风险管理控制方案篇1
【论文摘要】目前,计算机技术的不断普及使一些传统的文件载体不断消失,而计算机办公自动化正逐渐被很多企业推广运用。办公自动化最明显的标志就是信息档案的建立,这种记录信息的手段对企业来说更加方便和快捷,避免了传统的纸张档案的弊端。但是有利必有弊,计算机自身也存在着一些缺陷,导致企业在使用信息档案这一手段时也存在一些弊端,针对这个问题,企业在运用此技术时一点要做好风险的防范措施,力求使风险降到最低。基于此,本文主要对电子信息档案管理的风险控制方法进行了探讨。
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。
简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。
参考文献
[1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3):8~11
[2]王兆新,裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1):36~37
[3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4):28~29
风险管理控制方案篇2
1避免风险的措施
提早预防,预防风险是躲避风险的最有用的方法,亦然最经济的方式,就电子档案而言,应该以它本身的已有的缺点为依据来实施控制管理,保证内部信息的安全性,主要措施有:
1.1积极引进最新技术
在计算机使用的过程中,要结合多种防范措施进行保护。创新技术的应用在一定程度上增加信息的安全性,所以,要引进新的技术,使风险规避达到最优化。设置密码是最广泛使用的方法。在操作系统的电子信息文件的密码设置,培养计算机人才的监督控制的一些技术,避免了信息资源的外部因素的干扰。
1.2制定制度
管理制度在保障信息的安全性中是不可缺少的部分,单位要及时主动制定严格的针对性制度进行防范,同时也可以根据实际情况制定制度。
1.3及时消除风险
为了确保信息文件的数据安全,消除潜在的风险是非常重要的,在电脑的维修周期,单位尤其要注意随时可能出现的风险,并采取积极措施。由于计算机技术的的复杂性,只要及时且做到全面对待问题,那就能够把问题解决掉。例如,对于计算机的病毒,以及时应对潜在的风险,并采取措施是非常必要的。
1.4及时进行预防和保护
一种消除电子信息的风险因素的重要措施,它能有效的避免外部因素的破坏信息数据,保证信息的安全。
2控制风险的措施
一旦电子信息档案遭到外界影响,要想把危险降到最低程度,就要求管理人员最大程度地把危险掌控在严格的一定的范围内。目前不少单位在制订实践应变计划、恢复计划、电子讯息档案,从新安置等方法来减小风险,减小电子信息档案及相关资产价值自身或风险亏损。补救措施的方法有事先措施、过后措施。事先措施指的是在亏损产生前为减少损亏程度使用的方案,危害过后措施指的是损失发生后减少威害实行的方法。值得注意的是,如果有危险的电子文件管理,无论在什么样的情况下,单位应主动及时的处理。
3分散风险的措施
在电子信息档案管理中,转移策略也是一种经常使用的规避风险的措施,转移策略实质上就是一种分散风险的方式,也就是把风险转到其他的地方,一般来说,可以从多个方面对风险转移的方法实施修改,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等。经过此种方式的处理之后,我们就可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。除此之外,还可以和网络供应商互相协调,让供应商的安全服务与电子信息档案的使用需要相匹配。另外,还要强调的是,外包同样也存在着风险,如果外包人员不符合合同的标准,那么后果也是很严重的。所以,为了预防人为因素给企业造成损失,那么,那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
风险管理控制方案篇3
——确定风险防范方案的基本原则为风险控制收益大于风险控制成本。风险控制收益包括避免或降低风险发生带来的财产损失和对企业规范经营的提升。确定解决方案时,应根据该风险发生的可能性及损失程度,分析判断其在不同方案下的风险控制成本和风险控制收益,进行衡量比较,选择其中收益成本比最大的一种方案。而企业法律风险管理落实情况的主要内容包括两部分:一是风险防范方案落实的及时性,即各责任部门是否在规定时间内完成了方案的落实工作;二是风险防范方案的落实质量,即各部门完成的风险防范方案从措施内容看,是否完整、准确,是否能够实现具体风险防范目的等,包括哪些风险预防方案实施完成较好,哪些风险防范的措施尚未完成,或已完成但完成质量有缺陷;对各部门的实施情况做出评价,督促各部门积极、认真地落实方案。
同时,为法律风险管理体系的更新提供信息,如风险测评、风险防范现状评估的基本信息,保证体系良性循环。企业法律风险管理的落实与提高,实现风险管理的现代化和制度化,必须做到:
(1)法律风险管理信息化。信息化是现代企业管理的重要手段,通过信息化可以有效地处理大量信息,提高工作效率。要实时采集和处理信息,实现动态管理,对风险信息输入、风险识别、风险分析评估、风控方案实施效果进行评价,更新、完善风险防范体系。
(2)法律风险管理与绩效考核相挂钩。绩效考核是企业监督管理,业绩评价的有效手段,将法律风险管理的成效与绩效挂钩,将大大提高法律风险管理的质量。
风险管理控制方案篇4
论文关键词廉政风险防控结合机制基层检察院
推进廉政风险防控机制建设,从重点领域、重点部门、重点环节入手,排查廉政风险,健全内控机制,构筑制度防线,形成以积极防范为核心、以强化管理为手段的科学防控机制,是党中央在新时期反腐倡廉工作的一项重大举措。对于基层检察机关,在开展廉政风险防控体系建设过程中,可以将廉政风险防控机制与现有工作机制如规范化管理机制、检务督察机制、执法档案管理机制、绩效考核机制等有效对接,在确保廉政风险防控机制有效运行的同时,促进检察工作各项管理机制的协同发展。本文结合基层检察院工作实际,就如何构建廉政风险防控结合机制作一初略探讨。
一、廉政风险防控结合机制的内涵
廉政风险,是指党员干部在行使权力、执行公务或日常生活中发生腐败行为的可能性。廉政风险点,是指公共权力运行流程中可能出现因教育、制度、监督不到位和党员干部不能廉洁自律而产生廉政风险的具体环节或岗位。廉政风险点及其相对应的廉政风险是动态的、变化的,随着权力运行的变化或岗位职能职权的调整,而相应发生变化。www.133229.Com
廉政风险防控机制,是指运用现代管理理念,对权力运行各个方面和重要环节的廉政风险实施有效防控,实现内部监管与外部监督、行政业务与廉政工作、思想防范与制度约束的有效结合,最大限度地降低腐败行为的发生。
所谓廉政风险防控结合机制,是指基层检察机关在运行廉政风险防控机制过程中,将廉政风险防控机制与现有工作机制如规范化管理机制、检务督察机制、执法档案管理机制、绩效考核机制等有效对接,在确保廉政风险防控机制有效运行的同时,促进检察工作各项管理机制协同发展的廉政风险防控机制运作方式。
二、构建廉政风险防控结合机制的理论基础
开展廉政风险防控体系建设是当前党风廉政建设工作的一个重大课题。如何对检察人员实行廉政风险管理,提高其拒腐防变能力,是当前各级基层检察院面临的一项重要任务。只有构建廉政风险防控结合机制,才能有力地促进检察干警廉洁执法、高效履职,从而使检察机关各项职能作用得到更加充分的发挥。
(一)构建廉政风险防控结合机制的理论依据
中共中央关于《建立健全教育、制度、监督并重的惩治和预防腐败体系实施纲要》(以下简称《实施纲要》)指出:建立健全惩治和预防腐败体系,要坚持科学性、系统性、可行性相统一,理论与实际相结合,注重科学合理、系统配套和可操作性,充分发挥惩治和预防腐败体系的整体效能。
中共中央关于《建立健全惩治和预防腐败体系2008-2012年工作规划》(以下简称《工作规划》)进一步明确:落实建立健全惩治和预防腐败体系实施纲要,要坚持统筹推进、综合治理,把惩治和预防腐败的阶段性任务与战略性目标结合起来,立足当前,着眼长远,整合各方面资源和力量,增强惩治和预防腐败体系建设的科学性、系统性、前瞻性。
最高人民检察院在发文中提出:贯彻落实《实施纲要》、《工作规划》涉及到检察工作的各个方面,是一项长期的系统工程。各级检察机关应统筹安排、分步实施,既要立足当前,扎扎实实地做好各项工作,又要着眼长远,科学筹划安排,分步骤、有重点地逐步推进实施。
由此可见,《实施纲要》、《工作规划》中所描述的惩防腐败体系是一个系统工程,根据唯物辩证法的系统论思想,惩防腐败体系的生存与发展与其外部机制息息相关。因此,基层检察院贯彻执行《实施纲要》、《工作规划》必须从本单位的实际情况出发,将廉政风险防控机制与基层检察机关的现有工作机制相结合,制定出切实可行的措施,大胆探索,勇于实践,创造性地实施。
(二)构建廉政风险防控结合机制的现实基础
基层检察院建设是检察机关全部工作的基础,也是一项长期而艰巨的战略性工作,事关整个检察事业的发展全局。为此,最高人民法院专门制定了《人民检察院基层建设纲要》及《基层人民检察院规范化建设考核办法》,我省也专门下发了《湖南省基层检察院建设考核办法及量化评分细则》,对基层检察院建设进行督导和规范。应当说,从中央到地方,对基层检察院建设工作是非常支持的,特别是近几年来,上级院一直将基层检察院建设作为重点工作来抓,不断加大指导力度,使基层检察院干警的执法能力、执法形象、执法公信力、科技装备等有了很大改观,但是由于种种原因,人员短缺、案多人少,仍是制约基层检察院发展的突出问题。 作为行使法律监督职能的检察机关,在整个国家权力机构中,担当着反腐倡廉的重要司法职能。如何规范检察机关自身的执法行为,确保检察人员自身的廉洁性,作为检察机关承担内部监督职能的纪检监察部门也“从幕后走到台前”,肩负起做好检察人员廉政风险管理的重要职责,除了开展日常的纪检监察外,如何构建“教育、制度、监督”并重的惩防腐败体系,需要制度与方法的创新。
然而,人员短缺、案多人少的突出矛盾依然制约着基层检察院的各项工作,基层检察院的纪检监察工作也不例外。据统计,基层检察院纪检监察部门专职人员一般为1-2人,却要承担日益繁重的内部监督职责,而且这种状况还会在一定时期内长期存在。笔者认为,基层检察院纪检监察部门要缓解当前任务重人手少的矛盾,必须与其他职能部门协调配合,形成工作合力,方能履行好自己的内部监督职能。实际上,为缓解案多人少的突出矛盾,将尽可能多的人员安排到业务部门办案,有些基层检察院不得不将纪检监察、检务督察等两个或两个以上的部门合署办公或多个部门人员交叉任职。这就为廉政风险防控机制与基层检察院的规范化管理机制、检务督察机制、执法档案管理机制、绩效考核机制等现有工作机制相结合,构建廉政风险防控结合机制提供了现实基础。
三、构建廉政风险防控结合机制的表现形式
通过比较分析,不难发现基层检察院的现有工作机制如规范化管理机制、检务督察机制、执法档案管理机制、绩效考核机制等,与廉政风险防控机制在目标、内容、方法上存在诸多共性,正因为他们之间有着天然的契合性,构建廉政风险防控结合机制才有了现实可能性。下面,笔者就廉政风险防控结合机制的主要表现形式作一简要论述。
(一)廉政风险防控机制与规范化管理机制相结合
规范化管理机制,是指检察机关为了确保检察人员的管理、检察办案工作的开展、检察机关的运作均按照既定的程序、规则、制度进行,而建立的一套现代的、科学的、符合法律监督职能要求、检察执法特点和检察队伍构成的机制。实现廉政风险防控机制与规范化管理机制的有机结合,一是规范工作流程,加强对干警执法活动的全程监督,突出防控重点人员、重点岗位和重点环节。二是规范同步录音录像,专人负责管理录音录像和其他各种资料。三是层层签订办案安全责任书,强化办案工作区各种安全措施,加强对办案过程的安全检查。
(二)廉政风险防控机制与检务督察机制相结合
检务督察机制,是指检察机关的检务督察部门及其工作人员依照法律和规定对督察对象履行职责、行使职权、遵章守纪、检风检容等方面进行监督检查和督促落实的一项重要内部监督工作机制。实现廉政风险防控机制与检务督察机制相结合:一是加强对重点部门办案纪律、重点办案环节、办案安全等方面进行督察,发现风险点及时加以督促改进。二是加强对重大决策执行情况的督察。三是是加强对外出执行公务人员检容检纪以及对警车涉足酒店、娱乐场所的督察。
(三)廉政风险防控机制与执法档案管理机制相结合
执法档案管理机制,是指检察机关为了保证检察人员正确履行法律赋予的职责,而将检察人员办案的数量、质量、效果以及在执法办案活动中执行法律、遵守纪律、接受奖惩等情况全部记录下来形成档案并加以动态管理的机制。实现廉政风险防控机制与执法档案管理机制相结合,一是将廉政风险防控工作考核情况记入检察人员的执法档案,通过对检察人员的执法行为的全程监控,促进检察人员依法办案、廉洁办案。二是在执法档案的管理上,采取“一案一登记”、“一案一测评”的方式,对个案进行全方位的评估。三是依据个人执法档案实行错案追究制,对检察人员在执法过程中收受贿赂、徇私枉法等违法违纪情况,进行责任倒查,追究办案人员及相关领导责任。
(四)廉政风险防控机制与绩效考核机制相结合
绩效考核机制,是指检察机关针对每个检察人员所承担的工作,应用各种科学的定性和定量的方法,对他们执法行为的实际效果及其对检察机关的贡献或价值进行考核和评价的机制。实现廉政风险防控机制与绩效考核机制相结合,一是通过采取科室自查与分管领导检查、动态考核与综合评估相结合的办法,对廉政风险防控各项工作进行考核,并将考核结果纳入个人绩效范围。二是纪检监察部门充分发挥组织协调作用,在不定期开展专项检查时,对发现的问题及时指出,责成整改。三是对廉政风险防控机制建设进行质量考核,结合检察工作实际修正风险点,促进廉政风险防控机制的不断完善。
风险管理控制方案篇5
关键词:风险管理;视角;电子档案;安全管理
从现如今我国档案管理工作的现状中可以看出,网络技术和电子计算机技术得到了高效地应用。在这一过程中,档案管理工作之间从纸质档案管理工作形式转变为电子档案形式,有效地减少了人力、物力和材料的投入,提升了档案管理工作的效率。但是,电子档案在管理的过程中风险性相对较高。
1从风险管理的角度来审视档案安全管理
在对档案风险管理和安全管理进行分析的过程中,工作人员应该对这两点的区别进行分析和探讨。对于风险管理和安全管理来说,很多人都存在着严重地误解。事实上,风险和安全之间都有比较深刻的意义。虽然,风险管理和安全管理之间是相互影响的,但是风险和危险并不相同。
风险主要包含两个方面:第一是威胁,第二是机会。风险中的这两点因素的大小主要取决于成本能量以及效率的大小。其中比较典型的就是电子档案的网络化程度。在实际的档案管理工作中,电子档案的风险性可能会比纸质档案高,但是,现如今,电子档案形式却仍然被广泛应用。主要是由于电子档案在进行的过程中不仅可以降低工作的实际难度,还可以最大限度地降低管理成本,工作效率也得到了高效地提升。也就是说,电子档案的管理形式既有风险的威胁,但是也存在着一定的机会。
安全管理和风险管理之间的差异比较明显:风险管理工作主要是以风险评估方式为主,对风险进行控制的过程中,需要应用科学地判断手段。风险管理工作的最终目的就是最大限度地降低档案管理工作中的风险性,促进档案管理工作的高效性。安全管理工作的进行主要是在进行风险管理工作之后进行的一种管理方式。安全管理体系包含的范围比较广,在进行风险控制的过程中,工作人员要将安全风险、效率以及成本三种因素之间的关系进行明确。
2档案安全管理的问题分析
2.1缺少科学的安全管理技术
所谓的安全管理工作主要是指信息安全管理,在工作中,工作人员应该对信息的安全晨读,威胁力量以及安全风险等内容进行控制,同时还应该采取各种不同类型的保障措施。同时还应该对需要人力、物力等的投入量进行控制。但是,从实际的档案安全管理工作中可以看出,由于工作人员缺少安全管理工作的理论指导,往往在档案工作中出现安全性不高,档案管理工作混乱的现象。档案安全管理方式很难适应现如今的电子档案形式。虽然,档案管理部门也层做过各种尝试,但是电子文件的安全管理工作总是存在着一定的滞后性,很难在档案安全管理工作中起到促进作用。
2.2对安全管理工作的认识存在着误解
一直以来,我国的档案管理事业都非常重视安全管理。在实际的管理工作中,工作人员往往会一直追求安全性,以至于忽视风险的防控工作。从风险管理的角度上看,风险是一种客观存在的东西,只能对其进行控制却不能消除,安全风险的存在不受时间和地点的影响,安全也是相对的。从现如今的电子档案管理工作上看,电子档案管理工作就是所谓的风险管理工作,每一种工作类型都拥有其自身的保护级别。在具体的档案管理工作中起到至关重要的促进作用。如果一味地追求绝对的安全,必然会造成各种人力、物力和财力的投入。电子档案的安全性也会受到严重地影响。可见,工作人员对档案安全管理工作的认识存在着严重地偏差。
2.3管理环节不完善
首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。
3加强档案安全管理工作的对策分析
3.1应对技术风险的措施分析
应对技术方面的风险,需要从it基础设施规划、网络访问、信息传输、数据存储、操作系统与数据库管理系统及应用软件系统、软硬件运行维护等各个方面部署防护措施,如采用防火墙加固网络访问控制,采用防水墙防止内网数据的非法拷贝和流失,采用入侵检测技术动态监控网络安全状态,采取电子签名技术防止电子文件被篡改和滥用,采用数据加密技术防止信息泄露,采取身份认证防止非法用户的入侵访问,采取防病毒软件和查杀技术防止系统文件遭破坏,采取升级服务技术堵漏洞关后门,采用容灾备份技术规避设备故障风险等。
3.2应对管理风险的措施分析
应对管理方面的风险,需要从现代档案管理业务的特点和需求出发,建立各种防范制度和治理措施。提高人员的安全意识,制定可实施的管理制度和安全操作规程,推行规范化应用;从档案信息的密级与访问权限角度,规划和部署网络区域和各类档案信息的组织、保存和管理策略,对于档案实行物理隔离,非密档案采用授权管理模式提供利用;对于档案信息存储,按照使用要求和访问频度采取分级存储策略进行管理;针对数字介质寿命相对较短等特点,采取制作纸质拷贝的“双套制”方式以应对长期之风险;针对it技术动态发展的特点,采取技术变迁管理方式,及时实施格式转换、数据迁移和版本跟踪管理;在内部it资源管理方面,采取多人协同负责,定期轮换岗位和相互制约方法,降低单人集中管理之安全风险;在网络系统整体管理方面,避免“木桶短板”现象,采取同步升级,整体安全之管理理念
结束语
综上所述,可以得知,以往传统的电子档案安全管理模式上存在了很多的不足,从而导致各种安全风险的发生,造成了十分不利的影响。而风险管理作为电子档案安全管理体系中的核心组成部分,只有加强做好风险评估工作,选择科学合理的安全控制方式,才能及时对安全风险进行有效的控制,避免电子档案受到损坏,从而促进我国档案事业长期稳定的发展。
参考文献
[1]任卉蕾.浅谈档案安全管理存在的问题及对策[J].山西科技,2011(4).
[2]马淑琴.浅析电力部门档案安全管理规范化研究[J].办公室业务,2013(23).
[3]王菁.水文电子文件的安全管理[J].科技情报开发与经济,2007(36).
风险管理控制方案篇6
关键词:内审银行业案件防控
面对全国银行业大要案、恶性案件高发频发的严峻态势,根据国务院领导的的批示精神,监管当局先后出台了一系列通知:如中国银行业监督管理委员会上海监管局《关于印发的通知》、《中国银监会关于印发银行业金融机构案件处置三项制度的通知》(包括《银行业金融机构案件处置工作规程》、《银行业金融机构案件(风险)信息报送及登记办法》、《银行业金融机构案件防控工作联席会议制度》)、《中国银监会关于修订银行业金融机构案件定义及案件分类的通知》以及《中国银监会办公厅关于2013年银行业案件防控工作的意见》(银监办发[2013]46号)等,在全国银行业系统开展案件专项治理行动,要求银行业金融机构进一步落实案防责任,保持高压态势,提高案防工作水平,全力维护银行业稳健运行,并要求要突出现场检查的针对性、时效性,进一步发挥内审稽核的作用。
一、紧跟监管思路,提升内审监督职能
中国银监会办公厅关于加强外资银行操作风险和案件防控监管工作的通知(银监办发[2012]166号)要求:“对操作风险事件和案件易发的重点部位和薄弱环节,加大内审工作力度,切实发挥内审部门在内部控制、操作风险管理和案件防控体系运作情况评估、操作风险管理执行监督方面的作用,增强银行管理操作风险和防控案件的内生动力建设;充分发挥业务管理条线自我防控的作用,强化操作风险和案件风险的事前和事中控制。”
根据监管部门有关案件防控的要求,内审应把案件风险作为一项重要内容有针对性地纳入年度审计方案,对操作风险事件和案件易发的重点部位和薄弱环节加大内审工作力度。内审部门应要求分行收到内部审计报告后,对有关审计发现进行跟进与整改,并以书面形式确认内审报告中有关缺失事项的跟进及整改情况,及提供相应的整改证明文件。内审定期检查分支机构时须关注以往审计发现问题的整改落实情况,建立档案监控审计对象对缺失事项的跟进及整改情况。此外,内审部门还应定期整理审计发现,将其中需要分行管理层给予立即关注的审计发现和具有普遍整体性、屡查屡犯和涉及案件防控领域的审计发现发送至相关业务条线负责人,让其安排属下条线部门在全行范围内进行通报及排查,并出具全行范围内的整改意见,强化操作风险和案件风险的事前和事中控制。
中国银行业监督管理委员会关于印发《银行业金融机构内部审计指引》的通知(银监发[2006]51号)第三条规定:“本指引所称内部审计是一种独立、客观的监督、评价和咨询活动,是银行业金融机构内部控制的重要组成部分。通过系统化和规范化的方法,审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,促进银行业金融机构稳健发展。”
内审部门在每年对审计对象进行风险评估时充分考虑各领域的风险暴露情况、风险管理水平和风险变化趋势及案件防控的情况,根据风险评估结果确定审计范围与频率;并根据监管机构不时的案情通报、风险提示、监管要求等更新审计程序,藉此推进及带动银行业在案件防控内控方面的不断完善,实现稳健发展。
二、以内审带动内控,进一步发挥内审作用
国务院国有资产监督管理委员会在2006年颁布《中央企业全面风险管理指引》第十条规定:“企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。”
作为银行业的第三道防线,对于银行内部的制度、流程在设立或修订阶段,内审部门就应对内部控制提供咨询性建议,参照各种案件防控有关文件,参考文件包括《上海银行业金融机构防范操作风险三十禁》(“新三十禁”)、《中国银监会办公厅关于银行员工涉及社会融资行为风险提示的通知》(银监办发[2011]369号文)、《中国银监会办公厅关于落实案件防控工作有关要求的通知》(银监办发[2012]127号文)等,从而促进银行规章制度的内控建设。
在执行内审的过程中应尤为关注与防范“操作风险十三条”有关的内控要求,在相关审计中加强对防范操作风险的规章制度建设的关注,评估制度、流程的完善性和恰当性;在相关审计中加强评估有关业务权限的执行情况,以及评估是否存在超权限的情况,防止权力滥用和监督缺位,并且加强审计方法的多样性,包括调阅视频、访谈、抽查凭证、要求岗位人员回答检查问卷等多种形式,充分发挥内审作用。
三、加强对高案件风险领域审计的力度
中国银监会办公厅关于加强外资银行操作风险和案件防控监管工作的通知(银监办发[2012]166号)要求,内审部门应定期检查评估分支机构的操作风险管理及案件防控体系运作情况,以及监管规定落实情况,重点对高风险网点、高风险业务、高风险环节、高风险岗位进行审计监督,并及时向董事会和属地银监局报告。
内审部门制定年度审计计划时,应将案件防控作为关注重点,并在风险评估时考虑各领域案件防控的情况,从而确定审计范围与频率。对于高案件风险领域,包括高案件风险分支机构、业务环节、岗位人员,内审部门应加强审计力度,例如,对重点防控领域,如现金、重要空白凭证和安防设施的突击性检查,安排对各分支机构执行至少每年一次的审计频率;对于分支机构中的高风险网点如异地支行,内审部门应进一步加强审计力度,年度内对所有异地支行进行至少一次支行全面审计,对包括分行行长、支行行长在内的重要岗位均执行离任审计,对轮岗及强制休假制度执行情况进行审计等,切实加强对高案件风险领域审计的力度,并及时将检查结果向董事会和属地银监局报告。
四、加强对员工行为的监督检查
中国银监会办公厅关于加强外资银行操作风险和案件防控监管工作的通知(银监办发[2012]166号)要求:“应实现员工行为管理与银行全面风险管理和操作风险管理的有机结合,完善各项管理制度,将员工入职前背景考察、道德操守、八小时内外行为规范等要素纳入人力资源、操作风险管理、内审监督范畴。”
因此,内审部门应将员工入职前背景考察、道德操守、八小时内外行为规范等要素纳入有关内审范畴,并且应建立分支机构操作风险和案件防控状况的定期评估制度,提升对营业网点、风险易发业务和环节、重要岗位风险控制制度有效性和执行规范性的要求,全面加强对分支行管理层的监督和制约,管理人员在同一分支行连续担任负责人最长不超过3年,离岗或轮岗时需实施离任审计,加强对员工行为的监督检查。
五、建立和完善独立的内审组织体系和规章制度,加强内部审计资源的配备及工作队伍素质建设
国务院国有资产监督管理委员会在2006年颁布《中央企业全面风险管理指引》,指引第五十条规定:“企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的有关规定。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。”
银行应建立完备的内部审计制度,对内部审计的目标、职责、授权范围、操作规程、报告路线、内审人员的聘任和解聘、任职资格和配备、工作考核、后续培训、风险评估与评级、范围与频率、审计方式、回避机制、复议制度、审计发现问题整改跟进等都作出明确规定,应提交审核委员会审议,并经董事会批准生效,不断完善内审体制。
按照《关于加强上海外资法人银行内部审计工作的意见》的要求,内部审计人员的数量应配足于正式员工总数的1%。此外,在培训方面,内审人员每年应在审计、法规、风险管理等方面参加培训,其中亦应加强对于操作风险和案件防控方面的关注,鼓励内审人员多参加内部培训及外部举办的有助内审人员加强业务知识、提高审计能力的各类培训,藉此不断提高审计队伍的业务素质。
参考文献:
风险管理控制方案篇7
关键词:操作风险;商业银行;风险控制;防范对策
进入20世纪90年代以后,一系列由于操作风险(operationalRisk)所导致的银行案件震惊了国际金融界,也对金融机构的操作风险管理提出了严峻的挑战。2004年6月“新巴塞尔协议”的颁布,提出了研究商业银行操作风险的要求。据金融信息参考2005年第6期报道,我国从2000年到2004年共发生涉案金额在百万元以上的银行业案件75起,其中人民银行6起,农业银行15起,建设银行17起,中国银行18起,其他金融机构10起,除涉案金额不祥的13起案件以外的其他案件造成国有资产损失高达24.15亿元。在这种情况下,研究我国商业银行的操作风险产生的原因及其防范对策具有特别的重要性和迫切性。
一、商业银行操作风险的具体形式
商业银行的操作风险在实际管理过程中有多种具体的表现形式,根据商业银行的特征和运行规律,借鉴国外操作风险控制与管理的经验,主要有以下几种主要形式:
1、组织风险。是指商业银行由于组织机构设置以及组织控制失效或低效,产生操作风险,而使得实际效果偏离预期目标的可能性。我国商业银行在改革过程中,组织机构及控制方式都在变革之中,由传统的组织结构及控制方式,向“公司化”的组织机构及控制方式转移,组织机构及控制方式发生失效或低效的可能性很大,由此就比较容易引起操作风险的产生,这种由组织机构及控制方式的作用或内在功能失效产生的内部操作风险,就是组织风险。
2、管理风险。是指由于管理人员以及管理职能失效,产生操作风险,而使得实际管理效果达不到预期目标的可能性。加强管理是控制操作风险的有力手段,在商业银行的运行过程中,管理人员舞弊、管理制度缺陷、管理技能下降等,都会导致内部控制制度的失效或低效,从而引发操作风险的产生。这种因管理人员以及职能原因产生的操作风险被称为管理风险。
3、技术风险。是指由于技术工艺、设备及手段等不完备或失效引发操作风险,从而使得技术控制效果达不到预期目标的可能性。商业银行的技术控制手段越来越先进,犯罪分子的作案手段也越来越高明,尤其是计算机及网络系统的产生,在方便用户以及增加商业银行业务量的同时,也在不断地增加网络操作风险。另外,现代印刷手段的提高,也在不断地产生着假票、假币,也促进了操作风险的产生。以上这方面的原因产生的操作风险,被称为技术风险。
4、人员风险。是指商业银行的内部及外部相关人员,有意识、有目的地作弊或责任心不强、判断失误等原因而产生操作风险的可能性。内部人员舞弊是由于员工素质低下以及内部控制制度失效等原因造成的人为风险;外部人员舞弊是外部不法分子与内部人勾结、利用商业银行的缺陷或采用现代技术手段进行诈骗,以造成商业银行或他人资产损失的行为。
5、法律及制度风险。是指由于国家法律、法规不健全,以及商业银行制度缺陷,而造成商业银行及他人资产损失的现象。我国商业银行目前正处在改制时期,法律、法规还不够健全,商业银行制度及业务还没有完全与国际接轨,已经颁布的相关法律、法规也由于环境条件的不成熟还没有完全起作用。因此,通过完善及贯彻执行相关法律、法规来降低操作风险,具有重要的现实意义。
二、商业银行操作风险产生的主要原因
商业银行操作风险的产生具有多方面的原因,针对我国商业银行的实际情况,充分考虑商业银行所面临的环境、运行特点以及内部控制状况等因素,可以把产生操作风险的主要原因归纳为以下几个主要方面:
1、内部欺诈(internalFraud)行为。是指商业银行内部的有关人员,采用诈骗、盗用资产、违犯法律以及内部规章制度等手段进行舞弊,致使商业银行发生资产损失的行为。在我国商业银行中,由于缺乏内部控制或内部控制失效,内部欺诈是产生操作风险的主要原因。在2003年媒体报道的71起操作风险案件中,内部欺诈引起的有41起,占全部操作风险案件57.75%;从损失金额上看,71起操作风险案件共产生经济损失295821万元,其中内部欺诈产生的经济损失高达199677.43万元,占全部损失金额的比例为67.50%。在国外,内部欺诈也是产生操作风险的原因之一,但不是主要原因。根据2003年巴塞尔银行委员会的调查结果,内部欺诈产生的操作风险案件1564起,占全部操作风险案件的3.31%,损失金额56350万欧元占全部损失金额的7.23%。可见,在我国内部欺诈是产生操作风险的主要原因,应重点进行防御。
2、外部欺诈(externalFraud)行为。是指商业银行外部的人员采用抢劫,伪造凭证或票据进行诈骗,开具空头支票或使用银行卡恶意透支,利用计算机盗取他人及银行货币资金,破坏金融行业计算机系用以及采用其他的违法手段使商业银行资产造成损失的行为。在国内,外部欺诈仅次于内部欺诈是产生商业银行操作风险的第二大原因,根据2003年媒体报道的操作风险统计,外部欺诈案件15起占全案件的21.13%,产生经济损失92237.3万元占31.18%;在国外,根据2003年巴塞尔银行委员会的调查结果,外部欺诈案件20039次,占全部案件的42.39%,产生经济损失121130万欧元,占全部损失金额的15.54%。可见,外部欺诈在国内外都是产生操作风险的重要原因之一,也应重点进行防御。
3、执行、交割及流程管理(executionDelivery&processmanagement)失误。是指在商业银行的业务操作过程中,业务及管理人员由于交易数据输入错误,简洁的管理失误,不完备的法律文件,未经批准访问客户账户,合作伙伴的不当操作、以及经济纠纷等所产生的交易失败、过程管理出错、合作失败等状况,最终导致商业银行经济损失的行为。在国内,这是产生商业银行操作风险的第三大原因,根据2003年媒体报道操作风险事件的统计,这一原因所引起的操作风险案件占全部案件的比例为9.86,产生经济损失75.09万元,占全部损失金额的0.025%;在国外,这是产生操作风险的主要原因,根据2003年巴塞尔银行委员会的调查结果,共发生操作风险案件16578起,占全部操作风险案件的35.07%,产生操作风险金额229260万欧元,占全部操作风险损失金额的29.41%。可见,这是我国商业银行操作风险的一个潜在原因,也应加强重视。
4、客户、产品及商业行为(Clientproducts&Businesspractices)失误或低效。是指由于商业银行的业务及管理人员,因违约、滥用客户的秘密信息、进行错误的交易、参与洗钱以及销售未授权的金融产品等,从而产生无法满足某一顾客的特定需要、产品失效或失误、商业行为出错等现象,给银行或用户造成巨大的经济损失。根据2003年的统计资料,国内因客户、产品及商业行为产生的操作风险,案件数量占比为7.04%,损失金额占比为1.29%;国外案件数量占比为7.17%,损失金额占比为31.14%。因此,树立客户至上的观念,规范金融产品以及商业行为,是控制操作风险产生的一条重要渠道。
5、雇佣合同以及工作状况带来的风险事件(employpractices&workspaceSafety)。在商业银行运行中,因商业银行不履行合同,就会产生职员要求赔偿的事件;商业银行不能为职员创建良好的工作环境,就可能会违反职员的健康安全规定,也可能或产生职员要求赔偿;商业银行在执行合同和提供良好工作条件方面的不足,也可能会引起职员的消极怠工、降低责任心、甚至会发生罢工。这一方面会增加商业银行的风险指出,另一方面会引发更严重的操作风险案件。在国内,这一原因引发的操作风险案件不多,经济损失也很小,不是产生操作风险的主要原因。在国外,据2003年巴塞尔银行委员会的调查结果,这一原因产生操作风险案件的占比为8.52%,产生经济损失的占比为6.72%,是引发操作风险的一个重要原因。
6、意外事件产生有形资产损失(Damagetophysicalassets)。主要是指由于恐怖事件、地震、火灾、洪灾等不可抗拒的力量产生的商业银行实体资产的损失。这种损失一般是由非人为性原因造成的,当不可抗拒的意外事件发生时,如果管理有效会减少所发生的风险,管理失效会增加所产生的风险。在国内这部分原因所产生的操作风险不大,不是操作风险的主要原因;在国外确实产生操作风险的一个重要原因,据2003年巴塞尔银行委员会的调查结果,这一原因产生操作风险案件的占比为1.4%,产生经济损失的占比却为24.29%。因此,我国也应重视这一原因,以最大限度地降低操作风险。7、经营中断和系统出错(BusinessDisruption&SystemFailure)。这种原因主要包括商业银行计算机及网络系统的硬件、软件产生故障、发生问题,通讯系统故障以及设备老化或出现问题发生业务中断,从而发生直接的经济损失和由此产生其他的操作风险损失。在国内这是产生操作风险的一个原因,但不是主要原因,发生操作风险的案件占比在5%以内,经济损失占比不到1%;国外的案件占比不到2%,但经济损失占比超过2%,这说明这类原因是预防操作风险值得注意的一个潜在原因,应引起充分的重视。
商业银行产生操作风险的原因是多方面的,以上主要分析了其中的一些主要原因。除此之外,如非事件类型信息失真、决策者素质低下,内部控制失效等都会引发操作风险的产生。操作风险的控制是一项长期的任务,商业银行的管理者只要从以上几个主要方面入手防范操作风险,就一定会收到一定的效果。
三、防范商业银行操作风险的主要对策
商业银行操作风险控制是一项长期的任务,需要相关人员的共同努力。针对商业银行的实际情况,借鉴国外的先进经验,对银行的操作风险控制应采取以下主要对策:
1、加强防范操作风险的环境建设。环境建设是组织文化的主要组成部分,操作风险控制环境的营造应从组织文化建设开始,使商业银行的风险控制人员提高控制意识,统一控制观念,使组织之间的控制活动协调一致,控制人员的责、权、利关系明确,形成有效的自发控制机制。只有这样,才能从源头上减少或消灭商业银行操作风险。
2、建立健全操作风险的评估机制。进行风险评估主要是分析和辨认实现预定目标发生风险的可能性,辨识和分析风险的过程是一种持续且反复进行的过程,也是一个有效控制操作风险的关键步骤。要完善商业银行操作风险的评估机制,就要从分析内部和外部两部分影响因素入手,针对商业银行的特点构建有效的操作风险评估机制。
3、利用审计监督手段控制操作风险。国内外商业银行管理的实践证明,内部审计是减少或避免商业银行操作风险的重要手段。通过实施内部审计,便会不断揭露商业银行业务上的不足以及管理制度上的缺陷,从而完善商业银行的内部控制制度,达到降低操作风险的目的。
4、提高业务及管理人员素质。市场经济的发展对商业银行的业务及管理人员提出了优化要求,目前国外商业银行职员中本科学历以上人员的比例已经超过80%,而我国商业银行的这一比例与国外相比还相差甚远。另外,由于商业银行计算机及网络系统的普遍使用对防止计算机犯罪和网络风险提出了更高的技术要求和人员要求。因此,提高业务及管理人员素质是降低商业银行操作风险的一个重要途径。
5、加强商业银行的公司治理。商业银行股份制改造以后面临的首要任务就是要建立两级、四权分离的现代公司组织机构,并从公司价值最大化的角度考虑,加强利益相关者的共同治理,把利益相关者控制商业银行操作风险的积极性和主动性充分地调动起来,通过利益相关者的共同治理,不断完善商业银行的公司治理结构、委托结构、股东治理结构和经理人制度。
6、加强技术装备,提高操作技术水平。随着计算机在商业银行的普及应用,互联网络、电子监控系统,pS系统、货币检验技术等现代化的技术与管理手段相继在商业银行的营运活动中得以广泛应用,并收到了很好的效果。在市场竞争的条件下,商业银行的竞争主要是人才和技术的竞争,在人员素质基本相同的条件下,技术与装备水平在很大程度上决定着操作风险的控制程度以及商业银行的竞争地位。
7、完善相关的法律、法规及商业银行的规章制度。我国商业银行的操作风险案件以及经济损失大约90%来自内部及外部欺诈,这主要原因是由于我国的法律、法规不健全,以及商业银行的规章制度尚未有效发生作用的结果。因此,完善法律、法规及商业银行的规章制度是目前亟待解决的一个重要任务。随着这一对策的逐步实施,必将会起到降低操作风险的作用。防范商业银行操作风险的对策是多方面的,以上只是其中的一些主要策略,只要商业银行的决策层和管理层能够从以上这些主要策略入手积极开展操作风险控制,并以此为基础向相关的方面扩展控制,就会逐步提高控制效率,实现不断降低操作风险的目的。
四、结论
商业银行的市场化运作产生操作风险具有客观必然,控制与防范操作风险是商业银行管理的一项长期任务。为探索降低商业银行操作风险的有效途径,本文在阐述商业银行操作风险具体表现形式的基础上,重点分析了商业银行操作风险产生的主要原因,并针对我国商业银行管理的实际情况,借鉴国外操作风险管理的经验,研究了市场经济环境下控制与防范商业银行操作风险的主要对策,对降低商业银行操作风险,减少国有资产的流失等具有重要的现实意义。
参考资料
[1]樊欣,杨晓光.从媒体报道看我国商业银行业操作风险状况[m].管理评论,2003(11):43-47.
[2]孙涛.商业银行操作风险控制模式及其防治策略研究[m].财贸经济,2006(9):90-92.
风险管理控制方案篇8
关键词:工程造价咨询管理风险防范方法
中图分类号:tU723文献标识码:a
一、工程造价咨询管理风险因素
1.工程造价咨询风险特点和概念
(1)风险概念
在传统工程风险管理中,管理风险主要是由不确定事件引起的结果。在这个过程中,决策者的结果与工程结果存在很大差异,差异程度作为了工程造价咨询管理风险程度。日本学者在工程造价咨询管理分析中,根据不利事件发生概率、不良后果,将风险划分成人类行为、自然行为对不利事件的可能性;美国学者在风险定义中,根据特定时间、特定情况,将风险定义为结果差异。
我国学者根据火灾特点,将火灾风险定义为火灾发生概率以及后果。由于不同领域研究具有不同的侧重点,不同的学者对风险定义、理解具有很大差异。工程造价风险的不确定事件导致预期效果偏离,对工程进度、投资、安全、质量造成的影响也有不同。
(2)风险特点
在工程造价咨询管理中,风险具有客观性、突发性、相对性、多边形、无形性等特点。由于风险构成因素多样,不以人的意志为转移。在风险客观性影响下,不仅要正确认识风险、探究风险规律,还要根据风险防范措施,从根本上将工程风险降到最低。在构建风险预警、防范措施的同时,正确预知风险;在理论系统、模糊概率综合运用的同时,客观评价工程造价咨询管理风险。
2.工程造价风险因素
为了保障工程造价风险客观评价顺利进行,在正确分析工程造价风险影响因素的同时,可根据产品的生产过程、造价实现过程,将风险分为社会、政治、经济、自然、技术以及管理风险。根据成分不同将风险分为不确定性、确定性以及风险性造价;根据工程目标影响,将风险分为工期、质量、造价风险;根据后果分为投机风险以及纯风险。
二、工程造价咨询管理风险防范过程以及防范方法
1.工程造价咨询管理风险防范过程
在工程造价咨询管理风险防范中,常用的识别方法有检查表、流程图、头脑风暴、情景分析、德尔非以及敏感性分析法。在明确工程目标的同时,确定影响因素;根据文件资料,正确评估项目风险形式,进行直接、直接风险识别。如决策阶段影响整个工程造价风险的75%~95%,设计技术占35%~75%,施工阶段占10%~35%。根据这串数据可以知道,在设计阶段以及决策阶段,设计阶段直接影响工程决策。因此为了满足工程项目使用要求,在合理使用的同时,必须有效降低工程造价。
在工程风险识别中,不仅要对风险管理进行正确评价,在为工程决策提供依据的同时,还要通过相关信息特征,采取对工程造价管理有益的防范措施,从根本上降低工程造价成本。在这个过程中,风险评价方法包括传统造价方法、决策法以及主观评分法。由于概率分析缺乏精度、可靠度,导致造价管理事后控制,一般用于单一值分析。统计试验法,又称蒙特卡罗模拟分析法,在多参数、多种参数分析中,根据相关概率进行随机变化。在全过程动态控制中,通过统计试验法产生新型成本造价,继而对工程成本进行控制。这种分析法在充分应用概率分布的同时,通过投资分析进行管理决策,具有信息预测丰富、使用广泛等特点。
2.工程造价咨询对管理风险防范方法
(1)风险规避
风险规避在风险防范中属于中断的方法,通过放弃原有工程,在设计保守的同时,使用科学的合同条件。如技术不达标的施工方案坚决不用,在避开风险的同时,从根本上避免有风险的技术、方案、资源。同时也需注意的是,规避也会衍生新的风险,失去获得利益的时机。因此在风险防范中,必须根据实际情况,选用最佳的方法。
(2)风险遏制方案
风险遏制在工程造价咨询管理风险防范中,通过控制危险源,在减小危险因素的同时避免危险延伸,让保护对象和危险隔离,及时处理已经造成的危害,从而不断更新、修复受损害物体。这种积极的工程造价风险方法在实际应用中,必须以工程造价风险评价、识别为依据。如当工程管理出现财务危机持续升高现象时,可通过薪资注入的方式,从各方面有效地控制工程风险。
(3)风险转移方案
风险转移是将风险意识通过特定路径转移到与自己利益无关的另一边,具体措施主要包括工程索赔、工程分包等。如在工程保险担保中,通过购买保险、合同等方式将工程风险转移给他人,从而达到工程分析转移目标,一般用于概率小的工程风险。
3.工程造价咨询管理风险防范措施
为了保障工程项目造价风险管理的效益,相关部门必须根据控制环境主观能动性以及控制意识,从根本上增强风险管理控制环境,增强项目内部控制效益,建立良好的风险评估控制体系。在内部信息沟通监督中,通过增强监督部门职责,充分利用信息系统,降低工程成本资金。在工程造价风险监控处理中,可根据“三超”现象主要原因,制定全方位的监控预测,对识别项目进行精细处理、监控。由于工程造价风险不仅具有全程性,还具有普遍性。因此,必须加强工程整体性控制,从根本上保障风险有效控制。在造价风险监控处理中,必须保障以下几方面:
1)风险规避方案。风险规避是一种中断方式,具体做法有通过放弃工程,采取保守的设计,争取合理的合同条件。如:存在技术不达标的施工技术坚决不采用。这种防范方法是从根本上不使用有风险的技术、资源、方案,从而避开风险。但是需要注意的是规避可能衍生出一种的新的风险;规避的同时也同时失去了获取利益的机会;有时候采取规避并不是一种很有效的方法。
2)风险遏制方案。其具体措施有预防危险源;降低构成危险的因素数量;防止危险的扩散;隔开危险与保护对象;迅速处理已经造成的损害;修复、更新遭受损害的物体。这是一种积极的工程造价防范措施,它的实行必须以工程造价风险识别和评价作为依据。如:对于出现的财务危机继续升高的风险,采取注入新资金的防范措施。这种防范方法是从风险发生的角度出发去控制风险的。
3)风险转移方案。这是一种将风险有意识的转移到跟自己有利益关系的另一方。其具体措施有工程分包、工程索赔等。如:实行工程担保和保险,是工程分析得到转移,通过合同或购买保险将风险转移给他人。这类风险控制方案多数是用来对付那些概率小的风险。
三、结语
工程造价咨询管理风险防范作为工程造价效益的重要保障,在风险分析、处理中,必须根据方法特征,正确分析风险类型。在正确评价、识别风险的过程中,要使用最佳工程造价管理方案,提高工程经济效益,控制工程造价风险,促进单位发展。
参考文献
[1]茹泉洪.浅析工程造价咨询管理风险防范[J].城市建设理论研究(电子版),2012(18).
[2]李蜀燕.建筑工程造价咨询管理探讨[J].城市建设理论研究(电子版),2012(19).
[3]曾俊.工程造价咨询项目集管理[J].中华民居,2011(07).
[4]孙海虹,叶晓延.基于蒙特卡罗模拟技术的工程造价风险因素分析[J].重庆大学建筑学报.2005,27(6)
风险管理控制方案篇9
关键词:公路工程工程造价风险管理造价管理
中图分类号:U415.13文献标识码:a文章编号:1672-3791(2015)02(b)-0000-00
1公路工程造价全风险管理的原理
从造价风险控制程序上来看,首先需要根据公路工程项目的各方面信息,确定造价风险控制的目标,然后根据总体目标状况,选择在本工程工程项目中,最为实际的最佳方案,使该最佳方案与施工中造价控制各种处理手段形成最佳组合。从造价风险控制的方案来看,方案的选择是根据以控风险而来的,方案的设计目的是消除引发风险事件的因素。公路工程造价风险的前处理主要处理方法有风险遏制、风险规避和风险转移,而在造价风险的后处理阶段,主要处理方法有风险容忍、风险应急、风险消减和风险分担。
2造价全风险管理控制的方案设计
(1)造价全风险控制的控制分类划分
公路工程项目的层次化和复杂化导致造价全风险的划分标准存在多样化,这种多样化与工程施工的长工期、涉及范围广有很大关系。通常来说,在造价风险的识别阶段,对造价风险的划分依据是其对造价的影响特点,在造价风险的度量阶段,对造价风险的划分标准为度量特性。对造价风险划分的目的是针对造价风险的类型制定针对性的管理和控制方案。
(2)不同风险的控制设计
从造价管理理论和风险控制管理理论来看,公路工程项目造价风险的控制设计以及各种控制方案的配合,需要根据风险的不同类型进行针对性的设计,不同风险选择不同的控制管理方案组合。在不同施工阶段,造价风险类型不同,主要有传递性风险和阶段性风险两种,对这两种风险的控制,在整个公路工程施工过程中是全过程的、动态的。
3公路工程阶段性造价风险的控制
(1)正确定位建设标准
一个公路工程项目的施工时系统性的,其造价管理也应该是系统性的,这就需要在工程建设的初期就要正确定位建设标准。建设定位的因素是多样化、复杂化的,不仅需要分析项目在路网中的功能与作用,以及项目所处的地理环境和社会环境,还要与当地的经济发展状况相适应。首先需要公路工程的整体上有个整体性的定位,然后才可以在整体定位的大框架下形成阶段性定位。拟定的建设技术标准与其使用功能应当相适应,避免过高的技术标准导致实际施工无法进行。
(2)估算、概算、预算的编制
在进行各种编制之前,必须确保编制依据的选取合法和时效,并且与实际工程状况相适应。估算的编制需要合理的运用估算指标,并结合指标范围和市场行情,准确定位人工、施工材料的价格,人工与材料价格的控制需要是动态的,保证其与国家相关政策和市场因素相适应。概算与预算的编制可尊徐工程量计算的原则,正确采摘工程数量。工程数量包括设计图表中的工程数量和设计文件中缺少或未列的工程量。另外对概算和预算的编制还要真确套用定额,科学取定和计算材料价格,做好造价分析。
(3)加强占地拆迁费用控制
对于公路工程项目所占用的拆迁地需要准确划分其土地类别,在准确的土地类型上计算征地费用。对土地类型的认定,可借助工程所在国土部门的“土地现状变更图”资料,并且可请当地国土局配合进行实地调查,进而编制准确的公路征地或用地表。此外,如果工期较紧的建设施工项目,为保证工期和征地拆迁工作的顺利进行,可由业主与地方土地管理部门签订征地拆迁包干费用协议,由地方土地管理部门完成拆迁工作。
(4)招投标阶段的造价控制
首先,正确确定招标方式和标段数量,招标的方式一般可选择最为常用的邀请招标形式,虽然降低了竞争性,但提高了效率,从而减少了招标成本。标段数量的设定方面,尽量不要使标段太小,这样一方面不利于施工单位间的协调,另一方面不利用土方的纵向调配。招标单位需要对投标单位的各种信息进行严格的资格预审,并根据投标单位的资信、能力、经验、施工力量、人工等指标进行综合评分和排名,最终确定施工单位。最后在签订合同方面,尽量使用合同示范文本,加强合同管理意识。
(5)加强竣工决算审查
竣工决算审查是工程造价控制的最后环节,需要对工程量的计算、材料价差和施工费用的变化等进行全面的审查。工程量的审查包括设计图纸、工程变更的工程量与所报工程量的一致性,是否存在重复计算的工程量,工程量的计算是否按定额规定的分部分项计算规则计算。设计变更的审查包括设计变更内容的合规性,设计变更的费用是否已经包含在合同造价中,手续是否齐全,内容是否清晰,材料是否齐全等。
4公路工程传递性造价风险的控制
(1)强化设计管理
基本建设程序从“工可研”到“初步设计”到“施工图”,每个步骤和阶段都必须要进过严格的逐级审批,这样从估算到预算都能得到有效控制。对公路工程的设计阶段进行科学的经济论证,对设计方案进行优化选择,积极推行“限额设计”制度,充分保证工程造价的整体核算是建立在技术手段和经济理论的综合基础之上的。另外,对施工图纸的审查和设计变更的管理要严格控制,减少因设计变更而造成的工程损失。
(2)控制工程量变更
在进行工程量核算时,严格依据工程量清单对承包人进行计量和支付。首先加强工程变更的计价管理,严格区分计价变更和不计价变更。其次加强工程变更的计量管理,按变更图纸的内容和合同约定的条件进行计算,采用分级审批和相互监督的审查原则,保证审查的客观性。
(3)控制材料涨价风险
在整个公路工程施工过程中,施工材料的费用几乎占到总费用的三分之二以上,因此材料的性价比对工程造价的影响很大。首先加强材料的价格管理,严格确保材料价格的真实可靠性;其次正确进行材料供应的选择;再次,深化材料市场改革,建立材料招投标竞争机制;最后,开展公路工程造价指数的编制。
参考文献
[1]张向东.论公路工程造价全风险管理[J].科技资讯.2008.2
[2]未红.公路工程造价风险管理研究[D].西安建筑科技大学.2010.5
风险管理控制方案篇10
〔关键词〕风险控制;董事义务;特拉华判例;商业判断规则;干预式披露
〔中图分类号〕DF41191〔文献标识码〕a〔文章编号〕1000-4769(2013)02-0077-06
风险控制不仅是公司管理的重要内容,也与公司法密切相关。在公司治理的核心层面,以董事义务为主的约束机制构成了风险控制的法律基础。董事对于风险控制负有什么样的职责和义务?董事未能管控公司的高风险经营活动,应当承担什么样的责任?公司因风险控制体系的缺陷而遭受损失,股东能否追究董事的责任?在全球金融危机的背景下,这都是公司法学亟待解答的问题。本文将以美国公司法为对象,对此加以研究。
二、风险与风险控制
(一)风险及其类型
风险是指给公司盈利造成负面影响的可能性。风险广泛存在于商业环境中,公司运营面临多种不同类型的风险,一般可分为:市场风险、信用风险、操作风险和法律风险。在商业活动中,风险不仅带来损失,也与盈利相关;高风险可能带来高收益。在奈特关于风险和不确定性问题的经典理论中,利润来自不确定性,在不确定的环境中承担风险,获取利润,是最重要的企业家精神。①因此,企业经营不可能消除风险,而是要将风险控制在可以承受的范围内,使风险与利润相匹配,管理者与股东的风险偏好相吻合。这也就提出了风险控制的重要性。
(二)风险控制
风险控制是由公司董事会、管理层和相关部门共同实施的一套制度和程序,用以识别、防范和应对风险。其作用是使公司的经营活动能够兼顾追求利润与防范风险。风险控制是管理理论的重要内容。现代管理学将管理的要素界定为“计划、组织、命令、合作和控制”,②其中控制是确保前四项要素得以有效运行的关键所在。在公司管理的实践中,风险控制通常也与另外两类活动密切关联:其一是通过期权等金融衍生品对冲和分散风险,也称为风险管理;其二是内部控制,即公司董事会和管理层对下级机构和人员的监督、约束,防止其不当行为。
最重要的公司风险控制指南是由美国treadway委员会(theCommitteeofSponsoringorganizationsofthetreadwayCommission,简称CoSo)提供的。该委员会在1992年和2004年了两份风险控制指引报告,为公司建立风险控制系统提供了基本框架和内容建议。CoSo报告是非官方机构对于风险控制实践的优选和总结,作为向企业推荐使用的参考范本(Bestpractice)。报告提供的是高标准的制度,不具有法律上的强制效力,但在美国上市公司,特别大型企业中得到普遍采用。
CoSo报告提出风险控制的目标是保障公司经营的效率、财务报告的可信性以及公司运营的合法合规。风险控制的流程由四个步骤组成:首先是对风险的识别;在此基础上评估和分析风险;根据评估分析的结果,采取针对性的控制措施;最终准确地向股东等利益相关者报告风险。在有效识别和评估风险的前提下,公司可以采取承担风险、规避风险、减少风险或者分散风险等四种不同类型的控制措施。michelCrouhy,etal.theessentialsofRiskmanagement,mcGraw-Hillpress,2005,p.88.
(三)风险控制与董事会
董事会在公司风险控制系统中居于关键地位,这是由董事会的性质和功能所决定的。董事会是公司组织制度的核心,公司治理所承载的法律关系围绕董事的权利、职责和义务而展开。董事会最主要的职能是决策和监督。在美国的大型公司中,日常经营活动的管理和决策通常授权给以首席执行官(Ceo)为中心的高级管理层,董事会只在关联交易、并购等重大问题上保留决定权。因而对管理层的监督便成为董事会的重要职责。在风险控制问题上,董事会的职责首先是确认和评估公司建立了恰当的风险控制系统。更重要的是,董事会要监督风险控制系统的有效运行。另一方面,有效的风险控制系统保证了公司信息传递的真实准确,使管理层的工作处于可问责的透明状态(accountabilityandtransparence),因此,风险控制构成了董事行使监督职能的制度保障。
近年来,随着风险控制理论研究的深入,学界提出了“全面风险控制”的概念(enterprise-wideRiskmanagement)。相比于传统理论,全面风险控制要求董事会对公司面临的风险进行整体性、持续性地主动管理,而不是依赖于审阅特定部门在个别时点提交的风险报告。从而将风险控制从技术性、操作性的工作提升为公司层面的风险理念。CoSo在2010年度报告中,重点建议董事会确立公司的风险理念,关注商业环境的变化对于公司战略目标的影响,正是体现了全面风险管理的要求。这对董事会在风险控制系统中的作用提出了更高的要求。
三、风险控制作为公司法问题
风险控制作为管理制度并不具有强制约束力,董事在风险控制方面的职责,必须转化为法律制度,纳入董事义务的规范体系,否则很难据此追究违反者的法律责任,风险控制容易蜕变为“没有牙齿的老虎”。美国公司法对于董事职权和义务的一般性规定,是与公司管理中的风险控制相契合的。例如,《特拉华州普通公司法》规定,“公司的经营事务,由董事管理或者监督”。美国律师协会拟订的《标准公司法》表述为:“公司权利应当由董事会行使,或者由董事会授权行使;公司业务应由董事会管理,或者在董事会的监督之下进行管理”。美国法律研究院在对其《公司治理原则》的官方评论中更详细地阐明了:“具有合理谨慎的普通人在担任公司的董事时,无论公司是何种规模,都应当确认与其履行监督职能相关的程序、计划和其他技术是有效存在的;这构成了董事义务的一个重要内容。”但是,在美国各州的公司法中,对董事职权的规定都比较概括,而不涉及风险控制这样的细节问题。因此,“法官造法”,即由个案诉讼而形成的司法判例,便成为美国公司法的精髓所在,其中又以特拉华州的判例最为重要。marcelKahan&edwardRock,SymbioticFederalismandtheStructureofCorporateLaw,58Vand.L.Rev.15732005,pp.1591-1592.后文也主要以该州判例为研究对象。
董事的信义义务(FiduciaryDuty)是美国公司法判例中最重要,也是最为复杂的制度。信义义务包括忠实义务和注意义务两个分支。忠实义务规范的是董事与股东之间的利益冲突,例如关联交易、掠夺公司机会等行为。注意义务则是对董事勤勉尽职的要求。与董事义务密切相关的另一项制度是商业判断规则。商业判断规则的是指当股东董事违反信义义务时,法院首先推定董事是在获取充分信息的基础上,基于善意为公司的最大利益而服务的。除非股东举证证明董事存在利益冲突、故意不履行职责以及重大过失的因素;否则即使董事决策使公司遭受损失,法院也不对其进行事后审查。只有先了商业判断规则的假定,法院才会进一步审查董事是否违反信义义务。在涉及风险控制的案件中,信义义务和商业判断规则是最重要的法律规范。
四、风险控制的判例法基础
(一)特拉华判例的演进
1.奠基之案:Caremark案
Caremark公司是一家医疗卫生服务提供商。其因违反联邦法律的规定,向医生支付回扣而面临一系列刑事和民事诉讼。在1995到1996两年间,为达成和解,Caremark公司总共支付了2.5亿美元的赔偿金。这是典型的由于忽视法律风险而给公司造成严重损失。Caremark公司的部分股东据此提起派生诉讼,主张董事疏于监督,要求其对公司损失承担责任。该案最终以和解结案,Caremark公司支付了原告的律师费,并承诺改进公司的合规控制系统。②inreCaremarkintlinc.DerivativeLitig.,698a.2d959,pp.961-962,p.967(Del.Ch.1996).allen法官在和解协议的审查结论中,首次全面阐述了对董事风险控制职责的司法立场。首先,明确了董事在决策和监督两方面的失职,都可能违反注意义务:董事违反注意义务存在于两个方面,其一是董事因为决策过程中的疏忽或误信,而使公司遭受损失;其二是董事在特定情境中,没有尽到合理谨慎来避免损失。②Caremark公司的董事就触犯了后一情形,也即对公司面临的法律风险疏于监管和控制,使公司因违法行为被诉而受到损失,违反了董事的注意义务。随后,allen法官提出:董事有义务确保公司建立和运行一套有效的信息与报告机制。但是,即使董事因为过失而没有履行上述职责,并不必然导致其承担责任。只有实质性、系统性地未履行监督职责,例如在监督信息系统的建立和确保信息的真实性方面,彻底的,才能认定董事行为是缺乏善意,将被追究责任。
Caremark案是法院首次将风险控制纳入董事注意义务的范畴,使风险控制从管理制度转变为具有可诉性的法律规范,从而成为该领域的“标杆案例”。
2.“善意”标准:Guttmanv.Huang
Caremark案之后的很长时间都没有风险控制的案例再次出现,直到2003年的Guttmanv.Huang案。该案的案情与Caremark案非常类似。著名的图像芯片公司英伟达(nViDia)因违反会计和财务信息披露的监管规则,而被美国证监会处罚。股东董事“未能确保公司建立恰当的信息和报告机制,从而保证公司在执行会计准则方面的合规性”。Guttmanv.Huang,823a.2d,p.492(Del.Ch.2003).Strine法官在判决中提出了基于“善意”的新标准,即董事“故意不履行职责,是缺乏善意的不作为,从而违反了忠实义务”。
Guttmanv.Huang案将风险控制的法律基础从Caremark案确立的注意义务转变为忠实义务。出现这一转变的原因是,当时法学界正激烈争论是“善意”在信义义务中的地位,是否存在一个独立的“善意义务”。特拉华州法院也做出了一些模棱两可的判决,Guttmanv.Huang案正是其中之一。由于安然等公司欺诈舞弊案件后,要求强化董事行为约束和可问责性的呼声高涨,善意标准被认为是实现这一目标的法律工具。法院在董事的风险控制职能上,强调善意因素也就顺理成章了。但是该案的批评者则认为,忠实义务在传统上只适用于董事存在利益冲突的情形,将风险控制纳入其范畴,扰乱了信义义务的结构体系。Stephenm.Bainbridgeetal.,theConvergenceofGoodFaithandoversight,55UCLaL.Rev.5592008,p.596.
3.红旗原则:Stonev.Ritter案
Guttmanv.Huang案在“善意”问题上,给董事履行风险控制职责所带来的困惑,最终由Stonev.Ritter案揭开迷雾。Stonev.Ritter案同前两个判例一样,与法律风险有关。一家银行由于违反反洗钱方面的联邦法律,被美联储分行处罚,公司股东因此董事。⑥Stonev.Ritter,911a.2d,p.362(Del.2006).Stonev.Ritter案进一步明确了:对董事“善意行事”的要求,不是与注意义务和忠实义务并列的。善意是作为忠实义务的基本要素,因此董事行为“缺乏善意”可能因违反忠实义务而被追究责任。⑥据此,法官总结了董事在风险控制方面的忠实义务为:首先,董事有义务监督公司建立风险控制系统,这是与Caremark案所确立的标准相一致的。其次,在风险控制系统建立之后,对于系统报告的问题,董事应当及时处置。同时,董事不需要亲自去发现每一个风险点,也没有义务持续性的监控或者完全消灭不当行为;只有“屡次发生、足够严重,并且直接呈报给董事的全局性问题”,才构成董事履行监督义务不可忽视的对象,这也被称为“红旗原则”。ReginaF.Burch,Directoroversightandmonitoring:theStandardofCareandtheStandardofLiabilitypost-enron,6wYo.L.Rev.481,2006,p.498.至此,在“善意行为”的基础上,董事在风险控制领域的监督义务得到了准确界定。
(二)判例中的不足与疑义
1.责任“软约束”。如同商业判断规则适用的其他情形一样,这三个判例均有很强的“软约束”倾向。只要被告能够举证出一套见诸于公司文件的风险控制体系,便轻而易举地免除责任。这无疑是激励公司投入大量的人力和财力去完善“纸面上”的制度,使其风险控制体系在形式上足够完备,实际运行过程中却很难真正约束管理层从事高风险商业活动。2008年金融危机,正是将这些“金缕其外,败絮其中”的风险控制体系暴露无遗。
2.适用范围的疑义。这三个经典案例,都是与法律风险有关的,更准确地说,应当是董事对公司合法经营的监督义务。上述判决能否适用于对其他类型风险的控制,在实践中,风险控制的各方面是不可分割的。安然、世通等案件表明,公司出现欺诈、利益输送等违法行为的,其在操作风险、信用风险的管控上,也一定存在漏洞,才使违法者有空子可钻。当然,法律风险的控制又确有特殊性。董事相对比较容易判断公司的经营活动是否合法,而对于商业风险的评估和管控,就要困难得多。在价值观上,商业风险是中性的,经营活动必须承担风险,方能获取收益。违法行为则是为法律所否定评价的,法律应当提供较强的激励,使董事采取恰当的管控措施,避免公司因被诉或处罚而造成的损失。
五、金融危机后的司法诉讼
(一)愤怒的股东与保守的法院
1.花旗案。花旗集团是全球著名的综合金融企业。在2007至2008年间,花旗集团的亏损超过650亿美元,被迫接受美国政府的援助计划,进行财务重组。花旗集团的损失主要来自其投资和交易的金融衍生品,特别是所持有的集合债务抵押债券(CDo)。花旗集团的股东在2009年提起多个针对董事的派生诉讼,其中最主要诉因便是董事“对金融衍生品的风险疏于管控,尤其是对房地产市场持续下跌的危险信号熟视无睹,完全未尽监督职责”。②inreCitigroupinc.ShareholderDerivativeLitig.,964a.2d,p.106,p.125(Del.Ch.2009).本案的主审法官Chandler在回顾了Caremark案“实质性、系统性失职”标准和Stonev.Ritter案的“故意怠于监督”标准后认为:“本案在形式上是基于Caremark案所提起的诉讼,股东主张董事应当对次贷市场亮出的‘红旗’有更高的警惕”。但法官的认识却不局限于此,他指出:“原告的实质,是董事的商业决策在事后给公司造成了损失”。②因此,本案应当适用注意义务和商业判断规则,原告需要董事是基于善意、获取充分信息、为公司最大利益而行为的假定。同时,由于花旗集团的章程细则对董事违反注意义务的行为免责,因此,本案的原告需要证明董事存在主观上的恶意。在Chandler法官看来,只要花旗集团建立了风险控制系统,如果公司继续从事高风险的商业活动,即使因此遭受损失,董事也受到商业判断规则的保护。因此,法官最终判决驳回。
特拉华法院在金融危机之前的风险控制案例中,对董事监督义务的范围原本就没有明确界定。这一“遗留问题”因花旗案而暴露无遗,随即也在学术界引发激烈的争论。赞成者认为以特拉华法院一贯重视商业判断规则的司法立场,这是个意料之中的判决。Stephenm.Bainbridge,CaremarkandenterpriseRiskmanagement,34J.Corp.L.967,2008-2009,pp.989-990.而批评者则指出,判决与Caremark案的对风险控制的全覆盖标准不相符合,造成了司法的不确定性。并且在金融危机后,仍然如此宽松地对待董事过度冒险的行为,实在不合时宜。Franklina.Gevurtz,theRoleofCorporateLawinpreventingaFinancialCrisis,mcGeorgeGlobalBus.&Dev.L.J.1132010-2011,pp.148-150.
2.aiG案。aiG是美国最大的保险金融企业,也是市场上最大的信用违约期(CDS)的提供商。CDS的作用类似于以债券或其他金融工具为对象的保险。CDS的持有人既可以在发生违约事件时请求发行人偿付约定的金额,也可以通过交易转让CDS而获利。因此,CDS比普通保险具有更强的投机性。金融危机发生后,aiG所承保的债务大量违约,其现金流很快便无法满足偿付请求。同时,aiG还因投资于其他金融衍生品而遭受巨额亏损。与花旗集团一样,aiG也建立了专门的风险控制体系,其董事会下设审计委员会和金融委员会,专门负责处理风险问题。专门委员会每年至少开会4次。与花旗集团案情不同的是,aiG的股东董事的诉因有两项,其一是对风险疏于管控,造成公司巨额损失,违反注意义务;其二是利用内幕消息,交易本公司股票而获利。由于内幕交易同时违反了公司法和联邦证券法,因而董事的行为不受商业判断规则的保护。法官进而查明,aiG董事的内幕交易行为使公司成为刑事被告,这表明董事明知公司的内部控制存在缺陷,却不仅不督促公司加以整改,反而从中非法获利。这正是Caremark案所确立的董事存在“实质性、系统性失职”,使公司面临“欺诈和刑事犯罪”的风险,其行为属于主观恶意,违反了信义义务。法院认定aiG董事存在更为严重的过错,因而驳回被告终止诉讼的请求。该案最终以被告承诺赔偿15亿元而和解结案。但是该案的判决仍然没有解决花旗集团案所引起的疑义,即董事监督义务是否仅限于对法律风险的管控。
3.高盛案。金融危机后,股东针对董事疏于履行风险控制职责的第三个案例是高盛案。高盛案的背景与前两个案件基本相同。而股东的诉讼请求有一些细微的区别。原告仍然是董事没有履行监督职责,违反信义义务。理由有以下三项:第一是对高盛在次贷市场的高风险行为疏于监督,公司受到重大损失;第二是高盛的薪酬结构激励高管的冒险行为,与股东利益最大化相背离,而董事对此没有提出异议或反对;第三,高盛为对冲风险,而以其客户为对手方进行衍生品交易,涉嫌利益冲突,而被美国证监会调查,使公司声誉受损。然而法院认为,高盛曾在金融衍生品交易中获利甚多,而次贷市场崩溃是偶然性、突发性的事件,公司的风险控制系统没有发出预警信号,因而不能认为董事疏于监督。而对薪酬制度监督,只要不存在利益冲突或主观恶意,董事行为便受商业判断规则的保护。至于与客户的利益冲突交易,法院认为董事在其中没有利益关联,单有此行为本身,并不能证明董事存在恶意。因此,股东的诉讼仍然与花旗案一样,是董事的经营决策事后来看是错误的,股东试图以此追究董事的责任。法院不支持这样的诉求。同时,本案判决最重要的内容是,法院对风险控制职责的范围问题,作了专门论述:
即使董事在监控商业风险上的义务是可诉的,董事对公司可承受的风险总水平的判断,也不在法院实质审查的范围之内,而是属于商业判断规则所保护的范畴。inRetheGoldmanSachsGroup,inc.ShareholderLitigation,C.a.no.5215-VCG(oct.12,2011),p.67.
这一表述表明,法院为解释商业风险是否属于监督义务的范围这一问题,试图将风险承担与风险控制区分开来,前者是经营决策,而后者才是董事监督义务所指向的内容。但是这一区分仍然缺乏详细论证和说明。
(二)法院判决缘何倾向保守
金融危机之后司法判决为何不是进一步强化董事在风险控制方面的职责要求,反而有放松约束的倾向,本文认为主要有以下三方面的原因:
首先是风险控制作为法律问题本身的复杂性。风险与收益是直接相关的。法律所要规范的,应该是董事和管理层的风险偏好与股东的风险偏好相一致,而不是由法官设定一个“合理”的风险水平。如果股东事前同意承担高风险的经营决策,以博取高的收益水平,那么当损失发生时,也就很难追究董事违反了信义义务。由此来看,法院在高盛案中区分对风险承担与风险控制,将前者纳入商业判断规则的保护,是有其合理性的。但是,风险承担与风险控制的划分,并非总是完全清晰的。尤其以金融衍生品为例,其既有对冲和分散风险的功能,也可以作为高风险的投资工具。股东由于持股分散,且不具备相应的专业知识,很难监督管理层对衍生品的投资是否超出限度。因此才需要董事会对公司的风险控制进行监督。上述几个案例中的大型金融企业,正是由于对衍生品的过度使用,才造成巨额亏损,损害股东利益,在此情形下,不宜再放宽对董事信义义务的法律约束。
其次,法律经济学的分析通常认为,股东对于避免遭受损失的最佳方法是“用脚投票”,分散投资,而不是直接干预和监督公司的经营事务。然而,如果放在金融危机的大背景下来看,滥用金融衍生品,虽然在一定时期内给公司带来高收益;但过度投机最终造成金融市场的不稳定,其风险和损失并非完全能够由股东所承担,而对社会产生严重的负外部性。因此,法院在审判中只权衡股东分散持股在账面上的财务盈亏,未免过于片面。
第三,由于公司法在美国主要是各州立法,公司选择在某个州注册登记,便接受该州的法律管辖。各州为了吸引更多的公司到本州注册,从而获得更多的财税收入,形成了公司法之间的“州际竞争”或“公司法联邦主义”。特拉华州便是这场竞争中的优胜者。在实证层面,什么是特拉华州公司法真正的竞争优势;在价值判断上,竞争的结果是“朝向底线”还是“朝向顶部”,至今难有定论。其中一种观点认为,特拉华州正是通过判例法上的商业判断规则和成文法中的豁免条款,保护董事免于被诉,这种偏向董事的司法立场,导致了公司法“朝向底线”的竞争。Luciana.Bebchuk,FederalismandtheCorporation:theDesirableLimitsonStateCompetitioninCorporateLaw,105Harv.L.Rev.14371992,p.1509.金融危机后,特拉华法院三个消极保守的判决,为这一观点提供了佐证。正如有学者准确地指出:如果单从司法逻辑来看,特拉华州法院的这三个判决是一以贯之,无可指责的;然而正是这些表面“正确”的判决,反映了美国公司法在防范金融危机方面的“结构性缺陷”。Franklina.Gevurtz,theRoleofCorporateLawinpreventingaFinancialCrisis,mcGeorgeGlobalBus.&Dev.L.J.1132010-2011,p.150.
六、金融危机后的联邦法律改革
21世纪初网络经济泡沫的破灭,以及安然、世通等大公司的财务丑闻,催生了萨班斯法,重塑了美国公众公司的治理结构。在信息披露、投资者保护等领域,联邦公司法比各州公司法起着更为重要的作用。本次金融危机后的联邦立法,也延续了这一趋势。2010年颁布的《华尔街改革与金融消费者保护法》(也称多德—弗兰克法)包括了大量公司治理改革的内容,有学者认为这是继萨班斯法之后,对美国公司治理影响最深的联邦公司法,甚至将塑造一种以广泛而深入的联邦监管为特征的“多德—弗兰克型公司”。
此外,美国证监会(SeC)在2009年修改了信息披露规则,对上市公司风险控制的信息披露作了两项专门要求。第一,公司的薪酬政策或职员行为所产生的风险,在合理预期下,对公司可能产生实质性的不利影响时,公司必须对上述政策或行为作出解释。第二,公司在年报中,应当披露董事对风险控制体系履行监督职责的情况。proxyDisclosureenhancements,exchangeact,no.61,675(Dec.16,2009).由于SeC无权对上市公司的治理结构进行实质性的规定,因而往往通过信息披露的要求,使公司治理中存在的问题暴露于股东和公众,从而间接地对公司治理改善施加压力,这也被称为“干预式披露”。Stephenm.Bainbridge,CorporateGovernanceaftertheFinancialCrisis,oxfordUniv.press,2012,pp.36-38.上述两项规则均属于典型的干预式披露。由于干预式披露不同于以会计报表为主要内容的财务信息披露,需要以附注的形式进行文字说明。使得信息披露的内容复杂化,义务界定模糊。这一方面增加公司的合规成本;信息泛滥,即使专业投资者也难以从中筛选有价值的信息。
与倚重于司法判例的各州公司法不同,联邦公司法通过强制性规范,对公司治理的影响更为直接、迅速。但是,立法机关在危机中面对巨大的舆论压力,其“应急立法”往往过程仓促,政治辩论多于立法技术的研究。最终形成的法律文本通常体系庞杂;而具体到某一方面的内容,却又缺乏系统性,呈现“碎片化”特征。金融危机所暴露的公司法对于董事约束不足,职责范围不清等本质性的问题,在联邦立法中仍然没有得到真正解决。风险控制对董事的专业性资质要求较高,这也与上一轮应急立法(萨班斯法)强化董事独立性也有潜在冲突。
七、对中国的借鉴意义
中国公司法制度和公司治理模式,与美国存在很大区别。然而,对中国企业,特别是国有企业、上市公司和金融机构而言,加强风险控制却是同样必要的。中国企业在这方面也有非常深刻的教训。例如在备受关注的中航油事件中,中航油(新加坡)因在石油衍生品市场巨额亏损而破产重整。参见《成败陈久霖,中航油事件内幕揭秘》,载《财经》2004年第24期。我国近年来在风险控制法律制度方面最重要的进展,是财政部会同其他部委颁布的《企业内部控制基本规范》(以下简称“内控规范”)及其配套指引。内控规范明确了有效内部控制的五大要素:内部环境、风险评估、控制活动、信息沟通和内部监督。对于风险控制,“内控规范”规定“企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,进行风险评估”;“企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度”。参见《企业内部控制基本规划》第20条、第21条。这也就确立了风险控制的法律基础。