国有企业如何提高风险控制能力(国有企业风险防控措施)
本文目录一览:
怎样提升企业的风控能力?
风控总则:以业务为导向
“利益是黑客攻击的本质,互联网企业所有的风险最终归根到底是为了“利”,因此,风险控制应该从业务层面出发,以业务为导向进行风控。”
以互联网企业为例。互联网风险控制主要应用于三个方面,首先是互联网金融,尤其是P2P领域,其风险非常高,早期发布的千万左右账款仅用了5分钟,但经过3-6个月的跟踪,发现这笔投资根本无法回收,这是当时的P2P行业真实的风险写照。
其次是互联网旅游,如携程,2011年几乎不存在安全问题,其内部风控人员仅十多人,但目前携程正遭遇很大的风险,携程礼品卡资金账户,黑客攻击成百倍的增长用来盗号。
再次是O2O行业,2015年O2O行业投资较多,但钱来的快,烧的也很快,定单造假等乱象丛生,风险较大,倒闭颇多。
构建风控架构
风控最简单的方法是风控回避、转移、保留等一系列的控制方法。比如一个网站今天开发了一个新的网页,网站最大的问题是盗号或者账户被盗,致使整个账户体系不安全。要保证账户安全,一般采取四种解决方案:
第一、风险控制,即采用必要的技术手段把风险控制住。
第二、风险接受,即对某些危害不太大的风险予以接收。
第三、风险回避,对某些高风险采取回避制度。
第四、风险转移,对某些风险很高的实行转移,比如可以把登录外包开放给腾讯QQ等三方登录接口等。
但风控最主要的目标是要比最后一个竞争对手跑得快,即要比同行业技术做的好,这是做风控最基本的依据。怎么样把攻击者的攻击流量导到别人身上,用一毛钱的成本可以产生十块钱的利益。
风控部门则发挥着为业务部门“挡枪”的功能,比如订单减少了,会有人分析因为风控的措施造成订单的减少,当然防止系统瘫痪更是风控的主要职能,风控对企业扮演着“把门神”角色。
风控人应具备的四项能力
风控人需要具备哪些能力?
第一、要懂技术,哪些技术手段可以帮助企业实现风控管理。
第二、明确企业业务的目标,只能清楚了解企业业务目标,才能知道通过哪些技术进行防护,风控最大的问题是会对业务造成损失,不管是隐性的还是显性损失;
第三,制定风险控制策略,根据未来几年的安全趋势或者是风险控制趋势制定风险控制策略;
第四,要有担当,即出事能顶,不出事能抗,三观要正。风控人员三观一定要正,如果三观不正,很可能造成企业资金流向损失,风险控制部门手抖一抖就是几千万,几百万的损失。
明确风控部门职能
风控部门可以从技术和管理手段,或者从风险控制角度来帮助企业解决问题,不管每个产品的发布风控都应该介入,风控人员要懂技术和业务。
以某互联网企业为例,风控部门职能如下:
第一、 业务风险评估,在业务上线之前,对整个需求进行评估,风控从业务规划开始,便会参与其中,评估信息安全方面的风险,包括是否要上验证码,是否要加防护,如何防范账户盗号,撞库和信息披露等。
第二、 评估合规风险,是否满足各种法律法规;
第三、 第三方数据接入评估;
第四、 了解本地行业信息数据。
重视风控部门管理
风控应包括五个团队,分别为技术团队、产品团队、市场应急团队,运营团队,审计团队。其中,产品团队及运营团队尤其重要。运营团队提供运营数据,从而改进产品。
上述团队如何运转管理?其业务运程如下:
新业务上线前,产品经理识别风险,产品经理识别好风险后,让技术开发风控识别模块风险。风控开发模块认可后,由运营监控人员负责监控和处理,对可能发现的异常行为或者漏掉的行为进行二次提交,最后由产品经理再次识别风险,并提出风险控制建议。也就是不管外界的趋势如何变化,风险环境怎样,便形成了持续改进状态。
制定风控流程
风控有两个流程,一是异常阻止;二是正常通过。一笔交易是成功还是不能成功,有两个判断方式,一个是异常阻止,即发现异常的交易行为,就把这个异常交易行为阻止掉,这是一般性的做法。如果交易行业正常,风控正常通过即可。
风控根据处理速度分为实时风控和非实时风控两块。实时风控就是达到目标需要速度快,交易能不能成交,是否能正常登录,速度快则对用户的干扰少。非实时风控主要应用于线下,比如大数据分析,模型建立等。风控的基线是全部流程均正常,任意缺失均认为是异常行为。
现今国内外经济形势复杂,市场竞争激烈,对于企业来说要想继续保持高速稳定增长难度越来越大。企业在经营发展、转型升级过程中面临的风险日益复杂,一些潜在风险逐步显现,我们应该更加重视风险管控体系的建设,提升风险管控能力,平衡效益与风险,促进企业更好适应国内外形势的变化,确保企业持续健康稳定发展,提升核心竞争力,保障实现战略目标。
浅谈国有企业如何提高风险应对能力
1国有企业风险处理现状及分析
我国大部分国有企业仍没有建立起一套行之有效的控制与防范风险体系,面对风险时,往往是手足无措,主要表现在以下几个方面:
(1)风险意识薄弱。虽然,我国国企领导层的管理能力已经比计划经济时代有大幅提升,对风险也已经有了初步的认识,但风险意识比较薄弱。目前,国有金融企业对内部控制比较重视但国内仍有不少企业认为内控是可有可无的,有的连独立的内控部门都没有,有的就算成立了内控部门,也往往流于形式。相反,我国不少的民营企业家有着很强的风险意识,华为董事长任正非写过一篇著名的文章《华为的冬天》,对华为在迅速发展过程中面临的风险进行全面的剖析,每一天都要提醒自己,企业离破产只有一步之遥。他认为,公司从上到下,如果没有真正认识到危机,当危机来临的时候,就会措手不及。
(2)风险控制体系不健全。一些企业缺乏完整的内部风险控制体系,一些企业忽视法律顾问的作用,在重大决策、工商谈判、对外出具法律文书等活动中缺乏严格的法律论证和工作程序,部分企业未经论证,盲目地超速发展,造成资金链断裂。中航油事件充分暴露出国有企业风险防范和预警机制的缺失。
(3)风险应变能力不够。有一些企业在应对危机时,采用错误的手段,反使危机愈演愈烈,如紫金矿业铜酸水渗漏事故,事故造成汀江部分水域严重污染,紫金矿业直至事件发生后12天才发布公告,瞒报事故9天,一场环境危机演变成了“环境+诚信”危机。
2国有企业提高风险应对能力的方法
国有企业占据了中国经济的半壁江山,国有企业经济关乎国家的兴衰和民生的安定。国有企业必须牢固树立风险意识,提高应对风险的能力。
2.1强化风险意识和法律意识
风险意识的强化与企业文化的建立一样,不可能一蹴而就,这就需要不断地培训和宣传,特别是对企业的领导层,强化企业领导层的风险意识是关键。而面对复杂多变的国际、国内市场环境和日益增多的法律事务,进一步加强企业法制建设尤为重要和紧迫。大力推进国有企业特别是国有重点企业法制建设,既是企业防范法律风险、实现又好又快发展的重要措施,也是各级国资委有效实施国有资产监管的一项重要职责,同时也是加快我国市场经济进程和法治建设进程的必然要求。国务院国资委副主任黄淑和指出:“以加快完善企业法律风险防范机制为核心,力争再用三年时间(2009-2011年),省属国有重点企业全部设立法律事务机构,建立总法律顾问制度的比例达到70%;以事前防范和事中控制为主、事后补救为辅的企业法律工作制度基本健全,企业法律风险防范机制在国有企业改革发展中的作用得到进一步发挥”。
2.2完善风险控制体系
国有企业有关风险控制的制度不少,但并不全面,制度执行偏差仍然在相当广的范围内存在,应尽快完善风险控制体系。
(1)补充完善风险控制制度,减少部门间重复、冲突的制度
某公用事业单位,仅对涉外服务人员就制定了八项制度,如“服务规范标准”、“限时服务项目规定”、“服务质量验证管理办法”、“统一穿着职业装、佩带标识的规定”等,部分内容、规定重复且冗余,完全可以在“服务规范标准”中将限时服务、服务质量验证、着装要求等一并纳入。然而如此大的企业,且是涉及民生的企业,却没有有关对外宣传、与媒体沟通方面的规定。
(2)在风险控制制度中充分发挥人的主观能动性
制度贵在执行,制定时轰轰烈烈,制定完了就束之高阁,实际执行中又将其抛到九霄云外,再好的风险控制设计也只是流于形式。因而如何培养尽责的员工,调动他们的主观能动性,是落实风险控制的关键。发挥人的主观能动性一定要和绩效考评结合起来,建立一套公平、公正、公开的,具有可操作性的奖惩制度。此外,企业应积极鼓励员工,对于发现的风险点提出建议;重大决策事项应公开透明,接受全员监督。
2.3建立全面的风险防范和应急系统
国有企业的风险主要来自于财务风险、安全生产风险及经济法律风险等方面,其中安全生产风险受外部诸多因素的影响,仅靠企业自身的力量难以解决。国有企业可以建立更加完善的风险防范系统来控制和化解风险,减少损失。
(1)风险防范的组织机制。除金融企业外,我国绝大部分企业没有条件,也没有足够的能力设立独立的风险控制部门,但可以由现有的职能部门承担风险防范组织机构的日常工作,如财务部、审计部、安全服务部、法务部等,不论由哪个部门承担,都必须保证其工作的独立性。此外,除聘请常年法律顾问外,企业自身也应选聘一些法律方面的专才。
(2)风险防范的会计系统。通过计算机处理大量的财务数据,进行大范围的比较分析,对于异常值及时报警,使经营者及时解决出现的问题,防范风险。
(3)风险的评估和分析机制。通过风险分析机制,抓大放小,重点关注可能造成重大影响的风险上,评估其可能造成的损失,评估风险的部门或个人应保持高度的独立性。
(4)风险处理机制。风险分析清楚后,就应该立即采取相应的预防、转化措施,减少风险带来的损失。风险应对方法有以下4类:
①回避风险,如当某些项目超出了自身的技术条件和安全防护能力时,企业应暂时回避,等条件成熟再开工,不要仓促上马。
②转嫁风险,如将部分大型施工项目总包给有资质的其他大型公司,由其再分包下去,减少自身的责任。
③接受风险,接受风险不是任凭风险发生而无能为力,而是确认风险的威胁后,制定对策方案,一旦预计的风险成为现实,可以使风险造成的损失降低到预先设定的程度之下。
④分散风险,如针对安全事故高发、易发的特点,可以针对性地购买各类保险(施工责任险、第三方责任险等)。
(5)风险责任机制。必须明确企业经营者全面负责本单位的风险管理,并将风险责任落实到实处。一旦发生问题,能够及时寻找问责对象,结合相关的奖惩制度,促使其提高警惕,在未来的经营中不再重蹈覆辙。
(6)建立风险审计体系,推行安全审计。目前,国际上已经开始开展安全审计,主要是在石油行业,很多跨国石油公司都在开展HSE(Healthy Safety
Environment,健康、安全与环保)审计。大中型国企应定期对安全投入资金的使用及结余情况、安全规范流程执行情况等进行审计。审计应该制度化,成为刚性的原则,并和激励、约束机制联系在一起。
国有企业的风险应急系统仍不够成熟,在风险发生时,反应往往过于滞后。①建立风险应急方案,并定期开展风险应急的演练,在演练中发现不足并加以改进,演练不是过场,有条件的企业,可以聘请有关专家参与并打分。②塑造负责任的国企形象,一旦发生风险,要积极、诚实地接受事实,不隐瞒、不推卸,向社会证明有企业魄力、有能力处理好风险。同样涉及儿童奶粉问题,与三鹿集团的逃避、隐瞒不同,美赞臣(Mead
Johnson)、雅培(Abbott
Laboratories)等国外企业不仅有自己的召回机制、赔偿机制,一旦发现问题,他们均可以做到在第一时间公布消息,从不隐瞒。③加强与新闻媒体的沟通,避免风险发生时,社会舆论出现不利于国企的一边倒现象。
如何提高风险管理能力
关口前移、风险导向、源头治理、精准管理、科学预防、持续改进。发动企业全面分析、预想、排查、研判和管控各类安全风险点,建立起有效的风险管控和隐患排查治理双重预防机制,持续提升企业本质安全水平,落实管控主体责任,摸清风险底数,落实监管责任,定期对风险管控情况进行监督检查,制定严密的防范措施和应急预案,确保企业良好发展。
