爱华网文/欧 晖 国有上市商业银行需要按照监管要求建立起COSO框架下的全面风险管理体系(ERM),每年在充分评估该体系有效性的基础上,出具内部控制自我评估报告,与财务报告、社会责任报告一并向资本市场披露。 为有效落实监管要求,有必要深入了解ERM的具体内容、COSO-ERM框架与COSO内部控制整合框架的联系以及商业银行全面实施ERM的必要性,有针对性地制定内控保障机制、设计内控管理政策和措施,逐步推行企业全面风险整合框架。
COSO企业全面风险管理整合框架(ERM) 2004年9月,COSO委员会发布了《企业风险管理-整合框架》(ERM)。该框架是在1992年《内部控制-整合框架》的基础上,结合《萨班斯-奥克斯利法案》相关要求,采纳理论界、实务界对内部控制框架提出的一些改进建议扩展研究得到的。 COSO委员会在《企业风险管理-整合框架》(ERM)中指出企业的内部控制应当考虑全面风险管理的需求。全面风险管理是受企业董事会、管理层和其他员工影响并共同参与的,应用于从企业战略制定到各项活动、企业内部各个层次和部门,用于识别可能对其造成潜在影响的事件,并在企业风险偏好范围内管理各类风险,为企业目标的实现提供合理保证的过程。 ERM设计了企业不同层级(企业整体层、职能部门层、经营单元层、附属公司层)都适用的反映内部控制的八个相互关联的构成要素(即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控),明确了内部控制旨在合理保证实现的四个不同层次的目标(战略目标、经营目标、报告目标和合规目标)。 可见,企业风险管理(ERM)并不是对《内部控制-整合框架》的否定和替代,而是审时度势,与时俱进,在内部控制思想的基础上将风险管理的理念更为全面深刻地嵌入其中。ERM对内部控制框架的改进和发展主要体现在: 1.控制目标方面 ERM保留了原有内部控制框架中的经营目标、报告目标和合规目标,只是适当拓宽了报告目标的范畴,所谓“报告”不再特指“财务报告”,而是包括对企业内外部发布的所有其他报告。除此之外,ERM增加了与企业愿景或使命相关的高层次目标—战略目标,这意味着企业的风险管理开始关注企业战略(包括经营目标)的制定过程,从源头上把控整体风险水平,进而有针对性、有效地保障其他目标的合理实现。 2.控制要素方面全面风险管理(ERM)将COSO五要素扩展为八要素,保留内部环境、风险评估、控制活动、信息与沟通、监控五要素,增加了目标设定、事项识别和风险应对三个要素,清晰地勾画出风险管理的完整循环流程,从目标设定到事项识别、风险应对、控制活动,最后是对整个过程的监督控制和检讨纠正。 3.控制理念方面 全面风险管理(ERM)强调了全程的风险管理过程、全员的风险管理文化和全员参与的风险管理机制。通过对内部控制要素的扩充以反映风险管理全流程的概念,体现了ERM对全程风险管理过程的关注。另外,ERM认为组织中的每一个人都对企业风险管理负有责任,并进一步划分了责任主体等级:企业风险管理的成功与否主要依赖于董事会,因为董事会负责审批风险管理总体政策和具体措施;CEO以及管理层其他成员对公司治理、风险管理、内部控制体系的建立健全负有首要责任;企业各职能部门、各部门人员负有根据所处地位、职责划分的不同按部门规章和岗位职责执行风险管理具体措施的责任。 4.风险管控幅度方面 全面风险管理(ERM)借鉴现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于各层级机构、各职能部门的风险暴露,以统筹考虑风险应对对策,提高风险控制的效率和效果。增加风险控制的管控幅度可以避免以下两种情况:一是部门(或者某机构)的风险处于可容忍限度之内,但从企业整体角度看,累积起来的风险可能超出了企业的风险容忍度,因为个别风险的累积并不一定是简单的相加关系,有可能存在放大效应;二是个别部门(或者机构)的风险超过其容忍度,但从企业整体角度看,存在抵消其风险影响程度的机制或者措施,因而就其本身而言没有必要采取风险应对和控制措施。 商业银行实施全面风险管理(ERM)的必要性 首先,ERM框架是目前公认的国际内部控制和风险管理的最佳理论基础。一经推出,便得到了以美国联邦储备局、美国证券交易委员会为代表的监管机构和以巴塞尔委员会、IIA为代表的国际组织的推崇和认可。COSO内控框架是唯一被美国证券交易委员会确认为完整、全面、不偏倚的内控框架,其中的许多内控语言、理念和方法被广泛吸收到各国监管法律和法规的制定之中,在全世界范围内产生了深远的影响。 其次,商业银行实施全面风险管理有利于顺应内部控制和风险管理的发展主流,更好地满足监管要求。国有资产监督委员会发布的《中央企业全面风险管理指引》、上海证券交易所发布的《上市公司内部控制指南指引》借鉴了ERM框架,银监会发布的《商业银行内部控制评价试行办法》和财政部等五部委联合发布的《企业内部控制基本规范》也沿用了COSO内控体系方法论。 最后,商业银行实施全面风险管理是夯实内控管理基础,促使内控管理上水平的必由之路。股份制改革初期国有银行内控体系基础极为薄弱,各部门(机构)人员职责含混、业务和内控管理流程不清晰,内控管理信息系统尚未成型,增加了内控管理的难度,也在一定程度上制约了业务发展。 因此,积极主动落实与全面风险管理相关的一系列制度要求,顺应内部控制和风险管理的发展趋势,摸索研究出一套既符合监管要求,又适应内部管理实际需要的内控体系框架,能在尽快缩小与监管要求之间的差距的同时,迅速提升内控风险防范水平,这成为当时各大商业银行内控发展的重中之重。 商业银行内控三道防线建设与全面风险管理(ERM) 然而,作为资本市场“放之四海而皆准”的内控理论,对银行业而言,COSO的ERM体系针对性不及BASEL强,监管要求更为原则导向,容易增加实际应用的难度、引起使用者的疑惑,产生推行阻力,一定程度上影响到了商业银行全面落实ERM的积极性。同时,我们也应该注意到,商业银行在摸索前行的过程中提出了一系列特色鲜明的内控管理举措,为全面推行ERM奠定了坚实的基础,营造了良好的氛围。商业银行内控三道防线建设便是其中的一个典型实例。 商业银行内部控制的三道防线是指由内控体系的设计监督、操作执行和防范评价三类保证活动、三类保证人员组成的全行内控体系,是全面覆盖集团经营管理的各环节、各条线、各职能、各机构,实现信息共享、联动互动、适当交叉、合理覆盖的内控保证活动机制。 虽然国内外银行同业对全面风险管理框架下的内控三道防线的划分不尽相同,但基本特点是一道防线强调过程实时控制和自我评估程序,二道防线强调各职能部门对一线部门(过程)进行设计、管理、指导、检查和监督,三道防线强调内部稽核部门对业务操作职能(一线)及业务管理职能(二线)进行再监督和评价,发现问题并督促其及时采取相应措施。 从银行整体层面而言,构建内部控制三道防线是完善银行内控管理架构的重大变革,是内控关口前移、全面加强风险管理的重要举措,是牢固树立全员风险意识和合规文化的重要制度保障,是全面满足COSO《企业风险管理——整体框架》(ERM)的重要奠基石,将内控和操作风险管理基础建设纳入了统一规范的轨道。 从内控框架的改进发展来看,构建内控三道防线是COSO内控框架部分改革思路得以成形的典型实例,具体来讲: 首先,ERM在内控理念方面强调了全程的风险管理过程、全员的风险管理文化和全员参与的风险管理机制。银行三道防线建设思路表明,各机构、职能部门、人员都是全面风险管理体系必不可少的一部分,唯有各司其职、加强沟通、协调配合,才能真正发挥三道防线牢不可破的威力。业务发展与风险管理相辅相承,应当确保业务发展目标在有效的风险管控下实现,并通过管控机制推动其更好更快地发展。随着三道防线的逐步落实到位和效果显现,在银行营造了良好的内控管理氛围,“内控制约发展”“内控是合规和稽核部门的事情,与业务部门、经营机构不相关”等不和谐的声音销声匿迹。内控体系的第一道防线(业务部门、经营机构及其员工)在承担业务发展任务的同时也承担起了相应的内部控制责任。由于更加贴近具体业务,在对业务具体风险识别,风险防范性控制方面具备先天的优势,在履行对各项业务操作流程实时或及时的合规监督及自我评估职责的过程中,能够主动采取措施堵截、化解风险或者发出风险提示,切实提高了风险管控过程的效率。 第二,ERM在风险管控幅度方面借用金融资产组合理论提出可从整体上把握分散于各机构、职能部门的风险暴露,以统筹考虑风险应对策略。这对机构内部的信息沟通渠道和沟通机制提出了更高的要求。三道防线通过建立起信息共享、定期协调配合的机制,充分沟通对集团内各类风险,尤其是综合性、系统性风险的判断和认知,从集团整体层面把握风险的预期严重程度,在提出综合性解决方案的基础上按照职责将任务进一步分解,以便形成整体合力并有针对性地落实。 第三,ERM在控制目标方面增加了与企业愿景和使命相关的高层次-“战略目标”。 随着第一、二道防线的完善到位,传统稽核工作内容,如绩效审计、合规审计、离任审计已逐步转移到一、二道防线。稽核部门作为内控第三道防线,凭借其在组织内部的独立地位、技术优势和独特视角,工作重点正逐步由合规检查为主向以防范为目标、风险为导向的内控评价为主过渡,开始以经营目标和组织战略为出发点识别高风险领域和关键控制,关注集团管控和战略推行,尝试在集团层面上对内控体系进行整体评价,对系统性风险进行有效的识别和应对,以确保战略目标的逐步平稳实现。 中国银行股改上市以来内部控制三道防线的建设 为建设良好公司治理机制,适应监管要求,构建全面、动态、主动、可验证的内部控制和风险防范体系,有力防范金融风险,2006年10月,中国银行正式启动内部控制体系的改革完善,着手建立内部控制三道防线,并于2007年初全面推行。 第一道防线:中国银行各级业务经营机构、业务管理部门和每个员工在承担业务发展任务的同时也承担着内部控制和操作风险管理的责任,既是业务的直接经办者、规章制度的执行者,又是操作风险的所有者,是内部控制和操作风险管理的第一道防线。 第一道防线是内部控制与操作风险管理的第一责任人,通过自我评估、自我检查、自我整改、自我培训来履行业务经营过程中的自我风险控制职能。一道防线按照法律、法规和有关制度、流程的规定从事业务经营活动,对经营和业务流程中的风险主动进行识别、评估和控制,收集、报告所发现的风险点,针对薄弱环节及时进行整改,实现“自己管自己”。 第二道防线:中国银行内部控制和操作风险管理的第二道防线由各级法律合规部门及业务条线部门履行内部控制和操作风险管理职能的团队或职位组成。二道防线通过制定内部控制和操作风险管理的政策、标准和要求,为一道防线提供内部控制和操作风险管理的方法、工具、流程,促进内部控制和操作风险管理的一致性和有效性,制订业务检查计划,就一道防线执行各项规章制度和内控要求的情况开展检查,并监督整改,建立内部控制和操作风险管理信息收集、分析和报告制度,评估和监控一道防线内部控制和操作风险状况,对其工作提供指导。 二道防线不是替代一道防线,而是对一道防线实施检查、监督和指导,确保一道防线内部控制的有效性,同时为三道防线开展再检查、再监督和内部控制评价提供基础。 第三道防线:内部稽核作为内部控制第三道防线,由稽核部门负责,稽核部门通过系统化、规范化的方式,审查评价经营活动、风险管理、内部控制和公司治理的适当性和有效性,目标是协助董事会和管理层履行职责,保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行,改善组织运营、有效控制风险、增加银行价值。稽核部门履行稽核确认、内控评价、咨询、反舞弊欺诈职责,是内部控制体系的保障手段。 内控三道防线概念的实施并不影响原前、中、后台分离和其他制约原则,原各职能部门的职责不变,只是更明确了分行管理层对辖内内控操作负第一责任,以及总行、一级分行条线和职能部门的制度管理责任。此项制度安排更强调全员的内控保证,适应外部监管的要求,更有利于形成有组织、有规范、可评价、可论证的内控体系。 为保证内控三道防线合理履职,努力贯彻ERM的管理思路,中国银行自股改上市以来实行了一系列配套措施,经过几年的摸索和尝试,效果明显,着实提高了经营管理的效率,夯实了内控管理的基础。 在一道防线建设方面,全面推广基层机构自查流程和自查系统,通过一道防线的自我评估、自我检查、自我整改、自我培训程序,促使基层管理者和员工通过持续自我检查实现关键控制环节的落实到位。同时,自查系统的利用,便于分行分析把握基层网点的内部控制总体情况和周期性变化趋势,从而更好地发挥出自查流程差错纠偏的作用。自查流程和系统运行以来,一线员工防范风险的自觉性和主动性不断提高,达到了风险关口前移的目的。 除此之外,中国银行还通过推行业务经理派驻制度、基层负责人代职、关键岗位轮岗、强制休假等一系列措施,有效加强了一道防线的履职能力。 在二道防线建设方面,根据巴塞尔新资本协议工作规划逐步开发操作风险管理工具,并在全行范围内推广运用。目前已开发并实施操作风险与控制评估流程(RACA)、二道防线检查工作流程、内控考核流程、重大操作风险事件报告流程(SERP)、损失数据收集(LDC)、关键风险指标(KRI)等一系列管理工具,大大促进了操作风险管理的科学化、规范化和流程化。 二道防线以内控合规检查为基础,建立了内控问题整改的持续跟踪机制,并开发内控管理信息系统(ICIMS),收集汇总三道防线内控检查的问题,强化了对全行内控问题整改情况的记录、审批、监控和报告,为操作风险管理积累相关信息。 在三道防线建设方面,稽核部门以风险评估为基础,结合董事会和管理层的风险偏好,合理配置稽核资源,制订年度稽核计划,密切关注全行系统性风险。稽核部门凭借自身的优势,更多地关注管理架构、内控机制、业务流程中的系统性问题,寻找、分析内控制度和设计方面的不足,并提出改进建议,帮助各级管理层有效解决问题。为满足监管要求,提升全行内控管理水平,稽核部门在集团范围内组织开展内控评价工作,制定并逐步完善内部控制评价标准,充分利用三道防线检查结果,按COSO的内部控制框架八要素(内部环境、目标设定、风险识别、风险评估、风险应对、信息与沟通、监控、控制活动),对集团各业务条线、各机构的内部控制情况进行独立评价,得出内部控制体系设计的适当性和执行有效性的评价结果,以此为基础制定缺陷认定标准,并建立内控预警体系。 但是,内控三道防线建设只是全面风险管理体系构建的众多基础工作之一,是企业全面遵循ERM要求的实现方式,业务管理流程的梳理和内控信息系统的搭建等工作也需要同步进行和平衡发展,同时内控三道防线建设也只有与时俱进,进一步延伸内涵、彰显实质和扩充内容,不断适应业务发展和新形势要求,才能为全面实施ERM保驾护航。 (作者为中国银行总行稽核部总经理)
