浅析商业银行内控制度的重要性与风险防范

邹乐

[摘 要]文章结合笔者自身从事审计项目的实践，深入揭示目前商业银行面临的内控缺陷和潜在风险，并提出风险防范的措施，以商业银行内控失控的案例警示银行管理者重视内控制度的设计合理性和执行有效性，同时，提升员工知识水平，加强员工道德教育。

[关键词]商业银行内控制度；贷款的风险限额管理；客户评级制度

[DOI]10.13939/j.cnki.zgsc.2018.30.058

根据中国人民银行颁布的《商业银行内部控制指引》的定义，商业银行内部控制是指：商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内控制度是商业银行健康快速发展的核心机制，商业银行内控制度的建立应遵循全面性、审慎性、有效性、独立性等原则。笔者有幸参与审计厅牵头的审计商业银行，根据实践来看，因商业银行发展历程的特殊性和管理机制的松散，内控制度设计存在重大缺陷，已建立的内控制度形同虚设，上下沆瀣一气，违规违纪发放贷款，盲目地扩张信贷规模，导致商业银行不良贷款率居高不下，信用风险集中爆发。笔者结合自身从事审计项目的实践，深入揭示目前商业银行面临的内控缺陷和潜在风险，并提出风险防范的措施，以内控失控的案例警示银行管理者重视内控制度的设计和执行。

1 内控制度的重要性

建立健全内控制度是商业银行实现自我约束的重要环节，健全和完善的内控制度是商业银行实现经营目标、提高经济效益、防范化解风险、确保金融安全、保护存款人利益的一项重要措施，在商业银行保障自身稳健运营过程中发挥着不可替代的作用。通过运用科学的方法和程序，独立地对商业银行内控制度的健全、执行制度的有效性及风险防范能力进行综合评价，能够有效地识别风险、评估风险、控制风险，能够强化约束机制，促进商业银行提高风险管理水平，促进各级管理者和员工强化内部控制意识，确保内控制度体系有效运行。

2 内控制度失控的案例警示

某商业银行因内控制度体系存在严重缺陷，产生了内部管理混乱、无制度可执行、有制度不执行或乱执行、内外勾结、管理人员行贿受贿、违规出售不良资产优化指标、客户通过伪造资料骗取贷款掩盖不良贷款等问题。

2.1 商业银行内控失控主要表现形式

（1）部门岗位和职责设置不合理。

该行风险管理部负责牵头实施全行的市场风险、信贷风险、操作风险、流动性风险、声誉风险、账户利率风险等风险管理工作，建立全行风险预警体系，确定预警指标，组织实施各项风险压力测试。实际上该银行自成立以来，风险管理部仅配备两名人员，超负荷工作，且不参与贷前调查，不负责贷前风险评估和贷中审查审批，而是在出现不良资产时由风险管理部进行清查，采取应对措施。商业银行是高风险业务聚集的区域，风险控制仅依靠前台客户经理把控，风险管理部门不参与贷前风险调查，忽视了三道防线的建立和执行（第一道防线：业务部门，第二道防线：内控管理职能部门，三道防线：审计监察部门），不符合风险控制体系的要求。

（2）未对贷款进行风险限额管理。

该银行未按照行业、贷款品种等维度设立风险限额制度。一是发放政府融资类信用贷款13笔，贷款金额12.79亿元。截至2017年末，贷款余额12.37亿元，每笔贷款平均高达9800万元，该银行未规定信用贷款最高风险额度，对于具有政府背景的贷款发放政策过于宽松，未执行市场化规定；二是未规定第三方保证贷款最高风险额度，导致单笔保证贷款高达1亿元，因未进行风险限额管理，造成单笔信用和保证贷款额度过大，风险过于集中。

（3）未建立客户评级制度。

该银行未建立个人和公司贷款客户评级制度，个人贷款发放前均未进行评级，2011年5月至2017年2月公司贷款客户由资信评估公司提供评级服务，按不同咨询种类收取咨询费。贷款调查期间评估公司对公司贷款客户进行评级，费用由客户承担，评级后向客户颁发等级评定证书。2017年2月新董事长任职后，因2013—2014年发放的贷款出现集中信用风险，认为评估公司在贷前调查期间对于评级工作流于形式，并未达到的风险控制目的，因此取消了与评估公司的合作。2017年2月至审计日，该银行未开展其他形式的评级工作。

（4）未严格执行客户授信制度。

一是发放贷款前未对客户授信，仅将客户申请贷款额度视同授信额度，對于同一客户多笔贷款的情况，因未确立最高授信限额，导致超出客户风险承受能力发放贷款。二是未对集团客户统一授信。该银行对在股权上或者经营决策上直接或间接控制其他企事业法人或被其他企事业法人控制的、共同被第三方企事业法人所控制的、主要投资者个人、关键管理人员或与其近亲属（包括三代以内直系亲属关系和二代以内旁系亲属关系）共同直接控制或间接控制的、存在其他关联关系，可能不按公允价格原则转移资产和利润，应视同集团客户进行授信管理的集团客户未实行统一授信管理，未集中对集团客户授信进行风险控制，导致该银行不良贷款风险集中爆发于集团关联贷款。

（5）违规转让不良资产。

2015—2017年该银行为了掩盖不良资产，通过售后回购、自卖自买信托产品等方式分4批向资产管理公司转让不良贷款共计795笔、本金17.41亿万元、利息5.42亿元、本息合计22.83亿元、债权转让金额17.34亿元，商业银行与资产管理公司签订抽屉协议，委托资产管理公司清收贷款本息，给予资产公司管理费，同时资产管理公司转委托该银行对不良贷款进行维护、管理和清收，违规转让不良资产，优化银行财务指标。

（6）违规发放借名贷款。

2013—2014年，融资担保公司负责人罗某通过他人名义成立35个经营部、农家乐、门市部、服装店等，通过在网络上下载银行流水，编造生产经营资料，骗取贷款2.09亿元。2015年，罗某资金链断裂，无力偿还本息，上述贷款均已是不良贷款，银行工作人员在明知罗某借他人名义贷款的情况下，还同意罗某通过还款后再贷方式，继续贷款，并同意罗某用A公司股权作为贷款担保，A公司注册资本仅500万元，担保贷款金额高达9000万元。截至审计日，公安机关已对罗某等人涉嫌骗取贷款进行立案侦查。

2.2 内控失控导致系列案件爆发

商业银行因违规发放贷款，造成313个企业或自然人通过编造虚假资料骗取贷款资金共16.84亿元，截至2017年末，尚欠贷款本金15.41亿元、利息4.96亿元。目前，公安机关已对9名自然人和6名商业银行管理人员依法执行逮捕，以涉嫌骗取贷款、违法发放贷款、乱用职权、行贿受贿等罪进行立案调查，6名银行管理人员中，3人开除党籍且开除公职，3人行政开除，追缴违法违纪所得268万元。

3 风险防范的措施

（1）健全内控制度体系。根据“全覆盖、制衡、审慎、相匹配”的原则，建立健全适合商业银行自身管理模式、业务规模、产品类型、风险状况的分工合理、职责明确、报告关系清晰的内控制度体系，形成内部控制贯穿决策执行、监督全过程、覆盖各项业务流程和管理活动、覆盖所有部门、岗位、人员的相互制约、相互监督的机制，保障经营管理安全运行。

（2）强化督导检查及问责。各职能部门应定期、不定期地组织专项风险排查，有计划、有针对性地对制度执行相对薄弱、风险较突出的重点业务和重点环节开展专项检查和突击检查，及时发现和处置风险隐患和漏洞；对外部监管检查、内外审计、检查发现的问题，建立问题整改台账，强化问题后续整改督查，严格问题责任追究和问责处理。

（3）强化员工教育培训。一是要进一步加强条线制度体系建设，建立健全业务知识库，确保各层级管理者、相关条线和员工及时了解与其职责相关的制度和信息。并开展常规业务演练和应急演练，保证业务持续运营。二是按季抓好辖内员工业务知识、合规操作培训，多层级、多形式地对员工进行业务操作规范化辅导，强化培训考核结果运用。

（4）强化员工队伍建设。一是各业务部门要结合实际，提出队伍建设指导方案，逐步培养、凝聚一批具有较高专业素养、丰富业务管理实践经验的管理队伍。二是要结合辖内实际，加强员工队伍建设，严格岗位人员准入和退出要求，从体制和机制上保障人员队伍稳定。同时，要积极配合人力资源部门做好员工岗位任职资格等级认证体系建设，提升员工队伍整体素质。