内控管理部门是银行机构二道防线，检查工作是内部管理部门的基本职责。定期与不定期开展内控检查是银行业金融机构的必要动作。银行机构如何开展内控检查、对检查发现问题及时整改、对责任人员开展问责等。本文通过监管处罚案例介绍内控检查不到位引发的多次行政处罚，通过案例向读者介绍银行业金融机构如何有效开展内控检查，防范机构内部各类风险。

二道防线与一道防线的内控检查差异在于二道防线检查人员相对专业（拥有FRM、CPA、CFA、司法资格证书、多年从业经验等），二道防线检查视角从银行机构内部制度、人员配置、流程管理等方面发现问题。一道防线的自查主要是业务层面，自查发现在业务开展过程中有章不循、执行不到位、操作风险等。

监管处罚案例：2014年，农业发展银行西双版纳州分行由于内部监督失效，内控检查流于形式受到西双版纳银监分局罚款人民币25万元。

内控检查定义：内控检查是银行内控管理部门持续改进内部控制，防范合规风险的重要手段。通过内控检查，能够快速发现银行制度、系统、流程和管理上的漏洞与短板（缺陷），建立自我纠正内生机制，消除业务操作和管理隐患，最终为银行业务健康发展提供保障。

银监发〔2014〕40号文规定：银行业金融机构作为特许性行业，区别与普通企业的是，在开展外部业务与内部检查时必须遵循各种监管规定。银行机构重视外规内化、内规优化等。

内控检查与业务检查有本质的区别，目标不一致，思路不相同，检查发现问题的处理也不一样。主要表现为：

内控部门属于监督部门，履行的是风险第二道防线职责。而业务部门及下级支行是主体责任部门，履行的风险第一道防线职责。

职责不同，必然导致检查目标的不同。内控部门的目标是站在银行管理的角度，具有全面性、系统性和根源性特点。而业务部门的目标是站在条线管理（区域管理）的角度，具有局部性、自纠性和操作性特点。

内控检查以第三方视角，对业务部门有天然的监督权，检查的方式可以采用多种方式，或使用常规的穿行测试方法，偏向于通过样本的特征来推断业务的总体管理情况，以便于监督和改进。而业务部门的检查，一般处于规范条线所需，检查与业务指导、提醒常常相伴，偏向于发现问题，以便于指导和规范。

内控检查发现的问题，除了及时纠正业务偏差，还要进一步分析、判断问题产生的原因，进而判断银行的制度、系统、流程和管理是否存在内部控制缺陷。如果属于设计缺陷，那么则需从总行层面，在战略设计、资源配置、文化导向等方面进行整改。业务检查发现的问题，属于执行层面，则由总行相关业务部门从条线管理层面，强化管理、持续改进。

开展内控检查，必须事先确定年度计划、制定检查要点、登记检查底稿，调阅资料并实施检查。主要步骤为：

银行应该在年初制定年度的内控检查计划，对整个年度工作作出谋划。

编制检查计划，确定检查项目时，要重点考虑以下因素：

一是监管部门当前关注的重点领域，年度监管要点和处罚高发业务及环节。

二是银行同业或本银行上一年度发生的案件和重大风险事件。

三是内外部检查发现，具有普遍性、系统性的一般问题。

四是已上线但未超过一年的银行新业务、新产品。

五是涉及属地银保监局或并表银保监局在前一年度监管工作或年度监管意见中指出的重要问题。

★新产品、新业务为何要列入银行机构年度检查计划？

《商业银行内部控制指引》第二十四条明文规定商业银行设立新机构、开办新业务、提供新产品和服务，应当对潜在的风险进行评估，并制定相应的管理制度和业务流程。

银保监会及其派出机构对银行机构新产品、新业务管控不到位做出9次监管处罚。处罚事由为新业务办理不审慎、开办新业务未坚持内控优先等。

一个完整的检查项目计划，应该包括：

一是检查名称。如**分行固定资产贷款贷款用途检查、**分行自助设备现金管理检查等。

二是拟开展时间。确定项目开展的时间期限。一般情况下，要包括前期准备时间、现场检查时间和报告阶段时间。

三是被检查分支机构。即确定内控检查项目实施的对象，可以是分行，也可以是支行，甚至是基层网点。被检查对象，可以是一个分行，也可以是多个分行。

四是检查的主要内容。银行所涉及的所有业务都在内控检查计划之内，如信贷、资产管理、信用卡、监控设备管理等。内控检查可以是全面检查，也可以为专项检查。检查的内容可以是整个业务的全流程，也可以是其中的某个业务环节。可以是发生的所有业务，也可以按一定方法进行的抽样检查。

五是确定检查方式。根据检查内容、投入的资源和所采用的技术。内控检查可以为现场检查、也可以为非现场检查。

六是确定检查项目的负责人。为每一个项目确定一个负责人，作为检查项目的总牵头人，主要负责项目的前期资料收集，牵头成立检查小组，检查的组织实施和报告等工作。

为确保内控检查有别于业务条线的检查项目，检查的结果综合利用。内控年度检查计划必须经过高层或内控管理委员会的审批才能开展执行，最终检查结果也将向高管层汇报。

检查计划高级管理层审批方面，遵循集体讨论、集体签批方式，分管信贷条线、风险管理条线、运营管理、财务会计的副行长与行长在行长办公会议中集体讨论，并在会议记录中签字确认，留存备案。

检查方案是检查计划的进一步细化和落地措施，是为检查人员提供更好的工作指导，主要包括内控检查的背景要求和目的、检查小组的构成和业务特长、具体被检查对象及业务抽样要求、检查实施时间、检查依据的文件和具体时间安排等。

检查底稿包括两种。

（1）问题底稿

主要用于记录检查发现的问题、问题所在机构，问题所涉及到的责任人，被检查分行签字盖章回执等。

问题索引号：用于问题的数量编号，以便导入计算机系统实现自动化管理。

问题描述：对检查发现的问题进行描述，要包括违规事实陈述，发生的具体机构和违规人员姓名。还要包括违规的具体条款。

整改要求：对检查发现的问题，要提出及时整改要求。如要问题发生机构马上弥补漏洞，完成问题的整改。

被检查分行回执：由被检查分行针对检查小组提出的违规事实，陈述问题是否属实并描述问题的现场整改情况。

（2）工作轨迹底稿

主要用于记录内控检查工作的准备、实施和报告情况。一般情况下，根据时间进度，每个检查项目至少包括四张工作轨迹底稿，如检查准备情况、实施情况、报告情况和整改及跟踪情况。

（3）检查底稿归档

内控检查部门由专人专岗负责检查底稿归档工作，纸质档案分门别类装订成册，对重要类检查底稿扫描入档案管理系统（后期查询、问题追责等）便于查询和回溯。

银保监会《关于加强银行档案工作的意见》指出银行档案是银行经营管理活动的直接历史记录，既是银行的有形资产和无形资产，也是银行的核心信息资产。银行档案工作是国家档案工作的一个重要领域，是我国档案事业的重要组成部分；银行档案工作与银行各项经营管理活动紧密相连，相互作用、相互影响，是银行内部管理的基石。推动银行档案工作与银行各项工作协调发展，对提高银行科学管理水平，完善现代金融企业管理制度，提升银行竞争能力，构建社会信用体系和和谐社会，促进企业文化建设都具有重要意义。

检查组为检查人员编制检查要点，其目的是为了向检查人员提供更为详见的检查方法和便捷的检查手稿。特别是检查方法和检查依据，对于提高检查效率，减少现场检查时间有较好的指导作用。

银行机构编制检查要点主要是通过外部监管文件。如双录检查，要点编制依据为《关于印发银行业金融机构销售专区录音录像管理暂行规定的通知》（银监办发〔2017〕110号）第五条。

“双人加钞”检查要点来自《关于银行自助设备管理风险提示的通知》（银监办发〔2014〕124号）二、严格执行双人会同监督制约机制。自助设备装卸钞、轧账、清分及机具维护应坚持双人会同原则，吞没卡应在双人监控下与指定人员办理卡项交接工作，双人会同不能弱化为形式上的要求，双方都应切实履责，形成实质制约。

针对风险事件、监管处罚案例，通过分析、对比，倒查银行机构内部是否存在类似同样的问题或缺陷。

举例2017年，张家港农村商业银行因内部控制不到位导致员工涉嫌违法，被罚25万元。该银行董事长季颖对员工涉嫌违法一案负有管理责任，被罚6万元。另外两名被罚的相关责任人为陆亚明、杨诗林，分别为该行副行长、首席风险官，两人分别被罚10万元、8万元。由此，多家开启员工行为检查（员工账户交易、员工物品保管等）。

检查组应提前将资料调阅清单发被检查分行，要求分行在检查组进驻前将相关资料准备好。

资料调阅清单要注明被检查分行对资料的真实性、完整性和有效性负责。每一份资料要准确记录资料的名称、年度、份数，提供人是谁，何时提供的等相关要素。

纸质档案材料，未实现统一保管的向分支机构调阅。实现统一保管的，由统一保管部门提供。

如何科学、合理确定样本量是一个技术难度很高的工作。一般来说，抽样方法有随机抽样、分层抽样、整体抽样、系统抽样、发现抽样等。

对于内控检查来说，无论采取哪种抽样方式，只要能保证所抽样的样本是随机产生的，达到一定数量，就能根据样本特征，推断出总体特征即可。

内部模型抽样：当前部分银行机构已经拥有内部检查模型。银行机构不像以往仅仅通过抽样法选取样本，除了抽样法外通过内部模型的方式精准发现可疑类违规情形，有针对性地开展检查工作。

内控检查人员通过抽取一定数量代表性样本进行调查和检查，并据此推断总体状况。

模型辅助检查是近年来，银行机构兴起的借助模型计算机辅助发现可疑类违规业务。

模型辅助检查，以信贷业务为例，内控检查部门通过定量检查辅助手段，发现可疑类违规问题。

根据事先确定的检查方案，检查组在规定时间进驻检查。召开进点会议，听取汇报，提出配合事宜。同时，对被检查分行准备好的资料进行检查，形成工作轨迹底稿和问题底稿。

内控检查人员现场检查工作应注意纪录和回避。如A现场检查人员到B支行行长开展现场物业贷专项检查，发现A检查人员与B支行行长是夫妻关系。检查人员与被查机构负责人存在近亲属关系，在检查人员安排过程中应当充分考虑，做出必要的回避，防范内控检查工作流于形式，内部控制失效。

现场检查后，检查组必须对现场检查问题进一步归纳、提炼为内部控制缺陷。主要步骤为：

1.汇总所有检查发现的违规问题。

2.分析判断问题的产生是否属于政策、制度、机制、资源等方面原因引起，如果是，则直接定义为内部控制缺陷。

3.如果属于执行不到位问题，其发生的机构覆盖率达到一定程度（不同的银行对该比例的标准不同，一般不低于50%），则可以定义为内部控制执行缺陷。

内控制度缺陷处罚案例：

银行机构内控检查，利用专业知识对业务流程中制度缺失、资源分配不到位等开展尽职检查，为后续银行金融机构修订内部制度、改进流程提供检查依据。

检查报告用于检查组向高管层的报告材料，必要时，可以向本行内部控制管理委员会报告。

例5：检查报告格式

关于XX分行理财业务销售双录内控检查情况的报告

一、基本情况

对检查的组织实施情况做简要介绍。

二、检查发现的主要问题

三、提炼的内部控制缺陷

分为制度缺陷、流程缺陷、系统缺陷和执行缺陷四种。

四、原因分析

根据存在的内部控制缺陷进行原因分析。如，资源投入不够、员工业务技能较低、系统功能缺失等。

五、合规风险分析

内部控制不足、盲点带来的监管风险，可能导致的处罚，可能导致的资金损失等。

六、向管理层提出的改进建议

《商业银行内部控制指引》第四十五条：商业银行应当建立内部控制问题整改机制，明确整改责任部门，规范整改工作流程，确保整改措施落实到位。

银行机构由于内控整改不到位受到监管处罚。如2020年，漳州银保监分局对辖内漳州农商银行员工整改问责不到位做出监管处罚。

内控检查整改不到位处罚案例：

整改状态包括“完全整改、正在整改、能整改未整改、无效整改、无需整改”五种整改状态。

目前，各家银行对问题（缺陷）的整改，尚无统一标准，但都遵循一个宗旨，即：错误得到改正，漏洞得到弥补，风险得到控制。主要看三点：

一是问题（缺陷）发生单位是否采取了有效的纠正整改措施，并对避免同类问题发生采取了防范措施。

二是问题（缺陷）发生单位对于认为应由上级机构实施整改的，是否及时向上级管理机构报告。

三是上级管理机构是否采取有效的措施来防范同类问题在辖内其他分支机构再次发生。

例6：内控检查发现某支行向某公司发放一笔贷款，贷前工作不到位、缺乏部分贷前调查资料。不同整改状态的认定标准：

如果内控检查发现问题不是诱发风险的主要原因，问题整改了即可认为完全整改；如果主体的风险消失了，并对相关责任人按规定进行了处理，即使原问题没有整改，也可以认为已整改。如：

完全整改：如果只是缺少部分材料，不影响贷款审批或者调查报告已经充分揭示了贷前风险，在材料补齐的情况下或贷款已收回，则可以认定完全整改。

正在整改：如果有关人员调查时未尽职、贷前风险没有揭露，该笔贷款是在贷前风险揭示不足情况下审批发放，不论该笔贷款分类状况如何，即使该行针对问题补充了贷前调查资料，由于问题所涉及的风险没有完全释放、剩余风险较大，只能认定为正在整改。

能整改未整改：如果所在分行未采取任何措施，则直接认定为能整改未整改。

无效整改：采取的整改措施与所缺失材料无关，只是对责任人进行了问责，主体风险并未消除，则认定为无效整改。

无需整改：经判断，如果所缺资料客观上已无法再次获得，贷款风险得到控制，则认定为无需整改。

对于检查所发现的问题，应发被检查分行，要求限期整改，一般情况下，应在三个月整改完毕。

对于汇总提炼的内部控制缺陷，应提交业务部门，由其站在管理的角度，牵头开展系统性整改工作。

在规定时限内未整改的，应进行问责。

跟踪管理：

内控部门要对问题（缺陷）整改真实性、有效性进行跟踪管理，建立台账制度和整改跟踪制度，对每一个问题进行跟踪和整改确认，形成管理闭环，不断改进内控措施，提升控制效果。

银行机构内控检查后，应当按照行内规定开展内部问责。对于违规行为轻微的采用批评教育、公开通报、内部违规积分等方式；行为后果严重的可以采用责令停岗、警告、记过、罚款、开除等内部问责方式。

内控检查问责不到位处罚案例：

一是外部监管机构检查认定的违规行为；二是银行内部各级检查、监测及日常管理中认定的违规行为；三是情节较轻。

（1）商业银行应当明确风险管理相关委员会负责辖内违规积分管理组织架构、制度体系等方面的决策；审议辖内重大、复杂的违规积分管理事项；组织、协调、指导、督促辖内有关部门和下级机构开展违规积分工作。

（2）商业银行应当指定违规积分管理部门，由其负责辖内违规积分工作的组织实施和日常管理；建立并持续优化违规积分管理办法及积分标准；维护辖内违规积分数据信息，定期对违规积分数据进行分析评价，形成报告提交风险管理相关委员会；负责对本部门检查、监测、日常管理及外部机构检查中发现问题的相关违规责任人进行积分认定，并作相应积分记录；对辖内违规积分管理制度执行情况进行检查监督，形成检查报告，提交风险管理相关委员会。

（3）商业银行各业务部门为辖内本专业的违规积分实施部门，负责配合违规积分管理部门补充完善本业务条线违规积分标准；负责对本业务条线违规积分管理制度执行情况进行检查监督；定期对本业务条线违规积分数据进行分析评价，形成报告及风险提示，提交违规积分管理部门及相关业务部门；将违规操作的高发领域及积分管理的薄弱环节作为监督检查、业务辅导、业务培训和人员排查的重点；负责对本部门检查、监测、日常管理中发现问题的相关违规责任人进行积分认定，并作相应积分记录。

积分认定是对发现的违规行为按照违规积分标准进行积分的过程。积分认定遵循“谁检查（主管）、谁认定、谁记录”的原则。商业银行内部组织的检查由负责检查的部门实施认定和记录违规积分，业务监测及日常管理由负责相关工作的部门实施认定和记录违规积分；外部机构组织的检查由被检查单位违规积分管理部门对检查认定的违规问题实施认定和记录违规积分。

商业银行应当对新入行员工、转岗员工与其他员工在积分应用上给予区别对待，对于新入行员工和转岗员工在上岗或转岗一定时期内发生的违规积分不予考核或处理。一般来说，新入行员工的容忍度为一年，转岗员工的容忍度为3个月。

商业银行应当将违规积分作为员工个人绩效考核和年度评优的参考依据。在对员工选拔任用、职务晋升时，应当将员工近三年的积分和违规情况列入考察内容。

银行机构内部检查发现风险事件，应从经办责任、管理责任和领导责任对风险事件直接责任人进行严肃问责的同时，对管理不尽职、履职不到位的机构负责人和业务条线管理人员也要严格认定责任并严肃问责。

问责时，需考虑责任大小，区分轻微、严重、特别严重三种情况。同时，还将考虑是否属于客观因素引起，还是主管故意。是否存在尽职免责的减轻或免于处理情况。

此外，将风险事件防控工作纳入绩效考评和年度评优，落实管理责任制，逐级明确监督管理职责，切实发挥绩效考评的导向和约束作用。