中国会计教授会名誉会长 吴水澎
感谢中国金融会计学会给我这次发言的机会。我此次演讲的目的在于:通过对国际上有关企业内部控制与风险管理的最新进展的跟踪,从中提出对我国商业银行风险管理政策与实务的几点启示。
一、萨班斯法案与内部控制强制性披露
2001年12月起,以安然、世通等公司为代表的一些美国大型上市公司相继倒闭破产,震撼了美国资本市场。为了恢复投资者对证券市场的信心和规范资本市场的运行,美国国会和政府于2002年7月25日通过了《萨班斯—奥克斯利法案》,又称“公众公司会计改革与投资者保护法案”。布什总统认为,该法案是自罗斯福总统以来美国商业界影响最为深远的改革法案。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”
该法案共分11章,第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的“公众公司会计监管委员会”,对上市公司审计进行监管;通过合伙人强制轮换制度等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力。第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如,为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责任。
在该法案中,要求最严、执行成本最高的条款,是其中的404条款。404条款要求首席执行官和首席财务官对上市公司财务呈报内部控制的有效性进行评价和报告。该份报告包括在公司按年度递交给美国证券交易委员会的年报中。以后,上市公司年报中还必须包括有关财务呈报内部控制的三个内容:第一、管理当局对企业财务呈报内部控制的年度报告,具体为:1、关于管理当局建立和维护适当企业财务呈报内部控制的责任报告;2、管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告;3、管理当局对到最近财年末为止的企业财务呈报内部控制的有效性的评价;4、一个声明,即会计事务所(对公司包含在年报中的财务报表进行审计的机构)已经对管理当局的财务呈报内部控制有效性评价意见签发鉴证报告。第二、会计师事务所的审计报告,提供审计人员对管理当局财务呈报内部控制评价意见的审计报告。第三、财务呈报内部控制的变动,对于任何重大地影响或可以合理预期将重大地影响企业财务呈报内部控制的任何变动都应予以披露。
同时,为了配合404条款的执行,美国证券交易委员会通过制定规则来具体规定公司执行萨班斯-奥克斯利法案404条款的要求;公众公司会计监管委员会通过制定第2号审计准则为注册会计师提供内部控制审计指南;COSO委员会制定标准体系,作为管理当局和注册会计师进行财务呈报内部控制评价的基础。
二、COSO风险管理综合框架与内部控制标准的发展
内部控制标准体系是公司内部管理当局与外部注册会计师完成财务呈报内部控制有效性评价的基础。在美国,COSO委员会于1992年制定的内部控制综合框架(IC-IF)是至今管理当局和注册会计师在财务呈报内部控制有效性评价方面的依据之一。萨班斯法案404条款颁布之后的一个新变化是,COSO委员会于2004年9月29日正式发布了《企业风险管理综合框架》(ERM-IF)。
COSO委员会提出,企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。根据管理者经营的方式划分,企业风险管理包括八个相互关联的组成要素:内部环境、目标设定、事件识别、评估风险、应对风险、控制活动、信息与沟通和监督。内部环境是企业风险管理的基础,为企业风险管理所有其他组成部分运行提供了平台和结构。企业的目标制定是企业风险管理的起点,是其他步骤的驱动力量。整个过程是环环相扣的。在目标制定的前提下,企业需对影响目标的风险进行事件识别,进而对识别的事项进行风险评估,风险评估驱动风险反应,影响控制活动,信息与沟通和监督贯穿于企业风险管理的整个过程,并对前面的各个组成要素进行修正。这样,企业风险管理不只是一个直线过程,即一个组成部分只会对下一个部分产生影响,而且是一个多元化的相互作用的过程,即几乎任何组成部分都能够并将会影响另一个部分。企业风险管理的八个组成部分体现的是一个动态的过程,是一个有机的整体。
从内部控制综合框架到企业风险管理综合框架,不是局部的修补和简单改良,而是在理念上的本质突破。体现在:从“控制环境”到“内部环境”,这一修改使得企业关注的范围不再局限于控制方面,而是从更宽阔的视野更综合更直接地考虑各种因素对风险的影响;目标制定中增加“战略目标”,使企业在追求短期利益的同时,从战略的高度关注企业的长远目标和可持续发展;将“风险评估”扩展为“事件识别”、“风险评估”和“风险反应”,不是对原“风险评估”进行简单的细化,而是代表着企业风险意识日益增强和积极主动管理风险。企业风险管理综合框架强调应对所有事件既包括正面事件与负面事件进行综合识别,并且应该将其以适当的组合方式加以看待,而后通过对固有风险和剩余风险的综合评估做出适当的风险应对措施。这样一方面可以减少经营偏差的发生及相关成本和损失,另一方面有利于企业抓住机会(正面事件),及时调整策略,以达到经营和获利目标,避免资源浪费。
三、对我国商业银行风险管理政策与实务的几点启示
萨班斯法案404条款所带来的强大国际影响,COSO委员会的风险管理综合框架对内部控制综合框架的发展和完善,这一切,对我国商业银行风险管理政策与实务的启示主要有五个方面:
1.培育健康的风险管理文化是商业银行推行全面风险管理的基础。现阶段不少商业银行仍将风险管理简单理解为人的职业道德意识,将防范职业道德造成的违法违规风险作为风险管理的核心内容和首要矛盾,员工普遍没有风险意识,风险管理更多的是作为口号而存在。其核心的原因就是没有建立健康的风险管理文化。良好的风险管理文化是企业文化的一部分,它包含现代商业银行风险管理理念、风险控制行为、风险道德标准与风险管理环境等要素,反映了银行的价值观,影响着它的经营风格。要倡导和强化“全员的风险管理意识”,银行要通过各种途径将风险管理理念传递给每一个员工,内化为员工的职业态度和工作习惯,在整个银行形成一种风险控制的文化氛围,形成一种风险防范的道德评价和职业环境,保证商业银行在不断变化的环境中能够敏锐地感知风险、分析风险和防范风险。良好的风险管理文化是一个长期培养的过程,它需要董事会的承诺,管理层的推进,老员工的垂范,以及银行在日常经营活动中长期一致的坚持。
2.构建垂直管理的全面风险管理组织架构是推行全面风险管理的组织保障。现阶段我国商业银行的风险管理的组织架构亦未建立,风险管理的重点主要集中在基层的信贷风险管理,各家银行的风险管理模式趋同,没有突出本银行的业务特色。要推行全面风险管理,减少地方政府和管理层等其它利益相关者对风险管理的不正当干预,就必须要改变我国商业银行长期以来以地区分行为主体的行政管理模式,建立总行主导的、垂直管理的风险管理组织架构模式。首先,要组织实施风险管理部门垂直管理,实行在首席风险官统一领导的垂直化、系统管理的模式,提高风险管理组织的有效性和信息传递的有效性,保证银行对风险的及时反应。其次,要借鉴成熟国际银行的风险管理的岗位设置,建立包含三个层次的风险管理经理,即业务风险经理(BusinessRisk Manager)、职能风险经理的(Functional Risk Manager)和资产组合风险经理(Portfolio RiskManager),分别从事不同层次的风险管理工作。第三,要加强对所有业务流程和关键风险点的有效监控,并逐步将风险管理逐步向总行集中,提高银行风险防范的规范性、系统性,提高对银行整体风险管理能力的把握。
3.必须明确制定商业银行的风险管理目标和政策。明确的目标是银行风险管理的前提,清晰的政策是银行风险管理的基础。银行的目标体系主要包括战略目标、经营目标、报告目标和监管目标四大目标体系。由于我国商业银行长期处于所有者缺位和多元化目标的状况中,商业银行的战略规划极其儿戏,一任行长的变换就直接决定了银行的战略目标的变化。银行的战略目标更多的是长官意志,而与银行的业务优势、风险偏好、风险容忍度关系不大。在战略目标确定的基础上,根据战略目标设计各项业务的经营目标,制定明确的报告目标,提出监管目标,以保证经营目标的实现、报告的准确性和监管目标的有效性。最后,要将科学的目标体系转化成易于理解、执行的科学的风险管理政策体系,各级管理层负责制定清晰、统一的风险管理政策,包括信用风险管理政策、市场风险管理政策、操作风险管理政策等,提高风险管理制度的系统性和可操作性。
4.要树立科学的风险应对策略观,以银行的价值最大化为原则综合应用各种应对策略。银行的风险应对包括风险回避、风险减低、风险分担和风险承受等几种主要的方法。我国的商业银行为防止国有资产的流失,力求防范银行的所有风险,这就决定了银行对风险的应对方式主要是风险回避等前三种方法,对于风险承受根本是难以接受的。由于现阶段银行的风险厌恶,降低风险时根本不考虑增加的机会成本,通过层层设防来防止小概率事项的风险。要树立科学的风险应对策略观,银行要从整体层面来分析风险影响的后果,要以银行的价值最大化为原则来选择具体的应对策略,要评估成本收益比。对不能承受的风险,银行要主动回避;对可以采取措施降低、分担的风险,银行综合运用管理措施和保险等方法管理,而对于风险敞口不大的低概率业务,选择风险承受也是一种积极的风险管理方式。
5.拓展内部审计责权,保证商业银行全面风险管理的监控体制正常运行。建立风险管理的后评价和持续改进机制是监控的主要内容。商业银行内部审计部门要在独立于经营管理层、直接对董事会负责的基础上,扩展其责权,通过持续的监控活动、个别评价或者两者的结合来实现对全面风险管理的评价,并对发现的问题及时采取措施做出优化,以完善全面风险管理体系的后评价和持续改进机制。要改变现在审计部门主要职能仍关注于本应该由业务部门负责的结算差错和细小的操作性错误,重点关注各个风险管理构成要素是否能够在全面风险管理体系中正常运行,业务流程是否能满足防范风险的需要,各种量化管理的内部模型是否有效,实现全面风险管理体系的改进逐步规范化、定期化、制度化。
