基于2016版ERM框架的商業銀行內部控制

陸賽江 許莉

銀行業作為我國金融業最主要的組成部分，更是應該把防范風險，尤其是系統性金融風險，放在經營發展的第一位。而要防范銀行的風險，尤其是系統性金融風險，必須從完善商業銀行的內部控制出發。基于此，本文選擇商業銀行的內部控制作為研究對象，分析商業銀行內部控制制度存在的不足。在此基礎上，結合2016新版ERM框架的五個組成要素，提出加強和完善商業銀行內部控制的建議。

一、理論基礎及其制度變遷

1.從1992年COSO《內部控制整合框架》到2004年《企業風險管理框架》（ERM）。1992年，COSO委員會發布了著名的《內部控制整合框架》，并且在1994年對其進行了修訂和增補。該框架設立了一個立方體的模型，從目標、要素、層級這三個維度對機構內部控制進行評價。3個目標分別是戰略目標、財務報告目標和合規性目標；5個要素分別是控制環境、風險評估、控制活動、信息溝通，以及監督；將層級分為業務單位和活動。

2004年，COSO委員會結合《薩班斯法案》中有關報告方面的要求，在《內部控制整合框架》的基礎上進行擴展和補充，頒布了《企業風險管理框架》（ERM）。ERM框架為企業的風險管理提供了理論基礎和應用指導。相較于1992年的內控框架，2004年ERM框架的范圍更加廣泛，產生以下主要變化：第一，分別在三個維度增加了一些新的內容，在目標方面，增加一個戰略目標，并且將財務報告這一目標擴充為包括財務報告在內的所有報告。在要素方面，增加了目標設定、事項識別和風險反應。在層級方面，將風險管理運用領域從單個業務單位和活動提升至整個企業。第二，增加了風險組合觀，認為企業的風險管理要考慮組織的風險偏好和風險容忍度。第三，強調企業的內部控制是企業風險管理重要的組成部分。

2.從2004年《企業風險管理框架》到2016年《企業風險管理——協調風險與戰略和業績的關系》。自2004年ERM框架頒布以來，盡管它在指導企業風險管理方面取得了一定的成績，但也暴露出了它的缺陷。其中最主要的是：2004年ERM框架制定的初衷是為了彌補內部控制框架沒有從整體的角度指導企業進行內部控制建立這個缺陷。2014年起，COSO委員會開始籌劃對2004年ERM框架的修訂工作，并且在2016年出臺了《企業風險管理——協調風險與戰略和業績的關系》征求意見稿。從2016版ERM框架的具體內容來看，用此框架指導商業銀行加強內部控制的優勢在于：第一，我國商業銀行正處于轉型和國際化的階段，采用被全球認可的2016版ERM框架指導商業銀行進行風險管理，使商業銀行在風險應對方面提高了國際競爭力；第二，2016版ERM框架更加強調風險與價值相結合，突出風險管理對企業的價值創造，這與商業銀行在風險管理方面的要求更加契合。

二、商業銀行內部控制現狀分析——基于新版ERM框架

1.商業銀行風險管理與內部控制文化基礎薄弱。企業自身風險管理和內部控制文化是企業建立完善風險管理和內部控制制度的基礎，該文化體現了企業主體的價值觀、行為準則等，對于企業的風險管理活動和內控活動的進行具有指導性作用。目前我國商業銀行對風險管理和內控文化的建設培育工作還沒有貫徹到具體行動中，沒有將文化的價值體現出來。

在董事會和管理層方面，許多人把商業銀行內部控制體系僅僅理解為銀行各種規章制度、業務流程設定的匯總，認為抓內控就是制定和頒布銀行管理及業務的各項規章制度，而忽視了銀行的內控也是一個需要從宏觀整體層面進行考量的重要機制。在票據業務中，風險的發生正是因為銀行對風險管理和內部控制缺乏正確的認識，沒有做到整體上各個層級和環節相互制約、監督。

在銀行員工方面，商業銀行未能將員工個體的行為和銀行風險管理文化結合起來。在日常管理活動中，組織缺乏對銀行風險治理、內部控制文化和核心價值觀不斷地解讀、強調和踐行，導致員工在一些業務活動中出現違背商業銀行價值觀的行為。

2.商業銀行對事項和風險的識別、評估不到位。在現實情況中，我國商業銀行在對風險事項的識別和評估方面還十分不到位。一方面是缺乏對事項的評估。在我國商業銀行的內部控制活動中，沒有形成明確的事項識別機制和過程，銀行關注的僅僅是直接對風險的識別和評估。

3.信息溝通不充分。我國商業銀行對統一、共享的信息溝通平臺還未完全建立。一是商業銀行的信息數據比較缺乏。已有的信息數據反映的僅僅是針對單個風險事件的，而沒有對商業銀行各條業務線等銀行全面風險管理和公司治理層面的總體反映。二是我國商業銀行沒有形成通暢的信息溝通模式。我國主要的商業銀行具有規模大、結構復雜等特征，這些都不利于信息數據高效、順暢的流動。

4.全過程監督、制約機制未能有效發揮。商業銀行的內控制度應當覆蓋其整個經營管理和業務活動，因此對內部控制有效性的判斷應當建立在對整個經營管理及業務活動進行全過程監督的基礎上。一方面，雖然我國上市銀行按照相關制度的要求建立了公司治理模式、設立了相關特定委員會對銀行的內控進行監督，董事會聘請事務所每年進行內控審計，董事會內部每年也對其內部控制進行評價，但都僅僅針對的是財務報告相關的內部控制，缺乏對非財務報告相關內部控制的監督和評價，監督活動覆蓋不全面。另一方面，我國商業銀行的內審部門存在雙重報告制度，既對董事會報告，又對高級管理層進行報告，內部審計部門的獨立性不能得到有效保證，導致其對商業銀行內部控制的監督也不能做到公正、有效。

三、加強商業銀行內控制度建議——以2016版ERM為導向

1.加強內部控制環境創造。①明確監管責任的分配。新版ERM框架在風險治理與文化這一模塊中，強調了企業進行全面風險管理的重要性，并且要求企業明確監管責任的分配。一般來講，鑒于商業銀行董事會成員有比較豐富的行業經驗和技能，并且獨立于銀行的管理層，他們能夠站在整體、宏觀的角度提供風險管理的戰略思想，并且把風險管理的日常活動及責任授權給管理層或特定的委員會進行，他們對企業的內控監督負有首要責任。②建立風險治理和內部控制運作模式。在明確監管責任分配的條件下，商業銀行應該建立完善的內部控制運作模式和匯報機制。商業銀行應當根據銀行的戰略目標、規模、相關法律法規，結合銀行自身使命、期望以及核心價值觀來建立風險治理和內部控制運作模式。③踐行文化與激勵機制。在現實中，銀行工作人員違背商業銀行核心價值的行為難以完全避免。有的是好人由于缺乏經驗和疏忽等原因造成的，有的則是壞人蓄意謀劃。因此需要對違規行為進行詳細地評估并制定應對措施。關鍵舉措在于將銀行工作人員的個人文化與銀行的核心文化結合起來，管理層在日常管理和業務活動中，要對銀行的風險治理和內控文化進行不斷地解讀、強調和踐行。

2.明確目標選擇、加強風險識別。①內部控制目標與戰略目標相一致。新版ERM框架將其制定的風險管理戰略及業務目標，與主體的戰略計劃保持一致。商業銀行的戰略目標一方面是對其經營目標進行深入闡釋和界定，另一方面又具有可持續性、全局性和穩定性等特征。因此，商業銀行在內控體系各個環節和層級制定時，應當考慮銀行總體戰略目標的指導性意義，將其分解，并且持續作用于內部控制的各個環節。②加強對事項和風險的識別。ERM框架是以風險為導向制定的，商業銀行在制定內控制度的過程中也應當以風險和事項為中心向外擴散，將風險導向滲入到內部控制的各個環節和流程中去，從而在日常的內部控制活動中積累對風險和事項的識別。商業銀行在進行風險識別之前，更要進行事項識別。

3.在風險評估基礎上選擇相應的風險響應。在上述對風險和事項進行識別的條件下，我國商業銀行應當根據風險和事項的重要程度、優先次序等標準選擇和制定應對方式。首先是進行風險排序。要對風險進行排序，在識別出風險的基礎上，對風險進行評估。商業銀行應當結合組織的風險偏好，區分出風險事項發生的可能性和對銀行發展產生的影響程度，在重要程度和緊急程度等方面對其進行排序。其次是針對排序完的風險選擇相應的應對措施，如承擔風險、規避風險、降低風險等。

4.建立順暢的信息溝通機制，有效共享信息。①確定信息數據的來源。前文所述造成風險的事項可由銀行的內部和外部環境產生，因此，商業銀行管理層在確定信息數據的來源時，應當同時考慮信息的內部和外部來源。②對風險進行報告，有效溝通風險信息。商業銀行確定了信息數據的來源以后，將搜集到的信息數據進行分類、分析和管理，并最終形成報告。針對不同的溝通對象（即信息使用對象）形成不同種類和形式的報告。溝通對象包括商業銀行的內部工作人員、董事會、股東以及其他利益相關者。信息溝通的形式可以是：電子信息共享、培訓和研討會、內部文件資料傳遞等。

5.加強內部控制持續監管。商業銀行的內部控制應當隨著時間的改變、業務的發展而有所不同。在外部環境方面，隨著一些因素的變化和發展，可能會發生舊的風險消失了，新的風險產生了、曾經的風險對銀行的影響程度發生了變化、曾經有效的風險應對措施變得不再有效等一系列問題；在銀行內部方面，可能會發生銀行員工對控制活動執行的有效性降低、銀行人員和組織架構發生了調整從而影響了內部控制的執行等問題。因此需要銀行通過對其內部控制進行持續、全過程地監控，了解并掌握在內部控制的各方面發生的一些實質性變化，以便判斷銀行內控體系的各個層級、各個流程在長期運作方面是否保持良好，促進商業銀行內部控制體系長期有效地發揮作用。

（作者單位：南京審計大學）