胡兆軍

《企業(yè)風險管理框架-戰(zhàn)略和業(yè)績的整合》（COSO-ERM 2017）的正式發(fā)布再次吸引了全球管理界的矚目。新版ERM框架重新定義了風險、ERM和風險容量，確定了成功實施風險管理的5大要素——治理與文化、戰(zhàn)略和目標設定、績效、審閱和修訂、信息溝通和報告，定位了風險管理與戰(zhàn)略的協(xié)同作用。一直以來，西方主要央行和我國央行沿著COSO-ERM框架的演進路徑，不斷更新和完善自身的風險管理體系。但當前我國基層央行風險管理與COSO-ERM框架精神相比還有一定差距，有待重新構(gòu)思完善。

一、我國央行應用COSO-ERM框架情況

2006年，人民銀行印發(fā)了《中國人民銀行分支機構(gòu)內(nèi)部控制指引》（銀發(fā)[2006]111號），主要是參照COSO框架（1992）將人民銀行內(nèi)部控制劃分為內(nèi)部控制環(huán)境、風險評估、內(nèi)部控制活動、內(nèi)部控制的信息及其溝通、對內(nèi)部控制的監(jiān)控等5個要素，細化了內(nèi)部控制5要素的建設標準，確立了人民銀行內(nèi)部控制目標和原則。2013年，印發(fā)《中國人民銀行內(nèi)審部門風險評估工作試行辦法》（銀內(nèi)審發(fā)[2013]18號），將人民銀行風險劃分為市場風險、信用風險、流動性風險、操作風險、法律風險和聲譽風險6大類，采用剩余風險評估模型，通過定性、定量方法，確定評估對象的風險級別。2014年，印發(fā)了《中國人民銀行內(nèi)部控制審計試行辦法》（銀內(nèi)審發(fā)[2014]33號），明確以審計的方式審查和評價內(nèi)部控制的充分性、合理性、遵循性、有效性，規(guī)范了內(nèi)部控制審計的內(nèi)容、程序和報告。2016年，人民銀行總行開發(fā)了“內(nèi)審部門風險評估管理系統(tǒng)”，組織分支行梳理了“風險事項清單”，形成了組織機構(gòu)和業(yè)務條線兩個維度的人民銀行風險概圖。由此，人民銀行風險管理的技術(shù)、工具、平臺基本建立起來。進入2017年，人民銀行轉(zhuǎn)發(fā)了財政部印發(fā)的《行政事業(yè)單位內(nèi)部控制報告管理制度（試行）》，要求各省級分支機構(gòu)、總行企事業(yè)單位正式編報內(nèi)部控制報告，這是第一個正式的有關(guān)風險管理的報告。

人民銀行風險管理內(nèi)設部門可以劃分為兩類——內(nèi)部監(jiān)督部門（紀委監(jiān)察、巡視、內(nèi)審）和其他業(yè)務部門（對外履職部門、宣傳組織部門）。每一級機構(gòu)的風險管理實行黨委（組）領(lǐng)導下的分管領(lǐng)導負責制，上級機構(gòu)（部門）垂直領(lǐng)導下級機構(gòu)（部門），基本屬于“條線型”“職能型”風險管理結(jié)構(gòu)。此種模式傾向于垂直管理，橫向溝通不足，與全面風險管理框架，特別是COSO-ERM（2017）精神相比，存在著缺乏集中統(tǒng)一的風險管理領(lǐng)導機構(gòu)、風險管理信息溝通不暢、風險管理文化成熟度不夠等問題。

二、基層央行風險管理一體化框架設計

為改進基層央行現(xiàn)行風險管理中的不足，提高基層央行風險管理水平和成效，本文提出風險管理一體化模式，通過完善風險管理組織架構(gòu)，實現(xiàn)風險管理由單一的垂直型管理轉(zhuǎn)向橫向、縱向兩個維度的矩陣式管理，實現(xiàn)COSO-ERM框架精神與基層央行風險管理的更深嵌入和有機融合。

（一）風險管理一體化框架的要素構(gòu)成及運作機理

風險管理一體化框架是在汲取COSO-ERM（2004，2017）兩個框架精神的基礎上，結(jié)合央行組織管理和風險管理的特點，為便于付諸實踐而做出的結(jié)構(gòu)安排與設計。它包含6個要素——治理目標、組織架構(gòu)、風控文化、橫向溝通、縱向監(jiān)控、自我評估。其與COSO-ERM（2004，2017）之間的聯(lián)系和區(qū)別如下：“治理目標”基本對應COSO-ERM（2004）中的“目標設定”和COSO-ERM（2017）中的“戰(zhàn)略和目標設定”。將COSO-ERM（2004）中的“內(nèi)部環(huán)境”細分為“組織架構(gòu)”和“風控文化”，這兩部分內(nèi)容包含在COSO-ERM（2017）的“治理與文化”要素，但考慮本文著重研究風險管理一體化的建設框架，所以“組織架構(gòu)”特指亟待完善或搭建的風險管理組織架構(gòu)，而不包括其他運營架構(gòu)?！帮L控文化”是COSO-ERM（2017）所指“文化”中的有關(guān)風險理念的部分。COSO-ERM（2004）中的“事項識別”“風險評估”“風險反應”“控制活動”“信息與溝通”“監(jiān)控”等6要素內(nèi)含于“橫向溝通”“縱向監(jiān)控”“自我評估”中，對應于COSO-ERM（2017）中的“績效”和“信息溝通和報告”。COSO-ERM（2017）中的“審閱和修訂”是一個持續(xù)、全面、動態(tài)的改進過程，其責任主體屬于多個，已經(jīng)蘊含于單位黨委（組）、風險管理委員會、職能部門等風險管理主體的日常工作中，故未在一體化管理框架中單獨列示。一體化風險管理框架6個要素的設計，是基于風險管理的責任主體、運行方向（橫向、縱向、內(nèi)部）和運作機理，便于在實踐中明晰風險管理職責和具有可操作性。

治理目標：吸收COSO-ERM（2017）的精神，包括戰(zhàn)略目標和業(yè)務目標，按性質(zhì)可分為合規(guī)性目標和績效性目標。風險管理圍繞組織目標展開，保障組織目標的實現(xiàn)。組織架構(gòu)：明確單位、部門等風險管理主體的角色和定位，統(tǒng)籌協(xié)調(diào)推進風險管理，保障風險管理戰(zhàn)略的實施、措施的執(zhí)行和目標的實現(xiàn)。風控文化：涵蓋“精神—制度—行為—物質(zhì)”四個層面，目標是建設符合實際、具有履職特色的風險管理文化，使風險意識、理念深入人心，融入崗位職責和流程，內(nèi)化為員工的自覺行動。橫向溝通：促進同級監(jiān)督部門與業(yè)務部門風險管理信息和資源共享、策略共商、機制共建，形成橫向上的協(xié)同聯(lián)動，發(fā)揮雙方合力?？v向監(jiān)控：上級單位（部門）落實對下級單位（部門）指導監(jiān)督和績效考核職責，實現(xiàn)單位縱向和業(yè)務條線內(nèi)風險管理的上下貫通。自我評估：包括單位內(nèi)部自我評估和部門內(nèi)部自我評估。通過自我評估找準內(nèi)控缺陷，修訂內(nèi)控制度，實現(xiàn)流程再造，消除風險隱患，提升工作績效。

在風險管理一體化框架中，6要素相互促進、相互滲透、有機融合，形成立體化管理模式，共同提升治理水平。

（三）風險管理一體化的優(yōu)勢

1. 確立了風險管理的核心。現(xiàn)行風險管理由于沒有明晰的組織架構(gòu)，無法突破部門之間的壁壘和業(yè)務條線的分割，不能實現(xiàn)風險管理的集中統(tǒng)一領(lǐng)導。一體化使得風險管理有了組織領(lǐng)導核心，提升了風險管理權(quán)威，便于統(tǒng)籌推進風險管理，便于疏通風險管理路徑。

2. 能夠?qū)崿F(xiàn)風險管理信息輻射式和映射式傳導。以風險管理組織架構(gòu)為核心向外擴散形成輻射圈，由決策層依次傳導至具體崗位層，由宏觀層面的風險管理戰(zhàn)略、風險管理文化傳導至微觀層面的控制活動、控制措施，由上級行直接映射到下級行，反向收斂實現(xiàn)風控措施的反饋和風險事件的報告。

三、基層央行風險管理一體化建設路徑

（一）確立風險管理一體化建設目標

按照責任主體和風險容忍度的不同，可以將目標劃分為總體目標、基準目標和具體目標?？傮w目標可設定為建立符合央行履職要求、具有央行特色的風險管理體系，將風險管控機制融入內(nèi)部管理和對外履職的各個層面，內(nèi)化為全體員工的自覺行動，實現(xiàn)風險管理橫向協(xié)同聯(lián)動、縱向上下貫通，確保風險處于可接受水平?；鶞誓繕丝稍O定為，確保重大金融政策貫徹落實、確保轄區(qū)金融安全穩(wěn)定、確保不發(fā)生違法違規(guī)案件、確保重大風險事件及時妥善處置、確保黨員干部廉潔自律。分支機構(gòu)內(nèi)設部門可以結(jié)合自身履職范圍，確立本部門具體建設目標。

（二）健全風險管理一體化組織架構(gòu)

在現(xiàn)行體系的基礎上，充實黨委（組）對風險管理的領(lǐng)導職能。成立風險管理委員會及其辦公室，委員會在黨委（組）領(lǐng)導下開展工作。各職能部門設立風控主管，作為本部門風險管理的牽頭人。明確界定黨委（組）、風險管理委員會、職能部門、內(nèi)控主管等風險管理主體的角色及職責。

（三）構(gòu)建“三道防線”責任制

相對下級部門（人員）對業(yè)務操作風險負有直接責任，是風險管理的第一道防線;相對上級業(yè)務主管部門對下級對口部門負有管理指導職責，是風險管理的第二道防線;相對上級專職監(jiān)督部門（含聯(lián)合檢查組）對下級風險防控負有再監(jiān)督職責，是風險管理的第三道防線。“三道防線”都要定期向風險管理委員會報告工作。

1. 第一道防線職責。作為業(yè)務的直接參與者和風險的直接控制者，負責落實上級主管部門的業(yè)務政策、內(nèi)控制度，設計本單位（部門）內(nèi)部控制程序、措施，定期檢查業(yè)務操作的合規(guī)性，支撐本單位（部門）實現(xiàn)既定的風險管理目標。為設計的內(nèi)部控制缺陷或缺失、操作層出現(xiàn)業(yè)務差錯以及由此引發(fā)的風險承擔直接控制責任。

2. 第二道防線職責。制定本轄區(qū)業(yè)務條線內(nèi)管理政策、內(nèi)控制度;定期識別、評估、檢查業(yè)務條線內(nèi)部控制風險和業(yè)務風險;控制單一機構(gòu)風險、單一環(huán)節(jié)風險擴散;對全轄普遍性、規(guī)律性風險制定防范化解措施;向整個業(yè)務條線提示新興業(yè)務風險和規(guī)章制度的新變化;為內(nèi)控制度缺陷或缺失、業(yè)務風險擴散、重要管理漏洞承擔主管責任。

3. 第三道防線職責。對轄區(qū)業(yè)務風險管理、內(nèi)部控制、崗位廉政風險防范的有效性進行獨立確認。確認范圍包括：業(yè)務的合規(guī)性、履職的效率效果、資金資產(chǎn)的安全、內(nèi)部控制框架的充分性和有效性、黨風廉政機制建設和成效等。為轄區(qū)發(fā)生重大業(yè)務風險、案件風險、重大外部檢查風險承擔再監(jiān)督責任。

（四）完善一體化風險管理PDCA運轉(zhuǎn)機制

1. 一體化風險管理PDCA運轉(zhuǎn)模型。借鑒戴明環(huán)管理理論（PDCA），將風險管理劃分為風險管理決策、風險管理政策執(zhí)行、風險管理工作考核與評價、風險管理機制調(diào)整與優(yōu)化4個環(huán)節(jié)，由此構(gòu)建出一體化風險管理PDCA運轉(zhuǎn)模型。其中，風險管理決策環(huán)節(jié)由風險管理委員會和黨委（組）承擔;風險管理政策執(zhí)行環(huán)節(jié)由“三道防線”承擔;風險管理工作考核與評價環(huán)節(jié)由黨委（組）承擔;風險管理機制調(diào)整與優(yōu)化環(huán)節(jié)，由黨委（組）和風險管理委員會領(lǐng)導，各風險管理主體具體承擔。

2. 完善風險管理決策機制。建立風險管理主體定期匯報制度和重大、重要風險逐級上報制度。將重大風險管理決策權(quán)賦予黨委（組），重要風險管理決策權(quán)賦予風險管理委員會。黨委（組）的重大決策權(quán)包括：界定風險管理主體的角色和職責;研究審批轄區(qū)重大、綜合性風險管理政策;考核風險管理委員會績效;問責風險管理主體。風險管理委員會的重要決策權(quán)包括：組織落實黨委（組）部署的重大、綜合性風險管理政策;組織培育審慎的風險管理文化;統(tǒng)籌協(xié)調(diào)監(jiān)督計劃的制定執(zhí)行、監(jiān)督資源的分配、監(jiān)督信息的共享;組織撰寫風險管理分析報告;根據(jù)環(huán)境變化和風險管理一體化運行狀態(tài)，牽頭調(diào)整風險管理一體化機制。

3. 改進風險管理政策執(zhí)行機制。將“條線型”結(jié)構(gòu)改進為“矩陣型”結(jié)構(gòu)，從兩個維度確保風險管理政策無縫銜接。重點是推進橫向風險管理共商共建，提升縱向監(jiān)督效力，推動風險管理自評估常態(tài)化等。

4. 填補風險管理工作考核評價環(huán)節(jié)。風險管理考核評價環(huán)節(jié)是現(xiàn)行央行風險管理體系的空白。應著手建立風險管理考核評價體系，健全風險管理失職瀆職線索移交程序和問責辦法。由黨委（組）履行考核評價職能，重點考核風險管理委員會統(tǒng)籌協(xié)調(diào)、風險分析報告、風險文化培育等職責落實情況，考核其制定綜合性監(jiān)督計劃的科學性、監(jiān)督資源分配的合理性、重要重大風險處置的妥當性等績效情況，對各風險管理主體失職瀆職行為及時問責。

5. 持續(xù)調(diào)整優(yōu)化一體化風險管理機制。風險管理委員會應及時跟蹤重大環(huán)境變化，包括國內(nèi)外經(jīng)濟金融的運行態(tài)勢、黨和國家的重大方針政策、央行履行職責面臨的社會環(huán)境、地緣政治文化影響等;應及時跟蹤內(nèi)部結(jié)構(gòu)變化，包括央行職能的調(diào)整、重要人事變動、關(guān)鍵崗位調(diào)整、新技術(shù)新系統(tǒng)的應用、管理模式的改變等。應及時評估上述變化對風險分布的影響，找準風險管理機制的薄弱部位和環(huán)節(jié)，做出相應的調(diào)整和優(yōu)化。

（五）落實風險管理措施

1. 橫向上推進風險管理協(xié)同聯(lián)動。一是促進政策共商。建立監(jiān)督部門與業(yè)務主管部門間交流磋商機制，遇有風險信息雙方及時溝通，共同商討預警、控制和化解風險的措施，雙管齊下治理風險。二是促進機制共建。雙方搭建學習平臺、交流平臺、合作平臺，共享培訓機會、風險管理知識、經(jīng)驗做法等，監(jiān)督部門積極發(fā)揮咨詢服務職能，業(yè)務主管部門及時反饋業(yè)務更新情況，合作開展風險管理。三是促進信息共享。風險管理委員會及時收集各方面風險管理信息，確保信息在上下之間、平行之間自由流通。四是促進資源整合。風險管理委員會充分發(fā)揮統(tǒng)籌協(xié)調(diào)作用，整合監(jiān)督人力資源、檢查資源，構(gòu)建“大監(jiān)督”格局。

2. 縱向上促進風險管理上下貫通。重點在現(xiàn)行基礎上，進一步提高風險管理效力。應解決“第二道防線”履職不到位的問題，深化“第三道防線”監(jiān)督，堅持風險全覆蓋原則，聚焦“盯住人、管好錢、用好權(quán)”，拓展監(jiān)督深度，創(chuàng)新監(jiān)督方式，下沉監(jiān)督重心。

3. 推進單位（部門）風險管理自評估。央行內(nèi)審部門已經(jīng)建立了成熟的風險評估信息系統(tǒng)，實現(xiàn)了風險評估的數(shù)字化。下一步，應全面普及風險評估技術(shù)，推動風險評估信息系統(tǒng)普遍應用，實現(xiàn)風險自評估的常態(tài)化。

4. 推進監(jiān)督成果運用機制化、常態(tài)化、長效化。在機制化方面，著力完善“‘一把手主導、分管領(lǐng)導主推、具體部門實施”的成果運用責任體系，健全審計整改聯(lián)動機制和后續(xù)跟蹤機制，構(gòu)建成果運用齊抓共管、部門聯(lián)動的大格局。在常態(tài)化方面，著力解決成果運用零散、隨意問題，將綜合分析、交流磋商、風險揭示、梳理“紅線清單”、問題通報等行之有效的方法，以制度形式固定下來。在長效化方面，將監(jiān)督成果運用作為工作考核的重要內(nèi)容，將問題整改情況納入業(yè)務條線檢查范疇，推動監(jiān)督成果運用務實、長效。

（責任編輯? ? 劉西順;校對? ?XS）