中国银行业基本上框架（2017版）：内部控制和风险管理

中国银行业基本上框架（2017版）：内部控制和风险管理

商业银行是通过承担风险管理资金并获取收益的企业。风险管理和内部控制是其永恒的主题。如何协调好内部控制与风险管理，特别是与全面风险管理的关系，提升商业银行经营管理水平，值得研究和探索。

内部控制和风险管理的相关制度和框架

从国内外实践来看，内部控制与风险管理相关的理论或制度体系主要有两个来源。一个是美国反虚假财务报告委员会下属的保荐人委员会（COSO）发布的管理框架，另一个是巴塞尔银行监管委员会（BASEL）系列指南。中国银行业基本按照这两条路径开展管理工作。

COSO：从内部控制到全面风险管理的演变。从防止和识别企业虚假财务报表的角度出发，COSO于1992年首次发布了《内部控制—一体化框架》，将内部控制定义为对公司董事会、管理层和其他员工的执行情况。为报告、合规目标提供合理保证的过程。针对大型企业内部控制失灵导致破产，基于内部控制框架，2004年发布了《企业风险管理—整合框架》，提出了风险管理的8个要素。2017年新修订的《企业风险管理——战略与绩效相结合》对框架模型进行了重大调整，包括5个要素、20个原则，如图1所示。这5个要素都表现出“去风险”的特点，即“跳出风险管理风险”，整合风险管理转变为公司治理和管理。同时，它认为内部控制是企业风险管理的基本组成部分，可以理解为：战略目标设定+内部控制=风险管理。

总的来说，COSO风险管理理念技术门槛不高，不区分个体风险进行管理，偏好风险管理框架体系和运行机制。对于难以量化或量化成本过高的风险，可采用内部控制措施更经济地防范和降低风险。缺点是缺乏定量方法。

图 1：COSO 企业风险管理框架（2017 版）

巴塞尔：围绕资本管理建立内部控制和风险管理机制。为稳定国际金融市场、统一国际监管，巴塞尔先后发布了三个版本的新资本协议，明确了最低资本要求、监督检查、市场纪律三大支柱，重点关注信用测控风险、市场风险和操作风险。2017年，《巴塞尔协议III：危机后改革最终草案》发布，简化了计量方法过于复杂、计量结果无法比拟、内模方法失真等问题。同时增加了新的监管要求，如资本下限、杠杆率、流动性管理、对具有系统重要性的银行提出额外的资本要求，以提高监管的有效性和抵御全球金融风险的能力。总体而言，巴塞尔认为，资本是抵御银行风险的最有效和最后手段，因此，管理机制主要围绕资本管理建立。近年来，随着金融危机周期的加速和“黑天鹅”事件的频繁发生，公司治理和内部控制的重要性开始受到重视。管理机制以资金管理为主。近年来，随着金融危机周期的加速和“黑天鹅”事件的频繁发生，公司治理和内部控制的重要性开始受到重视。管理机制以资金管理为主。近年来，随着金融危机周期的加速和“黑天鹅”事件的频繁发生，公司治理和内部控制的重要性开始受到重视。

中国管理实践：逐步实施内部控制和全面风险管理。1997年，中国人民银行发布《加强金融机构内部控制的指导意见》后，有关部门相继出台了内部控制和风险管理的监管要求。现行制度主要包括：财政部等五部委发布的《企业内部控制基本规范》及配套指引。该标准在合理借鉴COSO企业内控集成框架的同时，增加了资产安全和战略目标。中国银保监会发布的《商业银行内部控制指引》，与COSO企业内控整合框架相比，该指南增加了战略目标和风险管理目标；扩展到风险管理目标。

在全面风险管理方面，2016年原银监会发布了《银行业金融机构全面风险管理指引》，提出全面风险管理体系的五个要素：包括风险治理结构、风险管理策略、风险偏好和风险限额、风险管理政策和程序、管理制度和数据质量控制机制、内部控制和审计制度等。它是中国银行业第一个全面风险管理的纲领性文件。

认知中容易出现的四个误区

将资本管理等同于整体风险管理。巴塞尔资本协议强调资本计量，没有明确提出全面风险管理的概念或制度。因此，风险管理存在以下不足：一是资本防御风险需要满足两个前提条件：经济不会出现意外的剧烈波动；模型所使用的概率分布或参数能够如实反映银行的经营管理情况。然而，在现实世界中，通常很难同时满足这两个前提。二是银行资本监管要求往往与宏观调控政策措施不一致。在经济相对低迷的情况下，商业银行实施资本监管要求，必然会降低资产增速或缩小资产规模，从而放大和传导相关风险至实体经济，这与所要求的宽松宏观调控政策导向不相符。为了抵消这种影响，巴塞尔协议 III 引入了逆周期调整因素。三是“三大”风险计量方法越来越复杂，公众和监管部门对结果的可信度和可比性存疑，不适用于小银行和新设银行，难以有效衡量其他风险。第四，资本管理本质上是一种从处置后角度来看的风险控制措施，且预防相对不足。第五，如果银行过度依赖资本管理，或者使银行陷入“业务扩张-增资-再扩张-再融资”的发散加速循环，容易诱发人为的逆向选择。提高风险偏好以实现业务目标。

以风险管理取代内部控制。巴塞尔资本协议强调使用技术手段衡量和控制风险，而没有过多考虑内部控制和最关键的人为因素。内部控制不仅注重计量方法，而且注重人的主观因素，既强调过程，又强调结果。过分强调风险管理和计量，而忽视人员和流程的管理银行全面风险管理框架，会削弱银行的内部控制体系。一旦内部控制失灵，银行很容易遭受巨大损失。

以合规取代内部控制。部分银行虽然设立了内控合规部门，但主要从合规方面进行管理，对内控总体框架、内控措施等内控目标的考虑较少。事实上，确保合规只是内部控制的三个目标之一。只强调合规目标，而忽视业务目标和报告目标，轻则将两者分开，重则导致开发与合规的对立，不利于合规目标的实现。

将合规管理等同于合规风险管理。在一定程度上，风险管理方法并不完全适用于合规管理，如风险偏好、风险承受能力、资本计量等。风险管理允许一定的风险，资本可以对预期风险进行计量。合规是底线，对违法违规行为“零容忍”，合规管理强调对人的管理，更符合银行管理的实际。

银行实务中有两个混淆

银行层面存在重叠和分散的职能。从商业银行实务来看，风险管理与内控体系建设相对独立，往往功能重叠、碎片化，模式多样化。在董事会层面，有的银行同时设立风险管理和内部控制委员会，有的将内部控制职责纳入风险管理委员会，有的纳入审计委员会。在高层，一些银行设有风险总监/首席风险官，同时负责合规工作，而另一些银行则设有单独的合规总监/首席合规官。在部门职责层面，有的银行设有风险管理部和内控合规部，有的银行只有风险合规部，负责风险管理、合规管理和内部控制。在制度层面，风险管理侧重于个体风险管理，全面风险管理分为个体风险管理、部门之间缺乏协调、缺乏对风险交叉感染的综合分析和有效控制措施，风险管理难度大按照风险组合视图的要求。

商业银行内部控制体系弱化带来风险。受监管指标、内部考核等因素的影响，商业银行更加注重风险管理技术和计量，而忽视对人员、流程等重要因素的管控。在业绩导向下，经营性银行往往专注于完成业务指标，内部控制的第一道防线无法真正发挥作用。随着审计的垂直管理和向上审计，基层管理银行特别是二级分行的内控人员大幅减少，同级管理银行及下属业务的内控经营银行捉襟见肘。当银行将资本拨款作为资源配置的基本手段时，可能会推高实际风险偏好。近年来，部分银行业存在一定比例的信用风险，并非企业管理不善，而是内部控制失灵等人为因素。

构建以内部控制为基础的全面风险管理体系

立足经济金融发展新阶段，银行要实现高质量发展，必须加强全面风险管理，但基础不能只靠资本管理，还要不断完善内部控制。

明确全面风险管理、内部控制、合规管理和公司治理的关系。从COSO和BASEL强调的重点来看，巴塞尔资本协议本质上处于全面风险管理体系的中后端，类似于保障身体健康的诊治抢救环节。内部控制属于全面风险管理体系的基础和核心部分，全过程的实施类似于保障身体健康的“预防为主”环节。合规是银行经营管理的底线，处于全面风险管理体系的前端（合规审计）和中端（合规检查）。

商业银行可以借鉴COSO制度，加强全面风险管理。从公司治理顶层设计入手，按照“治理清晰、内控强、防范风险、促进合规”的目标，完善内控体系，强化合规管理，强化各项风险管理。，构建覆盖全员、全过程、全领域的??全面风险管理体系，促进银行战略目标和经营管理目标的实现。

图2：风险管理、内部控制、合规管理、公司治理与合规管理的关系图

完善公司治理是风险管理和内部控制的根本前提。由于银行的重要性、产品和服务的特殊性、资本的高杠杆率、风险的集中和传染性以及资金的跨国性，商业银行比一般企业受到的监管更为严格。在银行全面风险管理体系中，首先要明确董事会、管理层和监事会的决策、执行和监督权责；其次，组织架构体系要慎重选择，包括采用分公司、子公司还是合资模式，分公司的管理等。机构设置了多少级，各级管理范围等；最后，公司治理应纳入风险管理和内部控制体系。

同时，还要妥善处理好股东大会、董事会、监事会“新三会”与党委“老三会”的关系，职工代表大会和工会。“第三方”的本质是党的领导、人民的当家作主。国有银行加强党的领导，坚持党的建设，符合现代公司治理的要求，是中国特色金融发展道路的具体体现，具有扎实的历史渊源、法律基础和现实要求。

本行建立了以内部控制为基础的全面风险管理体系。即使银行将资本充足率提高到13%的上限，面对日益不确定的经济环境和频发“黑天鹅”事件的金融环境，也难以避免出现重大亏损甚至资不抵债的风险一家银行的。当前环境下，商业银行应同时借鉴COSO和BASEL的相关要求，建立以内部控制为基础的银行全面风险管理体系。

一是建立银行集团全面风险管理体系。覆盖了本行各层级的所有业务领域、业务和人员，以及境内外分行、各类金融牌照的子公司、非金融控股子公司。在总行层面，在全面落实巴塞尔资本协议的同时，建立了分工明确、权责明确、流程顺畅的内部控制和全面风险管理体系。在分、子公司层面，着力完善内控责任，落实风险内控主要负责人主体责任，设立风险内控专职岗位，充实风险内控人员；

二是整合推进内控合规与风险管理一体化。分析各自的流程和环节，整合共性，保留个性，实现管理工具协同和基础信息共享，减少重复工作，提高管理效率。明确内部控制、全面风险管理和战略目标之间的关系。内部控制虽然是全面风险管理的基本组成部分，但内部控制目标并不完全等同于全面风险管理目标；集团战略目标的实现并不直接依赖于内部控制目标。放松内部控制也无法实现战略目标。

三是坚持宏观审慎监管、微观个体监管和行为监管并重。在落实巴塞尔资本协议、保持不发生系统性风险底线的基础上，借鉴COSO制度，从内控体系建立、人员管理、流程梳理等方面加强个人微观监管和行为监管.

四、对于部分区域性银行、中小金融机构或新设立的金融机构，由于缺乏专业的风控人员和必要的数据储备，未全面落实巴塞尔资本协议的要求，从完善的内控体系入手，或者可以更有效地控制风险。

不断完善全面风险管理的三道防线。新形势下，第一道防线的作用更加突出。要强化业务部门职责作为第一道防线，包括部门主体责任和线下管理责任，落实全面风险管理尽职调查制度措施，建立风险内部根据需要控制团队或专业职位。风险管理、内控与合规部门作为第二道防线，必须通过合规审查、风险评估、实时监控、监督检查、内控评价等措施落实全面风险管理职责。为保持管理独立，要求内控第一道防线风险内控岗位同时向其报告。按照协调联动的要求，优化职责分工，风险管理更加注重资本计量，内控更加注重全流程管理，合规管理更加注重监管合规。作为第三道防线，保证内部审计的独立性，直接向董事会报告；审计师的薪酬与业务绩效没有直接联系，以确保他们的职业发展。按照协调联动的要求，优化职责分工，风险管理更加注重资本计量，内控更加注重全流程管理，合规管理更加注重监管合规。作为第三道防线，保证内部审计的独立性，直接向董事会报告；审计师的薪酬与业务绩效没有直接联系，以确保他们的职业发展。按照协调联动的要求，优化职责分工，风险管理更加注重资本计量，内控更加注重全流程管理，合规管理更加注重监管合规。作为第三道防线，保证内部审计的独立性，直接向董事会报告；审计师的薪酬与业务绩效没有直接联系，以确保他们的职业发展。作为第三道防线，保证内部审计的独立性，直接向董事会报告；审计师的薪酬与业务绩效没有直接联系，以确保他们的职业发展。作为第三道防线，保证内部审计的独立性，直接向董事会报告；审计师的薪酬与业务绩效没有直接联系，以确保他们的职业发展。

资本管理要处理好风险管理、业务发展和宏观调控的关系。在新的发展阶段，商业银行应根据可拥有的资金量，而不是逆向选择，确定风险偏好，制定战略目标和经营目标。从监管角度看，不宜过分依赖资本监管的作用。相反，应扩大逆周期调节工具和有效的内部控制手段，以实现宏观调控目标银行全面风险管理框架，保持不发生系统性金融风险的底线。