淺議《商業銀行內部控制指引（2014）》

許宜湛

摘 要：本文通過對比2014年銀監會頒布的《商業銀行內部控制指引》與COSO報告（2013）、《銀行業金融機構全面風險管理指引》（2016），并結合我國商業銀行的實際運作情況，分析了該指引的主要變化和不足，為以后的商業銀行內部控制指引的制定提出了思考方向。

關鍵詞：商業銀行 內部控制 風險管理

中圖分類號：F832 文獻標識碼：A 文章編號：2096-0298（2018）03（a）-029-02

COSO報告（2013）認為，內部控制是一個由主體的董事會、管理層和其他員工實施的，旨在為實現運營、報告和合規目標提供合理保證的過程。作為在國名經濟中扮演重要角色的商業銀行，其高負債經營的特點，更需要穩健運營，改善和加強內部控制與風險管理意義重大。2014年9月中國銀監會頒布了新的《商業銀行內部控制指引》（以下簡稱14指引），該指引是繼人民銀行頒布的《加強金融機構內部控制的指導原則（1997）》、《商業銀行內部控制指引（2002）》和銀監會頒布的《商業銀行內部控制指引（2007）》之后第四次頒布關于商業銀行內部控制的規范性文件，足見商業銀行內部控制的重要性。

1 《商業銀行內部控制指引（2014）》的變化、特點

（1）2014年指引在體例上與COSO整合框架2013不同，較能起到規范性的指引作用。2014年指引在內容上借鑒了COSO框架的基礎上，分為總則、內部控制職責、內部控制措施、內部控制保障、內部控制評價和內部控制監督五個部分，沒有按照COSO框架的五要素（內部控制環境、風險識別與評估、內部控制措施、信息交流與反饋和監督評價與糾正）展開。這與COSO是美國的私立組織（它頒布的內部控制框架是相關成員的工作總結，因在世界各地得到廣泛應用而具有權威性）。而我國頒布商業銀行內控指引的是銀監會，是政府機構，所頒發的指引是具有法律規范性的文件，在借鑒COSO框架2013的基本要素、原則的基礎上，按照我國行政方式展開，更便于銀監會及其分支機構對各商業銀行機構進行監督檢查，同樣能切實起到“指引”的作用。

（2）2014年指引與以往的銀行內控指引最大的不同是基本不涉及直接、具體的銀行業務內容，指引內容顯得非常寬泛。2007年指引在體例上突出以業務為主線，分為總則、內部控制基本要求、授信的內部控制、資金業務的內部控制、存款和柜臺業務的內部控制、中間業務的內部控制、會計的內部控制、計算機信息系統的內部控制、內部控制的監督與糾正。

2014年指引的內容之所以被設計得很寬泛，實際是在民營資本逐步進入銀行業、利率逐步降低放開的大環境下為各家商業銀行設計了一個內部控制框架，便于各大小商業銀行能根據自己的規模、經營模式和習慣、成本效益等因素，制定適合各自銀行的內部控制手冊或規定，以實現內部控制的最基本目標——運營的效果和效率，財務報告的可靠性，遵循適用的法律，而充分起到了“指引”的作用。這也符合《有效銀行監管核心原則（2012）》的“內部控制和審計要求”——“銀行擁有適當的內部控制，以建立和維持一個恰當的，考慮到他們業務經營風險狀況的可控運行環境。”

（3）2014年指引總則中關于商業銀行內部控制的概念、目標和應遵循的原則均作了調整。

第一，總則關于內部控制的定義充分借鑒了COSO（2013）的定義，突出了由“董事會、監事會、高級管理層和全體員工”共同參與的過程，強調了內部控制是全員參與的治理文化和合規理念，刪去了舊指引中的“事前防范、事中控制、事后監督”的銀行運營中的具體管理規定，以寬泛內部控制的范圍，并不局限于日常業務；同時沿襲了“動態過程和機制”，突出了建立內控不是目的，是實現目的的過程、措施。

第二，內部控制目標則沿襲了舊指引中的合規、運營、風險管理和信息要求四個目標，比COSO整合框架2013多了“風險管理的有效性”目標，體現了在借鑒基礎上，根據商業銀行業的特點，需要重點關注貸款、投資的資產安全。

第三，2014年指引強調的原則是全覆蓋、制衡、審慎和相匹配，不同于原來的全面、審慎、有效和獨立的原則，將舊指引中的獨立原則變為制衡性原則，突出了公司治理的頂層設計理念，其實攘括了舊指引的“獨立性”原則，是它的發展；相匹配原則強調了內部控制的成本效益、適用性，包括了“有效性”原則的內容，增加了靈活性。

（4）2014年指引對內部控制評價作出了具體要求，既強調要設定內部控制考評標準，也要求商業銀行應當根據業務經營情況和風險狀況每年至少開展一次內部控制評價。這為商業銀行進行內部控制工作開展提供了制度執行的保障。

（5）2014年指引既強調了商業銀行內部的監督，又突出了政府銀監會對內部控制的監督。指引中明確了董事會、高級管理層、內部審計部門、內部控制職能部門和業務部門對內部控制的有效性分級負責、監督檢查和內控評價、履行職責和落實整改的責任，強化了責任追究。

2 關于《商業銀行內部控制指引（2014）》不足的思考

盡管2014年指引在2007年指引的基礎上，結合經濟環境的變化，已做了許多進步的嘗試，但在商業銀行內部控制內容、執行和評價上均存在不足。

（1）2014年指引沒有突出強調與內部控制有關的道德、誠信和社會責任。內部控制是由董事會、監事會、高級管理層和全體員工共同參與的，需要具備一定的道德水準和業務素質才能有效實施，同時商業銀行在國民經濟中具有特殊的地位，應將內控目標的實現與社會責任聯系起來。2014年指引中沒有關于社會責任的敘述，只有內部責任的追究；關于道德，只是在第四章內部控制保障中第33條指出“商業銀行應當培育良好的企業內控文化，引導員工樹立合規意識、風險意識，提高員工的職業道德水準”。而COSO整合框架2013的第一項原則就是“組織應展現對誠信和道德價值的承諾”，董事會和主體各級管理層通過指示、行動和行為展現誠信和道德價值對內部控制體系持續運營的重要性，即“高層基調”； 巴塞爾委員會發布《操作風險管理和監管的良好作法》中的銀行操作風險管理的原則的第一項原則就是“董事會應發揮主導作用，發出‘高層聲音’（tone at the top），推動強效風險管理文化的構建”。

（2）2014年指引不僅在內容上而且在語言敘述上均過于寬泛，容易給各商業銀行鉆空子。COSO（2013）之所以寬泛，是因為它需要體現如何設計、實施和執行內部控制，以及開展內部控制體系有效性評估這些最為基本的重要概念，才能為那些不同類別、行業和地區的組織在應用本框架提供基礎。但COSO在內容敘述上非常詳細，內容實際很豐富，具有普遍地指導意義。2014年指引從總體上為商業銀行內部控制的職責、措施、評價和監督只是提供了方向，沒有具體的內容，各商業銀行會在充分考慮成本與效率的基礎上，或者雖然制定完善的內部控制措施，但只停留在紙面上并沒有執行，或者內控職責名義上由各業務部門、崗位兼職負責，實際并沒有執行。因此可以借鑒COSO（2013）的行文風格，將2014年指引進一步細化，不失寬泛而具有普遍指導意義。

（3）2014年指引中內部控制監督之管理責任制，沒有根據商業銀行的特點突出垂直管理的特點和要求。商業銀行一般沒有專設的內控管理職能部門，各業務部門自身既是業務部門，也在執行各項內控管理措施，內控措施貫穿于各項業務。各項業務操作的文件包括內控的措施是逐級傳達、落實，并由上一級業務部門督促下一級執行內控規定，并檢查實際執行效果，是垂直管理、運作的架構。指引中只是敘述了業務部門有內控責任要求。強調商業銀行內部控制的垂直管理可以在一定程度上避免由于本級行管理層的凌駕和基層行員工集體犯罪所導致的內控失效。

（4）2014年指引應進一步突出強調內部審計部門在內部控制制度建設、督促執行、效果評價中的作用。商業銀行的內部審計部門不是業務部門，游離于業務外部，審查評價并督促改善商業銀行業務經營、風險管理、內控合規和公司治理、經營效果，主要采用上級審計部門查下一級行、不同地區行之間交叉審計的工作形式，在一定程度上能起到第三方評價的作用。2014年指引不僅應強調內審部門負有定期審查和評價內部控制的充分性和有效性的責任，還應說明商業銀行要將內部控制直接納入責任審計、離任審計和專項審計范疇，而對內部控制的審計可以理解為審計關口前移。

（5）2014年指引雖然在目標中強調了“保證商業銀行風險管理的有效性”，但在內容上并沒有將內部控制與風險管理有機地聯系起來。內部控制主要來自于會計、審計和經濟管理領域，風險管理主要來自于金融保險、安全工程等領域，從商業銀行的經營看，內部控制與風險管理在目標上是一致的。商業銀行內部控制實際根據各類風險管理目標和風險控制點而設立的各種操作規范，著力于能否適當降低風險以保證目標的實現。風險管理則是商業銀行高負債經營的需要，風險管理的過程就是內部控制活動。《有效銀行監管核心原則》（2012）中就有十一項原則闡述銀行風險管理的內容，巴塞爾委員會還專門發布了《操作風險管理和監管的良好辦法》。2016年銀監會頒布的《銀行業金融機構全面風險管理指引》第六章就是內部控制和審計。商業銀行的內部控制指引應與風險管理緊密結合。

（6）2014年指引應強調內部控制措施的一貫性和發展性。商業銀行的組織形式和利益相關者發生變化時，內部控制會面臨挑戰。如商業銀行普遍施行輪崗制度，基層行行長一般兩、三年就要輪崗，商業銀行的管理層發生變化，其對偏離內控規范的態度和回應會發生變化，或者積極處理，或者為追求業績而淡然處之，銀行的一些內控措施就不能有效施行。鑒于此，作為商業銀行內部控制指引——規范性的文件應該強調內部控制措施應一貫執行。

3 結語

商業銀行在國民經濟中扮演著重要的角色，其經營對象的特殊性決定了其面臨著市場、流動性、操作、信用、匯率等風險，規范而行之有效的內部控制能夠降低、減少甚至于避免風險，促進商業銀行在遵守法律法規的基礎之上有效率地運營，達到內外部財務和非財務報告的可靠、及時和透明。銀監會應進一步借鑒國外關于內部控制和商業銀行管理的先進理論、經驗，結合我國的具體情況，規范商業銀行的內部控制的內容和執行力度，以促進在新時代背景下國民經濟的發展。

參考文獻

[1] 銀監會.商業銀行內部控制指引（2014）[Z].銀監發〔2014〕40號.

[2] 銀監會.銀行業金融機構全面風險管理指引銀監發〔2016〕44號[Z].2016.

[3] 巴塞爾銀行監管委員會.有效銀行監管核心原則（2012）[Z].2012.