下面是小编为大家整理的电子银行的风险与控制论文(共含13篇),欢迎阅读与收藏。同时,但愿您也能像本文投稿人“吃饭魂干丢了”一样,积极向本站投稿分享好文章。
关于电子银行的风险与控制论文
因特网的出现给银行提供了一个前所未有的超越现存国界的机遇,国际银行业的面貌由此发生了翻天覆地的革命性变化。越来越多的国际银行开始关注和瞄准电子银行业务,并试图涉险进入和占领电子商务的新领域。受网络技术变革、金融监管自由化和不确定的法律、规制环境等多种因素的综合影响,电子银行业务给银行风险控制方面带来了挑战。
国际电子银行业务游戏规则的权威制定机构巴塞尔银行监管委员会电子银行小组(EBG)于10月发布了《银行监管人面临的电子银行业务风险管理问题》的白皮书。本文试图以此为参照物,探讨、分析电子银行业务的风险及其控制问题,以期对我国银行发展电子银行业务有所启发。
一、风险分析
EBG将电子银行的基本风险划分为两大类:一类是电子银行发展带来的新风险,另一类是电子银行本身具有的传统性银行风险。
1、战略和经营风险
战略和经营风险是指经营决策错误、决策执行不当或对行业变化束手无策,对银行的收益或资本形成现实和长远的影响。战略风险是银行开展电子银行业务时面临的最重大的风险之一。战略风险在属性上更加普遍和宽泛。银行董事会和执行管理层所采取的'战略决策都会对其他风险种类产生影响。如果银行战略的规划和执行出现无效或不当,飞速的技术变革,激烈的同业竞争和该战略的性质都会暴露出银行的巨大风险。类似的,如果管理层采取一种过于谨慎的技术跟踪战略也将使银行在一个饱和的市场或迅速巩固的市场中没有丝毫的立足之地。
2、运作风险
运作风险是一种系统技术风险。由于电子银行对技术的高度依赖性,使运作风险成为最重大的风险之一。运作风险来源于以下六个方面:一是技术框架的合理性。如果电子银行系统不能将多种业务系统进行适当的整合,那么银行将由于交易处理发生的错误而暴露出重大的运作风险问题。二是系统安全性。开放的电子递送渠道使银行暴露在新的安全风险之下,形成了新的安全风险问题。三是数据完整性。数据完整性是系统安全的一个重要组成部分。如果银行没有建立一个有效的控制程序,数据在传递和接受过程中就可能发生遗失或转换变形,造成数据不完整。四是系统的有效性。如果银行没有制定一个有效的运行持续性和事故应急计划,系统的超负荷运行和损耗就可能影响银行准确、可靠、一贯地提供适当配套的产品和服务,引起潜在的重大声誉风险。五是内部控制和内部审计。如果银行不具备充分到位的内部控制措施,并且这些控制措施不能得到独立审计的话,那么银行就不能有效防范来自内外部的欺诈行为。六是业务外包。很多银行机构过于依赖少数几个外包商,这种对少数外包商的集中依赖性可能会产生系统性影响。其次,很多技术外包商缺乏银行环境中所要求的控制知识。再次,业务外包也可以引起与风险敞口相关的附加隐私权保护问题。
3、声誉风险
声誉风险是指负面的公众观点对银行收益和资本所产生的现实和长远的影响。阻碍电子银行递送渠道有效性的任何负面发展都可能影响银行的声誉。提供一个能够支持电子银行业的可依赖的网络能力是至关重要的。如果因特网银行业务运作不善;如果银行不能在一个一致的基础上提供可靠、准确而及时的电子银行服务;如果
[1] [2] [3] [4]
作者:邹德娟
来源:《现代经济信息》第15期
摘要:网络的出现给银行提供了一个前所未有的发展空间,银行的面貌发生了翻天覆地的变化。越来越多的银行开始关注电子银行业务,并试图将其开展成电子商务中的一片新领域,但是由于受多方面因素的影响,电子银行业务给银行风险和控制方面带来了困扰。下面文章将从电子银行存在的风险和控制策略进行分析。
中图分类号:F61 文献标识码:A 文章编号:1001-828X08-00-01
银行通过手机、电话、电脑、ATM等电子渠道向客户提供金融服务和产品的过程就是电子银行业务,与此同时,这些电子银行业务已在商业银行各项业务中占有重要地位。网上电子银行的结算,电子银行的成本低,方便、快捷等优势特点备受客户的喜爱。但是,由于社会复杂的现象,企业财务人员水平和个别银行结算人员的业务水平较低,电子银行结算风险案例也在不断增多。增强风险意识,规避电子银行结算风险,寻找控制风险的策略,已成为电子银行发展的当务之急。
一、电子银行面临的主要风险
1.战略和经营风险
银行在经营决策上出现错误,决策后执行的力度不够,面对行业的变化不能及时采取相应的对策,这些情况的出现都会对银行的收益造成影响,这些都属于战略和经营上的风险。战略风险具有普遍性和广泛性,是银行开展电子银行业业务时面临的最严重的风险之一。银行如果在规划和执行力上出现问题,跟不上技术变革的发展,在激烈的同行竞争中处于劣势地位,这样的战略性质不仅暴露出银行的巨大风险,也会让银行在一个饱和市场中没有丝毫的.立足之地。
2.运作风险
运作风险具有系统性和电子银行对其技术运作的高度依赖性,运作风险主要来源于以下几个方面:①技术框架是否合理。电子银行系统能不能将多种系统进行适当的整合,决定了技术框架的合理性与否。②系统是否具有安全性。电子递送渠道的安全性使银行暴露在新的安全问题之中。③数据是否具有完整性。银行如果不建立一个有效的控制系统,其数据在传送和接收的过程中有可能发生遗漏,导致数据不完整。④系统是否具有有效性。一个有效的运行系统和持续性的事故应急计划,可以尽量避免系统的超负荷运行和损耗。⑤内部的控制和审计是否具有合理性。如果银行内部不能采取充分到位的控制措施,那么就不能有效防范来自外部的欺诈
管理和控制电子银行外包风险论文
电子银行业务外包风险概述
电子银行业务系统的成功运转需要大量硬件设施与软件程序的支持,这些硬件与软件如果要完全依靠银行机构的内部力量进行研究和开发,无疑需要银行投入巨额的开发与维护资金,并引进大量的技术人员。除少数大型银行机构外,大多数银行并不具备如此强大的资金与技术实力。不仅如此,这种占据银行机构内部大量资源的做法还可能造成银行精力的分散,使之无法集中于核心业务的经营与处理之上,从而阻碍其服务品质的提高。有鉴于此,许多银行为了控制成本,获取必要的专业技术支持,扩展客户产品的营销渠道以及改善服务质量,往往会选择将原本由银行内部实现的一部分网上银行业务功能外包给一个或多个技术服务供应商(TSPs),如硬件软件销售商、电信公司、专家公司和其他支持性经营者等,利用这些外包商所提供的服务来支持网上银行业务系统的运转。可见,通过寻求外部支持已成为许多银行机构节约成本、提高其核心竞争力的一项重大战略选择。也正因为如此,伴随着电子银行业务的兴起和蓬勃发展,与之相关的外包活动也日益频繁起来。
尽管外包关系的建立具有一定的经济合理性与必要性,但它给银行机构带来的各种特殊风险依然不可小觑,而在互联网环境下,这些风险更是呈现出加重和扩大的趋势。
总体看来,外包关系所带来的风险大多源于两个方面:一是银行的规划不合理或监督与控制不力;二是第三方外包商的执行或服务不达标。
就银行而言,在做出网上银行业务之提供是否需要借助外部第三方力量的决定之前,若没有进行充分的风险评估、成本收益分析、目标兼容性调查及合法性与可行性研究,若未能采用针对第三方外包活动的适当风险管理机制与监督措施,若尚不具备实施监督所必需的足够的专业技术能力与经验,则极容易产生战略性风险。
而从外包商的角度看,这些提供技术支持与服务的供应商或销售商在网上银行业务活动中通常是作为第三方出现的,不受管制的他们对网上银行业务活动的介入无疑会对银行机构的整体风险状况产生重大影响,给银行机构带来额外的不稳定因素。例如,银行可能由于外包商的不当或不法行为,如提供劣质服务、发生服务中断、实施不适当推销、违反信息安全操作规程、违反客户隐私保护政策、违反消费者保护法等而被迫陷入诉讼,不但法律风险陡增,还可能遭受财产与信誉损失。尤其是当外包安排中需要外包商的职员直接同银行客户打交道时,银行因外包商的产品或服务不符合银行所制订的政策与标准而遭到信誉损失的可能性更可能大大增加。为此,银行对外包商所提供之产品与服务的品质与适当性进行密切监测实为必要。
电子银行业务中日益突出的外包风险较之传统银行业务环境下更加突出、复杂和严重,更易迅速传递和扩散,对银行机构的安全与稳健也具有更深刻的影响和更大的破坏性。在电子银行业务最为发达的美国,就曾发生这样一起因外包安排而致使银行遭受风险的案例。当时,虽然只是一家美国的主机公司(hostingcompany)受到电脑高手袭击,但却有超过300家银行因此而受到损害。[1]电子银行业务环境下外包风险的巨大冲击力可见一斑。
如果银行机构所利用的服务供应商位于另一个国家,则可能带来更为复杂的跨境外包风险。这种因利用外国服务供应商而造成的风险既可能是因外国外包商不受银行机构及其监管机关有效监控而产生的操作风险,也可能是因有关外包活动违反他国法律法规而引发的法律风险,甚至还可能是因外包商所在国的经济、社会或政治等因素致使其无法履约而带来的国家风险等。
有鉴于此,关注第三方或外包商所带来的各种风险,尤其是其中的战略风险、操作风险、法律风险与信誉风险,重新评价现有银行业管制框架的有效性,并在第三方介入有关服务提供的情况下采取相应措施对外包关系及其风险加以有效管理十分必要。
电子银行业务外包风险管理的国际经验
为应对日益突出的电子银行业务外包风险,有关国家与地区的监管当局以及一些重要的国际金融组织都纷纷着手研究外包活动及其风险的特殊性,探索对其实施有效管理与监控的基本原则与方法。企业家天地第11期中旬刊管理Management有关国家和地区监管当局确立的主要原则与方法。
美国的实践。以美国为例,在美国的电子银行业务发展实践中,大多数银行都不愿自己进行技术设计和网络系统的安装与维护,而是选择将这些工作外包出去。由于大量外包活动所带来的风险很可能危及银行机构的整体安全与稳健,负责银行业机构监管的各个监管机构都意识到了这一问题的严重性,因而在对各种电子银行业务风险进行监管时特别重视外包风险的管理和控制。
这些美国银行监管机构曾在多部监管文件中确立了有关电子银行外包风险管理的指南。例如,货币监理署(简称OCC)于发布的《网上银行业务―――监理手册》(简称《监理手册》)就曾概括性地强调,银行机构应加强对网上银行业务外包之相关风险的控制。它明确要求:银行应定期对其技术支持来源进行重新评估;应将技术提供者的技术服务同银行自身战略计划程序相结合;银行机构在选择合作之供应商时应谨慎行事,事前签定正式协议明确双方权利义务;银行还应监督供应商的经营状况、财务状况、该供应商所具备之技术是否能与不断更新的技术保持一致以及是否具备良好的内部管理等等。[2]
除《监理手册》外,联邦金融机构审查理事会(FFIEC)于11月发布的《外包技术服务风险管理指南》,OCC于月发布的《第三方关系:风险管理原则》,以及FFIEC于8月发布的《电子银行业务:信息技术审查手册》等监管文件都就管理外包风险制订了专门规则。根据这些文件,要有效防范和控制外包风险,银行机构需要做到如下几点:其一,慎重选择合格的服务供应商,即要求银行在选择新的服务供应商时保持有效的合理谨慎,考虑其财务状况、经验、专业技能、技术兼容性以及客户满意度;其二,重视以书面合同形式明定各方权利、义务与责任,即要求银行与供应商签订书面合同,并在其中载明囊括保护银行数据的隐私与安全,银行对数据的所有权,审查安全与控制的权利,监测服务质量的能力,限制银行对服务供应商的行为可能承担的责任,以及终止合同等方面内容的具体条款;其三,依合理程序对供应商实施持续监测,即要求银行具备一套监测销售商的业绩表现、服务质量、安全控制、财务状况和守约情况的适当程序;其四,对包括事故反应与通知在内的报告和预测进行监测。[3]
新加坡的实践。在新加坡,对发展电子银行业务所带来的各种加重的风险,新加坡货币局(MAS)给予了高度重视。在MAS看来,更适当的做法应该是基于各银行具体情形和战略的不同采用以风险为本的监管方法(arisk-basedsupervisoryap-proach)。206月,MAS发布了最新的《网上银行业务技术风险管理指引》,要求各银行切实遵行。该指引涵盖的内容十分全面,其中尤值一提的是,它为银行的外包活动及其管理确立了具体指南。MAS认为,银行将其有关经营操作外包给第三方并不会消除或减轻银行机构所承担的职责与责任。它强调,银行有责任确保其服务供应商的营业水平以及他们所提供的服务的可靠性与安全性达到银行网上银行业务所要求的水平。
针对如何管理外包风险的问题,该指引提出了以下三点具体要求:第一,要求银行董事会与高级管理层充分认识将其网上银行业务操作外包出去所产生的相关风险。具体说来,在将有关活动委托或承包给某个外部服务供应商之前,银行应当合理审慎地确定此种安排的可行性以及外包商的素质能力、可靠性、历史记录和财务状况等;并应以书面协议的形式细致和恰当地写明有关合同各方当事人的地位、关系、义务与责任的具体合同条件与条款。第二,要求银行遵守有关管制、审计或守法要求,切实实施审查或评估。具体而言,就是应当要求服务供应商向银行指定的所有当事方提供利用银行系统、业务、文件及设施的服务;不仅如此,银行与服务供应商还应在其所订协议中承认管制机关依《银行业法》所拥有的对服务供应商的地位、职责、义务、功能、系统和设施实施检查、监督或审查的权力。第三,要求银行和服务供应商遵守《银行业法》中关于银行业的保密要求。换言之,银行同服务供应商之间的合同与安全应当满足保护客户信息机密性的需要,也应符合所有现行法律法规的要求。
针对如何监测外包安排,该指引也做出了相应规定:其一,银行应要求服务供应商执行与其自身操作同样严格的安全政策、程序和控制;银行应定期审查和监测服务供应商的安全做法与程序,如定期取得有关服务供应商操作方面的安全充足性与守法性的专家报告;为监督服务供应商是否持续达到约定的服务水平以及其操作的可行性,还应设立一道监测服务供应商的服务提供、履约可靠性及加工处理能力的程序。其二,随着银行的外包关系日益复杂和重要以及其对外包关系的依赖性日益增强,为确保银行管理层不丢掉其保护银行核心操作与服务的职责,应当采取一种强有力的风险管理方法。
我国香港特区的实践。在香港,较为典型的银行业外包活动主要表现为将原本由认可机构自行提供的`数据处理、客户服务(如热线中心)及后勤支援等业务项目外包给香港或海外的服务供应商。电子银行由于需要借助复杂的信息与网络技术,其所涉及的与技术有关的外包活动愈加普遍。面对银行业外包活动的日趋活跃,香港金融管理局(简称金管局)敏锐地洞察到其中潜藏的各种风险与问题,因而发布了一系列建议性文件,从不同角度提出了对外包活动尤其是外包风险实施监管的原则与指南。
年12月金管局制定的一份以《外判》为标题的文件可适用于所有认可机构的银行业外包活动,这份文件虽然并非专门针对电子银行,但其中载明的一般监管方法及有关技术外包的管控措施等均对电子银行的外包活动具有重要的参考价值。
在《外判》指引中,金管局对认可机构从事的外包活动表达了相当明确的监管态度,即只要认可机构的外包安排具备周详的计划和妥善的管理,且不会导致损害客户利益的情形发生,金管局就不会阻挠。[4]至于怎样才算是具备了“周详的计划”和“妥善的管理”,则须由认可机构在实施其外包计划之前事先同金管局进行商讨。通常,认可机构须使金管局确信其能够做到如下几个方面:第一,认可机构继续保留对外包业务的最终控制权,其董事会与管理层对外包出去的业务负有最终责任;第二,确保在推行外包计划前后对外包安排实施全面持续的风险评估,并对有关风险进行妥善处理;第三,确保选定服务供应商之前已对其进行严格调查,选定之后又具备持续监察服务供应商的适当管控措施;第四,确保签定的外包协议内容明确详尽,并对该协议进行定期审查和评估;第五,确保外包安排中有关客户资料的保密性;第六,确保具有有效的外包安排管控程序及应变计划;第七,确保审查与审计所必需之外包信息的取用不受影响;第八,确保对跨国外包活动中风险的可控性;等等。
除对一般外包活动确定指南外,金管局还通过后来发布的《科技风险管理的一般原则》和《电子银行的监管》确定了网上银行技术外包监管中需采取的一些特殊管控措施。例如,在选择适当的技术服务供应商时,应注意所选的供应商须具备足够的资源与专业知识,能够遵守认可机构信息技术管控政策的实质内容;而在将关键技术服务(如数据中心操作)外包的情况下,认可机构还应详细评估技术服务供应商的信息技术管理环境,且该评估最好由独立于服务供应商以外的一方做出,独立评估报告应清楚列明评估的目的、范围及结果,并提交金管局以供参考。
在同服务供应商签订外包协议时,金管局强调:首先,应清楚载明技术服务供应商的履行标准、明确有关软硬件的所有权及服务供应商须承担的其他责任。如技术服务供应商应确保其职员或代理人对取得的认可机构的信息严格保密,以及遵守认可机构有关信息技术的管控政策与程序等。其次,鉴于技术服务供应商可能进一步将有关服务分包给其他方负责,认可机构应考虑在协议中增加一项约定,即技术服务供应商对有关服务的重大部分实施分包时,必须向认可机构发出通知或获得后者的核准,而且此时原技术服务供应商仍须就分包出去的服务负责。
在外包安排存续期间,为了对外包活动实施持续充分的监管和控制,除进行定期监察外,认可机构还应进行年度评估,以确保重要的技术服务供应商受到充分的信息技术管控。不仅如此,为了避免因未能预见的技术服务供应商问题(如服务供应商财务状况恶化而无力偿债,或因其他困难而无法继续提供有关服务和支持等)而导致有关银行业服务无法使用,认可机构还应就已外包的关键技术服务制定必要的应变计划,包括制订退出管理计划及物色额外或候补的技术服务供应商等。[5]此外,为了防止外包风险过于集中,做出技术外包安排的认可机构应尽量避免过度依赖单一的外部服务供应商提供关键的技术服务。
在电子银行外包活动中,除技术外包外,认可机构还可能通过外聘技术服务供应商的方式来提供与技术有关的支持与服务。对于这些外聘活动所引发的风险和问题,金管局指出,“认可机构应制定有关如何管理各类主要外聘科技服务供应商的指引。”而此种指引也应包括拣选服务供应商的程序,核准重大例外情况的程序,以及避免过度依赖单一技术服务供应商提供关键技术服务等主要内容。重要国际组织确立的指导性原则。一些国际金融组织也就外包风险及其管理问题展开了有益探索,并提炼总结出了对各国金融监管当局均颇具参考价值的重要经验。例如,为了指导和协助银行等金融机构及其监管者们有效地解决外包问题以及防范和控制外包风险,由巴塞尔银行监管委员会、国际证券委员会组织、国际保险监管协会组成的联合论坛就于2月共同发布了可普遍适用于银行、保险以及证券行业的受监管金融机构及外包服务商的题为《金融服务的外包》的最新指导性文件。[6]
该文件提出了9项高级原则:1、实施业务外包的受监管实体应具备一套全面的政策,以便对关于是否及如何适当开展外包活动的评估工作进行指导。董事会或相应机构不仅要对其外包政策负责,而且还要对根据该政策实施的活动承担有关责任;2、受监管实体应制订一套全面的外包风险管理计划,以管理外包活动及处理其同服务供应商的关系;3、受监管实体应确保有关外包安排不会削弱其向客户及监管者履行义务的能力以及不妨碍监管者的有效监管;4、受监管实体在选择第三方服务供应商时应保持合理审慎;5、应以书面合同确定外包关系,合同中应清楚载明外包安排的所有实质性问题,包括各方当事人的权利、义务与预期;6、受监管实体及其服务供应商应制订和保留包括灾难恢复计划和定期检测备份设施在内的应急计划;7、受监管实体应采取适当措施要求服务供应商保护受监管实体及其客户的机密信息,以防有关信息被有意无意地披露给未经授权者;8、监管者应将外包活动作为其持续评估受监管实体时的组成部分。监管者应通过适当方法使自己确信有关外包安排不会导致受监管实体无法满足其法定要求;9、监管者应认识到多个受监管实体将业务活动集中外包给少量服务供应商可能带来的潜在风险。概括说来,在这些关于金融服务外包活动的原则之中,前七项涉及的是实施外包的受监管实体的责任问题,后两项则涉及的是监管者的作用与职责问题。
国际经验对我国内地电子银行业务外包风险管理的启示
就我国内地电子银行发展的实践来看,外包活动尤其是技术外包已逐渐进入人们的视野。,深圳发展银行和高阳公司签订了为期的灾难备援外包服务合同,成为内地首个银行IT系统外包合同。[7]前不久,国家开发银行又与惠普公司签订了首份战略性IT外包服务合同。[8]在我国,技术外包对那些不具备专业技术力量的中小银行具有相当大的吸引力,因为只要通过适当的外包安排,中小银行在电子银行业务领域占有一席之地的可能性就会大大提高。不仅如此,外包作为一种优化企业资源配置的战略也越来越得到银行业界的认同。可见,外包在内地具有良好的市场前景。
外包活动的日趋频繁及其带来的各种风险需要我国内地的银行业监管机构密切关注银行业的外包实践,制订和完善相应监管制度,将外包风险纳入电子银行业务的审慎监管框架。而诸如巴塞尔委员会发布的《电子银行业务风险管理原则》与《金融服务的外包》指南,美国货币监理署发布的《监理手册》及其它关于外包风险管理专门文件,以及香港金管局出台的《外判》、《科技风险管理的一般原则》及《电子银行的监管》等,对于我国内地有关监管制度的确立显然具有重大的启示意义。事实上,在我国内地电子银行业务监管法制的建设实践中,也的确充分借鉴和参考了这些重要文件中蕴含的国际经验与原则。
近些年来,我国内地相关部门因应电子银行业务实践的发展而不断制订和出台一系列监管规则,目前已然初步确立起了电子银行业务及其风险监管的整体框架。综观现行监管法律制度,大致由两个方面内容构成:一是那些可同样适用于新型电子银行业务的传统监管制度中的有关规定,主要指2月1日起施行的《中华人民共和国中国人民银行法(修正案)》、《中华人民共和国商业银行法(修正案)》和《中华人民共和国银行业监督管理法》,以及经11月11日修订后于同年12月11日正式施行的《外资银行管理条例》及其《实施细则》等;二是新制订的电子银行业务专门性监管规章,目前主要指由中国人民银行于月发布的《电子支付指引(第一号)》(简称《指引》),由中国银行业监督管理委员会(简称银监会)于201月26日颁布并于年3月1日起施行的《电子银行业务管理办法》(简称《管理办法》)、《电子银行安全评估指引》(简称《评估指引》)以及《电子银行安全评估机构业务资格认定工作规程》(简称《工作规程》)等。
起初,我国银行监管部门中对于电子银行业务的外包风险并未给予足够重视,因而在中国人民银行2001年制订的《网上银行业务管理暂行办法》(简称《暂行办法》)之中尚未有所涉及。但随着电子银行业务外包实践的发展,外包风险的日渐突显,以及国际社会相关监管经验的不断丰富,2006年银监会制定的《管理办法》就弥补了过去《暂行办法》在这方面的缺憾和不足,专设一章规定了电子银行业务外包和选择外包方的基本要求以及对外包风险的管理原则,将外包风险真正纳入了电子银行审慎监管框架之中。
具体而言,对于因外包活动而产生的各种风险,《管理办法》所确立的防范与管理原则主要包括:其一,确定合理的外包及外包风险控制战略,即合理确定外包的原则与范围,评估外包风险,建立健全规章制度,制定风险防范措施,将外包风险纳入总体安全策略中;其二,谨慎选择外包服务供应商,即应尽职调查和充分审查、评估外包供应商的状况与能力;其三,签订书面合同,明晰双方权利义务,规定外包服务供应商的保密义务与责任;其四,建立完整的外包风险评估与监测程序,审慎管理外包风险;其五,建立针对外包风险的应急计划及保证外包服务的应急预案;其六,对涉及机密数据管理与传递环节的重大系统进行外包时应经过金融机构董事会或法人代表批准,并在外包前向中国银监会报告。
与《暂行办法》相比,这可以说是个重大进步,但其内容上的局限性仍然十分明显,原则性有余操作性不足的问题依然存在。对此,笔者认为,今后银监会应继续关注国际社会有关外包风险管理原则的最新发展,并结合本国电子银行业务外包实务的特点和需要适时推出更为详尽、全面的电子银行业务外包管理指南以及更具操作性的外包风险管理实施细则
摘要:因特网的出现给银行提供了一个前所未有的超越现存国界的机遇,国际银行业的面貌由此发生了翻天覆地的革命性变化。越来越多的国际银行开始关注和瞄准电子银行业务,并试图涉险进入和占领电子商务的新领域。受网络技术变革、金融监管自由化和不确定的法律、规制环境等多种因素的综合影响,电子银行业务给银行风险控制方面带来了挑战。
关键词:电子银行;风险控制;国际银行;因特网
Abstract: The emergence of the Internet to the bank to provide an unprecedented opportunity to go beyond existing boundaries, the international outlook of the banking sector which has undergone earth-shaking revolutionary change. More and more international banks began to pay attention and aim at the e-banking business, and tried to enter the Risk and occupation of new areas of e-commerce. By the network of technological change, liberalization of financial supervision and legal uncertainty, environmental regulations and other factors, e-banking business to Bank of risk control challenges.
Key words: electronic banking; risk control; International Bank; Internet
前言
国际电子银行业务游戏规则的权威制定机构?巴塞尔银行监管委员会电子银行小组(EBG)于2010月发布了《银行监管人面临的电子银行业务风险管理问题》的白皮书。本文试图以此为参照物,探讨、分析电子银行业务的风险及其控制问题,以期对我国银行发展电子银行业务有所启发。
一、风险分析
EBG将电子银行的基本风险划分为两大类:一类是电子银行发展带来的新风险,另一类是电子银行本身具有的传统性银行风险。
1、战略和经营风险
战略和经营风险是指经营决策错误、决策执行不当或对行业变化束手无策,对银行的收益或资本形成现实和长远的影响。战略风险是银行开展电子银行业务时面临的最重大的风险之一。战略风险在属性上更加普遍和宽泛。银行董事会和执行管理层所采取的战略决策都会对其他风险种类产生影响。如果银行战略的规划和执行出现无效或不当,飞速的技术变革,激烈的同业竞争和该战略的性质都会暴露出银行的巨大风险。类似的,如果管理层采取一种过于谨慎的技术跟踪战略也将使银行在一个饱和的市场或迅速巩固的市场中没有丝毫的立足之地。
2、运作风险
运作风险是一种系统技术风险。由于电子银行对技术的高度依赖性,使运作风险成为最重大的风险之一。运作风险来源于以下六个方面:一是技术框架的合理性。如果电子银行系统不能将多种业务系统进行适当的整合,那么银行将由于交易处理发生的错误而暴露出重大的运作风险问题。二是系统安全性。开放的电子递送渠道使银行暴露在新的安全风险之下,形成了新的安全风险问题。三是数据完整性。数据完整性是系统安全的一个重要组成部分。如果银行没有建立一个有效的控制程序,数据在传递和接受过程中就可能发生遗失或转换变形,造成数据不完整。四是系统的有效性。如果银行没有制定一个有效的运行持续性和事故应急计划,系统的超负荷运行和损耗就可能影响银行准确、可靠、一贯地提供适当配套的产品和服务,引起潜在的重大声誉风险。五是内部控制和内部审计。如果银行不具备充分到位的内部控制措施,并且这些控制措施不能得到独立审计的话,那么银行就不能有效防范来自内外部的欺诈行为。六是业务外包。很多银行机构过于依赖少数几个外包商,这种对少数外包商的集中依赖性可能会产生系统性影响。其次,很多技术外包商缺乏银行环境中所要求的控制知识。再次,业务外包也可以引起与风险敞口相关的附加隐私权保护问题。
3、声誉风险
声誉风险是指负面的公众观点对银行收益和资本所产生的现实和长远的影响。阻碍电子银行递送渠道有效性的任何负面发展都可能影响银行的声誉。提供一个能够支持电子银行业的可依赖的网络能力是至关重要的。如果因特网银行业务运作不善;如果银行不能在一个一致的基础上提供可靠、准确而及时的电子银行服务;如果银行不能及时回复客户通过E?AIL发布的查询,不能提供适当的信息披露或是侵犯了客户的隐私权,银行的声誉都可能招致负面影响。银行网址上的重大安全缺陷会削弱客户或市场对银行提供适当的管理因特网交易能力的信心。
4、法律风险
电子银行业务产生的法律风险是另一个需要关注的风险问题。目前,各国政府对电子银行和网上交易的法律法规多不清晰,有很多含糊之处,并且缺乏专门规范电子银行的有关法律法规,各国现行的法律和规制框架又存在许多冲突。通过因特网与客户发展关系的一国银行可能并不熟悉另一些国家特定的银行法律和客户保护法律,由此增加了法律风险。
未经授权使用或滥用在因特网上收集到的数据是另一种潜在的法律风险来源。未得到授权的个人能够对银行和外包商拥有的客户“数据仓库”进行攻击或渗透。譬如,黑客或其他人可能渗透到银行或外包商的数据库里去,或者建立他们自己的数据库,使用客户信息进行欺诈犯罪活动。得到授权的人员也可能蓄意地滥用数据,这些都会给银行带来法律风险。
5、信用风险
信用风险是指,由于债务人未能按照与银行所签合同条款或约定行事,而对银行收益或资本造成的风险。银行机构的信用风险可以受到电子银行业务的多方面影响。因特网递送渠道的使用可以使银行特别是小银行迅速扩展,而这会导致资产质量的提高,增加了内部控制风险。因特网的使用也扩展了银行的地域范围,超越了传统的经营地区,这也增加了对当地市场动态和风险了解的难度,必须核实区域外借款人的担保并完善担保留置权。另外,因特网也使得银行难于鉴别一个潜在客户的身份和可信度。而客户的身份和可信度是合理的信用决策的必要组成部分。
6、流动性风险
流动性风险是指银行在其所作承诺到期时,不承担难以接受的损失就无法履行这些承诺,从而对银行收益或资本造成的风险。在因特网上,信息和谎言的流动速度之快可以对银行的流动性风险产生影响。
7、市场风险
市场风险是指因金融市场需求变动而带来的风险。近来网上证券发行和交易的发展对银行市场风险产生的影响是错综复杂的。从市场观点看,一方面网上证券交易量的增加会导致动荡性增加,另一方面也导致了流动性的增加。从单个银行的观点看,如果银行开展或扩大由网上银行所带来的存款经纪、贷款销售或证券化业务,他们就可能增加市场风险。
8、外汇风险
当一笔贷款或贷款组合以外汇计价或以借入外汇作为资金来源,外汇风险就会产生。如果银行接受了外国客户的存款或开立了外币账户,银行就会面临外汇风险。因特网使银行有扩展业务地域范围的机会,开展电子银行业务带来的外汇风险程度就会比开展传统业务带来的风险程度大得多。
二、风险控制
尽管与电子银行相关的上述基本风险种类并不是新的,但这些风险产生的特定方式以及影响程度对于银行管理层和监管人来说却是全新的。与传统银行风险相比,电子银行所承担的风险将更加巨大。针对上述电子银行风险,可考虑采取以下控制策略:
1、建立良好的公司治理结构
因为良好的公司治理机制是银行做出正确战略的平台。银行要取得因特网战略和经营的成功,必须要有一个健全、有效的公司治理结构,龙其是需要一个健康的董事会。董事会如同银行的大脑,大脑不健康,网上战略和经营无从谈起。而这一点恰恰是我国尤其是国有银行所缺乏的。银行应当具备一种严密的分析程序来识别、衡量、监督和控制电子银行风险。对电子银行风险的管理和控制包含“规划→实施→衡量”等基本环节。在这些环节上,需要银行组织中的不同角色去完成。首先,风险规划由银行董事会负责。董事会应当对会给银行风险管理产生重大影响的有关电子银行技术项目进行研究、批准和监督,并确定有关技术和产品是否同银行战略目标相一致,是否能满足市场需求,是否能够维持该行的竞争能力和赢利能力。其次,技术实施由经理层负责。这就要求经理层具备相关的技能以有效评估电子银行技术和产品为银行选择合适的组合,并确保选定的技术安装正确。再次,衡量和监控风险由监督系统负责。监督系统应该具备相关技能以有效识别、衡量、监督和控制涉及电子银行的风险。董事会应当收到关于所用技术、所定风险及如何管理这些风险的定期报告。作为设计程序的一个部分,电子银行系统中包含有效的质量保证和审计程序。由审计人员对电子银行技术和产品进行独立评估有助于董事会和高级管理层完成自己的责任。
2、设计和执行与电子银行风险相适应的内部控制系统
电子银行改变了传统银行的内部控制、岗位分工和明晰的审计轨迹,使银行在经营和审计方面都极为缺乏专门的技术和技能。银行机构必须具有充分到位的控制措施,由独立的审计部门对内部控制系统作定期的测试和评估。电子银行内部控制系统的目标应包含:技术规划与战略目标的一致性;数据的可用性;数据的完整性;对数据保密和对隐私的保护措施;管理信息系统的可靠性。
电子银行内部控制系统的要素包括三方面:一是内部会计控制,用来保障以资金记录的资产及其可靠性。二是运营控制,用来保障业务目标的实现。三是管理控制,用来保障运营效率的执行政策与程序。这三个要素体现在以下三个层次:一是预防性控制;二是侦测控制;三是纠正控制。
3、保障电子银行系统安全的措施
EBG的调查表明,多数银行都把安全风险看作是与电子银行相关的一个主要风险。安全性始终是电子银行系统中的一个重要问题,而要使电子银行安全运作,还得使用技术的方法来解决因技术带来的问题。保障电子银行系统安全可采取
防火墙、编码技术、授权证明人等技术措施。
4、注重电子银行系统的有效性和持续可用性
除了确保一个安全的开展电子银行业务的内部网络之外,制定有效的容量规划也是确保电子银行产品和服务持续有效性的关键所在。为了有效地进行竞争,避免由于系统损耗引起的潜在的重大声誉风险,开展电子银行服务的银行必须准确、可靠、一贯地提供适当配套的产品和服务。这些因素表明,制定一个有效的运营持续性、防御及事故反应计划是极其重要的。而且,委托外部开发系统的趋势也使银行有必要确保外部服务提供商的类似计划必须到位,并定期检测其有效性。
5、保持对技术外包进行评估和监控的能力
银行要定期对其技术支持来源进行重新评估,以确定已有的方案是否继续适合其业务发展,是否有足够的弹性来满足预期的将来需要。
6、声誉和法律风险控制方面
为防止出现可能导致银行声誉受损的负面情况,银行机构应当发展和监督电子银行业务的运行标准。保护银行声誉的其他重要手段还有定期审查和测试经营持续性、抵御和事故反映计划以及沟通战略。
7、其他的传统银行风险管理方面
银行应当实行合理的信用保险政策、信用监督和管理行为准则。要根据电子银行业务量大小,加强对客户存款和贷款的流动性以及变化情况的监控,同时也需要对电子银行业务对市场动荡性的影响效果进行监控
银行信贷管理目标与风险控制探讨论文
摘要:本文首先分析了我国银行信贷的现状,其次分析了我国银行信贷风险出现的影响因素,最后针对以上问题提出了信贷行业风险的解决措施。
关键词:银行;信贷管理;风险控制
随着经济的发展以及金融行业竞争的日益激烈,虽然银行在业务方面有相当大程度的转型和升级,但从盈利角度来讲银行业的收入主要来源仍在于信贷。但是近年来我国的经济形势略有波动,随着竞争的加剧以及金融风险的提升,银行的风险和核心内容开始转向于信贷风险管理。面临当前的经济形势,我国学术界领域也给出了相关的研究,近年来衍生出许多关于控制信贷风险的理论和方法论,对控制信贷风险具有很大的指导性意义。
一、我国银行信贷现状
(一)我国银行信贷区域发展状况分布
由最新的统计数据表明,我国银行信贷地域分布主要存在一下几个特点:首先,银行信贷主要分布于沿海城市以及北方工业发达城市,中西部地域借贷率和借贷数额较低。其次,近年来我国银行信贷相关格局变化不大,仍然是以上区域比例居高,中西部比例较低,存在严重的地域不平衡。
(二)我国银行信贷产业分布
由银行内部对一二三产业信贷的统计数据表明,我国各银行信贷集中投放于资金周转率较高且利润较高、行业信誉高的行业,例如交通运输、电力、道路工程、国企投资项目等等,这些行业是我国的龙头产业,资金需求量很大并且受到政府的支持信誉很高。从一二三产业的分布来看,信贷集中于二三产业,近年来有向第三产业转移的.趋势,第一产业信贷率较低。总体的行业分布格局平稳过渡,基本比较稳定。
(三)我国银行信贷规模结构
信贷规模和信贷产业布局成为正相关,我国银行信贷部门偏向借贷给二三产业中信誉度高的企业,这些企业大部分是国有企业。但是由于受到我国目前的经济形势影响,我们发现银行信贷的大客户近年来受到经济形势波动的影响,均存在着资金回笼不足、还款率较低的现象。
二、我国银行信贷风险出现的影响因素
(一)货币流动性
银行贷款能力取决于存贷比,其直接反映出我国银行资金在贷款方面的比重。从银行信贷风险控制角度来讲,商业银行存贷款比重不能高于75%,否则会出现的信贷风险隐患,从而影响到银行本身。其次,信贷率如果在50%周围波动,则表明银行部门有一半的资金是闲置的,这时银行会存在相关的亏损风险隐患。因此我国各大银行普遍将信贷比率控制在70%左右。但近年来由于衍生金融工具的激增,其借贷利息率普遍比银行低,银行业受到同行的冲击,其信贷业务量有下降的趋势。银行内部货币流通性下降则会导致银行亏损,为银行业带来相关隐患。
(二)不良贷款率
不良贷款率过高,资金不能够按时回笼甚至坏账现象出现、资金无法回笼都会导致银行信贷风险上升。随着我国对外开放进程日益加快,国内各大产业均受到外国相关产业同行的竞争影响,其利润率有所下降。因此银行应当辨明形式,及时对贷款方向进行调整,从而减少自身的不良贷款。(三)利润率我国四大国有银行虽然规模雄厚,但是受到近几年经济形势的影响,其资产的收益率不容乐观。拿四大国有银行和国际标准相对比,我国四大国有银行的收益情况、业务覆盖率等指标额和国际标准还相差较大。从中西方对比表明,我国四大国有银行和西方商业银行在盈利能力和发展模式上还尚有较大差距。
三、我国信贷行业风险的解决措施
(一)提高相关人员的培训率、提高入职门槛
银行信贷风险控制一定意义上讲和相关人员的风险敏感度有关,健全的风险控制机构必须强调环境依赖、过程导向及组织结构对风险因素的反应能力与敏感性。因此银行部门应当在相关人员入职时进行把关,录用高素质、专业知识较为丰富的人才,此外还应当提高从业部门人员的培训率,通过再教育来提高人员的风险敏感度和风险认知,最终使组织中的所有人都要主动积极思考问题。
(二)增强上下级之间的组织协调性
各银行的信贷风险控制政策是根据国家统一政策和银行内部实际情况而制定的,符合银行未来的发展诉求,它主要包括人员的纪律约束、银行控制风险的偏好与理念。因此,银行需要增强上下级各部门间对银行风险控制政策的认知程度,从而确保测量、控制、数据的高度一致性。
(三)建立健全的延时付酬及业绩考评机制
由于银行信贷损失和风险是滞后于实际的账面操作的,所以信贷决策部门的预测正确与否直接关系银行是否盈利,而绩效考核和相关人员的利益是直接挂钩的,所以为了提高相关人员的专业素养和预测准确性以及业务的严谨度,银行业应当科学规范信贷人员和信贷决策部门的绩效考核标准,从而通过科学的奖惩措施来减少认为判断的失误性和不确切性,通过人员把关来降低银行借贷的风险。
四、总结
随着近年来我国经济形势的波动以及当前我国对外开放程度的提高和人民币国际化进程的加快,我国金融行业受到一定程度的冲击,主要表现为银行盈利水平下降等。本文从商业银行经营学的角度,结合相关的经济形式,由影响金融信贷的因素入手,提出了相关的解决措施,希望本文能够给各大银行一定启发,也希望此文能够引发出更多关于我国银行信贷管理与风险控制的实用型方法和理论。
参考文献:
[1]唐敏,方俊芝.邮储银行设立基金管理公司的思考.(15).
[2]高志军,刘伟.物流服务供应链风险管理模型研究.(09).
[3]胡明远.农村信用社信贷管理电子化的设计与实现.2011.
中国在加入WTO之后,国内企业面临的是前所未有的机遇与挑战。
今天中国企业界,科技进步、信息爆炸以及全球化为企业带来了种种便利和商机,但同时也迎来了国外强劲的竞争对手。
为企业的营销活动带来了很多风险。
营销风险管理逐步成为营销学者们研究的一个热点。
由于企业市场营销活动的环境具有复杂多变的特点,如何进行有效的营销决策及风险预防,对企业更好更快的发展起着至关重要的作用。
1 国内外风险研究现状
1.1 国外。
关于风险管理,有的学者是这样定义的,风险管理是一种通过对风险的识别衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学方法。
风险管理既是一门艺术也是一门科学,它提供系统的识别和衡量企业所面临的损失风险的知识,以及对付这些风险的方法。
通过查找国外文献,可将国外风险管理研究大致分为三个阶段:第一阶段,1930年至1970年代前,以客观实体派为主;第二阶段,1970年后至1990年前,现代企业风险管理的形成转折点;第三阶段:1990年代至今,财务性风险管理又迈向新的里程。
1.2 国内。
我国大陆对企业风险管理的研究始于20世纪80年代。
1980年代中期,旅美华人着名学者段开龄博士应我国教育部邀请,正式将风险管理知识引进中国内地。
武汉大学与上海财经大学率先开授风险管理课程。
自此,中国内地的风险管理发展开始萌芽并发展起来[1]。
而在专着上,国外的专着始于80年代初,国内的专着见于90年代初,之后才大量出现。
这些专着研究和介绍风险管理的基本概念、原理和方法,有的将风险管理与风险投资、保险、银行管理、项目管理、外贸管理、企业经营管理等结合起来进行研究和讨论。
2 我国市场营销存在哪些风险
2.1 外部环境复杂多变。
企业营销活动离不开它的外界环境,企业营销环境的变化会给公司的营销活动带来不同程度的影响,有时这种影响会造成企业的营销危机。
由于营销宏观环境和微观环境都相当复杂,且处于一种动态变化之中,因而这些复杂环境的不规则变动就必然存在许多不确定性,会给营销活动带来风险。
如面对技术创新加快的环境,一些企业产品不能及时更新换代,遭受被市场淘汰的风险。
海洋中的狂风巨浪制造了无数悲剧,使今天的人们仍然记忆犹新。
自然灾害不但会毁坏人们的居所,对于企业来说,更是毁坏生产资料和产品的最大威胁。
洪水、地震等会瞬间摧毁整个企业。
另外,企业的营销活动离不开的政治、经济环境,国内政局、国家间的外交与贸易、国家的宏观经济政策等因素一旦发生变化,也必然会给企业带来深远的影响,从而带来企业营销活动的风险。
[2]而中国加入WTO之后,相关行业不再受到国家相关政策的保护及支持,自由经济区域和新出台的政策等都为国外公司进入中国市场创造了新的机会,这些都会导致营销风险的发生。
国内市场国际化,国际市场国内化的趋势更加明显,企业竞争的激烈程度趋强,这些都加剧了营销风险出现的频率。
面临着经济的信息化、网络化、知识化浪潮,面临着从法律到经济体制、到政府职能、到企业体制,到企业规模、品牌规模、对WTO的.不熟悉不适应。
而发达国家的企业应付以上局势的时间、经验、能力、手段比我们强得多。
这无疑给我国广大企业增加了巨大压力,使我国企业的风险急增。
2.2 需求变化迅速。
市场需求是企业经营的出发点和归宿。
时代的发展、大众知识水平的提高和激烈的竞争带给市场越来越多的产品,消费者价值观念也随之发生了显着变化。
随着人们生活水平的不断提高,消费者对产品的性能和质量以及对销售服务的要求都越来越高,并且随着市场环境的变化,出现了较大差异和随机性,个性化消费逐步兴起,这必然影响到了企业的营销活动,相应的营销风险也呈现增大趋势。
为了适应和满足消费者的需求,企业必须使用所能够想到的各种营销手段和策略达到自身的目标。
在此过程中,企业作为盈利性组织必然面临各种各样的营销风险。
2.3 营销人员自身问题。
营销人员由于自身素质、责任心等原因,在工作质量上出现问题,会给企业带来风险和损失。
营销人员主观上的疏忽与过失,也会增加营销风险事故发生的机会或扩大损失程度,例如优秀即营销人员的责任心和工作质量问题所带来的风险和损失。
如某一知名企业的部分销售人员在成功地开发一目标市场后,与企业讨价还价,并威胁说,如不答应其条件,就把客户拉到该企业的竞争对手那里去,该企业为了浅谈市场营销风险管理。
由于市场营销环境的复杂多变与参与营销活动的行为者不确定因素造成市场营销活动负面影响,降低了企业的市场利润,因此,将市场营销风险管理方法引入市场的营销活动中,有着非常积极的作用。
3 风险控制方法
3.1 做好营销预警管理。
建立预警指标体系,使信息定量化、条理化和可操作化。
不同类型的企业,预警系统的指标体系有所差异,但最重要的是选择敏感指标和主要指标,以便预警指标体系能真正反映企业所面临风险的实际情况。
预警指标体系可以分成两类:一是潜在指标,它主要用于对潜在因素的定量化或对征兆信息的定量化;二是显现指标,它主要用于显现因素的定量化或对现状信息的定量化。
预警准则的设置要把握尺度,如果准则设计过松,则会使得有危险而未能发生警报即造成漏警,从而削弱了预警的作用。
如果准则设置过严则会导致不该发警报时却发出警报导致误警,使企业虚惊一场。
3.2 更新观念,加强营销人员自身能力。
对营销人员在哪些情况下需要主动承担一部分风险损失,规避一些风险损失,哪些风险是营销人员必须承受的,哪些是可以且应当规避的,不能规避是处于成本的考虑还是战略、策略的考虑等等,应当做出正确决策和安排,否则承受或规避不当就会引发新的风险损失,实际所承担的损失就会比预计的要大得多,即会由一种风险导致出新风险,由小风险引出大风险。
要树立“服务营销”思想与“客企关系营销”理念,将成本消耗与市场风险融合在市场与消费者的有机结合之中[3]。
同时,要提高素质。
高素质的人可以正确理解与把握成本与风险的关系,有效消除不利因素而正确决策。
还要加大教育和监督力度,有效控制日常成本甚至因此而引发的诉讼成本与风险。
3.3 增强信用,得到更大的利益。
加强合同管理。
合同是缔约当事人之间为实现一定的经济目的,以法律形式确定双方各自权利和义务关系的一种协议、契约。
合同是商品经济发展的产物,作为商品交换的法律形式,是当前销售活动不可缺少的重要工具,也是营销风险出现的“高发区”;重客户信用调查。
客户是企业交易的对象,也是企业赖以生存发展的基础,客户管理在现代营销中的地位和作用日益重要;货款回收风险防范。
销售的结束以货款回收为标志,回收决定着利润,企业销售商品必须按合同付款方式及时结算和回收货款,以使销售工作能够及时、安全、顺利地进行,保证销售利润的实现。
结束语
市场营销风险是不确定性事件发生、表现和影响于市场参与主体的营销活动和结果的特殊形态。
中国已加入WTO,面对未来的大趋势,,我国必将努力、迅速地溶入世界经济一体化的潮流。
面对西方过节企业的强势,我们要做好准备和风险应对的对策。
尽管我们的市场营销的能力还落后的多,但我们的财力、规模、人才资源更不可同日而语。
在我们前面的风险乃至危机非常严峻。
论文2:浅议营销理念及市场营销模式创新
内部控制与风险管理论文
【摘要】企业在经营活动中不可避免的会遇到不同的风险,除了客观存在的不可控的风险外,大部分的企业风险是可控的,可以通过加强内控制度、规范操作流程来建立较为科学的风险控制体系,同时内部监督的强化也可以规避风险,使风险降低到可承受的程度。
【关键词】企业管理 风险管理 内部控制
一、内部控制与风险管理的定义
企业内部控制是现代企业管理的重要手段,是由企业董事会、管理层及其员工共同实施的,旨在合理保证实现企业战略、经营效果、财务报告、资产评估等基本目标的控制活动,究其本质是保证企业在合理的范围内保证企业基本目标的实现。企业风险管理是一个过程,是由企业董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。《内部控制——整体框架》一书中,提出风险管理的控制要素包括控制环境、风险评估、控制活动、信息和沟通、监督等。由此可知,任何企业所面临的环境都存在较多的不确定因素,气压应该在掌握客观的外部环境的基础上,通过一定的控制方法,制定控制流程和措施,以期能达到实现企业的目标。
二、风险管理与内部控制的内在关系
风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响,并设法把不良影响控制在最低程度。内部控制就是企业内部采取的风险管理,内部控制制度的制定依据主要是由风险甚至完全由风险因素(在某些极端情况下)来决定的.。维护投资者利益、保全企业资产、创造新的价值是内部控制或风险管理的根本作用。作为企业制度组成部分的企业内部控制的目的就是保证会计信息的准确可靠,防止经济欺诈,保护财产安全,同时保护企业名誉,以免造成经济损失等。而在新的技术与市场条件下对内部控制的自然扩展的风险管理来说,内部控制推动了风险管理。
企业内部控制的动力主要来自于对风险的管理,当企业进行风险运营时,内控系统就成为了必要的、高效的、有效的风险管理方法,因此,企业风险管理体系应该达到的状态就是能够满足企业内控系统的要求。换句话说,风险管理是内部控制概念的自然延伸,新技术和市场推动内部控制走向风险管理。总而言之,企业在实际经营过程中,风险管理与内部控制是密不可分的。
三、目前企业面临的主要风险
经济全球化的不断发展和经济的快速增长导致现代化企业面临的风险与日俱增,市场化程度越高,企业风险的表现就越明显,可以说,企业风险是时时在,处处有。
企业风险主要分为外部风险和内部风险,外部风险主要指外部存在的诸多因素,如国家法律、正常变动、市场供求状况或竞争力等。内部风险主要指企业的资源配置、行业地位、业务流程、财务能力以及管理人员的价值取向、岗位职责、激励机制和团队精神等。
四、针对主要风险企业可采取的内控管理措施
无论企业自身发展或和迎接风险与挑战来说,建立健全企业内控制度已成为当下急需解决的问题。企业只有根据实际的经营情况制定科学合理的内部控制制度,同时加以严格执行,才能够达到防范风险的目标。本文所指的内部控制主要包括人、财、物与信息。具体来说,主要包含以下内容:
(一)实施内部控制的原则和要素,确保实现有效的风险管理
企业内部控制的原则是指全面性、重要性、制衡性、适应性。要素主要包括五个方面即内部环境要素(治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化),风险评估要素(目标设定、风险识别、风险分析、风险应付),控制活动要素(不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制),信息与沟通要素(信息质量、沟通制度、信息系统、反舞弊机制),内部监督要素(日常监督、专项监督)等。在实际操作中企业应时刻检视所制定的规章制度、流程、工作要求等是否符合四原则和五要素的内涵,有利于确保风险管理的成效。
(二)加强人力资源管理,完善用人制度
企业在管理时较容易出现缺乏相关制度和流程,人员未严格执行相关制度流程,或人员业务能力、自身素质不高的现象,这将导致提升企业的用人风险。因此充分调动企业人力资源的积极性、主动性和创造性已成为现代企业管理必须解决的问题。首先应该建立严格的招聘程序,把好进口关;其次要定期组织理论和实践培训,把好素质关;最后应制定较为合理科学的奖惩激励机制,把好分配关。
(三)强化财产安全管理,确保企业利润
强化财产管理,即指强化对存货、能源及固定资产的物化管理。存货风险主要指各种原因引起的存货损坏而对企业造成的损失,一旦存货出现危机,那么也将影响企业经营方向或现金的流向。有部分企业对财产物资的内控管理过于宋笋,制度得不到落实,因此造成库存物资的损毁、报废、短缺等情况,致使单位造成比较严重的经济损失。因此要想降低企业风险必须健全物资财产的内部控制管理,应加强定期盘点、账实核对、登记明细、财产保险、监控监管等工作,从而确保财产的安全,促进企业有效经营,以求企业实现更好的发展。其次应严格执行资金授权批准制度,在做好节约资源的基础上,能够有的放矢的运用资金。企业的资金流动主要用于采购、付款、销售、收款等,应制定刚性的管理制度,并要求各职能部门的职权范围和责任,确保能够职工按照相应管理条例予以执行,以保证资金安全。
(四)职工各司其职,完善落实风险管理
企业层面的内部控制国家出台了细分为十八项的规范指引,是对五要素的进一步细化,为企业的规范运作起到了十分详细的指导作用,每个指引明确了风险点,如何控制潜在的风险等,是企业建立内控体系的重点参照内容,也是企业必须坚持执行的规范内容。但是更为重要的是无论是风险管理还是内部控制的实施最主要的是人的执行力,所以企业实施风险防范管理体系的最关键因素是参与意识和全员素质的提高。
旅行社风险管理与控制论文
近年来,随着宏观经济环境的剧烈变化和旅游业的快速发展,旅行社越来越成为高风险行业。旅行社风险,即在旅游业的高度敏感性和旅游产品较强综合性的条件下,旅行社经营的不确定性和发生损失的可能性。由于旅行社对客源市场和服务市场天生具有严重的依赖性,其受外部环境和内部条件的影响比一般企业更加明显,所面临的风险可能性更大,这是旅行社区别于其他企业的显著特征。旅行社风险管理,是为了预防风险的发生,减少风险发生所造成的损失,尽快从损失中恢复正常,在应付风险情景时所采取的管理行为。
一、旅行社经营中面临的主要风险
1、财务风险。旅行社的财务风险主要是指旅行社的应收账款无法按时收回可能造成的坏账损失。
2、市场风险。由于市场具有很大的不确定性,旅行社推出的产品是否能够实现企业利润目标,要由市场检验决定。
3、人身及财产风险。人身及财产风险主要包括旅游者和旅行社企业的人身及财产风险两大类。
4、责任风险。旅游者一旦购买了旅游产品,就与旅行社之间形成契约合同关系,旅行社必须按照合同为旅游者提供相关的服务。
5、金融风险。金融风险是指金融交易过程中因各种不确定性因素而导致损失的可能性。
6、其他风险。是指以上五种风险意外的其他各种因素变化可能给旅行社经营带来的风险。
二、旅行社风险管理的必要性
1、旅游业高度敏感这一特殊产业的客观要求。旅游经济是一种依存性较强的产业经济,其健康发展状况不仅依赖经济社会的发展和人们收入水平的不断提高,而且也取决于安定的国内外政治经济形势,安定的社会治安环境,以及国家或地区之间的友好往来。
2、旅行社行业特殊性的客观要求。旅行社是中间商,其产品具有高度综合性和不可储存性。旅行社经营最显著的特征是客源和收益的不稳定性,需求和供给的不可控性强,旅行社是高风险行业。
3、旅行社提高生存与发展的客观要求。在旅游服务过程中,旅行社担负着特殊的信息整合职能、咨询服务职能和组织调度职能。通讯和计算机技术的发展,互联网的不断普及,旅游信息的流转不再受时间和空间的限制,旅行社面临传统市场被更多的竞争者所分割的挑战。
4、旅行社企业管理制度改革的客观要求。多年来,我国的旅行社受国家政策的保护,其企业管理制度没有实施根本性的改革,产权关系不明晰、经营观念落后,企业缺乏活力,不能适应我国越来越开放的旅行社市场。
5、市场竞争和经济全球化的要求。随着我国加入WTO和全球经济一体化进程的不断深入,旅行社之间的竞争走向国际化,竞争环境更为激烈。一方面,随着买方市场的形成,旅游者对旅行产品及服务的个性化要求越来越高,消费行为更加理性,维护其权益的意识日益增强,旅行社面临消费者的压力增大。
三、旅行社风险管理的预防控制策略
旅行社风险管理是研究旅行社风险发生规律和风险控制技术的一门管理科学,它通过风险识别,风险估测,风险评价等方式,并在此基础上优化组合各种风险管理技术,对风险实施有效的控制和妥善处理风险所致损失的后果,期望达到以最小的成本获得最大安全保障目标的管理过程。
1、加强风险管理意识。旅行社的风险预防必须树立全员风险意识,使全体员工在工作中保持足够的职业谨慎。由于市场竞争的激烈,旅行社面临的风险无处不在,因此要唤醒员工的忧患意识。要经常系统地讲解旅行社面临的新形势、新挑战,使其掌握预防。控制和处理风险所应有的知识和技能并作好随时应对突发危机事件的心理准备,以确保风险发生时能保持应有的冷静。
2、建立风险管理组织体制。成立企业危机管理的领导组织机构,企业危机预警控制管理体制对危机潜伏期的信息情报及时处理,分析危机发生的概率以及危机发生后可能造成的负面影响,做出科学的预测和判断,以确保风险发生时能够迅速做出反应。同时应根据可能发生的最坏情况、事先拟订风险的处理程序与应对计划。
3、保障企业组织内部系统的有效沟通与协作。使企业组织内部明确旅行社风险管理的职能,促使企业内部各部门就降低旅行社经营风险进行有效协作,以便更好地实施风险管理预案,确保风险管理效果。
4、慎重选择业务合作伙伴。旅行社应对与之合作的旅游企业的信用进行调查,拒绝与有不良信用记录的企业往来。或在业务中对风险可能产生的损失的分担在合同中详细列明,和相关的企业个人明确责任,回避不该承担的风险。旅行社应选择信誉良好的保险公司投保,以尽可能保证事故发生后得到理赔。旅行社在与旅游者签订台同时详细列明各自权利义务的.划分。
5、加大宣传力度。旅行社企业、保险公司应该通过媒体、宣传会、培训等多种途径,加大对旅行社责任险及其他旅游险种的宣传力度,让广大旅游者充分了解旅游保险,并合理引导其主动地去保障自己的安全及相关利益。特别是旅行社企业应该将旅行过程中存在的危险系数告知旅游者,这样既可以鼓励旅游者去购买保险,又明确了旅行社在接待过程中的角色地位。
6、培育旅行社的品牌产品。品牌能在旅游者心中树立起良好的信誉,将旅游者购买产品转化为购买信任;
知名旅游品牌还能够有效地杜绝其他旅行社摸仿,从而保证旅行社的高额利润;品牌还有利于强化旅行社与客户联系,避免旅行社企业行为的个人化,降低由于骨干人才的流失带来的人事风险。
四、旅行社风险的排解及处理
1、对旅行社的财产风险,可通过投保和财产监察加以转移或控制;雇员人身风险控制的基本方法是为旅行社员工安排有效的社会保险计划。
2、市场及竞争风险难于控制,旅行社可以通过以下方法来分散或降低风险:进行市场开发时进行科学的可能性分析;采用产品多样化和市场多样化方法来分散风险;新产品投入市场前可以在目标市场中进行试产试销;保守商业机密,尽量增加产品中独有的特色,使产品可模仿性降低。
3、为降低旅行社的财务风险,旅行社要经常分析财务报表,及时发现问题;制定有效的信用制度;坚持“先付款、后接待”,减少应收账款数额;提取合理的坏账准备金;准备适度和流动资产,防止财务危机;采用合理的定价及催款制度,有效规避外汇风险。
4、旅行社的责任风险也是旅行社应该着力降低的一种经营风险,为减少旅游活动中出现问题的几率,旅行社首先要向员工,尤其是导游人员进行相关教育,强化其遵照合同提供服务的意识,提高他们处理突发事件的能力与技巧;要慎重选择合作伙伴,建立信誉登记制度,选择信誉好的合作者;健全与供应商之间的合同化管理,在因供应商的原因而发生损失时,可以行使追索权;在与旅游者签订合同时,尽量争取比较大的缓冲余地,对于不确定性强的事项适当降低承诺;针对旅游过程中可能出现的人身、财务损失以及旅行社责任风险,向保险公司办理保险。
旅行社经营风险的管理滞后与旅行社业快速发展极不适应,所以,研究旅行社风险管理并学会如何预防控制,有利于旅行社经营管理,有利于中国旅行社业快速健康发展。在旅行社遇上风险时临危不惧,使旅游者的合法权益充分得到保障。
网络安全风险评估与控制论文
【摘要】针对网络安全威胁和攻击,对网络系统和终端的脆弱性的描述方法和检测方法进行了阐述,并对风险控制行为综合评述,指出在当今网络环境中,网络风险并不是完全可控的,只能根据网络安全级别降低网络风险发生的概率及减小风险发生时带来的危害。
【关键词】网络安全;风险评估;脆弱性描述;脆弱性检测
随着计算机网络的普及以及社会化信息水平提高,计算机网络在各行各业都发挥着日益重要的作用。随之产生的是计算机网络中的各种威胁,由于网络中种攻击软件的产生,降低了现在攻击的难度,有些不具备骇客技术和水平的人也能用攻击进行网络破坏。网络的开放性注定了网络的脆弱性,网络安全问题也越来越突出,在当今这个对网络依赖程度很高的时代,成了一个亟待解决的问题。网络风险评估是针对网络安全的一种主动防御技术,它不像某些杀毒软件,只能够根据病毒库里面的病毒特征进行防御,风险评估能够防患于未然,在安全事件未发生或正在发生的时候评估安全威胁的级别,并根据结果采取相应措施,从而能及时减小网络威胁的危害或蔓延,由此可见,网络风险评估在网络安全中的重要作用。由于网络本身就存在着安全问题,其脆弱性和不确定性都存在着一定的安全风险,这是网络存在安全威胁的最根本原因。而网络当中的攻击和病毒往往是利用这些安全因素发动攻击,因此在网络安全风险评估中,网络本身的安全问题占重要位置,是网络安全风险评估的基础。网络本身的安全性问题,往往并不是原始设计上的错误,而是出于网络便利性和安全节点的平衡和折中所做出的决定。任何在目前网络安全的基础上进一步的安全措施都是以牺牲网络便利性为代价的,最安全的计算机就是不接入网络,这样就没有外来的.威胁和攻击。当然计算机或其操作系统也存在一定的脆弱性,在软件、硬件、或策略上存在安全性问题,使得网络威胁有机会进入到网络中来,网络的脆弱性是网络所有硬件、软件脆弱性的集中体现。
1脆弱性的描述方法
对网络信息系统上脆弱性的描述方法,学者们进行了大量的研究工作,并形成了多种模型。比较典型的模型有攻击树模型、特权图模型、故障树模型等!攻击树模型是脆弱性描述的一种表述方式。其中树的叶子表示网络中攻击方法,而每一个节点表示攻击者可能要攻击的对象,根节点表示最终的攻击目标。这种表示模型最大的特点是,只有每个攻击对象都实现,最终的攻击目标才能被攻下,在这种模型下,可以通过计算每个节点被攻击的概率得出根节点被攻击的概率,从而可对整个网络系统进行定量分析和定性分析。特权图模型是以网络的权限及权限的变化为出发点,其每一个节点表示一定的权限,在特权图中的边线表示节点权限值发生变化时的脆弱性。其每一条多个节点的连线表示攻击者在对网络攻击时各个节点的权限发生变化的过程,也就是一条完整的攻击路径。在实际使用中,往往利用特权图进行攻击的量化风险评估,由于其用图形的方式来表示攻击者的在攻击过程中各个节点权限发生的变化,更加直观有效,能够给在实际应用更受青睐。故障树模型主要用于描述这些系统内部故障和原因之间的对应关系,可以对攻击者攻击系统时的具体行为进行建模,对入侵的节点,方式和标识进行检测和分析,计算机系统的故障及脆弱性与网络攻击存在着一定的关联,利用故障树模型,可以这种关系进行建模。故障树模型可以很清晰的表达网络系统故障之间的关系。
2网络脆弱性的检测
网络脆弱性主要有两部分原因组成,一是网络终端的脆弱性,一部分是网络系统本身的脆弱性,所以基于网络脆弱性的检测也是分这两个部分来完成的。基于终端的脆弱性检测是传统的检测方法,就是在终端设备上安装相应的软件或代理进行检测,通过软件检测此终端设备上所有文件和进程,根据文件和进程运行特点及端口等特征,查看是否有不安全的因素,从而可以检测出在网络终端设备上的脆弱性。基于终端设备的检测方法可以用来检测网络终端的脆弱点,但是其本身有固有的缺点,很难用它来远程渗透检测,每个终端机上进行检测的时候必须都要安装相应的软件或代理,给机器运行带来一定的负担。基于网络系统的检测方法,主要是通过对网络中传输的数据进行包分析来检测,有两种方式可以操作。通过连接在网络系统中的终端设备向网络中的节点发送指定的数据包,根据网络节点的反应来判断是否具有脆弱性。这种方法的好处就是不必在每个网络节点中安装多余的软件,并且可以一次同时检测网络中的多个节点,效率较高。但是也存在着一定的问题,在网络系统中,很多用户或节点都采取了一定的安全措施,比如安装防火墙等,这样就很有可能将网络检测的数据包拒绝,使检测没有办法得到反馈。因此基于网络系统安全检测方法还有另外一种形式,就是在网络系统中对各个节点发送的数据包进行抓取并分析,也称被动检测。这种检测方式由于其只需在网络上等待节点发送数据包即可,所以对网络系统来说不需要增加其负载量,每个网络节点发出的数据包是其主动发送的,不存在被网络安全系统阻隔等情况的发生。其缺点是只能在网络上静等,只能检测在网络上传送数据包的节点,如果节点不在线或是发送的数据包只能检测出部分脆弱性,这种方法就只能静等或是只检测出部分威胁存在。
3结论
网络安全控制是指针对网络安全风险评估得出的结论,对网络或其节点脆弱性所采取的安全措施,其主要目的就是将网络风险发生的概率降低或是将风险发生时带来的危害减小到最低程度。由于网络的发展速度越来越快,人们利用网络的机率也越来越高,所以在网络产生的风险种类也逐渐增多,其危害性也越来越难于预测和控制,网络安全控制和防范的难度越来越大。在网络安全防范中,管理人员不可能针对网络系统中的每一个节点的脆弱性进行安全防控,也不可对针对每一次攻击都采取合理的防御措施。只能根据网络安全级别,采取相应的安全策略,在网络系统中,真正能做到完全没有任何威胁的情况是不可能发生的。
参考文献
[1]王辉,刘淑芬.改进的最小攻击树攻击概率生成算法[J].吉林大学学报(工学版),37(5),,1142-1147.
[2]叶云,徐锡山,贾焰等.基于攻击图的网络安全概率计算方法[J].计算机学报,33(10),,1987-.
[3]国家信息安全漏洞共享平台.脆弱点数量统计.www.cnvd.org.cn/publish/main/51/,-.
[4]曾键,赵辉.一种基于N-Gam的计算机病毒特征码自动提取办法[J].计算机安全,(10):2-5.
电子银行风险防范研究
电子银行以其方便快捷的特性深受广大客户欢迎,但由于网络的开放性、匿名性和技术复杂性,电子银行业务也面临比传统服务渠道更大的.风险.近些年频繁发生的资金被盗事件已经使得许多客户对电子银行安全性产生忧虑.为保障电子银行业务持续健康发展,本文对电子银行业务的风险防范进行了研究,提出了对策.
作 者:成丹霞 Cheng Danxia 作者单位:中国工商银行股份有限公司北京市分行电子银行中心,北京,100080 刊 名:经济视角 英文刊名:ECONOMIC VISION 年,卷(期): “”(6) 分类号:F830.49 关键词:电子银行 风险 对策现代企业治理要求企业经营权和所有权实现分离,以便由职业经理人独立经营,但也因此导致企业经营者与投资者之间存在一定的信息不对称,投资者难以及时获取反映企业真实经营情况的财务会计信息,甚至有可能看到的财务报表都是经营者有意造假编撰的,所以投资者就需要委托社会第三方独立审计机构对企业经营情况进行审计,以便获得有关企业经营最真实的第一手材料。可见审计工作质量的好坏,不仅关系企业经营者能否把握真实情况、做好决策、确保财产物资的安全,同样也关系到投资者的投资安全,但因为种种原因,审计风险无法消除,客观存在,这就要求我们必须客观看待审计风险的存在,思考如何控制企业的审计风险。
一、审计风险概述
1.审计风险的含义
由于种种原因和突发的意外情况,企业财务报表存在一些错误是不可避免的,对于注册会计师而言,其主要职责不是去找出企业财务报表中所有的错误,并一一纠正,保证财务报表的准确无误,那几乎是不可能完成的任务,而是按照一定的标准,遵循统一制定的审计准则,执行标准的审计程序,采用科学的审计方法,发现财务报表中的重大错报,并将其指出改正,这才是注册会计师对企业财报进行审计时应当履行的职责。从这点上来说,审计风险是指财务报表本身存在重大错报,但注册会计师没要遵循审计准则,也没有完全执行审计程序,因工作失误未能及时发现财务报表存在的重大错报而发表了不恰当的审计意见的可能性。
2.审计风险的种类
目前,大多数公司经营业务都较为复杂,有的规模还很大,如果再要求注册会计师在规定的时间内对每一笔经济业务的会计处理进行逐一核对,以确定财报是否存在错报,显然这是不现实的,因而现代审计大都采用的是抽样审计,既然是抽样,那就不可避免的会遗漏某些错报,不可能不存在一点错误,因此对注册会计师而言,审计工作的重点应放在如何防范公司财报可能存在的重大错报上,这就需要会计师在审计时,应当充分运用专业判断技能,对审计风险进行合理评估,并小心谨慎地防范。就目前实践方面看,注册会计师在进行审计工作时可能面临以下几种较大风险。
(1)业务经营
现代企业经营规模一般都比较大,经济业务也比较复杂,给审计工作带来较大风险。比如,有的公司将一些巨额亏损转移到不需要接受审计,不用对外发布财报的关联企业,从而隐瞒其真实的财务情况,虚增企业盈利,特别是那些跨地区乃至跨国经营的大型集团,情况更为复杂,这就给会计师发现其中的错报、漏报带来很大挑战,即使会计师能够从多种渠道搜集到很多有力的审计证据,但若想准确证明其经济业务的实质,进而确定财报的准确有效仍旧是一件非常困难的事。
(2)调整利润
有些公司违背企业会计准则相关规定,随意将会计政策变更或会计估计变更当做调节企业经营利润的工具,用以虚增或压低当期利润,且对这些改变均不详细披露调整的原因和依据,也不说明调整后的影响,致使信息不畅,引发审计风险。
(3)隐瞒重大事项
有些公司为了维护自己正面形象,对会严重影响到公司经营的重大事项,甚至会影响到公司持续经营能力的重大损失或重大诉讼隐瞒不报,这将影响到投资者对企业真实情况的获知,也使注册会计师在审计时面临更多不确定风险。
(4)变更会计师或临时委托
有些企业要求受托进行审计的注册会计师按照他们的要求进行审计,并出具无保留意见审计报告,如果注册会计师就某些会计处理持有不同意见,与企业管理层存在重大分歧,此时企业会以解除委托关系相要挟,迫使注册会计师屈从企业管理者意见,造成审计风险。也有的企业会临时委托会计师事务所,且要求其在极短的时间内出具审计报告,一些小的会计师事务所为了招揽业务而接受此类委托,往往会因时间较短,工作量大而不得不依赖未经证实的企业自己陈述和相关解释材料,甚至有的会计师对企业意见言听计从,没有遵循应有的职业谨慎,审计风险很大。
二、审计风险存在的原因
1.注册会计师自身能力的有限性
尽管在我国从事审计工作的注册会计师都是经过严格的注册会计师考试,在取得注册会计师考试成绩合格证明后,还要经历两年实务工作,并由执业会计师出具鉴定意见后,才能正式申请执业牌照,成为一名能够独立开展审计工作的执业注册会计师,理论上说他们已经掌握了完备的会计、审计、财务、法律、风险管理等方面的专业知识,形成了能够适应审计工作需要的专业综合能力,并具备一定的工作经验,但我们也要看到,随着技术发展,企业造假手段、方式也越来越高明、隐蔽,再加上现如今经济环境十分复杂,即使注册会计师本身能力已经足够,但也难以完全查出企业财报中存在的所有问题。其中一些会计师也因为自身修养不够,意志不够坚定,容易被企业经济利益诱惑,而与被审计单位串谋,为其出具虚假的审计报告。
2.抽样审计方法本身所固有的局限性
现代审计一般采用的是抽样审计,即使现代统计学已经证明抽样方法能够在一定程度上反映出样本数据的总体分布特征。但我们也要清楚知道一点,那就是抽样调查的有效性是在一定前提条件下才具备的,例如,保持抽样的随机性,如果这些特定条件不存在或没法满足时,大多数情况下是很难完全满足的,那么抽样的有效性就大打折扣了。对抽样审计而言,在进行测试时,如果被审计单位内部控制制度健全完善,则抽取的小样本就足以代表整个企业经济业务实情,反之被审计单位内控制度存在问题,难以发挥应有的作用,则抽取的有限样本是不能说明任何实质性问题的。
3.审计范围扩大
早期注册会计师的审计主要关注的是企业现金资产和相关销售收入的会计处理是否准确有效,后来因为银行贷款及投资者的需要,审计范围扩大到对资产负债表的审计上,相应的审计风险也客观增大。后来美国证券市场发生的上市公司财务丑闻,让许多投资者指责注册会计师在公司财务风险爆发之前的几个年度里,没有对公司财报进行严格审查,从而没有及时发现企业财务风险,并发布相关警示提醒,致使投资者损失惨重,注册会计师应对此负有不可推卸的责任。在这种情况下,审计范围再一步扩大到对企业内部控制上,尤其确定企业整体经营活动,管理政策,内部制度运行是否顺畅,是否存在重大问题,会计师被要求能够尽职审计,以便揭示出所有重大的差错和舞弊,并对企业持续经营能力给出客观评价,对企业财报是否健康做出专业报告。当然因为审计范围的扩大,涉及到判断所需的信息越来越多,且更加复杂,不确定性大大增强,从而审计人员做出准确结论的难度大为增加,风险在所难免。
三、审计风险的危害性
1.对政府科学决策的危害
企业提供的财报如果存在重大错报,不管是有意还是无意,如果注册会计师在审计时没有及时发现,就会导致一些不好的影响。一方面,对于需要通过企业财务报表以了解其真实经营情况的税务、财政、银行等政府部门而言,会因错误信息误导而做出错误决定,监督无效,比如不能及时发现企业的偷税漏税行为,从而影响到政府的财政收入。另一方面,中央政府每年编制的未来几年宏观经济发展规划,以及制定某些宏观经济政策时,都需要参考大量信息数据,而构成政府决策的微观数据基础就是来自各个企业公布的财报信息,如果这些信息存在重大错误,那么政府搜集到的反映整体经济运行情况的经济数据就有很大可能的不实,在此基础上所做的任何决策都会缺乏必要的现实基础,导致政策与现实实际不符,难以实现预期目标,甚至还会对实体经济运行带来负面影响。
2.对会计师事务所及注册会计师的危害
在上文分析中,我们已经指出因为种种原因,企业提供的待审计财务报表难免会出现一些错报、漏报和失实的财务信息,如果注册会计师在审计过程中因为缺乏必要的职业审慎,没有严格遵循审计程序,工作不到位,造成审计失败,将有可能受到使用此报告做出错误决策并产生重大经济损失的投资者的起诉,这也是近年来为什么起诉会计师事务所和注册会计师的案件越来越多的一个主要原因。这不仅会对注册会计师的个人操守、职业道德、专业能力带来负面影响,影响其在投资者心目中的认可度,同样也会对会计师事务所作为社会审计组织理应保持的公正、公平、专业形象产生较大损害。
3.对被审计企业的`危害
如果是企业有意编制虚假的财务报表,而会计师在审计时没有及时发现,致使存在重大错报的企业财报得以顺利通过,并对外发布,且没有发生任何问题,这种情况会助涨企业管理者继续弄虚作假的侥幸心理,以后还会继续提供虚假的财务信息,不过任何谎言总有被拆穿的那一刻,迟早有一天会因此而爆发更大的财务风险,致使企业经营陷入困境。当然如果因为一些客观原因,致使财报存在重大错报,这并非管理者有意为之,但如果会计师也没有通过审计加以发现,就会给企业经营者造成一种假象,影响到企业未来发展。毕竟对于大多数企业管理者而言,他们的日常经营决策都是依靠这些财务信息来完成的,如果这些财务信息存在错误失真,没法反映企业真实经营情况,依据这些财务数据做出的经营战略肯定有错无疑。
四、对审计风险的审计控制讨论
审计控制狭义的讲就是企业内部审计,不过本文谈及的审计控制更多地取其广义,主要是指在企业组织内外部都建立起能够独立运行的对企业经营活动及内部管理制度的有效性进行监督的评价监控系统,从而确保组织目标的实现,分为社会层面、会计师事务所和企业自身三个层面。
1.社会层面
从近年来曝光的审计案件看,不少审计舞弊案都是由于会计师事务所或注册会计师受到被审计单位甚至是某些政府部门官员的压力而不得不违规、违心出具虚假审计报告,以保证上市公司的上市资格。尽管新近颁布的《会计法》规定单位负责人应当成为承担会计责任的主体,但一旦发生财务风险的时候,真正能够追究到单位负责人失职风险的案例太少,所以应加大会计打假的力度,强化对单位负责人尽职调查和失职责任的追究,以创造一个宽松的外部环境,便于注册会计师开展相关审计工作,遏制会计造假行为的蔓延。
2.会计师事务所层面
(1)强化审计人员的审计风险意识
注册会计师应当时刻树立风险意识,通过主动学习与审计工作相关的专业理论、法律法规等业务知识,努力更新自身知识结构,以全方位提高自身职业素质,使自己时刻具备高水平的业务能力。此外,还应加强思想理论学习,努力提高职业道德水准,时刻牢记职业使命,不做违法乱纪之事,以免误己误人,尤其在出具审计报告时,要特别谨慎,切不可草率大意。
(2)建立客户风险档案
目前国内会计师事务所对公司财报的审计大多关注的是实质性测试,聚焦于财报本身是否存在重大错报,而从近年来的司法案例来看,审计风险最大的来源不是财报而是企业在面临财务困境时有意编制假的财务报表,因为有意为之,所以各部分衔接紧密,前后一致,会计师很难发现其中的问题,故而会计师在开展业务之前,应当了解公司的整体经营情况,尤其是潜在的审计风险,通过对新老客户进行必要的调查了解,以评估可能存在的审计风险,并划分等级,据此合理安排审计工作量,节省成本。
(3)重视审计工作底稿的编制
注册会计师在进行审计工作的过程中,会将工作情况,遇到的问题,调查结果详细记录在审计工作底稿上,这既是完成最后审计报告的依据,也是未来有关监管部门追查或调查会计师工作的重要证明材料,因此,事务所必须严格按照审计准则规定的格式、内容进行编制,不能有所遗漏,此外,还应按照审计准则对审计程序的要求,严格独立开展具体审计程序或采取有关替代程序,并将实施情况完整清楚记录在审计工作底稿上。
3.企业层面
在加强外部审计控制的同时,企业更应重视内部审计,完善公司治理,这是因为内部审计是防范财务舞弊最基础也是最重要的一道防线,如此才能有效控制审计风险。
(1)健全内部控制制度
不管是外部审计,还是内部审计,都是以内部控制制度为基础的抽样审计,因此完善内部控制制度是减少内部审计风险最有效的途径,尤其要按照岗位分离原则、分级复核原则、定期巡视原则建立相应的内控制度及质量考核制度。
(2)严格遵循内审工作程序
一般而言,即使是企业内部审计也应按照一定规范的程序进行,包括审计任务下达、审计工作方案编制、实施审计、编制审计工作底稿、撰写审计报告、向有关领导报告、审计报告存档、后续审计等一整套规范程序,不能因为是企业内部审计就降低质量要求。
(3)运用现代审计方法技术,注意搜集足够审计证据
企业内审人员应当强化审计风险意识,选择风险导向型的风险审计模式,且随着企业会计电算化系统的普及、应用、发展,要注意对会计电算化系统的设计及运行流程的考察。在审计过程中注意搜集保留审计证据,因为审计证据是审计工作的基础,在对某些问题存在怀疑时,应当抱有足够的职业审慎,通过搜集足够的多样化的证据进行多方面验证,才可做出审计结论,不可随意下决定。
(4)重视后续审计
企业内审人员在完成审计报告,并向有关领导进行汇报后,并不意味着审计工作已经完成,要注意后续审计工作的开展,也就是要考察审计报告中提出的被审计部门应当纠正、整改的问题是否得到落实,提出的建议是否被有关部门采纳,某些想法是否符合单位现实,只有如此,审计工作才更有意义,才能降低审计风险,为企业后续发展提供安全保障。
注册会计师审计是一个高风险、高社会责任的行业。随着审计环境的变化,我国独立审计行业逐步感受到了审计风险的压力,特别是随着相关法律制度的建立和健全,涉及注册会计师及会计师事务所的诉讼案件也越来越多。与西方国家的会计职业界相似,中国的审计职业界也将面临“诉讼爆炸”的挑战。面对这些问题,重视、防范和控制审计风险已成为注册会计师行业的当务之急。此文就审计风险的形成原因及控制措施谈一点粗浅的认识和看法。
一、审计风险的基本涵义
关于审计风险的涵义,目前国内外审计职业界还没有形成一个完全一致的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指注册会计师对实质上误报的财务资料可能提供不适当意见的风险。”我国《独立审计具体准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”以上两个定义,虽然对误报的界定范围有所不同,如国际审计准则界定为“实质上”,我国独立审计准则界定为“重大”,但是对审计风险基本涵义的表述是一致的,即审计风险是指注册会计师对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此,我们可以认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是注册会计师审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观的存在和主观的努力的结合:客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束。
二、审计风险的形成及原因
在审计实施过程中,影响或形成审计风险的因素很多,除了受审计外部环境及企业本身经济业务的复杂性、内控薄弱等因素影响外,主要有:
(一)未遵循审计准则。
1、审计工作的不规范。在企业审计工作中,个别单位或个别审计项目取证不合法或不合规。
2、审计内容忽视遗漏。主要表现在:一是审计工作方案考虑不周,往往会使审计存在覆盖间隙、遗漏问题和其他问题;二是组织实施中分工衔接不好,一些审计事项应查未查。
3、审计工作深度不够。如企业审计中对会计报表的异常项目未引起足够重视,往往忽视资产抵押、票据贴现等一些或有负债的审计,从而可能影响评价资产质量、运营状态的准确度。
(二)审计方法选择不恰当。
由于审计内容的广泛性和复杂性,受审计成本限制,不可能把所有审计事项全部查清。因此,在审计方法上一般采用抽样审计,这就加大了审计的潜在风险。目前,审计一般都是判断抽样,受注册会计师经验水平限制,抽样时可能出现:一是对被审单位一些固有风险、控制风险大的项目选择的样本量过小;财务论文二是只求样本数量,不求质量,如存货审计,往往只对存货的品种数量进行抽样,而忽视对存货的计价方法、质量、现行价格、所有权等方面进行审核,因而可能使注册会计师对存货的真实性、完整性做出误判。
(三)审计取证可靠性不强。
证据的可靠性及证明力如何直接影响审计风险,目前的取证问题主要体现在:一是审计证据要素不全,过程不清,引用法规不当;二是重基本证据轻辅助证据;三是忽视签证前审计证据的内部审核和签证后对签证意见的分析,特别是签证意见,被审单位或明确地表示异议,或含糊其辞,如“基本符合”、“确有差错”等,注册会计师对此稍不留意,不及时改正即会造成风险;四是审计资源利用不恰当,如直接运用企业的自我陈述,未加以判断、分析、复核,而作为本次审计的证据。
(四)被审单位不积极配合。
如果审计范围受到限制,注册会计师将无法取得充分有效的审计证据。限制审计范围的原因有两方面:一方面是被审单位怕问题被揭露,而对审计施加限制,妨碍注册会计师进行正常的审计检查;另一方面,由于注册会计师对被审单位相关情况的不熟知,对方提供资料不全,有意隐匿其经济活动内容,而对方又未对提供资料的完整性做出承诺,这都直接影响了审计工作的质量。
三、审计风险的控制
审计中风险的形成原因既有客观因素,又有主观因素,因而,经过注册会计师的积极努力,采取必要的防范措施,可以把审计风险控制在一个较低的范围。
(一)严格遵循审计准则。
注册会计师应严格遵循审计规范,来制定严密的审计工作计划和实施方案,认真进行审计工作准备,实施中把握审计工作质量。在审计过程中对审计工作各程序进行严格控制,做到审计程序合法合规、内容完整、方法恰当。如对企业资产、负债、损益审计,除对企业会计六要素财务上的正常审计外,还须考虑企业的核算体系、生产流程、销售、仓库等各个环节,进行全面的调查,以确保审计程序和内容上的完整性。作为审计组长或主审,对组员的审计工作质量和审计目标完成情况实施必要的检查和监督,发现问题要及时纠正。
(二)建立各级内部控制制度。
一是建立配套的质量控制措施,实行工作职能分工和牵制,对审计项目质量实行三级负责制,即主审负责制、复核制、集体审理会议审定制,以有效控制审计过程中容易引起风险的环节。特别要把好审计证据质量关,突出证据的有效性。作为项目主审,须对助审人员的取证材料、底稿进行审核、确认,专职复审人员对审计报告初稿及审计资料进行复核,审理会议对重大审计事项集体“会诊”,确保证据充分有效,必要时可进行二次取证。对审计中发现的重大问题,审计复核、集体审理在必要时可提前介入,进行跟踪检查;二是实行内部管理制。如建立对注册会计师质量考核制、审计目标责任考核制、注册会计师廉洁自律规定等,对注册会计师在执行审计工作程序、职业道德等方面形成有力的控制和约束。
(三)选择正确恰当的审计方法。
注册会计师要善于选择科学、严谨的审计方法,对一些企业内控管理薄弱、资产流动性较强或所有权难以确定、企业经济状况不佳、经营业务繁杂等风险高的审计事项,要引起足够的重视,适当增加样本量,扩大审计覆盖面,运用多种审计方法和灵活的审计手段,进一步提高审计证据的质量。
(四)建立融洽协调的工作关系。
实践经验说明,只有通过审计多次与被审单位接触,碰到问题要多协商,建立融洽的工作关系,才能得到被审单位的积极配合,才能了解到实际情况。在审计实施前,要对被审单位全面了解,平时注意收集被审单位经济动态等有关资料;审计中要多方面听取情况,详细询问,审计签证时,本着实事求是原则,公平对话;审计结束,及时反馈审计意见,与被审单位对问题进行协商和探讨,以征求意见的态度出现。因此,只有通过平时审计接触,才能及时沟通,取得被审单位的理解和支持,消除双方对审计带来的顾虑和摩擦,以达成共识,更好地实施审计和及时纠错。
(五)要区分会计与审计责任。
在实施审计中区分会计责任和审计责任非常重要。如注册会计师对被审单位提供的资料,应有资料接收清单,并要求被审单位对其所提供资料的真实性、完整性做出承诺,明确各自承担的责任。又如被审计单位拒绝、拖延提供与审计事项有关的资料,或拒绝、妨碍检查,转移隐匿有关资料、资产,这是被审单位应承担的责任,审计部门不能替代、减轻或免除被审单位责任。对于上述情况,注册会计师应根据《审计法》等有关规定,在审计报告中如实反映有关情况或对报告反映内容进行限制,以避免被转嫁的审计风险。只有责任分清,才能避免审计中带来不必要的风险。
(六)不断提高注册会计师自身素质。
一是不断提高注册会计师专业审计技能和政策水平,提供必要的职业培训,开展后续教育,组织注册会计师进行审计理论研讨;二是经常加强职业道德教育,牢固树立注册会计师的廉洁自律意识,恪守审计规范,倡导敬业精神,不徇私情,秉公执法,达到遏制审计风险的目的;三是审计部门应培养注册会计师良好的审计风险意识,提高其在繁杂的企业审计中灵活、有效地控制各种风险诱发的能力,正确地对待来自各方面的干扰和压力。
★ 电子银行工作计划
★ 银行风险分析报告
★ 银行风险整改报告
★ 银行风险防范心得
