构建体现全面风险管理的内部控制新机制

　　一、内部控制和全面风险管理的内涵

　　1、内部控制

　　现代理论界对内部控制的定义各不相同，但被普遍接受的定义是国际权威机构美国的 COSO委员会（即美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会CommitteeotSponsoringOrganizationsoftheTread—wayCommission，简称COSO委员会）对内部控制的定义。该组织认为：内部控制是一个组织设计并实施的一个程序，以便为达到该组织的经营目标提供合理保障。其中经济组织的经营目标包括：经营的效果和效率；真实可靠的财务报告；合规性经营。在COSO委员会的《内部控制管理框架》中，把内部控制活动分成五大组成部分，即：控制环境、风险评估、控制活动、信息与交流和监督评审。

　　COSO委员会的内部控制理论得到了巴塞尔委员会的认同和发展。在巴塞尔银行监管委员会的内部控制定义中，进一步强调了董事会和高级管理层对内部控制的影响，组织中所有人员都必须参加内部控制过程，对内部控制产生影响。巴塞尔委员会把内部控制的目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动；在信息性目标中把管理信息也包括进来，明确要求实现财务和管理信息的可靠性、完整性和及时性。但是巴塞尔委员会将COSO委员会《内部控制管理框架》认为并非内部控制活动的“缺陷的纠正”也归人了内部控制的范畴，并增加了金融监管当局对被监管组织的内部控制状况的检查和评价，把它也作为内部控制的另一不可忽视的内容。

　　对于内部控制的定义，我国银行业监督管理委员会在《商业银行内部控制评价试行办法》中也作了如下的解释：商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。它包含的要素主要有：（1）内部控制环境；（2）风险识别与评估；（3）内部控制措施；（4）信息交流与反馈；（5）监督评价与纠正。

　　2、全面风险管理

　　在多年的管理实践中，人们意识到一个银行内部不同部门或不同业务的风险，有的会相互叠加放大，有的则相互抵消减少。因此，风险的考虑不能仅仅从某项业务、某个部门的角度出发，必须根据风险组合的观点，从贯穿整个银行的角度看风险，即要实行全面风险管理。

　　依据COSO委员会2003年7月完成的《全面风险管理框架》定义：全面风险管理是一个过程，受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，合理确保企业取得既定的目标。该框架有三个维度，第一维是企业的目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有4个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是：全面风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。

　　现代金融领域中决定一家金融机构竞争力高低、决定其经营能力高低的关键和核心，就是看其能否有效地对风险进行全面有效的管理，能否积极主动地承担风险、管理风险、建立良好的风险管理架构和体系，以良好的风险定价策略获得利润。因此，对于一个金融机构而言，全面风险管理是金融机构内部管理的核心，在整个管理体系中的地位已上升到金融机构发展战略的高度，它是金融风险控制的更高阶段，是动态的、全程的、计量的、立体的风险控制。将在 2006年实施的《巴塞尔新资本协议》就蕴涵了这种全新的风险管理理念。该协议将全面风险管理概括为对整个银行内各个层次的业务单位，各种类型风险的通盘管理，这种管理要求将信用风险、市场风险及各种其他风险以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中，对各类风险依据统一的标准进行测量并加总，且依据全部业务的相关性对风险进行控制和管理。它的关键在于及时准确地找到每种业务所暴露的风险点，通过风险计量模型以及测量系统加以度量，然后根据已经量化了的风险大小进行相应的风险管理，设置风险限额，分配资产、配置资本等。

　　二、内部控制与全面风险管理的关系

　　1、内部控制与全面风险管理是紧密相关的

　　（1）内部控制是全面风险管理的必要环节，内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出，内部控制是为了实现经济组织的管理目标而提供的一种合理保障，良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是商业银行全面风险管理应该达到的基本状态。

　　（2）全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出，全面风险管理除包括内部控制的3个目标之外，还增加了战略目标；全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件识别和风险对策 3个要素。

　　2、内部控制与全面风险管理也存在一定的差异

　　（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。

　　（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

　　（3）两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在COSO委员会的内部控制框架中，没有区分风险和机会。

　　（4）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。

　　三、构建体现全面风险管理的内部控制新机制

　　由于全面风险管理是一种全新的管理理念，在我国金融业发展的现状下，我们必须尽快转换长期以来固化的观念和思维定式，努力构建体现全面风险管理的内部控制新机制，赋予内部控制新内容。

　　1、构建全新的内部控制组织体系原则。

　　一是全面风险管理原则。内部控制组织结构的设置应使风险管理的目标和要求渗透到全行的各项业务过程和各个操作环节。内部控制要遵循全面风险管理的原则，即：（1）全员管理原则，实现全体员工对风险管理的参与；（2）全过程管理原则，对企业的发展、业务操作的全过程实行风险控制；（3）全方位风险管理原则，不但要包括业务风险，还要包括法律风险、技术风险等。

　　二是独立性原则。风险管理部门、内部审计部门、监察部门要与经营、支持保障部门保持相互独立，直接向最高决策层负责，保证内部控制机构的独立性和权威性。

　　三是垂直管理原则。总体而言，金融机构内部控制的组织机构设置应满足垂直管理的要求，具体采取的方式可有：（1）分、支行的风险控制综合管理部门由上级行风险控制部门的直接管理，对上级行的风险管理和内部控制决策机构负责，以利于强化银行内部控制机构的独立性与权威性。（2）由总行向一级分行、一级分行向二级分行派出副行长级的风险管理控制官，全面负责派驻行的风险管理。派驻行的内部控制综合管理部门向风险管理控制官负责，风险管理控制官直接向派出行负责。

　　四是协调与效率原则。要保证部门之间权责划分明确、清晰，便于操作；保证部门之间的信息沟通方便、快捷，准确无误，保证银行经营管理系统的高效运作。

　　2、构建全新的内部控制治理机制。在现有的产权制度下，可在总行设立风险管理委员会，作为内部控制管理的主要决策机构，风险管理部为主要执行机构。同时设立审计委员会，并将其明确为全面风险管理的监督、评价部门，负责监察、评价内部控制的健全性、合理性和遵循性，督促管理层解决内部控制存在的问题。风险管理委员会负责拟定、执行控制程序，审计委员会负责监督、评价控制状况，并将修正控制意见反馈前者，以完备控制体系。两个委员会相互配合，共同实现全面风险管理的各项新要求。

　　3、构建符合内控要求的业务管理新制度。要在符合内部控制要求的前提下，全面梳理现有规章制度，进一步完善信贷业务、财会业务、中间业务等各项业务管理制度，整合业务操作流程，建立起市场风险、信用风险、操作风险和道德风险的防范体制，构筑起面向全行、覆盖所有业务品种和涉及业务全过程的内控管理体系，实现业务发展和风险管理的同步。要切实发挥“三道防线”的作用，构筑起全方位、立体交叉的监督管理网络。基层网点要加强对规章制度执行和风险控制情况的自查，形成定期检查的长效制度。业务主管部门要加强规章制度的完善和业务流程的再造，加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用，促使全行逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。

　　4、构建具有中国特色的风险控制工具。要学习和借鉴国外现代银行风险管理的技术和经验，积极探索适合我国国情的内部控制管理新方法，避免无谓的人力、财力的浪费。在目前情况下，我国商业银行应结合自身特点，在采用信用评分方法等传统模型计量信用风险，强化贷款五级分类管理的同时，积极创造条件，逐步运用现代信用风险管理方法来度量和监控信用风险，提高信贷风险控制的制度化和规范化水平，切实降低不良贷款率。鉴于我国商业银行在金融产品创新和金融工具的使用方面远远落后于西方国家，国外很多的许多风险管理工具和理念不能简单地照搬照抄，还应结合我国金融业发展的特点，对有关的现代信用风险管理模型进行结合中国实际的改进，或开发出适合中国国情的新的信用风险度量模型，使我国金融业的风险度量和控制工作既能体现风险管理的要求，又能体现中国的国情。

　　5、构建切合实际的内部控制评价机制。可以在金融机构内部广泛开展以“深化内控理念，落实内控措施”的创建活动。根据各自的实际情况，结合上级行的要求，通过确定风险控制环节，分解、落实机构内各部门、各岗位管理职责，并对各单位、各部门的控制状况进行检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而全面有效地控制经营风险。通过这一载体，可以进一步推进全面风险管理、落实岗位责任，实现从风险部门的防范转向全行、全员防范，将内部控制管理由个人行为和操作行为提升到整个单位的整体行为，推进金融机构的内控管理水平不断上新台阶。