商业银行内部控制范畴下风险管理研究

作者简介：杜聪聪（1991-），女，山东滕州人，广西师范学院经济与管理学院硕士生，研究方向：区域经济学。

摘 要：商业银行是现代经济运行的核心，随着我国对外开放的不断深入，银行业的竞争日趋激烈，商业银行面临的内部以及外部风险更是逐步增加，本文梳理了银行风险控制的相关文献，并分析了商业银行风险控制基本理论，提出我国商业银行目前面临的主要风险及其风险控制方法，最后针对我国商业银行的发展提出几点建议。

关键词：商业银行；内部控制；风险管理

一、文献综述

商业银行是现代经济运行的核心，随着我国对外开放的不断深入，银行业的竞争日趋激烈，不仅要面对国内股份制商业银行的竞争，还要面对实力雄厚的外资银行的竞争，银行风险管理面临着巨大挑战的同时也要应对国际金融形势的不断变化，经营风险、信用风险、操作风险、利率风险等等风险无疑会对银行的健康发展产生巨大冲击。因此，商业银行建立以风险管理为主的内部控制机制显得尤为重要。

对此，国外学者对商业银行风险控制做了充分的研究。American Bankers Association（ABA）（2001）指出内部控制是商业银行的本质性管理活动，是银行风险管理的基础。使商业银行高效实施和完成控制功能的前提是完善的内部控制测度体系。内部控制测度体系可以由因子分析来提供有效性和可靠性检验。[1]British Banker Association（BBA）（2001）指出银行内部控制系统由三大目标和五个组成部分构成，三大目标分别是内部控制的效率和效果、财务和管理信息的可靠性、完整性和及时性、符合法律和监管要求。五个组成部分包括控制活动与职责分工、监督与控制文化、信息与交流、风险的识别与评估、监督评审活动与纠正措施，上述法规制度为银行内控制度的建立奠定了基本框架。[2]

国内的学者们同时也做了大量研究。石良平，赵然，靳洁（2003）利用现代信用风险量化管理模型：KMV模型、信用度量制、CreditRisk+模型、麦肯锡公司的Wilson Model以及《新巴塞尔协议》中关于信用风险的计量方法，对商业银行内部控制的有效性进行了评估。[3]徐扬，戴序（2010）提出中国商业银行急需加强内部风险管理的问题，主要存在三个深层次的矛盾：风险管理的技术以“数字报表”为特征，科学性不足；风险管理各职能部门以分散管理为特征，协调性不足；风险管理的理念以注重短期效益为特征，长效性不足。[4]何丽亚（2010）提出了加强我国商业银行风险管理的几项措施，其中最重要的是强调商业银行应树立“合规既创造价值”的理念，风险管理应强化合规经营因为合规是一项核心的风险管理活动，必须建立良好的合规经营文化，提升商业银行的风险自我约束能力。[5]孙银忠（2010）从三个方面：内部控制设计的有效性、执行的有效性、反馈和补救措施的及时性，对实现内部控制有效性的途径进行了深入研究。[6]

二、商业银行内部控制与风险管理概述

（一）商业银行内部控制定义

商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。商业银行执行风险管理工作的基础与关键是健全一套具有科学性、安全性、合理性、高效性等特点的商业银行内部控制体系。

2006年，我国颁布的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》中，对内部控制的内涵和要素重新进行了定义。准则采用了COSO发布的内部控制框架，认为内部控制是被审计单位为了合理保证财务报告的可靠、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序，包括下列五要素：（1）控制环境，包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施；（2）风险评估过程，包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施；（3）信息系统与沟通，如财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录；（4）控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动；（5）监督，是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

（二）商业银行风险管理概述

商业银行是一类特殊的企业，它实际经营货币和高负债经营，因此风险无处不在。商业银行通过风险识别、风险衡量和风险控制等方法来完成风险管理的工作，并采用预防、回避、排除或转移等手段应对銀行面临的风险，以避免或减少经济损失。选择最佳风险管理技术组合是银行风险管理的核心，它体现了成本与效益的关系，贯彻稳健经营原则，实行授信制度等分散、转嫁风险的自我保护措施，并要求设置风险管理部门。改革开放以来，我国商业银行积极改进自身风险管理的薄弱环节、不断借鉴国际先进的银行风险管理理念和经验，同时也意识到业务风险控制的重要性，一些富有成效的新理论如：全面风险管理理论、风险导向审计模式理论正在运用到我国商业银行的风险管理中。

1.全面风险管理理论

银行风险管理的模式经历了资产风险管理、负债风险管理、资产负债风险管理以及全面风险管理四个阶段。商业银行风险管理的发展促使内部控制向控制风险为中心的方向发展，现代商业银行内部控制的建立遵循了全面风险管理的原则。全面风险管理的8个要素包括控制活动、事件识别、内部环境、目标设定、信息和交流和监控、风险评估、风险对策。（1）控制活动是为了保证正确执行风险反应方案的相关政策和程序；（2）事项识别、风险评估以及风险应对是指识别出能够影响企业目标实现的潜在事项（包括正面和负面影响），并评估这些潜在事项影响目标实现的程度，提出有针对性的风险反应方案措施；（3）内部环境是企业实施风险管理的组织环境，不仅对企业战略目标的制定和风险识别、评估、反应有着影响，还对企业的控制、监控活动的设计和执行有着重大影响。内部环境最重要的是董事会、管理层以及他们对风险的态度；（4）目标设定最重要的是战略目标设定，还包括与之相关的经营目标、报告目标和合规目标；目标设定的有效性是风险识别、评估、应对的重要前提；（5）信息和交流和监控，及时有效的信息传递和沟通以及对整个风险管理流程的监控，都是全面风险管理发挥作用的有效保障。

2.风险导向审计模式

风险导向审计是以评价和分析被审计单位风险为基础、立足于对被审单位的风险进行系统的分析和评价，制定符合被审计单位具体情况的计划，它的指导思想是建立在“合理的职业怀疑假设”的基础上，把风险评价和分析性复核的方法贯穿于整个审计过程之中，体现了现代审计的新思路。风险导向审计的不同之处在于更加重视被审计单位的风险评估，审计的重心更加倾向于被审计单位的风险评估。传统风险导向审计模式更注重被审计单位的微观层面，而风险导向审计的风险评估的范围拓展到了宏观层面，具体特点如下：（1）以审计测试为中心转向风险评估为中心；（2）风险导向审计扩大了审计证据，将被审计单位置于宏观层面，分析其与重大错报风险相联系的内外部环境；（3）风险导向审计由注重实质性测试转向运用分析性程序。

（三）内部控制范畴下商业银行风险管理流程及方法

1.风险管理环境分析。风险管理环境包括外部环境和内部环境。商业银行的宏观环境和行业环境构成了商业银行的外部环境。宏观环境的风险管理环境分析通常采用PEST方法，即政治环境（Political）、经济环境（Economic）、社会环境（Social）和技术环境（Technological），来分析商业银行在宏观环境中面临的风险。内部环境分析主要包括识别商业银行风险偏好、价值取向、管理风格、风险管理文化等。

2.风险管理目标设定。风险管理目标设定是审查企业的风险偏好和管理者设定的目标是否一致，将影响企业目标实现的内外部事项识别出来；风险管理的目标是在企业风险容忍度内把握商机争取获得最大收益。因此，风险管理要求管理者计量和监控与他们的目标和风险容忍度相关联的企业各项业绩的执行情况，将风险降到最小且为企业为标的实现提供最大保证。

3.风险识别和风险评估。商业银行有效风险管理的关键是充分的风险识别体系。商业银行风险管理部门应根据银行内部的风险管理政策和原则尽可能全面、完整的识别银行所面临的风险。目前，我国商业银行经营过程中的主要风险因素包括：信用风险、市场风险、操作风险、流动性风险、法律风险、声誉风险、战略风险等。银行内部审计部门的风险评估机制对银行风险评估的结果进行进一步检验，检验的具体目标为：恰当性、合理性、可靠性。恰当性是指对风险是否进行恰当准确的评估，是否真实地反应了银行固有风险和剩余风险情况；合理性是指是否合理的对风险的可能性和影响程度进行估计；可靠性是指风险管理部门进行风险评估的数据是否准确全面可靠。

4.风险应对和风险控制活动。根据风险识别和风险评估的结果，风险承受部门结合本银行对评估风险的最大承受能力，积极采取措施把风险降到银行可控制范围内，实现风险控制后银行收益率最大化。常用的风险应对措施有：风险预防、风险规避、风险转移、风险自理等。风险控制活动主要种类包括：高层检查，各级管理者检查业绩结果并将这些结果同预算、统计数做比较，采取相应纠正措施；实物控制，实物资产包括固定设备、可流通证券、现金和其他资产等，应对实物资产接触予以授权、定期盘点等；绩效指标，这是一种重要的组织控制活动，管理层为全面满足财务和营运报告的要求，将营运和财务的数据相互联系，采取适当的分析、调查或纠正措施；职务分离是基本的内部控制程序，划分或分离不同的人员之间的职务，减少采取不必要得错误发生。

7.风险及管理信息披露。《内部审计具体准则》对相关人员的沟通与协调做了一系列规定：（1）银行内部审计人员与管理人员之间的沟通协调机制。银行管理人员是风险管理措施的制定者和实施者，是进行风险识别、评估和应对的人。内部审计人员与管理层的良好沟通是为了保证审计结论和意见的可行性，给管理层进行解释和澄清的机会，有利于消除误解及时解决问题，防止审计人员得出错误的审计结论。（2）与审计委员会或董事会之间的沟通与报告。董事会是制定和实施内部控制和风险管理的监督机构，在健全和完善风险管理中起重要作用，因此为了确保风险信息及时正确地传递，商业银行应促进内部审计人员与董事会或内部审计委员会的良性互动，并就风险方面的信息进行及时沟通。

三、商业银行内部控制范畴下风险管理的启示与建议

（一）完善商业银行内部控制体系、实施完整详细的风险应对措施

商业银行应在操作风险管理、信用风险管理、流动性风险管理、合规风险管理、汇率风险管理等各个方面都有详细的应对策略和管理体系。在整体完善的风险管理组织框架下，针对各种风险有不同的管理方式，通过分行资产负债管理委员会和贷款审查委员会的严格控制；实行“审贷分离、分级审批、弹性授权”的信贷制度；推广审贷官制度、项目预审制和贷款风险度管理；对不良资产建立监测、管理、转化、催收制度；对商业银行的分支机构建立全面弹性授权和转授权体制等措施完善内部控制体系。

（二）全面运行良好的信息沟通机制

信息流动的畅通不仅对商业银行的内控、风险管理有重要意义，而且对商业银行整个经营过程都至关重要。信息沟通不仅指商业银行内部的信息流动，也包括商业银行对外部、外部环境对商业银行内部的信息流动。利用内部生成的数据和来自外部可靠渠道的信息，及时为银行管理风险、控制、评估及做出相关目标决策提供保障。有效的沟通会出现在组织中向上、平行和向下的流动中，企业内部员工了解各自的职责以及和其他员工之间的联系。在与外部方面，如客户、供应商、监管者和股东，也要有充分有效的信息沟通。

（三）加快网络银行的建设

现阶段，银行业随着信息技术和网络技术的发展已经进入了数字化时代，未来商业银行可以利用网络资源做更多的事情，将自身的经营业务与网络技术有机融合在一起，逐渐告别传统的经营模式，让银行的各项业务更加的便捷省时。商业银行通过整合纷繁复杂的网络资源、充分利用信息网络的作用，树立本银行良好的社会形象、做出区别于传统银行的個性化服务。

（四）借助新资本协议实施过程，构建商业银行全面风险管理机制

商业银行风险文化的形成是一个长期积淀的过程，以平衡银行风险与收益为方向、获取长期股东利益最大化为目标，形成银行全体员工的风险管理文化和理念。这不能仅仅依靠员工培训、文件解读等方法，而是应建立绩效考核体系，引导银行全体员工逐渐形成正确的风险管理文化理念。首先，识别银行所面临的风险、科学量化风险，设定银行风险容忍度，根据股东各自的风险偏好，以其长期利益最大化为目标，确定银行发展战略方针；其次，根据风险容忍度目标，明确相应的资本收益率目标并且形成可执行的统一标准；再次，根据银行实际资本收益率的大小确定执行业务的风险额度，优化本行资本和业务结构，实现资本收益最大化。

（作者单位：广西师范学院经济与管理学院）

基金项目：广西研究生教育创新计划项目“打造战略支点与区域创新发展研究生学术论坛”，项目编号：YCLT2014009。

参考文献：

[1] American Bankers Association（ABA）.Letter to the Basel Committee on Banking Supervision[A].2001（08）.

[2] British Banker Association（BBA）.Response to the Basel Committees Second Consultation on a New Basel Accord[A].2001（05）.

[3] 石良平，赵然，靳洁.论商业银行信用风险的量化管理[J].上海经济研究，2003（4）.

[4] 徐扬，戴序.中国商业银行风险管理的现状分析与策略选择[J]，科技资讯，2007（2）.

[5] 何丽亚.对我国商业银行风险管理的探讨[J].现代商业，2010（12）.

[6] 孙银忠.实现商业银行内部控制有效性的途径探析[J].会计之友，2010（10）.