在商业银行的管理中,全面风险管理、内部控制、合规管理等概念与操作风险在实践中存在着交叉和重叠,监管对其关系也没有作出明确,影响了操作风险管理的治理模式和管理手段。
国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》认为所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2008年4月财政部等五部委发布了《企业内部控制基本规范》,认为内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。要求企业在保证经营管理合法合规、资产安全、财务报告真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略,要求企业构建以控制环境为重要基础,以风险评估为重要环节(在此环节,提出了目标设定、事件识别、风险评估、风险应对)、以控制活动为重要手段。以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素框架。
银监会2006年颁布的《商业银行合规风险管理指引》认为合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
对于这些概念,主要有如下几个要点:
1.COSO委员会和巴塞尔委员会于2004年在“内部控制”和“全面风险管理”的理解上趋于一致,操作风险属于全面风险管理的组成部分。
2004年,COSO委员会发布内部控制的重要文件《企业风险管理框架》,将内部控制发展为企业的全面风险管理,以风险管理为核心对内部控制框架进行了延伸和拓展。这一方面促使企业有的放矢地针对“风险”设计和安排其内部控制框架,从而提高了内部控制的有效性;另一方面又促进风险管理流程与内部控制体系的融合,为企业开展风险管理和内部控制提供一套统一的语言和管理流程,提高内部沟通交流效率,避免理解混乱和管理重叠。
同样在2004年,巴塞尔委员会发布《巴塞尔新资本协议》,将银行的信用风险、市场风险、操作风险纳入全面风险管理框架。这标志着,COSO委员会和巴塞尔委员会在内部控制、风险管理方面历经30多年探索后,于2004年基本达成一致的理解,在商业银行的管理中,将逐步走向全面风险管理。
2.合规是操作风险的管理目标,二者在管理实践中存在重叠。
在《银行机构的内部控制制度框架》中,巴塞尔委员会对合规与内部控制的关系描述是,合规性目标是内控管理的三大目标之一(业绩目标、信息目标、合规性目标)。这与COSO委员会的看法相同,COSO认为“内部控制的目标是合理保证企业经营管理合法合规,合规是内部控制的目标之一”。
在管理实践中,二者存在交叉,良好的操作风险管理可以降低合规风险。由于违规而导致的财务损失,如监管处罚等,体现在操作风险的损失数据中,成为资本计量的重要内容;通过RCSA评估,对业务流程进行优化,可以减少违规的可能;对人员的良好管控,同样可以降低违规的可能性;将合规风险较大的环节,如洗钱、关联交易等设置为关键风险指标予以监控,同样可以降低合规风险。当然,如何全面合理地厘清二者的关系,仍然是商业银行面临的一个重要挑战。