基于2016版ERM框架的商業銀行內部控制

陸賽江 許莉

銀行業作為我國金融業最主要的組成部分，更是應該把防范風險，尤其是系統性金融風險，放在經營發展的第一位。而要防范銀行的風險，尤其是系統性金融風險，必須從完善商業銀行的內部控制出發。基于此，本文選擇商業銀行的內部控制作為研究對象，分析商業銀行內部控制制度存在的不足。在此基礎上，結合2016新版ERM框架的五個組成要素，提出加強和完善商業銀行內部控制的建議。

一、理論基礎及其制度變遷

1.從1992年COSO《內部控制整合框架》到2004年《企業風險管理框架》（ERM）。1992年，COSO委員會發布了著名的《內部控制整合框架》，并且在1994年對其進行了修訂和增補。該框架設立了一個立方體的模型，從目標、要素、層級這三個維度對機構內部控制進行評價。3個目標分別是戰略目標、財務報告目標和合規性目標；5個要素分別是控制環境、風險評估、控制活動、信息溝通，以及監督；將層級分為業務單位和活動。

2004年，COSO委員會結合《薩班斯法案》中有關報告方面的要求，在《內部控制整合框架》的基礎上進行擴展和補充，頒布了《企業風險管理框架》（ERM）。ERM框架為企業的風險管理提供了理論基礎和應用指導。相較于1992年的內控框架，2004年ERM框架的范圍更加廣泛，產生以下主要變化：第一，分別在三個維度增加了一些新的內容，在目標方面，增加一個戰略目標，并且將財務報告這一目標擴充為包括財務報告在內的所有報告。在要素方面，增加了目標設定、事項識別和風險反應。……