标准化特别是管理的标准化已经成为衡量一个组织成熟程度，尤其是基础管理的重要标志。将标准化管理思想和方法引入到现代商业银行风险管理领域，以指导其内部控制体系建设，已成为当前各家商业银行提升基础管理的必然选择

　　近年来，内部控制体系建设作为防范操作风险的重要手段，得到了国内各家商业银行的高度关注和深入研究，并把它作为风险管理体制改革的重要环节进行实践和推广。各家商业银行大都把内部控制体系建设看成事关全局的一项战略性工作，有效的内控体系是银行防范各类风险，尤其是操作风险的一道重要屏障，有助于早日实现由“部门银行”向“流程银行”的战略性变革，全面提升自身的核心竞争力。 与此同时，我们也看到当前国际化企业的经营管理出现了一个不容忽视的特点，就是各种标准的广泛应用。记者在采访浦发银行总行操作风险管理部总经理成斌时，成斌强调，标准化特别是管理的标准化已经成为衡量一个组织成熟程度，尤其是基础管理的重要标志。将标准化管理思想和方法引入到现代商业银行风险管理领域，以指导其内部控制体系建设，已成为当前各家商业银行提升基础管理的必然选择。

　　一、巴塞尔新资本协议与内部控制

　　记者：内部控制与新资本协议的关系是什么？

　　成斌

　　：内部控制与新资本协议的关系主要体现在内部控制与操作风险的关系上。在新资本协议的第一支柱中，操作风险第一次被引入资本要求框架，新资本协议的操作风险是指“由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义包括法律风险，但不包括战略风险和声誉风险”。巴塞尔银行监管委员会指出，有效的内部控制体系是操作风险管理的基础，有效的内部控制有助于商业银行保护和增加股东价值，降低未预期损失和其他受损的可能性。

　　同时，在新资本协议的第二和第三支柱中，也制定了与银行内控制度相关的内容。巴塞尔银行监管委员会注意到，银行为抵御风险所持资本的数量与其风险管理、内部控制等程序的执行力度及有效性有关。增加资本不应被视为银行解决更大风险的唯一选择，同时还必须考虑到其他诸如加强风险管理、提高准备水平和改善内部控制等风险管理手段。更进一步地说，增加资本不能替代内部控制或风险管理中的根本性问题。在第二支柱中，也明确提出银行的董事会应定期核查其内部控制系统能否充分保证银行有序和审慎地开展业务，银行应定期对其风险管理程序进行检查，以确保其完整性、准确性和合理性。

　　以上这些都充分表明了内部控制体系的建设作为新资本协议实施的重要组成部分，得到了巴塞尔银行监管委员会的普遍重视。

　　二、基于过程控制模式的商业银行内部控制体系模型

　　记者：我们看到，无论是商业银行提供服务，还是其实现对风险的控制都是通过经营管理活动的流程来完成的。由此，我们将标准化管理理论、全面风险管理理论运用于内部控制体系建设时，应该基于流程来考虑业务和管理的操作要求，在可能的情况下，把所有业务和管理活动划分为一个个流程，并以此为基础进行流程分析、风险识别评估。由此，建立基于过程控制模式的内部控制体系模型，使其具备理论上的先进性和前瞻性，需要考虑哪些因素？

　　成斌

　　：两个方面的因素必须考虑。一是考虑巴塞尔委员会关于银行内部控制体系评估十三项原则的要求；二是考虑COSO委员会全面风险管理框架ERM的要求。

　　首先是内部控制体系框架要求。

　　建立基于过程控制模式的内部控制体系模型并不是一个完全独立的系统，它首先应该适应监管机构的要求，而在我国银监会颁布的《商业银行内部控制评价试行办法》也正是基于过程控制模式的内部控制评价体系，它也是满足巴塞尔委员会内部控制体系框架原则要求的。这就要求我们在建立体系时，要充分考虑促进内部控制三大目标的实现，即促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则；促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现；促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。在内部控制体系的构成要素上，把握内部控制体系的内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五大过程。

　　其次是全面风险管理要求。

　　作为防范风险的一个严密体系，建立基于过程控制模式的内部控制体系模型，同样应该涵盖全面风险管理ERM框架的要求。实际上《商业银行内部控制评价试行办法》中提出的商业银行内部控制评价的五个目标也正是全面风险管理框架关于风险管理战略、经营、报告和合规四大目标的要求。

　　一是促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则??对法律法规的合规性。

　　二是促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现??支持实现战略目标。

　　三是促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性??报告的可靠性。

　　四是促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行??经营的效果和效率。

　　五是促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险??经营的效果和效率。

　　在建立过程中，需要遵循的原则是系统性原则、预防性原则、持续改进原则以及可操作性原则。

　　三、基于过程控制模式的商业银行内部控制体系设计

　　记者：基于过程控制模式的内部控制体系是为有效防范和控制风险而建立的，它是商业银行整个管理体系的重要组成部分。那么，内控体系设计应重点考虑的因素有哪些？

　　成斌

　　：内部体系的设计应考虑体系建立的一般过程、内控体系文件的编制、内控体系的管理评审和持续改进等几个部分。

　　体系建立的一般过程包括，项目目标的确立（立项）、现状分析、体系设计、体系文件编写和项目推广五个阶段。其中，体系设计非常重要。它是指在清理调查的基础之上，依据内控标准条款，结合对商业银行的管理现状和需求情况，设定内控体系的初步框架和基本模块，将清理出的活动、文件、产品等经过初步筛选，放入相应的模块。然后根据标准要求和需求，对清理出的活动进行重新整合和设计，确定银行的核心价值流程、管理流程和支持流程。

　　银行内部控制体系的设计应充分贯彻全面、审慎、有效、独立和合理的原则。内部控制体系是按照《商业银行内部控制评价试行办法》并结合实际建立起来的。建立和实施内部控制体系，确保内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等与内部控制体系有关的过程处于受控状态。同时对这些过程形成文件并加以实施、保持和改进，以满足银行风险内控要求。

　　为建立和实施内部控制体系，银行应采用过程方法、管理的系统方法和基于事实的决策方法等先进的体系管理方法，把业务活动、管理活动和支持活动作为过程来控制，并应用PDCA循环，持续改进这些过程的有效性，从而不断提高本行风险控制水平，为实现本行发展战略和经营目标奠定基础。

　　银行与内部控制体系的有关过程包括：建立良好的内部控制环境；识别和评估风险并制订控制方案；根据控制方案对风险实施有效控制；测量、分析和评价内部控制绩效；交流反馈上述各过程中的信息；运用PDCA循环持续改进上述过程。

　　记者：内控体系管理评审和持续改进的过程也是很关键的环节吧？

　　成斌

　　：是的。管理评审是指为了评价内控体系，包括内控方针和内控目标的适宜性、充分性和有效性是否达到了规定的内控目标，并寻求改进机会的活动。它是由最高管理者实施的高层活动。管理评审就内控体系的内外部环境和现状进行研究，评价变更、改进内控管理体系的需要，并作出微观和宏观决策，采取必要的措施，以确保体系的持续适宜性、充分性和有效性。

　　适宜性是要求建立的内控体系具有适应内外部环境的特性；充分性是要求内控体系符合内控体系的要求并具有实现内控目标的能力；有效性是要求内控体系能完成策划的活动和达到策划的结果，换句话说，即要求内控体系能有效地运行，实现内控目标。

　　持续改进是基于过程体系化管理的核心原则之一，强调持续改进整体业绩是组织永恒的目标。持续改进是指增强满足要求的能力的循环活动，它不是“毕其功于一役”，而是一次一次不断进行的过程，永无止境。持续改进的内容涉及商业银行管理的方方面面，它以产品、过程、体系为对象，内部控制体系持续改进可分为对银行所提供产品本身的改进、对产品流程的改进和对管理过程的改进。以提高过程的有效性和效率为目标。商业银行开展持续改进，可以提高内部控制效果、提高产品或服务质量、提高组织市场竞争能力、提高管理效率、降低成本、形成优良的内部控制文化。

　　通常情况下，迫使员工进行改进是难以持续的，很可能也是难以成功的，只有员工自觉地、主动地投入改进中，改进才可能顺利进行。而要员工自觉地、主动地投入改进，则需要商业银行为他们创造一个有利于持续改进的环境条件。一般说来，持续改进需要最高管理者的支持和领导；各级管理者以身作则、持之以恒的努力；组织内形成共同的价值观；有确定的改进目标；尊重员工的首创精神；进行必要的教育和培训；对改进过程进行鼓励；对成功的改进进行必要的奖励等。

　　在持续改进环节，要特别强调持续改进组织的建设。纯粹自发的改进虽然也可以取得成果，但都难以持久，更难以形成规模。组织要形成持续改进的格局，必须对持续改进活动进行组织和策划，加强领导和管理，动用多种手段，包括测量和评审，不断推进，不断提高，这样才能充分发挥持续改进的效用。

　　商业银行要推进持续改进，应当有一个负责改进的管理机构。根据商业银行分支机构的情况，可采用下列方法之一来确定这样的管理机构：一是由最高管理者授权，由组织内部某一部门（如风险管理部）来负责持改进的管理工作；二是组织机构庞大，也可以成立专门的持续改进的管理机构（如内控办公室）；三是由最高管理者负责，在组织内建立一个持续改进的委员会，由相关部门和人员组成并定期开展工作，但具体的管理工作依然需要指定一个常设机构来负责。成斌?浦发银行总行操作风险管理部总经理。在国有商业银行、股份制商业银行信贷管理、风险与内控管理岗位服务多年。在《银行家》等刊物上发表过近二十篇研究论文。曾参与国有大型商业银行、股份制商业银行风险与内控体制改革全过程。 (责任编辑：聂晶)