从2017版《企业风险管理框架》看银行风险管理

周继红

[摘 要]随着中国经济的高速发展，风险管理被越来越多的企业所重视。尤其是商业银行这样一个以货币为商品的特殊行业，其风险管理水平直接决定利润水平和发展前途。COSO对于风险管理和内控制度曾发布过几版具有指导性的文件，成为业界内控和风险管理的圣经。2017年9月，COSO针对现代企业的管理方式，在2014版的基础上进行修改，正式发布了《企业风险管理框架》，以更为全面的视角看待现代经济中企业风险管理的问题，且该版本文件从战略和绩效的层面上谈论风险管理，从更深意义上解读了我国监管机构所提出的从公司治理的角度进行风险管理。本文以2017版的ERM为基础，分析我国商业银行风险管理存在的问题，期望能用一种崭新的思维思考风险管理的意义，找出最符合时代的管理方式来提高银行风险管理的水平。

[关键词]银行风险管理;内部控制;公司治理

doi：10.3969/j.issn.1673 - 0194.2019.06.050

[中图分类号]F830.1[文献标识码]A[文章编号]1673-0194（2019）06-0-02

1     COSO企业风险管理框架的发展历史

众所周知，COSO（Committee Of Sponsoring Organization）是美国反虚假财务报告委员会的简称，是由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）以及管理会计师协会（IMA）5个权威机构所共同组成的。

COSO在1992年发表了《内部控制-整理框架》报告，并于1994年对其进行了修订。该报告的发布具有重要意义，其结合了内控理论和实践，标志着内控进入整体框架的一个崭新的阶段。但管理者们逐渐发现该框架没有强调风险管理，内控与企业风险管理之间的结合十分牵强。于是，2004年，COSO在结合1992年《萨班斯-奥克斯法案》报告的基础上发布了《企业风险管理框架》。这个框架相较于1992年的版本有了较大幅度的改变。至此，ERM（Enterprise Risk Management Framework）之名得以被业界广知。2014年，COSO在2004版ERM基础上对内控定义以及内控要素等进行了升级。至2017年，COSO于2017年9月6日，正式发布了最新稿的《企业风险管理—与战略和业绩的整合》（Enterprise Risk Management-Integrating with Strategy and Performance）。新框架与之前的框架相比，有了相当大的变动，其采用了国际上惯用的要素与原则相结合的方式，一共涵盖了5个构成要素以及23条原则。

2     2017版《企业风险管理框架》的特点

新版《企业风险管理框架》与2014年的ERM相比，有非常明显的变化，该框架对于现代组织无论从形式上还是逻辑上都具有更强的适应性。首先，框架的适应范围扩大，不再仅针对营利性组织;放宽了企业的规模要求，该框架可以适用于任何类型和规模的组织。其次，重新对风险的概念进行了定义。定义为：“事项发生并影响战略和商业目标实现的可能性”。从定义上可以看出，新版文件强调了战略目标和商业目标。企业风险管理被定义为：“组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践”。同时，在强调战略之外，还强调了风险文化和实践，明确区别了风险管理和内部控制的范围。再次，该框架从新型企业管理视角将ERM整理成为一个真正的管理框架。将企业的使命、愿景和核心价值作为出发点，继而到战略、商业目标及绩效，得出最终的结果绩效提升的结果，遵循一个从原因推出结果的邏辑过程。最后，新版本没有特别强调风险管理的概念。这并非说明风险管理不重要，而是将其作为一个默认值。只要整体管理到位，那么风险自然而然就会处于可控范围内。同时，新版本将风险管理作为一套管理体系而不是控制体系，并且风险管理的一些概念大于内控，比如风险偏好、风险承受度等，这些都将成为内控体系实施的先决条件。

3     我国商业银行风险管理存在的主要问题

我国商业银行发展历史较短，相较于一些国外知名银行而言，风险管理上呈现出经验不足、意识较为淡薄等情况。具体可以归纳为以下几个部分。

3.1   风险文化缺失，意识淡薄

除了工、农、中、建、交五大银行外，还有中小型股份制银行以及外资银行。中小银行由于银行规模限制和利润指标的设置，员工的风险意识通常较为淡薄，往往过于追求利润而忽略了风险管理的重要性。此外，大多数银行对于员工的风险管理教育常常停留在口头上，没有深入落实到实际工作中，所以风险事件层出不穷。大到几十亿元的风险案件，小到普通的操作风险事件都能够体现一些银行的管理人员和普通员工对风险的理解还不够深刻、银行本身还没有形成风险文化、银行管理不到位等现象，这都是我国商业银行普遍存在的问题。

3.2   管理不彻底，缺乏有效管理结构

风险管理治标不治本的情况在很多商业银行时有发生;出现上级要求、下级敷衍，导致执行不到位的情况;出现体制上的管理漏洞，让有心的人有机可乘。近年来，银监会之所以一再强调银行公司治理的重要性，其实是希望能从公司治理的角度进行风险管理，只有追根溯源地从制度上完善风险管理的要求，才能标本兼治。2013年，中国银监会发布的《商业银行公司治理指引》中明确定义银行公司治理的概念为：“商业银行公司治理是指股东大会、董事会、监事会、高级管理层、股东及其他利益相关者之间的关系，包括组织架构、职责边界、履职要求等治理制衡机制，以及决策、执行、监督、激励约束、监督等治理运行机制”。从公司治理的角度来设计风险管理的框架以及运行机制，将从根本上提高银行风险管理的有效性。

3.3    风险管理技术落后

很多中小型银行，受到银行规模和资金的影响，现在还无法开发专门的风险管理系统这样的计算机管理工具。同时，在数据的累积上也不够，一方面由于发展历史短、业务范围不够宽，另一方面，由于发展历史太短，导致很多银行依赖其他银行所发生的外部事件或者是自生发生过的风险。随着一带一路进程和人民币国际化的推进，我国商业银行必将随着企业走向世界，因此，提高各家商业银行风险管理水平，从而与国际接轨这一点至关重要，需要引起从业管理者的重视。

4     银行进行风险管理的对策

4.1   加强风险管理文化的植入和风险意识的培养

从2017版ERM可以看出：企业的使命、愿景以及核心价值观是这份框架逻辑的入手点。想要加强风险管理，管理层需要明确银行的使命、愿景和自己的核心价值观，并传达给自己的员工;说明本行的风险偏好、风险容忍度，培植企业的风险文化。在理清这些思路后，员工以及所有的管理人员都应有清晰的目标，认识到银行风险管理的重要性。从而形成企业风险文化，明确员工在银行风险管理中的重要责任，从而加强风险意识。

4.2   从公司治理的角度出发建立有效的风险管理机制

根据最新版ERM的逻辑顺序可以看出加强治理结构的重要性。制度管理风险的效果将远远大于人治的效果。因此，商业银行应认真研究银监会管理公司治理的文件以及ERM的框架，从制度上完善风险管理体系。同时，明确从股东、董事会、管理者，到内审人员以及普通员工的责任，完善各个领域的风险管理制度，并且将风险管理的绩效考核提升到一定的高度，推行实施互查，强调内审部门检查的严肃性。此外，对于风险的管理范围，商业银行应对保送期限以及风险的处理和事后监控制定详细的表格，并严格执行，从而将风险控制在可控范围内。

4.3   加强学习，丰富自身风险管理经验

由于很多中小银行的发展历史短、业务覆盖范围不够全面、资金不足等，导致风险管理资源缺乏，如果仅仅依靠自身所发生过的风险数据进行闭门造车，根本不可行。但是，在如今这个信息大爆炸的时代，学习能够使银行快速成长。银行在学习的内容方面，既应该包括专业知识，也应该包括其他相关金融机构的案例和經验，在结合实践的基础上，加深银行员工对于风险管理的理解，弥补风险管理工具的不足。

5     结 语

2017版的《企业风险管理框架》是一份符合现代组织管理框架的文件，商业银行如果领会了其精神，并能够结合银监会关于公司治理的要求进行银行的风险管理，必将大大提高银行的风险管理水平，促进银行的长期发展，从整体上提高银行的利润。

主要参考文献

[1]陈四清.试论商业银行风险管理[J].国际金融研究，2003（7）.

[2]陈小宪.中国商业银行风险管理的认识与实践[J].中国金融，2004（3）.

[3]葛兆强，李锋.国外商业银行风险管理机制研究[J].金融与经济，2002（4）.

[4]郑新广，刘义成.金融危机下的商业银行风险管理[J].金融与经济，2009（1）.

[5]陈德胜，周平盛.商业银行公司治理风险分析与评价[M].北京：中国金融出版社，2007.

[6]朱荣恩，贺欣.内部控制的新发展——企业风险管理框架[J].审计研究，2003（6）.

[7]陆晓明.银行风险管理的警钟——从美国一系列公司危机看银行信用风险管理[J].国际金融研究，2002（9）.