【IT168 信息化】

    国有上市商业银行需要按照监管要求建立起COSO框架下的全面风险管理体系（ERM），每年在充分评估该体系有效性的基础上，出具内部控制自我评估报告，与财务报告、社会责任报告一并向资本市场披露。

    为有效落实监管要求，有必要深入了解ERM的具体内容、COSO-ERM框架与COSO内部控制整合框架的联系以及商业银行全面实施ERM的必要性，有针对性地制定内控保障机制、设计内控管理政策和措施，逐步推行企业全面风险整合框架。

    COSO企业全面风险管理整合框架(ERM) 2004年9月,COSO委员会发布了《企业风险管理-整合框架》（ERM）。该框架是在1992年《内部控制-整合框架》的基础上，结合《萨班斯-奥克斯利法案》相关要求，采纳理论界、实务界对内部控制框架提出的一些改进建议扩展研究得到的。

    COSO委员会在《企业风险管理-整合框架》（ERM）中指出企业的内部控制应当考虑全面风险管理的需求。全面风险管理是受企业董事会、管理层和其他员工影响并共同参与的，应用于从企业战略制定到各项活动、企业内部各个层次和部门，用于识别可能对其造成潜在影响的事件，并在企业风险偏好范围内管理各类风险，为企业目标的实现提供合理保证的过程。

    ERM设计了企业不同层级（企业整体层、职能部门层、经营单元层、附属公司层）都适用的反映内部控制的八个相互关联的构成要素（即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控），明确了内部控制旨在合理保证实现的四个不同层次的目标（战略目标、经营目标、报告目标和合规目标）。

    可见，企业风险管理（ERM）并不是对《内部控制-整合框架》的否定和替代，而是审时度势，与时俱进，在内部控制思想的基础上将风险管理的理念更为全面深刻地嵌入其中。ERM对内部控制框架的改进和发展主要体现在：

    1.控制目标方面

    ERM保留了原有内部控制框架中的经营目标、报告目标和合规目标，只是适当拓宽了报告目标的范畴，所谓“报告”不再特指“财务报告”，而是包括对企业内外部发布的所有其他报告。除此之外，ERM增加了与企业愿景或使命相关的高层次目标—战略目标，这意味着企业的风险管理开始关注企业战略（包括经营目标）的制定过程，从源头上把控整体风险水平，进而有针对性、有效地保障其他目标的合理实现。

    2.控制要素方面全面风险管理（ERM）将COSO五要素扩展为八要素，保留内部环境、风险评估、控制活动、信息与沟通、监控五要素，增加了目标设定、事项识别和风险应对三个要素，清晰地勾画出风险管理的完整循环流程，从目标设定到事项识别、风险应对、控制活动，最后是对整个过程的监督控制和检讨纠正。

    3.控制理念方面

    全面风险管理（ERM）强调了全程的风险管理过程、全员的风险管理文化和全员参与的风险管理机制。通过对内部控制要素的扩充以反映风险管理全流程的概念，体现了ERM对全程风险管理过程的关注。另外，ERM认为组织中的每一个人都对企业风险管理负有责任，并进一步划分了责任主体等级：企业风险管理的成功与否主要依赖于董事会，因为董事会负责审批风险管理总体政策和具体措施；CEO以及管理层其他成员对公司治理、风险管理、内部控制体系的建立健全负有首要责任；企业各职能部门、各部门人员负有根据所处地位、职责划分的不同按部门规章和岗位职责执行风险管理具体措施的责任。

    4.风险管控幅度方面

    全面风险管理（ERM）借鉴现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于各层级机构、各职能部门的风险暴露，以统筹考虑风险应对对策，提高风险控制的效率和效果。增加风险控制的管控幅度可以避免以下两种情况：一是部门（或者某机构）的风险处于可容忍限度之内，但从企业整体角度看，累积起来的风险可能超出了企业的风险容忍度，因为个别风险的累积并不一定是简单的相加关系，有可能存在放大效应；二是个别部门（或者机构）的风险超过其容忍度，但从企业整体角度看，存在抵消其风险影响程度的机制或者措施，因而就其本身而言没有必要采取风险应对和控制措施。

    商业银行实施全面风险管理（ERM）的必要性

    首先，ERM框架是目前公认的国际内部控制和风险管理的非常好的理论基础。一经推出，便得到了以美国联邦储备局、美国证券交易委员会为代表的监管机构和以巴塞尔委员会、IIA为代表的国际组织的推崇和认可。COSO内控框架是唯一被美国证券交易委员会确认为完整、全面、不偏倚的内控框架，其中的许多内控语言、理念和方法被广泛吸收到各国监管法律和法规的制定之中，在全世界范围内产生了深远的影响。

    其次，商业银行实施全面风险管理有利于顺应内部控制和风险管理的发展主流，更好地满足监管要求。国有资产监督委员会发布的《中央企业全面风险管理指引》、上海证券交易所发布的《上市公司内部控制指南指引》借鉴了ERM框架，银监会发布的《商业银行内部控制评价试行办法》和财政部等五部委联合发布的《企业内部控制基本规范》也沿用了COSO内控体系方法论。

    最后，商业银行实施全面风险管理是夯实内控管理基础，促使内控管理上水平的必由之路。股份制改革初期国有银行内控体系基础极为薄弱，各部门（机构）人员职责含混、业务和内控管理流程不清晰，内控管理信息系统尚未成型，增加了内控管理的难度，也在一定程度上制约了业务发展。

    因此，积极主动落实与全面风险管理相关的一系列制度要求，顺应内部控制和风险管理的发展趋势，摸索研究出一套既符合监管要求，又适应内部管理实际需要的内控体系框架，能在尽快缩小与监管要求之间的差距的同时，迅速提升内控风险防范水平，这成为当时各大商业银行内控发展的重中之重。