二、金融风险的管理

(一)内部控制与全面风险管理

1.内部控制及其要素

(1)内部控制的含义。美国注册会计师协会(AICPA)、美国会计协会(AAA)、国际财务经理协会( FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)于1 985年共同成立了COSO( Committee of Sponsoring Organization of Treadway Commission，简称COSO)。COSO于1 992年发布了著名的《内部控制——整合框架》，并于1 994年做出局部修订，成为有关内部控制的权威文件。该文件将内部控制定义为：内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适用的法律相符合提供一种合理的保证。

巴塞尔银行监管委员会在1997年9月颁布的《有效银行监管的核心原则》中，将内部控制定义为：内部控制的目的是确保一家银行的业务能根据银行董事会指定的政策以谨慎的方式经营。只有经过适当的审批方可进行交易;资产得到保护而负债受到控制;会计及其他记录能提供全面、准确和及时的信息;而且管理层能够发现、评估、管理和控制业务的风险。

中国银行业监督管理委员会在20 1 4年9月1 2日印发修订后的《商业银行内部控制指引》中，将内部控制定义为：内部控制是商业银行董事会-.、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

(2)内部控制的要素。 COSO在其《内部控制——整合框架》中正式提出内部控制由五项要素构成：①控制环境。它确定了一个组织的基调。影响着整个组织内工作人员的控制意识，并且是其他内部控制要素的基础。②风险评估。它发现和分析与实现组织目标相关的风险及其损失的程度，是整个风险管理决策的基础③控制活动。就是确定一系列具有控制功能的政策和相关的实施程序，以确保管理层的指令、为应对影响组织目标实现的风险而采取的行动得以实施。④信息与沟通。它贯穿于内部控制的过程之中。⑤监督。通过监督，保证内部控制沿着正确的轨迹运行，如果出现偏差，予以合理校正。

巴塞尔银行监管委员会在1 998年颁布的《银行内部控制系统的框架》中，提出商业银行的内部控制系统包括管理监督与控制文化、风险识别与评估、控制活动与职责划分、信息与沟通、监管活动与错误纠正五项要素。

中国银行业监督管理委员会在20 1 4年9月1 2日印发修订后的《商业银行内部控制指引》中，指出商业银行内部控制的目标是：保证国家有关法律法规及规章的贯彻执行，保证商业银行发展战略和经营目标的实现，保证商业银行风险管理的有效性，保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。商业银行内部控制应当遵循全覆盖、制衡性、审慎性、相匹配等基本原则。

2.全面风险管理及其架构

进入2 1世纪以后，世界各国更加关注风险管理，迫切需要一个能够有效识别、评估和控制风险的强有力框架问世。特别是国际上发生了一系列令人瞩目的企业丑闻和失败事件以后，这种迫切性更为凸显。为此，COSO开始着力开发一个便于管理层评价和改进其所在企业的风险管理的框架，并于2004年9月正式发布了《企业风险管理——整合框架》文件，这标志着拓展并内含内部控制体系的全面风险管理模式的问世。

巴塞尔银行监管委员会重点关注和推行商业银行的全面风险管理，在2004年6月公布的“巴塞尔协议Ⅱ”中就融人了全面风险管理的理念和要求，标志着商业银行的风险管理出现了显著的变化，就是由以前单纯的信用风险管理模式转向信用风险、市场风险和操作风险管理并举，信贷资产管理与非信贷资产管理并举，组织流程再造与技术手段创新并举的全面风险管理模式。

(1)全面风险管理的含义。COSO在《企业风险管理——整合框架》文件中认为：全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主体目标的实现提供合理的保证。

(2)全面风险管理的架构。COSO在《企业风险管理——整合框架》文件中认为：全面风险管理是三个维度的立体系统。这三个维度是：①企业目标，包括战略目标、经营目标、报告目标和合规目标等四个目标。②风险管理的要素，包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控八个要素。③企业层级，包括整个企业、各职能部门、各条业务线及下属子公司。全面风险管理的八个要素都为实现目标服务;八个要素的管理活动在每个层级上展开。