商业银行提升内部控制有效性的途径选择

刘明艳 中国建设银行股份有限公司河北省分行

摘要：在日趋激烈的市场竞争中，如何实现推动业务快速发展的同时有效防控风险，已经成为我国商业银行面临的一个重要课题。本文探讨了商业银行提升内部控制有效性对防控风险的重要意义，并对商业银行内部控制的现状和不足进行了简要分析，在此基础上，从树立正确的管理理念、科学制定内部控制规章制度、提高制度执行力以及强化监督约束管理等方面，提出了商业银行提升内部控制有效性的对策建议。

关键词:商业银行；风险控制； 内部控制

十八届三中全会以来，我国加快了经济结构调整和产业转型升级的步伐，利率市场化逐步推进，互联网金融快速发展，传统商业银行面临战略转型的同时也面临着强化风险防控的巨大压力。内部控制作为风险防控的重要防线，在防控风险中发挥着基础性的作用，商业银行必须予以重视，积极采取措施，持续提升内部控制的有效性，在促业务发展的同时防控风险，确保银行的稳健运行。

一、内部控制的有效性概述

根据中国银行业监督管理委员会制定并颁布的《商业银行内部控制指引》，内部控制是指商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

内部控制的目标包括合规目标、风险目标、战略和经营目标、财务目标，即确保国家法律规定和商业银行内部规章制度的贯彻执行；确保风险管理体系的有效性；确保商业银行发展战略和经营目标的全面实施和充分实现；确保业务记录、财务信息和其他管理信息的及时、真实和完整。

商业银行内部控制的有效性是指内部控制对目标的合理保证程度，对目标的保证程度越高则越有效，反之则越无效。在实际业务中，由于资源环境约束等多种因素制约，往往难以百分之百实现内部控制目标，即内部控制存在固有局限。商业银行内部控制的有效性具体体现在内部控制制度设计的健全性和合理性、内部控制制度执行的遵循性以及内部控制的监督与纠正的及时性三个方面。一是制度设计应当符合国家法律法规规定，涵盖影响控制目标的各类业务和事项，并与商业银行的业务范围、经营规模和风险特点相适应；二是有效贯彻执行各项内部控制制度；三是对内部控制的有效性开展动态监督、评价，对内部控制的缺陷能及时纠正。

二、我国商业银行内部控制的现状分析

    近年来，我国商业银行持续强化内部控制，从建立相互制约、相互制衡的公司治理结构到开展内部审计等方面采取了多项措施，内部控制管理水平日益提升，但在管理理念、制度建设、制度执行、监督约束等方面还存在一些问题和不足。

（一）内部控制环境有待改善

1. 内部控制管理理念有待更新

一是未正确认识和把握内部控制与业务发展的关系。重业务发展轻内部控制，甚至把内部控制与发展和效益对立起来。二是对内部控制的认识存在偏差。有的管理层误以为管内部控制就是百分之百控风险，出台的政策面面俱到，浪费人力、物力资源。有的业务部门认为内部控制就是归口管理部门的职责，对“内部控制人人有责”的理念认识不到位。三是存在“部门银行”思维，不同业务条线、部门之间难以形成风险控制的合力。

2. 缺乏高素质人才

一是缺乏内部控制管理的专业人才，在风险监测分析、模型量化评估、内部控制评价、内部控制信息系统建设、内部控制审计等方面的专业技术人才缺乏。二是缺乏内部控制管理的复合型人才。既懂业务又懂得审计、内部控制评价和信息技术的综合性复合人才缺乏。

（二）内部控制制度建设存在缺陷

1．制度建设不健全

当前，商业银行新的金融产品和服务层出不穷，但制度制定未跟上业务发展的步伐，在旧制度未覆盖新业务的情况下，部分业务的内部控制制度缺位，无章可循。

2．制度设计不科学

一是制度设计不合理。制度拟定时未考虑不同地区、业务、规模差异，采取一刀切的方式，实用性不强。对一些低风险业务设计复杂繁琐的申报审批流程，未体现成本效益的原则。二是制度可操作性差。生搬硬套监管规定，没有根据本行的具体情况予以细化。三是制度之间衔接性差。职能部门各自为政，出台的制度之间缺乏有效衔接。

3．制度更新不及时

有的银行一个内部控制制度管很多年，未根据法律法规的变更、市场变化以及本行具体业务发展等情况及时清理，动态调整，在一定程度上阻碍银行内部控制的效果。

（三）内部控制制度执行不到位

1．风险评估与管理方面

一是风险监测的前瞻性不够。侧重于风险的事后管理，未在风险形成前和风险形成初期有效监测、预警，工作被动，容易形成损失。二是风险计量的精细化程度不高。对部分风险指标的计算没有统一的计量指标支撑，定性指标过多，定量程度不高，影响风险控制的精确性。三是风险监控的技术含量有待提升。风险管理的手段较为传统，创新进度跟不上业务发展。

2．内部控制活动方面

在信贷管理风险控制、中间业务风险控制等多个控制活动中存在制度执行不到位的问题，如：在信贷管理风险控制中，办理公司信贷、个人信贷等业务贷前调查落实不到位，不按制度规定采取实地拜访、工商部门查档等多种渠道调查了解、核实客户身份的真实情况，而仅仅根据客户提供的虚假资料审批、发放贷款。

3．信息与交流方面

信息的收集、处理、传递及报告执行效果不理想。总行的文件层层转发到基层执行机构时间过长，文件流转效率低；请示回复机制不顺畅，上下级行之间沟通反馈效率不高；财务会计报告和信息披露等方面存在错漏，影响信息使用人的决策。

（四）监督与约束力度不足

1．内部控制评价缺乏实际效果

一是内部控制评价指标体系设计不科学。内部控制评价指标体系简单罗列各项规章制度规定，指标设计单一，风险评价目标模糊。二是内部控制评价流于形式。开展内部控制评价时缺乏现代化的评价工具和技术，评价重点不突出、针对性差，难以对评价单位做出客观、准确的判断。三是内部控制评价结果应用的有效性不足。使用单一的与绩效挂钩的标准，未区分风险事项的数量和质量，难以有效发挥评价结果对内部控制的促进作用。

2．整改与问责不到位

对于内部控制评价发现的控制缺陷及检查、审计发现的问题，有的机构整改落实不到位，履查屡犯，此查彼犯。有的商业银行追究违规责任力度较弱，有的客户经理贷后检查未到位导致信贷资产质量恶化，形成重大信贷资金损失，在信贷责任认定时很少认定责任，有的也就罚款几百元了事。

三、提升商业银行内部控制有效性的途径选择

（一）转变观念，树立正确的内部控制管理理念

一是正确把握内部控制与业务发展的关系，坚持业务发展与风险防控两条腿走路。重视内部控制基础管理工作，不能以牺牲银行的资金安全换取业务快速发展。二是秉承成本效益原则，把握好内部控制不足与控制过度的问题。正确看待内部控制的管理目标，通过“简政放权”释放银行基层经营机构的生产力，通过科学管理、有效管理，充分发挥各级机构的积极性，从而实现风险控制的高效率、高效益。按照“抓大放小，抓特殊放一般”的原则，让管理行从繁杂的审批事务中解脱出来，集中精力做好重要决策及检查监督等真正需要管理行做好的重要工作。三是实现从单兵作战到联动防控风险的意识转变。各项内部控制工作明确统一的归口管理部门，减少政策随意性，避免政出多门，让基层行无所适从。在银行业务综合化、多功能化、集约化的趋势下，增强全局观念，综合考虑跨部门合作、母子公司联动、境内外联动，建立统一的内部控制风险防范机制。

（二）科学制定内部控制制度

一是健全内部控制管理制度，不留控制盲点。内部控制制度应覆盖全员、全过程、全业务，尤其是在新产品、新业务推出时，内部控制制度应及时跟进，避免出现管理真空。二是确保内部控制规章制度的合理性、可操作性。制定制度时，应加大调查、研究工作力度，充分考虑前瞻性、实用性、可操作性，设置统一的归口管理部门负责对内部控制规章制度进行审核和把关。不同职能部门、不同时期的相关制度之间应有效衔接，不能重复交叉或自相矛盾。三是强化内部控制制度的动态管理。建立内部控制制度动态管理机制，定期或不定期组织检视、清理，根据国家法律法规的变化、银行业务发展、市场形势等具体情况及时修订、新增或废止，确保内部控制规章制度的有效性。

（三）提高内部控制制度的执行力

一是以人为本，强化人力资源管理。选聘熟悉会计、审计、金融等综合知识的专业人才到内部控制管理岗位。对于基层机构的内部控制岗位，应避免低端岗位配备高学历高素质人才，保持人员的稳定性。重视IT技术人员的素质，招聘和打造专业素质高、训练有素、做事谨慎的专业IT队伍，确保信息系统的安全稳定运营。强化员工内部控制知识培训，通过开展专业培训、知识竞赛、技能比赛、专题研讨等多种方式强化后续教育，持续提高员工的道德品质和专业技能，建立有效的员工绩效考评管理机制，奖勤罚懒，优胜劣汰，为商业银行内部控制管理打下坚实的基础。二是科学设置组织机构。建立紧密性组织，减少中间层级，在按业务条线划分职责的基础上，组建矩阵式职能部门，“条”、“块”结合，，降低部门之间沟通协调工作的难度，避免互相扯皮形成内部控制的管理空白地带，提高信息传递的效率，形成工作合力。三是提高信息化管理水平。运用先进的信息管理技术和风险计量工具，开发运行现代化程度高的业务办理、风险控制、信息传递等信息支持系统，并严格做好系统的日常运行维护、检修工作，防止内部控制的失效。四是建立内部控制管理考评机制。采用定量指标与定性指标结合的方式，科学、合理设计内部控制考核指标，并考虑地区、业务规模差异，分级、分类管理，对不同层级的机构内部控制执行效果定期考核，并将考核结果与职务晋升、薪酬待遇、授权权限进行挂钩，降低全行对内部控制目标的偏离度。

（四）强化监督约束管理

 一是提高内部控制评价效果。建立科学、实用的内部控制评价体系，抓住关键风险点，将工作重点放在事前预防、事中控制环节上，找出产生问题的根源，从根本上改善经营管理。充分运用新的工作方法，采用先进的内部控制评估工具，强化非现场监测管理，开发设计监测预警信息系统，实现对内部控制缺陷的早期识别、预警、分析和处理。开展非定期、突击式的内部控制评价，并保证评价小组成员的独立性。二是强化业务检查、内部控制评价、内部控制审计以及外部咨询工作的协作和成果共享。形成内部控制管理共享数据库，促进不同内部控制监督主体之间的业务交流与合作，共同促进内部控制目标的实现，采取选聘外部会计师事务所抽查方式对内部控制监督管理工作进行再监督，层层监督制约。三是严格违规问责和落实整改。对于内部控制缺陷问题，分门别类采取相应的整改措施积极整改，确保整改效果。对于信贷违规等内部控制不力导致银行资产损失的，严肃查处，问责到位。