信用风险管理细则范例(3篇)
信用风险管理细则范文
一、中外银行信贷管理制度的主要差异
外资银行十分注重信贷风险的防范,在长期的商业化经营中,形成了一整套较为科学、规范的信贷管理体制和内部控制制度,对贷款原则、贷款程序、贷款审批、贷款风险分析,风险评定、风险控制体系等有规范而严格的要求,从而有效地控制了信贷风险。相比之下,国内银行的商业经营体制和信贷管理机制目前尚处在调整和逐步完善之中,诸多方面与外资银行有较大差异。主要表现在如下几个方面:
(一)组织结构上的差异——外资银行重视水平制衡,国内银行重视垂直管理。
外资银行在信贷组织上通常采用条块结合的矩阵型结构管理体系,信贷业务的组织除了有纵向的总行一分行的专业线管理之外,十分强调横向的部门之间的分工与制约,较好地实现了风险控制与资源配置效率的较佳结合。外资银行通常会设置专业化程度较高的多个部门共同负责信贷业务的组织管理,如信贷政策制订部门、资产组合风险分析部门、业务管理部门、风险审查部门、不良贷款处理部门以及系统一体化管理部门等等。各部门分工明确,各司其职,在业务上相互沟通、协作又相互监督。贷款审批是信贷风险的关键控制点,在这一环节,外资银行多采取由隶属于不同部门的授权人员共同审批的办法,三人或双人审批有效。如某外资银行广州分行,贷款审批由业务管理部门和风险管理部门共同负责,每一笔贷款的发放都必须由最少两名授权人员主管——独立思考后签字同意方为有效。分行长主要起协调管理作用,不直接参与贷款的审查与签批。审批流程呈横向运动特征。
国内银行特别是国有商业银行的信贷管理组织结构与专业银行时期相比,基本架构没有实质性的变动,仍是与行政体制高度耦合的“金字塔”型的垂直管理机构,表现为管理责任关系和信息的汇报渠道均为总行、一级分行、二级分行、支行、网点之间以及机构内部行长、科长、经办之间的分级管理。与外资银行比,纵向管理链条过长,而横向的分工与制衡关系强调得不够。近几年我国商业银行各级分行进行了内部结构调整,相继成立了资产保全部和风险审查部门负责处置不良贷款、评估贷款风险,改变了旧体制下信贷部“一统”信贷业务的局面,但信贷政策管理、信贷资产组合风险管理等职责仍然基本由审贷部门承担,部门的细分化程度不够。贷款审批实行逐级上报、层层审批制度,行长或主管信贷的副行长具有最终决策权。审批流程呈纵向运动特征。
(二)风险防范意识和控制手段上的差异——外资银行重视事前防范,国内银行重视事后化解。
外资银行十分注重信贷风险的早期防范,将防范风险作为整个信贷业务流程的核心,在各个业务环节采取了多种措施防范金融风险。主要有:1、通过确定目标市场、制定详细的风险资产接受标准来筛选客户。如某外资银行每年会根据信贷政策委员会确定的地区最高额度指标,确立市场目标及风险接受标准,只有符合目标市场条件的客户才能发放贷款。业务管理部门通过行业研究,列出可接纳客户的条件及细节,包括对公司规模、管理者经验、股东资本、杠杆比率等方面的指标限制,信贷人员以此为依据寻找符合条件的客户进入贷款程序。2、通过现代计量方法和借助各种专用软件对客户进行动态评估与分析,并将评级结果广泛运用于信贷管理的各环节。3、建立大客户专管制度。大客户的贷款由总部统一专管,总部每年对其总公司进行评估并根据评估结果给予一定的授信额度,分公司申请贷款时在总的授信额度内统筹考虑。4、通过动态评占资产组合,尽可能地选择多种彼此互不相关或者负相关的资产进行搭配,以便分散风险。5、通过不定期的风险测试,提前做好突发事件的应对工作。在某外资银行,风险管理部门会定期对贷款组合进行风险测试,通过假设某些宏观(政治/经济)事件发生,测量信贷资产可能遭受的影响。根据测算结果,一些敏感性贷款在五级分类中将被归为“可疑”类,有关客户的信用等级也会相应下调。6、设立独立机构评估风险与绩效。如某外资银行,总部有独立的风险审核小组对各分行信贷组合和信贷管理程序进行一年一度或两年一度的审核。审核小组通过计算信贷组合的加权平均损失概率,确定信贷组合的风险级数,5级以上为合格。如果不合格,审核部门将及时给予改善建议,要求业务管理部门改进,并在6个月后复查,12—18个月后再次复查,直到确保风险隐患消除。
与外资银行相比,国内银行由于历史包袱较重,把工作重心放在了存量风险的化解上,风险的早期防范没有得到充分重视。我国商业银行基本上没有开展市场细分工作,大多都是在审查借款企业的合规性,包括企业执照的合法性、是否年审、对外投资比例、有无违法经营行为等之后,就与企业建立信贷关系,对行业和企业缺乏深入细致的研究和个案分析,对如何科学搭配、合理运用信贷资产,将资产风险降到最低缺乏全盘考虑。这造成了近几年商业银行无论国有民营、无论规模大小盲目“抢大户”的情况,新增贷款大量涌入交通、电信、电力等垄断行业和上市公司,集中于少数贷款大户。贷款投向的高度集中,短期看虽然能增加银行盈利,降低不良贷款,但从长远看,贷款大户的系统性、行业性、政策性风险大,一旦发生贷款损失,对放贷行甚至整个银行业都将产生难以估量的影响。在风险控制的其他环节,国内银行虽然借鉴外资银行做法,建立了风险评级制度,但信用评级一般只能在新客户申请贷款时和每年年初进行,不能即时反映风险,评级系统的可操作性、指标体系的完整性和量化分析模型设置的科学性、全面性和代表性以及评级结果的普遍运用也与外资银行有一定差距。
(三)人员制约手段的差异——外资银行重视人员激励,国内银行重视人员控制。
外资银行强调调动员工的积极性和主动性.在业务开展和管理中给予了信贷管理人员充分的自。信贷管理人员通常享有较强的独立性,从总行到分行自成一体,各级分支机构的信贷管理人员由上一级甚至上两级信贷主管直接任命或指派,并对上一级信贷主管负责。在某外资银行,总部每年会对信贷人员进行专门培训,逐步提高信贷管理人员的专业素养和水平,并根据其工作经验和能力,将其分为若干等级,授予相应信贷审批权限。信贷管理人员的“超然”地位既保证了他们有足够的独立思考空间,有效地避免了贷款的审批与发放过多受到行政干预,又充分调动了信贷管理人员的积极性。在外资银行,道德风险的防范主要通过三个途径实现:一是实行科学评价,动态管理。如某外资银行,贷款审批权限实行一年一定,独立考核部门借助业绩评价系统对信贷管理人员的“表现”打分,上级信贷主管据此决定提高或降低该信贷管理人员的审批权限等级。审批权限的动态调整一方面给信贷管理人员造成了一定的压力,督促其自觉控制资产质量,另一方面便于管理层在短期内能够查明风险、采取对策。二是通过设计科学的激励机制,采用财务激励措施,如股票期权制度、内部持股制度,将股东价值最大化、信贷人员自身报酬最大化和人力资本增殖的目标有机结合起来,从源头上遏止信贷管理人员因追求自身效用最大化而偏离所有者目标的现象。三是通过设计相互制衡的组织体系,通过权力的分工和制衡实现人员间的时时制约和事先制约,有效制止内部人控制行为。
国内银行强调对员工加强控制。但国内银行内部制衡的组织体系尚未建立,各种财务激励措施尚未落实,贷款审批权也基本上是静态管理、多年难变,对人员的控制主要落实在贷款责任制上。各家银行建立了信贷资产质量第一责任人制度和不良贷款终身追缴制度,制定了详细的考核办法和严厉的处罚办法,期望在信息不对称、监督困难的情况下制约信贷人员的放贷行为,加大违规成本。一些要求和规定近乎苛刻,如一些银行规定新增贷款要实现“零不良”;一些银行规定如果确因员工的过错形成不良,则经办人员将立即被解除合同,有关负责人也要受到相应行政处分。但事实上,由于存在信息严重不对称和法人治理结构不健全的问题,再严格、细致的责任制度也无法防范道德风险,近年来信贷人员违规事件以及内外勾结诈骗银行资金案件仍然层出不穷便是明证。与不断加强的控制力度相对照,人员的激励机制没有建立起来。一方面,贷款审批权基本按行政职务层层下放,基层以及中层信贷管理人员自主决策的空间有限,积极性受到挫伤。另一方面,激励手段和措施仍然单调,基本还是传统计划体制下的老一套,主要的财务激励措施——按照绩效考核进行的奖励变成了固定奖金,实质上成为工资的一个组成部分,失去了应有的激励作用。
(四)财务管理制度上的差异——外资银行重视资产价值的真实性,国内银行缺乏提取准备的自主性。
对贷款的会计处理和计提呆帐准备金的实践是银行业管理和控制风险的基本要素。外资银行基于资产安全和经营稳健的考虑,十分注重按照审慎会计原则,在贷款的会计处理上充分估计可能发生的损失,真实反映贷款的实际价值。通常采用的方法是在保持信贷资产账面数字不变时,在资产方设立对冲项目——呆账准备金用于备抵贷款资产项目的损失,使其按照实际价值得到反映,在负债方相应核减资本金。外资银行对呆账准备金什么时候提取、提取多少有充分的自,不受财务、税收部门限制,常常会在有计划地预提普通风险准备金的基础上,针对具体贷款风险提取专项呆账准备金,以便在实际风险损失发生时有能力自担风险。如某外资银行除计提1%一般准备外,贷款降为不良后,会根据贷款项目预期损失程度计提相应的专项坏账准备金。
国内银行对贷款的会计处理主要按照1993年财政部颁布的《金融保险企业财务制度》的有关规定执行,已设立了呆账准备金科目用于抵减资产价值。但呆账准备严格按照财政部确定的计提标准——年末贷款余额的1%提取,损失发生后由财政部门审批核销,存在呆账准备提取水平过低、提取方式单一、提取范围过窄和银行对准备金的提取和核销缺乏自主使用权的问题。与外资银行相比,我国的银行财务管理制度既不利于及时揭示银行贷款风险,也不利于促进管理人员自觉控制风险。首先,银行资产负债表某个时刻的资产存量,是按历史成本计算原则而制定的,不能及时根据贷款的实际形态作出调整,这就意味着银行资产没有按其实有价值进行核算和反映,存在相应数量的账面“虚拟资产”,贷款风险不能及时在财务报表中得到反映。其次,贷款损失与经营利润不挂钩。商业银行的贷款收益是按照权责发生制,在贷款发放时确认的,而贷款损失则要到损失实际发生后才予确认,甚至由于财政部门出于税收考虑,损失发生后仍不能或不予确认,其结果必然是高估利润,在客观上会造成基层经营单位的贷款扩张冲动和管理人员“重贷轻查”的倾向。最后,由于种种原因,贷款发生损失很难追究到个人责任,但湾收贷款时若熊收回贷款反而?艿玫浇崩庖苍谝欢ǔ潭壬献萑萘瞬涣即畹牟?/P>
(五)不良贷款处理策略上的差异——外资银行重视转化,国内银行重视清收。
外资银行在贷款发放后,客户经理会主动参与借款企业的生产经营过程,帮助解决具体问题。贷款出现问题后,银行会成立专门小组,帮助借款企业渡过难关。如在某外资银行,贷款发放后,基于同客户建立长期信贷合作关系的理念,客户经理往往渗透到客户整个经营过程,利用银行网络优势,协助客户分析研究市场容量、市场份额、竞争对手等详细情况,并针对客户经营中出现的问题提出详细的咨询指导意见。如果客户出现还款困难,也会尽量帮助其搞好经营,争取实现双赢目标。
国内银行普遍存在“重贷轻管”的问题,贷款发放后的后续管理没跟上,往往要等出现问题之后才被动研究对策。企业经营困难暴露后,往往急于抽出贷款,手段单一,主要靠处置抵押物或司法诉讼,容易雪上加霜,将企业置于死地。
二、外资银行信贷管理对我们的启示
综上分析,我国商业银行在信贷管理制度的科学性和成熟性上与外资银行有较大差距。这种差距直接导致了中外资银行在竞争能力、经营效率和风险控制水平上的距离。因此,借鉴国外银行先进做法,改革现有信贷管理制度势在必行。
(一)借鉴外资银行日趋成熟的信贷管理经验,按照权力制衡的基本原则,建立健全信贷组织管理体制。
遵循信贷组织机构设置的三大原则,在现有信贷制度的基础上强化信贷部门内部横向制约机制的作用。一是遵循相互牵制原则,即信贷组织各部门、各岗位、各权力之间形成一种约束制衡机制;二是遵循程序定位原则,各部门各岗位、各人员要有明确的分工和授权批准,相互之间必须各司其职、各负其责,不能超越职权;三是遵循系统协调原则,各部门要围绕一个共同的目标动作,理顺关系、增强实力、杜绝内耗。即规模较大的分行可在现有审贷部门、风险审查部门和资产保全部门的基础上,加设信贷资产组合管理部门,专门负责对全行信贷资产组合、资产多元化、整体信贷资产回收特点进行分析,对全行潜在集中风险进行评估,并向银行董事会、高级管理层、银行监管机构、投资者提供报告,根据既定的整体资产优化策略对各业务部门、区域经营管理的信贷资产状况进行监察。还可设置信贷政策管理部门,专门负责制订地区性信贷政策、草拟信贷文件,与信贷监管机构进行沟通等。同时,应将风险审查部门与信贷业务部门在行政上的管理主线区别开来,以改变当前由于偏重业务扩张而忽视风险控制部门意见,导致风险审查部门事实上无法从组织上来制衡业务部门的弊端。
(二)树立以人为本、激励与约束并重的信贷经营管理思想,从人与制度上筑起防范信贷风险的双重闸门。
信贷管理的核心是对人的激励和控制,目前我国银行的信贷管理制度强调通过制度加强控制,对人的激励显得不足。过份以责任制来制约信贷管理人员,并不能取得良好的效果。如责任人为了避免出现贷款损失从而避免处罚,往往对有问题贷款在到期前进行不应有的展期或给予新贷款以收回旧贷款的本息,反而隐藏了风险;为了将个人责任变为集体责任,往往将所有贷款,无论金额大小都推给审贷委员会研究决定,降低了工作效率。现时的问题应是强化激励机制,充分发挥信贷管理人员的主观能动陆。可从以下三方面着手:第一,打破目前信贷审批权限按行政职务大小层层下放的旧框框,实行审批放贷和行政完全脱钩。可按实际能力和以往业绩给予信贷管理人员相应审批权限,并每年进行一次审定,视情况决定提升或降级,创造既有压力又有动力的工作环境。第二,把实际工作中过多的负激励转为正激励。加强正面引导和管理的同时,充分尊重和发挥员工的能动性,满足他们受到社会尊重的心理需要。第三,改革现行工资分配制度。坚持市场化的报酬原则,调大绩效工资比重,破除行政级别的工资制度,全面推行客户经理等级薪酬制度。
(三)客观评价银行信贷风险,改变信贷营销观念,正确处理好风险管理与提高效率的关系。
我国银行业在信贷管理中往往陷入两个极端:一是灵活性过强。对上市公司、垄断性企业等客户群体,在信贷管理中放松条件,不顾企业负债总规模和偿债能力,为企业多头开户、盲目授信,甚至于违反国家账户管理、现金管理等有关制度,依赖垒大户带来的短期效益。二是过于教条。在商业银行贷款企业结构中,中小企业仍然绝对主体,但在信贷管理中,过份强调形式上的风险防范,一味要求提供抵押担保手续,不能根据企业实际情况提供个性化的金融服务品种,消极逃避承担适当信贷风险的责任。灵活性过强实际上是没有原则性,过于教条则制约正常发展。银行本质上就是经营风险的特殊企业,不可能消除信贷风险,只能通过制度的完善适度规避信贷风险,对风险的过度约束必然制约商业银行的正常发展。因此,我国商业银行应该在重新树立正确的信贷风险观念,在防范信贷风险的前提下,加大创新力度,提高经营效益水平。
信用风险管理细则范文
[关键词]巴塞尔新资本协议;操作风险管;IS027001;信息资产
[中图分类号]F831[文献标识码]A[文章编号]1006-5024(2009)04-0167-04
[作者简介]董红,北京航空航天大学经济管理学院博士生,研究方向为风险管理与决策;(北京100083)
邱菀华,中国光大银行总行风险管理部教授,博士生导师,研究方向为决策、风险与项目管理;
林直友,中国光大银行总行风险管理部业务经理、硕士,研究方向为金融风险管理。(北京100045)
金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。
一、操作风险管理的困惑与问题
到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、业务、资产管理和零售经纪类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。
巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么
样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对IT系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,ISO27001不仅适用于多数IT软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。
因此,我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。
二、ISO27001简介
ISO/IEC27001源自英国标准协会制定的BS7799,包括两部分内容:BS7799―1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中,BS7799-1被ISO组织吸纳为ISO/IEC17799,BS7799-2升版并转换为国际标准ISO/IEC2700I,它是建立信息安全管理体系ISMS(Informationse-curityManagementsystems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。
信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据ISO/IEC27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。
1机密性――信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。
2完整性――保护资产的准确和完整的特性。
3可用性――根据授权实体的要求可访问和利用的特性。
企业的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。
可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于IT流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中,而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控
制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。IS017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,ISO/IEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。
三、基于风险的信息安全管理体系的构建
信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。
(一)策划并建立信息安全管理体系
1确定安全方针和范围
信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定ISMS方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2资产的识别和评价
资产管理是实施有效ISMS的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。
资产识别A:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。
资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
3风险评估
资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。
(1)威胁识别T:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。
(2)脆弱性识别V:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。
(3)对已有安全控制措施进行确认。
(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性,L表示威胁利用脆弱性对资产造成安全事件的可能性。
(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。
(6)选择控制目标和措施
选择并建立文件化的控制目标和措施,制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。
(7)获得最高管理者的授权批准
风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。
(二)实施并运行信息安全管理体系
阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。
(三)监视并评审信息安全管理体系
监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。
(四)改进信息安全管理体系
基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。
四、信息资产类操作风险管理的实施建议
ISO27001是文件化的体系,它把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的ISO27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。
信用风险管理细则范文篇3
一、规避财务风险的企业成本管理的意义分析
企业为了自身的长远目标打算,需要采用各种管理手段实施对企业日常运营的有效控制,在企业进入高财务风险时期,企业要注重内部的成本管理,要将成本意识贯穿于企业流程中的每一个环节,重点对企业的内部价值链和外部的供应链进行集中的控制,企业进行成本管理的意义主要体现在以下几方面:
(一)企业的成本管理有效防御财务风险
现代企业追求价值最大化,然而高财务风险导致了企业的高成本,在企业融资风险和流动性风险加大的形势下,企业要面临高昂的决策成本、投资的失误等成本损失风险,因而,企业要从管理入手,全面推行成本领先战略,站在企业全局的高度,实施企业的成本管理,最大限度地降低企业的采购、生产、物流、销售、服务等成本,尽量用最小的成本占据市场份额,从而有效地防范和规避财务风险。
(二)提升企业的自身竞争力
现代企业管理方式和策略都是围绕企业价值和增值而服务的,企业为了实现在现代市场经济形势下的高收益,就要全面提升自身的竞争力,要完善和优化自身的内部控制体系,关注人力资源、财务管理、成本控制等管理,准确、全面地分析企业成本面临的各种财务风险,在规避财务风险的成本管理之下,以低消耗获取高收益,提升企业的竞争实力。
二、企业成本精细化管理的问题剖析
(一)企业整体会计基础成本核算等工作和意识有待强化。在企业的成本精细化管理过程中,相关人员的意识观念和素质是首要的问题,人的意识决定了行动,企业成本精细化管理的意识也决定了会计成本核算人员的管理行为,在当前的企业成本管理工作中,部分基层单位的会计、经营管理人员的成本管理意识较为淡薄,不利于企业成本精细化管理效率的发挥。
(二)成本精细化管理要以预算为核心的意识有待加强。在企业成本的精细化管理中,要以成本管理为核心,在这条清晰的主线之下,分清企业成本中的投资性支出和收益性支出,并且依照相关流程进行成本管理的有效操作,可以极大地提升企业的成本管理。然而,在当前的企业成本管理中,却存在大量的成本项目与投资项目混淆不清的现象,许多预算外的工作量在无控的状态下实施,使企业成本精细化管理存在较大的财务风险、审计风险和税务风险,这些使得企业的成本升高,风险加大,不利于企业成本管理的效能实现。
(三)缺乏有效的企业成本精细化管理方略。在企业的成本精细化管理之中,缺乏与企业实际相符合的成本精细化管理策略和方法,员工的成本管理效率不高,管理方法与企业实际的衔接度也不够紧密,导致工作效率不高。
(四)企业成本精细化管理的执行度有待强化。企业成本精细化管理需要实践的操作,在精细化的成本管理之下,企业的各个岗位、各个组织都要以此为宗旨,围绕成本精细化管理的举措进行落实和实践,然而,在一些企业之中,却存在企业成本精细化管理细则执行不到位或者执行不规范的现象,影响了企业成本精细化管理的效能,无法有效地规避财务风险。
(五)全员成本精细化管理水平有待提升。由于企业内部的成本精细化管理层次差异较大,同时,一些职能部门对成本精细化管理的定位模糊不清,致使成本精细化管理“不精”、“不细”,出现管理流程不够顺畅的问题,因而有必要提升全员的成本精细化管理水平。
三、规避财务风险的企业成本精细化管理的原则及策略
(一)成本精细化管理的原则
1、成本最低原则。在企业的成本精细化管理之中,要遵循成本最低原则,着重企业内部的人力、物力、财力资源的优化和节约,从企业的实际出发,在科学合理的企业管理目标之下,实施精细化管理,最大限度地降低产品成本。
2、全面成本控制原则。企业的成本精细化管理要从全方位入手,实施成本控制,这个全方位是指全企业、全员工、全过程三个层面,其中:全企业是就企业所有的流程,包括:内部的生产制造成本、外部的采购、供销、物流成本等。全员是指企业内部员工要参与到精细化管理之中来,各职能部门要关注各自的成本管理职责及财务核算职责。全过程是在企业产品生产制造的所有阶段、步骤及流程,都要实施成本控制。
3、动态控制原则。企业的生产控制必须实施动态控制,要基于企业实践过程的具体运作,进行成本目标和计划的调整,从而实现企业的整体成本管理控制。
4、目标控制原则。企业的成本管理目标是一切活动的标尺,在企业之中的目标包括整体目标和子目标,企业各个部门要以整体目标和子目标为职责,进行目标之下的行为控制和检查,并对目标执行的绩效实施最终评价。
(二)成本精细化管理策略
对于企业成本的精细化管理策略,要从以下几个方面加以具体的实施和落实:
1、精细化的操作
企业成本管理要有详细而全面的操作流程,在企业成本精细化管理原则指导之下,依照操作环节的精细化标准进行规范化的工作,这种精细化的全员操作可以为企业的成本管理提供实用、可复制化的标准。
2、精细化的控制
精细化控制是企业成本管理的核心内容,这是在既定的计划之下,对企业的运营成本进行审核、执行和控制的过程,在进行成本反馈的过程中实现平稳的企业运作,可以不断推进企业的成本精细化管理模式的改进。
3、精细化的分析与财务核算
为了保证企业成本管理的科学合理性,需要从多元的视角对企业产品的各个流程进行分析,找到企业成本的问题根源,以提升企业的生产效率。对企业的精细化核算则要对企业的记账、核算等会计行为进行审查和监督,要将真实的财务状况呈现于企业决策者的面前,以利于企业决策者进行正确的决断,创造出最大的效益。
4、精细化的规划
企业要根据自身的文化、发展状况、生产运营情况、盈利状况,进行长远的规划,要使这个规划切实可行、具有可操作性,从而使企业的成本管理有理有据有节,有助于推动企业实现自我更新和改进。
5、实施细化的节点管理措施,推动企业财务信息化管理
企业要有效地规避财务风险,就要实施细化的节点管理,要运行财务管理系统成本结算模块,细化财务管理成本结算模块中的三大子模块,即:外部结算模块、个人报销模块、成本分摊模块。要使这三个子模块都处于企业财务管理系统成本结算模块之内,各项预结算都从成本项目消耗点报销,实现节点的细化管理。同时,还可以构建财务信息化移动平台,可以有效地保障财务信息的安全和准确性,对于提升企业的财务管理效益也有极大的促进作用。
6、企业成本精细化管理的材料降耗控制
对于企业的材料消耗成本的有效控制,要从源头抓起,在技术规格书的签订前提下,实施成本控制之下的采购,要建立物资报验、抽查的质量监控体制,用精细化管理的手段,降低材料消耗,要分解采购的细化考核指标,在细化储备管理考核指标的前提下,对企业的物资储备实施控制。
7、树立企业全员成本目标管理和精细化管理的观念
企业要想降低成本、规避财务风险,要树立全员成本目标管理和精细化管理意识,要依据企业固定费用消耗规律,对企业的资产进行合理的配置,在精细化管理的全员意识建构之下,通过各种手段降低折旧折耗在企业成本中所占的比重,并且为了有效地规避财务风险,可以采用多渠道的融资手段,控制并延迟企业资金的流出,减少资金占用的情况,从而有效地规避财务风险,提高企业的经营利润。