商業(yè)銀行該如何構筑符合全面風險管理要求的內控體系，建立和完善風險防范成效機制，筆者認為具體應從以下幾個方面抓好落實：第一，要制定風險管理內部控制體系總體思路。一個完整的內控包括五項要素：內部控制環(huán)境、風險識別與評估、內部控制措施、信息交流與反饋、監(jiān)督評價與糾正。按照以上基本要素要求，設計商業(yè)銀行內部控制體系的具體內容，應按如下路徑展開：即內部控制組織體系、內控責任體系、內控業(yè)務流程和管理流程體系、內部控制工具體系、內部控制考評體系。在設計過程中，可以考慮按總行、分支行兩個層次展開，并始終保證與巴塞爾協(xié)議和銀監(jiān)會的要求一致，力求體現(xiàn)績效考核、內部審計和外部監(jiān)管三者的一致性。

　　第二，細化業(yè)務流程、管理流程和風險點。無論是業(yè)務流程的風險控制平臺，還是管理流程的風險控制平臺，都必須依賴崗位責任的設置來實施銀行內部風險管理的控制。作用在于，提示管理者根據(jù)風險預警信號設計和實施風險攔截的對策。

　　建立并不斷優(yōu)化流程，目的就是在于建立一個有效控制風險的平臺。按照這一思路，業(yè)務流程的建立應按照產品線來設計，并貫徹以下幾個原則：即品種完全覆蓋；內控操作完整獨立；可計量并有預警功能。目前城市商業(yè)銀行的業(yè)務流程運行體系基本上按照這一思路設計并運行，需要強化的是評價與預警功能。管理流程建立在業(yè)務流程之上。管理流程設計按照管理部門層面特征，按管理級次設計，并結合業(yè)務流程。

　　在業(yè)務流程和管理流程的設計中，通過文字圖表來明示風險點。內部控制的關鍵就在于管理行為覆蓋全部風險點，從而控制風險。

　　第三，強化內部控制與責任體系。責任體系存在于一定的組織結構下，責任體系的設計必須服從于內部控制組織結構體系。它是風險管理信息傳遞和全面風險管理具體內容的實現(xiàn)途徑。

　　一是責任體系設計原則。主要遵循全面風險管理、風險管理與業(yè)務管理平行作業(yè)原則、矩陣式報告制度原則、精簡效率原則、相互牽制原則、協(xié)調配合原則、程式定位原則7條原則。

　　二是責任體系分層設計。根據(jù)管理級次，分分行和支行兩個級次設置。與常規(guī)設置不同的是，分行層面的風險管理崗位設置，除了設置風險控制管理委員會、風險管理部之外，為了將全面風險管理思想貫徹于全部業(yè)務活動中，必須在所有業(yè)務職能部門設置風險管理崗位，明確負責對部門所負責業(yè)務的風險監(jiān)測、記錄、報告、考核等工作。各分支行的風險管理，主張僅設立風險管理部統(tǒng)一實行風險控制與管理，只有業(yè)務規(guī)模較大支行在各業(yè)務職能部門內設立專職風險經理。

　　三是風險管理職責必須明確。風險管理職責的明確，主要通過崗位職責描述和授信授權書進行，授權范圍內事項分別由風險管理崗和風險管理部負責，風險控制管理委員會則主要是制定規(guī)則和處理例外事項。風險管理的關鍵是，所有業(yè)務必須進行風險監(jiān)控，絕對不能有游離于管理之外的業(yè)務；符合重要性要求的業(yè)務必須貫徹集體決策的原則，集體決策的規(guī)則必須科學有效。