——系统谈谈商业银行内部控制体系

　　防范风险是银行业改革发展的永恒主题，有效的富有特色的风险内控评价体系能提高风险识别的前瞻性和风险应对的敏感性，及时解决苗头性风险和化解风险隐患。

　　内部控制的评价

　　公司层面的内部控制的评价

　　巴塞尔委员

相关公司股票走势

会关于内部控制评价的13个原则被广泛采用，见下表1所示：

　　而对公司层面的内部控制评价时涉及到内控缺陷：当某个控制的设计或运行，使管理层或公司员工在正常执行分派给他们的职责过程中，不能及时预防或发现错误。内控缺陷可能包括设计缺陷或运行缺陷。设计缺陷是指必要的控制或者控制的必要成分缺失，或者某个现存的控制不是经过适当的设计，以至于即使这个控制如设计般运行也不一定能达到控制目的。运行缺陷是指一个完好设计的控制没有如设计那样实际运作。

　　内控缺陷主要有一般的内部控制缺陷、重大缺陷和实质性漏洞（最严重）。

　　一般的内部控制缺陷：如果内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中及时防止或发现错报，那样就存在一般内部控制缺陷。

　　重大缺陷：是一种具有严重影响的缺陷，它由一个或者多个内部控制缺陷组成。通常重大缺陷可能导致出现错报、漏报而不能被防止或发现的可能性大于“微小”。

　　实质性漏洞：实质性漏洞是指很可能导致年度或中期财务报告中的重大的实质性错报未被防止或发现的可能性大于“微小”的控制缺陷。如果出现实质性漏洞，管理层不能发表声明，声称与财务报告有关的内控是有效的。

　　国际上一般缺陷评估的基本数据包括：整体重要性水平，5%的税前收入用来决定实质性漏洞；不严重金额上限（Inconsequential），20%的整体重要性水平；缺陷影响类别，缺陷（不严重金额上限,但整体重要性水平）。

 
   

　　流程层面的内部控制评价

　　对内部控制体系的评价，除以上介绍的公司层面控制评价外，流程层面控制评价也是其中的重要环节。根据商业银行实际情况，在流程层面控制检查中，主要是按照已有流程以及相应的风险，检查相应的控制是否存在及合理的有效运行。

　　流程层面控制各评估方法中的需注意的重要事项如下：

　　识别风险和针对风险并识别控制过程中需要用到风险控制矩阵，风险控制矩阵应包含控制目标（控制目标的概括描述）、哪里会出错（控制对应的风险）、控制活动提纲简介（对实际的控制进行简要的描述）、谁执行此控制（控制执行者的岗位）、控制存在的证明性材料（可以证明控制存在的一些支持性文档）。

　　进行控制有效性评估应包括穿行测试（控制设计的有效性）和控制测试（控制实施的有效性）。进行控制有效性评估涉及控制设计和控制执行两方面：1.控制设计：若这方面出现缺陷，是指控制活动在拟定时即存在明显的漏洞与不足，如无法做到适当的不相容职位分离、无法做到适当的审批等；2.控制执行：若这方面出现缺陷，是指控制活动未按设计的步骤执行、不能满足控制设计的目的，如在信用证开证需要对开证申请人的资格进行审核，但在实际操作中未按要求制度中规定逐项审核开证人的各项资料。

　　控制穿行测试内容包括样本描述、测试的详细记录、对控制实施的有效性作出结论。其中，设计的有效性应看实际工作中是否按照制度中定义的控制点执行。

　　表2是一个控制测试内容的例子，其中：

　　控制点：住房信贷合同，相关纸质的档案在专门的档案管理库进行保管，只有信贷管理部门的签字、盖章才能有权限调阅。

　　穿行测试方法：选取测试期间的一份住房信贷合同申请作为样本，检查在纸质档案调阅之前是否经过了相关部门的负责人审批签字。

　　穿行测试结果：我们察看到?a href="http://q.stock.sohu.com/cn/601988/index.shtml" target=_blank>中行糯部门甲?14年2月1日提交的贷款档案申请，该申请表内记录了档案调阅申请的部门、申请人、申请时间及申请目的。同时，我们察看信贷部门经理乙的审批签字信息。

　　同时，管理层审阅、改进：

　　缺陷报告应包括：差异涉及的部门和岗位；问题名称；问题描述；支持性文件；解决方案。

#p#分页标题#e#

　　整改计划应做到将现有的缺陷分成设计和实施方面的缺陷、根据缺陷的性质及其对司的影响分成高、中、低、区分风险级别、针对不同风险级别和缺陷类别制定整改方案、制定具体的整改措施。

 
   

　　全面风险管理框架中的内部控制新发展

　　COSO把全面风险管理修定为：全面风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主题的风险承受能力之内，并为主体目标的实现提供合理保证。理解全面风险管理的要点是：

　　1.一个过程，它持续地流动于主体之内；

　　2.由组织中各个层级的人员实施；

　　3.应用于战略制定；

　　4.贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；

　　5.旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险承受能力以内；

　　6.能够向一个主体的管理当局和董事会提供合理保证；

　　7.力求实现一个或多个不同类型但相互交叉的目标。

　　内部控制则是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。其实全面风险管理框架是内部控制的内涵扩大，ERM框架提出了风险承受能力（risk appetite）、风险容忍度等概念，，同时涵盖了COSO内部控制整体框架所有合理的内容。表3是COSO全面风险管理与内部控制的对比：

 
   

　　全面风险管理框架力求实现主体的以下四种类型的目标：战略目标-高层次目标，与使命相关联并支持其使命；经营目标-有效和高效率地利用其资源；报告目标-报告的可靠性；合规目标-符合适用的法律和法规。全面风险管理框架是内部控制的目标拓展：ERM框架整体框架将原COSO内部控制整体框架中“财务报告的可靠性”的目标发展为“报告的可靠性”，拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。ERM整体框架还提出了一类新的目标-战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

　　全面风险管理发展了原内部控制的要素，原COSO报告仅提出风险识别，但是并没有区分风险和机会。ERM框架则将风险定义为”可能有负面影响的事项“，并且引入了风险偏好、风险容忍度等概念，将原有的内控五要素发展为风险管理八要素。框架指出，内部控制是全面风险管理不可分割的一部分。这份框架涵盖了内部控制，构建了一个更强有力的概念和管理工具。

　　ERM整体框架指出，认定一个主体的企业风险管理是否”有效“，是在对8个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此，构成要素也是判定企业风险管理有效性的标准。构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险承受能力范围之内。

　　ERM框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上，而不是所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。同时，全面风险管理处理影响价值创造或保持的风险和机会，包括协调风险承受能力与战略、增进风险应对决策、抑减经营意外和损失、识别和管理多重的和贯穿于企业的风险、抓住机会、改善资本调配等。

　　对于COSO ERMERM框架中风险的分类别管理，商业银行实践中，其特点及应用在于：

　　分层管理原则：组织机构的设计要求每一个基层的业务部门单位中都设立相应的部门或者岗位，专项负责该部门的风险管理工作；通过这些部门，将银行日常经营活动中的风险信息向上传递，一直到直接由董事会领导的风险管理委员会；风险管理委员会对银行经营中的整体风险进行评估，并做出有利于银行的经营决策。分层管理的优势可以使银行获取更充分的关于日常经营中的关于风险的因素，从而使银行的高层更准确的判断银行的风险状况。

　　集中与分散的原则：将风险的分散管理和集中管理方式结合起来，以达到风险管理的最优化模式，提高银行整体的风险管理能力。

#p#分页标题#e#

　　风险管理事前化：对银行进行风险分析时，尽可能的及时；对尚未完成的经营事件，要进行风险的预测分析，并与其它的经营业务结合在一起分析，得出综合的风险分析结果；银行对风险因素的分析更加及时，因而有更充分的时间来对其进行管理

　　现实性与先进性相结合：有利于银行日常经营中的风险管理，提高银行风险管理的效率；有利于在日益激烈的金融行业的竞争中，取得更加巨大的业绩；商业银行能够在尽可能保证经营安全的前提下，获取最大的经营利益。

　　从商业银行的实践看，COSO ERM框架体系的优势与收效可以归纳为下面几点：1、可以提高银行内部的风险管理能力和效率，提高银行的日常经营能力以及抗风险的能力；2、从一个全局的角度，去考虑风险事件对银行整体的影响，而不再仅仅局限于某一个方面。对银行面临的风险因素在整体上有一个全面的了解，可大大改进银行的风险-收益分析的质量；3、有利于银行各部门在风险管理中的配合，提高银行内部的标准化作业程序的建立，提高银行内部各部门之间的沟通能力，减少银行内部的经营成本；3、提高银行员工的风险意识；4、可以使银行能够向市场提供全面的风险信息，使得市场和投资人对银行有一个全面的了解，有利于投资者做出正确的判断。从而提高银行本身的信誉，增强投资者的信心。

　　防范风险是银行业改革发展的永恒主题。国内商业银行环境差异较大，面临的风险环境各不相同，自身承担风险的能力不一，管控好风险需要原则性和发展的灵活性结合起来，以治理水平和管理能力提升换取创新发展空间。有效的富有特色的风险内控评价体系能提高风险识别的前瞻性和风险应对的敏感性，及时解决苗头性风险和化解风险隐患。