陆赛江 许莉

银行业作为我国金融业最主要的组成部分，更是应该把防范风险，尤其是系统性金融风险，放在经营发展的第一位。而要防范银行的风险，尤其是系统性金融风险，必须从完善商业银行的内部控制出发。基于此，本文选择商业银行的内部控制作为研究对象，分析商业银行内部控制制度存在的不足。在此基础上，结合2016新版ERM框架的五个组成要素，提出加强和完善商业银行内部控制的建议。

一、理论基础及其制度变迁

1.从1992年COSO《内部控制整合框架》到2004年《企业风险管理框架》（ERM）。1992年，COSO委员会发布了著名的《内部控制整合框架》，并且在1994年对其进行了修订和增补。该框架设立了一个立方体的模型，从目标、要素、层级这三个维度对机构内部控制进行评价。3个目标分别是战略目标、财务报告目标和合规性目标；5个要素分别是控制环境、风险评估、控制活动、信息沟通，以及监督；将层级分为业务单位和活动。

2004年，COSO委员会结合《萨班斯法案》中有关报告方面的要求，在《内部控制整合框架》的基础上进行扩展和补充，颁布了《企业风险管理框架》（ERM）。ERM框架为企业的风险管理提供了理论基础和应用指导。相较于1992年的内控框架，2004年ERM框架的范围更加广泛，产生以下主要变化：第一，分别在三个维度增加了一些新的内容，在目标方面，增加一个战略目标，并且将财务报告这一目标扩充为包括财务报告在内的所有报告。在要素方面，增加了目标设定、事项识别和风险反应。在层级方面，将风险管理运用领域从单个业务单位和活动提升至整个企业。第二，增加了风险组合观，认为企业的风险管理要考虑组织的风险偏好和风险容忍度。第三，强调企业的内部控制是企业风险管理重要的组成部分。

2.从2004年《企业风险管理框架》到2016年《企业风险管理——协调风险与战略和业绩的关系》。自2004年ERM框架颁布以来，尽管它在指导企业风险管理方面取得了一定的成绩，但也暴露出了它的缺陷。其中最主要的是：2004年ERM框架制定的初衷是为了弥补内部控制框架没有从整体的角度指导企业进行内部控制建立这个缺陷。2014年起，COSO委员会开始筹划对2004年ERM框架的修订工作，并且在2016年出台了《企业风险管理——协调风险与战略和业绩的关系》征求意见稿。从2016版ERM框架的具体内容来看，用此框架指导商业银行加强内部控制的优势在于：第一，我国商业银行正处于转型和国际化的阶段，采用被全球认可的2016版ERM框架指导商业银行进行风险管理，使商业银行在风险应对方面提高了国际竞争力；第二，2016版ERM框架更加强调风险与价值相结合，突出风险管理对企业的价值创造，这与商业银行在风险管理方面的要求更加契合。

二、商业银行内部控制现状分析——基于新版ERM框架

1.商业银行风险管理与内部控制文化基础薄弱。企业自身风险管理和内部控制文化是企业建立完善风险管理和内部控制制度的基础，该文化体现了企业主体的价值观、行为准则等，对于企业的风险管理活动和内控活动的进行具有指导性作用。目前我国商业银行对风险管理和内控文化的建设培育工作还没有贯彻到具体行动中，没有将文化的价值体现出来。

在董事会和管理层方面，许多人把商业银行内部控制体系仅仅理解为银行各种规章制度、业务流程设定的汇总，认为抓内控就是制定和颁布银行管理及业务的各項规章制度，而忽视了银行的内控也是一个需要从宏观整体层面进行考量的重要机制。在票据业务中，风险的发生正是因为银行对风险管理和内部控制缺乏正确的认识，没有做到整体上各个层级和环节相互制约、监督。

在银行员工方面，商业银行未能将员工个体的行为和银行风险管理文化结合起来。在日常管理活动中，组织缺乏对银行风险治理、内部控制文化和核心价值观不断地解读、强调和践行，导致员工在一些业务活动中出现违背商业银行价值观的行为。

2.商业银行对事项和风险的识别、评估不到位。在现实情况中，我国商业银行在对风险事项的识别和评估方面还十分不到位。一方面是缺乏对事项的评估。在我国商业银行的内部控制活动中，没有形成明确的事项识别机制和过程，银行关注的仅仅是直接对风险的识别和评估。

3.信息沟通不充分。我国商业银行对统一、共享的信息沟通平台还未完全建立。一是商业银行的信息数据比较缺乏。已有的信息数据反映的仅仅是针对单个风险事件的，而没有对商业银行各条业务线等银行全面风险管理和公司治理层面的总体反映。二是我国商业银行没有形成通畅的信息沟通模式。我国主要的商业银行具有规模大、结构复杂等特征，这些都不利于信息数据高效、顺畅的流动。

4.全过程监督、制约机制未能有效发挥。商业银行的内控制度应当覆盖其整个经营管理和业务活动，因此对内部控制有效性的判断应当建立在对整个经营管理及业务活动进行全过程监督的基础上。一方面，虽然我国上市银行按照相关制度的要求建立了公司治理模式、设立了相关特定委员会对银行的内控进行监督，董事会聘请事务所每年进行内控审计，董事会内部每年也对其内部控制进行评价，但都仅仅针对的是财务报告相关的内部控制，缺乏对非财务报告相关内部控制的监督和评价，监督活动覆盖不全面。另一方面，我国商业银行的内审部门存在双重报告制度，既对董事会报告，又对高级管理层进行报告，内部审计部门的独立性不能得到有效保证，导致其对商业银行内部控制的监督也不能做到公正、有效。

三、加强商业银行内控制度建议——以2016版ERM为导向

1.加强内部控制环境创造。①明确监管责任的分配。新版ERM框架在风险治理与文化这一模块中，强调了企业进行全面风险管理的重要性，并且要求企业明确监管责任的分配。一般来讲，鉴于商业银行董事会成员有比较丰富的行业经验和技能，并且独立于银行的管理层，他们能够站在整体、宏观的角度提供风险管理的战略思想，并且把风险管理的日常活动及责任授权给管理层或特定的委员会进行，他们对企业的内控监督负有首要责任。②建立风险治理和内部控制运作模式。在明确监管责任分配的条件下，商业银行应该建立完善的内部控制运作模式和汇报机制。商业银行应当根据银行的战略目标、规模、相关法律法规，结合银行自身使命、期望以及核心价值观来建立风险治理和内部控制运作模式。③践行文化与激励机制。在现实中，银行工作人员违背商业银行核心价值的行为难以完全避免。有的是好人由于缺乏经验和疏忽等原因造成的，有的则是坏人蓄意谋划。因此需要对违规行为进行详细地评估并制定应对措施。关键举措在于将银行工作人员的个人文化与银行的核心文化结合起来，管理层在日常管理和业务活动中，要对银行的风险治理和内控文化进行不断地解读、强调和践行。

2.明确目标选择、加强风险识别。①内部控制目标与战略目标相一致。新版ERM框架将其制定的风险管理战略及业务目标，与主体的战略计划保持一致。商业银行的战略目标一方面是对其经营目标进行深入阐释和界定，另一方面又具有可持续性、全局性和稳定性等特征。因此，商业银行在内控体系各个环节和层级制定时，应当考虑银行总体战略目标的指导性意义，将其分解，并且持续作用于内部控制的各个环节。②加强对事项和风险的识别。ERM框架是以风险为导向制定的，商业银行在制定内控制度的过程中也应当以风险和事项为中心向外扩散，将风险导向渗入到内部控制的各个环节和流程中去，从而在日常的内部控制活动中积累对风险和事项的识别。商业银行在进行风险识别之前，更要进行事项识别。

3.在风险评估基础上选择相应的风险响应。在上述对风险和事项进行识别的条件下，我国商业银行应当根据风险和事项的重要程度、优先次序等标准选择和制定应对方式。首先是进行风险排序。要对风险进行排序，在识别出风险的基础上，对风险进行评估。商业银行应当结合组织的风险偏好，区分出风险事项发生的可能性和对银行发展产生的影响程度，在重要程度和紧急程度等方面对其进行排序。其次是针对排序完的风险选择相应的应对措施，如承担风险、规避风险、降低风险等。

4.建立顺畅的信息沟通机制，有效共享信息。①确定信息数据的来源。前文所述造成风险的事项可由银行的内部和外部环境产生，因此，商业银行管理层在确定信息数据的来源时，应当同时考虑信息的内部和外部来源。②对风险进行报告，有效沟通风险信息。商业银行确定了信息数据的来源以后，将搜集到的信息数据进行分类、分析和管理，并最终形成报告。针对不同的沟通对象（即信息使用对象）形成不同种类和形式的报告。沟通对象包括商业银行的内部工作人员、董事会、股东以及其他利益相关者。信息沟通的形式可以是：电子信息共享、培训和研讨会、内部文件资料传递等。

5.加强内部控制持续监管。商业银行的内部控制应当随着时间的改变、业务的发展而有所不同。在外部环境方面，随着一些因素的变化和发展，可能会发生旧的风险消失了，新的风险产生了、曾经的风险对银行的影响程度发生了变化、曾经有效的风险应对措施变得不再有效等一系列问题；在银行内部方面，可能会发生银行员工对控制活动执行的有效性降低、银行人员和组织架构发生了调整從而影响了内部控制的执行等问题。因此需要银行通过对其内部控制进行持续、全过程地监控，了解并掌握在内部控制的各方面发生的一些实质性变化，以便判断银行内控体系的各个层级、各个流程在长期运作方面是否保持良好，促进商业银行内部控制体系长期有效地发挥作用。

（作者单位：南京审计大学）