近年來，內(nèi)部控制、全面風險管理與新資本協(xié)議，成為我國銀行業(yè)關(guān)注的幾個熱點問題。但是，對這幾個問題相關(guān)的幾個基本概念，我國銀行業(yè)還未形成共識。筆者認為，在金融全球化發(fā)展趨勢下，這種狀況既不利于我國銀行業(yè)與國外同業(yè)的業(yè)務交流，也不利于我國商業(yè)銀行風險管理改革的深化。為此，本文試對內(nèi)部控制、全面風險管理及相關(guān)問題，談幾點看法。

    一、內(nèi)部控制

    內(nèi)部控制的概念是在實踐中逐步產(chǎn)生、發(fā)展和完善起來的。早在上世紀70年代中期，作為美國“水門事件”調(diào)查結(jié)果，立法者和監(jiān)管團體開始對內(nèi)部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄，美國國會于1977年通過了“國外腐敗實務法案（1977）”。該法案除了反腐敗條款外，還包含了要求公司管理層加強會計內(nèi)部控制的條款。該法案成為美國在公司內(nèi)部控制方面的第一個法案。1978年，美國執(zhí)業(yè)會計協(xié)會下面的柯恩委員會（Cohen Commission）提出報告，一是建議公司管理層在披露財務報表時，提交一份關(guān)于內(nèi)控系統(tǒng)的報告；二是建議外部獨立審計師對管理者內(nèi)控報告提出審計報告。1980年后，內(nèi)部控制審計的職業(yè)標準逐漸成形。而且，這些標準逐漸得到了監(jiān)管者和立法者的認可。

    COSO《內(nèi)部控制統(tǒng)一框架》首先強調(diào)的是內(nèi)部控制目標。因為COSO認為，沒有預定的目標，談控制就沒有任何意義。早期的內(nèi)控制度一般有兩項目標，一是財務報告的可靠性目標，二是合規(guī)性目標。COSO認為內(nèi)部控制制度主要是為了滿足管理層的需要，而管理層的職責是制定本單位的各項目標，并配置人力資源和物質(zhì)資源以達到這些目標，因此，除了以上兩項目標以外，內(nèi)部控制的首要目標是合理確保經(jīng)營的效果和效率。

    二、全面風險管理

    多年來，人們在風險管理實踐中逐漸認識到，一個企業(yè)內(nèi)部不同部門或不同業(yè)務的風險，有的相互疊加放大，有的相互抵消減少。因此，企業(yè)不能僅僅從某項業(yè)務、某個部門的角度考慮風險，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險。即要實行全面風險管理（Enterprise Risk Management，簡稱ERM）。然而，盡管很多企業(yè)意識到全面風險管理，但是對全面風險管理有清晰理解的卻不多，已經(jīng)實施了全面風險管理的企業(yè)則更少。為了改變這種狀況，COSO從2001年起開始進行這方面的研究，于2003年7月完成了《全面風險管理框架》（草案）（下稱ERM框架），并公開向業(yè)界征求意見。

    根據(jù)ERM框架，“全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好之內(nèi)，從而合理確保企業(yè)取得既定的目標。”ERM框架有三個維度，第一維是企業(yè)的目標；第二維是全面風險管理要素；第三維是企業(yè)的各個層級。第一維企業(yè)的目標有四個，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二維全面風險管理要素有8個，即內(nèi)部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。第三個維度是企業(yè)的層級，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各子公司。ERM三個維度的關(guān)系是，全面風險管理的8個要素都是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。該框架適合各種類型的企業(yè)或機構(gòu)的風險管理。

    從COSO的ERM框架和內(nèi)部控制框架可以看出，全面風險管理與內(nèi)部控制既相互聯(lián)系又有重要差異。從二者的框架結(jié)構(gòu)看，全面風險管理除包括內(nèi)部控制的三個目標之外，還增加了戰(zhàn)略目標；全面風險管理的8個要素除了包括內(nèi)部控制的全部5個要素之外，還增加了目標設定，事件識別和風險對策三個要素。因此，全面風險管理涵蓋了內(nèi)部控制。從二者的實質(zhì)內(nèi)容看，兩者存在以下幾項重要差異。一是內(nèi)部控制僅是管理的一項職能，而全面風險管理屬于風險范疇，貫穿于管理過程的各個方面。二是在全面風險管理框架中，由于把風險明確定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”（將產(chǎn)生正面影響的事件視為機會），因此，該框架可以涵蓋信用風險、市場風險、操作風險、戰(zhàn)略風險、聲譽風險及業(yè)務風險等各種風險；內(nèi)部控制框架沒有區(qū)分風險和機會。三是由于全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的四項目標。這些內(nèi)容都是內(nèi)部控制框架中沒有的，也是其所不能做到的。

                                                （中國工商銀行博士后科研工作站 唐國儲 博士）