金融公司内部风险

㈠ 在金融公司工作的人来说说风控怎么做。

风控并不是个新职业，不过近几年它的发展势头变得越来越好。无论在传统金融还是互联网金融领域，它都成了一个紧俏的职业。这跟近几年金融领域形态的多样化有关，用户对于风险控制变得越来越关注。

总体来说，风控岗位涉及到的工作包括业务审查（业务发生前的审核，通常未通过审核，业务不能执行）、风险监测（业务发生后的持续风险监测，包括预警及应对等）以及业务综合管理（数据的统计分析等）。

一、工作内容（在银行、保险、信托、期货、P2P互联网金融平台内部，风控的工作侧重不尽相同。）

1.银行

相比其他类型的金融机构，银行的风险管理部门更为成熟。“巴塞尔委员会”1988年7月制定的《巴塞尔协议》里为全球商业银行确立了明确的风险管理标准，确定了管理哪几类风险。尤其对怎么管控信用风险、市场风险、操作风险说得非常清晰。

贷款业务是占银行风控日常工作比重最高的一类业务。处于中端的风控部门往往在客户阅读贷款细则时就开始进入风险审核，看贷款对象的个人风险评估是否符合要求，经过风险评估后的业务才会被提交到更高管理处审批—也就是说，风控的工作存在于交易的过程中。

银行风控的这种运作方式也成为许多金融机构风险管理的母本。比如保险行业大多是参照银行的做法。

2.期货、信托、小额贷款、融资租赁企业

从风险管理的角度来说，期货、信托、小额贷款、融资租赁企业都算是比较新兴的类型。它们的风险管理以风险为核心，侧重信用风险、操作风险、市场风险、交易对手风险等等。

这些行业的新兴之处还体现在业务的复杂和创新需求上。比如信托，以房地产作为信托产品和以汽车作为信托产品是不一样的，某种程度上来说每个项目都需要开发一套创新的金融产品。当一个创新产品出来的时候，这个产品是不是能变成一只基金，或者变成某一种产品推到市场上去，它们的风险管理部就要进行审核。这种情况下，风险管理部需要判断这个新产品的风险是否可控？风控敞口有多大？万一出现问题，项目坍塌了，储户或者是投资者来向公司要钱时，刚性兑付的资金压力有多大？有多少可能性这个项目就有多少可能收不回来钱？

风险管理部对于新产品的审批意见非常重要，如果风险管理部或风险管理委员会不批的话，这个新业务真的可能会被否掉。这是一个权力很大的部门。

3.网上个人信贷（P2P）

相对传统金融领域来说，P2P还处于初期阶段，因此风险管理工作可能并不是很完善。有一些企业在做这类金融产品的时候，可能只是从金融企业挖一两个人来就开始管理风险，他们的风险管理主要集中在信用风险审核。

二、岗位要求（论传统金融还是互联网金融，风控都算是一个硬性技能要求比较高的岗位，但根据工作内容的不同，对公司人的要求也有所不同。）

在传统金融领域及P2P中，金融行业相关的知识和经验是很重要的。

对于毕业生来说，尽管大部分金融机构和企业都抱着一种“反正都是白纸，我可以用我们的体系来培养”的观念，但如果是金融专业同时具备一些比如FRM金融风险管理师、CFA特许金融分析师等专业证书会更有竞争力。

对于社会招聘来说，风控人才主要来自两个渠道，一个是从其他类似机构找人；另一个则来自于大会计事务所或咨询公司，后者出来的公司人往往有一些金融企业审批或企业风控的外部服务经验。

三、工作状态及挑战

不同类型的金融机构及企业的风控因为其职能的不同，所呈现出的工作状态会有所不同。

通常，一些大型银行的风控部门由于业务稳定，规模较大，人员充足，因此工作负荷不大，属于行业中工作压力较小的部门。不过一些跨国银行的风控职能往往集中在国外总部或区域中心，中国的风控部门更多地扮演执行的角色，个人的能力体现和成长空间都会受到一定的局限。

在一些大型金融机构，风控的工作重点在于如何将领导的风险偏好转化为合理的风控工作指标，凸显自身价值。

一些中小型金融企业，以及非银行金融机构的风控，由于业务类型复杂、创新性高、变化大，原本就不够充沛的风控人员，往往需要承担更大的工作负荷。这类风控人员的职能压力往往来自于不仅要控制风险，同时还要提高工作效率，即：不错杀好项目，不漏杀坏项目，同时也不能延误业务时机。这种时候还有可能受到来自业务部门的压力，如何在业务发展和风险管理之间找到平衡，如何在压力下，坚持风控的专业判断，都是一个好的风控人需要考虑的。相对来说，这类企业的风控人员压力更大，能力的提升也更快。

不管是传统金融还是互联网金融都面临着不断发展和迭代的挑战，这使得风控人员必须保持很强的学习能力和好奇心。

四、职业发展方向

在大部分金融机构里，风控岗位的职业晋升往往通向首席风险官，最终可能成为银行的副行长，或是其他金融机构的副总经理，主要还是偏重风险管理和控制类的工作。

五、薪酬状况

根据统计数据表明，在金融行业各职能部门的薪酬涨幅里，尽管中后台部门仍然没有前台部门的15％高，大约在5%至10%之间，不过风控在中后台其他职能部门中算是涨幅比较高的。

之所以能有这样比较有优势的涨薪，主要有两方面原因。原因之一在于人才贮备不足。过去很多人都没能认识到风控工作的重要性，所以大家不太愿意入行，另一方面这又是一个需要专业技能的工作，因此整体而言从业者不多。原因之二是因为这两年互联网金融发展非常迅速，大大小小的P2P平台的出现催生了风险控制人才的需求。加上银行、保险、期货、信贷、小贷、小微贷、PE、VC这些行业本身也都有很大的风控人才需求，所以使得这类人才出现缺口。这些企业之间的人才竞争也把风控人员的收入拉到了一个比较高的位置。

从具体行业来说，银行业风控的薪资涨幅平均在5%至10%之间；保险业相对平稳，因为保险业圈子狭窄，风控流动率较小，薪资涨幅不大。证券基金业内中资外资风控的薪资涨幅有非常大的差异，所以没法得出一个明确的参考标准。P2P行业的风控人员大多是来自银行或是同行业。在跳槽的过程中，他们的薪资会得到一个比较大的提升，增长幅度可达30%至50%。

从区域上来说，风控人员的需求主要集中在一线城市。二三线城市需求量虽大，但薪酬偏低。

一线城市有5年到10年经验的银行风控人员平均年薪在30万到60万元之间；保险业有10年以上工作经验的风控在外企的薪资约为70万元，在本土企业为60万元；证券基金业有5年至8年工作经验的风控经理在本土企业的年薪一般在30万至80万元之间

㈡ 互联网金融企业内部审计的风险管理措施有哪些

互联网金融企业的风险管理就是在经营过程之中对企业可能发生的风险进行识别、评估、以及应对。互联网金融企业是互联网和金融企业的有机结合，由于互联网企业具有的虚拟化、交易对象以及交易流程难以确定等特点，其所面对的风险比传统的金融机构要高很多，因此对互联网金融行业内部审计的风险管理极其重要。所以针对上述存在的问题，提出了几点内部审计的风险管理措施：
（一）利用计算机改善内部审计方法
1.深入计算机的审计方法。
该种方法就是对计算机内数据投入、投出的过程进行全面审计，主要内容是考核企业内部控制的体制机制设计和有效运行，评价企业管理制度执行情况。深入计算机的审计方法能够简化传统金融行业手工做账的工作，减轻工作负担，并且利用计算机来处理数据能够减少由人工计算失误引起的固有风险。
2.计算机辅助审计方法。
计算机辅助方法是指将计算机技术引入内部审计工作并构建内部审计信息系统，对企业的网络运行安全及时进行监控和防卫。同时这种方法也是收集、评价审计证据的过程，通过收集的数据来检查计算机管理系统或企业内部控制使企业资产、数据以及隐私安全得以保证。这种方法能够提高互联网金融企业的审计效率，降低审计成本，解决企业内审综合能力低下的难题。
（二）重视内部审计的建设
1.提高内部审计地位。
内部审计能够帮助企业评价和改善风险管理和内部控制体系。内部审计以其独特的检验和询问功能与企业组织结构相协调，增加了企业的价值。故可以通过以下方法提高内审地位，改善企业经营与组织效率。
（1）互联网企业高管重视内审作用，定期开展有关宣传活动。高管带领员工参观行业优秀公司的内审工作流程，使每位员工意识到内审的重要性并对表现优秀的内部审计人员予以奖励。
（2）成立由企业股东直接领导的内部审计部门，内部审计工作的开展直接对股东负责，减轻管理层的控制，遏制管理层凌驾于内控之上所带来的危害。
2.提高内部审计的独立性。
独立性是审计的灵魂。内部审计部门需要保持客观中立，人员不可以参与经营活动，内审人员的聘请需由专人来执行。互联网金融企业在设立审计机构时应首先成立审计委员会，该成员包括公司的主管、主要债权人和投资者，内审部门的人员聘用、调动、权限、考核等方面直接隶属于审计委员会，对委员会负责，从形式和实质两个方面保持其独立性。 （三）完善互联网金融企业监督
我国经济信息化程度不高，互联网金融企业的发展尚处于起步阶段，因此我国对互联网金融业务的监管应采取慎重态度。通过适当的金融监管可以促进我国网络金融更好更快发展，降低内审中的法律风险。具体措施如下：
1.完善管理互联网金融企业的法律法规。
补充适用于互联网金融业务的相关法律条文。既要对现有法律不适合的部分进行修订和补充，又要对未来发展情况进行分析预测。当前互联网金融最突出的法律问题是非法集资、融资问题。中国人民银行应当与证券、保险监管机构联手，充分披露互联网金融产品的投资风险，禁止非法融资活动，禁止使互联网金融企业既做裁判员又做运动员。
2.完善现行业务营运监管办法。
结合互联网金融企业业务特点，从业务经营的合法合规、资本充足、资产质量、管理水平和内部控制等方面适时进行调整，构造一个符合互联网金融发展的监管指标体系。互联网金融企业的独特性使其在某种程度上脱离金融监督管理机构的监管，但其资本充足率对客户、消费者具有重大影响，监管部门应当对其作出相应规定，同时考虑实施准备金制度将部分市场风险内部化。
3.提升金融监管部门的网络安全技术。
互联网金融企业的网络安全问题日益突出，其涉及的不仅仅是客户的隐私，更甚的是涉及到客户利益。金融监管部门要求互联网金融企业加强技术力量，不断完善网络安全技术，如防火墙技术、加密技术。同时应大力发展我国先进的信息技术，提高计算机系统的关键技术水平，在硬件设备方面缩小与发达国家之间的差距，提高关键设备的安全防御能力。
4.提高内审人员的专业能力。
互联网金融的内部审计比传统企业内部审计更加复杂，需要审计人员具备扎实的专业技能，这是审计工作开展的前提条件。故可以通过以下途径提高内审人员的专业胜任能力。
（1）加强自身学习，培育综合人才。内审人员不仅要学习财会方面的知识，还需要学习风险管理、计算机与互联网金融行业知识，包括互联网金融行业经营特点、经济技术指标，企业的经营战略、经营环境、经营风险等。
（2）加强专业技能培训，进行轮岗交流。内审人员应具备全方位知识与技能，进行大量的审计实践。通过轮岗，审计人员应熟悉单位的各项业务及其操作流程，提高审计的实践能力。
5.培育具有综合能力的内审人员。
随着内部审计在互联网金融业的治理结构中地位日益重要。而我国互联网金融企业发展现状需要企业提高现有审计人员的管理能力，完善内部审计管理工作建设。通过后续教育、业务培训等各种途径提升互联网金融企业的审计整体队伍素质，为互联网金融企业内部审计的风险管理提供符合要求的监督控制资源和后备力量。

㈢ 互联网金融企业面临哪些风险

1、法律风险
在诸多的法律风险中，容易涉嫌非法集资是最大的风险。无论是异化了的P2P网络借贷融资还是互联网公众小额集资形式其运营缺乏法律依据，现有的制度没有明确其性质而处于法律的灰色地带。现实中也出现了许多假借P2P网络平台而进行非法集资的事件，如天力贷案、郑旭东案、网赢天下倒闭事件等。淘宝上也先后出现过公开销售未上市公司股份和PE基金份额的事件。由于其向超过200人的不特定对象公开推荐、发行证券且未经审批，按照证券法两者都已构成“非法证券活动”，均被证监会叫停。除此之外，法律风险还体现在利用互联网金融从事洗钱活动、个人信息的泄露、擅自发行公司、企业债券、经营者挪用资金、职务侵占、以非法占有为目的进行虚假融资而可能构成诈骗罪或者合同诈骗罪等刑事法律风险。
2、市场、信用风险
虽然互联网金融的发展异常火热但细分各种业态的市场成熟度却参差不齐，例如第三方支付机构在行业中的布局已经呈现雏形，出现了“精耕细作”的情景；P2P网络借款平台则依然在“跑马圈地”；以阿里小贷为代表的网络小额贷款公司各自依靠集团公司的电商平台，相互之间的竞争似乎并不激烈。同业竞争、知识产权保护的风险与面对市场的垄断、不正当竞争并存。在信用比较缺失的背景下，也面临着筹资人使用虚假的身份信息获取资金、违规、违法使用贷款资金导致无力还款等风险。而造成违约或者恶意拖延之后，由于交易各方各处异地、诉讼成本高企等各种因素，也难以对违约人构成实质性惩处。热议的多数互联网理财产品利用的是同业存款市场和一般存款市场利率价格之差，随着利率市场化改革推进以及涌入资金增加摊薄收益，产品盈利空间将逐渐缩小。银行存款利率与市场利率之间的巨大差别是货币基金发展的主要动力，但其也仍存在破产清算风险。
3、经营风险
经营风险指公司内部治理不到位、程序与治理流程不完善、人员的失误或舞弊、系统的失灵或缺陷等因素造成的风险。互联网金融兼具金融企业与互联网企业的风险要素。一方面可能客户不熟悉、过量客户的网站访问等原因而造成风险。另一方面可能是来自互联网金融安全系统及其产品的设计缺陷等因素，或者内部工作人员操作失误等原因而造成较大的风险。2013年8月发生的“光大乌龙指”事件，彰显了认识这一风险的重要性。尤其是对于无准入门槛、无行业标准、无监管机构的P2P网络借贷平台行业而言更是如此。
上述的分析仅仅是当互联网金融初步发展阶段所存在的风险，更多潜在的风险也会随着其进一步成长逐渐暴露出来。互联网金融已经具有了引发行业系统性风险的可能，例如依托于第三方网络支付的货币市场基金，在短短的几个月内用户便超过了8000万，而该货币基金一旦产生基金份额赎回的障碍，就有极大的可能引发系统性风险乃至社会群体性事件。金融风险的累积如果不能及时控制并加以化解，则不可避免的出现金融危机。而且近年来，许多犯罪分子借互联网金融之名实施犯罪行为，尤其是非法集资行为持续高发。因此有必要对互联网金融进行监督管理，以维持金融安全、防范金融风险和保护人民群众财产安全。

㈣ 金融企业部门风险升高的三个表现

金融企业部门风险升高的三个表现主要就是资金链的断裂，一般一个金融企业资金链出现了断裂，那么这个部门的风险就会极高。

㈤ 消费金融公司的风险有哪些如何有效把控风险

存在于降低逾期，以及坏账的风险，如果你想有效把控风险的话，可以考虑一下选择
第三方系统
来帮你，像是杭州同盾科技在这方面就做的可以。

㈥ 多选题 金融企业部门面临的风险主要有

金融企业部门面临的风险是：1、挤兑；2、投资收不回形成呆死账过多，超出预警；3、银行间拆借投资失败！等等！

㈦ 金融行业的风险主要有哪些

对于金融风险的种类，从不同的角度出发，会有不同的认识或不同的关注点。

对于经营金融者来说，金融风险是指所从事的经营活动给自己造成经济损失的风险。此类风险主要有利率风险、外汇风险和管理风险，尤其是信贷风险。

所谓利率风险是指由于预期利率水平和到期实际市场利率水平的差异而造成损失的可能性。所谓外汇风险是指因汇率变动而蒙受损失或丧失所预期的利益的可能性。

所谓管理风险是指由于金融机构或经营者经营管理不善而造成损失的可能性。所谓信用风险，亦称信贷风险，是指债务人不能按期偿还债务本息，使债权人受到一定经济损失的可能性。

(7)金融公司内部风险扩展阅读：

金融风险管理过程：

金融风险的管理过程大致需要确立管理目标、进行风险评价和风险控制及处置等三个步骤：

(一)金融风险管理的目标。金融风险管理的最终目标是在识别和衡量风险的基础上，对可能发生的金融风险进行控制和准备处置方案，以防止和减少损失，保证货币资金筹集和经营活动的稳健进行。

(二)金融风险的评价。金融风险评价是指包括对金融风险识别、金融风险衡量、选择各种处置风险的工具以及金融风险管理对策等各个方面进行评估。

(1)风险识别。金融风险识别是指在进行了实地调查研究的基础上，运用各种方法对潜在的、显在的各种风险进行系统的归类和实施全面的分析研究。

(2)风险衡量。是指对金融风险发生的可能性或损失范围、程度进行估计和衡量，并对不同程度的损失发生的可能性和损失后果进行定量分析。

(3)金融风险管理对策的选择。是指在前面两个阶段的基础上，根据金融风险管理的目标，选择金融风险管理的各种工具并进行最优组合，并提出金融风险管理的建议。这是作为金融风险评价的最重要阶段。

㈧ 金融市场的风险有哪些如何规避

巴塞尔委员会对金融风险的认定有：信用风险、市场风险、操作风险。
1、信用风险。
交易对手违约的风险。当交易对手方信用状况发生问题，就会违反交易合约。
规避信用风险，可以进行信用评价、增加担保、引入信用保险等。
2、市场风险
市场要素变动带来的风险。
有利率风险、汇率风险、价格风险等。
可以用期货、期权等工具规避风险。
3、操作风险
由于内部程序、人员和系统的不完备或失效，或由于外部事件造成损失的风险。按照发生的频率和损失大小，巴塞尔委员会将操作风险分为七类：
（1）内部欺诈。有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。
（2）外部欺诈。第三方的诈骗、盗用资产、违犯法律的行为。
（3）雇用合同以及工作状况带来的风险事件。由于不履行合同，或者不符合劳动健康、安全法规所引起的赔偿要求。
（4）客户、产品以及商业行为引起的风险事件。有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。
（5）有形资产的损失。由于灾难性事件或其他事件引起的有形资产的损坏或损失。
（6）经营中断和系统出错。例如，软件或者硬件错误、通信问题以及设备老化。
（7）涉及执行、交割以及交易过程管理的风险事件。例如，交易失败、与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户，以及卖方纠纷等。
规避操作风险：加强内控，加强人力资源管理，完善提升系统。

㈨ 如何防范企业金融风险

金融风险防范包括四层含义:
第一，金融风险防范是针对一定主体而言的专。不同主体在金融市场中属的活动方式和活动目的是不同的，其面临的风险态势和风险程度也是不同的，因此，防范的风险以及防范风险的措施也是不同的。
第二，防范风险的前提，是对风险有充分的分析和认识，即防范风险是一种自觉性的行为。
第三，防范风险必须符合有关法律法规的规定，不能选择不合规的措施和行为。
第四，防范风险的目的在于实现预期的目标，因此金融风险防范的程度可用预期目标的实现程度来衡量。

㈩ 金融企业如何加强内部控制

解决中国的国营企业问题尚需要深入触动微观机制的最本质的问题，即企业的控制问题。体制改革不是万能的，要紧的是微观机制的改造。我国企业的根本出路在于强化企业的内部控制。
转变经营观念，增强控制意识，提高管理水平，是我国企业迎接市场竞争的基本前提。只在宏观经济范围提控制还不够，也不能在微观经济中片面以改革取代控制。其实，变革本身就意味着一定的风险。片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化，就使公司的改革同微观治理机制相脱离。
强化企业的内部控制已经成为发达国家治理公司的重要手段，在国际上的研究已日渐成熟。三大目标和五大组成部分构造了内控系统的整体框架，帮助人们更全面和更深刻地理解内控及其控制对象，使企业能够以内控为有力武器，从控制环境、风险评估、控制活动、信息与交流和监督评审五方面开展工作，为实现各项操作性目标、信息性目标和遵从性目标而自觉奋斗。
国际先进内控理论和实践的发展启示我们：要正确理解内控与管理的关系、内控与风险管理的关系和内控与内部审计的关系。我们要呼唤企业的控制意识，理直气壮地强化企业的内部控制。
经过二十年的改革实践，人们逾来逾感到强化管理的重要，也在积极探索如何才能加强管理。内部控制的概念被国际同仁所强调，引起了中国金融界，特别是银行界的关注。自从1997年人民银行发出“加强金融机构内部控制的指导原则”以来，各商业银行和非银行金融机构普遍开展了整章建制的工作。这一工作已取得了初步成绩，但是新形势下的内控工作尚处于起步阶段，这项工作又常被误解为仅仅是金融机构的事，生产企业的管理层对内部控制缺乏认识。其实，所有制及其组织结构并不是现代企业最本质的东西，最本质的是企业内部的控制文化和控制机制，中国国营企业的根本出路在于强化其内部控制。在这方面发达国家已经研究和创造出了一套比较完整的理论和方法，中国企业界的迫切任务是运用先进的内控理论和方法，强化内部控制，提高管理水平。
本文通过对部分国际先进内控理论和原则的分析，阐明内控的内涵及其与管理和内部审计（稽核）的关系，分析内控对公司治理的重要作用，以便促使经营管理者加强有效控制。

一、转变观念
转变经营观念，增强控制意识，提高管理水平，是我国企业界进行市场竞争的必要条件，也是金融机构向商业化金融机构演变的基本前提。

1．体制改革的作用是有限度的：近二十年来，举国上下议论最多的话题莫过于改革了。“以改革带动发展”也被一些地方当作战略口号指导各项工作。我们一直批评计划经济制度管得太严太死，却淡漠了经济活动内部的至关重要的控制机制，特别是微观领域的经济单元（包括金融与非金融企业）的自我控制意识逐渐淡化。且不说国际理论界对计划经济和市场经济的争论尚未休止，倒是应该指出，并非一切进步都只是靠了改革才取得的。如果政治的稳定和宏观经济的控制不是同改革并驾齐驱，中国的局面远不会象今天这样好。许多问题的解决又是改革本身力所未能及的。突出的一个例子就是国营企业的经营管理。是我们对企业改革重视得不够吗？从中央到地方，从政府到企业，不知为改善企业倾注了多少人力、物力和财力。是改革的力度不够吗？从利改税到企业转制，从破产兼并到减员增效，各项法规和措施层出不穷。为什么许多企业始终建立不起自我约束的机制？用经济学家的话来说，也就是不能硬化企业的“预算约束”。显然，只在宏观经济范围提控制还不够，也不能在微观经济中片面以改革取代控制。其实，体制改革不是万能的，变革本身就意味着一定的风险。

2．转变经营管理观念：内部控制在不同的经济体制下有不同的内涵，尽管其中的某些内容会有一致性。在计划经济体制下，国有企业的控制模式为实现国家计划服务。由于国家计划规避了大部分市场风险，国营企业的控制方式具有浓厚的行政管理色彩。现在，企业的控制模式为社会主义市场经济服务，在新的形势下有两种倾向值得注意：一是一部分人习惯于甚至满足于传统的经营管理方式，认为只要能够规范化操作就行了，不必考虑是否先进。这就混淆了不同性质经济中的企业在服务对象和控制方式上的不同。二是虽然大家意识到改革的必要性，但是容易片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化。这就使公司的改革同微观治理机制相脱离。不论是维持传统的经营管理方式，还是片面以改革取代控制的观念，都已经被实践证明是有害的。

3．转变对内控目的的认识：搞清内控的含义，并理解内控的目的，对经营管理和内审都有直接的指导意义。内部控制的概念经过了由“部分控制论”向“全部控制论”的发展。“部分控制论”认为内控包括：1）经济业务的有关内部会计控制；或者，2）内部牵制（会计）和内部审计两部分。这种认识的一个缺陷是，内控只与资产管理有关，而与行政、业务管理无关。“全部控制论”克服了这个缺陷，认为控制内容已超越会计和财务范围，渗透到经营的各个方面和管理的全过程。
内控目的论的发展也经过了下述阶段：1）“三目的论”认为，内控是为了保护单位的财产，会计记录的准确可靠和及时提供可靠的财务信息。2）“四目的论”认为，内控除了保全资产和检查财务资料的准确可靠性以外，更重要的是执行管理政策，提高经营效益和效率。
上述发展的启示在于，对内控的检查评价应有别于传统的思路，并且目的要明确和全面，检评要完整和深入。

4．跟上国际内控研究的步伐：同计划经济相比，市场经济的发展更加仰仗于微观机制的作用。发达的市场经济国家非常重视对公司治理的研究，大大促进了公司治理结构趋向合理化。公司治理理论研究的是资金的供给者如何采取措施，确保其投资取得回报。强化内控已经成为发达国家治理公司的重要手段。
国际上比较有名的内控模式有英国的Cadbury、美国的COSO和加拿大的COCO。它们从不同的角度剖析公司的经营管理活动，为营造良好的内控框架提供了一系列的趋于一致的政策和建议。其中尤以美国的COSO模式从理论到操作方法上阐述了一整套完整的内控框架。巴塞尔银行监管委员会（Basle）又在这些先进模式和实际经验的基础上，于1998年提出了建设银行内控系统框架的十三项原则。我国银行和非银行金融机构以及大量的非金融性企业在经济体制改革以来的许多失控的教训表明，跟上国际内控研究和发展的步伐，不断完善自身的内控机制，是十分必要的。

二、充分理解内部控制的内涵

内部控制有其科学的定义和丰富的内容。只有深刻理解内控的内涵才能明确如何强化内控。

1．准确理解内部控制的定义：不同部门的人从不同的角度对内控会有不同的看法。现代内控理论试图提出能被普遍接受的内控定义，以便满足不同单位的需要。美国审计权威机构COSO（1994）的定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为了实现下述三大目标提供合理的保证：经营的效果和效率；财会报告的可靠性；对现行法规的遵守。
巴塞尔银行监管委员会参照各国的有关理论，在内控定义中进一步强调董事会和高级管理层对内控的影响，组织中的所有各级人员都必须参加内控过程，对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动；在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可靠性、完整性和及时性。

表1 关于内部控制的三大目标的表述

COSO 的内控目标
Basle 的内控目标

1
经营的效果和效率
操作性目标：各种活动的效果和效率

2
财会报告的可靠性
信息性目标：财务和管理目标的可靠性、完整性和及时性

3
对现行法规的遵守
遵从性目标：遵从现行法律和规章制度

资料来源：美国COSO（1994）；巴塞尔银行监管委员会（1998）。

这三大目标满足不同的需要，又相互交叉。显然，内控是保证各项业务发展的，而不是妨碍其发展的。在操作性目标中，经营的“效果”是根据实际产出与预期计划的产出比较而言的；经营的“效率”是根据实际产出与实际投入比较而言的。此外，公司或银行不能为实现经营性目而不遵从法规，也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明：
1）内控是一种程序，它意味着向某一终点努力，但不是终点本身；
2）内控是用来取得一种或多种互相区分而又紧密联系的目标；
3）内控受人的影响，而不只是政策、守则或表格；
4）只能期待内控为公司管理层提供合理的保证，而不是绝对的保证。
内控的明确而科学的定义为各种单位提供了比较一致的标准，以便各单位能够评价其控制系统和决定如何加强控制。经营管理部门和内审部门应该参照有关法规和实施细则，设定一些具体的标准，认真考察被检查单位的内控系统，看其是否合理地确保了这些目标的实现。如果不能，总是可以从内控的某些方面找出问题的。一家银行或公司内控抓得好不好，可以从上述三大目标加以总体考核：它的董事会和高级管理层是否合理地确保了他们理解该单位实现其操作性目标的程度？它的财务报告和各项管理信息是不是可靠、完整和及时地被草拟和提供了？它的各项活动是否遵从了现行的法律和规章制度？这些方向性的标准无疑是对一个单位比较有力的鞭策。细化这些标准，对内控的深入考核更有益处。
由此可见，审计部门以往所提的“合规性审计（稽核）”、“效益性审计（稽核）”和帐务检查等等都属于专项审计，也都有一定的片面性。审计（稽核）工作的重心应当转向对内部控制的审计再监督，而对内控的检查评价有别于传统的审计思路，其目的要明确和全面，检评要完整和深入。

2．从总体上把握内部控制系统的框架：重要的是，现代内控理论赋予了内控广范的职能，把内控置于很高的层面上，从而强化了内控的作用。1994年COSO认为内部控制涵盖了五大组成部分的丰富内容：控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在控制环境中强调了管理层的督促（oversight）和控制文化；在风险评估方面将风险的识别和风险的评估并举；在控制活动方面又突出了职责分离的重要性；该委员会特别对信息与交流作了更多的解释；除了监督评审活动之外，还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外，增加了监管当局对内控的检查和评价，把它作为内控的另一不可忽视的内容。

表2 关于内部控制的五大组成部分的表述

# COSO的分析
Basle的分析

1
控制活动
管理层的督促与控制文化

2
风险评估
风险的识别与评估

3
控制活动
控制活动与职责分离

4
信息与交流
信息与交流

5
监督评审
监督评审活动与缺陷的纠正

资料来源：同上。

不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式，而把内控视为多维立体的空间，促使人们全面深入地理解控制和控制对象，分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念：这五大组成部分和三大目标是紧密相联的，就象一个人体的细胞包含了人体的各种信息那样，一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。
三大目标和五大组成部分构造了内控系统的整体框架，现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象，使人们能够以内控为有力武器，为实现三大目标自觉奋斗。

3．全面理解内控五大组成部分的内容：内控已经被COSO从理论上分析成为下述完整的有机结合的整体，并且得到了巴塞尔委员会的认同和发展。
1）控制环境：控制环境是推动控制工作的发动机，是所有其他内控组成部分的基础。它奠定组织的风纪和结构，并且涉及到所有活动的核心—人，特别是人的控制觉悟，还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内控的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性；公司要有积极的控制环境，使整个组织中的员工具有控制觉悟和自觉的控制态度，特别是高级管理层要积极地进行控制；员工的能力与其责任要相匹配。巴塞尔委员会有关管理监督和控制文化方面的原则包括：
1．董事会应当负责批准并定期审查整个经营战略和重大政策；理解经营的主要风险，确定这些风险的可接受水平，保证高级管理层采取必要步骤，识别，衡量，评审和控制风险；批准组织的结构；并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面，董事会负有最终的责任。
2．高级管理层负责执行由董事会批准的战略和政策，维护一种组织结构，能够明确责任、授权和报告关系；确保所委派的责任能有效地执行；确定适当的内控政策；并监督评审内控系统的充分性和有效性。
3．董事会和高级管理层负责按照高标准促进员工的职业道德（ethics）和完整性（integrity），在机构中建立一种控制文化（control culture），在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内控程序中的作用。
2）风险评估：是识别和分析那些妨碍实现经营管理目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险（如银行要面对信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉（reputation）风险）。需要不时调整内控，以便恰当地处理任何新的或过去不加控制的风险。
3）控制活动：是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性（尤其是对信息系统的控制）等等。有关控制活动和职责分离的原则包括：
1．控制活动应当是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构，明确定义各经营级别的控制活动。这些活动应当包括高层审查；对不同部门或处室的活动的适当控制；物理控制；检查对敞口限额的遵从情况；对违规经营的跟进情况; 批准和授权制度；查证核实与对帐（reconciliation）制度。
2．有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突（conflicting responsibilities）。要识别和尽力缩小有潜在利益冲突（conflicts of interest）的地方，并遵从谨慎的和独立的监督评审。
4）信息与交流：存在于所有经营管理活动中，使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息，包括管理者对员工的工作业绩的经常性评价。
在信息方面要注意内部信息和外部信息的搜集和整理；在交流方面也要注意内部和外部信息的交流渠道和方式；在信息技术的发展中注意控制信息系统。有关的原则包括：
1．一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获（accessible），并能以前后一致的形式规范地提供使用。
2．有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动。这些系统，包括那些以某种电子形式存储和使用的数据的系统，都必须受到安全保护和独立的监督评审，并通过对突发事件的充分安排加以支持。
3．有效的内控系统需要有效的交流渠道，确保所有员工充分理解和坚持现行的政策和程序，影响他们的职责，并确保其他的相关信息传达到应被传达到的人员。
5）监督评审：是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的，也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则：
1．应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分，并且各级经营层和内部审计人员应当定期予以评价。
2．对内控系统应当进行有效和全面的内部审计。内审要独立进行，应得到适合的培训，并配备称职和得力的人员。内审作为内控系统监督评审的一部分，应当向董事会或其审计委员会直接报告工作，并向高级管理层直接报告。
3．不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。
此外，巴塞尔委员会还针对监管当局对内控系统的评价提出，银行的监管人员应当要求所有的银行，不论其规模如何，都具有有效的内控系统，而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险；内控制度应当随银行所处环境和条件的改变而得到调整。凡监管者确定某银行的内控系统不能充分或有效地针对银行的具体风险内容（例如，不能涵盖巴塞尔委员会内控文件所载的全部原则），监管者应当采取适当的行动。
以上五大组成部分与前述三大目标有机地相结合，构成了内控的完整体系。COSO是为各行各业提出这一思路的。尽管巴塞尔委员会的内控原则主要是针对银行业的，国内外的金融和非金融机构在体制结构上也有所区别，我国的企业工作者仍然很有必要适应形势，转变观念，从内控的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否建立了健全的内控制度，而且，这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。

三、关于内部控制与管理的关系

不了解内控与管理的关系，就不可能充分加强内控工作。内审或审计人员在检查监督的过程中，时常发现被查单位的管理层对内控认识比较肤浅，也不甚了解内控与管理、内控与内审是什么关系。有人认为管理就是内控，抓了管理，内控自然就到位了，因而也没有必要特别强调内控。也有人认为内控是内审（稽核）部门的工作，抓内控应该由内审部门牵头。有些内部或外部的审计人员在进行内控检查的时候，也因认识模糊而无从下手。因此，很有必要搞清内控与管理的关系。

1．管理的内涵及其与内控的同异
从广义上讲，管理是管理者确立目标和战略，并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要执行聘用合同，为公司或银行的所有者的利益确定明确的管理目标，包括全局整体性目标和各项业务活动水平上的目标，然后制定各种战略和实施计划。管理者要以一定的组织形式为依托，以一定的规章制度为依据，采取种种方法去实现既定的目标。管理者有责任控制局面，并解决和纠正在监督检查各项经营管理活动中所发现的问题和错误，包括对有问题责任人的追究和处罚。由于所定的目标和战略计划会对管理单位（如企业）的行为产生影响，管理科学运用科学的原则和分析性方法，研究企业的行为。在发达国家，不论学术界还是实业界都日益重视公司治理结构的研究，以求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛运用，大大促进了管理的合理化和效率。
广义上的管理涵盖比内控更为广泛的内容，并不是所有的管理活动都是内控活动，也并不是说非内控性的管理活动就都不重要了。比如，设定目标的决策就是一种很重要的管理责任，为内控提供了前提条件。在国外，公司的所有者代表（董事会）也要参与甚至领导这种决策。但是，重大目标的最初设定并不是在内控的工作范围之内。同样，许多管理方面的具体决策和一般性活动并不都代表内控。
然而，问题的关键并不在这里，而在于内控是管理中至关重要的部分（critical components）。管理的学问就在于抓住管理活动中的那些对实现目标至关重要的部分，也就是毛泽东所说的“研究任何过程……要用全力找出它的主要矛盾”。比如，COSO等理论所描述的内控内容中都列举了许多控制要素和风险，这些都是管理者必须关注的地方。又如，尽管COSO认为错误的纠正行动不应属于内控活动，但是巴塞尔委员会却将其列为内控的范围。原因很显然，纠正错误已成为管理的一项重要内容，直接影响到目标的实现。同理，战略计划和风险管理这些本来被COSO视为非内控性活动，却被巴塞尔委员会分析为内控范围之内的活动了。尽管目标的最初设定是内控的前提条件，但是内控并没有完全放弃对这方面的关注，内控的重要职能之一又是监督目标的设定和实现过程。至于业务活动水平上的目标的设立，虽然也被COSO视为非内控性的活动，但在COSO提出的内控操作方法中（例如在其《参考手册》和《内部控制与风险评估工作表》中），这些目标都是内控所关注的重要内容。下表仅从一个侧面说明了这个问题：

资料来源：同上。
2．风险管理与内部控制的关系
风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和困难。这样看来，风险的概念就扩大了。比如，一个武士在张弓搭箭，射向猎物的时候，他的目标是射中猎物，而他的风险就存在于他射击猎物的全过程。首先，他本人的素质，他的精、气、神，他的体力和视力。其次，他的弓箭的质量。再次，猎物的大小、距离和移动速度。此外，狩猎时的环境、气候条件（风速）等外部干扰因素，也构成对击中目标的风险。对一家公司而言，风险既预示着机遇，又会影响其竞争能力，并影响其维持融资的能力以及保持和提高其产品与服务质量的能力。
风险是如此之广泛，以至于有人认为风险管理就是内部控制，甚至风险管理包括了内控。把两者混淆的问题在于没有看到内控是管理的更本质性的内容（essential part）。
诚然，风险管理是整个管理活动系列的重要组成部分。一般可指风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内控要做的。特别是内控并不负责风险管理目标的具体设立，这是管理过程起始阶段的活动。风险评估是对可能发生的不利条件或事件进行评价，并做出完整的专业性鉴定的一种系统过程。当然，风险评估首先要注意目标问题，因为，没有明确的目标，也谈不上目标实现的风险。但是在目标方面，内部控制并不是目标的制定活动，而是对目标制定的评价工作，特别是对目标和战略计划制定当中风险的评估，风险管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。
内部控制强调评估经营管理活动中突出的风险点（当然，这些风险点不是固定不变的），建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险，又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为，内控的过程涵盖了公司所面对的，并在公司内由各级人员所经营的所有的内部和外部的风险。
然而现实中的风险管理却很实在，巴塞尔委员会指出，风险管理不同于内控之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里，风险管理往往被狭义地理解为授信或部分业务（如信贷）的授权管理；广义的风险不仅有信贷风险，还包括国家与转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真正落实到银行的某一具体业务或管理部门，成为它的责任。其结果，我国的银行实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研究和控制，甚至连统一授信都难以在一些银行里真正实现。
不过，现实情况中的风险管理一方面有其特有的内涵和现实的范畴，另一方面也在某些内容上与内控相交叉。在上节中，COSO认为风险管理不属于内控的范围，而是非内控性的管理活动，这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中，与内控相交叉，属于内控强化过程中的管理活动。
然而，内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中，管理层的监督并不是没有，而是远远没有强调到某种“控制文化”的程度。