銀行內部控制與風險管理淺談

摘要：內部控制和風險管理的概念是在實踐中逐步產生、發展和完善起來的。內部控制的目的是為以下三類目標的實現提供合理的保障：（1）運營的效果和效率；（2）財務報告的可靠性；（3）遵循法律法規。風險管理的目的是要防止風險、及時地發現風險、預測風險可能造成的影響，并設法把不良影響控制在最低的程度。

Abstract:Internal control and risk management is the concept in practice gradually developing and perfecting. The purpose of the internal control objectives to provide reasonable protection: ( 1) operational effectiveness and efficiency; ( 2) the reliability of financial reporting; ( 3) follow the laws and regulations. The purpose of risk management is to prevent the risk， the timely discovery of risk， predict the risk of possible effects， and managed to get the adverse effects of control at a minimum.

關鍵詞：風險管理 內部控制 理解 看法

說到風險管理關鍵概念即內部控制。在實踐中有人還不能真正理解風險管理與內部控制，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來，這既不利于我國商業銀行內控體系的建立，也不利于我國商業銀行風險管理改革的深化。為此，本文試對內部控制和風險管理，談幾點看法。

一、內部控制與風險管理的產生和發展

內部控制和風險管理的概念是在實踐中逐步產生、發展和完善起來的。

1992年9月，COSO委員會發布《內部控制整合框架》，1994年進行了增補，得到了美國審計署的認可。由于COSO報告提出的內部控制理論和體系，成為現代內部控制最具有權威性的框架，因此在業內備受推崇，在全球得到廣泛推廣和應用。2004年9月，美國COSO頒布了《企業風險管理整合框架》該框架拓展了內部控制，更加關注于企業風險管理這一更為寬泛的領域，隨之成為世界各國和眾多企業廣為接受的標準規范。

二、內部控制與風險管理的比較

COSO對內部控制與風險管理的定義及其組成要素分別是：

《COSO內部控制整合框架》中將內部控制定義為一個過程，受到企業董事會、管理層及其他人員的影響，設計內部控制的目的是為以下三類目標的實現提供合理的保障：（1）運營的效果和效率；（2）財務報告的可靠性；（3）遵循法律法規。內部控制包括五個方面的組成要素：分別是（1）控制環境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）監督。

COSO《企業風險管理整合框架》對企業風險管理的定義 ：“企業風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中，用于識別那些可能影響企業的潛在事件，以將風險控制在企業的風險偏好之內，從而合理確保企業取得既定的目標。”企業風險管理框架有三個維度，第一維是企業的目標；第二維是企業風險管理要素；第三維是企業的各個層級。

從COSO的兩份報告來看，風險管理與內部控制有以下相似或不同之處：

第一，它們都是由“企業董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。

第二，它們都明確是一個“過程”，不能當做某種靜態的東西。

第三，它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經營類目標和遵循類目標。另外，風險管理增加了戰略目標。這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略制定過程。

第四，風險管理與內部控制的組成要素有五個方面是重合的，即（控制或內部）環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險反映三個要素。

第五，風險管理提出了風險組合與整體風險管理的新觀念。要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露，以統籌考慮風險對策，防止分部門分散考慮與應對風險。時有抵消的效果。

三、內部控制與風險管理的關系

從COSO框架對企業內部控制的完善來看，企業內部控制逐漸呈現與風險管理靠攏和一體化的趨勢，即以風險管理為主導，建立適應企業風險管理戰略的新的內部控制，從內部控制走向風險管理。

風險管理的目的是要防止風險、及時地發現風險、預測風險可能造成的影響，并設法把不良影響控制在最低的程度。內部控制就是企業內部采取的風險管理，內部控制制度的制定依據主要是風險，在某些極端情況下甚至完全由風險因素來決定。風險越大，越有必要設置適當的內部控制措施，風險相當大時，還要設置多重內部控制措施。而且做好內部控制是做好風險管理的前提。

內部控制側重制度層面，通過規章制度規避風險；風險管理側重交易層面。正因為內部控制與風險管理有內在的聯系，各國分別以不同的方式逐步將內部控制與風險管理聯系起來。

盡管風險管理與內部控制有內在的聯系，但現實中的內部控制應用水平與風險管理還有不小的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較；典型的內部控制是指會計控制、審計活動等，一般局限于財務相關部門。它們的共同點都是低水平、小范圍，只局限于少數職能部門，并沒有滲透或應用于企業管理過程和整個經營系統，因此，有時看上去風險管理與內部控制還是相互獨立的兩件事。但是，隨著內部控制或風險管理的不斷完善，它們之間必然會相互交叉、融合，直至統一。

參考文獻：

[1]黃志凌.金融風險管理的新視角，商務出版館出版，2011年3月第1版

[2]（加）陳公越，于盟，（中）許威.金融風險測量和全面風險管理，上海科技出版社，2011年6月第1版

[3]葉偉春.信用評級理論與實務，格致出版社、上海人民出版社

[4]（加）約翰·赫爾.風險管理與金融機構，機械工業出版社，2011年7月第1版

作者簡介：

夏海玲，女，吉林銀行社區銀行部項目經理，研究方向：商業銀行管理。