金融公司內部風險

㈠ 在金融公司工作的人來說說風控怎麼做。

風控並不是個新職業，不過近幾年它的發展勢頭變得越來越好。無論在傳統金融還是互聯網金融領域，它都成了一個緊俏的職業。這跟近幾年金融領域形態的多樣化有關，用戶對於風險控制變得越來越關注。

總體來說，風控崗位涉及到的工作包括業務審查（業務發生前的審核，通常未通過審核，業務不能執行）、風險監測（業務發生後的持續風險監測，包括預警及應對等）以及業務綜合管理（數據的統計分析等）。

一、工作內容（在銀行、保險、信託、期貨、P2P互聯網金融平台內部，風控的工作側重不盡相同。）

1.銀行

相比其他類型的金融機構，銀行的風險管理部門更為成熟。「巴塞爾委員會」1988年7月制定的《巴塞爾協議》里為全球商業銀行確立了明確的風險管理標准，確定了管理哪幾類風險。尤其對怎麼管控信用風險、市場風險、操作風險說得非常清晰。

貸款業務是占銀行風控日常工作比重最高的一類業務。處於中端的風控部門往往在客戶閱讀貸款細則時就開始進入風險審核，看貸款對象的個人風險評估是否符合要求，經過風險評估後的業務才會被提交到更高管理處審批—也就是說，風控的工作存在於交易的過程中。

銀行風控的這種運作方式也成為許多金融機構風險管理的母本。比如保險行業大多是參照銀行的做法。

2.期貨、信託、小額貸款、融資租賃企業

從風險管理的角度來說，期貨、信託、小額貸款、融資租賃企業都算是比較新興的類型。它們的風險管理以風險為核心，側重信用風險、操作風險、市場風險、交易對手風險等等。

這些行業的新興之處還體現在業務的復雜和創新需求上。比如信託，以房地產作為信託產品和以汽車作為信託產品是不一樣的，某種程度上來說每個項目都需要開發一套創新的金融產品。當一個創新產品出來的時候，這個產品是不是能變成一隻基金，或者變成某一種產品推到市場上去，它們的風險管理部就要進行審核。這種情況下，風險管理部需要判斷這個新產品的風險是否可控？風控敞口有多大？萬一出現問題，項目坍塌了，儲戶或者是投資者來向公司要錢時，剛性兌付的資金壓力有多大？有多少可能性這個項目就有多少可能收不回來錢？

風險管理部對於新產品的審批意見非常重要，如果風險管理部或風險管理委員會不批的話，這個新業務真的可能會被否掉。這是一個權力很大的部門。

3.網上個人信貸（P2P）

相對傳統金融領域來說，P2P還處於初期階段，因此風險管理工作可能並不是很完善。有一些企業在做這類金融產品的時候，可能只是從金融企業挖一兩個人來就開始管理風險，他們的風險管理主要集中在信用風險審核。

二、崗位要求（論傳統金融還是互聯網金融，風控都算是一個硬性技能要求比較高的崗位，但根據工作內容的不同，對公司人的要求也有所不同。）

在傳統金融領域及P2P中，金融行業相關的知識和經驗是很重要的。

對於畢業生來說，盡管大部分金融機構和企業都抱著一種「反正都是白紙，我可以用我們的體系來培養」的觀念，但如果是金融專業同時具備一些比如FRM金融風險管理師、CFA特許金融分析師等專業證書會更有競爭力。

對於社會招聘來說，風控人才主要來自兩個渠道，一個是從其他類似機構找人；另一個則來自於大會計事務所或咨詢公司，後者出來的公司人往往有一些金融企業審批或企業風控的外部服務經驗。

三、工作狀態及挑戰

不同類型的金融機構及企業的風控因為其職能的不同，所呈現出的工作狀態會有所不同。

通常，一些大型銀行的風控部門由於業務穩定，規模較大，人員充足，因此工作負荷不大，屬於行業中工作壓力較小的部門。不過一些跨國銀行的風控職能往往集中在國外總部或區域中心，中國的風控部門更多地扮演執行的角色，個人的能力體現和成長空間都會受到一定的局限。

在一些大型金融機構，風控的工作重點在於如何將領導的風險偏好轉化為合理的風控工作指標，凸顯自身價值。

一些中小型金融企業，以及非銀行金融機構的風控，由於業務類型復雜、創新性高、變化大，原本就不夠充沛的風控人員，往往需要承擔更大的工作負荷。這類風控人員的職能壓力往往來自於不僅要控制風險，同時還要提高工作效率，即：不錯殺好項目，不漏殺壞項目，同時也不能延誤業務時機。這種時候還有可能受到來自業務部門的壓力，如何在業務發展和風險管理之間找到平衡，如何在壓力下，堅持風控的專業判斷，都是一個好的風控人需要考慮的。相對來說，這類企業的風控人員壓力更大，能力的提升也更快。

不管是傳統金融還是互聯網金融都面臨著不斷發展和迭代的挑戰，這使得風控人員必須保持很強的學習能力和好奇心。

四、職業發展方向

在大部分金融機構里，風控崗位的職業晉升往往通向首席風險官，最終可能成為銀行的副行長，或是其他金融機構的副總經理，主要還是偏重風險管理和控制類的工作。

五、薪酬狀況

根據統計數據表明，在金融行業各職能部門的薪酬漲幅里，盡管中後台部門仍然沒有前台部門的15％高，大約在5%至10%之間，不過風控在中後台其他職能部門中算是漲幅比較高的。

之所以能有這樣比較有優勢的漲薪，主要有兩方面原因。原因之一在於人才貯備不足。過去很多人都沒能認識到風控工作的重要性，所以大家不太願意入行，另一方面這又是一個需要專業技能的工作，因此整體而言從業者不多。原因之二是因為這兩年互聯網金融發展非常迅速，大大小小的P2P平台的出現催生了風險控制人才的需求。加上銀行、保險、期貨、信貸、小貸、小微貸、PE、VC這些行業本身也都有很大的風控人才需求，所以使得這類人才出現缺口。這些企業之間的人才競爭也把風控人員的收入拉到了一個比較高的位置。

從具體行業來說，銀行業風控的薪資漲幅平均在5%至10%之間；保險業相對平穩，因為保險業圈子狹窄，風控流動率較小，薪資漲幅不大。證券基金業內中資外資風控的薪資漲幅有非常大的差異，所以沒法得出一個明確的參考標准。P2P行業的風控人員大多是來自銀行或是同行業。在跳槽的過程中，他們的薪資會得到一個比較大的提升，增長幅度可達30%至50%。

從區域上來說，風控人員的需求主要集中在一線城市。二三線城市需求量雖大，但薪酬偏低。

一線城市有5年到10年經驗的銀行風控人員平均年薪在30萬到60萬元之間；保險業有10年以上工作經驗的風控在外企的薪資約為70萬元，在本土企業為60萬元；證券基金業有5年至8年工作經驗的風控經理在本土企業的年薪一般在30萬至80萬元之間

㈡ 互聯網金融企業內部審計的風險管理措施有哪些

互聯網金融企業的風險管理就是在經營過程之中對企業可能發生的風險進行識別、評估、以及應對。互聯網金融企業是互聯網和金融企業的有機結合，由於互聯網企業具有的虛擬化、交易對象以及交易流程難以確定等特點，其所面對的風險比傳統的金融機構要高很多，因此對互聯網金融行業內部審計的風險管理極其重要。所以針對上述存在的問題，提出了幾點內部審計的風險管理措施：
（一）利用計算機改善內部審計方法
1.深入計算機的審計方法。
該種方法就是對計算機內數據投入、投出的過程進行全面審計，主要內容是考核企業內部控制的體制機制設計和有效運行，評價企業管理制度執行情況。深入計算機的審計方法能夠簡化傳統金融行業手工做賬的工作，減輕工作負擔，並且利用計算機來處理數據能夠減少由人工計算失誤引起的固有風險。
2.計算機輔助審計方法。
計算機輔助方法是指將計算機技術引入內部審計工作並構建內部審計信息系統，對企業的網路運行安全及時進行監控和防衛。同時這種方法也是收集、評價審計證據的過程，通過收集的數據來檢查計算機管理系統或企業內部控制使企業資產、數據以及隱私安全得以保證。這種方法能夠提高互聯網金融企業的審計效率，降低審計成本，解決企業內審綜合能力低下的難題。
（二）重視內部審計的建設
1.提高內部審計地位。
內部審計能夠幫助企業評價和改善風險管理和內部控制體系。內部審計以其獨特的檢驗和詢問功能與企業組織結構相協調，增加了企業的價值。故可以通過以下方法提高內審地位，改善企業經營與組織效率。
（1）互聯網企業高管重視內審作用，定期開展有關宣傳活動。高管帶領員工參觀行業優秀公司的內審工作流程，使每位員工意識到內審的重要性並對表現優秀的內部審計人員予以獎勵。
（2）成立由企業股東直接領導的內部審計部門，內部審計工作的開展直接對股東負責，減輕管理層的控制，遏制管理層凌駕於內控之上所帶來的危害。
2.提高內部審計的獨立性。
獨立性是審計的靈魂。內部審計部門需要保持客觀中立，人員不可以參與經營活動，內審人員的聘請需由專人來執行。互聯網金融企業在設立審計機構時應首先成立審計委員會，該成員包括公司的主管、主要債權人和投資者，內審部門的人員聘用、調動、許可權、考核等方面直接隸屬於審計委員會，對委員會負責，從形式和實質兩個方面保持其獨立性。 （三）完善互聯網金融企業監督
我國經濟信息化程度不高，互聯網金融企業的發展尚處於起步階段，因此我國對互聯網金融業務的監管應採取慎重態度。通過適當的金融監管可以促進我國網路金融更好更快發展，降低內審中的法律風險。具體措施如下：
1.完善管理互聯網金融企業的法律法規。
補充適用於互聯網金融業務的相關法律條文。既要對現有法律不適合的部分進行修訂和補充，又要對未來發展情況進行分析預測。當前互聯網金融最突出的法律問題是非法集資、融資問題。中國人民銀行應當與證券、保險監管機構聯手，充分披露互聯網金融產品的投資風險，禁止非法融資活動，禁止使互聯網金融企業既做裁判員又做運動員。
2.完善現行業務營運監管辦法。
結合互聯網金融企業業務特點，從業務經營的合法合規、資本充足、資產質量、管理水平和內部控制等方面適時進行調整，構造一個符合互聯網金融發展的監管指標體系。互聯網金融企業的獨特性使其在某種程度上脫離金融監督管理機構的監管，但其資本充足率對客戶、消費者具有重大影響，監管部門應當對其作出相應規定，同時考慮實施准備金制度將部分市場風險內部化。
3.提升金融監管部門的網路安全技術。
互聯網金融企業的網路安全問題日益突出，其涉及的不僅僅是客戶的隱私，更甚的是涉及到客戶利益。金融監管部門要求互聯網金融企業加強技術力量，不斷完善網路安全技術，如防火牆技術、加密技術。同時應大力發展我國先進的信息技術，提高計算機系統的關鍵技術水平，在硬體設備方面縮小與發達國家之間的差距，提高關鍵設備的安全防禦能力。
4.提高內審人員的專業能力。
互聯網金融的內部審計比傳統企業內部審計更加復雜，需要審計人員具備扎實的專業技能，這是審計工作開展的前提條件。故可以通過以下途徑提高內審人員的專業勝任能力。
（1）加強自身學習，培育綜合人才。內審人員不僅要學習財會方面的知識，還需要學習風險管理、計算機與互聯網金融行業知識，包括互聯網金融行業經營特點、經濟技術指標，企業的經營戰略、經營環境、經營風險等。
（2）加強專業技能培訓，進行輪崗交流。內審人員應具備全方位知識與技能，進行大量的審計實踐。通過輪崗，審計人員應熟悉單位的各項業務及其操作流程，提高審計的實踐能力。
5.培育具有綜合能力的內審人員。
隨著內部審計在互聯網金融業的治理結構中地位日益重要。而我國互聯網金融企業發展現狀需要企業提高現有審計人員的管理能力，完善內部審計管理工作建設。通過後續教育、業務培訓等各種途徑提升互聯網金融企業的審計整體隊伍素質，為互聯網金融企業內部審計的風險管理提供符合要求的監督控制資源和後備力量。

㈢ 互聯網金融企業面臨哪些風險

1、法律風險
在諸多的法律風險中，容易涉嫌非法集資是最大的風險。無論是異化了的P2P網路借貸融資還是互聯網公眾小額集資形式其運營缺乏法律依據，現有的制度沒有明確其性質而處於法律的灰色地帶。現實中也出現了許多假借P2P網路平台而進行非法集資的事件，如天力貸案、鄭旭東案、網贏天下倒閉事件等。淘寶上也先後出現過公開銷售未上市公司股份和PE基金份額的事件。由於其向超過200人的不特定對象公開推薦、發行證券且未經審批，按照證券法兩者都已構成「非法證券活動」，均被證監會叫停。除此之外，法律風險還體現在利用互聯網金融從事洗錢活動、個人信息的泄露、擅自發行公司、企業債券、經營者挪用資金、職務侵佔、以非法佔有為目的進行虛假融資而可能構成詐騙罪或者合同詐騙罪等刑事法律風險。
2、市場、信用風險
雖然互聯網金融的發展異常火熱但細分各種業態的市場成熟度卻參差不齊，例如第三方支付機構在行業中的布局已經呈現雛形，出現了「精耕細作」的情景；P2P網路借款平台則依然在「跑馬圈地」；以阿里小貸為代表的網路小額貸款公司各自依靠集團公司的電商平台，相互之間的競爭似乎並不激烈。同業競爭、知識產權保護的風險與面對市場的壟斷、不正當競爭並存。在信用比較缺失的背景下，也面臨著籌資人使用虛假的身份信息獲取資金、違規、違法使用貸款資金導致無力還款等風險。而造成違約或者惡意拖延之後，由於交易各方各處異地、訴訟成本高企等各種因素，也難以對違約人構成實質性懲處。熱議的多數互聯網理財產品利用的是同業存款市場和一般存款市場利率價格之差，隨著利率市場化改革推進以及湧入資金增加攤薄收益，產品盈利空間將逐漸縮小。銀行存款利率與市場利率之間的巨大差別是貨幣基金發展的主要動力，但其也仍存在破產清算風險。
3、經營風險
經營風險指公司內部治理不到位、程序與治理流程不完善、人員的失誤或舞弊、系統的失靈或缺陷等因素造成的風險。互聯網金融兼具金融企業與互聯網企業的風險要素。一方面可能客戶不熟悉、過量客戶的網站訪問等原因而造成風險。另一方面可能是來自互聯網金融安全系統及其產品的設計缺陷等因素，或者內部工作人員操作失誤等原因而造成較大的風險。2013年8月發生的「光大烏龍指」事件，彰顯了認識這一風險的重要性。尤其是對於無准入門檻、無行業標准、無監管機構的P2P網路借貸平台行業而言更是如此。
上述的分析僅僅是當互聯網金融初步發展階段所存在的風險，更多潛在的風險也會隨著其進一步成長逐漸暴露出來。互聯網金融已經具有了引發行業系統性風險的可能，例如依託於第三方網路支付的貨幣市場基金，在短短的幾個月內用戶便超過了8000萬，而該貨幣基金一旦產生基金份額贖回的障礙，就有極大的可能引發系統性風險乃至社會群體性事件。金融風險的累積如果不能及時控制並加以化解，則不可避免的出現金融危機。而且近年來，許多犯罪分子借互聯網金融之名實施犯罪行為，尤其是非法集資行為持續高發。因此有必要對互聯網金融進行監督管理，以維持金融安全、防範金融風險和保護人民群眾財產安全。

㈣ 金融企業部門風險升高的三個表現

金融企業部門風險升高的三個表現主要就是資金鏈的斷裂，一般一個金融企業資金鏈出現了斷裂，那麼這個部門的風險就會極高。

㈤ 消費金融公司的風險有哪些如何有效把控風險

存在於降低逾期，以及壞賬的風險，如果你想有效把控風險的話，可以考慮一下選擇
第三方系統
來幫你，像是杭州同盾科技在這方面就做的可以。

㈥ 多選題 金融企業部門面臨的風險主要有

金融企業部門面臨的風險是：1、擠兌；2、投資收不回形成呆死賬過多，超出預警；3、銀行間拆借投資失敗！等等！

㈦ 金融行業的風險主要有哪些

對於金融風險的種類，從不同的角度出發，會有不同的認識或不同的關注點。

對於經營金融者來說，金融風險是指所從事的經營活動給自己造成經濟損失的風險。此類風險主要有利率風險、外匯風險和管理風險，尤其是信貸風險。

所謂利率風險是指由於預期利率水平和到期實際市場利率水平的差異而造成損失的可能性。所謂外匯風險是指因匯率變動而蒙受損失或喪失所預期的利益的可能性。

所謂管理風險是指由於金融機構或經營者經營管理不善而造成損失的可能性。所謂信用風險，亦稱信貸風險，是指債務人不能按期償還債務本息，使債權人受到一定經濟損失的可能性。

(7)金融公司內部風險擴展閱讀：

金融風險管理過程：

金融風險的管理過程大致需要確立管理目標、進行風險評價和風險控制及處置等三個步驟：

(一)金融風險管理的目標。金融風險管理的最終目標是在識別和衡量風險的基礎上，對可能發生的金融風險進行控制和准備處置方案，以防止和減少損失，保證貨幣資金籌集和經營活動的穩健進行。

(二)金融風險的評價。金融風險評價是指包括對金融風險識別、金融風險衡量、選擇各種處置風險的工具以及金融風險管理對策等各個方面進行評估。

(1)風險識別。金融風險識別是指在進行了實地調查研究的基礎上，運用各種方法對潛在的、顯在的各種風險進行系統的歸類和實施全面的分析研究。

(2)風險衡量。是指對金融風險發生的可能性或損失范圍、程度進行估計和衡量，並對不同程度的損失發生的可能性和損失後果進行定量分析。

(3)金融風險管理對策的選擇。是指在前面兩個階段的基礎上，根據金融風險管理的目標，選擇金融風險管理的各種工具並進行最優組合，並提出金融風險管理的建議。這是作為金融風險評價的最重要階段。

㈧ 金融市場的風險有哪些如何規避

巴塞爾委員會對金融風險的認定有：信用風險、市場風險、操作風險。
1、信用風險。
交易對手違約的風險。當交易對手方信用狀況發生問題，就會違反交易合約。
規避信用風險，可以進行信用評價、增加擔保、引入信用保險等。
2、市場風險
市場要素變動帶來的風險。
有利率風險、匯率風險、價格風險等。
可以用期貨、期權等工具規避風險。
3、操作風險
由於內部程序、人員和系統的不完備或失效，或由於外部事件造成損失的風險。按照發生的頻率和損失大小，巴塞爾委員會將操作風險分為七類：
（1）內部欺詐。有機構內部人員參與的詐騙、盜用資產、違犯法律以及公司的規章制度的行為。
（2）外部欺詐。第三方的詐騙、盜用資產、違犯法律的行為。
（3）僱用合同以及工作狀況帶來的風險事件。由於不履行合同，或者不符合勞動健康、安全法規所引起的賠償要求。
（4）客戶、產品以及商業行為引起的風險事件。有意或無意造成的無法滿足某一顧客的特定需求,或者是由於產品的性質、設計問題造成的失誤。
（5）有形資產的損失。由於災難性事件或其他事件引起的有形資產的損壞或損失。
（6）經營中斷和系統出錯。例如，軟體或者硬體錯誤、通信問題以及設備老化。
（7）涉及執行、交割以及交易過程管理的風險事件。例如，交易失敗、與合作夥伴的合作失敗、交易數據輸入錯誤、不完備的法律文件、未經批准訪問客戶賬戶，以及賣方糾紛等。
規避操作風險：加強內控，加強人力資源管理，完善提升系統。

㈨ 如何防範企業金融風險

金融風險防範包括四層含義:
第一，金融風險防範是針對一定主體而言的專。不同主體在金融市場中屬的活動方式和活動目的是不同的，其面臨的風險態勢和風險程度也是不同的，因此，防範的風險以及防範風險的措施也是不同的。
第二，防範風險的前提，是對風險有充分的分析和認識，即防範風險是一種自覺性的行為。
第三，防範風險必須符合有關法律法規的規定，不能選擇不合規的措施和行為。
第四，防範風險的目的在於實現預期的目標，因此金融風險防範的程度可用預期目標的實現程度來衡量。

㈩ 金融企業如何加強內部控制

解決中國的國營企業問題尚需要深入觸動微觀機制的最本質的問題，即企業的控制問題。體制改革不是萬能的，要緊的是微觀機制的改造。我國企業的根本出路在於強化企業的內部控制。
轉變經營觀念，增強控制意識，提高管理水平，是我國企業迎接市場競爭的基本前提。只在宏觀經濟范圍提控制還不夠，也不能在微觀經濟中片面以改革取代控制。其實，變革本身就意味著一定的風險。片面強調改革組織結構的重要性，忽視了控制方式的跟進和強化，就使公司的改革同微觀治理機制相脫離。
強化企業的內部控制已經成為發達國家治理公司的重要手段，在國際上的研究已日漸成熟。三大目標和五大組成部分構造了內控系統的整體框架，幫助人們更全面和更深刻地理解內控及其控制對象，使企業能夠以內控為有力武器，從控制環境、風險評估、控制活動、信息與交流和監督評審五方面開展工作，為實現各項操作性目標、信息性目標和遵從性目標而自覺奮斗。
國際先進內控理論和實踐的發展啟示我們：要正確理解內控與管理的關系、內控與風險管理的關系和內控與內部審計的關系。我們要呼喚企業的控制意識，理直氣壯地強化企業的內部控制。
經過二十年的改革實踐，人們逾來逾感到強化管理的重要，也在積極探索如何才能加強管理。內部控制的概念被國際同仁所強調，引起了中國金融界，特別是銀行界的關注。自從1997年人民銀行發出「加強金融機構內部控制的指導原則」以來，各商業銀行和非銀行金融機構普遍開展了整章建制的工作。這一工作已取得了初步成績，但是新形勢下的內控工作尚處於起步階段，這項工作又常被誤解為僅僅是金融機構的事，生產企業的管理層對內部控制缺乏認識。其實，所有制及其組織結構並不是現代企業最本質的東西，最本質的是企業內部的控制文化和控制機制，中國國營企業的根本出路在於強化其內部控制。在這方面發達國家已經研究和創造出了一套比較完整的理論和方法，中國企業界的迫切任務是運用先進的內控理論和方法，強化內部控制，提高管理水平。
本文通過對部分國際先進內控理論和原則的分析，闡明內控的內涵及其與管理和內部審計（稽核）的關系，分析內控對公司治理的重要作用，以便促使經營管理者加強有效控制。

一、轉變觀念
轉變經營觀念，增強控制意識，提高管理水平，是我國企業界進行市場競爭的必要條件，也是金融機構向商業化金融機構演變的基本前提。

1．體制改革的作用是有限度的：近二十年來，舉國上下議論最多的話題莫過於改革了。「以改革帶動發展」也被一些地方當作戰略口號指導各項工作。我們一直批評計劃經濟制度管得太嚴太死，卻淡漠了經濟活動內部的至關重要的控制機制，特別是微觀領域的經濟單元（包括金融與非金融企業）的自我控制意識逐漸淡化。且不說國際理論界對計劃經濟和市場經濟的爭論尚未休止，倒是應該指出，並非一切進步都只是靠了改革才取得的。如果政治的穩定和宏觀經濟的控制不是同改革並駕齊驅，中國的局面遠不會象今天這樣好。許多問題的解決又是改革本身力所未能及的。突出的一個例子就是國營企業的經營管理。是我們對企業改革重視得不夠嗎？從中央到地方，從政府到企業，不知為改善企業傾注了多少人力、物力和財力。是改革的力度不夠嗎？從利改稅到企業轉制，從破產兼並到減員增效，各項法規和措施層出不窮。為什麼許多企業始終建立不起自我約束的機制？用經濟學家的話來說，也就是不能硬化企業的「預算約束」。顯然，只在宏觀經濟范圍提控制還不夠，也不能在微觀經濟中片面以改革取代控制。其實，體制改革不是萬能的，變革本身就意味著一定的風險。

2．轉變經營管理觀念：內部控制在不同的經濟體制下有不同的內涵，盡管其中的某些內容會有一致性。在計劃經濟體制下，國有企業的控制模式為實現國家計劃服務。由於國家計劃規避了大部分市場風險，國營企業的控制方式具有濃厚的行政管理色彩。現在，企業的控制模式為社會主義市場經濟服務，在新的形勢下有兩種傾向值得注意：一是一部分人習慣於甚至滿足於傳統的經營管理方式，認為只要能夠規范化操作就行了，不必考慮是否先進。這就混淆了不同性質經濟中的企業在服務對象和控制方式上的不同。二是雖然大家意識到改革的必要性，但是容易片面強調改革組織結構的重要性，忽視了控制方式的跟進和強化。這就使公司的改革同微觀治理機制相脫離。不論是維持傳統的經營管理方式，還是片面以改革取代控制的觀念，都已經被實踐證明是有害的。

3．轉變對內控目的的認識：搞清內控的含義，並理解內控的目的，對經營管理和內審都有直接的指導意義。內部控制的概念經過了由「部分控制論」向「全部控制論」的發展。「部分控制論」認為內控包括：1）經濟業務的有關內部會計控制；或者，2）內部牽制（會計）和內部審計兩部分。這種認識的一個缺陷是，內控只與資產管理有關，而與行政、業務管理無關。「全部控制論」克服了這個缺陷，認為控制內容已超越會計和財務范圍，滲透到經營的各個方面和管理的全過程。
內控目的論的發展也經過了下述階段：1）「三目的論」認為，內控是為了保護單位的財產，會計記錄的准確可靠和及時提供可靠的財務信息。2）「四目的論」認為，內控除了保全資產和檢查財務資料的准確可靠性以外，更重要的是執行管理政策，提高經營效益和效率。
上述發展的啟示在於，對內控的檢查評價應有別於傳統的思路，並且目的要明確和全面，檢評要完整和深入。

4．跟上國際內控研究的步伐：同計劃經濟相比，市場經濟的發展更加仰仗於微觀機制的作用。發達的市場經濟國家非常重視對公司治理的研究，大大促進了公司治理結構趨向合理化。公司治理理論研究的是資金的供給者如何採取措施，確保其投資取得回報。強化內控已經成為發達國家治理公司的重要手段。
國際上比較有名的內控模式有英國的Cadbury、美國的COSO和加拿大的COCO。它們從不同的角度剖析公司的經營管理活動，為營造良好的內控框架提供了一系列的趨於一致的政策和建議。其中尤以美國的COSO模式從理論到操作方法上闡述了一整套完整的內控框架。巴塞爾銀行監管委員會（Basle）又在這些先進模式和實際經驗的基礎上，於1998年提出了建設銀行內控系統框架的十三項原則。我國銀行和非銀行金融機構以及大量的非金融性企業在經濟體制改革以來的許多失控的教訓表明，跟上國際內控研究和發展的步伐，不斷完善自身的內控機制，是十分必要的。

二、充分理解內部控制的內涵

內部控制有其科學的定義和豐富的內容。只有深刻理解內控的內涵才能明確如何強化內控。

1．准確理解內部控制的定義：不同部門的人從不同的角度對內控會有不同的看法。現代內控理論試圖提出能被普遍接受的內控定義，以便滿足不同單位的需要。美國審計權威機構COSO（1994）的定義是：內控是一個受某單位不同層次的人影響的過程，而設計這一過程是為了實現下述三大目標提供合理的保證：經營的效果和效率；財會報告的可靠性；對現行法規的遵守。
巴塞爾銀行監管委員會參照各國的有關理論，在內控定義中進一步強調董事會和高級管理層對內控的影響，組織中的所有各級人員都必須參加內控過程，對內控產生影響。巴塞爾委員會把內控的三大目標分解為操作性目標、信息性目標和合規性目標。操作性目標不只針對經營活動，而且包括其他各種活動；在信息性目標中還把管理信息包括了進來，明確要求實現財務和管理信息的可靠性、完整性和及時性。

表1 關於內部控制的三大目標的表述

COSO 的內控目標
Basle 的內控目標

1
經營的效果和效率
操作性目標：各種活動的效果和效率

2
財會報告的可靠性
信息性目標：財務和管理目標的可靠性、完整性和及時性

3
對現行法規的遵守
遵從性目標：遵從現行法律和規章制度

資料來源：美國COSO（1994）；巴塞爾銀行監管委員會（1998）。

這三大目標滿足不同的需要，又相互交叉。顯然，內控是保證各項業務發展的，而不是妨礙其發展的。在操作性目標中，經營的「效果」是根據實際產出與預期計劃的產出比較而言的；經營的「效率」是根據實際產出與實際投入比較而言的。此外，公司或銀行不能為實現經營性目而不遵從法規，也不能為實現遵從性目標或操作性目標而違反財務和管理信息的可靠性、完整性和及時性。
這是一種「全部控制論」的概念。良好的內控系統應能夠確保上述三大目標的實現。上述內控定義說明：
1）內控是一種程序，它意味著向某一終點努力，但不是終點本身；
2）內控是用來取得一種或多種互相區分而又緊密聯系的目標；
3）內控受人的影響，而不只是政策、守則或表格；
4）只能期待內控為公司管理層提供合理的保證，而不是絕對的保證。
內控的明確而科學的定義為各種單位提供了比較一致的標准，以便各單位能夠評價其控制系統和決定如何加強控制。經營管理部門和內審部門應該參照有關法規和實施細則，設定一些具體的標准，認真考察被檢查單位的內控系統，看其是否合理地確保了這些目標的實現。如果不能，總是可以從內控的某些方面找出問題的。一家銀行或公司內控抓得好不好，可以從上述三大目標加以總體考核：它的董事會和高級管理層是否合理地確保了他們理解該單位實現其操作性目標的程度？它的財務報告和各項管理信息是不是可靠、完整和及時地被草擬和提供了？它的各項活動是否遵從了現行的法律和規章制度？這些方向性的標准無疑是對一個單位比較有力的鞭策。細化這些標准，對內控的深入考核更有益處。
由此可見，審計部門以往所提的「合規性審計（稽核）」、「效益性審計（稽核）」和帳務檢查等等都屬於專項審計，也都有一定的片面性。審計（稽核）工作的重心應當轉向對內部控制的審計再監督，而對內控的檢查評價有別於傳統的審計思路，其目的要明確和全面，檢評要完整和深入。

2．從總體上把握內部控制系統的框架：重要的是，現代內控理論賦予了內控廣范的職能，把內控置於很高的層面上，從而強化了內控的作用。1994年COSO認為內部控制涵蓋了五大組成部分的豐富內容：控制環境、風險評估、控制活動、信息與交流和監督評審。而1998年巴塞爾委員會則在控制環境中強調了管理層的督促（oversight）和控制文化；在風險評估方面將風險的識別和風險的評估並舉；在控制活動方面又突出了職責分離的重要性；該委員會特別對信息與交流作了更多的解釋；除了監督評審活動之外，還把缺陷的糾正這種被COSO認為並非內控的活動也歸納為內控活動。巴塞爾委員會還在上述內控的五大組成部分之外，增加了監管當局對內控的檢查和評價，把它作為內控的另一不可忽視的內容。

表2 關於內部控制的五大組成部分的表述

# COSO的分析
Basle的分析

1
控制活動
管理層的督促與控制文化

2
風險評估
風險的識別與評估

3
控制活動
控制活動與職責分離

4
信息與交流
信息與交流

5
監督評審
監督評審活動與缺陷的糾正

資料來源：同上。

不論是COSO還是巴塞爾委員會都跳出了傳統的平面式的簡單思維方式，而把內控視為多維立體的空間，促使人們全面深入地理解控制和控制對象，分析解決管理控制中存在的復雜問題。其中還引出了「全息論」的概念：這五大組成部分和三大目標是緊密相聯的，就象一個人體的細胞包含了人體的各種信息那樣，一個組織中的任何一個機構、一項業務或一位成員都包含或反映出該組織中的三大目標和五大組成部分等各種信息。
三大目標和五大組成部分構造了內控系統的整體框架，現代內控理論對內控日臻完善的描述幫助人們更全面和更深刻地理解內控及其控制對象，使人們能夠以內控為有力武器，為實現三大目標自覺奮斗。

3．全面理解內控五大組成部分的內容：內控已經被COSO從理論上分析成為下述完整的有機結合的整體，並且得到了巴塞爾委員會的認同和發展。
1）控制環境：控制環境是推動控制工作的發動機，是所有其他內控組成部分的基礎。它奠定組織的風紀和結構，並且涉及到所有活動的核心—人，特別是人的控制覺悟，還反映政府、銀行、非銀行金融機構以及生產性企業的各級管理層對內控的要求。
控制環境中的要素有價值觀、激勵與誘導機制、精神指導、員工能力、管理哲學與經營風格、組織結構、規章制度和人事政策等等。主要的問題是管理層要充分說明內控的完整性；公司要有積極的控制環境，使整個組織中的員工具有控制覺悟和自覺的控制態度，特別是高級管理層要積極地進行控制；員工的能力與其責任要相匹配。巴塞爾委員會有關管理監督和控制文化方面的原則包括：
1．董事會應當負責批准並定期審查整個經營戰略和重大政策；理解經營的主要風險，確定這些風險的可接受水平，保證高級管理層採取必要步驟，識別，衡量，評審和控制風險；批准組織的結構；並確保高級管理層不斷評審內控系統的有效性。在確保建立和維護充分和有效的內控系統方面，董事會負有最終的責任。
2．高級管理層負責執行由董事會批準的戰略和政策，維護一種組織結構，能夠明確責任、授權和報告關系；確保所委派的責任能有效地執行；確定適當的內控政策；並監督評審內控系統的充分性和有效性。
3．董事會和高級管理層負責按照高標准促進員工的職業道德（ethics）和完整性（integrity），在機構中建立一種控制文化（control culture），在各級人員中強調和說明內控的重要性。公司機構中的所有人員都需要理解和發揮他們在內控程序中的作用。
2）風險評估：是識別和分析那些妨礙實現經營管理目標的困難因素的活動，對風險的分析評估構成風險管理決策的基礎。
風險評估中的要素包括關注對整體目標和業務活動目標的制定和銜接、對內部和外部風險的識別與分析、對影響目標實現的變化的認識和各項政策與工作程序的調整。
有關風險的識別與評估的原則強調有效的內控系統需要識別和不斷地評估有可能阻礙實現目標的種種物質風險。這種評估應包括公司和公司集團所面對的全部風險（如銀行要面對信貸風險、國家和轉移風險、市場風險、利率風險、流動性風險、經營風險、法律風險和聲譽（reputation）風險）。需要不時調整內控，以便恰當地處理任何新的或過去不加控制的風險。
3）控制活動：是為了合理地保證經營管理目標的實現，指導員工實施管理指令，管理和化解風險而採取的政策和程序，包括高層檢查、直接管理、信息加工、實物控制、確定指標、職責分離等。
在控制活動中主要關注控制與風險評估過程的聯系、控制活動的適當形式及其實施、對執行政策和管理指令的保證、控制活動的針對性（尤其是對信息系統的控制）等等。有關控制活動和職責分離的原則包括：
1．控制活動應當是公司日常工作的不可分割的一部分。有效的內控系統需要建立適當的控制結構，明確定義各經營級別的控制活動。這些活動應當包括高層審查；對不同部門或處室的活動的適當控制；物理控制；檢查對敞口限額的遵從情況；對違規經營的跟進情況; 批准和授權制度；查證核實與對帳（reconciliation）制度。
2．有效的內控系統需要適當分離職責。人員的安排不能發生責任沖突（conflicting responsibilities）。要識別和盡力縮小有潛在利益沖突（conflicts of interest）的地方，並遵從謹慎的和獨立的監督評審。
4）信息與交流：存在於所有經營管理活動中，使員工得以搜集和交換為開展經營、從事管理和進行控制等活動所需要的信息，包括管理者對員工的工作業績的經常性評價。
在信息方面要注意內部信息和外部信息的搜集和整理；在交流方面也要注意內部和外部信息的交流渠道和方式；在信息技術的發展中注意控制信息系統。有關的原則包括：
1．一個有效的內控系統需要充分的和全面的內部財務、經營和遵從性方面的數據，以及關於外部市場中與決策相關的事件和條件的信息。這些信息應當可靠、及時、可獲（accessible），並能以前後一致的形式規范地提供使用。
2．有效的內控需要建立可靠的信息系統，涵蓋公司的全部重要活動。這些系統，包括那些以某種電子形式存儲和使用的數據的系統，都必須受到安全保護和獨立的監督評審，並通過對突發事件的充分安排加以支持。
3．有效的內控系統需要有效的交流渠道，確保所有員工充分理解和堅持現行的政策和程序，影響他們的職責，並確保其他的相關信息傳達到應被傳達到的人員。
5）監督評審：是經營管理部門對內控的管理監督和內審監察部門對內控的再監督與再評價活動的總稱。
監督評審可以是持續性的或分別單獨的，也可以是兩者結合起來進行的。主要應關注監督評審程序的合理性、對內控缺陷的報告和對政策程序的調整等等。在監督評審活動和缺陷的糾正方面應當遵循下述原則：
1．應當不斷地在日常工作中監督評審內控的總體效果。對主要風險的監督評審應當是公司日常活動的一部分，並且各級經營層和內部審計人員應當定期予以評價。
2．對內控系統應當進行有效和全面的內部審計。內審要獨立進行，應得到適合的培訓，並配備稱職和得力的人員。內審作為內控系統監督評審的一部分，應當向董事會或其審計委員會直接報告工作，並向高級管理層直接報告。
3．不論是經營層或是其他控制人員發現了內控的缺陷，都應當及時地向適當的管理層報告，並使其得到果斷處理。應當把有關物質的內控缺陷報告給高級管理層和董事會。
此外，巴塞爾委員會還針對監管當局對內控系統的評價提出，銀行的監管人員應當要求所有的銀行，不論其規模如何，都具有有效的內控系統，而且其內控系統符合他們的表內外活動的性質、復雜性和內在的風險；內控制度應當隨銀行所處環境和條件的改變而得到調整。凡監管者確定某銀行的內控系統不能充分或有效地針對銀行的具體風險內容（例如，不能涵蓋巴塞爾委員會內控文件所載的全部原則），監管者應當採取適當的行動。
以上五大組成部分與前述三大目標有機地相結合，構成了內控的完整體系。COSO是為各行各業提出這一思路的。盡管巴塞爾委員會的內控原則主要是針對銀行業的，國內外的金融和非金融機構在體制結構上也有所區別，我國的企業工作者仍然很有必要適應形勢，轉變觀念，從內控的三大目標出發，去考察本單位上述五大組成部分的各個方面，看是否建立了健全的內控制度，而且，這些制度是否得以認真貫徹實施。審計檢查的方法和評價的標准也應當沿著這條思路，按照這個有機結合的整體去設計。

三、關於內部控制與管理的關系

不了解內控與管理的關系，就不可能充分加強內控工作。內審或審計人員在檢查監督的過程中，時常發現被查單位的管理層對內控認識比較膚淺，也不甚了解內控與管理、內控與內審是什麼關系。有人認為管理就是內控，抓了管理，內控自然就到位了，因而也沒有必要特別強調內控。也有人認為內控是內審（稽核）部門的工作，抓內控應該由內審部門牽頭。有些內部或外部的審計人員在進行內控檢查的時候，也因認識模糊而無從下手。因此，很有必要搞清內控與管理的關系。

1．管理的內涵及其與內控的同異
從廣義上講，管理是管理者確立目標和戰略，並通過一定的組織形式、規章制度和操作方法去實現目標的全過程。管理者要執行聘用合同，為公司或銀行的所有者的利益確定明確的管理目標，包括全局整體性目標和各項業務活動水平上的目標，然後制定各種戰略和實施計劃。管理者要以一定的組織形式為依託，以一定的規章制度為依據，採取種種方法去實現既定的目標。管理者有責任控制局面，並解決和糾正在監督檢查各項經營管理活動中所發現的問題和錯誤，包括對有問題責任人的追究和處罰。由於所定的目標和戰略計劃會對管理單位（如企業）的行為產生影響，管理科學運用科學的原則和分析性方法，研究企業的行為。在發達國家，不論學術界還是實業界都日益重視公司治理結構的研究，以求實現投資者應得的回報。先進正確的管理方法加上計算機的廣泛運用，大大促進了管理的合理化和效率。
廣義上的管理涵蓋比內控更為廣泛的內容，並不是所有的管理活動都是內控活動，也並不是說非內控性的管理活動就都不重要了。比如，設定目標的決策就是一種很重要的管理責任，為內控提供了前提條件。在國外，公司的所有者代表（董事會）也要參與甚至領導這種決策。但是，重大目標的最初設定並不是在內控的工作范圍之內。同樣，許多管理方面的具體決策和一般性活動並不都代表內控。
然而，問題的關鍵並不在這里，而在於內控是管理中至關重要的部分（critical components）。管理的學問就在於抓住管理活動中的那些對實現目標至關重要的部分，也就是毛澤東所說的「研究任何過程……要用全力找出它的主要矛盾」。比如，COSO等理論所描述的內控內容中都列舉了許多控制要素和風險，這些都是管理者必須關注的地方。又如，盡管COSO認為錯誤的糾正行動不應屬於內控活動，但是巴塞爾委員會卻將其列為內控的范圍。原因很顯然，糾正錯誤已成為管理的一項重要內容，直接影響到目標的實現。同理，戰略計劃和風險管理這些本來被COSO視為非內控性活動，卻被巴塞爾委員會分析為內控范圍之內的活動了。盡管目標的最初設定是內控的前提條件，但是內控並沒有完全放棄對這方面的關注，內控的重要職能之一又是監督目標的設定和實現過程。至於業務活動水平上的目標的設立，雖然也被COSO視為非內控性的活動，但在COSO提出的內控操作方法中（例如在其《參考手冊》和《內部控制與風險評估工作表》中），這些目標都是內控所關注的重要內容。下表僅從一個側面說明了這個問題：

資料來源：同上。
2．風險管理與內部控制的關系
風險是針對目標而言的。風險實際上就是可能妨礙目標實現的種種問題和困難。這樣看來，風險的概念就擴大了。比如，一個武士在張弓搭箭，射向獵物的時候，他的目標是射中獵物，而他的風險就存在於他射擊獵物的全過程。首先，他本人的素質，他的精、氣、神，他的體力和視力。其次，他的弓箭的質量。再次，獵物的大小、距離和移動速度。此外，狩獵時的環境、氣候條件（風速）等外部干擾因素，也構成對擊中目標的風險。對一家公司而言，風險既預示著機遇，又會影響其競爭能力，並影響其維持融資的能力以及保持和提高其產品與服務質量的能力。
風險是如此之廣泛，以至於有人認為風險管理就是內部控制，甚至風險管理包括了內控。把兩者混淆的問題在於沒有看到內控是管理的更本質性的內容（essential part）。
誠然，風險管理是整個管理活動系列的重要組成部分。一般可指風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等等。風險管理的一系列具體活動並不都是內控要做的。特別是內控並不負責風險管理目標的具體設立，這是管理過程起始階段的活動。風險評估是對可能發生的不利條件或事件進行評價，並做出完整的專業性鑒定的一種系統過程。當然，風險評估首先要注意目標問題，因為，沒有明確的目標，也談不上目標實現的風險。但是在目標方面，內部控制並不是目標的制定活動，而是對目標制定的評價工作，特別是對目標和戰略計劃制定當中風險的評估，風險管理目標的設立為內控中的風險評估提供了前提條件。內控所負責的是風險管理過程中間及其以後的重要活動，比如，對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。
內部控制強調評估經營管理活動中突出的風險點（當然，這些風險點不是固定不變的），建議經營管理人員針對這些風險點實施必要的控制活動。這里所評估的既有內部的風險，又有外部的風險。那種以為內控只是控制某單位的內部風險的觀點是有片面性的。COSO和巴塞爾委員會都認為，內控的過程涵蓋了公司所面對的，並在公司內由各級人員所經營的所有的內部和外部的風險。
然而現實中的風險管理卻很實在，巴塞爾委員會指出，風險管理不同於內控之處在於，典型的風險管理比較關注特定業務的戰略的評審，旨在通過比較不同公司業務領域內的風險與報酬來使收益最大化。在我國一些銀行里，風險管理往往被狹義地理解為授信或部分業務（如信貸）的授權管理；廣義的風險不僅有信貸風險，還包括國家與轉移風險、市場風險、利率風險、流動性風險、操作風險、法律風險和信譽風險等等。而廣義的風險管理又似乎難以真正落實到銀行的某一具體業務或管理部門，成為它的責任。其結果，我國的銀行實業界尚不存在廣義的風險管理的概念。不少銀行不能對各種風險進行總體研究和控制，甚至連統一授信都難以在一些銀行里真正實現。
不過，現實情況中的風險管理一方面有其特有的內涵和現實的范疇，另一方面也在某些內容上與內控相交叉。在上節中，COSO認為風險管理不屬於內控的范圍，而是非內控性的管理活動，這種分析也是有片面性的。特別是風險管理在「風險的識別與評估」和「控制活動與職責分離」等內控內容中，與內控相交叉，屬於內控強化過程中的管理活動。
然而，內部控制還包括「管理層的監督與控制文化」、「信息與交流」和「監督評審與缺陷的糾正」等重要的內容。在現實中，管理層的監督並不是沒有，而是遠遠沒有強調到某種「控制文化」的程度。