論城市商業銀行如何加強內控管理

藏晶晶

（烏魯木齊銀行股份有限公司，新疆 烏魯木齊 830000）

隨著經濟全球化建設進程越來越深入，國家整體經濟水平越來越高，各類商業銀行像雨后春筍不斷涌現，城市商業銀行在市場經濟發展中的地位也不斷提升。如今城市商業銀行的經營領域越來越廣、發展規模持續擴大，使得業務量快速增長，伴隨的不穩定因素逐漸增多，容易引發各種各樣的金融風險，必須重視管理和控制。然而，城市商業銀行在經營管理中容易出現內部控制低效的問題，這與銀行內控管理實施不到位有直接關系，內控環境、風險管理、控制活動以及監督審計等形勢嚴峻，亟待改進和強化。

一、城市商業銀行內控管理簡述

內部控制是伴隨經濟現代化發展形成的重要管理方法之一，是為合理保證達成經營效率和效果、財務報告可靠、符合法律與規章制度的一種程序。所以，商業銀行內部控制指的就是商業銀行為了完成經營目標，通過制定、執行一系列制度和程序，采取一系列方法，進行風險的防范和控制、監督、糾正的機制和動態過程，具有全面性、審慎性、獨立性和有效性的特征，需要商業銀行在相關職能與層次上建立、保持內控目標。城市商業銀行是中國銀行業的特殊群體和重要構成，旨在讓地方經濟和地方居民獲得金融服務。經過多年的發展和變革，城市商業銀行發揮了支持地方經濟事業發展、服務地方企業經營、提升地方資金使用效率等作用，已經成為國家銀行業第三梯隊的中堅力量[1]。但是受到資產規模小、運營輻射短、業務范圍窄等因素的影響，城市商業銀行的經營環境越來越嚴苛，有必要通過加強風險管控來應對。風險管控指的是城市商業銀行為了減少經營管理中可能發生的風險所開展的管理活動，旨在尋求最小風險下的最大盈利。

站在風險內部控制的角度，城市商業銀行風險控制目標是實施風險管控的出發點、方向，內控可以說是控制風險的管理系統，怎樣提升股東利益、確保風險最小化是最重要的目標。具體包括：通過風險管理保證銀行全面貫徹執行相關法律法規和內部規章制度，弱化合法合規風險；利用內部控制讓銀行內部權責更明晰，形成相互牽制的良好局面，更有效地防控金融風險，確保風險管控的有效性；基于內控管理確保銀行的業務、會計、財務等信息的質量，依法披露相關信息；加大審計和監管力度，盡可能消除負面因素，防范風險的發生，不侵害相關者的利益，保障銀行長期發展目標的實現。

二、城市商業銀行內控管理形勢

為了實現上述內控目標，把握城市商業銀行的內控管理形勢是基礎和前提。

1.內控環境

城市商業銀行對培養員工風險管理意識的重視程度在不斷提高，自成立之后努力通過加強風險教育、弘揚合規文化等方法營造優良氛圍[2]。一些城市商業銀行還高度重視建設企業文化，基于合規制度的執行構建自身合規文化，定期開展員工培訓工作，以達到人人講控制、處處防風險的目的。例如某城市商業銀行會定期開展合規文化測試活動，員工成績優異能夠獲得獎勵，員工成績不達標就要接受額外考核，直到達標。如此，城市商業銀行逐漸形成內控文化環境，但目前尚處于成長階段，和國內大型銀行之間還存在差距，有待強化。

2.風險管理

如上所述，城市商業銀行愈加重視風險管理，有的銀行針對各種業務活動開展風險排查、條線檢查等工作，排查內容涉及到業務的各個方面，例如開立銀行賬戶的情況、賬戶使用情況以及多種賬目情況、處理業務的過程等，據此構建由風險管理委員會主導的銀行風險管理與識別體系。然而在實務操作中，識別信貸業務風險依舊以人工經驗為主，缺少定量分析，加上銀行的風險評估流程和體系不夠完善，制約內控管理實施效果的提升。

3.控制活動

在城市商業銀行的內控管理中，內部控制活動應用廣泛，只有落實內控活動，有機整合各項業務和風險評估，才可以確保順利開展業務活動。信息溝通反饋主要是指收集內外部有價值的各類數據和信息，進行加工、整理，并及時向各部門傳遞，方便管理層根據反饋的信息正確決策[3]。信息溝通反饋貫穿城市商業銀行內控體系的每一個環節，是確保有效實施內控管理的橋梁。銀行信息溝通涉及內外兩部分，尤其重視管理層和基層員工之間的信息溝通，保證及時反饋信息。例如，城市商業銀行已經建成管理信息平臺，依托這一平臺建立內部員工溝通體系，包括電子郵件體系、電子公文體系、業務園地、員工心聲等，向內部各級人員傳輸各種運營、會計、財務報表等數據和信息，也方便合規部門隨機訪查，收集基層員工的想法，向管理層反饋。銀行還和外部監管機構建立信息溝通關系，把握監管新動向，保障自身業務合規，同時利用設立網點、網站主頁、電子屏滾動顯示等方式讓客戶獲取信息，并利用意見箱及時獲得客戶的意見、建議。但城市商業銀行的信息溝通反饋并非盡善盡美，在信息系統建設上尤為突出，仍然處于摸索狀態，需要通過加快信息化建設有效開展內控活動。

4.監督審計

內部監督審計是城市商業銀行實施內控管理的基礎所在，也是內控管理的反饋手段，通過對銀行運營中的內控問題給出意見，提高內控管理效率。這主要涉及日常監督、專項監督，前者是指圍繞內控管理情況展開不間斷的、常規的監督，融入日常經營活動，后者是圍繞經營活動、業務流程、關鍵崗位變動等事項的調整或變化較大的情況展開的針對性監督。某城市商業銀行內部監督的主要方式如表1所示，然而銀行基層內部審計的獨立性缺乏，同時存在忽視或者簡化審計績效評估的現象，影響內部監督審計工作成效。

表1 某城市商業銀行內部監督的主要方式

三、城市商業銀行加強內控管理的建議

根據內控管理形勢，城市商業銀行務必要采取針對性的措施改善內控管理，提高內部控制實效。

1.加強制度建設，優化內控實施環境

首先，城市商業銀行要遵循業務發展制度先行的基本原則持續加強內控制度建設。一是明確職責分工制度，合理設置內部每一個崗位；二是完善審批檢查制度，加大檢查力度，使內部業務行為越來越規范；三是完善審計制度、管理制度，健全數據信息的報告、處理、交流、披露等程序；四是結合銀行業務的危險性與特殊性嚴格落實保衛保管制度；五是有效執行內部審計制度，向銀行最高管理層報告，確保內控制度更完善、更嚴密。

其次，要注重對內控制度的評估與調整，形成更完善的、可操作性強的制度。銀行內控制度嚴密與否直接影響財務會計數據以及其他經濟信息的真實性、可靠性，現代審計往往把內控制度作為審計審查重點，要基于完善的制度加強合規文化建設，打造優良內控環境[4]。一是評估銀行內控制度的全面性，及時補充制定缺失的部分；二是梳理內控制度的完整性，關注現有制度覆蓋主要業務風險點與否，從合法合規性和覆蓋風險點的程度、可執行程度等方面重點審查，發現制度的漏洞、缺陷，及時修訂，提升制度完整性；三是檢查內控制度的有效性，及時針對檢查發現的問題給出行之有效的整改意見，同時跟蹤整改情況。

最后，要科學配置人員，促使全體人員發揮最大的潛力。針對內部員工加強合規意識教育，督促每一名員工在每一個崗位、每一項業務的操作中全面貫徹合規理念，形成濃厚的合規文化氛圍，確保銀行各項業務合規；構建操作風險和內控自我評估體系，主動開展評估工作，在強化合規管理的同時尋求業務發展和內控管理的最佳平衡點。

2.改進風險評估，有效防范內控風險

城市商業銀行在各業務流程中都要貫徹風險評估，把市場風險、流動性風險、操作風險和信用風險等納入考核體系，從單一風險評測轉向整體風險評測；分析風險時滲透風險組合理念，重視所有業務部門的運作，關聯各類風險，從總體視角評測風險；進一步完善風險預警機制，針對重要部門和重要對象、重要業務處理環節等持續加強風險測評。例如信貸業務，銀行在客戶準入階段就要量化準入制度，做好客戶分級工作；在授信階段嚴格測評風險，精準量化貸款申請者的違約風險、授信損失程度，進行債項評級和風險摸底、預警等，加強預防；在貸款審查階段明確風險識別標準，實時檢查對應資料的真實性；在貸后管理階段要全方位監管客戶企業及其控制主體的風險信息，只要出現違約風險，第一時間清收并保全資產。具體流程如圖1所示。

圖1 城市商業銀行貸款風險評估流程

與此同時，城市商業銀行要持續改進、升級風險評估手段，完善線上風險評估系統，借助數理統計模型定量評估風險，最終在風險管理中實現對定性方法、定量方法的融合應用[5]。例如針對聯保貸款授信業務，主要根據參與聯保的企業的規模、數量決定授信額度，規模越大、數量越多，授信額度就越高。當數量達到某個閾值，其授信額度的風險就可能超出企業可以承擔的額度范疇，特別是這些企業如果是同類或者同種行業，風險發生率大大增加，要以數理統計模型為支撐，在參與聯保企業超出閾值或者行業相關性較強時啟動預警機制，發揮好內控管理的作用，適當收縮授信規模，降低發生風險的可能性。

3.完善內控體系，提高溝通反饋效率

完善內控體系是城市商業銀行控制活動有效、資本安全、經營有序的重要保障，既要明確職責范圍，做到專崗專責，防止發生授權混亂、操作違規等問題，又要依托嚴格的考核約束員工行為，把銀行內控管理和個人獎懲掛鉤，增強內控執行力，杜絕發生內外勾結事故。在網絡信息時代，信息系統可以有效降低風險發生率，完善的信息系統平臺能夠通過數據計算實現內控目標，突出線上控制系統相較于人力控制的快捷性、全面性優勢[6]。城市商業銀行的金融產品在網絡信息化發展環境中不斷推陳出新，支付寶、手機銀行、在線支付等對傳統信息系統帶來巨大考驗，完善內控體系、加強信息交互是重要手段。

一方面，建立健全內部網絡信息系統，形成縱橫交錯的銀行信息溝通反饋渠道和網絡；另一方面，完善內控管理系統，構建上通下達的銀行信息交流框架，形成內控管理信息庫，夯實內控數據量化基礎。其關鍵還在于利用計算機和網絡對內控制度指標和流程等實施程序化處理，進一步提升信息系統平臺的完整性[7]。例如，注意內部電子化溝通的實現，打造城市商業銀行完善的內部業務系統，因為銀行數據信息龐大是普遍特征，加上新時代的信息市場迅猛發展，銀行持續拓展業務范圍，大數據可謂瞬息萬變，銀行辦公必須與電子信息化方式適應；針對外部客戶體驗，要完善手機銀行業務類型、安全防護策略，讓手機銀行用戶獲得更優質的體驗。考慮到現代化高科技手段的控制影響，銀行要消除電子化溝通的弊端，如預防數據信息的重復錄入、惡意修改，預防系統漏洞引發的內部人員違規操作、外部人員惡意入侵、系統故障等，強化信息系統平臺安全防護，體現信息溝通反饋的科學性、有效性。

4.強化內部監管，提升審計管控水平

內控管理中內部審計的獨立性與權威性至關重要，城市商業銀行要加強內部審計人員業務培訓，使其更關注風險，接受審計項目風險點培訓，堅持學習國內外銀行審計信息化的做法、經驗，把握內部審計信息化理論創新和發展趨勢，增強風險敏感性、職業判斷力，更有效地控制風險，深化審計監督的改革和發展。為了提升審計獨立性，在開展銀行內部審計工作之前和組建內部審計團隊之時嘗試跨機構抽調和被審計銀行距離跨度較大、沒有交叉業務的骨干人員加入審計隊伍，提高業務認知，并利用不同機構的競爭心理增強審計團隊的獨立性。還要大力構建內部審計信息化體系，規范系統的運行和人員的準入，做好數據處理、信息安全、數據歸檔以及評價反饋等工作。同時采取新的、更規范的數據分析方式，加強計算機審計模型的開發和創新，利用銀行大量真實數據進行模型的測試、完善，讓內部審計方法更加成熟、更加完善，提高審計監督效益和質量[8]。

除此以外，完善城市商業銀行內部審計監督的績效評估，明確責任和獎懲。例如針對反洗錢業務操作風險，銀行要建立健全反洗錢風險管控績效評估體系，準確評估并反映銀行及其相關部門完成反洗錢風險管控任務的情況。首先，利用反洗錢監測報送系統對人工完成的交易補錄筆數、甄別的可疑交易報告筆數、客戶洗錢以及融資風險等級劃分筆數、客戶盡職調查筆數進行核算，根據合理系數給予反洗錢監測工作人員適當的獎勵；其次，明確反洗錢業務人員的責任、獎勵，利用日常監督和內控檢查，獎勵及時找出可疑交易和上報洗錢線索等行為，處罰因發現問題不及時造成銀行損失、不良影響的業務人員，取消評先評優資格，消除僥幸心理，預防為了追求個人利益擅自簡化操作流程；再次，銀行內部監督管理部門要定期檢查各機構的反洗錢監測與復核是否存在一手清問題、有沒有落實績效獎懲方案、反洗錢業務內控有沒有覆蓋所有業務流程、反洗錢內控檔案完整與否等，獎勵年底反洗錢考核成績優良的部門、個人，嚴厲批評年底反洗錢考核不及格的部門、個人，激勵全體人員增強責任感和風險意識，認真開展反洗錢業務。

四、結語

城市商業銀行是中小型商業銀行的代表，在經營過程中表現出制度不完善、不良貸款率高、內部審計獨立性弱等特征，在內控管理中致力于通過優化內控環境、防范內控風險、高效溝通反饋、強化審計管控等措施妥善解決內控管理不力的問題，提高內控效果。當然，實施內控管理是長期的系統性工程，城市商業銀行內部各部門要充分協作，全體人員共同努力，提高對內控管理的認同度、重視度，不斷加強內部控制的實施，完善內控體系，以此適應不斷變化的市場經濟環境，應對復雜多變的金融風險，保障實現可持續發展。