前言:中文期刊网精心挑选了风险管理职能范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险管理职能范文1
【关键词】 内部审计; 职能拓展; 第三方风险管理
【中图分类号】 F239 【文献标识码】 A 【文章编号】 1004-5937(2017)02-0116-03
国际内部审计师协会认为,内部审计是通过参与风险管理、内部控制和公司治理来实现企业增值的一项咨询活动。经济技术的全球化与信息化发展,使企业与商业伙伴形成密不可分的“命运共同体”――合作共赢、风险共担。与此同时,风险来源的多样化使得企业风险管理的需求愈加紧迫。特别是复杂的网络经济使企业经营管理中的任何一环出现第三方风险都有可能造成不可弥补的“出血点”。对企业的风险管理进行监督、评估以及战略协调是内部审计职能重点发展的方向。随着风险导向审计模式在内部审计的应用日渐成熟,内部审计必将成为风险管理的必要方式。
一、企业的第三方风险
所谓第三方风险是指由于商业伙伴的行为不当为企业带来的风险。供应商与顾客关系在全球化与信息化的大环境下,逐渐演化为人、承包商、联营伙伴、技术合作者、分销商或者转销商等一系列广泛而密切的合作关系,因此,第三方风险主要表现在以下几个方面:
(一)合规风险
合规风险是指因未能遵循法律法规、监管要求以及合同约定条款等而可能遭受重大财务损失或者名誉损失的风险。对于第三方风险,合规风险特指由于商业伙伴的行为未能合规而给企业自身带来的风险。全球化背景下,跨国合作拓展了新市场,为企业带来更多商I伙伴,也为企业监管商业合作伙伴的合规性增加了难度[ 1 ]。对于同一经济事项的法律政策,不同国家之间的法律规定存在差异,同一个国家也会不断颁布新的法律条款,导致同一经济事项的前后期处理存在差异。然而,传统模式下合规审计很少涉及对于商业伙伴所带来的合规风险的监管,内部审计针对第三方合规风险的管理亟需战略上的转变。
(二)道德风险
第三方风险的道德风险,一方面表现为商业伙伴在共担风险的情况下因最大限度增进自身利益而作出不利于他人的行动,如单方面违约、违规;另一方面表现为不顾企业形象,从事有违社会公德的种种行为,如过度广告、虚假宣传。命运共同体模式下合作双方共担风险,商业伙伴的不道德、利己行为都会为企业带来不可预估的风险。在信息高速传播的今天,公众对负面事件的反应极为迅速[ 2 ]。道德价值观在商业合作中的重要性显著提升,企业的形象与价值并不仅仅维系于企业自身,而与供应商、服务提供商等关联企业的公众形象密切相关。因此,企业在关注自身商业道德的同时,还应防范商业伙伴的道德风险。因为商业伙伴的不道德行为在经历多次发酵后,会给合作伙伴带来无妄之灾,直接导致企业形象、品牌大幅度贬值等隐性损失。
(三)信息风险
广义的信息风险是指企业信息资产的安全风险。对于第三方风险,信息风险是指商业伙伴所掌握的企业信息存在的安全风险,风险源头为第三方共享信息。互联网时代,商业伙伴共享信息成为常态。多方分享数据在提高生产效率的同时,信息安全问题随之伴生。依赖信息系统进行智能管理是大多数企业的常态,信息因此成为需要重点保护的资产,信息风险最终必然会影响到业务层面,从而构成业务风险[ 3 ]。如制造企业为更好地管理生产和库存,与供应商通过信息共享而交换生产计划、库存状况等信息,该信息平台的存在就有可能成为竞争对手窃取重要信息资源的有效途径。信息风险并不单指数据保护的技术问题,一些专有信息或知识产权往往成为竞争对手觊觎的对象,其安全事关企业生死存亡[ 4 ]。商业伙伴间信息共享与开放程度的提高,使得信息风险增大,信息风险成为第三方风险管理的重中之重。
二、第三方风险应对与内部审计职能拓展
风险理念的引入使内部审计由合规导向、管理导向逐步过渡到风险导向,内部审计职能也从单一监督职能转变到多职能。对于一般的风险管理,内部审计职能主要表现为确认职能和咨询职能,确认职能对风险管理的有效性进行评价,咨询职能对风险管理提供改进建议。而对于第三方风险管理,内部审计的职能拓展被赋予了新的涵义。第三方风险与内部审计职能拓展的关系如图1所示。
(一)实现第三方风险管理的确认职能:商业伙伴尽职调查
企业管理层对商业伙伴尽职调查承担主要责任。商业伙伴尽职调查是指通过信息收集、分析与评价,对商业伙伴可能带来的风险进行系统评估的过程,是企业防范第三方风险的有效途径。对风险的确认职能包括评价风险识别是否充分、已有风险衡量是否适当、风险防范措施是否有效等。通过内部审计发挥风险确认职能,能够帮助管理层尽早识别关键风险因素、确认风险评估标准的合理性、评价商业合作执行的有效性。对于合规风险和道德风险的防范,商业伙伴尽职调查尤其见效:通过对合同条款的检查以及对合同履行程度的分析,商业伙伴的经营行为能适时得到监督,合规风险能够得到及时防范与控制;通过对合作企业道德情况、使命和价值观声明以及社会责任履行等信息的预判,企业能够对第三方道德风险做到“心中有数”。可见,内部审计在商业伙伴尽职调查程序的设计、执行和评价等方面发挥着至关重要的支持作用[ 5 ]。
(二)实现第三方风险管理的建议职能:专业咨询服务
在参与第三方风险管理的过程中,内部审计的专业咨询建议职能主要表现为:风险管理培训、风险咨询以及协调防范等。对于内部审计的主体,相对独立性使其能够发挥带领者与协调者的作用,超越职能部门的局限对风险进行全面客观的评估,特别是对于一些体制、机制性问题,内控审计部门可以跨越部门界限,针对发现的问题,与业务领域的专家沟通、探讨,基于自身专业素养的角度为利益相关部门提出问题并且赋予解决问题的方案,最终形成管理建议提交更高层次的管理层,从而使得问题得到根本性的解决;对于内部审计的客体,利益相关部门参与内部审计不再是单方的配合性参与,也不是作为被审计对象站在一种弱势的地位配合性地提供资料,而是内部审计团队的有机组成部分。事实上,由于利益相关部门共同参与决策,使得决策执行过程中的理解程度及执行程度都会明显提高。因此,内部审计的专业建议职能可以协调企业长期风险战略与短期决策之间的关系,将分散在多元利益相关部门的第三方风险进行系统整合、统一管理,使风险控制由被动转为主动。
(三)实现第三方风险管理的监督职能:参与式审计
审计计划是执行参与式审计的起点。参与式内部审计在制定审计计划时积极鼓励利益相关部门提出难点与热点问题,其中的好处除了对内部审计从心底深处产生默认感与价值认同外,在后期的审计实施阶段,利益相关部门的参与度和贡献度将明显提升。在审计实施阶段,参与式审计邀请利益相关部门参与审计项目的开展,这种沟通和参与本身就是内部审计的价值定位和内部审计理念的传达过程。参与式审计站在不同业务角度的视野,易于发现潜在的第三方风险,发现更深层次的原因;在审计报告阶段,参与式审计能够为第三方风险的合理解决提供战略性思维,找准风险管理需要监督改进的薄弱环节,提出具有建设性的改进建议。对于业务部门,自己参与了内部审计,能够提前注意到内部审计所关注的问题,并且提前考虑解决第三方风险的方案,从而将第三方风险的监督职能予以提前。
当然,内部审计的确认职能、建议职能以及监督职能因第三方风险管理的需求而相辅相成。出于规避第三方风险的需要,内部审计对商业伙伴展开尽职调查,向咨询顾问角色转变的需求越迫切,越会促使内部审计向参与式审计模式转变,这种促进作用必然会推进内部审计的职能进一步完善与拓展。
三、内部审计应对第三方风险管理的实现路径
内部审计通过管理和防范第三方风险以减少企业不必要损失的过程,实质上就是增加企业价值的过程,炔可蠹朴ψ帕ν晟频谌方风险管理的实现路径。
(一)建立专业团队,大力提升综合素质
内部审计团队的素质是风险管理的关键。内部审计职能的拓展对审计人员的素质要求越来越高,能否识别风险与内部审计人员的工作经验、技能直接相关;推进商业伙伴尽职调查工作以及参与式审计的完成,必须基于审计人员知识结构的多元化。因此,如何使内部审计人员的专业技能与风险管理相匹配是内部审计目前所必须解决的问题[ 6 ]。首先要优化内部审计人员的构成。在进行内部审计人员选拔时,除关注审计专业能力外,还应从多元化的知识结构考虑,充分重视计算机、企业战略管理、法律法规等非财务专业人员的招聘。其次要提升内部审计人员的综合素质。内部审计职能多元化,内部审计对象复杂化,思维方式发散化,对审计人员综合素质的提高提出了客观要求。为此,应当制定有效的激励机制与奖惩机制,推动自主学习,实现审计团队综合能力的提升。
(二)规制工作流程,有效应对风险管理
第三方风险日益凸显,要求内部审计必须要更多地应对第三方风险。而传统内部审计被动化、片面化的工作格局,使得第三方风险管理很难制度化、流程化。显然,对第三方风险持续有序的监督、评价及防范,需要规制合理的风险管理流程。应对风险管理的内部审计工作流程一般包括:商业伙伴合作清单的制定,合同与协议的合规性及双方执行合同程度的定期调查,不同类别第三方风险评估人员的确定等一系列方案。按流程规制的风险管理方案,使得第三方风险能够得到持续的追踪、评估与防范。
(三)完善审计信息,大幅提高审计效率
内部审计的信息化能够提高第三方风险管理的效率,信息系统强大的联动效应在拓宽审计范围、开阔审计视野的同时,更为内部审计在第三方风险管理职能的发挥方面提供了支持与保障。内部审计的信息化建设需要从两个层面来完成:一是物理层面。内部审计要着力于硬件配置和审计软件设计,提升内部审计信息系统的工作效率。二是应用层面。要加强内部审计与利益相关部门的业务分工和职责划分,实现审计系统与其他信息平台的全方位对接与职责归属划分,实现内部审计对第三方风险全方位、全过程的系统防范。
四、小结
就当前发展来看,内部审计工作的重点领域将发展为对企业整体的管理控制。由于经济的全球化发展和日益复杂的业务合作关系,第三方风险成为高层管理者关注的重点。内部审计作为风险管理的重要参与者,必须应对挑战、与时俱进、拓展职能。实践必将证明,在识别和帮助管理层管理第三方风险的过程中,内部审计对风险管理支持和鉴证的作用将推动其职能的延伸与拓展。
【参考文献】
[1] 罗素・A・杰克逊.倾泻而至的监管规定[J].中国内部审计,2012(7):26-29.
[2] 帕特里克D・沃伦.消除第三方风险管理中的差异和缺口[J].中国内部审计,2014(6):44-46.
[3] 宗菊.化解第三方风险[J].新理财,2010(5):90-91.
[4] 王兵,刘力云,鲍国明.内部审计未来展望[J].审计研究,2013(5):106-112.
风险管理职能范文2
【关键词】风险管理;合同能源管理;电力需求侧管理;过程管理
1.引言
DSM项目尤其是EPC项目与市场联系十分紧密,在项目规划、决策、实施和评估等各个阶段都伴随着风险。特别在工程类项目过程中,具有投资额较大、周期较长、涉及方较多等特点,因此对风险的管控显得格外重要。此外,风险管理贯穿于项目的整个过程,较其他要素管理有管理持续时间长、涉及要素多等特点。为确保实现DSM项目的预定目标,满足合同要求,在项目实施的过程中必须进行风险管理,其主要目的是识别与项目有关的风险,评价和管理改善项目的执行效果,从而使潜在机会或回报最大化、使潜在风险最小化。
合同能源管理(Energy Performance Contracting , EPC)项目是我国DSM管理大力推广的以节能服务公司(ESCO)为主体的能效项目的融资和实施方式。相对于一般DSM项目,EPC项目在实施过程中会面临更多的不确定因素,其风险也远大于一般DSM项目。对此,有必要对EPC项目中ESCO所采用的风险管理策略进行研究,以求在实施过程中尽可能的规避所面临的风险。本文主要研究EPC项目过程风险控制,给出控制策略。
2.EPC风险管理内容
EPC项目风险管理的目的在于对项目过程中存在的风险进行全面排查,将风险管控工作纳入EPC的全过程,实现对项目风险的全方位防范和动态化监控,这对保障EPC项目顺利健康进行具有重大的意义。根据风险的隐蔽性强、破坏性大等特点,项目风险管理的核心过程大致可分为三个阶段:1)风险识别;2)对识别出的风险进行分析、筛选与诊断(风险评估);3)制定出相关的控制措施对风险有针对性地进行控制(风险监控)。
EPC项目常见的风险分类有以下四种:1)按照项目风险的表现形式可分为政治风险、信用风险、金融风险、完工风险、运营风险、市场风险和环境保护风险;2)按照项目风险的可控制性可分为系统风险和非系统风险;3)按照项目的运行阶段可分为项目规划决策阶段风险、项目启动实施阶段风险和审计验收阶段风险;4)按照项目的投入要素可分为人员要素风险、时间要素风险、资金要素风险、技术要素风险和其他要素风险。
节能服务公司面临的主要风险有:1)业主提供的现场数据不准确带来的风险;2)物价波动形成的“经济风险”;3)不可预见和不可抗力风险;4)投标报价风险;5)项目分包商的管理风险;6)项目设计与材料采购风险;7)合同责任不清的风险等。
3.EPC项目过程风险控制策略
3.1 项目准备阶段
本阶段的风险一般为客户信用风险,本阶段的风险管理,首先由财务人员和项目经理组成企业资信评估小组,根据对企业经营状况和财务状况的分析,进行企业资信评估,并形成分析报告。评估内容包括:企业规模、偿债能力、经营管理能力、盈利能力。其次,项目经理对企业的总体特征进行调查分析,并形成调查报告。调查内容包括:企业总体情况、产品、原料、生产、销售等方面。再次,项目经理在技术专家的指导下,对项目拟采用的技术进行技术风险评估。项目评估小组根据以上分析,做出项目可行性结论。拟实施项目必须得到分管经理和总经理的签字批准后,才能签订正式合同。签署相关的能源管理合同,非文本合同必须经过公司法律顾问的审查。
3.2 项目实施阶段
本阶段风险主要是技术或设备风险以及施工风险。本阶段的风险管理由项目经理、财务人员和施工管理人员组成项目过程控制小组,及时了解和发现风险,使风险始终处在控制之中。这一阶段的风险主要是技术或设备风险以及施工风险。ESCO可采用风险转移的方法,将风险通过合同或协议合理地转移给设备供应商和安装商。由于EPC项目是在旧系统的基础上进行改造,生产、建设交叉严重,项目建设难度很大。把住项目技术关、施工质量关是实施合同能源管理项目的有力保证。为确保项目技术的合理性,在开工前组织进行设计交底;在施工过程中当现场情况与设计发生冲突时,由施工单位、使用单位、设计单位同时对设计中出现的问题进行探讨及时进行设计变更,使项目趋于完善;在施工过程中,建立现场办公会、项目监理、设计变更传送等制度;坚持每天开现场会汇总施工情况,准备第二天的工作。监理工程师严把质量关,每一道工序经过验收合格,方可进行下道工序施工,以严格控制过程质量,保证整体较高的工程质量。在施工收尾时,由使用单位及厂内各部门参加,对整个项目进行全面验收,对发现的问题分头落实处理,再进行试运行。
3.3 项目效益分享阶段
这是EPC业务的独特风险,需要ESCO关注和研究。根据国内示范ESCO的经验和教训,只有全面了解客户的情况,才能做到防患于未然,并在出现风险时有相应的对策来化解。必须在合同谈判时就与客户将效益分享比例及分享期限加以明确,并向客户解释清楚分配的原则和方法依据。制定合理的分享年限,并留有一定的应变余量,以保证在客户方面出现任何不利变化时,ESCO仍然能收回全部投资。选择权威的能源审计部门监测项目节能量,以保证能公平合理地进行项目的能耗评估和节能效益分析。审计部门最好是国家有关部门、当地或该行业影响力较大的机构。
ESCO在评估项目效益时,应注意回避与客户的不同意见,以避免可能导致的效益分享风险。EPC项目带给客户的效益不仅是通过节能方式,还有可能是通过降低设备维护费用,延长设备使用寿命,提高产量、质量,降低原材料消耗、降低环境成本等多种渠道来实现降低成本,提高效益的目的。应密切关注客户的生产经营情况、管理层变动情况和项目运作状况,定期回访客户,催收节能效益。
4.结论
风险管理职能范文3
关键词 企业内部控制 风险管理 风险管理能力 对策研究
中图分类号:F275 文献标识码:A
2007年美国次贷危机的爆发使全球陷入严重的经济恐慌之中,此次金融危机造成一大批金融机构相继倒闭,金融市场剧烈动荡,股市急剧下挫,民众的投资和消费信心遭受重创。自2008年10月份以来,分布于我国长江三角洲和珠江三角洲的中小企业也受到有史以来最严重的经济冲击。在目前形势下,一些国家在金融危机中受到的重创仍然没有消除,甚至愈演愈烈。世界经济明显的下行趋势,以及国际经济环境中的不确定、不稳定因素的增多,使我们不得不思考寻找企业抵御风险的措施和方法,加强和完善企业内部控制与风险管理已迫在眉睫。
一、企业内部控制与风险管理理论的合理解读
(一)内部控制理论。
内部控制理论是伴随着企业内控实践经验的积累而逐步发展起来的。内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构与内部控制整体框架等四个不同的阶段。就目前来看,内部控制的权威定义来自于1992年COSO(The Commit-tee of Spons oring Organizations of the Treadway Committee)颁布的《内部控制―――整体框架》报告,该报告认为内部控制是由企业的董事会、管理层、和其他成员实施的,为营运的效率、效果、财务报告的可靠性以及法律规章的遵循性提供合理保证的过程。它是由控制环境、风险评估、控制程序、信息与沟通和监督五大要素组成的。
(二)风险管理理论。
风险管理是一门新兴的管理学科,其涉及到的行业和领域比较广泛,尤其是在企业界,有关风险管理的理论研究受到了极大的关注,风险管理的具体实践也得到了一些落实。关于对风险管理的理解可以从表层和深层的两个角度分析。从表层上讲,风险管理是对生产活动或行为中的风险进行管理;从更深层次上讲,风险管理是指风险管理负责人通过风险识别、风险评价和风险量化等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功的完成并实现总目标。对风险管理的研究目前已经形成两大学说,一种是美国学说,一种是英国学说。美国学者把风险管理的对象局限于纯粹风险,在概念上侧重风险处理。英国COSO在1992年颁布了《企业整合框架》,该框架认为企业风险管理是一个过程,该过程由企业董事会、管理层和其他员工共同参与,应用于战略制定,贯穿于企业各层级和部门,为识别影响企业的潜在事项和风险而设计,为企业目标的实现提供合理保证。
二、内部控制与风险管理的关系分析
(一)内部控制与风险管理的关系研究回顾。
结合国际上对内部控制与风险管理的权威定义,以及国内外学者对内部控制与风险管理关系的研究总结出三种代表性观点:
1、风险管理包括内部控制。
COSO在2004年出台的《企业风险管理――整体框架》中明确指出企业风险管理包括内部控制。企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中,风险管理包含的八要素涵盖了内部控制整体框架的五要素,由此说明内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。
2、内部控制包括风险管理。
COSO在《内部控制――整体框架》报告中将风险评估作为企业内部控制的一个组成要素,实际上就是将风险管理包含在内部控制的范围之内。英国FSA在《综合准则》(The Combined Code,1998)中关于内部控制的规定也第一次以官方文件的形式明确将风险管理包含在内部控制之中。
(二)内部控制与风险管理逐渐走向融合。
1、理论上相互融合。
COSO在1994年将《内部控制―――整体框架》修改为《企业风险管理―――整体框架》,其根本原因在于内部控制的出发点与最终目的就是为了控制和管理风险。虽然内部控制的目标与控制层次不断提升,但风险控制与管理始终是其核心,从字面理解上可知内部控制就是控制风险,控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。风险管理无疑是内部控制在新形势下的自然升华,它是更主动、更全面的内部控制。
2、实践中相互融合。
在风险导向内部控制的观念下,风险管理成为企业生存并且发展壮大的关键环节,内部控制的工作重点也由制定单纯的内部控制制度转变为寻求测试管理风险和确认风险的方法,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。尤其是近年来在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。无一不认为企业内部控制制度的发展演进与企业面临的风险相关,风险管理涉及的层次更深更广,内部控制将逐渐走向风险管理。
三、我国内部控制与风险管理的现状分析
(一)内部控制和风险管理责任主体单一。
就目前来讲,很多企业的内部控制和风险管理制度往往都是由经理层制定的,使经理层成为唯一的责任主体,其目的是为了更好的服务于高层管理者控制企业的资产和业务,控制中层管理者和企业员工的行为,而对于高层管理者(如总经理、执行董事)则缺乏制约控制能力。在这种情况下往往将为企业带来经营风险并导致经营失败。内部控制和风险管理的主体应该是一条自上而下的链条,因此,有必要让企业所有的利益相关者,尤其是公司的股东和董事会认识到内部控制、风险管理的重要性和紧迫性,从而加强对内部控制的制定和实施。
(二)风险管理意识有待提高,风险管理理念没有得到推广。
企业经营者和管理者的风险意识在现阶段比较淡薄,风险管理作为一种职能和理念尚未融入到我国企业的管理过程当中,因此企业管理层对于风险管理的重要性认识还不到位,风险管理手段相对落后。在项目决策和公司治理方面,对风险评估、信用等级评定缺乏有效的评定标准,缺乏专业风险管理及监控体系,制定不出有效的风险管理方案。尽管有一些风险管理措施,但仅局限于口头上或者制度上,或者实施力度不强,风险管理水平较低。
(三)内部控制固有的局限性还未引起足够的重视。
无论是理论界还是实务界往往将企业倒闭、破产或不能正常经营归因于企业的内部控制制度存在缺陷,这虽然没有错,但忽视了内部控制失效的另一个重要原因,即内部控制固有的局限性。COSO报告在阐述内部控制的四大局限时提到:内部控制既不能解决管理阶层人员素质问题也不能左右政府政策或经营环境。因此对于凌驾于传统内部控制之上的风险,传统的内部控制很难解决。
(四)企业缺少适当的风险管理机制。
我国企业中只有银行、保险、证券公司等金融机构比较注重风险管理,并且因为金融行业的风险性较大,所以许多金融机构也按照国家相关法规的要求建立了自身的风险管理机制,但是至于我国其他企业则很少具备自身的风险管理机制,并且也缺乏对普通企业如何建立风险防范机制的相关研究。COSO在《企业风险管理一总体框架》这一报告中认为风险管理作为企业内部控制不可缺少的一个要素,它不单是简单被动地应对各种风险,而是积极地通过对风险的识别、分析、控制这一风险管理过程来帮助企业合理有效地规避风险危害以及利用风险机会。因此,我国企业应充分重视风险管理机制的必要性和重要性,有关机构也应加强对普通企业建立风险管理机制的研究工作。
四、培养企业内部控制与风险管理能力的对策
(一)完善公司治理与内部控制环境。
由于我国市场经济尚处于发展阶段,证券市场也处于新兴加转轨阶段,股权结构异化,股权文化缺失,公司治理形备而实不至。因此应加强公司治理建设,利用董事会、监事会、股东相互制衡的方式来解决企业高层人员“一人独大”而带来的风险。将公司经营层面的内部控制与公司治理层面的内部控制结合起来,从根本上改善内部控制环境,实现对公司风险的全面控制。
(二)建设有效的风险管理体系。
就目前来看,我国绝大多数企业对内部控制的重要性认识不足,内控结构很不完善,控制效率低下,风险意识淡薄,从而导致我国企业的内部控制在总体上存在着内部控制环境恶劣、控制活动薄弱、信息流通不畅和对内部控制的监控不力等问题。因此我国企业必须注重风险管理体系的建设,在该体系中应重点包括控制战略风险、控制经营风险、控制财务风险等预防和处理措施。风险管理体系的建立将使企业内部控制制度更加健全,而健全的内部控制制度又可以有效地防止和降低风险可能带来的各种损失,促进效益最大化,提高企业的市场竞争力。
(三)实施动态的过程管理,控制经营活动风险。
1、实施全面预算管理。
企业应该设立预算管理机构,聘请专业人员编制预算并且严格预算的执行与监督,合理的进行预算分析和评估,从而达到预防风险、控制风险、强化风险管理的目的。
2、实施资金集中管理。
建立高效的筹资、融资系统,加强资金使用管理及外汇风险的管理来降低和规避风险。
(四)强调全员参与,高度关注内部控制与风险管理。
首先,企业要高度重视对控制环境的建设,完善法人治理结构,建立权力制衡机制;管理层要重视内部风险控制的成效,不断提高整个员工的综合素质,重点培育和加强全员风险管理意识,通过培训帮助员工建立系统的全面风险管理理论,使员工充分意识到风险管理的重要性,并使他们增强对风险的敏感度,摆正风险管理和企业发展的关系,同时建立风险控制制度和奖惩制度,帮助员工了解自身工作的责任;其次,树立企业风险管理文化,通过各种途径将风险控制文化传递给每一个员工,使风险管理理念渗透到每个部门、每个岗位和每个工作环节。建立从董事会到部门到员工严密、畅通的信息网络,设立良好的信息与沟通系统,形成以部门为单位的风险责任中心,确定部门风险控制目标并落实到责任人;最后,培育风险管理的综合型人才,引入竞争机制,合理配置企业人力资源,在注重加强员工的业务素质教育的同时,加强员工守法意识和职业道德教育。
(作者:广东商学院会计学院2009级研究生,研究方向:财务会计理论与实务)
参考文献:
[1]COSO制定.方红星,王宏译.企业风险管理――整合框架.东北财经大学出版社,2005.
[2]谢志华.内部控制、公司治理、风险管理:关系与整合.会计研究,2007.10。
风险管理职能范文4
关键词:合同评审质量 实验室风险管理
随着社会的发展、科技的进步、经济交往日益频繁,现实生活中的风险因素越来越多,可以说风险无处不在。无论集体还是个人,国家还是各类经济合作体,都日益认识到进行风险管理的必要性和迫切性。人们想出种种办法来应对风险。检测实验室作为经济活动中的参与者,同样也存在与面临着各种各样的风险,对风险的管理能力在全球经济一体化的大背景下显得尤为重要。为便于本文论述,我们先了解几组概念。
质量的概念
ISO9000:2000中质量的定义是:一组固有特性满足要求的能力。特性是指可区分的特征,要求是指明示的、通常隐含的或必须履行的需求或期望。
合同评审的概念
学术定义,合同评审是指接到客户订单以后,为了确认能够保质保量地完成订单,对生产能力和物料进行确认,扫除生产过程中的不确定因子,避免因生产过程中出现解决不了的问题而影响产品质量和交货时间 。
与检测相关的定义,合同评审是指接到客户检验需求后,为了确认能够保质保量完成检验,对检验能力等因素进行确认,扫除检验过程中的不确定因子,避免因检验过程中出现解决不了的问题而影响报告质量和交报告日期
风险管理的概念
风险管理是指在一个肯定有风险的环境里把风险减至最低,保护自身或相关方利益的管理过程。
合同评审与实验室风险管理的关系
从质量的定义,我们可分析出检测实验室合同评审工作的质量特性主要有三方面,一是满足客户要求的特性、二是满足法律要求的特性、三是满足实验室内部管理要求的特性。满足客户要求方面的特性表现为:完成检测及出具检测报告的时间、检测费用、检测报告的使用价值或效用;满足法律要求的特性表现为检测合同是否符合《中国人民共和国合同法》、《产品质量法》、《委托检验行为规范》等法律法规规章的要求,即合法性;满足内部管理要求的特性表现为合同评审工作流程是否快捷、有效,转化为经济效益的时间、消耗人力、物力等各类资源的成本量。
通过对合同评审工作三方面质量特性的分析可以看出,合同评审质量高低与好坏会对实验室的风险大小及风险系数的高低产生直接的影响。就满足客户要求的质量特性而言,假如因为合同评审对检测时间把握不准,检测报告超期了,客户因此丢掉了订单,那势必会引起客户的不满意,带来的后果可能是客户对实验室的甚至索赔,这就给实验室带来了极大的风险。就满足法律要求的质量特性而言,如果与委托客户签订的合同本身不合法,那实验室就会面临违法的结局,同样带来了风险。就满足内部管理而言,如果每一宗合同评审都要花上一两天的时间才能完成,或需要反复,那么实验室的管理将陷入混乱与无序中,对于用于贸易目的的委托检测来说,时间就是金钱,如果客户在可以容忍的时间内还等不到满意的结果,合同迟迟不能签定,那么客户肯定会另择良枝,实验室从此便永久地丧失了这个客户,这种情况多了,经济效益从而何来,没有经济效益,如何能添置更先进的设备,如何留住人才,这是危及实验室生存的风险。
ISO31000:200险管理标准中提出建立内部沟通与报告机制及建立外部沟通与报告机制是风险管理的重要框架之一,而合同评审环节恰恰是每个实验室组织获取内部信息特别是外部信息的关键点,由合同评审中收集来的信息对风险管理决策具有重要的意义。
因此只有提高合同评审质量,才能助推实验室风险管理能力。实施了有效的风险管理,合同评审的质量必然能提高。二者相互促进,构成良性循环。
从风险管理的角度提高合同评审质量
合同评审是整个检验流程的首道程序,风险管理首先应从这个环节开始,只有从风险管理的角度出发,才能真正提高合同评审的质量。
风险管理的首要环节是对风险进行识别,在合同评审工作开始前对其中的风险进行识别是非常必要的。合同评审工作风险主要有以下几类,一类风险,来自客户的风险。二类风险,法律风险,即陷入违法违规或者法律纠纷的风险。三类风险,管理及成本风险,即指给整个实验室管理体系拖后腿的任何因素或风险。
正确识别风险后要采取措施,对风险进行控制。风险控制是风险管理的核心内容,包括风险评估、风险管理方式选择及风险管理决策。针对上述合同评审中的三类风险,应该如何控制呢? 笔者认为将合同评审的所有要素逐一列出,将这些要素划分到三类风险中,再针对其质量特性加以控制是比较科学的方法。
一类风险的控制方法
合同评审各类要素中应划分到一类风险控制的要素有以下几类:客户信息、产品信息、检验依据及判定依据、价格及收费、出具报告日期、样品交接说明、分包项目及偏离。这些因素中的任意一项如果控制不好,就会带来不同程度的风险,并且加大其它因素的风险系数,从而增加整体风险。
对这些要素的风险控制方法应该从以下几方面入手,首先合同评审材料尽可能采用书面的形式,如果是口头形式,合同评审人员事后应及时记录口头沟通的情况,并且保存好这些材料,保存期最好在五年以上。其次检测机构由于其委托性质及样品的多样性,合同格式未必全部一致,但是供检测机构与委托方签字的那份材料中的信息尤其是检测报告中要出现的信息必须翔实、准确、清晰。客户信息应包括委托人、产品的生产厂、制造商、经销商等相关方的信息。产品信息应包括产品名称、型号规格、技术参数、警示语。合同评审人员应为客户选用既能满足委托方需求,又能使检测报告为客户发挥最大效能的检验依据或判定依据。样品交接说明内容应包括样品状态是否完好、有效,样品状态及数量是否能充分满足检测需求,涉及抽样样品的最好清楚地记录抽样位置及方法,配以图片进行说明,尤其是接收质量鉴定与仲裁委托检测时。
同时,上述各项信息都必须确保得到了客户的确认并有书签名、盖章,这是控制一类风险的有效手段。因为合同一经成立即具有法律效力,在双方当事人之间就发生了权利、义务关系,当事人一方或双方未按合同履行义务,就要依照合同或法律承担违约责任。举了例子,一个客户用你的实验室出具的检测报告办理出关时被海关发现报告上的公司名称与申报过关的公司不一致,被拒绝通关后气冲冲地来向你兴师问罪时,你若能找出双方签定的合同或协议,最后发现是客户自己的原因导致出错,这时你就划险为夷了,来自客户的风险在你高质量的合同评审前提下烟消云散。但如果合同评审人员因对产品检测标准不熟或忽视了标准对某些项目的检测时间要求而承诺不可能实现的完成日期,这种情况下实验室的风险肯定大大增加,有可能给实验室带来难以预测的不良结果。
二类风险的控制方法。
合同评审必须在国家有关法律法规,各类规章制度制度下开展才能控制来自法律方面的风险。二类风险控制主要有以下几方面:
第一,应当遵守法律、行政法规,尊重社会公德,不得扰乱社会经济秩序,损害社会公共利益。
合同评审工作应符合《中华人民共和国合同法》第一百零七条,当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任。
第二,实验室必须在有能力、有资质的前提下对外出具检测报告,这是法律法规对实验室必须履行的需求。有能力是指客户要求检验的产品类别或检测标准(含年号)或检测方法(含年号)已通过CMA、CAL、CANS认可。 有资格指已获特定的授权,如3C指定检测产品及地域、生产许可证检验资格授权、见证检验授权、电子产品污染控制认证授权等。
检验依据、方法、方案、细则或相关要求必须合法且明确。合法指的是符合法律法规、相关规章制度。不得受理、检测国家明令禁止生产的产品,如直排式燃气热水器、一次性发泡塑料餐盒属于淘汰产品,检测实验室不得对这类产品出具检测报告。明确指明白、清晰、完整、易操作。涉及到具体项目时,应将项目罗列清楚。用于承担政府任务的方案或细则,要将判定方法列明。
第三,收费的合法性,属于国家或地方政府部门控制的收费必须依据公布的收费标准进行收费。
三类风险的控制方法。
合同评审工作质量低下,势必会拖整个实验室的管理后腿,而滞后的管理会增加组织运行的风险,因此对于这类风险控制,唯一的方法就是提高合同评审水平与效率,配备综合素质较强的合同评审人员,缩减评审环节,加快评审流程,为检验环节做好良好辅垫。
众所周知,人才是发展的第一要素,是风险管理与有效控制的根本所在。首先从事合同评审人员应具备风险意识,除了有识别风险的能力,还应有能及时采取决策、控制风险的能力,这样的合同评审工作质量才算上乘。
合同评审人员的综合能力高低对于这项工作有决定性的影响。综合素质强的合同评审人员能在与客户取得良好沟通后,快速发现客户的需求,为其量身定做一套解决方案,嬴得客户信任,维持客户同时为实验室获取了经济效益与发展资金。同时,由于对标准、检测方法等内容的熟悉,他们选定的检验依据或方法项目能为检验环节约时间,让检验环节与合同评审环节无缝连接,使检验环节成为真意义上的检测,而综合能力低的合同评审人员做出来的工作流转到检测环节后,会给检测开展带来很多不必要的阻碍,通常不是由于评审时要求客户提供的样品数量达不到检测标准要求而使检测无法正常进行,就是与客户就检测项目沟通得不够完整导致模拟两可而使检测不能开展。总之,综合能力低的合同评审人员会给检测留下很多不确定信息,严重影响检测进度。
然而,合同评审中对检测报告、检毕样品的处置方式的及时敲定也是体现合同评审作用,提高工作效率的表象之一。
风险管理职能范文5
网银运营风险,因为其难以定量和定性,一直以来银行界对于运营风险没有统一的定义。直至巴塞尔银行监督委员会在新巴塞尔资本协定第二次咨询文件中,就运营风险定义为“由于内部运营、人员以及系统之使用不当或失误,或因外部事件所造成之直接或间接的损失”。巴塞尔 II 还对运营风险的各个方面,包括资本的分配,风险衡量,运营管理等进行一系列的规范和建议,并自2006年底开始施行。
对于银行运营风险管理工作,网银行业务是一个新的挑战领域。网银行运营风险一方面难以预见与管理,但另一方面又具有软件的自动化、运营简便等优势。因此,通过应用信息智能技术于网银行业务运营风险管理,达到更具效益的风险管理。
二、信息智能技术应用于网银行运营风险管理
运营风险管理的组织结构框架可以归纳为三个要素:1、管理政策;2、建模与衡量的方法论;3、管理结构,包含相关的人事、系统以及有序的管理过程。
自从巴塞尔II新资本协议推出后,银行运营风险管理已经趋向信息科技化、系统化和规范化。
信息智能技术自80年代至今一直是计算机科学的热门话题,以往主要集中在自动化和游戏对弈等领域,近年来在机器学习,人脸、图像、声音识别等领域有很大发展,并且已经开始应用到银行业之中。信息智能的领域很广,结合本文的特点,我们将会集中探讨机器学习的方法。
机器学习(Machine Learning),是通过对测试数据或者历史资料的分析,寻找最优化解决方法的某些计算机算法的统称 (Alpaydin, 2004)。通过对给定的数据集的“学习”,计算机程序能对新的数据进行判断、分类等。以下介绍种比较适合应用于运营风险管理的两种机器学习的方法:
(一)贝氏网络(Bayesian Networks)
贝氏网络通过图示模型表示变量之间的相互作用和关系 (Alpaydin, 2004),网络由一个有向无回路图(Directed Acyclic Graph, DAG)组成,结点表示随机变量,结点间的箭头表示各风险事件之间的依靠性联系。下图1.1 表示一个简单的贝氏网络的构造,由图1.1可见风险事件C的属性依赖于风险事件A和风险事件B,风险事件D的属性依赖于风险事件B和风险事件C。
图 1.1一个简单的贝氏网络
当A,B,C,D的属性分别为a, b, c, d时对应的回报为R(a, b, c, d),则不难理解下面两个公式:
属性概率:
预期回报:
贝氏网络理论有助于在运营风险管理中建立因果网络(Causal Network)。
(二)增强学习法(Reinforcement Learning)
增强学习法与一般的监督学习法不同,是在没有任何指导的情况下,就每个程序所做出的选择,在执行所作的选择以后,外部环境会对其选择给予一个回报或者损失,程序根据得到的回报或损失更新信息,供下次做出选择时参考。增强学习法适用于连续性的选择行动,其意义为当前的回报比往后得回报更加受到重视,同时也影响学习的速度与精确性。
三、信息智能技术应用于网银行风险管理
网络银行服务可以定义为“透过电信、网络等方式直接与客户进行银行产品和服务的系统”(FFIEC, 2003)。网络银行服务包括账户管理、网上交易与支付、信贷等。建立网络银行服务必须同时考虑网络设施、系统软件、法律条文、防火墙等相关因素。以下为一个典型的网银行风险管理系统框架其组成元件包括:风险管理政策、内部监控、风险资本、关键风险指标、记分卡、损失资料库、系统环境素和风险管理模型。
运营风险管理可划分为五个步骤包括:
(一)运营风险识别
运营风险识别的关键步骤是风险对照和关键风险指标的建立。通过建立因果网络构建风险因素之前的交互联系,可以得出清晰明确的关键风险指标。运营风险识别的流程图见图1.2 :
图 1.2运营风险识别流程图
运营风险识别的步骤包括:(1) 运营风险管理层根据风险损失数据或情景分析结果识别出风险;(2) 过程定位,找出与运营风险相关的业务部门与相关的活动项目;(3) 通过收集到的信息,建立风险档案,填写相关信息如风险编号、风险描述、相关业务部门等;(4) 因果分析,分析与风险损失相关之事件活动之间的因果联系,建立因果网络模型; (5) 设立关键风险指标,并对其定期监控与追踪。
通过过程定位,获取有关运营风险的足够信息以后,我们必须建立运营风险档案。运营风险档案必须包含以下信息:(1) 风险编号。由系统自动编号,风险编号包括分类编号和风险排号。(2)风险描述。对风险简明的描述,不需要太长的描述但要包含所有有必要令运营风险管理经理了解的信息。(3)其他信息。
一个因果网络根据一个或多个相关的运营风险损失建立。因果网络由风险管理人员自行设定,但必须致力建立能详尽表达风险因果关系的因果网络模型,而且不会过于复杂使得计算量过于庞大。因此,建议因果网络模型根据以下模板建立并扩充,见图1.3。
图1.3 典型因果网络模型 (Ramamurthy, Arora, & Ghosh, 2005)
1.系统程序表示内部计算机系统、网络服务器等自动化系统程序的运行状态,如系统当机的发生率等等。自动化系统是当今企业管理尤其是电子银行中必不可少的一部分。当系统程序占业务运营的比重越大时,该风险指标的权重也应该更大。评分等级可以分为好和差。
2.业务流量业务流量,即该业务每年的交易数量和营业额等,毫无疑问直接影响着风险的发生机率和损失程度等。除此以外也会影响员工效率,如过多的业务可能导致效率降低等。评分等级为低和高。
3.业务复杂性一般来说,必须任务的复杂性会比选择性任务的复杂性要高,因为有完成期限等条件限制。业务复杂性可以分为低和高级别。
4.员工效率人是 业务中最关键的元素。员工数目和平均工作时数是员工效率的主要指标,对于详尽的衡量系统可以考虑年龄、熟练程度、薪水等因素,此外该风险因素也受到业务流量和业务复杂性的影响。员工效率的评级为低和高。
5.数据来源数据来源是指所有其它影响风险的因素数据。如客户信息、注册帐户等等。一般来说,数据来源等级可以分为好和坏。
建立因果网络以后,通过因果分析即可将对风险影响最大的几个风险因素识别为关键风险指标。此外,在给定一个或多个风险因素状态的情况下,进行贝氏推论算法估算即可得出预期损失,进而可以进行资本分配或者根据实际结果对因果网络进行调整或扩充。
(二)运营风险评估
采用记分卡系统令运营风险管理层对系统参数进行评估校正,作为客观数据分析的补充。运营风险评估的系统流程图如图1.4所示:
图 1.4运营风险评估流程图
(三)运营风险衡量
运营风险衡量采用风险档案的内部直接计算和因果网络的网络推算相结合的方法。(1) 利用风险档案进行内部直接估算: 若损失分布模型尚未建立,则会采用内部衡量法计算,否则,则根据损失分布模型计算尾部在险价值; (2) 利用因果网络推算: 根据因果网络的概率推算规则,算出预期损失。例如损失0-1百万的几率是70%,1-2百万的几率是20%,2-3百万的几率是10%,则预期损失为0.5×0.7+1.5×0.2+2.5×0.1=0.9百万。
将两个结果平均得到风险衡量结果,然后根据真实的损失,结果较为接近的方法的权重会增加。
(四)运营风险管理
一般用情景分析或关键风险指标。用情景分析法: 因果网络可以很好的辅助情景分析。例如,当需要分析在系统当机情况下的风险状况时,则可将因果网络中“系统状态”中“好”的几率设为0,“差”的几率为100%,进后进行因果网络推算。用关键风险指标: 为了监控关键风险指标,及时作出降低风险的措施,我们设定在系统中设定风险状态和行动计划,帮助我们系统地进行运营风险管理。通过风险状态和行动计划的记录,便可以创建一个全面系统的运营风险管理平台。
(五)运营风险报告
一个有效的运营风险管理系统,是能够告风险状态风险管理人有用的预警信息,使风险管理人能及时作出适当和及时防止风险发生的行动计划。
四、增强学习法强化网络运营风险管理
增强学习法是一种在做出选择以后才进行结果评估的机器学习系统。适用于连续性的状态-行动型过程模型的应用,即(状态1->行动1->状态2->行动2->……)的连续型模型。运营风险管理里的关键风险指标的运营风险管理模型即为此类,因此我们可以应用增强学习法建立自动化关键风险指标的运营风险管理系统。
在已经建立了风险状态集合 和行动集合A(S) ,假设在状态s下我们每次执行行动a会进入到唯一的结果状态 ,同时通过评估可以得到立即回报(或者立即损失) ,其中 为状态 所对应的风险衡量值(在本系统中则通过因果网络估算得出)。
接着,只要应用Q-Learning算法,建立增强学习系统就可以了。不过和经典的增强学习理论不同的是,这里的目标不在于在每一个状态下找出最优的行动,而是希望在每个状态下对所有可行方案进行评估打分,以提供运营风险管理人员有用的信息帮助其做出更好的选择。因此这里的做法是将Q-Learning算法中得出的 值显示到用户界面,供运营风险管理人员参考。
图 1.5应用增强学习的运营风险管理流程
以目前的运营风险管理系统状况,以及增强学习法本身准确度的局限性,使得目前在运营风险管理上应用增强型学习的程度比较有限,仅作为管理系统的辅助工具。但是相信,随着电子银行自动化程度逐渐增强,在今后行动方案能够被系统自动执行的时候,增强学习法将能够发挥更大的作用。
五、结论
巴塞尔II对银行运营风险管理的要求和我国在“十一五”期提出金融科技化的理念 ,我国商业银行有需要尽快把银行业务网络化,科技化,但与此同时,网络银行业务的快速发展又出运营风险管理的问题,故此我国网络银行界极需求自动化智能化有创新性的运营风险管理技术。
风险管理职能范文6
——确定风险防范方案的基本原则为风险控制收益大于风险控制成本。风险控制收益包括避免或降低风险发生带来的财产损失和对企业规范经营的提升。确定解决方案时,应根据该风险发生的可能性及损失程度,分析判断其在不同方案下的风险控制成本和风险控制收益,进行衡量比较,选择其中收益成本比最大的一种方案。而企业法律风险管理落实情况的主要内容包括两部分:一是风险防范方案落实的及时性,即各责任部门是否在规定时间内完成了方案的落实工作;二是风险防范方案的落实质量,即各部门完成的风险防范方案从措施内容看,是否完整、准确,是否能够实现具体风险防范目的等,包括哪些风险预防方案实施完成较好,哪些风险防范的措施尚未完成,或已完成但完成质量有缺陷;对各部门的实施情况做出评价,督促各部门积极、认真地落实方案。
同时,为法律风险管理体系的更新提供信息,如风险测评、风险防范现状评估的基本信息,保证体系良性循环。企业法律风险管理的落实与提高,实现风险管理的现代化和制度化,必须做到:
(1)法律风险管理信息化。信息化是现代企业管理的重要手段,通过信息化可以有效地处理大量信息,提高工作效率。要实时采集和处理信息,实现动态管理,对风险信息输入、风险识别、风险分析评估、风控方案实施效果进行评价,更新、完善风险防范体系。
(2)法律风险管理与绩效考核相挂钩。绩效考核是企业监督管理,业绩评价的有效手段,将法律风险管理的成效与绩效挂钩,将大大提高法律风险管理的质量。
