全流程风险管理体系
全流程风险管理体系范文第1篇
关键词:流程银行;合规风险管理;GRC;综合集成
中图分类号:F830 文献标志码:A 文章编号:1673-291X(2012)09-0051-03
引言
在2010年的监管工作会议中,监管当局要求农村金融机构在2012年实行《统一资本计量和资本标准的国际协定:修订框架》并鼓励农村金融机构运用现代风险量化技术来管理银行风险,建立健全全面风险管理机制。对于全面风险管理机制的建设,最基础的层面就是落实合规风险的管理,而合规风险的管理又落脚于对银行业务经营的每一个流程环节、每一个风险点、每一个员工的岗则的管理,因此合规风险的管理与目前正在中小农村金融机构中展开的流程银行建设是紧密相连的。对于如何将合规风险的管控与流程有效结合,如何在管控与经营发展两者间寻找平衡点,运用怎样的方法和技术落实合规风险的管控,目前还缺乏相应的研究和对策。本文通过对流程银行、全面风险管理、合规风险管理概念进行梳理和整合的基础上,以江苏省农信社流程银行和合规风险管理建设为例,主要探讨了如何通过流程银行的建设来推进合规风险管理的落地和全面风险管控。
一、合规性风险管理、全面风险管理及流程银行内在逻辑关联
自巴塞尔银行监管委员会《合规与银行内部合规部门》指导原则颁布以后,在全球范围内迅速得到响应。合规已成为银行内部的一项核心风险管理活动,更是银行实施有效内部控制的一项基础性工作。无论从监管需要和银行自身发展需要出发,都显得十分必要,其重要性都不容忽视。正如银监会主席刘明康多次强调指出的那样,银行业金融机构要深刻理解合规风险管理内涵,应用科学发展观与时俱进地加强合规风险管理体系建设。随着现代银行监管的发展,如何借鉴国际先进银行的合规风险管理及监管经验做法,加强中国银行业市场化改革中的合规建设,建立合规风险管理长效机制,成为函待研究和实践的课题。总体上来说,合规风向管理都是商业银行的核心竞争力的重要表现。构建合规风险管理体系是中国商业银行管理的一次革新。
1.有效的合规风险管理体系是全面风险管理的核心。首先,合规风险管理涵盖于全面风险管理体系之中。从COSO委员会的全面风险管理框架可以看出,全面风险管理除了包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五要素之外,还增加了目标设定、事件识别和风险对策三要素。其次,合规的动力主要来源于银行对风险的识别和管理。随着国际银行业对合规重要性的认识逐步到位,合规作为一门独特的风险管理技术,已得到全球银行业的普遍认同,合规风险已与银行其他风险一道被纳入到银行全面风险管理框架之中。最后,合规风险管理是银行全面风险管理中一个必不可少的环节和全面风险管理有着极为密切的关系。由于合规风险是商业银行其他风险产生或形成的一个重要原因,特别是导致银行操作风险和声誉风险生成的最主要、最直接的诱因,所以,在银行的风险管理过程中,需要合规风险管理部门和其他风险管理部门充分沟通协作。
2.合规风险管理是流程银行建设的需要。流程银行建设与合规风险管理是相辅相成,相互支持。流程银行的建立从根本上将合规风险的管理通过流程这条主线联结起来。将原来分散化、弱关联的合规风险评估、识别、量化、缓释和监控通过流程集中起来,使流程银行的合规风险管理成为一个反应及时、动态敏捷的立体网络由于合规风险的发生很大程度上依赖于某项流程活动,因此,流程作为商业银行的微观基础活动,其合规风险管理水平决定着商业银行的整体合规风险管理水平,通过对流程合规风险的有效管理,并对流程逻辑进行优化集成,就形成了银行的整体合规风险管理的思路。
同时流程银行的建设过程,也是重新审视流程是否科学、规范、合规的过程,利用对流程的合规评估来达到规避合规风险、精简企业流程、降低成本、提高商业银行运作效率的目的。商业银行只有树立起流程管理的理念,才能从整体上落实执行力、提高客户服务和风险管理的质量,这是有效管理合规风险的基础。正因为流程银行是合规风险管理的载体,而且流程银行正是中国商业银行目前改革的重点,所以中国商业银行可以借流程再造这个契机在流程再造的同时建立起完善的合规风险管理体系。也只有以这样的方式推进,合规风险管理体系建设才能落实到实处,才能建立起符合现代商业银行的合规风险管理体系。
二、江苏农信流程银行建设与合规风险管理的落地
合规风险管理作为商业银行管理中不可或缺的一种银行风险管理技术已得到了国内银行界的普遍认同,江苏农信高度重视合规风险管理体系的建设及其落地。随着江苏农信基层法人农商行的改制进程快速推进,全面风险管理重要性的日益凸显,合规风险管理也逐渐发展成为江苏农信系统内部的一项核心风险管理活动。在理念上,江苏农信提出,合规风险管理应该从“以任务为中心”向“以流程为中心”转变,由原来的事前、事后管理风险逐步转变为事前、事中、事后的全面风险管理,并将合规风险管理建立在以流程为中心、持续测试和持续验证的基础上。因此,江苏农信自2009年以来通过流程银行建设培训、2010年全省流程银行建设试点并在2011年逐步推广等系列工作来推进合规风险管理的落地。
作为江苏省流程银行建设两家试点单位,泗阳农村商业银行(以下简称泗阳农商行)流程银行建设项目的特色——打造以农户、微小企业、个体工商户为核心的“阳光品牌”,建设有泗阳农商行特色的流程银行。泗阳农商行业务具有“额小、分散、户数多”的特点,树立以客户为中心的理念,进行战略澄清、组织优化和流程优化,改善业务流程的效率和有效性,提升服务质量,提高客户满意度。
(一)泗阳农商行流程银行建设
在流程银行建设的过程中,泗阳流程银行与外部咨询方一起利用访谈、调研、讨论、分析等方式对全行风险管控能力进行诊断,对每个业务流程、管理流程进行梳理优化,调整银行组织架构,提高银行风险管控能力。
1.打造“1+1”工程——阳光信贷工程和客户分类分层营销工程。泗阳地区经济发展水平较低,该行主要服务对象是大量的农户、个体工商业户及中小企业。对此,将客户按照六类三级(六类:个体工商客户,种、养、加客户,股东客户、企业客户、股东发展客户、外出务工客户。三级:普通级,优质级,核心级)的标准,对城区和农村客户实行市场细分,为客户量身定制服务套餐,实行差异化营销模式深度挖掘客户需求和客户资源,对优质客户群体提供高附加值、定制化的服务满足。推出有针对性的“凤还巢”、“安居宝”、“金钥匙”、“中小企业联保通”等信贷业务新产品,目前,该行已形成五大类近30种的产品组合,提供差异化、个性化的金融产品,可满足不同类型的客户需求,切实提升了产品服务的竞争力。
2.零售业务批量化处理。通过引入“信贷工厂”和德国IPC公司基于现金流的放贷技术,实现零售业务批量化处理。在打造“信贷工厂”中,该行为农户、具有小微企业性质的个体工商户、大额农户以及中小企业研制推出标准化的产品,设计统一的流程化作业模式,对业务环节逐一细分,并根据不同客户类别设计标准化的信用评分指标和体系,进一步扩大信贷覆盖面,丰富业务产品种类,提高贷款发放的效率,降低运作成本。
3.再造核心业务流程和管理流程。该行按照“高风险长流程,低风险短流程”的基本思想针对竞争环境和客户需要的变化,从核心流程出发,对银行业务流程和管理流程进行优化和再造。目前,已经形成“一书一图两表”(即一个岗责说明书、一个标准作业流程图、一张风险点明细表、一张内外规映射表),共有包括信贷、负债、电子银行、风险管控以及后勤保障等业务在内的298个流程图和1 980个风险点库,为下一步流程定型和风险管控奠定了坚实基础。
4.重塑银行公司治理架构和组织架构。构建 “前中后台相分离,一二三道防线界定清晰”的流程银行组织架构,按照业务、管理流程以及部门职责设定岗位,明确和落实每个岗位的职责、任职要求等, 并建立自上而下和自下而上的传递反馈沟通机制,保证信息快速传递与落实。
(二)建立基于流程银行的GRC综合集成风险管控平台
风险识别和评估的目的是主动识别、计量、监测和管理风险。这就需要建立健全规范有效的合规风险评估体系,构建灵敏有效的合规风险分析评价机制,开发合规风险的识别、量化、评估、监测和报告的全流程风险监测信息系统。
在优化流程的同时,该行挖掘流程各个环节存在的关键风险点,利用专家经验法提出风险应对措施,并对每个风险点标注相应的内部与外部法律、法规及准则,使流程的每个环节对应到银行各部门的各岗位,借助Visio工具把用信流程和涉及部门岗位描绘出来,然后按照上述思路梳理各个关键环节风险点和应对措施,已经对应关联的内外规。清晰的流程图亦可同时展示部门和岗位的工作职责及其定位。
在优化和规范化后的组织架构和业务流程基础上,利用嵌入工作流的IT化GRC综合集成管控系统对银行业务的各流程环节进行实时控制,提高业务效率、客户服务能力以及事中风险管控。该系统平台内嵌了如下功能:我的岗位模块(包括每个员工相应的岗位职责、每天的代办事项等)、流程体系模块(全行所有业务的流程和风险点及对应的内外规)、内外规管理模块(对内外规的识别、管理和分析)等相关内容。通过建立“风险事件管理”的“后评价机制”,对银行管理和经营活动中的风险进行监督、控制,提高事后风险管控能力。在此基础上,借助GRC综合管控系统不断积累数据,按照巴塞尔协议Ⅱ和Ⅲ的要求,推动银行全面风险管理体系建设。
三、江苏农信试点流程银行建设与合规风险管理的初步成效
通过泗阳农村商业银行和无锡农村商业银行流程银行与合规风险管理体系建设试点实践,江苏农信也在同时深化对流程银行以及合规风险管理的理解。通过建立流程银行体系和合规风险管理体系以及二者在信息系统上的整合,已经取得初步成效,并将进一步总结加以推广。
1.流程再造与落地,实现公司治理机制流程化落地。公司治理是商业银行合规经营的基础和根源。从国外实践的经验来看,一个有效的商业银行合规风险管理体系需要在银行的最高权力和决策机关形成一种既相互分离又相互联系、既相互统一又相互制衡的机制。股东或董事会和高级管理层的人员组成、作用、责任及应承担的义务决定着银行的经营行为和效果。通过流程实现公司治理机制的流程化落地,一方面将决策流程落脚到IT化的流水线作业上,另一方面将对风险的治理,通过管控系统进行风险和相应的管控人员的匹配。
2.重塑组织架构,打造前中后台三道防线。首先实现前中后台相分离,明确一二三道防线。以泗阳农商行为例,在流程银行建设中,形成的组织架构如下:以前台(业务营销总部,包括公司部、个金部、电子银行部、分支机构)、(授信管理部、信贷管理部、财务会计部)、后台以及支持保障部门(人力资源部、办公室、科技部、监察保卫部、工会)为风险防控第一道防线和主要风险责任主体;以合规部和风险部为风险管控的第二道防线,为第一道防线提供风险管理指导、支持和检查;以稽核监审为风险管控三道防线,从而构建有效的全面风险防控体系。整个前中后台的相关职能部门构成银行的一道防线,是风险责任的主体,由风险部、合规部组成银行的二道防线负责全行各类风险的识别、监测、计量、转移和规避。
3.整合作业系统,构建风险管控体系。对于农村金融机构而言,合规性风险是最重要的一类风险,发生频率高,监控难。以泗阳为例的“基于流程银行的GRC综合集成管控平台”中的合规风险控制模块包含了合规支持系统与合规管控系统两大子系统,合规支持系统用以支持日常合规工作,力求降低银行的日常操作风险,提高业务流程效率;合规管控系统用以动态管控银行的全面风险情况,以增强银行对风险的管控能力。
四、基于流程银行的合规风险管理建设未来的发展方向
1.合规理念内化与反嵌。合规风险理念或者说合规文化是整个合规管理体系的思想灵魂,应在员工的思想意识中占据首要位置。加强对员工的培训和指导,使员工深切理解监管要求和规定本身。合规理念应当深入人心,从领导层到高官层再到业务层,所有的工作人员都应该形成合规思维,使合规理念内化为员工心中的应然意识,在全行上下营造合规文化氛围,人人遵从合规、主动适应合规、合规创造价值,这也是中国国有商业银行在完善合规风险管理体制中对合规文化的追求。
2.构建全面的合规风险管理运行机制。一是要创建覆盖商业银行各个机构、各个业务条线的合规组织架构,商业银行应以集中化的运行模式在各个分支机构设立独立的合规风险管理部门和合规岗位,以确保合规风险管理覆盖所有的业务条线,所有的分支机构,所有的产品领域以及所有经营活动的组织,使合规风险管理贯穿于经营管理的全过程。二是通过构建标准化的合规管理流程,不断识别合规风险,并通过不间断的评价保证业务流程的风险可控及可操作性。三是建立并不断完善合规风险管理建设,通过合规风险管理系统的流程管理功能、监测功能、支持功能,能够有效整合商业银行的合规风险管理的资源,提高管理水平。
3.综合集成风险管控平台的改进方向。泗阳农商行“基于流程银行的综合集成管控系统”采用三层浏览器/服务器(B/S)结构开发,是当前信息系统开发的主流模式,具有比较好的可扩展性。浏览器/服务器(B/S)结构采用WWW方式对服务器进行访问,具有图形化界面、不需要安装客户端软件、用户操作方便等优点;特别对于银行业,其安全性好、保密性高的优点,非常适合银行业的生产环境。该系统目前尚处于小范围、小规模的试运行,在实际使用中可能会发现各类问题,有待进一步完善和提高。该平台系统还存在功能有待完善、系统数据库与核心系统数据库接口尚未实现对接等提高方向。随着一定数量的数据积累和运行实践,系统能更有效地发挥其信息化、智能化优势。
参考文献:
[1] Nicolas Racz. Governance,Risk & Compliance (GRC) Status Quo and Software Use - Results from a Survey among Large Enterprises [C],21st Australasian Conference on Information Systems,2010.
[2] Nicolas Racz,Edgar Weippl,Andreas Seufert.A process model for integrated IT governance, risk, and compliance management.
[3] GMI Article for Oprisk & Compliance-short[J].GRC,2008.
[4] Marc Dupuis, Barbara Endicott-Popovsky.Top-Down Mandates and the Need for Organizational Governance, Risk Management, and Compliance in China-A Discussion.
[5] 徐振东.银行家的全面风险管理[M].北京:北京大学出版社,2010.
[6] 易颜.从“合规性监管”到“风险性监管”——中国银行监管转变研究[D].广州:暨南大学,2004.
[7] 陈杰.对农村信用社全面风险管理体系构建的思考[J].农村经济与科技,2011,(3):22.
[8] 刘满佳.国有商业银行合规管理研究[D].成都:西南财经大学,2010.
全流程风险管理体系范文第2篇
关键词:供电企业;风险管理体系;管理框架;组织机制;规范化机制;运作机制 文献标识码:A
中图分类号:F270 文章编号:1009-2374(2015)36-0153-04 DOI:10.13535/ki.11-4406/n.2015.36.076
1 概述
为有效贯彻国资委“管理提升”要求,南方电网公司在2013年的工作会议上,将全面风险管理体系建设列为2013~2015年工作重点,并明确了全面风险管理框架。同年,广东电网公司在深化创先工作总体方案中提出了2013~2015年全面风险管理总体创先关键举措。全面风险管理体系建设工作已经成为了供电企业提升管理水平重要内容,但是目前全面风险管理工作在供电企业中仍然缺乏成熟有效的建设方案。针对目前的情况,江门局认真学习《中央企业全面风险管理指引》,结合南方电网关于全面风险管理的要求,研究与探索了江门局全面风险管理体系建设方案。江门局通过建立风险数据库、制定风险应对策略、健全风险管控机制和风险管理评价机制等措施,建立起一套运转有效的全面风险管理体系,并获取了丰富的风险管理实践经验和理论成果。
2 全面风险管理工作现状诊断
随着创先工作的有序开展,江门供电局在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但是对比全面风险管理的要求,仍然存在以下不足:
2.1 风险体系覆盖的全面性有待提高
江门局虽然在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但并未建立覆盖全部领域的全面风险管理体系框架,如战略、市场和公共关系等方面的风险仍缺乏有效的管控措施。
2.2 专业风险管理的协调性有待加强
目前,江门局安全、财务与经营、法律、廉洁四个领域已经开展专项风险管理工作,但是各领域之间的管理工作尚未有效的统筹协调。专项风险管理工作由各专业部门牵头开展,各专业领域之间交叉和重合的风险管控工作尚未得到有效统筹。随着全面风险管理体系建设工作的不断开展,战略风险、市场风险、公共关系风险也纳入风险管理的范围,自此风险管控涉及专业面更广泛,如果各领域之间缺乏系统运作和协调性,这七大类风险管控就会显得杂乱无章,无法全面管控。
2.3 风险数据库的实用性有待提升
各专业领域的风险数据库只是对风险信息进行了简单的罗列,具有大而全的特征,不适用于日常工作。目前各专业领域都识别出大量的风险点信息,但是对于一些真正影响企业决策、安全生产、经营策略的重大风险,没能制定切实有效的风险应对措施,导致风险数据库只是风险点的累加而实用性不强。
2.4 风险文化建设的有效性有待加强
风险文化和风险意识的建设水平不高。目前,江门局风险管理文化氛围亟需提升,部分人员对风险管理不够积极主动,对于风险的危害性、易发性不够重视。各领域风险文化建设举措执行力不强,存在走过场的现象。此外,风险管理人员的专业知识和管理能力也有待加强。
3 全面风险管理体系建设
针对现状诊断中发现的问题,江门局以公司战略为导向,在公司董事会领导下,按照“统筹规划、探索创新,专业归口、分级负责,全面覆盖、规范运作”的原则,参照公司一体化管理的规范要求,坚持“整体部署、分专业分步实施、逐层推进、持续改进”的思路,建立了一套既符合一般风险管理要求,又符合电网行业特征,既符合国资委风险管理要求,又具有南网特色的全面风险管理体系框架。
3.1 全面风险管理框架
全面风险管理体系由风险管理组织机制、风险管理规范化机制、风险管理运作机制、风险管理信息系统、风险管理文化五部分组成,如图1所示。
3.1.1 风险管理组织机制。指公司全面风险管理工作的主要参与主体以及各自的职责权限划分。公司风险管理组织应包括董事会、风险管理委员会、风险管理办公室、风险管理专业小组、审计部、下属分子公司等各主要参与主体。
3.1.2 风险管理规范化机制。指运用一体化工作方法,对风险管理相关工作进行结构化设计后形成的规范化管理机制。该机制包含了风险管理工作的业务分类、流程设计、管控策略、统一规范策略和一系列规范性文件。
3.1.3 风险管理运作机制。指各级单位在组织职责要求和规范化要求的指引下,于业务过程中执行风险管理基本流程并产生成果的过程。风险管理运作机制要求公司各级单位在清晰的职责划分和协同下,在业务管理PDCA循环中,开展风险识别、评估、应对、监督等工作,并形成风险库、风险评估结果、风险应对方案、监督评价结论等成果。
3.1.4 风险管理信息系统。指公司用于支持风险管理工作的信息系统。公司风险管理信息系统应与业务应用系统结合,具备风险信息的采集、存储、加工、分析、传递、报告等功能,支持风险识别、评估、应对、监督等风险管理流程。
3.1.5 风险管理文化。指公司各级员工对待风险的价值观、理念、态度和行为方式。公司风险管理文化应承接公司整体文化体系,覆盖上下各级员工,将风险管理转化为员工的共同认识和自觉行动。
3.2 全面风险管理组织机制
江门局按照风险管理要求,结合工作实际,设置风险管理组织机构,为风险管理工作提供组织支持。全面风险管理组织机构包括全面风险管理委员会、全面风险管理办公室、风险管理归口部门、业务部门和监督部门。
3.2.1 全面风险管理委员会。成立全面风险管理委员会。全面风险管理委员会由局领导担任主任,成员由部门主任及县(区)分子公司主要负责人组成。各县(区)分子公司需按照市局要求成立全面风险管理委员会。主要职责:(1)统筹领导全面风险管理体系建设与评价工作;(2)审批风险管理方面制度和流程;(3)审批并签发风险环境分析报告、风险管理工作年度计划、全面风险管理报告、全面风险管理监督报告;(4)审批重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制以及重大决策的风险评估报告;(5)培育风险管理文化,推动风险管理信息系统的建设;(6)审批、决定全面风险管理中的其他重要事项。
3.2.2 全面风险管理办公室。全面风险管理委员会下设全面风险管理办公室,挂靠在企业管理部,全面风险管理办公室主任由企管部负责人担任。各县(区)分子公司全面风险管理办公室设在办公室或综合部,全面风险管理办公室主任由部门负责人担任。主要职责:(1)组织风险管理归口部门开展全面风险管理体系建设与评价工作;(2)组织风险管理归口部门制定、完善风险管理相关制度与流程;(3)组织风险管理归口部门开展风险环境分析、制定全面风险管理工作计划、编制全面风险管理报告;(4)组织风险管理归口部门制定跨领域重大风险应对策略及方案;(5)指导、监督风险管理归口部门开展风险管理工作;(6)组织开展风险管理绩效考核工作。
3.2.3 风险管理归口部门。按照“专业归口”管理原则,市局风险管理由七个风险管理归口部门负责,各风险管理归口部门分工详见表2,县(区)分子公司风险管理归口部门详见表3。
主要职责:(1)按照全面风险管理体系建设要求,落实专业领域风险管理工作;(2)指导、组织业务部门进行风险环境分析;(3)负责专业领域风险管理工作计划和方案的制定、组织实施、监督评价工作;(4)组织制定专业领域重大风险管理策略和应对方案;(5)指导、组织业务部门进行风险自我控制,执行风险管理基本流程;(6)负责开展专业领域风险评价工作,撰写专业领域风险管理报告。
3.2.4 业务部门。业务部门在风险管理归口部门的指导下开展风险管理工作,业务部门应指派一名风险管理联络员作为风险管理归口部门在业务部门的联络窗口。主要职责:(1)配合风险管理归口部门制定风险管理工作计划;(2)落实风险自我控制,执行风险环境分析、风险识别、风险评估、风险应对、风险监控等活动;(3)配合制定重大风险管理策略和应对方案;(4)配合开展风险管理评价工作,配合编写全面风险管理报告。
3.2.5 监督部门。监察审计部作为全面风险管理工作的监督部门,主要职责:(1)研究提出全面风险管理监督机制,制定风险监督相关制度;(2)制定全面风险管理监督方案,并组织实施;(3)按照风险管理委员会统一部署,对业务部门风险管理措施落实情况进行监督;(4)根据监督情况,编写风险管理监督报告。
3.3 全面风险管理规范化机制
为规范全面风险管理工作,江门局制定了各类工作指引和全面风险管理体系评价标准。
3.3.1 制定《全面风险管理指引》。为推动全面风险管理体系建设,提升风险管理防范和控制能力,江门局根据国资委《中央企业全面风险管理指引》的相关规定,按照网省公司全面风险管理工作部署,结合风险管理实际情况,制定《全面风险管理指引》。指引遵守以下原则:(1)全面控制原则。将风险管理与生产经营活动相结合,实现全员参与、全领域覆盖、全过程监控;(2)突出重点原则。以重大风险、重大事件(指重大风险发生后的事实)和重要流程的管理为重点,开展全面风险管理工作;(3)有效落地原则。全面风险管理工作开展应与其他管理工作紧密结合,力求把风险管理的各项要求嵌入日常业务流程及管理规范,确保实效落地;(4)成本效益原则。风险管理工作开展与风险应对措施制定应兼顾成本与效益,实现成本与效益的平衡。
3.3.2 制定风险管理各项工作指引。编制《全面风险管理组织机构设置及工作指引》《绩效考核工作指引》《基于风险管理的岗位职责表梳理工作指引》《基于风险管理的制度流程修编工作指引》《全面风险管理信息沟通机制工作指引》。各项工作指引为全面风险管理工作的落地提供指导和规范。
3.3.3 制定管理体系评价标准。江门局按照全面风险管理体系建设要求,运用风险管理评价理论、成熟度理论,建立了全面风险管理体系评价标准。
江门局全面风险管理体系评价标准包括四个维度:风险管理基础、风险管理过程、风险事件管理、审核与改进。风险管理基础是企业进行全面风险管理的前提条件,在具备风险管理基础后,企业按照风险管理过程进行风险管理,当风险事件发生时,应该启动风险事件管理,最后定期对企业全面风险管理体系建设情况进行审核和改进。
3.4 全面风险管理运作机制
3.4.1 梳理风险管理基本流程。梳理风险管理的基本流程,是为全面风险管理体系的管理与运行提供制度化、流程化的保障,确保其有效运行并受控。
风险管理流程如图2所示:(1)应详细收集风险管理的相关信息,根据收集到的信息和企业各项业务管理及其重要业务流程,开展风险识别工作,并填写各领域的风险识别表;(2)从风险发生的可能性和影响程度两个维度进行风险评估,确定风险等级;(3)基于风险评估的结果,结合风险偏好及风险承受度,制定风险应对策略和风险管控措施;(4)对风险事件的结果保持跟进监督,并做出客观评价,为后续的风险预警工作提供支持。
3.4.2 构建规范化的风险分类体系。在风险分类上,江门局根据历年风险情况,按照七个重点领域,建立了一套规范的风险分类体系。
3.4.3 完善风险数据库。风险数据库的建立有助于企业识别各业务领域的风险点、评估风险点的等级、提出针对性的应对措施、明确风险管理的责任主体等。江门局针对地市层级、县区层级和供电所层级分别制定了满足各层级需求的数据库。
3.5 全面风险管理信息系统
根据省公司风险管理信息系统建设安排,江门局将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。信息中心应确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
3.6 全面风险管理文化
为促进企业风险管理水平、员工风险管理意识的提升,营造良好的风险管理氛围,为全面风险管理体系提供支持,江门局从表7所示的四个层面开展了风险管理文化体系的建设。
全流程风险管理体系范文第3篇
关键词:风险管理;内部控制;油田企业
中图分类号:F270.7 文献标识码:A 文章编号:1001-828X(2014)011-000-01
油田企业由于受其生命周期长,涉及面广,一次性投资额大,且其成本具有不确定性等因素影响,因此完善油田企业的内部控制体系意义巨大。胜利油田某采油厂以系统节点精细管理为依托,以内部控制与专业管理结合为基础,将全面风险管理贯穿于生产经营的各个环节,不断规范全面风险管理基本流程,培育风险管理文化,积极构建“体系健全、运行有效、效果良好”的全面风险管理体系,确保油田企业在发展过程中各项措施能够落实到位。
一、构建风险管理组织体系,营造风险管理环境
首先,公司层面,在内控管理委员会和系统节点组织运行体系的基础上成立了以企业负责人为组长的风险管理委员会,全面负责企业风险管理体系建设、风险管理策略、风险管理程序等事项,确定企业全面风险管理的总体目标:围绕生产经营总体目标,依托系统节点,以构建全面风险管理为导向的内控控制体系为切入点,全面梳理各类风险,构筑风险管理防线,尽可能地降低各类风险,提高经济运行质量。其次,横向上,以系统节点各专业系统为基础,按专业分工成立了勘探开发、安全环保、设备管理、电力管理、作业管理、材料管理、生产运行、财务资产管理、法律风险管理、廉洁风险管理等17个风险管理专业子系统。纵向上,企业内部二、三、四级单位也相应成立了全面风险管理机构,明确相应的风险管理职责,分专业、分层级负责各自的风险防控工作;第三,分不同层面利用网络等多种媒介,积极倡导风险管理理念,增强全体干部职工风险防范意识,按照规范流程运作,从上到下营造了良好的全面风险管理氛围。
二、梳理节点风险点,明确风险防控目标
全面风险管理的关键是找准风险点,识别风险因素,评估分类并制定相应的对策加以防控。首先,在采油厂已建立的“三个层级、四个体系”的系统节点基础上,分18个专业系统从不同层面的重点和关键环节入手,对已设置的63个一级节点、184个二级节点、539个三级节点进行了梳理和分析,重点分析了可能存在的风险因素,并制定相应的对策,形成了分系统到节点的风险管理网络。其次,针对梳理出来的风险点和分公司风险清单进行了认真比对,按照重要程序和风险系数确定了油气勘探、成本管理、投资管理、HSE管理、资金管理、物资采购、法律事务、资产管理、税务管理、制度管理等十九项重要业务为采油厂一级风险管理重点,针对19项主要业务相关的重点环节和岗位进行了风险问题排查和评估,找出了可能存在的风险因素,合理设置内控权限,重点加以防控。财务资产管理系统分成本、预算、资金、资产管理等岗位进行了风险因素排查,编制了岗位风险排查表,明确了涉险职责、业务环节、风险表现、主要产生原因、风险等级以及防控措施。
三、强化内部制度体系建设,落实风险防控责任
倡导风险管理理念,在修订采油厂新版内控手册的过程中,将“三重一大”制度融入采油厂《内控手册》,进一步细化权限分工,同时制定符合企业的《全面风险管理办法》等,明确风险防范职责,为全面风险管理工作提供了有力保障;其次,以系统节点为基础,分系统和专业全面梳理采油厂在用的内部管理制度,结合管理实际,规范预算管理、修理费管理等多项业务流程,降低风险;第三,分财务管理、计划投资、物资管理等系统建立重点部门和关键岗位风险防控目标责任制度,明确相应的风险点、防范目标和责任,如财务资产管理系统建立了财务科长、财务主办、预算管理、成本管理、资金管理、基建投资管理等岗位风险防控目标责任制度,明确了相应岗位的风险防控目标、风险点、责任和防控措施,初步形成以风险管理为中心,以业务流程为手段、以经营管理风险、财务风险、法律风险为主的风险防控制度体系。
四、强化业务流程过程防控,降低各类风险发生
全面风险管理要围绕采油厂战略目标及经营管理目标,要求全体员工共同参与,通过执行风险管理流程,实施有效风险防控的过程。这个过程必须贯穿于采油厂的各种管理和经营活动之中,才能收到实效。为有效降低各类生产经营风险,采油厂立足各项业务流程强化过程防控。首先,以系统节点和“指标提升年”活动等为契机,通过优化、完善指标管理和运行机制,将全面风险管理与内控管理、标准化管理、专业化管理、过程化管理有机结合起来,多项工作配套联动,突出重点环节,规范运作,互相促进。如通过系统节点管理,将全面风险管理与内控的月季度穿行测试、精品目标流程培育等活动结合起来,使全面风险管理真正融入到生产经营活动中,提高防控实际效果。其次,在业务层面围绕“财务预审批、计划投资决策、物资采购管理、货币资金支付、关联交易结算”五条主线,从项目立项、预算安排、市场准入、质量监督等方面入手,重点把好“招投标、合同签订、结算付款”等关键环节和“价格、质量”两个重要节点。第三,积极完善采油厂风险库,确保各节点风险更新及时、应对措施得当,为风险管理目标提供合理依据。
五、培育全面风险管理文化,提高职工防范意识
全流程风险管理体系范文第4篇
从中国企业构建全面风险管理体系基础条件来看,中国企业尤其是在境外上市的企业近几年以来一直致力于企业内部控制建设,已经建立了一套比较完善的内控体系,编制了内部控制手册和自我评估手册,初步搭建了以风险管理为核心的内部控制基础平台。这是中国企业建立健全全面风险管理体系的基础条件。当然,多数企业的内控系统通过对流程的控制主要对运营风险、财务风险等风险建立了比较完善的控制体系,但是还不能覆盖企业面临的所有风险,如战略类、市场类风险,不能对其进行有效的管理和控制。
所谓基于内控的全面风险管理体系,简单地说,就是在内部控制建设的基础上,构建全面风险管理体系,是适合已经建立内部控制体系的企业进行全面风险管理建设的一条创新路径。这既符合国际上内部控制逐步向全面风险管理发展的潮流,也是中国企业构建全面风险管理体系的现实选择。
3C框架和流程
中天恒管理咨询公司经过多年的探索和实践,专为中国企业打造的3C全面风险管理基本框架(下文简称“3C框架”)如图1。
3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的,形成了由目标体系、风险整合、管理融合组成的有机体系,贯彻严密的目标――风险――管理的逻辑关系。
企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容,可以把目标确定作为全面风险管理的前提条件进行关注,并将其贯穿于全面风险管理工作的始终。
风险是对企业目标实现产生影响事项发生的不确定性,包括了危险和机会,是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素,是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来,是全面风险管理的一个基本标准。
全面风险管理是为合理保证企业目标实现,对企业风险进行全面管理的动态过程,是对企业风险进行整合管理的过程,是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容,是必须明确的;全面风险管理政策、战略、策略、决策是企业全面风险管理的基础,影响整个全面风险管理工作;全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。
全面风险管理融合,是企业风险管理自身内部的融合,是企业风险管理与企业业务的融合,是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多,其中最重要的就是要做到内部控制与风险管理的融合。
3C框架与COSO的不同
3C框架没有直接引入管理要素概念,从总体看包括目标、风险、管理三个方面;从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。
3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”;把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”;把COSO全面风险管理框架“控制活动”重新定义为“风险控制”;把COSO全面风险管理框架“监控”改为“监督改进”,并细化为“风险监督”、“风险审计”、“管理改进”等。
3C框架将风险辨识、风险确认、事件识别统一为风险识别,并定义为确认风险的过程;将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价,并定义为风险的量化过程;将风险策略、风险应对、风险工具统一为风险应对,并定义为选择应对风险策略的过程;将控制活动、控制政策、控制程序、控制措施、应对措施统一为风险控制,并定义为应对风险的各种措施;将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督,并定义为监督检查风险的过程等等。
全流程风险管理体系范文第5篇
关键词:全面风险管理;内控体系建设实践
自从国际的金融危机爆发以后,先进国家和地区对金融制度和经济结构不断进行着重大的调整,各个国都在加大科研创新,纷纷将新材料、新能源、新技术作为新一轮产业发展重点,抢占经济发展的制高点。随着经济环境日趋复杂,公司的经营活动面临着更多的不确定性。所以建立全面风险管理和内控体系,成为了我国国有上市公司的工作重点。
一、全面风险管理和内部控制体系的关系和意义
1.全面风险管理的发展历程和目标
后危机时代的中国企业面临着来自方方面面的危机,2004年中航油新加坡公司风险管理失败事件后,2006年6月国资委颁布了《中央企业全面风险管理指引》,对开展全面风险管理工作作出了明确规定,并要求报送年度风险管理报告。全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2.内部控制的发展历程和目标
2001年12月,美国最大的能源公司--安然公司突然申请破产保护,暴露出美国上市公司治理结构和外部监督的缺失,美国加速通过了《萨班斯法案》,要求建立公司建立内部控制体系。2008年和2010年,中国五部委联合了《企业内部控制基本规范》和《企业内部控制配套指引》后,中国证监会强力推进上市公司内控建设。
3.全面风险管理和内部控制的关系
全面风险管理和内部控制目标是一致的。内部控制的目标是防范和控制风险并促进企业实现发展战略,风险管理也是为了促进企业实现发展战略,要求将风险控制在可承受范围之内。两者之间不是对立的,而是协调、统一的整体。
全面风险管理和内部控制内容互相包容。内部控制是一类控制风险的措施,是一种风险治理的解决方案,旨在最小化风险。因此,全面风险管理和内部控制管理内容是相互包容的。
4.全面风险管理和内控体系建设的意义
积极开展全面风险管理和内控体系的建设,发挥好审计部在风险管理工作中的第三道防线,进行风险监督,对公司持续健康发展有举重轻重的作用。为了更好的开展全面风险管理和内控制度的建设工作,并落实到日常管理工作中。公司应将全面风险管理和内部控制相结合,在现有体系基础上融入风险管理的要素,建立健全全面风险管理和内控体系。
二、全面风险管理和内控体系建设的治理结构
公司治理是公司全面风险管理和内部控制的核心,良好的公司治理是提高公司经营管理效率的基本要素。全面风险和内部控制体系作为公司为履行管理目标,建立了规则、政策和程序,与公司管理及公司治理密不可分。
1.全面风险管理和内控治理机构的一致性
公司治理是现代公司在决策、激励、监督约束方面的制度、原则,涉及利益相关者之间在权力与责任方面的分配、制衡以及效率经营与科学决策。在《中央企业全面风险管理指引》与《企业内部控制基本规范》中均规定,企业应建立并健全公司的治理结构,明确责权限,形成有效科学职责分工制衡机制。全面风险管理与内控控制体系组织结构共同包括:股东大会、董事会、监事会、审计委员会、内部审计机构等。
2.全面风险管理和内控治理机构的差异性
虽然全面风险体系和内部控制体系在治理机构中存在着很多的一致性,但仍存在部分差异。
全面风险体系治理结构还包括:风险管理委员会、风险管理部门等。内部控制体系治理结构还包括:经理层、内部控制管理机构
三、企业开展全面风险管理和内控体系建设实践
1.全面风险管理体系建设
公司已初步建立了相关内部控制体系,但随着公司的快速发展,以及公司经营管理水平的不断提高的需要,内控体系也应作相应调整和补充完善,对此开展了全面风险管理和内控体系建设。
(1)全面风险管理和内控体系框架
为了加强公司全面风险管理工作,建立健全全面风险管理和内控体系,根据境内外相关法律法规,结合公司实际,制定了《全面风险管理手册》。明确了风险管理的组织机构和管理流程,形成风险管理长效机制。
(2)全面风险管理和内控体系建设的流程与操作
风险管理流程分为四个主要流程:风险辨识评估流程、重大风险管控流程、风险管理监控与改进流程、风险管理总结与报告流程。风险管理各主要流程存在着紧密的内在关联性,且各工作流程呈递进关系。
2.内控自评价持续完善
全面风险管理和内控体系建设是一个持续改进的过程,建立是最开始的一部分内容,对建立的全面风险管理和内控体系建设和执行情况进行评价更是促进体系改善的有效手段;制度执行又是体系建设最关键的环节,建立再好的体系,不执行也是无效的。公司对全面风险管理和内控体系运行的有效性进行定期及不定期检查,开展全面风险管理和内控自评价审计。
(1)全面风险和内部控制管理测试评价
全面风险和内部控制管理测试评价包括:全面风险管理和内部控制健全性检查评价、全面风险管理和内部控制有效性测试、全面风险管理和内部控制实质性测试、全面风险管理和内部控制合理科学性综合评价。
(2)全面风险管理和内部控制管理缺陷判定
内控制度审计评价应对内部控制进行综合的判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。被审计单位应建立内部控制缺陷的整改机制,明确内部各管理层级和单位整改职责分工,确保内部控制设计和运行中的重大风险和主要问题得到及时解决和有效控制。
(3)出具全面风险管理和内控自评价报告
出具内控审计报告,书写审计结论,向公司管理层报告内控审计结果。审计报告主要内容包括:审查和评价内部控制管理的目的、范围、依据、主要实施程序的描述;对内部控制管理的评价;审计结论;对改善内部控制管理的建议。
(4)全面风险管理和内控自评价审计整改
按照PDCA方法,加强过程审计,通过制定审计计划、按照方案实施审计,针对审计发现问题,制定整改措施,形成闭环。将各类审计结果转化为审计成果,有效维护体系运转。
四、全面风险管理和内控体系建设效果
通过全面风险管理与内控体系的建立,加强了公司风险管理与内控的有效融合。全面风险管理体系建设是在已有内控体系的基础上,导入风险管理的概念,经过辩识、评估等一系列科学系统的方法,建立的风险与内控体系。内控体系重点在于防范与规避风险;全面风险管理体系更强调在防范与规避的基础上,有效利用风险创造更大价值。内控体系更强调执行层面;全面风险管理体系更关注企业全局。建设过程中更加强调:全面风险管理体系建设与内控体系深度融合。
五、全面风险管理和内控体系建设存在的问题
全面风险管理和内控体系建设工作,涉及面广,参与人员多。在企业经营工作繁重的情况下,即要按照计划进度完成工作,又要保证体系建设质量,是体系建设中的重要环节。
六、全面风险管理和内控体系建设建议
加强组织领导。体系建设负责人要高度重视、统筹安排此项工作。制定具体落实方案,将任务落实到位。
参考文献:
[1]蒲育军.浅析风险导向审计在国有商业银行的应用[J].中国内部审计,2010(127),48-51.
[2]邝满维.内部审计在企业内部控制评价中的应用研究[J].中国内部审计,2010(127),40-43.
[3]刘德恒.国有企业内部控制框架[M].机械工业出版社,2009.
