淺析金融企業內部控制及風險防范

布巧麗

摘 要 目前，我國正處于供給側結構性改革和新舊經濟體制的轉換時期，面對外部世界經濟環境的復雜變化，近兩年國內屢屢報出金融風險事件。人民銀行、銀保監會等監管機構多次提出“預防金融風險”“加強管控措施”等要求，頻繁下發各種監管通知文件，定期、不定期地進行各種現場、非現場的常規檢查和專項報備等，由此可以看出，中國金融業進入了嚴監管期。金融企業在強監管模式環境下，如何進行內部控制管理，及時化解并防范金融風險，保持合規穩健發展至關重要。本文在分析金融企業的內部控制及風險防范的重要性基礎上，探討了我國金融企業內部控制現狀和存在的問題，并有針對性地提出了加強我國金融企業內部控制的對策措施，包括：首先要加強金融企業內部控制環境的建設，包括完善內控文化氛圍、董事會和監事會的工作機制、建立有效的內部控制激勵機制;其次，進一步完善內部控制體系，包括制度流程的建設、修訂和執行;然后，建立健全風險識別和評估體系，及時監測并預警;最后，持續完善信息系統建設，提高溝通效率等，以期為金融業全面風險管理實踐提供經驗參考。

關鍵詞 金融企業 內部控制 風險防范

一、引言

隨著金融全球化的發展，國內金融環境面臨的不確定性逐步增大，近兩三年金融業屢報金融風險事件，金融業陷入嚴重的信任危機，因此，金融企業急需加強內部控制建設，增強自身風險防控能力。

1992年，美國COSO委員會發布了《COSO報告-內部控制整體框架》，該報告指出，內部控制是由公司的董事會、管理層和員工共同實施的，為實現經營的效果和效率、財務報告的可靠以及遵循法律法規等目標而提供合理保證的過程。COSO內部控制框架提出管理層需要履行的職責包括5個要素：控制環境、風險評估、控制活動、信息與溝通、監控。COSO報告對我國的內控管理具有重大的啟示和借鑒意義。

2001—2002年間，國際上陸續爆發了安然數據造假和世界通信的會計舞弊丑聞，美國投資者對美國資本市場的信心大受打擊，為了改變局面，美國國會和政府出臺了《薩班斯法案》，隨后新增補充條例提出《企業風險管理整合框架》，該整合框架對企業風險管理進行了定義。

2008年和2010年，我國財政部聯合相關部委發布了《企業內部控制基本規范》和《企業內部控制配套指引》，對內部控制給出明確定義。2014年，銀監會印發的《商業銀行內部控制指引》提出，內部控制是商業銀行為實現經營目標，通過制定和實施一系列的制度流程和方法，對風險進行事前防范、事中控制、事后監督的動態管理過程。

通過梳理內控管理的發展歷程，綜合國內外監管部門的定義表述，內部控制是為實現戰略目標，將風險控制在合理范圍的管理過程。內部控制涉及公司的方方面面，伴隨企業始終，尤其是嚴監管環境下，金融企業要將內部控制嵌入運營的各個環節并予以貫徹執行。

二、我國金融企業內部控制現狀和存在的問題

（一）公司治理結構不合理

近期，銀保監會主席指出我國金融企業的公司治理存在不足，尤其是中小金融機構的問題表現突出，主要體現為：一些機構的股權關系不規范不透明、股東行為不審慎不合規;董事會履職的有效性不足、高管層職責定位存在偏差、監事會監督不到位;戰略規劃和績效考核不科學等等。從金融機構內部看，確實存在諸多治理問題，比如董事開會不到場、對金融業務不“懂”、決策草率缺乏專業性;監事實質缺位，“形式性監督”或“任務性監督”起效不佳;董事會和經營層決策權限不清晰，出現經營層越權開展業務，內部缺少監督和制衡等問題。

（二）金融企業制度體系不健全

金融企業若想全面落實內部控制管理，須具備健全的內部控制制度，應監管要求，大部分金融企業建立了相關制度，但其執行效果良莠不齊，究其原因主要是制度建設不夠完善。部分金融企業在制度建立初期，通常做法是直接參照同行業的制度內容進行簡單的“修補”，未結合自身實際情況設計契合的內部控制制度，導致制度難以落地實施。部分金融企業對制度的建立、修訂不及時，不能做到制度先行、業務從后，導致制度內容涉及的業務范圍狹窄，使得相關操作部門和審批領導難以進行決策，并進行預設性的風險預估，影響業務發展規模和速度，降低了企業的經營活力。

從金融企業制度執行層面來說，在具體執行過程中未嚴格遵守，制度流程形同虛設，不具有任何實際意義，內部控制管理效果遠低于預期。比如，關鍵崗位的雙人、雙職操作落實不到位，復核崗未真正發揮作用等。

（三）欠缺有效的內控監督機制

審計職能的發揮是金融企業落實內部控制和風險管理的重要環節，審計部門可根據公司內部管理需要開展內部審計和稽核，對公司的財務收支進行全方位的審計，包括財務核算的準確、公司資金流轉的合規以及資金使用效率等;可以對業務活動的流程和規范進行檢查和監督，起到糾錯防弊的作用。實際管理過程中，金融企業對內部審計的重視程度遠遠不夠，有些機構沒有設置單獨的審計部，內審人員的配置也主要出于監管需要，其資歷能力是否勝任值得思考;個別金融企業的內審部門表面歸屬審計委員會或董事會管理，實則由公司經營層對其任免與考核，其獨立性和權威性偏低。內審部門的缺失或職能的不健全，導致企業的內部控制制度和風險管理制度難以有效貫徹執行。

金融企業對內控部門的監測指標重視程度不一，未能盡快捕捉指標數據和指標趨勢提示的異常信號，不能及時糾偏或調整，監控效果起效不大，內控監督機制的有效性大打折扣。面對外部殘酷的競爭環境，個別金融企業出于業績考核壓力，游離于監管邊界甚至是突破監管紅線開展“擦邊球”業務，缺少內控監督機制的制衡和約束，造成金融亂象頻發。

（四）信息交流不暢通、傳遞不及時

信息與溝通屬內部控制的五要素之一，可見信息交流的暢通程度和傳遞速度對內部控制至關重要。在實際管理中，有些金融企業內部缺少統一的信息管理和信息交流“系統”，無法將市場上的行業信息和風險信號及時反饋至公司管理層，公司內部不能及時獲知并采取相應防范措施，信息傳遞的低效很難為企業管理層提供較高時效的決策支持。同時，各級管理層之間的信息交流和反饋不充分、不及時，無形中也會放大金融風險。比如，有些企業內部雖然建立了完善的信息傳遞制度，但在執行層面出于本位主義考慮，怕被找出問題、怕擔責任，導致信息傳遞緩慢，人為影響信息溝通質量。

三、加強金融企業內部控制的對策與措施

綜合上述內部控制現狀，其主要原因在于金融企業內控文化建設相對薄弱，整體風險意識有待提升;內部控制機制不健全、執行不到;沒有建立有效的內控激勵機制等方面。金融企業是“經營風險”的企業，屬高風險行業，為避免出現內部控制管理疏漏，要建立一套涵蓋建立、執行、監督和評價的完整內控體系，形成有機的統一體才能提高抗風險能力。筆者借鑒國內外的管理理論和經驗，提出以下管理建議：

（一）加強金融企業的內控環境建設

反思國內外各種金融風險事件可看出，有效的公司治理是穩健經營的前提，更是基業長青的基石，金融企業要想贏得長久有效發展，在內控環境建設方面需彌補以下短板：

1.提高金融企業內部控制文化

一個高效的內部控制和風險管理體系的主要特征是對風險敏感和敬畏，企業要使全體員工了解內部控制的重要性，通過培訓、“傳幫帶”等各種方式，讓員工理解和掌握各業務流程的內控要點，業務操作環節盡可能規避或降低風險發生的概率。尤其是針對高管層，要經常灌輸合規經營理念，樹立金融企業風險管理意識。通過內控激勵機制，在風險防范方面調動全體員工的積極性和主動性，提醒大家將內部控制主動貫穿在各項業務活動中，企業整體形成良好的內部控制文化氛圍。

2.完善董事會工作機制，增強履職有效性

建立科學合理的決策機制是完善法人治理結構的先決條件，也是公司長期穩健發展的基礎。優化董事會工作機制的工作主要包括：明確董事會的戰略決策權限，明晰董事會的權責范圍，增強董事會的核心力量;請專家進董事會，讓懂行人協助分析、給出專業意見，避免盲目審批，提高董事會決策的科學性;建立風險管理、戰略發展、審計、薪酬激勵等各專項委員會，各自把好分內職責，充分發揮其職能，為董事會決策提供支持。

3.完善以監事會為核心的監控體系建設

完善的公司法人治理結構由股東會、董事會、監事會和經理層組成，監事會是股東會領導下的監督機構，是金融企業法人治理結構中不可或缺的一環，獨立地行使監督權對金融企業穩健、合規、可持續發展有重要作用。金融企業要強化監事會的監督職能，不要以“形式主義”心態應付監管機構，監事會要參與重大決策，通過列席會議全面了解公司重大事項的決議過程，聽取董事會有關決策事項的相關報告，對相關決議進行研究和討論，充分發表意見和建議，達到實質監督;公司內部要整合資源，建立以監事會為主體，紀檢監察、風險合規、審計稽核多位一體的監督平臺，把監督觸角延伸到公司的每個角度，全方位、全覆蓋的發揮監督職責、形成監督合力，提高監督效率和監督質量。

4.建立有效的內部控制激勵機制

一套科學合理的績效管理體系是企業發展的必備利器，同時也會為內部控制管理提供輔助支持。通過設置科學的指標體系，對內部控制系統的執行情況、運行狀態的各個環節加以約束并量化，形成相應的考核標準，建立良好的獎懲機制，對企業倡導的內控行為給予激勵，對企業不贊成的內控行為給予懲罰，激勵全員按內部控制要求的目標去執行，從而提高整體運行績效。

（二）完善內部控制體系建設

1.持續完善金融企業的制度建設

科學的構建內部控制制度不僅是實現內部控制目標的重要保障，還有利于企業內部各部門和各崗位明確自身的職責和權利義務，以逐漸形成一個完整的有機體。各金融企業應結合相關法律法規和自身的實際經營情況，制定相對完善的、適合自身企業的內部控制制度及具體的實施細則。具體梳理過程主要分為四步：第一，業務部門要在企業內部調研和評估，采用訪談、調查問卷等形式了解具體的操作流程，梳理出管理過程的風險點;第二，企業要明確界定各部門的職責和權限分工，將工作分配至各部門和崗位，針對崗位內容和風險點情況對現有流程進行重置;第三，對新流程進行模擬測試，對考慮不周或執行不暢的進行調整和優化，確立最終可執行的制度流程;第四，根據最終確定的操作流程，對制度進行修訂和完善，并形成操作流程手冊，包括各環節的審批流程、各流程的說明、關鍵控制點和重要控制措施等，為風險控制工作打下良好的基礎。

2.關鍵環節流程執行要到位

在制度執行層面要結合金融企業的特性，重點關注不相容崗位職責分離、授權審批以及財務保護等控制活動實施到位，避免出現違規、舞弊問題。針對一人多崗行為，要考慮各項工作涉及的不相容職務，避免申請、審批、執行和記錄四個環節出現崗位職責不相容問題，結合崗位職責分工采取分離措施，減少管理漏洞、降低風險發生概率。針對財務保護控制活動，要實施限制接近控制和財務保險控制，采取實物專人保管、定期盤點與抽查、定期賬實核對等措施，確保財務安全。

（三）建立健全風險識別和評估體系，及時監測并預警

在大眾的認知中，提到金融就會想到風險，可見金融企業風險管理的重要性。為完善內部控制體系，風險識別和分析、風險評估、風險應對以及風險監控與報告是現今金融企業投入精力較大的管理模塊。

1.注重風險識別、風險評估和應對策略

金融企業面臨的風險包括市場風險、信用風險、操作風險和流動性風險，四大風險涉及維度較廣，金融企業要建立多元的風險識別體系，通過感性認識和歷史經驗判斷，以及對客觀資料記錄的分析、歸納，找出潛在的風險和損失的規律。通過多維度的風險識別途徑，針對企業面臨的潛在風險，制定合適的防范預案和風險化解策略。此外，針對眾多潛在風險，金融企業風險識別工作要分級管理，根據風險發生的可能性大小和影響程度進行排序管理，以防風險集中爆發，造成較大損失。

2.建立持續的指標監測和預警機制

風險防范的前提是風險預警，金融企業要在風險評價的基礎上，針對需重點關注的風險，設置風險預警指標體系，對風險狀況進行持續監測，通過指標值與預警臨界值的比較，識別預警信號，進行預警分級。金融企業應建立風險管理報告制度，明確報告的內容、對象、頻率和路徑，對監控中發現的重要缺陷進行提示，對于重大缺陷要及時向公司管理層或董事會報告，以便企業及時糾偏或調整，盡可能降低風險發生的概率和損失的程度。

（四）持續完善信息系統，提高溝通效率

信息的有效識別、獲取和溝通能提高金融企業的經營效率，促進企業的良好發展。金融企業要完善和健全信息傳輸機制，保證信息有效的傳遞和反饋，滿足各層級對信息的需求，避免信息不對稱導致的業務操作和決策失誤。這就需要金融企業要靈活運用先進的技術手段，構建健全的內部控制信息系統，在信息準確、完整、及時記錄的前提下，將重要信息匯集到數據倉庫，通過整合分析將關鍵信息在“駕駛艙”匯總展示，重點提示異常狀況和風險信號，并同時傳遞至各相關管理層，以便快速獲取并采取措施進行風險防范。

四、結語

現今我國金融企業所依托的生存環境變得日益嚴峻，金融企業要想在殘酷的國內外環境下生存下去，就一定要充分重視自身的內部控制和風險防范工作。在具體工作中，要建立良好的內控環境，注重內部控制制度和流程的梳理，加強風險識別、評估及應對工作，持續完善信息系統建設，提高企業整體的風險意識，為公司的持續穩健發展奠定基礎。

（作者單位為北大方正集團財務有限公司）

參考文獻

[1] 張瑛拮.新形勢下加強金融企業內部控制的重要性分析[J].企業改革與管理，2019（8）：38+76.

[2] 李楊.試論金融企業的內部控制和風險管理[J].商場現代化，2019（2）：108-109.

[3] 宋立偉.金融企業內部控制及風險防范[J].合作經濟與科技，2014（13）：76-77.

[4] 欽培豪.金融企業內部控制現狀及對策[J].財會學習，2019（6）：233-234.