長效化內部控制評價機制在商業銀行風險管理中的作用

高媛

隨著我國經濟結構改革轉型的持續推進和數字化時代的來臨，宏觀經濟和監管政策約束對商業銀行經營發展提出較大的挑戰，對商業銀行風控管理能力亦提出更高更嚴的要求。有效的內部控制體系能夠幫助銀行強基固本，提升依法合規經營和抵抗風險的能力。本文基于探討構建商業銀行長效化內部控制監督評價管理機制，以加強風險管理為導向，將內部控制評價嵌入風險監控體系中，實現全方位、全過程的風險識別、分析和預警，通過內部控制監控鏈條開展商業銀行經營風險的全面監測和評價，以期促進商業銀行在搶抓發展機遇的同時，提升風險管理水平，做好風險的防控工作，實現高質量發展目標。

一、引言

近年來，商業銀行加快推進業務轉型發展、提高核心競爭能力，不斷響應基礎設施、鄉村振興、綠色金融、專精特新、普惠金融及數字化金融等國家重點領域的政策實施。商業銀行搶抓機遇，在優化經營模式和落實發展戰略的過程中，一方面不斷創新產品和業務模式，加大信貸、投資等資產投放，一方面也不斷面臨復雜多變的風險挑戰和內部剛性約束需要持續優化完善、加強管控的管理壓力。

2017年以來，中國銀保監會累計處罰銀行業金融機構9579家次，處罰責任人員1.22萬人次，罰沒合計104.36億元，超過以往十幾年總和。從處罰的問題來看，主要暴露了有關銀行風險合規意識淡薄、業務潛在風險評估不足、核心管理制度與控制措施缺失、內部員工道德風險突出等問題。

2021年6月，中國銀保監會開展“內控合規管理建設年”活動，要求商業銀行搭建系統性的內部控制數字化評估機制以及問責機制，從而對內部控制風險敞口進行全過程的監控管理，強調內部控制評價對于商業銀行戰略發展、金融資源整合以及財務控制的必要性，要求商業銀行將內部控制風險作為風險監控的核心內容，并扭轉輕合規、重效益的內部控制評價機制。內部控制評價和風險管理的有效結合和互補，可以對商業銀行業務經營和內部管理進行全流程、規范性的監督，提高企業的風險控制和防范能力，為商業銀行發展戰略順利實施和落地保駕護航。商業銀行亟需順應自身長遠發展和監管要求，搭建系統性、科學性、長效化的內部控制評價機制，深化內控體系建設和監督工作。

二、內控體系與風險管理的目標和運作機制分析

2014年，我國頒布了《商業銀行內部控制指引》（以下簡稱《指引》）。《指引》強調內部控制是商業銀行穩健運作、提高經營績效不可或缺的內容，是商業銀行搭建風險管理機制的制度基礎。根據《指引》，在戰略目標管理方面，內部控制的主要目標是保障商業銀行戰略目標的實現、保障信息披露的真實有效性、保障商業銀行風險管理機制的有效運作。風險管理的主要目標是通過精細化、系統化的風險管理手段和工具，管理商業銀行在經營和管理過程中各種不確定性及其預期可能發生的損失情況，支持企業戰略和經營目標的最終實現。

在戰略目標上，內部控制和風險管理具有一致性，都是商業銀行完善風險監控模式，提高風險識別和預警的重要組成部分，通過評估、防范、控制企業風險，從而促進企業經營目標的實現。但二者的具體運作機制卻有所不同，風險管理主要圍繞企業戰略經營目標，制定總體風險偏好和風險限額政策，辨識、評估、分析風險，并提出風險預警防范和風險處置的策略和措施。內控體系主要從COSO五個方面人手，采用穿行測試、控制測試等審計手段，檢查內控設計是否有效、運行是否持續，診斷重點業務、重要流程的內部控制設計及運行缺陷，并督促整改，將評價結果運用到經營發展中去。

三、內控評價和風險管理二、三道防線有機融合的重要意義

國際內部審計師協會（IIA）把一個有效的組織治理機構分為三個部分，管理層采取行動實現目標，包含業務部門組成的第一道防線，負責為客戶提供產品服務，管理風險;風險合規等部門組成的第二道防線，為風險相關事務提供專業管理支持;內審作為獨立的第三道防線，對為實現戰略目標所實施的工作開展獨立客觀的監督評價和建議。

商業銀行的經營水平和管理水平應相輔相成的發展，不能顧此失彼，互相背離，否則都是類似木桶原理的情況，對整體的發展產生制約和限制。第二道防線和第三道防線的工作有機融合，可以從整體的角度建立二、三道防線之間的溝通、協同和成果共享的機制，促進企業管理體系更順暢有效的運行，更貼近經營發展的需要，通過決策與制衡、效率與控制、執行與監督等正反思維的對撞，更好的發揮風險管理和控制監督的作用，為商業銀行戰略規劃設計的科學性和戰略執行的有效性提供有力的保障。

四、商業銀行構建長效化內控評價機制的策略建議

（一）構建“戰略+內控+評價”三位一體的內部控制管理體系

內部控制評價體系是商業銀行實現合規管理、優化經營結構以及防范系統性金融風險的重要制度基礎。首先，商業銀行應該在戰略中強調重視，建立健全內控體系是守住不發生系統性風險底線，加快實現高質量發展的重要舉措，應牢牢樹立“強內控、防風險、促發展”的戰略目標。從制定戰略規劃開始將內部控制輻射至具體的業務發展、資源配置和風險管控中去。其次，商業銀行應該在業務發展的具體環節將內部控制作為有效防范風險和規范權力運行的主要手段，充分將制衡機制、授權審批等控制措施有效嵌入日常經營業務流程，防止權力濫用和管理層凌駕于內控之上。再次，商業銀行應該對內部控制執行的有效性進行綜合評價，不斷完善和動態調整內控缺陷認定標準、聚焦關鍵業務和重點領域，包括對大額信貸投放、投資決策、互聯網金融業務、金融衍生業務、不良資產處置、集中采購、網點裝修等重點環節、重要事項開展事前、事中以及事后的內部控制風險監督。最后，商業銀行應該對內部控制成效進行系統性評估和評價，并基于問責機制開展監督管理活動，監督內部控制的有效運作，防范內部控制風險溢出。

（二）建立全面性和重要性均衡發展的內部控制評價機制

當下，多數商業銀行已經搭建了內部控制監督管理機制，但是還存在對內控系統建設重視度不夠，集團內控體系未全面覆蓋，上下貫通，對新業務、新產品的內部控制約束不及時、重點業務和關鍵環節內控執行存在較大的缺陷和短板弱項、內部控制監督檢查頻率不夠合理、檢查手段單一、檢查信息共享度低、檢查質量缺乏保證、檢查操作缺乏統一規范、檢查人員素質參差不齊、檢查問題整改不到位等問題。這對內部控制評價工作的覆蓋面和對重要風險環節的識別、分析、預判提出了更高更細的要求。

商業銀行應建立全面性和重要性有效均衡的內部控制評價機制，指定專門的部門牽頭，安排專業化的人員將內控評價作為年度重要工作組織開展。結合內外部經營環境的變化以及內部管理的需要，遵照風險導向的原則，在抽樣廣度和深度上下足功夫，做好文章。抽樣頻率上確保年度內主要經營業務板塊全覆蓋、表內表外業務的全覆蓋、分行機構和子公司全覆蓋。同時提升抽樣對象的重要性挖掘能力，認真研讀宏觀經濟金融形勢，梳理掌握業務結構變動調整和資產質量遷徙變化情況，加快推進內控評價系統的信息化建設，整合摸排業務、財務、信貸、運營等信息資源，借助科技系統強化日常的監督和自動預警功能，著重關注高風險領域、重要業務單元和內控關鍵控制環節，對新興業務、高風險業務以及風險事件頻發的機構或領域重點抽樣，加強內控監督評價的持續性，對各項業務操作全過程及其相關的各項經營活動必須遵守各類規章制度和操作規程，應做到時間上連續、檢查面全覆蓋的要求。第三道防線是對第一道、第二道防線執行情況的控制和監督，強調對業務操作職能及綜合監督檢查職能進行的再監督和再檢查，這樣才能積極發揮第三道防線的管理作用，持續優化提升內控體系。

（三）提高內控評價工作的獨立性、扎實推進內控評價結果運用和整改機制

根據《商業銀行內部控制指引》要求，董事會是內控體系建設的負責機構，負責監督高級管理層內部控制體系建設的充分性與有效性。商業銀行內審部門履行內部控制的監督職能，負責對商業銀行內部控制的充分性和有效性進行審計，及時報告審計發現的問題，并監督整改。一家企業內部控制評價的獨立水平和重視程度可以體現其整體管理和風險控制的標準水平。商業銀行可通過建立董事會垂直直屬管理的方式，傳導推動內部審計開展內控評價監督的價值，不斷提升內部審計的重要性和獨立性。

銀行內審部門應全面掌握總分行及附屬機構的內控總體情況，對內控設計和執行的有效性進行評價，形成包含全行各業務條線、分行、附屬機構的全面內控評價報告，并上報董事會和監事會供審議決策。整體層面的內控評價包括圍繞銀行公司治理層面的獨立性、制衡有效性，評價對人民銀行、銀保監會的重大決策部署、執行國家宏觀調控和經濟金融政策等方面責任落實、制度制定和貫徹執行的有效性。在具體經營層面內控評價包括對授權審批控制和不相容職務分離控制等開展監督評價，重點防范“一把手”越權操作、超授權交易等情況。通過評價不同業務條線的內控體系設計和運行有效性，重點檢查重大風險監測、評估、預警和重大風險事件及時報告和應急處置等工作開展情況，以及銀行合規建設、合規事件應對等情況。

對內控評價發現問題的重要性和發生領域加強數據化的歸納和分析，深入揭示問題背后的實際成因和風險隱患較大或頻發的領域，及時揭示內控薄弱環節，推動內控缺陷整改，推進內控評價結果在經營管理過程中的運用，對分支機構可按照評價結果開展內控評級，將內控評價等級與授權管理、年度考核、評先評優等掛鉤，促進內控評價結果的運用，促進各級機構重視內控管理工作，加強內控缺陷的整改和優化。

同時，內審應建立健全審計整改工作制度，完善整改落實工作規范和流程，強化內部審計機構監督檢查職責，積極構建各司其職、各負其責的整改工作機制，促進整改落實工作有效落地。內審對內控評價的審計發現問題整改落實負有監督檢查責任，被審計單位對問題整改落實負有主體責任，各單位主要負責人是整改第一責任人。相關業務職能部門對業務領域內相關問題負有推動和牽頭組織整改落實的責任。

（四）建立內部控制管理系統，提升內控管理水平

隨著國內外監管越來越嚴格，呈現高標準、嚴要求、重處罰的特點，這就要求商業銀行要積極彌補自身管理短板，建立內控管理系統，升級內控管理手段，提升內控管理水平就勢在必行。而傳統的內部控制管理以手工操作為主、依賴人海戰術和經驗來處理新業務和新產品，以事后檢查為主，已經不能適應新形勢的變化。

在建設內控評價管理信息系統過程中，應建立前期準備、現場評價、復評管理、非現場評價、評價匯總、問題整改等流程管理和控制，實現重要環節的剛性控制，提高評價的準確性和公平性。另外，對于運營過程中的持續評價，則應通過風險關鍵指標的檢測，以風險為導向，綜合運用大數據分析以及數據挖掘、人工智能、區塊鏈等技術，綜合利用數據分析結果，利用指標檢測、模型檢測等方式，充分遷移風險發現關口，有效提升智能預警的時效性和精準性，做到由“規則為本”向“風險為本”轉變，有效發揮內部控制管控與服務并重的作用。

內控管理系統的建設將會為商業帶來一系列的好處。首先，規范內控管理的內容與流程。內控管理系統通過將監管規則跟蹤與落實、制度管理、風險檢測、風險報告等事前、事中、事后的職能進行模塊化處理，固化各職能管理工作的職責分工和工作流程。其次，提高內控管理的效率和效果。內控管理系統能將日常運營過程中的碎片化信息進行有效的結構化處理和集成，實現內控管理統計數據和報表的實時、準確、自動生成，與人工手段相比，能夠有效地提高內控管理效率，降低管理成本。第三，提供管理決策支持。通過內控管理系統的建立，可以很容易關注到風險事項的發生及其風險水平的變化，能夠為高級管理層提供更多有效的風險管理決策依據，進而提升商業銀行及其分支機構的管理水平。

五、結語

我國金融體系結構化改革以及金融市場競爭日益激烈的背景下，健全的內部控制評價體系不僅能夠提高商業銀行識別、分析業務風險、系統性金融風險的能力，還能夠推動商業銀行有效落實戰略目標，實現可持續發展。基于風險管理導向的長效化內部控制評價體系貫徹于商業銀行經營發展管理的全過程，不僅是傳統內部審計的監督和評價，還是順應當下國內外最新監管要求，在外部環境高度不確定的情況下，提高自身應對風險的敏捷性，加強與全面風險管理有效結合，重點關注商業銀行經營發展中存在的突出問題，深入挖掘風險違規事件背后的制度缺失和管理漏洞，進一步發揮“治已病，防未病”作用。

當下，多數商業銀行已經搭建了內部控制監督管理機制來輔佐風險管理制度的運作，但是目前商業銀行還存在內部控制機制的風險監控屬性不足、內部審計鏈條不完善以及內部控制評價機制不科學等問題。不健全的內部控制機制不僅會降低商業銀行在大額資金管控、高風險業務處理、預算及成本控制以及資金流動性管理等方面的工作質量，還會使得商業銀行經營發展的穩定程度受到較大影響，最終致使商業銀行面臨著較大的經營風險。因此商業銀行亟需構建“戰略+內控+評價”三位一體的內部控制管理體系，完善內部控制管理內容以及鏈條，加強戰略控制、內部控制以及內控評價之間的聯系，從而提高內部控制管理成效。商業銀行還應該建立全面性和重要性均衡發展的內部控制評價機制，對各分支機構的內部控制執行成效進行綜合評估，并逐步提高內控評價工作的獨立性、扎實推進內控評價結果運用和整改機制。通過信息化手段將內控職能全面覆蓋延展至各分支機構，支持不同監管、不同業務、不同機構單元的內控管理與風險防控，全面實現集團化商業銀行內控工作一體化規范管理。