浅议《商业银行内部控制指引（2014）》

许宜湛

摘 要：本文通过对比2014年银监会颁布的《商业银行内部控制指引》与COSO报告（2013）、《银行业金融机构全面风险管理指引》（2016），并结合我国商业银行的实际运作情况，分析了该指引的主要变化和不足，为以后的商业银行内部控制指引的制定提出了思考方向。

关键词：商业银行 内部控制 风险管理

中图分类号：F832 文献标识码：A 文章编号：2096-0298（2018）03（a）-029-02

COSO报告（2013）认为，内部控制是一个由主体的董事会、管理层和其他员工实施的，旨在为实现运营、报告和合规目标提供合理保证的过程。作为在国名经济中扮演重要角色的商业银行，其高负债经营的特点，更需要稳健运营，改善和加强内部控制与风险管理意义重大。2014年9月中国银监会颁布了新的《商业银行内部控制指引》（以下简称14指引），该指引是继人民银行颁布的《加强金融机构内部控制的指导原则（1997）》、《商业银行内部控制指引（2002）》和银监会颁布的《商业银行内部控制指引（2007）》之后第四次颁布关于商业银行内部控制的规范性文件，足见商业银行内部控制的重要性。

1 《商业银行内部控制指引（2014）》的变化、特点

（1）2014年指引在体例上与COSO整合框架2013不同，较能起到规范性的指引作用。2014年指引在内容上借鉴了COSO框架的基础上，分为总则、内部控制职责、内部控制措施、内部控制保障、内部控制评价和内部控制监督五个部分，没有按照COSO框架的五要素（内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈和监督评价与纠正）展开。这与COSO是美国的私立组织（它颁布的内部控制框架是相关成员的工作总结，因在世界各地得到广泛应用而具有权威性）。而我国颁布商业银行内控指引的是银监会，是政府机构，所颁发的指引是具有法律规范性的文件，在借鉴COSO框架2013的基本要素、原则的基础上，按照我国行政方式展开，更便于银监会及其分支机构对各商业银行机构进行监督检查，同样能切实起到“指引”的作用。

（2）2014年指引与以往的银行内控指引最大的不同是基本不涉及直接、具体的银行业务内容，指引内容显得非常宽泛。2007年指引在体例上突出以业务为主线，分为总则、内部控制基本要求、授信的内部控制、资金业务的内部控制、存款和柜台业务的内部控制、中间业务的内部控制、会计的内部控制、计算机信息系统的内部控制、内部控制的监督与纠正。

2014年指引的内容之所以被设计得很宽泛，实际是在民营资本逐步进入银行业、利率逐步降低放开的大环境下为各家商业银行设计了一个内部控制框架，便于各大小商业银行能根据自己的规模、经营模式和习惯、成本效益等因素，制定适合各自银行的内部控制手册或规定，以实现内部控制的最基本目标——运营的效果和效率，财务报告的可靠性，遵循适用的法律，而充分起到了“指引”的作用。这也符合《有效银行监管核心原则（2012）》的“内部控制和审计要求”——“银行拥有适当的内部控制，以建立和维持一个恰当的，考虑到他们业务经营风险状况的可控运行环境。”

（3）2014年指引总则中关于商业银行内部控制的概念、目标和应遵循的原则均作了调整。

第一，总则关于内部控制的定义充分借鉴了COSO（2013）的定义，突出了由“董事会、监事会、高级管理层和全体员工”共同参与的过程，强调了内部控制是全员参与的治理文化和合規理念，删去了旧指引中的“事前防范、事中控制、事后监督”的银行运营中的具体管理规定，以宽泛内部控制的范围，并不局限于日常业务；同时沿袭了“动态过程和机制”，突出了建立内控不是目的，是实现目的的过程、措施。

第二，内部控制目标则沿袭了旧指引中的合规、运营、风险管理和信息要求四个目标，比COSO整合框架2013多了“风险管理的有效性”目标，体现了在借鉴基础上，根据商业银行业的特点，需要重点关注贷款、投资的资产安全。

第三，2014年指引强调的原则是全覆盖、制衡、审慎和相匹配，不同于原来的全面、审慎、有效和独立的原则，将旧指引中的独立原则变为制衡性原则，突出了公司治理的顶层设计理念，其实攘括了旧指引的“独立性”原则，是它的发展；相匹配原则强调了内部控制的成本效益、适用性，包括了“有效性”原则的内容，增加了灵活性。

（4）2014年指引对内部控制评价作出了具体要求，既强调要设定内部控制考评标准，也要求商业银行应当根据业务经营情况和风险状况每年至少开展一次内部控制评价。这为商业银行进行内部控制工作开展提供了制度执行的保障。

（5）2014年指引既强调了商业银行内部的监督，又突出了政府银监会对内部控制的监督。指引中明确了董事会、高级管理层、内部审计部门、内部控制职能部门和业务部门对内部控制的有效性分级负责、监督检查和内控评价、履行职责和落实整改的责任，强化了责任追究。

2 关于《商业银行内部控制指引（2014）》不足的思考

尽管2014年指引在2007年指引的基础上，结合经济环境的变化，已做了许多进步的尝试，但在商业银行内部控制内容、执行和评价上均存在不足。

（1）2014年指引没有突出强调与内部控制有关的道德、诚信和社会责任。内部控制是由董事会、监事会、高级管理层和全体员工共同参与的，需要具备一定的道德水准和业务素质才能有效实施，同时商业银行在国民经济中具有特殊的地位，应将内控目标的实现与社会责任联系起来。2014年指引中没有关于社会责任的叙述，只有内部责任的追究；关于道德，只是在第四章内部控制保障中第33条指出“商业银行应当培育良好的企业内控文化，引导员工树立合规意识、风险意识，提高员工的职业道德水准”。而COSO整合框架2013的第一项原则就是“组织应展现对诚信和道德价值的承诺”，董事会和主体各级管理层通过指示、行动和行为展现诚信和道德价值对内部控制体系持续运营的重要性，即“高层基调”； 巴塞尔委员会发布《操作风险管理和监管的良好作法》中的银行操作风险管理的原则的第一项原则就是“董事会应发挥主导作用，发出‘高层声音’（tone at the top），推动强效风险管理文化的构建”。

（2）2014年指引不仅在内容上而且在语言叙述上均过于宽泛，容易给各商业银行钻空子。COSO（2013）之所以宽泛，是因为它需要体现如何设计、实施和执行内部控制，以及开展内部控制体系有效性评估这些最为基本的重要概念，才能为那些不同类别、行业和地区的组织在应用本框架提供基础。但COSO在内容叙述上非常详细，内容实际很丰富，具有普遍地指导意义。2014年指引从总体上为商业银行内部控制的职责、措施、评价和监督只是提供了方向，没有具体的内容，各商业银行会在充分考虑成本与效率的基础上，或者虽然制定完善的内部控制措施，但只停留在纸面上并没有执行，或者内控职责名义上由各业务部门、岗位兼职负责，实际并没有执行。因此可以借鉴COSO（2013）的行文风格，将2014年指引进一步细化，不失宽泛而具有普遍指导意义。

（3）2014年指引中内部控制监督之管理责任制，没有根据商业银行的特点突出垂直管理的特点和要求。商业银行一般没有专设的内控管理职能部门，各业务部门自身既是业务部门，也在执行各项内控管理措施，内控措施贯穿于各项业务。各项业务操作的文件包括内控的措施是逐级传达、落实，并由上一级业务部门督促下一级执行内控规定，并检查实际执行效果，是垂直管理、运作的架构。指引中只是叙述了业务部门有内控责任要求。强调商业银行内部控制的垂直管理可以在一定程度上避免由于本级行管理层的凌驾和基层行员工集体犯罪所导致的内控失效。

（4）2014年指引应进一步突出强调内部审计部门在内部控制制度建设、督促执行、效果评价中的作用。商业银行的内部审计部门不是业务部门，游离于业务外部，审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理、经营效果，主要采用上级审计部门查下一级行、不同地区行之间交叉审计的工作形式，在一定程度上能起到第三方评价的作用。2014年指引不仅应强调内审部门负有定期审查和评价内部控制的充分性和有效性的责任，还应说明商业银行要将内部控制直接纳入责任审计、离任审计和专项审计范畴，而对内部控制的审计可以理解为审计关口前移。

（5）2014年指引虽然在目标中强调了“保证商业银行风险管理的有效性”，但在内容上并没有将内部控制与风险管理有机地联系起来。内部控制主要来自于会计、审计和经济管理领域，风险管理主要来自于金融保险、安全工程等领域，从商业银行的经营看，内部控制与风险管理在目标上是一致的。商业银行内部控制实际根据各类风险管理目标和风险控制点而设立的各种操作规范，着力于能否适当降低风险以保证目标的实现。风险管理则是商业银行高负债经营的需要，风险管理的过程就是内部控制活动。《有效银行监管核心原则》（2012）中就有十一项原则阐述银行风险管理的内容，巴塞尔委员会还专门发布了《操作风险管理和监管的良好办法》。2016年银监会颁布的《银行业金融机构全面风险管理指引》第六章就是内部控制和审计。商业银行的内部控制指引应与风险管理紧密结合。

（6）2014年指引应强调内部控制措施的一贯性和发展性。商业银行的组织形式和利益相关者发生变化时，内部控制会面临挑战。如商业银行普遍施行轮岗制度，基层行行长一般两、三年就要轮岗，商业银行的管理层发生变化，其对偏离内控规范的态度和回应会发生变化，或者积极处理，或者为追求业绩而淡然处之，银行的一些内控措施就不能有效施行。鉴于此，作为商业银行内部控制指引——规范性的文件应该强调内部控制措施应一贯执行。

3 结语

商业银行在国民经济中扮演着重要的角色，其经营对象的特殊性决定了其面临着市场、流动性、操作、信用、汇率等风险，规范而行之有效的内部控制能够降低、减少甚至于避免风险，促进商業银行在遵守法律法规的基础之上有效率地运营，达到内外部财务和非财务报告的可靠、及时和透明。银监会应进一步借鉴国外关于内部控制和商业银行管理的先进理论、经验，结合我国的具体情况，规范商业银行的内部控制的内容和执行力度，以促进在新时代背景下国民经济的发展。

参考文献

[1] 银监会.商业银行内部控制指引（2014）[Z].银监发〔2014〕40号.

[2] 银监会.银行业金融机构全面风险管理指引银监发〔2016〕44号[Z].2016.

[3] 巴塞尔银行监管委员会.有效银行监管核心原则（2012）[Z].2012.