目录
第一章建设风险管理系统的必要性 (2)
1.1国内现状分析 (2)
1.2国家政策规定和要求 (2)
1.3风险管理对内部控制管理的重要性 (4)
第二章风险管理系统需求分析 (5)
2.1 功能需求 (5)
2.1.1 客户管理 (5)
2.1.2 评级管理 (5)
2.1.3 额度管理 (6)
2.1.4 过程管理 (6)
2.1.5 流动性风险管理和压力测试 (6)
2.1.6 风险预警监控引擎 (7)
2.1.7 资产管理 (8)
2.1.8 投后管理 (8)
2.1.9 人力资源管理 (9)
2.2 技术需求 (9)
2.2.1 标准性和规范性 (9)
2.2.2 可靠性需求 (10)
2.2.3 安全性需求 (10)
2.2.4 性能需求 (10)
2.2.5 可维护性和可管理性需求 (11)
2.2.6 可扩展性需求 (11)
2.2.7 系统备份及恢复策略 (11)
2.2.8 操作性需求 (12)
第一章建设风险管理系统的必要性
1.1国内现状分析
现阶段,我国金融行业风险既有因全社会信用环境不佳、体制不健全等原因,造成整个金融行业普遍面临的系统风险成分;也有因管理、操作不健全等原因形成的个别公司面临的非系统风险成分,按照风险成因划分,主要风险类型有:信用风险、市场风险、操作风险、流动性风险等。随着金融业务规模持续增长,业务品种不断增加,各种风险都在管理工作中逐渐显现。金融业务从发生到结束是一个过程,无论是对业务开始之前的调查还是对业务开始之后的管理,投资公司目前还没有一套系统的、全面的、科学的风险管理体系。因此,投资公司要实施全过程的风险监控,及早发现风险,最大限度地减少风险可能给公司带来损失成为必然。
据普华永道2004年初对世界上1400个大中型公司的CEO进行的调查,其中38%的CEO声称本公司已经建成完整的全面风险管理体系,35%已经部分建成全面风险管理体系。16%正在计划实施全面风险管理体系,只有10%表示正在研究全面风险管理体系或尚无建设全面风险管理体系的计划。
随着国内监管部门和国际组织对企业的监管力度的不断加强,要想在国际交流与竞争中站稳脚跟。要求企业必须建立健全全面风险管理体系。
1.2国家政策规定和要求
随着全球经济环境的愈加复杂化,我国企业风险管理和内部控制的缺失,也得到了我国政府的高度关注,为了使所有企业能够建立、完善内部控制管理,识别、应对各种风险因素,我国政府从2006年起陆续发表了《中央企业全面风险管理指引》和《企业内部控制基本规范》等规范规定,明确了有效的内部控制管理的构建,推动了风险管理的全面实施。
企业风险在企业内部必然存在。在过去的内部控制观念中,人们并没有意识到风险的存在,而是将风险与内控割裂开来,这对企业来说是非常致命的错误。风险在企业这种组织形式诞生的时候就已经随之产生,可以说它本身就依附在企业内部的各种控制管理中。随着跨国经营的增多、全球化的加剧、生产技术的不断革新,在企业加快发展、获取利益的同时,各种新的风险层出不穷,造成企业内部控制管理的瓦解与崩溃,促使企业寻求一种更为有效、科学、经济的方式来处理这些问题,推行风险管理在企业内部的应用就成了必然的选择。
风险管理是指在一个肯定有风险的环境中,企业董事会、管理层和全体员工为了把风险减至最低而共同实施的各种管理活动的总称。具体来说,风险管理的内涵包括:
1、风险管理是为完成企业的目标而实施的,为企业实现目标提供了合理的保证。。
2、风险管理的参与者不仅是企业管理层和风险管理部门,还包括企业全体员工,风险管理的实现需要企业各个层次人员共同实施和落实。
3、风险管理是一套贯穿于企业各项内部活动的体系。
4、风险管理旨在识别能够影响企业发展的潜在事项,它通过科学合理的方法对风险进行识别、评估、分析、应对和监督,选择最佳的管理措施使之满足管理层的风险偏好,并使企业的损失最小化、机遇最大化。
5、企业必须通过合理的方法管理风险,遵循成本效益原则,力求用最小的成本达到降低风险的目的。
6、风险评估。风险评估就是分析和辨认实现所定目标可能发生的风险。控制活动。企业管理层辨识风险,继而针对这种风险发出的必要指令,是确保管理层指令得以执行的政策和程序。
7、信息与沟通。企业在其经营过程中,需按某种形式辨识、取得确切的信息,以使员工能够履行其责任。
8、内部监督。由适当的人员,在适当的基础上,评估控制的设计和运作情况的过程。
1.3风险管理对内部控制管理的重要性
风险管理有利于增强内部控制的科学性。随着企业规模的扩大、经营层次的日趋复杂,内部控制管理面临的任务也更加艰巨,传统控制下进行简单的检查和修复已无法满足企业的需要,企业应利用科学系统的风险管理方法,管理和处置各种风险,借助对统计资料的分析,对信息可靠性的管理等措施,减少和消除生产、经营中的潜在威胁和决策失误的可能性,将风险与收益、绩效紧密结合,使科学化、效用化的内部控制管理得以实现,这对于内部控制管理的持续发展有重要意义。
有助于改进企业的内部管理效用。风险管理可以使企业的内部活动更加有效益,实现经济性的目标。在建立内部控制管理的过程中,企业面对各种已发生或潜在的风险,经常会出现控制过度和控制不足等情况,风险与机遇是并存的,控制过度意味着放弃机会,同时还增加了企业的管理成本。而控制不足导致风险失控、经营状况恶化、违反法律法规,使企业无法有效利用资源,造成其财物损失,以至于经济目标无法实现。只有当企业通过风险管理进行各种评估和分析,准确认识风险,才能进行合理的预防和控制活动,将内部控制的总成本维持在一个最优的水平线上,从而提高企业的内部管理效用。
第二章风险管理系统需求分析
为了满足公司业务需求及未来租赁行业业务发展要求,坚持前瞻性、灵活性、安全性的原则,公司风险管理系统应包括:客户管理、额度管理、评级管理、流动性风险管理、资产管理、投后管理、大数据预警管理、预警监控引擎管理、统计分析、系统管理等方面。
2.1 功能需求
2.1.1 客户管理
健全的客户信息管理制度可以帮助企业识别潜在风险,过滤风险客户,降低信用风险。客户管理包括:客户信息管理支持集团客户、中小企业、小微企业、个人零售、同业客户等客户类型,包含基本信息、财务信息、股东信息、银企往来记录、客户大事记、授信全周期客户视图、客户权限管理、客户名单式管理、客户关联关系管理等,客户名单式管理、客户信息数据收集,客户重要信息变动提醒。
2.1.2 评级管理
公司要统一制订信用风险的衡量标准,使信用风险管理逐步实现科学化、规范化,从而降低信用风险。
评级管理包括:建立企业统一的信用评级标准,并对照原有评级进行调整;按照客户性质和类型采用不同的评级流程和模型,实现对客户的信用评级;评级内容不仅要对新老客户进行客户评级,也要定期项目信息、抵质押信息、保险信息等内容进行债项评级;评级需要审批流程;内部评级和外部评级;评级跟踪预警:信用评级有效期管理;评级权限管理。
2.1.3 额度管理
额度管理子系统依托额度生命周期的管理,建立起集额度创建、发放、占用、释放、作废、查询统计等功能为一体的管理体系,实现金融业务的复杂关联及灵活配置。其对主要风险形式进行的风险额度核算可以在事前、事中、事后有效的防御部分风险,体现风险缓释的敞口管理思想。
2.1.4 过程管理
风险监控的目标是进一步规范业务流程,帮助管理者进行决策。建立健全科学有效的内控机制由事后补救向事前防范转变,强化过程监控,构建全方位、多层次的监督体系,突出内控重点,逐步实现补救性控制向预防性控制的转变,切实防范风险,稳健经营。
1、全流程在线审批功能:引入自定义配置化的流程引擎,可以支持界面式、傻瓜式、零编程的流程设计。
2、操作风险模型。
3、文档模板化管理,在线编辑审批,修改记录留痕。
4、机密资料防伪处理。
5、图形化展示公司运行业务的情况。
2.1.5 流动性风险管理和压力测试
流动性风险即无法及时获得充足资金或以合理成本获得充足资金,以应对资产增长或支付到期债务。为加强风险控制的力度避免流动性风险的发生。结合银行流动性风险监控制度(巴塞尔协议是全球银行业监管的标杆,已成为商业银行进行金融风险管理和控制的指导原则)及企业公司流动性风险的应用,建设了流动性风险管理系统。
1、流动性风险模型。
2、压力测试模型。
3、风险指标容忍值及预警。
4、风险缓释措施。
5、期限匹配分析。
6、压力测试执行频次与周期。
7、流动性压力测试报告。
8、统计分析报表
2.1.6 风险预警监控引擎
要拓宽信息来源的渠道,改变单一依靠合作企业报送报表获取信息的做法,利用互联网大数据分析平台为金融行业打造了风险监控预警平台。预警平台的建立,增加了风险管理的前瞻性,便于公司尽早的发现风险隐患并及时采取防范措施,是提高资产质量、改善经营管理状况的重要途径。
2.1.7 资产管理
统一资产监管管理通过不同业务模型对企业全部监管类业务进行无缝管理。在为企业提升业务活动的经营能力与企业风险管理能力方面表现得尤为突出。
统一资产监管管理包括资产信息管理、资产质量五级分类判定、不良资产责任认定、不良资产处置、不良资产处置模型、资产减值。、资产减值测试、监测资产减值损失指标的容忍值、基于互联网大数据的减值迹象预警、健全抵质押管理制度和流程、抵质押全生命周期管理、抵质押品审批管理、价值动态跟踪、价值重估频率与周期、押品压力测试(评级)、权证管理、权证预警管理、抵质押品风险缓释、抵质押品返还与处置管理等。
2.1.8 投后管理
投后管理就是要在保证资金用于规定用途的基础上,跟踪客户所在行业、上下游和客户自身经营情况等的变化,及时发现问题,有针对性地提出解决措施,防患于未然,减少损失甚至避免损失。
2.1.9 人力资源管理
风险管理贯穿经营管理的全过程,它不只是个别部门和个别岗位的问题,体现在一个完整的流程中。流程中的每个环节、每个步骤都要明确相关职责。从董事会、高管层到公司的每一位员工,包括前、中、后台各部门,都是风险管理的参与者,都有各自的风险管理职责。为提高人员素质防范操作风险,加强员工培训制定合理的考核机制就成了必然。
2.2 技术需求
系统设计在满足业务需求功能外,还必须实现保证系统运行所必须的一切特性。以下介绍的均为系统建设初期的性能要求,在充分考虑金融业务发展的前提下,系统用户数的不断增加,对系统的性能要求会不断提高,系统以灵活的扩展性为设计原则,在不改变系统整体框架的前提下,通过设备扩容等方式,即可满足性能的要求以及功能的扩展。
2.2.1 标准性和规范性
系统的设计和具体实施应依据国内和国外的相关标准、规范以及法律。
2.2.2 可靠性需求
运行时间要求:要保证能够在24小时×7天的时间内提供服务,系统的可用时间百分比不低于99%。
系统故障率:系统能够稳定地运行,平均故障间隔时间不少于两个月。
平均修复时间:不超过5小时。
丢失数据量:小于30分钟。
2.2.3 安全性需求
根据业务的特点,系统应保证在数据录入、传输、存储、查询与访问等各方面的安全,确保信息来源的合法性、使用的合法性,避免非法使用与篡改。系统应利用现有系统安全防护设备及高可用策略保证系统安全、可靠运行。
2.2.4 性能需求
为了提高系统响应时间,在系统设计时要使用缓存技术,对公共信息或数据进行缓存,减少数据库或者IO访问。
对于查询或者统计功能,对于结果集超过一定记录(可配置定义)时要使用数据库分页技术,减少数据库查询量和网络流量。
总体而言,为了能有更好的用户体验,需要达到的性能指标如下:
表3-1 性能指标
说明:
●该指标的定义是在正常营业时间情况下的要求。
●如果交易、查询或者统计需要关联外部系统或者依赖外部资源时,在
依赖的外部资源可正常访问的情况下,最大响应时间不能超过对应指
标的最大响应时间。
2.2.5 可维护性和可管理性需求
能够及时发现系统中存在的故障,检测出系统中可能存在的隐患。尽量减少系统维护对系统业务正常运行的影响,尽量减少系统故障恢复时间。管理系统应具有良好的人机交互界面和强大的功能,降低系统运维成本,保障系统的稳定运行。
2.2.6 可扩展性需求
系统的可扩展性应从两个方面来保障:即业务的扩展性和服务能力的扩展性两个方面。
对于业务的扩展性,随着业务的快速发展,原有的一些业务会发生变更或者会产生新的业务时,需要在不修改或者最小修改原有业务实现的情况下完成对新业务的支持,就需要在设计时充分考虑为了将来系统扩展需要,为未来业务发展提供可方便扩展的接口。
对于服务能力方面,随着公司业务的逐步发展,使用系统的用户会越来越多,这就要求系统具有可扩容的能力,在不改变总体架构的前提下,通过软硬件的升级,达到用户吞吐量的提高,完成对系统的平滑扩展。
2.2.7 系统备份及恢复策略
为了构建一个可靠、稳定的应用系统,在发生意外情况后能及时恢复应用系
统和业务数据,就需要有良好的备份策略和管理规划来进行保证。
备份策略包括两个部分:即操作系统和应用程序代码的备份策略、业务数据的备份策略。
操作系统和应用程序代码的备份策略比较简单,一般可先对所有系统做一次全备份,然后每周对关键系统做一次全备份;此外,每台机器做过软件安装或系统升级后,应立刻做一次全量备份。当操作系统和应用程序代码出现故障时,将全量备份的数据按照相应的办法恢复即可。
对于本地业务数据的备份策略,考虑到金融业务的数据量不大,因此建议每天进行一次全量备份。
同时,考虑到系统在运行一段时间后就会产生历史数据,也为了使系统的生产数据最少化,有必要在一定的策略下定期清理业务生命周期已完成的业务数据(例如项目信息,在项目已经完结的情况下,可对相关的数据进行清理和归档),将其归档到历史库中,减少生产库数据,总体上提高了系统的访问效率。
2.2.8 操作性需求
系统界面符合一般用户的使用习惯,依照Web和Windows界面设计风格进行操作界面设计,提供简单易用、内容丰富、方便查找的联机帮助。