藏晶晶

（乌鲁木齐银行股份有限公司，新疆 乌鲁木齐 830000）

随着经济全球化建设进程越来越深入，国家整体经济水平越来越高，各类商业银行像雨后春笋不断涌现，城市商业银行在市场经济发展中的地位也不断提升。如今城市商业银行的经营领域越来越广、发展规模持续扩大，使得业务量快速增长，伴随的不稳定因素逐渐增多，容易引发各种各样的金融风险，必须重视管理和控制。然而，城市商业银行在经营管理中容易出现内部控制低效的问题，这与银行内控管理实施不到位有直接关系，内控环境、风险管理、控制活动以及监督审计等形势严峻，亟待改进和强化。

一、城市商业银行内控管理简述

内部控制是伴随经济现代化发展形成的重要管理方法之一，是为合理保证达成经营效率和效果、财务报告可靠、符合法律与规章制度的一种程序。所以，商业银行内部控制指的就是商业银行为了完成经营目标，通过制定、执行一系列制度和程序，采取一系列方法，进行风险的防范和控制、监督、纠正的机制和动态过程，具有全面性、审慎性、独立性和有效性的特征，需要商业银行在相关职能与层次上建立、保持内控目标。城市商业银行是中国银行业的特殊群体和重要构成，旨在让地方经济和地方居民获得金融服务。经过多年的发展和变革，城市商业银行发挥了支持地方经济事业发展、服务地方企业经营、提升地方资金使用效率等作用，已经成为国家银行业第三梯队的中坚力量[1]。但是受到资产规模小、运营辐射短、业务范围窄等因素的影响，城市商业银行的经营环境越来越严苛，有必要通过加强风险管控来应对。风险管控指的是城市商业银行为了减少经营管理中可能发生的风险所开展的管理活动，旨在寻求最小风险下的最大盈利。

站在风险内部控制的角度，城市商业银行风险控制目标是实施风险管控的出发点、方向，内控可以说是控制风险的管理系统，怎样提升股东利益、确保风险最小化是最重要的目标。具体包括：通过风险管理保证银行全面贯彻执行相关法律法规和内部规章制度，弱化合法合规风险；利用内部控制让银行内部权责更明晰，形成相互牵制的良好局面，更有效地防控金融风险，确保风险管控的有效性；基于内控管理确保银行的业务、会计、财务等信息的质量，依法披露相关信息；加大审计和监管力度，尽可能消除负面因素，防范风险的发生，不侵害相关者的利益，保障银行长期发展目标的实现。

二、城市商业银行内控管理形势

为了实现上述内控目标，把握城市商业银行的内控管理形势是基础和前提。

1.内控环境

城市商业银行对培养员工风险管理意识的重视程度在不断提高，自成立之后努力通过加强风险教育、弘扬合规文化等方法营造优良氛围[2]。一些城市商业银行还高度重视建设企业文化，基于合规制度的执行构建自身合规文化，定期开展员工培训工作，以达到人人讲控制、处处防风险的目的。例如某城市商业银行会定期开展合规文化测试活动，员工成绩优异能够获得奖励，员工成绩不达标就要接受额外考核，直到达标。如此，城市商业银行逐渐形成内控文化环境，但目前尚处于成长阶段，和国内大型银行之间还存在差距，有待强化。

2.风险管理

如上所述，城市商业银行愈加重视风险管理，有的银行针对各种业务活动开展风险排查、条线检查等工作，排查内容涉及到业务的各个方面，例如开立银行账户的情况、账户使用情况以及多种账目情况、处理业务的过程等，据此构建由风险管理委员会主导的银行风险管理与识别体系。然而在实务操作中，识别信贷业务风险依旧以人工经验为主，缺少定量分析，加上银行的风险评估流程和体系不够完善，制约内控管理实施效果的提升。

3.控制活动

在城市商业银行的内控管理中，内部控制活动应用广泛，只有落实内控活动，有机整合各项业务和风险评估，才可以确保顺利开展业务活动。信息沟通反馈主要是指收集内外部有价值的各类数据和信息，进行加工、整理，并及时向各部门传递，方便管理层根据反馈的信息正确决策[3]。信息沟通反馈贯穿城市商业银行内控体系的每一个环节，是确保有效实施内控管理的桥梁。银行信息沟通涉及内外两部分，尤其重视管理层和基层员工之间的信息沟通，保证及时反馈信息。例如，城市商业银行已经建成管理信息平台，依托这一平台建立内部员工沟通体系，包括电子邮件体系、电子公文体系、业务园地、员工心声等，向内部各级人员传输各种运营、会计、财务报表等数据和信息，也方便合规部门随机访查，收集基层员工的想法，向管理层反馈。银行还和外部监管机构建立信息沟通关系，把握监管新动向，保障自身业务合规，同时利用设立网点、网站主页、电子屏滚动显示等方式让客户获取信息，并利用意见箱及时获得客户的意见、建议。但城市商业银行的信息沟通反馈并非尽善尽美，在信息系统建设上尤为突出，仍然处于摸索状态，需要通过加快信息化建设有效开展内控活动。

4.监督审计

内部监督审计是城市商业银行实施内控管理的基础所在，也是内控管理的反馈手段，通过对银行运营中的内控问题给出意见，提高内控管理效率。这主要涉及日常监督、专项监督，前者是指围绕内控管理情况展开不间断的、常规的监督，融入日常经营活动，后者是围绕经营活动、业务流程、关键岗位变动等事项的调整或变化较大的情况展开的针对性监督。某城市商业银行内部监督的主要方式如表1所示，然而银行基层内部审计的独立性缺乏，同时存在忽视或者简化审计绩效评估的现象，影响内部监督审计工作成效。

表1 某城市商业银行内部监督的主要方式

三、城市商业银行加强内控管理的建议

根据内控管理形势，城市商业银行务必要采取针对性的措施改善内控管理，提高内部控制实效。

1.加强制度建设，优化内控实施环境

首先，城市商业银行要遵循业务发展制度先行的基本原则持续加强内控制度建设。一是明确职责分工制度，合理设置内部每一个岗位；二是完善审批检查制度，加大检查力度，使内部业务行为越来越规范；三是完善审计制度、管理制度，健全数据信息的报告、处理、交流、披露等程序；四是结合银行业务的危险性与特殊性严格落实保卫保管制度；五是有效执行内部审计制度，向银行最高管理层报告，确保内控制度更完善、更严密。

其次，要注重对内控制度的评估与调整，形成更完善的、可操作性强的制度。银行内控制度严密与否直接影响财务会计数据以及其他经济信息的真实性、可靠性，现代审计往往把内控制度作为审计审查重点，要基于完善的制度加强合规文化建设，打造优良内控环境[4]。一是评估银行内控制度的全面性，及时补充制定缺失的部分；二是梳理内控制度的完整性，关注现有制度覆盖主要业务风险点与否，从合法合规性和覆盖风险点的程度、可执行程度等方面重点审查，发现制度的漏洞、缺陷，及时修订，提升制度完整性；三是检查内控制度的有效性，及时针对检查发现的问题给出行之有效的整改意见，同时跟踪整改情况。

最后，要科学配置人员，促使全体人员发挥最大的潜力。针对内部员工加强合规意识教育，督促每一名员工在每一个岗位、每一项业务的操作中全面贯彻合规理念，形成浓厚的合规文化氛围，确保银行各项业务合规；构建操作风险和内控自我评估体系，主动开展评估工作，在强化合规管理的同时寻求业务发展和内控管理的最佳平衡点。

2.改进风险评估，有效防范内控风险

城市商业银行在各业务流程中都要贯彻风险评估，把市场风险、流动性风险、操作风险和信用风险等纳入考核体系，从单一风险评测转向整体风险评测；分析风险时渗透风险组合理念，重视所有业务部门的运作，关联各类风险，从总体视角评测风险；进一步完善风险预警机制，针对重要部门和重要对象、重要业务处理环节等持续加强风险测评。例如信贷业务，银行在客户准入阶段就要量化准入制度，做好客户分级工作；在授信阶段严格测评风险，精准量化贷款申请者的违约风险、授信损失程度，进行债项评级和风险摸底、预警等，加强预防；在贷款审查阶段明确风险识别标准，实时检查对应资料的真实性；在贷后管理阶段要全方位监管客户企业及其控制主体的风险信息，只要出现违约风险，第一时间清收并保全资产。具体流程如图1所示。

图1 城市商业银行贷款风险评估流程

与此同时，城市商业银行要持续改进、升级风险评估手段，完善线上风险评估系统，借助数理统计模型定量评估风险，最终在风险管理中实现对定性方法、定量方法的融合应用[5]。例如针对联保贷款授信业务，主要根据参与联保的企业的规模、数量决定授信额度，规模越大、数量越多，授信额度就越高。当数量达到某个阈值，其授信额度的风险就可能超出企业可以承担的额度范畴，特别是这些企业如果是同类或者同种行业，风险发生率大大增加，要以数理统计模型为支撑，在参与联保企业超出阈值或者行业相关性较强时启动预警机制，发挥好内控管理的作用，适当收缩授信规模，降低发生风险的可能性。

3.完善内控体系，提高沟通反馈效率

完善内控体系是城市商业银行控制活动有效、资本安全、经营有序的重要保障，既要明确职责范围，做到专岗专责，防止发生授权混乱、操作违规等问题，又要依托严格的考核约束员工行为，把银行内控管理和个人奖惩挂钩，增强内控执行力，杜绝发生内外勾结事故。在网络信息时代，信息系统可以有效降低风险发生率，完善的信息系统平台能够通过数据计算实现内控目标，突出线上控制系统相较于人力控制的快捷性、全面性优势[6]。城市商业银行的金融产品在网络信息化发展环境中不断推陈出新，支付宝、手机银行、在线支付等对传统信息系统带来巨大考验，完善内控体系、加强信息交互是重要手段。

一方面，建立健全内部网络信息系统，形成纵横交错的银行信息沟通反馈渠道和网络；另一方面，完善内控管理系统，构建上通下达的银行信息交流框架，形成内控管理信息库，夯实内控数据量化基础。其关键还在于利用计算机和网络对内控制度指标和流程等实施程序化处理，进一步提升信息系统平台的完整性[7]。例如，注意内部电子化沟通的实现，打造城市商业银行完善的内部业务系统，因为银行数据信息庞大是普遍特征，加上新时代的信息市场迅猛发展，银行持续拓展业务范围，大数据可谓瞬息万变，银行办公必须与电子信息化方式适应；针对外部客户体验，要完善手机银行业务类型、安全防护策略，让手机银行用户获得更优质的体验。考虑到现代化高科技手段的控制影响，银行要消除电子化沟通的弊端，如预防数据信息的重复录入、恶意修改，预防系统漏洞引发的内部人员违规操作、外部人员恶意入侵、系统故障等，强化信息系统平台安全防护，体现信息沟通反馈的科学性、有效性。

4.强化内部监管，提升审计管控水平

内控管理中内部审计的独立性与权威性至关重要，城市商业银行要加强内部审计人员业务培训，使其更关注风险，接受审计项目风险点培训，坚持学习国内外银行审计信息化的做法、经验，把握内部审计信息化理论创新和发展趋势，增强风险敏感性、职业判断力，更有效地控制风险，深化审计监督的改革和发展。为了提升审计独立性，在开展银行内部审计工作之前和组建内部审计团队之时尝试跨机构抽调和被审计银行距离跨度较大、没有交叉业务的骨干人员加入审计队伍，提高业务认知，并利用不同机构的竞争心理增强审计团队的独立性。还要大力构建内部审计信息化体系，规范系统的运行和人员的准入，做好数据处理、信息安全、数据归档以及评价反馈等工作。同时采取新的、更规范的数据分析方式，加强计算机审计模型的开发和创新，利用银行大量真实数据进行模型的测试、完善，让内部审计方法更加成熟、更加完善，提高审计监督效益和质量[8]。

除此以外，完善城市商业银行内部审计监督的绩效评估，明确责任和奖惩。例如针对反洗钱业务操作风险，银行要建立健全反洗钱风险管控绩效评估体系，准确评估并反映银行及其相关部门完成反洗钱风险管控任务的情况。首先，利用反洗钱监测报送系统对人工完成的交易补录笔数、甄别的可疑交易报告笔数、客户洗钱以及融资风险等级划分笔数、客户尽职调查笔数进行核算，根据合理系数给予反洗钱监测工作人员适当的奖励；其次，明确反洗钱业务人员的责任、奖励，利用日常监督和内控检查，奖励及时找出可疑交易和上报洗钱线索等行为，处罚因发现问题不及时造成银行损失、不良影响的业务人员，取消评先评优资格，消除侥幸心理，预防为了追求个人利益擅自简化操作流程；再次，银行内部监督管理部门要定期检查各机构的反洗钱监测与复核是否存在一手清问题、有没有落实绩效奖惩方案、反洗钱业务内控有没有覆盖所有业务流程、反洗钱内控档案完整与否等，奖励年底反洗钱考核成绩优良的部门、个人，严厉批评年底反洗钱考核不及格的部门、个人，激励全体人员增强责任感和风险意识，认真开展反洗钱业务。

四、结语

城市商业银行是中小型商业银行的代表，在经营过程中表现出制度不完善、不良贷款率高、内部审计独立性弱等特征，在内控管理中致力于通过优化内控环境、防范内控风险、高效沟通反馈、强化审计管控等措施妥善解决内控管理不力的问题，提高内控效果。当然，实施内控管理是长期的系统性工程，城市商业银行内部各部门要充分协作，全体人员共同努力，提高对内控管理的认同度、重视度，不断加强内部控制的实施，完善内控体系，以此适应不断变化的市场经济环境，应对复杂多变的金融风险，保障实现可持续发展。