中信银行总行审计部 韩杨

我国商业银行全面风险管理框架选择研究
——基于巴塞尔资本协议与COSO—ERM的比较

中信银行总行审计部 韩杨

在商业银行全面风险管理领域，巴塞尔资本协议和COSO全面风险管理框架是两大主流思想，这两大思想在实践中各有所长。本文通过对比分析这两大管理思想的差异和利弊，有利于二者扬长避短，从而可以更好地指导商业银行的管理实践工作。

风险管理 巴塞尔资本协议 COSO

随着我国全面深化改革，经济增速逐渐放缓、结构不断调整，我国经济已步入“新常态”。随之而来，我国商业银行也开始经历转型的阵痛。对此，商业银行一方面积极创新，努力谋求转型发展；另一方面着力加强内部管理，重点防范风险事件造成的损失，而这一任务在当前经营环境下显得更为迫切和重要，因而，推行全面风险管理成为众多商业银行的必然选择。在商业银行全面风险管理领域，巴塞尔资本协议和COSO［1］全面风险管理框架（Enterprise Risk Management- Integrated Framework，简称 COSO—ERM）是两大主流思想，二者制定的基本目的都是全面识别并管理企业面临的风险，但在风险管理目标、思路、管理技术等方面又存在着诸多差异。为更好地指导商业银行全面风险实践，需要对两大管理框架体系进行对比分析，明确差异、扬长避短。

1　风险管理目标

巴塞尔资本协议制定之初主要为了解决国际银行在跨国经营中因各国监管政策不一出现的不平等竞争及监管漏洞。因商业银行在金融及经济领域的特殊重要地位，巴塞尔委员会不断对监管协议进行修改、完善，以促使商业银行提高风险管理能力，审慎经营，进而保持银行体系的稳定性。由此可以看出，巴塞尔协议主要站在监管的角度提出了微观及宏观管理方面双重目标。

COSO在《企业风险管理——整体框架》中将风险管理的好处/目的总结为“使管理者能在充满风险的环境中更加有效地经营”，具体包括以下内容：能够将企业的风险偏好和企业战略相结合，将企业成长、风险和收益联系起来，增加风险反应决策，使企业的经营意外和损失最小化，确认和管理企业的总体风险，针对多重风险提供完整的反应方案，抓住机遇，合理分配资源。可见该目标的提出主要源自微观层面的目的。

2　风险管理思路

巴塞尔协议的风险管理思路是以资本作为抵御风险的手段，通过风险识别和计量技术分析判断商业银行面临的各种风险是否在其资本可以承受的范围内，根据资本约束采取 各种风险缓释方法锁定损失、争取资本收益最大化，再辅以资本充足率评估、压力测试、监督检查与市场纪律，强化内外部的监督约束。在具体运作之中通过“全员参与风险管理工作、全面的风险管理范围、全员的风险管理文化、全球的风险管理体系、全额的风险计量评估、全力创新风险管理方法、全程的风险管理监控和全面评价风险管理效果”［2］来实现。

COSO认为全面风险管理是在内部控制基础上发展起来的，主要站在企业内部的角度审视风险，强调企业或内部任意一个层级实施风险管理过程时，需要首先分析和判断企业或者该主体所处的内部环境，包括管理者的风险管理理念、风险偏好、组织管理架构、授权职责划分、企业文化与道德价值观、人力资源管理准则、绩效水平及分配等情况；其次明确主体经营目标包括战略目标、经营目标、报告目标、合规目标；随后通过事项识别，判别影响目标实现的各类事项；接着运用定性和定量结合的方法分析影响的程度，得到固有风险；然后针对固有风险提出包括风险回避、降低、分担或承受的对策；之后根据风险对策组织资源采取控制措施，力图控制风险；再次由管理者对上述工作进行检查评价，找出缺陷并进行整改，并由内部审计机构对管理者进行评价。在上述七项工作进展的同时，董事会、管理层、各级人员保持风险管理信息能够纵向、横向地畅通传递，确保及时有效沟通。虽然COSO强调该过程并非一个严格的顺序过程，而是一个多方向、反复的过程，但其采用的主要是一套流程化的管理思路，主要依靠企业内部控制的力量。

3　风险分类

巴塞尔委员会根据风险性质的不同将风险划分为信用风险、市场风险、操作风险等，对于信用风险、市场风险、操作风险提出了计量方法并要求进行最低资本测算，对于超越三大风险之外的其他实质性风险，例如信用集中度等纳入第二支柱管理，将法律风险作为一种特殊的操作风险管理。

COSO-ERM中并未对风险进行分类，只是在事项识别要素中指出“将潜在的事项进行分类对管理者而言是非常有用的。通过在企业内各层面上对事项进行汇总、在营运部门内部对事项进行垂直地汇总，管理者能够对事项之间的相互关系有一个了解，这些信息也可以作为风险评估的基础”。COSO并未对针对企业风险制定出一套具体分类标准，主要是考虑方便企业在实践中根据自身情况灵活掌握和运用。

4　风险评估与计量

巴塞尔资本协议中对于信用风险和市场风险都形成了比较成熟的计量方法，其基本方法为：可预见风险损失=风险敞口×损失发生的概率×损失比率。而操作风险的基本法和标准法的计量思路都是按照总收入的一定比例计算，高级法由于数据采集的困难，目前尚处于研发阶段。

COSO通过内部风险/固有风险（inherent risk）、内部控制/控制质量（control quality）、组合风险/剩余风险（composite risk）来评估风险。具体关系为：内部风险-内部控制=组合风险。但对如何计量出内部风险和内部控制，COSO—ERM并未制定出具体测算方法，因而仅得出了一个比模糊的结论。

通过比较可以看出，巴塞尔资本协议在风险分类、风险计量方面明显走在了风险管理领域的前沿，其科学性、全面性、针对性得到了各国金融机构及监管部门的认可。相比之下COSO-ERM缺乏风险分类及计量手段，因而在风险识别、计量方面适用性差。但另一方面，商业银行的风险主要通过业务流程体系，而COSO—ERM是建立在企业内部控制基础上，站在银行经营管理的角度，按照事件识别-风险评估-风险应对-内部控制-监督纠正与信息沟通的流程设计风险管理程序，贴近于商业银行管理流程，更加容易被银行内部管理者和员工理解并遵循，并且其框架提出的内部环境包括公司治理、内部控制、风险文化、管理战略、风险偏好、组织架构等方面的管理措施与商业银行日常经营管理密切相关，易于推行并取得良好效果。

2007年2月28日，中国银监会发布了《中国银行业实施新资本协议指导意见》，标志着我国正式启动了实施《巴塞尔新资本协议》的工程。但近年来，国内各家商业银行在实施巴塞尔资本监管协议中，普遍存在董事会和高管层参与不足，基层员工理解不深入，技术和应用、政策和执行“两张皮”等问题。针对目前存在的政策落地困难或执行不彻底的问题，需要从治理架构、政策流程、风险计量、数据系统、业务应用等方面实施全方位的变革，而COSO-ERM因其与内部管理框架和流程设计的良好契合形式，正可以从这方面提供切实的帮助。因此，在管理实践中，建议我国商业银行吸收两大风险管理思想的精髓，结合自身实际探索一套适合易于推广、行之有效的管理模式。

表1　COSO-ERM与巴塞尔资本协议差异对比

［1］ 巴塞尔银行监管委员会.巴塞尔协议III：综合版［M］.杨力，等，译.北京：中国金融出版社，2014.

［2］ 张琴，陈柳钦.论全面风险管理（ERM）框架体系的构建［DB/ OL］.http：//wenku.baidu.com/link？url=o0CPVzuBDLJM t0_7Qph1T7TtdFOzu7O-apIpvaWbIYMz8ZWqBneGqI8LG tLdqpuKk2lNWSuAPF8debBfxxaRKbBmck5ukwXAPNw 3u_KXy4O，百度文库，2008.

［3］ 周玮.商业银行操作风险管理暨内部控制评价理论与方法［M］.北京：中国金融出版社，2014.

［4］ 贾默月，叶新年，陈永健，等.现代商业银行风险管理［M］.北京：首都经济贸易大学出版社，2008.

［5］ 白骏.现代商业银行风险管理研究——基于内部审计的视角［D］.西南财经大学，2007.

F832.3

A

2096-0298（2016）07（a）-071-02

韩杨（1987-），女，汉族，河南省邓州人，中信银行总行审计部工作，西南财经大学双学士毕业，中国人民大学在职金融学研究生，主要从事社会主义金融方面的研究。