全面风险管理框架下商业银行风险管理体系构建
一、引言 2011年初,“由于存单质押贷款业务处理不当,齐鲁银行被骗贷损失数十亿元的消息就迅速占据国内各大媒体的头版头条。虽然对于齐鲁案件的侦查还没有水落石出,其中详情还不为人所知。但是,譬如诈骗人是通过何种手段进行诈骗的?损失的金额为什么高达十亿元?商业银行的内部控制和风险管理为何没有起到应有的作用?其它银行也会被牵涉吗?这一系列问题吸引着人们的眼球。民众之所以如此关注齐鲁银行诈骗案,主要是银行业作为一个特殊的行业屡次出事,屡次牵动着人们的神经。 而事实上,我国银行业大案要案屡屡发生,无不暴露出我国商业银行的内部控制和风险管理存在巨大漏洞,不能有效防范风险,连企业最基本地资产保全目标都无法达到,更不谈经营的效率效果性目标、合法合规目标以及财务报告的可靠性等目标。2004年9月,美国反虚假财务报告委员会下属的发起组织委员会发布了《企业风险管理——整合框架》报告(以下简称COSO报告)模型,为世界各国建立全面的风险管理提供了一个基本的参考框架。该模型在国内也受到了重视,逐步被中国证监会、银监局所接受,以期有效应用于管理中国的银行、基金及上市投资公司。作为企业风险管理的重要模型和指标,COSO模型在公司结构治理与内部风险控制框架建立等项目中起到重要指导作用。然而,正如我们前面提到的诸多银行业大案要案的发生,都说明我国银行业缺乏良好的风险防范和管理体系。因此,我们有必要在回顾总结内部控制发展以及企业风险管理整合框架产生的基础上,构建一套行之有效的商业银行风险管理体系。 二、理论回顾与分析 内部控制起源于内部牵制,它的发展与会计控制关系密切,其理论的发展大致经历了下面五个阶段: (一)内部牵制阶段 随着人类社会历史的发展, 内部控制的基本思想——内部牵制(internal check)逐渐形成。。内部牵制是内部控制的雏形,它基于以下两个假设:这两个假设均是针对两个以上的个人或部门而言,首先,他们无意识的犯下同样错误的可能性很小;其次他们有意识地合伙舞弊的可能性远远低于一个人或一个部门舞弊的可能性。 (二)内部控制制度阶段 随着20世纪40年代末至70年代世界经济的发展:内部牵制逐渐衍伸,发展出内部控制制度。自1947年美国《审计准则暂行公告》将内部控制为基础的审计程序搬上历史的舞台后,内部控制理论获得了长足的发展。无论是美国审计程序委员会于1949年首次对内部控制做出了权威的定义,还是1953年美国注册会计师协会发布的《审计程序说明》19号公告拓展了控制的层次和内容,都是有力的证明。经过近十年的实践,1958年,发布的《审计程序公告第29号》完成了内部控制理论向系统化方向发展的大的跨越,内部控制由单一的管理模式,向会计控制和管理控制两个方向发展。 (三)内部控制结构阶段 20世纪70年代以后,会计界研究的重点开始由简单的一般定义向具体的内容衍化。西方学者在这一方面的研究处于领先地位,他们认为将内部控制进行人为地划分为两个部分是“将一块完整的玉击成粉碎”,并认为原来划分的两部分是不可分割和相互联系的。1988年4月美国注册会计师协会发布了《审计准则公告第55号》,该公告首次将控制环境纳入内部控制结构,并用内部控制结构一词取代原有的“内部控制”, 形成了一个由控制环境,控制程序和会计系统三要素共同决定的结构体系。内部控制结构阶段被认为是内部控制发展的重要阶段。 (四)内部控制整合框架阶段 1992年, COSO委员会讨论并发布了专题报告:《内部控制——整体架构(Internal Control-Integrated Framework)》(COSO报告)。COSO报告重新定义了内部控制,它认为:内部控制的实施者是企业董事会、经理阶层和其他员工,而其目的是为了给保持运营的高效、财务报告的可靠性和相关法令的遵循性等提供保障。具体内容由风险评估、控制环境、控制活动、监督及信息和沟通等五个要素组成。COSO报告被世界各国广泛借鉴,产生了积极而深远的影响。 (五)风险管理整合框架阶段 受2002年安然事件、世通丑闻以及施乐丑闻的影响,美国出台了史上最严法案——萨班斯—奥克斯利法案(简称萨班斯法案)。法案的出台对监管机构提出了更为严格和苛刻的要求, COSO作为研究内部控制的机构和组织,也对当期美国出现的一系列财务问题进行了反思,通过积极探讨,最终于2004年发布了《企业风风险管理——整合框架》。企业风险管理的整合框架,加强了对于风险管理理论的应用,同时扩展了内部控制理论的内涵,这保证了主体能更有效的实现其战略、经营、报告和合规4大目标。COSO2004报告拓展了内部控制的外延和内涵,从另外一个层面来说是对内部控制提出了更加高的要求。通过解读 COSO发布的 ERM框架可以发现,该框架认为评判一个企业风险管理是否有效的标准,即企业所要达到的目标是否实现,是建立在对以上构成要素是否存在以及有效运行进行的判断基础上。 总之,企业风险管理整合框架是风险管理或者内部控制研究领域的一个重大进步,它将企业内部控制提升到了更高的层面,对于规范企业经营与管理具有重大的意义。 三、商业银行风险管理体系构建 本部分考虑在COSO发布的企业风险管理整合框架的指导下,结合商业银行的特点,试图为商业银行构建一套行之有效的风险管理体系提供建议。本文拟在借鉴国外现金经验的基础上,结合我国的实际情况为我国商业银行构建一套行之有效的风险管理体系提出一些建议和措施。 (一)正确认识商业银行风险管理 商业银行风险管理同其他行业的风险管理一样,是一个将风险和收益、风险偏好和风险策略等若干个风险要素紧密结合起来的有机体系,这个体系可以提升商业银行应对风险的能力,以其尽量减少操作失误和因此而给银行带来的损失,从而可以准确判断和管理交叉风险,提高商业银行应对不同层次和不同类型的风险的能力;最终根据企业已有资源进行合理分配,并抓住一切机会,保证银行各项业务持续健康有效地发展。具体来说,则是应该将银行风险管理视作一个过程而不是一个独立的管理活动;风险管理不是公司高层管理几个人的事情,而应该是全体员工共同参与的一项活动;银行所要面对的风险不只是信用风险、市场风险和操作风险,还应面对这几种风险交叉产生的综合风险。 (二)培育商业银行风险管理的土壤与文化 企业风险管理的成长应该有其合适的土壤,而适合企业风险管理成长的土壤要由企业文化来培植。企业在长期经营实践中逐渐形成的企业文化,这种思想观念、方式及工作作风被企业员工普遍认同和遵从,它是物质文化、精神文化和制度文化的总合。培育商业银行的风险管理文化,关键在于如何提高全体银行管理人员和业务人员的风险意识,在整个组织、在所有的业务流程中都贯彻风险管理的文化,使企业的风险管理文化生长于每一个角落、每一个流程,为企业的整体员工所拥有,形成一种思维方式和处事方式,不因为企业管理层的变化而变换,最终根深蒂固形成一种氛围,这才是构建企业风险管理体系所需要重点关注的方面和要解决的问题。 (三)建立健全商业银行风险管理组织体系 制度的执行需要人,而没有组织进行管理的人会做出杂乱无章的事情,因此建立健全商业银行风险管理的组织体系显得尤为重要。纵观西方经济发达国家经过多年的发展,已经形成了良好的应对机制,即由董事会及其高级管理人员直接领导的,以独立风险管理部门为核心,与各个业务部门紧密联系的风险内部管理系统。在借鉴西方发达国家经验的基础上,结合我国商业银行的实际情况,应该进一步完善我国的公司治理机构,确保董事会在企业风险管理过程中发挥至关重要的作用,还应在集团设立综合的风险管理部门,此外根据具体的情况在风险管理部门下按风险特性设立专门负责市场风险、信用风险、操作风险管理的风险管理部门或者综合风险管理部门,并在各业务线、各区域派出相应的风险管理机构。这样做的目的也是为了使得风险管理落实到各个层次以及各个角落。 (四)建立健全商业银行风险管理制度体系与法律体系 无规矩不成方圆,健全的规章制度、严格的风险管理手段是保证商业银行在激烈的市场中取得生存之地和得意长效发展的重要保证。商业银行应该根据自身情况以及监管部门的要求,构建一套完整的制度体系加以约束,同时还应保证制度的严格执行,使广大员工能够按照规章制度办事,完善责任追究机制。 随着我国社会主义市场经济体制的建立、我国在国际经济体中发挥着越来越重要的作用,因此,必须建立与国际竞争相符的法律法规制度体系,使我国商业银行在法制化的轨道上发展,提高竞争的水平。 参考文献: [1]程新生:《内部控制理论与实务》,清华大学出版社2008年版。(编辑 杜昌)