基于2016版ERM框架的商業(yè)銀行內(nèi)部控制

陸賽江 許莉

銀行業(yè)作為我國金融業(yè)最主要的組成部分，更是應(yīng)該把防范風(fēng)險，尤其是系統(tǒng)性金融風(fēng)險，放在經(jīng)營發(fā)展的第一位。而要防范銀行的風(fēng)險，尤其是系統(tǒng)性金融風(fēng)險，必須從完善商業(yè)銀行的內(nèi)部控制出發(fā)。基于此，本文選擇商業(yè)銀行的內(nèi)部控制作為研究對象，分析商業(yè)銀行內(nèi)部控制制度存在的不足。在此基礎(chǔ)上，結(jié)合2016新版ERM框架的五個組成要素，提出加強(qiáng)和完善商業(yè)銀行內(nèi)部控制的建議。

一、理論基礎(chǔ)及其制度變遷

1.從1992年COSO《內(nèi)部控制整合框架》到2004年《企業(yè)風(fēng)險管理框架》（ERM）。1992年，COSO委員會發(fā)布了著名的《內(nèi)部控制整合框架》，并且在1994年對其進(jìn)行了修訂和增補(bǔ)。該框架設(shè)立了一個立方體的模型，從目標(biāo)、要素、層級這三個維度對機(jī)構(gòu)內(nèi)部控制進(jìn)行評價。3個目標(biāo)分別是戰(zhàn)略目標(biāo)、財務(wù)報告目標(biāo)和合規(guī)性目標(biāo)；5個要素分別是控制環(huán)境、風(fēng)險評估、控制活動、信息溝通，以及監(jiān)督；將層級分為業(yè)務(wù)單位和活動。

2004年，COSO委員會結(jié)合《薩班斯法案》中有關(guān)報告方面的要求，在《內(nèi)部控制整合框架》的基礎(chǔ)上進(jìn)行擴(kuò)展和補(bǔ)充，頒布了《企業(yè)風(fēng)險管理框架》（ERM）。ERM框架為企業(yè)的風(fēng)險管理提供了理論基礎(chǔ)和應(yīng)用指導(dǎo)。相較于1992年的內(nèi)控框架，2004年ERM框架的范圍更加廣泛，產(chǎn)生以下主要變化：第一，分別在三個維度增加了一些新的內(nèi)容，在目標(biāo)方面，增加一個戰(zhàn)略目標(biāo)，并且將財務(wù)報告這一目標(biāo)擴(kuò)充為包括財務(wù)報告在內(nèi)的所有報告。在要素方面，增加了目標(biāo)設(shè)定、事項識別和風(fēng)險反應(yīng)。在層級方面，將風(fēng)險管理運(yùn)用領(lǐng)域從單個業(yè)務(wù)單位和活動提升至整個企業(yè)。第二，增加了風(fēng)險組合觀，認(rèn)為企業(yè)的風(fēng)險管理要考慮組織的風(fēng)險偏好和風(fēng)險容忍度。第三，強(qiáng)調(diào)企業(yè)的內(nèi)部控制是企業(yè)風(fēng)險管理重要的組成部分。

2.從2004年《企業(yè)風(fēng)險管理框架》到2016年《企業(yè)風(fēng)險管理——協(xié)調(diào)風(fēng)險與戰(zhàn)略和業(yè)績的關(guān)系》。自2004年ERM框架頒布以來，盡管它在指導(dǎo)企業(yè)風(fēng)險管理方面取得了一定的成績，但也暴露出了它的缺陷。其中最主要的是：2004年ERM框架制定的初衷是為了彌補(bǔ)內(nèi)部控制框架沒有從整體的角度指導(dǎo)企業(yè)進(jìn)行內(nèi)部控制建立這個缺陷。2014年起，COSO委員會開始籌劃對2004年ERM框架的修訂工作，并且在2016年出臺了《企業(yè)風(fēng)險管理——協(xié)調(diào)風(fēng)險與戰(zhàn)略和業(yè)績的關(guān)系》征求意見稿。從2016版ERM框架的具體內(nèi)容來看，用此框架指導(dǎo)商業(yè)銀行加強(qiáng)內(nèi)部控制的優(yōu)勢在于：第一，我國商業(yè)銀行正處于轉(zhuǎn)型和國際化的階段，采用被全球認(rèn)可的2016版ERM框架指導(dǎo)商業(yè)銀行進(jìn)行風(fēng)險管理，使商業(yè)銀行在風(fēng)險應(yīng)對方面提高了國際競爭力；第二，2016版ERM框架更加強(qiáng)調(diào)風(fēng)險與價值相結(jié)合，突出風(fēng)險管理對企業(yè)的價值創(chuàng)造，這與商業(yè)銀行在風(fēng)險管理方面的要求更加契合。

二、商業(yè)銀行內(nèi)部控制現(xiàn)狀分析——基于新版ERM框架

1.商業(yè)銀行風(fēng)險管理與內(nèi)部控制文化基礎(chǔ)薄弱。企業(yè)自身風(fēng)險管理和內(nèi)部控制文化是企業(yè)建立完善風(fēng)險管理和內(nèi)部控制制度的基礎(chǔ)，該文化體現(xiàn)了企業(yè)主體的價值觀、行為準(zhǔn)則等，對于企業(yè)的風(fēng)險管理活動和內(nèi)控活動的進(jìn)行具有指導(dǎo)性作用。目前我國商業(yè)銀行對風(fēng)險管理和內(nèi)控文化的建設(shè)培育工作還沒有貫徹到具體行動中，沒有將文化的價值體現(xiàn)出來。

在董事會和管理層方面，許多人把商業(yè)銀行內(nèi)部控制體系僅僅理解為銀行各種規(guī)章制度、業(yè)務(wù)流程設(shè)定的匯總，認(rèn)為抓內(nèi)控就是制定和頒布銀行管理及業(yè)務(wù)的各項規(guī)章制度，而忽視了銀行的內(nèi)控也是一個需要從宏觀整體層面進(jìn)行考量的重要機(jī)制。在票據(jù)業(yè)務(wù)中，風(fēng)險的發(fā)生正是因為銀行對風(fēng)險管理和內(nèi)部控制缺乏正確的認(rèn)識，沒有做到整體上各個層級和環(huán)節(jié)相互制約、監(jiān)督。

在銀行員工方面，商業(yè)銀行未能將員工個體的行為和銀行風(fēng)險管理文化結(jié)合起來。在日常管理活動中，組織缺乏對銀行風(fēng)險治理、內(nèi)部控制文化和核心價值觀不斷地解讀、強(qiáng)調(diào)和踐行，導(dǎo)致員工在一些業(yè)務(wù)活動中出現(xiàn)違背商業(yè)銀行價值觀的行為。

2.商業(yè)銀行對事項和風(fēng)險的識別、評估不到位。在現(xiàn)實情況中，我國商業(yè)銀行在對風(fēng)險事項的識別和評估方面還十分不到位。一方面是缺乏對事項的評估。在我國商業(yè)銀行的內(nèi)部控制活動中，沒有形成明確的事項識別機(jī)制和過程，銀行關(guān)注的僅僅是直接對風(fēng)險的識別和評估。

3.信息溝通不充分。我國商業(yè)銀行對統(tǒng)一、共享的信息溝通平臺還未完全建立。一是商業(yè)銀行的信息數(shù)據(jù)比較缺乏。已有的信息數(shù)據(jù)反映的僅僅是針對單個風(fēng)險事件的，而沒有對商業(yè)銀行各條業(yè)務(wù)線等銀行全面風(fēng)險管理和公司治理層面的總體反映。二是我國商業(yè)銀行沒有形成通暢的信息溝通模式。我國主要的商業(yè)銀行具有規(guī)模大、結(jié)構(gòu)復(fù)雜等特征，這些都不利于信息數(shù)據(jù)高效、順暢的流動。

4.全過程監(jiān)督、制約機(jī)制未能有效發(fā)揮。商業(yè)銀行的內(nèi)控制度應(yīng)當(dāng)覆蓋其整個經(jīng)營管理和業(yè)務(wù)活動，因此對內(nèi)部控制有效性的判斷應(yīng)當(dāng)建立在對整個經(jīng)營管理及業(yè)務(wù)活動進(jìn)行全過程監(jiān)督的基礎(chǔ)上。一方面，雖然我國上市銀行按照相關(guān)制度的要求建立了公司治理模式、設(shè)立了相關(guān)特定委員會對銀行的內(nèi)控進(jìn)行監(jiān)督，董事會聘請事務(wù)所每年進(jìn)行內(nèi)控審計，董事會內(nèi)部每年也對其內(nèi)部控制進(jìn)行評價，但都僅僅針對的是財務(wù)報告相關(guān)的內(nèi)部控制，缺乏對非財務(wù)報告相關(guān)內(nèi)部控制的監(jiān)督和評價，監(jiān)督活動覆蓋不全面。另一方面，我國商業(yè)銀行的內(nèi)審部門存在雙重報告制度，既對董事會報告，又對高級管理層進(jìn)行報告，內(nèi)部審計部門的獨(dú)立性不能得到有效保證，導(dǎo)致其對商業(yè)銀行內(nèi)部控制的監(jiān)督也不能做到公正、有效。

三、加強(qiáng)商業(yè)銀行內(nèi)控制度建議——以2016版ERM為導(dǎo)向

1.加強(qiáng)內(nèi)部控制環(huán)境創(chuàng)造。①明確監(jiān)管責(zé)任的分配。新版ERM框架在風(fēng)險治理與文化這一模塊中，強(qiáng)調(diào)了企業(yè)進(jìn)行全面風(fēng)險管理的重要性，并且要求企業(yè)明確監(jiān)管責(zé)任的分配。一般來講，鑒于商業(yè)銀行董事會成員有比較豐富的行業(yè)經(jīng)驗和技能，并且獨(dú)立于銀行的管理層，他們能夠站在整體、宏觀的角度提供風(fēng)險管理的戰(zhàn)略思想，并且把風(fēng)險管理的日?；顒蛹柏?zé)任授權(quán)給管理層或特定的委員會進(jìn)行，他們對企業(yè)的內(nèi)控監(jiān)督負(fù)有首要責(zé)任。②建立風(fēng)險治理和內(nèi)部控制運(yùn)作模式。在明確監(jiān)管責(zé)任分配的條件下，商業(yè)銀行應(yīng)該建立完善的內(nèi)部控制運(yùn)作模式和匯報機(jī)制。商業(yè)銀行應(yīng)當(dāng)根據(jù)銀行的戰(zhàn)略目標(biāo)、規(guī)模、相關(guān)法律法規(guī)，結(jié)合銀行自身使命、期望以及核心價值觀來建立風(fēng)險治理和內(nèi)部控制運(yùn)作模式。③踐行文化與激勵機(jī)制。在現(xiàn)實中，銀行工作人員違背商業(yè)銀行核心價值的行為難以完全避免。有的是好人由于缺乏經(jīng)驗和疏忽等原因造成的，有的則是壞人蓄意謀劃。因此需要對違規(guī)行為進(jìn)行詳細(xì)地評估并制定應(yīng)對措施。關(guān)鍵舉措在于將銀行工作人員的個人文化與銀行的核心文化結(jié)合起來，管理層在日常管理和業(yè)務(wù)活動中，要對銀行的風(fēng)險治理和內(nèi)控文化進(jìn)行不斷地解讀、強(qiáng)調(diào)和踐行。

2.明確目標(biāo)選擇、加強(qiáng)風(fēng)險識別。①內(nèi)部控制目標(biāo)與戰(zhàn)略目標(biāo)相一致。新版ERM框架將其制定的風(fēng)險管理戰(zhàn)略及業(yè)務(wù)目標(biāo)，與主體的戰(zhàn)略計劃保持一致。商業(yè)銀行的戰(zhàn)略目標(biāo)一方面是對其經(jīng)營目標(biāo)進(jìn)行深入闡釋和界定，另一方面又具有可持續(xù)性、全局性和穩(wěn)定性等特征。因此，商業(yè)銀行在內(nèi)控體系各個環(huán)節(jié)和層級制定時，應(yīng)當(dāng)考慮銀行總體戰(zhàn)略目標(biāo)的指導(dǎo)性意義，將其分解，并且持續(xù)作用于內(nèi)部控制的各個環(huán)節(jié)。②加強(qiáng)對事項和風(fēng)險的識別。ERM框架是以風(fēng)險為導(dǎo)向制定的，商業(yè)銀行在制定內(nèi)控制度的過程中也應(yīng)當(dāng)以風(fēng)險和事項為中心向外擴(kuò)散，將風(fēng)險導(dǎo)向滲入到內(nèi)部控制的各個環(huán)節(jié)和流程中去，從而在日常的內(nèi)部控制活動中積累對風(fēng)險和事項的識別。商業(yè)銀行在進(jìn)行風(fēng)險識別之前，更要進(jìn)行事項識別。

3.在風(fēng)險評估基礎(chǔ)上選擇相應(yīng)的風(fēng)險響應(yīng)。在上述對風(fēng)險和事項進(jìn)行識別的條件下，我國商業(yè)銀行應(yīng)當(dāng)根據(jù)風(fēng)險和事項的重要程度、優(yōu)先次序等標(biāo)準(zhǔn)選擇和制定應(yīng)對方式。首先是進(jìn)行風(fēng)險排序。要對風(fēng)險進(jìn)行排序，在識別出風(fēng)險的基礎(chǔ)上，對風(fēng)險進(jìn)行評估。商業(yè)銀行應(yīng)當(dāng)結(jié)合組織的風(fēng)險偏好，區(qū)分出風(fēng)險事項發(fā)生的可能性和對銀行發(fā)展產(chǎn)生的影響程度，在重要程度和緊急程度等方面對其進(jìn)行排序。其次是針對排序完的風(fēng)險選擇相應(yīng)的應(yīng)對措施，如承擔(dān)風(fēng)險、規(guī)避風(fēng)險、降低風(fēng)險等。

4.建立順暢的信息溝通機(jī)制，有效共享信息。①確定信息數(shù)據(jù)的來源。前文所述造成風(fēng)險的事項可由銀行的內(nèi)部和外部環(huán)境產(chǎn)生，因此，商業(yè)銀行管理層在確定信息數(shù)據(jù)的來源時，應(yīng)當(dāng)同時考慮信息的內(nèi)部和外部來源。②對風(fēng)險進(jìn)行報告，有效溝通風(fēng)險信息。商業(yè)銀行確定了信息數(shù)據(jù)的來源以后，將搜集到的信息數(shù)據(jù)進(jìn)行分類、分析和管理，并最終形成報告。針對不同的溝通對象（即信息使用對象）形成不同種類和形式的報告。溝通對象包括商業(yè)銀行的內(nèi)部工作人員、董事會、股東以及其他利益相關(guān)者。信息溝通的形式可以是：電子信息共享、培訓(xùn)和研討會、內(nèi)部文件資料傳遞等。

5.加強(qiáng)內(nèi)部控制持續(xù)監(jiān)管。商業(yè)銀行的內(nèi)部控制應(yīng)當(dāng)隨著時間的改變、業(yè)務(wù)的發(fā)展而有所不同。在外部環(huán)境方面，隨著一些因素的變化和發(fā)展，可能會發(fā)生舊的風(fēng)險消失了，新的風(fēng)險產(chǎn)生了、曾經(jīng)的風(fēng)險對銀行的影響程度發(fā)生了變化、曾經(jīng)有效的風(fēng)險應(yīng)對措施變得不再有效等一系列問題；在銀行內(nèi)部方面，可能會發(fā)生銀行員工對控制活動執(zhí)行的有效性降低、銀行人員和組織架構(gòu)發(fā)生了調(diào)整從而影響了內(nèi)部控制的執(zhí)行等問題。因此需要銀行通過對其內(nèi)部控制進(jìn)行持續(xù)、全過程地監(jiān)控，了解并掌握在內(nèi)部控制的各方面發(fā)生的一些實質(zhì)性變化，以便判斷銀行內(nèi)控體系的各個層級、各個流程在長期運(yùn)作方面是否保持良好，促進(jìn)商業(yè)銀行內(nèi)部控制體系長期有效地發(fā)揮作用。

（作者單位：南京審計大學(xué)）