邓敏

防范化解重大风险是十九大提出的三大攻坚战之一。2019年1月习近平总书记在省部级主要领导干部专题研讨班上讲话，再次强调防范化解重大经济金融风险的重要性。银行加强内部控制是风险防控的有机组成部分，是银行部门发挥主动性、积极性，服务于全国防范化解重大金融风险的重要手段。防范化解重大金融风险与中美贸易谈判、“一带一路”倡议推进情况等国际政治经济形势和稳增长惠民生、供给侧结构性改革、培育和发展新的产业集群等国内经济政策形势密切相关，各银行的内部控制要服务于总体经营策略，最终保证在中央的指挥下一门心思一盘棋，促进全国总体经济目标的实现，而不是教条地僵化地割裂地开展风险防范化解工作。 

银行内部控制的演化及涵义

西方银行内部控制理论和实践主要经历了五个阶段：一是20世纪40年代之前的内部牵制理论，其核心是岗位分离、互相牵制。二是20世纪40-70年代的内部控制制度理论，1949年美国注册会计师协会（AICPA）首次提出内部控制的权威定义和内部控制的四个目标，并将内部控制划分为内部会计控制和内部管理控制。三是20世纪80年代的内部控制结构理论，1988年美国注册会计师协会首先以“内部控制结构”代替“内部控制制度”，明确内部控制结构包括控制环境、会计系统和控制程序三个组成部分。四是90年代以后的内部控制整体框架理论，1992年美国反虚假财务报告委员会下属的主办（或发起）组织委员会（Committee of Sponsoring Organizations，COSO）发布了具有里程碑式意义的《内部控制——整体框架》报告（简称COSO 报告），COSO报告认为“内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的真实性、相关法令的遵循性等目标达成而提供合理保证的过程”。该理论最具创造性的内容是认为内部控制是一个自律、自检并可以自我调节的生态系统，包括相互关联的五大要素，即控制环境、风险识别和评估、控制活动、信息交流和反饋、监督评价与纠正。五是全面风险管理总体框架理论，1998年巴塞尔银行监管委员会发布了《银行组织内部控制系统的框架》报告，是第一个针对银行内部控制的基本框架标准，提出了银行内部控制应该遵守的五个方面十三项基本原则。2002年，鉴于安然造假事件，美国发布了《萨班斯·奥克斯利法案》，从法律上强制企业开展内部控制。2004年，COSO发布了《全面风险管理总体框架》（简称ERM框架），确定内部控制的四个目标为战略目标、经营目标、报告目标和合法目标，将内部控制的要素扩展为八个，即内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通和监控。2013年，COSO发布了最新修订的《2013年内部控制——整体框架》及其配套指南。

国内银行业的内部控制在多数方面借鉴了COSO-ERM体系。人民银行在1997年出台《加强金融机构内部控制的指导原则》，2002年颁布《股份制商业银行内部控制指引》。2004年，银监会颁布《商业银行内部控制评价试行办法》，2007年颁布《商业银行内部控制指引》，后在2014年发布了最新修订版。同时，银行还要遵守财政部、审计署、证监会、银监会、保监会五部委于2008年联合发布的《企业内部控制基本规范》和2010年颁布的《企业内部控制配套指引》等。

我国银行内部控制存在的主要问题

20世纪80年代以来，随着我国金融对外开放步伐的加快，银行业越来越感受到国际金融界一系列“黑天鹅”和“灰犀牛”事件的严重性，以资产负债比例管理为起点，逐步加强了内部控制和风险管理。1997年亚洲金融危机以后，我国银行业的内部控制全面提速，从政策研究、制度建设、贯彻执行、稽核监督等各个方面基本形成了比较规范化、现代化的银行内部控制体系。虽然我国银行监管部门和从业单位做了大量工作，但是党的十八大以来查处的“大”如赖小民、项俊波、杨家才等严重腐败案件，“小”到银保监会每年开出的伪造金融票证、虚构理财产品、违规对外担保、违反反洗钱规定、报送监管数据不实等大量处罚决定，表明我国银行的内部控制水平还有很大的提升空间。有关学者、专家对我国银行内部控制存在的问题分析较多，笔者认为主要是以下五个方面：

对内部控制的认识水平较低导致内部控制体系缺失重要的内生变量

经过多年的努力，商业银行各层级对内部控制重要性的认识都有一定提高，但是对于内部控制的涵义和要素却存在认识上的模糊。有学者通过发放问卷调查商业银行高管和员工对内部控制情况的态度和执行质量的看法，发现他们对内部控制了解较少，重业绩轻内控的情况普遍存在。我国银行在内部控制上有“上热中暖下冷”的问题，主要体现在对风险防控、内部控制和合规管理三者之间关系的理解上。总体而言，管理层能够正确认识三者之间的关系，但是不一定善于找到风险点，表现为“后知后觉”;中层以风险防控为核心，内部控制和合规管理被不自觉地淡化了，表现为“急功近利”;基层将合规作为首要任务，认为按章办事就是内部控制和风险防控，但是限于认识水平，基层员工即使找到风险点，也有可能不重视、不理会、不汇报，表现为“麻木不仁”。

风险防控是银行的核心管理要求，其目标是通过风险识别和定价，在既定的资本金水平、风险偏好和风险承担能力下实现企业价值的最大化。内部控制是要求银行的各项业务活动和操作遵循风险防控的原则和限制。对于内部控制来说，合规是其多重目标之一，而对于风险防控来说，合规是方法和手段之一（三者之间的关系见图1）。显而易见，风险防控、内部控制和合规管理三者的涵义不同，不能互相替代。比如：某银行的贷款投向比较集中于特定领域，如果满足监管部门和行内的要求就做到了合规;如果在风险边界判断和决策程序上满足该行的风险偏好就做到了内控有效;如果战略决策正确并得到市场的检验就实现了风险防控。也就是说，合规管理越显性化就越符合内部控制和风险防控的要求，但是由于各项规章、制度、规划之间存在兼容性和可执行性矛盾，在实践中很难做到“以简驭繁”。

抓住关键要素，提升内部控制的效率和效果。银行需要根据自身特点建设与自身相匹配的内部控制体系，并确保内部控制体系运转的高效。运营流程（制度执行）和人员流程（员工素质）甚至比制度设计在提升内部控制效果方面更加显著。第一，当前以防范化解重大金融风险为导向加强银行内部控制，应该重点强化反向制衡机制，即决策主体互相监督和制约。2019年初，作为国家监察体制改革的一部分，中央纪委、国家监委向15家中管金融企业派驻了纪检监察组，下一步各银行可以参考派驻纪检监察组的意见，在下辖机构中进一步完善中高层管理人员的相互制衡机制。第二，银行应该加强风险数据库的建设，为风險识别与评估模型的应用创造条件。根据西方商业银行的经验，运用风险量化模型是对非系统性风险进行识别和评估的有效手段。第三，建设高效的信息传导与沟通机制。信源（内控管理部门制订的管理办法、实施细则、操作规程和指引、日常通知、风险提示等）要采取质量保证措施，筛选过滤无效甚至产生误导的信息;信宿（接受内控指令的操作人员）要与控制部门双向沟通，充分理解信息的内涵和要求;信息传导可以采用公文、会议、培训等多种渠道，既面对企业内部，更要加强与政府、监管部门和客户等外部单位的信息沟通。第四，真正加强内控审计成果的运用，对发现的问题必须整改到位并有复核机制。风险响应应该分级，即严重程度不同、发生频度不同的问题触发的警铃声大小不同，让不同层级的员工听见并引起重视。此外，如果发现的问题属于合规性要求，则主要通过修改业务系统进行过程控制整改;如果发现的问题属于指导性要求，则通过修订监控指标进行事后跟踪或者有条件则采用事前的大数据监控。

以自建自查自纠为导向，加强内部控制评价。首先，内控评价要着力于找出实质性漏洞（material weakness），即由于缺乏内控或者内控措施不当导致偏离内控目标的问题。从审计角度，美国公众公司会计监督委员会（PCAOB）认为，假如存在某一个或若干个缺陷，而这些缺陷有可能致使公司的年度或中期财务报告出现重大错报，从而不能被有效地预防或及时地察觉到，那么该缺陷就构成实质性漏洞。笔者认为，对当前国内银行业，内控缺陷认定时要高度关注“幸存者偏差”的问题，即被发现的缺陷引起了重视，但是实际并没有造成重大损失;反而是平时视而不见或者被特定地方文化、机构文化掩盖的程序瑕疵有着巨大的风险隐患，一旦发生就是重特大案件。按照博弈论，内控问题的反复发生构成不完全信息动态博弈，上述特定文化、习惯、思维方式等非正式制度安排（informal institution）对博弈结果精炼贝叶斯均衡有着至关重要的影响。因此，对这些缺陷的整改必须同时找到显性制度问题和潜藏的非正式制度问题。其次，各银行要研究施行适合本单位情况的内部控制评价体系办法。目前，大银行多从管理角度采用评估指标打分法，其优点是条线结构简单易懂，易于员工理解和执行，而且突出了合规要求符合监管部门的导向，缺点是可能会遗漏一些缺陷;中介机构多从审计角度采用控制活动交叉检查法，其优点是容易发现控制活动的冲突和缺陷，缺点是矩阵结构比较复杂，对评价人员要求较高。各银行应该把内控评价作为年度工作重点，根据自身的具体情况，由简入繁，通过逐步优化评价指标、尝试模糊矩阵法、运用大数据开展内部审计等措施提升内控评价水平。

以开放推动自律，规范内部控制信息披露。内部控制的信息披露制度是监管部门对上市银行开展监管的重要手段;有利于银行管理层明确界定受托责任的范围，支持内控环境建设;向社会传递企业价值理念、经营稳定和发展的信息、重大风险隐患及其应对措施等，有利于引导合作方、投资者和社会公众形成稳定预期。这些对于当前防范化解重大金融风险有着重要的实践意义。贺婧（2017）针对我国16家上市商业银行2011-2016年披露的数据研究表明，银行内部控制信息披露载体更加统一，形式趋于一致。但是信息披露内容详略程度差异较大，格式化现象明显且多为积极向上的概括性叙述，缺少内控缺陷的披露，有流于形式的倾向。因此，一是监管部门应该进一步明确内控信息披露的要素，特别是对内控缺陷和实质性漏洞披露的标准、要求和方式;二是信息披露应该包含对上一期披露问题的整改情况，以及问责处理情况;三是对于违反信息披露规定的银行，应该加大惩罚力度;四是对于非上市银行，可以在一定范围内进行内控信息披露。

（本文仅代表作者本人观点，与所在机构无关）

（作者系国家开发银行内蒙古自治区分行党委委员、纪委书记）