城市商業銀行內部控制有效性的思考

【摘要】健全有效的內部控制是城市商業銀行（以下簡稱“城商行”）持續安全運行的基礎。近年來，在銀行監管機構的大力推動和城商行自身的不斷努力下，城商行的內部控制狀況有了很大改善。但對照《商業銀行內部控制指引》要求，仍存在差距，制約其穩健、有序的發展。

【關鍵詞】商業銀行 內部控制 有效性

一、城商行內部控制存在的問題

從目前情況來看，城商行內部控制在以下七個方面都存在各種問題：

（一）內部控制環境方面

1.認識不到位，內控意識仍顯薄弱。城商行對內控認識不到位，內控意識薄弱集中表現為“兩個替代”，“兩個替代”，一是指以規章制度建設替代內部控制建設；二是指以運動式的監督檢查代替持續性的內部控制。在這種理念的指導下，部分內控措施得不到執行。

2.經營理念不夠審慎?？冃Э荚u體系不科學，城商行存在重業績、輕風險；重業務、輕內控；經營中市場定位不明確，內控制度總是體現出一定的滯后性。

3.經營管理運行結構不完善，制衡監督有效性不足。內部組織架構不完善、分離原則不全、崗位職責不清。一是組織架構不合理，職責未相對分離。如部分城商行授信審查、貸后管理和風險處置等不相容職能由一人分管，缺乏相互制約，不符合審慎管理原則；二是內控政策制定不全，內控目標不明確。在各項業務和管理活動中大多缺乏層次性，內控目標不明確，缺乏可測量性，未能體現持續改進的要求；三是轉授權管理不規范。

（二）風險識別與評估方面

1.風險評估的方法、技術落后。城商行的風險識別和計量的技術不足、手段有限，缺乏成熟的風險計量方法、模型和系統支撐，特別是對流動性風險、市場風險缺乏識別、計量、壓力測試和應急演練。

2.風險評估主觀性強，識別覆蓋面窄。一是風險管控側重于對信用風險、流動性風險進行監測識別、評估和管控，對其他類風險的管理運行機制有效性不足。從檢查中發現，目前城商行普遍重視信用風險識別和控制，但對管理活動和支持保障活動，特別是計算機系統中風險缺乏有效評估和控制。二是未能對操作風險進行計量、評估、監測和控制（緩釋）。

（三）內部控制措施方面

1.內控組織體系不健全，決策與建設職能缺失。雖然城商行初步建立了內部控制組織體系，但受公司治理不完善、內控組織體系仍存在問題，具體表現：第一，法人治理各主體邊界職責劃分并不清晰，董事會與高級管理層之間的導致董事會與高級管理層的內控職責缺失；第二，城商行設立了專門的委員會負責全行的內部控制建設外，內控建設職能分散于各相關部門，而各相關部門僅從本部門職責角度承擔內控的相關職能，造成內控體系缺乏整體性，控制過度與控制不足并存。

2.內控制度不完善，整體性、長期性考慮不足。具體表現：一是大多數城商行沒有制定內控戰略發展規劃，未建立戰略規劃定期評估制度，未實施的動態評估，造成內控建設和運行的持續性不足，影響內控的有效性；二是各條線出臺的規章制度和管理辦法之間銜接不夠，時常出現不一致甚至沖突的情況。

3.制度執行不力，后評價機制缺乏。制度執行不力是城商行普遍面臨的問題。具體表現：一是教育機制和制度培訓不完善，基層分支機構難以全面掌握制度的要求，從而出現現實操作與制度要求不相符的情況；二是內控執行力仍然偏弱，檢查發現問題的后續跟蹤不力，整改不夠到位，屢查屢犯的同質同類問題沒有得以有效遏制。三是在具體業務操作中存在風險控制措施執行不力的情況，影響了內部控制的效果。如（1）在風險控制措施的有效執行上存在對賬頻率和對賬單收回率低于規定標準；（2）會計等重要或關鍵崗位沒有實行強制休假制度等情況。

（四）監督評價與糾正方面

強有力的監督評價機制是確保內控缺陷被及時發現并得到持續改正的關鍵。城商行都設立了內部審計部門，并建立起內控監督評價機制，但與監管要求仍存在較大差距。

1.城商行的內部審計人員配備未能達到監管要求。即審計人員數量與銀行員工總數之比不低于1%。加之現有內審人員專業結構不合理，審計方式單一，覆蓋面不廣，檢查頻度和質量不高，從而影響到內部審計的效果。

2.部分城商行沒有建立相應的評價程序和制度，沒有定期對內控體系進行評價。

（五）有效運用評價結果和指導內部審計方面

大部分城商行未能按照《商業銀行內部控制評價試行辦法》的要求，由董事會采取措施定期對內控狀況進行管理評審；但在內部控制評價體系的建設和運行也反映出一定的問題，例如，城商行對內部控制評價結果的運用不充分，在指導內部審計部門確定審計重點和頻率、合理配置內部審計資源方面還沒有發揮應有的作用。

（六）內控電子化水平和內控的實時性方面

就目前城商行電子化情況來看，城商行沒有開發上線風險實時預警系統，尤其是操作風險預警系統，造成風險識別的實時性不足。

（七）信息交流與溝通方面

1.信息傳遞效率低。城商行的信息傳遞主要還是靠金字塔式的組織來完成，由總行到分行、部門、支行、崗位，多達幾個層級，鏈條冗長，雖然計算機互聯網消除了許多時滯因素，但信息上行下達過程中出現理解偏差，導致高層與基層行動步調上的不一致，使信息滯留，在部門間缺乏有效溝通。

2.城商行對監管意見的整改落實還不到位。從檢查中發現，城商行由于整改機制尚不健全，在對監管意見的整改落實方面也存在一定的不足，例如，個別城商行對監管部門的檢查意見和監管要求未及時、有效落實整改等。

3.外部溝通反饋機制不暢。部分分支機構對外、向下和內部橫向之間的信息交流和反饋還不夠暢通；有時對監管政策和要求的傳導不及時、不全面，信息反饋不主動。

二、完善城商行內部控制有效性建議的建議

針對城商行內部控制現狀、及存在問題，建議從以下九個方面推進其內控機制建設：

（一）在風險管理理念上，樹立科學的風險觀，強化系統風險管理意識

要正確處理業務發展與風險控制的關系，把業務發展與風險控制有機統一起來，樹立成熟的銀行經營管理理念、科學的發展觀和風險觀。要站在全局和戰略的高度看待風險管理，強化系統風險管理意識，并逐步建立全面風險管理體系和管理風險的長效機制。要將風險管理貫穿于業務發展全過程，把每個業務環節都作為風險控制關口，使風險防范意識深入人心，人人都是風險的防范者、控制者。要明確的信用風險容忍度，強調適度、合理承擔一定的信用風險；對合規風險要實行零容忍。如此，一是要從戰略高度充分認識到完善的內控機制是城商行機構安全、有序運作的前提和基礎。二是要正確處理好改革、發展與管理三者之間的關系，實行集約化經營，優化資產負債結構，積極發展中間業務，向管理要效益，在穩定中求發展；三是城商行應當針對不斷變化的環境和情況對風險進行再識別和再評估，及時修改完善風險控制的制度、技術和方法，以控制新出現的風險或以前未能控制的風險。

（二）完善公司治理機制，健全內控組織體系

進一步優化股權結構，完善公司治理機制，清晰界定并通過制度明確董事會、監事會和高級管理層的內部控制職責，尤其是理清董事會與高級管理層、董事長與行長的內控職責邊界；董事會應切實承擔起保證銀行建立并實施充分而有效的內部控制體系的最終責任，借助于下設審計委員會和風險管理委員會，定期開展對銀行內部控制體系的管理評審；并將此納入對董事會的評價和對董事的履職考評中。盡快確定相關的部門負責內控的建設與日常運行，以確保內控體系的完整性。

（三）完善風險管理體系，提高風險識別控制能力

建立起風險管理部對各類風險實行歸口管理、各相關部門實行具體管理相結合的、覆蓋各類風險的全面風險管理體系。進一步強化董事會風險管理委員會的職能，明確風險戰略和偏好，推動建立全面風險管理組織體系。具體：一是構建符合內控要求的業務管理新制度。在各業務條線管理辦法的基礎上，編制覆蓋各業務條線、各類產品和服務、各環節、各崗位的內部控制手冊，使內控制度覆蓋所有風險點，貫穿決策、執行、監督全過程，重點崗位、主要風險環節做到相互制約、相互制衡，實現業務發展和風險管理的同步；在條件成熟時，將其鑲嵌入業務系統或管理系統中；二是內控制度要涵蓋所有的管理和業務領域，在開發推廣新業務新產品過程中，制定相互制衡的業務管理辦法和制度，對潛在的風險進行計量和評估；風險評估應當針對風險的可計量和不可計量兩方面進行；三是注重防范風險關口動態管理工作。防范風險要注重“五個轉變”——由注重業務風險轉向業務和人的道德風險控制并重；由注重單一貸款風險轉向整個企業和關聯企業、行業風險轉變；由注重信用、法律風險轉向市場風險、經濟調整風險、突發事件風險等方面轉變；由靜態的風險控制轉向動態、即時風險控制轉變；由事后督察控制轉向事前與技術結合控制轉變。四是要著重加強計算機系統風險控制，對系統的項目立項、設計、開發、調試、運行、維修等全過程實施嚴格管理；五是在風險管理技術上，積極探索新型風險控制技術和工具。在信用風險管理方面，要借鑒國際上的信用風險計量方法、貸款定價方法和數據庫建設方面的經驗，為在利率市場化條件下應當如何經營提供必要的思想準備和技術準備。在市場風險管理方面，要重點加強利率風險在銀行管理中的應用研究，尋求新的風險控制技術和工具。六是建立制度制定協調機制，確保各部門出臺的有關制度和管理辦法與全行的基本內控制度保持一致，并保證各制度之間實現有效銜接。

（四）建立有效的授權體系，完善權責分配機制

對于組織內的全部活動進行合理有效的分配職責和權限，并為執行任務和承擔職責的組織成員提供所需的資源并確保他們的經驗和知識與職責權限相匹配。具體：一是城商行應根據自身業務經營和風險控制要求設置相應的職能部門，在職責分工上既要體現制約，又要體現協作配合，設置合理、有效的崗位；二是建立明確的授權和審批制約機制。城商行及部門應形成明確的新業務開辦須經有權部門書面批準的制度，應按照內部有關經營管理權限實行逐級有限授權，根據被授權人的實際情況實行區別授權，并根據情況變化及時調整授權，明確規定相應責任。分支機構應當建立有效的核對、監控制度，對各種賬證、報表定期進行核對，對柜臺辦理的業務實行復核或事后監督把關，對重要業務實行雙簽有效，對授權、授信的執行情況進行監控。

（五）科技引領作用，提高內控電子化水平

根據業務發展需要盡快啟動對現有核心系統的升級換代，提高科技對業務發展的引領作用；開發建立全行性的數據倉庫和數據平臺，并建立涵蓋全行主要業務活動的管理信息系統，提高信息的完整性、準確性和可用性，提升管理水平；進一步完善信貸管理系統，提高現有信貸系統的風險預警和控制功能，并引入針對各類風險的專業風險管理技術；開發操作風險實時監控系統，提高操作風險防控水平；建立審計系統，實現手工控制向系統控制、事后監督向事前防控的轉變，提高審計的電子化程度；進一步完善信息科技治理，加強信息系統安全管理，建立災備中心和應急機制，確保系統運營的連續性和恢復性。

（六）創造良好的內控環境，建立強有力的內控文化

股份制商業銀行分支機構要站在長遠發展的角度，高度重視內部控制，充分認識防范風險的重要性，切實了解本行的主要風險所在，在日常管理中要積極倡導建立有力的風險控制文化，從自身做起，使風險控制成為全體員工日常工作中的重要任務。要通過人性化的人力資源管理，合理的激勵約束機制，持續的業務培訓、服務培訓、內控文化以及先進理念的培訓，培養員工的法律意識、內控意識、風險意識、合規意識，提高道德素質和業務素質，使自覺遵守內控制度，成為全體員工的自發行為。

（七）多措并舉，提升制度執行力

一是從源頭抓起，提高總行管理部門，尤其是業務管理部門的業務管理水平，加強對管理人員的業務技能培訓，提高其專業技能和制度編寫能力。

二是加強對制度的宣傳和培訓，確保基層分支機構能迅速、全面掌握制度的各項要求；并建立制度制定者與執行者之間的聯系機制，確保執行者在執行制度過程中遇到的問題有暢通渠道進行反饋，并得到及時解決。

三是建立責任明確的內部激勵機制，嚴格考核，明確獎懲；嚴把用人關，特別是管理人員和重要崗位人員配備要確保其綜合素質與所承擔的職權相適應；對員工崗位實行定期和不定期輪換制，正確應用交叉檢查原則；制定多層次的內部控制考核制度，以量化指標去考查內控制度的執行情況。

四是建立制度后評價機制，由制度制定部門和合規部門定期對出臺的制度的執行情況進行跟蹤評價，對制度執行不力的情況進行分析，查找原因，持續改進。

（八）建立科學高效的審計組織架構，強化稽核監督作用

根據《銀行業金融機構內部審計指引》的要求，進一步明確董事會的內部審計職責，切實承擔起批準內部審計章程、中長期審計規劃，并對審計工作情況進行考核監督的責任；建立起內審部門直接向董事會和審計委員會負責的匯報體系。具體：一是要建立完善的審計管理體系。建立涵蓋經營活動、風險狀況、內部控制和公司治理等各個方面的審計制度；完善全面審計、后續審計等審計操作流程；增強審計工作的獨立性和權威性。二是健全審計內部監督機制。要明確審計委員會設置、定位、工作職責和工作制度，建立健全對審計工作質量評價和監督機制。三是應當建立有效的內部控制報告和糾正機制，對內部控制設計的合理性以及執行的效果進行有效的衡量、評價，建立并利用暢通的信息反饋和報告渠道，將發現的問題及時完整地傳遞給最高決策組織，以促進內部控制的不斷完善和加強，保證內部控制合理性和有效性。四是應當建立分支機構的內部控制的后評價制度，定期對內部控制的制度建設和執行情況進行回顧和檢討。

（九）形成內部審計部門和合規部門的聯動機制，落實監管意見

城商行應當充分發揮合規部門在內部監督糾正機制方面的作用。合規部門可以作為牽頭部門，統一協調相關業務部門的整改工作，督促業務部門落實整改措施，而內部審計部門應當將監管意見整改情況納入審計范圍，對整改效果進行評價，并將評價結果與監管部門進行溝通，合規部門和內部審計部形成聯動，提高對外部監管意見的落實整改效果，確保內部監督糾正機制充分發揮作用。