3、资产负债风险管理阶段。二十世纪七十年代,随着布雷顿森林体系的崩溃,固定汇率制度向浮动汇率制度转变,汇率波动不断加大。始于 1973 年的石油危机,导致西方国家通货膨胀加剧,利率的波动也开始变得更为剧烈。
此时单一的资产风险管理模式或单一的负债风险管理模式均不能保证银行安全性、流动性和盈利性的均衡。因此资产负债风险管理理论也就应运而生,它强调了对资产业务、负债业务的协调管理,通过对资产与负债的结构和期限的共同调整、经营目标的互相代替以及资产分散实现总量平衡和风险控制。
4、全面风险管理阶段。二十世纪八十年代以后,随着银行业竞争的加剧、存贷利差的变窄、金融衍生工具的广泛使用,特别是金融自由化、全球化浪潮和金融创新的迅猛发展,使银行面临的风险呈现多样化、复杂化、全球化的趋势,大大增加了银行风险管理的复杂性。在此情况下,银行风险管理理念和技术有了新的提升,随着 1988 年《巴塞尔资本协议》的出台,国际银行业基本形成了相对完整的风险管理原则体系。
二十世纪九十年代中后期,巴林银行倒闭、亚洲金融危机等一系列事件都进一步昭示,损失不再是由单一风险造成的,而是由信用风险、市场风险、操作风险等多种风险因素交织作用而成。国际银行业的新变化促使风险管理朝着更科学和完善的方向发展。2004 年 6 月,《巴塞尔新资本协议》的出台,标志着现代商业银行的风险管理出现了一个显着的变化,就是由以前单纯的信贷风险管理模式转向信用风险、市场风险、操作风险并举,组织流程再造与技术手段创新并举的全面风险管理阶段。2010 年 12 月发布的第三版巴塞尔协议确认了微观审慎和宏观审慎相结合的金融监管新模式,提高了金融机构的资本充足率监管要求,建立了全球统一的流动性监管量化标准,也进一步丰富了商业银行全面风险管理的内涵。
2.2 商业银行内部控制相关理论概述
2.2.1 内部控制的涵义和主要理论内容
“内部控制”的概念,源于 1949 年美国会计师协会发表的一份专门报告,是指公司出于保护资产、核查会计数据的准确性和可靠性、提高经营效率、促使遵循既定的管理方针而采取的方法和措施。1988 年引入了内部控制结构的概念,第一次将内部控制引申为一种结构和环境,认为内部控制的实质在于合理地评价和控制风险,因此可以称之为风险导向型的内部控制,从而将内部控制和风险管理有机地结合起来[30].
内部控制理论的权威文件主要有三个:一是 1992 年 COSO(Committee of Sponsoring Organizations of TreadwayCommission,美国反对虚假财务报告委员会所属的发起机构委员会)提出的报告---《内部控制整合框架》。这份报告对内部控制的定义、组成部分进行了阐述,指出内部控制主要由控制环境(control environment)、风险评估(riskassessment)、控制活动(control activities)、信息与沟通(informationand communication)、监控(monitoring)这五个相互联系的要素组成。同时提出企业内部的每一名成员在实施内部控制方面都扮演着一定的角色,负有一定的责任[30].
二是 1998 年巴塞尔银行委员会发布的《银行组织内部控制系统框架》,系统提出了评价商业银行内部控制体系的指导原则[30].
三是 2006 年 12 月,中国银行业监督委员会发布的《商业银行内部控制指引》,进一步明确了商业银行内部控制是为了实现其经营目标,通过制定和实施一系列的制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制[30].
2.2.2 内部控制的理论发展
内部控制的理论发展大致经历了内部牵制、内部控制、内部控制结构和全面风险控制这四个阶段。
1、内部牵制。在上世纪四十年代前,人们习惯用内部牵制这一概念。根据《柯氏会计辞典》的解释,内部牵制是指:“以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整正确地经过规定的处理程序,而在这规定的处理程序中,内部牵制机能永远是一个不可缺少的组成部分[43].”
2、内部控制。1949 年,美国会计师协会的审计程序委员会在《内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策[43].”1958 年 10 月该委员会发布的《审计程序公告第 29 号》对内部控制定义重新进行表述,将内部控制划分为会计控制和管理控制。内部会计控制包括组织规划的所有方法和程序,这些方法和程序与财产安全和财物记录可靠性有直接的联系。这个控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。
3、内部控制结构。1988 年美国注册会计师协会发布《审计准则公告第55 号》(SAS 55),从 1990 年 1 月起取代 1972 年发布的《审计准则公告第 1号》。该公告首次以“内部控制结构”代替“内部控制”,指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序[43].” 内部控制结构具体包括三个要素:控制环境、会计制度、控制程序。这一理论正式将控制环境纳入内部控制范畴。
4、全面风险控制。进入九十年代后,对于内部控制的研究进入了一个新阶段。1992 年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的“发起组织委员会(COSO)发布报告”内部控制--整体框架,即“COSO 报告”,该报告具有广泛的适用性。
1996 年美国注册会计师协会发布《审计准则公告第 78 号》(SAS 78),全面接受 COSO 报告的内容,并从 1997 年 1 月起取代 1988 年发布的《审计准则公告第 55 号》(SAS 55)。新准则将内部控制的定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规[43].”该准则提出了内部控制的五个要素,即控制环境、风险评估、控制活动、信息与沟通、监控。这五个要素内容广泛,相互关联。控制环境是其他控制要素的基础,在规划控制活动时,必须对企业可能面临的风险有细致的了解和评估;而风险评估和控制活动必须借助企业内部信息有效的沟通;最后,实施有效的监控以保障内部控制的实施质量。
从“内部控制-整体框架(COSO 报告)”颁布到现在近 20 年的时间,“组织的业务和经营环境发生了巨大的变化,如互联网的广泛使用、科学技术的进步、商业模式的改变以及全球一体化等。与此同时,利益相关者更多地参与治理过程,并且寻求更透明和更负责的内控体系来支持决策和组织的治理”( CO-SO,2011),这些变化都要求“COSO 报告”需要适应环境进行调整。金融危机爆发以后,股东和其他主要利益相关者越来越关注风险以及如何控制风险,因为他们认为不充分的风险管理是导致金融危机的主要原因,这进一步加速了对 COSO 报告的修订步伐45].
COSO 框架的最新变化包括框架的变化和内容的变化。在更新的 COSO 三维框架中,纵向表示内部控制的三类目标,其中“财务报告”目标改为了“报告”目标;横向表示内部控制的五要素,其中“监控”要素改为了“监控活动”要素,各个要素的位置发生了变化,排列顺序由原来的由下向上变为了由上向下;第三维度由主体的单元(Unit)或活动(Activity)改为主体、分部(Division)、营运业务单元(Operating Unit)或职能(Function)。