“商业银行强化内控的着力点”

本篇文章4526字，读完约11分钟

作者|徐振慧“中国建设银行内控合规部”

文案|《中国金融》2019年第24期

没有产生系统性金融风险基础，切实回归服务实体经济本源，从年开始，银保监会组织开展了“三三四十”银领域市场乱象专项整治。 两年多的专项整治取得了阶段性效果，但金融风险高的多发具有诸多复杂性、长时间性，整治市场混乱的根本措施是商业银行自身必须不断加强和完善内部控制体系建设。

2008年，财政部、证监会、审计局、银监会、保监会五部委联合发布《公司内部控制基本规范》，要求上市公司宣传执行内部控制制度，对外部审计员对上市公司内部控制的比较有效性情况进行审计并定期披露。 商业银行内部控制体系建设起步较早，2002年人民银行制颁发了《商业银行内部控制指导》，2007年银监会结合《巴塞尔协议》发布了新版《商业银行内部控制指导》，并于年进行了修订，为我国商业银行不断建设内部控制体系。 年版《内部控制—集成框架》根据以往三个目标五要素提出17条大致及其相关的81个属性，以判断内部控制比较的有效性状况。 内部控制理念强调内部控制到达企业广告主体想去的地方，可以避免中途的危险和事故的内部控制是全员全面、全过程的，强调内生的自主性、自发性、强调人人责任的独立性、预见性、协调性、渐进性、超越性。 “内部统制-综合框架”强调内部统制系统的建设能够更敏捷地应对变化的商业、运用、监管环境。 强调了五个控制要素共同工作，发挥整合的作用。 “联合驾驶”是指所有五个控制要素共同将影响目标实现的风险降低到可接受的水平。 这些核心理念和建设重点是我国商业银行内控体系建设中的痛点和难点，单一控制要素都具备，但缺乏整合运行。 目前，进一步加强我国商业银行内部控制体系建设框架有四个关键点。

优化协调组织框架，完善公司治理，落实管理责任

进一步完善商业银行党委、董事会、监事会、高管层的企业治理结构，进一步理顺与股东、出资人的关系。 当前中小银行治理体系不完善，大股东利用商业银行谋取不正当利益和银行资金问题，需要从治理层面加以处理，要点是处理大股东、管理层舞弊导致的内控失效。 对大型国有商业银行、股份制银行，要点是进一步理顺和压实管理责任，形成部门职责交叉、边界不清、管理不到位等内部控制有效性不足、结构合理、分离制衡、有机合作的管理体制。

内部控制管理责任的落实至关重要，内部控制失效和内部控制漏洞往往是责任界限不清、责任交叉的业务和管理中的一些事项是内部控制最薄弱的环节。 内部统制管理不仅是合规部门、风险管理部门、审计部门的责任，所有人都有责任，需要全员、全面、全过程。 商业管理和行为管理必须有机结合，两者是一个问题的两个方面，而不是两个问题。 要根据业务管理的责任分工进一步巩固内部控制管理、员工行为管理的责任。 例如，客户经理的行为管理由客户经营部门负责主体，柜员的行为管理由运营部门负责主体，机构负责人的行为管理由上级负责，管理业务，管理行为，形成规范，才能比较有效地勾结业务，提高内控的严密性。

近年来，我国商业银行综合化经营步伐加快，混业经营规模扩大，较为有效的股权投资管理、表关系管理、关联交易管理、内幕交易管理、关联风险隔离控制、风险，都需要在组织和体制层面进行系统的设计。 随着金融科学技术的迅速发展，以及商业环境、商业流程、工作模式、控制方法的变化，对组织运营的比较有效性也需要同时进行判断、调整和优化。 要点监测职责是否清晰、分离是否充分、平衡是否有效、力度是否雄厚、是否适应新的工作和管理模式。

健全完整的内部规章制度体系，无设计缺陷、可操作的执行

规章制度是加强事前控制的比较有效的手段。 我国商业银行现有规章制度存在的首要问题是体系庞杂，复检修订不及时，往往一个制度附有若干“补丁”通知或规范性文件，基层机构难以掌握和比较有效地执行。 有的规则要求什么，不知道怎么做，操作性不够。 一些制度之间的交叉矛盾、“规则不一致”，形成执行中的不一致，直接影响内部控制的有效性。

因此，一是建立管理制度的制度，对规章制度进行分级分类，对规章的起草、审查、公布、执行、修改、废止等实施全过程管理，特别是决定评审修改的触发情况和相关管理规定 要实行统一的年度版，新规则必须涵盖原有规则和规范性文件，使基层机关掌握执行。 建立《规章制度树》，按制度类别明确制度层次，如管理方法、操作规程、岗位手册等；按业务类别、业务环节明确分类，如信用类规程、交易类业务规程等，构建经络清晰、规范科学的规章制度体系。

二是建立监管规则库、规章制度库，支持监管规则、实现规章制度的分类查询、模糊查询，便于员工学习掌握。 将规章制度库与业务系统对接，在业务操作员过程中可以随时进行制度查询，增强制度执行的能力。 三是加强监管规则的外部规则内化管理。 实施监管规则“一口一出”，根据重要性、业务行业、时限要求等，对监管规则分级，明确责任主体部门和执行时限要求。 对照监管规则，及时解读，重新审视相关规章制度，将监管规则内化为本行规章制度。 优化同步相关业务系统，完全控制方法、控制手段。 加强监督管理规则落地实施的跟踪管理，及时跟进，形成管理闭环。 四、合规审查新制度、新业务、新产品、新系统，纳入流程，要点处理规章制度内外(监管规则和)、左右(部门间)、前后(发布时间)、上下(总部和分公司)四个不一致问题。 保证规章制度的执行，加强相应业务系统的独立测试和检查，实施业务实现和内控比较有效性的双判断，对关键环节控制比较有效性进行要点审查，从源头上处理产品、业务流程的设计缺陷，增强事前控制的比较有效性。

嵌入业务流程，优化控制方法，加强监控警报

商业银行业务解决多为it化，目前的首要问题是内部控制嵌入业务流程不足，控制方法比较单一，缺乏机控手段，重业务实现，轻内控管理。

据此，一是系统分析业务流程的关键控制环节，优化协调控制方法，将控制措施纳入业务解决流程，加强过程控制。 特别是依靠金融科技手段，对关键行业、关键环节运用越来越多的机械控制手段，在不能机械控制的情况下，通过常规的机械控制规则，处理大部分问题，比较例外解决一些事项，设立特殊的研讨、授权等控制措施。

二是研究建立了公司级、业务行业级、产品级的标准化控制规范，辅助控制矩阵表、工具箱，共享控制工具和方法，业务部门在流程设计、it系统开发时遵循 it系统开发改变了临时戏剧开发模式，严格项目经理资质管理，引进国际通用的cobit5，从项目研究、投诉制作、立项、开发、测试、检测的整个过程进行it项目开发与管理 将测试、检测和开发分离，及时发现控制缺陷，不让系统带病在线运行。

三是依托现代金融科学技术，通过数据驱动和人工智能，调整优化工作模式，构建智能风控，增强控制能力。 实施业务前的后台分离、集中工作等。 现代金融科技为商业银行后台大规模、工厂化集中生产创造了条件，远程互联网技术为优化调整工作模式创造了条件。 我国部分商业银行实现柜面结算业务前后台分离，柜员接单后扫描入驻，总行后台组织集中录入、集中审核、集中检查面值要素，资金清算、会计核算集中解决，“总行-营业网点”两层 在大大减轻前台工作人员压力的同时，比较有效地处理了柜员手清、风险分散控制有效性不足的问题。 例如利用远程技术和人工智能，建模专家经验，实施信贷业务集中审批、集中贷款，增强集中管理能力。 集中化的运营模式可以实现专业化的解决、批量化的运营，有助于降低价值成本、提高效率、控制风险。

四是基于大数据、人工智能，使用神经网络、坡度提升树( gbdt )、随机森林、机器学习，实施事前、事件中、事后的全过程风险监测预警 根据业务场景、控制需求、数据基础，不断调整完整的预警模型，提高对柜面业务、信贷业务、金融市场交易类业务的非现场监测预警能力。 业务解决系统中可以嵌入预警模型，实现实时预警； 也可以按业务类别建立特殊的风险监控预警平台，以集中监控预警内部欺诈、外部欺诈和违规操作。

五是加强业务流程、业务产品固有风险、剩余风险的自我判断管理，建立重要风险监测指标，通过风险判断和监测预警，定期评估机构、业务、产品内部控制的比较有效性，利用成熟度模型，明确内控成熟度状况，实现风险量化管理

以完整的配套机制，激发内生动力

一套机制是内控体系建设的重要组成部分。

一个是确立规范的风险判断机制。 风险判断范围包括外部经营环境变化风险判断、监管政策变化影响判断、工作模式和业务流程重大变化风险判断、重大风险事件和案件影响判断等，包括判断触发情况、判断方法、结果应用、新闻信息表达、风险应对等业务规范、完整

第个是持续优化绩效考核机制。 应在绩效考核中加大风险和内部控制比较有效性考核的权重，科学设定违规事件、事件风险、监管处罚、资产损失等相关考核指标，体现过程控制和控制结果。 风险内控指标的向下传导至关重要，绩效考核结果应与机构、员工绩效分配、职务晋升、薪酬兑现、考核优先等相结合，通过绩效考核机制，比较有效地激励加强机构和个人内控管理的内生动力。

第二，建立完善的新闻报告制度。 新闻信息表达如同血脉一样，是贯穿内部统制5要素，实现内部统制5要素整合运行的关键。 要建立纵向、横向的矩阵式内控新闻报告机制，完善各类例会制度，共享风险新闻，违规新闻，整改新闻，采取比较内控措施，形成管理力度。

是建立内审外检问题的整改机制。 比较违规问题频发、整改缺乏深度、多次作案等问题，对员工机构进行完全整改。 对风险事件、重大违规事件、事件及典型审计发现问题进行深入分析，认真整理，总结分类，对问题进行分类，确定整改标准、整改时限，实施分类监督修改。 涉及制度、程序、系统层面，整改责任主体在总部，进行系统整改，涉及基层机构的执行水平。 要点是从制度执行的比较有效性方面进行整改，落实条线管理部门监督制度的执行责任，加强基础机构制度的执行力。 继续加强整改跟踪验证，及时识别整改过程中的难点、断点，分析深层次原因，优化整改方法。

是建立处置违规和问责制的管理机制。 对严重违规、事件风险，要及时采取应急措施，控制相关人员，清偿资金、资产，组织风险敞口，举一反三，自行查处，化解隐患。 对违规单位、人员实施违规处分，要综合利用订立合同、通报批评、撤销授权、暂停工作等手段处置违规单位，根据违规的性质、情节的严重程度以及风险的影响结果等，对违规点、扣分业绩、岗位调整、行政处分、处罚 违反法律的，坚决移送司法解决。 不要怕暴露丑角，也不要怕暴露丑角，要严格掌握违章报警通报，公开违章事件、案件情况、手段、被曝光的控制问题、管理问题，通报对机构、人员的问责解决情况，加强对不愿违规、不愿违规管理的威慑力量 据此，培养从治标到治本、标本兼治的良好守法文化。

是建立完善的外部审计师审计验证机制。 必要时，邀请外部审计员进行独立测试、审计或验证，查看相关业务流程、管理方法，发现控制缺陷，及时更正问题。 特别是设立境外机构的国有大型商业银行，要善于利用外部审计员的独立验证，迅速学习和适应国际监管规则和运行模式，提高自身适应国际金融市场竞争环境的能力和水平。

来源：零点娱乐时刊