一、風險管理體系的基本要素
按照2003年7月美國COSO(The Committee of Sponsoring Organization of the Theadway Commission)公布的《全面風險管理框架》(草案)所描述的內容,全面風險管理是一個從企業戰略目標制定,到目標實現的風險管理過程。它可以簡單描述為三個維度:企業目標、全面風險管理要素、企業的各個層級;企業目標包括四個方面:戰略目標、經營目標,、報告目標和合規目標;全面風險管理要素有八個:內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。全面風險管理的八個要素為企業的四個目標服務;企業的各個層面要堅持同樣的四個目標;每個層面都必須從八個要素進行風險管理。 企業必須按照要求,建立與企業的業務性質、規模和復雜程度相適應的、完善的、可靠的風險管理體系。在實際操作中風險管理體系主要包括如下基本要素:
(一)董事會和高級管理層的有效監控;
(二)完善的風險管理政策和程序;
(三)完善的風險識別、計量、監測和控制程序;
(四)完善的內部控制和獨立的外部審計;
風險管理應適當考慮風險類別,如市場風險、金融風險、信用風險、流動性風險、操作風險、法律風險、聲譽風險等風險的相關性,并協調各類風險管理的政策和程序。
二、 風險管理體系的管理過程
(一) 董事會和高級管理層的監控
企業的董事會和高級管理層對風險管理體系實施有效監控。
企業的董事會承擔對風險管理實施監控的最終責任,確保企業有效地識別、計量、監測和控制各項業務所承擔的各類風險。董事會負責審批風險管理的戰略、政策和程序,確定企業可以承受的風險水平,督促高級管理層采取必要的措施識別、計量、監測和控制風險,并定期獲得關于風險性質和水平的報告,監控和評價風險管理的全面性、有效性以及高級管理層在風險管理方面的履職情況。董事會可以授權其下設的專門委員會履行以上部分職能,獲得授權的委員會應當定期向董事會提交有關報告。
企業的高級管理層負責制定、定期審查和監督執行風險管理的政策、程序以及具體的操作規程,及時了解風險水平及其管理狀況,并確保企業具備足夠的人力、物力以及恰當的組織結構、管理信息系統和技術水平來有效地識別、計量、監測和控制各項業務所承擔的各類風險。
企業的董事會和高級管理層對與本企業風險有關的業務、所承擔的各類風險以及相應的風險識別、計量和控制方法應有足夠的了解。
企業的監事會應當監督董事會和高級管理層在風險管理方面的履職情況。
企業要設立專門的部門負責風險管理工作。負責風險管理的部門應當職責明確,與承擔風險的業務經營部門保持相對獨立,向董事會和高級管理層提供獨立的風險報告,并且具備履行風險管理職責所需要的人力、物力資源。負責風險管理部門的工作人員應當具備相關的專業知識和技能,并充分了解企業與風險有關的業務、所承擔的各類風險以及相應的風險識別、計量、控制方法和技術。企業應當確保其薪酬制度足以吸引和留住合格的風險管理人員。
企業負責風險管理的部門應當履行下列職責:
1.擬定風險管理政策和程序,提交高級管理層和董事會審查批準;
2.識別、計量和監測風險;
3.監測相關業務經營部門和分支機構對風險限額的遵守情況,報告超限額情況;
4.設計、實施事后檢驗和壓力測試;
5.識別、評估新產品、新業務中所包含的風險,審核相應的操作和風險管理程序;
6.及時向董事會和高級管理層提供獨立的風險報告;
7.其他有關職責。
企業承擔風險的業務經營部門應當充分了解并在業務決策中充分考慮所從事業務中包含的各類風險,以實現經風險調整的收益率的最大化。業務經營部門應當為承擔風險所帶來的損失承擔責任。
(二) 風險管理政策和程序
企業應當制定適用于整個企業的、正式的書面風險管理政策和程序。風險管理政策和程序應當與企業的業務性質、規模、復雜程度和風險特征相適應,與其總體業務發展戰略、管理能力、資本實力和能夠承擔的總體風險水平相一致。風險管理政策和程序的主要內容包括:
1.可以開展的業務,可以采取的投資、保值和風險緩解策略和方法;
2.企業能夠承擔的風險水平;
3.分工明確的風險管理組織結構、權限結構和責任機制;
4.風險的識別、計量、監測和控制程序;
5.風險的報告體系;
6.風險管理信息系統;
7.風險的內部控制;
8.風險管理的外部審計;
9.風險資本的分配;
10.對重大風險情況的應急處理方案。
企業應當根據本單位風險狀況和外部市場的變化情況,及時修訂和完善風險管理政策和程序。
企業的風險管理政策和程序及其重大修訂應當由董事會批準。企業的高級管理層應當向與風險管理有關的工作人員闡明本單位的風險管理政策和程序。與風險管理有關的工作人員應當充分了解其與風險管理有關的權限和職責。
企業在開展新產品和開展新業務之前應當充分識別和評估其中包含的市場風險,建立相應的內部審批、操作和風險管理程序,并獲得董事會或其授權的專門委員會/部門的批準。新產品、新業務的內部審批程序應當包括由相關部門,如業務經營部門、負責風險管理的部門、法律部門/合規部門、財務會計部門和結算部門等對其操作和風險管理程序的審核和認可。
風險管理政策和程序應當在并表基礎上應用,并應當盡可能適用于具有獨立法人地位的附屬機構,包括境外附屬機構。
(三) 風險的識別、計量、監測和控制
企業對每項業務和產品中的風險因素進行分解和分析,及時、準確地識別所有業務中風險的類別和性質。
企業要根據本單位的業務性質、規模和復雜程度,對不同類別的風險選擇適當的、普遍接受的計量方法,基于合理的假設前提和參數,計量承擔的所有風險。企業應當盡可能準確計算可以量化的風險和評估難以量化的風險。
企業可以采取不同的方法或模型計量不同類別的風險。風險計量的常見方法主要是模型控制,例如:多層次指標(絕對與相對)體系法(AHP法與專家打分法)、VaR法、敏感性分析法、情景分析和運用內部模型計算風險價值等。企業應當充分認識到各類風險不同計量方法的優勢和局限性,并采用壓力測試等其他分析手段進行補充。
企業應當采取措施確保假設前提、參數、數據來源和計量程序的合理性和準確性。以便對風險計量系統的假設前提和參數定期進行評估,制定修改假設前提和參數的內部程序。重大的假設前提和參數修改應當由高級管理層審批。
采用內部模型的企業應當根據業務規模和性質,參照國際通行標準,合理選擇、定期審查和調整模型技術(如方差-協方差法、歷史模擬法和蒙特卡洛法)以及模型的假設前提和參數,并建立和實施引進新模型、調整現有模型以及檢驗模型準確性的內部政策和程序。模型的檢驗應當由獨立于模型開發和運行的人員負責。并且將模型的運用與日常風險管理相融合,內部模型所提供的信息應當成為規劃、監測和控制市場風險資產組合過程的有機組成部分。同時要恰當理解和運用市場風險內部模型的計算結果,并充分認識到內部模型的局限性,運用壓力測試和其他非統計類計量方法對內部模型方法進行補充。定期實施事后檢驗,將市場風險計量方法或模型的估算結果與實際結果進行比較,并以此為依據對市場風險計量方法或模型進行調整和改進。
企業應當建立全面、嚴密的壓力測試程序,壓力測試應當包含定性和定量分析。
壓力測試應當選擇對市場風險有重大影響的情景,包括歷史上發生過重大損失的情景和假設情景。假設情景包括模型假設和參數不再適用的情形、市場價格發生劇烈變動的情形、市場流動性嚴重不足的情形,以及外部環境發生重大變化、可能導致重大損失或風險難以控制的情景。根據壓力測試的結果,對市場風險有重大影響的情形制定應急處理方案,并決定是否及如何對限額管理、資本配置及市場風險管理的其他政策和程序進行改進。董事會和高級管理層應當定期對壓力測試的設計和結果進行審查,不斷完善壓力測試程序。
企業應當為風險的計量、監測和控制建立完備、可靠的管理信息系統,并采取相應措施確保數據的準確、可靠、及時和安全。管理信息系統應當能夠支持市場風險的計量及其所實施的事后檢驗和壓力測試,并能監測市場風險限額的遵守情況和提供市場風險報告的有關內容。建立相應的對賬程序確保不同部門和產品業務數據的一致性和完整性,并確保向市場風險計量系統輸入準確的價格和業務數據。
有關市場風險情況的報告應當定期、及時向董事會、高級管理層和其他管理人員提供。不同層次和種類的報告應當遵循規定的發送范圍、程序和頻率。報告應當包括如下全部或部分內容:
1.按業務、部門和風險類別分別統計的市場風險數據;
2.按業務、部門和風險類別分別計量的市場風險水平;
3.對市場風險數據和市場風險水平的結構分析;
4.盈虧情況;
5.市場風險識別、計量、監測和控制方法及程序的變更情況;
6.市場風險管理政策和程序的遵守情況;
7.市場風險限額的遵守情況,包括對超限額情況的處理;
8.事后檢驗和壓力測試情況;
9.內部和外部審計情況;
10.市場風險資本分配情況;
11.對改進市場風險管理政策、程序以及市場風險應急方案的建議;
12.市場風險管理的其他情況。
向董事會提交的市場風險報告通常包括企業的總體市場風險數據、風險水平、盈虧狀況和對市場風險限額及市場風險管理的其他政策和程序的遵守情況等內容。向高級管理層和其他管理人員提交的市場風險報告通常包括按業務經營部門、資產組合和風險類別分解后的詳細信息,并具有更高的報告頻率。
(四) 內部控制和外部審計
企業應當按照內部控制的有關要求,建立完善的風險管理內部控制體系,作為企業整體內部控制體系的有機組成部分。風險管理的內部控制應當有利于促進有效的業務運作,提供可靠的財務和監管報告,促使企業嚴格遵守相關法律、行政法規、部門規章和內部的制度、程序,確保風險管理體系的有效運行。
為避免潛在的利益沖突,企業應當確保各職能部門具有明確的職責分工,以及相關職能適當分離。企業的風險管理職能與業務經營職能應當保持相對獨立。企業應當避免其薪酬制度和激勵機制與風險管理目標產生利益沖突。董事會和高級管理層應當避免薪酬制度具有鼓勵過度冒險投資的負面效應,防止績效考核過于注重短期投資收益表現,而不考慮長期投資風險。負責風險管理工作人員的薪酬不應當與直接投資收益掛鉤。
企業的內部審計部門應當定期(至少每年一次)對風險管理體系各個組成部分和環節的準確、可靠、充分和有效性進行獨立的審查和評價。內部審計應當既對業務經營部門,也對負責風險管理的部門進行。內部審計報告應當直接提交給董事會。董事會應當督促高級管理層對內部審計所發現的問題提出改進方案并采取改進措施。內部審計部門應當跟蹤檢查改進措施的實施情況,并向董事會提交有關報告。
企業對風險管理體系的內部審計應當至少包括以下內容:
1.風險數據和風險水平;
2.風險管理體系文檔的完備性;
3.風險管理的組織結構,風險管理職能的獨立性,風險管理人員的充足性、專業性和履職情況;
4.風險管理所涵蓋的風險類別及其范圍;
5.風險管理信息系統的完備性、可靠性,市場風險數據的準確性、完整性,數據來源的一致性、時效性、可靠性和獨立性;
6.風險管理系統所用參數和假設前提的合理性、穩定性;
7.風險計量方法的恰當性和計量結果的準確性;
8.對風險管理政策和程序的遵守情況;
9.風險限額管理的有效性;
10.事后檢驗和壓力測試系統的有效性;
11.風險資本的計算和內部配置情況;
12.對重大超限額資金、未授權資金情況的調查。
企業在引入對風險水平有重大影響的新產品和新業務、風險管理體系出現重大變動或者存在嚴重缺陷的情況下,應當擴大風險內部審計的范圍和增加內部審計頻率。
企業的內部審計人員應當具備相關的專業知識和技能,并經過相應的學習 ,能夠充分理解風險識別、計量、監測、控制的方法和程序。
內部審計力量不足的企業,應當委托社會中介機構對其風險的性質、水平及風險管理體系進行審計。
加多寶
IBM
摩拜單車
vivo\oppo
中興
GOOGLE
