商业银行内控合规管理案例分析

南京审计学院国际审计学院 朱竹箐 许 莉

一、理论基础

1912年，蒙哥马利提出“内部牵制”理论：通过收集和处理企业会计信息过程的审查和评价，确定财务报表审计的工作范围。1992年COSO委员会认为，内部控制系统是由五要素组成，并且取决于高层的经营方式，渗透到管理环节中。1998年SAS55指出：内部控制结构包括为合理保证实现企业具体目标而建立的各种政策和程序，并可分为控制环境、会计制度、控制程序三个要素。2004年COSO风险管理框架把风险管理要素完善具体到八个。2005年巴塞尔委员会《合规与银行内部合规部门》认为合规是指商业银行在经营活动中确保遵守法律法规和准则的内控职能。

1997年中国注册会计师协会《独立审计具体准则第9号》指出内部控制是企业为保证业务活动的有效进行、保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实性、合法性、完整性而制定和实施的具体措施。2000年《会计法》要求各单位应当建立、完善内部会计监督制度，并明确提出权责明确、不相容职务相互分离、各部门相互制约、监督等要求，为确保企业会计信息的真实性和完整性而设计内部会计控制。2001年，财政部《内部会计控制规范》以及六项具体控制规范指出内部会计控制是指企业为提高会计信息质量，确保资产安全、完整，确保相关法律法规、准则的有效执行而设计和实施的控制措施。2004年，《独立审计具体准则第29号》规定，内部控制是企业为合理保证财务报告的可靠性、经营效率、经营效果和遵循法律法规、准则，由管理层制定和实施的措施。2008年《企业内部控制基本规范》则认为：公司的内部控制政策和措施与国家法律法规没有相冲突的地方。但是，2010年发布的《企业内部控制配套指引》和《应用指引》，却并未提及金融方面的指引，理论并不完善，因此，对商业银行内控合规的研究是很有必要的。

二、商业银行内控合规现状——基于案例的分析

商业银行如果不能正确地防范合规风险，将会导致操作风险、信用风险等其他类型的并发风险。近年来，国内银行经常暴露出一些银行违法违规的案例，大多由于缺乏科学的合规风险管理体系。多数银行一直以来都未将合规纳入风险管理之中，更没有形成合规风险意识，因此，违规操作、合规风险限制着我国银行业的健康发展。下文通过解析媒体公开报道的几个案例来分析商业银行合规管理中存在的问题。

案例一：齐鲁银行金融诈骗案

2010年，原上海全福投资管理有限公司董事长、总经理刘济源，通过伪造金融票证等手段多次骗取资金。7～10月其利用私刻的企业印章加盖于电汇凭证，转走8.4亿元；11月利用虚假进账单转走0.4亿，后联系正德人寿存入齐鲁银行5亿，当晚灌醉来办理存款的员工，窃取了该公司印章，加盖在其事先伪造的单位定期存款开户证实书和定期存款提前支取手续上。此后，他还私刻齐鲁银行相关印章转走该款。而在2010年，普华永道会计师事务所对齐鲁银行出具的审计报告显示，齐鲁银行的第三方存款质押业务存在借款人营业收入与贷款规模不匹配等问题，并为此注明了“保留意见”。这说明骗贷案在2010年初就已显露，而齐鲁银行不仅没有引起重视反而撤换了该事务所，使人不由得联想到有“内鬼”。同时也说明董事会和监事会对高级管理层的监管不力，并未起到应有的约束作用。

解析：内控制度执行不严，关键点控制不够。本案犯罪手法有私刻、盗取公章，伪造票据等，根源就是银行的内控合规制度未得到严格的执行。具体表现：一是没有做到有章可循、有章必循。对于他行存单，按规定有一个到存款银行核实真伪并办理质押、支付的流程，银行人员并未按照规章制度，认真检查存单的真伪，即匆匆将存款支付了。二是没有实行重点交叉和关键点检查。本案中银行对关键物件印章、关键工作环节存取及票据清算未引起足够的重视与关注。三是未设计逾期贷款监控措施，逾期贷款剧增，监管层却并未关注。

案例二：烟台银行案中案

烟台银行胜利路支行行长刘维宁从2011年4月到2012年1月，分多次将银行库存银行承兑汇票全部取走，用途不明，金额4.3亿元。刘维宁挪用抵押在支行的承兑汇票，并且勾结外部企业，开出承兑汇票套现，套出资金放高利贷或做其他投资，汇票到期之前，把钱收回来填补。胜利路支行一直是刘维宁一个人打理，高层负责人只有他。在早期2001年至2006年，烟台银行出现过类似事件，烟台山支行行长张群利利用承兑汇票贴现后的巨额资金，开始账外经营，采取票据承兑贴现后收回资金不入账，账外经营资金累计达5亿元，收回账外利息5000多万元不入账。

解析：定期检查制度形同虚设，缺乏制约机制。本案例中，该银行内部人员表示：对支行的所有票据业务，总行每季度都设置定期检查，全年有多次随机抽检，年底，每笔票据业务全部需要还原核实，如果该制度严格执行，根本不会发生账外经营；并且其中的职责分离也不到位，不能只由一人打理基本事务；而张群利账外经营则是银行内部关键负责人犯罪，内部各部门缺乏监督牵制机制，对关键人员的制约不足。

案例三：黄海农商行乱象

2012年，黄海农商行的不良贷款率猛增，其大笔放出的贷款被贷款公司的法人用于私放高利贷，并且贷款抵押物已被当事人私下处理，法人均涉民间借贷跑路或者被捕。2012年，黄海农商行贷出的不良的大额贷款就涉及至少6870万元，其中有的公司法人逃跑、有的公司逾期无力偿还，甚至涉及假担保、假质押。

解析：贷款“三查”制度不落实，贷款集中度高。本案中，金融监管部门曾警告黄海农商行，要求该行在发展贷款业务的同时，也要尽快理清该行的贷款条件、贷款流程等相关制度。同时，该区金融监管部门还提出：贷款的发放应专注于中小企业和农业贷款，不能用到其他用途；明令禁止银行内人员涉及民间融资，严禁贷款方将贷款转借他人或做与申请时不同的业务。黄海农商行却有规不循。银行批复贷款时应设计三查制度，包括：报批前调查和初审、借款人还贷能力及来源可靠性、资金流向、担保物的保管与评估、对资金使用和贷款质量的管理、不良贷款的回收和处理等。本案中，黄海农商行贷款发放制度不明确，未遵循三查制度，对贷后管理方面没引起足够的重视。

从上述案例分析可见，商业银行在内控合规管理中设计、执行、控制措施、信息沟通等方面存在问题。

（1）银行人员缺乏合规意识，内控合规环境缺失。由于我国银行各个部门的规章是各自制定，着重点不一样，有的重业务轻合规，有的重事后轻事前，缺乏统一合规管理制度。银行一直在强调合规，但只有少数员工知道合规的具体内容，学习繁杂的法律规章对员工而言既无效率也不易实现，缺乏实质性了解，为业务处理带来了许多不规范，也会带来更大的麻烦，合规管理就难以实现。

（2）缺乏合规管理，内控合规风险的独立性不强。现在商业银行有的只是分散在各个业务部门互不融合、不能相互适用的合规风险管理体系，各个业务部门往往更加看重自己的业务合规管理，未将全行业的合规风险纳入到整体风险予以重视。由于没有统一的风险管理制度，各部门对合规风险的理解也就不一样，最终则会导致全行的合规风险管理失控。同时，各部门都是根据自身情况来承担合规管理工作，各部门的管理水平就取决于领导的合规风险管理能力，从而增加了合规管理部门的非独立性。

（3）虽有内控设计，内控制度执行却不到位。案例三中，按照银行规定，银行贷款必须依循“三查”制度，贷后管理必须严格重视，但银行却未引起关注。实际中，各个商业银行虽都设计了各自的内控制度，银行制定的内控管理监督制度文件发布得很具体，但是合规管理中内控并未得到严格的执行，流于形式。在一些银行，合规管理只强调制定规章制度，在实际操作中却不合理地贯彻落实。制度设计了却不执行，执行了却不严格，那么这个制度就形同虚设。

（4）信息沟通缺乏相关性和及时性，合规管理困难。现有的上市银行内控信息沟通显然流于形式，每家银行都是更多地强调制度建设而非内控的风险评估；都是更多地进行定性表述而非进行具体的定量分析；都是过多进行正面效应的展示而非进行实质性缺陷的揭露。案例二中，烟台银行总行与支行缺乏及时沟通，引发资金挪用。

（5）制约机制不完善，对权力监督不力。没有充分考虑到商业银行风险经营的特点与要求，部门间员工分工不合理，管理职责执行不到位，不相容岗位未实行有效分离，重要部门或岗位缺乏独立性，缺少监督机制，不合理的组织结构使内控监管职能难于有效发挥、削弱了内控的作用与效果，从而，为舞弊行为的发生创造了条件。

三、商业银行内控合规管理完善措施

从《企业内部控制基本规范》可以看出：合规操作必须贯彻落实到每位员工及高层管理人员的具体操作行动中，实现控制目标、提高内控评价效果；在防范风险、审慎经营的基础上，内部控制应体现在经营管理过程中各个操作环节当中。按照巴塞尔协议，分析银行业特点，为完善五部委发布的基本规范，尤其是为了使《商业银行合规风险管理指引》更好地指导中国各个银行在实际操作中合规操作，提出以下几点加强防范的措施：

第一，培育优良的内控合规文化。企业的内控环境是所有运营活动的基础，是其他活动正常开展的保障。企业内控环境不仅关系到战略目标的制定、经营活动的开展和风险识别、评估等，还影响控制活动、信息的沟通、监督等各项活动的实施。内控合规文化是保障商业银行合规操作、稳健运营的软实力，借鉴国外银行的经验，倡导及培养适合我国商业银行实际情况的合规文化。全员参与合规，组织开展针对全员关于法律法规、规章的不同层次的宣传、教育和培训，将合规理念传给每个银行人员，形成主动合规的意识。全体人员都应重视检查业务中的不合规操作及风险，及时完善操作程序，降低风险，从而形成优秀的合规文化氛围以增加效益，促进银行稳健发展。

第二，建立科学的内控合规风险管理体系。银行应该从整体风险管理角度出发，创建以合规部门为中心，其他业务部门相配合的合规风险管理体系；在全行业积极宣传法律法规、行业规章、道德规范，明确各行的合规制度具体内容，各行的高层人员应对此履行监督与执行职责；确保合规部门或人员在批准的职责范围内按规定完成工作任务；制定科学的年度合规计划；合规部门应着重关注业务的事前和事中监控，努力尽早地识别出合规风险；合规部门工作时，有权要求其他部门予以配合。

第三，建立有效的激励约束机制和合规问责制。银行应制定科学的激励制度，以激励员工完整地合乎规定。由于考核结果的运用与银行员工的切身利益直接相关，对员工的积极性有着重要作用。在商业银行的风险管理中激励或约束不到位，那么这种机制产生的就是误导的作用，银行的制度、宗旨乃至价值观也难得到体现。当业务发展与合规与否发生冲突时，有些员工就会将合规置之脑后。建立科学合理的激励约束机制已经成为商业银行稳健发展的必然要求。针对大多数银行重视运营成果忽视合规管理的状况，可从加大惩处力度角度出发，这也并不意味罚金越多越好、刑罚越重越好，而是应该保持在合适的“度”内，处罚力度应取决于使一个业务操作人员在工作时能在收益与合规之间选择合规而非违规经营，通过这种方式使员工在业务操作中减少违规。

第四，加强信息沟通实现合规管理。银行的内控活动应融入各项业务和各操作环节，内控信息沟通中应充分包括相关具体内容、内控监督与纠正及自我评价，银行的内控信息应得到有效、全面的沟通与报告。开展定期或不定期的内控健全性和有效性检查与评价，并及时将检查的结果、评价的意见向上级提交审计报告。

第五，加强合规审计监督。为确保有效地将商业银行合规管理全面渗透到商业银行，必须在银行的工作中融入合规审计监督。但因传统的审计检查没有全局性管理，在开展审计工作时随意性较大且需要大量的资料以协助工作的开展，例如查库时需要较多的审计与管理人员，两者之间还需要进行大量沟通才能得出合适的结论。而银行的工作人员数量有限、工作繁多，应设计一套科学有效的合规审计系统加强各项业务合规工作的监督。还要完善稽核监督制度，在银行设审计委员会，负责制定政策和组织领导；在总行设立独立于其他部门且直接对董事会或者审计委员会负责的内审监督部门，对分行的监管部门实行派遣制加以轮岗制以保证内审人员工作的独立性。这样逐级设置独立的内审监督部门，加强信息交流，直接了解情况，形成一套比较独立完整且又行之有效的内审制度，同时应关注内审队伍的整体建设，提高内审人员的专业素养及道德素质，结合风险导向审计的原理，用以规范内审人员的工作方式及工作内容，加以完善。

第六，运用计算机审计技术。随着信息化不断地深入人们的生活，各商业银行应运用先进的科学技术和适合现代银行技术方法的控制线路加强合规管理，防范和控制合规风险。引入信贷风险管理系统，建立针对客户的统一授信决策体系、健全科学的授信决策机制、健全有效的贷后管理体系。引入专业审计软件高效地开展IT审计，IT审计与其他业务的审计相互配合，处理好IT审计与日常信息科技运行维护的关系。组建一支具有良好职业素质的IT审计队伍、制定一套具备完备标准的IT审计规范、一套高度规范的IT审计工作流程和一个高起点的审计管理信息系统。

［1］杨雄胜：《内部控制范畴定义探索》，《会计研究》2011年第8期。