金融机构内部控制监管处罚研究

苏如飞

摘要：风险与内控能力对于金融机构的稳健经营具有重要意义。2018年4月，美国最大非银行机构国星（ Nationstar）抵押贷款有限公司被纽约金融服务局处于1700万美元的罚款，罚款的主要理由是缺乏相应的风险控制能力。本文以该案为切入点，通过从内部控制五要素分析该公司1700万美元罚款的原因，为我国加强金融机构监管提出相关建议。

关键词：风险管理；内部控制；非银行机构；合规；消费者保护

中图分类号：F831.2

文献标识码：A

文章编号：1003-9031（2018）08-0066-06

良好的内部控制对于维护金融机构的业务发展、防范风险具有重要的意义。其中，业务发展规模和速度与内部控制能力的匹配往往成为一个重要的标准。在2018年4月11日，美国纽约金融服务局（the Department of Financial Services英文简称DFS）因国星（英文Nationstar）抵押贷款有限公司（Nationstar Mortgage LLC，以下简称Nationstar LLC）违反纽约州银行法对其出具罚单1700万美元（约合计人民币1亿元）。Nationstar LLC是全美2017年最大的非银行抵押贷款公司，并在纽交所公开上市。通过对本次罚单的分析，我们可以发现美国监管机构对金融机构在出现风控能力与业务不匹配的时候，为防止金融风险的发生，会采取相关的监管措施，进行罚款，要求其整改，以维护正常金融秩序，这对于我国监管机构面对金融机构出现此类风险警示事件时，加强监管具有较大的参考价值。

一、Nationstar处罚案的简要情况

（一）Nationstar公司发展历程

1994年Nationstar LLC作为Nova信贷公司在内华达州（Nova）建立，1997年公司的名称被修改为C entex信贷公司，2001年Centex信贷公司并购Centex家庭贷款有限公司（LLC）。2006年，该企业被并购附属为Fortress投资集团的子公司，2012年早期，Fortress组建Nationstar抵押控股公司直接作为Nationstar LLC的母公司。Nationstar LLC发展特点如下：

通过从各种存在抵押贷款服务的金融机构并购抵押贷款服务的投资组合和次级权利，Nationstar LLC业务规模增长迅猛。2011年，该公司发起16898份优先留置权家庭贷款，未付本金额为34.1亿美元，2012年底的前9個月到2013年的第三季度，公司的资产从70亿美元增加到170亿美元，增加140%。其中，在2012年底，Nationstar服务的大约18000个居民抵押贷款在纽约州存在未付本金额超过37亿美元。到2015年底，这些抵押贷款的数量已经膨胀到91000份贷款并伴随着未付本金额达到185亿美元，在同时段全国的抵押贷款大约是从61.7万份抵押贷款伴随着未付本金额85亿美元发展到2015年的210万份抵押贷款伴随着未付本金额是3300亿美元。Nationstar持续聚焦在优先扩大其业务规模，这让公司持续增加收入并摊薄成本，在2017年1月，公司宣布依靠New Residential投资公司的投资，获得75万新的客户。

（二）监管检查发现的主要问题

为了评估公司的金融安全和稳健与公司内控管理的充分性和合规情况，纽约金融服务局（DFS）对该公司进行了检查，DFS的检查主要集中在Nationstar抵押贷款公司在2011年1月1日到2014年3月31日之间的贷款服务，检查反映出的主要问题主要体现为公司没能够发展有效的、与其业务规模相匹配的内控能力，风险管理能力远落后于业务发展速度。具体体现为内部控制的风险评估、控制活动、信息与沟通、监督活动等四个方面。

1.在风险评估上，公司的内控管理和合规管理存在机制缺失

一是风险管理流程缺失，缺乏对经营风险的充分识别和评估。通过检查，DFS发现，Na-tionstar没能够充分预期业务规模扩大伴随着的风险，这让持续增加的借贷者暴露在风险的伤害当中，特别是在检查的时候，公司甚至没有建立起全面风险管理程序来纠正和计量公司多样化业务单元的多样风险。二是合规管理的相关机制存在缺失。公司的合规管理体系还没有发展起来，也不采取充分的措施确保复核和更新公司的相关程序与政策。

2.在控制活动方面，公司的文件保存和文档管理流程明显存在疏漏

一是缺少基本的相关文件或者记录（如借贷者的收人证明、财产估值文件、借贷法律披露要求的真实性证明材料等）显示公司在发放抵押贷款上是合规的；二是在公司的拒绝贷款文件上，缺乏具体的拒绝贷款理由；三是许多纽约借贷者的借贷文件在关于面临丧失抵押品赎回权的规定上，缺乏显示根据纽约州法律Nationstar抵押贷款公司应已经提交90天的预先披露通知文件的副本。

3.信息与沟通方面，公司信息系统控制存在严重漏洞

信息系统对于一个现代金融企业的内部控制非常重要，在检查当中发现，Nationstar公司的业务外包管理、相关信息安全政策方面存在严重的管理漏洞。尽管Nationstar公司将信息技术审计公司外包给第三方供应商，但公司甚至无法给检查人员提供所要求规模和细节的正式文件。在检查的时候，公司仅能够提供信息安全政策的草案，这导致监管者对公司执行安全政策和对该公司信息安全法律合规遵循性的严重质疑。

4.内部监督方面，缺乏相关监督机制导致对消费者权利保护漠视

2011-2014年，Nationstar抵押贷款公司消费者的投诉上升了十倍，主要的投诉体现在公司没能够有效的监管和采用其基础设施来有效的服务增加的贷款人群。这些投诉包括很多关注的问题，包括但是不限于，在支付流程的错误、不正确通过捆绑销售方式强迫借款人购买保险等。

在大概900个贷款例子当中，Nationstar抵押贷款公司没能够在规定的时间要求之内发放贷款，这在某些情况下导致借贷方超过还款的截止日期，从而产生了额外的费用。

（三）处罚情况

对Nationstar抵押贷款公司违法纽约银行法及相关的违规行为，DFS进行了罚款500万美元，Nationstar抵押贷款公司要支付700万美元的补偿给相关借款人，额外捐献价值500万的居住不动产或者最先留置权的抵押贷款（ first-lien moItgages）给一到两个非盈利组织，并聘请独立的第三方中介机构来评估其整改措施。整体上，Nationstar抵押贷款公司因违规行为支付了1700万美元（根据4月中国人民银行外汇中间牌价，约合计10720万人民币）。

二、Nationstar处罚案的原因分析

纵观美纽约金融服务局所列举的处罚事实，可以归结为美国国星抵押贷款公司受到监管的处罚，主要是由于内部控制能力与业务发展速度和规模的不匹配。

2002年美国出台的《萨班斯法案》规定了管理层应该负责内部控制的年度评估，使得内部控制的精神和要求融人到市场监管的法律当中。在监管实践当中，美国监管机构一般是依据美国反虚假财务报告委员会下属的发起人委员会（COSO）的2013年内部控制整体框架来对企业的内部控制体系的运行进行相应判断。

在风险评估方面，良好的内部控制要求企业能够制定足够清晰的风险目标，识别实现目标涉及的风险，考虑潜在的舞弊，识别并评估内部控制的重大变化。但从监管检查的发现来看，国星贷款公司甚至没有建立起全面风险管理程序，也缺乏合规管理程序，此类的管理措施严重的满足不了现有业务规模下的风险管理的要求，更无法实现内部控制下的风险评估的需要。

在控制活动方面，常见的控制活动包括：验证、对账、授权与审批、物理控制、监督控制等对业务流程进行掌握的活动。但国星贷款公司在监管检查当中暴露出相关控制活动的缺乏。一是缺乏验证的控制，缺少基本的相关文件或者记录显示贷款合规；二是缺乏必要审批制度，拒绝贷款缺乏相应理由；三是缺乏必要监督控制，如业务办理缺乏相应的法律文件，却没有任何人进行监督。

在信息与沟通上，企业信息系统的质量对于保持有效的内部控制至关重要，这包括高管层应该建立清晰的信息权利义务及责任规定，敏感信息的安全保护措施等，同时，良好的信息与沟通机制，应该保障企业可以实现信息的可访问性与可验证性。但国星贷款公司的信息管理系统却是远远满足不了要求，对于监管需要的文件无法及时提供，无法做到可访问性与可验证性，缺乏信息安全保护措施。

在监督活动方面，监督活动的缺失明显导致了对消费者权利保护的漠视。作为内部控制的五要素之一，监督活动是评价内部控制有效性的重要根据。国星抵押贷款公司消费者的投诉上升了十倍。如果国星抵押贷款公司在内部控制存在有效的监督机制，完全可以纠正相关的控制漏洞，但相关控制机制的缺乏，导致了消费者权利长期受到漠视，从而违反了美国法律当中对消费者保护的相关规定。

三、美国Nationstar处罚案对金融监管带来的启示

Nationstar抵押贷款有限公司被处罚，在美国金融罚款当中数目相对较小，跟美国近期来动辄数亿罚单的案例如富国银行在2018年4月23日因损害消费者权利被罚款10亿美元相比，简直小巫见大巫。但本案折射出的美国监管机构以内部控制能力远远无法匹配业务经营需要作为主要处罚理由，还是比较具有典型意义。这对于我国监管机构推动金融机构加强内控控制管理，从而更好实现金融风险防范具有一定借鉴意义。

（一）金融监管处罚由重视结果处罚转到重视行为违规处罚的趋势

不可否认，本案当中，Nationstar抵押贷款有限公司造成了损害消费者利益的事实，让消费者缺少了享受公平信贷的机会，但本案更让人关注的是美纽约金融服务局对Nationstar抵押贷款有限公司这种行为违规的处罚。根据美国的平等信贷机会法案，各金融机构要平等对待借款人，在申请人有足够行为能力的时候，采取不利于借款人的行动要向借款人充分披露原因，违反平等信贷机会法案面临不超过1万美元的惩罚性损失赔偿金。在Nationstar抵押贷款有限公司的拒绝贷款文件上，缺乏具体的拒绝贷款理由，明显违反了平等信贷机会法案，因此受到了美监管机构的处罚。这与我国银行监管制度存在较大的不一致，我国往往以造成具体的损害结果为处罚或者检查的依据，但是这应用在金融服务的供给上是不够妥当的。毕竟金融服务可以消除贫困，实现社会公平，帮助受益群体提升造血功能，如果一味强调金融服务不供给结果的损害，将导致相关行为无法得到规制，严重的影响社会公平。

（二）金融监管需更加重视金融机构的内部控制体系建设

Nationstar公司處罚事项更多的体现在内部控制程序上的不合规，如内部控制和合规风险管理远远达不到与资产规模相匹配、信息系统管理出现很大的漏洞、文件保存和文档管理流程明显存在缺失，这反映了内部控制在金融机构管理当中的重要地位，特别是本案当中，美监管机构指出了Nationstar公司没能够发展有效的、与其业务规模相匹配的内控能力，风险管理能力远落后于业务发展速度，这就是一种严重的违规。这也反映出国际金融监管的一种趋势，金融风险防范的过程比风险防范的结果要重要，因为金融风险事件的一旦发生，将要求社会付出巨大的成本。

（三）应重视金融机构自身的内部监督机制

金融机构的内部监督机制由内部审计、风险管理和合规部门等共同构成，这些部门承担内部控制的监督检查职责，这对于防止金融机构出现损害顾客权益的现象具有一定的纠正意义，就Nationstar公司被处罚而言，很关键的一点在于对消费者权利的漠视，这种忽视就是国星公司本身内部控制监督检查机制失效的体现。根据美国的公平信用报告法案要求，金融服务机构采取不利于借款人行动的时候要及时告知，但Nationstar公司却没有及时的披露相关的信息，这说明该公司自身的合规管理体制是运行不畅的。

四、我国加强金融企业内部控制监管的建议

（一）更新理念，发挥金融企业内部控制建设在风险防控的作用

在2017年12月18日至20日在北京举行的中央经济工作会议上，会议确定按照党的十九大的要求，今后3年要重点抓好决胜全面建成小康社会的防范化解重大风险、精准脱贫、污染防治三大攻坚战。打好防范化解重大风险攻坚战，重点是防控金融风险。2018年3月国家对金融体系进行了改革，根据党中央、国务院的部署，原来的银行业监督机构、保险业监督机构合并，成立银行保险行业监督机构，进一步加强了对金融领域风险防范的控制。防控金融风险是国家未来一段时间的重要政策，那么防控风险的关键在于金融企业本身，因此更加需要重视对金融企业内部控制的建设。

对于内部控制，一般认为是企业管理的一种手段。因此，金融监管机构一般更重视以企业具体的违规后果来对企业进行处罚。但是我们必须看到，内部控制的不达标往往就是企业合规的不达标。从金融风险防控的角度而言，我们必须更新理念，更加重视事前的预防，从金融企业内部控制建设着手，要求金融企业自身先做好金融风险的防范工作。

（二）及时修订相关制度，增强违反内部控制的威慑力

目前我国金融企业适用的内部控制主要的制度规定有保监会2011年实施的《保险公司内部控制基本准则》、银监会在2014年实施的《商业银行内部控制指引》等，这为我国金融企业加强内部控制提供了很好的指导，但目前我们相关的金融监管制度对金融机构违反内部控制规定的处罚后果偏轻，一般缺乏独立的罚则。

如银监会在2014年出台的《商业银行内部控制指引》（银监发[2014]40号）对违反内部控制就缺乏相关的法则，在该文件当中的四十八条规定，“银监会及其派出机构对内部控制存在缺陷的商业银行，应当责成其限期整改；逾期未整改的，可以根据《中华人民共和国银行业监督管理法》第三十七条有关规定采取监管措施。”《中华人民共和国银行业监督管理法》第三十七条主要是规定商业银行违反审慎经营规则的后果，这表明立法者更多的将内部控制视为审慎经营规则的一部分，并无意设立对违反内部控制的单独违规罚则。将商业银行的内部控制视为审慎经营规则一部分，并无可厚非，但是并不足以凸显内部控制在金融企业管理当中的日常重要意义。类似在《保险公司内部控制基本准则》第五十八条规定，“对于内控违规行为和风险事件负有直接责任和管理责任的当事人，应当按照监管规定处罚”。

鉴于内部控制在金融企业当中的重要意义，相关监管文件的规定过于笼统，非常不利于执法操作，建议修订1999年国务院出台的《金融违法行为处罚办法》（国务院令260号），引入金融企业内部控制的相关规定及相应罚则。将其普遍使用在金融企业的管理上，督促金融企业完善自身的内部控制体系建设，提升内部控制的充分性和有效性。

（三）加大违反内部控制执法力度，做好执法落地

我国2017年以来的银行业监管实践也反映了这一种监管的要求。2017年披露的两千多张罚单当中，涉及到内部控制不达标事项就有数百张之多。例如根据2018年4月银监会通报，由于内控管理严重违反审慎经营规则，某国有银行北京分行被罚款50万，责任人李某军被终身取消董事、高级管理人员任职资格，并终身禁止从事银行业。

为防止金融风险的发生，笔者建议，应该进一步从金融严监管的思路出发，借鉴美国监管处罚实践当中，对金融企业出现风控能力与业务不匹配的时候，采取相关的严厉监管措施的做法。一是强调管理层的内控合规责任，出现内控管理严重违规，直接问责管理层；二是加大处罚力度，以罚代管，督促违规企业整改，强化内部控制在金融企业当中的重要性，加大違规威慑。

参考文献：

[1]惠平.童频：商业银行内部控制[M].北京：中国金融出版社，2017.

[2]张健华：美国金融制度[M].北京：中国金融出版社，2016.

[3][德]彼得·佩尔泽.贾中正，杜海译.银行业的风险、风险管理与监管：即将来临的风险[M].北京：中国金融出版社，2017.

[4][美]海曼.P.明斯基.石宝峰，张慧卉译.稳定不稳定的经济；一种金融不稳定的视角[M].北京：清华大学出版社，2015.

[5][法]马勒·沃根.极端金融风险（影印本）[M].北京：世界图书出版社，2012.

[6][美]本·伯克南·金融的本质[M].北京：中信出版社2017.

[7]周小川.守住不发生系统性金融风险的底线[N]人民日报，2017-11-22.