商业银行内部控制问题与内控体系构建探讨

阳小平

（东亚银行（中国）有限公司广州分行，广东 广州 510000）

在2017年7月全国金融工作会议上，习近平总书记提出了“强化监管，提高防范化解金融风险能力”，“强监管”成为监管机构工作的关键词。在国家“强监管”的监管背景下，对商业银行的内控管理提出了更高的要求。据新闻媒体报道的侨兴，涉事机构众多，涉及行业众多，结构异常复杂,资金链条层层嵌套，造假手段高科技化、复杂化，增加了商业银行的运营风险和法律风险，最终造成了巨大的经济损失，商业银行必须不断完善、健全企业内部控制体系，防范企业战略风险、财务风险、市场风险、运营风险和法律风险，以实现企业的经营目标，也就显得尤其迫切和重要。

一、商业银行内部控制存在问题

（一）企业文化建设出现偏差，缺乏内部控制良好环境

部分商业银行忽视企业合规文化建设，片面追求利润最大化，过分注重业绩考核和激励，舞弊、造假应运而生。浦发银行成都分行为了完成业绩考核指标，掩盖该行巨额不良贷款和经营损失，而发生的造假案件，其问题的源头就是企业文化的问题，业绩考核和激励机制不合理的问题。银行合规文化、理念出现重大偏差，必然导致内控失效，1995年世界著名的首家“商业银行”巴林银行破产，有着233年经营史和良好业绩的老牌商业银行轰然倒塌，其根源在于巴林银行未按“不相容职务分离”、“授权审批”等重要内控理念建立合规文化，主角里森在1992年7月至1995年2月期间持续利用“错误账户”“88888”隐藏期货投资失误，以及未经授权投资期货业务，由于里森兼任交易与清算角色，致使内控问题未能及时发现和纠正，导致损失一再扩大，最终超出了巴林银行的承受能力。

（二）内部控制制度不健全，风险事项缺乏具体管控措施

商业银行要建立“不敢违规，不能违规，不愿违规”的银行合规文化，关键还在于健全银行内控制度。俗话说，“苍蝇不叮无缝的蛋”，银行只有健全内控制度，为各种造假、舞弊、违规现象修建一道防火墙，形成完善的管理制度，对经风险评估、风险识别出来的风险事项采取相应的控制措施，才能将风险控制在银行可承受范围内，将风险控制的具体方式落实到位。在侨兴10亿元债券逾期事件中，充分暴露了广发银行内控制度不健全，对分支机构存在多头管理，又存在真空管理，特别是印章、合同、授权文件、营业场所、办公场所等方面管理混乱、管理制度不完善，内部控制制度和管控措施不健全，为违法犯罪分子提供了可乘之机。

（三）监督机制不完善，内控制度不能有效执行

为了确保各项管理制度有效执行，内部监督机制和反舞弊机制显得格外重要，只有对各项内控制度的建设和实施情况进行日常的和专项的监督检查，持续评价内部控制运行的有效性，同时对监督检查过程中发现的内控缺陷及时予以整改，并完善内控机制，才能为内部控制有效运行提供重要保证。浦发银行成都分行不良贷款指标长期为零，这个异常情况长时间未引起内部关注，未触发内部监督检查程序，是内控监督机制不完善的典型表现。

二、商业银行内部控制体系的构建与建议

（一）企业文化的构建

内部环境是企业建立和实施内部控制的基础，企业文化建设则是内部环境建设的重要一环，企业文化建设是内控体系的重要基石。

商业银行应当加强文化建设，培育积极向上的价值观和社会责任感。商业银行是国家金融体系中的主体，直按关系到国家金融安全、经济安全运行，担负着重大的社会责任，银业商行企业文化建设必须重视合规文化的建设，强化风险意识和法制观念。落实到具体工作中，商业银行的经营目标必须首先重视社会责任的落实，而不是利润的最大化，员工考核激励机制必须以合规为基础，增加合规考核指标占比，而不能将业绩作为主要考核标准，商业银行其他各个经营管理环节也必须重视合规文化的建设。

（二）内控制度的构建

内控制度是商业银行内控体系的主要组成部分，内控体系设计的有效性，取决于各项内控管理制度是否健全。

商业银行应根据《企业内部控制基本规范》、《企业内部控制应用指引》，以及国家各项金融财税法规，结合自身的经营特点，制定各项管理制度。《企业内部控制应用指引》为是商业银行健立健全管理制度的具体应用指引，商业银行在企业层面控制方面，应围绕组织架构、发展战略、人力资源、社会责任、企业文化五个方面建立健全管理制度，在业务层面控制，应围绕资金活动、存款业务、贷款业务、资产管理、研究与开发、业务外包、财务报告管理等九个方面建立健全管理制度，以及完善预算管理、合同管理、信息系统和内部信息传递方面的管理制度建设。

（三）内控体系运行有效性的构建

商业银行企业文化、内控制度只有具体的落实措施，才能保证商业银内控体系有效运行，而不是挂在墙上的形式主义。各项管理制度需要转化成各种工作表单，各项管理制度需要转化为工作中的各项管理流程，并将各项日常管理流程固化到信息系统，各项内控管理行为融入商业银行的日常活动，这是提高内控体系运行有效性的一个重要方法。

完善内控评价和审计监督机制，也是保证内控体系的有效运行的重要手段。“绝对的权力，必然导致绝对的腐败”，同样的道理，只有将商业银行的各项管理制度、流程纳入日常和专项监督范围，才能保证管理制度和流程的有效执行。通过内控评价和审计监督机制，可以及时发现商业银行内控体系中的设计缺陷、运行缺陷，对内控评价或审计检查中发现的重大缺陷、重要缺陷、一般缺陷问题，分析问题存在的原因和影响程度，提出整改建议或处罚建议，可以促进企业内控体系有效运行，并且不断完善和提升。

（四）重点做好风险事项管控工作，完善信息系统控制手段

1.组织商业银行风险事项梳理，建立内控管理手册。风险识别是风险应对的前提，只有通过风险梳理、风险评估环节，将风险事项梳理出来，并且形成按风险发生的可能性、影响程度分类管理的风险库，才能相应采取风险管控措施，将风险事理项控制在商业银行董事会确定的风险容量和容限范围之内，为商业银行经营目标的实现提供合理保证。

商业银行风险事项梳理需要坚持全面性的原则，需要覆盖商业银行的各个管理领域、各种业务和事项，同时需要考虑商影响商业银行的各项内部因素和外部因素，既包括商业银行自身的管理流程、财务状况、人力资源、信息系统技术能力等各项内部因素，也包括法律、经济、技术、竞争对手等各项外部因素。

商业银行通过调查问卷、职能部门风险汇总、损失事件数据跟踪、法规政策变化追踪等多种方法，广泛搜集基础风险信息，并运用定性、定量以及定量和定性相结合的风险评估方法，建立商业银行自已的风险库，按照风险事项发生的可能性和影响程度，编制风险矩阵和风险管理手册。

建立完善的风险库、风险矩阵以及风险管理手册，有利于树立商业银行全员风险管理意识，并将商业银行主要风险事项管控到位。

2.完善信息系统控制手段，提高银行内控管理效率和效果。信息系统既可以准确、全面记录商业银行各项日常管理活动，也是银行提高工作效率和效果，有效实施内部控制的一个重要手段。商业银行通过开发、建设适合自身经营特点的存款、贷款、财务、审计等各个信息管理系统，并充分考虑各信息系统数据的传递和共享，将银行内控管理制度、流程以及关键控制点嵌入固化到信息系统中，加强用户权限设置、授权管理，可以实现手工环境下难以实现的控制功能。

商业银行不断健全内部控制体系，建立合规文化，加强风险管控，既是金融“强监管”的时代要求，也是商业银行的生存和发展的基本前提，商业银行只有足够重视，并将各项管控措施落实到位，才能实现企业发展战略。