《构建以内部控制为基础的银行全面风险管理体系.docx》由会员分享,可在线阅读,更多相关《构建以内部控制为基础的银行全面风险管理体系.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、构建以内部控制为基础的银行全面风险管理体系导语:立足经济金融新发展阶段,银行要实现高质量发展,必须加强全面风险管理,但其基础不能仅依赖于资本管理,还要不断完善内部控制。商业银行应借鉴相关要求,以内部控制为基础建立银行全面风险管理体系。商业银行是经营资金的企业,凭借承担风险获取收益,风险管理和内部控制是其永恒的主题。如何协调内部控制与风险管理,特别是与全面风险管理的关系,提升商业银行经营管理水平,值得研究探索。内部控制和风险管理的相关制度和框架从国内外实践看,内部控制、风险管理相关理论或制度体系主要有两个来源,一是美国反虚假财务报告委员会下属发起人委员会(COSO)发布的管理框架,二是巴塞尔银行
2、监管委员会(BASEL)发布的系列指引。中国银行业基本上按照这两个路径开展管理工作。COSO:从内部控制向全面风险管理演进。COSO从防范和识别企业虚假财务报表的角度出发,1992年首次发布内部控制整合框架,将内部控制定义为,由企业董事会、管理层和其他员工实施的、旨在为实现运营、报告、合规目标提供合理保证的过程。为应对大型企业内控失灵导致破产倒闭的情况,在内控框架基础上,2004年发布企业风险管理整合框架,提出风险管理8要素。2017年,新修订的企业风险管理战略与绩效的整合,对框架模型作了较大调整,包括5要素和20条原则,详见图1所示。5要素均显示出“去风险化”特点,即“跳出风险管风险”,把风
3、险管理真正融入到企业公司治理与管理中。同时,认为内部控制是企业风险管理的基础组成部分,可理解为:战略目标设定+内部控制=风险管理。总体而言,COSO风险管理理念没有太高的技术门槛,没有区分单项风险进行管理,偏向于风险管理框架体系与运作机制。对难以量化或量化成本太高的风险,采用内部控制手段,或能更经济地防范和降低风险。不足在于缺少量化方法。图1:COSO企业风险管理框架(2017版)BASEL:围绕资本管理建立内部控制和风险管理机制。为稳定国际金融市场,统一国际监管,BASEL先后发布3个版本的新资本协议,明确最低资本要求、监督检查、市场纪律三大支柱,重点对信用风险、市场风险、操作风险进行计量和
4、控制。2017年,巴塞尔协议:后危机改革终稿发布,针对计量方法过于复杂、计量结果不可比、内部模型法失真等问题进行了简化。同时,补充了新的监管要求,如,资本底线、杠杆率、流动性管理、系统重要性银行额外资本要求等,以提高监管的有效性和抵御全球金融风险的能力。总体而言,BASEL认为资本是抵御银行风险的最有效和最后手段,因此,管理机制主要围绕资本管理建立。近年来,随着金融危机周期加速及“黑天鹅”事件频出,公司治理和内部控制的重要性开始被强调。中国管理实践:逐步实施内部控制和全面风险管理。1997年,中国人民银行发布加强金融机构内部控制的指导原则之后,相关部门陆续出台内部控制及风险管理监管要求。现行制
5、度主要包括:财政部等五部委出台的企业内部控制基本规范及配套指引,该规范在合理性借鉴COSO企业内部控制整合框架的同时,增加了资产安全和战略目标。银保监会出台的商业银行内部控制指引,与COSO企业内部控制整合框架相比,该指引增加了战略目标和风险管理目标;与企业内部控制基本规范相比,该指引将资产安全目标扩展为风险管理目标。在全面风险管理上,2016年,原中国银监会出台银行业金融机构全面风险管理指引,提出全面风险管理体系的五个主要要素:包括风险治理架构,风险管理策略、风险偏好和风险限额,风险管理政策程序,管理系统和数据质量控制机制,内部控制和审计体系等。是中国银行业全面风险管理的第一个纲领性文件。认
6、识中容易出现的四个误区把资本管理等同于全面风险管理。巴塞尔资本协议重点强调资本计量,未明确提出全面风险管理的理念或体系。因此在风险管理方面存在以下不足:一是资本抵御风险需要满足两个前提:经济不会发生未预期的剧烈波动;模型所依赖的概率分布或所采用的参数能如实反映银行经营管理情况。但现实世界中往往难以同时满足这两个前提。二是银行资本监管要求与宏观调控政策措施往往不一致。在经济相对低迷的情况下,商业银行落实资本监管要求势必要降低资产增速或缩减资产规模,进而将相关风险放大并传递到实体经济,这恰好与所需要的宽松宏观调控政策导向不一致。为抵消这种效应,巴塞尔协议III引入了逆周期调节因子。三是“三大”风险
7、的计量手段越来越复杂,公众和监管部门对结果可信性和可比性存疑,对小银行和新设银行也不太适用,且对其他风险难以有效计量。四是资本管理本质上属于从事后处置角度采取风险控制措施,事前防范相对不足。五是如果过于依赖资本管理,或使银行陷入“业务扩张-增募资本-再扩张-再募资本”的发散式加速循环,容易诱发为完成经营目标而人为提高风险偏好的逆向选择。用风险管理代替内部控制。巴塞尔资本协议强调用技术手段对风险进行计量和控制,对内部控制、对最关键的人的因素考虑不多。内部控制既关注计量方法,更关注人的主观因素,既强调过程,也关注结果。过于强调风险管理和计量,忽视对人和流程的管理,会弱化银行内部控制体系。一旦内控失
8、灵,银行很容易遭致大的损失。用合规代替内部控制。一些银行虽然设立了内控合规部门,但主要从合规性方面进行管理,对内控整体框架、内控措施、内控其他目标考虑较少。实际上,保证合规只是内部控制三大目标之一。单独强调合规目标,忽视经营目标和报告目标,轻者将二者割裂,重者造成发展与合规对立,反而不利于合规目标的实现。将合规管理等同于合规风险管理。一定程度上,风险管理的方法不完全适用于合规管理,比如风险偏好、风险容忍度、资本计量等,风险管理允许存在一定风险,对预期到的风险可计量资本。而合规是底线,对违法违规行为“零容忍”,且合规管理更强调对人的管理,更切合银行管理实际。银行业实践中存在两方面困惑银行层面存在
9、职能重叠和割裂。从商业银行实践看,风险管理与内控体系建设相对独立,往往存在职能重叠和割裂现象,且模式呈现多样化。董事会层面,有的银行同时下设风险管理和内控委员会,有的将内控职责纳入风险管理委员会,有的则将其纳入审计委员会。高管层层面,有的银行设风险总监/首席风险官,兼管合规工作,有的则单独设立合规总监/首席合规官。部门职责层面,有的银行设风险管理部、内控合规部,有的则只设风险合规部,统一负责风险管理、合规管理和内部控制工作。制度层面,风险管理偏重于单项风险管理,全面风险管理被割裂成单个风险管理,部门间配合不够,对风险交叉感染缺少综合分析和有力控制措施,难以按照风险组合观要求来管理风险。商业银行
10、内控体系弱化引发风险。受监管指标、内部考核等因素影响,商业银行更重视风险管理技术和计量,对人及流程这些重要因素的管理和控制有所忽略。在业绩导向下,经营行往往以完成业务指标为主,内部控制第一道防线难以真正发挥作用。随着审计垂直管理和上收,基层管理行,特别是二级分行内控人员大幅减少,对本级管理行及下属业务经营行的内部控制捉襟见肘。当银行把资本占用作为资源分配的基础性手段时,可能推高实际风险偏好。近年来,部分银行业出现的信用风险,一定比例并非源于企业经营不善,而是因为内控失效等人为因素。构建以内部控制为基础的全面风险管理体系立足经济金融新发展阶段,银行要实现高质量发展,必须加强全面风险管理,但其基础
11、不能仅依赖于资本管理,还要不断完善内部控制。厘清全面风险管理、内部控制、合规管理、公司治理的关系。从COSO和BASEL各自强调的重点看,巴塞尔资本协议本质上处于全面风险管理体系的中后端,类似于保证身体健康的诊治救人环节。内部控制属于全面风险管理体系的基础和核心部分,贯彻全过程,类似于保证身体健康的“治未病”环节。合规是银行经营管理的底线,处于全面风险管理体系的前端(合规审核)和中端(合规检查)。公司治理重点明确股东、董事会、管理层及其他利益相关者之间的关系及权责分配,决定了内部控制、风险管理的治理体系和组织架构。商业银行加强全面风险管理可借鉴COSO体系,从公司治理顶层设计开始,完善内控体系
12、,加强合规管理,强化各类风险管理,按照“明治理、强内控、防风险、促合规”的目标,打造全面、全员、全过程、全领域的全面风险管理体系,推动实现银行战略目标和经营管理目标。图2:风险管理、内部控制、合规管理、公司治理与合规管理关系图完善公司治理是风险管理和内部控制的根本前提。由于银行的重要性,产品服务的特殊性,资本的高杠杆性,风险的集中性和传染性,资金的跨国性,造成了商业银行要接受比一般企业更为严格的监管。银行全面风险管理体系,首先要明确董事会、管理层、监事会的决策、执行和监督的权责关系;其次要慎重决定组织架构体系,包括采用分支机构、子行子公司模式还是联营模式,对分支机构设置多少级、每级管理范围等;
13、最后要将公司治理融入风险管理和内部控制体系。同时,还必须处理好股东大会、董事会、监事会“新三会”与党委会、职代会和工会“老三会”的关系。“老三会”的实质是党的领导和人民当家作主。在国有银行中加强党的领导和坚持党的建设,符合现代公司治理的要求,是中国特色的金融发展之路的具体体现,具有坚实的历史渊源、法律基础和现实要求。以内部控制为基础建立银行全面风险管理体系。即便银行将资本充足率提升至13%的上限,面对日益不确定的经济环境和“黑天鹅”事件频发的金融环境,也难以避免单个银行重大损失甚至资不抵债的风险。当前环境下,商业银行应同时借鉴COSO和BASEL相关要求,以内部控制为基础,建立银行全面风险管理
14、体系。一是建立银行集团全面风险管理体系。涵盖银行本身所有业务领域、各项操作和各层次人员,覆盖境内外分支机构、各类金融牌照子公司、非金融类控股子公司。银行总行层面,在全面实施巴塞尔资本协议的同时,建立分工明确、权责清晰、流程顺畅的内部控制和全面风险管理体系。在分支机构和子公司层面,重点完善内控职责,落实主要负责人风险内控的首要责任,设立专门风险内控岗位,充实风险内控人员;压实每个岗位的自我控制职责,细化到日常操作,具体到每个业务岗位,发挥全员控制的特点。二是整合推进内控、合规、风险管理一体化。分析各自流程、环节,整合共性,保留个性,实现管理工具统筹和基础信息共享,减少重复工作,提升管理效率。明确
15、内部控制与全面风险管理、战略目标的关系,内部控制虽然是全面风险管理的基础组成部分,但内控目标不完全等同于全面风险管理目标;集团战略目标的实现并不直接取决于内控目标,更不能靠放松内部控制来达到战略目标。三是坚持宏观审慎监管、微观个体监管和行为监管并重。在实施巴塞尔资本协议、守住不发生系统性风险的底线的基础上,借鉴COSO体系,从内控体系建立、人员管理、流程梳理等方面,加强个体的微观监管和行为监管。四是对一些区域性银行、中小金融机构或新设金融机构,因缺少专业的风控人员和必要的数据储备,在不具备全面实施巴塞尔资本协议要求的条件下,从健全内部控制体系入手,或能更有效控制风险。持续完善全面风险管理的三道
16、防线。新形势下第一道防线的作用更加凸显。要压实业务部门作为第一道防线的职责,包括对本部门的主体责任和对条线的管理责任,落实全面风险管理尽职履职制度措施,根据需要设立风险内控团队或者专业岗位。风险管理、内控合规等部门作为第二道防线,要通过合规审核、风险评估、实时监测、监督检查、内控评价等措施,落实全面风险管理责任。要保持管理独立性,要求第一道防线风险内控岗位同时向其报告。要按照协同联动要求,优化职责分工,风险管理更聚焦资本计量,内部控制聚焦全流程管理,合规管理聚焦监管合规。保证内部审计作为第三道防线的独立性,直接向董事会报告;审计人员薪酬待遇不与经营业绩直接挂钩,保证其职业发展。资本管理要处理好风险管理、业务发展和宏观调控的关系。商业银行在新的发展阶段,要根据可拥有的资本量,确定风险偏好,制定战略目标和经营目标,而不是逆向选择。从监管的角度,不宜过度依赖资本监管的作用,而应拓展逆周期调节工具和有效内控手段,以实现宏观调控目标,守住不发生系统性金融风险的底线。11