陸賽江 許莉

銀行業(yè)作為我國(guó)金融業(yè)最主要的組成部分，更是應(yīng)該把防范風(fēng)險(xiǎn)，尤其是系統(tǒng)性金融風(fēng)險(xiǎn)，放在經(jīng)營(yíng)發(fā)展的第一位。而要防范銀行的風(fēng)險(xiǎn)，尤其是系統(tǒng)性金融風(fēng)險(xiǎn)，必須從完善商業(yè)銀行的內(nèi)部控制出發(fā)。基于此，本文選擇商業(yè)銀行的內(nèi)部控制作為研究對(duì)象，分析商業(yè)銀行內(nèi)部控制制度存在的不足。在此基礎(chǔ)上，結(jié)合2016新版ERM框架的五個(gè)組成要素，提出加強(qiáng)和完善商業(yè)銀行內(nèi)部控制的建議。

一、理論基礎(chǔ)及其制度變遷

1.從1992年COSO《內(nèi)部控制整合框架》到2004年《企業(yè)風(fēng)險(xiǎn)管理框架》（ERM）。1992年，COSO委員會(huì)發(fā)布了著名的《內(nèi)部控制整合框架》，并且在1994年對(duì)其進(jìn)行了修訂和增補(bǔ)。該框架設(shè)立了一個(gè)立方體的模型，從目標(biāo)、要素、層級(jí)這三個(gè)維度對(duì)機(jī)構(gòu)內(nèi)部控制進(jìn)行評(píng)價(jià)。3個(gè)目標(biāo)分別是戰(zhàn)略目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)和合規(guī)性目標(biāo)；5個(gè)要素分別是控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息溝通，以及監(jiān)督；將層級(jí)分為業(yè)務(wù)單位和活動(dòng)。

2004年，COSO委員會(huì)結(jié)合《薩班斯法案》中有關(guān)報(bào)告方面的要求，在《內(nèi)部控制整合框架》的基礎(chǔ)上進(jìn)行擴(kuò)展和補(bǔ)充，頒布了《企業(yè)風(fēng)險(xiǎn)管理框架》（ERM）。ERM框架為企業(yè)的風(fēng)險(xiǎn)管理提供了理論基礎(chǔ)和應(yīng)用指導(dǎo)。相較于1992年的內(nèi)控框架，2004年ERM框架的范圍更加廣泛，產(chǎn)生以下主要變化：第一，分別在三個(gè)維度增加了一些新的內(nèi)容，在目標(biāo)方面，增加一個(gè)戰(zhàn)略目標(biāo)，并且將財(cái)務(wù)報(bào)告這一目標(biāo)擴(kuò)充為包括財(cái)務(wù)報(bào)告在內(nèi)的所有報(bào)告。在要素方面，增加了目標(biāo)設(shè)定、事項(xiàng)識(shí)別和風(fēng)險(xiǎn)反應(yīng)。在層級(jí)方面，將風(fēng)險(xiǎn)管理運(yùn)用領(lǐng)域從單個(gè)業(yè)務(wù)單位和活動(dòng)提升至整個(gè)企業(yè)。第二，增加了風(fēng)險(xiǎn)組合觀，認(rèn)為企業(yè)的風(fēng)險(xiǎn)管理要考慮組織的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)容忍度。第三，強(qiáng)調(diào)企業(yè)的內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理重要的組成部分。

2.從2004年《企業(yè)風(fēng)險(xiǎn)管理框架》到2016年《企業(yè)風(fēng)險(xiǎn)管理——協(xié)調(diào)風(fēng)險(xiǎn)與戰(zhàn)略和業(yè)績(jī)的關(guān)系》。自2004年ERM框架頒布以來(lái)，盡管它在指導(dǎo)企業(yè)風(fēng)險(xiǎn)管理方面取得了一定的成績(jī)，但也暴露出了它的缺陷。其中最主要的是：2004年ERM框架制定的初衷是為了彌補(bǔ)內(nèi)部控制框架沒(méi)有從整體的角度指導(dǎo)企業(yè)進(jìn)行內(nèi)部控制建立這個(gè)缺陷。2014年起，COSO委員會(huì)開始籌劃對(duì)2004年ERM框架的修訂工作，并且在2016年出臺(tái)了《企業(yè)風(fēng)險(xiǎn)管理——協(xié)調(diào)風(fēng)險(xiǎn)與戰(zhàn)略和業(yè)績(jī)的關(guān)系》征求意見稿。從2016版ERM框架的具體內(nèi)容來(lái)看，用此框架指導(dǎo)商業(yè)銀行加強(qiáng)內(nèi)部控制的優(yōu)勢(shì)在于：第一，我國(guó)商業(yè)銀行正處于轉(zhuǎn)型和國(guó)際化的階段，采用被全球認(rèn)可的2016版ERM框架指導(dǎo)商業(yè)銀行進(jìn)行風(fēng)險(xiǎn)管理，使商業(yè)銀行在風(fēng)險(xiǎn)應(yīng)對(duì)方面提高了國(guó)際競(jìng)爭(zhēng)力；第二，2016版ERM框架更加強(qiáng)調(diào)風(fēng)險(xiǎn)與價(jià)值相結(jié)合，突出風(fēng)險(xiǎn)管理對(duì)企業(yè)的價(jià)值創(chuàng)造，這與商業(yè)銀行在風(fēng)險(xiǎn)管理方面的要求更加契合。

二、商業(yè)銀行內(nèi)部控制現(xiàn)狀分析——基于新版ERM框架

1.商業(yè)銀行風(fēng)險(xiǎn)管理與內(nèi)部控制文化基礎(chǔ)薄弱。企業(yè)自身風(fēng)險(xiǎn)管理和內(nèi)部控制文化是企業(yè)建立完善風(fēng)險(xiǎn)管理和內(nèi)部控制制度的基礎(chǔ)，該文化體現(xiàn)了企業(yè)主體的價(jià)值觀、行為準(zhǔn)則等，對(duì)于企業(yè)的風(fēng)險(xiǎn)管理活動(dòng)和內(nèi)控活動(dòng)的進(jìn)行具有指導(dǎo)性作用。目前我國(guó)商業(yè)銀行對(duì)風(fēng)險(xiǎn)管理和內(nèi)控文化的建設(shè)培育工作還沒(méi)有貫徹到具體行動(dòng)中，沒(méi)有將文化的價(jià)值體現(xiàn)出來(lái)。

在董事會(huì)和管理層方面，許多人把商業(yè)銀行內(nèi)部控制體系僅僅理解為銀行各種規(guī)章制度、業(yè)務(wù)流程設(shè)定的匯總，認(rèn)為抓內(nèi)控就是制定和頒布銀行管理及業(yè)務(wù)的各項(xiàng)規(guī)章制度，而忽視了銀行的內(nèi)控也是一個(gè)需要從宏觀整體層面進(jìn)行考量的重要機(jī)制。在票據(jù)業(yè)務(wù)中，風(fēng)險(xiǎn)的發(fā)生正是因?yàn)殂y行對(duì)風(fēng)險(xiǎn)管理和內(nèi)部控制缺乏正確的認(rèn)識(shí)，沒(méi)有做到整體上各個(gè)層級(jí)和環(huán)節(jié)相互制約、監(jiān)督。

在銀行員工方面，商業(yè)銀行未能將員工個(gè)體的行為和銀行風(fēng)險(xiǎn)管理文化結(jié)合起來(lái)。在日常管理活動(dòng)中，組織缺乏對(duì)銀行風(fēng)險(xiǎn)治理、內(nèi)部控制文化和核心價(jià)值觀不斷地解讀、強(qiáng)調(diào)和踐行，導(dǎo)致員工在一些業(yè)務(wù)活動(dòng)中出現(xiàn)違背商業(yè)銀行價(jià)值觀的行為。

2.商業(yè)銀行對(duì)事項(xiàng)和風(fēng)險(xiǎn)的識(shí)別、評(píng)估不到位。在現(xiàn)實(shí)情況中，我國(guó)商業(yè)銀行在對(duì)風(fēng)險(xiǎn)事項(xiàng)的識(shí)別和評(píng)估方面還十分不到位。一方面是缺乏對(duì)事項(xiàng)的評(píng)估。在我國(guó)商業(yè)銀行的內(nèi)部控制活動(dòng)中，沒(méi)有形成明確的事項(xiàng)識(shí)別機(jī)制和過(guò)程，銀行關(guān)注的僅僅是直接對(duì)風(fēng)險(xiǎn)的識(shí)別和評(píng)估。

3.信息溝通不充分。我國(guó)商業(yè)銀行對(duì)統(tǒng)一、共享的信息溝通平臺(tái)還未完全建立。一是商業(yè)銀行的信息數(shù)據(jù)比較缺乏。已有的信息數(shù)據(jù)反映的僅僅是針對(duì)單個(gè)風(fēng)險(xiǎn)事件的，而沒(méi)有對(duì)商業(yè)銀行各條業(yè)務(wù)線等銀行全面風(fēng)險(xiǎn)管理和公司治理層面的總體反映。二是我國(guó)商業(yè)銀行沒(méi)有形成通暢的信息溝通模式。我國(guó)主要的商業(yè)銀行具有規(guī)模大、結(jié)構(gòu)復(fù)雜等特征，這些都不利于信息數(shù)據(jù)高效、順暢的流動(dòng)。

4.全過(guò)程監(jiān)督、制約機(jī)制未能有效發(fā)揮。商業(yè)銀行的內(nèi)控制度應(yīng)當(dāng)覆蓋其整個(gè)經(jīng)營(yíng)管理和業(yè)務(wù)活動(dòng)，因此對(duì)內(nèi)部控制有效性的判斷應(yīng)當(dāng)建立在對(duì)整個(gè)經(jīng)營(yíng)管理及業(yè)務(wù)活動(dòng)進(jìn)行全過(guò)程監(jiān)督的基礎(chǔ)上。一方面，雖然我國(guó)上市銀行按照相關(guān)制度的要求建立了公司治理模式、設(shè)立了相關(guān)特定委員會(huì)對(duì)銀行的內(nèi)控進(jìn)行監(jiān)督，董事會(huì)聘請(qǐng)事務(wù)所每年進(jìn)行內(nèi)控審計(jì)，董事會(huì)內(nèi)部每年也對(duì)其內(nèi)部控制進(jìn)行評(píng)價(jià)，但都僅僅針對(duì)的是財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制，缺乏對(duì)非財(cái)務(wù)報(bào)告相關(guān)內(nèi)部控制的監(jiān)督和評(píng)價(jià)，監(jiān)督活動(dòng)覆蓋不全面。另一方面，我國(guó)商業(yè)銀行的內(nèi)審部門存在雙重報(bào)告制度，既對(duì)董事會(huì)報(bào)告，又對(duì)高級(jí)管理層進(jìn)行報(bào)告，內(nèi)部審計(jì)部門的獨(dú)立性不能得到有效保證，導(dǎo)致其對(duì)商業(yè)銀行內(nèi)部控制的監(jiān)督也不能做到公正、有效。

三、加強(qiáng)商業(yè)銀行內(nèi)控制度建議——以2016版ERM為導(dǎo)向

1.加強(qiáng)內(nèi)部控制環(huán)境創(chuàng)造。①明確監(jiān)管責(zé)任的分配。新版ERM框架在風(fēng)險(xiǎn)治理與文化這一模塊中，強(qiáng)調(diào)了企業(yè)進(jìn)行全面風(fēng)險(xiǎn)管理的重要性，并且要求企業(yè)明確監(jiān)管責(zé)任的分配。一般來(lái)講，鑒于商業(yè)銀行董事會(huì)成員有比較豐富的行業(yè)經(jīng)驗(yàn)和技能，并且獨(dú)立于銀行的管理層，他們能夠站在整體、宏觀的角度提供風(fēng)險(xiǎn)管理的戰(zhàn)略思想，并且把風(fēng)險(xiǎn)管理的日?；顒?dòng)及責(zé)任授權(quán)給管理層或特定的委員會(huì)進(jìn)行，他們對(duì)企業(yè)的內(nèi)控監(jiān)督負(fù)有首要責(zé)任。②建立風(fēng)險(xiǎn)治理和內(nèi)部控制運(yùn)作模式。在明確監(jiān)管責(zé)任分配的條件下，商業(yè)銀行應(yīng)該建立完善的內(nèi)部控制運(yùn)作模式和匯報(bào)機(jī)制。商業(yè)銀行應(yīng)當(dāng)根據(jù)銀行的戰(zhàn)略目標(biāo)、規(guī)模、相關(guān)法律法規(guī)，結(jié)合銀行自身使命、期望以及核心價(jià)值觀來(lái)建立風(fēng)險(xiǎn)治理和內(nèi)部控制運(yùn)作模式。③踐行文化與激勵(lì)機(jī)制。在現(xiàn)實(shí)中，銀行工作人員違背商業(yè)銀行核心價(jià)值的行為難以完全避免。有的是好人由于缺乏經(jīng)驗(yàn)和疏忽等原因造成的，有的則是壞人蓄意謀劃。因此需要對(duì)違規(guī)行為進(jìn)行詳細(xì)地評(píng)估并制定應(yīng)對(duì)措施。關(guān)鍵舉措在于將銀行工作人員的個(gè)人文化與銀行的核心文化結(jié)合起來(lái)，管理層在日常管理和業(yè)務(wù)活動(dòng)中，要對(duì)銀行的風(fēng)險(xiǎn)治理和內(nèi)控文化進(jìn)行不斷地解讀、強(qiáng)調(diào)和踐行。

2.明確目標(biāo)選擇、加強(qiáng)風(fēng)險(xiǎn)識(shí)別。①內(nèi)部控制目標(biāo)與戰(zhàn)略目標(biāo)相一致。新版ERM框架將其制定的風(fēng)險(xiǎn)管理戰(zhàn)略及業(yè)務(wù)目標(biāo)，與主體的戰(zhàn)略計(jì)劃保持一致。商業(yè)銀行的戰(zhàn)略目標(biāo)一方面是對(duì)其經(jīng)營(yíng)目標(biāo)進(jìn)行深入闡釋和界定，另一方面又具有可持續(xù)性、全局性和穩(wěn)定性等特征。因此，商業(yè)銀行在內(nèi)控體系各個(gè)環(huán)節(jié)和層級(jí)制定時(shí)，應(yīng)當(dāng)考慮銀行總體戰(zhàn)略目標(biāo)的指導(dǎo)性意義，將其分解，并且持續(xù)作用于內(nèi)部控制的各個(gè)環(huán)節(jié)。②加強(qiáng)對(duì)事項(xiàng)和風(fēng)險(xiǎn)的識(shí)別。ERM框架是以風(fēng)險(xiǎn)為導(dǎo)向制定的，商業(yè)銀行在制定內(nèi)控制度的過(guò)程中也應(yīng)當(dāng)以風(fēng)險(xiǎn)和事項(xiàng)為中心向外擴(kuò)散，將風(fēng)險(xiǎn)導(dǎo)向滲入到內(nèi)部控制的各個(gè)環(huán)節(jié)和流程中去，從而在日常的內(nèi)部控制活動(dòng)中積累對(duì)風(fēng)險(xiǎn)和事項(xiàng)的識(shí)別。商業(yè)銀行在進(jìn)行風(fēng)險(xiǎn)識(shí)別之前，更要進(jìn)行事項(xiàng)識(shí)別。

3.在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上選擇相應(yīng)的風(fēng)險(xiǎn)響應(yīng)。在上述對(duì)風(fēng)險(xiǎn)和事項(xiàng)進(jìn)行識(shí)別的條件下，我國(guó)商業(yè)銀行應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)和事項(xiàng)的重要程度、優(yōu)先次序等標(biāo)準(zhǔn)選擇和制定應(yīng)對(duì)方式。首先是進(jìn)行風(fēng)險(xiǎn)排序。要對(duì)風(fēng)險(xiǎn)進(jìn)行排序，在識(shí)別出風(fēng)險(xiǎn)的基礎(chǔ)上，對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。商業(yè)銀行應(yīng)當(dāng)結(jié)合組織的風(fēng)險(xiǎn)偏好，區(qū)分出風(fēng)險(xiǎn)事項(xiàng)發(fā)生的可能性和對(duì)銀行發(fā)展產(chǎn)生的影響程度，在重要程度和緊急程度等方面對(duì)其進(jìn)行排序。其次是針對(duì)排序完的風(fēng)險(xiǎn)選擇相應(yīng)的應(yīng)對(duì)措施，如承擔(dān)風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)等。

4.建立順暢的信息溝通機(jī)制，有效共享信息。①確定信息數(shù)據(jù)的來(lái)源。前文所述造成風(fēng)險(xiǎn)的事項(xiàng)可由銀行的內(nèi)部和外部環(huán)境產(chǎn)生，因此，商業(yè)銀行管理層在確定信息數(shù)據(jù)的來(lái)源時(shí)，應(yīng)當(dāng)同時(shí)考慮信息的內(nèi)部和外部來(lái)源。②對(duì)風(fēng)險(xiǎn)進(jìn)行報(bào)告，有效溝通風(fēng)險(xiǎn)信息。商業(yè)銀行確定了信息數(shù)據(jù)的來(lái)源以后，將搜集到的信息數(shù)據(jù)進(jìn)行分類、分析和管理，并最終形成報(bào)告。針對(duì)不同的溝通對(duì)象（即信息使用對(duì)象）形成不同種類和形式的報(bào)告。溝通對(duì)象包括商業(yè)銀行的內(nèi)部工作人員、董事會(huì)、股東以及其他利益相關(guān)者。信息溝通的形式可以是：電子信息共享、培訓(xùn)和研討會(huì)、內(nèi)部文件資料傳遞等。

5.加強(qiáng)內(nèi)部控制持續(xù)監(jiān)管。商業(yè)銀行的內(nèi)部控制應(yīng)當(dāng)隨著時(shí)間的改變、業(yè)務(wù)的發(fā)展而有所不同。在外部環(huán)境方面，隨著一些因素的變化和發(fā)展，可能會(huì)發(fā)生舊的風(fēng)險(xiǎn)消失了，新的風(fēng)險(xiǎn)產(chǎn)生了、曾經(jīng)的風(fēng)險(xiǎn)對(duì)銀行的影響程度發(fā)生了變化、曾經(jīng)有效的風(fēng)險(xiǎn)應(yīng)對(duì)措施變得不再有效等一系列問(wèn)題；在銀行內(nèi)部方面，可能會(huì)發(fā)生銀行員工對(duì)控制活動(dòng)執(zhí)行的有效性降低、銀行人員和組織架構(gòu)發(fā)生了調(diào)整從而影響了內(nèi)部控制的執(zhí)行等問(wèn)題。因此需要銀行通過(guò)對(duì)其內(nèi)部控制進(jìn)行持續(xù)、全過(guò)程地監(jiān)控，了解并掌握在內(nèi)部控制的各方面發(fā)生的一些實(shí)質(zhì)性變化，以便判斷銀行內(nèi)控體系的各個(gè)層級(jí)、各個(gè)流程在長(zhǎng)期運(yùn)作方面是否保持良好，促進(jìn)商業(yè)銀行內(nèi)部控制體系長(zhǎng)期有效地發(fā)揮作用。

（作者單位：南京審計(jì)大學(xué)）