防范化解重大風險是十九大提出的三大攻堅戰之一。2019年1月習近平總書記在省部級主要領導干部專題研討班上講話，再次強調防范化解重大經濟金融風險的重要性。銀行加強內部控制是風險防控的有機組成部分，是銀行部門發揮主動性、積極性，服務于全國防范化解重大金融風險的重要手段。防范化解重大金融風險與中美貿易談判、“一帶一路”倡議推進情況等國際政治經濟形勢和穩增長惠民生、供給側結構性改革、培育和發展新的產業集群等國內經濟政策形勢密切相關，各銀行的內部控制要服務于總體經營策略，最終保證在中央的指揮下一門心思一盤棋，促進全國總體經濟目標的實現，而不是教條地僵化地割裂地開展風險防范化解工作。

銀行內部控制的演化及涵義

西方銀行內部控制理論和實踐主要經歷了五個階段：一是20世紀40年代之前的內部牽制理論，其核心是崗位分離、互相牽制。二是20世紀40-70年代的內部控制制度理論，1949年美國注冊會計師協會（AICPA）首次提出內部控制的權威定義和內部控制的四個目標，并將內部控制劃分為內部會計控制和內部管理控制。三是20世紀80年代的內部控制結構理論，1988年美國注冊會計師協會首先以“內部控制結構”代替“內部控制制度”，明確內部控制結構包括控制環境、會計系統和控制程序三個組成部分。四是90年代以后的內部控制整體框架理論，1992年美國反虛假財務報告委員會下屬的主辦（或發起）組織委員會（Committee of Sponsoring Organizations，COSO）發布了具有里程碑式意義的《內部控制——整體框架》報告(簡稱COSO 報告)，COSO報告認為“內部控制是由企業董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的真實性、相關法令的遵循性等目標達成而提供合理保證的過程”。該理論最具創造性的內容是認為內部控制是一個自律、自檢并可以自我調節的生態系統，包括相互關聯的五大要素，即控制環境、風險識別和評估、控制活動、信息交流和反饋、監督評價與糾正。五是全面風險管理總體框架理論，1998年巴塞爾銀行監管委員會發布了《銀行組織內部控制系統的框架》報告，是第一個針對銀行內部控制的基本框架標準，提出了銀行內部控制應該遵守的五個方面十三項基本原則。2002年，鑒于安然造假事件，美國發布了《薩班斯·奧克斯利法案》，從法律上強制企業開展內部控制。2004年，COSO發布了《全面風險管理總體框架》（簡稱ERM框架），確定內部控制的四個目標為戰略目標、經營目標、報告目標和合法目標，將內部控制的要素擴展為八個，即內部環境、目標設定、事件識別、風險評估、風險應對、控制活動、信息與溝通和監控。2013年，COSO發布了最新修訂的《2013年內部控制——整體框架》及其配套指南。

國內銀行業的內部控制在多數方面借鑒了COSO-ERM體系。人民銀行在1997年出臺《加強金融機構內部控制的指導原則》，2002年頒布《股份制商業銀行內部控制指引》。2004年，銀監會頒布《商業銀行內部控制評價試行辦法》，2007年頒布《商業銀行內部控制指引》，后在2014年發布了最新修訂版。同時，銀行還要遵守財政部、審計署、證監會、銀監會、保監會五部委于2008年聯合發布的《企業內部控制基本規范》和2010年頒布的《企業內部控制配套指引》等。

我國銀行內部控制存在的主要問題

20世紀80年代以來，隨著我國金融對外開放步伐的加快，銀行業越來越感受到國際金融界一系列“黑天鵝”和“灰犀牛”事件的嚴重性，以資產負債比例管理為起點，逐步加強了內部控制和風險管理。1997年亞洲金融危機以后，我國銀行業的內部控制全面提速，從政策研究、制度建設、貫徹執行、稽核監督等各個方面基本形成了比較規范化、現代化的銀行內部控制體系。雖然我國銀行監管部門和從業單位做了大量工作，但是黨的十八大以來查處的“大”如賴小民、項俊波、楊家才等嚴重腐敗案件，“小”到銀保監會每年開出的偽造金融票證、虛構理財產品、違規對外擔保、違反反洗錢規定、報送監管數據不實等大量處罰決定，表明我國銀行的內部控制水平還有很大的提升空間。有關學者、專家對我國銀行內部控制存在的問題分析較多，筆者認為主要是以下五個方面：

對內部控制的認識水平較低導致內部控制體系缺失重要的內生變量

經過多年的努力，商業銀行各層級對內部控制重要性的認識都有一定提高，但是對于內部控制的涵義和要素卻存在認識上的模糊。有學者通過發放問卷調查商業銀行高管和員工對內部控制情況的態度和執行質量的看法，發現他們對內部控制了解較少，重業績輕內控的情況普遍存在。我國銀行在內部控制上有“上熱中暖下冷”的問題，主要體現在對風險防控、內部控制和合規管理三者之間關系的理解上。總體而言，管理層能夠正確認識三者之間的關系，但是不一定善于找到風險點，表現為“后知后覺”；中層以風險防控為核心，內部控制和合規管理被不自覺地淡化了，表現為“急功近利”；基層將合規作為首要任務，認為按章辦事就是內部控制和風險防控，但是限于認識水平，基層員工即使找到風險點，也有可能不重視、不理會、不匯報，表現為“麻木不仁”。

風險防控是銀行的核心管理要求，其目標是通過風險識別和定價，在既定的資本金水平、風險偏好和風險承擔能力下實現企業價值的最大化。內部控制是要求銀行的各項業務活動和操作遵循風險防控的原則和限制。對于內部控制來說，合規是其多重目標之一，而對于風險防控來說，合規是方法和手段之一（三者之間的關系見圖1）。顯而易見，風險防控、內部控制和合規管理三者的涵義不同，不能互相替代。比如：某銀行的貸款投向比較集中于特定領域，如果滿足監管部門和行內的要求就做到了合規；如果在風險邊界判斷和決策程序上滿足該行的風險偏好就做到了內控有效；如果戰略決策正確并得到市場的檢驗就實現了風險防控。也就是說，合規管理越顯性化就越符合內部控制和風險防控的要求，但是由于各項規章、制度、規劃之間存在兼容性和可執行性矛盾，在實踐中很難做到“以簡馭繁”。

銀行內控體系設計和執行人員的認知水平是內控有效性的內生變量，決定著內部控制系統是否能夠真正有效地發揮作用。

監管體系兼容不足導致對內部控制的評判標準不統一。國內銀行作為特殊的企業，要同時執行兩套內部控制標準：巴塞爾協議（Basel）體系和COSO-ERM體系。第一，銀保監會依據巴塞爾協議框架制定監管規則對銀行進行監管。BaselⅠ以銀行資本充足率為風險管理的核心，BaselⅡ以最低資本要求、監督檢查和市場紀律三大支柱為新的監管框架，BaselⅢ更加關注銀行資本質量以及抗周期性風險的能力；第二，已經上市的銀行以及未上市但是作為大中型企業的銀行，都要遵循2008年財政部等五部委印發的《企業內部控制基本規范》和2010年印發的《企業內部控制配套指引》，它們是參照COSO-ERM體系設計建立的，被稱為中國的“薩班斯法案”；第三，商業銀行要執行銀監會2014年印發的《商業銀行內部控制指引（修訂）》；第四，銀行中的央企要執行國資委2006年發布的《中央企業全面風險管理指引》和2018年發布的《中央企業合規管理指引（試行）》；第五，非上市中小銀行聘請中介機構開展內部控制評估時，中介機構以COSO-ERM體系為行業標準。Basel體系和COSO-ERM體系雖然出發點一樣，但是它們對風險防控和內部控制在界定、結構、要點上有顯著差異。監管體系之間如何協調是監管單位、銀行管理層和治理層必須面對的現實問題。

簡單目標管理的錯誤導向導致內部控制被邊緣化。目標管理原本是通過目標分級，鼓勵員工自主參與目標的制定、實施、檢查和評價，實現工作成果。在我國金融業多年高增長的環境下，銀行的目標管理往往異化為簡單強調業績目標而忽視風險防控目標。首先，激烈的市場競爭使管理層屈服于股東回報壓力和平輩競爭壓力，銀行家成為“宇宙的主人，市場的奴隸”，對風險的應對不以其事實概率為依據，而是看同業的情況，互相之間不是“比誰干得好”，而比“誰挺到最后”。其次，過度強調考核與獎懲，特別是短期利益與業績考核掛鉤容易造成經辦人員漠視風險甚至故意違規；再者，銀行實施的內部控制在目標管理導向下，如果過度重視目標分解和控制結果的考核與獎懲，有可能導致內部控制人員縱容甚至參與舞弊；最后，對于政策性銀行，由于承擔非盈利性的政策性業務，有的目標無法通過經濟指標評價，也會加大內控難度。

以內容控制為主的內控建設導致缺乏對長期內控目標的追求。我國銀行的內部控制大多實行目標管理，將內部控制的內容分解為多層目標，具體由有關職能部門和人員承擔，將內控結果是否符合預期目標作為內控的核心。事實上，內部控制是一個由決策、建設與管理、執行與操作、監督與評價、持續改進五個環節組成的有機系統。COSO-ERM內控體系的精髓是把建設內控環境、規范內控過程作為內控的核心，注重程序、預警、處置等，最終有利于長期目標的實現。比如：銀行能夠嚴格執行以房地產作為有效貸款抵押的內控規定，但是不一定有能力對房地產市場系統性風險進行預警和處置。

內部控制評價不到位導致內控缺陷認定不準確不及時。商業銀行普遍存在內部控制系統的測試和評價不完備的情況，對結果控制的重視程度超過過程控制。安然事件的研究表明，內控缺陷是銀行發生重大風險和損失的主要原因之一，及時準確識別內控缺陷能夠為銀行內控建設提供依據。然而，我國銀行內控缺陷認定工作中普遍存在查找內控缺陷的范圍不統一、缺陷認定標準體系不完善和內控缺陷認定明顯不充分等問題。

提升銀行內部控制水平的建議

以提高全員認識水平為導向，加強內控軟環境建設。內控環境在內部控制八大要素中發揮著最基礎的作用，包括以制度建設為代表的硬環境和以合規文化建設為代表的軟環境兩個方面。經過多年的發展，國內銀行在內控制度方面的建設已經卓有成效，但是制度完善并沒有在內控效果上得到明顯體現，其癥結即在于軟環境建設不到位。內部控制本身的局限性主要是內部人的道德風險和業務能力，特別是前者。首先，應該對內控成果和案件加大獎勵和懲處力度并在最大范圍內公示，運用行為經濟學把內部人的非理性預期顯性化，運用委托代理理論將交易成本內部化，從而減少道德風險和逆向選擇。其次，對于銀行中高層管理人員（多數是中共黨員），提升思想認識是關鍵。應該鼓勵他們參加理論界系統地研究整理中國改革開放以來持續增長的社會經濟理論框架和路徑模式，在國際理論界爭取話語權，對運用體制機制克服市場經濟的一些固有缺陷更加充滿自信。同時，以專題學習、政治巡視等手段解決思想問題，以內外部審計解決業務問題，利用我國特有的組織優勢將“經濟人”和“社會人”相統一，將黨的領導貫穿于銀行公司治理全過程。中高層管理人員對內部控制認識水平的提高將逐步傳遞到基層，最終體現在科學的風險文化和目標、業績管理上。最后，對于銀行基層員工，要努力建設誠信機制與道德價值觀，培養內控業務能力，明確責任和授權等，比如可以就內部控制進行專門培訓，并頒發合格證書，也可以專門設置內控經理崗位等。

針對機構特點和歷史發展路徑，對不同的銀行分類施策。我國的各類銀行在機構設置、經營管理上各有特點，歷史沿革、業務發展和內控建設的階段水平不一，不可能對所有銀行開出同一個藥方，應該因地制宜、分類施策。對于三家政策性銀行，其內控建設與當前防范化解重大金融風險的要求結合最緊密，其內部控制在服務于風險防控的同時，更要服務于國家的宏觀政策意圖。因此對內控建設的要求必須既有經濟性又有政治性考量，將微觀經濟主體的訴求和宏觀經濟穩定與發展的目標結合起來，從目標設定到控制活動在監管框架下要有適度的彈性和冗余度，不能簡單地以市場化標準來衡量。對于國有商業銀行和股份制銀行，其內控建設的市場化水平較高。當前一是應該重點提升風險評估和風險應對水平，特別是加強對各類風險的連續性測評和反應；二是整合內控機制，克服內控制度和機構的分散化問題；三是強化內部控制自我評價，通過自評促進微觀流程再造。對于地方銀行、農信社和村鎮銀行等小型金融機構，鑒于網點較少、業務較單一、員工業務素質和能力參差不齊，一是應該大力加強法人治理結構建設，特別要真正發揮董事會的作用，體現主體責任；二是內控建設加強規劃引領，明確戰略定位，開展組織架構重構和流程優化；三是加強監督檢查，重點通過及時、持續、聚焦常規經營管理活動的內部監督強化控制能力；四是提升內控的科技化水平，比如將合規管理的要求更多地內化在業務系統中，減少人為因素和操作風險。

抓住關鍵要素，提升內部控制的效率和效果。銀行需要根據自身特點建設與自身相匹配的內部控制體系，并確保內部控制體系運轉的高效。運營流程（制度執行）和人員流程（員工素質）甚至比制度設計在提升內部控制效果方面更加顯著。第一，當前以防范化解重大金融風險為導向加強銀行內部控制，應該重點強化反向制衡機制，即決策主體互相監督和制約。2019年初，作為國家監察體制改革的一部分，中央紀委、國家監委向15家中管金融企業派駐了紀檢監察組，下一步各銀行可以參考派駐紀檢監察組的意見，在下轄機構中進一步完善中高層管理人員的相互制衡機制。第二，銀行應該加強風險數據庫的建設，為風險識別與評估模型的應用創造條件。根據西方商業銀行的經驗，運用風險量化模型是對非系統性風險進行識別和評估的有效手段。第三，建設高效的信息傳導與溝通機制。信源(內控管理部門制訂的管理辦法、實施細則、操作規程和指引、日常通知、風險提示等)要采取質量保證措施，篩選過濾無效甚至產生誤導的信息；信宿（接受內控指令的操作人員）要與控制部門雙向溝通，充分理解信息的內涵和要求；信息傳導可以采用公文、會議、培訓等多種渠道，既面對企業內部，更要加強與政府、監管部門和客戶等外部單位的信息溝通。第四，真正加強內控審計成果的運用，對發現的問題必須整改到位并有復核機制。風險響應應該分級，即嚴重程度不同、發生頻度不同的問題觸發的警鈴聲大小不同，讓不同層級的員工聽見并引起重視。此外，如果發現的問題屬于合規性要求，則主要通過修改業務系統進行過程控制整改；如果發現的問題屬于指導性要求，則通過修訂監控指標進行事后跟蹤或者有條件則采用事前的大數據監控。

以自建自查自糾為導向，加強內部控制評價。首先，內控評價要著力于找出實質性漏洞（material weakness），即由于缺乏內控或者內控措施不當導致偏離內控目標的問題。從審計角度，美國公眾公司會計監督委員會（PCAOB）認為，假如存在某一個或若干個缺陷，而這些缺陷有可能致使公司的年度或中期財務報告出現重大錯報，從而不能被有效地預防或及時地察覺到，那么該缺陷就構成實質性漏洞。筆者認為，對當前國內銀行業，內控缺陷認定時要高度關注“幸存者偏差”的問題，即被發現的缺陷引起了重視，但是實際并沒有造成重大損失；反而是平時視而不見或者被特定地方文化、機構文化掩蓋的程序瑕疵有著巨大的風險隱患，一旦發生就是重特大案件。按照博弈論，內控問題的反復發生構成不完全信息動態博弈，上述特定文化、習慣、思維方式等非正式制度安排（informal institution）對博弈結果精煉貝葉斯均衡有著至關重要的影響。因此，對這些缺陷的整改必須同時找到顯性制度問題和潛藏的非正式制度問題。其次，各銀行要研究施行適合本單位情況的內部控制評價體系辦法。目前，大銀行多從管理角度采用評估指標打分法，其優點是條線結構簡單易懂，易于員工理解和執行，而且突出了合規要求符合監管部門的導向，缺點是可能會遺漏一些缺陷；中介機構多從審計角度采用控制活動交叉檢查法，其優點是容易發現控制活動的沖突和缺陷，缺點是矩陣結構比較復雜，對評價人員要求較高。各銀行應該把內控評價作為年度工作重點，根據自身的具體情況，由簡入繁，通過逐步優化評價指標、嘗試模糊矩陣法、運用大數據開展內部審計等措施提升內控評價水平。

以開放推動自律，規范內部控制信息披露。內部控制的信息披露制度是監管部門對上市銀行開展監管的重要手段；有利于銀行管理層明確界定受托責任的范圍，支持內控環境建設；向社會傳遞企業價值理念、經營穩定和發展的信息、重大風險隱患及其應對措施等，有利于引導合作方、投資者和社會公眾形成穩定預期。這些對于當前防范化解重大金融風險有著重要的實踐意義。賀婧(2017)針對我國16家上市商業銀行2011-2016年披露的數據研究表明，銀行內部控制信息披露載體更加統一，形式趨于一致。但是信息披露內容詳略程度差異較大，格式化現象明顯且多為積極向上的概括性敘述，缺少內控缺陷的披露，有流于形式的傾向。因此，一是監管部門應該進一步明確內控信息披露的要素，特別是對內控缺陷和實質性漏洞披露的標準、要求和方式；二是信息披露應該包含對上一期披露問題的整改情況，以及問責處理情況；三是對于違反信息披露規定的銀行，應該加大懲罰力度；四是對于非上市銀行，可以在一定范圍內進行內控信息披露。

（本文僅代表作者本人觀點，與所在機構無關）

作者系國家開發銀行內蒙古自治區分行黨委委員、紀委書記