发布时间:2023-03-17 18:01:16
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的风险管理论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
一、货运险理赔中存在的主要问题
货运险理赔工作,对外部来说,是保险人向被保险人履行合同承诺,必须提供的经济补偿行为;对内部来说,是保险公司做好赔付、以尽可能少的赔款支出获取企业利润的经营行为。此工作关系到企业的生存和可持续发展,保险人理应重视理赔工作,理赔人员更应兢兢业业做好理赔工作。但由于各种主客观原因,当前的货运险理赔工作中存在着下述问题。
(一)错赔。“错赔”是指保险人根据保险合同的约定,本不该赔偿给被保险人而错误地给予赔偿的行为。其表现形式有:1.易损易破货物出险后,对保险合同中已约定的途耗或免赔率,保险业务人员在赔款理算时应扣除而未扣除;2.对货损把握不准,其货价计算是否应包含增值税、运杂费,被保险人未发生相应的增值税、运杂费损失而给予赔款;3.保险公司向未取得被保险人授权委托书的人支付赔款。
如,温州某经营公司向保险公司投保了全年货物运输预约保险,货价的确定方式是货价含增值税。xxxx年5月12日,温州某经营公司将ABS树脂473T(货价355.7万元)、聚丙烯185T(货价102.77万元),交由浙宁581号船从温州运往广东汕头。下午4时,浙宁581号船途经洞头县境鸽尾礁海面发生触礁,致使全船货物沉没。温州某经营公司即向保险公司提出货物受损536.41万元的索赔要求。
此次受损失的ABS树脂355.7万元和聚丙烯102.77万元,合计458.47万元,是温州某经营公司的转手卖出价;加17%的增值税额77.94万元,总计为536.41万元。
从预约保险协议来看,货价的确定方式是货价含增值税,温州某经营公司从保险公司得到77.94万元的增值税额赔偿似乎是天经地义的。而保险公司如果支付这部分增值税赔款,笔者认为就属于“错赔”案件。因为温州某经营公司购进这批货物时产生有增值税的进项税额,而这批货物如果顺利运到广东汕头送达收货人仓库,收到货款,才能产生相应的销项税额;而该批货物在运输途中已发生灭失,不可能产生销项税额。从表面看,此批货物受损,会导致其相应的增值税的进项税额无法收回的经济损失。然而,实际是其原产生的进项税额,可以在投保企业的连续经营中得到抵扣。投保企业不会因这批货物的受损而导致增值税额的损失。
(二)惜赔。“惜赔”是指保险人对保险合同应负的责任范围、赔偿限额的大小等,作出不赔偿或不足额赔偿的决定,以小于被保险人的实际经济损失赔偿赔款的行为。其表现形式有:1.在订立保险合同时未约定途耗或免赔率,出险后保险人才认为易损易破物品应有合理的途耗或免赔率,便在赔款理算时予以扣除;2.保险业务人员对疑难责任的认定缺乏相应的专业知识,导致该赔而不赔;3.保险合同订立时保险责任涵盖的范围不明确,发生损害事故后,保险人拒绝承担本该承担的赔偿责任。
如,某玻璃经销商店向保险公司投保公路货运综合保险,20片汽车挡风玻璃的保险金额为启运地货价40000元加运杂费2000元,系足额投保。保单上启运地为济南,目的地为杭州,未提及途耗。启运后的第二天,装载汽车挡风玻璃的汽车发生翻车事故,导致运送的汽车挡风玻璃全部破碎。某玻璃经销商店即向保险公司提出索赔,保险公司受理后,认为玻璃属于易损易破物品,本应有合理的途耗,通常是5%的途耗率,在赔款理算时就将42000元赔款扣除2000元。
笔者认为:此案例是典型的惜赔案件。保险合同是保险双方真实的意思表示。既然保险单上未约定途耗率或免赔额(率),那么在赔偿计算时就不应该扣除途耗或实施免赔。
(三)滥赔。“滥赔”即通常俗称的赔案有“水分”,是指理赔人员专业技能差或为达到某种目的,导致保险公司无意或故意赔偿给被保险人超过其实际损失的赔款。其表现形式有:1.在清点受损货物时,增加损失货物的数量;2.在查勘定损时抬高受损货物的损失程度;3.赔款理算时对该扣除的残值未扣除;4.保险双方对某些保险责任的理解产生分歧,保险人为了与被保险人继续合作,放弃理赔原则而承担本不该负责的赔偿责任(如人情赔款、关系赔款等);5.对货运险的险种、险别所包含的保险责任理解不透彻,导致多赔。
“滥赔”案件在自赔案中并不多见,但在货运险的业务中,未超过出险地公司赔权限而由出险地公司全权处理的赔案,出现“滥赔”的较多。如一批小五金货物向甲地保险公司投保了公路货运综合险,汽车行至乙地发生翻车事故,造成不同规格的小五金货物包装破散及遭污水浸泡。投保人即向保险公司乙地的机构(即出险地公司)报案;出险地公司理赔人员对不同规格的受损货物不是耐心地清点、核实,而是粗略估计损失货物的数量及损失程度,有意或无意地放宽损失货物的数量或损失程度,导致“滥赔”。
(四)骗赔。“骗赔”是投保人或被保险人为了骗取保险赔偿金而进行的保险欺诈活动。骗赔案件在投保前均已精心策划,以致理赔时很难被轻易识破。骗赔形式有:1.货物出险后才想到投保,伪装在保险期限内出险;2.伪造、变造与保险事故有关的证明、资料和其他证据,编造虚假的保险标的或保险事故;3.保险货物出险后制造假象,夸大损失程度;4.积压商品投保、低值高保,故意出险骗取保险赔偿金等。
如,某保险公司于2001年3月2日承保了一批保暖内衣的公路货运险,价值71万元,起运地龙游,目的地甘肃兰州。启运后三天,保险公司就接到报案电话,告知承运这批货物的东风大货车在河南省光山地段发生翻车事故,导致车辆起火,连车带货已全部烧毁。从表象看,这起赔案投保在先,起运在后,没有可疑之处。但承保公司凭借多年的实践经验,感到有很多疑点,就及时与公安局经侦大队联系,后经多方查实,确是一起因该保暖内衣滞销积压,货主密谋串通、合伙购买廉价汽车装运积压货物,用低价值高保额的办法,恶意制造损害发生的交通事故,试图从保险公司骗取保险赔款的骗赔案件。
二、货运险理赔中问题的原因分析
所谓的风险管理,其实就是管理可能发生的危险,以及危险发生时可能带来的各项损失。风险管理的宗旨在于将可能发生的危险扼杀在摇篮里,同时将已经发生了的危险的破坏性降到最低。从电力调度安全管理的角度上来说,电力调度工作的核心其实就是一个安全性、稳定性的管理。
既然电力调度安全管理中的风险管理指的是对可能对电力系统运行的稳定性和高效性产生危害的易变性因素的管理,风险管理工作中就需要至少经过以下三个步骤:首先是风险辨认。风险辨认的对象是不确定因素。对电力系统自身中诸如对外界影响的抵抗力、外界对电力系统运行的干扰性因素等内容进行辨认。并最终形成风险辨认的条目表。其次是风险评估。在通过风险辨认工作获取到风险种类的目录之后,接下来的工作就是对不同的风险种类所可能产生的破坏性影响进行评估。这种评估工作应该重视量的衡定。比如某一台特定发电机组在发生故障时,可能对整个电力系统和供电区域造成的巨大的损害,但是这种损害必须是用经济单位来衡量的。最后是风险控制。风险控制是风险管理的出发点和归宿。风险控制工作是在经过了形成风险种类目录、初步掌握风险性因素带来的破坏性影响之后,借助相关的制度、设备等形成完善的预警系统和应急机制,将风险产生的可能性和风险带来的损失降到最低。
2 我国电力调度安全管理中风险管理的现状
2.1 我国电力调度安全管理中风险管理工作成果斐然
电力调度的安全管理作为电力系统正常运作的基础和支撑,历来被电力行业各个部门高度重视,并通过及时对电力系统的关键设备进行更新换代、借鉴先进电力调度技术提高电力调度工作安全性、通过网络信息技术建成各级统一的调度信息共享和交流平度等方式对调度工作中的风险性因素进行了有效的管理和控制,并最终取得了显著地实绩:我国电力运行系统日渐稳定,供电和输电机组设备先进,效率,调度工作的安全性被极大巩固和完善。
2.2 我国电力调度安全管理中风险管理工作仍存上升空间
电力调度工作中安全管理的最大威胁就是调度工作本身的瞬时性和不可逆转性。这种特定的工作特质注定了电力调度工作的风险管理是一项永无止境,必须时刻关注的重大课题。从当前我国电力调度风险管理工作现状来看,在以下两个方面还存在着明显的上升空间:首先是我国电力调度工作中风险管理人员的素质需要进一步提升。电力调度工作虽然可以借助网络信息技术获取极大便利,但是人工是其中必不可少的因素,同时也是关键性因素。然而当前我国电力调度工作人员由于习惯了日常倒闸、供电、放电等常规工作内容,而往往忽略了对电力系统的认真钻研,降低了自己发现危险和应对危机的素质与能力。其次是电力系统本身也存在问题。当前我国电力系统中仍然存在着电力运输通道单一,甚至造假的现象,这种单通道的存在造成了电力调度工作难度的倍增。此外,电力系统中预警信号灯过多,一些无用的灯光信号往往混淆了安全管理人员对危险性信号的判断。此外,我国基本建设完成了对电力调度安全管理系统的信息化建设,但是当前电力调度信息网络使用的是三层桥式分段网络或者是MIS网络,这些技术短板容易造成信息系统较为脆弱,进而产生威胁性因素。
3 关于强化电力调度安全管理中风险管理工作的对策性建议
3.1 建设高度统一的风险预警和应急机制
前文提到,电力调度工作的特征是突发性和瞬间性。往往危机在刹那间产生并能够在很短的时间内扩散到整个电力系统,产生无法估量的损失。因此,完善的预警机制和应急机制十分必要。当可能导致风险的易变性因素出现时,能够通过严密的防护措施进行规避和报警。即使无法避免,危机爆发,也能够通过严格、高效的应急机制将损失控制到最小。比如建立微机防误闭锁、电力机组实时监控系统、各层级统一的电力调度信息平台等都是极为有效的预警和应急手段。
3.2 建设一支高素质的电力调度工作团队
风险管理是一项体系性工程和课题,需要高素质的人才队伍作为执行者。这样一支人才队伍的建设可以通过在诸如华北电力大学等知名学府中选拨专业人才、对既有员工进行专业培训、建立严谨的企业文化,将风险意识和安全意识借助文化产生潜移默化地影响等方式来建立。此外,组织定期的危机、事故处理和应对演练也是极为有效的风险管理方式之一。
3.3 对当前的电力市场进行充分的预估
电力系统必须服务于特定的电力市场,因此,电力市场的发展趋势同样对电力系统的运作产生巨大的影响。在考察电力市场情况时,不能片面重视市场可能对供电系统提出的最大要求,而同时要注意电力系统可能产生的电量饱和情况。毕竟,特定区域内电量太多或者太少都可能对服务与这个地区的特定的电力系统产生破坏性影响。这就要求风险管理工作提前做好电力市场的预估工作。
4 结语
1.缺乏客户信用评价体系
就目前而言,小额信贷企业对于信用资产的评级和管理相关制度上都十分欠缺,这往往会导致企业无法准确的进行信用评级。对于该公司而言,其主要还是结合公司的自身发展特点和现状,以本地商业银行对企业信用等级的评定标准,来制定本公司的信用额度管理办法或则是相关的制度。此外,小额信贷企业并没有针对一定时期内,单一的企业法人类的客户中对风险管理水平以及财务报表状况等方面进行综合评估以及内控信用的最高限额做出明确的规定,这就使得企业严重缺乏统一的评级系统和授信管理体制,往往会导致企业对单一的企业法人客户的贷款没有办法进行严格的控制和掌握。
2.信贷风险管理流程不科学
小额信贷企业中运行的信贷风险管理的方式方法及流程等方面,从申请的受理、贷款的申请、审批、审查,直至贷款的最终发放,都是建立在信贷发放等环节来操作的。其流程进行的线索往往是根据贷款管理为主线,而没有从贷款风险的管理角度着手,因此,其根本无法具体表现对贷款风险进行的识别、对贷款风险进度的具体监测或者对贷款风险进行控制和管理的需求,也根本不能够满足现代贷款风险管理中的实际需求。
3.缺少必要的信贷风险预警体系
小额信贷公司还没有建立起完善的信贷客户的风险信息反馈体系,未能涉及到信贷风险的相关预警手段以及能够进行预警的内容,因此,在根本上不能发挥出风险预警的提示作用。此外,在贷款中,往往是采取对客户资料的客观分析,或者是对客户出具的财务报表等资料进行静态的书面分析,或者是对借款人各方面条件进行静态的分析,在实际操作中,这些方式都在一定程度上缺乏必要的科学性和客观性,并且很难进行必要的风险控制措施。
二、小额贷款公司风险的防范措施
1.加强管理组织体系建设和人才的培养
对于组织体系和人力资源的配置这方面来说,首先就要对特定的岗位进行适当的增设,例如,“风险管理”的岗位在小额信贷机构中就是不可或缺的重要岗位。其次,要逐渐建立健全了其自身的组织机构。再次,企业的管理人员和企业员工的素质都要进行高要求,他们不仅要具有一定的学历,同时,还要具有十分丰富的实践经验,此外,企业员工的职业操守也是十分重要的。因此,建议相关负责人一定要进行经常性的学习、积极参与培训,更新自身的知识库,企业才能长远发展。
2.加强客户信用的评价与审核
“贷前调查”不仅可以帮助企业对信贷申请人的实际情况做出较为准确的评估,还可以进一步避免企业对根本不具有还款条件的信贷申请人发放贷款,以此减少企业的风险。因此,要科学、严谨的尽职调查工作之后,才能够形成有价值的初步调查报告。首先,对当事人进行询问,主要是依靠工作人员对信贷申请人进行相关事项的提问来进行。其次,是对申请人提交的资料进行相关审查,主要是针对信贷申请人提供的材料进行真实性、合法性、对应性方面的审查。第三,是实地调查和观察的方法,只有企业调查人员亲自到申请人的经营场所进行观察,才有可能了解最为真实的情况。最后,是对申请人的财务状况进行深入的分析,其主要分析的是信贷申请人所提供的材料数据之间是否有矛盾和不实,同时,这也通常被认为是评估信贷申请人还贷能力的最为科学和有效的手段。
3.优化信贷风险管理流程
第一,业务部进行相关授信工作方案的草拟,并且要对信贷工作人员进行一定的培训和知道,帮助其开拓业务、完善经营。第二,业务部还需要为客户授信额度进行负责。第三,企业的风险管理部门在依照业务部出具的宏观经济分析的资料基础上,将贷款的分配方式和相关的财务指标等综合考虑,对各种业务风险进行识别和计算,再进行自行审批或则是报告相关风险监督控制委员会来进行审批,同时,要针对这一情况出具贷款授权书或者限额管理的相关意见。第四,业务部门的人员要针对客户经理的业务报告进行重点的审查,同时,还要审查风险管理工作人员出具的财务报告分析,以及相应授信额度的实际执行情况或者是日常授信审核等。
4.建立风险预警和风险补偿机制
操作风险是由于内部系统不完善的操作或者外部因素导致的直接风险或者间接风险,会给金融机构带来一定负面的不利的影响。金融投资操作风险可表述为人为失误、不完善的程序控制等因素导致金融投资的某种损失风险眭。金融投资的操作风险特点如下。首先,风险涉及面广。金融投资其风险贯穿投资操作的各个阶段,稍有不慎都有可能引起操作风险。所以,用相同的方法一成不变地应对各个金融领域中可能出现的操作风险,这种想法是不现实的。其次,操作风险具有随意性,很难被控制。会导致操作风险产生的方式多种多样,这无疑增加了投资者在投资过程中对于操作风险的控制难度。只要有投资机构或是投资人员的存在,就有可能导致操作风险的出现,尤其是业务规模大、交易量大、结构变化迅速的业务领域,出现操作风险的因素更加多,更加难以对操作风险进行控制。
二、金融投资操作风险分类
第一,人为操作风险。操作风险很多时候都是人为因素所致,金融投资市场其环境是非常复杂的,因此在投资操作过程中作为投资主体必须具备极高的专业素养,这样才能减小操作风险。金融操作风险是贯穿于整个投资过程当中的,投资者可能因某个阶段操作有误或考虑不全而随时导致风险的产生。金融投资的操作是需要依靠人类这个主体来完成的,这一主体是具有其自身主观思维的,作为金融投资操作者由于个人素养的差异,难免会产生一些错误,从而导致了操作风险的产生。这类风险的存在虽然比较普遍,但在一定程度上也是可以进行控制和管理的,只有减少人为因素导致的操作风险才能更好进行金融投资操作的风险管理!第二,内部操作风险。金融投资市场环境是极其复杂的,各金融投资机构相互关联,其内部管理的不合理I生很可能导致操作风险性的形成。一旦金融投资机构业务操作速率过低,这肯定会导致金融投资的内部操作风险陛增大,造成巨大的损失。同时,金融投资机构的硬件设施如果不能满足投资业技术要求,或是应用软件等基础设施太过陈旧,这都不利于金融信息的准确快速获取,对于金融投资者来说及时准确的信息是至关重要的,这些硬件设施的不完善,都会增大技术风险存在的可能性。内部操作风险是与金融机构内部控制密切相关的,金融投资市场复杂性以及其内部管理的不合理性都可能产生内部操作风险,从而致使金融投资操作风险的产生,为了维护金融投资市场的稳定秩序,就应该加强对金融机构的管理,减小内部操作风险!第三,市场风险。在金融市场中,价格转变是非常常见的现象,所以投资者遇到市场风险其实是一种很常见的风险。金融投资过程中常常会遇到投资重组的情况,导致投资者的资金变现困难,使投资者所持有的流动资金没有办法进行正常的支付。这种隋况下很容易造成金融产品价格波动,从而导致市场价格的波动诱发市场风险。市场风险无疑加大投资者进行投资操作的风险,要想更好的管理金融投资的操作风险就必须更好的进行市场风险的控制。第四,信用风险。信用风险又称违约风险,和市场风险一样,也是金融市场中很常见的一种风险,主要是交易对方未能完成自己的义务导致的一种违约行为,所承担的风险。信用风险也可能因为债券持有发行人没有按照规定支付到期款而引发的金融投资资产损失的风险。随着我国金融市场的完善和发展,金融投资产品的不断丰富,加大了信用风险产生的可能性,从而诱发金融投资风险,只有减小信用风险的产生,才能更好的进行投资操作风险的管理。
三、金融投资的操作风险管理措施
第一,加强金融投资的操作风险管理要提高职员的素质。金融机构要积极引进高素质的人才,扩大“高、精、尖”人才的吸收途径。金融风险产生的很大一个因素就是人为原因,因此要培养员工的专业技能,提高员工的工作素质。对于已就职的员工,要定期进行技能培训,通过培训可以树立员工的金融风险意识,增强员工的责任感,可以使员工严于律己,减少员工在工作中的失误,从而推动金融投资操作风险的管理。员工之间要共同学习,相互促进,共同进步,提高员工之间的合作协助能力,促进员工互相交换知识见解,尽量减少操作风险的出现。通过培训还可以倡导员工爱岗敬业。金融机构也要培养良好的工作环境,积极加强金融投资风险管理的宣传,把风险管理的观念和意识慢慢渗透到员工当中,调动员工的工作积极性。第二,完善内部管理。在金融投资过程中,要想减小操作风险,完善的内部管理制度是非常重要的。金融投资机构需要将各部门相关职责具体化,以此来提高金融投资机构操作速率,并根据各金融机构的特点制定出详细的监管条例和相应的惩罚制度,来规范操作行为减小金融投资过程中的操作风险。金融机构要建立健全完善的金融风险管理制度,来促进风险管理工作的良性健康稳定发展。金融机构还要建立风险预警机制,不仅要做好规避风险的事前工作,当风险出现时,也要及时有应急预案。通过完善健全的风险管理制度,保证各个部门之间相互监督相互制约,加强了金融操作的管理,减少了操作风险出现的机率。第三,规范操作流程,提高信息技术水平。操作风险存在于金融投资的整个过程,标准规范化的操作流程可降低操作风险发生的可能性。标准规范的操作流程应涉及到投资机构的每一个部门,深入到每一项投资决策,投资管理部门应当制定周密的投资计划,做到投资决策的标准化、规范化,尽量减小投资风险。要严格要求金融投资人员的操作手法,降低内部操作风险发生的可能性,降低操作风险为金融投资带来的危害。第四,明确风险管理的目标,做好风险评估。为了有效应对市场风险,减小投资操作风险的可能性,工作人员可根据金融机构的特点为风险管理建立一个范畴以及目标,并且可制定一些短期的具体目标,以确保风险管理的工作可以稳定的发展。如建立一个详细损失事件报告制度,针对风险采取连续的检测并定期进行报告的方式,可以有效的检测出操作风险管理的需求,持续的检测为分析操作风险积累可参考数据,分析单独的损失事件和风险的过程以及资源的分配,以此来确定特定损失的原因以及相互之间的关联,从而得出关键的风险因素。同时,在投资操作过程中参投人员可针对风险进行评估,了解损失事件产生的概率,找出潜在操作风险,明确重要风险。
四、结语
现代金融机构所面临的风险主要有:市场风险、信用风险、操作风险和其它风险,其中最主要的是市场风险和信用风险。对这些风险的控制主要是通过以下三大基本因素实现的:(1)董事会确定总体的风险管理原则和基本的控制战略;(2)确定风险管理的组织构架和体系;(3)指定风险管理的一整套政策和程序;(4)运用风险管理的技术监测工具。因为风险管理技术的专门性,我们将不在此进行讨论。
在具体的运作过程中,现代金融机构控制风险的基本措施是:分散化、交易限额、信贷限额,即通过对其产品、交易伙伴、业务活动领域的分散化降低风险;通过为每种产品、每一交易单位设置交易限额,为每一交易伙伴制定信贷限额以规避各种风险。金融机构根据各项业务的获利能力、市场机会、公司的长期战略定期调整各业务、各部门间的资本配置,力图使获取给定收益的风险最小化。
一董事会对总体风险管理理念和基本风险管战略的确定
总体上说,董事会对金融机构承受的风险承担最终责任和义务,因此应负起监控职能。公司整体的风险管理及控制政策应由董事会审批,为保证战略和政策得到遵守并保持适应性,决策机构应通过独立的风险管理部门和独立的内部审计部门进行实施和评估。
(一)风险管理基本原则的确定
一般来说,金融机构的董事会首先要根据自身的市场定位确定风险管理的基本理念和原则,并要求风险管理委员会和相应的风险管理部门积极予以落实。
我们可以简要地比较美林和摩根等公司的风险管理原则。
1美林公司的风险管理原则
在美林公司,尽管风险管理的方法和策略一变再变,但以下述6个原则为基础的基本理念却几乎没变。这主要包括:任何风险规避方案中,最重要的工具是经验、判断和不断的沟通;必须不断地在整个公司内部强化纪律和风险意识;管理人员必须以清晰和简洁的语句告诫下属:在资本运营中哪些可以做,哪些不可以做;风险管理必须考虑非预期的事件,探索潜在的问题,检测不足之处,协助识别可能的损失;风险管理策略必须具备灵活性,以适应不断变化的环境;风险管理的主要目标必须是减少难以承受的损失的可能性。这样的损失通常源自无法预计的事件,大部分的统计和模型式的风险管理方法无法预计。
在过去几年,用数学模型来测量市场风险已成为世界范围内众多风险管理的要点,风险管理几乎成了风险测量的同义词。美林公司认为,数学风险模型的使用只能增加可靠性,但不能提供保证,因此,对这些数学模型的依赖是有限的。
事实上,由于数学风险模型不能精确地量化重大的金融事件,所以,美林公司只将其作为其他风险管理工作的补充。
总的来讲,美林公司认为,一个产品的主要风险不是产品本身,而是产品管理的方式。违反纪律或在监管上的失误可导致损失,而不论产品为何或使用何种数学模型。
2摩根公司的风险管理原则
摩根斯坦利则认为,风险是金融机构业务固有特性,与金融机构相伴而生。金融机构在经营活动中会涉及各种各样的风险,如何恰当而有效地识别、评价、检测和控制每一种风险,对其经营业绩和长期发展关系重大。公司的风险管理是一个多方面的问题,是一个与有关的专业产品和市场不断地进行信息交流,并作出评价的独立监管过程。
应当说,这些基本的风险管理原则既是其长期进行风险管理的经验的总结,也是其实施风险管理的基本知指导原则,在整个风险管理体系中占有十分重要的地位。
(二)确定风险管理的基本程序
董事会制定风险管理及控制战略的第一步是,根据预定的风险管理原则,并根据风险对资本比例情况,对公司业务活动及其带来的风险进行分析。在上述分析的基础上,要规定每一种主要业务或产品的风险数量限额,批准业务的具体范围,并应有充足的资本加以支持。此后,应对业务和风险不断进行常规检查,并根据业务和市场的变化对战略进行定期重新评估,并将结论应直接报告决策层。
在识别风险和确定了抵御风险的总体战略后,公司就可以制定用于日常和长期业务操作的详细而具体的指引。为此,风险管理的政策和程序中应包括,风险管理及控制过程中的权力及遵守风险政策的责任,有效的内部会计控制,内部和外部审计等。如果公司较大较复杂,则需要建立集中、自主的风险管理部门。就风险管理和控制部门而言,最重要的是配备适当的专业人员、并独立于产生风险的部门。
因为控制结构的有效性取决于运用它的人,因此,有效控制的前提是机构内所有员工都具有高度的责任。在确定风险管理及控制过程的权力和责任时,一个重要的因素应是将风险的衡量、监督和控制与产生风险的交易部门分开。高级管理层应保证职责适当分开,员工的责任不应互相冲突。
二金融机构风险管理架构的比较
(一)金融机构风险管理的基本架构
现代金融机构因其业务的偏重点不同而具有不同的风险管理体系,但其基本构架都大同小异。一般来说,金融机构设有"风险管理委员会"集中统一管理和控制公司的总体风险及其结构。"风险管理委员会"直接隶属于公司董事会,其成员包括:执行总裁、全球股票部主任、全球固定收入证券部主任、各地区高级经理、财务总监、信贷部主任、全球风险经理以及一些熟悉、精通风险管理的专家等,下面直属不同形式的风险管理部门来实施风险管理委员会的战略和要求。
同时,金融机构应具备风险管理及控制的报告和评估程序,包括检查现行政策和程序执行报告和发现例外情况的制度。一般来说,风险暴露以及盈亏情况应每日向负责监控风险的管理层报告,后者应简要向负责公司日常业务的高级管理层汇报。另外,金融机构要对风险战略、政策和程序的评估应该定期开展,评估应考虑到现行政策的结果、业务以及市场的变化。风险管理及控制政策的方法、模型和假设的变更应由决策层审核。政策和程序应要求风险管理及控制部门参与对新产品和业务的考察。
"风险管理委员会"的主要职责是:设计或修正公司的风险管理政策和程序,签发风险管理准则;规划各部门的风险限额,审批限额豁免;评估并监控各种风险暴露,使总体风险水平、结构与公司总体方针相一致;在必要时调整公司的总体风险管理目标。"风险管理委员会"直接向董事会报告,它每周开一次例会(需要时可随时召集)讨论主要市场的风险暴露、信贷暴露与其它各种头寸,研究潜在的新交易、新头寸以及风险豁免等问题。
"风险管理委员会"下设不同形式的、分离或者整合的风险管理部门(如分别设立市场风险管理部门、信用风险管理部门等,或者整合为一个完整的风险管理部),他们均独立于公司的其它业务部门。市场风险管理部门负责监管公司在全球范围内的市场风险结构(包括各地区、各部门、各产品的市场风险);信用风险管理部门负责监管公司在全球范围内的各业务伙伴的暴露额度;审计部通过定期检查公司有关业务和经营状况,评估公司的经营和控制环境。
金融机构的风险管理采用多层制,除了"风险管理委员会"及其市场风险管理部门、信用风险管理部门、审计部外,其它如融资部、财务部、信息技术部以及各业务部的部门风险经理均参与风险的确认、评估和控制,并接受风险管理部的监督和评估、考核。这些部门的经理及代表每隔一周开一次例会(需要时可随时召集)以求沟通信息、交流经验、正确评估风险、调险管理政策。
以下是对美林等几家公司的比较。
(一)美林公司的风险管理架构
为了在基层交易部门强化风险管理机制,美林公司制定了公司风险控制策略和操作规程,要求相关的区域机构和单位在识别、评价和控制风险时予以遵循。
这些策略和操作规程的实施涉及许多部门,包括全球风险管理部、公司信贷部和其他的控制部门(比如财务、审计、经营以及法律和协调部门)。为了协调上述风险管理部门的工作,公司还成立了由风险管理部、公司信贷部和控制部门高级管理人员组成的风险控制和储备委员会,该委员会在风险管理过程中发挥着重要的监督作用。
风险控制委员会和风险管理部对所有的机构交易活动进行总的风险监督。风险控制委员会独立于美林的交易部门,定期向公司董事会下属的审计和财务委员会汇报风险管理的状况。
储备委员会监测与资产和负债有关的价值和风险。美林公司针对那些可能导致现存资产价值损失或带来新的负债的事件,确定在目前形势下使公司资产和负债保持平衡的储备水平。储备委员会通常由主要的财务官员任主席,主要负责考察和批准整个公司的储备水平和储备方法的变化。储备委员会每月开会一次,考察当时的市场状况,并对某些问题采取行动。美林公司在决定储备水平时会考虑管理层在下述方面的意见(Ⅰ)风险和暴露的识别;(Ⅱ)风险管理原则;(Ⅲ)时效、集中度和流动性。
(二)摩根斯坦利的风险管理架构
摩根公司的高级管理人员在风险管理过程中发挥重要的作用,并通过制定相应的风险管理策略和规程予以保障,以便在对各种各样的风险进行识别、评估和控制过程中,提供管理和业务方面的支持。随着对不断变化的和复杂化的全球金融服务业务认识的提高,公司不断地检讨风险管理策略和操作规程,以使其不断完善。
公司的风险管理委员会,由公司大部分高级管理人员组成,负责制定整个公司风险管理的策略及考察与这些策略相关的公司业绩。风险管理委员会下设几个专门风险管理委员会,以帮助其实施对公司风险活动的检测和考察。除此之外,这些风险管理委员会还考察与公司的市场和信用风险状况、总的销售策略、消费贷款定价、储备充足度和合法实施能力以及经营和系统风险有关的总体框架、层次和检测规程。会计主任、司库、法律、协调和政府事务部门及市场风险部门,都独立于公司业务部门,协助高级管理人员和风险管理委员会对公司风险状况进行检测和控制。另外,公司的内部审计部门也向高级管理人员汇报,并通过对业务运营领域的考察,对公司的经营和控制环境进行评价。公司经常在每一个管理和业务领域,聘用具有适当经验的专家,以有效地实施公司的风险管理监测系统和操作规程。
三对主要类型的风险的管理战略
金融机构风险管理主要涉及市场风险、信用风险和其他风险的管理,同时针对不同的风险的特点,确定不同的实施方案和管理战略。
(一)主要的风险类型
1市场风险
市场风险是指因市场波动而使得投资者不能获得预期收益的风险,包括价格或利率、汇率因经济原因而产生的不利波动。除股票、利率、汇率和商品价格的波动带来的不利影响外,市场风险还包括融券成本风险、股息风险和关联风险。
美国奥兰治县(ORANGECOUNTRY)的破产突出说明了市场风险的危害。该县司库将"奥兰治县投资组合"大量投资于所谓"结构性债券"和"逆浮动利率产品"等衍生性证券,在利率上升时,衍生产品的收益和这些证券的市场价值随之下降,从而导致奥兰治县投资组合出现17亿美元的亏损。GIBSON公司由于预计利率下降,购买了大量利率衍生产品而面临类似的市场风险。当利率上浮时,该公司因此损失了2000万美元。同样,宝洁公司(Procter&Gamble)参与了与德国和美国利率相连的利率衍生工具交易,当两国的利率上升高于合约规定的跨栏利率时(要求宝洁公司按高于商业票据利率1412基点的利率支付),这些杠杆式衍生工具成为公司承重的负担。在冲抵这些合约后,该公司亏损1.57亿美元。
2信用风险
信用风险是指合同的一方不履行义务的可能性,包括贷款、掉期、期权及在结算过程中的交易对手违约带来损失的风险。金融机构签定贷款协议、场外交易合同和授信时,将面临信用风险。通过风险管理控制以及要求对手保持足够的抵押品、支付保证金和在合同中规定净额结算条款等程序,可以最大限度降低信用风险。
近来,信用风险问题在许多美国银行中开始突出起来,根据1998年1月的报告,其季度财务状况已因环太平洋地区的经济危机而受影响。例如,由于亚洲金融风暴,JP摩根(JPMORGEN)将其约6亿美元的贷款划为不良贷款,该行97年第四季度的每股盈利为1.33美元,比上年的2.04美元下降35%,低于市场预期的每股收益1.57美元。
3操作风险
操作风险是指因交易或管理系统操作不当引致损失的风险,包括因公司内部失控而产生的风险。公司内部失控的表现包括,超过风险限额而未经察觉、越权交易、交易或后台部门的欺诈(包括帐簿和交易记录不完整,缺乏基本的内部会计控制)、职员的不熟练以及不稳定并易于进入的电脑系统等。
1995年2月巴林银行的倒闭突出说明了操作风险管理及控制的重要性。英国银行监管委员会认为,巴林银行倒闭的原因是新加坡巴林期货公司的一名职员越权、隐瞒的衍生工具交易带来的巨额亏损,而管理层对此却无丝毫察觉。该交易员同时兼任不受监督的期货交易、结算负责人的双重角色。巴林银行未能对该交易员的业务进行独立监督,以及未将前台和后台职能分离等,正是这些操作风险导致了巨大损失并最终毁灭了巴林银行。
类似的管理不善导致日本大和银行在债券市场上遭受了更大损失。1995年人们发现,大和银行的一名债券交易员因能接触公司会计帐簿而隐瞒了约1亿美元的亏损。与巴林银行一样,大和的这名交易员同时负责交易和会计。这两家银行都均违背了风险管理的一条基本准则,即将交易职能和支持性职能分开。
操作风险的另一案例是Kidder,Peabody公司的虚假利润案。1994年春,KIDDER确认,该公司一名交易员买卖政府债券获得的约3.5亿美元"利润"源于对公司交易和会计系统的操纵,是根本不存在的。这一事件迫使Kidder公司将资产售予竞争对手并最终清盘。
操作风险可以通过正确的管理程序得到控制,如:完整的帐簿和交易记录,基本的内部控制和独立的风险管理,强有力的内部审计部门(独立于交易和收益产生部门〕,清晰的人事限制和风险管理及控制政策。如果管理层监控得当,并采取分离后台和交易职能的基本风险控制措施,巴林和大和银行的损失也许不会发生,至少损失可以大大减少。这些财务失败说明了维持适当风险管理及控制的重要性。
(二)对市场风险的管理策略
金融机构维持合适的头寸,利用利率敏感性金融工具进行交易,都要面对利率风险(比如:利率水平或波动率的变化、抵押贷款预付期长短和公司债券和新兴市场资信差异都可带来风险);在外汇和外汇期权市场做市商或维持一定外汇头寸,要面对外汇风险,等等。在整个风险管理框架中,市场风险管理部门作为风险管理委员会下属的一个执行部门,全面负责整个公司的市场风险管理及控制并直接向执行总裁报告工作。该部在重点业务地区设有多个国际办公室,这些办公室均实行矩阵负责制。它们除了向全球风险经理报告工作外,还要向当地上一级非交易管理部门报告工作。
市场风险管理部门负责撰写和报送风险报告,制定和实施全公司的市场风险管理大纲。风险管理大纲向各业务单位、交易柜台经风险管理委员会审批的风险限额,并以此为参照对执行状况进行评估、监督和管理;同时报告风险限制例外的特殊豁免,确认和公布管理当局的有关监管规定。这一风险管理大纲为金融机构的风险管理决策提供了一个清晰的框架。
市场风险管理部门定期对各业务单位进行风险评估。整个风险评估的过程是在全球风险经理领导下由市场风险管理部门、各业务单位的高级交易员和风险经理共同合作完成的。由于其他高级交易员的参与,风险评估本身为公司的风险管理模式和方法提供了指引方向。
为了正确评估各种市场风险,市场风险管理部门需要确认和计量各种市场风险暴露。金融机构的市场风险测量是从确认相关市场风险因素开始的,这些风险因素随不同地区、不同市场而异。例如,在固定收入证券市场,风险因素包括利率、收益曲线斜率、信贷差和利率波动;在股票市场,风险因素则包括股票指数暴露、股价波动和股票指数差;在外汇市场,风险因素主要是汇率和汇率波动;对于商品市场,风险因素则包括价格水平、价格差和价格波动。金融机构既需要确认某一具体交易的风险因素,也要确定其作为一个整体的有关风险因素。
市场风险管理部门不仅负责对各种市场风险暴露进行计量和评估,而且要负责制定风险确认、评估的标准和方法并报全球风险经理审批。确认和计量风险的方法有:VAR分析法、应力分析法、场景分析法。
根据所确认和计量的风险暴露,市场风险管理部门分别为其制定风险限额,该风险限额随交易水平变化而变化。同时,市场风险管理部门与财务部合作为各业务单位制定适量的限额。通过与高级风险经理协商交流,市场风险管理部门力求使这些限额与公司总体风险管理目标一致。
1美林公司的市场风险管理策略
美林公司市场风险管理过程包含了下述三个要素:(i)沟通;(ii)控制和指导;(iii)风险技术。
风险管理按地理区域和产品线组织,以确保某一特定的区域或某一产品交易范围内的风险管理人员能进行经常和直接的沟通。同时,风险管理部门应与高级的交易经理进行定期和正式的风险研讨。
为了弥补基层交易部门风险规避技术的不足,公司风险管理部门制定了一些规范和准则,包括交易限额,超过限额必须提前得到批准。另外,作为新的金融产品检测过程的一部分,新的金融产品交易要由风险管理部门和来自其他控制单位的代表批准。某些业务,比如高收益证券和新兴市场的证券承销、不动产融资、临时贷款等,在向客户作出承诺前,需要事先得到风险管理和其他控制部门的批准。风险管理部门有权要求减少某一特定的柜台交易风险暴露头寸或取消计划的交易。
风险管理使用几种风险技术工具,包括风险数据库、交易限额监视系统、交易系统通道和敏感性模拟系统。风险数据库每日按产品、资信度和国别等提供库存证券风险暴露头寸的合计数和总数。交易限额检测系统使风险管理部门能及时检查交易行为是否符合已建立的交易限额。交易系统通道允许风险管理部门去检测交易头寸,并进行计算机分析。
敏感性模拟系统用来估算市场波动不大和剧烈波动两种情形下的损益。每一次测算时仅考虑一个重要风险因素,比如利率、汇率、证券和商品价格、信贷利差等,同时假设其他因素不变。以此为基础,风险管理部门可以检测到整个公司的市场风险,并根据需要调整投资组合。
2摩根斯坦利的市场风险管理策略
公司利用各种各样的风险规避方法来管理它的头寸,包括风险暴露头寸分散化、对有关证券和金融工具头寸的买卖、种类繁多的金融衍生品(包括互换、期货、期权和远期交易)的运用。公司在全球范围内按交易部门和产品单位来管理与整个公司交易活动有关的市场风险。公司按如下方式管理和检测其市场风险:建立一个交易组合,使其足以将市场风险因素分散;整个公司和每一个交易部门均有交易指南和限额,并按交易区域分配到该区域交易部门和交易柜台;交易部门风险经理、柜台风险经理和市场风险部门都检测市场风险相对于限额的大小,并将主要的市场和头寸变化报告给高级管理人员。
市场风险部门使用Value-at-Risk和其他定量和定性测量和分析工具,根据市场风险规律,独立地检查公司的交易组合。公司使用利率敏感性、波动率和时间滞后测量等工具,来估测市场风险,评估头寸对市场形势变化的敏感性。交易部门风险经理、柜台风险经理和市场风险部门定期地使用敏感性模拟系统,检测某一市场因素变化对现存的产品组合值的影响。
(三)信用风险的管理策略
信用风险管理是金融机构整体风险管理构架中不可分割的组成部分,它由风险管理委员会下设的信用风险管理部门全面负责。信用风险管理部门直接向全球风险经理负责,全球风险经理再依次向执行总裁报告。信用风险管理部门通过专业化的评估、限额审批、监督等在全球范围内实施信贷调节和管理。在考察信用风险时,信用风险管理部门要对风险和收益间的关系进行平衡,对实际和潜在的信贷暴露进行预测。为了在全球范围内对信用风险进行优化管理,信用风险管理部门建立有各种信用风险管理政策和控制程序,这些政策和程序包括:
(1)对最主要的潜在信贷暴露建立内部指引,由信用风险管理部门总经理监督。
(2)实行初始信贷审批制,不合规定的交易要由信用风险管理部门指定成员审批才能执行。
(3)实行信贷限额制,每天对各种交易进行监控以免超过限额。
(4)针对抵押、交叉违约、抵消权、担保、突发事件风险合约等订立特定的协议条款。
(5)为融资活动和担保合约承诺建立抵押标准。
(6)对潜在暴露(尤其是衍生品交易的)进行定期分析。
(7)对各种信贷组合进行场景分析以评估市场变量的灵敏性。
(8)通过经济、政治发展的有关分析对风险进行定期评估。
(9)和全球风险经理一起对储存时间较长、规模庞大的库存头寸进行专门评估和监督。
美林公司通过制定策略和操作规程以避免信用风险损失,包括确立和检测信用风险暴露限额及与某一订约方或客户交易额限额、在信用危机中取得收缴和保留抵押品或终止交易以及对订约另一方和客户不断地进行信用评价的权利。业务部门有责任与公司制定的策略和操作规程保持一致,并受到公司信贷部门的监督。公司信贷部门实行集中分区管理。信贷负责人分析和确定订约另一方或客户的资信状况,按订约方或客户设立初始或当前的信贷限额,提议信用储备,管理信用风险暴露头寸和参与新的金融产品的检测过程。
许多类型交易包括衍生品和辛迪加贷款要提前报请公司信贷部门批准。公司信贷部门所能审批的交易数量是有限的,限额视该项交易的风险程度和相关客户的资信度确定,超过此限额,须上报公司信贷委员会批准。
借助信用系统手工和自动记录的信息,公司信贷部门能检测信用风险暴露头寸在订约另一方/客户、产品和国别的集中度。这一系统能按订约另一方或客户累计信用风险暴露头寸,维持整个订约方/客户和某一产品的风险暴露限额,并按订约另一方或客户识别限额检测数据。整个公司库存头寸和已执行交易的详细信息,包括现在和潜在的信用风险暴露头寸信息会不断地更新,并不断地与限额相比较。如果需要,可增加抵押贷款数额,以减少信用风险暴露头寸,并记录在信用系统中。
公司信贷部门与业务部门一起设计和完善信用风险测度模型,并且分析复杂的衍生品交易的信用风险暴露头寸。公司信贷部门还检测与公司零售客户业务有关的信用风险暴露头寸,包括抵押品和住宅证券化额度、客户保证金帐户资金数额等。
集中度风险可以视为信用风险中的一个重要类型。集中度风险,即金融机构业务对单一收入、产品和市场的依赖风险。美林公司定期检测集中度风险,并通过实施其分散化的经营战略和计划来减少此风险。最近,美林公司已将其全球的收入来源分散化,从而减少了公司收入对单一金融产品、客户群或市场的依赖。
雷曼兄弟公司通过产品、客户分散化和交易活动在地区分布的分散化,以图实现减少风险的目标。为此,公司合理地分配每类业务资金的使用额,为每类产品和交易者制定交易限额,并对上述额度做地域上的合理分配。公司根据每一类业务的风险特性,寻求相应的回报。根据与公司指南相一致的收益获得能力、市场机会和公司的长期战略,公司定期地重新分配每一业务的资金用量。
(四)操作风险的管理策略
作为金融服务的中介机构,金融机构直接面临市场风险和信用风险暴露,它们均产生于正常的活动过程中。除市场风险和信用风险外,金融机构还将面临非直接的与营运、事务、后勤有关的风险,这些风险可归于操作风险。
在一个飞速发展和愈来愈全球化的环境中,当市场中的交易量、产品数目扩大、复杂程度提高时,发生这种风险的可能性呈上升趋势。这些风险包括:经营/结算风险、技术风险、法律/文件风险、财务控制风险等。它们大多是彼此相关的,所以金融机构监控这些风险的行动、措施也是综合性的。金融机构一般由行政总监负责监察公司的全球性操作和技术风险。行政总监通过优化全球信息系统和数据库实施各种长期性的战略措施以加强操作风险的监控。一般的防范措施包括:支持公司业务向多实体化、多货币化、多时区化发展;改善复杂的跨实体交易的控制。促进技术、操作程序的标准化,提高资源的替代性利用;消除多余的地区请求原则;降低技术、操作成本,有效地满足市场和监管变动的需要,使公司总体操作风险控制在最合适的范围。
美林公司采取多种方式管理它的操作风险,包括一个维持支持系统、使用相关技术和雇佣有经验的专家。美林公司借助信息系统提供的对主要市场操作风险的评价信息,能对世界范围内不断变化的市场环境立即作出反应。内部管理信息报告使得高级管理人员能有效地识别潜在的风险,控制风险暴露头寸,并促使众多的内部管理策略和规章彼此相协调。有经验的业务人员应对交易、结算和清算业务提供支持和控制,对客户及其资产行使监管,并且单独向高级管理人员报告。
因此,在现代金融市场的竞争中,西方主要的金融机构之所以能够获得良好的经营成果,其相对完善的风险管理体系的有效有效运行是一个关键性的因素,这主要包括:董事会确立了恰当的风险管理原则和战略;具有独立有效的风险管理框架;拥有全面系统、严格而又灵活的风险管理政策和程序,并积极开发强调的风险管理技术工具,而且培养了一大批高素质的专业人才队伍,这既是一个良好的风险管理体系的主要环节,也是值得当前我国的金融机构借鉴的重要内容。
主要参考文献
AnthonySaunders,CreditRiskMeasurement,JohnWileyandSons,1999.
许建华,《国外金融机构风险管理模式和方法》,载《证券市场导报》2000年。
证监会国际组织技术委员会报告,《金融机构及其监管当局风险管理与控制指引》(征求意见稿),中国证监会网站。
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
从法律上看,集团公司的从属企业拥有独立的法律人格,能够以自己的名义从事经营活动,独立地享有民事权利,承担民事义务。从属企业作为企业集团的一分子,其经济行为要服从企业集团整体利益的需要,要接受母公司对其管理理念、原则、方法的干预和管控。集团管控通常有以下三种管控模式:
1.战略管控型。母公司利用控股权支配从属公司重大决策和经营活动,追求资本增值和区分战略板块、业务板块的多元化发展。
2.财务管控型。母公司通过资本运营手段指导、监控从属公司,对从属公司的经营计划和执行过程不过多关注,以实现财务目标为终极目的,以财务指标考核、控制为主要手段。
3.运营管控型。采用运营控制型管控模式的集团,对集团资源高度集中、企业经营活动的统一并优化。从战略规划到实施,从生产经营活动到业务管理,都要纳入集团管控范围。通过上述介绍,我们可以看出,运营管控型是最集权的管控模式,而财务管控型又是最分权的管控模式,而战略管控型则介于两者之间。随着集团管控管理模式的不断演变,有的集团又将战略管控进一步细化为“战略实施型”和“战略指导型”,前者偏重于集权而后者偏重于分权。
二、组织架构和发展战略风险管理
1.集团公司组织架构管控。组织架构包括集团公司的公司治理结构和内部部门机构设置。建立统一、合理、高效的组织架构体系是实现集团有效管理的关键,在管理控制体系中起着“骨架”的作用。组织架构设计与运行通常存在以下潜在风险:治理结构形同虚设,企业缺乏科学决策和良性运行机制,有可能导致经营失败,难以实现公司战略规划;内部职能部门设计不合理、权责分配不合理,可能导致机构重叠、职能缺失、互相推脱、效率降低等问题。所以,集团公司必须建立有效的组织架构管理体系,并确保其行之有效地运行。主要手段如下:一是健全内部控制制度,完善治理结构。内部管控是一个系统工程,设立集团公司的公司治理体系,要从内部控制角度考虑建立一套相互分离、相互监督、相互制约的公司治理体系。要按照公司法和现代企业制度的要求,明确股东会、董事会、监事会和经理层的职责体系,制定完善的决策体系和议事规则,执行和监督职能相互分离、相互制衡。二是合理设置内部部门,分清职责。在部门内部运行过程中一经发现有存在职能重叠、缺失或运行低下的问题,要及时调整部门架构,通过制定公司组织架构图、业务流程标准、部门职责说明、岗位说明书等手段,明确各部门、各岗位的工作职责,做到各司其职、权责明确。
2.集团公司的发展战略管控。公司发展战略是指企业根据企业自身情况对未来发展的定位和预测。集团公司要做到统一发展,必须要有共同的发展战略,集团内各成员单位在共同的战略指引下制定经营计划,以确保集团整体战略的实现。通常情况下,集团公司在董事会下设战略委员会,负责公司的发展战略制定工作。战略委员会要综合考虑宏观经济政策、国内外市场的变化趋势、生产技术的发展趋势以及竞争对手的情况,结合自身情况和资源,制定适合自己的、切实可行的发展战略。董事会审议发展战略后提交股东会批准实施。
三、集团公司的财务风险管理
财务是公司发展的命脉,因此,实行集团公司的集中管控必然要做到对财务的集中管控。随着现代网络及信息技术的发展,很多集团公司通过统一的信息平台和财务共享中心实现对集团内单位的财务集中管控。建立统一的会计核算科目体系、统一的会计核算处理系统、财务报表合并系统、统一的现金管理平台、预算管理体系、内部审计体系等。著名的GE公司(通用电气公司)通过与银行网银支付系统对接的现金管理平台,将子公司资金每日下班前定点上划,集中大量资金利用北美与欧洲的时差进行“隔夜”资金运作,资金运作是按小时甚至分钟计算的。这样,产生了不小的资金利用收益。近年来,大型集团公司纷纷采用财务共享中心模式进行财务管控。它将不同国家、不同地域的子公司的会计核算及财务管理统一拿到总部进行,各子公司或分支机构作为一个财务管理平台,仅需设专人负责票据的收集、扫描及上传工作。这样做的优势:信息统一和集成;降低管理成本;提高经营效率;提升财务决策水平等。
四、集团公司对子公司的风险管理
关键词:新汇制;涉外企业;汇率风险管理
2005年7月,中国开始实行以市场供求为基础、参考一篮子货币进行调节、有管理的浮动汇率制度。这标志着我国的汇率改革进入了一个新阶段,人民币汇率制度改革后,汇率弹性已逐步显现。总体上来看,汇改后人民币对美元汇率持续呈现小幅上扬态势,对欧元汇率略有下跌。2008年我国将会继续完善人民币汇率形成机制,增强汇率弹性,这意味着人民币汇率波幅将进一步加大。对于从事涉外经营活动的经济主体来说,汇率的不确定性加大了企业的决策难度,对企业的长期经营战略产生影响,由此带来的潜在市场风险不容低估。
一、涉外企业汇率风险管理中存在的问题
汇改后,一些涉外企业已经认识到汇率风险管理的重要性,开始寻求规避风险的措施,但整体来说,涉外企业在风险管理方面仍存在很多问题:
(一)涉外企业对汇率风险管理的认知不足,无法全面有效地防范汇率风险
管理人员对汇率风险管理的认知度决定着企业防范汇率风险的能力和水平。对于许多企业来说,汇率风险仍然是一个陌生的问题。长期以来人民币汇率相对稳定,企业经营管理者对汇率风险了解甚少,面对新的汇率机制下日益显现的汇率风险,大部分企业显得束手无策。
金融衍生工具是规避汇率风险的重要手段,但很多企业对金融衍生工具的认知存在误区,缺乏相应的风险承受能力,不愿意为防范汇率风险支付成本,运用金融衍生工具规避风险的积极性不高。还有些企业则把金融衍生工具当作一种赢利手段,以投机为目的,期望取得高额利润,反而把自己置于更大的风险之中。
由于企业对汇率风险管理认识不足,缺乏汇率风险管理的知识和技巧,无法全面有效地防范所面临的汇率风险。
(二)可供选择的金融衍生避险工具较少,涉外企业防范风险的途径有限
现阶段我国的资本市场还不够成熟,虽说各大商业银行相继推出了许多创新型的避险工具,但与发达国家相比,金融衍生工具仍然较少,加上很多套期保值的工具在基层金融机构还没有全面开办,可供企业选择的金融衍生避险工具的种类仍然偏少,而且订价不合理,导致避险成本过高。对于一般的涉外企业而言,利用金融衍生产品来避险防范外汇风险的途径非常有限。
(三)出口产品缺乏竞争力,难以取得定价主动权
涉外企业防范汇率风险的方法大多需要通过谈判在合同中规定,目前大部分出口企业生产的是劳动密集型产品,产品科技含量低,缺乏竞争优势,因此在谈判中缺乏议价能力,难以取得主动权,无法通过协议让对方分担风险,给企业经营带来困难,有的企业甚至放弃了交易。
二、我国涉外企业汇率风险管理存在问题的成因分析
(一)涉外企业的汇率风险管理受到国家外汇管理制度的约束
中国是实行较严格外汇管制的国家。国际上许多成功外汇风险管理战略和方法应用于我国推行时不可避免地受到外汇管理政策的约束。主要表现在:一是行政审批内容和环节过多,收费过高,企业疲于应付,无法及时有效地抓住有利时机规避风险,甚至导致企业错过有利的结售汇时机;二是人民币只在经常项目下可兑换,企业不能以人民币作为结算货币来规避汇率风险;三是现行办法规定大多数金融衍生产品交易必须以真实交易为背景。这种实需原则一定程度上限制了企业使用衍生产品的灵活性。
(二)商业银行金融服务配套机制跟不上,金融产品定价不合理
受传统观念影响,商业银行整体的汇率风险管理及规避机制尚未形成,金融服务配套机制不完善。近年来,虽说银行非常重视衍生产品的开发,但是对企业面临的汇率风险问题警示不够,对金融衍生产品宣传和培训不力,大多数企业的管理人员不了解银行的避险工具,难以运用金融衍生工具来规避汇率风险,这是造成企业缺乏风险意识、避险的知识和手段的重要原因之一。
当前,金融衍生产品定价机制还存在不合理性,定价普遍过高。大多数企业利用贸易融资来提前收汇结汇,在一定程度上锁定了汇率风险,却要支付较高的手续费和保险费等,难以完全享受到避险保值的好处。不少企业认为金融衍生产品不太适应用于进出口业务量较小的中小企业。
(三)涉外企业缺乏汇率风险管理方面的专门机构和专业人才,难以建立完备的外汇风险管理体系
涉外企业规避汇率风险的能力较弱还在于缺乏具有外汇风险管理知识和技能的专门人才。很多企业在实际经营中,涉及外汇的业务一般是由财务部门兼管,只有少数企业在组织机构上设置专门的外汇风险管理部门或人员。由于财务人员不具备专门的汇率风险知识和技能,无法从企业战略的高度出发,从整体上提高企业的汇率风险管理水平,利用有效的手段对企业所面临的汇率风险进行防范。即使企业能够使用金融手段来防范汇率风险,因为没有专门的机构对汇率风险进行统一管理,难以建立完备的外汇风险管理体系,无法对企业面临的各种汇率风险进行有效的识别,更谈不上对各种风险进行有效的测量和管理,绝大部分企业只是单独地使用金融工具,没有从整体上形成一个完整的战略构架,往往会失去在交易前防范汇率风险的最佳时机,很难完全规避风险或达到最佳的管理效果。
三、涉外企业加强汇率风险管理的途径
汇改后,国家进一步放宽了外汇管理政策,但在短期时间内,涉外企业汇率风险管理的外部环境仍然难以得到彻底改变。涉外企业如何利用外部现有的条件,发挥自身优势,提高风险管理能力,合理规避外汇风险,是企业当前必须面对和解决的一个关键问题。
(一)加强汇率风险管理机制的建立与实施,提高自我防范能力
1.提高全体员工风险管理的意识,形成一个良好的汇率风险管理氛围
防范汇率风险,提高企业汇率风险管理意识很重要,企业只有充分认识到汇率风险的危害性,才能积极主动地采取措施规避风险。汇率风险管理是一个系统工程,是企业全员性的活动。企业在国际经济活动中的每一项活动都可能涉及到汇率风险,如企业的采购、生产和销售等,各部门都应积极参与风险管理策略的实施过程,单靠某一个部门将会大大减弱汇率风险管理的效果,只有企业的每个员工都有汇率风险管理意识,每个部门都参与到汇率风险管理中来,才有可能在企业内部形成一个良好的风险管理氛围。
2.建立完善的风险管理体系,把汇率风险损失控制在最小范围内
企业必须意识到,只有建立全面的汇率风险防范体系,采取有效的风险防范措施,才能应对汇率波动对企业经营造成的影响。汇率风险管理体系应包括汇率风险管理战略目标的制定、外汇风险的识别、风险限额的设定、不同类型外汇风险的测量和管理手段的选择以及事后风险管理的评估系统等。为了有效地防范汇率风险,企业的管理者应从战略高度出发,确定汇率风险战略目标,并根据自身特点和风险承受能力,确定外汇风险限额,制定出汇率风险管理政策,在风险管理的过程中,应突出全局观念和各部门的分工协作,根据实际情况选择相应的外汇风险管理战术和避险措施,并在事后对风险管理的效果进行评价,总结经验和教训,找出不足,不断对风险管理体系进行完善,力争将损失控制在最小范围内。
3.加强科学有效的监管力度,在企业内部建立汇率风险预警机制企业在汇率风险管理过程中最关注的是外汇汇率的波动,无论汇率如何波动,企业都有可能面临风险。因此,企业必须要加强科学有效的监管力度,在内部建立汇率风险预警机制,确定汇率变动的方向和波动幅度,对企业生产经营各个环节的风险管理过程进行监控,主动对可能面临风险的外币资产或负债项目进行调整或保值,及时发现风险管理过程中出现的问题,及时采取措施,将问题消灭在萌芽状态,防止出现汇率风险失控现象。
4.加强高素质外汇人才的引进和培养,有效地防范汇率风险
汇率风险管理制度的执行最终还要依靠人来完成,由于规避汇率风险是一项对技术性要求较高的业务,对汇率变化趋势进行准确预测是规避汇率风险的前提条件,金融工具是规避汇率风险的重要手段,但汇率变化莫测,金融衍生产品品种繁多,交易程序复杂,而且更新速度非常快。必须要有高素质的专业人才对汇率变化趋势进行准确预测,制定相应的风险管理措施。因此,要加强高素质外汇人才的引进和培养,建立健全专门的管理机构,安排专职人员从事汇率的预测和防范汇率风险的管理工作,加强对金融产品相关知识的学习与研究,对所面临的汇率风险类型和安全程度进行科学判断,及时采取措施,有效地运用各项工具和手段对外汇风险进行管理。在汇率瞬息万变的今天,企业只有不断充实外汇人才,才能增加汇率风险管理的有效性,使汇率风险不再成为制约企业利润增长的瓶颈。
5.将事前预防与事后规避相结合,把汇率风险管理贯穿于整个经营管理的始终
要密切关注和研究外汇管理政策,采取事前预防和事后规避相结合的措施来规避汇率风险,将汇率风险管理贯穿于整个经营管理的始终。交易前以预防出现汇率风险为主,交易后,以规避汇率风险为主。在交易前,可通过选择多种计价货币、订立保值条款等作为防范风险的主要手段,在交易后,应特别关注风险敞口头寸,将提前或推迟结算、使用金融衍生品和贸易融资作为规避汇率风险的主要手段。如开拓海外市场的业务人员在谈判中通过订立价格条款来规避风险;交易后风险管理人员通过金融衍生工具对汇率风险暴露头寸进行对冲等手段规避风险。
(二)加强经营管理,化解汇率风险
1.加快产品结构调整,增强国际竞争能力
出口企业要以人民币汇率形成机制改革为契机,在提高经营管理效率,保持产品价格优势的同时,更要加快结构调整。加强高新技术的引进和开发,提升产品的技术含量和品牌内涵,走差异化、品牌化之路,提升产品的核心竞争力,提高在谈判中的议价能力,这样,才有可能有效地利用价格条款来分散或规避汇率风险。
2.实现跨国经营,提高汇率风险防范能力
在全球经济一体化的趋势下,大型涉外企业,特别是跨国公司,通过选择在不同国家投资生产,并在当地直接销售,不但可以消除贸易壁垒,还可以减少因本外币兑换而产生的汇率风险。涉外企业可以灵活地选择经营地点或市场,获得多渠道的原材料和生产部件的供应,减少了这些原材料的直接进口;将在当地生产的产品直接销售,减少了本外币之间的兑换,更加有利于企业提高防范汇率风险的能力。
3.实施进出口业务的多元化,降低汇率风险的危害
在国际贸易中,使用单一外币结算会大大增加汇率风险。如果涉外企业在某一时间内将其进出口业务同时分配到不同国家的市场,采用不同的货币作为结算货币,这样就等同于使用多种外币作为结算货币。对于本国货币来讲,有的结算货币升值,有的结算货币贬值,企业的汇率风险被减小。由此可见,实施进出口业务的多元化经营,有利于涉外企业降低汇率风险的危害。
4.实施融资的多元化,分散汇率风险
随着国际资本市场的迅猛发展,对涉外企业来说,特别是对跨国公司而言,外币融资的渠道越来越宽,非常容易获得外币融资。企业要尽量从多个国际资本市场以多种外币融资,使得负债货币多元化,从而通过拥有多种不同外币债务来实现保值和规避汇率风险的目的。
企业管理汇率风险的过程是复杂的,应把风险管理与其整体经营和发展战略融合起来,确保企业拥有一个长期性的汇率风险管理策略。对于目前的中国企业来说,最为重要的是要树立汇率风险意识,将汇率风险的思想融入到企业的经营管理之中,形成一整套汇率风险管理机制,合理选择汇率风险管理方案,并在实践中不断加以改进和完善,将汇率风险的危害减少到最低限度,为企业长期健康稳定和持续地发展创造条件。
【参考文献】
[1]栗书茵.我国涉外企业外汇交易风险研究[J].中央财经大学学报,2006,(12):48-52.
