风险控制是企业内部控制的生命线

【摘 要】 风险在经济领域无处不在，它贯穿于企业经营管理的全过程。法兴银行事件充分说明了风险控制是企业内部控制的生命线，必须建立健全全面风险管理体系，才能过滤和化解风险。风险管理体系的建立，重点应包括：建立健全风险的内部控制机制、构建风险管理组织架构、建立科学的绩效考核和违规问责机制、培育风险文化，提高风险意识和加快信息系统建设，强调系统安全性管理。

【关键词】 风险； 风险管理； 内部控制

1995年2月，曾有过辉煌历史和极佳信誉的巴林银行，由于其“明星”业务员Nick Lesson暴炒日经期货而损失10亿美元最终导致破产。13年后的今天，悲剧再次重演，日前法国兴业银行披露，该行遭遇了银行业历史上最大的一宗欺诈案，其31岁的交易员Jerome Keviel在未经授权的情况下大量购买欧洲股指期货，造成71亿美元的损失。法兴银行此前扮演的是世界上最大衍生交易市场领导者的角色，一直被认为是世界上风险控制最出色的银行之一。可悲剧发生后，法兴大厦将倾，何去何从尚无定数。在美国次贷危机依旧愈演愈烈的背景下，法兴事件加剧了业界对金融市场的担忧，触发法国乃至整个欧洲的金融震荡，更引发全球股市暴跌。这些看似强大的企业在瞬息万变的市场中轰然倒塌显得那样的不堪一击，挫败仿佛是瞬间的事。

风险在经济领域是无处不在的，它贯穿于企业经营管理的全过程。获得增值是企业存在的最终目的，但实际情况往往与预期产生偏差，企业必然要承担一定的风险。美国投资家威廉.欧内儿曾说过：“战胜市场的秘密是你不可能一直都判断正确，关键是在于你每次搞错的时候能把损失减少到最小。”

风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径，并用最经济合理的方法来处置风险，以实现最大安全保障的科学管理方法。风险管理概括起来包括以下步骤：

第一步，风险分析：对风险进行界定和分类，这是确定风险管理范围的重要步骤。

第二步，计算和衡量风险：对风险进行量化，确定风险权重和总风险的大小。

第三步，风险管理工具的选择。对各种风险管理工具加以比较，选择适合投资特点和客观情况的工具，从而形成系统风险管理总体方案构架和经济有效的综合管理方式。

第四步，风险管理的实施。根据风险管理方案，从组织结构入手，制定相关策略和原则，确定组织结构、人员和设施配备，明确各环节和人员的职责，设计并运转风险控制的智能化系统程序，通过模拟或实时运作对系统进行检修，并对风险管理的前三个步骤提供反馈，使之动态适应外界变化并始终保持对风险的有效监控。如图1所示。

在风险管理的具体实施中，企业应根据自身的特点进行选择并实行组合，以最少的成本获得最大的安全效果，以风险的预防和规避为主要途径，建立事前的风险控制体系和事后的风险检查与反馈体系，使风险管理在不断的调整和修正中趋于完善和高效。

历史上一系列的风险案例说明，即使像巴林银行和法兴银行那样拥有先进风险管控技术和经验的机构在风险控制机制和体系上也会存在缺陷和漏洞，因此必须建立健全全面风险管理体系，以此过滤和化解风险。

法兴事件，无非是一个渴望成名的交易员在未经授权的情况下，利用盗用密码、伪造文件等手段，从事一些特殊交易来制造虚假交易，造成了巨额损失。但法兴银行在授权管理、风险监控、IT管理等内部控制上的漏洞却暴露无遗。具体体现在以下三个方面：

第一，不负责任，没有按时检查交易情况。2007年1月，该交易员做空德国股指（DAX）时亏空。但该月法兴银行没有按时检查交易情况，致使这个虚假交易没有被及时发现。

第二，风险麻痹，没有认真检查交易细节。在2007年11月收到欧洲领先衍生品交易所Eurex质疑该交易员异常交易的警报后，没有引起足够的重视，只是简单询问，而没有深入调查。

第三，忽视反常交易细节。当该交易员违规交易时，系统会提示风险，警示越权，于是他赶紧制造虚假交易来掩饰，系统又提示一个相反的信息。这种频繁的反向警示并未引起重视。原因很简单，因为该交易员在赚钱，所以管理层就睁一只眼闭一只眼。这实际上体现了法兴对赢利和风险的一种错误文化理念。

法兴的教训是惨痛的。近年来，随着经济的全球化，中国企业也逐渐意识到风险管理的重要性，并把风险管理上升到企业内控生命线的高度。2007年5月，国家财政部企业内部控制标准委员会下发了《企业内部控制规范（草案）》，广泛向社会各界征求意见，希望以此作为规范和指导企业内部控制，提高风险管理能力，促进企业健康发展的纲领性文件。应该说，法兴事件是对风险控制重要性的又一有力诠释，并由此引发了我们对风险管理更深层次的思考。

一、建立健全风险的内部控制机制

内控机制属于预防性控制机制，是防范风险的前提和基础。内控制度包括为保证企业正常运作、规避和化解风险所采取的一系列必要的管理制度和措施。内控的建立，应遵循以下原则：

（一）内控的全面性

内控应全方位、全过程、全员参与。内控要体现系统性，在各部门各岗位间形成相互制约、纵横交错的统一整体，以保证各个特定的分目标相互协调地发挥作用，并实现内控的总体目标和功能。

（二）内控的有效性

一是内控制度要符合国家法律、法规，同时要符合经营战略、经营方针和理念并随内部环境的变化而修改完善。二是内控制度要根据企业的组织规模、业务特点、技术条件、人员素质等具体特点和要求合理使用。三是内控制度要有效执行，所有部门、员工必须严格遵守，任何人不得拥有超越制度的权利。

（三）内控的制约性

一是相关资产分离；二是部门和岗位分离；三是物理隔离，在重要部门设立防火墙和门禁制度。在部门间、岗位间建立一种相互验证、相互制约的关系，使单独的一个部门对业务没有完全的处理权，必须经过一个以上部门的查证核对或配合才能完成，以此达到纠错防漏的目的。

（四）内控的成本效益性

内控的目的之一是使企业避免和减少风险，以获取更佳的效益。但内控本身要付出成本，内控越复杂，成本越高。因此，必须在成本与效益间衡量，精选控制点，减少不必要的耗费，尽量用科学化的管理方法和新技术来降低成本、提高效率。

法兴事件暴露出其在风险管理内控机制方面的缺陷，虽然法兴的内控制度建设相对而言是比较全面的，在业界也算有口皆碑，但在实际执行中，内控制度没有得到有效的执行，也没有发挥必要的制衡和监督作用，从而导致了风险的必然发生。

二、构架风险管理组织架构

高质量的风险管理组织体系是至关重要的，风险管理必须是一个充分依靠于人同时对人的职责加以充分制衡的体系。法兴事件就暴露出其在风险管理组织架构设置方面的缺陷，风险流程控制不够严密。交易员既负责投资决策也负责交易执行，对其个人在体系中的权利没有加以限制和监督，从而导致了权力的滥用和错误的发生，加大了发生风险的可能。高质量的风险管理组织体系应该包括以下六个方面：

（一）严密有效的组织结构

其特点是对人在体系中的位置、应完成的任务、应承担的责任有明确的定位，建立相互监督、相互制约的管理决策链，防止高风险行为的出现，从而达到控制风险的目的。

（二）严格的授权审批程序

对各类授权进行全面梳理、评估，明确对各类授权管理的同时对各类授权在系统的设定和管理情况进行经常性的检查。

（三）完善的会计控制体系

核算部门和操作部门相分离。

（四）运行有序的风险决策委员会

专门负责风险管理流程，职责是确保面临的各种风险能够适当地被识别、监视和综合管理，以确保与风险相关的损失控制在可接受和可预见的范围内。

（五）独立的内部审计机构

合理有效的内部检查制度：加强对各类交易执行情况的检查监督，重点关注制度执行力、业务抽查审计等，研究分析虚假交易、违规交易的风险点，及时对可能的漏洞进行补救，对潜在的隐患进行预防。

（六）建立严密的风险管理流程控制

一要明确流程各个环节的工作衔接方式和操作标准，将风险控制措施嵌入流程中，使相关岗位在有效完成业务操作的同时也能够准确、规范地执行风险管理和内部控制的要求；

二是充分发挥流程各环节、各岗位的相互制衡、风险防范作用；

三要充分发挥流程管理对于各项业务的基础控制作用，并通过优化设计和提高标准化程度，使流程管理成为风险控制和保证效率的重要手段。

三、建立科学的绩效考核和违规问责机制

法兴事件从深层次暴露出了在全球经济持续增长的大背景下，一些企业的风险管理意识明显放松，投机风潮日盛，严控风险往往被视为是过于保守、生怕坐失良机，而那些在投机心理驱使下出现的类似赌博的行为却受到默许，甚至纵容。因此，必须建立正确的业绩观念，一方面通过风险调整后的收益考核，遏制高风险的投机冲动；另一方面强调违规问责，加大违规成本，提高员工合规意识和风险防范意识。

四、培育风险文化，提高风险防范意识

风险事件的发生暴露出了员工风险防范意识的弱化，而风险意识的弱化所导致的监管松懈是风险发生和扩大的重要因素。良好的风险文化和对风险的正确认识是科学有效开展风险管理的重要条件。

一是培养风险管理专业人才队伍。风险管理最终要通过人来实现，随着我国经济全球化的发展，企业面临的风险也越来越大，迫切需要风险管理专家群体的产生和发展壮大。应充分发挥政策和市场的双重功能，建立健全政策制度，构建公平的竞争机制，营造一个良好的育人环境，尽快造就一批高素质的风险管理人才。

二是提高每个员工的风险控制责任感和敏感度。加强培训，尤其是所在业务、岗位和环节的风险的全面认识和深刻理解，同时培养端正的风险效益观。

三是大力培养员工的职业道德和职业操守。要加强职业道德和职业操守教育，防止越权等不诚信行为的发生。

五、加快信息系统建设，强调系统安全管理

法兴银行在信息系统和数据管理方面的失误告诉人们，保障信息系统安全性和数据准确性意义更为重大。

一是要维护信息系统的安全运行，保障运行环境和数据的安全，建立信息系统事故应急处理机制；

二是要保证信息系统权限的有效管理，包括合理的权限设置、健全的权限监管、及时的超权限或违规事件发现和报告等；

三是要加强信息系统密码管理，强调密码保密和定期更新机制。

【参考文献】

[1] 刘伟华，译.风险管理.中信出版社，2002.

[2] 张瑞君.e时代财务管理――管理信息化理论与实践的探索.中国人民大学出版社，2002.

[3] 吴敬琏.市场经济的培育和运作.中国发展出版社，1993.

[4] （美）哈姆.勒威，马歇尔.萨纳特.证券投资组合与选择.中山大学出版社，1998.