沈全芳

（日照職業(yè)技術學院，山東日照276826）

基于風險管理視角的我國商業(yè)銀行內部控制探討

沈全芳

（日照職業(yè)技術學院，山東日照276826）

金融風險的防范已成為各國銀行管理的重點,銀行內部控制的重要性也日趨凸現。從我國商業(yè)銀行年報內部信息披露現狀分析來看,我國商業(yè)銀行內部控制存在諸多問題和弊端。應從制度安排、職能分離、資產管理、垂直監(jiān)督四個方面改進內部控制，從風險監(jiān)管和信息披露著手促進風險控制機制的完善，加強經常性的金融機構評級，建立授權和責任體系等方面，促進和強化金融機構內部風險控制。

商業(yè)銀行；內部控制；風險管理

自1995年以來，我國商業(yè)銀行不斷進行法規(guī)的完善、風險的有效控制以及公司治理等工作，防范風險的能力不斷增強,經營管理水平顯著提高。次貸危機拉開了全球經濟危機的序幕，次貸危機在引發(fā)人們反思的同時，審視我國商業(yè)銀行的內部控制問題非常必要。

一、我國上市商業(yè)銀行內部控制信息披露的現狀

1.我國關于上市商業(yè)銀行內部控制信息披露的有關規(guī)定。中國證監(jiān)會2000年12月21日發(fā)布的《公開發(fā)行證券公司信息披露編報規(guī)則第7號——商業(yè)銀行年度報告內容與格式特別規(guī)定》第六條規(guī)定，商業(yè)銀行應對內部控制制度的完整性、合理性與有效性作出說明。商業(yè)銀行還應委托所聘請的會計師事務所對其內部控制制度，尤其是風險管理系統的完整性、合理性與有效性進行評價，提出改進建議，并出具評價報告。評價報告隨年度報告一并報送中國證監(jiān)會和證券交易所。所聘請的會計師事務所指出以上三性存在嚴重缺陷的，商業(yè)銀行董事會應對此予以說明，監(jiān)事會應就董事會所作的說明明確表示意見，并分別予以披露。

內部控制信息披露的主體一般有四個，分別是：公司董事會、公司監(jiān)事會、管理當局以及注冊會計師，其信息披露的載體也就相應的有四個，即董事會報告、監(jiān)事會報告、管理層討論與分析和注冊會計師審核報告，當注冊會計師以審核報告對內部控制的完整性、合理性與有效性表示意見時，上市銀行通常會以附件或年報正文的形式披露公司內部控制信息。

2.上市商業(yè)銀行內部控制信息披露的現狀。根據以上規(guī)定,對我國浦發(fā)、民生、招商、深發(fā)展等七家上市商業(yè)銀行2006年年度報告中內部控制信息披露情況進行分析，以此為基礎討論我國商業(yè)銀行內部控制存在的問題與不足。

下面我們僅就中國銀行2006年年報內部信息披露進行具體分析。中國銀行2006年年報在風險管理一節(jié)中涉及了內部控制與操作風險，中國銀行對其內部控制的完整性、合理性和有效性進行了說明，提及其內部控制的三道防線，這三道防線是明確了實施和執(zhí)行內部控制的各部門的職責和分工，亦是實施完整、合理、有效的內部控制體系的制度保證，還對第三道防線——內部稽核進行了詳盡說明，強調了內部稽核工作的重要性，具體實施方法，及稽核體系的獨立性、專業(yè)性和權威性，并提出要加大稽核檢查的深度和廣度，以及不斷增強內部控制的有效性，但是沒有對內部控制的執(zhí)行情況進行披露，沒有反映內部控制的執(zhí)行效果；年報還涉及中國銀行在操作風險管理方面所開展的工作，介紹了其在操作風險防范、控制與監(jiān)督方面所做的努力，如與蘇格蘭皇家銀行開展操作風險管理項目的合作，著手研究和制定適合中國銀行實際情況的操作風險管理基本制度；年報在風險管理一節(jié)指出中國銀行遵循“適中型”的風險偏好，及風險管理遵循的原則、風險管理的目標等，而且詳細說明了其面臨的各種風險的來源和應對風險的措施。

2006年內部控制信息披露的總體情況

在董事會報告中，并未對內部控制的完整性、合理性和有效性進行說明，監(jiān)事會報告中在涉及內部控制一節(jié)只是粗略的提到“有關本行內部控制建設情況請參見管理層討論與分析一節(jié)”，并未對企業(yè)內部控制情況發(fā)表獨立的意見，此外，在普華永道出具的審計報告中，提到“在進行風險評估時，我們考慮與會計報表編制有關的內部控制，以設計恰當的審計程序，但目的并非對內部控制的有效性發(fā)表意見”，換言之，普化永道并沒有對中國銀行內部控制制度尤其是風險管理系統的完整性、合理性和有效性進行評價。

從上面的分析不難看出,年報中對其內部控制的完整性、合理性和有效性進行了說明，但是不夠具體、詳盡，沒有指出其內部控制的具體實施效果，也沒有對其內部控制的制度建設進行系統說明?？傮w而言我國商業(yè)銀行年報內部控制信息披露不完整、不充分、不規(guī)范,從而反映了我國商業(yè)銀行內部控制的不完善。

二、加強我國商業(yè)銀行內部控制建設的必要性

作為經營貨幣業(yè)務的高風險的銀行，其內部控制建立的完善程度和執(zhí)行的有效性程度，不僅決定著銀行會計信息的可靠性，在很大程度上對銀行金融風險的防范也具有重要的意義。進行內部控制信息的充分披露，可以有效地改善上市銀行與其利益相關者之間信息不對稱的局面，而上市銀行內部控制信息的披露要求以及披露狀況則反映了信息不對稱改善的程度。隨著我國主要國有商業(yè)銀行的成功上市，國有商業(yè)銀行的公司治理進入新的階段,內部控制制度的不斷加強顯得尤為重要。

1.健全的內部控制制度是商業(yè)銀行安全、有序運作的前提和基礎。商業(yè)銀行本身所具有的特征決定了要想平穩(wěn)地開展各項業(yè)務，實現既定的發(fā)展目標，必須有一套完整、有效、合理的內部控制體系?，F代金融業(yè)務的復雜性大大增加，衍生金融工具及其市場、銀行表外業(yè)務急劇發(fā)展，國際金融市場上的金融投資組合的調整與資金的全球性流動已是瞬息萬變,商業(yè)銀行加強其內部控制制度的作用日益顯著。銀行內部控制的基本內涵是銀行對內部欺詐、造假行為和非授權活動進行事前防范、事中控制和事后評價的動態(tài)過程和機制。內部控制的基本框架可以概括為“三道防線、四條原則、五個要素”。其中，三道防線有兩種理解都值得關注。一是:一線崗位雙人、雙職、雙責為基礎的相互制衡;相關部門、相關崗位之間相互監(jiān)督制約的工作程序;以內部監(jiān)督部門對各崗位、各部門各項業(yè)務的全面監(jiān)督和反饋。二是:事前制度規(guī)范、事中過程控制、事后稽核檢查。

2.內部控制是風險管理框架的要素之一，也是銀行風險控制的一項專門技術?！队行сy行監(jiān)管的核心原則》在界定操作風險時明確指出:“銀行最重大的操作風險在于內部控制及公司治理機制的失效?！笨梢哉f，健全的風險控制，特別是操作風險控制有賴于有效的內部控制。內部控制的關鍵是要求銀行的業(yè)務操作和各項活動遵循既定的風險控制原則和授權限制，只有每個金融機構有良好的內部控制機制和管理機制,資產質量比較高,才能保證該機構穩(wěn)健經營；只有所有機構穩(wěn)健經營,才能保證整個金融系統穩(wěn)健運行。

3.有效的內部控制將幫助銀行實現長期盈利，保證財務報表與管理報告的可靠性、完整性和及時性，并確保銀行遵守相關的法律、管理條例、政策、計劃以及內部管理制度及程序等。美國次貸危機警示我們,我國金融業(yè)在積極穩(wěn)妥地推進對外開放的同時,金融風險的防范意識一刻也不能放松,在深化金融機構改革的同時必須加強內部控制建設,改進風險管理能力,提高在國際上的綜合競爭力。

實踐也充分表明，有效的內部控制是商業(yè)銀行持續(xù)經營和健康發(fā)展的前提,也是提升其競爭力的關鍵所在。商業(yè)銀行金融風險的防范不能單純依靠外部監(jiān)管力量,其立足點應該是建立健全內部控制體系,而內部控制是我國商業(yè)銀行的薄弱環(huán)節(jié)之一。引入有效的內部控制體系,不斷完善商業(yè)銀行的風險管理機制,有助于建立安全的金融網絡,保障銀行體系穩(wěn)健運行。許多金融機構發(fā)生的重大問題，往往就是因為內部控制的失效而產生的。

三、我國商業(yè)銀行內部控制存在的問題和弊端

隨著監(jiān)管部門對商業(yè)銀行監(jiān)管的強化以及商業(yè)銀行改革的深化,內控機制建設受到商業(yè)銀行決策者的重視,但內部控制制度的總體執(zhí)行情況并不好,具體表現在：

1.商業(yè)銀行內部控制信息披露存在諸多問題。近年來，國內學者對銀行內部控制信息披露的有關問題做了較為深入的探索。黃秋敏(2008)以2001—2006年度上市商業(yè)銀行年度報告為研究對象,發(fā)現從2003年度開始銀行內部控制信息多樣化的披露模式被相對固定單一的披露模式所代替，各銀行披露策略在2003及以后年度具有相對穩(wěn)定性;還發(fā)現上市銀行在披露內控信息時基本上沒有遵守2006年度上交所《上市公司內部控制指引》的相關規(guī)定,國內商業(yè)銀行年報信息披露的透明度不高、規(guī)范性不夠。

2.控制措施繁多，效果卻不理想。對商業(yè)銀行的各級負責人來說，最怕的就是出案件，別出事就是盡了基本職責。為此投入大量的人力物力，實施檢查時往往重過程、輕實效，對檢查人員缺乏失職問責約束，檢查流于形式，執(zhí)行效果較差。從近幾年國有商業(yè)銀行發(fā)生的案件分析，不是無章可循的問題，也不是檢查不夠的問題。如果僅從表面上查找原因，簡單地對責任人嚴懲重處，就很難擺脫一控就死、一放就亂的怪圈。創(chuàng)新力與控制力的有機平衡也就很難達到。

3.缺乏有效的信用風險防范和控制手段。在信用風險防范和控制手段上，我國商業(yè)銀行沒有建立起分產品、分部門、分客戶的核算機制和以內部資金轉移價格為中心的定價體系。貸款審查通常是以定性分析為主，缺少市場細分，盲目“搶大戶”，沒有清晰的市場風險、行業(yè)風險和地區(qū)風險控制的政策目標。在信用風險發(fā)生后，又急于抽回貸款，方式、方法過于簡單，容易造成企業(yè)經營困難，甚至導致企業(yè)破產和銀行不良貸款的積累。

4.我國信用評級行業(yè)尚處在起步階段，整體上難以達到國際上認可的技術和管理標準。作為信息生產中介的商業(yè)銀行，在客戶詳細資料和信貸記錄等方面的條件得天獨厚，卻沒有充分利用這一優(yōu)勢。雖然個別銀行建立了內部評級系統，但是由于時間較短、人才不足，仍然停留在“打分卡”階段，實際操作中我們定性的太多而定量的很少，距離國外優(yōu)秀銀行的“模型化”處理方式存在著非常大的差距。

5.內控體系不完善。內部控制是我國商業(yè)銀行的薄弱環(huán)節(jié)之一,商業(yè)銀行金融風險的防范不能單純依靠外部監(jiān)管力量,其立足點應該是建立健全內部控制體系。根據美國反對虛假財務報告全國委員會的贊助組織委員會發(fā)布的定義,有效的內部控制應當包括五個要素,即:控制環(huán)境、風險評估、控制活動、會計、信息及傳導機制和自我評估及監(jiān)控。新COSO報告為商業(yè)銀行建立內部控制體系提供了一個較好的框架,這對我國商業(yè)銀行內部控制體系的建立具有一定的啟發(fā)和借鑒意義。

四、加強和改進我國商業(yè)銀行內部控制的對策與途徑

1.從四個方面改進和加強內部控制:一是制度安排。主要是要從制度上對銀行經營管理活動的授權和責任做出明確規(guī)定，關鍵是實現權力與責任相對稱;二是職能分離。要求銀行經營管理活動的主要職能要適當分離，在三道防線上都必須體現職責分離和相互制約。如:前臺、中臺與后臺分離，管理與交易分離，財物與賬務分離，檢查與執(zhí)行部門分離，銀行資產、負債、財物、人員的變動不能由單個人決策等;三是資產管理。要通過包括物理控制在內的多種手段對資產和投資予以保護和管理;四是垂直監(jiān)督。要通過董事會或監(jiān)事會的監(jiān)督、獨立的內部或外部審計、不涉及日常業(yè)務的合規(guī)人員以及各業(yè)務線的垂直監(jiān)督等多種手段提高內部控制的有效性。

2.從風險監(jiān)管和信息披露著手促進風險控制機制的完善。組織形式、公司治理、風險管理、內部控制和合規(guī)功能是決定銀行風險控制績效的內生變量。在商業(yè)銀行風險控制內在動力不足、傳導不暢、工作不力問題比較普遍存在的情況下，還可以通過提高風險外部監(jiān)管的有效性、加強銀行風險的市場披露等，來增強銀行風險控制的外部壓力，督促和引導商業(yè)銀行改進風險控制機制各部分的運作效能。監(jiān)管當局應制定一定的標準,要求所有的銀行不管其規(guī)模大小,都應根據其表內和表外業(yè)務的性質、復雜程度及風險程度建立有效的內部控制制度,該制度必須根據銀行經營環(huán)境與經營情況的變動作出相應的反應。

3.嚴格控制風險點,認真識別，防范風險。首先,要完善內部控制制度性文本,對各項規(guī)章制度要按內部控制制度的要求進行細化,并經常對制度進行檢討,不斷完善,通過加強制度建設來促進各項工作,并使制度能夠涵蓋具體操作。其次,商業(yè)銀行必須制訂和完善業(yè)務操作流程,提出各項業(yè)務控制目標,找出重要風險點。一旦有了流動性風險苗頭,就要對風險進行識別、分析和評估,找出風險形成的原因,分析風險所造成的后果,及早采取風險控制措施,從根本上使資產結構適應負債結構,掌握自身頭寸。

一般情況下,商業(yè)銀行在感到流動性有問題時,就要注意是否面臨流動性危機和清償能力危機。有了這些危機,就要采取各種措施,如向其他銀行借款、借入長期資金、存款來源多元化、停止放款、出售資產、資產證券化、股東支持、處理好與新聞界的關系等。在我國,上述措施除個別不適宜外,大部分可以采用,特別應注重中央銀行和其他商業(yè)銀行的支持,如中央銀行利用公開市場業(yè)務和再貸款等手段增加基礎貨幣,來增加商業(yè)銀行的流動性。同時,應該取得其他商業(yè)銀行的資金支持,以便渡過難關。

4.加強經常性的金融機構評級，促進和強化金融機構內部風險控制。評級過程本身可以提示金融機構注意自身風險情況及風險控制的漏洞;評級結果很大程度上是對金融機構內部控制狀況的評價;金融機構信用等級的公布,有利于風險小的金融機構樹立良好的社會形象,擴大影響和拓展市場;而信用等級低的金融機構,一旦等級公諸于眾,其業(yè)務自然會受到一定的影響,因而也就面臨著加強內部控制的壓力。

我國商業(yè)銀行應根據業(yè)務發(fā)展需要，組織協調相關的業(yè)務管理部門，研究制定內部評級在信貸政策、產品定價、限額管理、準備金計提、經濟資本分配、績效考核、資本充足率測算等方面應用與管理制度，逐步建立與內部評級系統相配套的組織體系。一是建立獨立的內部評級部門。該部門在組織架構和人事任免上應獨立于決策者和發(fā)放貸款的部門，以保證評級結果的客觀性;二是建立合理的內部評估程序，確立風險管理標準、信息披露制度、評級認定程序等，以便銀行首先對其面臨的風險有正確判斷，并在此基礎上及時進行評估;三是建立內部評級監(jiān)督部門，在內部評級部門外部設立監(jiān)督部門，以便定期對評級結果進行檢驗，從而對內部評級部門形成制衡作用。

5.建立授權和責任體系，實現創(chuàng)新和控制的有機結合。授權與簡單的分權不同，授權是把權限制度化之后轉移給別人。它賦予受權人在一定權限范圍內創(chuàng)新的能力。由于受權人的權力是有限的，因而授權本身就解決了創(chuàng)新力和控制力有機結合的問題。而建立與授權相配套的責任管理體系，又會大大增強控制力的有效性。目前，國有商業(yè)銀行授權和責任體系的突出問題是，一方面權限過分集中于上級管理層，與市場和客戶直接接觸的基層經營單位缺乏應有的靈活性;另一方面責任體系極不完善，例如貸審會匿名式的集體決策造成責任懸空，貸款調查、貸后管理及各級審批人應負的責任更是模糊不清，出問題后對責任人的處理帶有一定的隨意性。建立和完善授權及責任體系，一是本著相互信任的原則，區(qū)別不同種類和權限類別，處理好集權和分層授權的關系，使經營行擁有一定的自主權和靈活性，以解決國有商業(yè)銀行組織機構層次多、管理幅度過大、效率較低的問題。與此相配套，可大力推進機構的扁平化管理，提高對市場的反應能力和經營效率。二是細化授權，使各類經營管理人員的權限既明確又細化，便于操作和掌握。三是建立和完善責任追究制，使職權和責任緊密掛鉤，增強對各級管理人員的約束力和控制力。

商業(yè)銀行在經營管理中,要把加強內部控制,強化風險管理作為發(fā)展的生命線。內部控制是一個系統工程,不能將其簡單地理解為制度的制訂和建立,也不能總強調下發(fā)了多少文件;內部控制不只是決策層的事情,不只是某個部門的事情,而是整個銀行的事情。要合理規(guī)劃內部控制制度的建設,使之系統化、規(guī)范化、制度化、科學化,要把風險管理作為一個長期的工作來抓,形成具有我國商業(yè)銀行特色的內控體系管理辦法。

[1]商業(yè)銀行內部控制指引（第一章、第二章）[J].中國人民銀行,2002.

[2]呂長征.防范信用風險加速內部信用評級體系建設[J].金融研究，2006,(7).

[3]巴塞爾銀行監(jiān)管委員會[J].有效銀行監(jiān)管的核心原則,1997.

[4]李明輝,何海,馬夕奎.我國上市公司內部控制信息披露狀況的分析[J].審計研究,2003,(1).

[5]趙勇,鄒積亮.基于COSO報告構建商業(yè)銀行內部控制體系[J].生產力研究,2008,（9）.

[6]黃秋敏.上市銀行內部控制信息披露狀況分析——以2001—2006年度報告為研究對象[J].審計研究,2008,（1）.

[7]劉曉勇.商業(yè)銀行風險控制機制研究[J].金融研究,2006,(7).

F832

A

02-7408（20）05-00-03

“山東省青年骨干教師國內訪問學者”資助項目（魯教人函〔2007〕22號）。

沈全芳(1970-),女,山東日照人，日照職業(yè)技術學院副教授，西南財經大學金融學院博士，研究方向：宏觀經濟政策。

[責任編輯:陳合營]