本文載于《中國銀行業》雜誌2014年第11期。

　　銀行業金融機構根據新《內控指引》，從問題導向、目標導向和責任導向等多個維度，重新梳理內控制度的相關內容，共同探討內控存在的主要問題及應對措施，將內控真正嵌入到銀行的每一個流程裏面，使內部控制發揮更好的效果。

　　銀行內部控制工作是防範銀行風險的關鍵環節，銀監會對此高度重視。為進一步推進商業銀行規範內部管理、完善內部控制，銀監會深入總結近年來商業銀行內部控制發展實踐經驗，於今年9月發佈了新修訂的《商業銀行內部控制指引》（以下簡稱新《內控指引》），新《內控指引》內容更加全面，體現了原則性、導向性的要求，有利於引導商業銀行秉承穩健經營的理念，根據自身發展需要，科學確定內控管理重點，合理配置資源，提高內控管理的有效性。希望全國銀行業金融機構根據新《內控指引》，從問題導向、目標導向和責任導向等多個維度，重新梳理內控制度的相關內容，共同探討內控存在的主要問題及應對措施，將內控真正嵌入到銀行的每一個流程裏面，使內部控制發揮更好的效果。

　　問題導向：商業銀行需要進一步重視內控建設

　　從目前來看，商業銀行在內控方面存在的問題最主要體現在以下三個方面：

　　一是內外部治理環境不完善。缺乏合理的組織架構體系和內部控制治理，有的尚未建立健全有效的內部制衡和約束機制。

　　國內商業銀行內部控制相關規章制度基本都參考了國際上的良好監管實踐——COSO框架。COSO框架主要是針對上市企業，從會計資訊品質、內控評價監督等方面提出要求，在內容上和我國銀行的內部控制有共通之處，但還是存在區別，區別在於中國的國情和商業銀行經營環境。在我國銀行公司治理結構中，董事會和高管層的權力相對比較集中，監事會相對較弱。一般來説，監事會在風險管理、內部控制上真正提出需要時，得到支援的不多，主要還是側重於銀行如何發展、如何創新産品、機構準入等問題。

　　在英美法係下，公司治理中沒有監事會；在大陸法係下，比如中國《公司法》中就要求設立監事會。所以在參照或者依據國際上的良好監管實踐時，要考慮中國的國情，一個規則要完全適用於所有國家、地區的文化各異的企業和組織是很困難的，沒有一把“萬能鑰匙”。

　　前美聯儲主席格林斯潘在2008年金融危機後進行反思，認為問題主要出在監管當局過度信任了金融機構的內部控制，機構因為崇尚市場自由主義而過度放任，最後出現金融危機。內外部治理環境具體如何完善沒有現成答案，只能通過實踐探索。在中國，黨委會、董事會、高管層、監事會和股東大會之間應該起到制衡作用。

　　二是內控管理的職責劃分不夠清晰。現實中，有些銀行將內控管理的職能放在稽核部門，有些放在法規部門，有些放在風險管理部門。由於任務不明確，導致內控工作不夠規範。有的銀行因行領導分工及部門職能的原因，存在“部門墻”現象，使內控工作缺乏統籌。新《內控指引》的主要目的之一是讓銀行有一個主牽頭部門來做內控，否則內控管理太分散，因為內審、合規、風險管理等每個環節都會涉及到內控。

　　三是內控文化建設不夠到位。內控制度實施最重要的是文化建設。西方國家的銀行以合夥制、股份制、民營制為主，高管層都有股權、期權，投資者非常關心自己的收益，都會比較重視本機構內部控制和風險管理。2014年諾貝爾經濟學獎獲得者，法國經濟學家梯若爾的獲獎理由是因為他在市場力量和管制方面的研究。他認為，在內控體系中主要分為三種類型的參與者，首先是擁有股權或期權的投資者，他們會關心機構的內部控制，並且一定會推動內控體系建立得非常嚴密。其次是主要合夥人和主要大股東，他們關心企業的行為是否違反了內部控制，或者哪存在重大的內控缺陷。最後才是監管者。

　　我國80%以上的商業銀行都是國有控股，只有少量非公企業。所以這種形勢下我們更應該努力去營造關心銀行發展和未來的文化氛圍。阿里巴巴旗下“阿裏雲”的18個發起人根本不需要任何主管部門，也不需要監管部門叮嚀囑咐，他們自己利用資訊技術來形成一種相互監督、相互制約的內控體系。當前為什麼在內部控制方面始終還是有些問題？如何把中國特色銀行公司治理下的內部控制做得更有效？我覺得這些問題值得討論。

　　目標導向：根據國際最新進展重新梳理內控理念

　　國際上，廣為大家熟悉並被業界認可的與內部控制相關的標準和法律法規有《COSO內部控制整合框架》（也稱為《COSO報告》）和巴塞爾委員會頒發的《銀行組織內部控制系統框架》。這些國際上較為先進的內控標準，對我國商業銀行內部控制體系的建立具有非常寶貴的借鑒意義。

　　從去年5月份COSO委員會發佈的新內控框架看，國際上對內控研究的最新進展可以歸納為“五個更加”：

　　一是內控框架更加具體。新的COSO報告突出了原則導向，在原有五要素基礎上提出了17項基本原則，並提煉出82個體現相關原則的主要特徵和關注點。每一項原則都代表著與內部控制五大要素相關聯的基本概念。比如在控制環境方面，框架提出組織要承諾遵守職業操守及道德規範。在風險評估方面，提出要對內控體系産生重大影響的變化事項進行識別與評價等原則。在控制活動方面，提出要通過制定政策和具體流程來貫徹控制活動等原則。在資訊與溝通方面，提出要在內部和外部形成良好的資訊溝通渠道等原則。在監督活動方面，提出要對內控進行評價，並將發現的內控缺陷報告給負責主體等原則。

　　二是內控報告的目標更加全面。舊框架在內部控制目標設定中只關注財務報告目標，而新框架提出的報告目標包括內部、外部的財務報告和非財務報告目標。其中，外部財務和非財務報告目標的特徵是主要用於滿足外部投資者和監管機構的要求，根據外部準則進行披露，可能受監管者、有關合同和協議要求的限制。內部財務和非財務報告目標的特徵是主要用於企業內部經營管理和決策制定，相關披露要求由管理層和董事會制定。各報告目標的具體內容為：外部財務報告目標可能與年度財務報告、中期財務報告和盈餘公告有關；外部非財務報告目標可能與內部控制報告、可持續性報告以及供應鏈和資産託管有關；內部財務報告目標可能與部門財務報告、客戶盈利性分析和銀行合同有關；內部非財務報告可能與員工和資産利用率、顧客滿意度的衡量以及健康和安全的衡量有關。

　　三是內控建設和評價更加自主。舊框架要求在內控建設和評價方面要嚴格基於證據，新框架則強調董事會、管理層和內審人員要擁有“判斷力”，給予董事會、管理層和內審人員適度的自由裁量權。內控如何實施、如何評價、如何認定有效性，企業可以有自己的判斷。新框架建議管理層通過判斷，去除那些失效、多餘乃至完全無效的控制，提升控制的效率和效果，節省實施成本，而非單純地為了控制而控制。

　　四是反舞弊與反腐敗的實施更加嚴格。舞弊風險因其存在主觀故意性、隱蔽性、串謀性、危害嚴重性等特徵而區別於一般風險。新框架包含了更多關於舞弊與欺詐的內容，並且把管理層評估舞弊風險歸在風險評估階段，作為內部控制的17項總體原則之一，重點加以闡述。新框架提出要求“識別欺詐産生的各種途徑，如非法所得、非法使用或處理資産、篡改企業報表記錄等”，並“對欺詐風險産生的因素進行評估”。

　　五是內控措施更加先進。自1992年舊COSO框架發佈以來，使用或依賴於技術進行內部管理和控制的企業實體數量大幅增長，而技術應用的範圍也在大多數的企業實體中得以擴展。隨著技術發展的程度越來越高，技術應用已經變成了企業管理的常態。新框架對現代資訊技術的變化對內部控制所有要素的影響，都作了較為充分的考慮並給予詳盡的操作指導，提出要建立技術獲取、開發和維護機制，相應的技術控制手段以及相關技術安全管理機制。

　　責任導向：商業銀行需切實抓好新《內控指引》的落實

　　新《內控指引》明確指出，“內部控制是商業銀行董事會、監事會、高級管理層和全體員工參與的，通過制定和實施系統化的制度、流程和方法，實現控制目標的動態過程和機制。”要確保內部控制有效，必須做到目標明確、思路清晰、執行有效，具體來説，要做好以下幾點：

　　第一，確保四個目標。商業銀行的內部控制應重點關注以下四大目標：

　　合規性目標。保證國家有關法律法規及規章的貫徹執行。這裡的合規指符合國家層面、行業層面和銀行內部的各種法律法規和規章要求，防止銀行因違規遭受處罰、制裁，蒙受聲譽或經濟方面的損失。

　　安全性目標。保證商業銀行發展戰略和經營目標的實現。商業銀行是一個承擔著多種責任的經濟實體，既要對國家負責，又要對金融消費者負責；既要對股東負責，又要對銀行內部員工負責，發展戰略和經營目標是銀行生存的重要保證。

　　有效性目標。保證商業銀行風險管理的有效性。這主要是通過建立制度來實現。有些內控制度可能已經有十幾年時間了，應該請一些獨立的、客觀的、有一定代表性的機構來做評估，以增強有效性。

　　真實性目標。保證商業銀行業務記錄、會計資訊、財務資訊和其他管理資訊的真實、準確、完整和及時。這些資訊都應該通過現代資訊技術充分記錄。

　　這四個目標，尤其是真實性目標越來越重要。每一次經濟週期下行時，大浪淘沙，都會出現客戶和內部工作人員相勾結，導致欺詐行為的發生，最後使銀行蒙受聲譽方面的不良影響，特別是16家上市銀行的聲譽風險就更大。所以證監會、財政部、會計師協會、上市公司協會等，都重點對上市企業做了一些相關規定。

　　第二，遵循四項原則。內部控制的原則主要還是按照國際上的標準，並結合中國實際情況，我稱之為“四全”原則。

　　全覆蓋原則。將內部控制貫穿于決策、執行和監督的全過程，覆蓋各項業務流程和管理活動，覆蓋所有的部門、崗位和人員。

　　全制衡原則。在商業銀行治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督的機制。

　　全審慎原則。堅持風險為本、審慎經營的理念，從設立機構或開辦業務開始，堅持內控優先，全程審慎。

　　全匹配原則。內部控制與管理模式、業務規模、産品複雜程度、風險狀況等相適應，並根據情況變化及時進行調整。如今業務發展快、跨市場業務多，可能會導致內部控制的匹配性不足。這種情況在國際上也是如此，2012年G20會議討論《國際銀行業監管準則》時就提到了匹配性不足的問題。包括前不久在天津市召開的“第18屆國際銀行監督官大會”，也討論了“三個問題”，即一致性、可比性、簡單性。儘管中西方文化不一樣，但是實際上討論的出發點和最終的著力點都是一致的。

　　第三，抓好六項落實。商業銀行風險防控作為一個系統工程，應重點應抓好以下六個方面的工作：

　　健全體系。建立由董事會、監事會、高管層、內控管理職能部門、內部審計部門、業務部門組成的分工合理、職責明確、報告關係清晰的內部控制治理和組織架構體系。

　　明確職責。分別賦予董事會、監事會、高管層對內部控制的領導、監督和管理職責；賦予內控部門統籌規劃、組織落實和檢查評估職責；賦予審計部門對內控充分性和有效性進行審計、報告並監督整改的職責；賦予各業務部門參與制定業務制度和操作流程、執行相關制度規定、組織開展監督檢查、報告缺陷和落實整改的職責。

　　完善措施。制定全面、系統、規範的業務制度和管理制度，梳理流程，識別評估經營中面臨的各種風險，採取定崗責、設禁令、設許可權、分離不相容崗位、嚴格財會對賬制度、審慎準入、控制外包等多種措施，對各類風險進行有效控制。

　　強化保障。建立貫穿各級機構、覆蓋所有業務的資訊系統；建立與戰略目標相一致的業務連續性管理體系；制定有利於可持續發展的人力資源政策；建立科學的績效考評體系來規範員工的行為；培育良好的企業內控文化，引導員工樹立合規意識、風險意識，提高員工的職業道德水準，規範員工行為。

　　規範評價。建立內部控制評價制度，規定內部控制評價的實施主體、頻率、內容、程式、方法和標準等，確保內部控制評價工作規範進行。

　　嚴格監督。一是加強內部監督。商業銀行建立內部控制監督的報告和資訊反饋制度，將發現的內部控制缺陷，按照規定報告路線及時報告董事會、監事會、高管層或相關部門；建立問題整改機制，確保整改措施落實到位；建立內部控制責任制，強化責任追究。二是加強外部監督。監管機構通過非現場監管和現場檢查等方式對商業銀行內部控制實施持續監管，對內部控制存在的缺陷責成其限期整改，對逾期未改的，採取監管措施。

　　國際上提出了“糾錯機制”，快速糾錯機制是將發現的問題馬上報告董事會、高管層。巴塞爾委員會多次提出糾錯機制的問題，因此，我們也要建立快速糾錯機制。

　　第四，培育一種文化。這個文化就是“內控創造價值”。銀行是經營風險的企業，我們是在與風險賽跑。銀行是主動防範風險還是被動應對風險，結果完全不一樣。主動防範風險，可能將多數風險事件消滅在萌芽狀態，不給經營帶來直接損失；被動應對風險，發生風險事件多，損失就大。古代軍事家孫武説過：“不戰而屈人之兵，善之善者也”。清朝趙藩在成都武侯祠撰寫了這樣一幅對聯，“能攻心則反側自消，從古知兵非好戰；不審勢即寬嚴皆誤，後來治蜀要深思。”都提到了戰爭的最高境界是不發生戰爭。風險管控也是如此，把風險事件消滅在萌芽狀態，是最理想、最科學的風險控制理念。內控的核心價值就是讓風險事件不發生或者少發生。

　　從多年實踐看，銀行風險事件的發生多與違規有直接或間接的關係，因此，防違規又成為內部控制的重心。要實現“內控創造價值”，必須從培育良好文化抓起。

　　一是建立強有力的制衡約束機制。機制就是優化了的制度，就是讓人無法鑽空子的制度，比如激勵相容機制、不相容崗位分離機制等。要從組織結構、流程管理、崗責體系、績效管理等多方面入手，梳理、整合和優化銀行的規章制度，讓制度真正發揮“籠子”的作用。

　　二是提高違規的成本。搞內控，除了建好制度外，還要靠嚴格執法。真正讓制度成為“帶電的高壓線”，誰碰誰觸電。從以往發生問題的銀行看，多數是執行規章不嚴格，有的規章制度形同虛設，有制度無監督；有的領導幹部帶頭違規；有的集體違規。近幾年“飛單”滿天飛，私售理財産品等，是沒有制度嗎？關鍵還是執規不嚴。銀行必須加大違規處罰力度，提高違規成本，對存在或隱瞞違規問題、造成資金損失和經濟案件的，除了追究直接責任人的責任外，還要嚴格追究各級管理者的責任。

　　三是下大力培育符合中國特色的合規文化。牢固樹立“合規經營、人人有責”的意識。由於銀行內部風險存在於多個環節、多個部門，因此，合規文化建設應強調每個人都是風險管控的責任人，每個部門或崗位都有發生風險的可能性，作為銀行的員工，每個人都有責任和義務在自己的崗位上和部門內有效防範合規風險。要將合規文化建設與員工日常的工作和業務有機結合起來，將合規文化意識滲透到每個人的工作中，起到“潤物細無聲”的實際效果；要將“規則牢不可破”的理念根植於心，幫助員工明確合規建設的重要性。可以從個人職業生涯、家庭幸福等貼近生活的角度，幫助銀行員工認清利弊，讓他們意識到合規是銀行經營管理的一件大事。要進行全員合規培訓，區分不同層次將銀行所適用的法律、規則和準則、合規政策、合規意識和合規職責等要求滲透到全體人員的血液中，使之成為員工的價值標準和行為準則。只有當合規經營的共同價值觀在日常經營活動中得到實際運用和充分體現時，一個活的合規文化才算真正建立起來。