原创 – 我国银行内部控制存在的问题及对策建议（银行内部控制存在的问题与对策）

防范化解重大风险是十九大提出的三大攻坚战之一。2019年1月习近平总书记在省部级主要领导干部专题研讨班上讲话，再次强调防范化解重大经济金融风险的重要性。银行加强内部控制是风险防控的有机组成部分，是银行部门发挥主动性、积极性，服务于全国防范化解重大金融风险的重要手段。防范化解重大金融风险与中美贸易谈判、“一带一路”倡议推进情况等国际政治经济形势和稳增长惠民生、供给侧结构性改革、培育和发展新的产业集群等国内经济政策形势密切相关，各银行的内部控制要服务于总体经营策略，最终保证在中央的指挥下一门心思一盘棋，促进全国总体经济目标的实现，而不是教条地僵化地割裂地开展风险防范化解工作。

银行内部控制的演化及涵义

西方银行内部控制理论和实践主要经历了五个阶段：一是20世纪40年代之前的内部牵制理论，其核心是岗位分离、互相牵制。二是20世纪40-70年代的内部控制制度理论，1949年美国注册会计师协会（AICPA）首次提出内部控制的权威定义和内部控制的四个目标，并将内部控制划分为内部会计控制和内部管理控制。三是20世纪80年代的内部控制结构理论，1988年美国注册会计师协会首先以“内部控制结构”代替“内部控制制度”，明确内部控制结构包括控制环境、会计系统和控制程序三个组成部分。四是90年代以后的内部控制整体框架理论，1992年美国反虚假财务报告委员会下属的主办（或发起）组织委员会（Committee of Sponsoring Organizations，COSO）发布了具有里程碑式意义的《内部控制——整体框架》报告(简称COSO 报告)，COSO报告认为“内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的真实性、相关法令的遵循性等目标达成而提供合理保证的过程”。该理论最具创造性的内容是认为内部控制是一个自律、自检并可以自我调节的生态系统，包括相互关联的五大要素，即控制环境、风险识别和评估、控制活动、信息交流和反馈、监督评价与纠正。五是全面风险管理总体框架理论，1998年巴塞尔银行监管委员会发布了《银行组织内部控制系统的框架》报告，是第一个针对银行内部控制的基本框架标准，提出了银行内部控制应该遵守的五个方面十三项基本原则。2002年，鉴于安然造假事件，美国发布了《萨班斯·奥克斯利法案》，从法律上强制企业开展内部控制。2004年，COSO发布了《全面风险管理总体框架》（简称ERM框架），确定内部控制的四个目标为战略目标、经营目标、报告目标和合法目标，将内部控制的要素扩展为八个，即内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通和监控。2013年，COSO发布了最新修订的《2013年内部控制——整体框架》及其配套指南。

国内银行业的内部控制在多数方面借鉴了COSO-ERM体系。人民银行在1997年出台《加强金融机构内部控制的指导原则》，2002年颁布《股份制商业银行内部控制指引》。2004年，银监会颁布《商业银行内部控制评价试行办法》，2007年颁布《商业银行内部控制指引》，后在2014年发布了最新修订版。同时，银行还要遵守财政部、审计署、证监会、银监会、保监会五部委于2008年联合发布的《企业内部控制基本规范》和2010年颁布的《企业内部控制配套指引》等。

我国银行内部控制存在的主要问题

20世纪80年代以来，随着我国金融对外开放步伐的加快，银行业越来越感受到国际金融界一系列“黑天鹅”和“灰犀牛”事件的严重性，以资产负债比例管理为起点，逐步加强了内部控制和风险管理。1997年亚洲金融危机以后，我国银行业的内部控制全面提速，从政策研究、制度建设、贯彻执行、稽核监督等各个方面基本形成了比较规范化、现代化的银行内部控制体系。虽然我国银行监管部门和从业单位做了大量工作，但是党的十八大以来查处的“大”如赖小民、项俊波、杨家才等严重腐败案件，“小”到银保监会每年开出的伪造金融票证、虚构理财产品、违规对外担保、违反反洗钱规定、报送监管数据不实等大量处罚决定，表明我国银行的内部控制水平还有很大的提升空间。有关学者、专家对我国银行内部控制存在的问题分析较多，笔者认为主要是以下五个方面：

对内部控制的认识水平较低导致内部控制体系缺失重要的内生变量

经过多年的努力，商业银行各层级对内部控制重要性的认识都有一定提高，但是对于内部控制的涵义和要素却存在认识上的模糊。有学者通过发放问卷调查商业银行高管和员工对内部控制情况的态度和执行质量的看法，发现他们对内部控制了解较少，重业绩轻内控的情况普遍存在。我国银行在内部控制上有“上热中暖下冷”的问题，主要体现在对风险防控、内部控制和合规管理三者之间关系的理解上。总体而言，管理层能够正确认识三者之间的关系，但是不一定善于找到风险点，表现为“后知后觉”；中层以风险防控为核心，内部控制和合规管理被不自觉地淡化了，表现为“急功近利”；基层将合规作为首要任务，认为按章办事就是内部控制和风险防控，但是限于认识水平，基层员工即使找到风险点，也有可能不重视、不理会、不汇报，表现为“麻木不仁”。

风险防控是银行的核心管理要求，其目标是通过风险识别和定价，在既定的资本金水平、风险偏好和风险承担能力下实现企业价值的最大化。内部控制是要求银行的各项业务活动和操作遵循风险防控的原则和限制。对于内部控制来说，合规是其多重目标之一，而对于风险防控来说，合规是方法和手段之一（三者之间的关系见图1）。显而易见，风险防控、内部控制和合规管理三者的涵义不同，不能互相替代。比如：某银行的贷款投向比较集中于特定领域，如果满足监管部门和行内的要求就做到了合规；如果在风险边界判断和决策程序上满足该行的风险偏好就做到了内控有效；如果战略决策正确并得到市场的检验就实现了风险防控。也就是说，合规管理越显性化就越符合内部控制和风险防控的要求，但是由于各项规章、制度、规划之间存在兼容性和可执行性矛盾，在实践中很难做到“以简驭繁”。

银行内控体系设计和执行人员的认知水平是内控有效性的内生变量，决定着内部控制系统是否能够真正有效地发挥作用。

监管体系兼容不足导致对内部控制的评判标准不统一。国内银行作为特殊的企业，要同时执行两套内部控制标准：巴塞尔协议（Basel）体系和COSO-ERM体系。第一，银保监会依据巴塞尔协议框架制定监管规则对银行进行监管。BaselⅠ以银行资本充足率为风险管理的核心，BaselⅡ以最低资本要求、监督检查和市场纪律三大支柱为新的监管框架，BaselⅢ更加关注银行资本质量以及抗周期性风险的能力；第二，已经上市的银行以及未上市但是作为大中型企业的银行，都要遵循2008年财政部等五部委印发的《企业内部控制基本规范》和2010年印发的《企业内部控制配套指引》，它们是参照COSO-ERM体系设计建立的，被称为中国的“萨班斯法案”；第三，商业银行要执行银监会2014年印发的《商业银行内部控制指引（修订）》；第四，银行中的央企要执行国资委2006年发布的《中央企业全面风险管理指引》和2018年发布的《中央企业合规管理指引（试行）》；第五，非上市中小银行聘请中介机构开展内部控制评估时，中介机构以COSO-ERM体系为行业标准。Basel体系和COSO-ERM体系虽然出发点一样，但是它们对风险防控和内部控制在界定、结构、要点上有显著差异。监管体系之间如何协调是监管单位、银行管理层和治理层必须面对的现实问题。

简单目标管理的错误导向导致内部控制被边缘化。目标管理原本是通过目标分级，鼓励员工自主参与目标的制定、实施、检查和评价，实现工作成果。在我国金融业多年高增长的环境下，银行的目标管理往往异化为简单强调业绩目标而忽视风险防控目标。首先，激烈的市场竞争使管理层屈服于股东回报压力和平辈竞争压力，银行家成为“宇宙的主人，市场的奴隶”，对风险的应对不以其事实概率为依据，而是看同业的情况，互相之间不是“比谁干得好”，而比“谁挺到最后”。其次，过度强调考核与奖惩，特别是短期利益与业绩考核挂钩容易造成经办人员漠视风险甚至故意违规；再者，银行实施的内部控制在目标管理导向下，如果过度重视目标分解和控制结果的考核与奖惩，有可能导致内部控制人员纵容甚至参与舞弊；最后，对于政策性银行，由于承担非盈利性的政策性业务，有的目标无法通过经济指标评价，也会加大内控难度。

以内容控制为主的内控建设导致缺乏对长期内控目标的追求。我国银行的内部控制大多实行目标管理，将内部控制的内容分解为多层目标，具体由有关职能部门和人员承担，将内控结果是否符合预期目标作为内控的核心。事实上，内部控制是一个由决策、建设与管理、执行与操作、监督与评价、持续改进五个环节组成的有机系统。COSO-ERM内控体系的精髓是把建设内控环境、规范内控过程作为内控的核心，注重程序、预警、处置等，最终有利于长期目标的实现。比如：银行能够严格执行以房地产作为有效贷款抵押的内控规定，但是不一定有能力对房地产市场系统性风险进行预警和处置。

内部控制评价不到位导致内控缺陷认定不准确不及时。商业银行普遍存在内部控制系统的测试和评价不完备的情况，对结果控制的重视程度超过过程控制。安然事件的研究表明，内控缺陷是银行发生重大风险和损失的主要原因之一，及时准确识别内控缺陷能够为银行内控建设提供依据。然而，我国银行内控缺陷认定工作中普遍存在查找内控缺陷的范围不统一、缺陷认定标准体系不完善和内控缺陷认定明显不充分等问题。

提升银行内部控制水平的建议

以提高全员认识水平为导向，加强内控软环境建设。内控环境在内部控制八大要素中发挥着最基础的作用，包括以制度建设为代表的硬环境和以合规文化建设为代表的软环境两个方面。经过多年的发展，国内银行在内控制度方面的建设已经卓有成效，但是制度完善并没有在内控效果上得到明显体现，其症结即在于软环境建设不到位。内部控制本身的局限性主要是内部人的道德风险和业务能力，特别是前者。首先，应该对内控成果和案件加大奖励和惩处力度并在最大范围内公示，运用行为经济学把内部人的非理性预期显性化，运用委托代理理论将交易成本内部化，从而减少道德风险和逆向选择。其次，对于银行中高层管理人员（多数是中共党员），提升思想认识是关键。应该鼓励他们参加理论界系统地研究整理中国改革开放以来持续增长的社会经济理论框架和路径模式，在国际理论界争取话语权，对运用体制机制克服市场经济的一些固有缺陷更加充满自信。同时，以专题学习、政治巡视等手段解决思想问题，以内外部审计解决业务问题，利用我国特有的组织优势将“经济人”和“社会人”相统一，将党的领导贯穿于银行公司治理全过程。中高层管理人员对内部控制认识水平的提高将逐步传递到基层，最终体现在科学的风险文化和目标、业绩管理上。最后，对于银行基层员工，要努力建设诚信机制与道德价值观，培养内控业务能力，明确责任和授权等，比如可以就内部控制进行专门培训，并颁发合格证书，也可以专门设置内控经理岗位等。

针对机构特点和历史发展路径，对不同的银行分类施策。我国的各类银行在机构设置、经营管理上各有特点，历史沿革、业务发展和内控建设的阶段水平不一，不可能对所有银行开出同一个药方，应该因地制宜、分类施策。对于三家政策性银行，其内控建设与当前防范化解重大金融风险的要求结合最紧密，其内部控制在服务于风险防控的同时，更要服务于国家的宏观政策意图。因此对内控建设的要求必须既有经济性又有政治性考量，将微观经济主体的诉求和宏观经济稳定与发展的目标结合起来，从目标设定到控制活动在监管框架下要有适度的弹性和冗余度，不能简单地以市场化标准来衡量。对于国有商业银行和股份制银行，其内控建设的市场化水平较高。当前一是应该重点提升风险评估和风险应对水平，特别是加强对各类风险的连续性测评和反应；二是整合内控机制，克服内控制度和机构的分散化问题；三是强化内部控制自我评价，通过自评促进微观流程再造。对于地方银行、农信社和村镇银行等小型金融机构，鉴于网点较少、业务较单一、员工业务素质和能力参差不齐，一是应该大力加强法人治理结构建设，特别要真正发挥董事会的作用，体现主体责任；二是内控建设加强规划引领，明确战略定位，开展组织架构重构和流程优化；三是加强监督检查，重点通过及时、持续、聚焦常规经营管理活动的内部监督强化控制能力；四是提升内控的科技化水平，比如将合规管理的要求更多地内化在业务系统中，减少人为因素和操作风险。

抓住关键要素，提升内部控制的效率和效果。银行需要根据自身特点建设与自身相匹配的内部控制体系，并确保内部控制体系运转的高效。运营流程（制度执行）和人员流程（员工素质）甚至比制度设计在提升内部控制效果方面更加显著。第一，当前以防范化解重大金融风险为导向加强银行内部控制，应该重点强化反向制衡机制，即决策主体互相监督和制约。2019年初，作为国家监察体制改革的一部分，中央纪委、国家监委向15家中管金融企业派驻了纪检监察组，下一步各银行可以参考派驻纪检监察组的意见，在下辖机构中进一步完善中高层管理人员的相互制衡机制。第二，银行应该加强风险数据库的建设，为风险识别与评估模型的应用创造条件。根据西方商业银行的经验，运用风险量化模型是对非系统性风险进行识别和评估的有效手段。第三，建设高效的信息传导与沟通机制。信源(内控管理部门制订的管理办法、实施细则、操作规程和指引、日常通知、风险提示等)要采取质量保证措施，筛选过滤无效甚至产生误导的信息；信宿（接受内控指令的操作人员）要与控制部门双向沟通，充分理解信息的内涵和要求；信息传导可以采用公文、会议、培训等多种渠道，既面对企业内部，更要加强与政府、监管部门和客户等外部单位的信息沟通。第四，真正加强内控审计成果的运用，对发现的问题必须整改到位并有复核机制。风险响应应该分级，即严重程度不同、发生频度不同的问题触发的警铃声大小不同，让不同层级的员工听见并引起重视。此外，如果发现的问题属于合规性要求，则主要通过修改业务系统进行过程控制整改；如果发现的问题属于指导性要求，则通过修订监控指标进行事后跟踪或者有条件则采用事前的大数据监控。

以自建自查自纠为导向，加强内部控制评价。首先，内控评价要着力于找出实质性漏洞（material weakness），即由于缺乏内控或者内控措施不当导致偏离内控目标的问题。从审计角度，美国公众公司会计监督委员会（PCAOB）认为，假如存在某一个或若干个缺陷，而这些缺陷有可能致使公司的年度或中期财务报告出现重大错报，从而不能被有效地预防或及时地察觉到，那么该缺陷就构成实质性漏洞。笔者认为，对当前国内银行业，内控缺陷认定时要高度关注“幸存者偏差”的问题，即被发现的缺陷引起了重视，但是实际并没有造成重大损失；反而是平时视而不见或者被特定地方文化、机构文化掩盖的程序瑕疵有着巨大的风险隐患，一旦发生就是重特大案件。按照博弈论，内控问题的反复发生构成不完全信息动态博弈，上述特定文化、习惯、思维方式等非正式制度安排（informal institution）对博弈结果精炼贝叶斯均衡有着至关重要的影响。因此，对这些缺陷的整改必须同时找到显性制度问题和潜藏的非正式制度问题。其次，各银行要研究施行适合本单位情况的内部控制评价体系办法。目前，大银行多从管理角度采用评估指标打分法，其优点是条线结构简单易懂，易于员工理解和执行，而且突出了合规要求符合监管部门的导向，缺点是可能会遗漏一些缺陷；中介机构多从审计角度采用控制活动交叉检查法，其优点是容易发现控制活动的冲突和缺陷，缺点是矩阵结构比较复杂，对评价人员要求较高。各银行应该把内控评价作为年度工作重点，根据自身的具体情况，由简入繁，通过逐步优化评价指标、尝试模糊矩阵法、运用大数据开展内部审计等措施提升内控评价水平。

以开放推动自律，规范内部控制信息披露。内部控制的信息披露制度是监管部门对上市银行开展监管的重要手段；有利于银行管理层明确界定受托责任的范围，支持内控环境建设；向社会传递企业价值理念、经营稳定和发展的信息、重大风险隐患及其应对措施等，有利于引导合作方、投资者和社会公众形成稳定预期。这些对于当前防范化解重大金融风险有着重要的实践意义。贺婧(2017)针对我国16家上市商业银行2011-2016年披露的数据研究表明，银行内部控制信息披露载体更加统一，形式趋于一致。但是信息披露内容详略程度差异较大，格式化现象明显且多为积极向上的概括性叙述，缺少内控缺陷的披露，有流于形式的倾向。因此，一是监管部门应该进一步明确内控信息披露的要素，特别是对内控缺陷和实质性漏洞披露的标准、要求和方式；二是信息披露应该包含对上一期披露问题的整改情况，以及问责处理情况；三是对于违反信息披露规定的银行，应该加大惩罚力度；四是对于非上市银行，可以在一定范围内进行内控信息披露。

（本文仅代表作者本人观点，与所在机构无关）

作者系国家开发银行内蒙古自治区分行党委委员、纪委书记