內部控制監(jiān)管的趨勢

國內外金融監(jiān)管機構都已經關注到，建立有效內部控制與風險管理體系對現代銀行機構的重要性，發(fā)布了一系列針對加強銀行機構內部控制與風險管理體系的監(jiān)管制度。

在國內，2008年6月28日，財政部聯合證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部委共同發(fā)布了《企業(yè)內部控制基本規(guī)范》。該規(guī)范確立了中國企業(yè)建立和實施內部控制的標準框架�；�本規(guī)范描述的標準框架，將內部控制五要素分別確定為內部環(huán)境、風險評估、控制活動、信息與溝通和內部監(jiān)督。與基本規(guī)范相配套的企業(yè)內部控制應用指引、企業(yè)內部控制評價指引和企業(yè)內部控制審計指引等目前正在公開征求意見，將于近期正式發(fā)布，并與基本規(guī)范一并形成完整的中國版內部控制標準體系。

為保證《基本規(guī)范》對銀行業(yè)的適用性，銀監(jiān)會將配合基本規(guī)范頒布銀行業(yè)內部控制應用指引。該應用指引對銀行應關注的風險進行了進一步闡明，明確銀行業(yè)建立內部控制體系的治理架構、職責分工等，并對信貸業(yè)務、資金業(yè)務、存款和柜臺業(yè)務、中間業(yè)務從業(yè)務層面應用的角度分章節(jié)進行了進一步闡述。

德勤研究表明，自從美國薩班斯法案實施以來，銀行機構已經投入大量資金和精力在風險與內部控制方面合規(guī)工作中。有統計表明，全球金融機構已經累計投入超過1.2萬億美金在內部控制合規(guī)工作上，并且這項投入一直處于遞增趨勢，并將在2010年達到頂峰。當然，在投入大量金錢和精力后，銀行機構的投資者們也看到了這些投資的回報，包括股東信心增加，信用評級提高，資本成本下降，風險管理能力增強等。直至今日，銀行機構仍在探尋風險與收益的理想平衡點。

內控與“協議”管理結合

建設內部控制體系必須以風險為導向，而在銀行業(yè)，風險管理必須提到《新巴塞爾資本協定》。國內監(jiān)管機構正在積極推進中國銀行機構的《新巴塞爾協議》合規(guī)工作。2009年2月，銀監(jiān)會選定包括國家開發(fā)銀行在內的7家銀行機構作為2010年首批滿足合規(guī)的銀行，這些銀行必須在2010年開始符合《新巴塞爾協議》的要求。

從內容看，《新巴塞爾協議》側重的是銀行機構的風險管理和監(jiān)管當局的監(jiān)督。實際《新巴塞爾協議》在更深層次上，是一份銀行機構內部控制的規(guī)范文件。新巴塞爾協議的實施與銀行內部控制體系的建設具有密不可分的關系：

首先，銀行機構內部控制的核心就是風險控制。銀行機構在經營中面臨的主要風險有信用風險、市場風險和操作風險等，《新巴塞爾協議》提供了一種以計算經濟資本充足率實現對銀行主要風險定量管控的手段，是銀行內部控制體系的重要環(huán)節(jié)。

其次，《新巴塞爾協議》的制定，吸收了2003年7月美國COSO公布的《風險管理整體框架》（草案）的理念，即考慮了COSO《風險管理整體框架》（草案）提出的八個因素：內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。在實施《新巴塞爾協議》的同時，必須考慮控制環(huán)境、政策與制度、職責分工、監(jiān)督等配套的常規(guī)內部控制管理手段，才能形成銀行機構完善的內部控制體系。

內控體系建設需要滿足相關法規(guī)要求

銀行建設內部控制體系時，面臨著諸多的內控法規(guī)及監(jiān)管要求，銀行在執(zhí)行上述眾多部門發(fā)布的有關內部控制法規(guī)的過程中，可能會存在如下挑戰(zhàn)：首先，內控法規(guī)政出多門，各部門對內控的規(guī)范不可避免地存在各自獨特的考量，銀行要滿足所有法規(guī)的要求，需要對這些法規(guī)有深刻的了解。其次，上述法規(guī)之間可能存在一些重疊、矛盾的規(guī)定，銀行需要根據具體情況綜合考慮并進行適當的處理。

因此，在體系設計的初期就需要根據各銀行具體情況，明確涉及的所有的內控法規(guī)及監(jiān)管要求，并綜合考慮對各項內部控制規(guī)定如何統籌并與銀行自身現狀進行結合的問題。

強化制度的執(zhí)行力

制度的實行力是內部控制體系建設的關鍵環(huán)節(jié)。作為金融行業(yè)較其他行業(yè)而言，政府的監(jiān)管相對更嚴格，企業(yè)自身的制度相對也較全面，但是制度再多、再完善，執(zhí)行者不去執(zhí)行或執(zhí)行不到位，再好的制度也發(fā)揮不了作用。因此，制度建設是業(yè)務穩(wěn)健發(fā)展的前提和保障，而制度執(zhí)行力才是最關鍵。

銀行強化制度的執(zhí)行力可以關注以下幾個方面：

首先，建立明確的崗位責任體系，形成嚴格的單位和崗位履責考評制度，對各項工作任務落實到具體的責任單位和責任崗位，將單位和崗位完成任務情況與績效掛鉤，對各項工作實行限時完成，對交辦的事項，必須在要求的期限或承諾的期限內完成。并從榮譽、薪酬、職務、股權等方面構建全方位的激勵約束機制，促進各崗位人員嚴格履責。同時要強化履責情況的監(jiān)督檢查，通過工作績效評定、述職評議、檢查審計監(jiān)督等形式，促進各崗位干部員工認真落實崗位職責。

其次，制定嚴密的責任追究機制。責任追究是實施責任約束最具威懾力的環(huán)節(jié)，是保障責任約束切實發(fā)揮效果的措施保證。銀行機構必須建立起覆蓋各崗位的責任追究制度，對各種不履責行為，按有關規(guī)定及時給予相應的處理或處罰。

再次，培育良好的內控文化，加強對員工的職業(yè)道德培訓。銀行機構可以通過思想觀念來控制和約束員工的意識和行為，這就是內控文化的作用。應采取多種渠道，對員工開展廣泛的培訓和教育，培養(yǎng)員工誠信和道德，從源頭上控制、減少潛在風險的發(fā)生�？梢哉f，員工素質的提高對于加強執(zhí)行力和風險壓降具有積極的意義，尤其對于金融業(yè)顯得尤為重要。

充分重視和利用IT手段

銀行業(yè)金融機構的一個典型特點是IT的應用水平高，對其依賴性也很強，因此，IT在內控的建設成為一個關鍵因素。領先銀行的實踐和德勤全球經驗表明，要有充分發(fā)揮IT的作用，應當考慮的內容非常很多。

下面舉例說明：

首先，建立個性化的、與銀行整體戰(zhàn)略匹配的IT內控機制。每家銀行均具有與其他不同的業(yè)務戰(zhàn)略和特色，信息化的戰(zhàn)略和實施思路也不同，故而在建設IT內控時應了解自身的真實需求，設計一套適合自身發(fā)展現狀的IT內控發(fā)展目標和路線。同時，由于國內銀行業(yè)正處于一個高速發(fā)展的時期，銀行的內控體系還需要具備良好的適應性，以確保在銀行業(yè)務快速發(fā)展的同時，相關的內控工作仍然有效。

其次，充分利用信息系統，優(yōu)化內部控制體系。銀行的交易的一個重要特點是實時性強（如柜臺交易、資金交易）。在這種情況下傳統手工控制已經不能完全適用新環(huán)境下的需求，因此，銀行應開發(fā)與其IT應用水平相關的內控機制，以滿足業(yè)務發(fā)展和風險管理的雙重要求。

這種通過系統化的控制手段的應用，不僅提高了控制的效果，而且還極大地提高了工作效率，而這在手工方式下，是不可能實現的。同時，這些控制是系統自動實現的，最大限度地減小或避免了人為的干預或干擾，從而控制的準確性有很大提升，人員舞弊的機會也相應地降低。

再次，建立健全數據質量保證機制，提供持續(xù)不斷的高質量數據。銀行最核心的IT資產是其海量數據（如客戶信息、交易數據等）。這些數據是銀行業(yè)務的核心資產，其重要性不僅體現在業(yè)務運作、管理和決策支持等方面，更是銀行實現BASEL II合規(guī)要求的關鍵要素（例如模型的開發(fā)和驗證）。

為確保銀行的數據質量，維護數據安全，德勤建議從數據管理的生命周期入手（如圖）：

該方法從銀行的全局出發(fā)，將各類風險與數據進行有機聯系，明確數據在生命周期各個階段相應角色的職責，分析出發(fā)生問題的真正根源，然后有針對性地采取校正方案，從而以合理的投入，獲得高質量的產出數據，并為銀行提供持續(xù)數據優(yōu)化的能力等長期收益。

建立獨立的內部監(jiān)督體系

銀行機構內部控制運行的狀況如何、運行質量怎樣，需要進行稽核和不斷修正，內部稽查是內部控制的最后一道防線，是控制的關鍵。

為了提高內部監(jiān)管效率，應采取以下措施：

首先，應建立獨立的、具有監(jiān)督權威的內部稽核部門。銀行機構的內部審計應當具有充分的獨立性，實行全行系統垂直管理。

其次，銀行應當建立有效的內部控制報告和糾正機制，業(yè)務部門、內部審計部門和其他人員發(fā)現的內部控制的問題，均應當有暢通的報告渠道和有效的糾正措施。例如，總行內部稽核部門下可設置審計舉報辦公室（各分支機構也相應設立審計舉報辦公室），公布舉報熱線，接受社會各界的監(jiān)督和投訴，并對投訴事項進行記錄和調查，從而可能在較早階段（如貸款尚未發(fā)放階段）發(fā)現并阻止未嚴格執(zhí)行內部控制制度的行為或者舞弊行為；某些銀行機構每年與業(yè)務部門關鍵崗位的員工簽訂服務承諾，并對其崗位可能存在的高風險操作領域提出警示，對可能出現的違規(guī)行為尤其是舞弊行為進行極早防范和提示；某些銀行機構要求業(yè)務部門關鍵崗位的員工定期填寫個人狀況調查表，以對可能出現的舞弊行為跡象早發(fā)現、早預防。

最后，要不斷提高稽核人員業(yè)務素質，既要加強審計技能的培訓和法律知識的更新，加強計算機相關知識的培訓，更要精通國際及國內審計準則、會計準則、信息系統審計標準及其他相關知識。選拔具有豐富工作經驗和綜合分析能力的人員從事稽核工作，并采取經常性培訓制度，更新知識結構，使稽核人員能適應新形勢，確保內控制度的全面執(zhí)行。