行。具体来看,有以下几点值得我们借鉴。
(1)强调职责清晰、权责明确。委员会特别强调要在银行内部建立起一个职责清晰、权责明确的风险管理机制。这既包括董事会与高级管理层之间的明确权责分工,又包括具体的风险管理部门、业务部门、监督部门独立的、明确的职责规定。在强调清晰的职责的同时,巴塞尔委员会还强调董事会、高级管理层和审计机构之间要进行充分的交流与合作。
(2)强调风险管理的系统性。委员会将有效的风险管理组织看作一个由决策系统、信息系统、执行系统和监督系统组成的有机体系。风险管理组织结构完善与否就在很大程度上取决于它所包含的各个子系统是否健全和有效运作。任何一个子系统的失灵都有可能导致整个管理框架的失效。
(3)强调银行内部充分而有效的信息流动。委员会特别强调要建立一个完善的信息系统,进而在银行内部形成一个有效的信息沟通渠道——包括信息上报、信息下达以及内部信息的横向流动。一个正确的风险战略的出台在很大程度上依赖于其所能获得的信息是否充分。而风险战略能否被正确执行则受制于银行内部是否有一个充分的信息沟通渠道。对于审计监督部门来讲,没有充分的信息就不能对风险管理部门的成效进行准确评估,很难找出其存在的缺陷和不足。有效的信息沟通可以确保所有的工作人员都能充分理解其工作职责与责任,并保证相关信息能够传递给适当的工作人员,从而使风险管理的各个环节正常运行。银行内部信息的顺畅流通在很大程度上取决于银行信息系统是否完善。因而,从某种意义上来讲,信息系统是有效风险管理框架的基础和前提。
(4)强调对风险管理进行必要的监督。委员会认为银行业是一个动态的、快速变化的行业,银行面临的风险也是不断变化的,因此,银行必须不断改进风险管理体系以保持其有效性而这就需要银行根据不断变动的内部和外部环境对风险管理进行持续的监督和评估。鉴于此,委员会突出强调银行内部应建立一个独立的第三方来对风险管理进行评价和监督,以确保风险管理战略得到贯彻落实,并对风险管理的成效作出独立的评估。’
2.GARP关于风险管理组织结构的模型及启示。风险管理的组织模型是风险管理基础中的基础。GARP在对传统的风险管理组织模型进行分析后,提出了一个改进模型(见图1)。
GARP推崇的风险管理组织模型特别强调四个方面的要求。第一,强调了董事会在风险管理中的突出地位和重要作用。一方面,突出了董事会在风险管理中的特殊地位;另一方面,强调了首席风险官对董事会的紧密责任关系。第二,强调了首席风险官对各种风险的统筹管理,各种风险管理部门(信用、市场和操作风险)的领导对首席风险官有直接的汇报线。第三,强调了操作风险管理的重要性。第四,强调了风险组合分析的重要性。从职责上来看,风险组合分析除了负责风险政策制定之外,还负责检查较差的风险问题以及对资产配置、风险调整性能测量或新产品进行分析。
从全球银行业风险管理的发展趋势来看,GARP所提议的全面风险管理框架正被越来越多的银行所接受,并被逐步印证。GARP在设计全面风险管理框架和安排风险管理职责时遵循了三项原则,即稳健性、系统性、分散与集中相统一。
(1)稳健性。GARP认为,风险管理框架的稳健性源自于它的简朴和自上而下的风险解决办法。风险管理系统一定要确保透明、可信、及时和可操作才能实现稳健性。为此,风险管理系统不能过于复杂,系统愈复杂,信息的传递速度愈慢,信息失真的概率就愈大,出现问题的可能性也就愈大。
(2)系统性。一个有效的风险管理框架绝非单纯的一个模型就可实现。它是一个融合了策略、程序、基础设施和环境四方面因素的有机系统。因此,风险管理体系的有效与否除了取决于框架本身,还要受到基础设施和环境因素的制约。
(3)分散与集中相统一。GARP认为,为了提高风险管理的效率和水平,不同类型的金融风险应由不同的部门来负责。这就是分散管理。与此同时,该组织又强调不同的风险管理部门最终都应直接向首席风险官负责,由首席风险官统筹规划,即实现风险的集中管理。风险的分散管理有利于各相关部门集中力量将各类风险控制好,而风险的集中管理则有利于从整体上把握银行面临的全部风,从而将风险策略与商业策略统一起来。因此,在实际工作中应当实现分散与集中的有机统一。
(三)设计原则
基于以上分析,一个有效的商业银行风险管理组织结构应当遵循以下原则:
1.全面性原则。风险管理组织结构应该涵盖银行所有业务和所有环节中的一切风险,能够识别银行面临的一切风险。
2.一致性原则。银行在构建风险管理组织结构时,应确保其风险管理目标与业务发展目标的一致性。风险管理的目的在于为业务发展提供一个健康的环境和内部机制,而不是抑制业务的发展。
3.独立性原则。包括三个方面的内容,即董事会与高级管理层之间风险管理职责的独立性、专门的风险管理部门独立于业务部门、独立的风险管理评估监督部门。但独立性原则并不排斥部门之间的交流与合作。
4.权威性原则。风险管理部门和风险管理评估监督部门应具有高度权威性,尽可能不受外部因素的干扰,以保持其客观、公正。
5.垂直管理原则。要求商业银行董事会和高级管理层应当充分认识到自身对内部控制所承担的责任。要求银行风险管理组织结构应保证相关信息能够自上而下及时传递给适当的工作人员。
6.互通性原则。要求银行建立一个完善的信息系统,在银行内部形成一个有效的信息沟通渠道——包括信息上报、信息下达以及内部信息的横向流动。
7.程序性原则。要求商业银行风险管理应当严格遵循事前授权审批、事中执行和事后审计监督三道程序。
8.分散与集中相统一原则。要求不同类型的金融风险应由不同的部门来负责,与此同时,不同的风险管理部门最终都应直接向高层的首席风险官负责,由首席风险官统筹规划。
一、引言
2o06年12月l1日,按照“人世”承诺,五年过渡期结束,中国银行业全面对外开放,中外银行之间的竞争将更加剧烈。而风险管理能力是商业银行的核心竞争力之一,一些国际活跃银行之所以几十年甚至上百年长盛不衰,是因为这些银行在风险管理上积累了丰富经验,特别是它们的风险管理组织结构随着竞争环境的变化而不断变革,为风险管理奠定了牢固的基石。而国内银行业的风险管理组织结构,和国际一流银行相比,差距明显,尚存在很多问题。银行风险管理组织结构的落后将带来竞争上的明显劣势,因为,落后的风险管理组织结构带来的是风险管理手段的落后,而风险的失控对银行的发展无疑是致命的。因此,适应外部环境的变化,设计一个健全、有效的风险管理组织结构,对商业银行有效管理面临的各类风险,持续地提升风险管理能力和核心竞争力具有重要意义。
然而,国内关于商业银行风险管理组织结构的研究文献却相当缺乏,直到近几年才陆续有文章发表。但这些文献有的只针对管理某一类风险的组织结构进行研究分析,缺乏全面风险管理的视角f李志刚,2003;蒋东明等,20o4;贾晓菁,2005;黄明喜,2005;刘永兵,2006);有的虽然着眼于整个银行的风险管理组织结构构建,却主要是从实务角度出发,缺乏应有的理论基础(王雪梅,2005;李正旺等,2005)。本文基于权变理论的研究视角,对构建我国商业银行风险管理的组织结构进行了探索以期能为我国商业银行组织结构变革提供借鉴。
二、权变理论概述
权变理论产生于20世纪60—70年代的美国,强调权变的理论和方法,即强调随机应变之意。权变理论的基本观点是有效组织的设计取决于环境的特性。洛什在6o年代首次提出权变方法(conitngency-approach),其核心观点认为在企业管理中要依据企业所处内外环境随机应变,而不存在“普遍适用、一成不变或最好的”管理理论和方法。代表人物之一卢森斯指出权变关系是两个或两个以上的变数所对应的一种“if—then”函数关系。在具体的管理实践中,环境是自变量变数,如组织外部的社会经济条件、内部环境等,对应“if”;而管理的模式、手段、技术,则是相应环境下的因变量变数,即“then”。特定的管理情境对应不同的管理方法,并且后者的有效性随前者的不同而变化。不存在既适应于特定环境而又能普遍应用于各种环境的最佳方法。
根据权变理论,组织结构按内外环境的特点来设计,可分成不同的结构模式。伍德沃德在其著作中指出,每种有类似目的和工艺技术的生产系统,都有其独特的组织模式和管理原则。伯恩斯和斯托克的研究认为:企业按照目标、任务、工艺和外部环境可分为“稳定型”和“适应型”两大基本类型。前者适宜采用“机械式”的组织形式——强调严格的组织规范、明确的任务、与权力对等的责任。后者则应采用强调权宜应变、系统内部的相互关系、技能和经验的“有机式”组织形式。洛什和劳伦斯在前任研究基础上提出分类法,强调外界环境影响,用“分化”来表示一个企业适应于外部环境而划分为各个小单位的程度,“综合”或“整体化”来表示协作和管理的统一。比较而言,整体化程度(集权程度)适应于外部环境的企业往往较为成功。赫尔瑞格和斯洛坎则进一步按市场变化、工艺、产品特性等条件将集权程度分为四种模式:事业部制、矩阵结构模式、直线职能结构以及总店控制式。权变理论强调,在进行组织和管理时不存在一个最好的方法。分权并不一定比集权好;官僚机构也并不都坏;明确清楚的目标也不是总好;民主参与式的领导风格也可能不适合于某些环境;而严格的控制在某些时候也可能是适宜的。总而言之,这完全取决于很多相互作用的内部和外部的变量。管理的形式和方法必须根据组织的外部环境和内部条件的具体情况而灵活选用,并随着环境和条件的发展变化而随机应变。权变理论的最终目标是提出最适合于具体情景的组织设计和管理活动。在一种环境条件下所运行的组织运作模式可能不适合另一种环境条件,不存在一个最佳的模式。
权变理论对商业银行组织设计的意义非常大。现代商业银行面l临的是一个迅速变化的外部环境,市场的风云变幻会迅速地影响客户的行为抉择,银行的经营方略必须不断调整,以顺应外部环境的变化,这就要求银行的组织结构设计应符合这一基本要求。
三、基于权变理论的商业银行风险管理组织结构设计
(一)主要的环境影响因素
银行环境指的是存在于银行边界之外的并对银行具有潜在的或部分影响的所有因素,是环境中对银行敏感的和必须对生存做出反应的某些方面。近些年来,随着我国金融乃至整个经济体系市场化和国际化程度的不断加深,我国商业银行风险管理所面临的环境正在发生着深刻的变化,主要表现在市场环境的变化和监管环境的变化。
1.市场环境变化。市场环境变化包括市场风险环境变化和市场竞争环境变化两个方面。首先,从市场风险环境角度看,近年来,构成金融机构风险环境的三大风险变量——利率、汇率和股票价格已实现或基本实现了市场化,其波动性和对金融机构的影响正在发生很大变化。其次,从市场竞争环境角度看,20o6年wto过渡期结束后,我国银行业全面开放,由此而带来的国际竞争使得我国金融机构经营环境的风险更大。这一方面是由于竞争必然导致市场创新,而创新又必然伴随着更大的风险。另一方面,由于产品创新和风险管理方面的显著差距,我国金融机构可能在国际竞争中处于劣势,从而被迫进入市场中风险较大的一些领域,尤其是风险承担难以得到充分回报的那部分市场,因而风险环境可能更加恶化。
2.监管环境变化。自2o世纪9o年代中期以来,风险监管成为西方各发达国家金融业监管的主流,主要表现在风险资本监管和风险监督检查两个方面。前者是基于资本约束风险承担和业务扩展的基本功能,以敏感反映金融机构风险承担和风险管理水平的监管资本要求来促进金融机构加强风险管理;后者则对金融机构识别、衡量、控制和检测风险的整个风险流程和组织架构提出监管要求并进行持续的监管检查。风险监管的发展突出反映在2004年出台的“巴塞尔新资本协议”中。新协议使得“巴塞尔协议”作为风险的国际协议得到了进一步强化,它通过提高监管资本要求对银行风险的敏感性,并利用内部激励、监管检查和市场约束三种力量来促进银行加强风险管理。新协议覆盖了金融机构所面临的主要风险,反映了国际金融领域全面风险管理发展的需要。新协议首次将包括法律风险在内的由人员、系统和业务流程以及外部事件引致的操作风险纳入到资本要求框架,使得资本协议所覆盖的风险范围由1988年的信用风险和1996年的交易账户市场风险进一步扩展到金融机构全面风险。尽管我国宣布暂不实施新协议,但新协议毕竟是国际金融市场上重要的游戏规则,只要我们继续参与经济全球化进程和国际竞争,就不可避免地要受到它的影响,甚至制约,在银行业全面开放的环境中更是如此。
总之,当前对我国商业银行风险管理组织影响最大的环境因素是wto过渡期已经结束,中外银行竞争渐趋白热化以及《巴塞尔新资本协议》所代表的更加严格的国际银行业监管。基于这些环境因素的影响,我们认为,我国商业银行风险管理组织结构的设计应充分借鉴国际上先进的风险管理组织结构经验,并适当参考巴塞尔委员会关于风险管理组织结构问题的有关规定,只有这样才能为风险管理构建牢固的基石,尽快缩小与国际活跃银行在风险管理方面的差距,以期与外资银行在竞争中一决高低。
(二)国际经验借鉴
根据组织设计理论,组织结构的整体设计包括三方面内容:需要完成的工作活动、报告关系、部门组合。一是规定的工作活动。设立部门的目的是为了完成对组织有战略意义的任务。为了完成组织认为对其实现目标有价值的任务,往往需要设立特定的部门。二是报告关系。通常也称作指挥链,是一条连续的权力线,它将组织中所有的成员连接起来,并显示谁应该向哪位主管报告工作。三是部门组合方式。部门组合的方式包括职能型、事业部型、矩阵型、横向型以及网络型结构等,每种类型的结构都适用于不同的情景条件,满足不同的需要,都是帮助管理者改进组织效果的一种工具,其有效性如何取决于特定情景条件的要求。下面我们将通过分析巴塞尔委员会和全球风险专业人员协会(garp)和关于风险管理组织结构的模型或规定,得到一些有益的启示,供我国商业银行借鉴。
1.巴塞尔委员会关于风险管理组织结构问题的相关规定。
巴塞尔委员会对风险管理组织结构的规定散落于委员会出台的几个文件之中,如1997年9月《利率风险管理规则》等,见表1.
经过分析可以发现,巴塞尔委员会关于风险管理组织结构的有关规定侧重于操作层面,它把风险管理组织看作一个由不同子系统组成的有机系统,而每一个相关部门只是这个有机系统中的节点。因而,一个风险管理组织的有效与否既取决于每一个节点的正常运作,又取决于整个有机系统的健康运行。具体来看,有以下几点值得我们借鉴。
(1)强调职责清晰、权责明确。委员会特别强调要在银行内部建立起一个职责清晰、权责明确的风险管理机制。这既包括董事会与高级管理层之间的明确权责分工,又包括具体的风险管理部门、业务部门、监督部门独立的、明确的职责规定。在强调清晰的职责的同时,巴塞尔委员会还强调董事会、高级管理层和审计机构之间要进行充分的交流与合作。
(2)强调风险管理的系统性。委员会将有效的风险管理组织看作一个由决策系统、信息系统、执行系统和监督系统组成的有机体系。风险管理组织结构完善与否就在很大程度上取决于它所包含的各个子系统是否健全和有效运作。任何一个子系统的失灵都有可能导致整个管理框架的失效。
(3)强调银行内部充分而有效的信息流动。委员会特别强调要建立一个完善的信息系统,进而在银行内部形成一个有效的信息沟通渠道——包括信息上报、信息下达以及内部信息的横向流动。一个正确的风险战略的出台在很大程度上依赖于其所能获得的信息是否充分。而风险战略能否被正确执行则受制于银行内部是否有一个充分的信息沟通渠道。对于审计监督部门来讲,没有充分的信息就不能对风险管理部门的成效进行准确评估,很难找出其存在的缺陷和不足。有效的信息沟通可以确保所有的工作人员都能充分理解其工作职责与责任,并保证相关信息能够传递给适当的工作人员,从而使风险管理的各个环节正常运行。银行内部信息的顺畅流通在很大程度上取决于银行信息系统是否完善。因而,从某种意义上来讲,信息系统是有效风险管理框架的基础和前提。
(4)强调对风险管理进行必要的监督。委员会认为银行业是一个动态的、快速变化的行业,银行面临的风险也是不断变化的,因此,银行必须不断改进风险管理体系以保持其有效性而这就需要银行根据不断变动的内部和外部环境对风险管理进行持续的监督和评估。鉴于此,委员会突出强调银行内部应建立一个独立的第三方来对风险管理进行评价和监督,以确保风险管理战略得到贯彻落实,并对风险管理的成效作出独立的评估。’
2.garp关于风险管理组织结构的模型及启示。风险管理的组织模型是风险管理基础中的基础。garp在对传统的风险管理组织模型进行分析后,提出了一个改进模型(见图1)。
garp推崇的风险管理组织模型特别强调四个方面的要求。第一,强调了董事会在风险管理中的突出地位和重要作用。一方面,突出了董事会在风险管理中的特殊地位;另一方面,强调了首席风险官对董事会的紧密责任关系。第二,强调了首席风险官对各种风险的统筹管理,各种风险管理部门(信用、市场和操作风险)的领导对首席风险官有直接的汇报线。第三,强调了操作风险管理的重要性。第四,强调了风险组合分析的重要性。从职责上来看,风险组合分析除了负责风险政策制定之外,还负责检查较差的风险问题以及对资产配置、风险调整性能测量或新产品进行分析。
从全球银行业风险管理的发展趋势来看,garp所提议的全面风险管理框架正被越来越多的银行所接受,并被逐步印证。garp在设计全面风险管理框架和安排风险管理职责时遵循了三项原则,即稳健性、系统性、分散与集中相统一。
(1)稳健性。garp认为,风险管理框架的稳健性源自于它的简朴和自上而下的风险解决办法。风险管理系统一定要确保透明、可信、及时和可操作才能实现稳健性。为此,风险管理系统不能过于复杂,系统愈复杂,信息的传递速度愈慢,信息失真的概率就愈大,出现问题的可能性也就愈大。
(2)系统性。一个有效的风险管理框架绝非单纯的一个模型就可实现。它是一个融合了策略、程序、基础设施和环境四方面因素的有机系统。因此,风险管理体系的有效与否除了取决于框架本身,还要受到基础设施和环境因素的制约。
(3)分散与集中相统一。garp认为,为了提高风险管理的效率和水平,不同类型的金融风险应由不同的部门来负责。这就是分散管理。与此同时,该组织又强调不同的风险管理部门最终都应直接向首席风险官负责,由首席风险官统筹规划,即实现风险的集中管理。风险的分散管理有利于各相关部门集中力量将各类风险控制好,而风险的集中管理则有利于从整体上把握银行面临的全部风,从而将风险策略与商业策略统一起来。因此,在实际工作中应当实现分散与集中的有机统一。
(三)设计原则
基于以上分析,一个有效的商业银行风险管理组织结构应当遵循以下原则:
1.全面性原则。风险管理组织结构应该涵盖银行所有业务和所有环节中的一切风险,能够识别银行面临的一切风险。
2.一致性原则。银行在构建风险管理组织结构时,应确保其风险管理目标与业务发展目标的一致性。风险管理的目的在于为业务发展提供一个健康的环境和内部机制,而不是抑制业务的发展。
3.独立性原则。包括三个方面的内容,即董事会与高级管理层之间风险管理职责的独立性、专门的风险管理部门独立于业务部门、独立的风险管理评估监督部门。但独立性原则并不排斥部门之间的交流与合作。
4.权威性原则。风险管理部门和风险管理评估监督部门应具有高度权威性,尽可能不受外部因素的干扰,以保持其客观、公正。
5.垂直管理原则。要求商业银行董事会和高级管理层应当充分认识到自身对内部控制所承担的责任。要求银行风险管理组织结构应保证相关信息能够自上而下及时传递给适当的工作人员。
6.互通性原则。要求银行建立一个完善的信息系统,在银行内部形成一个有效的信息沟通渠道——包括信息上报、信息下达以及内部信息的横向流动。
7.程序性原则。要求商业银行风险管理应当严格遵循事前授权审批、事中执行和事后审计监督三道程序。
8.分散与集中相统一原则。要求不同类型的金融风险应由不同的部门来负责,与此同时,不同的风险管理部门最终都应直接向高层的首席风险官负责,由首席风险官统筹规划。
