風險評估可以量化測評某一事件或事物帶來的影響或損失的可能程度。金融機構都需要風險評估來控制降低損失。本篇銀行中級職稱論文分析了基層央行風險評估工作中存在的問題,認為基層央行風險評估框架出現了不足,提出基層央行風險評估框架的再構路徑,加強風險評估隊伍建設。
推薦期刊:《銀行家》(The Chinese Banker)(月刊)曾用刊名:(財金貿易)1984年創刊,以推動中國金融業改革與發展、與中國銀行家一道成長為已任,密切關注中國金融改革和金融發展的進程,志在成為“聚集業內發展的鏡頭,了解國外動態的窗口,反映中國國情的陣地,總結政策得失的平臺,記錄精彩人生的檔案”。銀行家》面向中國金融業和企業財團的高端,提供各類增值服務,包括:刊物(含電子版)出版、資訊提供、銀行家研究中心銀行戰略及各種專題研究報告、論壇及研討、專題培訓等。本刊讀者對象:中外資銀行、證券、保險、基金等金融機構的中高級管理人員、行業主管人員和財經界專家及學者。本刊在全國各省市金融機構設立了銀行家雜志社通聯工作站。
風險評估是指識別和分析相關風險并確定應對策略,它是風險管理的核心,是內部控制的基礎,也是選擇恰當的控制活動的關鍵。沒有高水平的風險評估,則意味著內部控制就是無的放矢,內部控制就會流于形式。近年來,基層央行嚴格按照《中國人民銀行分支機構內部控制指引》(以下簡稱《指引》),扎實開展風險評估工作,進一步優化了風險管理環境,提高了風險管理水平,增強了風險防控效能。但從基層央行風險評估的現狀來看,仍存在一些不容忽視的瓶頸問題亟待解決。
一、基層央行風險評估工作中存在的問題
(一)風險評估組織機制薄弱
風險評估工作是整個風險管理過程的重要環節,建立風險評估組織有助于及時有效地開展風險評估工作。中國人民銀行在機構設置上實行分支行制,總行與分支機構之間存在一種委托代理關系,因此就產生了代理風險與機會主義行為。但是,目前人民銀行系統在風險評估組織機制方面不夠健全,未設置專門的風險評估機構和管理部門,風險評估工作一般由內部控制建設領導小組辦公室或內部審計部門承擔,容易造成職責不清。風險管理機構應該承擔風險評估的具體工作,而審計部門只是對風險評估工作的充分性和有效性進行監督。內部審計部門具體負責風險評估工作,有損于審計的公正性和獨立性。內部審計人員只能以咨詢顧問的身份參與協助風險評估,而不是直接負責風險評估事宜。由于基層央行缺少一個權威的風險管理機構,在人民銀行各分支機構之間和專業部門之間出現內部控制管理各自為政的局面,部門之間內部控制內容相悖、內部控制監督檢查重復、片面強調部門對口等問題也因此產生。同時,由于內控管理機構缺位,對全行風險管理缺乏統一協調.一些業務環節控制過度,也有一些業務領域控制不足。由于控制過度,具體經辦人員為了簡便,試圖擺脫過多的內部控制,形式上的控制過度和事實上的控制不足并存。由于內部控制管理機構的缺位,造成專業部門在風險管理上的本位主義思想盛行.一味強調本部門業務工作的重要性、風險防范的必要性,而不顧基層行的人力資源狀況川。
(二)風險評估人員專業素質匱乏
目前,基層央行內審人員知識結構老化,部分人員長期不從事具體業務操作,對業務部門業務的新變化、新要求和新特點不熟悉,難以全面深入分析各業務部門的風險情況,從而對內控風險評估量化管理結果產生一定影響。從各業務部門風險評估人員配備而言,目前基層央行開展風險評估的人員層次相對較低,一般都是兼職的業務人員,未配置專業的風險評估人才。評估人員由于缺乏系統的風險管理知識培訓和教育,分析評價能力受限,風險識別不夠全面,風險分析結果較為粗糙,難以滿足日常風險管理工作的需要。部分風險評估人員業務知識的更新跟不上人民銀行業務發展的速度,工作理念的轉換跟不上內審工作轉型與發展的要求,制約了風險評估質量的提升。同時,部分風險評估人員查錯糾弊的能力較強,但分析問題和解決問題的能力往往不足,使風險評估的服務與咨詢價值難以實現。
(三)風險識別和分析方法單一
目前人民銀行風險評估涉及到金融管理、貨幣信貸、外匯管理、財務管理、會計結算管理、國庫業務、貨幣發行管理、反洗錢管理、征信管理等十多個方面,而《指引》只提供了框架性意向指導,并未對相關業務提供專門的內部控制風險評價辦法。因此,每項業務具體的風險無法定量、定性評價。當前,基層央行風險評估人員在對風險進行鑒別、估測和分析過程中,往往更多地依賴于個人經驗,甚至憑主觀臆斷,習慣運用傳統理念和方法,仍停留在以定性分析評估為主的階段,缺少嚴密有效的計量和定量分析評價。較少運用矩陣分析、COSO例舉法、Court-ney方法等分析評估方法,科學性、客觀性與說服力不強,據此得出的風險評估結果往往可信度不高,或者說不夠準確,模糊不清。日常開展風險評估程序不夠合理,風險評估環節的職責不夠明確,評價手段不夠先進和科學,風險評估時間較長,效率較低,質量不高。作為一線操作者,業務部門人員很容易只關注業務流程是否方便、適用,而忽略風險點。與此同時,監督部門對風險判斷的客觀性不足,缺乏實踐檢驗和說服力。從基層央行現狀看,監督部門主要指內審、事后監督和紀檢監察,在來自一線業務部門的原始信息很少,同時被有效傳遞而是有選擇性地傳遞以至在傳遞過程中信息層層。“失真”或“過濾”的情況下,監督部門憑借已經公認的風險、對照制度進行檢查的主觀認識來做出對業務部門風險的基本判斷。業務部門對公認的風險沒有異議,但對監督部門主觀認為的風險部分質疑,懷疑監督部門人員沒有具體操作業務系統,情況不明,阻礙了內部控制機制的發展。
(四)風險評估制度和預警機制滯后
目前,基層央行開展風險評估工作沒有獨立規范的制度要求,僅包含在內部控制建設的相關文件中,風險評估規定不夠全面,執行起來比較困難。因為風險評估制度滯后,多數管理者將風險評估甚至風險管理的責任轉嫁給內部審計部門,認為這是內部審計部門的職責,讓內部審計部門承擔很多風險評估,造成監督者與管理者職責界定不清。風險評估制度不健全,日常風險評估工作缺少統一的評估標準和尺度,對被評估單位風險控制狀況的優劣沒有客觀公正的評估依據,各單位和職能部門對風險識別和分析的結果往往無法衡量和比較,風險評估作用難以充分發揮。2006年以來,部分基層央行由內審部門為主先后組織開發了內部控制評價系統、業務控制系統,旨在實現有效內部控制、風險預警和風險評價。但由于這兩套系統均獨立于業務部門操作系統之外,不僅需要一線操作人員重復操作,增加了操作人員負荷,還不能實現風險的適時預警l 2|。加上各風險指標衡量標準不可量化或量化不足,使得評價結果欠權威,可信度低,仍然無法實現開發系統的目標。
(五)風險評估長效機制和風險防范流程缺失
一是風險評估長效機制缺失。風險評估工作應該是一個連續的循環往復的過程。有的單位和職能部門將風險評估工作作為階段性工作來抓,沒有把風險評估當作一項長期性、系統化工程來推進,時緊時松、時斷時續。一些單位和部門思想上存在一勞永逸的觀念,排查出的風險點時間較長。對于已經識別的風險點未及時更新,對于隱匿的新風險點未能認真重新梳理。在風險應對效果評價方面未能結合具體實際情況進行再分析、再評價。已經制定的風險應對措施未能隨著人員、流程、系統和外部環境的變化而變化,風險控制方案所起的作用逐漸弱化一些單位和部門的風險評估報告,主體為對發現問題的羅列,對一些問題的表述過于詳細,而缺乏對問題性質嚴重程度的分析提示,對評估發現的重大問題難以引起足夠的重視,對改進內部控制和風險防控的價值不高。
二是風險防范流程缺失。從業務風險的表現形式來分析,當前基層央行風險防范缺乏系統的流程。首先是缺源頭防范,新制度、新系統軟件推廣前,多數選擇操作部門測試,未與風險掛鉤、未進行風險信息和技術的處理。其次是缺乏風險運行狀態監測,在操作和重要業務流程運轉中僅關注完成每筆業務,沒有實現對風險和剩余風險的辨識、分析和持續監測。再次是缺后續防控措施,各類檢查中發現了問題往往就事論事落實整改,沒有隨機開展風險預測,進而促進事前防范,導致制度修訂不及時。同時,也沒有對風險防范成效定期檢查,風險處置得當與否關注較少。缺乏風險評估長效機制和系統的風險防范流程,其實是組織內隱含的最大風險。
二、基層央行風險評估框架的再構路徑
(一)建立健全基層央行風險分析與評估框架,整合歸口風險防范職能
一個健全有效的風險評估體系是基層央行賴以生存和發展的生命線,是防范和化解各種風險的重要手段和有效途徑。建立健全中國人民銀行風險分析和評估框架(見圖1),
使其切實可行,是基層央行有效開展風險評估工作的重要基礎。人民銀行總行和分支行應成立高規格的風險管理委員會以及按業務條線劃分的專業風險評估小組,由單位內具有豐富管理經驗的人員擔任,定期對整體風險狀況進行仔細評估,篩選出較高風險及以上風險點。進行風險監測和風險控制管理,要充分支持風險評估工作的開展,保證風險評估工作具備足夠的人力、物力以及信息技術水平,及時了解風險評估工作的開展情況,成立獨立于審計、監察部門以外的風險管理部門,主要職責是組織日常風險識別、風險監測和風險分析,負責建立各業務條線的風險評估模型,收集整理風險評估資料,及時評估分析風險狀況,為領導決策提供依據。相關職能部門在風險評估過程中要各司其職,既要明確分工,又要通力合作,積極發揮作用。如財務部門要及時向風險評估部門提供準確的財務信息數據,內部審計部門要定期對風險評估體系的準確性、可靠性、充分性和有效性進行獨立審計和評價,風險評估部門要向審計部門提供直接的第一手資料和記錄,法律部門應當能夠有效識別、評估潛在的法律風險l21。整合監督資源,將內審、事后監督、行政監察等部門進行合并,設立一個直接隸屬于行長領導的、集獨立行政檢查監督及業務審計和內部控制于一身的內部控制管理委員會。負責制定全行的風險管理策略制定、風險評估與確認、預警與控制。在目前基層央行成立獨立于審計、監察部門以外的風險管理部門或整合監督資源之前,建議實行風險事務相對集中管理,可將基層央行的六類基本風險的風險評估職能整合歸口到各綜合管理部門。即:法律和聲譽風險評估由辦公室負責;資產和操作風險評估由會計、事后監督部門負責;信息技術風險評估由科技部門負責;效率風險評估和跨職能部門的重大決策風險評估由內審部門負責。
(二)加強風險評估隊伍建設,開展內部控制自我評估
一是加強風險評估隊伍建設。目前,要通過制定風險管理人才培養計劃、加大教育培訓力度、引進專業風險評估人才、建立風險評估人才庫等手段,不斷提升風險評估人員的整體素質。支持和鼓勵風險評估人員參加中國銀行業從業人員風險管理師資格考試,掌握風險評估理論、風險識別以及風險評估方法,提高實際風險評估綜合工作能力。同時,風險評估人員應加強自我學習,包括中西方內部控制理論的學習,風險管理理論與實務、央行業務知識與技能,經典案例分析的培訓,還可聘請學者專家來現場授課,了解國際、國內風險評估工作的先進方式、方法以及發展趨勢,及時掌握金融形勢和動態,學會運用數理統計方法和信息技術手段分析監測風險,不斷增強風險識別、分析、監測的專業技能,力爭成為復合型的風險評估人才。二是開展內部控制自我評估。控制自我評估(Control self-assessment,簡稱CSA)是國際內部審計師協會大力推薦的組織監督和評估內部控制的重要工具,它體現了內部控制系統評價的嶄新觀念,是內部控制系統評價方法的新突破。人民銀行應順應內部控制評價發展的新趨勢,學習和借鑒CSA的合理方法,適時開展控制自我評估,使業務人員了解哪些控制環節存在缺陷和可能引起的風險,并主動予以改進。而不是在審計人員指出問題后被動采取措施,從而促進職能部門加強管理、改進業務流程和完善風險控制。并適時引入外部獨立審計,可以彌補內部評價主體在獨立性方面的缺陷,增強內部控制評價的約束力。
(三)嚴格計量和劃分基層央行風險水平和等級,科學設定風險評估標準
一是風險水平計量.:將基層央行面臨的固有風險分類(如決策風險、信用風險、操作風險、管理風險、法律風險等),分別給予一定的權重,并結合組織的主要流程以計分的方式,評詁固有風險的大小。其次,評估各流程的控制水平。再次,將固有風險減去控制水平得到剩余風險,根據剩余風險分配審計資源,制定審計計劃,確保對最關鍵的領域進行審計,對審計項目本身的投入產出比進行評估,力求每一項審計都能實實在在地發揮作用。
二是風險等級劃分。基層央行對潛在的內部風險和外部風險,按發生頻率、產生危害、波動范圍等指標,分別評定風險等級,將風險級別按一定的序號或代碼進行標注,以便對風險進行分類控制,便于在實現風險最小化的同時降低風險控制成本。基層央行進行風險分析時,應充分考慮外部和內部因素,可采用定性或定量的方法進行風險分析。風險等級應該在現有高、中、低三個等級的基礎上進一步細分,可劃分為高風險、較高風險、中風險、較低風險和低風險五個不同的風險等級。按照風險程度和風險級別分別賦予風險等級不同的分值,如高風險值為0.9,較高風險值為0.8,中風險值為0.7,較低風險值為0.6,低風險值為 0.5131。
三是評估標準設定。不同地區、不同單位的崗位風險具體情況千差萬別,要對其進行評價比較,就必須要有一個可以用來衡量的評估標準。具體分為正常、基本正常、關注、重點關注和風控失效五級標準。一級為“正常”:指被評估部門各項規章制度健全,在各個環節均能有效執行風險防范,能對所有風險進行主動有效識別和控制,無任何風險控制盲點,防范措施適宜,管理效果顯著,但在執行中存在個別不規范行為。二級為“基本正常”:指被評估部門各項規章制度基本健全,在各個環節能夠較好執行風險防范,能對風險進行識別和控制,防范措施基本適宜,管理效果較好,但在執行中出現少數不規范之處和少數一般性違規問題。三級為“關注”:指被評估部門各項規章制度基本健全,但缺乏系統性和連續性,在崗位風險防范措施執行方面缺乏一貫的合理性,存在風險隱患,管理效果一般,在執行中還存在有章不循、執行制度不到位的情況,出現了一些一般性違規問題。四級為“重點關注”:指被評估部門各項規章制度不夠健全,重要部門、環節的風險防范措施沒有真正落實,執行制度不嚴,管理機制較為混亂,業務開展安全性差,出現了嚴重的違規問題,存在較大的風險隱患。或被評估部門崗位風險防范制度存在嚴重缺失或崗位風險防范制度明顯無效,存在明顯的管理漏洞,管理失控,存在重大安全隱患。五級為“風控失效”:指被評估部門各項規章制度嚴重缺失,重要部門、環節的風險防范措施流于形式,執行制度松懈,管理機制混亂,業務開展安全性很差,風險控制失效,存在很大的風險隱患和明顯的管理漏洞,發生了重大責任事故或案件。風險評估結論為“正常”的分值為90(含)~100分,“基本正常”的分值為80(含)~90分,“關注”的分值為70(含).80分, “重點關注”的分值為60(含)—70分,“風控失效”的分值為60分以下。
(四)在COSO框架下對內部控制“五要素”進行分別評估并加權計算,構建基于內部控制框架下的中央銀行風險評估模式
我們認為,中央銀行的相關風險在現有的內部控制框架內是可以有效管理和控制的。中央銀行的風險管理模式是在內部控制框架的風險管理,其主要特點是將風險管理內容嵌入內部控制的各個因素(環節),從這些要素(環節)人手,強調風險的識別、評估和積極應對,防范和控制風險。風險管理以內部控制目標為目標,是為內部控制服務的。本文直接對被評估對象的風險進行計量、劃分和設定,也可以在COSO框架下對內部控制“五要素”進行分別評估并加權計算,并以此確定被評估對象的風險等級和風險評價結果。此方法主要是對內部控制環境、風險評估、控制活動、信息與溝通、監控等這五大類指標分層分級設定評價內容、評價標準、分值等。評估采用百分制,評估結果和五大類指標標準分均為100分,對五大類指標設定不同的權數,其中內部控制環境15%,風險評估20%,控制活動50%,信息與溝通5%,監控10%。其公式為:基層央行內部控制評價綜合評估得分:內部控制環境得分x15%+風險評估得分x20%+控制活動得分 x500/o+信息與溝通得分x5%+監控得分xl0%。然后,根據內部控制評價指標體系中的各項指標打分并加權計算后,依據內部控制評價綜合得分確定被評估對象的內部控制評價和風險等級及風險評價結果(見表1)。
(五)建立風險評估預警機制和控制系統,強化風險評估組織實施和應對策略
1.建立基層央行風險評估預警機制。基層央行應建立健全崗位風險防范評估預警機制。預警機制包括預警人員、預警機構、職責和權限,以及應急處置方案。預警人員由評估組織在各部門聘請(部門內有事后監督人員的可由其兼任),預警人員要求素質高、責任心強、業務精通,負責發現部門內崗位風險,并向預警機構發出預警信息。預警機構應下設在評估組織內,可由評估組織人員兼任組成,負責在收到預警信息、收到發生重大責任事故或案件信息、收到“關注”標準以下(含關注標準)崗位風險評估結果時,啟動應急預案,并組織實施。當發生重大崗位風險時,應急處置方案要明確預警機構、預警人員各自的職責和義務,以及應采取的措施。評估組織在組織開展日常崗位風險評估的同時,還應對突發性的崗位和崗位風險評估結果不理想的評估對象進行關聯風險評估。
2.建立基層央行風險預警控制系統。基層央行風險控制系統應涵蓋風險管理基本流程和內部控制各環節.包括信息的采集、加工、分析預警、測試、傳遞、披露等。系統的主要功能是:對各種風險能夠計量和定量分析、測試。運用風險矩陣實時反映重大風險涉及的各管理及業務流程的監控狀態;利用數據抓包等技術,對重大風險業務適時監測報警。滿足風險信息相關知識的管理和共享。該系統應由風險管理部門和各風險涉及的管理及業務流程部門共同集成,并根據實際需要不斷進行改進、完善和更新。
3.強化基層央行風險評估處置措施和應對策略。一是根據評估結果及評估報告所反映的情況,針對被評估單位或部門崗位風險防范中存在問題的性質及嚴重程度,可分別采取以下一項或多項管理措施。包括:約見被評估單位或部門第一負責人談話;就評估對象崗位風險防范中存在問題可能引發的風險,向被評估單位或部門進行書面提示和警告;要求被評估單位或部門對崗位風險防范中存在的問題限期整改;加大現場檢查力度及頻率;建議調整管理層:建議調離有關人員。二是根據評級結果,建議對評定為“基本正常”和“正常”的部門,給予不同檔次的獎勵,并作為職務、職稱、工資晉升以及評先評優的條件之一。三是根據評級結果,建議對評定為“關注”的部門給予一定處罰,并取消年終評先資格。四是被評,估部門評估結果在“重點關注”及“風控失效”的,在執行前款處罰的同時,對部門負責人降級使用。五是對崗位風險防范評估中發現的嚴重違反行政法規的行為,追究行政法律責任;觸犯法律的,根據有關規定,移交司法部門處理。
參考文獻:
[1]田力.以內控薄弱環節研究為突破口,全面加強基層人民銀行內控機制建設,中央銀行內部控制理論與實踐[M].武漢:湖北人民出版社,2008.
[2]顧加寬.基層央行風險評估現狀及框架構建[J],中國內部審計.2010( 8):46-49.
[3]周瑋,李莉,商業銀行內部風險評估方法研究[J].經濟理論與經濟管理,2008(4).
