云南民族大學(xué) 魏克哲

一、引言

從1995年英國(guó)巴林銀行的倒閉，到2008年美國(guó)第四大投行雷曼兄弟宣告破產(chǎn)引發(fā)美國(guó)次貸危機(jī)的爆發(fā)，緊接著引發(fā)了全球性的金融危機(jī)全面爆發(fā)，暴露出國(guó)際金融領(lǐng)域在內(nèi)部控制和風(fēng)險(xiǎn)管理等方面的漏洞和薄弱環(huán)節(jié)，引起了理論界和實(shí)務(wù)界對(duì)風(fēng)險(xiǎn)管理下內(nèi)部控制問題研究的關(guān)注。

2004年9月COSO委員會(huì)在《內(nèi)部控制整體框架》的基礎(chǔ)上，結(jié)合薩班斯法案（SOX法案）以及理論界和實(shí)務(wù)界對(duì)內(nèi)部控制框架提出的一些改進(jìn)意見，發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理整體框架》（EnterpriseRiskManagement—IntegratedFramework，ERM）的研究報(bào)告，將風(fēng)險(xiǎn)管理理念全面而深刻地融入到內(nèi)部控制思想中，提出了全新的風(fēng)險(xiǎn)管理理念。ERM框架將內(nèi)部控制與風(fēng)險(xiǎn)管理的耦合性推進(jìn)至一種近于完美的融合狀態(tài)。ERM框架和《內(nèi)部控制整體框架》一樣，同樣引起了國(guó)際組織和各國(guó)的認(rèn)可和采納，對(duì)我國(guó)金融行業(yè)也是一次巨大的革命，銀行是金融體系的基石，銀行業(yè)的經(jīng)營(yíng)管理模式也隨之需要變革，銀監(jiān)會(huì)相繼頒布了《商業(yè)銀行內(nèi)部控制指引》和《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》。

隨著銀行金融衍生產(chǎn)品的不斷創(chuàng)新、經(jīng)營(yíng)多元化、全息化信息系統(tǒng)管理平臺(tái)的運(yùn)行等使得銀行在經(jīng)營(yíng)管理中會(huì)不斷面臨各類風(fēng)險(xiǎn)，積聚風(fēng)險(xiǎn)，若不及時(shí)發(fā)現(xiàn)并清除這些潛在的風(fēng)險(xiǎn)，慢慢的會(huì)引發(fā)社會(huì)性系統(tǒng)風(fēng)險(xiǎn)和經(jīng)濟(jì)風(fēng)險(xiǎn)，進(jìn)而可能引發(fā)新一輪的金融危機(jī)。高風(fēng)險(xiǎn)聚集是商業(yè)銀行的特質(zhì)，屬于銀行風(fēng)險(xiǎn)管理的內(nèi)生變量，通過構(gòu)建適合我國(guó)商業(yè)銀行風(fēng)險(xiǎn)管理的組織結(jié)構(gòu)框架，進(jìn)而便于對(duì)銀行經(jīng)常性且重大的風(fēng)險(xiǎn)進(jìn)行有效的內(nèi)部控制。鑒于內(nèi)部控制和風(fēng)險(xiǎn)管理的耦合性，本文系統(tǒng)介紹了我國(guó)商業(yè)銀行內(nèi)部控制系統(tǒng)下的全面風(fēng)險(xiǎn)管理流程框架，該框架充分體現(xiàn)了現(xiàn)代全面風(fēng)險(xiǎn)管理思想，面向商業(yè)銀行具體的業(yè)務(wù)背景進(jìn)行風(fēng)險(xiǎn)因素識(shí)別與分析，基于風(fēng)險(xiǎn)事件形成的動(dòng)態(tài)過程計(jì)算風(fēng)險(xiǎn)事件頻率，綜合權(quán)衡多個(gè)決策目標(biāo)求解“最滿意”的風(fēng)險(xiǎn)管理方案等特點(diǎn)，可為全面風(fēng)險(xiǎn)管理提供一套規(guī)范的程序。

二、商業(yè)銀行全面風(fēng)險(xiǎn)管理下的內(nèi)部控制

現(xiàn)在我國(guó)商業(yè)銀行的風(fēng)險(xiǎn)主要是由信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)等多種風(fēng)險(xiǎn)因素交織形成的，因此，實(shí)施全面風(fēng)險(xiǎn)管理下的內(nèi)部控制治理結(jié)構(gòu)已成為銀行界的共識(shí)。為此，對(duì)銀行的內(nèi)部控制提出了更高的要求，需要不斷完善銀行的內(nèi)部控制體系，使銀行在防范綜合性風(fēng)險(xiǎn)時(shí)占有主動(dòng)權(quán)，同時(shí)也符合相關(guān)部門的監(jiān)管。從長(zhǎng)遠(yuǎn)來看，商業(yè)銀行在風(fēng)險(xiǎn)管理理念下進(jìn)行內(nèi)部控制，有利于銀行的長(zhǎng)遠(yuǎn)和健康發(fā)展，同時(shí)也保護(hù)了利益相關(guān)者的權(quán)益。

（一）風(fēng)險(xiǎn)管理與內(nèi)部控制的耦合度對(duì)商業(yè)銀行內(nèi)部控制的影響 ERM框架對(duì)風(fēng)險(xiǎn)管理的定義是：企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過程，它由一個(gè)主體的董事會(huì)、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)、管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證（COSO，方紅星、王宏譯，2005）。

風(fēng)險(xiǎn)管理和內(nèi)部控制都是一個(gè)動(dòng)態(tài)的過程，兩者在不斷的運(yùn)動(dòng)中逐漸融合，是內(nèi)部控制發(fā)展的一個(gè)必然趨勢(shì)，兩者實(shí)際上是一種耦合狀態(tài)，也是相互促進(jìn)的狀態(tài)，它們逐漸凝聚并形成一個(gè)系統(tǒng)，即“你中有我，我中有你”的狀態(tài)。只有兩者相互融合、相互促進(jìn)，才使得企業(yè)內(nèi)部控制制度和體系有效的運(yùn)行和實(shí)施。風(fēng)險(xiǎn)管理和內(nèi)部控制是現(xiàn)代企業(yè)制度建設(shè)和治理必須要關(guān)注的兩個(gè)重要方面，在實(shí)務(wù)中風(fēng)險(xiǎn)管理和內(nèi)部控制的工作基本是趨同的。因此，只有正確認(rèn)識(shí)內(nèi)部控制和風(fēng)險(xiǎn)管理的關(guān)系，銀行才能在風(fēng)險(xiǎn)管理框架下準(zhǔn)確而全面的構(gòu)建與銀行戰(zhàn)略目標(biāo)相吻合的內(nèi)部控制體系。商業(yè)銀行是高積聚風(fēng)險(xiǎn)的行業(yè)，隨著風(fēng)險(xiǎn)管理與內(nèi)部控制融合的越來越緊密，商業(yè)銀行在風(fēng)險(xiǎn)管理下的內(nèi)部控制才可以發(fā)揮到極致。

（二）商業(yè)銀行全面風(fēng)險(xiǎn)管理涵義 目前，銀行風(fēng)險(xiǎn)主要包括信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、國(guó)家風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)和戰(zhàn)略風(fēng)險(xiǎn)九大類。據(jù)商業(yè)銀行本身的特性和行業(yè)特點(diǎn)，銀行全面風(fēng)險(xiǎn)管理的涵義，就是用由不確定性造成的綜合敞口來衡量銀行所面臨的各種風(fēng)險(xiǎn)，提供了一個(gè)強(qiáng)大的綜合性的模型框架方法，加總了所有的金融決策和風(fēng)險(xiǎn)管理，把全部風(fēng)險(xiǎn)因素放置到一個(gè)模型框架，有益于風(fēng)險(xiǎn)的吸收、平滑和分散（謝寧，2010）。

（三）商業(yè)銀行風(fēng)險(xiǎn)管理組織結(jié)構(gòu)框架構(gòu)建 銀行所面對(duì)的風(fēng)險(xiǎn)日益多樣化、復(fù)雜化,多種風(fēng)險(xiǎn)交織作用對(duì)銀行構(gòu)成威脅，銀行業(yè)需要構(gòu)建基于全面風(fēng)險(xiǎn)管理框架下的組織內(nèi)部監(jiān)管體系，本文參照國(guó)外銀行構(gòu)建了適合我國(guó)商業(yè)銀行風(fēng)險(xiǎn)管理組織結(jié)構(gòu)框架（如圖1），首先由股東大會(huì)、董事會(huì)、以及監(jiān)事會(huì)共同對(duì)銀行內(nèi)外部的風(fēng)險(xiǎn)進(jìn)行統(tǒng)一的監(jiān)管，重點(diǎn)放在事前控制和風(fēng)險(xiǎn)預(yù)警上，使銀行對(duì)風(fēng)險(xiǎn)保持高度的警惕。其次由銀行內(nèi)部成立的風(fēng)險(xiǎn)管理委員會(huì)和審計(jì)委員會(huì)共同協(xié)作重點(diǎn)對(duì)借貸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)和市場(chǎng)風(fēng)險(xiǎn)進(jìn)行內(nèi)部控制管理。最后，加強(qiáng)內(nèi)部控制文化建設(shè)，在銀行內(nèi)部營(yíng)造全員的風(fēng)險(xiǎn)管理文化,讓全員具有內(nèi)部控制意識(shí)并參與到內(nèi)部控制下的風(fēng)險(xiǎn)管理中。

圖1 我國(guó)商業(yè)銀行風(fēng)險(xiǎn)管理組織結(jié)構(gòu)框架

三、商業(yè)銀行內(nèi)部控制系統(tǒng)全面風(fēng)險(xiǎn)管理流程框架

我國(guó)商業(yè)銀行內(nèi)部控制系統(tǒng)的全面風(fēng)險(xiǎn)管理流程如圖2所示，此流程圖包含六個(gè)階段，依次是風(fēng)險(xiǎn)管理準(zhǔn)備、風(fēng)險(xiǎn)因素識(shí)別、風(fēng)險(xiǎn)分析與評(píng)估、保障分析、風(fēng)險(xiǎn)管理決策和風(fēng)險(xiǎn)監(jiān)控六個(gè)階段，并且此流程圖類似一個(gè)“生命周期”，比如，在風(fēng)險(xiǎn)監(jiān)控階段，對(duì)全面風(fēng)險(xiǎn)管理方案的評(píng)價(jià)，檢測(cè)出內(nèi)部控制系統(tǒng)中依舊存在著風(fēng)險(xiǎn)，或風(fēng)險(xiǎn)因素動(dòng)態(tài)的變化，引入若干新的脆弱性而導(dǎo)致整個(gè)內(nèi)部控制系統(tǒng)風(fēng)險(xiǎn)狀況發(fā)生變化，則啟動(dòng)新一輪風(fēng)險(xiǎn)管理生命周期，不過要以加快風(fēng)險(xiǎn)管理進(jìn)程和節(jié)約預(yù)算為原則。在新一輪生命周期中，可以跳過關(guān)鍵銀行資產(chǎn)識(shí)別、威脅識(shí)別和已有內(nèi)部控制系統(tǒng)識(shí)別，并也可直接復(fù)用上一輪周期中對(duì)應(yīng)的各過程的結(jié)論。此外這六個(gè)階段還包含若干相應(yīng)的小過程，這些過程是對(duì)各階段需完成任務(wù)的進(jìn)一步細(xì)分，下面，就此流程的各個(gè)階段的具體工作內(nèi)容展開闡述。

圖2 商業(yè)銀行內(nèi)部控制系統(tǒng)的全面風(fēng)險(xiǎn)管理流程圖

（一）風(fēng)險(xiǎn)管理準(zhǔn)備階段 具體如下：

（1）風(fēng)險(xiǎn)管理計(jì)劃聲明。這一過程主要是依據(jù)我國(guó)商業(yè)銀行內(nèi)部的組織戰(zhàn)略和董事會(huì)的風(fēng)險(xiǎn)管理決議，來制定內(nèi)部控制系統(tǒng)風(fēng)險(xiǎn)管理的實(shí)施計(jì)劃，明確全面風(fēng)險(xiǎn)管理的需求和目標(biāo)，規(guī)定風(fēng)險(xiǎn)管理的范圍、程序、進(jìn)程安排、以及經(jīng)費(fèi)預(yù)算等內(nèi)容，確定風(fēng)險(xiǎn)評(píng)估對(duì)應(yīng)的時(shí)間窗口。其中，首先對(duì)風(fēng)險(xiǎn)管理參與人員的組成、人員的角色和責(zé)任、人員的組織方式、交流與協(xié)作機(jī)制進(jìn)行說明；其次參與風(fēng)險(xiǎn)管理人員要對(duì)商業(yè)銀行風(fēng)險(xiǎn)管理總的指導(dǎo)方針、原則進(jìn)行解讀和細(xì)化；最后，對(duì)由風(fēng)險(xiǎn)管理的需求和目標(biāo)決定的商業(yè)銀行可接受的風(fēng)險(xiǎn)容量和風(fēng)險(xiǎn)容度進(jìn)行明確。

（2）內(nèi)部控制系統(tǒng)描述。內(nèi)部控制系統(tǒng)描述主要是依據(jù)商業(yè)銀行風(fēng)險(xiǎn)管理的范圍，界定風(fēng)險(xiǎn)管理內(nèi)部環(huán)境的邊界，對(duì)所達(dá)到的風(fēng)險(xiǎn)管理目標(biāo)進(jìn)行設(shè)定，識(shí)別影響商業(yè)銀行目標(biāo)實(shí)現(xiàn)的內(nèi)外部風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)加以分析和評(píng)估，制定一系列的風(fēng)險(xiǎn)應(yīng)對(duì)方案和程序，以確保把風(fēng)險(xiǎn)控制在風(fēng)險(xiǎn)容限和風(fēng)險(xiǎn)容量之內(nèi)，在此過程中要保持信息在風(fēng)險(xiǎn)管理參與者與非參與者之間順暢的流動(dòng)，最終達(dá)到對(duì)銀行的各種風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)的多種組合進(jìn)行全面的監(jiān)控和細(xì)致的評(píng)價(jià)，必要時(shí)加以修正。內(nèi)部控制描述實(shí)際是為了給全面風(fēng)險(xiǎn)管理提供一個(gè)“全面視圖”，為全面識(shí)別銀行各類風(fēng)險(xiǎn)因素奠定基礎(chǔ)。

針對(duì)商業(yè)銀行不同于其他商業(yè)企業(yè)的特性，當(dāng)其啟動(dòng)一個(gè)風(fēng)險(xiǎn)管理周期時(shí)，可依據(jù)董事會(huì)、風(fēng)險(xiǎn)管理委員會(huì)以及風(fēng)險(xiǎn)管理專家的意圖，將風(fēng)險(xiǎn)管理的對(duì)象聚焦于他們特別關(guān)注的區(qū)域和范圍，先鎖定重要區(qū)域或易侵區(qū)域，再定位風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)管理周期做到“有的放矢”、“重點(diǎn)突出”，同時(shí)也做到了將管理層需求和風(fēng)險(xiǎn)管理的實(shí)際情況相協(xié)調(diào)進(jìn)而涵蓋內(nèi)部控制系統(tǒng)的所有細(xì)節(jié)，從而縮短風(fēng)險(xiǎn)管理決策時(shí)間，節(jié)約人、財(cái)、物等資源，制定出適合銀行高積聚風(fēng)險(xiǎn)特性的風(fēng)險(xiǎn)管理方案。

（二）風(fēng)險(xiǎn)因素識(shí)別階段 具體有：

（1）關(guān)鍵銀行資產(chǎn)識(shí)別。在商業(yè)銀行中，主要資產(chǎn)項(xiàng)目包括現(xiàn)金、存放中央銀行款項(xiàng)、存放同業(yè)款項(xiàng)、拆放同業(yè)、貸款、投資、固定資產(chǎn)等。各種資產(chǎn)在不同的經(jīng)濟(jì)環(huán)境中，其承受的風(fēng)險(xiǎn)和收益率也各不相同。與此相應(yīng)的，不同收益率的資產(chǎn)，往往其流動(dòng)性和風(fēng)險(xiǎn)權(quán)數(shù)也各不相同。

經(jīng)研究表明，資產(chǎn)的收益率與流動(dòng)性是呈相反方向運(yùn)動(dòng)的，而資產(chǎn)收益率與風(fēng)險(xiǎn)系數(shù)是同向變化的，但風(fēng)險(xiǎn)系數(shù)與流動(dòng)性又是相反的，因此，安全性與流動(dòng)性是同向變化的。這樣，從一種資產(chǎn)的特殊性來看，它不可能同時(shí)滿足商業(yè)銀行資產(chǎn)安全性好、流動(dòng)性強(qiáng)并且盈利性高的要求。如果資產(chǎn)結(jié)構(gòu)過于單一，則無法實(shí)現(xiàn)商業(yè)銀行的風(fēng)險(xiǎn)管理目標(biāo)，所以優(yōu)化資產(chǎn)結(jié)構(gòu)，降低風(fēng)險(xiǎn)是商業(yè)銀行內(nèi)部控制的內(nèi)在要求。

（2）脆弱性識(shí)別。銀行體系脆弱性是銀行的一種內(nèi)在固有屬性，與穩(wěn)定性相對(duì)，指由于銀行高積聚風(fēng)險(xiǎn)狀態(tài)的存在導(dǎo)致銀行體系抵御風(fēng)險(xiǎn)能力不足而導(dǎo)致的內(nèi)在不穩(wěn)定性（孫立堅(jiān)，2004）。這種脆弱性是由銀行高負(fù)債經(jīng)營(yíng)的資產(chǎn)結(jié)構(gòu)和作為金融中介所承擔(dān)的資產(chǎn)轉(zhuǎn)換職能所決定的。銀行體系脆弱性由銀行風(fēng)險(xiǎn)累積及演化而來，更多地表現(xiàn)為風(fēng)險(xiǎn)積累的動(dòng)態(tài)結(jié)果，兩者呈正相關(guān)關(guān)系。銀行體系所承受的風(fēng)險(xiǎn)越大，其脆弱程度就越高；反之銀行體系脆弱性又會(huì)進(jìn)一步引發(fā)新風(fēng)險(xiǎn)。兩者呈螺旋上升趨勢(shì)。我國(guó)現(xiàn)在處于經(jīng)濟(jì)轉(zhuǎn)型期，我國(guó)商業(yè)銀行面臨最大的風(fēng)險(xiǎn)更多的是制度風(fēng)險(xiǎn)，其次是經(jīng)營(yíng)風(fēng)險(xiǎn)和市場(chǎng)風(fēng)險(xiǎn)等。

我國(guó)商業(yè)銀行往往選取不良貸款率、全國(guó)貸款增長(zhǎng)率、通貨膨脹率和資本充足率，這4項(xiàng)指標(biāo)作為衡量銀行脆弱性的核心指標(biāo)，可對(duì)國(guó)有商業(yè)銀行脆弱性做出初步識(shí)別。分析表明，過高的貸款增長(zhǎng)率會(huì)降低銀行的償付能力，過高的不良貸款率是銀行資產(chǎn)質(zhì)量劣變的信號(hào)，過高的通貨膨脹率是金融危機(jī)的必然結(jié)果，而過低的資本充足率會(huì)嚴(yán)重影響銀行的償付能力（袁德磊、趙定濤，2007）。因此，可以認(rèn)為前三項(xiàng)指標(biāo)可以對(duì)銀行脆弱性存在正相關(guān)的關(guān)系，最后一個(gè)指標(biāo)與銀行脆弱性存在負(fù)相關(guān)關(guān)系，這4項(xiàng)指標(biāo)可以粗略地反映銀行脆弱性程度。

商業(yè)銀行的脆弱性識(shí)別是一個(gè)動(dòng)態(tài)識(shí)別過程，因?yàn)殂y行風(fēng)險(xiǎn)總處于動(dòng)態(tài)變化中。根據(jù)風(fēng)險(xiǎn)管理的“木桶原理”，商業(yè)銀行安全性有可能取決于風(fēng)險(xiǎn)管理中最薄弱的環(huán)節(jié)，所以要全面識(shí)別商業(yè)銀行的脆弱性，比如，以商業(yè)銀行整體的角度和銀行各部門局部角度相結(jié)合的方式可以對(duì)銀行的脆弱性進(jìn)行全方位的識(shí)別；以靜態(tài)和動(dòng)態(tài)相結(jié)合的方式來對(duì)商業(yè)銀行的脆弱性進(jìn)行跟蹤識(shí)別；模擬風(fēng)險(xiǎn)的攻擊方式和路徑，來建立相應(yīng)的抵御機(jī)制，來減弱商業(yè)銀行的脆弱性，從而有助于商業(yè)銀行對(duì)所面臨的風(fēng)險(xiǎn)進(jìn)行全面的風(fēng)險(xiǎn)管理。

（3）威脅識(shí)別。對(duì)內(nèi)部控制系統(tǒng)造成的威脅主要來自銀行內(nèi)外部形勢(shì)和政策的變化，比如，外部：全球金融危機(jī)的爆發(fā)、通貨膨脹、匯率和利率的浮動(dòng)等；內(nèi)部：資本充足率、不良貸款率、房?jī)r(jià)增長(zhǎng)率/GDP增長(zhǎng)率、流動(dòng)性比率、備付金比率、資本收益率和總資產(chǎn)利潤(rùn)率等的變動(dòng)，對(duì)銀行體系的脆弱性加以“攻擊”，或來自銀行內(nèi)部工作人員或董事會(huì)成員，他們利用職務(wù)之便，加之對(duì)本銀行系統(tǒng)脆弱性的了解，進(jìn)行舞弊和欺詐等行為，使銀行的資產(chǎn)和銀行體系受到威脅。威脅的識(shí)別主要是對(duì)上述威脅進(jìn)行持續(xù)的跟蹤識(shí)別，原因是這些威脅往往是隱蔽的不易被察覺，且是動(dòng)態(tài)變化著的。

（4）已有內(nèi)部控制系統(tǒng)識(shí)別。對(duì)商業(yè)銀行已有的內(nèi)部控制識(shí)別，主要是對(duì)已運(yùn)行著的內(nèi)部控制系統(tǒng)的安全性能和抵御新風(fēng)險(xiǎn)的能力進(jìn)行檢測(cè)和識(shí)別，看已有的內(nèi)部控制系統(tǒng)能否迅速識(shí)別出新風(fēng)險(xiǎn)并快速形成風(fēng)險(xiǎn)防御方案，以盡快彌補(bǔ)新風(fēng)險(xiǎn)帶來的損失或減弱它的攻擊。一般都依據(jù)商業(yè)銀行戰(zhàn)略目標(biāo)和經(jīng)營(yíng)目標(biāo)的調(diào)整；內(nèi)部環(huán)境的改變；新的信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)等重要風(fēng)險(xiǎn)的生成，然后將這一系列變化反饋到董事會(huì)和風(fēng)險(xiǎn)管理委員會(huì)，他們經(jīng)過反復(fù)討論和溝通，并爭(zhēng)取相關(guān)專家的意見來對(duì)內(nèi)部控制系統(tǒng)進(jìn)行微調(diào)，可以降低時(shí)間窗口內(nèi)風(fēng)險(xiǎn)事件的發(fā)生頻率或降低風(fēng)險(xiǎn)事件的“多米諾”效應(yīng)的影響，進(jìn)而增強(qiáng)內(nèi)部控制系統(tǒng)抵御風(fēng)險(xiǎn)的能力。

（三）風(fēng)險(xiǎn)分析與評(píng)估 具體如下：

（1）風(fēng)險(xiǎn)事件過程建模。風(fēng)險(xiǎn)事件過程建模主要是描述風(fēng)險(xiǎn)利用銀行的脆弱性對(duì)銀行系統(tǒng)制造風(fēng)險(xiǎn)事件流程的模型，并通過定義銀行活動(dòng)和全面風(fēng)險(xiǎn)管理下內(nèi)部控制活動(dòng)之間的關(guān)系來描述風(fēng)險(xiǎn)事件的形成過程。根據(jù)內(nèi)部控制系統(tǒng)的已有安全防護(hù)措施以及其它關(guān)鍵特征參數(shù)，就可以評(píng)估出該類風(fēng)險(xiǎn)或風(fēng)險(xiǎn)組合“攻擊”銀行系統(tǒng)的成功概率。

（2）風(fēng)險(xiǎn)事件頻率計(jì)算。根據(jù)內(nèi)部控制系統(tǒng)的已有安全防護(hù)措施以及其它特征參量，基于風(fēng)險(xiǎn)事件的過程模型就可以評(píng)估出模擬該類風(fēng)險(xiǎn)或風(fēng)險(xiǎn)組合“攻擊”銀行系統(tǒng)的最大成功概率。再據(jù)風(fēng)險(xiǎn)對(duì)銀行脆弱性攻擊原理進(jìn)行分析，就可對(duì)時(shí)間窗口ΔT內(nèi)旨在實(shí)現(xiàn)風(fēng)險(xiǎn)事件的所有可能攻擊的發(fā)生頻率進(jìn)行預(yù)測(cè)。

（3）風(fēng)險(xiǎn)事件損失評(píng)估。對(duì)于信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)和流動(dòng)性風(fēng)險(xiǎn)等風(fēng)險(xiǎn)對(duì)銀行系統(tǒng)漏洞的侵入，以及銀行內(nèi)部人員或董事會(huì)成員通過舞弊和欺詐等手段非法為自己謀福利的隱蔽風(fēng)險(xiǎn)事件，要綜合風(fēng)險(xiǎn)管理委員會(huì)和風(fēng)險(xiǎn)評(píng)估專家的意見，還要綜合考慮影響決策的因素，采用定量的“打分”原則，對(duì)風(fēng)險(xiǎn)事件損失進(jìn)行了定量化評(píng)估，并最終評(píng)估出風(fēng)險(xiǎn)事件損失值。

（四）內(nèi)部控制系統(tǒng)保障分析 內(nèi)部控制系統(tǒng)保障分析的基本思想是，為實(shí)現(xiàn)內(nèi)部控制保障（InternalControlAssurance），需以統(tǒng)一的風(fēng)險(xiǎn)管理策略為指導(dǎo)，針對(duì)銀行內(nèi)部控制系統(tǒng)防御風(fēng)險(xiǎn)的目標(biāo)，綜合運(yùn)用恰當(dāng)?shù)姆雷o(hù)機(jī)制，動(dòng)態(tài)監(jiān)測(cè)機(jī)制（如風(fēng)險(xiǎn)入侵監(jiān)測(cè)、漏洞掃描等），及時(shí)風(fēng)險(xiǎn)預(yù)警和風(fēng)險(xiǎn)響應(yīng)機(jī)制，以及當(dāng)銀行體系遭到風(fēng)險(xiǎn)侵入，使內(nèi)部控制系統(tǒng)失效時(shí)的迅速恢復(fù)機(jī)制，構(gòu)建起具有“縱深防御”功能的內(nèi)部控制系統(tǒng)安全保障體系。

（五）全面風(fēng)險(xiǎn)管理決策 當(dāng)評(píng)估出關(guān)鍵銀行資產(chǎn)的風(fēng)險(xiǎn)超出商業(yè)銀行可接受的風(fēng)險(xiǎn)容量和風(fēng)險(xiǎn)容度時(shí)，需進(jìn)行全面風(fēng)險(xiǎn)管理決策，利用內(nèi)部控制來減弱內(nèi)外部風(fēng)險(xiǎn)對(duì)銀行可能造成的損失，銀行制定具體的風(fēng)險(xiǎn)管理方案的問題實(shí)際上是一個(gè)滿足約束條件（比如，時(shí)效約束、技術(shù)約束、社會(huì)文化約束、法律約束等）的多目標(biāo)優(yōu)化問題。全面風(fēng)險(xiǎn)管理決策的最終目標(biāo)，是可以表達(dá)董事會(huì)和風(fēng)險(xiǎn)管理委員會(huì)等各個(gè)層級(jí)意見的最滿意的風(fēng)險(xiǎn)管理方案。

（六）風(fēng)險(xiǎn)監(jiān)控 具體有：

（1）全面風(fēng)險(xiǎn)管理方案實(shí)施與評(píng)價(jià)。當(dāng)最滿意的全面風(fēng)險(xiǎn)管理方案確定之后，需經(jīng)銀行董事會(huì)討論通過，風(fēng)險(xiǎn)管理會(huì)成員才可以加以實(shí)施，同時(shí)開展相關(guān)的教育培訓(xùn)、規(guī)章制定與技術(shù)支持活動(dòng)。在實(shí)施一段時(shí)間之后，需要董事會(huì)在年度報(bào)告披露的同時(shí),應(yīng)披露本年度內(nèi)部控制自我評(píng)估報(bào)告和會(huì)計(jì)師事務(wù)所對(duì)內(nèi)部控制自我評(píng)估的核實(shí)評(píng)價(jià)意見。目前，我國(guó)商業(yè)銀行需要在完善內(nèi)部控制體系的同時(shí)，慢慢建立完善的內(nèi)部控制評(píng)價(jià)體系，進(jìn)而會(huì)對(duì)其經(jīng)營(yíng)管理水平和經(jīng)營(yíng)績(jī)效有顯著的改善。

（2）風(fēng)險(xiǎn)因素動(dòng)態(tài)分析。銀行時(shí)常面臨著動(dòng)態(tài)變化著的風(fēng)險(xiǎn)，其中經(jīng)濟(jì)或政治的宏觀環(huán)境給銀行系統(tǒng)帶來的新威脅、銀行系統(tǒng)具有的脆弱性、內(nèi)部控制相關(guān)的披露人員或?qū)徲?jì)人員的變動(dòng)、或變更會(huì)計(jì)師事務(wù)所等，可能導(dǎo)致銀行系統(tǒng)的風(fēng)險(xiǎn)因素會(huì)隨之發(fā)生變化；其次，銀行高層對(duì)內(nèi)部控制系統(tǒng)的重視程度和投資額度以及全員對(duì)風(fēng)險(xiǎn)管理的參與程度等元素也會(huì)發(fā)生動(dòng)態(tài)變化，從而導(dǎo)致全面風(fēng)險(xiǎn)管理決策的約束條件發(fā)生變化；再次，全面風(fēng)險(xiǎn)管理方案的執(zhí)行情況也可能會(huì)與計(jì)劃產(chǎn)生不同程度的偏差。因此，應(yīng)該對(duì)該內(nèi)部控制系統(tǒng)的風(fēng)險(xiǎn)因素進(jìn)行持續(xù)的監(jiān)控，若檢測(cè)出風(fēng)險(xiǎn)因素變動(dòng)，則需要驅(qū)動(dòng)新一輪的風(fēng)險(xiǎn)管理生命周期。

［1］李連華、唐國(guó)平：《內(nèi)部控制效率:理論框架與測(cè)度評(píng)價(jià)》，《會(huì)計(jì)研究》2012 年第5 期。

［2］孫立堅(jiān)：《論中國(guó)金融體系的脆弱性》，《財(cái)貿(mào)經(jīng)濟(jì)》2004年第3 期。

［3］蘇邃墨：《企業(yè)風(fēng)險(xiǎn)管理(ERM)框架在我國(guó)商業(yè)銀行內(nèi)部控制中的應(yīng)用》，《北京師范大學(xué)學(xué)報(bào)》2008 年第8 期。

［4］謝志華：《內(nèi)部控制、公司治理、風(fēng)險(xiǎn)管理：關(guān)系與整合》，《會(huì)計(jì)研究》2007 年第10 期。

［5］袁德磊、趙定濤：《國(guó)有商業(yè)銀行脆弱性實(shí)證研究（1985—2005）》，《金融論壇》2007 年第3 期。

［6］楊雄勝：《內(nèi)部控制范疇定義探索》，《會(huì)計(jì)研究》2011 年第8 期。

［7］張先治、戴文濤：《中國(guó)企業(yè)內(nèi)部控制評(píng)價(jià)系統(tǒng)研究》，《審計(jì)研究》2011 年第1 期。

［8］張軍：《基于風(fēng)險(xiǎn)管理視角下的內(nèi)部控制探討》，《內(nèi)蒙古財(cái)經(jīng)學(xué)院學(xué)報(bào)》2011 年第2 期。