周庆华　安瑛晖

[摘要]金融企业作为特殊企业，其内部控制范围应该更广，应渗透到各项业务过程中，“内控优先”，并具有高度的权威性。金融企业面临的经营形势和监管形势日趋严峻，必须在满足监管要求的前提下，以企业目标为导向，树立现代内部控制观点，确立基本逻辑，采取适宜的管理模式，在体制、机制、制度、流程、系统、人才等方面做出相应调整，实施现代内部控制，提升经营管理能力。

[关键词]金融企业；内部控制，风险控制

[中图分类号]F272.3 [文献标识码]B

一、引言

当前，金融企业面临的经营管理形势十分复杂。首先，金融业面临严峻的经营形势。主要表现在当前的三期叠加（“三期叠加”主要表现：1.增长速度进入换挡期，是由经济发展的客观规律所决定的；2.结构调整面临阵痛期，是加快经济发展方式转变的主动选择；3.前期刺激政策消化期，是化解多年来积累的深层次矛盾的必经阶段。）并在未来相当一段时期内成为“新常态”，告别以高增长、高投资、高出口、高污染与高能耗为特征的旧常态”，使金融业出现大量新情况、新问题。主要体现在：金融业在前期政策刺激下出现了规模的快速扩张，而金融对于实体经济的渗透性却在弱化：在宏观流动性充裕的同时，微观流动性却处于紧张状态；整体债务率、杠杆率攀升；系统性风险上扬；金融服务于社会创新、产业升级以及生产消费的能力下降。从宏观的视角看，未来的发展需要坚持金融服务于实体经济的结构优化调整，使金融能够服务于创新、新兴产业发展，避免金融资源“空转套利”现象；利率市场化、汇率自由化、资本项目的有序开放、多层次资本市场建设、多主体金融市场开放、非标资产的标准化和阳光化、地方债务与土地财政融资体系改革以及存款保险制度都应在未来有序可控地推出。这对金融业经营管理模式提出了新的现实要求。其次，金融业面临的监管形势日益严峻。外部监管规则不断推出和更新，金融企业面临前所未有的监管压力。特别是2008年财政部、证监会、审计署、银监会、保监会联合下发《企业内部控制基本规范》等相关文献和规章，对企业实施和强化内部控制提出了明确要求；2014年9月，银监会再次修订下发了《商业银行内部控制指引》，对商业银行完善内部控制、提高经营管理水平提出了新的指导性意见。三是金融业竞争日趋激烈。内部控制作为核心竞争力，各家金融机构对强化内部控制不敢有丝毫懈怠。四是金融业经营管理风险凸显。在经济形势复杂变化中，风险事件、损失事件甚至案件频发，外部因素、内部因素交织，其中超越底线、违规操作是重要原因。五是金融企业面临着重大战略调整。国有大型商业银行分别制订了适合自身发展的经营战略。战略转型发展对进一步强化内部管理、适应战略发展需要提出了更高的要求，突出表现在要在以下几个方面要有所作为：强化经营能力提升和专业优势巩固，突出风险管理重点和提升风险机控能力，培育优秀企业文化，构建高素质人才队伍等方面。

二、内部控制的现代观点

内部控制的概念和内涵，无论是理论界还是实业界都存在一定差异。一般认为，内部控制是一个由企业董事会、管理层和其他人员实施的、旨在为实现合规目标、效率和效益目标以及信息目标提供合理保证的过程。在COSO报告中，第一次提出内部控制系统”的概念，并正式提出内部控制系统由五部分组成，即：控制环境、风险评估、控制活动、信息与交流和监控。基本规范也是按照五个要素，提出了规范性要求。

金融企业作为特殊企业，其内部控制应该相应地包含这些内容。同时，由于其特质性，范围应该更广。首先，内部控制应当渗透到金融企业的各项业务过程中，覆盖所有的部门和岗位，并由全体人员参与：其次，内部控制应当从防范风险、审慎经营出发，体现内控优先”的要求：再次，内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正；最后，内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并直接向董事会、监事会和高级管理层汇报。同时，也必须认识到，商业银行内部控制五要素之间是相互联系、相互制约、密不可分的。

（一）内部控制目标分析

COSO报告将内部控制目标分为三类：第一类目标致力于企业基本的商业目标，其出发点是企业的经营，是为管理者服务的，即经营的效率与效果——经营目标；第二类目标致力于企业基本的财务报告信息目标，其出发点是保护外部投资者的利益，是为外部投资者服务的，即财务报告的可靠性——信息目标：第三类目标致力于企业基本的法规目标，其出发点是要符合相关的法律和法规，是为监管者服务的，即法律法规的遵循性——合规目标。这三类目标高度概括了企业活动的控制目标，有利于不同的人从不同的视角关注企业内部控制的不同方面。内部控制目标具有内在逻辑性，内部控制目标的设定是管理过程的重要组成部分，也是内部控制的组成要素，更是内部控制的先决条件，促成内部控制的要件，以现代内部控制的观点，内部控制与管理如影相随，是管理思想的具体体现。

（二）内部控制模式分析

现代公司制企业是由股东、经营者、管理者和员工四种经济主体组成的，其中，股东投入的是资本：经营者投入的是企业家才能：管理者投入的是管理才能：员工投入的是劳动才能。这四类主体在企业中共同拥有的控制权，但作用各不相同，任何一方的控制权设计不合理，都会影响经营绩效和企业稳定。

以股东为主体的内部控制，其控制主体是股东，主要体现在股东对公司重大事项应具有知情权和参与决策权：以经营者为主体的内部控制，其控制主体是经营者，包括董事会、监事会和高管层，分别作为主体发挥内部控制作用，其控制客体包括管理者以及整个企业的经营管理活动：以管理者为主体的内部控制，其控制主体是管理者，也是责任中心的负责人，负责责任中心目标的实现、完成受托责任，客体是普通员工以及业务活动：以员工为主体的内部控制，其控制主体是每个岗位上的普通员工，其目标就是岗位责任。控制权的产生依赖于委托代理，即信托责任。

（三）基于科层理论的内部控制系统构建

从巴林银行案件到安然事件，无不与内部控制的虚设和执行不力存在重大关联。COSO框架的“三目标”和“五要素”组成的内部控制框架，得到广泛认可。但是，COSO框架的理论意义高于执行价值，没有考虑企业内部各相关利益主体的责权利安排的层次，不可避免地出现执行难的缺陷。从执行角度来看，科层组织体制将合理决策和行政效率发挥到极致。因此，建立以股东、经营者、管理者以及员工为主体的分层次的内部控制结构与内部控制治理机制进行整体性制度安排，并克服科层体制自身存在的局限性，才能满足现代大型企业经营管理需要。具体地说，就是开展企业内部控制的层次构造，实现内部控制的“信息-决策”功能、内部控制的“预期-保险”功能、内部控制的“激励-约束”功能，强调自上而下的“命令信息”和自下而上的“报告信息”及时、准确、完整、有效；强调风险控制的稳定预期与控制收益的实现：确认内部控制，形成行为规则和活动空间，估价成本与收益。当然，科层的扁平化问题也是必须考虑的，在技术手段逐步丰富的情况下，可以通过增大管理幅度加以解决。

三、强化内部控制的措施

金融企业应当正视当前经营管理形势的变化，借鉴内部控制的先进实践经验，以满足外部监管要求和内部经营管理以及转型发展的需要为出发点和落脚点，进一步强化内部控制，其核心思想可以概括为：以问题为导向，以发展为主题，树立现代内部控制理念，借鉴国内外先进的经营管理实践经验，突出以风险管理文化建设为基础，整合内部控制、操作风险管理和合规管理职能，以“固有风险±控制效率=残余风险”为风险内控的基本逻辑，以风险容忍度为衡量标准，实施底线管理+区间管理”，在业务条线开展风险自评估的前提下，以日常合规性检查、定期内控有效性评价、内外部审计与外部监管检查为主要手段，建立问题发现工作机制，准确定位问题实质，并强调问题的系统性整改，逐步建立健全自我纠错和自我完善的内控合规体系，内防操作风险，外防合规风险，实现底线管理和区间管理的整体融合，共同促进业务健康持续发展。在强化内部控制方面，金融企业需要做好的工作具体体现在以下几个方面：

（一）确定一个基本逻辑，即以“固有风险±控制效率=残余风险”为风险内控的基本逻辑

一是以残余风险作为风险容忍度的衡量标准，体现风险偏好，并以此为依据评价内部控制有效性：二是业务条线需要与风险内控管理部门密切配合，开展风险自评估、监督检查和评价内控有效性等工作，并建立问题发现工作机制，强调问题的系统性整改，逐步建立健全自我纠错和自我完善的内部控制体系：三是业务条线作为第一道防线，需要按照内部控制的要求，设计和实施内部控制，确保内部控制有效。

（二）建立一个管理模式，即实施“底线管理+区间管理”

该模式一方面要求依法合规经营是底线，不能突破，尽管违法违规问题时有发生，甚至出现违法经营处罚的事项，但是由于其管理目标明确、管理规则清晰，便于实施：另一方面该模式要求对实施现代内部控制采取区间管理方式，突出效率与效益的本源要求，针对现代内部控制主要是解决大企业病应运而生的考量，正确把握没有最好、只有更好”的内部控制实施效果，可以在激励机制方面要有所体现，鼓励和倡导先进内部控制实践。

（三）明确几项工作任务，即在政策、制度、标准、检查、评价、整改和IT支持等方面做大量的工作

一是从战略层面考虑，进行顶层设计，倡导高层推动。在领导层面，从战略层面研究制定内部控制政策，明晰内部控制的建设标准、日常运行维护管理和缺陷认定标准，并推动内部控制建设和运行维护工作的正常开展。二是健全制度体系，固化管理思想，持续推进内控建设。主要是建立内部控制制度，包括基本制度、业务制度与监督评价制度，建立全行分层次、分经营管理活动《内部管理手册》和《合规手册》，实现制度的手册化，指导内控体系建设，规范经营管理活动。同时，分别研究制订内部控制建设标准、内部控制评价标准（包括内部控制缺陷认定标准）和内部控制鉴证标准，建立内部控制标准体系，指导内部控制体系建设工作。三是规范监督检查，促进问题发现，提高整改效果。主要是统筹安排检查工作、整合检查资源、规范问题发现流程，促进监督检查效率提升和问题发现准确性的提高：针对发现问题开展系统性整改工作，并实施约束激励和严格的问责。四是强化评价考核，实施责任追究，完善约束激励。主要是以内控评价作为关键环节，定期对内部控制有效性进行自我评价和审计评价，查找、分析内部控制缺陷，并有针对性地督促落实整改，促进自我纠错和自我完善：以激励约束机制为保障，通过控制评价，与绩效考核挂钩，建立内部控制内生驱动力。五是利用IT技术，建设开放式管理平台，提升管理水平。主要是坚持以信息技术为支撑，充分运用信息技术的最新发展成果，一方面，利用新技术创新控制方式与手段，提高控制效率，降低内部控制实施成本，减少或消除人为操纵因素，并逐步推行实时监控；另一方面，依托信息系统建设，建立开放式的信息平台，实现信息共享。

（四）提供一个基本保障，即组织保障，当然也包括工作机制

近几年来，建设银行通过有效整合内部控制、合规管理、操作风险管理、业务连续性管理等职能，努力建设和完善内控合规管理工作体系，积极推进内控合规管理工作，切实保障全行各项业务的健康发展。但是，外部经济形势愈加严峻，监管合规要求日趋严格，内部经营压力不断增加，对内控合规工作形成了较大的压力，给合规工作带来了更大的挑战。如何建立健全适应金融企业经营发展的内控合规组织体系，成为面临的迫切任务。按照界定职责、明确任务、健全组织、完善机制、分步实施、平稳过渡”的原则，依据外部监管要求，参考同业实践经验，在梳理内控合规部门职责、明确核心工作的基础上，可以研究制定组织体系建设方案。该方案应以企业发展战略为中心，构建满足内部经营管理需要和外部监管要求的内控合规组织体系，实现对包括境内分行、海外机构、子公司在内的集团层面的内控合规管理，为内控合规管理工作开展提供基本的组织保障。同时，需要研究制订工作流程，明确工作机制，促进内控合规组织体系以及与相关业务条线的良好运转。

（五）抓好两个基础建设，即专家队伍建设和风险文化建设

一是优化人力资源结构，积极引进高素质人才，通过内部人才市场盘活存量，引导组织内部的部门之间、上下级机构之间的流动，并扩大外部招聘规模，引进实用性、高层次人才：二是健全人才选拔和聘用机制，完善内部培养、公开选聘、推荐和自荐相结合的人才选拔机制，建立人才库，加强各级机构队伍建设，完善人才队伍和人才梯队的培养，通过专业技术岗位职务聘任拓宽高技能人才职业发展空间，打造员工多元发展通道，围绕如何更好地选人、用人，健全管理人员绩效考核指标，促进用人、育人、留人机制的逐步建立和完善：三是加大人才培养与培训力度，一方面加大对组织内部部门以及分支机构的人才培养力度，促进人员交流，将上下机构、部门之间的双向交流作为人才培养的重要方式，另一方面加大培训投入力度，采取多种方式提升培训效果：四是要进一步促进风险文化建设，在全行范围内形成对风险的敬畏，牢固树立“底线意识”和“红线意识”，并把风险管理贯穿到日常工作中去，对缺乏红线意识和底线意识的行为采取零容忍的态度，彻底遏制灵活对待风险、对待红线和底线的错误行为，保障风险内控和合规管理的效果。