内部控制与全面风险管理
近年来,内部控制、全面风险管理与新资本协议,成为我国银行业关注的几个热点问题。但是,对这几个问题相关的几个基本概念,我国银行业还未形成共识。笔者认为,在金融全球化发展趋势下,这种状况既不利于我国银行业与国外同业的业务交流,也不利于我国商业银行风险管理改革的深化。为此,本文试对内部控制、全面风险管理及相关问题,谈几点看法。
一、内部控制
内部控制的概念是在实践中逐步产生、发展和完善起来的。早在上世纪70年代中期,作为美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下面的柯恩委员会(CohenCommission)提出报告,一是建议公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是建议外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成形。而且,这些标准逐渐得到了监管者和立法者的认可。
COSO《内部控制统一框架》首先强调的是内部控制目标。因为COSO认为,没有预定的目标,谈控制就没有任何意义。早期的内控制度一般有两项目标,一是财务报告的可靠性目标,二是合规性目标。COSO认为内部控制制度主要是为了满足管理层的需要,而管理层的职责是制定本单位的各项目标,并配置人力资源和物质资源以达到这些目标,因此,除了以上两项目标以外,内部控制的首要目标是合理确保经营的效果和效率。
二、全面风险管理
多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险。即要实行全面风险管理(EnterpriseRiskManagement,简称ERM)。然而,尽管很多企业意识到全面风险管理,但是对全面风险管理有清晰理解的却不多,已经实施了全面风险管理的企业则更少。为了改变这种状况,COSO从2001年起开始进行这方面的研究,于2003年7月完成了《全面风险管理框架》(草案)(下称ERM框架),并公开向业界征求意见。
根据ERM框架,“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”ERM框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是,全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。
从COSO的ERM框架和内部控制框架可以看出,全面风险管理与内部控制既相互联系又有重要差异。从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定,事件识别和风险对策三个要素。因此,全面风险管理涵盖了内部控制。从二者的实质内容看,两者存在以下几项重要差异。一是内部控制仅是管理的一项职能,而全面风险管理属于风险范畴,贯穿于管理过程的各个方面。二是在全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),因此,该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
(中国工商银行博士后科研工作站唐国储博士)来自:金融时报
您所在的位置: