文|王強

?

COSO內(nèi)部控制框架對銀行內(nèi)控建設的借鑒意義

文|王強

美國反虛假財務報告委員會下屬的COSO委員會1992年9月發(fā)布了《內(nèi)部控制整合框架》，提出了內(nèi)部控制的五要素理論。COSO報告成為美國證券交易委員會唯一推薦使用的內(nèi)部控制框架。經(jīng)過2004年、2013年二次修改完善，內(nèi)部控制被上升到全面風險控制的高度。反觀我國金融業(yè)情況，進入二十一世紀后，整個銀行業(yè)充分享受了經(jīng)濟持續(xù)高速增長的紅利。截止2014年末，中國銀行業(yè)金融機構總資產(chǎn)規(guī)模達1721.3萬億元，是2003年的6.2倍，年均增幅為19%。2014年銀行業(yè)金融機構凈利潤1.55萬億元，是2003年的48倍。然而，商業(yè)銀行資產(chǎn)規(guī)?？焖僭鲩L的背后必然埋下了粗放經(jīng)營的隱患。近年來，銀行不良貸款率的急速增長已經(jīng)敲響了風險的警鐘。今天，國內(nèi)銀行業(yè)普遍掀起了戰(zhàn)略轉(zhuǎn)型的“二次改革”熱潮，借鑒COSO內(nèi)部控制框架，完善建立起商業(yè)銀行有效的內(nèi)控體系也成為了一項有益的課題。

COSO內(nèi)部控制整合框架的內(nèi)核

2013年COSO《內(nèi)部控制整合框架》經(jīng)過修改完善，包括有內(nèi)控3項目標、5要素、17條原則以及相關81個屬性來評估內(nèi)控有效性狀況。COSO報告認為，內(nèi)部控制系統(tǒng)是由“控制環(huán)境、風險評估、控制措施、信息與溝通、監(jiān)督活動”五項要素構成，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入到管理過程中。

控制環(huán)境。是其他要素的基礎。包括管理人員的誠信與道德價值觀；管理理念與經(jīng)營風格；權限與職責分配；對員工技能的提升及促進員工職業(yè)生涯發(fā)展的承諾；董事會提供的關注與方向。

風險評估。確認和分析實現(xiàn)目標過程中的相關風險是形成風險管理內(nèi)容的依據(jù)。它隨著經(jīng)濟、行業(yè)、監(jiān)管和經(jīng)營條件而不斷變化，需建立機制來辨認和處理。包括設立目標、設別目標風險、評估風險后果與可能性、匹配控制措施等管理步驟。

控制措施。控制措施是幫助保證風險反應方案得以正確執(zhí)行的相關政策和程序。貫穿于企業(yè)的所有層次與部門。包括一系列不同的活動，如批準、授權、證實、調(diào)整、經(jīng)營績效評估、資產(chǎn)保護與職責分離等。

信息與溝通。來自于企業(yè)內(nèi)部和外部的相關信息必須以一定的格式和時間間隔予以確認、捕捉和傳遞，以保證員工能夠執(zhí)行各自的職責。有效的溝通包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通，還包括將相關的信息與企業(yè)外部相關方面的溝通和交換。

監(jiān)督活動。對企業(yè)風險管理的監(jiān)督活動是對風險管理要素的內(nèi)容和運行質(zhì)量的評估過程，以保障風險管理在企業(yè)管理層和各部門得以持續(xù)執(zhí)行。

國內(nèi)銀行業(yè)監(jiān)管機構內(nèi)控監(jiān)管理念的發(fā)展

人民銀行。1998年，人民銀行頒布了《加強金融機構內(nèi)部控制的指導原則》，持續(xù)對商業(yè)銀行的內(nèi)控制度進行專項檢查。2002年，人民銀行發(fā)布《商業(yè)銀行內(nèi)部控制指引》，第一次將COSO整體框架標準引入我國銀行業(yè)。進一步將規(guī)范公司治理作為對商業(yè)銀行監(jiān)管的重點，督促商業(yè)銀行從更高層次完善內(nèi)控體系，強化內(nèi)控管理。

銀監(jiān)會。2007年，銀監(jiān)會發(fā)布新版《商業(yè)銀行內(nèi)部控制指引》，成為當前商業(yè)銀行內(nèi)部控制最主要的監(jiān)管法規(guī)。該指引全面借鑒了以美國COSO報告等內(nèi)控規(guī)范性文件精神，體現(xiàn)了統(tǒng)籌兼顧、突出重點的基本思想，積極倡導《巴塞爾新資本協(xié)議》的全面風險管理理念。

國內(nèi)商業(yè)銀行內(nèi)控管理中對COSO整合框架的借鑒

內(nèi)控管理是對風險全員、全面、全過程的控制，是自發(fā)的、內(nèi)生的需求，是一個動態(tài)的過程，強調(diào)系統(tǒng)性、整體性、協(xié)同性。整合框架就像一個魔方，根據(jù)企業(yè)的特點，靈活地運用不同的管理組合和管理策略，以達到管理效益的最大化。

培養(yǎng)健康的內(nèi)控環(huán)境。商業(yè)銀行的內(nèi)控管理工作要以保障和促進業(yè)務發(fā)展效益為目標，以提升可持續(xù)發(fā)展的企業(yè)競爭力為根本，為企業(yè)的經(jīng)營和管理工作保駕護航。按照COSO報告，內(nèi)部控制目標可細分為經(jīng)營效率與效果、財務報告可靠和遵紀守法三類子目標。

內(nèi)部控制是“過程管理”，五項控制要素并非按照先后順序?qū)嵤┑目刂乒ば?，而是多維度相交叉的復雜控制過程。在內(nèi)控管理中必須明確控制要素間有機的多維的聯(lián)系與影響。

在內(nèi)控管理中，“人”發(fā)揮著極其重要的作用。每位員工都受內(nèi)部控制的影響，并通過自身的工作影響著他人和整個內(nèi)控系統(tǒng)。所以，要求每位員工都必須明確自己在銀行及銀行內(nèi)控體系的定位，與其他人協(xié)調(diào)一致，共同推進內(nèi)控體系的有效運轉(zhuǎn)。

健全風險識別與評估體系。商業(yè)銀行應建立統(tǒng)一的風險評估程序與工具，持續(xù)加強各類風險的識別與評估。識別固有風險，并從風險發(fā)生的可能性和風險嚴重程度兩方面對固有風險進行評估。梳理現(xiàn)有控制措施，評估風險處理效果。根據(jù)評估結果得出風險評估對象的殘余風險水平，結合可容忍風險判斷控制措施是否充分和合適。

風險識別方法有：訪談、小組集中討論、流程圖分析、歷史數(shù)據(jù)分析、行業(yè)調(diào)研、重大事件備查簿、失效模式與影響分析、事件樹分析、基于事實的管理等。風險識別考慮的外部因素包括宏觀經(jīng)濟變化、市場競爭和客戶需求變化、技術進步、監(jiān)管變化等。風險識別考慮的內(nèi)部因素包括組織架構、風險偏好、管理機制、業(yè)務流程、運營模式的變化、信息系統(tǒng)、業(yè)務創(chuàng)新、成本投入、員工素質(zhì)、企業(yè)文化等。

按照風險發(fā)生的可能性以及對銀行造成的負面影響兩個維度，采用定性與定量相結合的方式將固有風險和殘余風險分級。以風險發(fā)生的可能性可分為五級：罕見、較小可能、可能、較大可能、基本確定。以負面影響程度可分為四級：輕微、普通、嚴重、非常嚴重。

根據(jù)風險評估結果，形成全行統(tǒng)一的風險熱圖，直觀、清晰地展現(xiàn)業(yè)務流程中的風險及風險遷移情況。低風險（綠色區(qū)域），管理優(yōu)先級低，維持現(xiàn)有管理水平，可適當調(diào)配資源，管理其他風險。中風險（黃色區(qū)域），管理優(yōu)先級中等，需關注風險趨勢變化，適當調(diào)整資源管理，以有效的成本代價降低風險排序。高風險（紅色區(qū)域），管理優(yōu)先級高，需要重點關注，優(yōu)先調(diào)配資源強化管理，以降低風險排序。

（三）完善風險控制措施。建立全行統(tǒng)一的三級控制標準，內(nèi)控管理標準化。第一級為“企業(yè)級控制通用標準”，適用于全行各機構、各領域。第二級為“領域級控制共用標準”，是基于企業(yè)級通用控制標準建立的，適用于特定業(yè)務或管理領域的共同控制標準。包括產(chǎn)品管理、客戶關系管理、渠道管理、業(yè)務管理、現(xiàn)金管理、信貸業(yè)務、金融市場等領域標準。第三級為“流程級控制特殊標準”，是在領域級共同控制標準之外，具有流程特性的特殊控制標準，適用于特定業(yè)務或產(chǎn)品操作流程。

建立控制等級標準，通過流程層面的風險評估，對應風險等級定義控制等級。以關鍵控制指標（KCP）為核心,控制主體包括部門、崗位、員工；控制對象包括組織、政策、流程、數(shù)據(jù)、技術；控制實施證據(jù)包括表單、報告、文檔；控制程度等級分為一般、次要、關鍵；控制手段分為自動、半自動、手工；控制發(fā)生頻率分為每日多次、每日、每周、每月、每季、每年；控制性質(zhì)分為事前控制、事中控制、事后控制；控制職責包括不相容崗位管理、授權審批、財產(chǎn)保管、會計記錄、監(jiān)督檢查等。

（四）構建科學的內(nèi)控評價體系。構建以風險為導向的內(nèi)控評價體系。以內(nèi)控過程評價為核心，以內(nèi)控框架為架構，涵蓋過程管理與結果管理，以過程指標、結果指標以及修正指標為績效考核依據(jù)，將內(nèi)控成熟度模型結果作為內(nèi)控質(zhì)量的最終呈現(xiàn)。

內(nèi)控成熟度模型是內(nèi)控評價結果差別化管理的方法，分為5個階段，每個階段代表內(nèi)控框架建設達到的不同程度，為科學評價分支機構內(nèi)控排名提供依據(jù)，同時為各評價機構提供內(nèi)控管理改進的方向和指引。

（作者單位：中國建設銀行深圳市分行）