第一篇:花旗银行内部控制和风险评估
花旗银行内部控制和风险评估
通过 “内部控制和风险评估”这门课学习,我们知道风险管理包括内部控制建设、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个方面。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控五个方面。从风险管理和内部控制的主要因素来看,内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的识别和管理。相反,如果没有良好的内部控制系统,往往会导致企业无法对风险进行有效的识别和防范,最终可能导致破产甚至倒闭。为了进一步了解认识“内部控制和风险评估”的意义与作用,我决定去调研一家500强企业---花旗集团。
以下文章分为2个部分,我们在第一个部分把花旗集团的发展历史和发展现状作一个简单回顾;第二个部分就主要分析花旗集团的内部控制和风险评估管理模式及对我们启示。
花旗集团
花旗集团(Citigroup Inc.,以Citi为商标)总部位于美国纽约市,为世界上最大的银行及金融机构之一,于1998年由花旗公司及旅行家集团合并而成,并于同期换牌上市。花旗集团的历史由花旗银行的成立为起点,花旗银行是1955年由纽约花旗银行与纽约第一国民银行合并而成。花旗集团是美国第一家集商业银行、投资银行、保险、共同基金、证券交易等诸多金融服务业务于一身的金融集团。
一、发展历史
花旗银行是1955年由纽约花旗银行与纽约第一国民银行合并而成的,合并后改名为纽约第一花旗银行,1962年改为第一花旗银行,1976年3月1日改为现名。该企业在2007年度《财富》全球最大五百家公司排名中名列第十四。
1968年花旗银行走出了公司战略决策的重要一步--成立银行控股公司,以其作为花旗银行的母公司。由于美国银行法对银行与证券业务实行严格的分业管理,规定商业银行不许购买股票,不允许经营非银行业务,对分支行的开设也有严格的限制。为了规避法律的限制,花旗银行把自己的股票换成其控股公司即花旗公司的股票,而花旗公司资产的99%是花旗银行的资产。数十年来,花旗银行一直是花旗公司的“旗舰银行”,20世纪70年代花旗银行的资产一直占花旗公司资产的95%以上,80年代以后有所下降,但也在85%左右。花旗公司共辖13个子公司,提供银行、证券、投资信托、保险、融资租赁等多种金融服务(按照当时法律要求,非银行金融业务所占比例很小)。通过这一发展战略,花旗公司走上了多元化金融服务的道路,并在1984年成为美国最大的单一银行控股公司。
1998年4月6日,花旗公司与旅行者集团宣布合并,合并组成的新公司称为“花旗集团”,其商标为旅行者集团的红雨伞和花旗集团的兰色字标。花旗公司与旅行者集团合并组成的花旗集团,成为美国第一家集商业银行、投资银行、保险、共同基金、证券交易等诸多金融服务业务于一身的金融集团。合并后的花旗集团总资产达7000亿美元,净收入为500亿美元,在100个国家有1亿客户,拥有6000万张信用卡的消费客户。从而成为世界上规模最大的全能金融集团之一。
2014年4月8日,花旗集团宣布,该集团将支付11.3亿美元,了结有关该集团在金融危机期间出售抵押贷款支持债券的指控。
花旗集团在2014年《财富》世界500强企业最新排名中排名全球第82名。
二、企业文化
“以人为本”是花旗银行自创业初始就确立了的企业文化的核心战略。他们十分注重对人才的培养与使用。它的人力资源政策主要是不断创造出“事业留人、待遇留人、感情留人”的亲情化企业氛围,让员工与企业同步成长,让员工在花旗有“成就感”、“家园感”。花旗银行CEO桑迪·维尔的年薪高达1.52亿美元,遥居美国CEO的前列;再以花旗银行上海分行为例,各职能部门均设有若干副经理职位,一般本科毕业的大学生工作3年即可提升为副经理,硕士研究生1年就可提升为副经理,收入则是中国同等“职级”的几倍甚至几十倍。
“客户至上”是花旗银行企业文化的灵魂。花旗银行企业文化的最优之处就是把提高服务质量和以客户为中心作为银行的长期策略,并充分认识到实施这一战略的关键是要有吸引客户的品牌。经过潜心探索,花旗获得了成功。2006年花旗银行的业务市场覆盖全球100多个国家的1亿多客户,服务品牌享誉世界,在众多客户眼里,“花旗” 两字代表了一种世界级的金融服务标准。
“寻求创新”是花旗银行企业文化的升华。在花旗银行,大至发展战略、小到服务形式都在不断进行创新。它相信,转变性与大胆性的决策是企业突破性发展的关键,并且如果你能预见未来,你就拥有未来。这就是说,企业必须永无止境、永不间断地进行创新。
三、品牌
花旗集团有很多品牌,他们基本覆盖了生活的方方面面,而且花旗银行在中国也有了长足的发展。具体品牌如下:
*
花旗银行-提供商业银行服务 *
Banamex-墨西哥最大的银行 *
Banco Cuscatlan-萨尔瓦多最大的银行 *
Banco Uno-中美洲最大的信用卡机构 *
花旗贷款
*
花旗保险-提供保险服务 *
花旗资本 *
花旗财务
*
大来信用证* Primerica *
史密斯·巴尼·希尔森-股票承销商、投资银行和资产管理公司 *
CitiCard *
Credicard Citi-巴西信用卡业务 *
Egg Banking plc-英国投资银行 *
CitiStreet 花旗集团在中国的历史可追溯至1902年5月,是首家在中国开业的美国银行。至2006年,花旗银行已是中国顶尖外资银行,为客户提供最广泛的金融产品。花旗银行分别在北京、上海、广州、深圳和天津设立企业与投资银行分行;在上海和北京设立个人银行营业网点;在厦门和成都设有代表处;中国区总部也设在上海。作为花旗集团在全球100多个国家网络的一部分,花旗银行是中国最具全球性的外资银行。花旗银行在中国主要为跨国公司、合资企业、本地企业和个人提供广泛、多样的金融服务。花旗银行通过不断创新,始终站在行业发展的前沿。2005年,花旗集团国际投资有限公司负责在中国的投资业务推广。花旗银行在中国多年,获得了良好的发展。2003年8月,被Euromoney中国授予“中国最受青睐的外资银行”和“中国受欢迎的资金管理银行”;2004年6月3日,花旗银行成为首家在华开设财富管理中心(CitiGold Center)的外资银行,花旗财富管理中心在上海新天地落户开张;
花旗银行内部控制和风险评估管理模式及启示
内部控制和风险管理是商业银行经营管理中的两项重要内容,在当今银行业发展日益规范化、国际化的今天, 学习、研究西方商业银行先进的管理经验和模式, 对提高我国商业银行的竞争力和抗风险能力具有重要意义。
一、花旗银行内部控制和风险评估管理的双层构架
花旗银行通过建立内部控制和风险评估管理模式, 即C C R A
(Corporate Control and Risk Assessment)来实施风险管理, C C R A的总体目标是为了预替风险、控制风险, 促进业务的顺利进行和股东权益的增加。从组织框架看, C C R A 可分为两个层次的内容。第一个层次是指C C R A 工作组对花旗银行全球分支机构业务的审查、监控、纠错和评价。为保证组织机构的独立性和权威性,C C R A 工作组实行派驻制, 即由设在纽约总行的C C R A 工作组总部向全球100 多个国家和地区派驻3200 多个CCRA 代表处。花旗银行对CCRA 代表处员工素质的要求极其严格, 通常, 代表处员工分为全能人才、资深专家和负责代表处之间业务联系的全球协调员三类人才, 其中资深专家有零售业务专家、公司业务专家、政策制度专家、信息技术专家等。
CCRA代表处的工作是花旗银行风险管控的主体, CCRA代表处的员工素质决定了花旗银行风险管理的水平。
CCRA的第二个层次是花旗银行的整体风险控制管理, 这项工作由审计委员会、审计工作组和经营检查委员会三个组织来实施。审计委员会是花旗银行级别最高的风险管控机构, 它由花旗银行的一些董事组成, 直接对董事会负责。审计委员会实行每季例会制度, 对国家风险、银行战略风险等最高层次的风险进行讨论、分析, 并向董事会提交报告。审计委员会下设审计工作组和经营检查委员会两个组织, 审计工作组由花旗银行的部分高级管理人员组成, 它依据CCRA代表处的报告有针对性地对一些诸如重大风险、特殊风险等案例进行深人调查、分析和监控;经营检查委员会的成员也是一些高级管理人员, 它负责处理CCRA工作组总部提交的报告, 检查CCRA工作组的业务情况, 对一些严重违规或风险失控的分支机构作出最终处理决定。花旗银行CCRA的双层构架如图所示。
二、CCRA代表处的工作内容
1、风险分析, 风险分析是CCRA代表处的一项日常工作, 它包括两个方面的内容: 一是为花旗银行高层管理人员提交宏观风险分析报告, 这包括风险窗口中的18 项内容, 即国家风险、行业风险、产品风险、价格风险、房地产、自然灾害、人身安全、风险等级变动、竞争对手、技术发展、特许权、限制因素、资本实力、商品市场、销售状况、流动性风险、对外依存度、企业内控等;二是对被检查单位内部环境的风险评估。花旗银行通过对被查单位的经营战略思想、规章制度、权力约束、企业文化、经营风险、财务风险、机构和人员风险信息系统风险等的了解和分析, 来确定被查单位的风险度(花旗银行的风险度分为高、中、低三个档次)。此项风险分析的结果是CCRA人员确定检查范围、深度和检查周期的重要依据。
2、实施内控检查,CCRA代表处对被查单位的检查包括以下几个关键步骤: 首先是部署任务, 即确定审计检查的性质、范围和程度;第二是组建审计小组, 明确人员分工;第三是收集资料, 实施非现场审查, 如对业务动态、财务报告、以前的审计报告等进行分析审查;第四是制定详细的检查计划, 对范围广、内容多的较大的审计项目, 还组织试点工作;第五是实施全面的现场审计检查。在此基础上, 审计小组向CCRA代表处和纽约总部的CCRA工作组提交详细的报告(花旗银行称这种文件为“ 红夹子报告”), 并就检查中出现的问题向被审查单位提出整改意见。此后, 审计小组还将对被审单位实施跟踪检查和监控, 提交后续的“ 红夹子报告” , 如果审查案例符合规定,CRA工作组还会向审计工作组或经营检查委员会作专门报告。
3、内控评级和持续检查,CCRA人员通过检查— 报告— 跟踪— 再报告等一系列过程, 逐步了解被检查单位的管理水平, 从而对其内控水平进行评级。花旗银行的内控评级采用打分制, 得1 一2 分的单位属于内控水平不满意类型, 得3 分的位内部控制为中等水平, 得4一5 分的单位属于内控水平满意类型。CCRA代表处依据内控水平评级结果和风险度情况, 运用矩阵图原理确定对被审查单位进行持续检查的频率, 如对内控水平不满意、风险度较高的单位, 实施12 个月一次的例行全面检查, 对内控水平满意、风险度低的单位而言, 这种检查的周期是42个月。
三、启示
花旗银行的CCRA模式对加强我国商业银行的内控机制建设具有很好的借鉴之处。
1、加强风险监控的组织队伍建设。首先, 要保证组织队伍的独立性,花旗银行的CCRA 代表处直接对纽约总部负责, 人员同其他经营管理人员完全分离, 薪金由总部直接支付,其组织形式是一种由上而下的垂直管理模式, 这保证了风险监控人员在免受权力和利益驱动的情况下, 客观、公正地开展工作、履行职责。其次, 要树立风险监控的严肃性, 花旗银行的CCRA组织对审查结果有较大的处置权, 尤其是审计委员会和经营检查委员会有权要求被审查单位限期纠正不当行为、对责任人进行处理。花旗银行认为, 对被审查单位的间题不及时处置并实施后续监控, 比未能发现问题的失控行为更严重, 花旗银行的这种观点是值得我们深思的。第三, 要树立风险监控队伍的权威性, 花旗银行的CCRA组织对人员有优先选择权, 因此, CCRA人员都是从业务线上选出来的优秀人才,他们精通各项制度和业务操作程序,熟悉经营管理活动中的风险环节, 他们对间题的判断和评级具有较高的权威性。
2、重视风险分析。商业银行的经营活动中存在着许多不确定因素, 防范和化解风险, 保护银行资产, 必须要有足够的风险意识和识别、量化风险的能力。花旗银行CCRA人员对风险窗口中的18 类风险进行分析,还具体评定被审查单位的风险度, 可见其对风险分析的重视。在当前的金融环境下, 我国商业银行不仅应该充分认识面临的来自外部、内部的各类风险, 而且要认真分析多年来风险失控的具体表现及原因, 使管理工作有的放矢, 防微杜渐。
3、客观评价内控水平。花旗银行把内控水平评级作为内部控制的一项重要工作来抓, 通过打分评级, 可以客观反映全球机构的风险管理水平, 而不象国内商业银行那样仅凭表面情况、甚至是主观感觉来判断分支机构的管理水平。科学的打分评级制度还有助于各级机构找出差距, 逐步提高内部控制和风险管理水平。花旗银行经过多年的努力, 其分支机构中内控水平得1 一2 分的仅占全球机构总量的l %, 得分为3 分的机构比重在9% 左右, 得分为4 一5 分的, 即内控水平属于满意级别的, 比重约为90%。
4、摆正内部控制与外部审计的关系。花旗银行的官员认为。商业银 行的内部控制和外部审计在根本目标上是一致的, 两者都是为了范和控制银行风险, 只是前者是从银行自身利益出发实施风险管理, 而后者侧重于银行的经营性风险和整个金融业的安全。对花旗银行而言, 其良好的内部监控机制有助于外部监管效率和质量的提高, 同时, 花旗银行也借助外部监管的力量来促进内控机制的完善, 美联储定期对花旗银行的内控机制进行检查、评价, 此外, 花旗银行还专门聘请毕马威国际会计师事务所定期检查CCRA的各种情况, 如CCRA的独立性、检查范围和方法、频率、控制手段等。
第二篇:信息系统的内部控制与风险评估
浅谈如何加强信息系统内控建设防范安全风险
仲婕
江苏省电信有限公司苏州分公司
摘要:如何保证信息系统处理流程规范,系统数据安全完整准确,内控制度落到实处,本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词:信息系统、内控制度
随着电信企业各项生产运营系统的建立与使用,各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。
近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题,利用信息系统可以将人工处理的程序、模型预先设计好,帮助企业高效率地管理生产过程,帮助企业及时获取并提炼重要的信息,以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求,信息数据是否完整准确,却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查,分析系统的安全风险,堵塞系统漏洞,切实发挥信息系统在企业发展决策方面的支撑作用。
日前获悉,某电信运营企业因小灵通预付费系统超级密 码被盗,导致被非法制作了1000多万元的小灵通充值卡,至案发时已全部充值消费,给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益,对企业是至关重要的。
本文将就信息系统如何加强内部控制、防范安全风险谈几点看法:
一、信息系统从开发建设起就必须建立一套完整的内控流程
1、信息系统程序设计必须健全数据核对环节,保证数据准确
信息系统能提高企业管理效率,提升企业服务水平,提高企业竞争应变能力,但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程,其中发生了部分溢出、丢失或变异,那么信息系统会输出错误的数据,经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢,一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。
2、信息系统建设必须考虑数据安全存放,保证数据安全
一般情况下数据是否安全主要考虑两个方面,一是数据库是否安全,能否防止非法访问,如果发生有非法访问,或是发生恶意修改、篡改数据情况的,系统是否会留下记录,能否及时告警。另外一方面是数据存放介质是否可靠,有无备份,重要数据是否异地存放,防止自然灾害对数据安全的危害。
根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类,A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质,严格建立实时的异地备份,以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划,采用两种以上介质存储、两个不同机房存放等方法。
3、信息系统开发要考虑设置严谨的密码策略,杜绝非法入侵
信息系统必须建立用户身份的验证机制,对信息系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略,对于超级用户则需要按照’8901’来设置密码,位长不少于8位,更新周期同普通用户。
在对电信企业信息系统进行内控评估时,发现较多的系统存在用户名、密码共用的现象,不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问,发生 问题时也无法落实责任。因此有此现象的应当确认为重要缺陷,必须立即整改。
二、信息系统运行维护要严格遵守内控规定
1、用户账号变更严格履行审批
对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部或用户所在部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。
在对某电信企业信息系统进行内控评估时,发现用户账号的创建、修改缺少书面审批资料,无法证明是否经过必要的授权,因此被认定为内控执行缺陷。
2、重要操作要严格执行复核、审批制度
对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度,即一人操作、一人复核再加上主管审批,防止误操作,影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账,这也是遵循内控规定的重要体现。以电信企业的计费系统为例,系统操作人员需要根据营销政策对批量用户进行赠送话费操作,此操作会影响一大批用户的预存款余额,不能发生任何 4 差错。操作人员要将营销政策的文字信息转化为计算机语言,既不能送错对象,也不能多送或少送,所以此类重要操作就必须严格执行复核、审批制度。
3、系统操作要有完善的记录
一般信息系统本身会具有记录的功能,将维护人员的维护操作全部记录下来,生成专门的维护日志,供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能,不是所有重要操作都能记录系统中,在这种情况下,必须要求系统操作人员作好手工记录,记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。
4、不相容职务严格分离
《内部会计控制规范》中只是说“不相容职务主要包括:授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上,一个企业或一个组织因业务种类、机构设置不同,所要明确的不相容职务是不尽相同的,既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题,如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性,谨防信息系统本身出现重大风险。以电信企业为例,信息系统运用广泛之后,产生了许多电子化虚拟货币如Q币、电子卡等有别于传统货币的实物,无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作,但作为系统管理的虚拟实物还必须要建立这样的职务分离制度,负责管理虚拟实物部门(即系统维护部门)与购买、销售部门分离,实物管理部门与会计记账部门分离,建立相互核对、相互监督的内控工作制度,以两个不同系统的数据核对,或以人工计算核对等方法来验证信息系统数据的完整。以Q币为例,在电信企业就经历购买、入库、销售、计费、记账等诸多环节,购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行,相互之间建立进行定期对账机制,以保证Q币的购销存业务流程闭环管理。
我们都知道不相容职务分离是内部控制的核心,在信息化环境下,更加需要强调不相容职务分离原则,因为业务管理流程经过信息系统固化之后,所有人员都会在系统中承担一个或多个角色,角色分配结果在一段时间内是不会发生变化的,这些角色之间是否是不相容职务,是否会存在因分工不当导致舞弊行为的发生,都直接影响信息系统的安全性。
三、内审部门要加强信息系统的内控评估,堵塞漏洞防范风险
1、信息系统审计评估需要关注的重点内容 对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求,认真开展检查评估。
在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范,用户权限设置是否经过授权,是否存在数据安全风险,又要关注不同信息系统之间有无建立数据接口,是否进行数据核对,是否将不相容职务分离,相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。
2、信息系统审计评估需要运用的方法
信息系统评估方法与业务流程内控评估方法基本相同,主要有:询问、文件检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法,像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法,通过审阅相关文档记录来判断各项内控措施是否得到有效执行。
3、信息系统审计评估重要目的是落实缺陷整改
通过对信息系统内控制度的检查评估,发现内控缺陷,目的是针对内控缺陷制定合理的整改方案,确保缺陷得到修正,风险得到控制。信息系统数据的安全完整准确是内审部门开展内控评估的唯一目的。
第三篇:风险管理和内部控制之我见
银行的风险管理与内部控制之我见
加入中国银行的员工行列已有半年的时间,这短短的半年时间让我对银行的风险管理与内部控制又有了进一步的认识。商业银行资产负债的状态决定了商业银行是一种不同于工商企业的特殊企业,其显著特点是高风险性、盈利性。银行在追求其价值最大化的经营过程中与其经营目标相对称的是高经营风险。银行经营面临的风险有环境风险、管理风险、支付风险和金融风险。显然银行除了面对一般企业常见的风险之外还有特殊的风险,即使是与一般企业相同的经营风险,也由于商业银行资产负债结构上的特点而是银行承受的这类风险具有特殊性。因此,商业银行的风险管理就显得尤为重要。商业银行风险管理体现在其资产负债的总体经营及其各项业务中,突出表现在风险预测和内部控制。
就字面而言,风险管理与风险预测有很大的差别。风险预测的目的就是为了更好地进行风险管理,而针对风险预测的结果所采取的一系列的降低风险的内部手段就是内部控制。即:风险预测是风险管理的一个重要环节,同时也是内部控制的前提条件。
商业银行的内部控制是银行风险管理的重要环节。从广义上讲,商业银行的内部控制应以商业银行经营过程中遇到的所有风险为对象。很显然,商业银行内部控制仅限于对商业银行内部风险的控制,它通过建立自我约束和控制机制发挥作用。我从中国银行的官方网站上了解到中国银行建立了内部控制三道防线:全行各级机构、各业务管理部门和每个员工在承担业务发展任务的同时也承担内部控制的责任,是内部控制的第一道防线,通过自我评估、自我检查、自我整改、自我培训,实现自我控制。法律合规部门与业务条线部门负责统筹内部控制制度建设,指导、检查、监督和评估第一道防线的工作,是内部控制第二道防线。稽核部门负责通过系统化和规范化的方式,检查评价全行经营活动、风险管理、内部控制和公司治理的适当性和有效性,是内部控制的第三道防线。这内部控制的三道防线明确了我中国银行经济活动在内部流转管中各个职能部门的责任;有效的减少、控制了潜在风险损失。
中国银行遵循“适中型”的风险偏好,并按照“理性、稳健、审慎”的原则处理风险和收益的关系。中国银行风险管理的目标是在满足监管部门、存款人和
其他利益相关者对银行稳健经营要求的前提下,在可接受的风险范围内,实现股东利益的最大化。
但是,我们还应看到虽然中国在风险管理中的作为在中国商业银行中占有佼
佼者的地位,依然不能掩饰中国风险管理与西方银行风险管理的差距:
首先,我们在风险管理的认识上还存在差距。一位国内知名的经济学家曾说
过,风险和利润(回报)是同一枚硬币的正反两面,彼此不能分离。“在国外银行,十分重视风险——收益匹配的原则,把控制风险和创造利润看做同等重要的事情。但在我国商业银行中,对风险管理和业务发展的关系认识还有差距,一方面,一部分业务人员(也包括我)往往错误地把风险管理摆在业务发展的对立面上,不能正确地评价风险,不能正确地看待风险,认为风险管理是阻碍业务发展的。另一方面,部分风险管理人员不能研究业务、研究市场、研究效率,简单认为少发展业务就可以控制风险,通过否定业务逃避承担风险,使很多该发展的业务发展不了,反而降低了银行的整体抗风险能力。”①
其次。信息技术上的差距。目前,我国商业银行改善风险管理方法最大的障
碍是风险管理信息系统建设严重滞后,风险管理所需要的大量业务信息缺失,银行无法建立相应的资产组合管理模型,无法准确掌握风险敞口,风险管理信息失真,直接影响到风险管理的决策科学性,也为风险管理方法的量化增添了困难。
但值得欣喜的是,我国商业银行的风险管理和内部控制都也高速的发展和完
善,尤其是我们中国银行,作为中国四大国有商业银行之一的我们,始终走在发展创新的最前列。在风险管理和内部控制的改革中,对国外商业银行的理念去其糟粕,汲取精华。不断地自我完善。
作为一个刚入行不到一年的新近员工,对于企业的一些外部风险及管理风险
我还没有太过与深入的认识,但对目前的自己岗位涉及的一些管理的风险,我却有了深刻的认识,如对服务对象分身的识别,联网核查等方式就是降低这种风险的有效手段。针对我们一线柜员,我行采取事前防范、事中控制、事后监督和纠
正的动态过程和机制。一系列的内部控制措施让我提高了自身素质。
XXXX
2011年11月29日 ① 《论商业银行风险管理》[D]2009年11月20日
第四篇:7-行政事业单位内部控制风险评估-1
风险评估(1)
第一节行政事业单位的风险
风险是指组织在未来经营中面临的、可能影响其经营目标实现的所有不确定性。
风险又分为固有风险和剩余风险。固有风险是指在管理当局未采取任何措施的情况下组织所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。在市场经济条件下,市场上的任何主体都面临着各种来自外部和内部的风险。
一、行政事业单位的外部风险
行政事业单位是在一定的社会经济环境中履行自身的社会管理职能和为社会提供公共服务的活动,其面临以下风险:
1.法律政策风险。
2.经济风险。
3.社会风险。
4.自然灾害、环境状况等自然环境因素以及其他因素产生的风险。
二、行政事业单位的内部风险因素
行政事业单位经济面临以下内部风险:
1.管理风险
2.道德风险
3.财务风险
4.营运安全、员工健康、环境保护等安全环保因素以及其他因素产生的风险。
第二节行政事业单位的风险评估
风险评估是组织及时识别、系统分析运行活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。
内部控制中的风险评估的概念有广义和狭义之分。此处的风险评估是一个比较宽泛的概念,包括了风险管理的全过程,即设置目标、风险识别、风险分析、风险应对。
就行政事业单位而言,风险评估是指内部控制应该能够有效防范和遏制履行其职责和自身管理过程中必须面对的风险,或者将风险控制在可以接受的范围和程度之内。
管理者要对单位的外部风险进行评价和分级,并了解风险变化的情况;各职能部门应通过每月的管理服务活动分析向管理层汇报其所了解的风险并提出风险管理方案。
管理层应建立一定的监控和沟通机制,使业务部门将其在日常管理中意识到的内部风险向管理层及时汇报并提请其注意;同时,内部审计应采用以风险为导向的审计方法,对单位和个人进行高层次风险评估,从策略管理机制、核心业务流程以及资源管理机制等方面对单位的业务流程风险,尤其是内部风险进行评级,并取得适当管理层的确认。行政事业单位风险评估是一个持续反复的过程,一次风险评估并不能一劳永逸。课堂练习[多选]
行政事业单位风险评估是一个持续反复的过程,一次风险评估并不能一劳永逸。行政事业单位风险评估的主要任务包括()。
A.识别组织面临的各种风险
B.评估风险概率和可能带来的负面影响
C.确定组织承受风险的能力
D.确定风险消减和控制的优先等级
显示本题答案
答案:ABCD
【答案】ABCD
1.行政事业单位进行单位层面的风险评估时,应当重点关注以下方面:
(1)内部控制工作的组织情况。
(2)内部控制机制的建设情况。
(3)内部管理制度的完善情况。包括内部管理制度是否健全;执行是否有效。
(4)内部控制关键岗位工作人员的管理情况。
(5)财务信息的编报情况。
(6)其他情况。
2.单位进行经济活动业务层面的风险评估时,应当重点关注以下方面:
(1)预算管理情况。
(2)收支管理情况。
(3)政府采购管理情况。
(4)资产管理情况。
(5)建设项目管理情况。
(6)合同管理情况。
(7)其他情况。
【案例】实行会计集中核算,推进源头治理腐败
【案例启示】国库集中收付制度是市场经济国家采取的通用收付方式,也是我国财政制度改革的内容之一。
它能实现对财政预算执行全过程资金流的控制、监督和信息及时反馈,改变财政资金多
环节拨付、多户头存放的弊端。
在推行国库集中收付制度的过程中,主管部门认为,既然建立了国库支付中心,就没有必要成立财务结算中心,要求以国库支付中心取代财务结算中心。
珠海等地的一些同志认为,财务结算中心与国库支付中心并不矛盾,前者是政府的“大会计”,后者是政府的“大出纳”,会计改革与预算改革、国库改革是财政管理体制改革的三个重要环节。
三者是相互联系、互为依靠、优势互补的关系,配套改革、有机结合才能取得最佳效益。
第三节行政事业单位风险评估的内容
一、目标设定
风险总是与特定目标的实现相联系。
风险评估首先要设定目标。设定目标是风险评估的前提条件。
风险是与目标伴随的,首先必须有目标,管理层才能对影响目标实现的风险进行识别。目标包括单位整体层面的目标和业务层面的目标。
行政事业单位在确定风险承受度时应当考虑的内容包括:
① 法律、经济方面的限制。
② 控制程度。
③ 风险转移的可能程度。
④ 机会成本。
⑤ 成本和效益。
行政事业单位只有根据设定的风险承受度,才能全面系统持续地收集相关信息,最后结合实际情况,及时进行风险评估。
课堂练习[多选]
行政事业单位在确定风险承受度时应当考虑的内容包括()。
A.法律、经济方面的限制
B.控制程度
C.风险转移的可能程度
D.机会成本
显示本题答案
答案:ABCD
【答案】ABCD
第五篇:开展内部控制风险评估
篇一:《行政事业单位内部控制风险评估》
第一节 行政事业单位的风险
风险是指组织在未来经营中面临的、可能影响其经营目标实现的所有不确定性。
风险又分为固有风险和剩余风险。固有风险是指在管理当局未采取任何措施的情况下组织所面临的风险;而剩余风险则是在管理当局进行风险应对之后所残余的风险。在市场经济条件下,市场上的任何主体都面临着各种来自外部和内部的风险。
一、行政事业单位的外部风险
行政事业单位是在一定的社会经济环境中履行自身的社会管理职能和为社会提供公共服务的活动,其面临以下风险:
1.法律政策风险。2.经济风险。3.社会风险。
4.自然灾害、环境状况等自然环境因素以及其他因素产生的风险。
二、行政事业单位的内部风险因素 行政事业单位经济面临以下内部风险: 1.管理风险 2.道德风险 3.财务风险
4.营运安全、员工健康、环境保护等安全环保因素以及其他因素产生的风险。
第二节 行政事业单位的风险评估 风险评估是组织及时识别、系统分析运行活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。
内部控制中的风险评估的概念有广义和狭义之分。此处的风险评估是一个比较宽泛的概念,包括了风险管理的全过程,即设置目标、风险识别、风险分析、风险应对。
就行政事业单位而言,风险评估是指内部控制应该能够有效防范和遏制履行其职责和自身管理过程中必须面对的风险,或者将风险控制在可以接受的范围和程度之内。
管理者要对单位的外部风险进行评价和分级,并了解风险变化的情况;各职能部门应通过每月的管理服务活动分析向管理层汇报其所了解的风险并提出风险管理方案。
管理层应建立一定的监控和沟通机制,使业务部门将其在日常管理中意识到的内部风险向管理层及时汇报并提请其注意;同时,内部审计应采用以风险为导向的审计方法,对单位和个人进行高层次风险评估,从策略管理机制、核心业务流程以及资源管理机制等方面对单位的业务流程风险,尤其是内部风险进行评级,并取得适当管理层的确认。行政事业单位风险评估是一个持续反复的过程,一次风险评估并不能一劳永逸。
篇二:《事业单位内部控制与风险管理分析》
事业单位内部控制与风险管理分析
摘要:由于市场结构逐渐趋于复杂化,竞争逐渐提高,使得目前事业单位的内部控制以及风险持续加强,甚至会出现危机。内部控制属于强化风险管理,是用于规范管理行为的主要保护措施。事业单位 因其性质较为特殊,使得完善内部控制以及强化风险管理更加具有意义。关键词:事业单位 内部控制 风险管理
事业单位内部控制是为了更好的保护、防范以及控制财务风险,提升资金的使用率,以此更好的对事业单位内部控制进行编排。由于事业单位的快速发展,筹资渠道逐渐丰富,出现了内部控制的需求,可是其内部依旧具有资产管理紊乱、预算管理随意、对外投资盲从、财务监管不当等内部不完善的现象,使得需要面对较大的财务风险。在这样的状况下,财政部颁布了《行政事业单位内部控制规范(试行)》,并在2014年1月1日开始实施,如何可以让事业单位能够有意识的进行实施,成为了事业单位急需处理的问题。
一、事业单位内部控制内涵
(一)事业单位内部控制定义和特点
事业单位内部控制就是指为了实现事业单位的管理目标,将财政部门预算管理当做主线,透过制定并进行科学合理的控制程序以及方法,面对事业单位财务会计管理风险采取有效识别、监督和控制的机制。
从理论角度来讲,内部控制属于一个持续发展并完善的过程,而且处在组织经营管理活动的整体过程当中,而事业单位的内部控制体系就是在这样的管理活动当中创建起来的,是通过内部管理人员一步一步总结和完善才构成的自行调整以及自我监督的体系,主要包含了四个方面:
首先,控制环境。控制环境指的是组织实施内部控制的基础,通常包含了治理结构、机构设置以及权责分配、人力资源政策、内部审计等等。其次,风险评估。风险评估值的是组织和识别以及系统分析经营活动里同实现内部控制目标有关的风险,积极制定有效的风险应对措施。
再次,信息沟通。信息和沟通属于组织正确、及时的采纳、传递同内部控制有关的信息,保障信息在组织内部以及外部之间获得有效的沟通。
篇三:《行政事业单位内部控制风险评估》
二、风险识别
风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。
风险识别作为风险评估过程的重要环节,主要回答的问题是: 存在哪些风险?哪些风险应予以考虑?引起风险的主要因素是什么?这些风险所引起的后果及严重程度如何?风险识别的方法有哪些等。
行政事业单位在识别风险时,必须明确: 1.风险识别必须与目标联系。
2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注单位各个层面的风险。
单位在风险评估过程中,应当更关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。
1.行政事业单位在识别内部风险时,应当关注和考虑的因素包括:
(1)管理层的职业操守、员工专业胜任能力等人力资源因素;(2)组织机构、经营方式、资产管理、业务流程等管理因素;(3)研究开发、技术投入、信息技术运用等自主创新因素;(4)财务状况、经营成果、现金流量等财务因素;(5)营运安全、员工健康、环境保护等安全环保因素;(6)其他有关内部风险因素。
上述因素的现状往往是风险存在的基础,上述因素的变动则往往会诱发新风险的产生。
2.行政事业单位在识别外部风险,应当关注和考虑的因素包括:(1)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
(2)法律法规、监管要求等法律因素;
(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
(4)技术进步、工艺改进等科学技术因素;(5)自然灾害、环境状况等自然环境因素;(6)其他有关外部风险因素。
上述因素实际上是行政事业单位履行管理职责和提供公共服务的外部环境,外部环境的变动必然会影响到行政事业单位的各项管理和经营活动,有可能给单位带来新的风险。
行政事业单位应选择适当的风险识别方法,保证风险识别的规范性和科学性,具体措施有:{事业单位内部控制风险评估报告}.1.建立科学的风险识别方法体系。2.对风险识别方法进行规范化和制度化。3.利用历史事件。4.建立损失事件数据库。行政事业单位进行风险评估时,既要考虑预期事项也要考虑非预期事项,对可能对组织存在重大影响的非预期的潜在事项和预期事项的风险都要进行评估;同时,既要考虑固有风险,也要考虑剩余风险。
三、风险分析
风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程,是风险评估的独立环节。
风险分析的程序主要包括:分析风险因素、风险事故,捕捉风险征兆,确定风险的存在;分析风险可能性即风险发生的概率;分析风险发生的可能影响。
风险分析的方法多种多样,主要有: 1.定性分析法。2.定量分析法。
定量分析法大部分是建立在数学模型基础上的,其步骤一般是:(1)列出构成风险的所有要素(风险因子);
(2)对所有风险要素确定其发生的概率和损失的水平;
四、风险评价
风险评价是在风险识别、风险分析的基础上,评估风险对单位可能产生的影响以及确定风险的重要性水平的过程。
风险评价的关键点有:
1.对于重要事项面临的重要风险可能带来的重大影响。2.应当按照风险可能带来的影响程度的大小。3.应当对重要风险予以特别的关注。
五、风险应对 风险应对是根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略,使剩余风险处于期望的风险容限范围之内的应对策略。
风险应对策略一般有四种基本类型:风险回避、风险降低、风险分担、风险承受。单位应当综合运用风险应对策略,实现对风险的有效控制。
1.风险回避。
风险回避是单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
单位在选择风险回避策略时必须考虑以下三个方面的因素: ① 某些风险即使能够规避,但从单位管理绩效角度而言也许不可行;
② 某些风险可以规避,但其潜在利益将大大超过潜在损失;{事业单位内部控制风险评估报告}.③ 规避某些风险的同时产生了新的风险。2.风险降低。
风险降低是指单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,是把不利风险事件的概率和影响单独或一起降低到可以接受的限度的策略。
3.风险转移。
风险转移是行政事业单位就是借助他人力量,将风险的所有权转移给最有能力抓住对项目有利的机会的第三方,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。{事业单位内部控制风险评估报告}.4.风险承受。
风险承受是单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
第四节 行政事业单位风险评估的监督和评价
风险评估的监督和评价过程,包括:监督和评价风险识别的充分性;风险分析的合理性;风险评价的准确性以及针对这些风险所采取风险应对策略的恰当性。
风险评估的监督和评价应主要考虑:
(一)单位是否已建立、沟通整体目标,并辅以具体策略和具体管理服务活动的开展计划:
(二)单位是否已建立风险评估制度并保证运行,包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施;
(三)单位是否建立一套广泛适应的风险决策判断标准,即根据风险严重程度和单位的风险承受程度确定不同的决策。
(四)单位是否已建立某种机制,识别和应对可能对单位产生重大且普遍影响的变化,如在学校建立学生人身安全风险管理组织等;
(五)风险控制管理部门是否建立了某种流程,以识别外部环境、内部环境发生的重大变化。风险应对措施的调整机制是否运行有效。
(六)单位是否持续获得风险变化信息,有效地控制、管理风险,对重要风险进行实时监控,防范新风险的产生。
行政事业单位风险评估是一个持续的反复的过程,风险评估一次并不能一劳永逸。不同方式下的采购业务流程有所差别的,以招标采购方式下的政府采购内部控制制度为例,其采购流程如下:
第一步,接受委托。第二步,供需调查。
第三步,发布招标公告或招标邀请函。第四步,发售招标文件。第五步,接标。第六步,开标。第七步,评标。第八步,签订合同。
第九步,提供货物、工程、服务。第十步,验收。第十一步,结算。第十二步,归档。1.风险评估 ① 预算管理失效。
② 由于其只在本市的报纸和电台发布招标公告,这在一定程度上限制了竞争的范围,属于地方保护主义行为,也违反了政府采购公开、公平的原则。
其次政府采购法将保护民族产业作为自己的一个目标,这虽然在短期内扶持了我国企业,但从长远来说,对于民族产业的发展有害而无益。
③ 由于未对标书费规定一个相应的标准,使得采购中心可以自己定价。④聘请的专家多年来一直是少数几个人,各方面的专家供应商都很清楚,这也就使得评标的效果大打折扣。尤其是在评标过程中,采购实体的意见是主要的,也使得采购活动的公平性受到影响。
2.关键控制点的确定
第一,要从源头上制止预算管理失效。
第二,要在政府采购报上刊登采购招标信息,以保证政府采购工作公开、公平、公正原则的实现。第三,要由制度来规定标书费的收取。
第四,要规范评标方式。
3.案例对构建行政事业单位内部控制制度的启示
从上述案例我们可知,行政事业单位内部控制体系的构建应在全面、深入了解行政事业单位管理和业务活动的基础上,画出每个业务的流程图,评估每一个控制点可能存在的风险,从中寻找出每个关键控制点,并结合行政事业单位的管理和职能特点,制定出符合该单位的内部控制体系,减少可能造成的损失和浪费,防止犯罪分子有机可乘、发生违法乱纪的犯罪行为。
行政事业单位内部控制体系的构建并不是一劳永逸的事情。内部控制体系建立以后需要不断地进行评价,不断地完善。这一方面是由于内部控制体系本身可能有缺陷;另一方面是环境和单位的职能也可能发生变化。
因此,要定期对可能出现的问题进行检查,防患于未然,这样才能使行政事业单位的内部控制体系更好地服务于其社会管理的目标。
篇四:《事业单位内部控制与风险管理分析》
事业单位内部控制与风险管理分析 摘要:由于市场结构逐渐趋于复杂化,竞争逐渐提高,使得目前事业单位的内部控制以及风险持续加强,甚至会出现危机。内部控制属于强化风险管理,是用于规范管理行为的主要保护措施。事业单位因其性质较为特殊,使得完善内部控制以及强化风险管理更加具有意义。关键词:事业单位 内部控制 风险管理
事业单位内部控制是为了更好的保护、防范以及控制财务风险,提升资金的使用率,以此更好的对事业单位内部控制进行编排。由于事业单位的快速发展,筹资渠道逐渐丰富,出现了内部控制的需求,可是其内部依旧具有资产管理紊乱、预算管理随意、对外投资盲从、财务监管不当等内部不完善的现象,使得需要面对较大的财务风险。在这样的状况下,财政部颁布了《行政事业单位内部控制规范(试行)》,并在2014年1月1日开始实施,如何可以让事业单位能够有意识的进行实施,成为了事业单位急需处理的问题。
一、事业单位内部控制内涵
(一)事业单位内部控制定义和特点
事业单位内部控制就是指为了实现事业单位的管理目标,将财政部门预算管理当做主线,透过制定并进行科学合理的控制程序以及方法,面对事业单位财务会计管理风险采取有效识别、监督和控制的机制。
从理论角度来讲,内部控制属于一个持续发展并完善的过程,而且处在组织经营管理活动的整体过程当中,而事业单位的内部控制体系就是在这样的管理活动当中创建起来的,是通过内部管理人员一步一步总结和完善才构成的自行调整以及自我监督的体系,主要包含了四个方面: 首先,控制环境。控制环境指的是组织实施内部控制的基础,通常包含了治理结构、机构设置以及权责分配、人力资源政策、内部审计等等。
其次,风险评估。风险评估值的是组织和识别以及系统分析经营活动里同实现内部控制目标有关的风险,积极制定有效的风险应对措施。
再次,信息沟通。信息和沟通属于组织正确、及时的采纳、传递同内部控制有关的信息,保障信息在组织内部以及外部之间获得有效的沟通。
篇五:《行政事业单位风险评估和控制方法》
行政事业单位风险评估和控制方法 目录:
1.风险评估工作机制 2.风险评估程序 3.风险控制方法
行政事业单位内部控制建设的主要内容就是分析经济业务活动的风险,识别风险点,然后因地制宜设置控制方法并监督执行。
(一)风险评估工作机制
风险评估是单位及时识别、系统分析经济活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
单位开展经济活动风险评估应当成立风险评估工作小组,通常由单位分管财务工作的领导担任组长。
风险评估工作小组可以设置在内控部门或者牵头部门。为及时发现风险,单位应当建立经济活动风险定期评估机制,对经济活动存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
(二)风险评估程序
风险评估可分为目标设定、风险识别、风险分析和风险应对四个步骤,见下表:
(三)风险控制方法
在风险评估之后,单位应当采取相应的控制方法将风险控制在可承受程度之内。单位内部控制的控制方法一般包括8 种,具体见下表:
点击咨询 