银监会 商业银行内部控制指引(中国银行业监督管理委员会在商业银行内部控制)

凡事要抓住纲，才能做对，才能事半功倍。《商业银行内部控制指引》是原中国银监会（现银保监会）于2014年9月12日发布实施的，是银行业做内控工作的总纲。本指引的总则部分，体现出最基本的监管思维，更是总纲中的总纲。对总则部分细读、细品，会清晰地体会到，这个部分主要是回答了三个基本问题：

1.内控是什么。

“内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制”（第三条）。这个内控的概念，大致可做如下解析：

（1）内控是一个动态过程和机制。它不是静态的东西，是动态的；它是一个过程，不是一个僵死的结果；它是一个机制，是长久地、自然地、内在地、制度化地起作用的东西，不是偶然的一件事、一个动作。

（2）内控是所有人参与的。包括治理层面的董监高和经营管理层面的所有部门、机构、员工。这个定义本身就说明了：内控工作，人人参与、人人相关。在人的问题上一定是全覆盖的。

（3）内控的实现手段是“系统化的制度、流程和方法”。“系统化”这个定语很重要，是专业化重要体现。“制度、流程、方法”，是内控日常工作的具体动作，需要认真、持续加以研究，永无止境，只有更好、没有最好。

（4）内控目标是“四个保证”。本指引第四条规定，“商业银行内部控制的目标：（一）保证国家有关法律法规及规章的贯彻执行。（二）保证商业银行发展战略和经营目标的实现。（三）保证商业银行风险管理的有效性。（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时”。其中：（一）和（四）可理解为外部目标，行为合规目标和数据合规目标；（二）和（三）可理解为内部目标，一个风险目标，是控的目标，另一个发展目标，是冲的目标。总体上体现了冲控平衡、内外兼顾。内控工作的内涵外延于此可略窥其真义。

2.内控如何做。

本指引第五条规定，商业银行内部控制应当遵循以下基本原则：

（一）全覆盖原则。商业银行内部控制应当贯穿决策、执行和监督全过程，覆盖各项业务流程和管理活动，覆盖所有的部门、岗位和人员（此项是讲内控覆盖到所有人和所有事，是一个工作范围问题）。

（二）制衡性原则。商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制（此项是核心点之一，是讲要基于人性恶假设、坏人假设来设计制度，不相信任何人、不让任何人有绝对的权力、不让任何人处于制约、监督的空白区和盲点，与做管理的一般性道理相关）。

（三）审慎性原则。商业银行内部控制应当坚持风险为本、审慎经营的理念，设立机构或开展业务均应坚持内控优先（此项也是核心点之一，是讲审慎，小心、小心、再小心，与金融行业的特征相关）。

（四）相匹配原则。商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整（此项是讲内控体系的设计要考虑自身实际，成本是否可承受、可否满足需要）。

以上内控四项基本原则只是“如何做”的一个总括性要求，具体措施可据此延伸出很多。但这四项基本原则是个纲。全覆盖、相匹配，这两个相对比较外围一些，制衡性、审慎性，这两个是核心点。如何做内控，无论制度若干、流程若干、方法若干，永远应当秉持最基本的遵循：制约、制约、再制约，监督、监督、再监督（不要相信任何人永远是好人），小心、小心、再小心，审慎、审慎、再审慎（永远不要抱任何侥幸心理）。

3.对内控工作的基本要求是什么。

“商业银行应当建立健全内部控制体系，明确内部控制职责，完善内部控制措施，强化内部控制保障，持续开展内部控制评价和监督”（第六条）。这里的关键词是“内控体系”。对内控工作的基本要求，可概括为一句话：建立健全内控体系。