基于COSO—ERM框架下的基層央行發行庫安全風險管理

本文以基層央行發行庫安全管理為例，簡要介紹了COSO-ERM框架的概念，并基于COSO—ERM框架從五個方面分析了基層央行發行庫安全風險管理存在的問題，有針對性地從注重內部環境建設、加強風險識別、評價、應對、建立完善的信息溝通渠道和溝通制度及加強風險管理監督等方面提出了解決方案。

近年來，隨著經濟的發展和科技的進步，人民銀行人民幣發行業務正在步入轉型升級的關鍵時期，面臨的風險愈發復雜，雖然多部門圍繞發行庫安全建立了較為完善的管理制度，但由于各種原因發行庫內部安全管理仍不完善，安全風險依然存在。如何完善發行庫安全風險管理，保證發行庫安全已成為多方關注的焦點，也成為基層央行亟待解決的問題。

一、COSO-ERM框架簡介

2004年，COSO委員會在《企業風險管理——整合框架》（COSO-ERM）中提出風險管理貫穿于企業或機構管理的全過程，目的在于識別可能會影響正常運營的潛在因素，并通過多種途徑將風險控制在該主體可接受的風險容量內，最終為管理目標的實現提供堅強的保障。COSO-ERM框架主要由內部環境、目標設定、內控活動、風險識別、風險評估、風險應對、信息和溝通、監控這八要素組成。

值得注意的是，風險管理要素并不是嚴格的順序關系，一個要素的改變可能會影響其他某個要素或多個要素，在風險管理系統運行過程中，風險評估是最關鍵的要素，關系圖詳見圖1：

二、基層央行發行庫守衛風險管理存在的問題

（一）內部環境存在的問題

1.專業人員不足影響發行庫風險管理

基層央行守押體制改革后，守押中心承擔了所在地發行庫安全保障工作，對發行庫安全有監督職能。以某省會中支守押中心為例，該守押中心50周歲以上的行員占比75% ，年齡最大的58歲，平均年齡遠高于其他業務部門。由于成立以來只分配過兩名新行員，調入人員的年齡基本也在50歲以上，造成了守押崗位年齡結構不合理的現象。守押、保衛部門人員比較穩定，很多年齡較大的行員一入職就從事安全保衛工作，這部分職工大都學歷水平不高，能力有限，知識更新較慢，不能很好地操作科技含量較高的設備，對現代風險管理理念接觸較少，且工作方式和工作理念比較陳舊，認為保證發行庫安全就是“看好槍、守好庫、不給組織添麻煩”。以上問題導致了本該作為風險管理骨干的老職工不重視專業能力的提升，陳舊的工作方法和思維觀念使風險管理系統也難以順利運行。

而聘用制員工和合同制員工大多數為部隊退伍軍人，學術水平和專業能力有限，再加上這部分員工缺乏上升通道，直接影響了他們的工作與學習動力，隨著科技水平的日益提高，技防設施更新換代較快，沒有專業技術能力作為支撐很難為發行庫安全提供有力保障。更嚴重的是，沒有歸屬感也導致了對規章制度缺乏敬畏之心。

專業技術人員的缺乏對發行庫安全的影響更為深遠，一方面基層央行計算機相關專業技術人才每年招聘數量不多，科技、清算等對技術要求較高的部門需要的人員數量較多，很難保證守押（保衛）部門的技術人員需求。另一方面由于守押（保衛）現有的技術人員學習知識、鉆研業務的勁頭不足，創新意識、能力不強，再加上技防設備使用時間較長，各類技術問題集中暴露，專業人員的不足已嚴重影響到發行庫安全。

2.缺少晉升機會影響積極性發揮

發行庫守衛工作在發行庫安全管理中具有重要作用，守衛工作不僅保障了發行庫免受外來犯罪分子侵害，同時也對庫內工作人員起到了重要的監督作用。但守衛工作多數時間是在監控中心看監控、開門禁，重復性的簡單勞動和封閉的環境讓守衛值班人員逐漸喪失了學習的動力，專業知識的缺乏也造成了守押人員難以適應其他業務處室的工作，難以進行輪崗。人員交流也是僅局限在守押、保衛、貨金等業務相近的部門。由于長期缺乏崗位交流，發行庫守衛人員對經濟金融領域缺乏熱情，創新意識逐漸消退。而缺乏崗位輪換導致業務處室的青年干部職工對發行庫安全工作缺乏認識，更不愿到此工作。由于以上原因，守押（保衛）人員在職稱評定、職務晉升等諸多方面趕不上業務處室人員。許多干部職工感到前途堪憂，不可避免地會造成思想不穩定，缺乏學習熱情、創新精神和工作積極性，對保障發行庫安全，進行有效的風險管理產生消極影響。

3.制度執行不到位

盡管近年來基層央行在完善發行庫安全設備上下了很大功夫，科技化、信息化水平不斷提高，對涉及發行庫安全的各項制度也在不斷細化、完善，但是許多制度都只“停留在文件上”，在實際操作中得不到有效落實，個別職工對制度缺乏了解、缺乏敬畏，工作中不能嚴格按制度辦事，更有甚者利用制度漏洞謀取私利。

4.風險管理意識和文化氛圍缺失

部分涉及發行庫安全的人員（守押、保衛、管庫人員）存在只要把本職工作做好就行，風險管理是管理層的責任這種意識，且部分單位更傾向于宣傳報道黨建成果、信息采用情況，對于發行庫安全宣傳不到位，缺失的安全管理文化氛圍導致這部分群體風險管理意識缺失。

（二）風險識別、評估、應對存在的問題

基層央行保衛、守押人員肩負著對發行庫安全的監督、檢查職能，但根據上文可知，保衛、守押及部分管庫人員由于專業素質、職務晉升等諸多因素無心、無精力或因人為失誤、操作失誤造成風險識別、評估及應對出現問題。

（三）控制活動存在的問題

某些基層央行守押、保衛及管庫崗位高學歷、復合型人才缺乏，且這部分人員的年齡較大，風險管理意識缺失，風險管理專業知識匱乏。而應承擔監督職能的守押、保衛部門由于人員較少往往存在一人兼多崗的情況，人員的精力有限，在完成本職工作的同時很難有足夠的精力和時間去做風險管理的各項工作，且缺少不同崗位的監督、制衡，幾乎不可能建立有效的風險管理系統。

（四）信息溝通存在的問題

涉及基層央行發行庫安全的部門主要有保衛、守押、貨幣金銀部門，由于各部門間權責劃分等問題，工作中可能無法及時、有效溝通，相關信息也可能無法準確地在各部門間傳遞。且直接參與守衛值班及發行庫安全工作的人員多為基層職工和聘用制人員，風險管理措施的制定者及信息的處理者多為部門管理人員，這兩者之間可能存在信息不對稱的問題。滯后的信息與不暢的溝通渠道就可能導致風險管理系統失效，造成安全隱患。

（五）監控方面存在的問題

參考近年來涉及發行庫的案件，我們可以發現多數案件的發生是因為缺乏有效的監督。例如有的案件是因為發行庫內監控設施遭到遮擋，造成監控盲區，導致發行基金失竊。管庫員辦公室和備品庫分別與內交接室相連，管庫員辦公室和備品庫均無監控，為盜竊庫款提供條件。庫主任、副主任、發行部門負責人歷次查庫流于形式，庫款被盜未能發現。守衛人員對出入庫人員隨身攜帶無關物品監督檢查不嚴格，導致盜竊的庫款被成功帶離庫區。

三、COSO—ERM框架在發行庫安全風險管理中的應用

（一）基于COSO—ERM框架發行庫安全風險管理的原則

1.全面管理。首先應將守押保衛人員、管庫員、執勤武警等各級干部職工納入發行庫安全風險管理范圍。其次需對涉及發行庫安全的各方面、各環節全面控制。另外還要對歷次內審、巡視中發現的屢查屢犯問題進行重點監控。

2.合法合規。風險管理系統首先要遵守法律法規，其次是要與發行庫安全管理實際相適應。

3.監督制衡。明確風險管理涉及各崗位的職責、權限和范圍，做到分級授權、嚴格授權和離崗交權，合理安排風險管理體系運營結構，任何人不得越權作出決策。

（二）基于COSO—ERM框架發行庫安全風險管理的建議

1.注重內部環境建設

（1）完善獎懲制度，樹立遵章意識

本文以發行庫守衛值班績效考核制度為例簡要介紹考核制度建設思路。首先是確定考核等級，例如：績效考核等級分為優秀、稱職、不稱職三個等級。優秀比例為參加績效考核總人數的25%。再次，確定績效考核標準，具體為：工作日100元/天，雙休日200元/每天，法定節假日300元/天，按月核定績效總額（工作日+雙休息+法定節假日）。

涉及發行庫安全風險管理人員月度績效考核標準為人員月度績效總額=基礎月度績效+考核等級月度績效，其中：基礎月度績效占月度績效總額的50%，考核等級月度績效占月度績效總額的50%。

基礎月度績效的發放標準：按人員實際值班次數和值班時間（工作日+雙休息+法定節假日）發放。

考核等級月度績效的發放標準：當月優秀人員考核等級月度績效占考核等級月度績效總額的40%，稱職人員占考核等級月度績效的60%，不稱職人員不享受當月考核等級月度績效。風險管理人員不履行職責期間，不納入風險管理人員月度績效考核范圍。非風險管理人員不納入風險管理人員月度績效考核范圍。

（2）改變發行庫守衛值班模式

改變發行庫守衛值班模式可以考慮將簡單的值班工作社會化。根據工作實際可將發行庫守衛工作分為監督管理、技術支持和設備操作三類。社會化改革可以將設備操作這種坐在監控臺前做簡單操作和進行24小時守衛值班的工作承包給可靠的外包公司或招收一批具有相關工作經驗的合同制工作人員，以此減輕正式守押人員的負擔。同時對正式守押人員進行專業培訓，設立專門的風險管理崗和技術支持崗，將有限的人力資源用于風險管理工作的組織管理和監督檢查。

2.加強風險識別、評價與應對

（1）選擇有效的風險識別途徑

涉及發行庫安全的每一個風險事件的出現都是有跡可循的，有些是之前內審、自查發現的問題，有些是過去發生過的屢查屢犯問題，而通過建立風險點、原因、檢查內容等要素構成的風險檢查表可以加強風險識別的條理性，也可以直接反映出解決風險該做什么、怎么做。構建風險檢查表的思路可參考表1：

（2）進行科學風險的風險評價

首先根據風險檢查表的檢查結果確定風險事件，接著全面分析該事件對于風險管理特定目標的影響、對特定目標的后果、影響范圍、嚴重程度以及事件升級后的影響等。該過程可通過構建風險清單直觀呈現，如表2：

3.建立完善的信息溝通渠道和溝通制度

第一通過宣傳、教育讓參與發行庫安全風險管理的干部職工清楚他們的職責和安全管理的目標，以及他們的行為可以為集體帶來的積極作用。可以通過業務網或內部刊物深入表揚在保障發行庫安全、避免安全隱患中涌現的先進職工，并在年度評優、評獎中對這部分職工予以傾斜。以此在廣大干部職工中樹立創先爭優的氛圍。第二是建立完善的溝通渠道。一方面各部門之間應建立定期及重要事項通報的聯席會議制度，對各部門在一段時間內發現的各種問題及相關建議進行交換，并在會上確定整改措施。另一方面是暢通上下級之間的溝通渠道。職工除了通過正常渠道向直屬上級匯報工作外，還可以通過電話、內部郵件以及書信的方式向行級、處級領導反映工作中發現的違規違紀問題或風險點，同時也應確定有關信息的處理時間和處理結果，對反饋問題屬實且為集體減少或挽回損失的職工予以適當獎勵。第三應該在涉及發行庫安全的各部門、各層級間營造良好的風險管理文化氛圍。管理層應該重視文化氛圍的培育，并在工作中主動踐行風險控制理念。應通過培訓等方式將從事主要業務操作及風險管理重點人員培養成為弘揚風險管理文化的骨干，將風險管理文化和理念傳播至每一個角落。

4.加強風險管理監督

對于涉及發行庫安全的守押、保衛、貨幣金銀等內部機構，應定期針對本部門進行風險排查，分析風險管理系統的運行情況，通過實地檢查、職工座談、問卷調查等形式看是否存在新的風險因素、風控環境是否發生改變、是否及時采取措施應對、對于之前發生的問題是否及時整改。另外這幾個部門應該定期就發現的問題進行溝通聯系，監管部門應該對屢次發現的問題向涉事部門及個人發送《風險提示函》，促進問題整改。內審、紀檢等部門應該對發行庫安全定期進行審計、檢查，重點對風險控制管理工作進行專業評價，找出薄弱點，提出改進意見及措施，促進發行庫安全風險防控水平取得質的提升。

（作者單位：中國人民銀行西寧中心支行）