一-内部控制和全面风险管理的内涵

1、一、内部控制和全面风险管理的内涵 1、内部控制 现代理论界对内部控制的定义各不相同， 但被普遍接受的定义是国际权威机 构美国的 COS（委员会（即美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机 构委员会 CommitteeotSp on sori ngOrga nizatio nsoftheTread wayCommissior，简称 COSO 委员会）对内部控制的定义。 该组织认为： 内部控制是一个组织设计并实施的一 个程 序，以便为达到该组织的经营目标提供合理保障。 其中经济组织的经营目标 包括：经营的 效果和效率；真实可靠的财务报告；合规性经营。在COSO员会 的内部控

2、制管理框架 中，把内部控制活动分成五大组成部分， 即：控制环境、 风险 评估、控制活动、信息与交流和监督评审。 COSO员会的内部控制理论得到了巴塞尔委员会的认同和发展。在巴塞尔银行监管委员 会的内部控制定义中， 进一步强调了董事会和高级管理层对内部控 制的影响， 组织中所 有人员都必须参加内部控制过程， 对内部控制产生影响。 巴 塞尔委员会把内部控制的目 标分解为操作性目标、 信息性目标和合规性目标。 操 作性目标不只针对经营活动， 而且 包括其他各种活动； 在信息性目标中把管理信 息也包括进来，明确要求 实现财务和管理信息的可靠性、完整性和及时性。但是巴塞尔委员会将COSO? 员会内部控制

3、管理框架 认为并非内部控制活动的 “缺陷的纠正 ”也归人了内 部控制 的范畴，并增加了金融监管当局对被监管组织的内部控制状况的检查和评价，把它也作为 内部控制的另一不可忽视的内容。 对于内部控制的定义， 我国银行业监督管理委员会在 商业银行内部控制评 价试行 办法中也作了如下的解释： 商业银行内部控制体系是商业银行为实现经 营管理目标，通 过制定并实施系统化的政策、 程序和方案，对风险进行有效识别、 评估、控制、监测和改 进的动态过程和机制。它包含的要素主要有：（1）内部 控制环境；（ 2）风险识别与评估；（ 3）内部控制措施；（ 4）信息交流与反馈； （ 5）监督评价与纠正。 2、全面风险管

4、理 在多年的管理实践中，人们意识到一个银行内部不同部门或不同业务的风 险，有的会相互叠加放大，有的则相互抵消减少。因此，风险的考虑不能仅仅从 某项业 务、 某个部门的角度出发， 必须根据风险组合的观点， 从贯穿整个银行的 角度看风险， 即要实行全面风险管理。 依据COS（委员会2003年7月完成的全面风险管理框架定义：全面风险管理是一 个过程， 受董事会、 管理层和其他人员的影响。 这个过程从企业战略制 定一直贯穿到企 业的各项活动中， 用于识别那些可能影响企业的潜在事件并管理 风险，使之在企业的风险 偏好之内， 合理确保企业取得既定的目标。 该框架有三 个维度，第一维是企业的目标； 第二维是

5、全面风险管理要素； 第三维是企业的各 个层级。第一维企业的目标有 4 个，即 战略目标、经营目标、报告目标和合规目 标。第二维全面风险管理要素有 8 个，即内部环 境、目标设定、事件识别、风险 评估、风险对策、控制活动、信息和交流、 监控。第三个 维度是企业的各个层级， 包括整个企业、各职能部门、各条业务线及下属各子公司。全 面风险管理框架 三个维度的关系是： 全面风险管理的 8 个要素都是为企业的四个目标 服务的； 企 业各个层级都要坚持同样的四个目标；每个层次都必须从以上 8 个方面进行 风险管理。 现代金融领域中决定一家金融机构竞争力高低、 决定其经营能力高低的关键 和核心， 就是看其能

6、否有效地对风险进行全面有效的管理， 能否积极主动地承担 风险、管理风险、 建立良好的风险管理架构和体系， 以良好的风险定价策略获得 利润。因此，对于一个金融 机构而言， 全面风险管理是金融机构内部管理的核心， 在整个管理体系中的地位已上升到 金融机构发展战略的高度， 它是金融风险控制 的更高阶段，是动态的、全程的、计量的、 立体的风险控制。将在 2006 年实施 的巴塞尔新资本协议 就蕴涵了这种全新的风险管 理理念。 该协议将全面风险 管理概括为对整个银行内各个层次的业务单位， 各种类型风 险的通盘管理， 这种 管理要求 将信用风险、市场风险及各种其他风险以及包含这些风险 的各种金融资产与资产

7、 组合、承担这些风险的各个业务单位纳入到统一的体系中， 对各类 风险依据统一 的标准进行测量并加总， 且依据全部业务的相关性对风险进行控制和管理。 它的 关键在于及时准确地找到每种业务所暴露的风险点， 通过风险计量模型以及测量 系 统加以度量， 然后根据已经量化了的风险大小进行相应的风险管理， 设置风险 限额，分 配资产、配置资本等。 二、内部控制与全面风险管理的关系 1、内部控制与全面风险管理是紧密相关的 (1) 内部控制是全面风险管理的必要环节，内部控制的动力来自企业对风险的认识和 管理。 由两者的定义可以看出， 内部控制是为了实现经济组织的管理 目标而提供的一种 合理保障， 良好的内部控

8、制可以合理保证合规经营、 财务报表 的真实可靠和经营结果的 效率与效益。 而合规经营、 真实的财务报告和有效益的 经营也正是商业银行全面风险管 理应该达到的基本状态。 (2) 全面风险管理涵盖了内部控制。从COS(委员会的全面风险管理框架和 内部控 制框架可以看出， 全面风险管理除包括内部控制的 3 个目标之外，还增加 了战略目标；全 面风险管理的 8 个要素除了包括内部控制的全部 5个要素之外， 还增加了目标设定、事件 识别和风险对策 3 个要素。 2、内部控制与全面风险管理也存在一定的差异 (1) 两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后 和过程 的控制来实现其自身的目

9、标； 而全面风险管理则贯穿于管理过程的各个方 面，控制的手段 不仅体现 在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。 而且，在两者所要达到的目标上，全面风险管理多于内部控制。 (2) 两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控 制要做 的。 目前所提倡的全面风险管理包含了风险管理目标和战略的设定、 风险 评估方法的选 择、 管理人员的聘用、 有关的预算和行政管理、 以及报告程序等活 动。而内部控制所负 责的是风险管理过程中间及其以后的重要活动， 如对风险的 评估和由此实施的控制活动、 信息与交流活动和监督评审与缺陷的纠正等工作。 两者最明显的差异在于

10、内部控制不负责 企业经营目标的具体设立， 而只是对目标 的制定过程进行评价，特别是对目标和战略计划 制定当中的风险进行评估。 (3) 两者对风险的定义不一致。在 COS委员会的全面风险管理框架中，把 风险明确定义为 “对企业的目标产生负面影响的事件发生的可能性 ”(将产生正 面影响 的事件视为机会)，将风险与机会区分开来；而在COSC员会的内部控 制框架中，没有区分风险和机会。 (4) 两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风 险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度 量的基础上， 有利于 企业的发展战略与风险偏好相一致， 增长、风险与回报相联

11、 系，进行经济资本分配及利用 风险信息支持业务前台决策流程等， 从而帮助董事会和高级管理层实现全面风险 管理的 4 项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。 三、构建体现 全面风险管理的内部控制新机制 由于全面风险管理是一种全新的管理理念， 在我国金融业发展的现状下， 我 们必须 尽快转换长期以来固化的观念和思维定式，努力构建体现 全面风险管理的内部控制新机 制，赋予内部控制新内容。 1、构建全新的内部控制组织体系原则。 一是全面风险管理原则。 内部控制组织结构的设置应使风险管理的目标和要 求 渗透 到全行的各项业务过程和各个操作环节。 内部控制要遵循全面风险管理的原 则

12、，即： （ 1 ）全员管理原则，实现全体员工对风险管理的参与；（2 ）全过程管 理原则，对企业 的发展、业务操作的全过程实行风险控制；（3）全方位风险管 理原则，不但要包括业务 风险，还要包括法律风险、技术风险等。 二是独立性原则。风险管理部门、内部审计部门、监察部门要与经营、支持 保障部门 保持相互独立， 直接向最高决策层负责， 保证内部控制机构的独立性和 权威性。 三是垂直管理原则。 总体而言， 金融机构内部控制的组织机构设置应满足垂 直管理 的要求 ，具体采取的方式可有：（ 1）分、支行的风险控制综合管理部门由上级行风险控制部门 的直接管理， 对上级行的风险管理和内部控制决策机构负责，

13、以利于强 化银行内部控制 机构的独立性与权威性。（ 2）由总行向一级分行、一级分行向 二级分行派出副行长级的 风险管理控制官， 全面负责派驻行的风险管理。 派驻行 的内部控制综合管理部门向风险 管理控制官负责， 风险管理控制官直接向派出行 负责。 四是协调与效率原则。要保证部门之间权责划分明确、清晰，便于操作；保 证部门之 间的信息沟通方便、 快捷，准确无误， 保证银行经营管理系统的高效运 作。 2、构建全新的内部控制治理机制。在现有的产权制度下，可在总行设立风险管理委员 会，作为内部控制管理的主要决策机构， 风险管理部为主要执行机构。 同时设立审计委员 会， 并将其明确为全面风险管理的监督、

14、 评价部门，负责监察、 评价内部控制的健全 性、 合理性和遵循性，督促管理层解决内部控制存在的问题。 风险管理委员会负责拟定、 执行控制程序， 审计委员会负责监督、 评价控制状况， 并将修正控制意见反馈前者， 以 完备控制体系。 两个委员会相互配合， 共同实现 全面风险管理的各项新要求 3、构建符合内控要求 的业务管理新制度。要在符合内部控制要求 的前提下，全面梳 理现有规章制度，进一步完善信贷业务、财会业务、中间业务 等各项业务管理制度，整合 业务操作流程，建立起市场风险、信用风险、操作风 险和道德风险的防范体制， 构筑起面 向全行、 覆盖所有业务品种和涉及业务全过 程的内控管理体系， 实现

15、业务发展和风险管 理的同步。 要切实发挥 “三道防线 ” 的作用，构筑起全方位、 立体交叉的监督管理网 络。 基层网点要加强对规章制度 执行和风险控制情况的自查， 形成定期检查的长效制 度。 业务主管部门要加强规 章制度的完善和业务流程的再造， 加大业务条线自律监管的 力度。 内审部门要充 分发挥审计的帮促作用， 促使全行逐步建立起业务管理服从规章制 度、 业务操作 服从处理流程、业务考核服从统一标准的管理新制度。 4、构建具有中国特色的风险控制工具。要学习和借鉴国外现代银行风险管理的技术和 经验， 积极探索适合我国国情的内部控制管理新方法， 避免无谓的人 力、财力的浪费。 在目前情况下，我国

16、商业银行应结合自身特点，在采用信用评 分方法等传统模型计量信用 风险， 强化贷款五级分类管理的同时， 积极创造条件， 逐步运用现代信用风险管理方法 来度量和监控信用风险， 提高信贷风险控制的制 度化和规范化水平， 切实降低不良贷款 率。 鉴于我国商业银行在金融产品创新和 金融工具的使用方面远远落后于西方国家，国外 很多的许多 风险管理工具和理念不能简单地照搬照抄， 还应结合我国金融业发展的特点， 对 有关的现代信用风险管理模型进行结合中国实际的改进， 或开发出适合中国国情 的新 的信用风险度量模型，使我国金融业的风险度量和控制工作既能体现 风险管理的要求 ，又能体现 中国的国情。 5、构建切合实际的内部控制评价机制。可以在金融机构内部广泛开展以“深化内控理 念，落实内控措施 ”的创建活动。根据各自的实际情况， 结 合上级行的要求 ，通过确定风险控制环节，分解、落实