刘永立

近年来，随着互联网金融的快速发展，其风险也越来越引起人们的关注。一些管理不善的平台逐渐倒闭和转型。以网贷行业为例，据《2017年中国网络借贷行业年报》，截至2017年12月底，网贷行业正常运营平台数量为1931家，相比2016年底减少了517家，全年正常运营的平台数量一直单边下行。预计2018年网络借贷行业运营平台的数量仍将进一步下降，2018年年底或将跌至800家左右。大量平台的倒闭尽管与激烈的外部竞争有关，比如准入门槛低，获客成本高等；但在许多情况下，也与平台内部管理不善有着密切的关系。在此背景下，如何建立和健全网贷机构的内部控制，有效规避内部和外部风险，促进互联网金融的平稳、健康发展，既是网贷机构自身发展的要求，也是政府金融监管的重要目标之一。

一、网贷机构内部控制的含义和目标

网贷机构内部控制，是指网贷机构为降低借贷风险、提高借贷效率、遵守相关监管法规由治理层、管理层和其他人员设计和执行的政策和程序。这里的网贷机构是指在我国境内依法注册登记，专门从事网络借贷信息中介业务活动的金融信息中介企业。该类机构以互联网为主要渠道，为借款人与出借人实现直接借贷提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务。

网贷机构内部控制的目标应根据网贷机构的主要利益相关者的利益以及国家的相关法律确定。网贷机构的利益相关者很多，但最主要的是借款人、出借人及网贷机构的所有者。他们之中利益最容易遭受损失的是出借人，因此，在确定网贷机构内部控制目标时，应在不违反国家相关法规的基础上，从出借人的利益诉求出发，兼顾借款人和企业所有者的利益。

（一）满足出借人的利益诉求

在网络借贷关系下，出借人的利益诉求没有发生变化，依然是希望按时收回借出的本金，并获得借款合同约定的利息。若出借人的根本利益得不到保护，网络借贷就会成为滋生“老赖”的温床，长此以往，网贷机构就失去了生存的基础。可见，控制和降低借贷风险是网贷机构设计和执行各项内部控制制度应达到的首要目标。当然，出借人的利益遭受损失最常见、最主要的原因是由于借款人不能或不愿按合同履行还本付息的义务。作为网贷机构只能从提高服务质量这一方面为出借人控制和降低借贷风险。

（二）满足借款人的利益诉求

尽管满足出借人的利益诉求是网贷机构内部控制的首要目标，但不能因此而侵犯借款人的合法利益。比如对逾期借款人实施暴力催收、故意扰乱借款人的正常生产经营活动，威胁借款人的人身财产安全等。所以，网贷机构内部控制的设计和执行必须遵守国家的相关法规要求。

（三）实现网贷机构自身利益最大化

网贷机构从性质上讲是从事借贷信息中介业务活动的金融信息企业，向借贷双方提供撮合服务，最终是为了获取利润。网贷机构必须向借贷双方收取服务费用，用于满足服务支出，并获取适当的盈利，只有这样，网贷机构才能持续生存和发展；很难想象一个长期亏损的平台能够持续为借贷双方提供优质的借贷服务。所以，网贷机构内部控制的设计和执行还应当达到降低借贷业务成本和提高效率这一目标。

综上所述，网贷机构内部控制的目标是遵守国家相关法规，通过提高借贷服务质量降低借贷风险，提高借贷效率，以满足借贷双方和企业自身的利益诉求。

二、网贷机构内部控制结构

网贷机构的内部控制结构主要由控制环境、风险的识别与应对、控制活动以及对控制的监督四个部分构成。

（一）控制环境

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。网贷机构内部控制环境应该包括：

1.诚信原则和道德价值观念。诚信和道德价值观念是网贷机构控制环境的灵魂，它直接影响到网贷机构重要业务流程的设计和运行。网贷机构内部控制的有效性直接依赖于负责创建、管理和监控内部控制人员的诚信和道德价值观念。网贷机构是否存在道德行为规范，以及这些规范如何在网贷机构内部得到沟通和落实，决定了其是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实，既包括管理层如何处理不诚实、非法或不道德行为，也包括在网贷机构内部通过行为规范以及高层管理人员身体力行地保持诚信和道德价值观念。

2.员工的胜任能力。胜任能力是指具备完成某一职位的工作所应有的知识和能力。网贷机构对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能力的要求。例如，风控人员能否利用AI技术与大数据为网贷机构提供完整的风控解决方案；软件开发人员能否开发出高安全级别的平台APP软件等。

3.管理层的理念和经营风格。管理层负责网贷机构的运作以及经营策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响，或在某些情况下受管理层不采取某些措施、或不作出某种决策的影响。在有效的控制环境中，管理层的理念和经营风格可以创造一个积极的氛围，以促进业务流程和内部控制的有效运行。在管理层以一个或少数几个人为主时，管理层的理念和经营风格对内部控制的影響尤为突出。

管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视，将有助于控制的有效执行，并减少特定控制被忽视或规避的可能性。控制理念反映在管理层制定的政策、程序及所采取的措施中，而不是反映在形式上。因此，要使控制理念成为控制环境的一个重要特质，管理层必须告知员工内部控制的重要性。同时，只有建立适当的管理层控制机制，控制理念才能产生预期的效果。

衡量管理层对内部控制重视程度的重要标准，是管理层在收到有关内部控制缺陷及违规事件的报告时是否做出适当反应。如果管理层及时下达纠弊措施，即表明他们重视内部控制，这有利于加强企业内部的控制意识。

此外，管理层的经营风格也会对内部控制环境产生重大影响。管理层的经营风格可以表明管理层所能接受的业务风险的性质。例如，管理层是否经常接受大额、信用级别偏低客户的借款要求。

4.组织结构及职权与责任的分配。网贷机构的组织结构为计划、运作、控制及监督借贷业务活动提供了一个整体框架。通过集权或分权决策，可在不同部门间进行适当的职责划分，建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。网贷机构的组织结构在一定程度上取决于网贷机构的规模和资产端业务的性质。

（二）风险的识别与应对

任何经济组织在经营活动中都会面临各种各样的风险，网贷机构也不例外，风险的存在直接影响到网贷机构的生存和竞争能力。网贷机构虽不能控制所有的风险，但管理层应当确定可以承受的风险水平，识别这些风险并采取行之有效的应对措施。网贷机构可能产生的风险通常包括：特殊的法律制度风险、技术和安全风险、操作风险等。

1.特殊的法律制度风险。主要是由于互联网金融属于新型的产业，现有的法律无法实现对其应有的约束和保护，一旦出现险情，给金融消费者造成的损失将可能无法弥补。比如仅2013年10月和11月，就有39家个人对个人（P2P）借贷平台倒闭或陷入困境。此外在监督管理上，由于互联网金融体制不健全，對其常常也无法实现完善的监管。

2.技术和安全风险。网贷机构借助云计算、物联网等信息技术平台开展金融业务，与之并存的技术和安全风险随之而来。比如，互联网金融所有用户的信息都记录在“云计算平台”上，这样可能存在被泄漏或者非授权使用的风险，特别是网络黑客利用非法手段获取并盗用相关数据，或者植入病毒，就会引发巨大的网络风险，后果不可估量。互联网金融的计算和数据来自世界各地，信息的准确性和稳定性很难确定，“云计算平台”在这种宏观的位置上很难实现微观上的分析、确认。在2014年上半年，就爆发了“携程漏洞门”“二维码支付欺诈”“OpenSSL心脏出血漏洞”等信息安全风险事件。

3.操作风险。在1998年，巴塞尔银行监管委员会颁布的《电子银行和电子货币业务的风险管理》中，明确了电子银行在进行相关工作过程中一定会遭遇的八种风险根源：未经授权的网络入侵、雇员欺诈、伪造电子货币、经营服务性企业的风险、系统更新慢、缺乏专业技术人员和监管体系、客户缺乏安全意识和客户毁约。操作风险一般都是由不准确的操作过程、内部监控体系、信息系统瘫痪以及人为泄密造成的，如果爆发的风险是由于内部监控体系、信息系统不完善或瘫痪造成的，那么损失将是无法估量的。

（三）控制活动

控制活动是指有助于确保管理层的指令得以执行的政策和程序。主要包括授权、信息处理与职责分离等。

1.授权。包括一般授权和特别授权。授权的目的在于保证网贷机构的各项业务都在管理层授权范围内进行。一般授权是指管理层制定的要求网贷机构内部遵守的普遍适用于某类业务的政策。特别授权是指管理层针对特定业务活动逐一设置的授权，如重大资本支出和新股东的加入等。特别授权也可能用于超过一般授权限制的常规交易。例如，因某些特别原因，同意对某个不符合一般信用条件的客户放款。

2.信息处理。与信息处理有关的控制活动，包括信息技术一般控制和信息技术应用控制。

网贷机构通过执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息处理控制分为两类，即信息技术一般控制和信息技术应用控制。

信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。例如，程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术一般控制。

信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

3.职责分离。主要包括网贷机构如何将业务授权、执行、记录、以及抵押、质押资产的保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

（四）对控制的监督

管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。对控制的监督是指网贷机构评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

通常情况下，网贷机构是通过持续的监督活动、专门的评价活动或两者相结合，实现对控制的监督。持续的监督活动一般贯穿于网贷机构的日常业务活动与常规管理工作中。例如，管理层在履行其日常管理活动时，可以同时取得内部控制持续发挥功能的信息。当业务报告与他们获取的信息有较大差异时，其会对有重大差异的报告提出疑问，并作出必要的追踪调查和处理。

网贷机构可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价，以找出内部控制的优点和不足，并提出改进建议。关于内部审计人员在内部控制方面的职责，网贷机构也可以利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。在某些情况下，外部信息能反映出内部控制存在的问题和需要改进之处。

（作者单位：郑州升达经贸管理学院）