基层央行风险管理一体化框架设计与建设路径研究

胡兆军

《企业风险管理框架-战略和业绩的整合》（COSO-ERM 2017）的正式发布再次吸引了全球管理界的瞩目。新版ERM框架重新定义了风险、ERM和风险容量，确定了成功实施风险管理的5大要素——治理与文化、战略和目标设定、绩效、审阅和修订、信息沟通和报告，定位了风险管理与战略的协同作用。一直以来，西方主要央行和我国央行沿着COSO-ERM框架的演进路径，不断更新和完善自身的风险管理体系。但当前我国基层央行风险管理与COSO-ERM框架精神相比还有一定差距，有待重新构思完善。

一、我国央行应用COSO-ERM框架情况

2006年，人民银行印发了《中国人民银行分支机构内部控制指引》（银发[2006]111号），主要是参照COSO框架（1992）将人民银行内部控制划分为内部控制环境、风险评估、内部控制活动、内部控制的信息及其沟通、对内部控制的监控等5个要素，细化了内部控制5要素的建设标准，确立了人民银行内部控制目标和原則。2013年，印发《中国人民银行内审部门风险评估工作试行办法》（银内审发[2013]18号），将人民银行风险划分为市场风险、信用风险、流动性风险、操作风险、法律风险和声誉风险6大类，采用剩余风险评估模型，通过定性、定量方法，确定评估对象的风险级别。2014年，印发了《中国人民银行内部控制审计试行办法》（银内审发[2014]33号），明确以审计的方式审查和评价内部控制的充分性、合理性、遵循性、有效性，规范了内部控制审计的内容、程序和报告。2016年，人民银行总行开发了“内审部门风险评估管理系统”，组织分支行梳理了“风险事项清单”，形成了组织机构和业务条线两个维度的人民银行风险概图。由此，人民银行风险管理的技术、工具、平台基本建立起来。进入2017年，人民银行转发了财政部印发的《行政事业单位内部控制报告管理制度（试行）》，要求各省级分支机构、总行企事业单位正式编报内部控制报告，这是第一个正式的有关风险管理的报告。

人民银行风险管理内设部门可以划分为两类——内部监督部门（纪委监察、巡视、内审）和其他业务部门（对外履职部门、宣传组织部门）。每一级机构的风险管理实行党委（组）领导下的分管领导负责制，上级机构（部门）垂直领导下级机构（部门），基本属于“条线型”“职能型”风险管理结构。此种模式倾向于垂直管理，横向沟通不足，与全面风险管理框架，特别是COSO-ERM（2017）精神相比，存在着缺乏集中统一的风险管理领导机构、风险管理信息沟通不畅、风险管理文化成熟度不够等问题。

二、基层央行风险管理一体化框架设计

为改进基层央行现行风险管理中的不足，提高基层央行风险管理水平和成效，本文提出风险管理一体化模式，通过完善风险管理组织架构，实现风险管理由单一的垂直型管理转向横向、纵向两个维度的矩阵式管理，实现COSO-ERM框架精神与基层央行风险管理的更深嵌入和有机融合。

（一）风险管理一体化框架的要素构成及运作机理

风险管理一体化框架是在汲取COSO-ERM（2004，2017）两个框架精神的基础上，结合央行组织管理和风险管理的特点，为便于付诸实践而做出的结构安排与设计。它包含6个要素——治理目标、组织架构、风控文化、横向沟通、纵向监控、自我评估。其与COSO-ERM（2004，2017）之间的联系和区别如下：“治理目标”基本对应COSO-ERM（2004）中的“目标设定”和COSO-ERM（2017）中的“战略和目标设定”。将COSO-ERM（2004）中的“内部环境”细分为“组织架构”和“风控文化”，这两部分内容包含在COSO-ERM（2017）的“治理与文化”要素，但考虑本文着重研究风险管理一体化的建设框架，所以“组织架构”特指亟待完善或搭建的风险管理组织架构，而不包括其他运营架构。“风控文化”是COSO-ERM（2017）所指“文化”中的有关风险理念的部分。COSO-ERM（2004）中的“事项识别”“风险评估”“风险反应”“控制活动”“信息与沟通”“监控”等6要素内含于“横向沟通”“纵向监控”“自我评估”中，对应于COSO-ERM（2017）中的“绩效”和“信息沟通和报告”。COSO-ERM（2017）中的“审阅和修订”是一个持续、全面、动态的改进过程，其责任主体属于多个，已经蕴含于单位党委（组）、风险管理委员会、职能部门等风险管理主体的日常工作中，故未在一体化管理框架中单独列示。一体化风险管理框架6个要素的设计，是基于风险管理的责任主体、运行方向（横向、纵向、内部）和运作机理，便于在实践中明晰风险管理职责和具有可操作性。

治理目标：吸收COSO-ERM（2017）的精神，包括战略目标和业务目标，按性质可分为合规性目标和绩效性目标。风险管理围绕组织目标展开，保障组织目标的实现。组织架构：明确单位、部门等风险管理主体的角色和定位，统筹协调推进风险管理，保障风险管理战略的实施、措施的执行和目标的实现。风控文化：涵盖“精神—制度—行为—物质”四个层面，目标是建设符合实际、具有履职特色的风险管理文化，使风险意识、理念深入人心，融入岗位职责和流程，内化为员工的自觉行动。横向沟通：促进同级监督部门与业务部门风险管理信息和资源共享、策略共商、机制共建，形成横向上的协同联动，发挥双方合力。纵向监控：上级单位（部门）落实对下级单位（部门）指导监督和绩效考核职责，实现单位纵向和业务条线内风险管理的上下贯通。自我评估：包括单位内部自我评估和部门内部自我评估。通过自我评估找准内控缺陷，修订内控制度，实现流程再造，消除风险隐患，提升工作绩效。

在风险管理一体化框架中，6要素相互促进、相互渗透、有机融合，形成立体化管理模式，共同提升治理水平。

（三）风险管理一体化的优势

1. 确立了风险管理的核心。现行风险管理由于没有明晰的组织架构，无法突破部门之间的壁垒和业务条线的分割，不能实现风险管理的集中统一领导。一体化使得风险管理有了组织领导核心，提升了风险管理权威，便于统筹推进风险管理，便于疏通风险管理路径。

2. 能够实现风险管理信息辐射式和映射式传导。以风险管理组织架构为核心向外扩散形成辐射圈，由决策层依次传导至具体岗位层，由宏观层面的风险管理战略、风险管理文化传导至微观层面的控制活动、控制措施，由上级行直接映射到下级行，反向收敛实现风控措施的反馈和风险事件的报告。

三、基层央行风险管理一体化建设路径

（一）确立风险管理一体化建设目标

按照责任主体和风险容忍度的不同，可以将目标划分为总体目标、基准目标和具体目标。总体目标可设定为建立符合央行履职要求、具有央行特色的风险管理体系，将风险管控机制融入内部管理和对外履职的各个层面，内化为全体员工的自觉行动，实现风险管理横向协同联动、纵向上下贯通，确保风险处于可接受水平。基准目标可设定为，确保重大金融政策贯彻落实、确保辖区金融安全稳定、确保不发生违法违规案件、确保重大风险事件及时妥善处置、确保党员干部廉洁自律。分支机构内设部门可以结合自身履职范围，确立本部门具体建设目标。

（二）健全风险管理一体化组织架构

在现行体系的基础上，充实党委（组）对风险管理的领导职能。成立风险管理委员会及其办公室，委员会在黨委（组）领导下开展工作。各职能部门设立风控主管，作为本部门风险管理的牵头人。明确界定党委（组）、风险管理委员会、职能部门、内控主管等风险管理主体的角色及职责。

（三）构建“三道防线”责任制

相对下级部门（人员）对业务操作风险负有直接责任，是风险管理的第一道防线;相对上级业务主管部门对下级对口部门负有管理指导职责，是风险管理的第二道防线;相对上级专职监督部门（含联合检查组）对下级风险防控负有再监督职责，是风险管理的第三道防线。“三道防线”都要定期向风险管理委员会报告工作。

1. 第一道防线职责。作为业务的直接参与者和风险的直接控制者，负责落实上级主管部门的业务政策、内控制度，设计本单位（部门）内部控制程序、措施，定期检查业务操作的合规性，支撑本单位（部门）实现既定的风险管理目标。为设计的内部控制缺陷或缺失、操作层出现业务差错以及由此引发的风险承担直接控制责任。

2. 第二道防线职责。制定本辖区业务条线内管理政策、内控制度;定期识别、评估、检查业务条线内部控制风险和业务风险;控制单一机构风险、单一环节风险扩散;对全辖普遍性、规律性风险制定防范化解措施;向整个业务条线提示新兴业务风险和规章制度的新变化;为内控制度缺陷或缺失、业务风险扩散、重要管理漏洞承担主管责任。

3. 第三道防线职责。对辖区业务风险管理、内部控制、岗位廉政风险防范的有效性进行独立确认。确认范围包括：业务的合规性、履职的效率效果、资金资产的安全、内部控制框架的充分性和有效性、党风廉政机制建设和成效等。为辖区发生重大业务风险、案件风险、重大外部检查风险承担再监督责任。

（四）完善一体化风险管理PDCA运转机制

1. 一体化风险管理PDCA运转模型。借鉴戴明环管理理论（PDCA），将风险管理划分为风险管理决策、风险管理政策执行、风险管理工作考核与评价、风险管理机制调整与优化4个环节，由此构建出一体化风险管理PDCA运转模型。其中，风险管理决策环节由风险管理委员会和党委（组）承担;风险管理政策执行环节由“三道防线”承担;风险管理工作考核与评价环节由党委（组）承担;风险管理机制调整与优化环节，由党委（组）和风险管理委员会领导，各风险管理主体具体承担。

2. 完善风险管理决策机制。建立风险管理主体定期汇报制度和重大、重要风险逐级上报制度。将重大风险管理决策权赋予党委（组），重要风险管理决策权赋予风险管理委员会。党委（组）的重大决策权包括：界定风险管理主体的角色和职责;研究审批辖区重大、综合性风险管理政策;考核风险管理委员会绩效;问责风险管理主体。风险管理委员会的重要决策权包括：组织落实党委（组）部署的重大、综合性风险管理政策;组织培育审慎的风险管理文化;统筹协调监督计划的制定执行、监督资源的分配、监督信息的共享;组织撰写风险管理分析报告;根据环境变化和风险管理一体化运行状态，牵头调整风险管理一体化机制。

3. 改进风险管理政策执行机制。将“条线型”结构改进为“矩阵型”结构，从两个维度确保风险管理政策无缝衔接。重点是推进横向风险管理共商共建，提升纵向监督效力，推动风险管理自评估常态化等。

4. 填补风险管理工作考核评价环节。风险管理考核评价环节是现行央行风险管理体系的空白。应着手建立风险管理考核评价体系，健全风险管理失职渎职线索移交程序和问责办法。由党委（组）履行考核评价职能，重点考核风险管理委员会统筹协调、风险分析报告、风险文化培育等职责落实情况，考核其制定综合性监督计划的科学性、监督资源分配的合理性、重要重大风险处置的妥当性等绩效情况，对各风险管理主体失职渎职行为及时问责。

5. 持续调整优化一体化风险管理机制。风险管理委员会应及时跟踪重大环境变化，包括国内外经济金融的运行态势、党和国家的重大方针政策、央行履行职责面临的社会环境、地缘政治文化影响等;应及时跟踪内部结构变化，包括央行职能的调整、重要人事变动、关键岗位调整、新技术新系统的应用、管理模式的改变等。应及时评估上述变化对风险分布的影响，找准风险管理机制的薄弱部位和环节，做出相应的调整和优化。

（五）落实风险管理措施

1. 横向上推进风险管理协同联动。一是促进政策共商。建立监督部门与业务主管部门间交流磋商机制，遇有风险信息双方及时沟通，共同商讨预警、控制和化解风险的措施，双管齐下治理风险。二是促进机制共建。双方搭建学习平台、交流平台、合作平台，共享培训机会、风险管理知识、经验做法等，监督部门积极发挥咨询服务职能，业务主管部门及时反馈业务更新情况，合作开展风险管理。三是促进信息共享。风险管理委员会及时收集各方面风险管理信息，确保信息在上下之间、平行之间自由流通。四是促进资源整合。风险管理委员会充分发挥统筹协调作用，整合监督人力资源、检查资源，构建“大监督”格局。

2. 纵向上促进风险管理上下贯通。重点在现行基础上，进一步提高风险管理效力。应解决“第二道防线”履职不到位的问题，深化“第三道防线”监督，坚持风险全覆盖原则，聚焦“盯住人、管好钱、用好权”，拓展监督深度，创新监督方式，下沉监督重心。

3. 推进单位（部门）风险管理自评估。央行内审部门已经建立了成熟的风险评估信息系统，实现了风险评估的数字化。下一步，应全面普及风险评估技术，推动风险评估信息系统普遍应用，实现风险自评估的常态化。

4. 推进监督成果运用机制化、常态化、长效化。在机制化方面，着力完善“‘一把手主导、分管领导主推、具体部门实施”的成果运用责任体系，健全审计整改联动机制和后续跟踪机制，构建成果运用齐抓共管、部门联动的大格局。在常态化方面，着力解决成果运用零散、随意问题，将综合分析、交流磋商、风险揭示、梳理“红线清单”、问题通报等行之有效的方法，以制度形式固定下来。在长效化方面，将监督成果运用作为工作考核的重要内容，将问题整改情况纳入业务条线检查范畴，推动监督成果运用务实、长效。

（责任编辑    刘西顺;校对   XS）