一、內部控制和全面風險管理的內涵

　　1、內部控制

　　現代理論界對內部控制的定義各不相同，但被普遍接受的定義是國際權威機構美國的 COSO委員會（即美國“反對虛假財務報告委員會”所屬的內部控制專門研究委員會發起機構委員會CommitteeotSponsoringOrganizationsoftheTread—wayCommission，簡稱COSO委員會）對內部控制的定義。該組織認為：內部控制是一個組織設計并實施的一個程序，以便為達到該組織的經營目標提供合理保障。其中經濟組織的經營目標包括：經營的效果和效率；真實可靠的財務報告；合規性經營。在COSO委員會的《內部控制管理框架》中，把內部控制活動分成五大組成部分，即：控制環境、風險評估、控制活動、信息與交流和監督評審。

　　COSO委員會的內部控制理論得到了巴塞爾委員會的認同和發展。在巴塞爾銀行監管委員會的內部控制定義中，進一步強調了董事會和高級管理層對內部控制的影響，組織中所有人員都必須參加內部控制過程，對內部控制產生影響。巴塞爾委員會把內部控制的目標分解為操作性目標、信息性目標和合規性目標。操作性目標不只針對經營活動，而且包括其他各種活動；在信息性目標中把管理信息也包括進來，明確要求實現財務和管理信息的可靠性、完整性和及時性。但是巴塞爾委員會將COSO委員會《內部控制管理框架》認為并非內部控制活動的“缺陷的糾正”也歸人了內部控制的范疇，并增加了金融監管當局對被監管組織的內部控制狀況的檢查和評價，把它也作為內部控制的另一不可忽視的內容。

　　對于內部控制的定義，我國銀行業監督管理委員會在《商業銀行內部控制評價試行辦法》中也作了如下的解釋：商業銀行內部控制體系是商業銀行為實現經營管理目標，通過制定并實施系統化的政策、程序和方案，對風險進行有效識別、評估、控制、監測和改進的動態過程和機制。它包含的要素主要有：（1）內部控制環境；（2）風險識別與評估；（3）內部控制措施；（4）信息交流與反饋；（5）監督評價與糾正。

　　2、全面風險管理

　　在多年的管理實踐中，人們意識到一個銀行內部不同部門或不同業務的風險，有的會相互疊加放大，有的則相互抵消減少。因此，風險的考慮不能僅僅從某項業務、某個部門的角度出發，必須根據風險組合的觀點，從貫穿整個銀行的角度看風險，即要實行全面風險管理。

　　依據COSO委員會2003年7月完成的《全面風險管理框架》定義：全面風險管理是一個過程，受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中，用于識別那些可能影響企業的潛在事件并管理風險，使之在企業的風險偏好之內，合理確保企業取得既定的目標。該框架有三個維度，第一維是企業的目標；第二維是全面風險管理要素；第三維是企業的各個層級。第一維企業的目標有4個，即戰略目標、經營目標、報告目標和合規目標。第二維全面風險管理要素有8個，即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。第三個維度是企業的各個層級，包括整個企業、各職能部門、各條業務線及下屬各子公司。《全面風險管理框架》三個維度的關系是：全面風險管理的8個要素都是為企業的四個目標服務的；企業各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。

　　現代金融領域中決定一家金融機構競爭力高低、決定其經營能力高低的關鍵和核心，就是看其能否有效地對風險進行全面有效的管理，能否積極主動地承擔風險、管理風險、建立良好的風險管理架構和體系，以良好的風險定價策略獲得利潤。因此，對于一個金融機構而言，全面風險管理是金融機構內部管理的核心，在整個管理體系中的地位已上升到金融機構發展戰略的高度，它是金融風險控制的更高階段，是動態的、全程的、計量的、立體的風險控制。將在 2006年實施的《巴塞爾新資本協議》就蘊涵了這種全新的風險管理理念。該協議將全面風險管理概括為對整個銀行內各個層次的業務單位，各種類型風險的通盤管理，這種管理要求將信用風險、市場風險及各種其他風險以及包含這些風險的各種金融資產與資產組合、承擔這些風險的各個業務單位納入到統一的體系中，對各類風險依據統一的標準進行測量并加總，且依據全部業務的相關性對風險進行控制和管理。它的關鍵在于及時準確地找到每種業務所暴露的風險點，通過風險計量模型以及測量系統加以度量，然后根據已經量化了的風險大小進行相應的風險管理，設置風險限額，分配資產、配置資本等。

　　二、內部控制與全面風險管理的關系

　　1、內部控制與全面風險管理是緊密相關的

　　（1）內部控制是全面風險管理的必要環節，內部控制的動力來自企業對風險的認識和管理。由兩者的定義可以看出，內部控制是為了實現經濟組織的管理目標而提供的一種合理保障，良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益。而合規經營、真實的財務報告和有效益的經營也正是商業銀行全面風險管理應該達到的基本狀態。

　　（2）全面風險管理涵蓋了內部控制。從COSO委員會的全面風險管理框架和內部控制框架可以看出，全面風險管理除包括內部控制的3個目標之外，還增加了戰略目標；全面風險管理的8個要素除了包括內部控制的全部5個要素之外，還增加了目標設定、事件識別和風險對策 3個要素。

　　2、內部控制與全面風險管理也存在一定的差異

　　（1）兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現其自身的目標；而全面風險管理則貫穿于管理過程的各個方面，控制的手段不僅體現在事中和事后的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內部控制。

　　（2）兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計劃制定當中的風險進行評估。

　　（3）兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中，把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”（將產生正面影響的事件視為機會），將風險與機會區分開來；而在COSO委員會的內部控制框架中，沒有區分風險和機會。

　　（4）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前臺決策流程等，從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有的，也是其所不能做到的。

　　三、構建體現全面風險管理的內部控制新機制

　　由于全面風險管理是一種全新的管理理念，在我國金融業發展的現狀下，我們必須盡快轉換長期以來固化的觀念和思維定式，努力構建體現全面風險管理的內部控制新機制，賦予內部控制新內容。

　　1、構建全新的內部控制組織體系原則。

　　一是全面風險管理原則。內部控制組織結構的設置應使風險管理的目標和要求滲透到全行的各項業務過程和各個操作環節。內部控制要遵循全面風險管理的原則，即：（1）全員管理原則，實現全體員工對風險管理的參與；（2）全過程管理原則，對企業的發展、業務操作的全過程實行風險控制；（3）全方位風險管理原則，不但要包括業務風險，還要包括法律風險、技術風險等。

　　二是獨立性原則。風險管理部門、內部審計部門、監察部門要與經營、支持保障部門保持相互獨立，直接向最高決策層負責，保證內部控制機構的獨立性和權威性。

　　三是垂直管理原則。總體而言，金融機構內部控制的組織機構設置應滿足垂直管理的要求，具體采取的方式可有：（1）分、支行的風險控制綜合管理部門由上級行風險控制部門的直接管理，對上級行的風險管理和內部控制決策機構負責，以利于強化銀行內部控制機構的獨立性與權威性。（2）由總行向一級分行、一級分行向二級分行派出副行長級的風險管理控制官，全面負責派駐行的風險管理。派駐行的內部控制綜合管理部門向風險管理控制官負責，風險管理控制官直接向派出行負責。

　　四是協調與效率原則。要保證部門之間權責劃分明確、清晰，便于操作；保證部門之間的信息溝通方便、快捷，準確無誤，保證銀行經營管理系統的高效運作。

　　2、構建全新的內部控制治理機制。在現有的產權制度下，可在總行設立風險管理委員會，作為內部控制管理的主要決策機構，風險管理部為主要執行機構。同時設立審計委員會，并將其明確為全面風險管理的監督、評價部門，負責監察、評價內部控制的健全性、合理性和遵循性，督促管理層解決內部控制存在的問題。風險管理委員會負責擬定、執行控制程序，審計委員會負責監督、評價控制狀況，并將修正控制意見反饋前者，以完備控制體系。兩個委員會相互配合，共同實現全面風險管理的各項新要求。

　　3、構建符合內控要求的業務管理新制度。要在符合內部控制要求的前提下，全面梳理現有規章制度，進一步完善信貸業務、財會業務、中間業務等各項業務管理制度，整合業務操作流程，建立起市場風險、信用風險、操作風險和道德風險的防范體制，構筑起面向全行、覆蓋所有業務品種和涉及業務全過程的內控管理體系，實現業務發展和風險管理的同步。要切實發揮“三道防線”的作用，構筑起全方位、立體交叉的監督管理網絡。基層網點要加強對規章制度執行和風險控制情況的自查，形成定期檢查的長效制度。業務主管部門要加強規章制度的完善和業務流程的再造，加大業務條線自律監管的力度。內審部門要充分發揮審計的幫促作用，促使全行逐步建立起業務管理服從規章制度、業務操作服從處理流程、業務考核服從統一標準的管理新制度。

　　4、構建具有中國特色的風險控制工具。要學習和借鑒國外現代銀行風險管理的技術和經驗，積極探索適合我國國情的內部控制管理新方法，避免無謂的人力、財力的浪費。在目前情況下，我國商業銀行應結合自身特點，在采用信用評分方法等傳統模型計量信用風險，強化貸款五級分類管理的同時，積極創造條件，逐步運用現代信用風險管理方法來度量和監控信用風險，提高信貸風險控制的制度化和規范化水平，切實降低不良貸款率。鑒于我國商業銀行在金融產品創新和金融工具的使用方面遠遠落后于西方國家，國外很多的許多風險管理工具和理念不能簡單地照搬照抄，還應結合我國金融業發展的特點，對有關的現代信用風險管理模型進行結合中國實際的改進，或開發出適合中國國情的新的信用風險度量模型，使我國金融業的風險度量和控制工作既能體現風險管理的要求，又能體現中國的國情。

　　5、構建切合實際的內部控制評價機制。可以在金融機構內部廣泛開展以“深化內控理念，落實內控措施”的創建活動。根據各自的實際情況，結合上級行的要求，通過確定風險控制環節，分解、落實機構內各部門、各崗位管理職責，并對各單位、各部門的控制狀況進行檢查、評價和考核，強化風險管理責任，提高全員風險防范的意識和能力，從而全面有效地控制經營風險。通過這一載體，可以進一步推進全面風險管理、落實崗位責任，實現從風險部門的防范轉向全行、全員防范，將內部控制管理由個人行為和操作行為提升到整個單位的整體行為，推進金融機構的內控管理水平不斷上新臺階。