【商業銀行的內部控制與風險管理】

【商業銀行的內部控制與風險管理】

商業銀行的一切活動都是圍繞著銀行價值最大化的目標展開的。這些直接創造價值的經營活動和間接創造價值的管理活動構成一個有機體，它們以產品線為鏈接，使每一個活動或每一個環節的出口都成為另一個活動或環節的入口，每一個活動都不可能脫離其他活動而孤立存在。這些活動的有序進行必須通過內部控制方可實現，而體系化文件則成為這些活動得以有效實現的依據。這就是說，商業銀行要有效開展其經營活動以達價值最大化目標，必須建立起有效的以體系化文件為特征的內部控制體系。但這種價值最大化必須是經過風險調整之后的概念，即銀行的經營活動只有在風險可控的狀態下進行，才能達到預期目標。因此，商業銀行的內部控制與風險管理又有著密切的、不可分割的聯系，前者為后者構筑基礎、平臺，后者則在此基礎上實施有效的風險管理，并支持商業銀行總體經營目標的實現。

一、明確內部控制與風險管理的關系

一是，內部控制的理念和實施路徑與全面風險管理的理念和實施路徑是一致的。內部控制旨在建立一個適應商業銀行運作的系統的、透明的、科學的、文件化的內部控制體系框架，實現對各類風險系統、連續、有效地控制，最終為實現銀行的發展戰略和經營目標奠定堅實基礎。其實現路徑則是運用“過程方法”和“管理的系統方法”，全面梳理業務和管理活動的流程，識別、評估流程中的各類風險，確定控制措施及要求，并通過“內部控制環境”、“內部控制策劃”、“實施與運行”、“監測評價與持續改進”、“信息交流與反饋”五大功能模塊的文件化系統的運行，形成對風險進行事前預防、事中控制、事后監督糾正的動態過程和機制。全面風險管理則也是旨在建立一個包括對信用風險、市場風險和操作風險等各類風險在內的有效的風險管理體系，促進銀行價值最大化的目標在風險可控的狀態下實現。其實施路徑也是通過對各類風險的識別、計量、分析、控制，使各類經營活動在風險可控的狀態下運行，實現收益與風險控制的最佳結合。因此，從這個意義上講，兩者是一致的。

二是，內部控制體系實施的過程即各類風險識別、計量、控制、監測的過程。內部控制體系主要是通過“五大功能模塊”的有序推進和相互作用而發揮其功能的：著力營造一個治理結構完善、職責分工清晰、最高管理層高度重視并充分參與的內部控制環境，有助于打造一個清晰的、與商業銀行發展戰略一致并符合法律法規及監管部門要求的內部控制政策；有了清晰的內部控制政策，有助于在識別與評估風險的基礎上，確定與內部控制政策一致、體現持續改進要求并盡可能量化的內部控制目標，構建內部控制框架；通過對所識別風險采取有效控制措施，能夠使金融產品的價值創造過程和支持過程處于控制狀態，以有效規避風險；而通過對內控體系的運行狀況進行持續的、不間斷的監測，又能夠及時發現損失、險情及不符合事項，采取控制及糾正措施，并督促持續地改進與完善；通過建立與內控目標相適應的信息交流機制，又能夠確保董事會和高級管理層及時了解核心業務及重要管理活動的相關信息，在險情、事故發生時，能夠得到及時報告和有效溝通，以研究制訂相應的控制方略。不難看出，內部控制體系實施的過程，也就是對各類風險識別、計量，控制、監測的過程，而且隨著這一過程的不斷循環往復，商業銀行的基礎管理會不斷增強，各類風險管理工具在此基礎上的運用會更加富有成效。

三是，內部控制體系為風險管理、尤其是操作風險管理積累數據，奠定基礎。內部控制體系所確立的內控原則、內控目標和內控框架，是符合巴塞爾銀行監管委員會《有效銀行監管的核心原則》以及中國人民銀行《商業銀行內部控制指引》的要求的，對風險的監測和控制是全方位、多層面的。尤其是通過不斷地對各類、各層次風險的監測和評估，可以識別某類風險在某一部位或某一環節發生的頻度以及造成損失的嚴重程度，以便在采取有效措施加強控制的同時，不斷積累數據，建立操作風險分類系統，開發操作風險管理工具，進而為建立管理模型奠定基礎。因此，內部控制體系的有效實施有助于商業銀行全面風險管理能力，尤其是操作風險管理能力的有效提升，這在我國商業銀行現階段操作風險頻生的情況下尤為重要。

四是，內部控制體系通過評審及持續改進功能，促進風險管理能力的不斷提升。“監測、評價與持續改進”是內部控制體系內生的一個非常重要的功能。其可貴之處在于徹底摒棄了過去對問題部位的單點式、間斷式、就事論事式的評價與改進方式，代之于全面的、持續的、系統的監測與跟進方式，對于全面加強商業銀行的基礎管理，提升其風險管理能力有著非常重要的作用。現階段，商業銀行基礎管理的薄弱已成為其風險管理工具運用和風險管理能力有效提升的重要掣肘因素，有章不循、違規越權等問題屢查屢犯、屢禁不止，不僅加大了監管成本，而且成為案件頻發和問題資產的一大根源。究其原因，就在于沒有一個系統控制及持續跟進的機制，使得同一部位類似的問題不斷發生，很大程度上抵消了現場檢查及責成整改的效果。這一問題若不從根子上解決，商業銀行的操作風險引發的惡性案件以及造成的資產損失就不可避免。因此，建立內部控制體系，充分發揮其持續監測與跟進改進的功能，著實已成為商業銀行提升基礎管理能力和風險管理水平的當務之急。

需要指出的是，內部控制又不等同于風險管理。首先，從實現目標看，內部控制的目標是建立適應商業銀行運作的系統的、透明的、科學的、文件化的控制體系，實現組織的規范有序運行；風險管理的目標則是通過對業務運行中各類風險的識別、評估、計量、控制，消除風險隱患，實現銀行價值的最大化。其次，從控制手段看，內部控制主要通過一套體系化文件對銀行的經營和管理活動進行控制，并通過體系內生的監測和評價功能形成持續改進的機制；風險管理則主要運用信用、市場、操作等風險分析模型，通過授權、評級、限額、組合分析、經濟資本配置等風險分析工具及手段，對銀行的各類業務和管理活動進行管理和控制。再次，從控制方式看，內部控制主要運用“過程方法”和“管理的系統方法”，形成對風險進行事前預防、事中控制、事后監督糾正的動態過程和機制；風險管理則主要通過理念的灌輸使風險意識滲透于銀行業務的全過程和產品制作的各環節，并通過各類風險分析模型和工具跟進運行過程，不斷發現問題及時預警并跟進控制措施。如果說內部控制側重于過程本身和結果評價的話，風險管理則更重視一個過程的前端及控制措施的有效性，并設法將預測到的風險隱患消滅在萌芽狀態。

二、我國商業銀行內部控制的現狀及差距

我國商業銀行內部控制的總體狀況是令人擔憂的。作為內控薄弱結果的突出顯現，商業銀行案件的頻發，違規越權事件的屢禁不止，主要資產業務的事前、事中、事后控制的不到位，又構成不良資產生成甚至損失的動因。而其背后的體制性、機制性因素又是構成內部控制失效的根本性內因。

一是單點、條線式的控制，使得商業銀行的內部控制不能夠成為體系。我國商業銀行注意內部控制是從20世紀90年代國有銀行商業化改革開始的，也可以說是從90年代初期的粗放經營引發了多起案件和大量不良貸款中汲取教訓而開始關注的，還可以說是從英國“巴林銀行事件”中得到啟示而引發思考的。但即便如此，這種處于“初級階段”的內部控制多是單點、條線式的，即針對某一風險點采取某項控制措施，或者負責某一條線的業務部門實行自上而下的風險控制。這種控制在某一環節或某一業務品種可能是有效的，但由于各業務環節和各業務條線未能有機連接，不能形成網絡狀的體系，使得業務運行中的各個部位和各個環節不能形成平衡制約或相互支持，因此，必然造成總體上控制不足或系統控制失效，使內控難以達到預期目標。

二是間斷式、就事論事式的控制，使得銀行缺乏持續改進的動力和機制。為達到規章、制度執行有效，減少操作風險的控制目標，商業銀行內部及外部監管機構組織了多次、甚至是大規模的現場檢查。但每次檢查都會發現大量的、以前檢查中發現并責成整改的問題，本次只是在不同的部位、以不同的形式又表現出來，而且更多的竟是在相同部位、或相同形式再次發生。究其原因，主要還是這種檢查是不定期的、視銀行管理者或監管部門的管理偏好而定的，是非制度化的。因此盡管每次檢查過后督促整改的意見中都有“舉一反三”的要求，但由于沒有形成制度化的、持續跟進的機制，因此改進的效果必然是“就事論事”式的，而非從根源上查找原因并加以系統整改的。

三是文件繁多甚至政出多門，是引發控制“盲點”或控制不力的原因所在。公文作為指揮一個組織開展活動的主要形式，近幾年在商業銀行發揮到了極致。因為這些年商業銀行的改革任務重，業務發展快，文件無疑也發得多。但由于這些文件是總行在不同時期由不同部門制作出來的，且有的同一時期不同部門針對同一事件發文，盡管各有不同職責，但之間重復、甚至相互矛盾的事情時有發生，使得下級分支機構執行起來無所適從。同時，大量的、根據新的情況不斷修訂的規章制度不斷覆蓋以往的制度，也往往使分支機構執行時要費很多周折才能搞清楚，但難免有疏漏的時候。這種大量的、未能體系化的文件，不僅影響執行效率，而且影響執行效果，同時還有“掛一漏萬”之虞。上述問題在商業銀行層級管理體制下造成的信息傳遞層層衰減的狀況下就更為突出。

四是內控管理基礎極為薄弱，操作風險隱患很大。伴隨著20多年來我國經濟的快速發展，我國銀行業也獲得了迅速發展。從我國商業銀行能夠提供的服務品種和能夠進入的業務領域來看，與國外商業銀行已不差上下。但在市場的反應能力、業務的創新能力、管理的規范能力和風險的控制能力等方面還存在較大差別，尤其在流程的科學性、管理的規范性方面差距更大。突出表現在：第一，制度的修訂滯后于市場的變化和業務的發展。這種滯后可能導致兩種后果：其一是禁錮該項業務的發展，削弱銀行的競爭力；其二是業務發展掙脫制度禁錮，但容易造成無制約的風險或違規操作主嫌。第二，制度的執行軟弱無力。近幾年監管部門及銀行自身的檢查均表明，商業銀行對規章制度的執行能力存在諸多薄弱環節，使得內部控制在業務運行的一些環節及部位失效，導致案件頻發及由此造成慘重損失。第三，對制度覆蓋的充分性和執行的有效性缺乏考核和評價。現在商業銀行的考核體系偏重于當期經營績效的考核，對基礎管理的貢獻度尚無量化的計算并將其納入考核體系之中。由此引發的一個直接后果就是基礎管理的位次總也排不上去，因此管理薄弱的狀況總是得不到有效的改觀。

三、強化內部控制，全面提升我國商業銀行風險管理能力的思考和探討

要改變我國商業銀行管理基礎薄弱，操作風險頻升的現象，就必須著力構筑內部控制體系，使之成為商業銀行打造公司治理結構、改革管理體制及運行機制、有效運作各類風險管理工具的一個基礎平臺，徹底消除在過去單點、單線和間斷式控制下造成的內控不力或失效的問題，全面提升風險管理水平，增強核心競爭能力，不斷縮小與國際先進銀行的差距。由于內控體系的建造和維護其持續運轉是一個宏大的、系統的，長期的工程，需要決策層的正確決策、管理層的高度重視和全體員工的全面參與，并要持之以恒地推進下去，唯此，才能使之建立并運轉起來，也才能在運轉中不斷地改進，實現過程中的“螺旋式”上升。

第一，內部控制體系的構筑必須從最基礎做起。通過上述分析，建立內部控制體系的必要性是不言而喻的，從縮短與國際先進銀行風險與內控能力的差距看也必須有強烈的緊迫意識。但內控體系的建立是一個系統工程，必須從最基礎的工作做起，包括理念培訓、文件清理、流程梳理、風險點識別、控制性文件的編制及不斷評審、持續改進及信息反饋等等。理念培訓是內控體系得以建立的最基礎、也是非常關鍵的一個環節，只有將內控的理念植根于各管理層、執行層及每位員工的靈魂深處，風險控制才能成為自覺的意識和行為，銀行的經營目標才有可能實現。同樣，文件清理和流程的梳理也必須做細、做實。因為只有通過對現有文件的系統清理，才能識別出有效文件和無效文件、一次性文件和循環使用的制度性文件，從而將有效文件和制度性文件加以整合，與流程的梳理形成映射。同理，只有通過對業務流程和管理流程的系統梳理，才能將各產品線的制作流程識別清楚，才能進一步弄清楚各產品線之間、各產品線與管理流程之間的接口與出口，也才能在梳理的過程中識別各類風險點，進而明確控制措施，并將這些控制措施通過體系化文件嵌入各類產品的制作流程中，從而實現對業務運作的全面、系統的風險控制。因此，必須潛下心來，扎扎實實地做好體系建立的前期基礎工作，奠定比較堅實的基礎。

第二，公司治理結構的建立及管理體制改革推進必須以內控管理平臺為基礎。要建立內控體系，必須創建良好的內控環境。一般說來，完善的公司治理結構是實施有效內控的前提。但在我國商業銀行的現有條件下，公司治理結構尚未建立或正在建立，因此內控體系建立不能坐等公司治理結構完全建立起來之后再著手打造，而應不失時機地向前推進。這就需要有一個銜接，即在建造內控體系的過程中密切關注公司制改革及與之相應的內部管理體制改革的進展情況，并將改革的內容及時吸納到內控框架。反之，應考慮以內控體系的建造為基礎，在公司治理及內部體制改革的安排、機構的設置、必要的職責分離、報告線路等方面要與內控體系有機銜接起來，切忌搞成“兩張皮”。唯有這樣，才能真正起到內控體系支撐公司治理結構建立和內部管理體制改革順利進行，公司治理和內部體制改革有效支持內控體系運轉和內控目標實現的良性作用。這里應該著重指出的是，內部管理體制改革必須要考慮打破“層級制”的管理模式，推進各業務條線的“單元制”，尤其是風險管理的獨立性和垂直化更要先行，否則很難從根本上改變內控措施難以奏效甚至失效的局面，建立符合現代商業銀行內控要求的長效機制。

第三，要探索建立推進內控體系持續運轉的考評機制。內控體系的建立不是目的，目的是使其運轉起來，通過運轉發揮其識別風險、評估風險并有效管理和控制風險的作用。因此必須建立一種機制，使其能夠推進內控體系持續不斷地運轉。否則，花費很大力氣建造起來的文件化體系很可能被束之高閣，變成“中看、中聽而不中用”的東西。由于內控體系在加強商業銀行基礎管理、防范操作風險方面具有不可替代的作用，以及目前該方面的薄弱狀況和在商業銀行管理考核中排不上位次的現狀，可考慮將對內控體系運行狀況的審核及評價結果作為商業銀行綜合考評的一項重要內容，設置一定的權重，使考評結果與商業銀行的資源配置密切掛起鉤來。只有這樣，內控體系的運轉才能夠真正被重視，其對商業銀行經營目標實現的支持作用才能真正發揮出來。

第四，要以評審推進內控體系的持續改進。內部審核作為推動內控體系不斷改進的持續動力，是內控體系建立和維護過程中的一個核心環節。要使內部審核真正發揮其作用，需要建立起三個層面的審核或監督，使其在獨自發揮作用的同時又形成有機的整體：一是各業務條線的自我檢查。即各業務條線定期對其經營活動、尤其風險點進行梳理檢查，對發現的問題及時糾正。二是承擔內控管理的綜合部門(一般是風險管理部門)定期組織全行性的評審活動，從各業務條線抽調審核人員對各業務條線進行交叉評審，作為上報管理層進行管理評審的重要依據。三是審計部門定期或不定期組織對內控體系運行及控制狀況進行評審，并作為董事會進行內控政策及目標調整的重要依據。這種環環相扣的自我監督和評審，可以在確保審核的覆蓋面，使全員、尤其是操作崗位的員工參與其中的同時，保證審核的專業性以及審計部門評審的獨立性，同時保證評審的制度化，從而使風險得以有效識別并使體系得以持續、有效改進。

第五，要在內控體系的基礎上著手模型的開發和電子化手段的應用。內控體系的建立和運行旨在有效防范和控制風險、尤其是操作風險，因此不能滿足于手工操作，必須在條件許可的情況下抓緊推進電子化建設。可考慮在內控體系全部運轉起來并逐步趨于穩定的基礎上，以內控體系明確的工作流程為對象，將有關控制程序和措施固化到計算機系統中，并有機與各業務操作流程系統連接起來，形成一個能有效地監測內控體系運行的電子化管理系統。同時，運用體系建立和運行過程中識別出的風險點以及針對風險點采取控制措施的有效性監測情況，積累這些風險點發生實際損失的事件及頻率，逐步建立操作風險“分類樹”和數據庫，開發操作風險控制的模型，設置操作風險限額，并有效配置操作風險資本，以更有效監測和控制風險。

（招商銀行股份有限公司石家莊分行鄭曉東）