发布时间:2022-10-29 10:45:39 文章来源:互联网
微博 微信 QQ空间

中国银行业基本上框架(2017版):内部控制和风险管理

中国银行业基本上框架(2017版):内部控制和风险管理

商业银行是通过承担风险管理资金并获取收益的企业。风险管理和内部控制是其永恒的主题。如何协调好内部控制与风险管理,特别是与全面风险管理的关系,提升商业银行经营管理水平,值得研究和探索。

内部控制和风险管理的相关制度和框架

从国内外实践来看,内部控制与风险管理相关的理论或制度体系主要有两个来源。一个是美国反虚假财务报告委员会下属的保荐人委员会(COSO)发布的管理框架,另一个是巴塞尔银行监管委员会(BASEL)系列指南。中国银行业基本按照这两条路径开展管理工作。

COSO:从内部控制到全面风险管理的演变。从防止和识别企业虚假财务报表的角度出发,COSO于1992年首次发布了《内部控制—一体化框架》,将内部控制定义为对公司董事会、管理层和其他员工的执行情况。为报告、合规目标提供合理保证的过程。针对大型企业内部控制失灵导致破产,基于内部控制框架,2004年发布了《企业风险管理—整合框架》,提出了风险管理的8个要素。2017年新修订的《企业风险管理——战略与绩效相结合》对框架模型进行了重大调整,包括5个要素、20个原则,如图1所示。这5个要素都表现出“去风险”的特点,即“跳出风险管理风险”,整合风险管理转变为公司治理和管理。同时,它认为内部控制是企业风险管理的基本组成部分,可以理解为:战略目标设定+内部控制=风险管理。

总的来说,COSO风险管理理念技术门槛不高,不区分个体风险进行管理,偏好风险管理框架体系和运行机制。对于难以量化或量化成本过高的风险,可采用内部控制措施更经济地防范和降低风险。缺点是缺乏定量方法。

图 1:COSO 企业风险管理框架(2017 版)

巴塞尔:围绕资本管理建立内部控制和风险管理机制。为稳定国际金融市场、统一国际监管,巴塞尔先后发布了三个版本的新资本协议,明确了最低资本要求、监督检查、市场纪律三大支柱,重点关注信用测控风险、市场风险和操作风险。2017年,《巴塞尔协议III:危机后改革最终草案》发布,简化了计量方法过于复杂、计量结果无法比拟、内模方法失真等问题。同时增加了新的监管要求,如资本下限、杠杆率、流动性管理、对具有系统重要性的银行提出额外的资本要求,以提高监管的有效性和抵御全球金融风险的能力。总体而言,巴塞尔认为,资本是抵御银行风险的最有效和最后手段,因此,管理机制主要围绕资本管理建立。近年来,随着金融危机周期的加速和“黑天鹅”事件的频繁发生,公司治理和内部控制的重要性开始受到重视。管理机制以资金管理为主。近年来,随着金融危机周期的加速和“黑天鹅”事件的频繁发生,公司治理和内部控制的重要性开始受到重视。管理机制以资金管理为主。近年来,随着金融危机周期的加速和“黑天鹅”事件的频繁发生,公司治理和内部控制的重要性开始受到重视。

中国管理实践:逐步实施内部控制和全面风险管理。1997年,中国人民银行发布《加强金融机构内部控制的指导意见》后,有关部门相继出台了内部控制和风险管理的监管要求。现行制度主要包括:财政部等五部委发布的《企业内部控制基本规范》及配套指引。该标准在合理借鉴COSO企业内控集成框架的同时,增加了资产安全和战略目标。中国银保监会发布的《商业银行内部控制指引》,与COSO企业内控整合框架相比,该指南增加了战略目标和风险管理目标;扩展到风险管理目标。

在全面风险管理方面,2016年原银监会发布了《银行业金融机构全面风险管理指引》,提出全面风险管理体系的五个要素:包括风险治理结构、风险管理策略、风险偏好和风险限额、风险管理政策和程序、管理制度和数据质量控制机制、内部控制和审计制度等。它是中国银行业第一个全面风险管理的纲领性文件。

认知中容易出现的四个误区

将资本管理等同于整体风险管理。巴塞尔资本协议强调资本计量,没有明确提出全面风险管理的概念或制度。因此,风险管理存在以下不足:一是资本防御风险需要满足两个前提条件:经济不会出现意外的剧烈波动;模型所使用的概率分布或参数能够如实反映银行的经营管理情况。然而,在现实世界中,通常很难同时满足这两个前提。二是银行资本监管要求往往与宏观调控政策措施不一致。在经济相对低迷的情况下,商业银行实施资本监管要求,必然会降低资产增速或缩小资产规模,从而放大和传导相关风险至实体经济,这与所要求的宽松宏观调控政策导向不相符。为了抵消这种影响,巴塞尔协议 III 引入了逆周期调整因素。三是“三大”风险计量方法越来越复杂,公众和监管部门对结果的可信度和可比性存疑,不适用于小银行和新设银行,难以有效衡量其他风险。第四,资本管理本质上是一种从处置后角度来看的风险控制措施,且预防相对不足。第五,如果银行过度依赖资本管理,或者使银行陷入“业务扩张-增资-再扩张-再融资”的发散加速循环,容易诱发人为的逆向选择。提高风险偏好以实现业务目标。

以风险管理取代内部控制。巴塞尔资本协议强调使用技术手段衡量和控制风险,而没有过多考虑内部控制和最关键的人为因素。内部控制不仅注重计量方法,而且注重人的主观因素,既强调过程,又强调结果。过分强调风险管理和计量,而忽视人员和流程的管理银行全面风险管理框架,会削弱银行的内部控制体系。一旦内部控制失灵,银行很容易遭受巨大损失。

以合规取代内部控制。部分银行虽然设立了内控合规部门,但主要从合规方面进行管理,对内控总体框架、内控措施等内控目标的考虑较少。事实上,确保合规只是内部控制的三个目标之一。只强调合规目标,而忽视业务目标和报告目标,轻则将两者分开,重则导致开发与合规的对立,不利于合规目标的实现。

将合规管理等同于合规风险管理。在一定程度上,风险管理方法并不完全适用于合规管理,如风险偏好、风险承受能力、资本计量等。风险管理允许一定的风险,资本可以对预期风险进行计量。合规是底线,对违法违规行为“零容忍”,合规管理强调对人的管理,更符合银行管理的实际。

银行实务中有两个混淆

银行层面存在重叠和分散的职能。从商业银行实务来看,风险管理与内控体系建设相对独立,往往功能重叠、碎片化,模式多样化。在董事会层面,有的银行同时设立风险管理和内部控制委员会,有的将内部控制职责纳入风险管理委员会,有的纳入审计委员会。在高层,一些银行设有风险总监/首席风险官,同时负责合规工作,而另一些银行则设有单独的合规总监/首席合规官。在部门职责层面,有的银行设有风险管理部和内控合规部,有的银行只有风险合规部,负责风险管理、合规管理和内部控制。在制度层面,风险管理侧重于个体风险管理,全面风险管理分为个体风险管理、部门之间缺乏协调、缺乏对风险交叉感染的综合分析和有效控制措施,风险管理难度大按照风险组合视图的要求。

商业银行内部控制体系弱化带来风险。受监管指标、内部考核等因素的影响,商业银行更加注重风险管理技术和计量,而忽视对人员、流程等重要因素的管控。在业绩导向下,经营性银行往往专注于完成业务指标,内部控制的第一道防线无法真正发挥作用。随着审计的垂直管理和向上审计,基层管理银行特别是二级分行的内控人员大幅减少,同级管理银行及下属业务的内控经营银行捉襟见肘。当银行将资本拨款作为资源配置的基本手段时,可能会推高实际风险偏好。近年来,部分银行业存在一定比例的信用风险,并非企业管理不善,而是内部控制失灵等人为因素。

构建以内部控制为基础的全面风险管理体系

立足经济金融发展新阶段,银行要实现高质量发展,必须加强全面风险管理,但基础不能只靠资本管理,还要不断完善内部控制。

明确全面风险管理、内部控制、合规管理和公司治理的关系。从COSO和BASEL强调的重点来看,巴塞尔资本协议本质上处于全面风险管理体系的中后端,类似于保障身体健康的诊治抢救环节。内部控制属于全面风险管理体系的基础和核心部分,全过程的实施类似于保障身体健康的“预防为主”环节。合规是银行经营管理的底线,处于全面风险管理体系的前端(合规审计)和中端(合规检查)。

商业银行可以借鉴COSO制度,加强全面风险管理。从公司治理顶层设计入手,按照“治理清晰、内控强、防范风险、促进合规”的目标,完善内控体系,强化合规管理,强化各项风险管理。,构建覆盖全员、全过程、全领域的??全面风险管理体系,促进银行战略目标和经营管理目标的实现。

图2:风险管理、内部控制、合规管理、公司治理与合规管理的关系图

完善公司治理是风险管理和内部控制的根本前提。由于银行的重要性、产品和服务的特殊性、资本的高杠杆率、风险的集中和传染性以及资金的跨国性,商业银行比一般企业受到的监管更为严格。在银行全面风险管理体系中,首先要明确董事会、管理层和监事会的决策、执行和监督权责;其次,组织架构体系要慎重选择,包括采用分公司、子公司还是合资模式,分公司的管理等。机构设置了多少级,各级管理范围等;最后,公司治理应纳入风险管理和内部控制体系。

同时,还要妥善处理好股东大会、董事会、监事会“新三会”与党委“老三会”的关系,职工代表大会和工会。“第三方”的本质是党的领导、人民的当家作主。国有银行加强党的领导,坚持党的建设,符合现代公司治理的要求,是中国特色金融发展道路的具体体现,具有扎实的历史渊源、法律基础和现实要求。

本行建立了以内部控制为基础的全面风险管理体系。即使银行将资本充足率提高到13%的上限,面对日益不确定的经济环境和频发“黑天鹅”事件的金融环境,也难以避免出现重大亏损甚至资不抵债的风险一家银行的。当前环境下,商业银行应同时借鉴COSO和BASEL的相关要求,建立以内部控制为基础的银行全面风险管理体系。

一是建立银行集团全面风险管理体系。覆盖了本行各层级的所有业务领域、业务和人员,以及境内外分行、各类金融牌照的子公司、非金融控股子公司。在总行层面,在全面落实巴塞尔资本协议的同时,建立了分工明确、权责明确、流程顺畅的内部控制和全面风险管理体系。在分、子公司层面,着力完善内控责任,落实风险内控主要负责人主体责任,设立风险内控专职岗位,充实风险内控人员;

二是整合推进内控合规与风险管理一体化。分析各自的流程和环节,整合共性,保留个性,实现管理工具协同和基础信息共享,减少重复工作,提高管理效率。明确内部控制、全面风险管理和战略目标之间的关系。内部控制虽然是全面风险管理的基本组成部分,但内部控制目标并不完全等同于全面风险管理目标;集团战略目标的实现并不直接依赖于内部控制目标。放松内部控制也无法实现战略目标。

三是坚持宏观审慎监管、微观个体监管和行为监管并重。在落实巴塞尔资本协议、保持不发生系统性风险底线的基础上,借鉴COSO制度,从内控体系建立、人员管理、流程梳理等方面加强个人微观监管和行为监管.

四、对于部分区域性银行、中小金融机构或新设立的金融机构,由于缺乏专业的风控人员和必要的数据储备,未全面落实巴塞尔资本协议的要求,从完善的内控体系入手,或者可以更有效地控制风险。

不断完善全面风险管理的三道防线。新形势下,第一道防线的作用更加突出。要强化业务部门职责作为第一道防线,包括部门主体责任和线下管理责任,落实全面风险管理尽职调查制度措施,建立风险内部根据需要控制团队或专业职位。风险管理、内控与合规部门作为第二道防线,必须通过合规审查、风险评估、实时监控、监督检查、内控评价等措施落实全面风险管理职责。为保持管理独立,要求内控第一道防线风险内控岗位同时向其报告。按照协调联动的要求,优化职责分工,风险管理更加注重资本计量,内控更加注重全流程管理,合规管理更加注重监管合规。作为第三道防线,保证内部审计的独立性,直接向董事会报告;审计师的薪酬与业务绩效没有直接联系,以确保他们的职业发展。按照协调联动的要求,优化职责分工,风险管理更加注重资本计量,内控更加注重全流程管理,合规管理更加注重监管合规。作为第三道防线,保证内部审计的独立性,直接向董事会报告;审计师的薪酬与业务绩效没有直接联系,以确保他们的职业发展。按照协调联动的要求,优化职责分工,风险管理更加注重资本计量,内控更加注重全流程管理,合规管理更加注重监管合规。作为第三道防线,保证内部审计的独立性,直接向董事会报告;审计师的薪酬与业务绩效没有直接联系,以确保他们的职业发展。作为第三道防线,保证内部审计的独立性,直接向董事会报告;审计师的薪酬与业务绩效没有直接联系,以确保他们的职业发展。作为第三道防线,保证内部审计的独立性,直接向董事会报告;审计师的薪酬与业务绩效没有直接联系,以确保他们的职业发展。

资本管理要处理好风险管理、业务发展和宏观调控的关系。在新的发展阶段,商业银行应根据可拥有的资金量,而不是逆向选择,确定风险偏好,制定战略目标和经营目标。从监管角度看,不宜过分依赖资本监管的作用。相反,应扩大逆周期调节工具和有效的内部控制手段,以实现宏观调控目标银行全面风险管理框架,保持不发生系统性金融风险的底线。

另一视角

换一换