高媛

随着我国经济结构改革转型的持续推进和数字化时代的来临，宏观经济和监管政策约束对商业银行经营发展提出较大的挑战，对商业银行风控管理能力亦提出更高更严的要求。有效的内部控制体系能够帮助银行强基固本，提升依法合规经营和抵抗风险的能力。本文基于探讨构建商业银行长效化内部控制监督评价管理机制，以加强风险管理为导向，将内部控制评价嵌入风险监控体系中，实现全方位、全过程的风险识别、分析和预警，通过内部控制监控链条开展商业银行经营风险的全面监测和评价，以期促进商业银行在抢抓发展机遇的同时，提升风险管理水平，做好风险的防控工作，实现高质量发展目标。

一、引言

近年来，商业银行加快推进业务转型发展、提高核心竞争能力，不断响应基础设施、乡村振兴、绿色金融、专精特新、普惠金融及数字化金融等国家重点领域的政策实施。商业银行抢抓机遇，在优化经营模式和落实发展战略的过程中，一方面不断创新产品和业务模式，加大信贷、投资等资产投放，一方面也不断面临复杂多变的风险挑战和内部刚性约束需要持续优化完善、加强管控的管理压力。

2017年以来，中国银保监会累计处罚银行业金融机构9579家次，处罚责任人员1.22万人次，罚没合计104.36亿元，超过以往十几年总和。从处罚的问题来看，主要暴露了有关银行风险合规意识淡薄、业务潜在风险评估不足、核心管理制度与控制措施缺失、内部员工道德风险突出等问题。

2021年6月，中国银保监会开展“内控合规管理建设年”活动，要求商业银行搭建系统性的内部控制数字化评估机制以及问责机制，从而对内部控制风险敞口进行全过程的监控管理，强调内部控制评价对于商业银行战略发展、金融资源整合以及财务控制的必要性，要求商业银行将内部控制风险作为风险监控的核心内容，并扭转轻合规、重效益的内部控制评价机制。内部控制评价和风险管理的有效结合和互补，可以对商业银行业务经营和内部管理进行全流程、规范性的监督，提高企业的风险控制和防范能力，为商业银行发展战略顺利实施和落地保驾护航。商业银行亟需顺应自身长远发展和监管要求，搭建系统性、科学性、长效化的内部控制评价机制，深化内控体系建设和监督工作。

二、内控体系与风险管理的目标和运作机制分析

2014年，我国颁布了《商业银行内部控制指引》（以下简称《指引》）。《指引》强调内部控制是商业银行稳健运作、提高经营绩效不可或缺的内容，是商业银行搭建风险管理机制的制度基础。根据《指引》，在战略目标管理方面，内部控制的主要目标是保障商业银行战略目标的实现、保障信息披露的真实有效性、保障商业银行风险管理机制的有效运作。风险管理的主要目标是通过精细化、系统化的风险管理手段和工具，管理商业银行在经营和管理过程中各种不确定性及其预期可能发生的损失情况，支持企业战略和经营目标的最终实现。

在战略目标上，内部控制和风险管理具有一致性，都是商业银行完善风险监控模式，提高风险识别和预警的重要组成部分，通过评估、防范、控制企业风险，从而促进企业经营目标的实现。但二者的具体运作机制却有所不同，风险管理主要围绕企业战略经营目标，制定总体风险偏好和风险限额政策，辨识、评估、分析风险，并提出风险预警防范和风险处置的策略和措施。内控体系主要从COSO五个方面人手，采用穿行测试、控制测试等审计手段，检查内控设计是否有效、运行是否持续，诊断重点业务、重要流程的内部控制设计及运行缺陷，并督促整改，将评价结果运用到经营发展中去。

三、内控评价和风险管理二、三道防线有机融合的重要意义

国际内部审计师协会（IIA）把一个有效的组织治理机构分为三个部分，管理层采取行动实现目标，包含业务部门组成的第一道防线，负责为客户提供产品服务，管理风险;风险合规等部门组成的第二道防线，为风险相关事务提供专业管理支持;内审作为独立的第三道防线，对为实现战略目标所实施的工作开展独立客观的监督评价和建议。

商业银行的经营水平和管理水平应相辅相成的发展，不能顾此失彼，互相背离，否则都是类似木桶原理的情况，对整体的发展产生制约和限制。第二道防线和第三道防线的工作有机融合，可以从整体的角度建立二、三道防线之间的沟通、协同和成果共享的机制，促进企业管理体系更顺畅有效的运行，更贴近经营发展的需要，通过决策与制衡、效率与控制、执行与监督等正反思维的对撞，更好的发挥风险管理和控制监督的作用，为商业银行战略规划设计的科学性和战略执行的有效性提供有力的保障。

四、商业银行构建长效化内控评价机制的策略建议

（一）構建“战略+内控+评价”三位一体的内部控制管理体系

内部控制评价体系是商业银行实现合规管理、优化经营结构以及防范系统性金融风险的重要制度基础。首先，商业银行应该在战略中强调重视，建立健全内控体系是守住不发生系统性风险底线，加快实现高质量发展的重要举措，应牢牢树立“强内控、防风险、促发展”的战略目标。从制定战略规划开始将内部控制辐射至具体的业务发展、资源配置和风险管控中去。其次，商业银行应该在业务发展的具体环节将内部控制作为有效防范风险和规范权力运行的主要手段，充分将制衡机制、授权审批等控制措施有效嵌入日常经营业务流程，防止权力滥用和管理层凌驾于内控之上。再次，商业银行应该对内部控制执行的有效性进行综合评价，不断完善和动态调整内控缺陷认定标准、聚焦关键业务和重点领域，包括对大额信贷投放、投资决策、互联网金融业务、金融衍生业务、不良资产处置、集中采购、网点装修等重点环节、重要事项开展事前、事中以及事后的内部控制风险监督。最后，商业银行应该对内部控制成效进行系统性评估和评价，并基于问责机制开展监督管理活动，监督内部控制的有效运作，防范内部控制风险溢出。

（二）建立全面性和重要性均衡发展的内部控制评价机制

当下，多数商业银行已经搭建了内部控制监督管理机制，但是还存在对内控系统建设重视度不够，集团内控体系未全面覆盖，上下贯通，对新业务、新产品的内部控制约束不及时、重点业务和关键环节内控执行存在较大的缺陷和短板弱项、内部控制监督检查频率不够合理、检查手段单一、检查信息共享度低、检查质量缺乏保证、检查操作缺乏统一规范、检查人员素质参差不齐、检查问题整改不到位等问题。这对内部控制评价工作的覆盖面和对重要风险环节的识别、分析、预判提出了更高更细的要求。

商业银行应建立全面性和重要性有效均衡的内部控制评价机制，指定专门的部门牵头，安排专业化的人员将内控评价作为年度重要工作组织开展。结合内外部经营环境的变化以及内部管理的需要，遵照风险导向的原则，在抽样广度和深度上下足功夫，做好文章。抽样频率上确保年度内主要经营业务板块全覆盖、表内表外业务的全覆盖、分行机构和子公司全覆盖。同时提升抽样对象的重要性挖掘能力，认真研读宏观经济金融形势，梳理掌握业务结构变动调整和资产质量迁徙变化情况，加快推进内控评价系统的信息化建设，整合摸排业务、财务、信贷、运营等信息资源，借助科技系统强化日常的监督和自动预警功能，着重关注高风险领域、重要业务单元和内控关键控制环节，对新兴业务、高风险业务以及风险事件频发的机构或领域重点抽样，加强内控监督评价的持续性，对各项业务操作全过程及其相关的各项经营活动必须遵守各类规章制度和操作规程，应做到时间上连续、检查面全覆盖的要求。第三道防线是对第一道、第二道防线执行情况的控制和监督，强调对业务操作职能及综合监督检查职能进行的再监督和再检查，这样才能积极发挥第三道防线的管理作用，持续优化提升内控体系。

（三）提高内控评价工作的独立性、扎实推进内控评价结果运用和整改机制

根据《商业银行内部控制指引》要求，董事会是内控体系建设的负责机构，负责监督高级管理层内部控制体系建设的充分性与有效性。商业银行内审部门履行内部控制的监督职能，负责对商业银行内部控制的充分性和有效性进行审计，及时报告审计发现的问题，并监督整改。一家企业内部控制评价的独立水平和重视程度可以体现其整体管理和风险控制的标准水平。商业银行可通过建立董事会垂直直属管理的方式，传导推动内部审计开展内控评价监督的价值，不断提升内部审计的重要性和独立性。

银行内审部门应全面掌握总分行及附属机构的内控总体情况，对内控设计和执行的有效性进行评价，形成包含全行各业务条线、分行、附属机构的全面内控评价报告，并上报董事会和监事会供审议决策。整体层面的内控评价包括围绕银行公司治理层面的独立性、制衡有效性，评价对人民银行、银保监会的重大决策部署、执行国家宏观调控和经济金融政策等方面责任落实、制度制定和贯彻执行的有效性。在具体经营层面内控评价包括对授权审批控制和不相容职务分离控制等开展监督评价，重点防范“一把手”越权操作、超授权交易等情况。通过评价不同业务条线的内控体系设计和运行有效性，重点检查重大风险监测、评估、预警和重大风险事件及时报告和应急处置等工作开展情况，以及银行合规建设、合规事件应对等情况。

对内控评价发现问题的重要性和发生领域加强数据化的归纳和分析，深入揭示问题背后的实际成因和风险隐患较大或频发的领域，及时揭示内控薄弱环节，推动内控缺陷整改，推进内控评价结果在经营管理过程中的运用，对分支机构可按照评价结果开展内控评级，将内控评价等级与授权管理、年度考核、评先评优等挂钩，促进内控评价结果的运用，促进各级机构重视内控管理工作，加强内控缺陷的整改和优化。

同时，内审应建立健全审计整改工作制度，完善整改落实工作规范和流程，强化内部审计机构监督检查职责，积极构建各司其职、各负其责的整改工作机制，促进整改落实工作有效落地。内审对内控评价的审计发现问题整改落实负有监督检查责任，被审计单位对问题整改落实负有主体责任，各单位主要负责人是整改第一责任人。相关业务职能部门对业务领域内相关问题负有推动和牵头组织整改落实的责任。

（四）建立内部控制管理系统，提升内控管理水平

随着国内外监管越来越严格，呈现高标准、严要求、重处罚的特点，这就要求商业银行要积极弥补自身管理短板，建立内控管理系统，升级内控管理手段，提升内控管理水平就势在必行。而传统的内部控制管理以手工操作为主、依赖人海战术和经验来处理新业务和新产品，以事后检查为主，已经不能适应新形势的变化。

在建设内控评价管理信息系统过程中，应建立前期准备、现场评价、复评管理、非现场评价、评价汇总、问题整改等流程管理和控制，实现重要环节的刚性控制，提高评价的准确性和公平性。另外，对于运营过程中的持续评价，则应通过风险关键指标的检测，以风险为导向，综合运用大数据分析以及数据挖掘、人工智能、区块链等技术，综合利用数据分析结果，利用指标检测、模型检测等方式，充分迁移风险发现关口，有效提升智能预警的时效性和精准性，做到由“规则为本”向“风险为本”转变，有效发挥内部控制管控与服务并重的作用。

内控管理系统的建设将会为商业带来一系列的好处。首先，规范内控管理的内容与流程。内控管理系统通过将监管规则跟踪与落实、制度管理、风险检测、风险报告等事前、事中、事后的职能进行模块化处理，固化各职能管理工作的职责分工和工作流程。其次，提高内控管理的效率和效果。内控管理系统能将日常运营过程中的碎片化信息进行有效的结构化处理和集成，实现内控管理统计数据和报表的实时、准确、自动生成，与人工手段相比，能够有效地提高内控管理效率，降低管理成本。第三，提供管理决策支持。通过内控管理系统的建立，可以很容易关注到风险事项的发生及其风险水平的变化，能够为高级管理层提供更多有效的风险管理决策依据，进而提升商业银行及其分支机构的管理水平。

五、结语

我国金融体系结构化改革以及金融市场竞争日益激烈的背景下，健全的内部控制评价体系不仅能够提高商业银行识别、分析业务风险、系统性金融风险的能力，还能够推动商业银行有效落实战略目标，实现可持续发展。基于风险管理导向的长效化内部控制评价体系贯彻于商业银行经营发展管理的全过程，不仅是传统内部审计的监督和评价，还是顺应当下国内外最新监管要求，在外部环境高度不确定的情况下，提高自身应对风险的敏捷性，加强与全面风险管理有效结合，重点关注商业银行经营发展中存在的突出问题，深入挖掘风险违规事件背后的制度缺失和管理漏洞，进一步发挥“治已病，防未病”作用。

当下，多数商业银行已经搭建了内部控制监督管理机制来辅佐风险管理制度的运作，但是目前商业银行还存在内部控制机制的风险监控属性不足、内部审计链条不完善以及内部控制评价机制不科学等问题。不健全的內部控制机制不仅会降低商业银行在大额资金管控、高风险业务处理、预算及成本控制以及资金流动性管理等方面的工作质量，还会使得商业银行经营发展的稳定程度受到较大影响，最终致使商业银行面临着较大的经营风险。因此商业银行亟需构建“战略+内控+评价”三位一体的内部控制管理体系，完善内部控制管理内容以及链条，加强战略控制、内部控制以及内控评价之间的联系，从而提高内部控制管理成效。商业银行还应该建立全面性和重要性均衡发展的内部控制评价机制，对各分支机构的内部控制执行成效进行综合评估，并逐步提高内控评价工作的独立性、扎实推进内控评价结果运用和整改机制。通过信息化手段将内控职能全面覆盖延展至各分支机构，支持不同监管、不同业务、不同机构单元的内控管理与风险防控，全面实现集团化商业银行内控工作一体化规范管理。