淺析銀行業(yè)金融機構(gòu)內(nèi)部控制管理存在的問題與優(yōu)化建議

張 漢

(上海國際信托有限公司，上海 200002)

2017年全國金融工作會議上，習近平總書記在闡述金融工作三項任務之一的“深化金融改革”時，再次強調(diào)了要完善現(xiàn)代金融企業(yè)制度、公司法人治理結(jié)構(gòu)和風險管理框架，強化風險內(nèi)控機制建設。在經(jīng)濟建設轉(zhuǎn)型發(fā)展的新時期、新形勢、新要求下，銀行業(yè)金融機構(gòu)獲得了健康有序的發(fā)展環(huán)境，同時也面臨著依法合規(guī)經(jīng)營的更高要求和更為復雜嚴峻的考驗。因此，建立健全自身嚴密的內(nèi)部控制體系，就成為銀行業(yè)金融機構(gòu)防范和化解金融風險、保障持續(xù)經(jīng)營的最基本要求。

1 銀行業(yè)金融機構(gòu)內(nèi)部控制概述

內(nèi)部控制是一種管理體系，是整個經(jīng)營管理過程的一個重要階段，是現(xiàn)代分權(quán)管理的重要手段，是提高管理效能的一種先進方法，是實現(xiàn)組織管理高效化、專業(yè)化、規(guī)范化、自動化最基本的條件。根據(jù)COSO 委員會發(fā)布的《內(nèi)部控制——整合框架》，內(nèi)部控制是由企業(yè)董事會、管理層和其他員工建立并實施的，為達到或?qū)崿F(xiàn)企業(yè)經(jīng)營效率效果、財務報告的可靠性、相關(guān)法令的遵循性等目標的實現(xiàn)而提供合理保證的過程，體現(xiàn)了全面、全員、全過程的控制理念。

銀行業(yè)金融機構(gòu)的內(nèi)部控制體現(xiàn)的是一種自律行為，是金融機構(gòu)為完成既定的工作目標和防范業(yè)務風險及員工道德風險，對內(nèi)部各職能部門及其工作人員從事的業(yè)務活動進行風險控制、制度管理和相互制約的方法、措施和程序的總稱。對于銀行業(yè)金融機構(gòu)而言，內(nèi)部控制通常包括內(nèi)部組織結(jié)構(gòu)的控制、授權(quán)授信的控制、信貸資金風險的控制、會計系統(tǒng)的控制、計算機業(yè)務系統(tǒng)的控制等。

2 銀行業(yè)金融機構(gòu)內(nèi)部控制存在的主要問題

我國銀行業(yè)金融機構(gòu)內(nèi)控體系和發(fā)達國家或是更為先進的金融企業(yè)相比，差距主要表現(xiàn)在以下幾個方面。

2.1 內(nèi)部控制環(huán)境不成熟、理念不普及

(1)公司治理結(jié)構(gòu)尚不完善?，F(xiàn)代企業(yè)制度要求企業(yè)建立規(guī)范的公司治理結(jié)構(gòu)，股東大會、董事會、監(jiān)事會、經(jīng)理層應互相監(jiān)督制約。但仍有部分銀行業(yè)金融機構(gòu)在公司治理結(jié)構(gòu)方面存在不足，控股股東掌控公司經(jīng)營，股東大會、監(jiān)事會沒有充分發(fā)揮監(jiān)督制約作用，經(jīng)營授權(quán)不合規(guī)、不合理，經(jīng)營決策機制缺乏必要的依據(jù)，從而容易發(fā)生違規(guī)、越權(quán)、決策失誤、濫用職權(quán)等問題。

(2)對內(nèi)部控制的認識不充分。內(nèi)部控制需要董事會、高級管理層和各級工作人員共同努力才能實現(xiàn)，但部分金融機構(gòu)的高層對內(nèi)部控制重視程度不夠，合規(guī)經(jīng)營的意識淡薄，把內(nèi)部控制簡單等同于各項日常規(guī)章制度，對員工缺乏必要的宣傳教育，防范各類風險的意識薄弱。有些機構(gòu)甚至把案件的發(fā)生僅僅歸咎于員工的道德品質(zhì)出現(xiàn)問題，而忽視了內(nèi)控制度流程方面存在的漏洞和薄弱環(huán)節(jié)，沒有充分認識到內(nèi)部控制是一項在業(yè)務實際操作中層層監(jiān)控、步步把關(guān)的工作機制。由此造成內(nèi)控機制未能充分發(fā)揮應有的作用，組織內(nèi)部沒有形成良性的內(nèi)控文化和合規(guī)氛圍。

(3)業(yè)務發(fā)展與內(nèi)部控制的關(guān)系不平衡。實現(xiàn)公司經(jīng)營目標是實施內(nèi)部控制的目的之一，但是有些金融機構(gòu)重業(yè)績、輕管理，重規(guī)模、輕效益，片面地認為如果按照內(nèi)控規(guī)范要求去做就會影響業(yè)務的增長，把內(nèi)部控制等同于各種內(nèi)外部檢查，直接放在了業(yè)務發(fā)展的對立面上。一味追求業(yè)績，只顧業(yè)務拓展，忽略了必要的風險控制，一旦發(fā)生風險事件，出現(xiàn)違法違規(guī)行為，必將造成資產(chǎn)損失，反而影響了經(jīng)營目標的達成。

2.2 風險控制機制不健全，風險評估方法不科學

(1)風險控制的職責分工不明確。業(yè)務管理部門、內(nèi)控管理部門、風險管理部門和內(nèi)部審計部門在公司風險管理中常出現(xiàn)交叉管理，所承擔的職責界定不清，出現(xiàn)問題以后容易產(chǎn)生推諉扯皮現(xiàn)象。

(2)風險管控范圍不全。我國金融改革不斷深化，隨著銀行業(yè)金融產(chǎn)品的不斷創(chuàng)新，市場和監(jiān)管環(huán)境的調(diào)整，隨之而來的各類風險也凸顯。但我國銀行業(yè)金融機構(gòu)的風險管理目前主要是針對信貸業(yè)務和信用風險，對于利率風險、匯率風險、市場風險、流動性風險等都還處于摸索和完善階段，對于跨越其他金融行業(yè)的交叉風險更是缺乏管理經(jīng)驗和方法，銀行業(yè)金融機構(gòu)的風險隱患正不斷聚集。

(3)風險度量方法待改進。我國銀行業(yè)金融機構(gòu)對風險的評估度量主要還是使用定性分析方法，而在國際上或是先進的金融機構(gòu)中，已廣泛使用定量分析方法。用定型分析方法去評估那些可量化的金融業(yè)務風險，其結(jié)果的科學性和可靠性就難以得到有效保證，進而影響到后續(xù)內(nèi)部控制措施的制定與實施。

2.3 內(nèi)控制度體系不健全，控制活動執(zhí)行不到位

(1)內(nèi)部控制制度設計存在缺陷。在銀監(jiān)會的嚴格監(jiān)管下，目前我國部分銀行業(yè)金融機構(gòu)逐步建立起了各種與內(nèi)控有關(guān)的規(guī)章制度，但很多或是停留在指導意見或方針政策層面，或是分散在各項具體的業(yè)務操作流程中，既缺乏可操作性，也不夠整體和全面，有的制度間甚至存在相互矛盾，影響內(nèi)控制度的有效性。有些內(nèi)控制度在設計上就存在漏洞或者盲區(qū)。例如有的制度對普通員工嚴格要求的同時卻對公司高級管理層沒有設計規(guī)范的監(jiān)督制約機制，沒有將權(quán)力控制在制度的籠子中；有的制度沒有充分考慮到不兼容崗位需要進行風險隔離，一崗多責，造成違規(guī)行為有機可乘；有的制度設計已經(jīng)不適應新環(huán)境、新業(yè)務、新系統(tǒng)的發(fā)展需要，導致內(nèi)部控制出現(xiàn)盲區(qū)。

(2)內(nèi)部控制活動未嚴格執(zhí)行。有的銀行業(yè)金融機構(gòu)雖然有制度，但實際操作人員合規(guī)意識淡薄，忽視了這些控制活動，有規(guī)不依，甚至故意變通繞過控制，致使重要風險控制節(jié)點失效；有的金融機構(gòu)常以成本控制和人手不足為由，一人兼職多崗的情況仍然存在，近幾年在印章、有價單證及各類憑證方面就已發(fā)生過因被同一人管理而作假的情況。

2.4 內(nèi)控管理的信息交流與溝通存在不足

(1)信息溝通傳遞不順暢。銀行業(yè)金融機構(gòu)一般層級較多、機構(gòu)數(shù)量龐大，如商業(yè)銀行從總行到分行、支行，分支機構(gòu)設置層次較多，內(nèi)部還分很多不同業(yè)務板塊，業(yè)務流程紛繁復雜，數(shù)據(jù)信息分散，涉及人員眾多，信息傳遞及反饋的渠道會出現(xiàn)斷層，要求的上傳下達很難保證被貫徹落實到位，使得內(nèi)部控制管理信息的獲取、歸集和分析存在較大難度，影響了內(nèi)控制度、流程在機構(gòu)內(nèi)部的實施效果。

(2)信息系統(tǒng)建設不匹配。銀行業(yè)金融機構(gòu)正逐步推行信息系統(tǒng)化，業(yè)務、財務等各類應用系統(tǒng)在金融機構(gòu)中廣泛運用，但配套的內(nèi)控制度流程和控制措施卻沒有及時更新補充完善，有些金融機構(gòu)為了不影響業(yè)務，在應付系統(tǒng)使用要求的同時，仍通過手工紙質(zhì)操作進行處理，操作過程繁冗低效，有些分支機構(gòu)不適應總行的新系統(tǒng)，仍沿用陳舊系統(tǒng)進行業(yè)務操作，導致數(shù)據(jù)交換出現(xiàn)問題。信息系統(tǒng)的不統(tǒng)一、不完善，給銀行業(yè)金融機構(gòu)整體的信息數(shù)據(jù)管理帶來隱患，影響了內(nèi)部控制的有效性。

2.5 內(nèi)部監(jiān)督機制缺乏有效性

一是內(nèi)部審計等監(jiān)督部門及人員配備不足，銀行業(yè)金融機構(gòu)，特別是商業(yè)銀行，機構(gòu)數(shù)量龐大、從業(yè)人員眾多，在內(nèi)部審計部門和審計人員編制上往往是不足的，內(nèi)部審計的頻率與覆蓋面達不到合規(guī)合理的水平，監(jiān)督職能未能有效履行。二是部分機構(gòu)仍停留在以事后檢查為主的監(jiān)督方式上，缺少對事前和事中的風險防范和控制，不能從公司經(jīng)營和業(yè)務整體的角度進行監(jiān)控。三是監(jiān)督方法有待改進，銀行業(yè)的金融創(chuàng)新正不斷深入，以往以查漏補缺為主的監(jiān)督方法已不能適用于新業(yè)務、新產(chǎn)品的風險管控，沒有運用到內(nèi)控流程設計執(zhí)行、考核問責等綜合性內(nèi)控方法，影響監(jiān)督成效。

3 銀行業(yè)金融機構(gòu)內(nèi)部控制的優(yōu)化建議

COSO發(fā)布的《內(nèi)部控制——整合框架》是目前世界上最著名的內(nèi)控理論之一，它從控制環(huán)境、風險評估、控制活動、信息和交流以及監(jiān)控五個要素建立起一套通用型的內(nèi)部控制模型。銀行業(yè)金融機構(gòu)應借鑒COSO的五要素模型，結(jié)合全面風險管理要求，建立健全符合行業(yè)特點的內(nèi)部控制運行體系。本文以此為基礎提出以下建議。

3.1 完善內(nèi)部控制體系，培育良好內(nèi)控文化

3.1.1 建設以風險為導向的內(nèi)部控制體系

體系的建立需要首先完善公司治理結(jié)構(gòu)，應明確董事會是內(nèi)部控制的第一責任人，高級管理層負責內(nèi)部控制的日常運行，董事會下設專業(yè)委員會，履行內(nèi)部控制管理的相應職責，評價內(nèi)部控制的有效性，監(jiān)事會對董事會、高級管理層建立與實施內(nèi)部控制進行監(jiān)督。其次，銀行業(yè)金融機構(gòu)需進一步建立健全內(nèi)控“三道防線”機制，業(yè)務部門和員工是內(nèi)部控制的第一道防線，肩負業(yè)務拓展與落實內(nèi)控要求的任務，應嚴格規(guī)范操作流程和控制節(jié)點。專業(yè)的內(nèi)控管理或風險管理部門是第二道防線，統(tǒng)籌組織內(nèi)控建設，制定統(tǒng)一的內(nèi)控政策、風險識別評估標準，指導和監(jiān)督第一道防線的內(nèi)控工作執(zhí)行情況，對發(fā)現(xiàn)的內(nèi)控缺陷及時督促落實整改，促進流程優(yōu)化和系統(tǒng)完善。內(nèi)部審計部門作為第三道防線，檢查和評估內(nèi)部控制政策、制度及內(nèi)部控制執(zhí)行的有效性，促進金融機構(gòu)更好地提升風險管控能力。

3.1.2 加強內(nèi)控文化建設

內(nèi)控文化是銀行業(yè)金融機構(gòu)內(nèi)部控制環(huán)境中的一個重要因素。良好的內(nèi)控管理文化，可以從根源上防范和控制各類風險。一是管理層重視。內(nèi)控文化的建立與高級管理層對內(nèi)部控制的態(tài)度有很大的關(guān)系，如果管理者相信內(nèi)部控制在企業(yè)管理中能發(fā)揮重要促進作用，那么企業(yè)自上而下都會落實內(nèi)部控制，良好的內(nèi)控文化自然建立起來。二是增強全員內(nèi)部控制意識。銀行業(yè)金融機構(gòu)有很多關(guān)鍵崗位，每個崗位的員工都應該接受宣傳教育、學習培訓等，以此培養(yǎng)其內(nèi)控管理理念，讓全員參與內(nèi)控，幫助他們理解和支持公司日常經(jīng)營管理，自覺地履行內(nèi)控職責。

3.2 健全風險評估機制，運用科學評估標準和方法

在內(nèi)控模型中，風險評估是一項重要的管理活動，只有以風險為導向，才能更好地發(fā)現(xiàn)制度流程中存在的問題，并設計出合理有效的風險管控措施。

3.2.1 加強風險管理職責

銀行業(yè)金融機構(gòu)在完善法人治理結(jié)構(gòu)的基礎上，進一步規(guī)范機構(gòu)各層級在風險管理中的責任、權(quán)力、義務，相互配合、各司其職，能具備分析識別經(jīng)營管理各個關(guān)鍵環(huán)節(jié)風險的能力，對最可能產(chǎn)生風險的環(huán)節(jié)應該建立嚴格的操作規(guī)范、設立明確的應對措施。

3.2.2 加大風險識別與評估的范圍

銀行業(yè)金融機構(gòu)不僅要控制信用風險，更要對市場風險、流程性風險、匯率風險以及來自創(chuàng)新業(yè)務的合規(guī)風險等進行全方位的識別與評估，防范各類風險發(fā)生轉(zhuǎn)移和擴散，促進專業(yè)部門的設置和專業(yè)技術(shù)人員的配備，加強制度程序性的防范手段，提高風控技術(shù)能力，確保風險評估活動的連續(xù)性和完備性。

3.2.3 制定統(tǒng)一的風險評估標準

進一步推進風險識別、評估及計量的體系化、科學化。銀行業(yè)金融機構(gòu)應充分借鑒國內(nèi)外先進經(jīng)驗，設計風險計量模型，補充風險數(shù)據(jù)庫，建設風險管理信息系統(tǒng)，從而逐步建立起一套科學的風險評估方法，保證相關(guān)風險的及時識別、充分計量，從而制定合理的風險應對策略。

3.3 完善內(nèi)部控制活動設計，提升風險控制成效

3.3.1 優(yōu)化內(nèi)部控制制度體系

銀行業(yè)金融機構(gòu)應打破內(nèi)部制度本位主義、自管門前雪的管理模式，應以完整的業(yè)務流程為制度紐帶，對制度、程序、方法進行全面的梳理和優(yōu)化，規(guī)范描述流程上各個關(guān)鍵環(huán)節(jié)的控制活動，便于各崗位人員進行日常操作和執(zhí)行。同時還要根據(jù)內(nèi)外部形勢和監(jiān)管政策變化，以及業(yè)務創(chuàng)新情況，及時更新或補充相關(guān)的規(guī)章制度和操作流程，提高時效性和可操作性。

3.3.2 強化決策權(quán)力制衡機制

銀行業(yè)曾經(jīng)在經(jīng)營上發(fā)生的違規(guī)行為甚至重大案件，很多情況下與權(quán)力過于集中、缺少監(jiān)督制衡機制有關(guān)。為防止這種問題再次發(fā)生，銀行業(yè)金融機構(gòu)應明確機構(gòu)負責人的相關(guān)責任，設立決策約束制衡機制，對決策行為進行加強約束監(jiān)督。

3.3.3 明確經(jīng)營授權(quán)機制，嚴控崗位職責分工

銀行業(yè)金融機構(gòu)的業(yè)務活動一般都需要多部門、多人協(xié)同處理，而且根據(jù)業(yè)務的不同，各級人員的權(quán)限也會有所區(qū)別。因此機構(gòu)應明確業(yè)務流程中崗位責任、操作標準，將責任落實到人，提高制度的執(zhí)行力。對高風險領域的崗位進行適當?shù)穆氊煼蛛x，確保一人不能同時兼任兩個以上不兼容崗位，并對關(guān)鍵崗位實行定期輪換制度，形成有效的制約機制，降低風險隱患。

3.3.4 建立完善的考核和激勵約束機制

銀行業(yè)金融機構(gòu)應將合規(guī)經(jīng)營、內(nèi)部控制執(zhí)行情況作為考核員工業(yè)績的重要指標之一，督促員工遵章守紀，對于制度執(zhí)行不力的嚴格進行問責。通過績效分配、股權(quán)和福利等激勵措施來促使管理層和廣大員工積極執(zhí)行內(nèi)控管理制度。

3.4 完善信息溝通傳遞機制，建立先進信息管理系統(tǒng)

銀行業(yè)金融機構(gòu)在業(yè)務發(fā)展中應規(guī)范對各種內(nèi)外部信息的收集、整理加工、傳遞和反饋的工作程序，明確信息的獲取范圍、交流渠道、保密要求等，嚴格遵守信息管理相關(guān)制度。同時，還應建立統(tǒng)一的管理信息系統(tǒng)，通過數(shù)據(jù)庫、數(shù)據(jù)處理程序等應用系統(tǒng)，實現(xiàn)快速、全面、準確的數(shù)據(jù)預測和分析，以此加強信息技術(shù)處理和分析運用，提高信息管理工作的質(zhì)量和效率，促進信息對經(jīng)營決策的支持保障作用。

3.5 完善內(nèi)部控制評估，強化內(nèi)部審計監(jiān)督約束

3.5.1 開展年度內(nèi)部控制自我評估工作

銀行業(yè)金融機構(gòu)應按照《企業(yè)內(nèi)部控制基本規(guī)范》的要求每年都要開展內(nèi)部控制自我評估工作，由內(nèi)控管理部門組織各級機構(gòu)和各業(yè)務部門對自身的內(nèi)控情況進行自我檢查，程序上一般包括梳理內(nèi)控制度、風險識別與評估、內(nèi)控設計有效性測試、內(nèi)控執(zhí)行有效性測試、缺陷整改和年度報告等，以此形成內(nèi)控自我評估的閉循環(huán)。通過這樣的自我評估和診斷，推動機構(gòu)建立起內(nèi)部控制內(nèi)生式的長效機制。

3.5.2 建立高效的內(nèi)部審計監(jiān)督系統(tǒng)

銀行業(yè)金融機構(gòu)內(nèi)部審計部門負責內(nèi)控評價工作，是各項內(nèi)部控制措施得到有效實施的重要保證。一是銀行業(yè)金融機構(gòu)要建立起扁平化管理的內(nèi)審體制，內(nèi)部審計部門向董事會或?qū)徲嬑瘑T會直接匯報，保證其獨立性和權(quán)威性。二是內(nèi)部審計部門要把工作定位于高層次的職能監(jiān)督，審查重點要向全面風險管理和綜合經(jīng)營管理轉(zhuǎn)移。三是倡導并實施風險導向?qū)徲?，實現(xiàn)由查到防的轉(zhuǎn)變，要由過去對會計資料的詳細檢查轉(zhuǎn)變?yōu)橐栽u價內(nèi)部控制系統(tǒng)為基礎的抽樣檢查，并借助對內(nèi)部控制系統(tǒng)的評價結(jié)果確定審計的重點、范圍和方法。四是由事后審計轉(zhuǎn)變?yōu)槭虑?、事中、事后審計相結(jié)合，做到事前預防、事中阻止。五是培養(yǎng)高素質(zhì)的內(nèi)部審計人員隊伍，通過強化審計培訓、組織內(nèi)外部交流等方式，引入國外先進的審計理念和審計技術(shù)，普及審計創(chuàng)新意識，提高審計人員的綜合素質(zhì)。

[1]潘曉梅，陳萍，基于風險管理的企業(yè)內(nèi)部控制框架構(gòu)建[M].北京：經(jīng)濟科學出版社，2010.

[2]王曉琴.金融機構(gòu)內(nèi)控體系問題探討[J].時代金融，2013(11).

[3]韓羽.淺談金融機構(gòu)內(nèi)部控制的日常化管理[J].商場現(xiàn)代化，2015(22).

[4]陶以平.新形勢下對銀行業(yè)內(nèi)控體系建設實踐的思考[J].國際金融，2015(2).

[5]王曉娟.企業(yè)會計的財務管理及內(nèi)部控制研究[J].中國市場，2014(52).

[6]郗望.論互聯(lián)網(wǎng)金融企業(yè)的信息系統(tǒng)內(nèi)部控制管理與創(chuàng)新[J].中國市場，2016(1) .