对城市商业银行内部控制制度的思考

对城市商业银行内部控制制度的思考众所周知，一个没有免疫系统、或免疫力偏低的生命体是不可能健康成长的，而内部控制就是企业“生命体”的免疫系统。因此，欲使城市商业银行这一新生的特殊企业不断成长壮大，就必须在大力拓展各项业务的同时，更加有效地推进其自身免疫系统──内部控制建设，以保证城市商业银行的稳健发展。一、城市商业银行建立健全内部控制制度的必要性城市商业银行的内部控制指为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。以确保国家法律规定和商业银行内部规章制度的贯彻执行；确保商业银行的发展战略和经营目标的全面实施和充分实现；确保风险管理体系的有效性；确保业务记录、财务信息和其他管理信息的及时、真实和完整为目标。为此，城市商业银行内部控制制度必须保证在各级部门和各级人员中得到正确且充分地贯彻执行，以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。1、城市商业银行的定位城市商业银行是中国特定历史条件下金融改革的产物。它承担了支持地方经济发展，特别是支持中小企业的重担。欲使城市商业银行这一新生的特殊企业不断成长壮大，就必须在大力拓展业务的同时，更加有效地推进内部控制制度的建立健全，以保证城市商业银行的稳健发展。2、城市商业银行的发展需要商业银行特殊的经营对象—货币资金，特殊的经营方式—信用中介，决定了商业银行经营活动“高负债”的基本特征及其在国民经济体系中的特殊地位。建立并不断完善内部控制，既是城市商业银行在追求自身经济利益过程中安全稳健运行的可靠保证，更关系到保障存款人利益，保障市场体系正常有序地运行和国民经济持续协调发展。商业银行内部控制机制不论是对决策层的权力控制，组织设置中的权力制衡，还是操作层的岗位监督，都不是新课题。但巴林银行的倒闭、大和银行的被兼并，以及近年来，金融系统的假按揭、内外部勾结转移资金、员工监守自盗等案件屡有发生，一次又一次以令人触目惊心的事实揭示了商业银行经营活动中的巨大风险，如何建立规范、系统、可靠的商业银行内部控制系统，有效地防范商业银行巨大的经营风险对城市商业银行则显得更为至关重要。3、城市商业银行已初步建立内部控制体系

城市商业银行在原城市信用社基础上组建，人员素质较低、经营管理水平不高、风险高度较集中，内控体系基础薄弱，但经过近十年的发展，随着人员素质、经营管理水平的不断提高，内部控制体系得到了初步建立，防范风险的能力得到不断增强。在《中华人民共和国银行业监督管理法》、中国人民银行下发的《商业银行内部控制指引》、银监会下发的《商业银行集团客户授信业务风险管理指引》等法律、法规和指导性文件的推动下，城市商业银行把加强内部建设作为一项重要工作来抓，在建立健全资金管理、信贷管理、财务管理、审计监险控制为目标的资产负债比例管理尚处于软约束阶段，以局部风险控制为内涵的授权分责管理还执行不严格，缺乏具体风险评估及控制为核心的信贷风险管理监控、交易风险管理监控的手段，管理制度和评估方法也极不完善。三、建立健全城市商业银行内部控制的方法1、建立城市商业银行有效内部控制城市商业银行有效内部控制（无时不控、无处不控、无事不控、无人不控）要做到“一二三四五”。一是要培育一种在全行上下得到沟通、讲究诚信、勤勉尽责、排斥利益冲突的控制文化。二是要破除两个误区：（1）以运动式的检查监督代替连续性的内部控制，（2）以内部控制规章制度代替内部控制。三是要确立内部控制的三大目标，构筑三位一体的内部控制体系，具体而言，就是要确立经营的效率和效果、财务信息的可靠性和完整性以及遵循法律规章这三大控制目标，构筑前台监控、中台监督和后台评价的三位一体的内部控制体系。四是要建设好前台监督、内部控制、内部稽核和风险管理委员会四支内部控制监督队伍。由于基层网点复核人员配备不充分，可将事后监督关口前移到一线进行事前预防性控制；内部控制应实行集约化管理，整合会计、清算、储蓄、信用卡、信贷、科技等各项监督检查职能，进行检查性控制和指导性控制；内部稽核对内部控制的效果进行独立的后评价，起到纠正性控制作用；风险管理委员会负责对银行的全面风险管理，是内部控制的最高决策机构，发挥战略性控制作用。五是要建立内部控制五要素的分析评价框架，学会运用管理层的监督和控制文化、风险确认和评估、控制活动和职责分离、信息交流和沟通以及监督活动和纠正缺陷这五大要素对城市商业银行的内部控制状况进行分析和评价。2、构建“以人为本”的城市商业银行内部控制体系在现代公司制下，以保护资产和查错防弊为主要内容的内部控制，明显不能满足需要。这种内控职责不仅仅包括财产的安全完整和会计资料的真实可靠，还将促进单位贯彻其经营方针及提高经营效率纳入其中，这是公司治理结构对内部控制提出的新要求。因此，商业银行的内部控制构建思路是：明确各控制成分之间的相互关系，建立以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体，监督与控制为保证的内部控制整体框架。（1）以“人本主义”作为构建内部控制机制的信条，营造良好的内控管理文化氛围。具体表现在内部环境的控制，包括领导班子与组织机构控制、人力资源管理、安全保卫及法规管理、信息系统控制等方面，既要重视正式约束的建设，也要充分考虑非正式约束的作用。从内控管理降低银行风险的角度看，好的非正式约束有助于人们价值观念、道德规范的形成，自觉约束人们的行为，减少制度对其的强制性。从而节约银行运行中处理磨擦的费用和正式约束制度成本的支出，避免出现再好的正式约束制度由于没有非正式约束的配合导致“好看不中用”尴尬局面。（2）以“风险评价”为依据，通过建立内控评价管理办法推动内控管理工作有序开展。a.制度建设评价标准，内部控制制度建设评价标准，首先要遵循国家的金融监管政策法律法规；二是遵循“控制论”的基本原理，既要具有完整性和有机结合性，又要以“有效控制”为原则，通过对信用风险、市场风险、操作风险等有效监测分析、有效控制银行经营活动；三是遵循电子技术的程序化和科学化原则，将内控资料规范存储和积累，便于监测、分析和评价工作的顺利开展。b.制度执行评价标准内控制度执行评价标准包括内控环境、内控风险识别、内控活动的有效性、内控信息的交流反馈。一是内控环境标准，包括：内控执行人员的价值观和道德观是否完整可靠；内控激励约束机制的作用程度是否达到预期目的；各级管理层的内控意识是否牢固树立；内控人员的内控能力是否与其责任相匹配；内控用人机制是否健全有效；内控管理层和监督层对内控是否给予了充分的关注等。二是内控风险识别标准，包括：内控管理的总体目标和分项目标是否明确，二者的关联程度如何，各级管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确；是否建立了对内部和外部内控风险预测和识别机制，即内控风险预测是否透彻和恰当，内控风险评价概率和频率依据是否准确可靠，是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性标准，包括：银行的每项经营和管理是否都设有恰当的风险监控活动；内部风险控制活动是否保证内控指令得到全面的执行；通过内控活动的实施是否及时有效地化解相关风险。四是内控信息的及时反馈标准，包括：是否建立了各种有效的内控信息交流反馈系统，即内控系统岗位员工通过内控责任的履行，发现可疑和不轨行为是否及时将信息传递给管理层，管理层是否将内控信息以一定方式及时转达给有关人员有效履行其内控职责，达到内控的预期效果；内部控制系统当中每位员工和每个内控管理部门所负有的内控管理信息的交流职责、交流渠道、交流方式、交流时间是否真正明确；内控信息的上传下达和横向交流手段与方式是否切实可行、及时有效等。c.内控制度保障评价标准一是是否建立和设置了适时跟踪评价反馈内控情况的渠道和工作程序以及组织保障措施。二是内控体系中各个职能部门之间的内控制约关系是否建立和运转有效。三是内控制度的缺陷是否得到及时的发现和纠正。四是随着银行业务的不断拓展和品种的创新，内部控制制度、程序和政策是否得到了及时的调整、修正和完善。（3）以“高效信息沟通”为依托，通过电子化信息交流渠道的安全运转，保证银行内控体系有效运作。通过建立风险报告制度保证风险管理的信息沟通，保证决策层能够通过内控评价和风险报告，对内控状况进行