赵艳丰

随着市场经济的发展，人们对金融体系的依赖性越来越强，而商业银行作为这一体系的核心主体，其重要性越来越高。如果商业银行的内部控制（简称“内控”）出现问题，致使整个金融体系出现故障，发生危机，必将牵制国民经济的发展。

在历史上，由于内部控制出现问题而导致金融体系瓦解，甚至导致金融危机的案例不胜枚举。巴林银行从创建到倒闭，一共经历了 233 年，应对了很多金融风暴，至今很多人对 1995 年巴林银行的破产倒闭，仍然感到惊讶，因为让这个世界性银行倒闭的仅仅是个名叫里森的期货交易员，而促使这个期货交易员的失误能造成这么大影响的根本原因，就是银行的内控机制失灵。1997年，东南亚金融危机使银行产生了大量坏账，很多银行不得不以倒闭收场，尽管这次金融危机是由多方面因素共同造成的，但是商业银行的内控机制的脆弱性也是不争的事实。2008 年爆发的全球性金融危机，就是因为美国部分商业银行对发放的次级贷款缺乏一定的控制，最终导致链条的断裂，雷曼兄弟银行作为美国的大型商业银行，最终以倒闭收场，世界性的金融危机席卷全球。

因此，为了规避此类影响，我国商业银行必须增强免疫，常念“内控经”，逐步加强内部控制。本文中，笔者将分享几个国外商业银行内部控制的优秀案例，希望给读者带来启示。

国外商业银行的“内控”案例

美国花旗银行

花旗银行具有全面的内部控制以及风险评估管理体系，简称 CCRA（Corporate Control and Risk Assessment），其通过这套完善的内控体系合理地化解风险，值得每个商业银行借鉴学习。为了更好地开展内部控制，花旗银行把 CCRA 框架划分为两个层次，分别是对花旗银行每个分支机构以及整体的业务进行监管。在对分支机构的监管方面，花旗银行为了确保监管的独立性以及权威性，实行了派驻制，即总行的CCRA工作组向各个分支机构派驻代表处，实现对分支机构的内部控制。为了更好地加强对整体风险的监控，花旗银行还成立审计委员会、审计工作组以及经营检查委员会，通过这些组织实现公司整体的内部控制。

其中，审计工作组被下派到各地的分支机构，对分支机构的经营状况和财务活动进行重点审查，并及时上报审计委员会，以确保分支机构的经营效果跟花旗银行总体战略目标相吻合。审计工作组将查账作为基础点，并向其它可能有问题的业务投入更多精力，例如业务流程、总行方针的执行情况等。若在审计过程中发现了问题，审计工作组则会有权要求分支机构立即进行整改，并调动CCRA工作组的内部资源进行帮助改进。某些业务有着较大的风险，但同时也有着较大的利益，花旗银行的分支机构在处理这样的问题上往往比较保守，最终导致处理效率低、机会错失等，那么审计工作组会将这样的业务作为重点审计对象。

花旗银行的 CCRA 模式对我国商业银行内部控制的建设具有重要借鉴意义。其一，确保监管部门的独立性，商业银行在实施内部控制的过程中，应该确保内部控制队伍的独立性，并不断加强队伍建设；其二，为了更好地确保风险监控的严肃性，商业银行应该授予风险监控组织很大的权利。花旗银行的 CCRA 组织在内部控制过程中具有很大的权利，其对审查结果具有较大的决定权，可以要求那些被审查单位在规定期限内做出改正；其三，应该对内部控制进行客观的评价，花旗银行主要是利用各个分支机构的内部控制水平来对它们进行客观评价，并把内部控制水平作为一项重点考核任务。

英国汇丰银行

汇丰银行作为国际性的大银行，其非常重视公司的治理，董事会以及高级管理层结构比较完善。汇丰银行的董事会经常会召开会议，掌握相关委员会的工作状况以及业务发展情况，这有利于所有的董事都能全面、及时地掌握所需要的信息，更好地把握公司的发展状况。此外，董事会还成立了包括内部控制委员会在内的一系列专业委员会，分别负责专门的工作。汇丰银行非常重视企业信息的公开披露，每季度都会公布一份披露报告，报告是由财务报表和信用评级信息构成，并接受来自行业内的审计检查。

风险管理部门是汇丰银行的重要部门，该部门对每一项新产品、新业务都进行详细的风险评估，当有重大贷款业务时，风险管理部门要提交两份重要的评估报告，并最终经过贷款委员会的充分讨论，才可确定是否执行。凡是能进入风险管理部门工作的人都带有一种荣幸，因为汇丰银行每年从上千名的面试者中，只挑选出5人进入该部门，可见汇丰银行对风险管理工作的重视程度。

汇丰银行对我国商业银行最大的借鉴之处，主要体现在公司治理这个方面。其一，建立完善的董事会结构，实现分散所有权，达到权责分明的目的；其二，注重信息披露，增强企业运作的透明度，给市场带来信任度；其三，重视风险管理，从员工招聘就开始把持风险控制，将风险彻底扼杀在萌芽之中。

日本东京三菱银行

日本东京三菱银行采用的是以出资者为主导型的经营模式，其对风险有一套自己的管理體系，东京三菱银行不仅在股东大会下成立了监事会，而且还在董事会下成立了风险管理委员会以及稽核审计委员会。其中，监事会作为商业银行对于风险管理的最高决策机构，具有很高的独立性和权威性，其主要职能是依据监查计划，对董事以及公司经营业务进行监督调查，观察财产等状况是否正常。此外，东京三菱银行还成立了执行委员会，执行委员制度的存在，直接把决策和执行分开，对责任及义务进行了清晰的划分，但对执行委员数量进行了一定的限制，规避其对董事会作为决策机关的影响。

日本东京三菱银行独特的内控模式，给我国商业银行内部控制提供了一定的参考价值。其一，治理机构完善，成立了监事会，并且还在董事会下成立了风险管理委员会以及稽核审计委员会，这种完善的内控体系能轻松应对各种风险；其二，成立执行委员会，直接把决策和执行分开，责权清晰；其三，双重监查，依据监督对象的差异，把监督机构划分为监事会以及业务监事会，监事会主要是对董事以及高级管理层进行监管，业务监事会主要是对具体的业务执行情况进行监管。

国外案例的启示及建议

完善治理结构

商业银行内部控制的有效性，在很大程度上受到了治理结构的影响，而清晰的产权界定有助于治理结构的完善，如果对产权界定模糊，对经理层的激励就很难达到应有的效果，减少了对经理层的约束。日本东京三菱银行在产权界定上就非常的明确，这对我国商业银行具有很强的借鉴意义。因此，为了更好地完善治理结构，商业银行可以从产权界定开始，严格地界定决策系统、监督系统以及执行系统，防止出现了权力失衡。这其中，股东大会以及董事会应该作为决策系统，监事会以及内部检查部门应该作为监督系统，行长作为执行系统的中心，对股东、董事以及高级管理层进行清晰的权责界定。

另外，股权的适度多元化也有助于完善治理结构。如果股权相对集中，大股东在公司的决策等各方面就会有很大的优势，但是如果股权过分集中，这样往往会促使大股东利用这种决策权牟取利益，而忽视了公司整体的利益，对众多小投资者以及其他利益相关者造成一定的损害。因此，商业银行为了更好地规避这种情况，可以积极引进外资以及民营资本，促使股权向多元化方向发展，这样不仅有利于增强银行的资本实力，而且也有利于借鉴境外战略投资者尤其是国际金融机构的先进管理经验，以便更好地提高自身的管理水平。

提升风险管理理念

相比于汇丰银行等国际性大银行，国内很多银行管理者的风险管理理念薄弱，并没有把内部风险控制提升到议事日程，在企业内部普遍缺乏一个真正意义上的内控委员会，实际操作中的内控管理工作多由内控专管员负责，而内控专管员又从属于银行的综合管理部。综合管理部在企业中只算是二线部门，往往员工一身兼任多职，这也就进一步削弱了内部控制在银行内部的执行力度，给内部控制的有效实现带来了很大难度。

另一方面，国内商业银行员工的风险管理意识淡薄，认为企业的风险管理和自己无关，应该负责的是风险管理部门或者是公司领导，在拓展业务时，忽视了对风险的防范，更加关注的是规模以及效益，过度地追求短期发展，经常违背内控制度。其实内部控制并不仅仅是管理阶层以及相关部门的职责，其需要全体员工的共同参与，同时其也不是仅仅在某个环节之中，而是在整个业务的过程中。

全体员工作为内部控制的关键，他们不仅是风险的制造者、被监督者，同时又是风险的控制着、监督者，缺乏对员工的管理，一切制度都是摆设。因此，为了完善银行的内控体系，第一步就需要从全体员工开始，培养员工的风险管理意识，建立良好的企业文化，充分发挥员工的积极性和创造性，把内部控制贯彻到日常工作的每个环节。笔者建议国内商业银行可以定期举办“内控合规强化月”这样的主题活动，全面加强员工的内控合规教育，强化员工的内控合规意识，落实风险管理。

完善风险评估体系

商业银行在为员工树立好风险管理理念后，就必须进一步确认风险相关的事件，并对风险进行合理的评估，进而制定具体的措施来应对风险。由于存在市场风险、信用风险、操作风险等等，并且每种风险的形成并不同，在评估风险时也应该采取不同的评估方法。

对于市场风险的评估，商业银行可以构建市场风险情景分析以及压力测试模型；对于信用风险的评估，应该根据个人住房按揭以及个人信用贷款等构建相应的评分体系；对于操作风险的评估，可以构建操作风险评分卡，对风险进行定期评估。当然，银行管理者不能仅仅局限于个别风险，必须立足全局评估风险，准确地辨析不同风险的影响程度，在考虑成本以及效益的基础上，制定相应的风险管理措施，最大限度的把风险控制在一定范围内。

重视内部审计

现阶段，我国商业银行的内部监督主要由董事会下设的内部审计部门来实现，内部审计部门需要定期向董事會报告其审计工作进度以及工作状况等。其实，在我国很多商业银行内部，内部审计并不能实现垂直管理，其工作开展在很大程度上受到管理层的影响，审计部门缺乏应有的独立性和权威性，在实际操作中对领导层的内部审计常常流于形式。要知道，内部审计一旦失去了独立性，它就会成为一个摆设，就不能发挥审计的作用。

另一方面，由于技术原因的牵制，国内很多银行的内审工作以现场审计为主，非现场审计频率低，审查范围小，只起到了辅助作用。现场模式导致审计工作冗长复杂，耗费大量人力物力，效率低下。在审计理念方面，很多银行过度依赖事后审计，不能把事中审计、事前审计落到实处，使审计工作一直处于低效率的状态。

因此，国内商业银行应积极借鉴发达国家的经验，在内部控制阶段，对内部审计给予高度重视，应在监事会下成立审计委员会，采取垂直管理的方式，更好地保障审计的独立性和权威性。为了最大程度地发挥内部审计的作用，不仅需要对整个内控体系进行审查，还需要对风险评估流程等进行审查，把审计报告和风险评估很好地联系起来。

我们要明白，内部审计并不是静态的，而是动态的，在注重事后审计的同时，更不能忽视了事前以及事中审计，充分对审计的信息加以利用，并及时向管理层汇报。国内商业银行还应注重对审计人员的培训，不断地提高他们的综合素质，建立起一批高素质的审计队伍。有高素质审计人员作为保障，还需要不断提高审计技术，给审计人员提供优良的设备，构建自己的审计技术平台，对业务尽量做到时时监测，最大限度的提高审计效率。

最终，实施内部审计最大的目的，就是对审计的结果进行合理地利用，审计结果包含了大量很有价值的信息。因此，相关审计部门必须对审计结果进行汇总整理，并及时提供给银行管理阶层，以便对各种存在的问题提出合理解决方案。

规范信息披露

根据巴塞尔协议对信息披露的明确规定，商业银行应该对外部以及内部进行信息披露。这其中不仅包括财务状况，还包括风险管理措施等。但是，国内很多商业银行在信息披露上还存在不足，信息披露规范性还不够，主要体现在披露内容不完善以及披露的定量信息不成熟这两个方面。

第一，披露的内容不完善。我国金融相关法律法规随着市场的不断完善也在逐渐健全，但是相对于国外发达国家，还存在一定的差距。国内很多商业银行的信息披露内容，还比较局限，往往只披露一些最基本的信息，很多对投资者和客户重要的信息都不能得到充分披露。披露内容的不完善，不仅影响了企业的正常管理，更影响了企业的日常业务经营，在信息高度发达的时代，无论是客户还是投资者都对信息的完善程度要严格的要求。

第二，披露的定量信息不成熟。对信息的披露主要有定性和定量两种方式，但是，国内很多银行对信息的披露主要还处于定性阶段，有些定量信息仅仅是一些最基本的表格和数据图等，比较低端，对信息的量化程度还有待进一度提高。大数据时代，应该充分利用数据的优势，把业务经营过程的数据收集起来，进行深入挖掘。对这些数据进行量化处理，并进行披露，将更有利于商业银行的长期发展。

发达国家对商业银行内部控制的信息披露提出了严格的要求。如果商业银行的内部控制缺乏完善的信息与沟通，内部控制要素之间就不能很好的协调起开，不能起到应有的作用，良好的信息与沟通能够保障内部控制体系的健康运转，大大提升商业银行的内控效率。

值得注意的是，完善的信息披露体系不能只局限于某个层次，而应该是全方位多层次的，不仅需要银行内部上下级之间进行信息披露，还需要对各种监管部门进行信息披露，更重要的是对投资者以及客户等社会公众进行信息披露，监管部门对各种被披露信息也应该公示，以便社会公众更好地了解企业。为了更好地鼓励信息披露，对未能按照规定对信息进行披露的，必须对其进行一定的惩罚，监管部门应该依据对信息披露不充分的程度，客观评价出这种行为所造成的危害，进而实行相应的惩罚措施，以此来构建完善的信息披露体系。

总之，很多发达国家商业银行经历了历史时期的金融风险考验，已经较为成熟，普遍构建起一套完善的内部控制体系，非常值得我国银行加以借鉴学习。商业银行只有建立起完善的内控体系，才能更好地应对各种风险，使企业在变幻莫测的市场环境中屹立不倒。