商業銀行該如何構築符合全面風險管理要求的內控體系，建立和完善風險防範成效機制，筆者認為具體應從以下幾個方面抓好落實：第一，要制定風險管理內部控制體系總體思路。一個完整的內控包括五項要素：內部控制環境、風險識別與評估、內部控制措施、資訊交流與反饋、監督評價與糾正。按照以上基本要素要求，設計商業銀行內部控制體系的具體內容，應按如下路徑展開：即內部控制組織體系、內控責任體系、內控業務流程和管理流程體系、內部控制工具體系、內部控制考評體系。在設計過程中，可以考慮按總行、分支行兩個層次展開，並始終保證與巴塞爾協議和銀監會的要求一致，力求體現績效考核、內部審計和外部監管三者的一致性。

　　第二，細化業務流程、管理流程和風險點。無論是業務流程的風險控制平臺，還是管理流程的風險控制平臺，都必須依賴崗位責任的設置來實施銀行內部風險管理的控制。作用在於，提示管理者根據風險預警信號設計和實施風險攔截的對策。

　　建立並不斷優化流程，目的就是在於建立一個有效控制風險的平臺。按照這一思路，業務流程的建立應按照産品線來設計，並貫徹以下幾個原則：即品種完全覆蓋；內控操作完整獨立；可計量並有預警功能。目前城市商業銀行的業務流程運作體系基本上按照這一思路設計並運作，需要強化的是評價與預警功能。管理流程建立在業務流程之上。管理流程設計按照管理部門層面特徵，按管理級次設計，並結合業務流程。

　　在業務流程和管理流程的設計中，通過文字圖表來明示風險點。內部控制的關鍵就在於管理行為覆蓋全部風險點，從而控制風險。

　　第三，強化內部控制與責任體系。責任體系存在於一定的組織結構下，責任體系的設計必須服從於內部控制組織結構體系。它是風險管理資訊傳遞和全面風險管理具體內容的實現途徑。

　　一是責任體系設計原則。主要遵循全面風險管理、風險管理與業務管理平行作業原則、矩陣式報告制度原則、精簡效率原則、相互牽制原則、協調配合原則、程式定位原則7條原則。

　　二是責任體系分層設計。根據管理級次，分分行和支行兩個級次設置。與常規設置不同的是，分行層面的風險管理崗位設置，除了設置風險控制管理委員會、風險管理部之外，為了將全面風險管理思想貫徹于全部業務活動中，必須在所有業務職能部門設置風險管理崗位，明確負責對部門所負責業務的風險監測、記錄、報告、考核等工作。各分支行的風險管理，主張僅設立風險管理部統一實行風險控制與管理，只有業務規模較大支行在各業務職能部門內設立專職風險經理。

　　三是風險管理職責必須明確。風險管理職責的明確，主要通過崗位職責描述和授信授權書進行，授權範圍內事項分別由風險管理崗和風險管理部負責，風險控制管理委員會則主要是制定規則和處理例外事項。風險管理的關鍵是，所有業務必須進行風險監控，絕對不能有游離于管理之外的業務；符合重要性要求的業務必須貫徹集體決策的原則，集體決策的規則必須科學有效。