二、内部控制与全面风险管理的关系 `P*w ZKlW
% S>6Q^B
1、内部控制与全面风险管理是紧密相关的 r,L`@A=v
PklJU:Pu\U
(1)内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是商业银行全面风险管理应该达到的基本状态。 AF{@lDa1h
f&$$*a
(2)全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策 3个要素。 k6\&[BQs
!y2yS/
2、内部控制与全面风险管理也存在一定的差异 V*@&<x"E
: 'pK
(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。 3u;0,:X&
AthR|I|8
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。 B.gEV*@
xa{.hp?
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。 z 5~X3k7
`)BZk[64
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。 byZj7q5&Q
,E+\SBQS_
三、构建体现全面风险管理的内部控制新机制 a% /x
*WWDwY@!u
由于全面风险管理是一种全新的管理理念,在我国金融业发展的现状下,我们必须尽快转换长期以来固化的观念和思维定式,努力构建体现全面风险管理的内部控制新机制,赋予内部控制新内容。 rD c$#
lg^Lk\Y+re
1、构建全新的内部控制组织体系原则。 ,}Im^~5
C
MGDg}
一是全面风险管理原则。内部控制组织结构的设置应使风险管理的目标和要求渗透到全行的各项业务过程和各个操作环节。内部控制要遵循全面风险管理的原则,即:(1)全员管理原则,实现全体员工对风险管理的参与;(2)全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;(3)全方位风险管理原则,不但要包括业务风险,还要包括法律风险、技术风险等。 NZwi3
J DOs.w
二是独立性原则。风险管理部门、内部审计部门、监察部门要与经营、支持保障部门保持相互独立,直接向最高决策层负责,保证内部控制机构的独立性和权威性。 =#&+w[4?&.
A\.{(,;kp
三是垂直管理原则。总体而言,金融机构内部控制的组织机构设置应满足垂直管理的要求,具体采取的方式可有:(1)分、支行的风险控制综合管理部门由上级行风险控制部门的直接管理,对上级行的风险管理和内部控制决策机构负责,以利于强化银行内部控制机构的独立性与权威性。(2)由总行向一级分行、一级分行向二级分行派出副行长级的风险管理控制官,全面负责派驻行的风险管理。派驻行的内部控制综合管理部门向风险管理控制官负责,风险管理控制官直接向派出行负责。 ykGA.wo7/P
Y"m}=\4{
四是协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证银行经营管理系统的高效运作。 `vf]C'
#210 Yp#
2、构建全新的内部控制治理机制。在现有的产权制度下,可在总行设立风险管理委员会,作为内部控制管理的主要决策机构,风险管理部为主要执行机构。同时设立审计委员会,并将其明确为全面风险管理的监督、评价部门,负责监察、评价内部控制的健全性、合理性和遵循性,督促管理层解决内部控制存在的问题。风险管理委员会负责拟定、执行控制程序,审计委员会负责监督、评价控制状况,并将修正控制意见反馈前者,以完备控制体系。两个委员会相互配合,共同实现全面风险管理的各项新要求。 KHeeB `V>J
1ZvXRJ)%
3、构建符合内控要求的业务管理新制度。要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善信贷业务、财会业务、中间业务等各项业务管理制度,整合业务操作流程,建立起市场风险、信用风险、操作风险和道德风险的防范体制,构筑起面向全行、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。要切实发挥“三道防线”的作用,构筑起全方位、立体交叉的监督管理网络。基层网点要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。业务主管部门要加强规章制度的完善和业务流程的再造,加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用,促使全行逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。 B?
XK;*])
JbXi|OS/
4、构建具有中国特色的风险控制工具。要学习和借鉴国外现代银行风险管理的技术和经验,积极探索适合我国国情的内部控制管理新方法,避免无谓的人力、财力的浪费。在目前情况下,我国商业银行应结合自身特点,在采用信用评分方法等传统模型计量信用风险,强化贷款五级分类管理的同时,积极创造条件,逐步运用现代信用风险管理方法来度量和监控信用风险,提高信贷风险控制的制度化和规范化水平,切实降低不良贷款率。鉴于我国商业银行在金融产品创新和金融工具的使用方面远远落后于西方国家,国外很多的许多风险管理工具和理念不能简单地照搬照抄,还应结合我国金融业发展的特点,对有关的现代信用风险管理模型进行结合中国实际的改进,或开发出适合中国国情的新的信用风险度量模型,使我国金融业的风险度量和控制工作既能体现风险管理的要求,又能体现中国的国情。 zzT4+wy`
nD=N MqQ &
5、构建切合实际的内部控制评价机制。可以在金融机构内部广泛开展以“深化内控理念,落实内控措施”的创建活动。根据各自的实际情况,结合上级行的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。通过这一载体,可以进一步推进全面风险管理、落实岗位责任,实现从风险部门的防范转向全行、全员防范,将内部控制管理由个人行为和操作行为提升到整个单位的整体行为,推进金融机构的内控管理水平不断上新台阶。