文/俞 勇

　　“雷布斯”說了一句話：站在風口，豬都會飛。“風口”一詞就這樣流行起來，各種關于風口的概念亦隨處可見。對中小商業銀行而言，上市肯定是一個好的“風口”，不過，站在這個風口前，一定要關注一個關鍵環節，那就是建立好內控體系以滿足監管和交易所的要求，以免讓風口變成風急浪高或驟風急雨的場所。

　　商業銀行在遵循依法、合規、穩健經營的指導思想，在努力發展各項業務的同時，要十分注重內部控制體系的建立和健全。當前，在強資本約束下，盡管上市長路漫漫，中小商業銀行的熱情依然高漲。尤其在混合所有制改革之下，為應對市場化競爭，銀行還可能分拆資產上市，如理財、信用卡、私人銀行等業務較為市場化，作為銀行一個部門運作，將會做銀行資產的分拆(成立獨立公司)乃至最終上市。

　　實踐中，所有計劃上市的商業銀行都要依照《中華人民共和國公司法》、《中華人民共和國商業銀行法》等法律法規，以及中國銀行業監督管理委員會和上海、香港兩地證券交易所的要求，參照《新巴塞爾協議》的有關標準，制定內部控制的目標和原則，建立內部控制體系，有效對銀行各項經營管理活動進行全方位覆蓋、全過程控制。

　　商業銀行內部控制目標

　　商業銀行內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。具體包括：

　　● 確保國家法律、法規和銀行內部規章制度的貫徹執行；

　　● 確保銀行發展戰略和經營目標的全面實施和充分實現；

　　● 確保銀行風險管理體系的有效性；

　　● 確保銀行業務記錄、財務信息和其他管理信息的及時、真實和完整。

　　商業銀行內部控制原則

　　商業銀行的內部控制貫徹全面、審慎、有效、獨立、重要、制衡、適應、成本效益原則，具體包括：

　　● 全面性原則。銀行內部控制應當貫穿決策、執行和監督全過程，滲透銀行及其所屬單位的各項業務過程和各個操作環節，覆蓋所有的部門和崗位，并由全體人員參與，任何決策或操作均應當有案可查。

　　● 審慎性原則。銀行內部控制應當以防范風險、審慎經營為出發點，銀行的經營管理，尤其是設立新的機構或開辦新的業務，均應當體現“內控優先”的要求。

　　● 有效性原則。銀行內部控制應當具有高度的權威性，銀行任何人不得擁有不受內部控制約束的權力，內部控制存在的問題應當能夠得到及時反饋和糾正。

　　● 獨立性原則。銀行內部控制的監督、評價部門應當獨立于內部控制的建設、執行部門，并有直接向董事會、監事會和高級管理層報告的渠道。

　　● 重要性原則。銀行內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域。

　　● 制衡性原則。銀行內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。

　　● 適應性原則。銀行內部控制應當與經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。

　　● 成本效益原則。銀行內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。

　　商業銀行內部控制基本要素

　　內部控制環境

　　● 內部控制政策。商業銀行應依據財政部等五部委《企業內部控制基本規范》、銀監會《商業銀行內部控制指引》和上海證券交易所[微博]《上海證券交易所[微博]上市公司內部控制指引》等法律法規，制定本行內部控制基本規定，建立了由內部控制基本規定、各類內部控制辦法和各分行區域內部控制制度組成的內部控制制度體系，各項制度的制定和業務管理均體現內控優先原則。

　　● 公司治理結構。商業銀行應根據《中華人民共和國公司法》、《中華人民共和國商業銀行法》等法律法規的規定，建立較為完善的以股東大會、董事會、監事會、高管層相互分離、相互制衡的公司治理結構，并制定公司章程、三會議事規則、專門委員會實施細則、信息披露制度、投資者關系管理制度、關聯交易管理辦法、重大事項向董事會備案制度等相關規章制度。

　　商業銀行的控股股東或實際控制人不應越權干預銀行的公司治理和日常經營。股東大會是商業銀行最高的權力機構，下設董事會和監事會，所有股東通過股東大會行使股東權利。商業銀行實行董事會領導下的行長負責制，董事會對股東大會負責，負責組織制定銀行的內部控制政策，審議和批準重要的內部控制制度、程序和方法，評估內部控制體系的有效性并監督高級管理層改進和完善內部控制體系。監事會監督董事會、高級管理層完善內部控制體系，監督董事會及董事、高級管理層及高級管理人員履行內部控制職責。管理層負責建立和完善內部組織機構，保證內部控制的各項職責得到履行，建立識別、計量、監測并控制風險的程序和措施，監測和評估內部控制體系的充分性與有效性，糾正并報告存在的問題。

　　● 企業文化。商業銀行董事會和高管層應通過其言行來強調內部控制的重要性，秉持業務發展，內控先行的原則。同時，經過長期積累和不斷發展，在銀行形成了良好的企業文化，包括經營理念、合規理念、人本理念等。同時，銀行應積極參與賑災扶貧等社會公益活動，自覺履行企業公民的責任和義務，教育員工主動回饋社會、服務社會，得到社會各界的好評，樹立良好的企業形象。

　　● 組織架構。商業銀行應建立符合自身特點的組織結構；明確了內部控制和相關職能部門的責任、權限和信息報告路線；專門設立了履行內部控制和風險管理職能的部門，能夠對銀行的各級部門和各項業務實施有效的管理控制。

　　● 人力資源。商業銀行應制定規范的員工招聘、調配、教育和培訓、考核、崗位輪換等流程，建立各業務部門、各崗位之間相互銜接配合、相互監督制衡的關系；同時，銀行應注重把員工的自我發展、價值實現與企業發展結合起來，重視對員工職業道德和專業勝任能力等方面素質的培養和選拔，建立了卓有成效的激勵機制、培訓機制以及福利機制，為員工實現自我價值提供了廣闊的發展空間。

　　風險管理

　　商業銀行應建立涵蓋各項業務、全行范圍的風險管理體系，開發和運用風險評估的方法和工具，對信用風險、市場風險、流動性風險、操作風險、合規風險等各類風險進行識別、計量、監控和緩釋。

　　在信用風險方面，商業銀行應根據信貸管理水平、借款人信用等級、授信擔保條件三個維度制定完整的信貸審批授權體系，并制定切實可行的授權標準、授權方法和權限調整規定。商業銀行應遵循審貸分離的原則，嚴格執行貸前調查、貸時審查、貸后檢查“三查”流程，根據信貸業務各風險控制環節，制定相互制約的工作崗位及職責。同時，每年制定信貸政策指引和區域信貸政策，利用客戶準入、分行業審貸、信貸資產分類、信貸客戶信用評級、集團客戶統一授信、風險信息提示共享以及適時的風險退出等管理手段，并應用信貸信息管理系統，保持了良好的資產質量。

　　在市場風險和流動性風險方面，商業銀行應設立資產負債管理委員會，負責制定全行市場風險和流動性風險的管理政策，審議全行涉及市場風險和流動性風險的重大事項，并由總行計劃財務部具體履行管理全行市場風險和流動性風險的職能。商業銀行還應在日常業務的管理操作中建立了嚴格的授權授信和崗位分離制度，設計一套完整的市場風險計量報表，涉及各項風險監測指標、業務結構特點、情境模擬等內容，開發計量程序、改進估值技術、深入定量研究，建立估值模型，加強對市場風險程度的定性和定量預測分析；通過內部資金轉移定價體系對流動性實行統一管理，對每日資金頭寸、每月流動性比率、流動性缺口比率等進行密切監控，采用壓力測試評判銀行是否能應對極端情況下的流動性需求。此外，商業銀行還應制定流動性風險預警系統和流動性應急計劃，以備流動性危機的發生。

　　在操作風險方面，商業銀行應制定相關操作風險的識別、計量、監測和管理的制度；同時，還應通過強化內部控制、完善制度體系、進行操作風險和案件排查、提升員工風險防范意識和能力、實施嚴格的問責制和實施新資本協議操作風險管理項目等措施，來管理和降低操作風險。

　　在合規風險方面，商業銀行應建立完善的合規風險管理框架，制定了商業銀行合規政策、合規工作管理規定等合規規章和制度，健全了合規管理組織架構，明確董事會、監事會、高級管理層、合規管理委員會、合規部門以及業務部門的合規職責，建立合規風險識別、提示、糾正和報告制度、程序，完善了合規風險管理體系。

　　在反洗錢管理方面，商業銀行應根據《反洗錢法》和中國人民銀行[微博]頒布的相關法規，編制本行反洗錢規定，建立反洗錢工作組織架構和專業的反洗錢工作管理隊伍，建立和完善客戶盡職調查制度和內部操作流程，開發大額交易和可疑交易監測分析報送系統、反洗錢名單數據庫及過濾系統等，加強反洗錢管理和可疑交易的監測分析工作。

　　在計算機信息系統控制方面，商業銀行應建立明確的信息技術組織架構并頒布了信息技術管理制度，建立信息安全管理機構以加強信息安全管理工作，建立信息系統的開發和變更管理流程。信息系統構建完善的運行和操作管理體系，制定計算機信息系統的持續運作管理機制，建立災備中心。

　　內部控制措施

　　商業銀行應依照內部控制體系建設的總體目標和原則，以防范風險和審慎經營為宗旨，在授信業務管理、資金業務管理、存款和柜臺業務管理、中間業務管理、財務管理、會計管理、信息系統管理、人力資源管理、合規風險與反洗錢管理、內部審計和監察保衛以及授權管理等方面，建立比較系統、完整的規章制度和控制措施，并且隨著客觀實際的變化和管理要求的提高，持續地進行修訂、完善和補充。商業銀行的內控制度應基本覆蓋全行各項業務管理過程和操作環節，各項內部控制措施在強化管理監督、規范業務行為、有效防范和化解風險、保護資產安全等方面體現出較好的完整性、合理性和有效性，促進銀行內部組織機構正常高效運作，保證各項業務依法、合規、穩健經營。

　　信息交流與反饋

　　● 信息技術系統。商業銀行應建立全行統一的業務操作系統，實現全行數據的大集中，搭建數據倉庫系統，收集整合包含負債、資產、中間業務等主要業務領域的各級機構業務數據，并以數據倉庫為核心，集成管理信息平臺、管理會計、客戶關系管理、營銷管理、監管數據上報、風險建模、專項數據分析挖掘等管理相關應用系統，貫穿總分支行機構，覆蓋各類業務，為銀行內部經營管理活動，包括對公信貸業務、零售業務、人力資源管理、日常辦公系統、審計工作和信息技術開發等提供有力決策和技術支持。

　　● 交流與溝通。商業銀行應建立并保持信息交流與溝通的程序，應明確對財務、管理、業務、重大事件和市場信息等相關信息識別、收集、處理、交流、溝通、反饋、披露的渠道和方式。

　　監督評價與糾正

　　商業銀行應建立完善的內部審計體系。內部審計部門具有較強的獨立性，獨立于接受其檢查和監督的運營單位之外，有權獲得銀行所有經營信息和管理信息，并對各個部門、崗位和各項業務實施全面的監督、評價并督促糾正。總行審計部直接向董事會、監事會和管理層報告審計結果，其負責人的任命由董事會批準。銀行應建立以本行內部審計章程為基礎，由一般準則、作業準則、工作規范等組成的完整的制度體系；建立現場審計與非現場審計相結合的檢查體系和系統。

　　近年來，商業銀行內部審計部門一直在積極探索建立風險導向審計模式。一是從業務、機構、系統和控制點、人員五個維度進行固有風險評估，每年根據風險評估結果和管理需要來確定對分支機構、附屬公司的審計頻率；根據風險程度優先安排對新產品、新業務、新機構以及高風險業務領域和關鍵控制環節的審計項目；在審計實施過程中，自始至終以風險評估為導向，根據風險狀況確定審計范圍與重點、審計人員的投入等。二是將對銀行的風險管理審計作為重點，審計包括評估銀行風險管理體系的完備性、各類風險識別的充分性、風險防范措施的有效性、風險管理目標的完成情況等，并從審計角度提出改進風險管理和內部控制的咨詢建議。三是銀行的審計范圍已覆蓋了信用風險、市場風險、操作風險、信息科技風險等各類風險。

　　同時，商業銀行要基本建立總分行內部控制狀況評審會議制度，定期召開內部控制狀況評審會議，針對經營管理中存在的內部控制問題與缺陷，研究制訂解決措施和改進辦法，并現場落實責任。基本在全行范圍內建立年度內部控制自我評估制度，銀行內部各級機構和各單位每年對內部控制進行至少一次自我評估。商業銀行還要基本建立相應的整改糾正機制，針對內部審計檢查發現的問題和各單位自身檢查發現的內部控制缺陷，管理層會根據內部控制的檢查情況和評價結果，提出整改意見和糾正措施，督促各業務部門和分支機構落實，并對相關的責任人進行處罰。

　　（俞勇，恒豐銀行首席風險官、中國人民大學兼職教授，清華大學深圳研究生院校外導師，先后在美國摩根大通銀行、美國運通公司等從事新資本協議、戰略規劃、風險管理、金融衍生品交易與定價模型、金融信息安全等工作，曾任職于平安銀行風險管理部兼新資本協議辦公室總經理、中國銀行業監督管理委員會監管二部，參與起草《商業銀行資本充足率管理辦法》等中國銀行業監管法規文件，具有全面的國際銀行先進風險管理工作經驗和國內銀行風險管理工作經驗。著有《貨幣、銀行與經濟》、《銀行全面風險管理與資本管理》、Asset Returns and Demographic Effects、Quality Choice Simulation and Implication Based on Individual Conjoint Analysis 等。本文刊載于《當代金融家》雜志2015年第4期）