在上市的风口，内控体系先搭好！

    “雷布斯”说了一句话：站在风口，猪都会飞。“风口”一词就这样流行起来，各种关于风口的概念亦随处可见。对中小商业银行而言，上市肯定是一个好的“风口”，不过，站在这个风口前，一定要关注一个关键环节，那就是建立好内控体系以满足监管和交易所的要求，以免让风口变成风急浪高或骤风急雨的场所。

商业银行在遵循依法、合规、稳健经营的指导思想，在努力发展各项业务的同时，要十分注重内部控制体系的建立和健全。当前，在强资本约束下，尽管上市长路漫漫，中小商业银行的热情依然高涨。尤其在混合所有制改革之下，为应对市场化竞争，银行还可能分拆资产上市，如理财、信用卡、私人银行等业务较为市场化，作为银行一个部门运作，将会做银行资产的分拆(成立独立公司)乃至最终上市。

　实践中，所有计划上市的商业银行都要依照《中华人民共和国公司法》、《中华人民共和国商业银行法》等法律法规，以及中国银行业监督管理委员会和上海、香港两地证券交易所的要求，参照《新巴塞尔协议》的有关标准，制定内部控制的目标和原则，建立内部控制体系，有效对银行各项经营管理活动进行全方位覆盖、全过程控制。

    商业银行内部控制目标

    商业银行内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。具体包括：

　● 确保国家法律、法规和银行内部规章制度的贯彻执行；

    ● 确保银行发展战略和经营目标的全面实施和充分实现；

　● 确保银行风险管理体系的有效性；

    ● 确保银行业务记录、财务信息和其他管理信息的及时、真实和完整。

  　商业银行内部控制原则

      商业银行的内部控制贯彻全面、审慎、有效、独立、重要、制衡、适应、成本效益原则，具体包括：

    ● 全面性原则。银行内部控制应当贯穿决策、执行和监督全过程，渗透银行及其所属单位的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。

    ● 审慎性原则。银行内部控制应当以防范风险、审慎经营为出发点，银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。

    ● 有效性原则。银行内部控制应当具有高度的权威性，银行任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。

   ● 独立性原则。银行内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

   ● 重要性原则。银行内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

   ● 制衡性原则。银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

   ● 适应性原则。银行内部控制应当与经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

   ● 成本效益原则。银行内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

    商业银行内部控制基本要素

  内部控制环境

  ● 内部控制政策。商业银行应依据财政部等五部委《企业内部控制基本规范》、银监会《商业银行内部控制指引》和上海证券交易所[微博]《上海证券交易所[微博]上市公司内部控制指引》等法律法规，制定本行内部控制基本规定，建立了由内部控制基本规定、各类内部控制办法和各分行区域内部控制制度组成的内部控制制度体系，各项制度的制定和业务管理均体现内控优先原则。

 ● 公司治理结构。商业银行应根据《中华人民共和国公司法》、《中华人民共和国商业银行法》等法律法规的规定，建立较为完善的以股东大会、董事会、监事会、高管层相互分离、相互制衡的公司治理结构，并制定公司章程、三会议事规则、专门委员会实施细则、信息披露制度、投资者关系管理制度、关联交易管理办法、重大事项向董事会备案制度等相关规章制度。

  商业银行的控股股东或实际控制人不应越权干预银行的公司治理和日常经营。股东大会是商业银行最高的权力机构，下设董事会和监事会，所有股东通过股东大会行使股东权利。商业银行实行董事会领导下的行长负责制，董事会对股东大会负责，负责组织制定银行的内部控制政策，审议和批准重要的内部控制制度、程序和方法，评估内部控制体系的有效性并监督高级管理层改进和完善内部控制体系。监事会监督董事会、高级管理层完善内部控制体系，监督董事会及董事、高级管理层及高级管理人员履行内部控制职责。管理层负责建立和完善内部组织机构，保证内部控制的各项职责得到履行，建立识别、计量、监测并控制风险的程序和措施，监测和评估内部控制体系的充分性与有效性，纠正并报告存在的问题。

 ● 企业文化。商业银行董事会和高管层应通过其言行来强调内部控制的重要性，秉持业务发展，内控先行的原则。同时，经过长期积累和不断发展，在银行形成了良好的企业文化，包括经营理念、合规理念、人本理念等。同时，银行应积极参与赈灾扶贫等社会公益活动，自觉履行企业公民的责任和义务，教育员工主动回馈社会、服务社会，得到社会各界的好评，树立良好的企业形象。

 ● 组织架构。商业银行应建立符合自身特点的组织结构；明确了内部控制和相关职能部门的责任、权限和信息报告路线；专门设立了履行内部控制和风险管理职能的部门，能够对银行的各级部门和各项业务实施有效的管理控制。

 ● 人力资源。商业银行应制定规范的员工招聘、调配、教育和培训、考核、岗位轮换等流程，建立各业务部门、各岗位之间相互衔接配合、相互监督制衡的关系；同时，银行应注重把员工的自我发展、价值实现与企业发展结合起来，重视对员工职业道德和专业胜任能力等方面素质的培养和选拔，建立了卓有成效的激励机制、培训机制以及福利机制，为员工实现自我价值提供了广阔的发展空间。

　风险管理

  商业银行应建立涵盖各项业务、全行范围的风险管理体系，开发和运用风险评估的方法和工具，对信用风险、市场风险、流动性风险、操作风险、合规风险等各类风险进行识别、计量、监控和缓释。

  在信用风险方面，商业银行应根据信贷管理水平、借款人信用等级、授信担保条件三个维度制定完整的信贷审批授权体系，并制定切实可行的授权标准、授权方法和权限调整规定。商业银行应遵循审贷分离的原则，严格执行贷前调查、贷时审查、贷后检查“三查”流程，根据信贷业务各风险控制环节，制定相互制约的工作岗位及职责。同时，每年制定信贷政策指引和区域信贷政策，利用客户准入、分行业审贷、信贷资产分类、信贷客户信用评级、集团客户统一授信、风险信息提示共享以及适时的风险退出等管理手段，并应用信贷信息管理系统，保持了良好的资产质量。

  在市场风险和流动性风险方面，商业银行应设立资产负债管理委员会，负责制定全行市场风险和流动性风险的管理政策，审议全行涉及市场风险和流动性风险的重大事项，并由总行计划财务部具体履行管理全行市场风险和流动性风险的职能。商业银行还应在日常业务的管理操作中建立了严格的授权授信和岗位分离制度，设计一套完整的市场风险计量报表，涉及各项风险监测指标、业务结构特点、情境模拟等内容，开发计量程序、改进估值技术、深入定量研究，建立估值模型，加强对市场风险程度的定性和定量预测分析；通过内部资金转移定价体系对流动性实行统一管理，对每日资金头寸、每月流动性比率、流动性缺口比率等进行密切监控，采用压力测试评判银行是否能应对极端情况下的流动性需求。此外，商业银行还应制定流动性风险预警系统和流动性应急计划，以备流动性危机的发生。

 在操作风险方面，商业银行应制定相关操作风险的识别、计量、监测和管理的制度；同时，还应通过强化内部控制、完善制度体系、进行操作风险和案件排查、提升员工风险防范意识和能力、实施严格的问责制和实施新资本协议操作风险管理项目等措施，来管理和降低操作风险。

  在合规风险方面，商业银行应建立完善的合规风险管理框架，制定了商业银行合规政策、合规工作管理规定等合规规章和制度，健全了合规管理组织架构，明确董事会、监事会、高级管理层、合规管理委员会、合规部门以及业务部门的合规职责，建立合规风险识别、提示、纠正和报告制度、程序，完善了合规风险管理体系。

  在反洗钱管理方面，商业银行应根据《反洗钱法》和中国人民银行[微博]颁布的相关法规，编制本行反洗钱规定，建立反洗钱工作组织架构和专业的反洗钱工作管理队伍，建立和完善客户尽职调查制度和内部操作流程，开发大额交易和可疑交易监测分析报送系统、反洗钱名单数据库及过滤系统等，加强反洗钱管理和可疑交易的监测分析工作。

  在计算机信息系统控制方面，商业银行应建立明确的信息技术组织架构并颁布了信息技术管理制度，建立信息安全管理机构以加强信息安全管理工作，建立信息系统的开发和变更管理流程。信息系统构建完善的运行和操作管理体系，制定计算机信息系统的持续运作管理机制，建立灾备中心。

  内部控制措施

  商业银行应依照内部控制体系建设的总体目标和原则，以防范风险和审慎经营为宗旨，在授信业务管理、资金业务管理、存款和柜台业务管理、中间业务管理、财务管理、会计管理、信息系统管理、人力资源管理、合规风险与反洗钱管理、内部审计和监察保卫以及授权管理等方面，建立比较系统、完整的规章制度和控制措施，并且随着客观实际的变化和管理要求的提高，持续地进行修订、完善和补充。商业银行的内控制度应基本覆盖全行各项业务管理过程和操作环节，各项内部控制措施在强化管理监督、规范业务行为、有效防范和化解风险、保护资产安全等方面体现出较好的完整性、合理性和有效性，促进银行内部组织机构正常高效运作，保证各项业务依法、合规、稳健经营。

  信息交流与反馈

  ● 信息技术系统。商业银行应建立全行统一的业务操作系统，实现全行数据的大集中，搭建数据仓库系统，收集整合包含负债、资产、中间业务等主要业务领域的各级机构业务数据，并以数据仓库为核心，集成管理信息平台、管理会计、客户关系管理、营销管理、监管数据上报、风险建模、专项数据分析挖掘等管理相关应用系统，贯穿总分支行机构，覆盖各类业务，为银行内部经营管理活动，包括对公信贷业务、零售业务、人力资源管理、日常办公系统、审计工作和信息技术开发等提供有力决策和技术支持。

  ● 交流与沟通。商业银行应建立并保持信息交流与沟通的程序，应明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。

  监督评价与纠正

  商业银行应建立完善的内部审计体系。内部审计部门具有较强的独立性，独立于接受其检查和监督的运营单位之外，有权获得银行所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监督、评价并督促纠正。总行审计部直接向董事会、监事会和管理层报告审计结果，其负责人的任命由董事会批准。银行应建立以本行内部审计章程为基础，由一般准则、作业准则、工作规范等组成的完整的制度体系；建立现场审计与非现场审计相结合的检查体系和系统。

  近年来，商业银行内部审计部门一直在积极探索建立风险导向审计模式。一是从业务、机构、系统和控制点、人员五个维度进行固有风险评估，每年根据风险评估结果和管理需要来确定对分支机构、附属公司的审计频率；根据风险程度优先安排对新产品、新业务、新机构以及高风险业务领域和关键控制环节的审计项目；在审计实施过程中，自始至终以风险评估为导向，根据风险状况确定审计范围与重点、审计人员的投入等。二是将对银行的风险管理审计作为重点，审计包括评估银行风险管理体系的完备性、各类风险识别的充分性、风险防范措施的有效性、风险管理目标的完成情况等，并从审计角度提出改进风险管理和内部控制的咨询建议。三是银行的审计范围已覆盖了信用风险、市场风险、操作风险、信息科技风险等各类风险。

  同时，商业银行要基本建立总分行内部控制状况评审会议制度，定期召开内部控制状况评审会议，针对经营管理中存在的内部控制问题与缺陷，研究制订解决措施和改进办法，并现场落实责任。基本在全行范围内建立年度内部控制自我评估制度，银行内部各级机构和各单位每年对内部控制进行至少一次自我评估。商业银行还要基本建立相应的整改纠正机制，针对内部审计检查发现的问题和各单位自身检查发现的内部控制缺陷，管理层会根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，督促各业务部门和分支机构落实，并对相关的责任人进行处罚。