國有上市商業銀行需要按照監管要求建立起COSO框架下的
全面風險管理體系(ERM),每年在充分評估該體系有效性的基礎上,出具內部控制自我評估報告,與財務報告、
社會責任報告一併向資本市場披露。 為有效落實監管要求,有必要深入了解ERM的具體內容、COSO-ERM框架與
COSO內部控制整合框架的聯繫以及商業銀行全面實施ERM的必要性,有針對性地制定內控保障機制、設計內控管理政策和措施,逐步推行企業全面風險整合框架。
COSO
企業全面風險管理整合框架(ERM) 2004年9月,COSO委員會發布了《
企業風險管理-整合框架》(ERM)。該框架是在1992年《內部控制-整合框架》的基礎上,結合《薩班斯-奧克斯利法案》相關要求,採納理論界、實務界對內部控制框架提出的一些改進建議擴展研究得到的。
COSO委員會在《企業風險管理-整合框架》(ERM)中指出企業的內部控制應當考慮全面風險管理的需求。全面風險管理是受企業董事會、管理層和其他員工影響並共同參與的,套用於從企業戰略制定到各項活動、企業內部各個層次和部門,用於識別可能對其造成潛在影響的事件,並在企業風險偏好範圍內管理各類風險,為企業目標的實現提供合理保證的過程。
ERM設計了企業不同層級(企業整體層、職能部門層、經營單元層、附屬公司層)都適用的反映內部控制的八個相互關聯的構成要素(即內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和監控),明確了內部控制旨在合理保證實現的四個不同層次的目標(戰略目標、經營目標、報告目標和合規目標)。
可見,企業風險管理(ERM)並不是對《內部控制-整合框架》的否定和替代,而是審時度勢,與時俱進,在內部控制思想的基礎上將風險管理的理念更為全面深刻地嵌入其中。ERM對內部控制框架的改進和發展主要體現在:
1.控制目標方面 ERM保留了原有內部控制框架中的經營目標、報告目標和合規目標,只是適當拓寬了報告目標的範疇,所謂“報告”不再特指“財務報告”,而是包括對企業內外部發布的所有其他報告。除此之外,ERM增加了與企業願景或使命相關的高層次目標—戰略目標,這意味著企業的風險管理開始關注企業戰略(包括經營目標)的制定過程,從源頭上把控整體風險水平,進而有針對性、有效地保障其他目標的合理實現。
2.控制要素方面全面風險管理(ERM)將COSO五要素擴展為八要素,保留內部環境、風險評估、控制活動、信息與溝通、監控五要素,增加了目標設定、事項識別和風險應對三個要素,清晰地勾畫出風險管理的完整循環流程,從目標設定到事項識別、風險應對、控制活動,最後是對整個過程的監督控制和檢討糾正。
3.控制理念方面 全面風險管理(ERM)強調了全程的風險管理過程、全員的風險管理文化和全員參與的風險管理機制。通過對
內部控制要素的擴充以反映風險管理全流程的概念,體現了ERM對全程風險管理過程的關注。另外,ERM認為組織中的每一個人都對企業風險管理負有責任,並進一步劃分了責任主體等級:企業風險管理的成功與否主要依賴於董事會,因為董事會負責審批風險管理總體政策和具體措施;CEO以及管理層其他成員對公司治理、風險管理、內部控制體系的建立健全負有首要責任;企業各職能部門、各部門人員負有根據所處地位、職責劃分的不同按部門規章和崗位職責執行風險管理具體措施的責任。
4.風險管控幅度方面 全面風險管理(ERM)借鑑現代金融理論中的
資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散於各層級機構、各職能部門的風險暴露,以統籌考慮風險應對對策,提高風險控制的效率和效果。增加風險控制的管控幅度可以避免以下兩種情況:一是部門(或者某機構)的風險處於可容忍限度之內,但從企業整體角度看,累積起來的風險可能超出了企業的風險容忍度,因為個別風險的累積並不一定是簡單的相加關係,有可能存在放大效應;二是個別部門(或者機構)的風險超過其容忍度,但從企業整體角度看,存在抵消其風險影響程度的機制或者措施,因而就其本身而言沒有必要採取風險應對和控制措施。
首先,ERM框架是目前公認的國際內部控制和風險管理的最佳理論基礎。一經推出,便得到了以
美國聯邦儲備局、
美國證券交易委員會為代表的監管機構和以
巴塞爾委員會、IIA為代表的國際組織的推崇和認可。COSO內控框架是唯一被美國證券交易委員會確認為完整、全面、不偏倚的內控框架,其中的許多內控語言、理念和方法被廣泛吸收到各國監管法律和法規的制定之中,在全世界範圍內產生了深遠的影響。
其次,商業銀行實施全面風險管理有利於順應內部控制和風險管理的發展主流,更好地滿足監管要求。國有資產監督委員會發布的《
中央企業全面風險管理指引》、
上海證券交易所發布的《上市公司內部控制指南指引》借鑑了ERM框架,銀監會發布的《商業銀行內部控制評價試行辦法》和財政部等五部委聯合發布的《
企業內部控制基本規範》也沿用了COSO內控體系方法論。
最後,商業銀行實施全面風險管理是夯實內控管理基礎,促使內控管理上水平的必由之路。股份制改革初期國有銀行內控體系基礎極為薄弱,各部門(機構)人員職責含混、業務和內控管理流程不清晰,內控
管理信息系統尚未成型,增加了內控管理的難度,也在一定程度上制約了業務發展。
因此,積極主動落實與全面風險管理相關的一系列制度要求,順應內部控制和風險管理的發展趨勢,摸索研究出一套既符合監管要求,又適應內部管理實際需要的內控體系框架,能在儘快縮小與監管要求之間的差距的同時,迅速提升內控風險防範水平,這成為當時各大商業銀行內控發展的重中之重。
商業銀行內控三道防線建設與全面風險管理(ERM)
然而,作為資本市場“
放之四海而皆準”的內控理論,對銀行業而言,COSO的ERM體系針對性不及BASEL強,監管要求更為原則導向,容易增加實際套用的難度、引起使用者的疑惑,產生推行阻力,一定程度上影響到了商業銀行全面落實ERM的積極性。同時,我們也應該注意到,商業銀行在摸索前行的過程中提出了一系列特色鮮明的內控管理舉措,為全面推行ERM奠定了堅實的基礎,營造了良好的氛圍。商業銀行內控三道防線建設便是其中的一個典型實例。
商業銀行內部控制的三道防線是指由內控體系的設計監督、操作執行和防範評價三類保證活動、三類保證人員組成的全行內控體系,是全面覆蓋集團經營管理的各環節、各條線、各職能、各機構,實現信息共享、聯動互動、適當交叉、合理覆蓋的內控保證活動機制。
雖然國內外銀行同業對全面風險管理框架下的內控三道防線的劃分不盡相同,但基本特點是一道防線強調過程實時控制和自我評估程式,二道防線強調各職能部門對一線部門(過程)進行設計、管理、指導、檢查和監督,三道防線強調內部稽核部門對業務操作職能(一線)及業務管理職能(二線)進行再監督和評價,發現問題並督促其及時採取相應措施。
從銀行整體層面而言,構建內部控制三道防線是完善銀行內控管理架構的重大變革,是內控關口前移、全面加強風險管理的重要舉措,是牢固樹立全員風險意識和合規文化的重要制度保障,是全面滿足COSO《企業風險管理——整體框架》(ERM)的重要
奠基石,將內控和操作風險管理基礎建設納入了統一規範的軌道。
從內控框架的改進發展來看,構建內控三道防線是COSO內控框架部分改革思路得以成形的典型實例,具體來講:
首先,ERM在內控理念方面強調了全程的風險管理過程、全員的風險管理文化和全員參與的風險管理機制。銀行三道防線建設思路表明,各機構、職能部門、人員都是全面風險管理體系必不可少的一部分,唯有各司其職、加強溝通、協調配合,才能真正發揮三道防線牢不可破的威力。業務發展與風險管理相輔相成,應當確保業務發展目標在有效的風險管控下實現,並通過管控機制推動其更好更快地發展。隨著三道防線的逐步落實到位和效果顯現,在銀行營造了良好的內控管理氛圍,“內控制約發展”“內控是合規和稽核部門的事情,與業務部門、經營機構不相關”等不和諧的聲音銷聲匿跡。內控體系的第一道防線(業務部門、經營機構及其員工)在承擔業務發展任務的同時也承擔起了相應的內部控制責任。由於更加貼近具體業務,在對業務具體風險識別,風險防範性控制方面具備先天的優勢,在履行對各項業務操作流程實時或及時的合規監督及自我評估職責的過程中,能夠主動採取措施堵截、化解風險或者發出風險提示,切實提高了風險管控過程的效率。
第二,ERM在風險管控幅度方面借用金融資產組合理論提出可從整體上把握分散於各機構、職能部門的風險暴露,以統籌考慮風險應對策略。這對機構內部的信息溝通渠道和溝通機制提出了更高的要求。三道防線通過建立起信息共享、定期協調配合的機制,充分溝通對集團內各類風險,尤其是綜合性、系統性風險的判斷和認知,從集團整體層面把握風險的預期嚴重程度,在提出綜合性解決方案的基礎上按照職責將任務進一步分解,以便形成整體合力並有針對性地落實。
第三,ERM在控制目標方面增加了與企業願景和使命相關的高層次-“戰略目標”。 隨著第一、二道防線的完善到位,傳統稽核工作內容,如績效審計、合規審計、離任審計已逐步轉移到一、二道防線。稽核部門作為內控第三道防線,憑藉其在組織內部的獨立地位、技術優勢和獨特視角,工作重點正逐步由合規檢查為主向以防範為目標、風險為導向的內控評價為主過渡,開始以經營目標和組織戰略為出發點識別高風險領域和關鍵控制,關注集團管控和戰略推行,嘗試在集團層面上對內控體系進行整體評價,對系統性風險進行有效的識別和應對,以確保戰略目標的逐步平穩實現。
中國銀行股改上市以來內部控制三道防線的建設
為建設良好
公司治理機制,適應監管要求,構建全面、動態、主動、可驗證的內部控制和風險防範體系,有力防範金融風險,2006年10月,中國銀行正式啟動內部控制體系的改革完善,著手建立內部控制三道防線,並於2007年初全面推行。
第一道防線:中國銀行各級業務經營機構、業務管理部門和每個員工在承擔業務發展任務的同時也承擔著內部控制和操作風險管理的責任,既是業務的直接經辦者、規章制度的執行者,又是操作風險的所有者,是內部控制和操作風險管理的第一道防線。
第一道防線是
內部控制與操作風險管理的
第一責任人,通過自我評估、自我檢查、自我整改、自我培訓來履行業務經營過程中的自我風險控制職能。一道防線按照法律、法規和有關制度、流程的規定從事業務經營活動,對經營和業務流程中的風險主動進行識別、評估和控制,收集、報告所發現的風險點,針對薄弱環節及時進行整改,實現“自己管自己”。
第二道防線:中國銀行內部控制和操作風險管理的第二道防線由各級法律合規部門及業務條線部門履行內部控制和操作風險管理職能的團隊或職位組成。二道防線通過制定內部控制和操作風險管理的政策、標準和要求,為一道防線提供內部控制和操作風險管理的方法、工具、流程,促進內部控制和操作風險管理的一致性和有效性,制訂業務檢查計畫,就一道防線執行各項規章制度和內控要求的情況開展檢查,並監督整改,建立內部控制和操作風險管理信息收集、分析和報告制度,評估和監控一道防線內部控制和操作風險狀況,對其工作提供指導。
二道防線不是替代一道防線,而是對一道防線實施檢查、監督和指導,確保一道防線內部控制的有效性,同時為三道防線開展再檢查、再監督和
內部控制評價提供基礎。
第三道防線:內部稽核作為內部控制第三道防線,由稽核部門負責,稽核部門通過系統化、規範化的方式,審查評價經營活動、風險管理、內部控制和公司治理的適當性和有效性,目標是協助董事會和管理層履行職責,保證國家有關經濟金融法律法規、方針政策、監管部門規章的貫徹執行,改善組織運營、有效控制風險、增加銀行價值。稽核部門履行稽核確認、內控評價、諮詢、反舞弊欺詐職責,是內部控制體系的保障手段。
內控三道防線概念的實施並不影響原前、中、
後台分離和其他制約原則,原各職能部門的職責不變,只是更明確了分行管理層對轄內內控操作負第一責任,以及總行、一級分行條線和職能部門的制度管理責任。此項制度安排更強調全員的內控保證,適應外部監管的要求,更有利於形成有組織、有規範、可評價、可論證的內控體系。
為保證內控三道防線合理履職,努力貫徹ERM的管理思路,中國銀行自股改上市以來實行了一系列配套措施,經過幾年的摸索和嘗試,效果明顯,著實提高了經營管理的效率,夯實了內控管理的基礎。
在一道防線建設方面,全面推廣基層機構自查流程和自查系統,通過一道防線的自我評估、自我檢查、自我整改、自我培訓程式,促使基層管理者和員工通過持續自我檢查實現關鍵控制環節的落實到位。同時,自查系統的利用,便於分行分析把握基層網點的內部控制總體情況和周期性變化趨勢,從而更好地發揮出自查流程差錯糾偏的作用。自查流程和系統運行以來,一線員工防範風險的自覺性和主動性不斷提高,達到了風險關口前移的目的。
除此之外,中國銀行還通過推行業務經理派駐制度、基層負責人代職、
關鍵崗位輪崗、強制休假等一系列措施,有效加強了一道防線的履職能力。
在二道防線建設方面,根據
巴塞爾新資本協定工作規劃逐步開發操作風險
管理工具,並在全行範圍內推廣運用。目前已開發並實施操作風險與控制評估流程(RACA)、二道防線檢查工作流程、內控考核流程、重大操作風險事件報告流程(SERP)、損失數據收集(LDC)、
關鍵風險指標(KRI)等一系列管理工具,大大促進了操作風險管理的科學化、規範化和流程化。
二道防線以內控合規檢查為基礎,建立了內控問題整改的持續跟蹤機制,並開發內控管理信息系統(ICIMS),收集匯總三道防線內控檢查的問題,強化了對全行內控問題整改情況的記錄、審批、監控和報告,為操作風險管理積累相關信息。
在三道防線建設方面,稽核部門以風險評估為基礎,結合董事會和管理層的風險偏好,合理配置稽核資源,制訂年度稽核計畫,密切關注全行系統性風險。稽核部門憑藉自身的優勢,更多地關注管理架構、內控機制、業務流程中的系統性問題,尋找、分析內控制度和設計方面的不足,並提出改進建議,幫助各級管理層有效解決問題。為滿足監管要求,提升全行內控管理水平,稽核部門在集團範圍內組織開展內控評價工作,制定並逐步完善內部控制評價標準,充分利用三道防線檢查結果,按COSO的內部控制框架八要素(內部環境、目標設定、風險識別、風險評估、風險應對、信息與溝通、監控、控制活動),對集團各業務條線、各機構的內部控制情況進行獨立評價,得出內部控制體系設計的適當性和執行有效性的評價結果,以此為基礎制定缺陷認定標準,並建立內控預警體系。
但是,內控三道防線建設只是全面風險管理體系構建的眾多基礎工作之一,是企業全面遵循ERM要求的實現方式,業務管理流程的梳理和內控信息系統的搭建等工作也需要同步進行和平衡發展,同時內控三道防線建設也只有與時俱進,進一步延伸內涵、彰顯實質和擴充內容,不斷適應業務發展和新形勢要求,才能為全面實施ERM保駕護航。