商業(yè)銀行內部控制問題與內控體系構建探討

陽小平

（東亞銀行（中國）有限公司廣州分行，廣東 廣州 510000）

在2017年7月全國金融工作會議上，習近平總書記提出了“強化監(jiān)管，提高防范化解金融風險能力”，“強監(jiān)管”成為監(jiān)管機構工作的關鍵詞。在國家“強監(jiān)管”的監(jiān)管背景下，對商業(yè)銀行的內控管理提出了更高的要求。據(jù)新聞媒體報道的僑興，涉事機構眾多，涉及行業(yè)眾多，結構異常復雜,資金鏈條層層嵌套，造假手段高科技化、復雜化，增加了商業(yè)銀行的運營風險和法律風險，最終造成了巨大的經濟損失，商業(yè)銀行必須不斷完善、健全企業(yè)內部控制體系，防范企業(yè)戰(zhàn)略風險、財務風險、市場風險、運營風險和法律風險，以實現(xiàn)企業(yè)的經營目標，也就顯得尤其迫切和重要。

一、商業(yè)銀行內部控制存在問題

（一）企業(yè)文化建設出現(xiàn)偏差，缺乏內部控制良好環(huán)境

部分商業(yè)銀行忽視企業(yè)合規(guī)文化建設，片面追求利潤最大化，過分注重業(yè)績考核和激勵，舞弊、造假應運而生。浦發(fā)銀行成都分行為了完成業(yè)績考核指標，掩蓋該行巨額不良貸款和經營損失，而發(fā)生的造假案件，其問題的源頭就是企業(yè)文化的問題，業(yè)績考核和激勵機制不合理的問題。銀行合規(guī)文化、理念出現(xiàn)重大偏差，必然導致內控失效，1995年世界著名的首家“商業(yè)銀行”巴林銀行破產，有著233年經營史和良好業(yè)績的老牌商業(yè)銀行轟然倒塌，其根源在于巴林銀行未按“不相容職務分離”、“授權審批”等重要內控理念建立合規(guī)文化，主角里森在1992年7月至1995年2月期間持續(xù)利用“錯誤賬戶”“88888”隱藏期貨投資失誤，以及未經授權投資期貨業(yè)務，由于里森兼任交易與清算角色，致使內控問題未能及時發(fā)現(xiàn)和糾正，導致?lián)p失一再擴大，最終超出了巴林銀行的承受能力。

（二）內部控制制度不健全，風險事項缺乏具體管控措施

商業(yè)銀行要建立“不敢違規(guī)，不能違規(guī)，不愿違規(guī)”的銀行合規(guī)文化，關鍵還在于健全銀行內控制度。俗話說，“蒼蠅不叮無縫的蛋”，銀行只有健全內控制度，為各種造假、舞弊、違規(guī)現(xiàn)象修建一道防火墻，形成完善的管理制度，對經風險評估、風險識別出來的風險事項采取相應的控制措施，才能將風險控制在銀行可承受范圍內，將風險控制的具體方式落實到位。在僑興10億元債券逾期事件中，充分暴露了廣發(fā)銀行內控制度不健全，對分支機構存在多頭管理，又存在真空管理，特別是印章、合同、授權文件、營業(yè)場所、辦公場所等方面管理混亂、管理制度不完善，內部控制制度和管控措施不健全，為違法犯罪分子提供了可乘之機。

（三）監(jiān)督機制不完善，內控制度不能有效執(zhí)行

為了確保各項管理制度有效執(zhí)行，內部監(jiān)督機制和反舞弊機制顯得格外重要，只有對各項內控制度的建設和實施情況進行日常的和專項的監(jiān)督檢查，持續(xù)評價內部控制運行的有效性，同時對監(jiān)督檢查過程中發(fā)現(xiàn)的內控缺陷及時予以整改，并完善內控機制，才能為內部控制有效運行提供重要保證。浦發(fā)銀行成都分行不良貸款指標長期為零，這個異常情況長時間未引起內部關注，未觸發(fā)內部監(jiān)督檢查程序，是內控監(jiān)督機制不完善的典型表現(xiàn)。

二、商業(yè)銀行內部控制體系的構建與建議

（一）企業(yè)文化的構建

內部環(huán)境是企業(yè)建立和實施內部控制的基礎，企業(yè)文化建設則是內部環(huán)境建設的重要一環(huán)，企業(yè)文化建設是內控體系的重要基石。

商業(yè)銀行應當加強文化建設，培育積極向上的價值觀和社會責任感。商業(yè)銀行是國家金融體系中的主體，直按關系到國家金融安全、經濟安全運行，擔負著重大的社會責任，銀業(yè)商行企業(yè)文化建設必須重視合規(guī)文化的建設，強化風險意識和法制觀念。落實到具體工作中，商業(yè)銀行的經營目標必須首先重視社會責任的落實，而不是利潤的最大化，員工考核激勵機制必須以合規(guī)為基礎，增加合規(guī)考核指標占比，而不能將業(yè)績作為主要考核標準，商業(yè)銀行其他各個經營管理環(huán)節(jié)也必須重視合規(guī)文化的建設。

（二）內控制度的構建

內控制度是商業(yè)銀行內控體系的主要組成部分，內控體系設計的有效性，取決于各項內控管理制度是否健全。

商業(yè)銀行應根據(jù)《企業(yè)內部控制基本規(guī)范》、《企業(yè)內部控制應用指引》，以及國家各項金融財稅法規(guī)，結合自身的經營特點，制定各項管理制度?！镀髽I(yè)內部控制應用指引》為是商業(yè)銀行健立健全管理制度的具體應用指引，商業(yè)銀行在企業(yè)層面控制方面，應圍繞組織架構、發(fā)展戰(zhàn)略、人力資源、社會責任、企業(yè)文化五個方面建立健全管理制度，在業(yè)務層面控制，應圍繞資金活動、存款業(yè)務、貸款業(yè)務、資產管理、研究與開發(fā)、業(yè)務外包、財務報告管理等九個方面建立健全管理制度，以及完善預算管理、合同管理、信息系統(tǒng)和內部信息傳遞方面的管理制度建設。

（三）內控體系運行有效性的構建

商業(yè)銀行企業(yè)文化、內控制度只有具體的落實措施，才能保證商業(yè)銀內控體系有效運行，而不是掛在墻上的形式主義。各項管理制度需要轉化成各種工作表單，各項管理制度需要轉化為工作中的各項管理流程，并將各項日常管理流程固化到信息系統(tǒng)，各項內控管理行為融入商業(yè)銀行的日?；顒?，這是提高內控體系運行有效性的一個重要方法。

完善內控評價和審計監(jiān)督機制，也是保證內控體系的有效運行的重要手段?！敖^對的權力，必然導致絕對的腐敗”，同樣的道理，只有將商業(yè)銀行的各項管理制度、流程納入日常和專項監(jiān)督范圍，才能保證管理制度和流程的有效執(zhí)行。通過內控評價和審計監(jiān)督機制，可以及時發(fā)現(xiàn)商業(yè)銀行內控體系中的設計缺陷、運行缺陷，對內控評價或審計檢查中發(fā)現(xiàn)的重大缺陷、重要缺陷、一般缺陷問題，分析問題存在的原因和影響程度，提出整改建議或處罰建議，可以促進企業(yè)內控體系有效運行，并且不斷完善和提升。

（四）重點做好風險事項管控工作，完善信息系統(tǒng)控制手段

1.組織商業(yè)銀行風險事項梳理，建立內控管理手冊。風險識別是風險應對的前提，只有通過風險梳理、風險評估環(huán)節(jié)，將風險事項梳理出來，并且形成按風險發(fā)生的可能性、影響程度分類管理的風險庫，才能相應采取風險管控措施，將風險事理項控制在商業(yè)銀行董事會確定的風險容量和容限范圍之內，為商業(yè)銀行經營目標的實現(xiàn)提供合理保證。

商業(yè)銀行風險事項梳理需要堅持全面性的原則，需要覆蓋商業(yè)銀行的各個管理領域、各種業(yè)務和事項，同時需要考慮商影響商業(yè)銀行的各項內部因素和外部因素，既包括商業(yè)銀行自身的管理流程、財務狀況、人力資源、信息系統(tǒng)技術能力等各項內部因素，也包括法律、經濟、技術、競爭對手等各項外部因素。

商業(yè)銀行通過調查問卷、職能部門風險匯總、損失事件數(shù)據(jù)跟蹤、法規(guī)政策變化追蹤等多種方法，廣泛搜集基礎風險信息，并運用定性、定量以及定量和定性相結合的風險評估方法，建立商業(yè)銀行自已的風險庫，按照風險事項發(fā)生的可能性和影響程度，編制風險矩陣和風險管理手冊。

建立完善的風險庫、風險矩陣以及風險管理手冊，有利于樹立商業(yè)銀行全員風險管理意識，并將商業(yè)銀行主要風險事項管控到位。

2.完善信息系統(tǒng)控制手段，提高銀行內控管理效率和效果。信息系統(tǒng)既可以準確、全面記錄商業(yè)銀行各項日常管理活動，也是銀行提高工作效率和效果，有效實施內部控制的一個重要手段。商業(yè)銀行通過開發(fā)、建設適合自身經營特點的存款、貸款、財務、審計等各個信息管理系統(tǒng)，并充分考慮各信息系統(tǒng)數(shù)據(jù)的傳遞和共享，將銀行內控管理制度、流程以及關鍵控制點嵌入固化到信息系統(tǒng)中，加強用戶權限設置、授權管理，可以實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能。

商業(yè)銀行不斷健全內部控制體系，建立合規(guī)文化，加強風險管控，既是金融“強監(jiān)管”的時代要求，也是商業(yè)銀行的生存和發(fā)展的基本前提，商業(yè)銀行只有足夠重視，并將各項管控措施落實到位，才能實現(xiàn)企業(yè)發(fā)展戰(zhàn)略。