全面信用风险管理篇1
[关键词]出口信用机构;全面风险管理;巴塞尔协议
一、官方出口信用机构的概况和特点
官方出口信用机构包括3种形式:出口信用担保、出口信贷支持以及二者相互之间任意的组合。与商业性金融机构的运作有明显区别的是,一般来说,官方出口信用机构不参与商业性业务的竞争,其是专门服务于本国对外贸易活动,为促进本国出口、对外投资或出于某种外交意图而设立的政策性金融机构,包括进出口银行、出口信用担保与保险公司和海外投资或对外援助机构以及海外投资信用担保公司等。
首先,官方出口信用机构的特点是其具有一般贸易政策工具所不具备的扩张性和开放性,以及一般政府干预手段所不具备的易操作和低成本等特点,体现了金融发展的新潮流和新动向。其次,在金融监管方面,我国金融监管部门对官方出口信用机构不实行资本约束等监管制度。同综合性金融机构相比,官方出口信用机构具有资产规模远远低于大型商业银行、机构的员工数量相对较少、管理层级偏扁平化等特点。最后,金融创新也促进了官方出口信用机构的不断创新和发展,比如在支持基础建设开发、产业政策等方面。
虽然,官方出口信用机构与综合性银行、大型保险企业在机构、组织、目标市场、产品等方面有较大差别,实施全面风险管理难度较大,但是,借鉴巴塞尔新资本协议构建全面风险管理体系仍将有助于提升官方出口信用机构的管理能力和风险控制水平,促进其稳健经营和管理,提高经营运行效率和风险管理水平。
二、我国官方出口信用机构的风险种类分析
官方出口信用机构的主要风险类型可为以下几种:
(一)信用风险
信用风险是指借款人因各种原因未能及时、足额偿还债务或银行贷款而违约的可能性。信用风险管理是指通过制定信息政策,指导和协调各机构业务活动,对从客户资信调查、付款方式的选择、信用限额的确定到款项回收等环节实行的全面监督和控制,以保障应收款项的安全及时回收。现代信用风险管理已经过几个阶段的发展,巴塞尔委员会根据国际活跃银行成功的信用风险管理实践,逐渐统一信用风险的计量方法,目前该方法已逐渐被多数国家的银行业采用。
官方出口信用机构其借款人的类型主要是企业、金融机构、外国政府,信用风险管理的特点为:①长期以来,其信用风险管理模式局限于传统的管理和控制手段,并且主要基于定性分析,需要投入大量的人力和物力,其管理成本会随着授信对象的增加而迅速上升。②与日新月异的市场风险管理模式相比缺乏创新和发展,传统的信用风险管理缺乏有效的风险对冲管理手段。③在信用风险定量分析和模型化管理方面,存在着由定性向定量化转变的困难。
(二)市场风险
市场风险实际上是由于利率、汇率、股票、商品等价格变化导致银行损失的风险,通常所指为利率风险和汇率风险。计算市场风险的方法,主要是内部模型var值计算,即根据正常的市场条件和给定的置信水平,在给定的持有期间内,计算某一投资组合预期可能发生的最大损失。
利率风险,主要源于资产、负债和表外业务到期期限(就固定利率而言)或重新定价期限(就浮动利率而言)之间所存在的差异。
汇率风险是指为客户提供外汇交易服务或进行自营外汇交易活动,通常所做外汇即期交易,还包括外汇远期、期货、互换和期权等金融和约的买卖等,因汇率变动而蒙受损失的可能性。
另外,对交易对手信用的识别,交易对手的实力以及抵御风险的能力,都是市场风险的考虑范畴。因此,市场风险管理部门要定期审核交易对手的信用等级,并对交易产品的准入进行授权和风险评估。
(三)操作风险
操作风险是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。国际金融界和监管组织开始致力于操作风险管理技术、方法和组织框架的探索与构建,银行业界中操作风险管理目前已取得了明显的进展,巴塞尔新资本协议鼓励银行实施操作风险计量方法。
对于操作风险管理,官方出口信用机构按照3个步骤进行。首先,要逐步建立覆盖所有业务类别操作风险的关键风险指标,建立记录风险事件的数据库。其次,加强业务系统操作平台建设,全面查找设计上的漏洞,完善系统软件。最后,在经过一段时间的数据积累后,根据风险事件的数据建立相关模型,准确计量操作风险并计提准备金。
(四)流动性风险
我国的官方出口信用机构①的资金来源渠道较为单一,主要包括金融债券、中央银行贷款和资本金。其流动性风险主要表现为资产到期不能如期足额收回,进而无法满足到期负债的偿还和新的合理贷款及其他融资需要,从而带来损失的风险。
事实上,流动性风险管理的水平体现了官方出口信用机构整体的经营状况。流动性风险也包含其他类风险的综合性风险,如在信用、市场、操作风险等领域的管理缺陷同样会导致流动性不足,阻碍和影响其长期发展能力,甚至引发风险扩散。
(五)国家风险
对于出口信用机构来说,其海外的项目比重较大,面临最大的风险是国家风险。国家风险是指在国际经济活动中可能发生的、由于债务人所在国的某些国家行为而引发的重大事件,使得债务人拒绝或无法偿付国外债权人和投资者的债务,从而给国外债权人和投资者造成经济损失的风险。国家风险涉及的范围广,主要有国际项目贷款和企业出口流动资金贷款,风险种类除了政府或政府机构的行为给贷款方造成的风险外,还有因东道国政府的政策或法规禁止或限制资金转移而对贷款方构成的转移风险等。
对于国家风险管理,首先应当坚持马克思主义的国际观立场,其虽不代表国家的外交政策和外贸政策,但服务于中国的外交和外经贸工作。我国官方出口信用机构国家风险分布在多个大洲的不同国家,传统的互惠贷款主要分布在亚非拉美等国,主要出口支持对象分布在发达国家。
近年来,一些新兴国家经济迅速崛起。新兴经济体的崛起改变了世界政治经济格局,我国出口信贷支持的范围不断扩大。
根据国际银行业务的经验,对国家风险的评估指标主要由数量指标、比例指标、等级指标构成。数量指标、比例指标和等级指标是对国家风险的关键因素的不同方面进行衡量,只有通过对3类指标进行分析和综合,对一国的历史、现状和未来的变化趋势进行分析,并通过进行国与国之间的横向对比,才能客观地掌握该国的国家风险的等级和程度。
(六)声誉风险
官方出口信用机构为国家的外交等政策服务,接受服务的对象多为国外政府机构、国有大中型企业,对负面信息敏感度较高。一旦发生声誉事件带来的危害性很大,甚至造成项目所在地区的,影响政府的声誉。
声誉风险是由于社会评价降低而对行为主体造成危险和损失的可能性。维基泄密事件表明,在政治外交活动中大量的机密信息可能会遭泄露,使得利益相关方对自身负面评价的风险加大,官方出口信用机构需要密切关注声誉风险事件发生和处置。
三、实施全面风险管理的原则和建议
(一)坚持科学、辩证、务实的原则
官方出口信用机构全面风险管理应结合自身的业务特点,走出一条适合自己的发展道路,不能绝对地搞拿来主义,要坚持研究和实践同时进行。
全面风险管理建设不不能一蹴而就,而应坚持循序渐进。官方出口信用机构要明确发展目标,坚持求真务实、科学严谨的态度,不掩盖风险或视而不见,采取主动管理的方法而不是消极防范风险的发生,并进行适度的组织机构和流程的优化调整,以尽早实现风险集中统一管理。
(二)重视计量模型开发和应用
首先,适度引入外部的评级数据作为参考,以解决内部数据积累的不足。目前的实际情况是,数据已经成为制约官方出口信用机构乃至计量经济学发展的重要问题。应重视数据质量问题,对数据的可得性、可用性、可靠性进行认真的推敲,从数据质量方面去找原因。
另一方面,对模型的验证要十分严格,计量经济学模型必须通过四级检验,即经济意义检验、统计学检验、计量经济学检验和预测检验,并可按照聘请第三方机构认证的程序进行。
(三)加快风险偏好等战略层面决策的确定
风险偏好是指在实现其目标的过程中愿意接受的风险的数量。风险偏好的概念是建立在风险容忍度概念基础上的,风险偏好与企业的战略直接相关,官方出口信用机构在制定战略时,考虑将该战略的既定收益与风险偏好结合起来,选择与其战略相一致的风险偏好。
对此,官方出口信用机构应根据长期的经营实践经验,将经营理念进行总结,以摸索出可以上升为风险偏好的经营战略,从而使得模糊不清的风险偏好得以清晰化,优化和合理配置经济资源,不断促进自身的发展和壮大。
(四)风险管理要保持独立性
一方面,防止“只见树木而不见森林”,在日趋激烈的市场竞争中,海外投资业务个别领域成功发展和突破,会导致该种类业务的发展在组织机构中话语权增加,风险管理应把握宏观面,服务于大局,不能为了片面地追求业绩。
另一方面,需要坚持实践验证。全面风险管理首先应把管理中最短板的方面作为提升的突破口,将银行内部的管理和物流、资金流、信息流进行统筹安排,减少管理范畴中的“木桶效应”,以务实的态度推动整体的风险管理水平上一个新的台阶。
(五)加强组织建设和内部人才的培养
决策系统各组织之间的相互关系和内在机能,客观地反映着决策机体的运动变化规律,并决定着决策行为的有效性程度。对官方出口信用机构而言,要逐步完善和健全决策机制,实现科学民主、权责利相一致的决策机制,打破自上而下的行政性领导过程,避免出现各层级决策的动力不足,以及由此而产生的偷懒和“搭便车”行为。
人才的引入和培养需要一个长期的过程,通过多种人才层面的培养,逐步将培养对象培养成为关键岗位的继任者和后备人才,要坚持“内部培养为主,外部培养为辅”原则,并采取“滚动进出”的方式进行循环培养。关键岗位主要指根据当前或未来发展所需要的一些重要中级和高级岗位,后备人才主要是指为适应未来发展变化而储备的一些可胜位本机构某些中、高级岗位的具有培养潜质的人才。
全面信用风险管理篇2
关键词:温州银行风险管理对策研究
中图分类号:F830.33文献标识码:a
文章编号:1004-4914(2010)06-207-03
温州银行于1998年12月成立,是浙江省成立较早的一家地方性股份制商业银行,现有支行62家,金融服务网络覆盖温州市3区2市5县,另有衢州、宁波、杭州三家异地分行,现有在职员工1600余人。2008年末,温州银行资产规模超341亿元,资本充足率10.60%,分别排名全国54名和53名。同时,实现所有者权益18亿元,平均资本税前利润率达到36.8%,排名全国第8位,成为2008年度Roe表现最好的10家银行之一。另外,平均资产税前利润率达到1.85%,排名全国第15位,表现出较好的盈利能力。但是,温州银行的风险管理还未完全摆脱传统的银行经营理念,对宏观环境的把握能力不强,对风险预期的识别能力不够,缺乏科学的风险防范模式。
一、温州银行风险管理发展与现状
温州银行成立以来,对商业银行面临风险的认识日益深化,在发展的过程中,不断借鉴国际国内先进商业银行经验,并结合自身情况,逐步强化了风险管理。
1.1998年至2002年是温州银行的资产风险管理阶段。当时温州银行以资产业务为主,经营中最直接、最经常性的风险来自于资产业务,风险管理主要偏重于资产业务的风险管理,强调资产的流动性。
2.2003年至2005年是温州银行的负债风险管理阶段。我国进入高速增长的繁荣时期,社会对银行的资金需求极为旺盛,温州银行开始变被动负债为主动负债,使用了许多创新金融工具,如大额存单、同业拆借等,利用发达的金融市场扩大银行的资金来源,从而地加剧了商业银行的经营风险。
3.2006年至2007年是温州银行的资产负债综合管理阶段。加入wto以后,单一的负债风险管理模式已不能保证银行安全性、流动性和盈利性的均衡。针对信用风险日益突出的矛盾,温州银行制定了一系列风险防范和内部控制制度,建立起授权授信、审贷分离、民主决策、责任追究等基本制度,有效地防范了信用风险,实现了温州银行风险管理的一次飞跃。
4.2008年开始,温州银行初步建立了矩阵式风险管理架构后,初步确立了全面风险管理体系的建设方向,开始了对市场风险、操作风险、流动性风险三方面风险管理工作的研究和探索。
二、温州银行风险管理的薄弱环节与成因分析
目前,温州银行的风险管理水平较成立之初有了很大进步,但是,风险管理的变革是一个过程,不可能一步到位。现阶段温州银行风险管理工作中依然存在诸多不足,具体体现在以下几个方面:
1.全面风险管理文化建设薄弱。风险管理文化是以银行企业文化为背景,为广大员工认同并自觉遵守的风险管理理念、风险价值观念和风险管理行为规范。风险管理文化是风险管理体系的灵魂,有效的风险管理体系建设必须以先进的风险管理文化培育为先导。2008年温州银行风险管理的矩阵式组织架构初步设立,但全面风险管理的理念还不能完全贯彻到战略目标的实现上,全面风险管理存在着“现其形而未具其神”的现象。具体到经营工作中,员工往往存在这样一种错误的意识:业务拓展与风险管理相互矛盾,业务要拓展就要承担风险,风险管理制约着业务拓展。
2.风险管理技术和工具落后。温州银行信用风险管理方面已使用了客户信用评级系统和信贷资产十二级分类系统,并自主开发了小企业评级模型等技术工具,但量化的水平还有待提高。操作风险管理、市场风险管理技术工具仍属空白。国际活跃银行的风险计量依赖于基础数据,其积累的数据已经过不同的经济周期,内部评级比较完善,同时还借鉴中介机构的外部评级结果,帮助实现信贷决策。对比国际先进水平来看,温州银行风险识别能力比较薄弱,无论在数量上还是质量上,同国际先进做法都存在差距,主观判断式的信贷决策仍占主流。
3.风险管理信息系统落后。温州银行现有的风险管理信息系统较为落后,不但数据搜集渠道单一,数据资料积累有限,而且主要停留在信贷风险管理领域。传统风险管理主要依赖于定性分析,而未来现代风险管理将越来越重视定量分析,即大量运用数据统计来识别、衡量和监测风险,使风险管理越来越多地体现出客观性和科学性,能够根据数据更加容易的总结出相关风险指标,并有针对性的采取风险管理措施。根据温州银行目前科技水平和统计途径,目前还难以实现进一步的量化风险管理。
4.信贷业务流程不完善。温州银行现行的信贷业务流程中,市级行对不同规模的信贷业务进行统一审批,部分管理职能如放款环节、信贷档案管理仍然分散于各个支行营业网点。由于缺乏对放款权力和信贷档案的统一管理,支行网点在信贷业务放款流程中存在较高的操作风险。诸如合同签订不规范、担保主体不规范,档案遗失等操作风险形成不良资产的情况还时有发生。
三、温州银行构建全面风险管理体系的对策研究
现代金融风险管理的一个重要特点是其作为金融机构内部管理的一个组成部分,在整个管理体系中的地位已上升到金融机构发展战略的高度。面对银行业激烈的市场竞争,温州银行好比在夹缝中求生存,规范化的现代风险管理对其生存和发展的意义就更加重大。通过与先进外资银行全面风险管理实施情况的对比,结合温州银行风险管理现状来看,温州银行可以采取以下几种措施,改善风险管理水平,加速战略转型。
1.培育先进的全面风险管理文化。实践证明,没有先进的风险管理文化,再多的制度和方法作用也难发挥应有的作用。结合当前风险管理工作的革新,温州银行风险管理文化的建设需要同步展开。在全行范围内树立全面风险管理文化,是建成全面风险管理体系的基础。前提是提倡全面风险管理的意识与行为,开展全面风险管理的价值观活动,建立全面风险管理的制度和政策;措施是树立全面风险管理的价值观,营造全面风险管理氛围,建立强化全面风险管理文化的制度;目标是避免风险管理文化冲突,建立统一风险管理价值观,树立全面风险管理的团队精神,防御银行风险;同时进行定期评估和动态循环,逐渐建立起全面风险管理文化。
2.完善温州银行信用风险管理。当前信用风险管理是温州银行目前的主要任务。针对信用风险,温州银行一方面要通过先进的管理经验、工具加以完善,提高信用风险管理的科学性;一方面要结合业绩目标的制定,客户市场的定位两方面,从战略角度统一研究,制定、完善相关的管理办法。同时,要注重自身信用风险的特点,系统性、综合性的思考信用风险管理问题的现状,更有效的解决信用风险管理这一管理难题。
3.注重操作风险管理。操作风险给温州银行带来的影响仅次于信用风险,是温州银行面临的一项基础风险。根据温州银行风险管理报告,目前温州银行风险损失中,信用风险导致的损失占比约为60%,市场风险导致的损失占比约10%,而操作风险导致的损失占比约为20%。操作风险与信用风险、市场风险往往相互交叉,难以彻底分开,而操作风险又是长期被人们忽视的风险,很多情况下人们把本应属于操作风险的事件划为信用风险或市场风险。有些风险本可以通过操作风险加以控制,却由于操作风险管理不健全,增加了信用风险管理或市场风险管理的难度。温州银行建立操作风险计量模型需要以风险损失数据库为基础。对不同产品线的操作风险进行分类,如将公司业务分为项目贷款、公司贷款,零售贷款分为零售银行、私人银行、银行卡业务等。对每一类操作风险统计出损失分布,从而计算出风险价值、预期损失、非预期损失,并赋予其一定权重,实现操作风险的计量。
4.完善风险管理技术工具、方法。温州银行要迎接激烈的行业竞争,提高核心竞争力,实现全面风险管理,建成风险管理集成系统,必须完善自己的管理技术方法,要由事后控制向事前风险的预警等方面进行转化。按温州银行风险管理系统组织架构设计,完善风险管理技术方法、工具的任务由风险管理部承担。在各业务部门及合规部反馈的数据基础上,建立数据库,设计模型,同时引进先进的风险管理工具和技术方法,如风险调整绩效管理(Rapm)、风险调整资本回报(RaRoC)、内部资金转移定价法、风险限额风险管理、利率敏感度分析等。温州银行需要了解、学习,并以全面风险管理的文化推动新技术的引进和新风险管理工具的应用,建立风险监测、风险预警的技术基础。
5.重视风险监测,强化风险预警。所谓银行预警,是指对银行经营活动中可能发生的资产损失和银行信用体系遭受破坏的可能性进行分析预报,为银行安全经营提供对策和建议。目前我国金融行业经营风险较高,各种不确定性因素较大,要有效化解温州银行的经营风险,建立银行风险预警机制已成为重中之重。这既是现代风险管理要求,也适应监管要求的变化趋势。温州银行可以通过利用现有技术手段对风险进行识别、计量和控制,注重、加强对宏观经济政策、区域经济政策、市场供求关系以及客户状况的分析,实现风险管理传统的事后控制,向事先预警的方式过渡。
6.完善信贷流程,实现风险动态管理。温州银行信贷业务流程设计应该遵循这样的原则:既要控制信贷风险,又要提高效率。国际银行界风行20余年的银行再造运动,从理论到实践已经反复证明,一个有效的信贷业务流程对商业银行防范信贷案件、提高信贷风险管理水平有着不可替代的重要作用。根据国际的通行做法,依托于信息技术实现信贷业务流程的电子化、智能化,并在此基础上,实现信贷业务操作流程的中心化。温州银行应当提高信贷业务操作流程的中心化水平,实现集中审查与集中放款,并在集中化过程中优化信贷资源配置,简化信贷手续,提高效率,减少中间管理层级,有效防范风险尤其是信贷业务人员道德风险。具体到放款权分散的现象,温州银行可以成立统一的放款中心和信息档案中心,对信贷合同签订、担保主体认定、信贷档案的管理等方面的规范性统一管理,以减少放款权分散造成的操作风险。另一方面,温州银行可以借鉴美国中小银行的经验,对支行网点实行差别授权制度:根据各支行网点所处的市场环境、资产质量和盈利水平、内控机制建设情况和风险管理能力,对其进行差异化的授权,并且随时根据支行网点的绩效考核进行权限的动态调整。此外,在贷款审批阶段,注重对借款企业所在行业的分析,重视对客户的财务状况特别是现金流量的分析。
全面信用风险管理篇3
参照信息安全风险评估规范等标准来说,信息设备信息安全风险包含三个要素,即脆弱性、威胁和资产,每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。具体风险分析原理图如图1所示。从图1中可以发现,信息设备所面临的信息安全风险并非某种单一来源的安全威胁,而是三种要素互相影响、互相关联的某种动态的平衡关系,而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。
2信息设备全生命周期风险管理
信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段,每个阶段的内容如图2所示。规划设计阶段应能够描述信息系统建成后对现有模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的目标。这个阶段,风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。部署阶段是根据规划设计阶段分析的威胁和制定的安全措施,在设备部署阶段应进行质量控制。测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试,包括基础测试、功能性测试及安全性测试等。运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接,对于变更的系统,还可能存在新的信息安全风险,因为其可能替换了新的系统组件等。
3信息设备风险管理体系
传统的信息安全管理体系主要依据iSo27001相关标准搭建,iSo27001标准采用基于风险评估的信息安全风险管理,具体采用了pDCa模型过程方法来全面、系统、持续的改进组织的信息安全管理。iSo27001采用的pDCa模型不仅适用于传统信息安全管理,同时也适用于信息设备的安全风险管理。
3.1总体思路
信息设备风险管理总体借鉴pDCa管理模型的相关理念,将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进,形成一套有效的安全风险管理防护方法,对信息设备进行不同时间阶段、不同维度、不同重点的管理,有效防范和控制信息安全风险,增强信息安全体系的检测能力、保护能力,为用户开展风险管理提供全方位的管理思路。
3.2风险管理模型
融合传统风险管理的pDCa模型,将传统风险管理中动态模型的思路加以延续,增强信息设备状态的动态特性,主要分为四部分:管理规划、管理实施、管理检查、管理改进。管理规划:决策层要明确政策、目标、策略、计划,形成具体的管理规划,明确组织风险管理的整体目标和方向,确定对信息设备进行风险管理所要达到的目的和状态,从而防止后续制定的风险管理规范和组织与已有的战略决策、制度、规范等相违背而导致不可执行的问题。管理实施:管理层在深入领会和遵照管理规划的指示后深入研究信息设备各阶段所面临的信息安全风险,对信息设备各环节制定详细的风险管理实施规范和标准,以便具体的业务部门、人员等能严格按照管理规划的计划和要求来实施风险管理规范。管理检查:管理检查作为监督信息风险管理实施效果的主要手段之一,需要确保管理检查手段的全面性、科学性、客观性,需要覆盖各个管理阶段,客观而高效的评价风险管理实施效果。管理改进:通过归纳总结前阶段管理检查的工作成果,结合信息设备各阶段在实施信息风险管理中碰到的各类问题,从管理规划、管理实施、管理检查等各阶段提出信息风险管理改进意见,从而持续的改进信息设备各阶段的安全风险管理体系。
3.3风险管理体系的构建
根据安全风险的特点、信息安全三个关键要素以及信息设备各阶段的特点,我们应明确安全风险的几个控制手段,然后有计划的加强整个信息设备安全风险管理体系的建设,才有可能最终有效控制信息安全设备风险。首先,根据企业所处的环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御各种威胁,最终主动降低安全风险。要实现对安全风险的管理和控制,需要实现完整的风险管理流程,具体为发现安全风险,即通过有效的手段确定安全风险的资产和区域、定位安全风险存在的区域、评估安全风险,准确高效的评估安全风险,了解安全风险的大小和实质、强制措施降低风险,通过管理或强制等安全手段,主动降低安全风险、安全防御通过各类系统、网络安全设备、防御各类安全威胁、安全问题修补,主动修补存在的各类安全漏洞,全面降低安全风险。以上是完整的信息设备安全风险管理流程,对整个信息设备安全风险的管理和控制,这些步骤缺一不可,同时,风险管理流程还应根据企业的具体情况,有不同的实现方式。其次,实现信息设备风险管理的详细步骤包括:确定信息安全标准和方针、统计信息设备资产,进行资产识别、检测信息设备资产存在的安全漏洞、了解潜在的威胁、分析存在的安全风险、通过各种手段如安全防护产品来降低已有的安全风险、对信息设备评估安全效果和影响、对已有信息设备安全策略进行对比及改进。最后,实现完善的信息设备安全风险管理,还需要有计划的完善自身的安全风险管理体系,制定相应的整体安全策略。建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成信息设备成熟完备的动态安全风险管理体系。
4结束语
全面信用风险管理篇4
关键词:电网企业;信息安全;风险;应对措施;管理体系
作者简介:王旭(1964-),男,浙江宁波人,新疆电力公司电力科学研究院,高级工程师。(新疆乌鲁木齐830011)张建业(1972-),男,浙江浦江人,新疆电力公司科技信通部,高级工程师,华北电力大学经济与管理学院博士研究生。(新疆乌鲁木齐830002)
基金项目:本文系国家自然科学基金资助项目(基金号:71271084)的研究成果。
中图分类号:F270.7文献标识码:a文章编号:1007-0079(2013)26-0163-03
信息安全风险是信息化时代企业发展和内部管理所面临的一个迫切问题,网络化、信息化的飞速发展能够给企业带来无限的发展机遇,同时也让应用信息化技术的企业面临着各种不同的风险威胁,这些风险因素一旦发生,将对企业的日常运营、战略目标的实现甚至长远发展产生无法估计的影响。有效的信息安全风险管理体系对于企业规避信息安全风险、减少不必要的损失具有重要作用。
对于电网企业来说,信息化建设是推动电网企业智能化、现代化等长远发展的核心推动力,但网络病毒、黑客入侵等一系列风险因素,使得电网企业信息安全同样面临着巨大的挑战,必须对电网企业面临的各类信息安全风险进行有效控制,以保证电网企业的信息化内容正常运行。
一、电网企业信息安全风险分析
电网企业的信息安全风险就是企业的信息系统和网络等面临的来自各方面的风险威胁,各种内外部的、潜在的和可知的危险可能会带来的风险威胁等。随着网络环境的复杂性不断增加,新的信息技术的不断应用发展,电网企业的信息安全面临的风险因素也更为繁多复杂,同时由于其注重信息安全的行业特点,电网企业的信息安全风险管理面临的压力更大。为此需要对这些风险因素进行规范、合理的识别分析,进而建立综合的风险管理体系。
电网企业的信息安全面临着来自不同层次、多个方面的风险因素,有来自外部环境的风险威胁,也有企业内部的风险影响;有技术方面的安全风险,也有人员操作方面的安全风险等。具体的信息安全风险因素主要包括以下几个方面:
1.木马病毒入侵的安全风险
随着网络技术的不断发展、电网企业内外部网络环境的日益成熟和网络应用的不断增多,各种病毒也更为复杂、难解。木马等病毒的传染、渗透、传播的能力变得异常强大,其入侵方式也由以前的单一、简单变得隐蔽、复杂,尤其是internet网络和企业网络环境为木马等病毒的传播和生存提供了可靠的环境。
2.黑客非法攻击的安全风险
近年来各种各样的黑客非法攻击异常频繁,成为困扰世界范围内众多企业的问题。由于黑客具有非常高超的计算机技术能力,他们经常利用计算机设备、信息系统、网络协议和数据库等方面的缺陷与漏洞,通过运用网络监听、密码破解、程序渗透、信息炸弹等手段侵入企业的计算机系统,盗窃企业的保密信息、重要数据、业务资料等,从而进行信息数据破坏或者占用系统的资源等。
3.信息传递过程的安全风险
由于电网企业与很多的外部企业、研究机构等有着广泛的工作联系与业务合作,因此很多日常信息、数据资料等都需要通过互联网进行传输沟通,在这个传输过程中的各类信息都会面临各种不同的安全风险。
4.权限设置的安全风险
信息系统根据不同的业务内容对不同的部门、员工开放不同的系统模块,用户根据其登陆的权限设置访问其范围内的系统内容。每个信息系统都有用户管理功能,对用户权限进行管理和控制,能够在一定程度上增加安全性,但仍然存在一定的问题。很多电网企业内都存在不同的信息系统,各系统之间都是独立存在,没有统一的用户管理,使用起来极不方便,难以保证用户账号的有效管理和使用安全。另外,电网企业的信息系统的用户权限管理功能设置过于简单,不能够灵活实现更为详细的权限控制等。
5.信息设备损坏产生的安全风险
电网企业内的各类业务信息、数据资料、工作内容等信息都是依托于相应的软硬件设备而存储、传递、应用的,当这些计算机硬件设备、信息系统、数据存储设备、用电支撑设备等由于企业内外部不同作用力的影响而出现瘫痪、停止工作等突发状况时,会带来重要信息内容的泄露、丢失等安全风险隐患。
6.人员操作失误形成的安全风险
电网企业内的专业信息技术人员、业务人员、管理人员对信息系统的操作能力存在一定的差异,一些人员的意识较为陈旧、操作能力较差,在对信息系统、网络连接、数据库等的应用过程中,由于对这些技术内容不熟悉从而产生了一些错误操作,为此产生了许多意想不到的安全风险。同时,在运用过程中存在的思想偏差、理解偏误、粗心大意等导致的误操作也会产生相应的安全风险。
7.技术更新变化带来的安全风险
当前的信息技术、系统开发、网络应用、数据库存储等都在日新月异地飞速变化,几乎每天都会发生更新换代的升级变化,没有任何的信息技术能够长时间使用。电网企业原有信息系统等设备进行升级换代或者与新的数据库内容进行新旧结合以及转换时,会因为兼容性差、不能匹配等原因造成一定的信息安全风险。
二、信息安全风险应对机制
电网企业的信息安全承担着极为重要的作用,而其面临的安全风险也是多方面的,仅从信息系统、技术设备的单一角度进行信息安全风险管理远远不够,对于其他很多潜在的风险因素难以有效应对。因此需要从信息技术技术、企业管理、风险控制等多个维度来建立相应的措施,以应对可能出现的各类风险,从而从硬性技术层面到柔性管理层次形成多维度的风险管理手段。电网企业信息安全风险应对机制框架结构如图1所示。
电网企业的信息安全风险管理应对机制是以风险控制角度为核心、信息技术角度为支持、企业管理角度为保障的双向支持、互为影响的一个环状模型,三者之间紧密配合、共同发挥风险应对的作用,具体内容如表1所示。
三、信息安全风险管理体系
电网企业信息安全风险管理体系是进行信息安全风险管理的核心内容,其他的制度建设等方面的应对机制都是为了更好地使风险管理体系发挥有效的作用,能够在不同的情况下进行信息安全风险威胁的提前预防、风险发生时的控制、事后风险影响的结果处理等。
电网企业信息安全风险管理体系框架结构如图2所示。
1.信息安全风险评估
电网企业信息安全风险评估是风险管理体系的第一部分,风险评估效果的好坏直接影响着后面风险管理环节的执行情况。通过风险评估的准确执行,能够有效识别、分析各种不同风险的种类、来源、影响程度等内容,为后续的风险预防、控制等奠定良好的基础。
信息安全风险评估主要由风险案例库、风险因素分析系统、风险定量定性转化系统、数据统计归纳库、风险分析结果传输体系等构成,通过几个模块的有机结合来科学分析评估电网企业遇到的各类信息安全风险因素。
2.风险事前预防
电网企业信息安全风险事前预防就是在风险没有发生时对各种风险进行提前预防,通过建立的预防计划方案来提前避免风险的发生,从而保证信息的安全性。这是风险管理体系希望达到的最佳效果,因此该环节非常重要。
通过对风险案例库的经常性学习,使相关部门和人员对各类风险有了总体的认识和了解;通过建立相应的风险预警装置来提前警告风险的发生,使电网企业能够提前采取措施来避免风险发生;运用信息安全风险管理制度加强员工的行为能力,避免风险产生;通过信息技术的相关配置,从信息系统、网络、数据等方面提前对一些病毒风险等进行处理。
出色地执行电网企业的信息安全风险预防工作,能够避免很多不必要的麻烦,从而有效减少后面风险控制工作内容。
3.风险威胁转移
将可能发生或者即将到来的信息安全风险有效转移到其他的地方,可使得安全风险没有在电网企业的信息系统中发生,避免了风险带来的威胁损害。风险转移同风险的事前预防一样,能够在很大程度上将信息安全风险带来的威胁降低到最小,避免其带来的各类损失。
4.风险过程控制
在对信息安全造成威胁的风险发生时,采取各种方法、手段进行风险的最小化控制,使风险本身随着控制的进行而逐渐变小甚至消失,将风险发生后造成的影响降低到最小或者控制在能够承受的合理范围内。
主要从信息系统、数据库、网络系统、计算机基础设备等技术方面进行控制;从制度、标准、规范等管理层面进行控制;从人员培训、部门协调等组织结构层面进行控制;从风险发生时制定的风险控制措施、计划进行控制;形成动态反馈的风险发生、控制效果的反馈机制,以便及时对控制方案进行调整完善。
5.风险事后处理
信息安全风险发生后,对电网企业的信息系统、网络、数据库等造成一定的影响,已经没有时间进行及时有效的风险控制,此时的工作重点在于如何采取挽救措施对风险造成的信息安全损失进行弥补,将其影响程度降低到最低。
从电网企业的信息安全风险评估开始,到信息安全风险的预防、风险发生时的控制以及风险后果的处理,对整个过程进行深入的分析、总结,发现风险管理体系存在诸多不足和缺陷,控制计划在某些方面需要进行改进完善。将本次发生的信息安全风险控制过程整理进入案例库,以便下次的风险预防借鉴。
电网企业信息安全风险管理体系中的各个流程环节都是按照一定的流程顺序、风险发生种类、大小而进行的,其具体的流程如图3所示。
6.非常态风险应急处理
在电网企业对信息安全进行风险管理的过程中,有时会出现一些案例库、控制计划之外的非常态风险,这些风险没有以往成功的风险管理经验可以借鉴,这时就需要在电网企业信息安全风险管理体系中建立相应的非常态风险应急处理模块。
电网企业信息安全非常态风险应急处理主要是当意外的紧急风险发生时,能够迅速启动应急预案组织相关人员进行风险应对控制、风险预防和控制等;若风险已经发生,此时能够及时还原数据、隔离外部风险入侵,使信息系统、网络、数据库在最快的时间内恢复正常运作。
四、总结
本文通过对电网企业信息安全重要性进行分析,提出了建立信息安全风险管理体系应对各种内外部风险威胁的必要性。在对电网企业信息安全的概念、特点等分析说明的基础上,深入研究了电网企业的信息安全所面临的各种不同的风险因素,建立了包括信息技术、企业管理、风险控制三个方面在内的电网企业信息安全风险应对机制。结合所建立的电网企业信息安全风险应对机制,本文构建了一套综合、全面的电网企业信息安全风险管理体系。该体系的构建能够从事前风险预防、事中风险控制、事后风险影响后果处理等三个环节进行全面的风险管理。
参考文献
[1]张浩,詹辉红,钱洪珍.电网企业信息安全管理体系建设中的风险管理实践[J].电力信息技术,2010,8(6):21-24.
[2]刘金霞.电力企业给予风险管理的信息安全保障体系建设[J].网络安全技术与应用,2008,(1):42-44.
[3]刘莹,顾卫东.信息安全风险评估研究综述[J].青岛大学学报(工程技术版),2008,23(2):37-43.
全面信用风险管理篇5
关键词:商业银行全面风险管理
商业银行全面风险管理主要目的是通过对风险管理和防范,最终实现价值提升,通过确定自身的风险承受能力,在总体经营战略目标的指引下,管理和运作风险,运用先进的风险管理技术和方法,降低损失概率,增加收益机会,从而实现利益最大化的战略目标。
一、商业银行全面风险管理的内涵
商业银行的全面风险管理,简单的说就是对银行所有风险进行管理,也就是意味着对商业银行所有层次的部门和业务单位、全部种类的风险、所有银行业务自始自终的每个环节和过程进行全面管理和风险监控。
对商业银行全面风险管理具有指导作用的两个比较重要的文件:即《巴塞尔新资本协议》和CoSo(全国虚假财务报告下属的发起人委员会)《全面风险管理框架》。CoSo的《全面风险管理框架》是针对所有企业的全面风险管理的一般指导原则,提出风险管理最终目的不是为了管理风险,而是为了创造价值。通过实施全面风险管理是将风险管理与其他管理职能进行统一,重组主体的管理流程,保证在不增加管理要素的基础上实现风险管理和创造价值的统一,实现在可以承担的风险基础上得到相应的收益。《巴塞尔新资本协议》是针对商业银行全面风险管理的实施细则,以资本充足率为核心,风险控制为基础,突出以商业银行最低资本要求、监管部门的监督检查和市场纪律的共同约束,通过规范的风险评估技术,实现以信用风险、市场风险和操作风险并举,信贷资产与非信贷资产并举,组织流程再造与技术手段创新并举的全面风险管理模式。
二、商业银行全面风险管理的主要内容
商业银行经营中面对各类复杂风险,有需要用监管资本覆盖的信用风险、市场风险、操作风险,也有流动性风险、政策风险、声誉风险、道德风险、法律风险等。因此,商业银行全面风险管理必须涵盖表内风险,又要包括表外风险;要涵盖信贷资产风险,也要包括非信贷资产的风险。2011年,银行业主要的监管机构银监会在部署2011年监管工作时,首要强调“严密防范四大风险(即信用风险、市场风险、操作风险、流动性风险),坚决守住风险底线”。
1、信用风险。信用风险是指债务人或交易对手未有履行合同所规定的义务或信用质量发生变化,影响金融产品价值,从而给债权人或金融产品持有人造成经济损失的风险。信用风险是商业银行在业务经营中面临的最基本的风险之一,既存在于传统的贷款、债券投资等表内业务,也存在于信用担保、贷款承诺等表外业务,还存在于衍生产品交易中。
2、市场风险是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使商业银行表内业务和表外业务发生损失的风险。市场风险主要存在于商业银行的交易和非交易业务中,由于目前我国商业银行从事股票和商业业务有限,因此市场风险主要体现为利率风险和汇率风险。
3、操作风险是因操作流程不完善、人为过失、系统故障或失误以及外部事件造成损失的风险。包括了内部欺诈、外部欺诈、就业政策和工作场所安全性,客户、产品及业务操作,实体资产损坏,业务中断或系统失灵,交割及流程管理等损失事件导致的风险。同时,针对商业银行的交易合约有可能不符合有关法律法规、或商业银行正常业务和法律法规变化不相适应,从而导致损失的可能性的法律风险也归为操作风险。
4、流动性风险是指商业银行无力为负债的减少或资产的增加提供融资而造成破产的可能性。即当商业银行流动性不足时,它无法以合理的成本迅速增加负债或变现资产获得足够的资金,从而引发流动性支付危机情况发生。
三、全面风险管理的重要性
1、实现全面风险管理可以增强创造价值的能力。全面风险管理是通过科学严密的组织形式,借助先进的风险管理技术手段,对信用风险、市场风险、操作风险等各类风险进行识别、计量和控制,在此基础上计提拨备和有效分配资本,使风险得到全面覆盖,从而可以有效地应对各类不确定的风险和机会,增进创造价值的能力,在不增加管理要素的情况下实现风险管理与价值提升的有机统一。
2、实施全面风险管理是符合监管要求的必由之路。2011年4月银监会出台了《中国银监会关于中国银行业实施新监管标准的指导意见》,要求新将使监管标准从2012年1月1日开始执行,系统重要性银行和非系统重要性银行应分别于2013年底和2016年底前达到新的资本监管标准。近年来,依照银行业发展要求,监管部门确立了微观审慎和宏观审慎相结合的金融监管新模式,大幅度提高了商业银行监管资本要求,陆续出台各项监管措施和风险管理指引,要求加强对商业银行风险管理能力的监管。因此,逐步建立适应新监管要求的风险管理体系,全面计量、监测风险,合理分配资本,覆盖风险,以达到监管要求,增强银行业经营稳健性。
3、实施全面风险管理是提升商业银行核心竞争力的重要途径。商业银行要实现持续、健康、快速发展,提升核心竞争力,必须从管理风险层次上升到通过风险管理来增强盈利能力、提升风险管控能力,有效实现风险管理与创造价值有机统一上来。
四、对地方性商业银行推行全面风险管理的一点思考
1、坚持循序渐进,统筹兼顾的原则。全面风险管理是近几年发展起来的,目前并无一套成熟模式可供借鉴,且各地方性商业银行发展情况、内部风险管理程度等方面也参差不齐,为此,在推进全面风险管理时应坚持循序渐进、统筹兼顾原则,从面临的最主要的信用风险、操作风险、流动性风险和市场风险逐步入手,从分别筛查相关风险的风险点着手,对各风险类别通过列举风险点来逐步实施风险的识别和计量,进而逐步完善或建立起信用风险管理体系、操作风险管理体系、流动性风险管理体系和市场风险管理体系,并最终由这些相对完善的管理体系共同构筑商业银行的全面风险管理体系。
2、建立多道风险防控体制对商业银行面临的风险进行管理和控制。商业银行由于各自的经营环境、经营制度和对风险管理要求不同,建立全面风险管理体系也应符合各自实际情况,但对全面风险管理架构设置上应至少有四道风险管理防线,即对同一风险点,经营层的内部管理为第一道防线;总行各职能管理部门和业务条线的管理部门为风险管理的第二道防线,总行设置专门的风险管理部门为风险管理的第三道防线,商业银行内部审计等部门为风险管理的第四道防线。
全面信用风险管理篇6
关键词 金融危机 商业银行 信用风险管理
中图分类号:F830文献标识码:a
2007年爆发的美国次贷危机,波及范围之广、 影响程度之深、冲击强度之大,为上世纪 30 年代以来所罕见,演变成为 21 世纪波及全球的金融危机。在金融危机的大背景下,受害较深的是被称为经济血脉的商业银行。信用风险作为商业银行面临的主要风险,其成因归结起来主要是银企之间信息不对称、信贷管理机制不完善和外部监管不力等。目前,我国商业银行在信用风险的管理方面依然存在着一些问题,美国次贷危机的爆发再一次为金融机构特别是商业银行的风险管理敲响了警钟。
一、金融危机和商业银行信用风险的关系
信用风险在市场经济条件下,日益成为金融风险生成的主要根源之一。首先表现在信用的相互依存性和普遍性。如今经济全球化使各国经济的相互依存程度加深,作为各国经济联系纽带的信用的破坏必然会引起整体的反应。金融危机和商业银行信用风险的关系还体现在大量金融风险产品的创新与金融业的过度竞争。银行盈利水平因存贷款利差缩小而下降,导致许多金融机构通过寻求各种高风险业务来获得较高收益。在这种趋势下大量传统的金融机构进入风险投资行业。还有,金融衍生产品的创新趋势和金融市场的证券化,银行面对许多信誉较高的大公司转向金融市场直接直接融资的情况,银行的经营风险变大。另一方面,银行业不断进行金融创新,但信用监管制度却跟不上金融创新的步伐。投资者因为传统的货币概念和测量口径趋于失效,受蒙骗上当,使信用风险日益增加,造成了金融危机的发生。金融危机使得商业银行海外业务明显放缓,债券等投资业务大幅亏损,信贷业务明显减少。
二、我国商业银行信用风险管理现状
(一)风险管理手段落后。
国内商业银行在风险管理上的方法局限于财务指标、比率等静态分析上,与国外银行大量应用风险计量模型量化风险的管理手段相比,依然停留在主观经验判断层面,缺乏科学的计量、监测、风险识别、控制、报告等手段。银行缺乏相应的数据库支持和专业的风险管理系统,缺乏精通风险计量技术和风险管理理论的专业人才,没有一支专业人才队伍。
(二)未形成全面的风险管理文化。
全面风险管理文化是在在管理层风险偏好内,既定风险战略下,全行员工在风险管理层面上形成的共同的行为指向和价值观。由于我国银行风险管理起步较晚,从管理层到普通员工对风险管理理念还普遍比较滞后,风险管理理念还没有深入到银行的日常工作中。在观念上没有把控制风险和创造 利润看作是同等重要的事情。与国际先进的商业银行相比,我们的全面风险管理的文化理念还不够普及,全面风险管理理论的认知范围、认识程度、理解层次上都有很大的局限性。而西方商业银行把控制风险和创造利润看作同等重要的事情,把风险管理上升到银行发展战略的高度,并将风险管理纳入其发展战略计划中,制定银行的风险管理战略。
(三)风险管理组织不完善。
我国现在的商业银行特别是工、农、中、建四大行是脱胎于计划经济时代的银行,完善的公司治理结构还没有建立,其深层次的金融产权制度改革进度缓慢,落后的管理方法、管理组织结构、管理流程也成为建立完善风险管理体系的障碍。在机构上缺乏创新性工作所需要的机动性和灵活性,仍按行政职能设置岗位,普遍没有建立风险管理委员会之类的全面风险管理部门。没有独立垂直的风险管理组织机构,机构改革不到位,全面风险管理体系的推行也就不能有实际的进展。
三、我国商业银行信用风险管理对策
(一)强化风险管理手段。
首先要做好风险管理数据的收集和整理,才能达到银监部门的风险定量管理要求。通过市场信息和银行内部操作信息,收集大量和连续的客户信息,并通过数据清洗、整合、反欺诈等手段,提高数据可靠性和可用性,为下一步模型应用奠定基础。其次要用内部模型法(VaR)计量市场风险,用标准法计量操作风险,做好量化风险模型的选择和应用准备工作。国内银行业要充分考虑我国国情和数据准备情况,还要通过引入国外先进银行的模型开发思想和技术路线,在银监部门的监管下摸索开发出符合国情的风险量化工具,并妥善应用。
(二)建立风险管理文化。
建立风险管理文化,管理层要有具体的风险控制政策和清晰明确的风险管理战略,并将其有效传递至每名员工,每名员工在业务处理过程中要自觉防范风险,管理层要自上而下不断强化并推动员工增强风险防范意识。还要树立银行风险的全员、全方位、全过程的全面风险管理意识,推动全面风险管理意识的培养。并且要提高员工风险识别与防范的技能和水平,加大培训力度,提高员工素质。还要建立通畅的风险事件报告渠道及风险信息传递渠道。
(三)完善风险管理组织。
加强和完善风险管理组织,首先,在总行设置首席风险官和风险管理委员会。风险管理委员会直接对董事会负责,是整个银行风险管理的最高决策和管理机构,由银行的一位分管风险的行长作为首席风险官,负责制定全行的风险管理方针、总体战略、政策和目标。其次,在总行设立不同的风险管理部和风险经理,最后在各分行设立风险管理部。
四、结语
当前我国商业银行更应当加强信用风险管理的观念,将眼光放远,建立和完善全面的商业银行风险管理机制,提高自身竞争力。
(作者单位:苏州大学东吴商学院工商管理专业2010秋5班)
全面信用风险管理篇7
关键词:风险控制风险管理风险管理流程
中图分类号:F270文献标识码:a
文章编号:1004-4914(2011)07-257-02
一、河南油田实施全面风险管理的必要性
1.实施全面风险管理是河南油田追随中石化适应全球化竞争,提高核心竞争力的需要。随着市场化、国际化的不断深入,河南油田面临的竞争更加激烈,面临的不确定因素越来越多,风险越来越大。
iBm与沃顿商学院共同发表的“2008年全球首席财务官研究”表明,在收入超过50亿美元的企业当中,2/3(62%)的企业在过去三年中,经历了重大风险事件。其中,将近一半(42%)的企业对重大风险的准备并不充分;再者,除财务风险外,企业还会碰到很多其他风险。87%的风险事件属于战略、地缘政治、环境、经营或法律方面的风险。因此,河南油田为了防范于未然,提高管理水平,增强核心竞争力,实施全面风险管理就势在必行。
2.实施全面风险管理是河南油田持续发展的需要。风险管理决定企业的生死存亡,可以说,昨天的竞争靠成本,谁成本低,谁就有竞争力;今天的竞争靠技术,谁能创新技术,不断地研发出技术附加值高的新产品,谁就有竞争力;明天的竞争靠风险管理,谁少犯错误,谁不犯大错误,谁就有竞争力。市场经济条件下,判断企业的成败,最关键的是不能有大的失误。河南油田为了防止出现重大风险事件、实现可持续发展必须实施全面风险管理。
3.国资委要求企业必须建立全面风险管理体系。2006年6月6口,国务院国资委我国第一个全面风险管理指导性文件―《中央企业全面风险管理指引》,标志着中央企业走上了风险管理的舞台。同年,上交所与深交所也颁布了《上市公司内部控制指引》。2008年1月,国资委又下发了《关于开展编报试点工作有关事项的通知》。《指引》明确要求央企开展风险管理工作,逐步建立健全风险管理组织体系,中央企业为了满足国资委的监管要求必须实施全面风险管理。风险控制的内容已经纳入了国务院国资委印发的《中央企业综合绩效评价管理暂行办法》(国资委令第14号)之中,作为评价企业综合绩效的一个重要指标。同时,2009年9月16日,人力资源和社会保障部会同中组部、监察部、财政部、审计署、国资委等部委联合下发了《关于进一步规范中央企业负责人薪酬管理的指导意见》,《意见》要求加强对企业负责人经营业绩的考核,将年度业绩考核和任期业绩考核结合起来,根据不同行业和企业的生产经营特点科学设计体现经营盈利与风险控制的考核指标,合理确定经营目标,规范考核程序,严格考核管理,根据业绩考核结果确定负责人绩效年薪,大型企业今后要通过国资委考核也必须实施全面风险管理。
二、内控与全面风险管理的区别和联系
了解内控与全面风险管理的区别和联系,可以为内控到全面风险管理的跨越提供行动方向。
1.两者之间的区别。(1)两者范畴不一致。内部控制作为管理的一项职能,主要通过事后和过程控制来实现其自身目标;而全面风险管理却更注重在事前制订目标时就充分考虑存在的风险,贯穿于管理过程的各个方面。此外,在所要达到的目标上,全面风险管理多于内部控制。(2)两者活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、有关的预算和行政管理以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。(3)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等。这些内容都是现行的内部控制框架所不能做到的。
2.两者的联系。(1)全面风险管理涵盖了内部控制。全面风险管理框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。(2)内部控制是全面风险管理的必要环节。内控动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
总之,无论是目标的类别还是构成要素,企业风险管理包涵了企业内部控制。从目标来看,全面风险管理较之内部控制工作增加了另类目标,即战略目标,它处于比其他目标更高的层次。战略目标来自于各主体的使命或愿景,因此经营、报告和合规目标必须与其相协调。企业风险管理应用在战略制订以及朝着实现其他三类目标迈进的过程中,而全面风险管理落实的报告目标较之内部控制财务报告目标,范围从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。从构成要素来看,企业风险管理框架拓展了内部控制框架的风险评估要素,即内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。企业风险管理比内部控制更广泛,拓展和细化了内部控制。
三、河南油田全面风险管理的流程设计
一个有效的企业全面风险管理流程可以帮助企业提前制定风险对策,避免由于准备不足而造成更大损失;可以增加员工合作的协调性,企业员工共同参与风险分析可以让大家对困难有充分估计,对各种意外有心理准备,增强风险管理有效性;可以帮助企业抓住工作重点,将主要精力集中于重大风险应对,将工作方式从被动救火转变为主动防范。
首先,要在明确河南油田使命的前提下制定企业的战略目标。其次,企业全面风险管理的一个重要步骤是风险评估。风险评估应该包括识别风险因素、风险因素排序和风险因素分类;企业全面风险管理的另一个重要步骤是风险处理。油田全面风险管理流程的最后一个关键步骤是风险管理效果监控方面。
需要特别指出的是,河南油田全面风险管理不仅仅是一个直线过程而是一个多元化的相互作用的动态循环过程,即几乎任何组成部分都能够并将会影响另一个部分。油田全面风险管理作为一个有机的整体,各个要素之间是环环相扣的。在此流程中,信息与沟通始终贯穿于全面风险管理的整个过程,并对前面的各个组成要素进行修正。来自于油田内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证油田的内部员工能够执行各自的职责,企业的外部客户、供应商等能够进行有效的信息交换。另外,由于风险及风险架构会不断改变,河南油田全面风险管理过程必须保持一定的适应弹性,在实际运行中不断充实和完善。
四、河南油田实现全面风险管理的关键因素
把握河南油田全面风险管理的关键因素是进行全面风险管理的基础和前提。河南油田全面风险管理面临的关键问题可以归纳为三个方面。
1.建立全面风险管理组织体系。全面风险管理组织结构是一切生产、经营活动的根基,组织结构的完善可以明晰企业权力与责任的划分,只有权力得到制约,职责得以履行。明确组织系统在风险管理中的基础性作用,建立一个体现河南油田全面风险管理整体网络化的组织结构,确保河南油田风险管理部门健全,职责明确,各层次上有专职人员对风险管理负责,从而在企业内部形成有效的风险防线。
2.健全全面风险管理信息系统。河南油田立足现有信息系统共性和职能,建立一个专门的风险管理信息系统来支持全面风险管理,支持战略决策和日常运营中风险管理的各种活动。风险信息数据可以直接录入这个系统,也可以从油田的其他信息平台如eRp系统中获取。其功能涵盖风险管理全部基本流程对信息的需求,包括初始信息的采集和更新,风险信息辨识、分析与评价,风险管理策略和具体解决方案,监控、信息反馈和改进。其范围要覆盖风险管理的全过程,面向企业内、外部的所有风险,获取充分的信息并加以分析,以确保针对企业重大风险采取合理的应对策略,采用企业战略调整、内部控制、监控预警和风险对冲等技术手段,最终把企业风险控制在风险承受度的范围之内。河南油田全面风险管理信息系统设计至少应包括环境信息、风险信息评估、风险信息应对、内控信息管理、监控预警信息、信息综合考评、信息沟通等功能模块。
3.改善全面风险管理控制活动。控制活动是实现内部控制目标的具体行动,这是内部控制实践的重要一环。在内部控制五要素中,以控制环境为基础,风险评估为依据,控制活动为手段,信息与沟通为载体,监控为保证。因此,控制活动的研究是内部控制研究中不可缺少的核心部分。河南油田在制定控制活动时,尤其要注意以下三点:(1)授权控制是指在开展各项经营活动的过程中,油田最高管理层必须通过合理授权的方式,使各中间管理层和员工以所授权力作为开展工作的依据。管理层在授权时,合理把握授权的“度”至关紧要,建立授权控制时要注意授权的范围、授权的层次与责任。做到既能保证经营决策有效运作、管理制度有效贯彻,又能保证权力制衡得到落实。(2)预算控制是内部控制的重要方式,也是现代企业制度下规范公司治理结构的一项制度保障。全面预算是企业财务管理的重要组成部分,也是对企业经济业务规划的某种授权。科学地编制和执行预算,控制有关经营行动,以合理配置所拥有的经济资源,促进企业经营管理目标的实现。(3)会计系统控制。企业的会计系统为企业提供成本信息、营运信息、生产信息、库存信息等。因此,企业应加强会计系统控制。会计系统控制主要包括:建立健全内部会计管理规范和监督制度,明确权责,相互制约;统一企业内部会计政策;统一企业内部会计科目;规范会计凭证、账簿和财务报告的处理程序和方法。
五、结论和建议
通过以上分析,河南油田建立全面风险管理完全可行,而且,依托内控制度,河南油田构筑全面风险管理可以走一条捷径。关键是要把握流程,掌控三大“关键因素”。
此外,河南油田风险管理是在新的技术与市场条件下对内控制度的自然扩展,必将会对油田管理发挥更大的作用。推行全面风险管理是一个长期、艰苦的工作,需要得到许多部门和人员认可,能得到油田高层的重视尤为重要。
全面信用风险管理篇8
关键词:个人信贷;风险控制;风险管理。
近几年来,我国信贷市场特别是个人融资的需求呈现快速增长趋势,个人信贷已成为各商业银行的主要业务之一。如中国建设银行(以下简称为建行)作为中国四大商业银行充分发挥客户资源规模、网点数量众多、人力成本较低等优势,个人信贷业务发展已取得了相当规模。据有关资料显示,截止2009年6月份全国建行个人贷款余额已经达到7149亿元,2009年底达到8525亿,2010年上半年建行个人贷款余额突破了1万亿大关,达到了10022亿元,成为一个标志性的里程碑。随着我国金融市场不断开放,实力雄厚的国外商业银行也将个人信贷业务作为进入中国市场的重要切入点,个人信贷市场竞争空前激烈。面对竞争与压力,进一步加强我国商业银行个人信贷风险控制,完善个人信贷风险控制与防范体系,成为商业银行高度关注的问题。
从目前来看,由于各商业银行个人信贷绝大多数是以现购房为抵押来进行贷款的,房地产抵押所办理的贷款约占个人信贷贷款总额的70%以上。因此,房地产价格的波动必将会直接影响银行的个人信贷业务风险。随着国家对房地产市场调控政策的出台,如国十条、第二套房贷政策、第一套房贷首付比例和贷款优惠利率调整、限购令、房产税等等一系列政策的连续出台,给房地产市场发展带来很多不确定因素。如果房价下跌超过一定的比例,借款人(以下简称客户)违约的成本就会随之下降,甚至变成负数,违约率就会上升;抵押物价格的下降使担保的作用失效,等等,这将势必加大银行对个人信贷风险防范的难度,从而影响银行的经营安全。为此,我们必须深刻认识到进一步加强个人信贷风险的必要性和严肃性,针对当前个人信贷风险控制和防范存在的一些问题,进一步明确风险点,尽快采取更加有效的措施,建立全面的风险控制和防范体系,处理好个人信贷安全、流动、盈利的关系,以确保商业银行个人信贷业务的可持续发展。
一、加强个人信贷风险防范的必要性。
(一)加强个人信贷风险防范是实现商业银行个人信贷资金安全性、流动性与盈利性的需要。
商业银行信贷经营始终要坚持“安全性、流动性、盈利性”三项原则,其中安全性是基本原则。即所有信贷发放都应该以保证按规定收回为前提,保证贷款本息的安全性。而作为个人信贷同样也是如此,风险的大小将直接影响到个人贷款的安全性。一般来讲,风险的大小与个人信贷的安全性成反比。因此加强个人信贷风险管理,降低个人信贷风险,对银行提高个人信贷的安全性是十分必要的。合理配置个人信贷资金,满足客户对信贷资金的不同需求,以保持信贷资金较好的流动性,始终是银行个人信贷经营的重要原则。如果个人信贷资金流动缓慢,势必影响整体资金的流动。这样不但无法实现资金收益最大化,还可能会造成自身的支付危机,从而严重影响正常运营。坚持安全性,保持流动性其最终目的是为了实现盈利,因此,坚持盈利性既是个人信贷经营原则,也是商业银行经营目标,更是自身发展的根本动力。加强对个人信贷风险的管理,就是确保个人信贷资金安全性、流动性、盈利性的需要。
(二)加强个人信贷风险防范是提高商业银行竞争力的必然选择。
在市场多变,竞争激烈的环境中,商业银行要用良好的资金流来保持市场占有率,实现更高的盈利率,就必须加强对包含个人信贷业务在内的各类信贷业务的风险管理。通过强化个人信贷风险防范可以更好地降低和减少不良贷款总量,确保银行具备充足的资金流。充足的资金流为其扩大市场占有率提供了保障。市场占有率的提升就会为进一步提高盈利能力提供可能,最终实现提高竞争力的目标。如果预期中不良贷款呈增长趋势,虽然不一定表示贷款发生了损失,但势必会增加银行坏账准备金。坏帐准备金如果占用过多,将会对信贷资金的流量和速度产生一定影响,从而直接导致盈利能力和竞争力的下降。所以加强个人信贷的风险防范,是提高商业银行竞争力的必然选择。
(三)加强个人信贷风险防范是商业银行信贷业务全面发展的需要。
目前,随着个人业务已延伸到个人结算、代收代付等中间业务和个人信贷业务,个人业务已成为银行各类信贷业务的重要组成部分。从现实来看,个人业务中的个人信贷业务迅猛发展,必然要求从事这项业务的人员的各项素质尽快提升,各项制度尽快规范、完善,以适应发展要求。这就要求我们必须从制度设计和管理层面加强对个人信贷业务管理,防范各类风险,实现个人信贷的最大收益,提升其在商业银行整体信贷业务的地位,从而推动商业银行信贷业务全面协调、和谐发展……二、当前我国商业银行个人信贷业务存在的主要问题。
(一)个人征信系统不完善。
个人信贷最大的风险主要来源于客户的信用风险和其借款能力下降等因素。它是由客户的工作状况、收入状况、文化水平等许多因素构成的。商业银行对客户信用状况的掌握程度,会直接影响到对客户个人信贷授信程度。目前中国的征信系统只限于人民银行的个人征信系统,但是其所包含的内容很不全面,仅限于客户在全国所有银行的借款情况。所包含的范围相对狭窄,对客户收入、工作和文化程度等直接与诚信和信用等有关的资料都没有形成统一的记录,对其他个人的信用状况也无法查证,这都加大了银行对客户全面了解的局限性。目前不仅存在个人收入的保密性和个人征税机制的不完善,还存在其它征信部门系统的资源不能相互共享,等等。这样就使得银行对客户的自有净资产、个人收入的完整性、稳定性和还款意愿等关乎资信的重要状况难以做出正确判断。同时,按照现行规定,客户向商业银行提供的各项资料往往都是由客户本人提供,没有一个权威的征信部门对客户提供的资料予以验证,资料的真实性就难以得到保证。如果银行将客户不真实或不完整的信息作为评价风险的依据,难免会为以后出现风险留下隐患。
(二)相关法规尚不健全。
目前全国性的法律并没有单独针对个人借款的相关法律条款。现行对信贷活动和调整信贷关系的法规,大都针对企业法人,并且对违约处理的一些具体实施措施和办法还很难操作。
(三)抵押物难以变现。
目前,银行一般在处理抵押物时要经过法院起诉、法院执行到拍卖抵押物等环节。完成这些环节不但需要一定的时间,而且还需要经过一系列复杂的程序,这都会加大银行对此类问题处理的精力和物力。譬如,抵押物随时间的推移,可能产生损坏、贬值;各个环节的参与、督促、落实都将占用一定的费用作支撑,加大了交易成本,等等。这些因素增加了抵押物变现的难度,也对银行控制防范个人信贷风险增加了难度。
(四)操作不规范。
目前,各商业银行的个人信贷发放都是以发展业务为主,从考核标准到贷款政策的制定,首先考虑的都是新增贷款的发放,个人信贷客户经理为了发展业务四处营销,即使客户存在信用隐患,也想方设法通过不正当手段为客户争取到信贷额度,这样势必会给个人信贷留下隐患。
三、个人信贷业务风险点的分析。
个人信贷风险主要是由市场(利率)风险、信用风险、操作风险等构成。
(一)利率变化引起的风险。
众所周知,客户的还款利息是由商业银行的贷款利率和金额决定的。当基准利率发生变化,商业银行利率也将随其变化,这样客户的贷款利率也会因为基准利率的变化而变化。每当利率上调,贷款成本就会提高,月还款额就会增加,其家庭债务支出也就相应提高。[1]
当利率上升累积到一定程度,就会影响到他们正常生活的开销。如果这种积累的叠加,使客户出现了不能按照协议偿还贷款,逾期率就会增高。这就是基准利率的升高会使逾期率增高,形成客户还款风险。
市场利率的变化除了基准利率的变化外,还会受到平均利润率、银行经营成本、资金借贷风险、资金借贷期限、物价总水平、货币政策、宏观经济环境、国际利率和汇率等因素影响。当这些因素使市场利率远远高于商业银行贷款利率,那么社会上对信贷资金的需求就会急剧膨胀,客户就会不惜违反信用把本来应该归还贷款的资金挪作他用。如,投入股票、基金市场等。更有甚者,通过虚假方式套取银行信用。这都是由于市场利率的变化,使客户产生违约动机和行为,形成客户还款风险。
(二)个人违约引起的信用风险。
个人信贷信用风险就是指个人信贷的违约风险。一般情况下,有一定还款能力或者重视信用的客户,其个人信贷的风险就越低;还款能力较差或者不遵守信用的借款人,其个人信贷的风险就越高。但经常也会出现特例,这往往都与客户周边环境和生活状况的变化有关。
为此,商业银行都要通过客户信息管理来及时了解客户信用状况的变化。如果能够掌握影响客户信用的相关因素,如客户的自然状况(年龄、性别、婚姻状况、文化水平,健康状况、户籍所在地、职业、单位类型、配偶职业、配偶单位等)、偿债能力(收入、家庭人口、资产与投资等)、稳定性(住房、工作、社会福利保险等)、信用记录、担保情况等,[2]这将对做好客户信用管理工作起到关键作用。
评价个人信用行为也是控制个人信用风险的重要方面。个人客户行为信用风险分析是建立个人信用行为评分模型的基础,通过分析选择合适的变量,搜集可获得的数据,根据数据局限性和重要参数决策,建立个人行为评分模型。通过个人客户过去的信用特征来评估当前的信用程度,并不断进行跟踪分析,及时掌握客户变化及其特征,从而准确评价客户的信用风险。但在这方面我们还没有建立一整套较为完善的评价、监控体系,个人违约行为的控制能力还较弱,这都为银行控制个人违约风险带来了一定的困难。
(三)操作方面主要存在的风险点。
个人资产状况证明材料的非真实性造成的风险。目前我们还没有建立完整的个人征信信息库,可征信调查资料大部分都是由客户提供。如果客户经理不能严格按照规定去逐一核实相关资料,就很难正确评估其偿还贷款的能力,这将会给我们的风险防范带来不确定性。
客户的诚信区分缺乏时效性造成的风险。由于自身周围环境的突然变化,有可能引起客户收入或资产的变化,这样其信用评级也应随之出现变化。而现行界定标准规定,并未对此类情况做出相应的要求,从而使风险控制措施不能有效、及时实施,就可能出现风险。
内部管理造成的风险。由于管理制度的缺失或者是监管不力,极个别客户经理在操作上也会有意和无意地对客户所提供的材料采取放任态度,睁一眼,闭一只眼,甚至串通造假,等等。对于这些问题如果不能及时发现、制止,严肃处理,势必会给个人信贷业务也带来风险。[3]
四、加强个人信贷风险控制的建议。
个人信贷业务已经成为我国商业银行的重要组成部分,其涉及到的部门、人员以及环节很多。对该业务的风险控制已不仅仅是哪个部门和几个人的事,需要全员参与,全过程控制。
为此,商业银行要尽快树立全面风险管理理念,明确全面风险管理目标,制定全面风险管理政策,完善全面风险管理制度,运用现代风险管理技术,提升全面风险管理能力和水平,培育全面风险管理文化,提高全员参与风险管理的主动性和创造性,从而最大限度地减少和降低个人信贷风险,为实现商业银行价值的最大化提供保障。[4]
(一)明确全面风险管理目标。
要明确全面风险管理目标,将个人信贷业务的发展战略和对应的风险管理战略有机结合起来,进一步完善、制定切实可行的风险管理政策和程序,合理配置各类工作人员及其相关的支持系统,合理、准确地划分风险,建立上下统一的风险计量系统,强化风险管理的一致性、完整性、有效性,提高全员风险意识,增强全系统各个部门和人员风险的承受能力,最大限度地满足客户需求和市场需求,促进个人信贷业务的健康发展。在清晰的管理目标下,各级领导和各个部门要积极参与风险管理,形成全面风险管理文化氛围,夯实全面风险管理的思想、意识基础;对不同风险确立特殊的风险管理原则,有针对性地制定风险政策程序,恰当选择风险管理办法,建立相应组织和管理流程,实施全面风险管理。
(二)完善全面风险管理政策。
要进一步完善全面风险管理的相关政策,为防范和控制个人信贷风险提供保障。个人信贷风险管理政策主要包括基本政策和信用风险、市场风险、操作风险政策。其中,风险管理基本政策应包括:风险治理、数据与信息管理、风险组织与流程、组合管理、风险调整绩效考核以及全面风险管理报告等政策。信用风险管理政策包括:内部的评级、信用风险缓释、信贷评审及授权、贷款产品及限额、信贷监控预警及资产处置和信用风险资本配置等政策,通过制定这些政策为有效控制和防范信用风险提供政策依据;市场风险管理政策至少应包括市场风险偏好、市场风险计量、市场风险限额、市场风险控制、市场风险资本配置、市场风险报告政策等,为规范市场交易提供依据。操作风险管理政策主要包括三个层次:一是操作风险的政策和标准;二是业务操作手册;三是部门操作风险管理标准,为操作风险的评估和强化内部公职提供基本准则。
(三)建立优化风险管理模式。
面对当前的信用环境,信用风险管理应采取自上而下条线垂直管理,以促进风险管理政策指令畅通,确保执行力的效率。市场风险应采取“自上而下”集中管理,实施定性和定量相结合的管理方式,以更好地组织实施对市场风险的识别、分析、计量、决策、处理、监督检查和报告。操作风险管理要实行一体化,建立集成性和相互关联工作体系,让所有参与者共同发挥作用。
(四)运用现代风险管理技术,实现风险管理的精细化。
巴塞尔协议提出了从简到繁的风险计量方法,如信用风险有标准法和内部评级法,市场风险有标准法和内部模型法,操作风险有基本指标法、标准法和高级测量法,等等。不同的风险需要依据其特征使用不同计量方法,如信用风险需要专家经验判断,市场风险需要根据利率变化特性,进行情景分析,操作风险需要根据可控、不可控等风险特征进行转移、抵补、覆盖等。通过运用现代风险管理技术,使风险管理更加有针对性和实效性。
(五)建立全面的风险管理文化。
高层管理者的言行态度、职业道德水平及其诚信水准将决定着整个系统风险管理文化发展的方向、起点和示范效应。因此,要高度重视风险管理,确定良好的风险管理原则,清晰界定风险管理者的权利、责任和义务,为全面风险管理配备充足的资源。要通过分工明确的组织网络有效开展风险管理工作,并通过相关政策程序进一步规范各项行为;通过开展普及现代风险理论知识和技术,提高全员风险管理知识水平和职业操守;通过完善和加强风险调整绩效考核来正确引导业务发展方向,前移相关风险管理职责,从风险源头把控风险,大力提高全面风险管理政策和制度执行的自觉性和主动性。
(六)建立一套完善的个人信贷风险评价系统。
具体操作可以通过银行间的、乃至金融体系间的相互协作,一方面做好个人信用的记录,与此同时加速借款人信息在金融体系内部的传递,从而便于及时掌握借款人有关信用评级的各种信息。另一方面鉴于多数借款人都属于本地居民,因此可以调动社会力量,从社会保障部门、劳动人事部门、个人供职机构、政法部门等搜集整理个人各方面信息记录,将这些信息集中管理,在此基础之上建立个人信用评级系统。该系统投入使用,能够极大提高银行个人信贷工作的效率,有效控制借款人因违约而造成的风险,银行工作人员可根据计算机以及网络中的信息快速而准确地对申请者作出是否对其放贷的决定,进而也简化了个人信贷手续,促进了个人信贷业务的良性发展。
参考文献:
[1]周脉伏,成琴,葛大江。信贷风险管理[m].成都:西南财经大学出版社,2009:3-5.
[2]阎小波。我国信贷市场逆向选择风险研究[J].理论与方法研究,2000,(3):45-48.
全面信用风险管理篇9
论文摘要:营销风险存在于企业经营活动的各个环节,贯彻经营过程的始终,是企业风险高度集中的部分。文章在已有营销风险理论应用研究成果的基础上,借鉴企业全面风险管理模式的核心思想,构建包括战略目标、技术流程、基础设施和内部环境四个维度的营销全面风险管理系统,并以VaR和es方法为分析框架,全面度量营销市场风险、信用风险和操作风险,为企业营销风险提供及时准确的预警以及相应的防范措施,使企业能全面系统地管理营销风险,提高管理水平。
一、引言
2006年6月6日,国务院国资委了《中央企业全面风险管理指引》,标志着中央企业开始实施全面风险管理。随着经济全球化进程的发展。市场竞争日益激烈。企业为了能在变化频繁、具有高风险性的市场上生存发展,加强企业风险管理是必要的途径之一。企业的效益要在满足消费者的过程中实现,即要在销售中得到体现。从这个意义上说:市场营销是企业的主体活动,市场营销风险则是企业风险高度集中的部分。营销风险预警与防范是管理的重点,本文借鉴企业全面风险管理的核心思想,构建包括营销风险战略目标、技术流程、基础设施和内部环境四个维度的企业营销风险管理系统,并建立VaR和eS方法的营销风险度量分析框架,在实现对各类营销风险量化分析的基础上,对企业营销活动进行基于风险的绩效考核和业绩评价,全面系统地管理企业的营销风险。
二、企业营销风险管理概述
营销风险是指企业在营销过程中,由于企业环境(包括宏观环境和企业微观环境)复杂性、多变性和不确定性以及企业对环境认知能力的有限性使企业制定的营销战略和策略与市场发展变化的不协调,从而可能导致营销活动受阻、失败或达不到预期营销的目标等企业承受的各种风险。已有的文献从不同的视角对营销风险进行划分,不同的划分适宜于解决不同的问题。对于企业而言,营销风险在本质上是一种损失的可能性,表现在风险发生与否、发生时间、发生原因、潜在损失多大等的不确定性。产生营销风险和影响其风险大小的因素主要包括环境因素、信息因素、商业因素、管理因素等诸多方面。其中,环境因素、信息因素、商业因素是产生风险的外因,企业的营销组织管理因素是内因。
营销风险管理与企业的经营管理的出发点不同,其重点是控制和减少损失。进而增加获利机会。借鉴威廉和汉斯在《风险管理与保险》中对风险管理的定义,可将营销风险管理定义为:通过对营销风险的识别、衡量和控制,以最低的成本使营销风险导致的各种损失降低到最低程度的管理方法。目前对企业营销风险管理的研究主要集中在营销风险评价和营销风险预警管理上,一般通过对构建的评价指标体系和预警指标体系进行各种定性和定量的处理,得到相应的营销风险等级,并结合企业承受营销风险的能力及风险管理水平,提出应采取的相应预警控制措施。但目前研究的量化程度和系统性尚有不足,本文在已有研究基础上,借鉴eRm的核心理念,尝试建立一个企业营销风险管理系统,对企业营销风险进行通盘管理,以期为企业的营销风险决策提供科学量化的依据。
三、全面风险管理模式
自1955年沃顿商学院的施耐德教授提出“风险管理”的概念以来,风险管理的发展历经传统风险管理、现代风险管理和全面风险管理三个阶段。随着全球一体化的发展,企业外部环境变化的不确定性日益增加。企业越来越重视风险和风险管理。尤其是2004年美国着名的职业机构CoSo出台的《企业风险管理——整合框架》中提出的风险管理概念、内容、框架构成了全面风险管理理论的核心,全面风险管理等新理论被越来越多地纳入到企业实践中。
全面风险管理(enterprise-wideRiskmanagement.eR-m)是从战略目标制定到目标实现的全过程风险管理,是一个复杂体系和动态过程,这个过程由全体员工实施,包括建立并维护全面风险管理体系,在企业层面和企业各个流程的层面,执行全面风险管理的一般程序,管理企业的所有重大风险,以实现全面风险管理的目标。其核心理念是用系统的、动态的方法进行风险控制。以减少过程中的不确定性。它不仅使各层级的管理者建立风险意识,重视风险问题,防患于未然,而且在各阶段、各方面实施有效的风险控制,形成一个前后连贯的管理过程,以保证企业在实现其未来战略目标的过程中,将市场不确定性和变化所产生的影响控制在可接受范围内。
四、构建企业营销风险管理系统
现代企业的风险管理机制应从独立型向综合型转变,需要各个部门或各职务进行风险管理的协调。建立一体化的风险管理模式。营销风险管理系统作为企业全面风险管理系统的一部分,其构建过程与企业全面风险管理系统一样也是一项复杂的系统工程,须有一个系统的框架将管理范围内的风险管理活动形成一个有机的整体。企业营销风险管理系统的框架包括四个维度:战略目标、技术流程、基础设施和内部环境,其中战略目标的实现是系统的核心,技术流程、基础设施和内部环境为支持要素。从系统决策的角度出发,综合考虑影响风险决策的因素,即价格(price)、偏好(preference)和概率(probability)三个基本要素,将整个企业营销面临的各类风险以及承担这些风险的各个业务单位纳入到统一的管理体系中,通过资源的有效整合,达到上述三个要素(3p’s)的最优均衡,实现企业营销价值创造的最优化。
1营销风险管理系统战略目标。营销全面风险管理战略目标主要是结合企业的风险偏好设置营销风险管理目标。根据企业内部的组织、人员和系统可承受风险的水平和状态以及企业的风险管理文化经验。对企业营销风险管理目标明确定位。营销风险管理系统目标有两个:一是安全性目标,是指在经营实力范围内,设定营销安全指标,并进行与之相适应的资本分配、风险配置,从而实现将超过整体经营实力的损失发生概率控制在一定水平之下。达到确保企业稳健运营的目标。这是首要的也是初级的目标:二是盈利性目标,是指根据风险调整后的收益指标,重新分配经营资源(人、物、资金),以实现向收益性高的领域投入更多资源,达到提高收益和效率的目标。这是风险管理的第二阶段目标,也是营销风险管理的高级目标。安全目标是盈利目标的前提和基础,而盈利能力的提高与利润的积累又能进一步提高企业的营销安全系数。
2营销风险管理系统技术流程。风险管理是企业对风险进行全面的内部审核和控制,是一个系统化的技术过程。营销风险管理系统的技术流程可概括为以下5步:
(1)营销风险定位。营销风险定位应根据企业整体的风险管理目标和风险偏好来决定。体现为构建营销评价体系所选择的一系列营销安全性和盈利性指标上。并具体细化到风险阈值和经济资本的持有水平上。
(2)营销风险识别。按照给企业带来潜在损失的不同风险类别对企业营销风险进行分类识别,并分析风险因素间的相互关系。本文将营销风险分为营销市场风险、营销信用风险和营销操作风险三个类别。
其中,营销市场风险是指与市场相关的因子不利波动而导致损失的可能性,其主要来源包括消费者需求的变化、竞争对手间力量对比的变化以及政策、法律、政治、军事、宗教等其它方面的变化等。导致的损失诸如:营销策略难以顺利实施、目标市场缩小或消失、产品难以顺利售出、盈利目标难以实现、企业声誉下降等;营销信用风险是由于企业采取的“先提货。后付款”的信用销售形式引起的,指信用交易的受信方不能正常履约,因而给信用交易的授信方带来损失的风险,多表现为债务人未能如期偿还其债务造成信用销售合同违约,给赊销企业带来的风险;营销操作风险是与企业营销业务过程相关的不确定性,是企业围绕产品销售、劳务提供及市场份额的争夺,制定信用销售政策等过程中发生的各种由非市场和信用因素引起的风险。主要包括由于企业的交易系统不完善、管理失误、控制缺失、诈骗或其他一些人为错误而导致的潜在损失。主要包括流程风险、人员风险、系统风险、事件风险和商业风险。
(3)营销风险度量。本文构建以VaR和eS方法为分析框架的营销风险度量模型,对上述三类营销风险进行度量。
目前VaR方法已成为金融市场风险度量的主流方法,受险价值(ValueatRisk,VaR)表示在一定置信水平下,某已知头寸或组合在未来特定的一段时间内的最大可能损失。对于企业的营销风险度量而言,VaR实际上是要回答在概率给定的情况下,企业营销业务在未来一定时间内由市场风险、信用风险和操作风险带来的最多可能损失是多,少。期望短缺(expeetedShortfall,eS),直观上的解释是损失超过VaR的条件期望值,可作为VaR缺陷的补充,进一步加深对尾部风险的认识,更好地处理小概率事件和控制失控所引起的极端超额损失。
对于各类营销风险采取不同的度量方法:对于营销市场风险可采用Riskmetrics方法。计算商品价格的VaR值,可以得到商品价格的变动率和变动方向:对于营销信用风险可采用Creditmetrics方法。计算商品赊销的VaR值,建立信用状况和到期付款情况之间的数量关系,计算受信客户信用变化带来的企业赊销产品价值的变化:对于营销操作风险可采用Delta、eVt等方法。计算出企业营销操作VaR值和超额损失eS值,并以概率分布表示未来一定时间内营销操作风险损失值。在此基础上,综合各类营销风险,得到一定置信水平下的总体营销风险VaR值和eS值。可作为营销风险预警值,为企业营销决策提供依据。
全面信用风险管理篇10
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—one),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(oCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(isaudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的it风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(iS017799)、《信息技术安全性评估准则》(GB/t18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(isaudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。it风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。新晨
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。