完善银行内部控制建设的思考--基于COSO-ERM的框架

Financial Market金融市场完善银行内部控制建设的思考——基于COSO－ERM①的框架王　李　叶　聪 （中国劳动关系学院，北京市　100000） 摘 要：银行的内外部环境越来越复杂，需要应对的风险也越来越多，要求银行的内部控制也需要不断的完善。COSO框架下的风险管理理念强化风险管理与内部控制的紧密结合，为银行完善内部控制提供了借鉴参考，银行内部控制建设应充分考虑风险识别、风险评估及风险应对等因素，形成“三道防线”的风控闭环管理。关键词：商业银行；内部控制；风险管理；有效性中图分类号：F233 文献标识码：A 文章编号：1009 - 3109（2019）04-0029-03内部控制理念与技术已被银行广泛采用，在银行经营管理、财务报告披露以及业务流程监控中发挥着积极作用。但随着外部环境的复杂多变，经济下行期的持续影响以及利率市场化不断深化等情况，银行面临的竞争与困难越来越大，对银行内部控制的要求越来越高。另外近年来发生的各类案件也暴露了银行内部控制存在的重大缺陷。2016年11月，银保监会发布实施的《银行业金融机构全面风险管理指引》也对银行风险管理与内部控制提出新的要求。所以从全面风险管理角度，银行必须进一步强化内部控制建设，保证内部控制与风险管理紧密结合，互相嵌套，才能有效提升银行风险管理能力，切实防范经营风险，建立起风险管理的长效机制。一、COSO－ERM框架介绍1992年，COSO在《内部控制整合框架》中第一次提出了规范的内部控制定义和基本框架，由此在全球范围确立了内部控制体系。其中著名的COSO内部控制五要素包括内部控制环境、风险认定与评估、控制措施与职责分工、信息与交流以及监督与纠正五个方面。2004年，COSO首次提出ERM企业全面风险管理的概念，本质上仍然是一个内部控制体系，将风险偏好概念创新性地引入到由审计师主导形成的内部控制框架中。在这个ERM框架中，将风险部分细分为风险识别、风险评估与风险应对等环节，突出了风险因素在内部控制中的作用与地位，弥补了以前内部控制对风险重视程度的不足。具体见图1所示。2016年COSO对ERM的概念进行了修订，提出风险管理与战略的关系，修订了对风险的定义，进一步明确了风险管理和内部控制的关系，承认内控是风险管理的一部分。　　　　　　　　　　　　　　　　　图1　COSO内部控制的风险因素变化区别二、COSO－ERM框架下内部控制与风险管理的关系银行的内部控制与风险管理是密不可分的，内部控制的实质就是风险控制，而风险管理的运作又必须由内部控制来完成，所以这两者的关系是相互促进的。内部控制与风险管理的目标具有一致性，两者的最终目的都是为了降低银行的经营风作者简介：王 李，女，博士，中国劳动关系学院，副教授。 叶 聪，女，中国劳动关系学院，副研究员。　　①COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting，反虚假报告委员会）的英文缩写, COSO委员会专门研究内部控制问题, ERM（ Enterprise Rise Management，企业风险管理框架）。COSO－ERM是2014年， COSO发布《企业风险管理框架》的研究报告，并指出，企业风险管理框架是建立在内部控制整合框架基础之上的，对企业风险管理内容的关注更加广泛与深入，2016年COSO对ERM的概念又进行了修订，提出风险管理与战略的关系。吉林金融研究　2019年第4期29

金融市场险。银行全面风险管理是以银行的股东价值增长为总体目标，从管理环境（包括风险战略治理和组织、风险文化、人才和教育培训）、管理技术（包括风险识别、衡量、管理和报告）和管理运行（包括数据IT和过程内部控制）等多个层面，对银行所有的风险类别（包括信用风险、市场风险、操作风险、流动性风险、外包风险、声誉风险等）、所有的业务线路和产品、所有的分支机构和所有的人员（包括内部人员和客户）和完整的经营过程（包括决策和流程）进行的管理过程。 COSO－ERM全面风险管理体现了全面性、有效性、可操作性等原则，这些都与内部控制理念高度重合，内部控制的一个最重要的目的就是要防范风险，没有风险防范，内部控制的存在就没有那么重要，发挥作用的空间也会受到限制。内部控制是通过建立全方位的流程体系，通过关键控制点的描述来直观的表现出银行经营与业务发展过程而形成的管理规范。对于内部控制这一嵌入式的工作方式，正好提供给了风险信息的收集以极大的方便，由此可知，内部控制是风险管理的一种重要的手段。银行全面风险管理比内部控制的范围更广，提炼了内部控制的内容，并更多地关注银行所面对的各类风险。所以银行内部控制是全面风险管理的有机构成部分，而全面风险管理又是银行整体风险治理的有机构成部分。内部控制与风险管理的关系，具体见图2所示。　Financial Market长一段时间以来，银行都存在着由来已久的部门职责分配（内控、合规、审批、不良处置、经济资本等）与风险管理独立性之争。但由于内部控制设计与风险管理的脱节，风险管理中后台的独立性较低，不能充分发挥职能作用，而强化风险中后台是现代风险管理发展的重要特征之一，2016年11月银监会发布实施的《银行业金融机构全面风险管理指引》也明确要求，风险管理要保持独立性。另外，我国银行内部控制的基本架构虽然存在，但缺乏系统、完善的控制制度以及主动的风险识别、评估机制，内部控制措施零散、间断，对风险管理控制活动尚未完全实现全覆盖，风险管理控制活动还处在局部、分散的状态，不能对风险进行有效识别和管理。尤其在经济下滑期，风险的复杂性、多样化程度更高，风险管理难度更大，部分行业引发的系统性风险对银行造成的危害更明显、危险性更大。可见依照COSO－ERM框架改进提升银行内部控制建设，对于防范风险尤为重要。四、对完善银行内部控制的建议根据COSO－ERM原理，借鉴国外先进银行的成功实践经验，内控建设需涉及风险、合规、资本规划、风险文化及人力资源等方方面面，在银行决策层的支持下，需有具有综合管理职能的部门承担内控体系的建设与维护职责，以加快内部控制体系的建设和完善，提高风险管控水平。（一）成立由董事会直接推动的内控建设机构内部控制体系建设是一项持续开展、贯穿整个银行活动的系统工程，须由商业银行由上往下推动、各级人员参与执行，涉及的部门较多，包括商业银行的每一个层面和每一个单元，如果内部控制体系建设是由银行董事会发起并负责推动，就易取图2　内部控制、风险管理与风险治理的关系得成功，这样可以确定明确的使命和前进的目标，可以在建设过程中加强整体意识，方便与各个层面沟通，并可获得全体员工的支持和参与。（二）充分借鉴COSO－ERM框架的理念COSO－ERM框架中明确了风险管理与战略的关系，修订了对风险的定义，承认内部控制是风险管理的一部分，加大了内部控制对风险识别与应吉林金融研究　2019年第4期三、银行内部控制现状与不足目前，我国银行大多建立了内部控制体系，但是比对国际先进银行的经验以及COSO－ERM框架有关要求，还是有很大差距。其中，最大的不足是内部控制与风险管理的割裂，结合不紧密。很30

Financial Market金融市场通过使用风险部门提供的工具及服务对某些特定的风险进行管理。风险管理职能部门和董事会下设的风险管理委员会为第二道防线，主要是对各业务部门和银行产品的风险状况提供独立意见，审核关键风险并将结果上报董事会风险委员会。董事会及风险委员会应确保对风险的管理低本高效，同时将风险控制在可以接受的范围内。内部审计部门和董事会下设的审计委员会为第三道防线。内部审计应与外部审计和审计委员会进行沟通，并对风险管理的流程及方法的可靠性进行独立的认证。这样，保证对的要素。所以对银行内部控制来说，首先也是要明确风险控制目标，补充设计可进行风险识别与评估风险的流程，以持续收集风险信息，确定风险承受度，进一步明确进行定性和定量风险评估的流程和排序。另外还需结合风险评估结果，设定风险应对策略，综合运用各类控制措施，对银行各种业务和风险实施有效控制，设计、建立重大风险预警机制和突发事件应急处理的流程机制等。（三）内部控制建设与流程设计、IT系统紧密结合内部控制是银行在经营管理活动中形成的各种控制措施总和，银行的各项业务及管理活动是其生成的基础。银行进行内部控制建设是对业务流程、组织架构的再造与革命，需要经过总体框架论证、详细设计、内部控制梳理和IT实现等环节，由此必然带动银行各种内部控制与风险管理方式的革新，并最终需要通过IT方式固化下来，形成系统化控制、人工化控制相结合。银行内部控制生成机制关系如下图3所示。银行内部控制与风险管理形成一个管理闭环，更好的发挥作用。具体见图4所示。　　　　图4　银行内部控制与风险管理三道防线闭环总之，依据COSO－ERM框架，内部控制与风险管理需紧密融合，也是一个随外部环境不断进化的过程。所以银行内部控制也需要持续性的改进，需要全体员工的参与，不断地完善、优化、评估与调整，以达到有效识别与应对风险的目标，保图3　银行内部控制的风险因素变化区别证银行的稳健发展。参考文献：[1]林兢、黄志霞,我国商业银行内部控制执行力影响因素实证研究[J].《金融监管研究》,2012年第8期.[2]斯蒂芬.J.鲁特著,超越COSO加强公司治理的内部控制[M].付涛等译.北京:清华大学出版社,2004.[3]季晓云,内部控制核心内涵的历史演变及其评述[J].《管理纵横》,2011年第2期.[4]王竹泉,控制结构+企业文化:内部控制要素新二元论[J].《会计研究》,2010,(3).（四）打造风险管理与内部控制紧密结合的“三道防线”由于银行风险管理和内部控制并非内部审计部门或者风险管理部门一个部门的职责。所以银行开展风险管理和内部控制工作应与其他管理工作紧密结合，把风险控制的各项要求融入银行管理和业务流程中，银行内部所有部门和人员应充分调动，根据其在风险管理和内部控制中的作用，形成风险控制的三道防线并各司其责：其中银行各有关职能部门、业务单位以及各级分行为第一道防线，主要职责是识别、管理及报告其风险。银行业务部门应吉林金融研究　2019年第4期（下转48页）31

调查研究带来的影响。（六）调整结构，不断创新，加大备春耕信贷支持各涉农金融机构应适当调整信贷投放结构，加大对农业生产，特别是备春耕的信贷投入，缓解　Investigate Research农民备春耕生产资金不足的矛盾。同时，各涉农金融机构要加强金融产品创新工作，使信贷产品更加适应当前现代农业和科技农业发展需要，并注重对农民专业合作社、家庭农场等农业新型经营主体的信贷支持力度。Investigation on Financial Support for Spring Tillage in Songyuan City WU Yanxia LI XiaomingAbstract: A year's plan lies in spring, a year's good view of spring farming. As a national large-scale commodity grain base and oil base, spring tillage and planting preparation has always been the most important economic work throughout the year. On the occasion of preparing for sowing in spring, the Central Branch of Songyuan, the People's Bank of China, went deep into its jurisdiction to conduct research and guidance, actively used monetary policy tools, strengthened window guidance, and supported financial institutions to expand agricultural-related credit to provide a strong guarantee for the production of preparing for sowing in spring.Key Words: Spring Ploughing; Finance; Change（责任编辑：何昆烨）（上接31页）Reflections on Improving the Construction of Internal Control in Banks—— Framework based on COSO-ERM WANG Li YE CongAbstract: The internal and external environment of banks is becoming more and more complex, and the risks that need to be dealt with are also increasing, requiring the internal control of banks to be constantly improved. The risk management concept under the COSO framework strengthens the close combination of risk management and internal control, which provides a reference for banks to improve internal control. The construction of internal control of banks should take full account of risk identification, risk assessment and risk response and other factors to form a closed-loop wind control management of \"three lines of defence\".Key Words: Commercial Banks; Internal Control; Risk Management; Effectiveness（责任编辑：何昆烨）48

吉林金融研究　2019年第4期