新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
內部控制與全面風險管理
近年來,內部控制、全面風險管理與新資本協議,成為我國銀行業關注的幾個熱點問題。但是,對這幾個問題相關的幾個基本概念,我國銀行業還未形成共識。筆者認為,在金融全球化發展趨勢下,這種狀況既不利于我國銀行業與國外同業的業務交流,也不利于我國商業銀行風險管理改革的深化。為此,本文試對內部控制、全面風險管理及相關問題,談幾點看法。
一、內部控制
內部控制的概念是在實踐中逐步產生、發展和完善起來的。早在上世紀70年代中期,作為美國“水門事件”調查結果,立法者和監管團體開始對內部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄,美國國會于1977年通過了“國外腐敗實務法案(1977)”。該法案除了反腐敗條款外,還包含了要求公司管理層加強會計內部控制的條款。該法案成為美國在公司內部控制方面的第一個法案。1978年,美國執業會計協會下面的柯恩委員會(Cohen Commission)提出報告,一是建議公司管理層在披露財務報表時,提交一份關于內控系統的報告;二是建議外部獨立審計師對管理者內控報告提出審計報告。1980年后,內部控制審計的職業標準逐漸成形。而且,這些標準逐漸得到了監管者和立法者的認可。
COSO《內部控制統一框架》首先強調的是內部控制目標。因為COSO認為,沒有預定的目標,談控制就沒有任何意義。早期的內控制度一般有兩項目標,一是財務報告的可靠性目標,二是合規性目標。COSO認為內部控制制度主要是為了滿足管理層的需要,而管理層的職責是制定本單位的各項目標,并配置人力資源和物質資源以達到這些目標,因此,除了以上兩項目標以外,內部控制的首要目標是合理確保經營的效果和效率。
二、全面風險管理
多年來,人們在風險管理實踐中逐漸認識到,一個企業內部不同部門或不同業務的風險,有的相互疊加放大,有的相互抵消減少。因此,企業不能僅僅從某項業務、某個部門的角度考慮風險,必須根據風險組合的觀點,從貫穿整個企業的角度看風險。即要實行全面風險管理(Enterprise Risk Management,簡稱ERM)。然而,盡管很多企業意識到全面風險管理,但是對全面風險管理有清晰理解的卻不多,已經實施了全面風險管理的企業則更少。為了改變這種狀況,COSO從2001年起開始進行這方面的研究,于2003年7月完成了《全面風險管理框架》(草案)(下稱ERM框架),并公開向業界征求意見。
根據ERM框架,“全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標。”ERM框架有三個維度,第一維是企業的目標;第二維是全面風險管理要素;第三維是企業的各個層級。第一維企業的目標有四個,即戰略目標、經營目標、報告目標和合規目標。第二維全面風險管理要素有8個,即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。第三個維度是企業的層級,包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是,全面風險管理的8個要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從以上8個方面進行風險管理。該框架適合各種類型的企業或機構的風險管理。
從COSO的ERM框架和內部控制框架可以看出,全面風險管理與內部控制既相互聯系又有重要差異。從二者的框架結構看,全面風險管理除包括內部控制的三個目標之外,還增加了戰略目標;全面風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定,事件識別和風險對策三個要素。因此,全面風險管理涵蓋了內部控制。從二者的實質內容看,兩者存在以下幾項重要差異。一是內部控制僅是管理的一項職能,而全面風險管理屬于風險范疇,貫穿于管理過程的各個方面。二是在全面風險管理框架中,由于把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),因此,該框架可以涵蓋信用風險、市場風險、操作風險、戰略風險、聲譽風險及業務風險等各種風險;內部控制框架沒有區分風險和機會。三是由于全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利于企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前臺決策流程等,從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
(中國工商銀行博士后科研工作站 唐國儲 博士)
一、內部控制
內部控制的概念是在實踐中逐步產生、發展和完善起來的。早在上世紀70年代中期,作為美國“水門事件”調查結果,立法者和監管團體開始對內部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄,美國國會于1977年通過了“國外腐敗實務法案(1977)”。該法案除了反腐敗條款外,還包含了要求公司管理層加強會計內部控制的條款。該法案成為美國在公司內部控制方面的第一個法案。1978年,美國執業會計協會下面的柯恩委員會(Cohen Commission)提出報告,一是建議公司管理層在披露財務報表時,提交一份關于內控系統的報告;二是建議外部獨立審計師對管理者內控報告提出審計報告。1980年后,內部控制審計的職業標準逐漸成形。而且,這些標準逐漸得到了監管者和立法者的認可。
COSO《內部控制統一框架》首先強調的是內部控制目標。因為COSO認為,沒有預定的目標,談控制就沒有任何意義。早期的內控制度一般有兩項目標,一是財務報告的可靠性目標,二是合規性目標。COSO認為內部控制制度主要是為了滿足管理層的需要,而管理層的職責是制定本單位的各項目標,并配置人力資源和物質資源以達到這些目標,因此,除了以上兩項目標以外,內部控制的首要目標是合理確保經營的效果和效率。
二、全面風險管理
多年來,人們在風險管理實踐中逐漸認識到,一個企業內部不同部門或不同業務的風險,有的相互疊加放大,有的相互抵消減少。因此,企業不能僅僅從某項業務、某個部門的角度考慮風險,必須根據風險組合的觀點,從貫穿整個企業的角度看風險。即要實行全面風險管理(Enterprise Risk Management,簡稱ERM)。然而,盡管很多企業意識到全面風險管理,但是對全面風險管理有清晰理解的卻不多,已經實施了全面風險管理的企業則更少。為了改變這種狀況,COSO從2001年起開始進行這方面的研究,于2003年7月完成了《全面風險管理框架》(草案)(下稱ERM框架),并公開向業界征求意見。
根據ERM框架,“全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標。”ERM框架有三個維度,第一維是企業的目標;第二維是全面風險管理要素;第三維是企業的各個層級。第一維企業的目標有四個,即戰略目標、經營目標、報告目標和合規目標。第二維全面風險管理要素有8個,即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。第三個維度是企業的層級,包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是,全面風險管理的8個要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從以上8個方面進行風險管理。該框架適合各種類型的企業或機構的風險管理。
從COSO的ERM框架和內部控制框架可以看出,全面風險管理與內部控制既相互聯系又有重要差異。從二者的框架結構看,全面風險管理除包括內部控制的三個目標之外,還增加了戰略目標;全面風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定,事件識別和風險對策三個要素。因此,全面風險管理涵蓋了內部控制。從二者的實質內容看,兩者存在以下幾項重要差異。一是內部控制僅是管理的一項職能,而全面風險管理屬于風險范疇,貫穿于管理過程的各個方面。二是在全面風險管理框架中,由于把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),因此,該框架可以涵蓋信用風險、市場風險、操作風險、戰略風險、聲譽風險及業務風險等各種風險;內部控制框架沒有區分風險和機會。三是由于全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利于企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前臺決策流程等,從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
(中國工商銀行博士后科研工作站 唐國儲 博士)
下一篇:農村信用社內控制度的建設
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號