文|王强



COSO内部控制框架对银行内控建设的借鉴意义

文|王强

美国反虚假财务报告委员会下属的COSO委员会1992年9月发布了《内部控制整合框架》，提出了内部控制的五要素理论。COSO报告成为美国证券交易委员会唯一推荐使用的内部控制框架。经过2004年、2013年二次修改完善，内部控制被上升到全面风险控制的高度。反观我国金融业情况，进入二十一世纪后，整个银行业充分享受了经济持续高速增长的红利。截止2014年末，中国银行业金融机构总资产规模达1721.3万亿元，是2003年的6.2倍，年均增幅为19%。2014年银行业金融机构净利润1.55万亿元，是2003年的48倍。然而，商业银行资产规模快速增长的背后必然埋下了粗放经营的隐患。近年来，银行不良贷款率的急速增长已经敲响了风险的警钟。今天，国内银行业普遍掀起了战略转型的“二次改革”热潮，借鉴COSO内部控制框架，完善建立起商业银行有效的内控体系也成为了一项有益的课题。

COSO内部控制整合框架的内核

2013年COSO《内部控制整合框架》经过修改完善，包括有内控3项目标、5要素、17条原则以及相关81个属性来评估内控有效性状况。COSO报告认为，内部控制系统是由“控制环境、风险评估、控制措施、信息与沟通、监督活动”五项要素构成，它们取决于管理层经营企业的方式，并融入到管理过程中。

控制环境。是其他要素的基础。包括管理人员的诚信与道德价值观；管理理念与经营风格；权限与职责分配；对员工技能的提升及促进员工职业生涯发展的承诺；董事会提供的关注与方向。

风险评估。确认和分析实现目标过程中的相关风险是形成风险管理内容的依据。它随着经济、行业、监管和经营条件而不断变化，需建立机制来辨认和处理。包括设立目标、设别目标风险、评估风险后果与可能性、匹配控制措施等管理步骤。

控制措施。控制措施是帮助保证风险反应方案得以正确执行的相关政策和程序。贯穿于企业的所有层次与部门。包括一系列不同的活动，如批准、授权、证实、调整、经营绩效评估、资产保护与职责分离等。

信息与沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔予以确认、捕捉和传递，以保证员工能够执行各自的职责。有效的沟通包括企业内自上而下、自下而上以及横向的沟通，还包括将相关的信息与企业外部相关方面的沟通和交换。

监督活动。对企业风险管理的监督活动是对风险管理要素的内容和运行质量的评估过程，以保障风险管理在企业管理层和各部门得以持续执行。

国内银行业监管机构内控监管理念的发展

人民银行。1998年，人民银行颁布了《加强金融机构内部控制的指导原则》，持续对商业银行的内控制度进行专项检查。2002年，人民银行发布《商业银行内部控制指引》，第一次将COSO整体框架标准引入我国银行业。进一步将规范公司治理作为对商业银行监管的重点，督促商业银行从更高层次完善内控体系，强化内控管理。

银监会。2007年，银监会发布新版《商业银行内部控制指引》，成为当前商业银行内部控制最主要的监管法规。该指引全面借鉴了以美国COSO报告等内控规范性文件精神，体现了统筹兼顾、突出重点的基本思想，积极倡导《巴塞尔新资本协议》的全面风险管理理念。

国内商业银行内控管理中对COSO整合框架的借鉴

内控管理是对风险全员、全面、全过程的控制，是自发的、内生的需求，是一个动态的过程，强调系统性、整体性、协同性。整合框架就像一个魔方，根据企业的特点，灵活地运用不同的管理组合和管理策略，以达到管理效益的最大化。

培养健康的内控环境。商业银行的内控管理工作要以保障和促进业务发展效益为目标，以提升可持续发展的企业竞争力为根本，为企业的经营和管理工作保驾护航。按照COSO报告，内部控制目标可细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标。

内部控制是“过程管理”，五项控制要素并非按照先后顺序实施的控制工序，而是多维度相交叉的复杂控制过程。在内控管理中必须明确控制要素间有机的多维的联系与影响。

在内控管理中，“人”发挥着极其重要的作用。每位员工都受内部控制的影响，并通过自身的工作影响着他人和整个内控系统。所以，要求每位员工都必须明确自己在银行及银行内控体系的定位，与其他人协调一致，共同推进内控体系的有效运转。

健全风险识别与评估体系。商业银行应建立统一的风险评估程序与工具，持续加强各类风险的识别与评估。识别固有风险，并从风险发生的可能性和风险严重程度两方面对固有风险进行评估。梳理现有控制措施，评估风险处理效果。根据评估结果得出风险评估对象的残余风险水平，结合可容忍风险判断控制措施是否充分和合适。

风险识别方法有：访谈、小组集中讨论、流程图分析、历史数据分析、行业调研、重大事件备查簿、失效模式与影响分析、事件树分析、基于事实的管理等。风险识别考虑的外部因素包括宏观经济变化、市场竞争和客户需求变化、技术进步、监管变化等。风险识别考虑的内部因素包括组织架构、风险偏好、管理机制、业务流程、运营模式的变化、信息系统、业务创新、成本投入、员工素质、企业文化等。

按照风险发生的可能性以及对银行造成的负面影响两个维度，采用定性与定量相结合的方式将固有风险和残余风险分级。以风险发生的可能性可分为五级：罕见、较小可能、可能、较大可能、基本确定。以负面影响程度可分为四级：轻微、普通、严重、非常严重。

根据风险评估结果，形成全行统一的风险热图，直观、清晰地展现业务流程中的风险及风险迁移情况。低风险（绿色区域），管理优先级低，维持现有管理水平，可适当调配资源，管理其他风险。中风险（黄色区域），管理优先级中等，需关注风险趋势变化，适当调整资源管理，以有效的成本代价降低风险排序。高风险（红色区域），管理优先级高，需要重点关注，优先调配资源强化管理，以降低风险排序。

（三）完善风险控制措施。建立全行统一的三级控制标准，内控管理标准化。第一级为“企业级控制通用标准”，适用于全行各机构、各领域。第二级为“领域级控制共用标准”，是基于企业级通用控制标准建立的，适用于特定业务或管理领域的共同控制标准。包括产品管理、客户关系管理、渠道管理、业务管理、现金管理、信贷业务、金融市场等领域标准。第三级为“流程级控制特殊标准”，是在领域级共同控制标准之外，具有流程特性的特殊控制标准，适用于特定业务或产品操作流程。

建立控制等级标准，通过流程层面的风险评估，对应风险等级定义控制等级。以关键控制指标（KCP）为核心,控制主体包括部门、岗位、员工；控制对象包括组织、政策、流程、数据、技术；控制实施证据包括表单、报告、文档；控制程度等级分为一般、次要、关键；控制手段分为自动、半自动、手工；控制发生频率分为每日多次、每日、每周、每月、每季、每年；控制性质分为事前控制、事中控制、事后控制；控制职责包括不相容岗位管理、授权审批、财产保管、会计记录、监督检查等。

（四）构建科学的内控评价体系。构建以风险为导向的内控评价体系。以内控过程评价为核心，以内控框架为架构，涵盖过程管理与结果管理，以过程指标、结果指标以及修正指标为绩效考核依据，将内控成熟度模型结果作为内控质量的最终呈现。

内控成熟度模型是内控评价结果差别化管理的方法，分为5个阶段，每个阶段代表内控框架建设达到的不同程度，为科学评价分支机构内控排名提供依据，同时为各评价机构提供内控管理改进的方向和指引。

（作者单位：中国建设银行深圳市分行）