薩班斯法案、COSO風險管理綜合框架及其對商業銀行風險管理的啟示一、薩班斯法案與內部控制強制性披露2001年12月起，以安然、世通等公司為代表的一些美國大型上市公司相繼倒閉破產,震撼了美國資本市場。為了恢復投資者對證券市場的信心和規范資本市場的運行,美國國會和政府于2002年7月25日通過了《薩班斯—奧克斯利法案》，又稱“公眾公司會計改革與投資者保護法案”。布什總統認為，該法案是自羅斯福總統以來美國商業界影響最為深遠的改革法案。法案的第一句話就是“遵守證券法律以提高公司披露的準確性和可靠性，從而保護投資者及其他目的。”該法案共分11章，第1至第6章主要涉及對會計職業及公司行為的監管，包括：建立一個獨立的“公眾公司會計監管委員會”，對上市公司審計進行監管；通過合伙人強制輪換制度等提高審計的獨立性；對公司高管人員的行為進行限定以及改善公司治理結構等，以增進公司的報告責任；加強財務報告的披露；通過增加撥款和雇員等來提高SEC的執法能力。第8至第11章主要是提高對公司高管及白領犯罪的刑事責任，比如，為強化公司高管層對財務報告的責任，要求公司高管對財務報告的真實性宣誓，并就提供不實財務報告分別設定了10年或20年的刑事責任。在該法案中，要求最嚴、執行成本最高的條款，是其中的404條款。404條款要求首席執行官和首席財務官對上市公司財務呈報內部控制的有效性進行評價和報告。該份報告包括在公司按年度遞交給美國證券交易委員會的年報中。以后，上市公司年報中還必須包括有關財務呈報內部控制的三個內容：第一、管理當局對企業財務呈報內部控制的年度報告，具體為：1、關于管理當局建立和維護適當企業財務呈報內部控制的責任報告；2、管理當局用于評價企業財務呈報內部控制有效性的方法框架的報告；3、管理當局對到最近財年末為止的企業財務呈報內部控制的有效性的評價；4、一個聲明,即會計事務所(對公司包含在年報中的財務報表進行審計的機構)已經對管理當局的財務呈報內部控制有效性評價意見簽發鑒證報告。第二、會計師事務所的審計報告,提供審計人員對管理當局財務呈報內部控制評價意見的審計報告。第三、財務呈報內部控制的變動,對于任何重大地影響或可以合理預期將重大地影響企業財務呈報內部控制的任何變動都應予以披露。同時，為了配合404條款的執行，美國證券交易委員會通過制定規則來具體規定公司執行薩班斯-奧克斯利法案404條款的要求；公眾公司會計監管委員會通過制定第2號審計準則為注冊會計師提供內部控制審計指南；COSO委員會制定標準體系，作為管理當局和注冊會計師進行財務呈報內部控制評價的基礎。二、COSO風險管理綜合框架與內部控制標準的發展內部控制標準體系是公司內部管理當局與外部注冊會計師完成財務呈報內部控制有效性評價的基礎。在美國，COSO委員會于1992年制定的內部控制綜合框架（IC-IF）是至今管理當局和注冊會計師在財務呈報內部控制有效性評價方面的依據之一。薩班斯法案404條款頒布之后的一個新變化是，COSO委員會于2004年9月29日正式發布了《企業風險管理綜合框架》（ERM-IF）。COSO委員會提出，企業風險管理是企業的董事會、管理層和其他員工共同參與的一個過程，應用于企業的戰略制定和企業的各個部門和各項經營活動，用于確認可能影響企業的潛在事項并在其風險偏好范圍內管理風險，對企業目標的實現提供合理的保證。根據管理者經營的方式劃分，企業風險管理包括八個相互關聯的組成要素:內部環境、目標設定、事件識別、評估風險、應對風險、控制活動、信息與溝通和監督。內部環境是企業風險管理的基礎，為企業風險管理所有其他組成部分運行提供了平臺和結構。企業的目標制定是企業風險管理的起點,是其他步驟的驅動力量。整個過程是環環相扣的。在目標制定的前提下,企業需對影響目標的風險進行事件識別，進而對識別的事項進行風險評估，風險評估驅動風險反應，影響控制活動，信息與溝通和監督貫穿于企業風險管理的整個過程,并對前面的各個組成要素進行修正。這樣，企業風險管理不只是一個直線過程，即一個組成部分只會對下一個部分產生影響，而且是一個多元化的相互作用的過程，即幾乎任何組成部分都能夠并將會影響另一個部分。企業風險管理的八個組成部分體現的是一個動態的過程,是一個有機的整體。從內部控制綜合框架到企業風險管理綜合框架，不是局部的修補和簡單改良,而是在理念上的本質突破。體現在：從“控制環境”到“內部環境”，這一修改使得企業關注的范圍不再局限于控制方面，而是從更寬闊的視野更綜合更直接地考慮各種因素對風險的影響；目標制定中增加“戰略目標”，使企業在追求短期利益的同時，從戰略的高度關注企業的長遠目標和可持續發展；將“風險評估”擴展為“事件識別”、“風險評估”和“風險反應”，不是對原“風險評估”進行簡單的細化,而是代表著企業風險意識日益增強和積極主動管理風險。企業風險管理綜合框架強調應對所有事件既包括正面事件與負面事件進行綜合識別，并且應該將其以適當的組合方式加以看待，而后通過對固有風險和剩余風險的綜合評估做出適當的風險應對措施。這樣一方面可以減少經營偏差的發生及相關成本和損失，另一方面有利于企業抓住機會（正面事件），及時調整策略，以達到經營和獲利目標，避免資源浪費。三、對我國商業銀行風險管理政策與實務的幾點啟示薩班斯法案404條款所帶來的強大國際影響，COSO委員會的風險管理綜合框架對內部控制綜合框架的發展和完善，這一切，對我國商業銀行風險管理政策與實務的啟示主要有五個方面：1.培育健康的風險管理文化是商業銀行推行全面風險管理的基礎。現階段不少商業銀行仍將風險管理簡單理解為人的職業道德意識，將防范職業道德造成的違法違規風險作為風險管理的核心內容和首要矛盾，員工普遍沒有風險意識，風險管理更多的是作為口號而存在。其核心的原因就是沒有建立健康的風險管理文化。良好的風險管理文化是企業文化的一部分，它包含現代商業銀行風險管理理念、風險控制行為、風險道德標準與風險管理環境等要素，反映了銀行的價值觀，影響著它的經營風格。要倡導和強化“全員的風險管理意識”，銀行要通過各種途徑將風險管理理念傳遞給每一個員工，內化為員工的職業態度和工作習慣，在整個銀行形成一種風險控制的文化氛圍，形成一種風險防范的道德評價和職業環境，保證商業銀行在不斷變化的環境中能夠敏銳地感知風險、分析風險和防范風險。良好的風險管理文化是一個長期培養的過程，它需要董事會的承諾，管理層的推進，老員工的垂范，以及銀行在日常經營活動中長期一致的堅持。2.構建垂直管理的全面風險管理組織架構是推行全面風險管理的組織保障。現階段我國商業銀行的風險管理的組織架構亦未建立，風險管理的重點主要集中在基層的信貸風險管理，各家銀行的風險管理模式趨同，沒有突出本銀行的業務特色。要推行全面風險管理，減少地方政府和管理層等其它利益相關者對風險管理的不正當干預，就必須要改變我國商業銀行長期以來以地區分行為主體的行政管理模式，建立總行主導的、垂直管理的風險管理組織架構模式。首先，要組織實施風險管理部門垂直管理，實行在首席風險官統一領導的垂直化、系統管理的模式，提高風險管理組織的有效性和信息傳遞的有效性，保證銀行對風險的及時反應。其次，要借鑒成熟國際銀行的風險管理的崗位設置，建立包含三個層次的風險管理經理，即業務風險經理（BusinessRiskManager）、職能風險經理的（FunctionalRiskManager）和資產組合風險經理（PortfolioRiskManager），分別從事不同層次的風險管理工作。第三，要加強對所有業務流程和關鍵風險點的有效監控，并逐步將風險管理逐步向總行集中，提高銀行風險防范的規范性、系統性，提高對銀行整體風險管理能力的把握。3.必須明確制定商業銀行的風險管理目標和政策。明確的目標是銀行風險管理的前提，清晰的政策是銀行風險管理的基礎。銀行的目標體系主要包括戰略目標、經營目標、報告目標和監管目標四大目標體系。由于我國商業銀行長期處于所有者缺位和多元化目標的狀況中，商業銀行的戰略規劃極其兒戲，一任行長的變換就直接決定了銀行的戰略目標的變化。銀行的戰略目標更多的是長官意志，而與銀行的業務優勢、風險偏好、風險容忍度關系不大。在戰略目標確定的基礎上，根據戰略目標設計各項業務的經營目標，制定明確的報告目標，提出監管目標，以保證經營目標的實現、報告的準確性和監管目標的有效性。最后，要將科學的目標體系轉化成易于理解、執行的科學的風險管理政策體系，各級管理層負責制定清晰、統一的風險管理政策，包括信用風險管理政策、市場風險管理政策、操作風險管理政策等，提高風險管理制度的系統性和可操作性。4.要樹立科學的風險應對策略觀，以銀行的價值最大化為原則綜合應用各種應對策略。銀行的風險應對包括風險回避、風險減低、風險分擔和風險承受等幾種主要的方法。我國的商業銀行為防止國有資產的流失，力求防范銀行的所有風險，這就決定了銀行對風險的應對方式主要是風險回避等前三種方法，對于風險承受根本是難以接受的。由于現階段銀行的風險厭惡，降低風險時根本不考慮增加的機會成本，通過層層設防來防止小概率事項的風險。要樹立科學的風險應對策略觀，銀行要從整體層面來分析風險影響的后果，要以銀行的價值最大化為原則來選擇具體的應對策略，要評估成本收益比。對不能承受的風險，銀行要主動回避；對可以采取措施降低、分擔的風險，銀行綜合運用管理措施和保險等方法管理，而對于風險敞口不大的低概率業務，選擇風險承受也是一種積極的風險管理方式。5.拓展內部審計責權，保證商業銀行全面風險管理的監控體制正常運行。建立風險管理的后評價和持續改進機制是監控的主要內容。商業銀行內部審計部門要在獨立于經營管理層、直接對董事會負責的基礎上，擴展其責權，