江南APP风险管理体系的基本要素及管理过程全面风险管理是近年来管理界和审计人员经常提及的概念之一。 特别是在2004年6月《新巴塞尔协议》发布以后,不少媒体刊登了大量文章,讨论全面风险管理问题。其实,全面风险管理不是一个新话题,早先的说法叫做“企业级的风险管理”(Enterprise Risk Management)。推行全面风险管理江南APP官方网站,将在一定程度上提高我国企业风险控制的水平。但是,推行全面风险管理是一个长期、艰苦的工作,需要得到许多部门和人员认可,而来自高级管理层的重视是非常重要的。推行全面风险管理,有一些基础的工作要做,如资本金分配、内部资金定价、机构设计等等。
按照2003年7月美国COSO(The Committee of Sponsoring Organization of the Theadway Commission)公布的《全面风险管理框架》(草案)所描述的内容,全面风险管理是一个从企业战略目标制定,到目标实现的风险管理过程。它可以简单描述为三个维度:企业目标、全面风险管理要素、企业的各个层级;企业目标包括四个方面:战略目标、经营目标,、报告目标和合规目标;全面风险管理要素有八个:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。全面风险管理的八个要素为企业的四个目标服务;企业的各个层面要坚持同样的四个目标;每个层面都必须从八个要素进行风险管理。 企业必须按照要求,建立与企业的业务性质、规模和复杂程度相适应的、完善的、可靠的风险管理体系。在实际操作中风险管理体系主要包括如下基本要素:
风险管理应适当考虑风险类别,如市场风险、金融风险、信用风险、流动性风险、操作风险、法律风险、声誉风险等风险的相关性,并协调各类风险管理的政策和程序。
企业的董事会承担对风险管理实施监控的最终责任,确保企业有效地识别、计量、监测和控制各项业务所承担的各类风险。董事会负责审批风险管理的战略、政策和程序,确定企业可以承受的风险水平,督促高级管理层采取必要的措施识别、计量、监测和控制风险,并定期获得关于风险性质和水平的报告,监控和评价风险管理的全面性、有效性以及高级管理层在风险管理方面的履职情况。董事会可以授权其下设的专门委员会履行以上部分职能,获得授权的委员会应当定期向董事会提交有关报告。
企业的高级管理层负责制定、定期审查和监督执行风险管理的政策、程序以及具体的操作规程,及时了解风险水平及其管理状况,并确保企业具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类风险。
企业的董事会和高级管理层对与本企业风险有关的业务、所承担的各类风险以及相应的风险识别、计量和控制方法应有足够的了解。
企业要设立专门的部门负责风险管理工作。负责风险管理的部门应当职责明确,与承担风险的业务经营部门保持相对独立,向董事会和高级管理层提供独立的风险报告,并且具备履行风险管理职责所需要的人力、物力资源。负责风险管理部门的工作人员应当具备相关的专业知识和技能,并充分了解企业与风险有关的业务、所承担的各类风险以及相应的风险识别、计量、控制方法和技术。企业应当确保其薪酬制度足以吸引和留住合格的风险管理人员。
企业承担风险的业务经营部门应当充分了解并在业务决策中充分考虑所从事业务中包含的各类风险,以实现经风险调整的收益率的最大化。业务经营部门应当为承担风险所带来的损失承担责任。
企业应当制定适用于整个企业的、正式的书面风险管理政策和程序。风险管理政策和程序应当与企业的业务性质、规模、复杂程度和风险特征相适应,与其总体业务发展战略、管理能力、资本实力和能够承担的总体风险水平相一致。风险管理政策和程序的主要内容包括:
企业的风险管理政策和程序及其重大修订应当由董事会批准。企业的高级管理层应当向与风险管理有关的工作人员阐明本单位的风险管理政策和程序。与风险管理有关的工作人员应当充分了解其与风险管理有关的权限和职责。
企业在开展新产品和开展新业务之前应当充分识别和评估其中包含的市场风险,建立相应的内部审批、操作和风险管理程序,并获得董事会或其授权的专门委员会/部门的批准。新产品、新业务的内部审批程序应当包括由相关部门,如业务经营部门、负责风险管理的部门、法律部门/合规部门、财务会计部门和结算部门等对其操作和风险管理程序的审核和认可。
风险管理政策和程序应当在并表基础上应用,并应当尽可能适用于具有独立法人地位的附属机构,包括境外附属机构。
企业对每项业务和产品中的风险因素进行分解和分析,及时、准确地识别所有业务中风险的类别和性质。
企业要根据本单位的业务性质、规模和复杂程度,对不同类别的风险选择适当的、普遍接受的计量方法,基于合理的假设前提和参数,计量承担的所有风险。企业应当尽可能准确计算可以量化的风险和评估难以量化的风险。
企业可以采取不同的方法或模型计量不同类别的风险。风险计量的常见方法主要是模型控制,例如:多层次指标(绝对与相对)体系法(AHP法与专家打分法)、VaR法江南APP官方网站、敏感性分析法、情景分析和运用内部模型计算风险价值等。企业应当充分认识到各类风险不同计量方法的优势和局限性,并采用压力测试等其他分析手段进行补充。
企业应当采取措施确保假设前提、参数、数据来源和计量程序的合理性和准确性。以便对风险计量系统的假设前提和参数定期进行评估,制定修改假设前提和参数的内部程序。重大的假设前提和参数修改应当由高级管理层审批。
采用内部模型的企业应当根据业务规模和性质,参照国际通行标准,合理选择、定期审查和调整模型技术(如方差-协方差法、历史模拟法和蒙特卡洛法)以及模型的假设前提和参数,并建立和实施引进新模型、调整现有模型以及检验模型准确性的内部政策和程序。模型的检验应当由独立于模型开发和运行的人员负责。并且将模型的运用与日常风险管理相融合,内部模型所提供的信息应当成为规划、监测和控制市场风险资产组合过程的有机组成部分。同时要恰当理解和运用市场风险内部模型的计算结果,并充分认识到内部模型的局限性,运用压力测试和其他非统计类计量方法对内部模型方法进行补充。定期实施事后检验,将市场风险计量方法或模型的估算结果与实际结果进行比较,并以此为依据对市场风险计量方法或模型进行调整和改进。
压力测试应当选择对市场风险有重大影响的情景,包括历史上发生过重大损失的情景和假设情景。假设情景包括模型假设和参数不再适用的情形、市场价格发生剧烈变动的情形、市场流动性严重不足的情形,以及外部环境发生重大变化、可能导致重大损失或风险难以控制的情景。根据压力测试的结果,对市场风险有重大影响的情形制定应急处理方案,并决定是否及如何对限额管理、资本配置及市场风险管理的其他政策和程序进行改进。董事会和高级管理层应当定期对压力测试的设计和结果进行审查,不断完善压力测试程序。
企业应当为风险的计量、监测和控制建立完备、可靠的管理信息系统,并采取相应措施确保数据的准确、可靠、及时和安全。管理信息系统应当能够支持市场风险的计量及其所实施的事后检验和压力测试,并能监测市场风险限额的遵守情况和提供市场风险报告的有关内容。建立相应的对账程序确保不同部门和产品业务数据的一致性和完整性,并确保向市场风险计量系统输入准确的价格和业务数据。
有关市场风险情况的报告应当定期、及时向董事会、高级管理层和其他管理人员提供。不同层次和种类的报告应当遵循规定的发送范围、程序和频率。报告应当包括如下全部或部分内容:
向董事会提交的市场风险报告通常包括企业的总体市场风险数据、风险水平、盈亏状况和对市场风险限额及市场风险管理的其他政策和程序的遵守情况等内容。向高级管理层和其他管理人员提交的市场风险报告通常包括按业务经营部门、资产组合和风险类别分解后的详细信息,并具有更高的报告频率。
企业应当按照内部控制的有关要求,建立完善的风险管理内部控制体系,作为企业整体内部控制体系的有机组成部分。风险管理的内部控制应当有利于促进有效的业务运作,提供可靠的财务和监管报告,促使企业严格遵守相关法律、行政法规、部门规章和内部的制度、程序,确保风险管理体系的有效运行。
为避免潜在的利益冲突,企业应当确保各职能部门具有明确的职责分工,以及相关职能适当分离。企业的风险管理职能与业务经营职能应当保持相对独立。企业应当避免其薪酬制度和激励机制与风险管理目标产生利益冲突。董事会和高级管理层应当避免薪酬制度具有鼓励过度冒险投资的负面效应,防止绩效考核过于注重短期投资收益表现,而不考虑长期投资风险。负责风险管理工作人员的薪酬不应当与直接投资收益挂钩。
企业的内部审计部门应当定期(至少每年一次)对风险管理体系各个组成部分和环节的准确、可靠、充分和有效性进行独立的审查和评价。内部审计应当既对业务经营部门,也对负责风险管理的部门进行。内部审计报告应当直接提交给董事会。董事会应当督促高级管理层对内部审计所发现的问题提出改进方案并采取改进措施。内部审计部门应当跟踪检查改进措施的实施情况,并向董事会提交有关报告江南APP官方网站。
5.风险管理信息系统的完备性、可靠性,市场风险数据的准确性、完整性,数据来源的一致性、时效性、可靠性和独立性;
企业在引入对风险水平有重大影响的新产品和新业务、风险管理体系出现重大变动或者存在严重缺陷的情况下,应当扩大风险内部审计的范围和增加内部审计频率。
企业的内部审计人员应当具备相关的专业知识和技能,并经过相应的培训,能够充分理解风险识别、计量、监测、控制的方法和程序。