商行COSOⅡ和BASELⅡ监管与协调范文

一、我国商业银行风险管理现状

（一）COSOⅡ在我国商业银行的运用情况在我国对于商业银行风险管理所出台的监管文件，一直以来大多参照BASEL委员会的研究成果，在我国银行的风险管理实践中也是，而对于COSO委员会的研究成果只有部分借鉴或是参与。我国理论界学者研究认为COSOI和COSOⅡ提供的全面风险管理理论、方法和经验都是值得银行风险管理借鉴和学习的，特别是银行应该借鉴COSO的研究成果来建立银行的风险管理体系。事实上，BASEL委员会也认可和借鉴了COSO的部分研究成果。1998年，BASEL委员会根据COSO内部控制框架了《银行机构内部控制体系框架》。这个框架就认可了COSO内部控制框架的核心思想，明确了一个健全有效的内部控制体系由管理层监督与控制环境、风险识别与评估、控制活动与职责分离、信息与沟通、监督与纠正五个要素构成，这就涵盖了COSO内部控制框架五要素内容。《银行机构内部控制体系框架》的核心内容也是从这五个要素出发设立的14条基本原则，包括13条核心原则和1条监管部门对银行内控体系的评价原则。2007年我国银监会的《商业银行内部控制指引》（下称“控制指引”）也是以COSO内部控制框架为基础。《控制指引》在内部控制的基本要求指出内部控制应当包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈和监督评价与纠正等COSO内部控制框架五要素。《控制指引》通过对授信、资金等具体领域制定的控制要求来把COSO内部控制框架落实到业务条线、业务单位。2008年财政部会同中国人民银行、银监会、证监会等监管部门出台了《企业内部控制基本规范》以及2010年的《企业内部控制配套指引》，吸收和借鉴了COSOⅡ。由此可见，COSO的研究成果也在我国商业银行风险管理实践中不断被运用，随着我国商业银行风险管理的不断发展，对COSO研究成果的运用程度也将会继续加大。

（二）BASELⅡ在我国商业银行的运用情况BASEL作为全球银行业监管机构，其的各项文件和标准一直受到中国银行业特别是符合“国际活跃银行”标准的商业银行的关注。1994年，我国商业银行开始在银行资产负债比例监管体系中纳入资本充足率这一指标，这正是按照《巴塞尔资本协议》所提出最低资本要求建立起来的新的监管体系。2004年，中国银监会出台了《商业银行资本充足率管理办法》，除了修改充实了资本监管规定外，更重要的是在资本充足管理框架下纳入市场风险，并详细规定了监管检查和信息披露的有关内容。接着，银监会开展了对我国商业银行资本充足率的时序性监督管理，标志着资本充足率统计制度正式建立。2007年2月银监会印发了关于《中国银行业实施新资本协议指导意见》的通知，明确指出银监会自2010年初开始接受新资本协议银行的申请，第一批新资本协议银行从2010年底起开始实施BASELⅡ，一些银行经银监会批准可暂缓，但不得迟于2013年底。根据BASELⅡ和银监会出台《中国银行业实施新资本协议的指导意见》（2007）、《商业银行资本充足率监督检查指引》（2009）等相关监管文件，我国商业银行实施BASELⅡ的审批范围将全面覆盖BASELⅡ实施第一支柱、第二支柱的各个方面，包括风险治理、风险计量、政策流程、数据和网络、业务应用、文档管理等内容。在这些监管规则的指引下，我国各家商业银行在实施BASELⅡ方面也取得一些进展。不过，各家银行实施BASELⅡ的主要精力都集中在第一支柱上，目前也有部分第二支柱下的项目已经开始陆续启动。

二、我国商业银行风险管理问题分析

（一）COSO的运用停留在COSO内部控制框架的层面在我国商业银行风险管理实践中，COSO的运用主要停留在COSO内部控制框架的层面。COSO在我国商业银行风险管理的运用直接反映在中国银行业监管机构的内部控制规范性文件。中国人民银行在2002年的《商业银行内部控制指引》、银监会在2006年的《商业银行内部控制评价办法》和2007的《商业银行内部控制指引》等，这些规范性文件都与COSO内部控制框架一脉相承。可见COSO内部控制框架已经成为我国银行业内部控制规范和指引的基础。而在这些规范性文件中，我们还没有见到COSOⅡ的影子。另外，从我国商业银行风险管理的实践中，可以看到几乎所有的银行都是以COSO内部控制框架为基础，建立起银行的内部控制体系。通过研究和分析我国上市商业银行的年报及其披露的信息，不难发现这些银行的内部控制体系都以COSO内部控制框架的五大要素来完成的。这也是我国商业银行的特点之一所造成的，这个特点是我国企业包括商业银行在内，建立内部控制和风险管理体系的目的更多是为了迎合监管标准，而不是为了提高自身风险管理能力进而提升企业价值。COSO在我国商业银行风险管理的运用主要停留在COSO内部控制框架的层面。

（二）BASEL三大风险计量技术运用不够成熟BASELⅡ在我国商业银行中已经开始实施，是一项庞大的系统工程，涉及到治理结构、制度流程、数据管理、计量技术、网络系统等多个方面。同时BASELⅡ实施的直接和间接成本都比较昂贵。目前BASEL在我国商业银行中的技术运用不够成熟，三大风险的技术运用都存在着不同程度的挑战：（1）数据方面。实施BASELⅡ时首先遇到数据方面的问题，而我国多数银行在这一方面的问题更为明显，由于受到经营规模的限制，客户数量较少，管理信息系统上线较晚，造成了数据数量不足、质量不高、数据缺乏连续性等问题。另外，目前很多银行都在使用自行开发的信用评级系统，这会导致没有共同的数据基础，给进一步的风险分析造成障碍。（2）制度方面。使用内部评级法需要具备两个基础：制度基础和技术基础。内部评级体系是一项系统工程，要使内部评级发生效用，只有风险评级的执行过程不发生偏差，而制度和流程在其中起到关键性作用。我国多数商业银行都存在着公司治理结构不完善、决策执行体系构造不合理、监督机构有效性不足等制度问题。（3）风险文化方面。风险文化是企业战略中不可分割的组成部分，但同样对风险管理技术运用也是重要的一方面。因为在实践中如果过于强调短期盈利导向和模型的实用性，就可能会隐含风险。风险文化的培养是需要长期的坚持，必须尽量形成银行内部从管理层到基层执行人员都能认可和遵从的风险文化。（4）人才方面。BASELⅡ的实施，涉及的专门性较强，特别是三大风险的评估和计量，所以人才问题是这三大风险模型实施过程遇到的共有问题。BASELⅡ的实施是一个持续的过程，需要专业人员在这过程中不断积累经验，不断地提高自己的能力，并对银行改进内部风险管理提出建议，但我国BASELⅡ的实战时间较短，这方面的人才较少，从业人员的能力和经验不足。

（三）BASEL框架的运用主要集中在第一支柱首先，我国银监会出台的关于BASELⅡ实施的规范性文件，这些已公布的监管指引已基本覆盖了BASELⅡ的第一、第二主柱下的主要风险和三大主柱的核心内容。2007年银监会《中国银行业实施新资本协议的指导意见》后陆续出台，总共制定了14个指引文件，其中第一支柱有7个，第二支柱有6个，第三支柱有1个，具体的对应关系如（表1）所示。而在银行风险管理的实践中，各家银行的主要重心还是集中在第一支柱上。在监管文件的指引下，各家银行基本上都是将实施BASELⅡ的总体目标和各阶段规划分解成为不同的项目，然后通过项目群管理，对项目进行跟踪管理，从而逐步实施BASELⅡ。但目前各家银行实施的主要精力都集中在第一支柱上，也有小部分银行开始陆续启动第二支柱下的项目，但项目数量有限。

（四）COSO和BASEL融合程度不高COSO的运用主要是为我国商业银行提供了一个内部控制框架，即COSO在我国商业银行风险管理的运用主要停留在COSO内部控制框架的层面。而且BASEL的运用主要在于为我国商业银行风险管理提供了风险管理技术，特别是针对信用风险、市场风险和操作风险三大风险。而没有继续推进到COSOⅡ的风险管理框架层面，而BASELⅡ主要强调的是风险的控制和最小化，通过识别几类风险，然后用标准的流程和作业来识别和控制风险，因此在我国商业银行风险管理实践中，就很难把BASELⅡ纳入到内部控制框架中来。通过对我国已上市的商业银行的年报及其披露的信息来看，COSO和BASEL在运用过程中，成为两个相对独立的体系，两者的融合程度并不高。虽然不能保证，我国商业银行内部控制从内部控制框架（COSOI）向企业风险管理整合框架（COSOⅡ）成功过渡，就一定能把COSOⅡ和BASELⅡ有效的结合起来，但是只有完成了这一过渡，两者协调和融合而成为一个全面风险管理体系就将变得更加可能和现实，而且能在一定程度上促进我国商业银行风险管理水平的提高。

三、我国商业银行风险管理的对策

（一）加强风险管理制度体系建设

（1）目前继续以COSO内部控制框架（COSOI）为指导性框架。COSO内部控制框架已经成为当今世界最权威、使用面最广的内部控制指导性框架。自从1992年以来，经过修改和完善后，逐步得到美国监管机构或国际组织的认可与采纳。经过各国和各类企业的长期实践，这个框架已经被证实是一个切实可行的框架。是得到了BASEL委员会的认可和发展，特别是巴塞尔内部控制框架。巴塞尔内部控制框架是以COSO内部控制框架为基础，并结合银行的特殊性，被称为是COSO框架在银行的具体化。COSO内部控制框架已经成为我国商业银行内部控制体系和监管规范的基础。正是基于这样的原因，因此我国商业银行内部控制体系仍应该继续以这个框架为基础。虽然COSO委员会在2004年已经了COSOⅡ，但COSOⅡ在实践中的运用，目前时机尚未成熟，特别是很多监管规范是以COSO内部控制框架为基础。重新构建新的监管规则体系不是一朝一夕的，而是一个逐步转变的过程。

（2）逐步促进商业银行内部控制建设向全面风险管理框架（COSOⅡ）的过渡。虽然说目前我国在一段时间内将继续以COSO内部控制框架为我国商业银行内部控制建设和评估的指导性框架，但COSOⅡ始终是未来内部控制和风险管理发展和运用的方向，而且COSOⅡ在银行风险管理方面更具有实效。首先，COSOⅡ是在COSO内部控制框架基础，对内部控制理论的深化，特别是强化了内部控制框架的风险管理导向，从而提高了体系的安全性和稳健性。而且COSOⅡ增加的战略目标，也更好地保证了银行的风险管理围绕着银行战略来展开。其次，COSOⅡ能够强化我国商业银行的风险管理能力。COSOⅡ提出的全面风险管理体系和风险组合观的理念，有助于提升我国商业银行的风险管理理念和制度。最后，COSOⅡ能够与BASELⅡ更好地衔接。COSOⅡ强调全面风险管理体系，通过对各类风险的全面识别，提高风险评估的可靠性和准确性，这与BASELⅡ的衔接程度比COSO内部控制框架要高得多。鉴于上述原因，我国商业银行应该从以COSO内部控制框架为基础的内部控制体系逐步过渡到以COSOⅡ为基础的全面风险管理体系。

（3）全面风险管理体系，应该包括所有的风险，不仅限于三大风险。COSOⅡ一个重要的贡献就是提出全面风险管理体系，BASELⅡ学习了COSOⅡ的全面风险管理理念，新的资本充足框架在原有信用风险的基础上进一步涵盖了市场风险和操作风险，并提出更加细致严格的风险计量技术化要求和管理定性化要求，使得资本充足框架更全面、更精确地反映银行经营活动中的实际风险水平。这无疑是BASELⅡ的一大进步，但COSOⅡ强调风险管理体系覆盖整个银行的范围，对各项业务、各项操作和各层次人员等各方面的风险进行管理，实现对银行各类风险的全面识别。而且BASEL委员会在1997年就指出银行面临的主要风险有信用风险、国家风险、市场风险、操作风险、合规风险、流动性风险、战略风险和声誉风险等八大类。因此，银行的风险管理体系不应该仅限于信用风险、市场风险和操作风险三大风险，虽然其他风险可能难以可靠地计量和评估，但这些风险都是不可忽视的，应该尽量通过各种手段来控制和防范这些风险。这样才能达到全面风险管理的要求，提高我国商业银行经营的安全性。

（4）加强风险管理制度体系中的监控环节。目前，我国商业银行对于内部控制和风险管理都有一定的监控措施，大多数商业银行都建立起了由业务部、风险管理部、内部审计部多个部门参与的、多层次的监督检查体系，对内部控制实施日常监督和个别评价。不过由于各方面的不足，特别是监督资源配置、运行管理方面，这些都导致了银行内部监控措施没有得到充分发挥。监控方面的不足表现在两个方面：一个是内部审计比较薄弱，内控评价的广度和深度不足。大多数商业银行的内部审计组织体系不够完善，从而不能保证内部审计在公司治理架构中的独立性和权威性。内审人员的素质也是制约内部审计各方面的一大因素。另一个是业务部门和内控管理部门的日常监督检查难以发挥持续性监督。事实上，在内部控制和风险管理体系的实际运用中，不仅商业银行的监控没有发挥实效，而且一般企业的监控也存着各方面的不足。因此，COSO委员会在2009年也了《内部控制监督指引》。这些监督程序对我国商业银行内部控制和风险管理的监督也有很好的借鉴作用。《内部控制监督指引》也提到，较好的监督程序，不仅能够及时识别并纠正内部控制和风险管理的问题，保证内部控制和风险管理质量，而且能够产生更多对决策有用的准确且可靠的信息，提高银行治理效果，保障组织目标的实现。

（二）提高风险管理技术手段

（1）结合中国实际，逐步提高风险管理技术。在风险管理技术方面，不能否定BASELⅡ在这一方面的优势。不过BASELⅡ在风险评估和计量方面的技术更偏向于定量方法。BASELⅡ主要是在第一支柱中针对信用风险、市场风险和操作风险进行风险管理，进而保证银行的资本充足率，而BASELⅡ针对这三种风险中的任一风险，都提供了几种不同的备选方案。信用风险的标准法和内部评级法、市场风险的标准法和内部模型法、操作风险的基本指标法和标准法及高级度量法都是BASELⅡ所提供的一些风险管理技术。这些方法和技术都给我国商业银行风险管理技术提供了很好的学习和借鉴对象。但值得我们注意的是，我们在学习和借鉴这些方法和技术的时候，必须注意几个问题：首先，我国商业银行所处的国内金融环境与国外有所不同，特别是我国银行所处的监管环境不同。如我国银行的存贷款利率并没有完全放开管制，导致我国银行面临的市场风险相对较小一些。正是由于我国商业银行所处的金融环境的不同，所以对风险管理技术的要求不同，我们在学习和借鉴这些技术时要充分考虑环境的适应性，才能达到更好的风险管理成效。其次，我国大多数商业银行都属于国有企业，由于所有权结构的特殊性，影响了我国银行的组织结构和风险文化等内部环境的因素。内部环境是风险管理体系的基础，影响着其他的构成要素，进而影响着整个风险管理体系的实施效果。因此，在借鉴BASELⅡ风险管理技术时，要结合我国商业银行所有权的特殊性，注意其内部环境的适用性。这也正是为什么我国大多数学者在对我国商业银行风险管理提出建议时都会提到改善内部环境的原因。最后，我国商业银行在借鉴这些风险管理技术之前，必须全面考察自身银行的现有基础是否满足这些风险管理技术的必要条件。由于我国银行风险管理技术起步较晚，很多方面都存在着不足，例如信息系统不完善、数据质量不高、风险管理人员素质较低等。这些不足都严重影响了这些风险管理技术的运用，不仅无法达到既定的目标，而且还可能会出现一些错误的信息而产生一些负面的影响。因此，承认BASELⅡ和COSOⅡ提供的风险管理技术的科学性，但不能照搬这些风险管理方法和技术。

（2）定性评价方法和定量计量方法相结合。本文提到了BASELⅡ和COSOⅡ提供了一系列先进的风险管理技术，而这些风险管理技术可以分为定性评价和定量计量两种不同的方法。COSOⅡ提供的技术更偏向于定性评价方法，这是COSOⅡ适用于不同行业、不同性质、不同规模的企业，而不同的企业有着其独特性，很难对不同企业进行一致的定量计量。BASELⅡ针对商业银行资本管理的压力，利用信息技术和信息管理系统的成果，通过数据技术，开发建立各种测量模型，对商业银行面临的三大风险进行识别和控制，因此BASELⅡ则偏向于定量计量方法。不过，BASELⅡ在信用风险管理的基础上，增加了市场风险和操作风险管理，因此在定量评估和计量方法的基础上，也增加了一些定性评价方法，特别是在操作风险管理领域。本文在对风险管理制度体系建设方面提出建议时，根据全面风险管理理念的要求，认为商业银行风险管理不能仅限于信用风险、市场风险和操作风险这三大风险，应该尽量对我国商业银行面临的所有风险进行管理。而针对这些不同的风险，很难用定量方法来准确地计量，因此应该结合定量和定性两种不同方法，尽量对各种风险进行管理，构建我国商业银行的全面风险管理体系。

（3）加强我国商业银行风险管理基础建设。大多数学者在分析我国商业银行风险管理现状时，都会提出我国商业银行面临着一系列的问题，而出现频率最高的问题就是数据问题，接着就是风险管理文化问题、人员素质问题和组织结构问题等。这些都归属于风险管理基础方面的问题。虽然风险管理技术是整个风险管理体系的核心问题，但如果这些基础方面出现问题，那么风险管理技术也是纸上谈兵，如果硬是强加运用更会出现更多更严重的问题,必须强化风险管理的基础建设。