一、金融集团内部控制的含义和目标

　　在现代企业制度中，可以有两个层次的内部控制。一是作为一个法人实体的公司的内部控制，二是控股公司（或集团）的内部控制。

　　相对于一个法人实体来说，集团的内部控制更为复杂。一是子公司的内部控制，一是控股公司对整个集团的内部控制，二者的职能应当明确界定，相互补充。

　　参照巴塞尔委员会关于内控制度的框架性文件，金融控股公司的内部控制应当有三个目标：第一，实现集团的协同效应，实现效率目标；第二，提高集团的透明度，保证对内对外的信息是及时的、可靠的和恰当的；第三，保证整个集团的经营活动符合监管要求和法律，符合公司制定的政策和程序。

　　二、金融控股公司架构下的主要风险

　　金融控股模式只是多元化金融集团的一种组织结构。在多元化金融业务的组织模式中，金融控股模式是取其“中”，即介于全能银行模式和分业经营模式之间。在金融控股模式下，子公司仍然是“分业”的，或者说是专业化的，而集团是“全能”的，从而兼顾了安全和效率。

　　应当说，金融控股模式只是部分地排除了全能银行的风险。虽然控股公司只对子公司的债务承担有限责任，但由于金融集团内部复杂的持股关系和资金往来，单个机构的安全并不能得到充分的保障，并且面临着新的风险。在金融控股架构之下，分业经营下金融机构的问题仍然存在，但又提出一些新的问题。最大的问题就是金融集团的内部交易问题。所谓内部交易（intragroup transacitons）是指集团成员之间发生的资产和负债。这些资产和负债可以是确定的，也可能是或有的。

　　金融集团的内部交易具有两重性。一方面，内部交易可以为集团带来协同效应，降低经营成本，增加利润，改进风险管理的效率，更有效地管理资本和债务。之所以有金融集团，除了概念和品牌上的意义之外，就是要有内部交易。否则各种业务以法人形式独立经营便可，不必组成集团。否定了内部交易就是否定了可以得到的、潜在的效率，从而等于否定了金融集团。另一方面，内部交易可能导致风险传递，使得经营中发生的困难更加复杂化。金融集团和监管当局都应权衡内部交易的好处和问题，区别对待不同金融业务中不同种类的内部交易。

　　2000年4月世界银行的一份研究报告指出，从监管的角度看，金融集团带来的问题主要有三个：风险传播、透明度、自主权。对金融控股公司的监管必须解决这些问题。

　　1、集团内部的风险传播

　　风险传播是指，某一集团成员发生的经营事故可能引发另一个成员的流动性困难，或大幅度地影响后者的业务量。如果后者是一家被监管的金融子公司，就必然引起监管机构的关注。当一个集团成员陷入财务困难时，可能由于已有的资金往来而使其他集团成员被迫救助，从而发生新的资金往来。风险传播的基础是集团的内部交易，这种交易可能是明显的，比如贷款和投资；也可能是隐含的，比如集团内部的担保和转移定价。

　　2、公开信息是真实情况可能发生较大出入

　　透明度问题既与个别集团成员的财务状况有关，也与整个集团的财务状况有关，同时也与集团的法人结构和管理结构有关。集团内部法人主体之间的交易可能会夸大一个集团成员的报告利润和资本水平，因为集团的净资本（外部资本）可能大大低于所有集团成员的资本之和。因此，公开信息的准确性将大打折扣。集团结构和内部交易的复杂性将使监管当局和投资人、债权人难以了解集团内部各个成员之间的授权关系和管理责任，从而无法准确判断和区分一个集团成员所面对的真实风险。

　　3、集团成员的决策自主权

　　如果一个被监管的金融机构由一个控股公司控股，该机构是否能够独立地、有效地行使管理就是一个问题。监管当局和股东、债权人需要知道，该机构的董事会和管理层是否可以按照监管和法规的要求，实施有效的管理。这样的担心来源于该机构的董事会和管理层可能缺乏必要的自主权，他们在经营和财务决策方面受到很多限制，作出客观判断的能力将大打折扣。如果控股公司是非金融性企业，不受监管的约束，金融性子公司的自主性将更成问题。

　　从实际执行中的情况看，各国监管当局对金融集团的内部交易并不是“一刀切”地禁止，而是采取了一种“迂回”的方法。一是对公司治理和内部控制提出要求，“启发”金融集团自己关注内部交易。金融集团往往从战略角度安排不同业务之间的内部交易，以获得效率；监管当局则从资本和偿付能力的角度出发，要求它们关注集团内部法人实体之间的内部交易。监管当局尤其需要关注那些业务领域和法人结构不一致的金融集团的内部交易。

　　二是要求金融集团披露自己的组织结构和重大的内部交易，特别是那些将对集团财务健康带来不利影响的内部交易，并监测这些内部交易的规模和水平。

　　三是通过对集团结构和集团法人的层次提出要求，增加内部交易的透明度。比如，在会计并表准则和税法方面制定规则，间接地鼓励某一种集团结构，不鼓励另外的集团结构。在批准新设企业、收购合并、所有权转让等活动中行使否决权，拒绝不适当的集团结构，要求子公司的专业化，鼓励业务活动和法人结构相一致的集团模式。

　　四是大多数监管当局都设立法规，直接禁止某些金融业务中某些形式的内部交易。一经发现，这样的内部交易将被取消或中止，主要责任公司将受到处罚。

　　三、金融集团内部控制的指导原则

　　1998年巴塞尔委员会关于银行业内控制度框架文件包括了一个健全的内控系统应包括的所有重要内容，既是银行机构建立和完善内控制度的指导性文件，也是监管当局评估银行内控制度是否完善和有效的重要依据。

　　1、公司董事会在内部控制上的职责

　　授权是现代管理中最重要的内容，但对被授权人行为的监控同样重要。公司董事会对建立一个有效的内控系统负有最终责任。公司董事会应对如下事务负有责任：（1）批准和定期审查公司整体经营战略和重大政策；（2）了解公司面临的主要风险，设立可以接受的风险上限，保证管理高层采取切实的步骤，对这些风险进行识别、度量、监测和控制；（3）批准公司的组织结构，授权明确、职能清晰的组织结构是整个内部控制的基础；（4）保证管理高层有能力监控公司内控系统的有效性。

　　另外一种方式是建立一个独立的、协助董事会工作的公司审计委员会。审计委员会的具体职责是：定期审阅管理层、内审部门和外部审计提交的内控工作评估报告，讨论公司内控系统的有效性；定期审查管理层是否已经纠正审计部门和监管当局指出的内控缺陷；定期审议公司风险管理政策和风险控制上限是否适当；对公司财务报告的真实性提出意见。

　　审计委员会直接与内审部门和外审部门发生工作联系。审计委员会的成员应当具有专业性、客观性和责任心。

　　2、管理高层在内部控制上的职责

　　尽管内控工作是由全体员工参与的一个过程，但管理高层负有领导建立内控制度和监督执行的责任。管理高层应当领导和监督在经营单位层次建立具体的内控政策和程序；公司内部各个单位的职能应当界定清晰、授权和责任明确，不应存在功能上的缺位和重叠；应当任用在经历和能力上有资格的管理人员，不断加以培训，更新他们的知识和技能，并以适当的报酬制度和晋升制度来保证对他们的激励。

　　3、在企业中普及内控意识

　　由于内控工作的落实有待于所有员工的实践，故在整个公司中形成良好的内控文化十分重要。良好的内控文化并不必然保证企业取得优良的业绩，但缺乏这样的文化却可能对内控缺陷失察，导致一些本来可以避免的损失。

　　4、对风险的认识与监测

　　风险评估应当包括所有影响公司业绩和目标的内部因素（比如，公司组织结构的复杂程序与变动、公司业务的性质、关键管理人员的素质和流失情况）和外部因素（比如，宏观经验环境的变化、行业竞争态势的变化、技术进步对本行业的影响）。

　　风险评估应当在每一项业务、子公司和整个集团的层次进行。风险因素可以是可度量的，也可以是不可度量的。还应评价控制该种风险的成本是多少。风险评估应当区分哪些风险是公司可以控制的，哪些是公司不能控制的。对可以控制的风险，应当决定是接受还是以一定的代价转移给其他愿意接受的机构；对不能控制的风险，应当决定是接受、放弃、还是减少该种业务的规模。

　　一个有效的内控系统要求，影响企业实现经营目标的重大风险应当被认识，并被持续地评估。这种评估应当包括企业或企业集团面对的所有风险。内控工作应当不断评估，以便发现从前未被认识的风险，以及新出现的风险。对这些风险的评估最好使用情况分析方法，考察不同情况对现金流和交易收入的影响。

　　5、基本的内控措施

　　（1）管理高层。管理高层应当关注内控工作，要求下属提交实现公司业绩目标状况的报告，以便了解进展和问题，提出疑问并要求下属做出解释。

　　（2）职能部门和事业部（子公司）层次。这些部门的负责人应当定期（每天、每周、或者每月）研究业务进展报告，其频率和仔细程序应当高于公司高层管理人员。

　　（3）有形的控制活动。有效控制通常是指对有形资产，包括现金和证券的控制。具体的控制方式包括：具体的限制措施，双重保理，周期性库存，资金调动双签制等。

　　（4）对是否遵循风险上限进行检查，查清未能遵循风险上限的原因，并做出解释。对借款人的授信额度是否突破？为什么突破？

　　（5）授权与批准制度。应就什么管理层次可以承担多大数量的风险上限做出授权，以便使第一管理层了解自己管辖层次的风险，清楚自己的责任。

　　（6）验证和核对制度。应当定期地验证与核对交易活动的细节和风险评估模型的分析结果，以便及时纠正错误。一旦发现不符之处，应将验证与核对的结果向相应的管理层报告。

　　6、对利害相关职责的分离

　　有效的内部控制要求，对利害相关的职责应当进行分离，不应对同一人员授权负责利益相互冲突的岗位。具有潜在利益冲突的岗位应当进行识别和减少，并对其状况由独立的第三方进行监督。

　　7、有效的信息来源

　　一个有效的内控系统要求，公司决策层应当能够得到有关财务、经营状况的综合性信息，以及与决策有关的外部市场信息。这种信息应当是有意义的、可靠的、随时可行的，并且可以前后对比的。

　　8、信息系统的安全与可靠

　　金融机构应当建立一个涉及全部业务活动的、可靠的管理信息系统。这些系统必须是安全的，并被独立的监测，具有应急备用系统。

　　9、有效的沟通渠道

　　公司的组织结构应当保证信息能够上下左右四通八达。向上的信息保证管理高层了解经营风险和当前的经营状况。向下的信息可以保障公司的目标、战略和预期，以及已有的政策和程序，能够传达到下层管理人员和员工。最后，公司内部的信息沟通应当保证一个部门或经营单位的信息可以由其他单位分享。

　　10、对主要风险的监测

　　企业内控工作的整体效果应当能够持续地被监测。管理高层应当明确授权，由谁来监测内控系统的有效性。对主要风险的监测应是金融机构日常工作的一个组成部分，应当由企业一线经营管理人员和内部审计人员定期评估这种监测的有效性。

　　对内控系统的实时监测可以及时发现和纠正内控系统的缺陷。尽管对内控系统的定期评估只能在事后发现问题，但却可以对内控系统的有效性做出一个整体性的评估。参与定期评估的人员可以来自业务部门、财务部门、内审部门。评估结果应有书面报告上报管理高层。

　　11、对内部控制的内部审计

　　企业应当有一个独立的、训练有素的内部审计部门，对内控系统进行综合性审计。内审部门应当由有能力、有专业知识和经验的人员组成，他们应当清楚自己的作用和职责，并直接对董事会（或公司审计委员会）或管理高层负责。

　　内部审计的一个重要职能就是对公司内控系统进行实时监测。内审部门的工作应当独立于公司的日常业务，但有权“介入”公司所有经营单位和下属公司的业务活动。

　　公司管理高层应当保障内审部门的独立性，并从员工报酬和预算支出上予以支持，而不应由与内审部门有利害关系的管理层次决定。

　　12、对内控缺陷的处理

　　经营管理人员、内部审计人员、或其他管理人员发现的内控缺陷（或未能加以有效控制的风险）应当及时向适当的管理层报告。重大的内控缺陷应当及时向管理高层和董事会报告。

　　13、监管当局的责任

　　尽管公司董事会与管理高层对内控系统的有效性负有最终责任，监管当局应当把评估金融集团内控系统作为一项重要的监管内容。监管当局应当要求所有金融机构建立有效的内控系统，这一系统应当与公司的表内、表外业务活动的性质、复杂程序和内在风险相适应，并随着企业环境与条件的变化而变化。

　　监管当局不仅应当评估金融机构整个内控系统的有效性，而且应对金融机构经营环境的变化予以特别关注，考察金融机构是否已针对上述变化，对内控系统做出调整。

　　监管当局对金融机构内控工作的监管方式可以有三种。一是要求金融机构（内审部门）提交自评报告；二是监管机构确定内容与范围，要求金融机构定期提交相关内容的外审报告；三是直接对金融机构的内控工作进行现场检查。

　　为了评价金融机构内控系统的有效性（是否发挥作用）和可靠性（该系统是否足以遏制风险），监管当局可以考察金融机构用于识别、度量、监测和管理风险的模型与方法。如果认为适当，监管当局可以使用内部审计报告来评价该金融机构内控工作的质量，或者认可内审人员发现的内控缺陷。

　　尽管外部审计的主要目的是核实金融机构的年度报告，但监管当局也可以利用外部审计来评估金融机构的内控工作。

　　在许多国家，对金融机构内控工作的现场检查是一项重要的监管工作。为了证实金融机构内控工作的有效性，现场检查既包括对业务流程的检查，也包括对交易过程的测试。