基层央行风险评估瓶颈及框架再构
来源:用户上传
作者: 谌争勇
摘要:近年来,基层央行扎实开展风险评估工作,进一步提高了风险管理水平,增强了风险防控效能。但基层央行风险评估仍面临着诸多瓶颈制约,亟待对其框架进行再构。
关键词:中央银行;风险评估;瓶颈制约;框架再构
中图分类号:F832.31 文献标识码:A文章编号:1003-9031(2011)06-0030-06DOI:10.3969/j.issn.1003-9031.2011.06.09
风险评估是指识别和分析相关风险并确定应对策略,它是风险管理的核心,是内部控制的基础,也是选择恰当的控制活动的关键。没有高水平的风险评估,则意味着内部控制就是无的放矢,内部控制就会流于形式。近年来,基层央行严格按照《中国人民银行分支机构内部控制指引》(以下简称《指引》),扎实开展风险评估工作,进一步优化了风险管理环境,提高了风险管理水平,增强了风险防控效能。但从基层央行风险评估的现状来看,仍存在一些不容忽视的瓶颈问题亟待解决。
一、基层央行风险评估工作中存在的问题
(一)风险评估组织机制薄弱
风险评估工作是整个风险管理过程的重要环节,建立风险评估组织有助于及时有效地开展风险评估工作。中国人民银行在机构设置上实行分支行制,总行与分支机构之间存在一种委托代理关系,因此就产生了代理风险与机会主义行为。但是,目前人民银行系统在风险评估组织机制方面不够健全,未设置专门的风险评估机构和管理部门,风险评估工作一般由内部控制建设领导小组办公室或内部审计部门承担,容易造成职责不清。风险管理机构应该承担风险评估的具体工作,而审计部门只是对风险评估工作的充分性和有效性进行监督。内部审计部门具体负责风险评估工作,有损于审计的公正性和独立性。内部审计人员只能以咨询顾问的身份参与协助风险评估,而不是直接负责风险评估事宜。由于基层央行缺少一个权威的风险管理机构,在人民银行各分支机构之间和专业部门之间出现内部控制管理各自为政的局面,部门之间内部控制内容相悖、内部控制监督检查重复、片面强调部门对口等问题也因此产生。同时,由于内控管理机构缺位,对全行风险管理缺乏统一协调,一些业务环节控制过度,也有一些业务领域控制不足。由于控制过度,具体经办人员为了简便,试图摆脱过多的内部控制,形式上的控制过度和事实上的控制不足并存。由于内部控制管理机构的缺位,造成专业部门在风险管理上的本位主义思想盛行,一味强调本部门业务工作的重要性、风险防范的必要性,而不顾基层行的人力资源状况[1]。
(二)风险评估人员专业素质匮乏
目前,基层央行内审人员知识结构老化,部分人员长期不从事具体业务操作,对业务部门业务的新变化、新要求和新特点不熟悉,难以全面深入分析各业务部门的风险情况,从而对内控风险评估量化管理结果产生一定影响。从各业务部门风险评估人员配备而言,目前基层央行开展风险评估的人员层次相对较低,一般都是兼职的业务人员,未配置专业的风险评估人才。评估人员由于缺乏系统的风险管理知识培训和教育,分析评价能力受限,风险识别不够全面,风险分析结果较为粗糙,难以满足日常风险管理工作的需要。部分风险评估人员业务知识的更新跟不上人民银行业务发展的速度,工作理念的转换跟不上内审工作转型与发展的要求,制约了风险评估质量的提升。同时,部分风险评估人员查错纠弊的能力较强,但分析问题和解决问题的能力往往不足,使风险评估的服务与咨询价值难以实现。
(三)风险识别和分析方法单一
目前人民银行风险评估涉及到金融管理、货币信贷、外汇管理、财务管理、会计结算管理、国库业务、货币发行管理、反洗钱管理、征信管理等十多个方面,而《指引》只提供了框架性意向指导,并未对相关业务提供专门的内部控制风险评价办法。因此,每项业务具体的风险无法定量、定性评价。当前,基层央行风险评估人员在对风险进行鉴别、估测和分析过程中,往往更多地依赖于个人经验,甚至凭主观臆断,习惯运用传统理念和方法,仍停留在以定性分析评估为主的阶段,缺少严密有效的计量和定量分析评价。较少运用矩阵分析、COSO例举法、Courtney方法等分析评估方法,科学性、客观性与说服力不强,据此得出的风险评估结果往往可信度不高,或者说不够准确,模糊不清。日常开展风险评估程序不够合理,风险评估环节的职责不够明确,评价手段不够先进和科学,风险评估时间较长,效率较低,质量不高。作为一线操作者,业务部门人员很容易只关注业务流程是否方便、适用,而忽略风险点。与此同时,监督部门对风险判断的客观性不足,缺乏实践检验和说服力。从基层央行现状看,监督部门主要指内审、事后监督和纪检监察,在来自一线业务部门的原始信息很少,同时被有效传递而是有选择性地传递以至在传递过程中信息层层。“失真”或“过滤”的情况下,监督部门凭借已经公认的风险、对照制度进行检查的主观认识来做出对业务部门风险的基本判断。业务部门对公认的风险没有异议,但对监督部门主观认为的风险部分质疑,怀疑监督部门人员没有具体操作业务系统,情况不明,阻碍了内部控制机制的发展。
(四)风险评估制度和预警机制滞后
目前,基层央行开展风险评估工作没有独立规范的制度要求,仅包含在内部控制建设的相关文件中,风险评估规定不够全面,执行起来比较困难。因为风险评估制度滞后,多数管理者将风险评估甚至风险管理的责任转嫁给内部审计部门,认为这是内部审计部门的职责,让内部审计部门承担很多风险评估,造成监督者与管理者职责界定不清。风险评估制度不健全,日常风险评估工作缺少统一的评估标准和尺度,对被评估单位风险控制状况的优劣没有客观公正的评估依据,各单位和职能部门对风险识别和分析的结果往往无法衡量和比较,风险评估作用难以充分发挥。2006年以来,部分基层央行由内审部门为主先后组织开发了内部控制评价系统、业务控制系统,旨在实现有效内部控制、风险预警和风险评价。但由于这两套系统均独立于业务部门操作系统之外,不仅需要一线操作人员重复操作,增加了操作人员负荷,还不能实现风险的适时预警[2]。加上各风险指标衡量标准不可量化或量化不足,使得评价结果欠权威,可信度低,仍然无法实现开发系统的目标。
(五)风险评估长效机制和风险防范流程缺失
一是风险评估长效机制缺失。风险评估工作应该是一个连续的循环往复的过程。有的单位和职能部门将风险评估工作作为阶段性工作来抓,没有把风险评估当作一项长期性、系统化工程来推进,时紧时松、时断时续。一些单位和部门思想上存在一劳永逸的观念,排查出的风险点时间较长。对于已经识别的风险点未及时更新,对于隐匿的新风险点未能认真重新梳理。在风险应对效果评价方面未能结合具体实际情况进行再分析、再评价。已经制定的风险应对措施未能随着人员、流程、系统和外部环境的变化而变化,风险控制方案所起的作用逐渐弱化一些单位和部门的风险评估报告,主体为对发现问题的罗列,对一些问题的表述过于详细,而缺乏对问题性质严重程度的分析提示,对评估发现的重大问题难以引起足够的重视,对改进内部控制和风险防控的价值不高。
二是风险防范流程缺失。从业务风险的表现形式来分析,当前基层央行风险防范缺乏系统的流程。首先是缺源头防范,新制度、新系统软件推广前,多数选择操作部门测试,未与风险挂钩、未进行风险信息和技术的处理。其次是缺乏风险运行状态监测,在操作和重要业务流程运转中仅关注完成每笔业务,没有实现对风险和剩余风险的辨识、分析和持续监测。再次是缺后续防控措施,各类检查中发现了问题往往就事论事落实整改,没有随机开展风险预测,进而促进事前防范,导致制度修订不及时。同时,也没有对风险防范成效定期检查,风险处置得当与否关注较少。缺乏风险评估长效机制和系统的风险防范流程,其实是组织内隐含的最大风险。
二、基层央行风险评估框架的再构路径
(一)建立健全基层央行风险分析与评估框架,整合归口风险防范职能
一个健全有效的风险评估体系是基层央行赖以生存和发展的生命线,是防范和化解各种风险的重要手段和有效途径。建立健全中国人民银行风险分析和评估框架(见图1),使其切实可行,是基层央行有效开展风险评估工作的重要基础。人民银行总行和分支行应成立高规格的风险管理委员会以及按业务条线划分的专业风险评估小组,由单位内具有丰富管理经验的人员担任,定期对整体风险状况进行仔细评估,筛选出较高风险及以上风险点。进行风险监测和风险控制管理,要充分支持风险评估工作的开展,保证风险评估工作具备足够的人力、物力以及信息技术水平,及时了解风险评估工作的开展情况,成立独立于审计、监察部门以外的风险管理部门,主要职责是组织日常风险识别、风险监测和风险分析,负责建立各业务条线的风险评估模型,收集整理风险评估资料,及时评估分析风险状况,为领导决策提供依据。相关职能部门在风险评估过程中要各司其职,既要明确分工,又要通力合作,积极发挥作用。如财务部门要及时向风险评估部门提供准确的财务信息数据,内部审计部门要定期对风险评估体系的准确性、可靠性、充分性和有效性进行独立审计和评价,风险评估部门要向审计部门提供直接的第一手资料和记录,法律部门应当能够有效识别、评估潜在的法律风险[2]。整合监督资源,将内审、事后监督、行政监察等部门进行合并,设立一个直接隶属于行长领导的、集独立行政检查监督及业务审计和内部控制于一身的内部控制管理委员会。负责制定全行的风险管理策略制定、风险评估与确认、预警与控制。在目前基层央行成立独立于审计、监察部门以外的风险管理部门或整合监督资源之前,建议实行风险事务相对集中管理,可将基层央行的六类基本风险的风险评估职能整合归口到各综合管理部门。即:法律和声誉风险评估由办公室负责;资产和操作风险评估由会计、事后监督部门负责;信息技术风险评估由科技部门负责;效率风险评估和跨职能部门的重大决策风险评估由内审部门负责。
(二)加强风险评估队伍建设,开展内部控制自我评估
一是加强风险评估队伍建设。目前,要通过制定风险管理人才培养计划、加大教育培训力度、引进专业风险评估人才、建立风险评估人才库等手段,不断提升风险评估人员的整体素质。支持和鼓励风险评估人员参加中国银行业从业人员风险管理师资格考试,掌握风险评估理论、风险识别以及风险评估方法,提高实际风险评估综合工作能力。同时,风险评估人员应加强自我学习,包括中西方内部控制理论的学习,风险管理理论与实务、央行业务知识与技能,经典案例分析的培训,还可聘请学者专家来现场授课,了解国际、国内风险评估工作的先进方式、方法以及发展趋势,及时掌握金融形势和动态,学会运用数理统计方法和信息技术手段分析监测风险,不断增强风险识别、分析、监测的专业技能,力争成为复合型的风险评估人才。二是开展内部控制自我评估。控制自我评估(Control self-assessment,简称CSA)是国际内部审计师协会大力推荐的组织监督和评估内部控制的重要工具,它体现了内部控制系统评价的崭新观念,是内部控制系统评价方法的新突破。人民银行应顺应内部控制评价发展的新趋势,学习和借鉴CSA的合理方法,适时开展控制自我评估,使业务人员了解哪些控制环节存在缺陷和可能引起的风险,并主动予以改进。而不是在审计人员指出问题后被动采取措施,从而促进职能部门加强管理、改进业务流程和完善风险控制。并适时引入外部独立审计,可以弥补内部评价主体在独立性方面的缺陷,增强内部控制评价的约束力。
(三)严格计量和划分基层央行风险水平和等级,科学设定风险评估标准
一是风险水平计量。将基层央行面临的固有风险分类(如决策风险、信用风险、操作风险、管理风险、法律风险等),分别给予一定的权重,并结合组织的主要流程以计分的方式,评诂固有风险的大小。其次,评估各流程的控制水平。再次,将固有风险减去控制水平得到剩余风险,根据剩余风险分配审计资源,制定审计计划,确保对最关键的领域进行审计,对审计项目本身的投入产出比进行评估,力求每一项审计都能实实在在地发挥作用。
二是风险等级划分。基层央行对潜在的内部风险和外部风险,按发生频率、产生危害、波动范围等指标,分别评定风险等级,将风险级别按一定的序号或代码进行标注,以便对风险进行分类控制,便于在实现风险最小化的同时降低风险控制成本。基层央行进行风险分析时,应充分考虑外部和内部因素,可采用定性或定量的方法进行风险分析。风险等级应该在现有高、中、低三个等级的基础上进一步细分,可划分为高风险、较高风险、中风险、较低风险和低风险五个不同的风险等级。按照风险程度和风险级别分别赋予风险等级不同的分值,如高风险值为0.9,较高风险值为0.8,中风险值为0.7,较低风险值为0.6,低风险值为0.5[3]。
三是评估标准设定。不同地区、不同单位的岗位风险具体情况千差万别,要对其进行评价比较,就必须要有一个可以用来衡量的评估标准。具体分为正常、基本正常、关注、重点关注和风控失效五级标准。一级为“正常”:指被评估部门各项规章制度健全,在各个环节均能有效执行风险防范,能对所有风险进行主动有效识别和控制,无任何风险控制盲点,防范措施适宜,管理效果显著,但在执行中存在个别不规范行为。二级为“基本正常”:指被评估部门各项规章制度基本健全,在各个环节能够较好执行风险防范,能对风险进行识别和控制,防范措施基本适宜,管理效果较好,但在执行中出现少数不规范之处和少数一般性违规问题。三级为“关注”:指被评估部门各项规章制度基本健全,但缺乏系统性和连续性,在岗位风险防范措施执行方面缺乏一贯的合理性,存在风险隐患,管理效果一般,在执行中还存在有章不循、执行制度不到位的情况,出现了一些一般性违规问题。四级为“重点关注”:指被评估部门各项规章制度不够健全,重要部门、环节的风险防范措施没有真正落实,执行制度不严,管理机制较为混乱,业务开展安全性差,出现了严重的违规问题,存在较大的风险隐患。或被评估部门岗位风险防范制度存在严重缺失或岗位风险防范制度明显无效,存在明显的管理漏洞,管理失控,存在重大安全隐患。五级为“风控失效”:指被评估部门各项规章制度严重缺失,重要部门、环节的风险防范措施流于形式,执行制度松懈,管理机制混乱,业务开展安全性很差,风险控制失效,存在很大的风险隐患和明显的管理漏洞,发生了重大责任事故或案件。风险评估结论为“正常”的分值为90(含)~100分,“基本正常”的分值为80(含)~90分,“关注”的分值为70(含)~80分,“重点关注”的分值为60(含)~70分,“风控失效”的分值为60分以下。
(四)在COSO框架下对内部控制“五要素”进行分别评估并加权计算,构建基于内部控制框架下的中央银行风险评估模式
我们认为,中央银行的相关风险在现有的内部控制框架内是可以有效管理和控制的。中央银行的风险管理模式是在内部控制框架的风险管理,其主要特点是将风险管理内容嵌入内部控制的各个因素(环节),从这些要素(环节)入手,强调风险的识别、评估和积极应对,防范和控制风险。风险管理以内部控制目标为目标,是为内部控制服务的。本文直接对被评估对象的风险进行计量、划分和设定,也可以在COSO框架下对内部控制“五要素”进行分别评估并加权计算,并以此确定被评估对象的风险等级和风险评价结果。此方法主要是对内部控制环境、风险评估、控制活动、信息与沟通、监控等这五大类指标分层分级设定评价内容、评价标准、分值等。评估采用百分制,评估结果和五大类指标标准分均为100分,对五大类指标设定不同的权数,其中内部控制环境15%,风险评估20%,控制活动50%,信息与沟通5%,监控10%。其公式为:基层央行内部控制评价综合评估得分=内部控制环境得分×15%+风险评估得分×20%+控制活动得分×50%+信息与沟通得分×5%+监控得分×10%。然后,根据内部控制评价指标体系中的各项指标打分并加权计算后,依据内部控制评价综合得分确定被评估对象的内部控制评价和风险等级及风险评价结果(见表1)。
(五)建立风险评估预警机制和控制系统,强化风险评估组织实施和应对策略
1.建立基层央行风险评估预警机制。基层央行应建立健全岗位风险防范评估预警机制。预警机制包括预警人员、预警机构、职责和权限,以及应急处置方案。预警人员由评估组织在各部门聘请(部门内有事后监督人员的可由其兼任),预警人员要求素质高、责任心强、业务精通,负责发现部门内岗位风险,并向预警机构发出预警信息。预警机构应下设在评估组织内,可由评估组织人员兼任组成,负责在收到预警信息、收到发生重大责任事故或案件信息、收到“关注”标准以下(含关注标准)岗位风险评估结果时,启动应急预案,并组织实施。当发生重大岗位风险时,应急处置方案要明确预警机构、预警人员各自的职责和义务,以及应采取的措施。评估组织在组织开展日常岗位风险评估的同时,还应对突发性的岗位和岗位风险评估结果不理想的评估对象进行关联风险评估。
2.建立基层央行风险预警控制系统。基层央行风险控制系统应涵盖风险管理基本流程和内部控制各环节,包括信息的采集、加工、分析预警、测试、传递、披露等。系统的主要功能是:对各种风险能够计量和定量分析、测试。运用风险矩阵实时反映重大风险涉及的各管理及业务流程的监控状态;利用数据抓包等技术,对重大风险业务适时监测报警。满足风险信息相关知识的管理和共享。该系统应由风险管理部门和各风险涉及的管理及业务流程部门共同集成,并根据实际需要不断进行改进、完善和更新。
3.强化基层央行风险评估处置措施和应对策略。一是根据评估结果及评估报告所反映的情况,针对被评估单位或部门岗位风险防范中存在问题的性质及严重程度,可分别采取以下一项或多项管理措施。包括:约见被评估单位或部门第一负责人谈话;就评估对象岗位风险防范中存在问题可能引发的风险,向被评估单位或部门进行书面提示和警告;要求被评估单位或部门对岗位风险防范中存在的问题限期整改;加大现场检查力度及频率;建议调整管理层;建议调离有关人员。二是根据评级结果,建议对评定为“基本正常”和“正常”的部门,给予不同档次的奖励,并作为职务、职称、工资晋升以及评先评优的条件之一。三是根据评级结果,建议对评定为“关注”的部门给予一定处罚,并取消年终评先资格。四是被评估部门评估结果在“重点关注”及“风控失效”的,在执行前款处罚的同时,对部门负责人降级使用。五是对岗位风险防范评估中发现的严重违反行政法规的行为,追究行政法律责任;触犯法律的,根据有关规定,移交司法部门处理。
参考文献:
[1]田力.以内控薄弱环节研究为突破口,全面加强基层人民银行内控机制建设,中央银行内部控制理论与实践[M].武汉:湖北人民出版社,2008.
[2]顾加宽.基层央行风险评估现状及框架构建[J].中国内部审计,2010(8):46-49.
[3]周玮,李莉.商业银行内部风险评估方法研究[J].经济理论与经济管理,2008(4).
转载注明来源:https://www.xzbu.com/3/view-789227.htm
