【专家观点】从欧美银行事件看完善我国商业银行内控体系建设

新华财经北京5月25日电  题：从欧美银行事件看完善我国商业银行内控体系建设

作者：对外经济贸易大学 祝继高 郑紫菱

3月份，银门银行、硅谷银行、签名银行、瑞信银行等欧美银行接连“爆雷”，市场恐慌情绪不断发酵，并向全球金融市场蔓延。欧美商业银行的连环“爆雷”事件，让我们看到了其商业银行内部控制体系的缺陷，也给我国银行业敲响了警钟。

接连“爆雷”反映出欧美银行内部控制的缺陷

根据COSO内部控制框架，欧美银行内部控制的缺陷可以总结为以下五个方面：内部控制环境不当、风险管理不足、控制活动不力、信息沟通不畅、监督体系乏力。

从内部控制环境角度来说，内部控制环境包括管理层决策、员工工作积极性、企业文化、人力资源政策、激励机制等方面。它决定了商业银行内部控制体系是否能够有序开展。硅谷银行的“爆雷”，不仅与内部流动性风险管理体系不完善有关，也与银行内部首席风险官一职长期空缺有关。2022年5月，美国监管部门发现硅谷银行内部董事会监管无效，并将银行的企业级治理和控制评为“deficient-1（不足-1）”。

从风险管理角度来说，有效的内控能够帮助银行对风险进行预测和分析，从而制定应对策略。通过六项与银行流动性压力测试、应急资金和流动性风险管理相关的检查，美联储监管副主席在硅谷银行倒闭的审查中发现该银行流动性风险管理方面存在不足。

2021年，瑞信银行发布声明称，预计第一季度税前亏损约合9.6亿美元，其中包含了因阿古斯资本管理公司（Archegos Capital Management）未能履行保证金承诺而计提的约47亿美元坏账。这暴露出瑞信银行内部对市场风险的识别和评估严重不足，银行高管甚至是在“爆仓”前几天才了解到该基金一些存在极大风险隐患的关键信息，反映在操作层面上就是前端业务的激进。瑞信银行的管理层在其2021年及2022年的年报中也承认了银行内部确实没有充足的资源来支持风险评估这一流程。此外，瑞信银行的内控缺陷还表现在信贷业务风险管理不当上。2022年6月，瑞士最高刑事法庭判定瑞信银行一名前员工曾帮助毒品走私团伙洗钱，而瑞信银行未能有效执行反洗钱规定。正是瑞信银行没有针对信贷业务进行细致分析，在贷款之前审核流程不够细化，管理机制不够科学，审查力度不严，导致了银行资金流向违法地带。

从内部控制活动角度来说，内部控制活动要求商业银行优化管理制度，促使制度体系更具合理性与完善性。2022年2月，瑞信银行近2万个账户信息被泄露，并扩散到多家媒体。这暴露出瑞信银行内部存在的信息安全问题，即内部没有建立完善的风险防范机制，以防范信息系统受到外界的攻击。此外，瑞信银行因帮助犯罪团伙洗钱被判定有罪。瑞士监管方面称，银行相关犯罪活动要追溯到2004年至2008年。

从信息沟通角度来说，部分商业银行内部的信息系统管理机制不合理，也没有建立应急预警机制，系统崩溃时将严重影响商业银行业务的开展。瑞信银行管理层承认银行内部缺少对重大缺陷的有效沟通，以至于相关责任主体无法及时采取正确的行动，避免银行产生损失。

从监督角度来说，内部审计部门作为风险控制的第三道防线，主要负责对企业治理、风险管理、内部控制的有效性提供独立确认。硅谷银行、瑞信银行等欧美系银行的相继“爆雷”使其内审部门的有效性存疑，也反映出外部监督存在重大不足。

加强监管防范化解重大金融风险

在当前背景下，进一步加强和完善我国商业银行的内部控制体系建设显得十分迫切。

就国家金融监管层面而言，我国监管的趋势主要包括以下三点。

第一，应进一步优化宏观监管体制，加强对微观主体的金融监管。一些金融风险问题往往与监管制度存在漏洞和监管执法不严有关。我国部分商业银行，尤其是中小银行、村镇银行内部控制较弱，存在局部区域性风险隐患。随着《党和国家机构改革方案》的正式印发，我国金融监管架构由原来的一行两会调整为一行一局一会。这次改革完善了“风险为本”的审慎监管框架，有利于消除监管盲点。一方面，加大了对金融机构内部控制的监管力度，有助于从监管层面发现漏洞，提高微观主体内部控制的效率，改变现行金融机构违规收益大于违规成本的现状；另一方面，通过在中央层面加强集中统一领导，有助于在金融监管层面更好协调，加大对金融风险防控，有助于防范跨市场跨行业风险，提高金融监管效率。

第二，应结合我国国情，全面推进巴塞尔协议III在我国的落地实施。今年2月18日，中国银保监会和人民银行公布了《商业银行资本管理办法（征求意见稿）》，明确我国银行业应自2024年1月1日起实施新资本监管规制。从我国现实情况看，防止和避免发生金融系统性风险是经济工作的重点之一，此次公布的“资本新规”主要是将国际监管规则新标准与我国实际有机结合，形成更加符合国情的资本审慎监管制度。微观层面看，这有利于提升银行管理和风险计量能力，更好地守住风险底线，防范金融风险。

第三，应分类监管，关注重点银行。银门银行、硅谷银行和签名银行规模相对较小，瑞信银行规模较大且分支机构遍布世界各国，这两类银行的“爆雷”对于金融市场的影响是不一样的。因为大型金融机构存在“太大而不能倒”的风险，大型金融机构一旦出现风险会导致市场出现系统性风险，需要加强全面风险管理；对于中小银行而言，要结合银行特点，将有限监管资源投入到监管重点和风险点上。

主动转型强化银行内部控制

就银行个体层面而言，加强和完善商业银行内部控制体系具体方式主要包括以下五点。

第一，应优化内部控制环境。应将全面风险管理的文化融入银行文化中，让员工具备良好的内部控制知识，形成风险意识，涵养职业道德，了解在发生各项问题时如何进行应对，改善银行整体的内部控制水平。

第二，进一步完善风险管理体系。银行应建立包括信用风险、市场风险、流动性风险等在内的多层次、全方位的风险管理体系，审慎评估各类风险之间的相互影响。此外，银行应积极推进数字化转型，借助金融科技，持续优化智能风控系统建设。

第三，改善内部控制活动。银行应持续改进内部控制制度，确保商业银行能够针对关键环节的重要领域进行有效控制。

第四，畅通信息沟通机制。应完善以数据内容管理为核心的数据治理体系，健全数字管理建设，畅通商业银行的信息传递机制，促使信息及时、有效反馈。

第五，加强审计人员队伍建设。内部审计人员的数量和专业性需要与商业银行的特点相匹配。一方面，要增加内审人员人数，根据现行《商业银行内部审计指引》规定，商业银行应配备充足的内部审计人员，原则上不得少于员工总数的1%；另一方面，要提升审计人员的综合能力，以提高内审工作效率和内部控制效能。