《园林机械公司企业风险管理分析【参考】.docx》由会员分享,可在线阅读,更多相关《园林机械公司企业风险管理分析【参考】.docx(69页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/园林机械公司企业风险管理分析园林机械公司企业风险管理分析目录一、 风险衡量的理论基础3二、 风险衡量的作用4三、 变动程度的测定5四、 中心趋势测量6五、 损失程度的估计8六、 损失频率的估计12七、 风险管理组织体系和企业目标的关系15八、 风险管理组织体系标准16九、 总经理(风险管理总监)16十、 风险管理委员会和审计委员会18十一、 风险管理信息系统的基本功能22十二、 风险管理信息系统的构建原则24十三、 风险管理信息系统潜在损失的风险管理28十四、 系统实施的任务、方法和手段30十五、 我国企业风险管理信息系统的必要性32十六、 我国企业风险管理信息系统与技术体系的现状35十
2、七、 产业环境分析37十八、 园林机械行业上下游情况39十九、 必要性分析40二十、 项目基本情况41二十一、 公司简介46公司合并资产负债表主要数据47公司合并利润表主要数据47二十二、 法人治理结构47二十三、 项目风险分析58二十四、 项目风险对策61二十五、 SWOT分析说明62一、 风险衡量的理论基础(一)大数法则大数法则为风险衡量奠定了理论基础,即只要被观察的风险单位多,就可以对损失发生的频率、损失的严重程度进行衡量。被观察的风险数量越多,预测的损失就越可能接近实际发生的损失。(二)概率推理原理单个风险事故是随机事件,事件发生的时间、空间、损失严重程度都是不确定的。但是,就总体而言
3、,风险事故的发生又会呈现出某种统计的规律性。运用概率论和数理统计方法,可以推断出风险事故出现状态的各种概率。(三)类推原理数理统计学为从部分去推断总体提供了非常成熟的理论和众多有效的方法。利用类推原理衡量风险的优点是,能够弥补事故统计资料的不足。在风险管理实务中,进行风险衡量时,往往没有足够的损失统计资料,而且由于时间、经费等许多条件的限制,很难甚至不可能取得所需要的足够数量数据资料。根据事件的相似关系,从已经掌握的实际资料出发,运用科学的衡量方法而得到的数据,可以基本符合实际情况,满足风险衡量的需要。(四)惯性原理在风险事故发生作用的条件等大体相对稳定的条件下,利用事物发展的惯性原理,可以预
4、测未来风险事故发生的损失和损害的程度。值得注意的是,风险发生作用的条件并不是不变的,风险衡量的结果会同实际发生的状况存在一定的偏离,这就需要风险衡量不仅要考虑引发事故的稳定因素,还要考虑引发事故发生的偶然因素。二、 风险衡量的作用风险衡量的作用是降低不确定性的层次和水平。不确定性是人的主观感受,是无法直接预测的、无法准确计算的,是复杂的,掺杂着人们对风险因素的评价和风险出现概率的认识。例如,一个风险回避者,可能不愿意投机购买股票,但是如果一位在证券公司做操盘手的亲属告诉他,他们将在近期内拉升某一股票的话,这位风险回避者可能购买这一股票,并在这次炒作中获利。这位风险回避者之所以能够获利,是因为他
5、获得了准确的股票信息,降低了不确定性的层次和水平。可见,风险管理的过程是降低不确定性层次和水平的过程。(一)风险不确定性的层次和水平从上面的分析还可以看出,人们无法得到或准确预测风险的不确定性,但是,可以大致区分风险的层次和水平。风险管理的目的是降低不确定的程度和水平,争取达到较低水平的不确定性。(二)不同风险管理主体对于不确定性的程度和水平认识是不同的风险管理主体不同,认识不确定性的程度和水平是不同的。(三)合同的限制可以使不确定性的水平降低保险公司通过对承担的责任进行限制,可以使风险水平的不确定性得以降低。三、 变动程度的测定衡量风险大小取决于不确定性的大小,取决于实际损失偏离预期损失的程
6、度,而不确定性的大小可以通过对发生损失距离期望的偏差来确定,即风险度。风险度是衡量风险大小的一个数值,这个数值是根据风险所致损失的概率和一定规则的计算得到的。风险度越大,就意味着对将来越没有把握,风险就越大;反之,风险就越小。(一)方差和标准差对于随机变量X,如果X1,X2,Xn是随机变量的n个观测值,X是随机变量的算术平均数,称(Xi-X)2(i=1,2,n)为观测值Xi的平方偏差,称(X1-X)2,(X2-X)2,. ,(Xi- X)2的算术平均数为这组数据的平均平方偏差,简称方差(或均方差)。方差的算术平方根是标准差或根方差。标准差是衡量测量值与平均值离散程度的尺度,标准差越大,数据就越
7、分散,损失波动的幅度就越大,较大损失出现的可能性就越大。(二)变异系数风险的稳定性可以通过变异系数反映出来。变异系数越大,风险的稳定性越弱,风险也就越大;相反,风险的稳定性越强,损失的风险越小。变异系数是标准差与均值或期望值的比例,也称标准差系数或平均偏差系数。风险衡量中,风险的稳定性对衡量具有重要意义。某一事故偏离预期损失的方差越大,管理人员就越担心,损害也就越大。对变异系数的大小没有统一的规范,可以根据需要在一定幅度内灵活确定。一般情况下,变异系数越小,则偏差就越小,据此制定的风险管理策略就越可靠,重大风险事故发生的可能性就越小。(三)偏态前面讲过平均数与中位数的概念,在这两个指标相等的情
8、况下,变量的频数分布呈对称分布,即没有偏态。当中位数与平均数不相等时,分布就会出现偏态。当中位数大于平均数时,表明分布聚集于左边而向右边偏斜。当中位数小于平均数时,表明分布聚集于右边而向左边偏斜。四、 中心趋势测量中心趋势测量是确定风险概率分布中心的重要方法。在各种不同的测量方法中,主要有以下几种方法。(一)算术平均数算术平均数是指用平均数表示的统计指标,分为总体的一般平均指标和时序平均指标。一般平均指标是指同质总体内某个数量标志(在一定时间内)的平均值;时序平均指标是某一个统计指标在不同时间的数量平均值。(二)加权平均数加权平均数(期望值)是用每一项目或事件的概率加权平均计算出来的。(三)中
9、位数衡量损失、预测损失的另一种方法是计算中位数。中位数也称值,位于数据的中心位置。(四)众数众数是一种根据位置确定的平均数。顾名思义,众数就是分布数列中最常出现的变量值,即频数或频率最大的变量X的观测值。数列中最常出现的变量的观测值说明该变量观测值最具有代表性,因此以之反映变量的一般水平。众数具有这样的特点:众数是一种位置平均数,它不受数列中各单位变量观测值的影响,因此难以准确地反映数列变量观测值的平均水平。但是,当数列中有异常变量观测值时,它不受数列两端异常变量观测值的影响,增强其作为变量观测值数列的一般水平的代表性。由于众数是频数最大的变量观测值,因此,当分布数列没有明显的集中趋势而趋于均
10、匀分布的情况下,就无众数可言了。如果分布数列有多个众数出现就应重新分组,或将各组频数依序双双合并,求得一个有明显集中趋势的分布数列,然后再确定众数。五、 损失程度的估计风险损失程度是指风险事故可能造成的损失值,即风险价值。在衡量风险损失程度时,除了需要考虑风险单位的内部机构、用途、消防设施等以外,还需要考虑以下几方面的因素:损失形态、损失频率、损失金额和损失的时间。(一)同一原因所致各种形态的损失同一原因导致的多形态的损失,不仅要考虑风险事件所致的直接损失,而且还要考虑风险事件引起的其他相关的间接损失。一般来说,间接损失比直接损失更严重。例如,尽管汽车碰撞发生的次数大于因碰撞所致的潜在损失,但
11、是因责任诉讼所致的责任损失往往大于汽车因碰撞所致的损失,因此,一般来说,汽车责任风险的所致损失大于财产损失风险。(二)单一风险事件所涉及的损失单位数单一风险事件所引起损失的单位越多,其损失就越严重,损失程度和风险单位数大多呈正相关关系。(三)损失的时间一般来说,风险事件发生的时间越长,损失频率越大,损失的程度也就越大。估计损失程度不仅要考虑损失的金额,还要考虑损失的时间价值。(四)损失金额一般情况下,损失金额直接显示损失程度的大小,损失金额越大,损失程度就越大。在一些特殊的情况下,损失金额的大小使损失频率、损失时间的估计变得微不足道。1、单次风险事故所致损失金额单次风险事故所致的损失金额一般来
12、说不能全部列举出来,它可以在某一区间内取值,因此它是连续型随机变量。对于损失金额的概率分布,很多经验数据表明可以利用正态分布、对数正态分布、帕累托分布等来进行拟合估计。2、一定时期总损失一定时期总损失是指在已知该时期内损失次数概率分布和每次损失金额概率分布的基础上所求的损失总额。一定时期总损失金额为发生一次损失时的损失额,加上2次损失发生时的损失额,等等。为简单起见,以例子说明。3、随机模拟法的应用现实中,企业财产损失次数的分布和损失程度的分布可能是比较复杂的,所以以上逐个分析各种可能的方法太烦琐,甚至是不可能的。在这种情况下,就要应用到随机模拟的方法。随机模拟法是一种仿真的方法,通过产生随机
13、数的方法,模拟企业财产在较长时间内(如100年)发生损失的情况,从中得到年总损失额的分布。具体过程是:首先规定随机数大小与损失次数的关系、随机数大小与损失程度的关系,然后开始第一轮模拟。产生一个随机数,看其代表的损失次数,假如这个随机数代表该年发生N次损失,则再生成N个随机数,对应于每次损失中的损失额,把这N个损失额累加起来,就得到了第一轮模拟中的损失额。接下来开始第2轮,第3轮,一直模拟下去,直到达到要求的轮数。这样就可以得到年总损失额的概率分布。当然,由于总的模拟轮数偏少,表中的结果是不准确的。在这种少轮次模拟中出现的损失额其概率是偏高的。在实践中,可以采用计算机进行模拟的计算,因而可以进
14、行上万轮的模拟计算,以得到比较可靠的模拟结果。4、均值和标准差的估算有时人们只关心损失幅度的某个特征值,如均值和标准差。这时就可以直接对总体均值和标准差进行区间估算。不同的数据量,采用的方法也不同。(1)样本容量较大,已知样本均值和抽样误差,估计总体均值。(2)样本容量较小,总体为正态分布而o未知时,估计总体均值。(3)样本容量较小,总体为正态分布时,估计总体方差。(五)所需暴露单位数量的估算根据大数定律可知,随着暴露单位的数量趋于无穷大,实际的损失频率将会趋近于期望的真实损失频率。但在实际中,一个组织的暴露单位的数量绝不可能无穷大,大多数情况下这是一个有限的数字。而且在很多情况下,这个数字几
15、乎称不上“大”。因此,就存在这样一个问题:当样本不够充分大时,会导致多大的错误?也就是说,风险评估并不是百分之百地以一种概率的说法对未来进行预测,尽管概率就已经体现了不确定性,但实际中由于许多统计原理所需的条件不能满足,这种预测本身也带有一定的不确定性。对于这种情况,风险经理可能会有另一种问法:“为了有95%的把握使最大可能损失的估计值与真实值的差别不超过5%,必须有多少暴露单位?”或者说,如果风险管理者希望有(1a)的把握保证,企业面临的某种实际损失率与给定的预期损失率之差的变动程度不超过E,则风险单位数要多大才能满足上述要求?在回答这个问题时,我们假设损失是以二项分布假定的方式发生的,即风
16、险单位发生损失是相互独立的,并且每个风险单位损失发生的概率不变。这样,当n足够大时,损失近似服从正态分布。从以上影响损失的因素可以看出,风险的大小取决于损失的程度而不是损失发生的频率。风险是损失的不确定性,风险事件导致的损失频率和损失程度的大小具有随机性,损失频率和损失程度是衡量风险的两个重要指标。但是,风险的大小主要取决于损失的程度而不是损失的概率。六、 损失频率的估计通过对大量资料的统计分析,可以估算损失次数和损失幅度的概率,并建立一定形式的概率分布。常见的方法有两种:根据经验损失资料建立损失概率分布表;应用理论概率建立损失概率分布表。根据经验损失资料建立损失概率分布表。利用经验损失资料构
17、造概率分布的首要任务是使收集的资料足够多,并且具有相当的可靠性。当企业自身缺乏经验数据时,可以利用来自保险公司、同业公会、统计部门等的经验数据作补充。风险管理人员应该系统地、连续地收集相关的经验损失资料,包括风险单位的特性和数量、事故发生的日期、造成事故损失的原因、每次损失金额、每次损失事故涉及的风险单位等数据。当风险管理人员掌握了大量在相同条件下风险单位发生的损失资料后,可以通过统计整理和分析,获得经验损失概率分布,并以此预测未来发生的损失情况。根据“大数法则”随着观察样本量的不断增加,实际观察结果与客观存在的结果之间的差异将逐渐减小,估计精度不断提高。应用理论概率建立损失概率分布表。在风险
18、管理实践中,通常没有足够多的观察资料来建立损失概率分布,但是可以从中发现某些类型的损失结果呈现出某些统计规律。比如,损失事故发生的次数可以视为离散型随机变量,其概率分布服从二项分布或泊松分布,损失金额是连续型随机变量,其概率分布通常服从正态分布或对数正态分布等。由此,利用经验数据来拟合模型的待定参数后,就可以得到损失概率分布表,进而预测未来一定时期内的损失情况。在衡量损失频率时,需要考虑三项因素:风险单位数、损失形态、损失事件(或原因)。这三项因素的不同组合,会使风险损失频率的大小不同。下面举例说明风险单位数,损失形态、损失事件不同组合下的损失频率估计。(1)一个风险单位遭受单一事件所致单一损
19、失形态的损失频率。如果某一事件发生,另一事件不可能发生,这两个事件是相互排斥事件。(2)一个风险单位遭受多种事件所致单一形态的损失频率。如果两种或多种事件能在同一时期内发生,那么这些结果共同发生的概率就需要计算得到。(3)一个风险单位遭受单一事件所致多种损失形态的损失频率。(4)多个风险单位遭受单一事件所致单一形态的损失频率。多个风险单位遭受单一事件所致损失的概率取决于这些风险单位是否独立。如果两个风险单位具有这样的特性,其中一个风险单位遭受事件的损失,不会影响另一个风险单位损失的概率,则称这两个风险单位是相互独立的。如果两个风险单位是相关的,可以用条件概率来计算事故发生的概率。两个风险单位A
20、、B都发生损失的概率是两个概率的乘积:A风险单位发生的概率;在A风险单位发生事故的情况下,B风险单位发生的条件概率。在A风险单位发生的条件下,B风险单位发生的概率,称为A风险单位对B风险单位的条件概率。如果两个风险单位不相互独立,那么,计算多风险单位遭受一个风险事件的损失概率,就需要考虑条件概率。根据相关性风险单位的计算,可以得出以下几方面的结论。条件概率越大,风险单位的相关性越强。一个风险单位发生事故,另一个风险单位不发生事故的概率越小。如果两个风险单位完全相关,则一个风险单位发生事故,就意味着另一个风险单位发生事故。条件概率越大,风险单位都发生风险事故的概率越大。(5)多个风险单位遭受多种
21、损失事件所致多种损失形态的损失频率。例如,某企业仓库,要估计这6座仓库遭受火灾、爆炸、台风等损失事件所致财产损失、责任损失和人身伤亡的损失频率。七、 风险管理组织体系和企业目标的关系建立完善的风险管理组织体系的目的无疑是要保证企业风险管理目标的实现,保证企业在可承受的风险水平下运行,从而保证企业战略目标的实现。各个企业的风险管理目标根据本企业的实际情况,如战略定位和发展阶段,会有所不同。但一般企业风险管理的主要目标包括生存和使风险管理成本最小化。生存是企业的基本保障,只有生存下去了才能去实现企业的其他目标。风险管理就是以最小的代价降低企业风险,所以,风险管理成本最小化也是风险管理目标的一部分。
22、除了上述两个主要目标,企业风险管理一般还包括保证资源在损失后的充足性,满足法律与合同的义务,等等。风险管理组织体系就是为了实现企业的这些风险管理目标所设计的,企业风险管理组织体系为企业完善风险管理提供了基础。八、 风险管理组织体系标准各个企业根据自身的具体情况都有适合自己的风险管理组织体系,风险管理组织体系的设计更像是一门艺术而不是一门科学。人们仍然需要适宜的决策机构,来破除许多企业中风险管理责任空缺和重叠的僵局。关键是要在现有的管理结构的基础上发展,并把企业的经营模式、目标、文化和风险承受能力等因素纳入考虑的范围。在较小的企业中,风险管理组织机构可以像执行委员会那样简单,通过行使管理特权来识
23、别风险、排定风险和轻重缓急顺序、任命风险责任人、分析缺陷、批准行动计划和监督执行结果。但是,在规模较大且复杂的企业中,则需要设立风险管理总监和独立的风险管理委员会。九、 总经理(风险管理总监)COSO企业风险管理整合框架指出,企业总经理(首席执行官)对企业风险管理的执行,“承担最根本的职责,并应当负有主体责任”。总经理对企业全面风险管理工作的有效性向董事会负责,为企业的风险管理工作确定基调。总经理或总经理委托的高级管理人员,负责主持全面风险管理的日常工作,并负责拟订企业风险管理组织机构设置及其职责方案。总经理在企业风险管理中的主要职责有以下几点。(1)组建并管理企业风险管理职能部门,任命风险管
24、理总监(风险经理或首席风险官)。(2)安排业务职能部门的职责分工并制定风险汇报和审批机制。(3)负责设计、操作及监督风险管理系统。(4)审批非重大决策的评估报告。(5)落实董事会有关风险决策和方案。(6)组织日常风险监督和改进工作。(7)就风险管理工作计划和结果向董事会汇报。随着企业面临的风险日益扩大,风险管理工作的重要性也与日俱增。总经理往往需要委任一名风险管理总监(风险经理或首席风险官)全面负责企业风险管理日常工作,如我国的股份制银行一般设有首席风险官。风险管理总监(风险经理或首席风险官)在国外企业中由来已久,是现代企业管理中重要的高级管理人员,是公司重要的战略决策制定和执行者之一。他们的
25、工作将根据董事会、股东大会的要求,对总经理或总经理授权的副总经理负责,并根据其职责协助总经理开展工作。其职责是负责组织制定并具体执行企业全面风险管理政策和控制措施,负责建立涵盖战略风险、财务风险、市场风险、运营风险和法律风险等在内的全面风险管理组织架构。同时,风险管理总监(风险经理或首席风险官)将作为牵头人参加风险决策的评估和审批工作,确保企业按照风险控制流程进行风险管理,确保各项经营业务符合有关法律、法规和政策的要求等。风险管理总监(风险经理或首席风险官)的主要职责有以下几点。(1)确立和传达企业的风险管理愿景。(2)确定和实施适宜的企业风险管理基础设施(包括风险政策、度量指标、汇报和监督渠
26、道)。(3)建立、沟通和促进适宜的企业了解风险管理方法、工具和技术的运用。(4)推动全企业的风险评估,监督企业主要风险管理能力。(5)向董事会、风险管理委员会、审计委员会和总经理等高级管理层进行适宜的风险汇报。十、 风险管理委员会和审计委员会(一)风险管理委员会具备条件的企业,董事会应下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需要熟悉企业各项业务流程的董事,以及具备风险管理监管知识或经验的董事。风险管理委员会对董事会负责,向董事会提交风险管理决策和报告,主要履行以下职责。(1)提交全面风险管理年度报告。
27、(2)审计风险管理策略和重大风险管理解决方案。(3)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告。(4)对企业风险及管理状况和风险管理能力及水平进行评价,提出完善企业风险管理和内部控制的建议。(5)审议内部审计部门提交的综合性的风险管理监督评议审计报告。(6)审议风险管理组织机构设置及其职责方案。(7)办理董事会授权的有关全面风险管理的其他事项。(二)审计委员会企业还应在董事会下设立审计委员会。一般而言,企业审计委员会应由熟悉企业财务、会计和审计等方面专业知识并具备相应业务能力的董事组成,而其中主任委员需要由外部董事担任。审计委员会的关注焦点历
28、来仅限于公开的财务报告风险,但是这种有限的关注范围随着时间的推移也可能会有所拓宽。纽约证券交易所的上市要求明确地规定:审计委员会章程在界定审计委员会的义务和责任时,应该规定审计委员会必须讨论管理层反映出的风险评估和管理的各项政策。风险评估是内部控制的一部分内容,评价内部控制就必然会以风险作为基础,因此,审计委员会可能会询问这个流程是否有效。涵盖全企业的风险评估流程也是实施企业风险管理的有效开端。在与高级管理层讨论风险评估和风险管理时,审计委员会应当做到以下几点。(1)讨论公司是否面临可能会影响品牌形象和声誉的未来潜在事件的风险(如灾难性损失、舞弊行为、非法行动、诉讼纠纷等)。(2)了解管理层对
29、财务报告风险的评估情况,询问外部审计师是否认同前述的评估。(3)了解能诱发重大风险的财务报告方面的薄弱环节,如准备金、或有负债、估值、计算值和需要作出重大判断的披露领域。(4)了解在管理财务报告风险方面,自评和公司级及流程级监督工作的就绪落实程度。(5)了解内部审计师的风险评估和根据该评估而制定的审计计划。(6)询问有无经理人员负责关键风险的识别、评估、管理和监督工作,询问委员会是否应经常同这些经理开会,讨论其活动对公众报告及财务报告的影响意义。(7)了解管理层的企业风险评估结果及其对公众报告的财务报告的影响意义。审计委员会还负责指导监督企业内部审计部门,内部审计部门对董事会负责,其审计报告经
30、审计委员会报董事会(或主要负责人)。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,并出具监督评价审计报告。在风险管理方面,企业内部审计部门具有以下职能。(1)对企业的财务收支、财务预算、财务决算、资产质量、经营绩效及其他有关经济活动进行审计监督。(2)对企业采购、产品销售、工程招标、对外投资等经济活动和重要经济合同进行审计监督。(3)对企业全面风险管理系统的合理性、健全性和有效性进行检查、评价和反馈,对企业有关业务的经营风险进行评估和意见反馈。(4)将内部审计结果反馈董事会及其他相关机构。内部审计参与企业风险管理具有一定的优势。首先
31、,内部审计能够摆脱部门之间的利益冲突,较为客观全面地评价企业风险。其次,内部审计人员能够充当企业风险策略和各种决策之间的协调人,控制和指导风险策略。再次,由于内部审计独立于企业管理部门,其评价和结论可以直接向董事会报告,故比其他职能部门具有更大的影响力。最后,内部审计较外部审计而言具有更强的责任感,往往会就某个风险问题深入探讨分析,了解其发生的根源,探索其解决的办法。然而,由于内部审计在独立性上较外部审计具有先天的不足,所以审计委员会还必须借助外部审计师的力量,对企业风险进行评估,以降低企业的风险。十一、 风险管理信息系统的基本功能信息系统为风险管理提供数据,RMIS储存与风险相关的数据并允许
32、进行数据的检索。该系统可以为报告的编制提供输入信息,它肩负着存放与企业风险相关的所有当前和历史信息的重要作用。其中存放的信息包括风险识别文件(通过使用模板文件)、风险定性和定量评估文件、合同可交付成果(如果适用)以及其他风险报告。风险管理办公室将使用该系统的信息,编制提交给高层管理层的报告并检索日常风险管理所需要的信息。通过使用风险管理模板文件,每个风险项目都可以编制一套标准的报告,用以定期汇报使用,并且能够针对特殊要求编制特殊报告。该信息与失败报告信息系统和经验教训信息系统息息相关。具体而言风险管理信息系统的基本功能应包括以下6个方面。(1)将信息技术应用于风险管理的各项工作,建立涵盖风险管
33、理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。(2)采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据,未经批准,不得更改。(3)能够进行对各种风险的计量和定量分析、定量测试;能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。(4)实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨职能部门
34、、业务单位的风险管理综合要求。(5)确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。(6)补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统,将风险管理与企业各项管理业务流程及管理软件统一规划、统一设计、统一实施、同步运行。十二、 风险管理信息系统的构建原则管理信息系统的开发,是“三分技术、七分管理”。对于像企业全面风险管理信息系统的开发,管理领域知识显得非常重要,首先对企业风险的成因、分析与评估方法、模型的建立等要十分了解;其次对管理信息系统的开发原理和过程也要十分清楚。国外很多银行开发风险管理信息系统的经验是自主开发、借助外力、积累经验、调整
35、改进,很值得国内企业参考借鉴。企业的风险管理涉及单位的各个部门、整个运营和管理流程和全体人员,是一个复杂的系统工程。因此,建立企业全面风险管理信息系统除了要遵循信息系统设计时的一般原则之外,还要根据企业所面临的风险的特殊性及其对风险管理的特殊要求,遵循一些特殊原则。1、一般原则(1)规范系统开发过程。信息系统的建设是一项系统工程、必须按照软件工程的规律来组织系统的开发、必须建立严格的软件工程控制方法,要求开发组的每一个人都要遵守软件工程规范。经验证明,没有规范就不可能开发出用户满意的系统。(2)正确的开发策略与方法。为了保证信息系统的开发质量、降低开发费用及提高系统开发的成功率,必须借助于正确
36、的开发策略和科学的开发方法。管理信息系统的开发方法有很多种,如结构化生命周期法、企业系统规划法、战略数据规划法、原型法和面向对象法等,其中最为常用的是结构化生命周期法和原型法。对于风险管理信息系统的开发,可以采用复合的开发策略、将生命周期法与原型法相结合、以原型演化法作为系统开发的过程模型,以面向功能开发方法为主、结合面向对象和基于构件的方法进行开发,在系统分析、设计与实现中借鉴项目管理的管理思想。(3)整体性原则。企业风险管理信息系统是相互联系,相互作用的诸要素组成的综合体。必须从整体和各组成部分的相互关系来考察企业的风险,从整体目标和功能出发,正确处理各风险管理子系统之间及子系统内部各组成
37、部分之间的相互关系和相互作用。为了使这一大系统能够协调地运行,前提条件就是所有子系统的信息要素必须有统一规定,有一套公认的标准和规范。(4)分解协调原则。企业经营和业务的特殊性决定了其所面临的风险在种类、风险因素的来源上都更加复杂、多样,因此企业的风险管理的复杂性可想而知。分解协调原则,就是要求在建立信息系统时,要把复杂问题转化成若干相对简单的子问题以方便求解。在处理各类子问题时,还必须根据整个系统的整体功能和目标,协调各子系统的行为、功能与目标,以保证整体功能目标的实现。(5)目标优化原则。所谓目标优化原则对简单系统来说,是求最优解,对复杂系统来说,求的是满意解。鉴于目前在理论领域,某些风险
38、还不能用准确的量化指标来加以衡量,有些风险即使理论上已经有了评估模型,但也可能由于现实的数据问题,还不能实现。因此,企业风险管理信息系统的建立,是在目前的条件下,最大可能性地去实现风险的管理与控制,即达到目前所能达到的最满意的风险管理目标。需要指出的是,以上5原则是系统方法中处理复杂系统问题的5个主要原则,并非全部原则。在处理实际问题时,还需在这些原则的指导下,根据问题的特点,确定求解的具体方法和策略。2、特殊原则(1)易用的原则。风险管理信息管理系统不同于财务、人事等业务软件,只需要少数人经过培训、掌握使用方法就可以,而是涉及多个部门、多个岗位、多个人员的工作。因此,企业风险管理信息系统,尤
39、其是风险因素的录入系统,要在保证全面、完整地基础上,容易操作,简单易用。(2)整体性保障原则。企业风险管理信息系统是企业风险管理的数字神经系统,影响到企业经营与发展的每一个风险要素都应纳入此系统,因此,它需要与各项业务系统有通畅的信息接口,充分利用原有的系统资源。新的风险管理信息系统虽然与其他各业务系统有交接,但又独立于其他任何一个系统,其他系统的运行本身并不影响风险管理信息系统的运行,它自身是一个整体,是一个专门为企业风险管理提供技术支持的完整系统。并且,此系统内部的各功能模块,也可以独立升级、增添或自行设计开发,以保证整体信息系统的发展和完善,适应企业不断发展的需求。(3)实用性与适应性原
40、则。由于风险管理的复杂性,所以构建的该系统必须更加注意具有较强的实用性,这样才能为企业的风险管理提供技术支撑。由于很多风险是不可预知的,随着企业与环境的发展,新的风险随时可能出现,所以企业风险管理信息系统的设计,从最开始就应该适应于多种运行环境,而且还必须具有应变能力,以适应未来变化的环境和需求。例如,对某类风险及没有考虑到的风险因素,要在技术设计上为留待以后的系统改进做好准备。(4)先进性与发展性原则。风险管理信息系统是以业务信息系统为基础建立的。企业的各项业务信息,是在业务活动中产生、通过业务信息系统采集处理的。其收集和提供的信息,既有企业经营管理中产生的内源信息,又有社会经济的外源信息,
41、这些信息不仅在企业内部交流传递,而且在企业之间、企业与社会之间进行交换,是一个开放性的系统。保证风险管理信息系统能够获得足够的基础数据信息进行分析处理,必须建立一个快速有效的风险信息收集网络。因此从长远的角度考虑,要采用当代最新技术,建立一种新的、开放的现代风险管理系统。十三、 风险管理信息系统潜在损失的风险管理在信息技术应用能够有效地提升企业的风险管理水平的同时,也产生了相应的技术风险,技术风险可能存在于以下3个方面。(1)数据的安全性风险。现代信息技术的应用,使企业业务数据化,股东与企业的资产及客户与企业之间的交易都以数据的形式存储于企业的业务系统之中,数据是企业最重要的资产,数据的损失是
42、企业很大的损失。由于信息技术本身的不完备或企业管理的不到位,企业的计算机环境和业务数据系统存在被自然灾害或人为有意无意破坏的可能,应用系统、操作系统、硬件平台与复杂的网络结构任何一个方面出现问题或受到破坏,都有可能危及数据的安全。(2)系统的稳定性风险。现代企业风险管理高度依赖信息技术,然而任何技术都可能存在这样或那样的缺陷,信息系统的任何一个环节包括主机设备、存储设备、网络设备、操作系统、数据库系统、应用系统或通信线路都有可能出现故障,一旦这个缺陷和故障爆发出来,就很可能影响到企业业务的正常运行。(3)外部技术支持的风险。企业的信息化建设更新快,投入大,专业技术要求高,目前企业的很多风险管理
43、应用系统都是多种复杂技术的组合,企业不可能每项技术都自主开发,借助外部技术支持不可避免,外部技术支持的风险也就随之产生,包括信息安全、硬件设备、软件系统等。如果技术风险得不到应有的重视,将会对企业风险管理产生广泛而深远甚至是灾难性的影响。企业在借助信息化建设提升风险管理水平的同时,必须严格控制由信息技术所带来的风险,技术风险管理应对策略应包括以下3点。(1)科学制定技术风险管理策略。企业必须将技术风险管理提升到战略高度来认识和执行。企业是高负债经营的高风险企业,内部控制和风险管理在其经营管理中处于至关重要的地位。为此,企业应制定和定期评估信息技术风险管理战略,根据战略规定相应的风险管理政策,用
44、以指导技术风险管理实践。(2)建立长效的数据安全机制。技术风险管理必须以保证电子数据安全为核心。要做到以下几点:加强网络安全建设,做到银行办公网、业务系统运行网的有效分离,阻止非授权的个人和系统的入侵和破坏;对敏感数据的访问进行严格审批控制,采用哑终端在安全控制环境下访问敏感数据,授权复制敏感数据,对所获取敏感数据的操作要记入数据库管理日志;强化银行内部授权、分责的制衡机制,确保数据录入与复核之间、技术开发与管理之间、系统运行与监控之间有比较完善的分工和制衡,防止单个员工或外包商单独进入和完成一笔交易。(3)加强技术外包的管理。选择的技术外包商应符合企业自己制定的风险管理、安全和隐私保护政策的
45、标准。在签订有关协议合同之前,应对技术供应商或合伙人的技术能力、管理水平和财务状况进行适当的尽职调查,在合同条款中应当非常明确地规定各方的责任,并对技术外包进行定期独立的内部或外部审计。十四、 系统实施的任务、方法和手段(一)系统实施的基本任务使管理业务规范化、标准化、程序化,促进业务协调运作。对基础数据进行严格的管理,要求基础数据标准化,传递程序和方法的正确使用,保证信息的准确性、一致性。确定信息处理过程的标准化,统一数据和报表的标准格式,以便建立一个集中统一共享的数据库。高效低能地完成日常事务业务,优化分配各种资源,包括人力、物力、财力等。充分利用已有的信息资源,运用各种管理模型,对数据进
46、行加工处理,支持管理和决策工作,以便实现组织目标。(二)系统实施的方法和手段实施风险管理信息系统是一个环环相扣的工作过程。实施管理包括技术手段和管理手段。通过实施管理的技术手段,帮助用户了解系统的使用运行,为实施提供便利条件。此手段与一般管理信息系统相似,这里不再赘述。管理手段是系统实施和应用的成功的保证,包括以下手段。1、减少初始抵抗为了尽可能避免初始抵抗,风险管理人员应做好以下几件事。(1)将风险管理信息系统实施作为企业的一项基础工作,督促企业领导加以足够重视,增强其对系统的认同感。向每个有关的员工解释风险管理信息系统将怎样帮助他实现自己的目标。与风险管理信息系统实施过程中的操作人员保持经
47、常交流。(2)各管理部门有明确的职责分工并协调工作,信息中心积极与各业务部门配合,并接受他们的指导;制定相应的管理制度保证信息及时准确,使风险管理信息系统融为信息管理的有机组成部分;推进企业制度的改变,使传统工作方法、习惯、观念、办事原则的转变符合计算机环境下的管理工作的需要。(3)用户自始至终地参与系统建设;设计并实施一个培训计划,目的是让每一个人对新的风险管理信息系统和新的程序感到适应。建立及时“帮助”设施。例如,指派专人去现场设置专用电话,以便于风险管理信息系统在安装过程中出现问题能够立即得到解决。2、平稳地影响日常事物风险管理人员应该对一些基本工作制定一个实施计划和完成这些任务的目标,
48、制订详细的系统实施方案,有步骤、有计划地推进系统应用。为了保证新的风险管理信息系统能达到预期目标,风险经理应对数据和系统操作的正确性加以考虑。因此,需要风险管理人员制定一个可以接受的测试计划和可接受的测试标准。3、对新系统实施后产生的变化作出迅速反应实施一个新的风险管理信息系统将对一些人的角色、责任和报告关系产生一些变化,它也将导致处理过程的变化。对间接信息使用者来讲,从风险管理信息系统上得到的信息的形式和内容也将发生潜在的变化。风险管理人员必须随时对严重影响风险管理信息系统平稳工作的不利影响作出反应,如经过培训的人员辞职或被提升。但如果替代人员已经过培训并且立即可以工作,那么这种不利影响将会缩减到最低限度。十五、 我国企业风险管理信息系统的必要性随着人类进入知识经济时代,信息技术的高度发达及在管理领域的广泛和深入应用,使得企业的经营环境和经营模式不断变化。中国企业因在对外担保、对外投资、资产重组等经营过程中