為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，2008 年 5 月，財政部會同證監會、審計署、銀監會、保監會，制定了《企業內部控制基本規范》。2010 年 4 月，五部委又聯合發布了《企業內部控制配套指引》。該配套指引包括 18 項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。

為確保企業內部控制規范體系平穩順利實施，財政部等五部委制定了實施時間表：自 2011 年 1 月 1日起，首先在境內外同時上市的公司施行；自 2012年 1 月 1 日起，擴大到上海證券交易所、深圳證券交易所主板上市的公司；在此基礎上，擇機在中小板和創業板上市公司施行；同時，鼓勵非上市大中型企業提前執行。

一、中小銀行內部控制系統建設現狀

銀行是經營貨幣的高風險金融企業，其風險不僅表現為貸款違約等帶來的信用風險，還表現為內部人員違規操作，侵占客戶資金等帶來的操作風險以及其他諸多風險。近年來國內銀行業頻頻發生的大案，印證了銀行業內部控制體系建設的重要性。近年來，隨著信息技術在銀行業的廣泛應用，銀行業的風險防范水平有了很大的提高，但仍然存在諸多不完善之處。對于信息系統建設尚不夠完善的中小銀行機構來說，內部控制系統建設存在更多的問題和不足，主要表現在以下“四重四輕”方面。

（一）信息系統重視業務處理功能，輕視內部控制功能

中小銀行的中、高級管理層對信息系統的建設，更傾向于滿足新業務開辦等業務功能研發，對建設內部控制系統或相關功能模塊往往重視不夠、興趣不高，對建設內部控制系統認識不足。

（二）系統維護重視漏洞修補，輕視系統性持續性完善

銀行發生重大問題和案件后，各級均高度重視信息系統的漏洞修補、完善等工作，這樣可以較好地防范以后同類同質案件的發生，但多缺乏對信息系統進行持續優化，在日常維護中缺乏對風險點的搜集、分析和處置。

（三）日常管理重視前臺操作，輕視后臺管理

現有信息系統關注更多的是前臺營業功能的完善和優化，而對中后臺管理、控制、監測、審計、分析等業務需求支持不足，無法滿足內部控制管理的需要。

（四）風險防控重視事后嚴罰重管，輕視事前預防和事中控制

風險防控是銀行永恒的主題，監管及上級管理部門對案件及風險事故非常關注和重視，對各類案件均規定了處理范圍及處理標準，體現了嚴罰重管理念。相較于事后處理機制，事前防范及事中控制明顯弱化。若更加注重事前預防和事中控制，可能會取得更好的效系統等均可用于事前及事中控制，但多數中小銀行尚未建設。

二、內部控制系統建設實證分析

為提高業務處理及管理工作信息化水平，同時加強內部控制實施工作，目前，筆者所在單位正耗費巨資研發新一代 IT 系統，系統包括核心業務系統、綜合柜面系統、客戶信息系統、IC 卡系統、信貸管理系統、總賬及財管系統、數據存儲及報表系統、中間業務系統、影像平臺系統、二代支付清算系統、渠道管理系統、監管數據報送系統、票據管理系統、數據總線系統等十多個子系統。我們在研發新系統過程中，十分關注內部控制與信息系統的融合、嵌入問題，努力使內部控制融入到銀行的管理決策和日常經營活動之中。我們在內部控制系統建設方面，主要做法有以下幾點。

（一）查找關鍵風險點

1.繪制重要業務流程圖

結合目前中小銀行業務經營范圍，我們梳理出了存款、貸款、清算、IC 卡等二十多個最常用業務的全生命周期業務流程，本著提高效率、科學合理、風險可控、操作規范、責任明確、可追溯的原則，繪制出有關業務的流程圖初稿。通過業務人員會議討論方式，研究業務流程圖是否符合實際情況，分析存在的問題及有無不合理的流程和環節，完善修改后將新業務流程圖提交軟件開發人員開發。

2.梳理風險點

通過仔細研究有關業務流程，全面評估各節點的風險，找出需要控制的節點和環節，逐一分析風險發生的可能性及風險發生后的影響程度。根據重要性原則及成本效益原則，確定每個風險點應采取的風險應對策略，將銀行的剩余風險控制在銀行的可承受范圍內。

3.分析以往銀行業案件發生原因及環節

組織人員收集研究近年來銀行業發生的各類案件，分析發案原因，找出日常工作中存在的控制薄弱環節，提出防范措施，爭取在新系統中實現計算機控制，盡可能防止在新系統平臺下再次發生同質同類案件。

4.對各類業務交易進行風險評級

對新系統全部 2 100 多個業務交易，逐項進行風險評估和風險評級。對風險較大的交易事項，采取更加嚴苛的控制措施。在風險評估過程中，不但要評估此交易自身業務功能存在的風險，還要評估“壞人”能否利用此交易辦理其他業務造成風險和損失，若有此可能性則必須改正和避免。

5.梳理需要授權復核的業務

針對各類交易和事項，逐一分析判斷是否需要授權復核、多大金額以上需要授權復核、是本地現場授權還是異地遠程授權、授權后是否還應納入風險預警提示等。對發生的大額交易和高風險業務，通過在不同層級崗位之間的權力分配，實現制衡，確保了不相容職務的分離。

（二）防控重要風險

1.操作風險防范

目前銀行業的中、高級管理層非常重視操作風險，因其多與案件有關。銀行業發生案件，不但會出現資金損失，還會帶來聲譽風險，當事人及各級管理人員也將承擔相關責任。

（1）強化柜員管理。新系統中，我們配備了靈活多樣的柜員身份類型，同時還支持靈活配置柜員身份權限。也就是說，人力資源部門可為某一柜員量身定制工作范圍及操作權限，避免了以往同類柜員操作權限相同，不可自行配置的缺陷。這樣做最大的好處，是可以根據柜員以往工作表現及專業能力，定制工作權限和范圍，解決了易錯柜員和有過不良行為柜員操作權限過大問題。

（2）強化授權復核。新系統中，支持現場授權、異地遠程授權等方式，支持上級機構自主改變授權方式和授權額度。對于需要他人授權的業務，系統自動分派授權人員，可有效防范內部人員之間串通作案及集體作案。

（3）實行強制休假與強制輪崗。新系統中，對柜員在某一機構工作超過一定年限的，將自動終止其在該機構繼續辦理業務的權限，切實做到了強制輪崗，解決了現實工作中輪崗不徹底、看人輪崗等問題。同時，系統還可以不定時在日結后從轄內柜員中隨機選取若干名柜員實行強制休假，被選中柜員次日登錄系統只能辦理交接業務，不能辦理日常業務。

通過接替柜員繼續在強制休假柜員崗位上工作，可以及時發現休假柜員舞弊及本網點集體舞弊現象。由于可以隨機抽取休假柜員，無形之中也增加了舞弊柜員的心理壓力。

2.信用風險防范

信用風險是銀行業面臨的最大風險，新的信貸管理系統實現了風險管理在貸款生命周期中的全覆蓋。除常規風險管控外，新系統在風險管控方面有以下幾個亮點。

（1）預警。在客戶預警方面，設置了 34 個指標，如客戶信用等級下降、評級授信到期或財務指標發生重大變化，系統自動根據風險等級作出提示或攔截。在機構預警方面，設置了 14 個指標，系統可實現對存貸比、不良貸款率、到期貸款收回率等超標的機構進行業務攔截，限制辦理相關業務。在業務預警方面，設置了 11個指標，對當日發生墊款的表外業務、授信凍結與解凍信息、抵債資產處置、貸款逾期 6 個月訴訟等進行預警提示。

（2）關聯關系深度挖掘。新系統將借款人的企業高管、配偶及成年家庭成員、擔保人、聯保體成員、集團關系、母子公司關系、共同擔保人、循環擔保、共同企業高管、企業高管共同任職企業、配偶所在企業、法定代表人家庭成員所在企業、企業的股東、企業投資的企業這15 種關聯關系寫入系統，同時支持自定義關聯關系，形成關聯關系網絡，便于更加全面直觀地掌握借款人的關聯關系。

（3）黑名單制度。貸款逾期后，借款人或保證人自動進入系統黑名單，不能再為其辦理新的信貸業務。黑名單數據全省共享，形成系統內的不良客戶信息庫，黑名單還支持手工錄入維護功能。

3.其他風險的防范

（1）加強了憑證管理和現金調撥風險防控。重要空白憑證的入庫、出庫、使用、作廢、調撥、銷毀等實現了全流程系統控制。對當日從上級機構領出的憑證，若下級機構日結時尚未入庫，系統會向有關領導發送信息。同樣，機構間調撥現金，若一方在日結時存在未入賬憑證，也會及時報警，防范了攜款跑路等現金流失風險。

（2）強化了企業文化建設。系統中加入了員工激勵功能，員工生日、重要節日等可及時在柜面系統看到上級領導的祝福。對工作量較大、發放貸款質量好且收息率高的有關柜員，在其本人及有關領導的柜面系統中給予表揚；對發放貸款質量差的，給予批評。引導廣大員工學習先進，比學趕幫超，營造積極向上、努力工作、符合企業發展要求的企業文化氛圍。

（3）加強了資金和費用管理。新系統加大了對無效和低效資金的管理，對存放同業款項、清算資金款項等進行監測，通過全省排名等措施，激勵先進，鞭策落后，可有效防范私存亂放造成的資金浪費，減少了人情存款。如原來有些縣級機構，私自將數億元資金，以較低的利率長期存放在其他同業，造成了大量的資金浪費。新系統上線后，預計因此項功能每年就可增加效益數億元。另外，新系統還加強了費用支出分析，通過與上期比、與同業比、與預算比等方式，過濾出費用支出異常情況，減少個別機構成本費用支出浪費現象。

（4）加強了詐騙賬戶的管理與控制。新系統中，通過全省數萬名員工，及時收集涉嫌詐騙的銀行賬戶，并錄入系統，當有客戶通過全省農信社的柜面、ATM、手機銀行、網上銀行等渠道向這些銀行賬戶轉賬或存入現金時，系統會向客戶提示此賬戶涉嫌詐騙，為客戶資金安全加筑了一道防火墻，提升了銀行的美譽度。

三、工作啟示

（一）內部控制系統建設是一項系統工程經過這次信息系統建設，我們感覺到內部控制信息系統建設不是一蹴而就的，是一個漫長持續優化的過程。內部控制系統建設是“設計—運行—發現問題—優化控制—再設計—再運行”這樣一個螺旋上升的過程。特別是對銀行來說，整天與錢打交道，需要控制的關鍵點太多、太細、太繁瑣，因此，需要在以后運行中，持續征求使用者的意見和建議，反復修改、優化和完善，使內部控制系統適應內外部環境的變化及業務發展的需要。

（二）要結合企業自身情況開展內部控制系統建設雖然財政部等五部委聯合印發的內部控制基本規范與配套指引內容豐富，詳實具體，但對于具體的某個企業來說，外購通用的內部控制軟件系統肯定不能滿足自身的需要。企業需要結合自身業務范圍特點、客戶群體、企業規模、管理狀況、風險水平和外部監管要求，打造屬于自己的內部控制信息系統。

（三）良好的企業文化是實現內部控制目標的基礎企業文化是企業的靈魂，是推動企業發展的不竭動力，也是企業防范風險的重要基礎。從近幾年銀行業發案情況來看，道德風險十分突出，多數案件還是串案、窩案。在串案、窩案面前，很多行之有效的內部控制措施將失去效力，若僅靠傳統的系統控制手段根本無法防范。而防范此類案件，需要依靠銀行良好的企業文化，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，強化現代管理理念，強化風險意識和法制觀念。當將上述理念的企業文化根植于全體員工內心時，內部控制才可以真正落到實處。

【參考文獻】

［1］財政部，證監會，審計署，銀監會，保監會.企業內部控制基本規范［S］.2008.
［2］財政部，證監會，審計署，銀監會，保監會.企業內部控制配套指引［S］.2010.
［3］銀監會.商業銀行操作風險管理指引［S］.2007.
［4］羊建，楊秀梅.商業銀行個人貸款業務的內部控制探討［J］.會計之友，2014（4）：67- 69.