商业银行嵌入式经济资本风险控制体系初探

商业银行嵌入式经济资本风险控制体系初探

梁　雷⁽¹⁾

（中国海洋大学管理学院会计学系）

摘　要　本文通过对经济资本管理与风险管理、内部控制管理与风险管理理论的分析，认为经济资本管理与内部控制制度有融合的基础；在通过分析我国商业银行现行的风险管理体系中存在的弊端，结合商业银行的风险控制目标和经营目标，提出建立一个可以覆盖商业银行全面风险管理的有效机制——嵌入式经济资本风险管理体系，将全面风险管理内部控制框架和经济资本管理做互补式有效结合，形成一个全面的商业银行风险管理体系，为商业银行有效地防范风险，创造价值，可持续发展服务。

关键词　商业银行　经济资本　风险管理　嵌入式

自20世纪70年代以来，随着全球金融自由化、创新化和一体化发展，金融业进入一个不稳定的时期。同业竞争加剧，使得商业银行不断创新产品，金融创新增加商业银行收益的同时也使得风险不断的积累，而各国银行业监管措施相对滞后，各商业银行未能及时采取有效的内控制度措施，以适应大环境的变化，2008年年底美国次级债务所引起的金融危机有力地证实了这一点。银行业薄弱的监管不仅直接影响新兴金融机构的发展和崛起，而且使商业银行缺乏足够的资本以弥补潜在损失。从20世纪90年代开始，为解决国际大银行中的大量贷款坏账，防范金融业日益增加的各种风险，经济资本的管理理念和方法被很多国家的商业银行引用，我国商业银行也在最近几年引进了经济资本管理模式，旨在建立有效的风险管理体系。与此同时，我国也在加强对商业银行监管方面做出诸多的努力，特别是发布商业银行内部控制规范，要求和指导商业银行建立健全全面的内部控制体系，也旨在有效地防范风险，创造价值。那么，同样是用来防范组织风险的经济资本管理和内部控制体系是各自独立的部分还是可以相互融合的机制？商业银行应该如何建立全面风险管理的控制体系？本文试图对这些问题进行研究。

一、商业银行经济资本与风险管理

（一）商业银行经济资本的涵义

银行业是高风险行业，其面临的风险包括信用风险、市场风险和操作风险，鉴于银行在整个国民经济中所起的重要作用和发生金融风险后对经济稳定的巨大冲击，各国金融监管机构都制订了一系列严格的监管标准，目的是为了保障商业银行经营活动的稳健性和安全性，通常通过规定具体的资本充足率、存款准备金率来保障银行对预期风险的抵御能力。客观上讲，监管资本并不能完全代表银行实际吸收非预期损失的能力，并且监管规定不一定真实反映特定银行的风险特征。风险和收益是相伴而行的，高风险意味着高收益，对于一些优质的银行优质的资产而言，8%⁽²⁾的资本充足率要求显得过于保守，无异于束缚了其逐利空间，相反，对于有些劣质的商业银行而言，由于风险监控系统运行的低效率，甚至连10%的资本充足率也可能无法有效覆盖风险。因此，一刀切式的监管资本可能无法防范管理效率低下银行的风险，有可能缩小了优质银行的逐利空间。

经济资本是根据银行所承担的风险计算的最低资本需要，用以衡量和防御银行实际承担的、超出预计损失的那部分损失，是防止银行倒闭风险的最后防线。经济资本与监管资本的用处不同，监管资本是监管部门通过资本充足率测算监管和控制商业银行的风险，经济资本是商业银行内部通过非预期损失的资本抵御来控制风险。经济资本在数额上与监管资本也可能不一致。监管资本是根据资本充足率监管口径计算的、实际有的可用于弥补预期损失的资本（权益资本是其中的一部分）。为充分抵御风险，银行的监管资本应该超过经济资本，或经济资本少于监管资本（最经济的形式是两者相等）。如果经济资本超过监管资本，说明银行所面临的非预期损失的风险超过了资本承受能力，风险的资本支持不足。如果经济资本增加，为了保持资本充足率水平不降低，监管资本至少应等额增加。如果经济资本增加而监管资本不增加，则资本充足率水平会下降。

因此，经济资本是虚拟资本，是各商业银行根据自身业务所面临的风险所计算出来用以覆盖非预期损失的资本额，具有虚拟性、动态性和不确定性。这个资本额与股东权益无关，也不同于监管部门规定的准备金，而是各商业银行进行全面风险管理的重要手段。

（二）商业银行经济资本的风险管理流程

商业银行经济资本管理，是指在确定经济资本计量范围和方法的基础上，将经济资本看成一种风险指标，以资本制约风险资产的扩张，将经济资本控制在确定的范围内，同时保证获得必要的收益，最终实现商业银行业务发展速度、效益与风险承担能力的协调。从总体上讲，经济资本管理的三个核心内分别是经济资本的计量、资本配置和绩效考核。这三部分分别从质和量的约束方面对商业银行的经营管理提出要求。

经济资本的计量的概念是指通过使用各种计量模型来精确计算出在既定的定置信水平和风险期限内，能够涵盖银行面对的和预期将要面对的所有风险所必须具备的经济资本的额度，也就是说，在了解了风险分布的情况下利用模型计算银行的非预期损失。从某个角度来看，银行经济资本的计量从根本上就是对风险的计量。银行在经营管理过程中面临的主要风险就是新巴塞尔协议所描述的三大风险，即信用风险、市场风险和操作风险。因此，经济资本计量的重要作用就是利用计量的模型计算出三大风险，即在分别计算不同风险所对应的、所需要的经济资本，然后去除因为风险的相关性和风险分散化所减少的那部分风险，最终计算出整个银行的经济资本。经济资本的计量既要在银行整体层面进行，同时也要由下至上在各分支机构或业务单元展开，就是为了确定银行现存的资本能否抵御未来的非预期的损失，并把它作为开展进一步的风险资本分配的限定额度，另一方面也是为了以此作为资本分配的依据和绩效衡量的标准，用来指导风险业务的合理开展。⁽³⁾

经济资本的配置的过程是以整个银行的偏好水平和战略目标为基础，利用年度计划、风险限额管理和参数设置等方法将经济资本科学合理的配置到银行各个管理层之中，并最终通过“资本约束风险、资本要求回报”的统一协调的管理机制提升商业银行各个维度的风险管理水平。在承担风险给定的时候，追求业务活动获利的最大化；或在业务获利既定的基础上，承担风险（经济资本占用）最小化，这就是经济资本最优配置的原则。经济资本配置的最终目的就是建立一个与银行的总体战略目标和股东价值目标相一致的风险投资组合。通过经济资本配置，能够完成资本预算过程和业绩评估过程。⁽⁴⁾

经济资本评价属于银行绩效衡量的范畴。这一评价体系在建立以风险调整后的资本回报率（RAROC）和经济增加值（EVA）为重点的指标体系的基础之上，对各机构、部门和产品维度的经营绩效考核和评价。这一评价方法，在考察银行盈利能力的同时，还有效考察了盈利能力背后附加的风险，科学地判断了银行的整体价值是不是真的增加了。这一评价通过风险调整后的资本收益率等指标，对银行的各分支机构、产品线和业务线进行评价。从这个角度上看，经济资本管理对银行市场营销也起到了一定的指导作用，银行的决策者在衡量不同业务和产品的市场进退标准时，会看重风险与资本成本的经济资本回报的大小，而不再是单纯考虑账面利润。利用经济资本回报率指标，对资本回报比较大的业务和产品予以保留，反之则考虑缩小业务或退出市场。而从绩效评价的角度，经济资本能够将各种不一样的风险、不一样的交易进行对比，它作为一个统一的标准，能够衡量银行不同部门、各笔交易风险调整后的盈利水平，最终为银行整体战略目标中的资本预算、激励和薪酬方案的设计与制定都打下基础。⁽⁵⁾

因此，经济资本是一个管理体系，是商业银行进行全面风险管理的有效管理系统，按照经济资本管理的内容和特点，它要求商业银行有一个完整的制度体系与之相匹配，在风险识别、计量、配置和绩效评价等全部过程中进行有效的控制，内部控制是涉及控制目标、控制制度、业务流程、企业的组织、人的行为等诸多方面和领域的制度体系，将控制体系和经济资本有效结合，才能真正实现商业银行在风险控制和最大收益的权衡中获得竞争优势，得到可持续的发展。

二、商业银行内部控制与风险管理存在的弊端

现行的《商业银行内部控制指引》中将内部控制目标定位为：法律法规的遵循性；经营活动的效率和效果性；风险可控性；信息可靠性。内部控制的构成要素为：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。这个框架基于传统商业银行的运营理念而建立，与高风险的银行业务运营相比，与全面风险管理的内部控制框架相比存在很多的弊端：

第一，内部控制规范与实践应用的脱节。从内部控制的相关规范来说，大到国家部委下达的各项法规，小到各家商业银行的内部制定的规范，可以说我国内部控制在制度建设上已经较为完善，但是文字规章并不等于形成了内控理念，我国商业银行所追求的仍然是业绩指标、扩大市场占有率和业务规模，内部控制并没有上升到一个足够重要的方面。究其原因，是由于内部控制的约束力并没有有效传达给商业银行的微观主体——员工，现阶段银行员工尤其是业务人员参与内部控制的方式往往是被动的，内部控制对于员工而言更多是一种负面激励，其性质是惩罚性的，这就造成了银行基层对内部控制的回避、消极心理，而如何将内部控制建设与基层员工的切身利益相联系是解决这一问题的关键。

第二，我国商业银行内部控制的作用尚没有覆盖到所有事项的所有流程。商业银行的内部控制主要体现在银行内部审计执行中，但是内部审计主要是以事后监督为主，事前、事中监督的作用还不明显，难以达到风险预警目的。换句话说，我国商业银行内部控制主要是一个静态过程，这就导致了由于内部控制本身没有做出及时调整所导致的风险管理缺陷往往难以克服。那么如何将内部控制升级到一个带有前瞻性、事前性的动态过程，就成为了商业银行现阶段的一个重要课题，这需要一个强大的信息数据系统提供实时动态的监控数据，来及时验证决策的正确性，灵活、准确地把经营情况和出现的偏差进行反馈，以适时进行调整和修正，从而实现预定目标。

第三，内部控制的制度规范与商业银行拓展新业务的不相适应性。随着新的金融产品不断涌现，单靠原有的内控规章制度已经难以满足银行风险管控的需求。例如，内控评价单靠评价人员进行主观打分存在明显的片面性和滞后性，在评价操作中，对评价标准的把握上也很难统一标准。这一方面要求内控规章制度也应随着业务发展不断更新，另一方面现有的内控体系中应当引入大量的量化数据，对各种定量信息数据和定性信息数据加以有效整合，从而统一内控口径，增强运行结果的可靠性。

第四，内部控制没有和商业银行的风险管理业务密切相容。通过对我国几家采用经济资本管理的商业银行的调研发现，多数商业银行的经济资本管理停留在总行，比如华夏银行、国家开发银行、建设银行等，通过各分支银行的信息反馈对经济资本进行计量、配置和绩效考核，还没有在银行内部按照业务流程按照风险发生的来源贯彻经济资本的全流程式的计量和考核模式，究其原因，一方面经济资本引进的时间不长，另一方面人才的缺乏，加上对全部流程进行经济资本管理的推进难度，导致的经济资本管理处于高高在上的状态。目前，在我国商业银行的组织体制是典型的总分行制，对内是实行内部授权管理的内部控制制度，在这种组织体制和内控制度的安排下，决策权主要集中在总行（或上级行），对银行资本的管理和监督也集中在总行统一管理，当然风险也是集中在总行（或上级行），事实上在这种情况下我国商业银行的风险管理和风险控制是比较薄弱的，时滞性非常明显。同时，总行对下级分支机构的业绩考核基本上集中于利润和收入成本率的考核。这种考核制度，存在两方面的不足：一方面，这是一种静态考核，用以反映分支机构的持续经营能力，进而引发分支行的短期经营行为；另一方面，这种考核是单一指标的考核，即赢利性的考核，而忽视了分支行安全性和流动性的考核，因为，它不能反映分支行机构资产、负债的动态变化，这是一种不完整的考核标准，是法人制度不够系统、不够科学的考核标准。

综上所述，商业银行的经济资本管理是商业银行全面风险管理的重要内容，而内部控制体系是组织基于业务流程而设置的风险控制体系，两者都有完整的理论体系和实践框架，实践中，这两个体系处于并行状态，各自在各自的框架内运行，一方面，内部控制对于经济资本的制度保障作用没有显现，另一方面，经济资本的风险管控对内部控制的需求没有在内部控制设计中体现，而商业银行建立全面的风险管控体系是提高其行业竞争力的必要手段，那么需要充分结合我国商业银行的实际情况，将经济资本管理和内部控制体系充分兼容，建立一个适合商业银行全面风险管理的制度体系，旨在将商业银行的全面风险管理的制度体系与业务体系全面融合，建立适合我国国情的有效的商业银行风险管理体系。

三、经济资本与内部控制融合的理论基础

（一）内部控制的理论定位

学术界对内部控制的研究起推动和促进作用的是来自于审计会计报表的需要，美国反对虚假财务报告委员会发布的“COSO内部控制框架”（1992），该报告不仅在美国被广泛应用，在其他国家也得到学术界的普遍认可。COSO将内部控制定义为：“内部控制是受企业董事会、管理层和其他职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”这个定义确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。同时，该报告将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素，服务于上述三大目标。2004年9月正式颁布了《企业风险管理——整体框架》其中指出：“内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，并形成一个（比内部控制）更为广泛的管理概念和工具。”比之于1992年的《内部控制——整体框架》发生了以下变化：在内部控制目标上增加了战略目标；在控制内容上增加了风险控制；在控制的环节上将原来的“风险评价”被拓展为“目标设定、风险识别、风险评估和风险应对”四个。这个报告成为学术界对内部控制研究的基本模板，但是该报告“不是严格理论研究的结果，更多的是实践做法感悟的一种总结，感性认识上升到理性认识这项工作COSO报告并没有遵循研究规范去做，从而使很多感性的东西直接简单地归结为理性知识，所作的结论就具有很大的学术风险。”⁽⁶⁾“科学的内部控制定义必须正确揭示其内涵，使之具有区别于所有范畴的基本特征。如此要求COSO定义，其不恰当性更是显而易见。组织中任何一项管理制度或手段无不与组织各层面及全体人员有关（需共同参与）而且都是服务于实现组织目标的。COSO内控定义实在让人们无法区别内部控制与公司其他管控制度。”⁽⁷⁾杨雄胜先生通过分析COSO报告对内部控制定义的缺陷，基于人体免疫学、社会学、组织学和管理学等理论，提出“内部控制是个人、组织、社会各层面，运用识别、评估、计量、转化、抗御等专门方法，正确防范并遏制‘非我与损我’，主动保护并促进‘自我与益我’的系统化制度。这里，运用专门方法防范遏制‘非我与损我’，保护促进‘自我与益我’是内部控制范畴的内涵；社会化的系统性制度则是内部控制范畴的外延”。⁽⁸⁾这个概念不仅科学地界定了内部控制的内涵和外延，也更加强调了内部控制是一个组织自律管理的行为，是防范和抵御风险的一种本能，也是组织生存和发展必须要建立的一个系统性的制度，同时也强调了内部控制制度体系对于一个组织有机体而言是“嵌入式”的。把内部控制理解为嵌入式的组织免疫系统，更加强调组织通过制度设计对风险的抵御和防范功能，这个功能是通过一定的理论框架，一系列的方法、程序以及人的行为组合来实现的，已达到自动防御和高度敏感反应的风险防范效果。

嵌入式的组织免疫系统，意味着内部控制的设计应该能够覆盖组织的所有事项和流程，这个免疫系统一旦建立，基于自身的机制功能就可以有效地防范有可能对机体有害的风险。经济资本管理是一个组织行为，是商业银行进行风险管理的一个事项，有它特有的目标、操作流程和组织程序，包括经济资本的计量、配置和绩效评价等过程，在这些过程中，也需要有一个免疫系统，对经济资本管理的各个环节的风险进行有效控制，以保障经济资本的流程是顺畅和有效的。但是，经济资本的虚拟性、不确定性以及对信息、对人才的特别需求等特点，决定了经济资本的内部控制不同于对组织其他业务流程的控制要求，应该进行专门的研究。

（二）内部控制与风险管理的理论辨析

对于内部控制和风险管理之间的关系，学术界有不同的观点，归纳起来有这样四种：①认为内部控制包括风险管理。CICA（1998）将风险定义为：“一个事件或环境带来不利后果的可能性”，“当你在抓住机会和管理风险时，你也正在实施控制”。加拿大注册会计师协会控制标准委员会（1999）认为：“控制应该包括风险的识别与减轻”，如不能识别和利用机会，就不能使企业在面临未预料到的事件以及不确定信息时，保持灵活性或弹性。⁽⁹⁾②认为风险管理包括内部控制；COSO（2004）报告提出风险管理的八要素论，明确指出，企业风险管理包含内部控制，内部控制是风险管理不可分割的组成部分，内部控制是风险管理的一种方式，风险管理是企业管理中范畴更大的管理领域，其引导或规范内部控制的建设。从风险的类别来看风险管理，“企业设立阶段和运营阶段的六大类风险中，可以将与企业战略设立、调整相关的企业治理结构风险、战略目标确立风险和业务模式选择风险统称为活化风险，将业务模式既定状态下的合规风险、运营风险和财务风险称为固化风险，将固化风险与活化风险合称作动态风险。企业风险管理就是对企业动态风险的管理，而内部控制则是对固化风险的控制”。企业管理是对机会的管理，是设立目标并达成目标的过程，包括计划、组织、领导、控制等职能；而企业全面风险管理是对目标设定和执行中的动态风险进行管理的过程，包括活化风险管理和固化风险管理（即内部控制）。两者并行不悖。可以说，企业管理是确保企业成功的充分条件，企业风险管理是确保企业成功的必要条件。⁽¹⁰⁾从内部控制的本质和功能来看风险管理，“内部控制则是指组织自身为了降低内部各层级之间代理问题而建立的一套风险控制机制。内部控制的目标是通过保证内部各层级委托代理关系中代理人信托责任的履行，进而保证组织目标实现的过程”。“……内部控制本质上只是解决组织内部代理问题的一种内部风险控制机制，内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下，所开展的各种控制活动。风险控制除了包括内部风险控制之外，还包括外部风险控制。”⁽¹¹⁾③认为内部控制就是风险管理；Blackburn（1999）认为风险管理和内部控制仅是被人为地分离，在现实的商业行为中它们是一体化的。“从语义上说，内部控制就是控制风险，控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。内部控制主要是从风险控制的方式和手段说明风险控制的，风险管理就是从风险控制的目的来说明风险控制的。”⁽¹²⁾④认为两者是一个共生互动的关系，在长期的发展过程中互为成长。内部控制与风险管理是共生互动关系，“风险管理的现实需求推动内部控制理论的产生，内部控制和风险管理是相伴而生的”“……风险管理推动内部控制理论的发展，内部控制理论也为企业的风险管理活动提供了行动指南。”⁽¹³⁾

通过以上比较可以看出，对内部控制和风险管理的关系尽管存在多种观点，两者的密切关系是不言而喻的。但是两者在功能定位和控制手段等方面存在一些不同：①风险管理与内部控制的职能表现领域不同，实现内部控制的目标通过事后的监控检查和事中的过程控制完成的；而全面风险管理贯穿于企业各项经管理活动的全过程，既有事前的事项识别、风险评估，又有事中的风险应对和控制活动，还有事后的监控。⁽¹⁴⁾②风险管理与内部控制对风险的理解不同。风险管理对风险的理解是事件对企业实现其目标产生影响的可能性，正面影响为机会，负面影响为风险；内部控制框架不对事件区分风险和机会，往往基于流程和手段进行控制。③风险管理与内部控制的风险统计工具不同。风险管理引入了风险偏好、风险容量、风险容限、压力测试等概率统计方法，在风险计量的基础上，将风险、收益等综合考虑，使企业的风险偏好与发展战略保持一致。内部控制在设定的目标条件下，对业务流程的执行信息的反馈识别和应对风险。④风险管理主要针对风险的种类，对各种风险以及所引发的事项造成的损失进行评估和采取控制活动；内部控制更注重对人员的控制，强调明确岗位职责、职能分离、互相监督等。⑤风险管理需要不断面对可能出现的新风险，具有动态性；内部控制体系具有相对稳定性，在对不同风险的控制模式上可能难以触及组织之外的因素。

因此，内部控制和风险管理涵盖范围的大小和界限是互有所长和互有所短，内部控制有不能覆盖全面风险管理的部分，全面风险管理也有不能覆盖内部控制的部分，两者互相包含和互有长短的理论辨析使得内部控制和风险管理是在不同的经济条件下、不同的管理目标下、不同的管理环境下的互动共生和发展，因为经济条件是不断变化的，内部控制和风险管理从来就不是一个僵化的概念，比如企业实行不同的战略，低成本战略和产品创新战略，要求组织机构和组织流程做出不同的设计，毫无疑问内部控制就需要根据不同的战略设计出控制策略；再比如传统的制造业和高风险的商业银行业，其面临的风险不同，对风险管理的要求不同，其内部控制的目标、内容和方法也应该有所不同；资合组织和人合组织风险来源不同控制也应该不同。再或者，相同的行业不同的运营模式，其面对的市场和管理风险都不同，相应的内部控制系统的设计也会体现差异性。因此，在有些组织中，以内部控制为导向的组织风险管理，在有些组织中以风险管理为导向设计内部控制系统，那么，对我国的商业银行而言，显然应该以风险管理为导向设计内部控制系统。

（三）内部控制和经济资本风险管理的目标辨析

内部控制和经济资本管理都不是凌驾于商业银行经营业务之外的独立的制度体系或管理体系，而是和组织的运营管理相嵌相容的组成部分。从管理的目标来说，内部控制是管理的手段，是一个可以提高企业自身免疫力，以抵御“非我与损我”、主动保护并促进自我与益我的系统化制度，这个制度就是可以让企业健康的可持续的运营，健康可持续的运营的前提就是控制风险，不断获得盈利或者不断地提高企业的价值，因而把它称之为全面的风险管理，特别是2004年版的COSO报告，将内部控制以全面风险管理框架的构架提出并应用，使得全面风险管理成为企业管理的常态。经济资本管理是高风险运营的商业银行特有的全面风险管理体系，它是通过不断的对风险的识别、计量、配置和评估来确定所需要的最佳资本量，以保障对风险的覆盖或抵御能力。最佳资本量就是最经济的资本，这个资本可以保证商业银行在可以容忍的风险内，价值最大。因而，两者在全面风险管理的一致性还可以做出这样的理解：①商业银行全面风险管理是一个持续运营的过程，既是渗透在银行管理当局经营银行方式中的一系列行为，也是一系列的制度体系，两者交织在一起。例如，在考虑到信用风险时，就需要建立应对相应风险所需的模型来进行必要的分析和计算，就需要设计出相应流程和制度以保障其信息的准确和反馈过程的有效。当风险管理机制被构建到作为银行的基础结构之中，并成为银行核心要件的一部分时，银行的风险管理才是最有效的。②全面风险管理的关键是对人的行为的管理。全面风险管理由董事会、管理部门以及其他全部的工作人员予以执行。对人的行为的管理影响着全面风险管理的实施，不同的人有不同的能力和偏好，那么，就需要一个全面的制度框架或机制配置人力资源，规范全体人员的行为和指向，以完成银行的战略目标；当然，反过来全面风险管理也影响人的行为，按照经济资本的管理要求，设定人员的行为，使之趋向银行的战略目标。③全面风险管理渗透在银行结构内所有层次的活动，即从战略规划、资源分配的整体层次的活动到市场资源、人力资源、经营单位活动以及新客户信用检查的经营层次的活动。以经济资本管理这类创新的管理活动也不例外，经济资本管理需要结合银行结构内紧密相连的各层次的风险管理，高级管理层采用复合的观念看待银行中的所有层级，以确认银行的整体风险组合是否与其风险偏好相适应。管理层要从银行层次结合的角度考虑相互关联的风险。银行中每个单位的风险可能在各个单位的风险容忍范围之内，但是如果将这些单独的风险综合在一起可能将超过银行总的风险偏好。银行向下游每个具体目标建立其相对应的风险偏好，将这些风险偏好综合起来就反映了银行总体的风险偏好。④全面风险管理被设计用于识别影响银行所有的潜在事件并将风险控制在风险偏好的范围之内。全面风险管理帮助管理层选择一个与其全面风险偏好相一致的战略。全面风险偏好对资源分配起引导作用。管理层在考虑银行的风险偏好和业务部门为实现投入资源的期望报酬基础上，通过准确计量各类风险确定经济资本，通过经济资本的分配决定各类资产规模，改善业务组合的风险与收益配比关系，将有限的资源从效益较差而风险较高的业务上释放出来，为效益更好而风险可控的业务腾出空间，促进银行业务稳健经营、健康发展。风险偏好要与银行的目标相关，并要考虑目标的相对重要性。全面风险管理要求对各类风险进行识别、评估和科学管理，并支持银行资产的保值和增值要求银行将风险和收益、风险偏好和风险策略紧密结合起来，增强风险应对能力尽量减少操作失误和因此造成的损失，准确判断和管理交叉风险，提高对多种风险的整体反应能力。⁽¹⁵⁾⑤全面风险管理为银行的管理部门和董事会提供了合理保证。精心设计的有效的风险管理能够为管理部门和董事会实现银行目标提供有限保证。合理保证反映了未来的不确定性和风险，因为不确定性和风险没有人能准确地预测。作为被确定为有效的全面风险管理的结果，在每一类的银行目标中，董事会和管理部门对银行战略目标的完成情况、银行经营目标的实现情况、合规情况等获得有限保证。⑥全面风险管理必须与在一个或多个独立但又相互交叉的分类中所要实现的目标相适应。在既定使命的前提下，管理部门建立了战略性目标并选择了相应的策略，管理部门也建立了其他目标，这些目标自上而下地贯穿于银行之中，并且与银行的战略相联系。这些目标之间的联系使董事会和管理部门关注全面风险管理的各个方面。这些目标的实现是处于银行的控制之下的，并依赖于银行相关活动的运行情况得以实现。但是，像市场风险往往都是银行所不能控制的，但是全面风险管理可以通过一定的管理程序进行预警和反馈信息，也能够提高管理部门调整决策的应急能力。

因此，实现全面风险管理的目标需要在银行建立全面的风险控制制度体系，这在内部控制和经济资本管理所要实现的风险管理目标上是一致的。

基于经济资本的全面风险管理和基于内部控制的风险管理结构之间的关联，可以梳理成表1所示：

表1　经济资本与内部控制的风险管理关联表

从表内梳理出来的信息对比可以看出：①全面风险管理与经济资本风险管理在内容上的关联程度相当高，以经济资本模式进行风险管理是个管理事项，内部控制是个对所有内部事项进行覆盖的管理体系，两者在环境、目标设定和信息评价等方面有高程度的关联。②经济资本风险管理和全面风险管理的视角和方式不同：经济资本风险管理兼顾内外部风险，并不只是内部风险的识别和管控；经济资本的管理手段主要是风险计量，通过风险模型的选择计量和配置风险，不是一个全方位的制度控制过程；经济资本的控制目标的衡量是最终以风险调整后的收益率进行绩效评价，是一个具体的风险控制目标；经济资本量的计算是个虚拟值，这个值在多变的金融环境中是个不断调整的量，受不同风险以及其影响因素的影响，最佳的资本量在不同的商业银行可能是个变化的值。③全面风险管理是一个制度体系，包括组织结构的设置、岗位人员配置和业务流程的设计以及在不同流程、不同岗位之间的信息传递方式的设定，用这样的制度框架去覆盖商业银行所有的业务流程，具有风险管控的全面性、规范性和可持续性。因此，对于在我国商业银行中应用时间不长、管理还不够规范的经济资本风险管理模式来说，基于全面风险管理框架规范经济资本管理成为商业银行内部控制的现实选择。

四、商业银行嵌入式经济资本风险管理的控制框架

经济资本为核心的全面风险管理的动态性，表现在风险测度的经常性和影响因素的多变性，要求信息系统的有效性，在对商业银行进行风险管理的过程中，内部控制可以对风险控制起到正向的作用，同时经济资本管理又是商业银行风险管理的核心，所以，在进行经济资本管理时，如果将两者有效结合，将内部控制的要素考虑在内，将会使得商业银行经济资本配置更具效率，同时也更具有现实的意义；同时，按照内部控制的全面风险管理框架的要求对经济资本的管理过程进行梳理，形成一套灵活的，规范的商业银行风险管控机制，这个机制是内部控制和经济资本管理相互嵌入形成的，因而可以称为“嵌入式经济资本风险控制体系”。

全面风险管理框架下的经济资本风险控制体系应该是制度保障的商业银行全面风险管理，将两者的差异进行互补，以制度为保障，以风险计量为核心，以风险绩效为评价手段，形成嵌入式的经济资本风险控制体系，这个体系是将全面风险管理的内部控制框架和经济资本风险管理模式充分融合和互补，形成动态的、全面的、符合商业银行管理目标的风险管控机制。经济资本的虚拟性、不确定性和动态性，要求有灵活的内部控制制度框架予以保障和适应，内部控制框架体系在对经济资本的管理过程中需要作出灵活的适应和调整，形成相互融合的互补的嵌入式风险管控机制。按照这个机制的要求，重新梳理不同类型风险管理的目标、影响因素，设计适合不同风险控制的管控流程和信息传递方式，既实现经济资本风险管理的最佳资本量的计量和配置，也实现全面风险管理对商业银行战略目标实现的保障，综合收益和风险的因素建立商业银行的激励和约束机制，以保障商业银行的运营时稳健并且是有竞争力的，创新和风险管控同步进行的，具有成长活力的商业银行发展模式。因此，这个体系实质上包括两个层面的融合：①将经济资本管理与商业银行的业务流程进行融合，即改革现有的经济资本管理停留在总行或一定层面的管理模式，在银行内部所有层面和所有流程上进行融合，使之对风险的计量和管控流程化；②将全面风险管理的内部控制体系对经济资本进行覆盖，一方面促使经济资本管理的制度化和对流程设计的科学化，另一方面为适应经济资本的虚拟性、动态性和不确定性的管理特点，内部控制应该强化信息的搜集、生成和反馈机制，重视风险管控人才的素质和行为控制，在准确和前瞻性的信息支持下，有效地防范风险。

嵌入式经济资本风险控制体系的目标定位为可容忍风险程度下企业价值最大化。控制结构将COSO—ERM的结构与经济资本管理流程相结合，形成全面风险管理框架要素。商业银行的高风险运营特点，在银行内部建立风险管理的企业文化是建立嵌入式经济资本风险管理体系的重要内容。必须将银行可持续发展的理念和员工的职业素质培养和管理制度的制定进行充分融合，将风险管控意识和制度深入到商业银行的所有领域和层面，才能够真正建立起有效的风险管理机制。

嵌入式经济资本风险管理体系的结构与内容见表2。

表2　嵌入式风险控制结构表

（续表）

从表2可以看出，嵌入式经济资本风险控制体系的目标、结构以及控制方法的基本内容，能够在不同类型的风险防控方面的有效性。但是，这样按照风险分类的防控体系并不是绝对的，其中会互有交叉。比如操作风险的控制，控制操作风险是各家银行工作的重点，它涉及每个部门、每个环节、每个人员，具有不可预测性。近年来，我国金融业发生的案件事故，可以说都与操作风险有着密切的关系。操作风险因为贯穿在组织运营的所有领域和环节，甚至在信用风险、市场风险方面都会有影响。比如对客户管理方面操作不当，对市场风险计算方面出现技术处理方面的问题等，都会影响到市场风险和信用风险的计算和评估。因此，完全的嵌入式的经济资本风险管理体系应该将风险细分，对各风险的影响因素进行整理归类，按照影响因素设计控制流程，并将对风险影响因素的控制与商业银行的业务流程进行结合，在人、岗、制度、信息的结合中，设计出有效的控制框架。

以风险类别研究影响因素并不是经济资本风险控制的唯一视角，按照经济资本的管理流程设计控制框架可以从组织行为和操作层面研究对风险的管控。按照经济资本管理流程的风险控制框架可以用表3列示。

表3　经济资本管理流程与控制框架表

表2和表3尽管维度不同，但是从风险控制的框架来说具有共同性，都可以最终归纳为全面风险管理的框架要素中具体设计相应的控制体系，既有一般规律性，也有具体应用的灵活性。

嵌入式经济资本风险管理是一个和企业决策、运营和评价相结合的一个管理系统，因此，其有效运行依赖于其他相关政策或制度的建设与完善，包括：⁽¹⁶⁾建立健全完善的公司治理制度，以保障决策的权力制衡机制的有效性。②注重企业文化的建设，完善内部控制结构。内部控制的八要素描绘了全面风险管理的框架，而真正在其中起作用的仍然是“人”，特别是经济资本管理需要专业性的管理人才，人的行为直接关系到组织运营的风险，因此，“控制结构＋企业文化”的内部控制要素新二元论更加注重了“人”在内部控制系统中的作用，内部控制系统中的“人”，包括供应商、管理者、员工、投资者、客户以及政府，通过他们之间关系的建设达到内部控制的良好效果。①③全面分析风险管控要素，建立健全激励约束制度体系。要实现企业目标体系规划的企业目标，仅靠企业文化显然是不够的，因为不同主体的品性、信仰、胜任能力等存在差异，由于种种原因还可能导致上述主体之间的信任和合作出现障碍，因而导致企业的经营管理、业务执行偏离企业目标体系规划的目标，因此，还必须建立包括激励机制和约束机制在内的控制结构，分别从正向引导和反向抑制两个方面调节企业活动向企业目标体系规划的方向迈进。④构建全面的信息系统，包括：市场信息、客户信息、会计信息、预算信息、人力资源信息、审计信息、政策信息等。必须借助于现代技术能够及时地搜集转换和反馈风险信息，能够及时地识别风险预警风险，能够及时地计量风险，才能够真正防范风险。因此，本系统需要商业银行建立全面的信息系统为风险管理提供支持。

参考文献

［1］解冉．经济资本配置在商业银行的实践应用［J］．金融与保险，2008（1）．

［2］刘建德．经济资本——风险和价值管理的核心［J］．国际金融研究，2004（8）．

［3］梁伟．经济资本：商业银行全面风险管理的核心［J］．经济问题，2005（9）．

［4］杨雄胜．内部控制范畴定义探索［J］．会计研究，2011（8）．

［5］林钟高，等．内部控制、风险管理与企业价值［J］．财政监督，2011（3）．

［6］刘霄仑．风险控制理论的再思考：基于对COSO内部控制理念的分析［J］．会计研究，2010（3）．

［7］丁友刚，胡兴国．内部控制、风险控制与风险管理［J］．会计研究，2007（12）．

［8］谢志华．内部控制、公司治理、风险管理：关系与整合［J］．2007（10）．

［9］林钟高，等．内部控制、风险管理与企业价值［J］．财政监督．2011（3）．

［10］刘新宇．基于全面风险管理的中国商业银行内部控制研究［D］．辽宁大学博士论文，2011．

［11］黎代福．商业银行全面风险管理框架：基于COSO—ERM的借鉴［D］．厦门大学博士论文，2006．

［12］王竹泉，隋敏．控制结构＋企业文化：内部控制要素新二元论［C］．首届内部控制专题学术研讨会论文集，2010（3）．

【注释】

(1)梁雷，中国海洋大学管理学院会计学系博士研究生。

(2)武剑．经济资本管理的理论与实践．现代金融，2008（6）．

(3)解冉．经济资本配置在商业银行的实践应用．金融与保险，2008（2）．

(4)刘建德．经济资本——风险和价值管理的核心．国际金融研究，2004（3）．

(5)杨雄胜．内部控制范畴定义探索．会计研究，2011（8）．

(6)杨雄胜．内部控制范畴定义探索．会计研究，2011（8）．

(7)杨雄胜．内部控制范畴定义探索．会计研究，2011（8）．

(8)林钟高等．内部控制、风险管理与企业价值．财政监督，2011（3）．

(9)刘霄仑．风险控制理论的再思考：基于对COSO内部控制理念的分析．会计研究，2010（3）．

(10)丁友刚，胡兴国．内部控制、风险控制与风险管理．会计研究，2007（12）．

(11)谢志华．内部控制、公司治理、风险管理：关系与整合，2007（10）．

(12)林钟高等．内部控制、风险管理与企业价值．财政监督，2011（3）．

(13)刘新宇．基于全面风险管理的中国商业银行内部控制研究．辽宁大学博士论文，2011．

(14)黎代福．商业银行全面风险管理框架：基于COSO－ERM的借鉴．厦门大学博士论文，2006．

(15)王竹泉，隋敏．控制结构＋企业文化：内部控制要素新二元论，2010（3）．

(16)中央高校基本科研将业务费专项—中山大学青年教师培育项目《中国会计职业的国际接轨问题研究》（14000－3161103）。