劉永立

近年來，隨著互聯(lián)網金融的快速發(fā)展，其風險也越來越引起人們的關注。一些管理不善的平臺逐漸倒閉和轉型。以網貸行業(yè)為例，據《2017年中國網絡借貸行業(yè)年報》，截至2017年12月底，網貸行業(yè)正常運營平臺數量為1931家，相比2016年底減少了517家，全年正常運營的平臺數量一直單邊下行。預計2018年網絡借貸行業(yè)運營平臺的數量仍將進一步下降，2018年年底或將跌至800家左右。大量平臺的倒閉盡管與激烈的外部競爭有關，比如準入門檻低，獲客成本高等；但在許多情況下，也與平臺內部管理不善有著密切的關系。在此背景下，如何建立和健全網貸機構的內部控制，有效規(guī)避內部和外部風險，促進互聯(lián)網金融的平穩(wěn)、健康發(fā)展，既是網貸機構自身發(fā)展的要求，也是政府金融監(jiān)管的重要目標之一。

一、網貸機構內部控制的含義和目標

網貸機構內部控制，是指網貸機構為降低借貸風險、提高借貸效率、遵守相關監(jiān)管法規(guī)由治理層、管理層和其他人員設計和執(zhí)行的政策和程序。這里的網貸機構是指在我國境內依法注冊登記，專門從事網絡借貸信息中介業(yè)務活動的金融信息中介企業(yè)。該類機構以互聯(lián)網為主要渠道，為借款人與出借人實現直接借貸提供信息搜集、信息公布、資信評估、信息交互、借貸撮合等服務。

網貸機構內部控制的目標應根據網貸機構的主要利益相關者的利益以及國家的相關法律確定。網貸機構的利益相關者很多，但最主要的是借款人、出借人及網貸機構的所有者。他們之中利益最容易遭受損失的是出借人，因此，在確定網貸機構內部控制目標時，應在不違反國家相關法規(guī)的基礎上，從出借人的利益訴求出發(fā)，兼顧借款人和企業(yè)所有者的利益。

（一）滿足出借人的利益訴求

在網絡借貸關系下，出借人的利益訴求沒有發(fā)生變化，依然是希望按時收回借出的本金，并獲得借款合同約定的利息。若出借人的根本利益得不到保護，網絡借貸就會成為滋生“老賴”的溫床，長此以往，網貸機構就失去了生存的基礎?？梢?，控制和降低借貸風險是網貸機構設計和執(zhí)行各項內部控制制度應達到的首要目標。當然，出借人的利益遭受損失最常見、最主要的原因是由于借款人不能或不愿按合同履行還本付息的義務。作為網貸機構只能從提高服務質量這一方面為出借人控制和降低借貸風險。

（二）滿足借款人的利益訴求

盡管滿足出借人的利益訴求是網貸機構內部控制的首要目標，但不能因此而侵犯借款人的合法利益。比如對逾期借款人實施暴力催收、故意擾亂借款人的正常生產經營活動，威脅借款人的人身財產安全等。所以，網貸機構內部控制的設計和執(zhí)行必須遵守國家的相關法規(guī)要求。

（三）實現網貸機構自身利益最大化

網貸機構從性質上講是從事借貸信息中介業(yè)務活動的金融信息企業(yè)，向借貸雙方提供撮合服務，最終是為了獲取利潤。網貸機構必須向借貸雙方收取服務費用，用于滿足服務支出，并獲取適當的盈利，只有這樣，網貸機構才能持續(xù)生存和發(fā)展；很難想象一個長期虧損的平臺能夠持續(xù)為借貸雙方提供優(yōu)質的借貸服務。所以，網貸機構內部控制的設計和執(zhí)行還應當達到降低借貸業(yè)務成本和提高效率這一目標。

綜上所述，網貸機構內部控制的目標是遵守國家相關法規(guī)，通過提高借貸服務質量降低借貸風險，提高借貸效率，以滿足借貸雙方和企業(yè)自身的利益訴求。

二、網貸機構內部控制結構

網貸機構的內部控制結構主要由控制環(huán)境、風險的識別與應對、控制活動以及對控制的監(jiān)督四個部分構成。

（一）控制環(huán)境

控制環(huán)境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態(tài)度、認識和措施。網貸機構內部控制環(huán)境應該包括：

1.誠信原則和道德價值觀念。誠信和道德價值觀念是網貸機構控制環(huán)境的靈魂，它直接影響到網貸機構重要業(yè)務流程的設計和運行。網貸機構內部控制的有效性直接依賴于負責創(chuàng)建、管理和監(jiān)控內部控制人員的誠信和道德價值觀念。網貸機構是否存在道德行為規(guī)范，以及這些規(guī)范如何在網貸機構內部得到溝通和落實，決定了其是否能產生誠信和道德的行為。對誠信和道德價值觀念的溝通與落實，既包括管理層如何處理不誠實、非法或不道德行為，也包括在網貸機構內部通過行為規(guī)范以及高層管理人員身體力行地保持誠信和道德價值觀念。

2.員工的勝任能力。勝任能力是指具備完成某一職位的工作所應有的知識和能力。網貸機構對勝任能力的重視包括對于特定工作所需的勝任能力水平的設定，以及對達到該水平所必需的知識和能力的要求。例如，風控人員能否利用AI技術與大數據為網貸機構提供完整的風控解決方案；軟件開發(fā)人員能否開發(fā)出高安全級別的平臺APP軟件等。

3.管理層的理念和經營風格。管理層負責網貸機構的運作以及經營策略和程序的制定、執(zhí)行與監(jiān)督?？刂骗h(huán)境的每個方面在很大程度上都受管理層采取的措施和作出決策的影響，或在某些情況下受管理層不采取某些措施、或不作出某種決策的影響。在有效的控制環(huán)境中，管理層的理念和經營風格可以創(chuàng)造一個積極的氛圍，以促進業(yè)務流程和內部控制的有效運行。在管理層以一個或少數幾個人為主時，管理層的理念和經營風格對內部控制的影響尤為突出。

管理層的理念包括管理層對內部控制的理念，即管理層對內部控制以及對具體控制實施環(huán)境的重視程度。管理層對內部控制的重視，將有助于控制的有效執(zhí)行，并減少特定控制被忽視或規(guī)避的可能性?？刂评砟罘从吃诠芾韺又贫ǖ恼?、程序及所采取的措施中，而不是反映在形式上。因此，要使控制理念成為控制環(huán)境的一個重要特質，管理層必須告知員工內部控制的重要性。同時，只有建立適當的管理層控制機制，控制理念才能產生預期的效果。

衡量管理層對內部控制重視程度的重要標準，是管理層在收到有關內部控制缺陷及違規(guī)事件的報告時是否做出適當反應。如果管理層及時下達糾弊措施，即表明他們重視內部控制，這有利于加強企業(yè)內部的控制意識。

此外，管理層的經營風格也會對內部控制環(huán)境產生重大影響。管理層的經營風格可以表明管理層所能接受的業(yè)務風險的性質。例如，管理層是否經常接受大額、信用級別偏低客戶的借款要求。

4.組織結構及職權與責任的分配。網貸機構的組織結構為計劃、運作、控制及監(jiān)督借貸業(yè)務活動提供了一個整體框架。通過集權或分權決策，可在不同部門間進行適當的職責劃分，建立適當層次的報告體系。組織結構將影響權利、責任和工作任務在組織成員中的分配。網貸機構的組織結構在一定程度上取決于網貸機構的規(guī)模和資產端業(yè)務的性質。

（二）風險的識別與應對

任何經濟組織在經營活動中都會面臨各種各樣的風險，網貸機構也不例外，風險的存在直接影響到網貸機構的生存和競爭能力。網貸機構雖不能控制所有的風險，但管理層應當確定可以承受的風險水平，識別這些風險并采取行之有效的應對措施。網貸機構可能產生的風險通常包括：特殊的法律制度風險、技術和安全風險、操作風險等。

1.特殊的法律制度風險。主要是由于互聯(lián)網金融屬于新型的產業(yè)，現有的法律無法實現對其應有的約束和保護，一旦出現險情，給金融消費者造成的損失將可能無法彌補。比如僅2013年10月和11月，就有39家個人對個人（P2P）借貸平臺倒閉或陷入困境。此外在監(jiān)督管理上，由于互聯(lián)網金融體制不健全，對其常常也無法實現完善的監(jiān)管。

2.技術和安全風險。網貸機構借助云計算、物聯(lián)網等信息技術平臺開展金融業(yè)務，與之并存的技術和安全風險隨之而來。比如，互聯(lián)網金融所有用戶的信息都記錄在“云計算平臺”上，這樣可能存在被泄漏或者非授權使用的風險，特別是網絡黑客利用非法手段獲取并盜用相關數據，或者植入病毒，就會引發(fā)巨大的網絡風險，后果不可估量?；ヂ?lián)網金融的計算和數據來自世界各地，信息的準確性和穩(wěn)定性很難確定，“云計算平臺”在這種宏觀的位置上很難實現微觀上的分析、確認。在2014年上半年，就爆發(fā)了“攜程漏洞門”“二維碼支付欺詐”“OpenSSL心臟出血漏洞”等信息安全風險事件。

3.操作風險。在1998年，巴塞爾銀行監(jiān)管委員會頒布的《電子銀行和電子貨幣業(yè)務的風險管理》中，明確了電子銀行在進行相關工作過程中一定會遭遇的八種風險根源：未經授權的網絡入侵、雇員欺詐、偽造電子貨幣、經營服務性企業(yè)的風險、系統(tǒng)更新慢、缺乏專業(yè)技術人員和監(jiān)管體系、客戶缺乏安全意識和客戶毀約。操作風險一般都是由不準確的操作過程、內部監(jiān)控體系、信息系統(tǒng)癱瘓以及人為泄密造成的，如果爆發(fā)的風險是由于內部監(jiān)控體系、信息系統(tǒng)不完善或癱瘓造成的，那么損失將是無法估量的。

（三）控制活動

控制活動是指有助于確保管理層的指令得以執(zhí)行的政策和程序。主要包括授權、信息處理與職責分離等。

1.授權。包括一般授權和特別授權。授權的目的在于保證網貸機構的各項業(yè)務都在管理層授權范圍內進行。一般授權是指管理層制定的要求網貸機構內部遵守的普遍適用于某類業(yè)務的政策。特別授權是指管理層針對特定業(yè)務活動逐一設置的授權，如重大資本支出和新股東的加入等。特別授權也可能用于超過一般授權限制的常規(guī)交易。例如，因某些特別原因，同意對某個不符合一般信用條件的客戶放款。

2.信息處理。與信息處理有關的控制活動，包括信息技術一般控制和信息技術應用控制。

網貸機構通過執(zhí)行各種措施，檢查各種類型信息處理環(huán)境下的交易的準確性、完整性和授權。信息處理控制可以是人工的、自動化的，或是基于自動流程的人工控制。信息處理控制分為兩類，即信息技術一般控制和信息技術應用控制。

信息技術一般控制是指與多個應用系統(tǒng)有關的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當地運行（包括信息的完整性和數據的安全性），支持應用控制作用的有效發(fā)揮，通常包括數據中心和網絡運行控制，系統(tǒng)軟件的購置、修改及維護控制，接觸或訪問權限控制，應用系統(tǒng)的購置、開發(fā)及維護控制。例如，程序改變的控制、限制接觸程序和數據的控制、與新版應用軟件包實施有關的控制等都屬于信息技術一般控制。

信息技術應用控制是指主要在業(yè)務流程層面運行的人工或自動化程序，與用于生成、記錄、處理、報告交易或其他財務數據的程序相關，通常包括檢查數據計算的準確性，審核賬戶，設置對輸入數據和數字序號的自動檢查，以及對例外報告進行人工干預。

3.職責分離。主要包括網貸機構如何將業(yè)務授權、執(zhí)行、記錄、以及抵押、質押資產的保管等職責分配給不同員工，以防范同一員工在履行多項職責時可能發(fā)生的舞弊或錯誤。當信息技術運用于信息系統(tǒng)時，職責分離可以通過設置安全控制來實現。

（四）對控制的監(jiān)督

管理層的重要職責之一就是建立和維護控制并保證其持續(xù)有效運行，對控制的監(jiān)督可以實現這一目標。監(jiān)督是由適當的人員，在適當、及時的基礎上，評估控制的設計和運行情況的過程。對控制的監(jiān)督是指網貸機構評價內部控制在一段時間內運行有效性的過程，該過程包括及時評價控制的設計和運行，以及根據情況的變化采取必要的糾正措施。

通常情況下，網貸機構是通過持續(xù)的監(jiān)督活動、專門的評價活動或兩者相結合，實現對控制的監(jiān)督。持續(xù)的監(jiān)督活動一般貫穿于網貸機構的日常業(yè)務活動與常規(guī)管理工作中。例如，管理層在履行其日常管理活動時，可以同時取得內部控制持續(xù)發(fā)揮功能的信息。當業(yè)務報告與他們獲取的信息有較大差異時，其會對有重大差異的報告提出疑問，并作出必要的追蹤調查和處理。

網貸機構可能使用內部審計人員或具有類似職能的人員對內部控制的設計和執(zhí)行進行專門的評價，以找出內部控制的優(yōu)點和不足，并提出改進建議。關于內部審計人員在內部控制方面的職責，網貸機構也可以利用與外部有關各方溝通或交流所獲取的信息監(jiān)督相關的控制活動。在某些情況下，外部信息能反映出內部控制存在的問題和需要改進之處。

（作者單位：鄭州升達經貿管理學院）