閻慶民：多維度審視全面強化商業(yè)銀行內(nèi)控建設(shè)

作者閻慶民系銀監(jiān)會副主席、中國人民大學(xué)重陽金融研究院理事，本文載于《中國銀行業(yè)》雜志2014年第11期。

銀行業(yè)金融機構(gòu)根據(jù)新《內(nèi)控指引》，從問題導(dǎo)向、目標導(dǎo)向和責(zé)任導(dǎo)向等多個維度，重新梳理內(nèi)控制度的相關(guān)內(nèi)容，共同探討內(nèi)控存在的主要問題及應(yīng)對措施，將內(nèi)控真正嵌入到銀行的每一個流程里面，使內(nèi)部控制發(fā)揮更好的效果。

銀行內(nèi)部控制工作是防范銀行風(fēng)險的關(guān)鍵環(huán)節(jié)，銀監(jiān)會對此高度重視。為進一步推進商業(yè)銀行規(guī)范內(nèi)部管理、完善內(nèi)部控制，銀監(jiān)會深入總結(jié)近年來商業(yè)銀行內(nèi)部控制發(fā)展實踐經(jīng)驗，于今年9月發(fā)布了新修訂的《商業(yè)銀行內(nèi)部控制指引》（以下簡稱新《內(nèi)控指引》），新《內(nèi)控指引》內(nèi)容更加全面，體現(xiàn)了原則性、導(dǎo)向性的要求，有利于引導(dǎo)商業(yè)銀行秉承穩(wěn)健經(jīng)營的理念，根據(jù)自身發(fā)展需要，科學(xué)確定內(nèi)控管理重點，合理配置資源，提高內(nèi)控管理的有效性。希望全國銀行業(yè)金融機構(gòu)根據(jù)新《內(nèi)控指引》，從問題導(dǎo)向、目標導(dǎo)向和責(zé)任導(dǎo)向等多個維度，重新梳理內(nèi)控制度的相關(guān)內(nèi)容，共同探討內(nèi)控存在的主要問題及應(yīng)對措施，將內(nèi)控真正嵌入到銀行的每一個流程里面，使內(nèi)部控制發(fā)揮更好的效果。

問題導(dǎo)向：商業(yè)銀行需要進一步重視內(nèi)控建設(shè)

從目前來看，商業(yè)銀行在內(nèi)控方面存在的問題最主要體現(xiàn)在以下三個方面：

一是內(nèi)外部治理環(huán)境不完善。缺乏合理的組織架構(gòu)體系和內(nèi)部控制治理，有的尚未建立健全有效的內(nèi)部制衡和約束機制。

國內(nèi)商業(yè)銀行內(nèi)部控制相關(guān)規(guī)章制度基本都參考了國際上的良好監(jiān)管實踐——COSO框架。COSO框架主要是針對上市企業(yè)，從會計信息質(zhì)量、內(nèi)控評價監(jiān)督等方面提出要求，在內(nèi)容上和我國銀行的內(nèi)部控制有共通之處，但還是存在區(qū)別，區(qū)別在于中國的國情和商業(yè)銀行經(jīng)營環(huán)境。在我國銀行公司治理結(jié)構(gòu)中，董事會和高管層的權(quán)力相對比較集中，監(jiān)事會相對較弱。一般來說，監(jiān)事會在風(fēng)險管理、內(nèi)部控制上真正提出需要時，得到支持的不多，主要還是側(cè)重于銀行如何發(fā)展、如何創(chuàng)新產(chǎn)品、機構(gòu)準入等問題。

在英美法系下，公司治理中沒有監(jiān)事會；在大陸法系下，比如中國《公司法》中就要求設(shè)立監(jiān)事會。所以在參照或者依據(jù)國際上的良好監(jiān)管實踐時，要考慮中國的國情，一個規(guī)則要完全適用于所有國家、地區(qū)的文化各異的企業(yè)和組織是很困難的，沒有一把“萬能鑰匙”。

前美聯(lián)儲主席格林斯潘在2008年金融危機后進行反思，認為問題主要出在監(jiān)管當(dāng)局過度信任了金融機構(gòu)的內(nèi)部控制，機構(gòu)因為崇尚市場自由主義而過度放任，最后出現(xiàn)金融危機。內(nèi)外部治理環(huán)境具體如何完善沒有現(xiàn)成答案，只能通過實踐探索。在中國，黨委會、董事會、高管層、監(jiān)事會和股東大會之間應(yīng)該起到制衡作用。

二是內(nèi)控管理的職責(zé)劃分不夠清晰?，F(xiàn)實中，有些銀行將內(nèi)控管理的職能放在稽核部門，有些放在法規(guī)部門，有些放在風(fēng)險管理部門。由于任務(wù)不明確，導(dǎo)致內(nèi)控工作不夠規(guī)范。有的銀行因行領(lǐng)導(dǎo)分工及部門職能的原因，存在“部門墻”現(xiàn)象，使內(nèi)控工作缺乏統(tǒng)籌。新《內(nèi)控指引》的主要目的之一是讓銀行有一個主牽頭部門來做內(nèi)控，否則內(nèi)控管理太分散，因為內(nèi)審、合規(guī)、風(fēng)險管理等每個環(huán)節(jié)都會涉及到內(nèi)控。

三是內(nèi)控文化建設(shè)不夠到位。內(nèi)控制度實施最重要的是文化建設(shè)。西方國家的銀行以合伙制、股份制、民營制為主，高管層都有股權(quán)、期權(quán)，投資者非常關(guān)心自己的收益，都會比較重視本機構(gòu)內(nèi)部控制和風(fēng)險管理。2014年諾貝爾經(jīng)濟學(xué)獎獲得者，法國經(jīng)濟學(xué)家梯若爾的獲獎理由是因為他在市場力量和管制方面的研究。他認為，在內(nèi)控體系中主要分為三種類型的參與者，首先是擁有股權(quán)或期權(quán)的投資者，他們會關(guān)心機構(gòu)的內(nèi)部控制，并且一定會推動內(nèi)控體系建立得非常嚴密。其次是主要合伙人和主要大股東，他們關(guān)心企業(yè)的行為是否違反了內(nèi)部控制，或者哪里存在重大的內(nèi)控缺陷。最后才是監(jiān)管者。

我國80%以上的商業(yè)銀行都是國有控股，只有少量非公企業(yè)。所以這種形勢下我們更應(yīng)該努力去營造關(guān)心銀行發(fā)展和未來的文化氛圍。阿里巴巴旗下“阿里云”的18個發(fā)起人根本不需要任何主管部門，也不需要監(jiān)管部門叮嚀囑咐，他們自己利用信息技術(shù)來形成一種相互監(jiān)督、相互制約的內(nèi)控體系。當(dāng)前為什么在內(nèi)部控制方面始終還是有些問題？如何把中國特色銀行公司治理下的內(nèi)部控制做得更有效？我覺得這些問題值得討論。

目標導(dǎo)向：根據(jù)國際最新進展重新梳理內(nèi)控理念

國際上，廣為大家熟悉并被業(yè)界認可的與內(nèi)部控制相關(guān)的標準和法律法規(guī)有《COSO內(nèi)部控制整合框架》（也稱為《COSO報告》）和巴塞爾委員會頒發(fā)的《銀行組織內(nèi)部控制系統(tǒng)框架》。這些國際上較為先進的內(nèi)控標準，對我國商業(yè)銀行內(nèi)部控制體系的建立具有非常寶貴的借鑒意義。

從去年5月份COSO委員會發(fā)布的新內(nèi)控框架看，國際上對內(nèi)控研究的最新進展可以歸納為“五個更加”：

一是內(nèi)控框架更加具體。新的COSO報告突出了原則導(dǎo)向，在原有五要素基礎(chǔ)上提出了17項基本原則，并提煉出82個體現(xiàn)相關(guān)原則的主要特征和關(guān)注點。每一項原則都代表著與內(nèi)部控制五大要素相關(guān)聯(lián)的基本概念。比如在控制環(huán)境方面，框架提出組織要承諾遵守職業(yè)操守及道德規(guī)范。在風(fēng)險評估方面，提出要對內(nèi)控體系產(chǎn)生重大影響的變化事項進行識別與評價等原則。在控制活動方面，提出要通過制定政策和具體流程來貫徹控制活動等原則。在信息與溝通方面，提出要在內(nèi)部和外部形成良好的信息溝通渠道等原則。在監(jiān)督活動方面，提出要對內(nèi)控進行評價，并將發(fā)現(xiàn)的內(nèi)控缺陷報告給負責(zé)主體等原則。

二是內(nèi)控報告的目標更加全面。舊框架在內(nèi)部控制目標設(shè)定中只關(guān)注財務(wù)報告目標，而新框架提出的報告目標包括內(nèi)部、外部的財務(wù)報告和非財務(wù)報告目標。其中，外部財務(wù)和非財務(wù)報告目標的特征是主要用于滿足外部投資者和監(jiān)管機構(gòu)的要求，根據(jù)外部準則進行披露，可能受監(jiān)管者、有關(guān)合同和協(xié)議要求的限制。內(nèi)部財務(wù)和非財務(wù)報告目標的特征是主要用于企業(yè)內(nèi)部經(jīng)營管理和決策制定，相關(guān)披露要求由管理層和董事會制定。各報告目標的具體內(nèi)容為：外部財務(wù)報告目標可能與年度財務(wù)報告、中期財務(wù)報告和盈余公告有關(guān)；外部非財務(wù)報告目標可能與內(nèi)部控制報告、可持續(xù)性報告以及供應(yīng)鏈和資產(chǎn)托管有關(guān)；內(nèi)部財務(wù)報告目標可能與部門財務(wù)報告、客戶盈利性分析和銀行合同有關(guān)；內(nèi)部非財務(wù)報告可能與員工和資產(chǎn)利用率、顧客滿意度的衡量以及健康和安全的衡量有關(guān)。

三是內(nèi)控建設(shè)和評價更加自主。舊框架要求在內(nèi)控建設(shè)和評價方面要嚴格基于證據(jù)，新框架則強調(diào)董事會、管理層和內(nèi)審人員要擁有“判斷力”，給予董事會、管理層和內(nèi)審人員適度的自由裁量權(quán)。內(nèi)控如何實施、如何評價、如何認定有效性，企業(yè)可以有自己的判斷。新框架建議管理層通過判斷，去除那些失效、多余乃至完全無效的控制，提升控制的效率和效果，節(jié)省實施成本，而非單純地為了控制而控制。

四是反舞弊與反腐敗的實施更加嚴格。舞弊風(fēng)險因其存在主觀故意性、隱蔽性、串謀性、危害嚴重性等特征而區(qū)別于一般風(fēng)險。新框架包含了更多關(guān)于舞弊與欺詐的內(nèi)容，并且把管理層評估舞弊風(fēng)險歸在風(fēng)險評估階段，作為內(nèi)部控制的17項總體原則之一，重點加以闡述。新框架提出要求“識別欺詐產(chǎn)生的各種途徑，如非法所得、非法使用或處理資產(chǎn)、篡改企業(yè)報表記錄等”，并“對欺詐風(fēng)險產(chǎn)生的因素進行評估”。

五是內(nèi)控措施更加先進。自1992年舊COSO框架發(fā)布以來，使用或依賴于技術(shù)進行內(nèi)部管理和控制的企業(yè)實體數(shù)量大幅增長，而技術(shù)應(yīng)用的范圍也在大多數(shù)的企業(yè)實體中得以擴展。隨著技術(shù)發(fā)展的程度越來越高，技術(shù)應(yīng)用已經(jīng)變成了企業(yè)管理的常態(tài)。新框架對現(xiàn)代信息技術(shù)的變化對內(nèi)部控制所有要素的影響，都作了較為充分的考慮并給予詳盡的操作指導(dǎo)，提出要建立技術(shù)獲取、開發(fā)和維護機制，相應(yīng)的技術(shù)控制手段以及相關(guān)技術(shù)安全管理機制。

責(zé)任導(dǎo)向：商業(yè)銀行需切實抓好新《內(nèi)控指引》的落實

新《內(nèi)控指引》明確指出，“內(nèi)部控制是商業(yè)銀行董事會、監(jiān)事會、高級管理層和全體員工參與的，通過制定和實施系統(tǒng)化的制度、流程和方法，實現(xiàn)控制目標的動態(tài)過程和機制?！币_保內(nèi)部控制有效，必須做到目標明確、思路清晰、執(zhí)行有效，具體來說，要做好以下幾點：

第一，確保四個目標。商業(yè)銀行的內(nèi)部控制應(yīng)重點關(guān)注以下四大目標：

合規(guī)性目標。保證國家有關(guān)法律法規(guī)及規(guī)章的貫徹執(zhí)行。這里的合規(guī)指符合國家層面、行業(yè)層面和銀行內(nèi)部的各種法律法規(guī)和規(guī)章要求，防止銀行因違規(guī)遭受處罰、制裁，蒙受聲譽或經(jīng)濟方面的損失。

安全性目標。保證商業(yè)銀行發(fā)展戰(zhàn)略和經(jīng)營目標的實現(xiàn)。商業(yè)銀行是一個承擔(dān)著多種責(zé)任的經(jīng)濟實體，既要對國家負責(zé)，又要對金融消費者負責(zé)；既要對股東負責(zé)，又要對銀行內(nèi)部員工負責(zé)，發(fā)展戰(zhàn)略和經(jīng)營目標是銀行生存的重要保證。

有效性目標。保證商業(yè)銀行風(fēng)險管理的有效性。這主要是通過建立制度來實現(xiàn)。有些內(nèi)控制度可能已經(jīng)有十幾年時間了，應(yīng)該請一些獨立的、客觀的、有一定代表性的機構(gòu)來做評估，以增強有效性。

真實性目標。保證商業(yè)銀行業(yè)務(wù)記錄、會計信息、財務(wù)信息和其他管理信息的真實、準確、完整和及時。這些信息都應(yīng)該通過現(xiàn)代信息技術(shù)充分記錄。

這四個目標，尤其是真實性目標越來越重要。每一次經(jīng)濟周期下行時，大浪淘沙，都會出現(xiàn)客戶和內(nèi)部工作人員相勾結(jié)，導(dǎo)致欺詐行為的發(fā)生，最后使銀行蒙受聲譽方面的不良影響，特別是16家上市銀行的聲譽風(fēng)險就更大。所以證監(jiān)會、財政部、會計師協(xié)會、上市公司協(xié)會等，都重點對上市企業(yè)做了一些相關(guān)規(guī)定。

第二，遵循四項原則。內(nèi)部控制的原則主要還是按照國際上的標準，并結(jié)合中國實際情況，我稱之為“四全”原則。

全覆蓋原則。將內(nèi)部控制貫穿于決策、執(zhí)行和監(jiān)督的全過程，覆蓋各項業(yè)務(wù)流程和管理活動，覆蓋所有的部門、崗位和人員。

全制衡原則。在商業(yè)銀行治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責(zé)分配、業(yè)務(wù)流程等方面形成相互制約、相互監(jiān)督的機制。

全審慎原則。堅持風(fēng)險為本、審慎經(jīng)營的理念，從設(shè)立機構(gòu)或開辦業(yè)務(wù)開始，堅持內(nèi)控優(yōu)先，全程審慎。

全匹配原則。內(nèi)部控制與管理模式、業(yè)務(wù)規(guī)模、產(chǎn)品復(fù)雜程度、風(fēng)險狀況等相適應(yīng)，并根據(jù)情況變化及時進行調(diào)整。如今業(yè)務(wù)發(fā)展快、跨市場業(yè)務(wù)多，可能會導(dǎo)致內(nèi)部控制的匹配性不足。這種情況在國際上也是如此，2012年G20會議討論《國際銀行業(yè)監(jiān)管準則》時就提到了匹配性不足的問題。包括前不久在天津市召開的“第18屆國際銀行監(jiān)督官大會”，也討論了“三個問題”，即一致性、可比性、簡單性。盡管中西方文化不一樣，但是實際上討論的出發(fā)點和最終的著力點都是一致的。

第三，抓好六項落實。商業(yè)銀行風(fēng)險防控作為一個系統(tǒng)工程，應(yīng)重點應(yīng)抓好以下六個方面的工作：

健全體系。建立由董事會、監(jiān)事會、高管層、內(nèi)控管理職能部門、內(nèi)部審計部門、業(yè)務(wù)部門組成的分工合理、職責(zé)明確、報告關(guān)系清晰的內(nèi)部控制治理和組織架構(gòu)體系。

明確職責(zé)。分別賦予董事會、監(jiān)事會、高管層對內(nèi)部控制的領(lǐng)導(dǎo)、監(jiān)督和管理職責(zé)；賦予內(nèi)控部門統(tǒng)籌規(guī)劃、組織落實和檢查評估職責(zé)；賦予審計部門對內(nèi)控充分性和有效性進行審計、報告并監(jiān)督整改的職責(zé)；賦予各業(yè)務(wù)部門參與制定業(yè)務(wù)制度和操作流程、執(zhí)行相關(guān)制度規(guī)定、組織開展監(jiān)督檢查、報告缺陷和落實整改的職責(zé)。

完善措施。制定全面、系統(tǒng)、規(guī)范的業(yè)務(wù)制度和管理制度，梳理流程，識別評估經(jīng)營中面臨的各種風(fēng)險，采取定崗責(zé)、設(shè)禁令、設(shè)權(quán)限、分離不相容崗位、嚴格財會對賬制度、審慎準入、控制外包等多種措施，對各類風(fēng)險進行有效控制。

強化保障。建立貫穿各級機構(gòu)、覆蓋所有業(yè)務(wù)的信息系統(tǒng)；建立與戰(zhàn)略目標相一致的業(yè)務(wù)連續(xù)性管理體系；制定有利于可持續(xù)發(fā)展的人力資源政策；建立科學(xué)的績效考評體系來規(guī)范員工的行為；培育良好的企業(yè)內(nèi)控文化，引導(dǎo)員工樹立合規(guī)意識、風(fēng)險意識，提高員工的職業(yè)道德水準，規(guī)范員工行為。

規(guī)范評價。建立內(nèi)部控制評價制度，規(guī)定內(nèi)部控制評價的實施主體、頻率、內(nèi)容、程序、方法和標準等，確保內(nèi)部控制評價工作規(guī)范進行。

嚴格監(jiān)督。一是加強內(nèi)部監(jiān)督。商業(yè)銀行建立內(nèi)部控制監(jiān)督的報告和信息反饋制度，將發(fā)現(xiàn)的內(nèi)部控制缺陷，按照規(guī)定報告路線及時報告董事會、監(jiān)事會、高管層或相關(guān)部門；建立問題整改機制，確保整改措施落實到位；建立內(nèi)部控制責(zé)任制，強化責(zé)任追究。二是加強外部監(jiān)督。監(jiān)管機構(gòu)通過非現(xiàn)場監(jiān)管和現(xiàn)場檢查等方式對商業(yè)銀行內(nèi)部控制實施持續(xù)監(jiān)管，對內(nèi)部控制存在的缺陷責(zé)成其限期整改，對逾期未改的，采取監(jiān)管措施。

國際上提出了“糾錯機制”，快速糾錯機制是將發(fā)現(xiàn)的問題馬上報告董事會、高管層。巴塞爾委員會多次提出糾錯機制的問題，因此，我們也要建立快速糾錯機制。

第四，培育一種文化。這個文化就是“內(nèi)控創(chuàng)造價值”。銀行是經(jīng)營風(fēng)險的企業(yè)，我們是在與風(fēng)險賽跑。銀行是主動防范風(fēng)險還是被動應(yīng)對風(fēng)險，結(jié)果完全不一樣。主動防范風(fēng)險，可能將多數(shù)風(fēng)險事件消滅在萌芽狀態(tài)，不給經(jīng)營帶來直接損失；被動應(yīng)對風(fēng)險，發(fā)生風(fēng)險事件多，損失就大。古代軍事家孫武說過：“不戰(zhàn)而屈人之兵，善之善者也”。清朝趙藩在成都武侯祠撰寫了這樣一幅對聯(lián)，“能攻心則反側(cè)自消，從古知兵非好戰(zhàn)；不審勢即寬嚴皆誤，后來治蜀要深思?！倍继岬搅藨?zhàn)爭的最高境界是不發(fā)生戰(zhàn)爭。風(fēng)險管控也是如此，把風(fēng)險事件消滅在萌芽狀態(tài)，是最理想、最科學(xué)的風(fēng)險控制理念。內(nèi)控的核心價值就是讓風(fēng)險事件不發(fā)生或者少發(fā)生。

從多年實踐看，銀行風(fēng)險事件的發(fā)生多與違規(guī)有直接或間接的關(guān)系，因此，防違規(guī)又成為內(nèi)部控制的重心。要實現(xiàn)“內(nèi)控創(chuàng)造價值”，必須從培育良好文化抓起。

一是建立強有力的制衡約束機制。機制就是優(yōu)化了的制度，就是讓人無法鉆空子的制度，比如激勵相容機制、不相容崗位分離機制等。要從組織結(jié)構(gòu)、流程管理、崗責(zé)體系、績效管理等多方面入手，梳理、整合和優(yōu)化銀行的規(guī)章制度，讓制度真正發(fā)揮“籠子”的作用。

二是提高違規(guī)的成本。搞內(nèi)控，除了建好制度外，還要靠嚴格執(zhí)法。真正讓制度成為“帶電的高壓線”，誰碰誰觸電。從以往發(fā)生問題的銀行看，多數(shù)是執(zhí)行規(guī)章不嚴格，有的規(guī)章制度形同虛設(shè)，有制度無監(jiān)督；有的領(lǐng)導(dǎo)干部帶頭違規(guī)；有的集體違規(guī)。近幾年“飛單”滿天飛，私售理財產(chǎn)品等，是沒有制度嗎？關(guān)鍵還是執(zhí)規(guī)不嚴。銀行必須加大違規(guī)處罰力度，提高違規(guī)成本，對存在或隱瞞違規(guī)問題、造成資金損失和經(jīng)濟案件的，除了追究直接責(zé)任人的責(zé)任外，還要嚴格追究各級管理者的責(zé)任。

三是下大力培育符合中國特色的合規(guī)文化。牢固樹立“合規(guī)經(jīng)營、人人有責(zé)”的意識。由于銀行內(nèi)部風(fēng)險存在于多個環(huán)節(jié)、多個部門，因此，合規(guī)文化建設(shè)應(yīng)強調(diào)每個人都是風(fēng)險管控的責(zé)任人，每個部門或崗位都有發(fā)生風(fēng)險的可能性，作為銀行的員工，每個人都有責(zé)任和義務(wù)在自己的崗位上和部門內(nèi)有效防范合規(guī)風(fēng)險。要將合規(guī)文化建設(shè)與員工日常的工作和業(yè)務(wù)有機結(jié)合起來，將合規(guī)文化意識滲透到每個人的工作中，起到“潤物細無聲”的實際效果；要將“規(guī)則牢不可破”的理念根植于心，幫助員工明確合規(guī)建設(shè)的重要性?？梢詮膫€人職業(yè)生涯、家庭幸福等貼近生活的角度，幫助銀行員工認清利弊，讓他們意識到合規(guī)是銀行經(jīng)營管理的一件大事。要進行全員合規(guī)培訓(xùn)，區(qū)分不同層次將銀行所適用的法律、規(guī)則和準則、合規(guī)政策、合規(guī)意識和合規(guī)職責(zé)等要求滲透到全體人員的血液中，使之成為員工的價值標準和行為準則。只有當(dāng)合規(guī)經(jīng)營的共同價值觀在日常經(jīng)營活動中得到實際運用和充分體現(xiàn)時，一個活的合規(guī)文化才算真正建立起來。（歡迎關(guān)注人大重陽新浪微博：@人大重陽，微信公眾號：rdcy2013)