内部控制体系建设是专业性、实务性很强的工作，以风险管理视角来审视内部控制体系，可以避免陷入专业主义泥淖，从服务企业发展的目标来开展实务工作。中小银行内部控制体系设计应当以促进业务发展为目标，紧紧围绕核心业务流程来展开，提升内控体系的健全性、符合性、有效性和合理性。

一、风险管理与合规、内部控制

       风险管理与合规、内部控制构成了风控体系的三大支柱。三者之间既高度重合，又自成体系。

（一）全面风险管理与风险控制

       按最新版的ISO31000《风险管理指南》，风险被定义为“不确定性对目标的影响”。这个定义很简洁，对风险的定义是中性的。当然，对银行业来讲，风险的正向作用是很容易接受的观点，毕竟银行业本质上就是经营风险的，风险的正向作用是银行业生存的本源，没有风险，也就没有银行的存在。

       国资委2006年6月发布的《中央企业全面风险管理指引》中，对全面风险管理作了如下定义“是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”中国银监会于2016年印发的《银行业金融机构全面风险管理指引》，要求银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

       风险管理是指导和控制组织在风险方面协调活动，是指如何在项目或企业在一定的内险环境下，把风险减至最低的管理过程。具体工作内容有搭建风险管理体系、宣贯风险意识、提供风险管理工具（风险清单、风险指南、风险事件库等）、督导业务部门实施管理风险，基本程序包括：风险识别、风险估测、风险评价、风险控制和风险管理效果评价等环节。

       风险控制是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的可能性，或者减少风险事件发生时造成的损失。主要是业务部门在业务层面上的防范风险，包括风险识别、分析、评估、应对、报告等环节。其中，风险应对是指处理风险的过程。针对负面后果的风险应对可以包括：

(1)风险缓解：改变可能性（如：降低额度）；

(2)风险消除：改变后果（如：收回贷款）；

(3)风险预防：不开始或不再继续导致风险的行动，以规避风险（如：行业客户禁入）；

(4)风险降低：消除风险源、与他方分担风险（如：追加担保）；

(5)风险留存：为寻求机会而承担或增加风险、慎重考虑后决定保留风险（如：不良容忍度）；

(6)风险融资：做出应急资金安排（如：提取拨备）。

       从上述定义可以看出，风险管理属于决策行为，风险管理目的是创造和保护价值，而不是消灭风险。对于银行而言，价值就是创造利润，低不良率会提升银行利润的含金量，但过低的风险会导致丧失更大的获利机会。风险控制属于技术手段，本身就是一种正向风险，风险应对可能产生新的风险或改变现有风险。风险过度控制所产生的风险可能会超过所控制风险的本身，就是说，我们可能为防范1%的风险，而牺牲了10%的机会，甚至更多。

       从中小银行经营管理角度，风险管理的作用就是熨平经营峰谷，在既定目标的约束下，帮助企业以较稳较快的速度达成经营目标。业务经营受经济周期性波动等主客观因素制约，在较长时间尺度内存在峰谷是很平常的事情。

       需要指出的是，按国资委的定义，内部控制系统被归属于全面风险管理体系中。但就中小银行当前风险管理体系现状而言，将内部控制体系与全面风险管理视为交叉关系而非包含关系，可能更为合理。