淺談中小股份制商業(yè)銀行全面風險管理

　　一、內部控制和全面風險管理概念的界定

　　(一)內部控制的內涵

　　COSO于1992年《內部控制——整合框架》中將內部控制定義為由一個企業(yè)的董事會、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：財務報告的可靠性;經營的效果和效率;法律法規(guī)的遵循性。內部控制應具備的五個要素：內部控制環(huán)境;風險識別與評估;內部控制措施;信息交流與反饋;監(jiān)督、評價與糾正。

　　(二)全面風險管理的內涵

　　COSO《全面風險管理框架》(2004)中的定義是：全面風險管理(ERM)是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在事件并管理風險，從而確保企業(yè)取得既定的目標。

　　(三)內部控制與風險管理的內在聯(lián)系

　　1.內部控制與全面風險管理存在一定的差異：兩者的范疇不一致;兩者的活動不一致;兩者對風險的對策不一致。

　　2.內部控制與全面風險管理緊密相關：內部控制是全面風險管理的必要環(huán)節(jié)，內部控制的動力來自企業(yè)對風險的認識和管理;全面風險管理涵蓋了內部控制。從COSO委員會的全面風險管理框架和內部控制框架可以看出，全面風險管理除包括內部控制的3個目標之外，還增加了戰(zhàn)略目標，全面風險管理的8個要素除了包括內部控制的全部5個要素之外，還增加了目標設定、事件識別和風險對策3個要素;內部控制與全面風險管理工作應當由企業(yè)同一套組織機構和人員來完成，企業(yè)不能為之設置兩套工作小組。為此，企業(yè)在組織機構設置、人員權責分配中，應充分考試專業(yè)管理、內部控制、以及風險管理這三大類職責相輔相成，它們應當是每個關鍵崗位職責的有機組成部分。

　　雖然內部控制和全面風險管理的出發(fā)點和具體目標并不完全相同，但兩者在概念內涵上具有內在的一致性，在保障企業(yè)總體可持續(xù)發(fā)展目標實現的過程中，兩者的根本目標和作用是一致的。因此，二者應當實現有機融合，全面風險管理架構的構建與實施要建立在內部控制建設現有成果的基礎之上。

　　二、我國中小商業(yè)銀行實施全面風險管理的必要性和重要性

　　(一)金融機構面臨的風險因素多樣化

　　金融機構面臨的風險因素多樣化，主要包括信用風險、市場風險、操作風險、流動性風險、聲譽風險、法律風險、戰(zhàn)略風險和國家風險。各銀行都會因風險控制措施不當而發(fā)生損失，有的案例損失金額巨大，中小商業(yè)銀行相對而言其抗風險能力不足，更易由損失引發(fā)系統(tǒng)性風險;

　　(二)中小商業(yè)銀行內部控制體系存在較多弊端

　　各級負責人橫向權力過大，為操作風險的發(fā)生提供了空間;大部分銀行未設立獨立的專業(yè)化部門承擔操作風險管理和分配資本職責;操作風險管理現行的管理方法和手段落后，難以反映本行操作風險的總體水平和分布結構，與國際上要求以資本約束為核心的操作風險管理差距不小。

　　(三)忽略了風險之間的聯(lián)動性

　　目前單獨、割裂的處理各類風險，忽略了風險之間的聯(lián)動性。

　　三、國內銀行業(yè)全面風險管理實施現狀

　　(一)工商銀行、中國銀行等一些大型商業(yè)銀行建立了全面風險管理治理結構

　　如工商銀行2004年引入COSO　ERM框架的理念，按照現代金融企業(yè)的治理標準，建立了由股東大會、董事會、監(jiān)事會和高級管理層組成的全面風險管理治理架構，制定相關授權方案，形成權力機構、決策機構、監(jiān)督機構和高級管理層之間各司其職、相互協(xié)調、有效制衡的運作機制。重新調整風險管理委員會，并于2006年7月設立了首席風險官職位，為全面風險管理工作開展提供了制度保障。

　　(二)部分銀行全面風險管理的實施規(guī)劃已經形成并在逐步推進

　　農業(yè)銀行在制定新資本協(xié)議實施規(guī)劃的基礎上，制定實施新資本協(xié)議的時間表、步驟和措施，在2009年底前建成內部評級初級法體系，2013年底前建成內部評級高級法體系。工商銀行全面推進風險計量技術的研發(fā)，加大數據集中與系統(tǒng)建設力度，從公司治理、方法論、基礎數據、制度政策、IT系統(tǒng)等方面不斷深化新資本協(xié)議的實施工作，風險治理結構日益完善，風險計量水平逐步與國際接軌，風險管理的前瞻性、科學性得以顯著提高。

　　四、構建中小商業(yè)銀行全面風險管理組織架構建議

　　結合國內外商業(yè)銀行全面風險管理組織架構建設經驗，以中小股份制商業(yè)銀行普遍實行總分行制的行政制度為基礎，筆者提出要按照“集中管控、矩陣分布、全面覆蓋、全員參與”的目標要求，建立總分支三級聯(lián)動風險管理機制，以集中職能的風險管理部為特點，以風險總監(jiān)為紐帶，以分布于各業(yè)務條線的風險經理為基礎的架構與職能分工。

　　在董事會下設風險政策委員會，該委員會主要確定風險偏好指標和提供政策建議;在高級管理層下設風險管理委員會，主任委員由行長擔任，副主任委員由分管行長擔任，其他行級領導擔任常務委員;設置風險管理委員會的常設機構——風險管理部，作為風險管理的具體執(zhí)行部門，該部門集中所有各類風險的管理職能，可以設置包括信用風險、市場風險和操作風險各團隊，任命各類風險經理，也可以根據需要設置戰(zhàn)略風險和聲譽風險管理團隊;設置風險管理總監(jiān)，對風險管理事務進行綜合協(xié)調，風險管理總監(jiān)與首席財務官緊密合作，直接向董事會和高級管理層匯報工作;在各業(yè)務條線設置風險經理崗，一方面配合業(yè)務條線負責人進行風險控制，另一方面是為風險管理部在業(yè)務條線上的派出單位，負責風險據的收集、風險狀況的實時監(jiān)控;建立支行風險經理派駐制，派駐風險經理是支行層面風險管理的主力軍，對各支行的信用風險、市場風險和操作風險進行管理，定期向上一級的風險管理部進行風險管理情況匯報，提供風險資料和數據。

　　中小股份制商業(yè)銀行在現有內控管理水平的基礎之上，借鑒西方銀行的先進經驗，盡快建立起全面風險管理的架構與職能，將有利于推進中小商業(yè)銀行與國際接軌，在未來激烈的競爭中真正實現穩(wěn)健經營和可持續(xù)發(fā)展。