我国商业银行内控研究

张忠挺

摘 要：商业银行作为我国金融市场的重要组成部分，其稳定运行与否关系着国计民生，而其内部控制的建设和执行力度又与稳定性息息相关。本文从16家商业银行2015年内部控制自评报告出发，结合COSO、巴塞尔协议和中国人民银行、银监等文件规定，分析我国商业银行2015年内部控制现状和出现问题的原因，初步提出我国商业银行在新挑战下完善内部控制应有的对策。

关键词：商业银行；内部控制；评价

一、商业银行内部控制概念及目标

银行业作为金融系统重要的构成部分，其风险管理的行业特性决定了内部控制建设至关重要。1998年，巴塞尔委员会在COSO框架的理论基础上，颁布了适合一切表内外业务的《内部控制系统评估框架》，提出了新的内控框架结构以及监管当局评价银行内部控制系统的十三项原则和内控五大要素，其后修订的巴塞尔协议又加入了三大支柱，为商业银行内控的构建和监管奠定了坚实的法律基础。

我国商业银行的内部控制是依据《商业银行内部控制指引》、《中华人民共和国商业银行法》、《企业内部控制基本规范》等规章要求构建的。2002年《商业银行内部控制指引》提出：内部控制是银行金融机构为了实现战略与经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。也就是说，商业银行的内部控制建设是为了防范金融风险，通过事前防范、事中控制、事后监督以进一步提高系统和体系的充分性、有效性和适宜性，保障银行体系安全稳健运行。

二、我国16家上市银行2015年度内控风险分析

目前我国上市银行共有21家，本文选取了上市时间较长的十六家商业银行，由于历史原因，这十六家商业银行可以分为国有银行（5家）和全国性股份制商业银行（11家）。

1.16家上市商业银行2015年度年报分析

（1）从组织结构上：国内上市银行无论是国有银行还是其他股份制商业银行内部组织结构均为分级管理式结构。这种结构能够保持银行经营管理基本稳定，金字塔型的结构有利于进行合理有效的管理，同时分支机构能够更好地把握地区动态，贴近客户需求。其次，国内的商业银行均建立起了现代公司治理结构，基本形成了“三会一层”的管理结构，保持了较为高效的运作效率。另一方面，这种组织结构的缺点可能是纵向管理层和信息链拉长、导致信息传递效率削弱，管理效率低下；可能忽视横向之间互相牵制、监督和合作；以及可能出现上下级在经营目标上存在差异，有时候会出现下级的短期行为与上级的目标相违背，从而导致风险增加。

（2）从股权结构上：表1为15家上市商业银行的股权结构。

从表1看出国有银行的第一控股方一般为中央汇金投资，为国家出资成立的用来对国有金融企业进行股权投资的国有独资公司，且股权都较为集中，其中对中国银行和建设银行形成了绝对控制；其他十一家商业银行除去由集团公司形成绝对控股外，剩下非集团控股的股权相较之下较为分散。同时，国有银行的前十大股东中境外投资者仍然存在，而其他类非全国性的商业股份银行中拥有境外投资的银行较少，但境外投资者的投资比例高于国有商业银行。外国投资者的加入，一定程度上改变了银行单一的股权结构，从而有利于公司治理水平和经营效率的提高。（3）从财务状况上：“4+1”的国有银行和另外11家股份制商业银行由于历史原因和发展时间在规模、发展状况等方面多方面也都存在差异，而这些结构性差异也影响到商业银行内部控制设计的差异。

由表2可知，五大国有银行在资产规模和净利润上远超过其他11家股份制商业银行，这与他们的经营范围和涉及的业务方向有关。银行抵御风险的能力资与产规模的大小息息相关，规模越大实力越雄厚，风险防范能力越强。国有银行的收入来源一大部分依赖于存款业务，而非全国性的股份制商业银行则主要依赖于各类贷款业务，贷款业务的不确定性和风险性无法估量，这也导致了非全国性的商业银行的风险可能高于全国性的国有上市银行。从净利润增长上看，非全国性商业银行的增长势头迅猛，可见近几年国内的区域性、地方性的商业银行发展势头较好，业务增长速度快，这也有可能与地方政府扶持或者中小企业发展有关。

（4）从不良贷款看：银行的不良贷款情况会影响到银行整体的经营和风险承受能力，这也直接与银行内部控制有关。我国银行业不良贷款率的警戒线为2%。根据银监会数据，截至2015年年底，16家上市银行的整体不良贷款余额已经逼近万亿整数关，商业银行不良贷款率上升至1.59%，較14年末增加了24BP（基点Basis Point），持平于14年全年增幅，但明显高于13年及过去几年的平均增幅，可以说目前国内的不良贷款率并不算高（最高时曾达30%），但是却隐藏着的上升风险，尤其是贷款在行业和区域上，集中度都比较高，信用风险相对突出；从银行间的比较来看，不良贷款率有升有降，除农业银行外全部上市银行均低于警戒值。地方性的商业银行中宁波银行和北京银行不良贷款率较低，且保持了非常好的增长势头。但总的来说不良贷款问题仍不容小觑。

2.16家商业银行2015年内控报告分析

搜集整理国内16家上市商业银行的内控评估结论、内控评价的范围及衡量标注、存在的问题及整改情况，其他重要事项说明等有关内控情况的公开信息披露资料，可以看出我国上市商业银行在内控体系建设上日益完善：

（1）纳入内控评价的范围日益健全。16家商业银行内控评价的范围包括评价体系的主要单位、业务事项及高风险领域。如五家国有银行的内控评价单位有总公司、境内外下属机构和控股公司等，其他11家商业银行则包括总公司及下属职能部门和控股公司，涵盖范围更广。

（2）整合银行战略，加大对高风险领域的风险内控点的全覆盖。重视对于重点关注的高风险领域，其中包括行的资产负债情况、票据、信贷、财务体系、信息科技管理等，还有新业务的创新带来的风险点控制与评估。

（3）充分整合现有资源，提高内部控制有效性。一些商业形成了以内审部门、内控管理职能部门和业务部门分工协作，形成从上到下全覆盖的监管体系，推动战略重点业务内部控制的改进和完善，并推动本行内控管理水平的提升，助力经营效率和效果的提高。

（4）内控评价效率得以提升。除了银行通过对风险事项进行定性和定量对缺陷认定，有些银行还根据自身情况提出了更加系统的内控评价方法。如平安银行就使用了RCSA（整合操作风险）-CSOX（上市公司内控评价）内控评价方法，再加上RMC系统的过程管理功能，内控评价效率提高，实现评价工作流程规范化。

另一方面，从2015年16家上市商业银行的內控评价报告也可以看出，成绩之余仍存在缺陷。16家上市商业银行根据内控缺陷划分的标准披露的情况如下：

以上数据来源于16家上市商业银行2015年内控报告披露的数据

由上表看到，2015年，大部分上市商业银行无论是国有还是非国有均存在一般内部控制缺陷，从财务类缺陷而言，发现的错报金额占比如总资产、利润额或者所有者权益比例非常小，因此并不构成财务报告真实完整和与财务报告可靠性相关的资产安全方面的重大影响；从非财务类缺陷而言，虽然业务、管理等方面也存在不同缺陷，比如战略及经营目标或关键性指标存在较小范围不合理，对重要业务或服务产生轻微影响等，均可以通过一系列整改措施对这些风险点加以应对。

同时，从上表看到，农业银行和中信银行无论是财务报告还是非财务报告均存在重要缺陷，原因在于农行北京分行16年1月爆发38亿巨额票据大案，中信银行兰州分行员工伪造票据并提前交付、造成9.69亿元损失。两例舞弊案件均暴露出我国商业银行内控缺陷仍存在较大隐患，尤其是在对分行业务的风险管理方面，如操作风险、信用风险等都可能是导致银行内控失效的重大隐患。防患于未然即是内控的意义所在。

三、2015年度上市商业银行内控问题原因分析

1.经济大环境低迷和政策导致银行不良资产率提高，信贷风险增加。

近几年来，全球经济增长放缓，企业经营普遍面临困境，银行风险偏好降低，企业借新还旧难度加大，再融资状况的恶化使得不良贷款率日渐提高。不仅传统产业如钢铁、煤炭等都出现了产能过剩，经营出现问题，一些曾经经营状况良好的央企也出现了兑换危机，随着国家供给侧结构性改革的深入，企业信用违约事件未来可能会有增无减，银行信用风险有可能持续增加，所有这些都对银行的内控和风险管理带来了巨大的挑战。

2.银行员工内控观念薄弱，违章违规事件频发。

银行员工的专业素养和道德素养有待提高，违规、违法事件惩戒力度不足，缺乏内部控制和风险控制较为全面的认识，而员工自身职业素养的缺乏增加了银行经营的道德风险，银行内部控制制度并未得到有效实施，政策执行力度不足。

3.银行内部监管不到位，风险排查不全面。

从2015年财务风险大案暴露了部分银行在业务流程、人员管理方面的监管漏洞。银行内部的管理体系中，自我约束机构仍未有效建立；银行员工的监督、问责机制落实不够到位；尤其在分支行的监管上，如国有上市银行不仅拥有境内各地市分支行，甚至还有境外分支行，再加上银行分层管理的组织结构，要对分支行的监管和风险排查可谓鞭长莫及。

4.分层管理的组织结构存在缺陷，内部审计难以有效全覆盖

国内上市的商业银行的分层管理的组织结构、过长的信息管理链使得总行的相关指令遭到层层削弱，上下级之间委托代理导致的道德风险变大；再加上各地区分支机构实际情况不同，整体利益最大化与局部利益最大化矛盾难以调和，同地区银行对客户定价政策不可避免地存在差异，整体的风险偏好也不同。极大加剧了分支行内部审计监管的难度，以再加上内审人员人力的约束，最终导致风险积累。

5.互联网金融的兴起对传统商业银行内控提出了新的挑战。

互联网金融因时间、空间和成本上等多方面优势，对传统商业银行形成了挑战。2015年的政府工作报告中提出了发展“互联网+”，互联网金融的将是未来金融业的一个新的增长点，为应对新的挑战，传统银行改变发展战略和完善信息沟通渠道刻不容缓，而这也势必对银行的内控和风险管理提出了新的要求。

四、完善国内商业银行内控的建议

1.逐步推进事业部制改革，进行风险把控

推行事业部制改革是近年来国内商业银行的提高运营能力、完善组织结构的必行之路。对于全国性的国有商业银行和区域性的商业银行来说，两者如何进行事业部制改革的路径和力度却不一样。对于国有商业银行来说，本身经过多年发展内部结构已经非常稳定，组织结构是与国家行政体系相一致，如果进行彻底的事业部制改革会导致内部管理摩擦远远大于其他区域性的商业银行，传统的商业银行模式下的资源分配、授权审批、等机制与事业部制需求不符。因此，可以选择类似于交通银行的事业部改革方式，实行分行制经营与事业部制经营双轮驱动发展模式，缩短总行管理链条，在成本可控的情况下进行稳步推进的事业部制改革，暂时避开对分支行行政机构和传统业务的改革，可以先从新兴业务的产品事业部制改革开始，在事业部嵌入风险管理“小中台”，建立前中后台分离的风险控制机制，将风险关口前移，从而提升风险识别能力。

对于其他区域性商业银行来说，实力强劲亟待转型的可以采取民生银行和平安银行上而下快速地推动条线型事业部制整体改造，厘清分支行的主要金融产品和行业线实行准事业部制，确定好经营格局后，成立行业和产品事业部直接进入细分经营领域，总行成立相应的管理小组和直属部门，从分支行进行试点后进行彻底的事业部制改革，完善业务流程体系，在改革中加强对业务流程的监督管理，总行负责制定政策，各分支行则进行执行。在事业部中加入矩阵结构，形成“纵横交错”的组织结构，纵向重在贯彻事业部的决策，横向注重加强与地方省份的联系。

而对于一些类似于农商行的中小型银行，规模较小、产品相对单一、业务体系尚不健全，无需急于进行事业部制改革。

2.加强内部审计监督，调整审计体系

这方面一是要加强内审部门的独立性，尤其是下设分行的审计部门要独立于本级分行，定期对本行各部门进行审计并编制相关报告上交总行审计部门，对于发现的审计部门无须经过本级领导同意，与分行没有直接的经济、人员联系，做到审贷分离，确保审计的独立性。在条件允许的情况下，商业银行也可采取“交叉式”或“流动式”派驻制，避免了隐瞒不报，加强审计有效性。另一方面要提高审计人员的专业素质和道德素质。提高专业素养，进行定期的審计知识、技能培训或者是“以大带小”的方式培养审计人才，从而能够快速地发现隐藏着的风险点兵并出相应的整改完善建议；提升道德素质，分支行以及总行的审计人员在对各级业务、部门进行审计时，要充分保持独立性和客观公正，对于发现的问题不能隐瞒不报。通过这两方面的提升来提高银行内部稽核的有效性。

同时，银行还要求加强对内部管控、突出事件和负面信息的处理情况，同时加强外部审计对银行内部控制的审核和了解，定期组织开展对内部控制体系有效性的检查。

3.完善动态风险识别机制，加强境内外内控管理

这方面可以考虑首先完善银行的风险管理制度，强化内部的信息化系统对分支行业务流程和管理进行控制。其次优化银行统一授信体系，加强信贷资产质量和信贷管理。最后是创新风险管理和评估方法，通过信息化建设，对风险进行事前评估，事中对相关可能造成风险的项目进行追踪、量化分析，事后对已经发生的风险进行评级，对风险进行有效地管理控制。

除上述措施外，在风险识别管理对策上要利用数据挖掘和分析技术，实现行内外各种信息的集中整合和共享，应对突发性风险事件。

4.强化内部问责惩戒制度，提高员工职业素养

一方面是在问责力度上强化信用风险责任认定，做好风险突出机构的管理责任以及大额不良资产的岗位责任认定；严肃界定各级管理者和恶性行为的责任，切实发挥责任认定和追究的惩戒与警示作用。根据风险性质的大小处以不同级别的处罚，罚款、通报、辞职信用留档严重者移交司法量刑。事后了解风险案件的处理整改情况，并在行内予以公告警示。另一方面要加强银行工作人员的职业素养和道德素养的提升。在招聘时要建立严格的招聘标准，工作中定期加强合规教育和监督管理，展开内控教育活动。将员工的绩效考核、升职加薪等与其风控执行情况、行为活动挂钩，根据各地区实际情况制定合理的业绩考核评价系统，减少员工为完成不切实际的考核而盲目追求业绩增长。严格执行内幕信息及知情人管理制度，加强内幕信息保密管理，对于接触银行内部重要信息的员工，要强化他们的保密意识和责任意识。

除此之外，商业银行要持续完善举报受理和案件管理制度，强化反舞弊、反违规机制建设，加强对内部不良违规行为的管理和发现，降低操作风险。

5.适应互联网发展潮流，开拓新的业务增长点

一是要重视互联网对数据收集作用。要加快信息化银行建设，加强重点业务层面数据挖掘分析，招收信息化人才，通过对信息系统数据结构的改造和数据资产的规范化管理推动银行的信息系统进行升级改造，加快掌上银行、大数据等信息技术在业务方面的开发应用，提升银行信息综合处理、技术应用、增值服务、市场拓展等能力。二是重视客户的需求和体验。商业银行也可借鉴互联网金融，突破银行传统的经营模式，以客户体验为立足点出发进行改变。如开发自己的掌上APP，创新移动理财、近场支付等手段，同时相较于一些互联网金融平台在风险控制上拥有绝对优势，可以抓住“互联网+”的机遇，试水P2P网贷平台，将传统的柜台业务进行网络化，通过直销银行实现网络贷款，从而打破银行在业务办理中时间和空间的限制。三是重视综合性人才的储备和培训。新形式的挑战就意味着对人员综合素质的要求越来越高，大力培养集金融知识、市场营销、信息技术于一身的综合性人才，完善银行的人力资源结构，从而提高整体的实力，形成核心竞争力。四是重视合作谋求共赢。商业银行在市场导向下，多方面、多渠道的与互联网平台开展合作，实现商户资源和客户信息的资源共享，两者优势互补。也可以与第三方支付或其他互联网平台开展合作，提高移动支付的渗透率，也扩展了银行在电子商务这一方面的业务。

参考文献：

[1]巴塞尔银行监管委员会.有效银行监管核心原则[Z].2006，（10）1.

[2]陈旭东，吴昊.COSO报告、巴塞尔资本协议与我国商业银行内部控制[J].商业研究，2007，（5）.

[3]焦敏.我国商业银行内部控制研究[J].金融经济，2010（08）：39-40.

[4]李永华.中国商业银行全面风险管理的问题研究[D].武汉：武汉大学会计学，2013.

[5]孙彤.我国国有商业银行内部控制初探——以中国银行为例[D].北京：财政部财政科学研究所会计，2013.

[6]谭诗乐.以风险管理为核心的商业银行内控体系问题研究[D].湖南：湘潭大学，2012.

[7]银监会.商业银行内部控制指引[EB/OL].http：//www.cbrc.gov.cn/ chinese/home/docView/31E436EAB2C9495A995B3CD5342F0666.html，2014-9-12.

[8]赵汉贞.浅析互联网金融为银行业带来的冲击和挑战[EB/OL].http：/ /sd.ifeng.com/caijing/guoyouyinxing/detail_2015_10/26/4484347_0.shtml ，2015-12-26.