IM电竞 IM电竞appIM电竞 IM电竞appCOSO于2004 年发布了《企业风险管理——整合框架》(ERM-IF),在该框架的附录C中指出,“内部控制被涵盖在企业风险管理之内,是其不可分割的一部分”。COSO这一提法并没得到普遍认同。内部控制与风险管理是同义概念,还是相互联系的平行概念?内部控制涵盖了风险管理,还是风险管理涵盖了内部控制?本文认为,风险是内部控制产生和发展的主要动力,内部控制是风险管理的重要手段。
这个世界充满了矛盾,不确定性就是矛盾,其直接促进了控制的产生。控制中所说的不确定性具有重复发生的特点,在事物重复发生的过程中,必然面临有利或不利两种基本状态,控制可以减少或消除不利的影响。关于控制的定义很多,但一般而言,可以认为控制是指为了改善系统的性能或达到某个特定目的,通过对系统输出信号的采集和加工而产生控制信号施加到系统的过程。输出信号存在两种状态,即需修正的信号和不需修正的信号。这里有一个假设:系统的性能是否绝对的稳定或达到特定目的是不确定的,控制的目的是识别输出信号,并加工产生控制信号,对系统施加影响,从而减少不确定性,但其不能消灭不确定性。如果系统的性能是绝对稳定或特定目的一定能实现,则控制的意义就不大。适当的控制可以保证相对的确定。控制理论的发展表明,系统的不确定性越大,其对控制手段和方法的要求越高。瓦特发明离心式调速器是经典控制理论与方法中比较有代表性的事件,该器件的主要作用是保持蒸汽轮机转速的恒定;极化继电器是非线性系统控制方法中比较有代表性的事件,其基本原理是当输入的控制变量在一定的误差范围以内时,能够对被控制对象施加影响,从而确保系统稳定;航空航天技术的需求推动了现代控制理论的产生,其控制的对象有着更大的可能性空间,需要多输入、较为复杂的控制系统。可以说,正是因为有了不确定性才有了控制,才需要控制,这种需要具有一定刚性。
一般认为,内部牵制是内部控制的最初形态。内部牵制有两个基本假设,即:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。公元前3600年的美索不达亚时期,人们在付款清单上打上“点、钩、圈”等核对符号;公元600年,古埃及人在记录管、出纳官和监督官之间建立了内部牵制制度;“古代罗马帝国宫廷库房采用双人记账制”;??我国《周礼》中记载有“一毫财赋之出入,数人耳目通焉”。上述情况是内部牵制的一些表现形式,充分体现对人性不确定性的认识。人性假设理论包括X理论、Y理论和Z理论等三种,X理论认为性本恶,Y理论认为人性本善,而Z理论认为人性是可以改变或者约束的。内部牵制中后一个假设就充分体现了人性的不确定性,且偏向于从X理论和Z理论认识人。
目前,风险尚未有完全统一的定义。国资委颁布的《中央企业全面风险管理指引》(以下简称《指引》)指出,企业风险指未来的不确定性对企业实现其经营目标的影响,并以为企业是否带来盈利机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。ERM-IF则指出,具有正面影响的事件代表机会,带来负面影响的代表风险。学界关于风险定义的认识大致有六种,包括风险是损失发生的不确定性、风险是指可能发生损失的损害程度的大小、风险是指损失的大小和发生的可能性、利用对波动的标准统计测方法定义风险、利用不确定性的随机性特征来定义风险、风险是由风险构成要素相互作用的结果等。纵观上述观点,无论是政府部门的制度性描述,或者学界的理论性认识,风险与不确定性一些具有重要联系的方面达成一定共识,主要表现为:(1)存在风险不能合理定性,尚不明确其代表机会或者损失;(2)存在风险不能合理定量,尚不能用不确定性方法估计;(3)存在带来损失或机会的风险发生的概率及损失的金额可以用不确定性方法估计;(4)从厌恶风险的角度看,带来损失风险的不确定性更容易引起注意。
不确定性把风险、内部控制衔接起来,不仅不确定性产生了控制的需要,风险也产生了
对内部控制的需要。从不确定性上升到风险的角度来认识内部控制,进一步推动了企业内部控制的产生和发展,对于企业管理而言也更具有实践意义。
以美国为例,美国《证劵法》产生的背景是席卷全球的19xx年-19xx年经济危机,当时虚假信息充斥了整个资本市场,从而导致市场交易的混乱以致崩溃,美国《证劵法》进一步规范了信息披露,强化了对市场的监管,体现了内部控制的主要精神。19xx年水门事件发生后,美国SEC在一份报告中披露近400多家公司在海外存在非法的或有问题的交易,由此诞生了美国《海外反腐败法》(简称FCPA),FCPA除了有反贿赂条款外,其还指出,健全的内部控制能够阻止违法支出的发生。《萨奥法案》更是比较典型的风险事件推动产生。20xx年,美国最大的能源公司——安然公司,突然申请破产保护,20xx年,世界通信虚报38亿美元利润会计丑闻事件曝光,美国颁布了《萨奥法案》。美国上述法律的出台都是由风险事件推动,从这个意义上将,我们认为风险事件不断推动了内部控制制度的完善。诚然,我国在内部控制制度的建设过程中风险事件起的推动作用并不明显,但这与市场经济的发达程度十分相关。
国资委《指引》所指出的风险管理单个策略包括:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等,其没有对单个策略的概念进行解释,但明确了两种风险管理解决方案,即风险管理解决的外包方案和风险解决的内部控制方案,并进一步指出,内控方案至少应包括岗位授权制度等九项内容。《指引》与财政部等五部委出台的《企业内部控制基本规范》所确定的风险管理策略尽管存在一些差异,但是就对于把内部控制作为风险管理重要手段而言是一致的。笔者在CNKI上,就“内部控制”、“对象”、“客体”等题名关键字进行了检索,被没有找到相关的文献资料,所查阅的相关图书资料中,有明确提出指出内部控制的对象是风险(李连华,2007),但未做深入讨论。从风险是内部控制的对象或者说客体这一层面上讲,内部控制是风险管理的重要手段。
内部控制是风险管理的重要手段体现在以下三个方面:1、采用内部控制措施可以处理大部分风险。就一般工业企业而言,除采取保险等措施外,大部分风险都可以通过采取内部控制措施来解决,而这也正是我们所熟悉的,如内部牵制措施、预算控制、实物控制、运营分析等。如果主要通过外包方案或者外部的其他力量来解决风险,其比采用内部控制控制措施的成本会高很多。2、可以采取内部控制和其他措施联合解决的部分风险。内部控制措施可能只能在一定程度上解决某项具体风险,或者说仅采用内部控制措施还不能使风险保持在可以承受的范围内,因此必须协同其他措施进行联合管理,如外汇风险、被收购的风险、税务风险等,以税务风险为例,企业聘请中介机构代为申报纳税,或者由中介机构对企业税务申报情况出具审核报告,从而减少税务合规性风险。3、对于完全采取内部控制以外恶其他措施解决的风险在实务中非常少见。
综上所述,风险与不确定性有着重要联系,从而产生了对控制的需要,风险事件又进一步推动了内部控制制度的完善。从内部控制产生的最初形态——内部牵制开始便对不确定性施加影响。最后希望本文的部分观念对于理解风险、风险管理和内部控制的关系有所裨益。
1、李连华 著:《内部控制理论结构——控制效率的思想基础与政策建议》,厦门大学出版社20xx年版。
2、方红星 王 宏译:《企业风险管理——整合框架》(美国COSO于20xx年发布),东北财经大学出版社20xx年版。
现代理论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的 COSO委员会(即美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会
CommitteeotSponsoringOrganizationsoftheTread—wayCommission,简称COSO委员会)对内部控制的定义。该组织认为:内部控制是一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障。其中经济组织的经营目标包括:经营的效果和效率;真实可靠的财务报告;合规性经营。在COSO委员会的《内部控制管理框架》中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
COSO委员会的内部控制理论得到了巴塞尔委员会的认同和发展。在巴塞尔银行监管委员会的内部控制定义中,进一步强调了董事会和高级管理层对内部控制的影响,组织中所有人员都必须参加内部控制过程,对内部控制产生影响。巴塞尔委员会把内部控制的目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中把管理信息也包括进来,明确要求实现财务和管理信息的可靠性、
完整性和及时性。但是巴塞尔委员会将COSO委员会《内部控制管理框架》认为并非内部控制活动的“缺陷的纠正”也归人了内部控制的范畴,并增加了金融监管当局对被监管组织的内部控制状况的检查和评价,把它也作为内部控制的另一不可忽视的内容。
对于内部控制的定义,我国银行业监督管理委员会在《商业银行内部控制评价试行办法》中也作了如下的解释:商业银行内部控制体系是商业银行为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。它包含的要素主要有:(1)内部控制环境;(2)风险识别与评估;(3)内部控制措施;
在多年的管理实践中,人们意识到一个银行内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。因此,风险的考虑不能仅仅从某项业务、某个部门的角度出发,必须根据风险组合的观点,从贯穿整个银行的角度看风险,即要实行全面风险管理。
依据COSO委员会20xx年7月完成的《全面风险管理框架》定义:全面风险管理是一个过程,受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,合理确保企业取得既定的目标。该框架有三个维度,第一维是企业的目标;第二维是全面风险管理要
素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。
现代金融领域中决定一家金融机构竞争力高低、决定其经营能力高低的关键和核心,就是看其能否有效地对风险进行全面有效的管理,能否积极主动地承担风险、管理风险、建立良好的风险管理架构和体系,以良好的风险定价策略获得利润。因此,对于一个金融机构而言,全面风险管理是金融机构内部管理的核心,在整个管理体系中的地位已上升到金融机构发展战略的高度,它是金融风险控制的更高阶段,是动态的、全程的、计量的、立体的风险控制。将在 20xx年实施的《巴塞尔新资本协议》就蕴涵了这种全新的风险管理理念。该协议将全面风险管理概括为对整个银行内各个层次的业务单位,各种类型风险的通盘管理,这种管理要求将信用风险、市场风险及各种其他风险以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中,对各类风险依据统一的标准进行测量并加总,且依据全部业务的相关性对风险进行控制和管理。它的关键在于及时准确地找到每种业务所暴露的风险点,通过风险计量模型以及测量系统加以度
量,然后根据已经量化了的风险大小进行相应的风险管理,设置风险限额,分配资产、配置资本等。
(1)内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是商业银行全面风险管理应该达到的基本状态。
(2)全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策 3个要素。
(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
由于全面风险管理是一种全新的管理理念,在我国金融业发展的现状下,我们必须尽快转换长期以来固化的观念和思维定式,努力构建体现全面风险管理的内部控制新机制,赋予内部控制新内容。
一是全面风险管理原则。内部控制组织结构的设置应使风险管理的目标和要求渗透到全行的各项业务过程和各个操作环节。内部控制要遵循全面风险管理的原则,即:(1)全员管理原则,实现全体员工对风险管理的参与;
(2)全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;(3)全方位风险管理原则,不但要包括业务风险,还要包括法律风险、技术风险等。
二是独立性原则。风险管理部门、内部审计部门、监察部门要与经营、支持保障部门保持相互独立,直接向最高决策层负责,保证内部控制机构的独立性和权威性。
三是垂直管理原则。总体而言,金融机构内部控制的组织机构设置应满足垂直管理的要求,具体采取的方式可有:(1)分、支行的风险控制综合管理部门由上级行风险控制部门的直接管理,对上级行的风险管理和内部控制决策机构负责,以利于强化银行内部控制机构的独立性与权威性。(2)由总行向一级分行、一级分行向二级分行派出副行长级的风险管理控制官,全面负责派驻行的风险管理。派驻行的内部控制综合管理部门向风险管理控制官负责,风险管理控制官直接向派出行负责。
四是协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证银行经营管理系统的高效运作。
2、构建全新的内部控制治理机制。在现有的产权制度下,可在总行设立风险管理委员会,作为内部控制管理的主要决策机构,风险管理部为主要执行机构。同时设立审计委员会,并将其明确为全面风险管理的监督、评价部门,负责监察、评价内部控制的健全性、合理性和遵循性,督促管理层解决内部控制存在的问题。风险管理委员会负责拟定、执行控制程序,审计委员会负责监督、评价控制状况,并将修正控制意见反馈前者,以完备控制体系。两个委员会相互配合,共同实现全面风险管理的各项新要求。
3、构建符合内控要求的业务管理新制度。要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善信贷业务、财会业务、中间业务等各项业务管理制度,整合业务操作流程,建立起市场风险、信用风险、操作风险和道德风险的防范体制,构筑起面向全行、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。要切实发挥“三道防线”的作用,构筑起全方位、立体交叉的监督管理网络。基层网点要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。业务主管部门要加强规章制度的完善和业务流程的再造,加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用,促使全行逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。
4、构建具有中国特色的风险控制工具。要学习和借鉴国外现代银行风险管理的技术和经验,积极探索适合我国国情的内部控制管理新方法,避免无谓的人力、财力的浪费。在目前情况下,我国商业银行应结合自身特点,在采用信用评分方法等传统模型计量信用风险,强化贷款五级分类管理的同时,积极创造条件,逐步运用现代信用风险管理方法来度量和监控信用风险,提高信贷风险控制的制度化和规范化水平,切实降低不良贷款率。鉴于我国商业银行在金融产品创新和金融工具的使用方面远远落后于西方国家,国外很多的许多风险管理工具和理念不能简单地照搬照抄,还应结合我国金融业发展的特点,对有关的现代信用风险管理模型进行结合中国实际的改进,或开发出适合中国国情的新的信用风险度量模型,使我国金融业的风险度量和控制工作既能体现风险管理的要求,又能体现中国的国情。
5、构建切合实际的内部控制评价机制。可以在金融机构内部广泛开展以“深化内控理念,落实内控措施”的创建活动。根据各自的实际情况,结合上级行的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。通过这一载体,可以进一步推进全面风险管理、落实岗位责任,实现从风险部门的防范转向全行、全员防范,将内部控制管理由个人行为和操作行为提升到整个单位的整体行为,推进金融机构的内控管理水平不断上新台阶。
银行内控制度学习心得体会合规经营是银行稳健运行的内在要求,是每一个员工必须履行的职责,同时也是保障我们自己切身利益的有力武器。通过全行展开的内控制度学习,使我对合规有了更加深刻的认识。作为建行的一名新员工,我深…
风险案件防控学习心得体会当前,随着农商行社深化改革和业务的快速发展,金融创新、新业务品种的不断推出,传统业务品种、业务操作手段实现了变革与创新。这都对案件防控系统建设提出了新的要求。所以,创新和完善内控管理制度…
心得体会6月x日,我单位召开了20xx年风险管理专业学习,领导在会上作了重要讲话。通过这次学习,我受益匪浅,领导的讲话使我对局里始终再提的依法合规经营有了更深刻的认识,也引发了我对自己所在岗位,所从事的工作的思…
