商业银行内部控制指引学习心得(商业银行内部控制指引课程考试)

好的内控体系具有强基固本的作用；好的内控体系有助于企业化解重大风险；好的内控体系有助于提高央企的全球竞争力。

如果企业内控（牵头）部门负责人将这三方面的内控作用想清楚、理解好、讲到位，本企业的主要领导人就不可能不重视内控部门，不可能不重视内控人才队伍建设，不可能不重视本企业内控体系的持续优化。

建立健全内控体系，进一步提升管控效能

关于内部控制与风险管理之间的关系，不同的人有不同的理解。有人认为内部控制=风险管理；有人认为内部控制大于风险管理；有人认为内部控制小于风险管理。

例如，COSO2004版《企业风险管理整合框架》（ERM-IF）认为，内部控制整合框架（IC-IF）是完全被包含在企业风险管理框架中的，即内部控制小于风险管理。

但是，COSO2017版的《企业风险管理——整合战略与绩效》框架，对内部控制与风险管理之间的关系又有新的观点，对于风险、风险管理概念的定义也有根本性的变化。COSO的这种新观点、新变化，是倒退还是进步，不同的人也有不同的看法。

不论是内部控制框架（系统、过程与方法等），还是风险管理框架，都是为了管理好风险，促进企业业务（包括财务）目标和战略的更好实现。

《关于加强中央企业内部控制体系建设与监督工作的实施意见》（以下简称《实施意见》）中“强内控、防风险、促合规”的管控目标概括的非常好，通过加强内控来防范风险，促进合规（促合规也就是促进央企加强合规风险的管理）。本来只需要说“强内控、防风险”就好，之所以要强调合规管理，是因为央企当前面临的合规问题比较突出。

当前，一些国有企业的主要领导对于内控地位和作用的认识还是不够充分。有些企业的内控由公司副总负责，有些企业的内控部门设在财务部或其他部门之下，地位不高；还有些企业内控建设和内控评估全部由审计部门负责，等等。

《实施意见》强调，央企主要领导人是内控体系监管工作的第一责任人；央企应明确专门职能部门或机构统筹内控体系工作职责；落实各业务部门内控体系有效运行责任。

实务中一个令企业领导者纠结的问题是：要不要单独设立专门的职能部门或机构来统筹内控体系工作职责？这个专门的部门（机构）可不可以是审计部门或与审计部门合并为一个机构？

对于央企这种大型企业来说，这个专门的职能部门或机构，尽可能与审计部门分开，否则统筹内控体系、组织实施内控有效运行的职责，与评估、监督检查和优化内控的职责就由一个部门（机构）来完成了，自建自评总是不合适的，难以发挥“以评促建”的作用。

对于中小企业来说，可以将内控、内审、法务（合规）等合并为一个部门，分别由该部门下面的不同处、室来负责履行不同的职责。小企业要根据自己的特点来设置内部的机构。

内控与内控制度，管理制度与内控制度（政策和流程）之间的关系，不同的人有不同的理解。

上交所在2006年6月发布内部控制指引征求意见稿时，当时加“制度”两字。深交所也一样。

后来两个交易所正式发布《上市公司内部控制指引》时，将“制度”两个字删除了。狭义的制度，主要指企业内部的政策和程序，属于内控框架中“控制活动”，只是内控框架的一个要素，而不是全部。

还有人将内控制度与企业的内部管理制度分割开了。记得几年前有一个内部控制方面的高峰论坛，五位专家中有四位专家认为管理制度与内控制度是不同的，是两套制度，只有一位专家（好像是德勤的专家）认为两者是合而为一的。

将风险管理的理念、方法，以及内控的策略和要求嵌入到日常的管理制度中。将管理制度与内控制度割裂开来的做法是不可取的，会使得员工和管理者无所适从。

《实施意见》指出，在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求，明确重要业务领域和关键环节的控制要求和风险应对措施。

并且，企业内部控制是一个动态的、持续优化或完善的过程，企业要时时关注内外部环境的变化，及时修正、完善相关的内部控制制度，不断提高内控设计的有效性。《实施意见》指出，要“及时将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系。”

相当一部分企业在内部控制建设和优化中存在的一个突出问题是，对重大风险确认不正确、不完整；对风险的大小缺乏正确的评估，导致“眉毛胡子一把抓”，甚至“拣了芝麻丢了西瓜”。

例如，企业最大的风险就是业务目标和战略实现不了的风险，但不少企业对业务风险（例如，收入目标、营销战略不能实现的风险等）、财务风险（如融资不到位的风险、现金流断裂的风险等）等缺乏定性和定量的评估。相应的风险管理策略的设计不够正确，控制活动也就缺乏针对性，不够有效、有力。

我们要在加强合规、安全生产等风险管理的基础上，牢记内控最重要的目标：业务目标和战略的实现。

强化内控体系执行，提高重大风险防控能力

价值是收益与风险的函数。风险越低，收益越小；要想取得更高的收益，就必须冒更大的风险。

所以，企业在进行内部控制或风险管理的过程中，要在整体角度对本企业的风险容量（风险承受能力、风险承受度）有一个正确的估计，对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。

当然，正确评估企业的风险容量绝非易事。不同行业、不同业态、不同商业模式、不同发展阶段的企业，其风险容量是不相同的。

企业的内控体系工作机制，除了相互衔接、相互制衡、相互监督；还需要相互支持、相互促进。

约束有力、激励有效的内控机制，直接决定着一个企业内控的成败。

做任何事情都需要分清轻重缓急，内控建设和优化也是如此。

《企业内部控制基本规范》将内部控制目标分成五个大类，分别是经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

相对来说，前三个目标比较容易实现，因为影响前三个目标实现的因素主要来自企业内部，是企业可控的；而后两个目标实现的难度要大很多，因为经营效率和效果能否提高，企业发展战略能否实现，不仅取决于自己的努力，还是看企业能否超越竞争对手。

例如，汉王科技以前生产电子书，质量和性能一直在改进，但没想到苹果推出IPAD后，汉王科技的电子书就突然滞销，公司也由盈利转向巨额亏损。

这样的例子俯拾皆是。以至于有的企业家说：最可怕的是公司的产品质量在提高、销售收入在增加、经营在不断改善，一切看起来都很好，突然有一天就失败了，猝死。

所以，内部控制的重点一定要放在业务上，放到企业经营效率和效果的提高上，放在企业发展战略的实现上。

加强信息化管控，强化内控体系刚性约束

第一，我们对信息化、数字化、智能化、智慧化的概念，以及相互之间的关系要有正确的认识。

第二，对于企业的数字化转型中存在风险要高度重视（IBM的一份CEO调研报告中指出，超过70%的数字化转型并不成功）。

第三，企业应当结合本单位的实际情况，正确制定数字化转型的策略与方法。

第四，通过数字智能来促进企业内控体系的优化。

10多年前，企业界曾流行过这么一句话：不上ERP等死，上ERP找死。

这句话也同样适用于当下的企业数字化转型。如前所述，IBM的调研报告显示，超过70%的数字化转型并不成功，说明有很多企业在数字化转型的策略、方式和时机选择等方面存在严重缺陷，也可以说这些企业在信息系统领域的内部控制存在重大缺陷。

内控运营管理办公室