一、內部控制機制
如果將控制理解為對目標實現過程的管理,而把風險理解為結果對目標的偏離,那麼,內部控制顯然是金融機構歷史最久的風險管理機制。只要開展業務,就必須設定目標,而由於種種風險因素就會有不達標的可能,而業務管理的重要內容之一就是要通過各種控制活動保障目標的最終實現,這些控制活動主要表現為與業務管理密切融合的各項規章制度的制定和執行監督活動。因此,內部控制與業務管理活動實際上是融為一體的,業務管理部門承擔著內部控制的首要和直接責任,而審計部門則負責內部控制的有效性評估和監督。內部控制覆蓋金融機構所有的人員、部門、分支機構和所有的業務線路及其全部流程,甚至負責內部控制本身的管理人員和審計部門也應該受到相應的監督和控制。目前國際上關於內部控制的經典檔案是COSO委員會1992年釋出的《內部控制――綜合框架》(COSO,1992)。該檔案將內部控制正式定義為一個依靠包括董事會、管理層和其他員工共同參與,保證公司經營活動的有效性和效率、財務報告的可靠性和對法律規章制度的遵循性三大目標實現的過程。同時,該檔案還提出了與管理流程相融合的有效內部控制體系的五個基本要素:控制環境、風險評估、控制活動、資訊與溝通和監督。
有效的內部控制必須以良好的公司治理為基礎,而且內部控制本身,包括內部審計和外部審計在內,也是公司治理的重要內容。由於公司治理是關於金融機構利益相關者,尤其是股東、經理和債權人之間責權利基本關係的安排,其基本結構決定了金融機構對風險的承擔和管理以及相應風險收益的分配和管理激勵,從而對金融機構的內部控制和整個風險管理體系起到基礎性的決定作用。巴塞爾銀行監管委員會在最近公佈的《加強銀行機構公司治理》(Basel,2005)的徵求意見稿中明確指出:“良好的公司治理應該給董事會和管理層提供恰當的激勵去追求與公司利益和股東價值相符的目標,而且應該有利於有效的監督”,“無論法律和監管制度的國別差異如何,也無論銀行採用何種公司形式,只要確保以下四個方面的監督機制發揮作用就可以形成良好的公司治理:董事會或監事會的監督、不參與日常業務經營的個人監督、獨立的風險管理和各業務領域管理線路監督以及合規和審計部門的監督。”金融機構治理結構的缺陷將導致內部控制從根本上失效,而有效的內部控制則是良好公司治理的重要表現。在金融機構治理結構中,董事會、高層經理、審計部門等對內部控制的相關責任的明確至關重要。
與內部控制有密切關係的另外一個重要概念是近幾年在全球金融業興起的操作風險管理。《新巴塞爾資本協議》(Basel,2004)首次正式將操作風險定義為“由不足夠的或失敗的內部流程、人員、系統或外部事件所導致損失的風險”。內部控制和操作風險管理在內容、物件和範圍上基本相同,不同之處主要在於管理手段和方法。內部控制活動主要表現為規章制度的制定和執行監督,尤其是審計手段的應用,而操作風險管理除了重視內部控制手段外,還採用風險計量、定價、經濟資本配置和對衝等與市場和信用風險管理相似的方法。在準確計量的基礎上對操作風險進行合理的風險定價可以使金融機構所承擔的操作風險在產品和服務價格中獲得補償,對各業務部門實施針對操作風險的經濟資本配置可以為業務部門加強內部控制降低操作風險提供合理的激勵,也可以通過資本限額使得金融機構迴避或退出操作風險較大的業務領域,而所謂操作風險對衝主要是指通過購買保險和相關業務外包將操作風險轉嫁給其他機構。