周慶華　安瑛暉

[摘要]金融企業(yè)作為特殊企業(yè)，其內部控制范圍應該更廣，應滲透到各項業(yè)務過程中，“內控優(yōu)先”，并具有高度的權威性。金融企業(yè)面臨的經營形勢和監(jiān)管形勢日趨嚴峻，必須在滿足監(jiān)管要求的前提下，以企業(yè)目標為導向，樹立現代內部控制觀點，確立基本邏輯，采取適宜的管理模式，在體制、機制、制度、流程、系統、人才等方面做出相應調整，實施現代內部控制，提升經營管理能力。

[關鍵詞]金融企業(yè)；內部控制，風險控制

[中圖分類號]F272.3 [文獻標識碼]B

一、引言

當前，金融企業(yè)面臨的經營管理形勢十分復雜。首先，金融業(yè)面臨嚴峻的經營形勢。主要表現在當前的三期疊加（“三期疊加”主要表現：1.增長速度進入換擋期，是由經濟發(fā)展的客觀規(guī)律所決定的；2.結構調整面臨陣痛期，是加快經濟發(fā)展方式轉變的主動選擇；3.前期刺激政策消化期，是化解多年來積累的深層次矛盾的必經階段。）并在未來相當一段時期內成為“新常態(tài)”，告別以高增長、高投資、高出口、高污染與高能耗為特征的舊常態(tài)”，使金融業(yè)出現大量新情況、新問題。主要體現在：金融業(yè)在前期政策刺激下出現了規(guī)模的快速擴張，而金融對于實體經濟的滲透性卻在弱化：在宏觀流動性充裕的同時，微觀流動性卻處于緊張狀態(tài)；整體債務率、杠桿率攀升；系統性風險上揚；金融服務于社會創(chuàng)新、產業(yè)升級以及生產消費的能力下降。從宏觀的視角看，未來的發(fā)展需要堅持金融服務于實體經濟的結構優(yōu)化調整，使金融能夠服務于創(chuàng)新、新興產業(yè)發(fā)展，避免金融資源“空轉套利”現象；利率市場化、匯率自由化、資本項目的有序開放、多層次資本市場建設、多主體金融市場開放、非標資產的標準化和陽光化、地方債務與土地財政融資體系改革以及存款保險制度都應在未來有序可控地推出。這對金融業(yè)經營管理模式提出了新的現實要求。其次，金融業(yè)面臨的監(jiān)管形勢日益嚴峻。外部監(jiān)管規(guī)則不斷推出和更新，金融企業(yè)面臨前所未有的監(jiān)管壓力。特別是2008年財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯合下發(fā)《企業(yè)內部控制基本規(guī)范》等相關文獻和規(guī)章，對企業(yè)實施和強化內部控制提出了明確要求；2014年9月，銀監(jiān)會再次修訂下發(fā)了《商業(yè)銀行內部控制指引》，對商業(yè)銀行完善內部控制、提高經營管理水平提出了新的指導性意見。三是金融業(yè)競爭日趨激烈。內部控制作為核心競爭力，各家金融機構對強化內部控制不敢有絲毫懈怠。四是金融業(yè)經營管理風險凸顯。在經濟形勢復雜變化中，風險事件、損失事件甚至案件頻發(fā)，外部因素、內部因素交織，其中超越底線、違規(guī)操作是重要原因。五是金融企業(yè)面臨著重大戰(zhàn)略調整。國有大型商業(yè)銀行分別制訂了適合自身發(fā)展的經營戰(zhàn)略。戰(zhàn)略轉型發(fā)展對進一步強化內部管理、適應戰(zhàn)略發(fā)展需要提出了更高的要求，突出表現在要在以下幾個方面要有所作為：強化經營能力提升和專業(yè)優(yōu)勢鞏固，突出風險管理重點和提升風險機控能力，培育優(yōu)秀企業(yè)文化，構建高素質人才隊伍等方面。

二、內部控制的現代觀點

內部控制的概念和內涵，無論是理論界還是實業(yè)界都存在一定差異。一般認為，內部控制是一個由企業(yè)董事會、管理層和其他人員實施的、旨在為實現合規(guī)目標、效率和效益目標以及信息目標提供合理保證的過程。在COSO報告中，第一次提出內部控制系統”的概念，并正式提出內部控制系統由五部分組成，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)控?；疽?guī)范也是按照五個要素，提出了規(guī)范性要求。

金融企業(yè)作為特殊企業(yè)，其內部控制應該相應地包含這些內容。同時，由于其特質性，范圍應該更廣。首先，內部控制應當滲透到金融企業(yè)的各項業(yè)務過程中，覆蓋所有的部門和崗位，并由全體人員參與：其次，內部控制應當從防范風險、審慎經營出發(fā)，體現內控優(yōu)先”的要求：再次，內部控制應當具有高度的權威性，任何人不得擁有不受內部控制約束的權力，內部控制存在的問題應當能夠得到及時反饋和糾正；最后，內部控制的監(jiān)督、評價部門應當獨立于內部控制的建設、執(zhí)行部門，并直接向董事會、監(jiān)事會和高級管理層匯報。同時，也必須認識到，商業(yè)銀行內部控制五要素之間是相互聯系、相互制約、密不可分的。

（一）內部控制目標分析

COSO報告將內部控制目標分為三類：第一類目標致力于企業(yè)基本的商業(yè)目標，其出發(fā)點是企業(yè)的經營，是為管理者服務的，即經營的效率與效果——經營目標；第二類目標致力于企業(yè)基本的財務報告信息目標，其出發(fā)點是保護外部投資者的利益，是為外部投資者服務的，即財務報告的可靠性——信息目標：第三類目標致力于企業(yè)基本的法規(guī)目標，其出發(fā)點是要符合相關的法律和法規(guī)，是為監(jiān)管者服務的，即法律法規(guī)的遵循性——合規(guī)目標。這三類目標高度概括了企業(yè)活動的控制目標，有利于不同的人從不同的視角關注企業(yè)內部控制的不同方面。內部控制目標具有內在邏輯性，內部控制目標的設定是管理過程的重要組成部分，也是內部控制的組成要素，更是內部控制的先決條件，促成內部控制的要件，以現代內部控制的觀點，內部控制與管理如影相隨，是管理思想的具體體現。

（二）內部控制模式分析

現代公司制企業(yè)是由股東、經營者、管理者和員工四種經濟主體組成的，其中，股東投入的是資本：經營者投入的是企業(yè)家才能：管理者投入的是管理才能：員工投入的是勞動才能。這四類主體在企業(yè)中共同擁有的控制權，但作用各不相同，任何一方的控制權設計不合理，都會影響經營績效和企業(yè)穩(wěn)定。

以股東為主體的內部控制，其控制主體是股東，主要體現在股東對公司重大事項應具有知情權和參與決策權：以經營者為主體的內部控制，其控制主體是經營者，包括董事會、監(jiān)事會和高管層，分別作為主體發(fā)揮內部控制作用，其控制客體包括管理者以及整個企業(yè)的經營管理活動：以管理者為主體的內部控制，其控制主體是管理者，也是責任中心的負責人，負責責任中心目標的實現、完成受托責任，客體是普通員工以及業(yè)務活動：以員工為主體的內部控制，其控制主體是每個崗位上的普通員工，其目標就是崗位責任?？刂茩嗟漠a生依賴于委托代理，即信托責任。

（三）基于科層理論的內部控制系統構建

從巴林銀行案件到安然事件，無不與內部控制的虛設和執(zhí)行不力存在重大關聯。COSO框架的“三目標”和“五要素”組成的內部控制框架，得到廣泛認可。但是，COSO框架的理論意義高于執(zhí)行價值，沒有考慮企業(yè)內部各相關利益主體的責權利安排的層次，不可避免地出現執(zhí)行難的缺陷。從執(zhí)行角度來看，科層組織體制將合理決策和行政效率發(fā)揮到極致。因此，建立以股東、經營者、管理者以及員工為主體的分層次的內部控制結構與內部控制治理機制進行整體性制度安排，并克服科層體制自身存在的局限性，才能滿足現代大型企業(yè)經營管理需要。具體地說，就是開展企業(yè)內部控制的層次構造，實現內部控制的“信息-決策”功能、內部控制的“預期-保險”功能、內部控制的“激勵-約束”功能，強調自上而下的“命令信息”和自下而上的“報告信息”及時、準確、完整、有效；強調風險控制的穩(wěn)定預期與控制收益的實現：確認內部控制，形成行為規(guī)則和活動空間，估價成本與收益。當然，科層的扁平化問題也是必須考慮的，在技術手段逐步豐富的情況下，可以通過增大管理幅度加以解決。

三、強化內部控制的措施

金融企業(yè)應當正視當前經營管理形勢的變化，借鑒內部控制的先進實踐經驗，以滿足外部監(jiān)管要求和內部經營管理以及轉型發(fā)展的需要為出發(fā)點和落腳點，進一步強化內部控制，其核心思想可以概括為：以問題為導向，以發(fā)展為主題，樹立現代內部控制理念，借鑒國內外先進的經營管理實踐經驗，突出以風險管理文化建設為基礎，整合內部控制、操作風險管理和合規(guī)管理職能，以“固有風險±控制效率=殘余風險”為風險內控的基本邏輯，以風險容忍度為衡量標準，實施底線管理+區(qū)間管理”，在業(yè)務條線開展風險自評估的前提下，以日常合規(guī)性檢查、定期內控有效性評價、內外部審計與外部監(jiān)管檢查為主要手段，建立問題發(fā)現工作機制，準確定位問題實質，并強調問題的系統性整改，逐步建立健全自我糾錯和自我完善的內控合規(guī)體系，內防操作風險，外防合規(guī)風險，實現底線管理和區(qū)間管理的整體融合，共同促進業(yè)務健康持續(xù)發(fā)展。在強化內部控制方面，金融企業(yè)需要做好的工作具體體現在以下幾個方面：

（一）確定一個基本邏輯，即以“固有風險±控制效率=殘余風險”為風險內控的基本邏輯

一是以殘余風險作為風險容忍度的衡量標準，體現風險偏好，并以此為依據評價內部控制有效性：二是業(yè)務條線需要與風險內控管理部門密切配合，開展風險自評估、監(jiān)督檢查和評價內控有效性等工作，并建立問題發(fā)現工作機制，強調問題的系統性整改，逐步建立健全自我糾錯和自我完善的內部控制體系：三是業(yè)務條線作為第一道防線，需要按照內部控制的要求，設計和實施內部控制，確保內部控制有效。

（二）建立一個管理模式，即實施“底線管理+區(qū)間管理”

該模式一方面要求依法合規(guī)經營是底線，不能突破，盡管違法違規(guī)問題時有發(fā)生，甚至出現違法經營處罰的事項，但是由于其管理目標明確、管理規(guī)則清晰，便于實施：另一方面該模式要求對實施現代內部控制采取區(qū)間管理方式，突出效率與效益的本源要求，針對現代內部控制主要是解決大企業(yè)病應運而生的考量，正確把握沒有最好、只有更好”的內部控制實施效果，可以在激勵機制方面要有所體現，鼓勵和倡導先進內部控制實踐。

（三）明確幾項工作任務，即在政策、制度、標準、檢查、評價、整改和IT支持等方面做大量的工作

一是從戰(zhàn)略層面考慮，進行頂層設計，倡導高層推動。在領導層面，從戰(zhàn)略層面研究制定內部控制政策，明晰內部控制的建設標準、日常運行維護管理和缺陷認定標準，并推動內部控制建設和運行維護工作的正常開展。二是健全制度體系，固化管理思想，持續(xù)推進內控建設。主要是建立內部控制制度，包括基本制度、業(yè)務制度與監(jiān)督評價制度，建立全行分層次、分經營管理活動《內部管理手冊》和《合規(guī)手冊》，實現制度的手冊化，指導內控體系建設，規(guī)范經營管理活動。同時，分別研究制訂內部控制建設標準、內部控制評價標準（包括內部控制缺陷認定標準）和內部控制鑒證標準，建立內部控制標準體系，指導內部控制體系建設工作。三是規(guī)范監(jiān)督檢查，促進問題發(fā)現，提高整改效果。主要是統籌安排檢查工作、整合檢查資源、規(guī)范問題發(fā)現流程，促進監(jiān)督檢查效率提升和問題發(fā)現準確性的提高：針對發(fā)現問題開展系統性整改工作，并實施約束激勵和嚴格的問責。四是強化評價考核，實施責任追究，完善約束激勵。主要是以內控評價作為關鍵環(huán)節(jié)，定期對內部控制有效性進行自我評價和審計評價，查找、分析內部控制缺陷，并有針對性地督促落實整改，促進自我糾錯和自我完善：以激勵約束機制為保障，通過控制評價，與績效考核掛鉤，建立內部控制內生驅動力。五是利用IT技術，建設開放式管理平臺，提升管理水平。主要是堅持以信息技術為支撐，充分運用信息技術的最新發(fā)展成果，一方面，利用新技術創(chuàng)新控制方式與手段，提高控制效率，降低內部控制實施成本，減少或消除人為操縱因素，并逐步推行實時監(jiān)控；另一方面，依托信息系統建設，建立開放式的信息平臺，實現信息共享。

（四）提供一個基本保障，即組織保障，當然也包括工作機制

近幾年來，建設銀行通過有效整合內部控制、合規(guī)管理、操作風險管理、業(yè)務連續(xù)性管理等職能，努力建設和完善內控合規(guī)管理工作體系，積極推進內控合規(guī)管理工作，切實保障全行各項業(yè)務的健康發(fā)展。但是，外部經濟形勢愈加嚴峻，監(jiān)管合規(guī)要求日趨嚴格，內部經營壓力不斷增加，對內控合規(guī)工作形成了較大的壓力，給合規(guī)工作帶來了更大的挑戰(zhàn)。如何建立健全適應金融企業(yè)經營發(fā)展的內控合規(guī)組織體系，成為面臨的迫切任務。按照界定職責、明確任務、健全組織、完善機制、分步實施、平穩(wěn)過渡”的原則，依據外部監(jiān)管要求，參考同業(yè)實踐經驗，在梳理內控合規(guī)部門職責、明確核心工作的基礎上，可以研究制定組織體系建設方案。該方案應以企業(yè)發(fā)展戰(zhàn)略為中心，構建滿足內部經營管理需要和外部監(jiān)管要求的內控合規(guī)組織體系，實現對包括境內分行、海外機構、子公司在內的集團層面的內控合規(guī)管理，為內控合規(guī)管理工作開展提供基本的組織保障。同時，需要研究制訂工作流程，明確工作機制，促進內控合規(guī)組織體系以及與相關業(yè)務條線的良好運轉。

（五）抓好兩個基礎建設，即專家隊伍建設和風險文化建設

一是優(yōu)化人力資源結構，積極引進高素質人才，通過內部人才市場盤活存量，引導組織內部的部門之間、上下級機構之間的流動，并擴大外部招聘規(guī)模，引進實用性、高層次人才：二是健全人才選拔和聘用機制，完善內部培養(yǎng)、公開選聘、推薦和自薦相結合的人才選拔機制，建立人才庫，加強各級機構隊伍建設，完善人才隊伍和人才梯隊的培養(yǎng)，通過專業(yè)技術崗位職務聘任拓寬高技能人才職業(yè)發(fā)展空間，打造員工多元發(fā)展通道，圍繞如何更好地選人、用人，健全管理人員績效考核指標，促進用人、育人、留人機制的逐步建立和完善：三是加大人才培養(yǎng)與培訓力度，一方面加大對組織內部部門以及分支機構的人才培養(yǎng)力度，促進人員交流，將上下機構、部門之間的雙向交流作為人才培養(yǎng)的重要方式，另一方面加大培訓投入力度，采取多種方式提升培訓效果：四是要進一步促進風險文化建設，在全行范圍內形成對風險的敬畏，牢固樹立“底線意識”和“紅線意識”，并把風險管理貫穿到日常工作中去，對缺乏紅線意識和底線意識的行為采取零容忍的態(tài)度，徹底遏制靈活對待風險、對待紅線和底線的錯誤行為，保障風險內控和合規(guī)管理的效果。