健全上市商業銀行風險管理與內部控制制度

楊雪麗+黃楠

【摘要】商業銀行在發展過程中由于內外因素作用產生了多種風險，風險的處理不當很可能導致商業銀行損失、破產、甚至引發金融危機和社會動蕩。此外，上市商業銀行面臨Basel和COSO雙重風控要求，基于此，本文將從流程梳理的角度出發，協調雙重監管標準，同時健全風險管理與內部控制制度。

【關鍵詞】風險管理 內部控制 流程梳理

一、風險管理和內部控制概述

（一）商業銀行風險管理

商業銀行風險管理是指商業銀行通過風險識別、評估和應對等環節，預防、回避、分散或轉移經營中的風險，從而減少經濟損失，保證經營資金安全的行為。以前的風險管理強調單一的風險概念，如信用風險、市場風險、操作風險等，當前的風險管理強調全面風險管理。

（二）商業銀行內部控制

巴塞爾委員會認為商業銀行內部控制是一個受銀行董事會、高級管理層和各級管理人員影響的程序。我國銀監會將內部控制定義為商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制。內部控制的三大目標是：一是經營目標：經營管理的效率和效果；二是合規目標：在經營管理中遵守法律法規；三是財務報告目標：財務報告的真實可靠，防止財務指標的虛假與財務舞弊現象的發生。

二、商業銀行風險管理和內部控制的必要性

（一）商業銀行內在要求

1.商業銀行的特殊性。商業銀行是金融體系的重要組成部分，商業銀行經營管理的好壞對整個社會經濟發展至關重要，如果商業銀行出現經營管理不善、倒閉就會波及到其他銀行，影響公眾對整個金融體系的信心，嚴重的還會造成金融危機，波及整個社會經濟的安全。因此，各國政府以及金融監管當局都非常重視商業銀行的穩健經營，強調金融系統的安全性，同時也要求商業銀行通過實行嚴格的、全面的風險管理來實現穩健經營。

2.保障權利人人利益。銀行經營有其獨特的經營模式，其中，商業銀行的自有資本只占運營資本較低的比例，商業銀行大量資本來源于銀行股權人或債權人。但是，銀行資本的運作由銀行經營管理人員來實施，如果缺乏相應的風險管理與內部控制，銀行經營管理人與權利人之間可能因為信息不對稱而產生道德風險，出現經營管理人資本濫用的情況，這會嚴重損害銀行權利人的利益。

3.金融創新的需要。金融創新是提高商業銀行競爭力的主要途徑，但是，金融創新又是一把雙刃劍，商業銀行金融創新客觀上存在風險，在規避原有風險的同時，又會帶來新的風險，這是商業銀行在創新過程中必須加以重視的問題。銀行全面風險管理和內部控制有助于商業銀行防范創新所引起的風險。

（二）外部監管要求

1.人民銀行的監管要求。中國人民銀行發布的《商業銀行內部控制指引》是為促進商業銀行建立和健全內部控制體系，防范金融風險，保障銀行體系安全穩定運行?！吨敢访鞔_規定“商業銀行應當建立內部控制的評價制度，對內部控制的制度建設、執行情況定期進行回顧和檢查”。

2.銀監會監管要求。商業銀行內部控制評價由中國銀監會及其派出機構組織實施。銀監會發布了《商業銀行內部控制評價試行辦法》，目的是規范和加強對商業銀行內部控制的評價，督促其進一步建立內部控制體系，健全內部控制，為全面風險管理體系的建立奠定基礎，保證商業銀行安全穩健運行。

3.證監會監管要求。證監會規定，商業銀行應在招股說明書、年度報告中對其內部控制制度的完整性、合理性和有效性作出說明。商業銀行還應委托會計師事務所對其內部控制制度和風險管理系統的完整性、合理性和有效性進行評價，提出改進建議，并以內部控制評價報告的形式做出報告。

三、流程梳理健全內部控制和風險管理

（一）流程管理的重要性

商業銀行作為服務行業以市場為導向、客戶為中心、產品為載體開展各種經營活動，而這些經營活動都圍繞著市場和客戶進行。無論是產品研發、產品銷售、售后服務，還是為了防范經營活動中可能出現的風險而實施的各種管理措施，都是通過流程實施的。流程承載著商業銀行經營與管理的重任，它既是經營風險的源頭又是管理風險的基礎。

（二）國外商業銀行流程梳理的經驗

1.花旗集團。花旗集團在操作風險管理中建立風險與控制自我評估程序，以保證每一項業務活動的內在重要風險都能被識別，并且覆蓋這些風險的關鍵控制的有效性能夠得到評價和監督。

2.美國銀行。銀行在風險管理中建立三道防線，通過廣泛的流程管理和改進來降低操作風險，并設有專門的質量和生產力團隊來保證流程管理和改進的效果，比如特別的信息安全團隊和供應鏈管理團隊的等。

3.匯豐控股公司。公司通過一個以控制為基礎的環境來管理操作風險，在這個環境里流程是經驗證記錄的，授權是獨立的，交易是經核對并被監控的。操作風險管理要對每項業務面對的重要風險以及業務所有流程、活動、產品中內在的風險進行評估。

（三）流程梳理的作用

1.促進風控銜接。流程是銀行操作風險管理與內部控制的對象，銀行日常內部控制的實施及操作風險的管理，都要通過經營管理活動的流程完成。以流程為控制或者管理的對象符合相關外部監管的要求，其流程具有一定穩定性，不因產品或服務的變化而變化，且有利于收集銀行整體風險與控制相關信息；促進內部控制及操作風險管理全流程工作銜接，更好地控制風險，識別業務改進機會，提升業務效率，促進不同業務線條跨職能的討論與溝通，提高管理效率。

2.COSO理論和Basel理論的結合。作為已上市的商業銀行不僅要遵循Basel風險管理體系1的相關監管要求，還要根據上市公司的監管要求，按照COSO風險管理理念2對商業銀行操作風險管理體系暨內部控制體系進行改造。通過不斷的實踐和探索，商業銀行已建立了一套行之有效的操作風險管理暨內部控制和內部控制評價的方法論，而流程梳理作為這一方法論實施的基礎，也是融合COSO和Basel兩大風險管理理念差異的契合點。

3.提供風控評價基礎。流程梳理可以為流程管理標準制定提供參考，具體的流程管理標準又能為內部控制工作的開展提供參考。健全的流程管理標準，為后續內部控制評價工作的具體實施提供適當的評價基礎，并且能滿足相關多重外部監管的要求。

注釋

{1}巴塞爾委員會成立以來制定的一系列風險管理文件、協議、指引為基礎的現代商業銀行風險管理理念、制度、規定、協議等。

{2}COSO是美國反虛假財務報告委員會下屬的發起人委員會，COSO風險管理框架把風險管理的要素分為八個：內部環境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監督。

作者簡介：楊雪麗（1994-），女，滿族，云南保山人，云南大學經濟學院2016級審計專業在讀研究生，研究方向：國家審計；黃楠（1996-），女，漢族，云南曲靖人，云南大學經濟學院2014級會計學專業（注冊會計師方向）在讀本科生。endprint