淺析銀行業金融機構內部控制管理存在的問題與優化建議

張 漢

(上海國際信托有限公司，上海 200002)

2017年全國金融工作會議上，習近平總書記在闡述金融工作三項任務之一的“深化金融改革”時，再次強調了要完善現代金融企業制度、公司法人治理結構和風險管理框架，強化風險內控機制建設。在經濟建設轉型發展的新時期、新形勢、新要求下，銀行業金融機構獲得了健康有序的發展環境，同時也面臨著依法合規經營的更高要求和更為復雜嚴峻的考驗。因此，建立健全自身嚴密的內部控制體系，就成為銀行業金融機構防范和化解金融風險、保障持續經營的最基本要求。

1 銀行業金融機構內部控制概述

內部控制是一種管理體系，是整個經營管理過程的一個重要階段，是現代分權管理的重要手段，是提高管理效能的一種先進方法，是實現組織管理高效化、專業化、規范化、自動化最基本的條件。根據COSO 委員會發布的《內部控制——整合框架》，內部控制是由企業董事會、管理層和其他員工建立并實施的，為達到或實現企業經營效率效果、財務報告的可靠性、相關法令的遵循性等目標的實現而提供合理保證的過程，體現了全面、全員、全過程的控制理念。

銀行業金融機構的內部控制體現的是一種自律行為，是金融機構為完成既定的工作目標和防范業務風險及員工道德風險，對內部各職能部門及其工作人員從事的業務活動進行風險控制、制度管理和相互制約的方法、措施和程序的總稱。對于銀行業金融機構而言，內部控制通常包括內部組織結構的控制、授權授信的控制、信貸資金風險的控制、會計系統的控制、計算機業務系統的控制等。

2 銀行業金融機構內部控制存在的主要問題

我國銀行業金融機構內控體系和發達國家或是更為先進的金融企業相比，差距主要表現在以下幾個方面。

2.1 內部控制環境不成熟、理念不普及

(1)公司治理結構尚不完善。現代企業制度要求企業建立規范的公司治理結構，股東大會、董事會、監事會、經理層應互相監督制約。但仍有部分銀行業金融機構在公司治理結構方面存在不足，控股股東掌控公司經營，股東大會、監事會沒有充分發揮監督制約作用，經營授權不合規、不合理，經營決策機制缺乏必要的依據，從而容易發生違規、越權、決策失誤、濫用職權等問題。

(2)對內部控制的認識不充分。內部控制需要董事會、高級管理層和各級工作人員共同努力才能實現，但部分金融機構的高層對內部控制重視程度不夠，合規經營的意識淡薄，把內部控制簡單等同于各項日常規章制度，對員工缺乏必要的宣傳教育，防范各類風險的意識薄弱。有些機構甚至把案件的發生僅僅歸咎于員工的道德品質出現問題，而忽視了內控制度流程方面存在的漏洞和薄弱環節，沒有充分認識到內部控制是一項在業務實際操作中層層監控、步步把關的工作機制。由此造成內控機制未能充分發揮應有的作用，組織內部沒有形成良性的內控文化和合規氛圍。

(3)業務發展與內部控制的關系不平衡。實現公司經營目標是實施內部控制的目的之一，但是有些金融機構重業績、輕管理，重規模、輕效益，片面地認為如果按照內控規范要求去做就會影響業務的增長，把內部控制等同于各種內外部檢查，直接放在了業務發展的對立面上。一味追求業績，只顧業務拓展，忽略了必要的風險控制，一旦發生風險事件，出現違法違規行為，必將造成資產損失，反而影響了經營目標的達成。

2.2 風險控制機制不健全，風險評估方法不科學

(1)風險控制的職責分工不明確。業務管理部門、內控管理部門、風險管理部門和內部審計部門在公司風險管理中常出現交叉管理，所承擔的職責界定不清，出現問題以后容易產生推諉扯皮現象。

(2)風險管控范圍不全。我國金融改革不斷深化，隨著銀行業金融產品的不斷創新，市場和監管環境的調整，隨之而來的各類風險也凸顯。但我國銀行業金融機構的風險管理目前主要是針對信貸業務和信用風險，對于利率風險、匯率風險、市場風險、流動性風險等都還處于摸索和完善階段，對于跨越其他金融行業的交叉風險更是缺乏管理經驗和方法，銀行業金融機構的風險隱患正不斷聚集。

(3)風險度量方法待改進。我國銀行業金融機構對風險的評估度量主要還是使用定性分析方法，而在國際上或是先進的金融機構中，已廣泛使用定量分析方法。用定型分析方法去評估那些可量化的金融業務風險，其結果的科學性和可靠性就難以得到有效保證，進而影響到后續內部控制措施的制定與實施。

2.3 內控制度體系不健全，控制活動執行不到位

(1)內部控制制度設計存在缺陷。在銀監會的嚴格監管下，目前我國部分銀行業金融機構逐步建立起了各種與內控有關的規章制度，但很多或是停留在指導意見或方針政策層面，或是分散在各項具體的業務操作流程中，既缺乏可操作性，也不夠整體和全面，有的制度間甚至存在相互矛盾，影響內控制度的有效性。有些內控制度在設計上就存在漏洞或者盲區。例如有的制度對普通員工嚴格要求的同時卻對公司高級管理層沒有設計規范的監督制約機制，沒有將權力控制在制度的籠子中；有的制度沒有充分考慮到不兼容崗位需要進行風險隔離，一崗多責，造成違規行為有機可乘；有的制度設計已經不適應新環境、新業務、新系統的發展需要，導致內部控制出現盲區。

(2)內部控制活動未嚴格執行。有的銀行業金融機構雖然有制度，但實際操作人員合規意識淡薄，忽視了這些控制活動，有規不依，甚至故意變通繞過控制，致使重要風險控制節點失效；有的金融機構常以成本控制和人手不足為由，一人兼職多崗的情況仍然存在，近幾年在印章、有價單證及各類憑證方面就已發生過因被同一人管理而作假的情況。

2.4 內控管理的信息交流與溝通存在不足

(1)信息溝通傳遞不順暢。銀行業金融機構一般層級較多、機構數量龐大，如商業銀行從總行到分行、支行，分支機構設置層次較多，內部還分很多不同業務板塊，業務流程紛繁復雜，數據信息分散，涉及人員眾多，信息傳遞及反饋的渠道會出現斷層，要求的上傳下達很難保證被貫徹落實到位，使得內部控制管理信息的獲取、歸集和分析存在較大難度，影響了內控制度、流程在機構內部的實施效果。

(2)信息系統建設不匹配。銀行業金融機構正逐步推行信息系統化，業務、財務等各類應用系統在金融機構中廣泛運用，但配套的內控制度流程和控制措施卻沒有及時更新補充完善，有些金融機構為了不影響業務，在應付系統使用要求的同時，仍通過手工紙質操作進行處理，操作過程繁冗低效，有些分支機構不適應總行的新系統，仍沿用陳舊系統進行業務操作，導致數據交換出現問題。信息系統的不統一、不完善，給銀行業金融機構整體的信息數據管理帶來隱患，影響了內部控制的有效性。

2.5 內部監督機制缺乏有效性

一是內部審計等監督部門及人員配備不足，銀行業金融機構，特別是商業銀行，機構數量龐大、從業人員眾多，在內部審計部門和審計人員編制上往往是不足的，內部審計的頻率與覆蓋面達不到合規合理的水平，監督職能未能有效履行。二是部分機構仍停留在以事后檢查為主的監督方式上，缺少對事前和事中的風險防范和控制，不能從公司經營和業務整體的角度進行監控。三是監督方法有待改進，銀行業的金融創新正不斷深入，以往以查漏補缺為主的監督方法已不能適用于新業務、新產品的風險管控，沒有運用到內控流程設計執行、考核問責等綜合性內控方法，影響監督成效。

3 銀行業金融機構內部控制的優化建議

COSO發布的《內部控制——整合框架》是目前世界上最著名的內控理論之一，它從控制環境、風險評估、控制活動、信息和交流以及監控五個要素建立起一套通用型的內部控制模型。銀行業金融機構應借鑒COSO的五要素模型，結合全面風險管理要求，建立健全符合行業特點的內部控制運行體系。本文以此為基礎提出以下建議。

3.1 完善內部控制體系，培育良好內控文化

3.1.1 建設以風險為導向的內部控制體系

體系的建立需要首先完善公司治理結構，應明確董事會是內部控制的第一責任人，高級管理層負責內部控制的日常運行，董事會下設專業委員會，履行內部控制管理的相應職責，評價內部控制的有效性，監事會對董事會、高級管理層建立與實施內部控制進行監督。其次，銀行業金融機構需進一步建立健全內控“三道防線”機制，業務部門和員工是內部控制的第一道防線，肩負業務拓展與落實內控要求的任務，應嚴格規范操作流程和控制節點。專業的內控管理或風險管理部門是第二道防線，統籌組織內控建設，制定統一的內控政策、風險識別評估標準，指導和監督第一道防線的內控工作執行情況，對發現的內控缺陷及時督促落實整改，促進流程優化和系統完善。內部審計部門作為第三道防線，檢查和評估內部控制政策、制度及內部控制執行的有效性，促進金融機構更好地提升風險管控能力。

3.1.2 加強內控文化建設

內控文化是銀行業金融機構內部控制環境中的一個重要因素。良好的內控管理文化，可以從根源上防范和控制各類風險。一是管理層重視。內控文化的建立與高級管理層對內部控制的態度有很大的關系，如果管理者相信內部控制在企業管理中能發揮重要促進作用，那么企業自上而下都會落實內部控制，良好的內控文化自然建立起來。二是增強全員內部控制意識。銀行業金融機構有很多關鍵崗位，每個崗位的員工都應該接受宣傳教育、學習培訓等，以此培養其內控管理理念，讓全員參與內控，幫助他們理解和支持公司日常經營管理，自覺地履行內控職責。

3.2 健全風險評估機制，運用科學評估標準和方法

在內控模型中，風險評估是一項重要的管理活動，只有以風險為導向，才能更好地發現制度流程中存在的問題，并設計出合理有效的風險管控措施。

3.2.1 加強風險管理職責

銀行業金融機構在完善法人治理結構的基礎上，進一步規范機構各層級在風險管理中的責任、權力、義務，相互配合、各司其職，能具備分析識別經營管理各個關鍵環節風險的能力，對最可能產生風險的環節應該建立嚴格的操作規范、設立明確的應對措施。

3.2.2 加大風險識別與評估的范圍

銀行業金融機構不僅要控制信用風險，更要對市場風險、流程性風險、匯率風險以及來自創新業務的合規風險等進行全方位的識別與評估，防范各類風險發生轉移和擴散，促進專業部門的設置和專業技術人員的配備，加強制度程序性的防范手段，提高風控技術能力，確保風險評估活動的連續性和完備性。

3.2.3 制定統一的風險評估標準

進一步推進風險識別、評估及計量的體系化、科學化。銀行業金融機構應充分借鑒國內外先進經驗，設計風險計量模型，補充風險數據庫，建設風險管理信息系統，從而逐步建立起一套科學的風險評估方法，保證相關風險的及時識別、充分計量，從而制定合理的風險應對策略。

3.3 完善內部控制活動設計，提升風險控制成效

3.3.1 優化內部控制制度體系

銀行業金融機構應打破內部制度本位主義、自管門前雪的管理模式，應以完整的業務流程為制度紐帶，對制度、程序、方法進行全面的梳理和優化，規范描述流程上各個關鍵環節的控制活動，便于各崗位人員進行日常操作和執行。同時還要根據內外部形勢和監管政策變化，以及業務創新情況，及時更新或補充相關的規章制度和操作流程，提高時效性和可操作性。

3.3.2 強化決策權力制衡機制

銀行業曾經在經營上發生的違規行為甚至重大案件，很多情況下與權力過于集中、缺少監督制衡機制有關。為防止這種問題再次發生，銀行業金融機構應明確機構負責人的相關責任，設立決策約束制衡機制，對決策行為進行加強約束監督。

3.3.3 明確經營授權機制，嚴控崗位職責分工

銀行業金融機構的業務活動一般都需要多部門、多人協同處理，而且根據業務的不同，各級人員的權限也會有所區別。因此機構應明確業務流程中崗位責任、操作標準，將責任落實到人，提高制度的執行力。對高風險領域的崗位進行適當的職責分離，確保一人不能同時兼任兩個以上不兼容崗位，并對關鍵崗位實行定期輪換制度，形成有效的制約機制，降低風險隱患。

3.3.4 建立完善的考核和激勵約束機制

銀行業金融機構應將合規經營、內部控制執行情況作為考核員工業績的重要指標之一，督促員工遵章守紀，對于制度執行不力的嚴格進行問責。通過績效分配、股權和福利等激勵措施來促使管理層和廣大員工積極執行內控管理制度。

3.4 完善信息溝通傳遞機制，建立先進信息管理系統

銀行業金融機構在業務發展中應規范對各種內外部信息的收集、整理加工、傳遞和反饋的工作程序，明確信息的獲取范圍、交流渠道、保密要求等，嚴格遵守信息管理相關制度。同時，還應建立統一的管理信息系統，通過數據庫、數據處理程序等應用系統，實現快速、全面、準確的數據預測和分析，以此加強信息技術處理和分析運用，提高信息管理工作的質量和效率，促進信息對經營決策的支持保障作用。

3.5 完善內部控制評估，強化內部審計監督約束

3.5.1 開展年度內部控制自我評估工作

銀行業金融機構應按照《企業內部控制基本規范》的要求每年都要開展內部控制自我評估工作，由內控管理部門組織各級機構和各業務部門對自身的內控情況進行自我檢查，程序上一般包括梳理內控制度、風險識別與評估、內控設計有效性測試、內控執行有效性測試、缺陷整改和年度報告等，以此形成內控自我評估的閉循環。通過這樣的自我評估和診斷，推動機構建立起內部控制內生式的長效機制。

3.5.2 建立高效的內部審計監督系統

銀行業金融機構內部審計部門負責內控評價工作，是各項內部控制措施得到有效實施的重要保證。一是銀行業金融機構要建立起扁平化管理的內審體制，內部審計部門向董事會或審計委員會直接匯報，保證其獨立性和權威性。二是內部審計部門要把工作定位于高層次的職能監督，審查重點要向全面風險管理和綜合經營管理轉移。三是倡導并實施風險導向審計，實現由查到防的轉變，要由過去對會計資料的詳細檢查轉變為以評價內部控制系統為基礎的抽樣檢查，并借助對內部控制系統的評價結果確定審計的重點、范圍和方法。四是由事后審計轉變為事前、事中、事后審計相結合，做到事前預防、事中阻止。五是培養高素質的內部審計人員隊伍，通過強化審計培訓、組織內外部交流等方式，引入國外先進的審計理念和審計技術，普及審計創新意識，提高審計人員的綜合素質。

[1]潘曉梅，陳萍，基于風險管理的企業內部控制框架構建[M].北京：經濟科學出版社，2010.

[2]王曉琴.金融機構內控體系問題探討[J].時代金融，2013(11).

[3]韓羽.淺談金融機構內部控制的日常化管理[J].商場現代化，2015(22).

[4]陶以平.新形勢下對銀行業內控體系建設實踐的思考[J].國際金融，2015(2).

[5]王曉娟.企業會計的財務管理及內部控制研究[J].中國市場，2014(52).

[6]郗望.論互聯網金融企業的信息系統內部控制管理與創新[J].中國市場，2016(1) .