硕士学位论文-我国商业银行内部控制自我评价研究.doc

我国商业银行内部控制自我评价研究学校代码：10254密 级： 论文编号： 上海海事大学SHANGHAI MARITIME UNIVERSITY 硕士学位论文 MASTER DISSERTATION 论文题目：我国商业银行内部控制自我评价研究 学科专业： 会计学 作者姓名： 姜隽倩 指导老师： 田建芳 副教授 完成日期： 二一年五月 摘 要摘 要随着国内外财务欺诈丑闻的曝光，内部控制缺陷问题不断显现，国家监管机构也开始重视上市公司内部控制制度的建立及其评价问题。2008年，五部委联合发布了中国第一部内部控制规范企业内部控制基本规范，要求上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。然而，相关配套的具体操作指南尚未发布，给各上市公司进行内部控制自我评价造成一定程度的困难，商业银行作为上市公司的排头兵，在内部控制自我评价方面也存在一些问题。本文在对内部控制自我评价的定义、发展、主体和内容、方法和程序进行理论阐述的基础上，说明了内部控制及其自我评价对商业银行的重要性，指出了我国商业银行目前在内部控制自我评价方面存在的问题，剖析了主客观原因，提出我国商业银行应该完善内部控制制度和内部控制评价体系，并在此基础上确保内部控制自我评价的有效实施，希望给我国商业银行内部控制自我评价一点启示。关键词：商业银行，内部控制，内部控制自我评价IIAbstractAbstractWith the exposure of foreign and domestic financial fraud of scandals, the deficiencies in internal control spring up continuously, national regulators also pay attention to internal control systems and its assessment of the listed company. In 2008, five departments jointly issued “the basic norms of internal control”-the Chinese first enterprise internal control standard. The listed companies are required to access the effectiveness of their companys internal control by themselves and disclose annual report on self-assessment; they can also employ intermediary organizations with securities and futures business qualification to auditing internal control effectiveness. However, the related concrete operation guidelines havent been issued, which brings some problems for the listed company on internal control self-assessment, so there are also some difficulties in internal control of commercial banks as the most important part of the listed companies. The writer write this paper based on the theory explains of internal control self-assessments definition, development, principal part and the contents, methods and procedures, and states the importance of internal control and its self-assessment to commercial banks. Then the problems of internal control self-assessment in Chinese commercial banks at present have been pointed out, following by the subjective and objective reasons analysis. The writer also tries to put forward some corresponding measures that commercial banks should strengthen internal control and its self-assessment systems, on which basis to ensure the CSA effective, wishing to offer our commercial banks some enlightenment on internal control self-assessment. Jiang Junqian（Accounting） Directed by Tian JianfangKEYWORDS：commercial banks, internal control, internal control self-assessment 内部控制自我评价的基本理论目 录摘 要IAbstractII引 言1一、 内部控制自我评价的基本理论3（一） 内部控制自我评价的定义和发展3（二） 内部控制自我评价的主体和内容6（三） 内部控制自我评价的方法和程序8二、 商业银行内部控制的特征及其自我评价的现状和问题11（一） 我国商业银行内部控制的特征11（二） 我国商业银行面临的操作风险分析12（三） 我国商业银行内部控制自我评价的发展现状14（四） 我国商业银行内部控制自我评价存在的问题16三、 我国商业银行内部控制自我评价产生问题的原因分析24（一） 法律法规政策对内部控制自我评价没有明确规定24（二） 内部控制评价的成本和效益问题不易权衡24（三） 我国商业银行管理层对内部控制及其自我评价的认识存在偏差25（四） 我国商业银行的内部控制经验不足26四、 解决我国商业银行内部控制自我评价问题的措施27（一） 健全商业银行内部控制制度27（二） 制定商业银行内部控制评价管理办法和实施细则28（三） 设立专门的商业银行内部控制评价机构29（四） 设计商业银行内部控制评价指标30（五） 完善商业银行内部控制自我评价报告31（六） 提高管理层对制度执行的严肃性的认识34（七） 采用科学的内部控制评价方法34（八） 提高商业银行内部控制评价人员的素质35（九） 发挥商业银行内外部监督的作用36结束语38致 谢39参考文献40 43引 言引 言在国外，安然、世通等美国大公司相继爆出欺诈丑闻，内部控制的有效性问题开始被业界关注。针对这些财务欺诈事件，美国国会于2002年通过了萨班斯奥克斯利法案（The Sarbanes-Oxley Act，简称SOX法案），其中第302节和第404节对上市公司的内部控制及其披露作出了严格规定。第一次对财务报告内部控制有效性提出了明确的要求，规定管理层不仅要对公司的内部控制负责，还要对内部控制的有效性进行评价、并保证内部控制系统的适当性。在国内，随着琼民源、中航油事件暴露出的内部控制缺陷问题不断显现，国家监管机构也开始重视上市公司内部控制制度的建立及其评价问题。2008年6月28日，财政部、证监会、审计署、银监会和保监会联合发布了我国首部企业内部控制基本规范，将于2009年7月1日起首先在上市公司范围内实施。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。然而2009年5月11日，中国经营报刊登题为“中国版萨班斯法案确定实施延期”的文章，指出原定于2009年7月1日起实施的我国首部企业内部控制基本规范及其配套指引延至2010年1月1日。除延期外，执行企业的范围也发生了变化，考虑到创业板公司的规模较小，执行内控规范的成本较高，因此，要求原来的上市公司先执行的方案改为拟定境外上市公司先执行。中国审计报发表评论，认为企业内控规范的延期执行主要是因为相关政府职能部门还有大量准备工作要做，相关配套“指引”文件尚未通过，企业很难实施；另外企业执行成本较高，规范的实施需要不少于半年的培训也是重要的原因。由此可以看出，虽然国家出台了企业内部控制基本规范，但是具体操作指南尚未公布，上市公司内部控制自我评价仍存在较多问题，实施起来存在较多不确定因素，需要解决的困难比较多。由于企业内部控制基本规范的适用对象是一般上市公司，作为通用的规范必然对具体的行业无法做出详细规定，因此不同行业在实施内部控制自我评价的过程中会存在差距，行业发展存在不均衡性。纵观近年来我国内部控制自我评价方面的研究，对商业银行执行内部控制自我评价的实际情况进行分析的文献较为少见，而研究公司内部控制自我评价的内容、主体、方法，以及评价过程的具体实施和最终内部控制自我评价报告的内容对目前的商业银行有很好的借鉴意义，通过对目前商业银行内部控制自我评价中存在的问题及其原因的分析及相应对策的提出，笔者希望能够给大家一个清晰的视角去了解商业银行内部控制的自我评价，也希望能给予上市商业银行进行内控自我评价一点启示。本文的写作思路可以归纳为“引言相关理论阐释对商业银行具体分析提出对策和建议发展展望”。首先本文简要说明了研究工作的背景、目的、意义、研究思路和方法，接着对内部控制自我评价进行相关理论的阐释，以规范研究为主，通过大量文献的阅读和归纳，向读者说明内部控制自我评价的定义和发展、主体和内容、方法和程序，然后结合商业银行面临的操作风险的特点，拟从上海证券交易所网站搜集年报数据，采用比较分析的方法，对商业银行内部控制自我评价存在的问题进行详尽分析，指出存在问题的原因，并根据相关理论提出解决问题的方法和措施，最后对我国商业银行内部控制自我评价的实施进行展望。本文的研究框架如下所示：引言内部控制自我评价的基本理论商业银行内部控制的特征及其自我评价的现状和问题我国商业银行内部控制自我评价产生问题的原因解决我国商业银行内部控制自我评价问题的措施结束语内部控制自我评价的基本理论1、 内部控制自我评价的基本理论最近几年来，内部控制理论得到了快速发展和不断完善，内部控制自我评价的定义、特征、主体、内容、方法和程序等基本理论也逐渐成熟，为我们讨论我国商业银行的内部控制及其自我评价问题奠定了理论基础。（1） 内部控制自我评价的定义和发展作为理论基础中的基础，了解内部控制自我评价的定义和发展历程，能够对内部控制自我评价形成整体的印象和认识。综合国内外的定义，内部控制自我评价从一种技术和工具逐渐转变成一个过程和活动，是管理当局强化内部控制的需要，具备“全员参与”的特征；内部控制自我评价在国内外获得了较快发展，既包括相关法律法规的发展和完善，也包括学术界相关学者对内部控制自我评价的研究和讨论，分析可以看出国外内部控制自我评价的发展已经比较成熟，而国内尚在起步阶段。1 内部控制自我评价的定义内部控制是对单位内部经济业务处理以及经营管理工作的控制，而内部控制评价则是对内部控制本身的再控制，是内部控制目标实现以及作用发挥的重要环节。对于控制自我评价的定义，我国政府颁布的法律法规还没有予以明确，国内外不同专家学者对此存在不同的看法，综合起来，主要是两种观点，一种把内部控制自我评价看作一种技术和工具，另一种则认为内部控制自我评价是一个过程和活动。内部控制自我评价是一种技术和工具。布鲁斯麦克艾格（Bruce McCuaig）最初提出控制自我评价（Control Self-Assessment，CSA）这一概念时，就把它看作是一种内部审计技术和工具；国内也有学者认为控制自我评价是对传统的内部审计形式的一种补充和发展，是广义的内部审计理论中的一种技术方法；我国内部审计具体准则第21号内部审计的控制自我评估法（2006）中也将内部控制自我评价界定为内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内部控制审查和评价的一种工作方法。内部控制自我评价是一个过程和活动。英国内审协会认为：内部控制自我评价是审计部门和管理层通过专题讨论会的方式协同工作以建立和评价内部控制水平的过程，允许单个的基层管理人员和员工，针对当前控制的适当性进行审核，对现有控制提出建议，同意并实施改进当前控制的流程；IIA（国际内审协会）给出的定义为：控制自我评价是一个过程，通过它可以检查和评价内部控制的有效性，以合理保证经营目标得以实现。不过上述观点大多是从审计或监察的角度出发的，我们应该突破审计的范围，把内部控制自我评价不仅仅看作是辅助审计的一种工具和技术，更应看作企业管理过程中一项不可或缺的活动。因此，可以借鉴国际惯例，把内部控制评价定义为由企业董事会和管理层实施的，对企业内部控制的健全性、合理性和有效性进行评价，形成评价结论，出具评价报告的过程。它通过对内部控制的设计、实施和运行结果开展独立的调查、了解、测试、审计、分析和评估等系统性的活动，对企业内部控制体系的健全性、合理性和有效性评价，促使企业切实加强内部控制体系的建设并认真执行，并保证内控体系得到持续、有效的改进。2 内部控制自我评价的发展 内部控制自我评价的概念自1987年提出以来，经过20多年的发展，从最初的单纯满足审计需要的一种工具，逐渐演变成服务企业整体、增加企业价值的一项活动，在西方国家得到了广泛应用，而近几年来，内部控制自我评价引入我国，也逐渐被国内监管机构和理论界所重视。（1） 国外有关内部控制自我评价的发展国外内部控制自我评价的发展主要分为初步提出、快速发展和逐步完善三个阶段（见图1-1）。控制自我评价（Control Self-Assessment，CSA）最早是在1987年由加拿大海湾公司（Gulf Canada）首次提出，该公司在接下来的十几年坚持使用CSA来评价和改进它的内部控制系统，并取得了成功。20世纪90年代初期，控制自我评价得到了快速的发展，美国的COSO报告、加拿大的COCO报告及英国的Cadbury报告等都建立了完整的内部控制体系，为内部控制评价提供了适当的评价标准。21世纪初，美国国会在安然、世通事件爆发后，制定了萨班斯-奥克斯利法案（SOX），首次从强制性监管的角度提出对内部控制的有效性进行审计，规定管理层不仅要对公司的内部控制负责，还要对内部控制的有效性进行评价、并保证内部控制系统的适当性。2003年，美国证券交易委员会SEC发布了最终规则：管理层对财务报告内部控制的报告和证券交易法定期报告披露的证明，对管理层内部控制评价以及注册会计师事务所的鉴证报告形成了最终规范。各注册会计师事务所根据SEC的最终规范和SOX法案的规定，相继提出了相应的财务报告内部控制评价的操作指引，对管理层评价财务报告内部控制的程序和注册会计师对内部控制的审计都提供了较为详尽的操作指南。初步提出1987年快速发展20世纪90年代逐步完善21世纪初加拿大海湾公司（Gulf Canada）首次提出CSACOSO、COCO、Cadbury报告SOX法案、SEC的最终规范图1- 1 国外内部控制自我评价的发展 如今，国外内部控制自我评价理论已经发展到相对成熟的阶段，COSO、COCO等报告建立了完善的内部控制体系，为内部控制自我评价提供了适当的评价标准；SEC的最终规范和SOX法案为内部控制自我评价的实施提供了具体规范和操作指引。这些都为我国建立内部控制基本规范和内部控制评价指引提供了方向，我国商业银行内部控制自我评价也可以从中得到借鉴。（2） 我国有关内部控制自我评价的发展我国对内部控制的评价起源于节约审计成本的需要，然后演变为外部监管要求，但是不论是出于节约审计成本的需要还是基于外部监管要求，发布的一些法律法规规范的是企业内部控制的外部评价，而对管理层建立健全内部控制的责任和管理层对内部控制的自我评价较少涉及。不过从2006年开始，管理层的内部控制自我评价开始频频出现：上海证券交易所和深圳证券交易所相继发布了上市公司内部控制指引，要求公司董事会应在年度报告披露的同时，披露年度内部控制自我评价报告，并披露会计师事务所对内部控制自我评价报告的核实评价意见；2008年6月28日，财政部、证监会、审计署、银监会和保监会联合发布了我国首部企业内部控制基本规范，要求上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计；2009年1月，上海证券交易所发布2008年年度报告工作备忘录第一号，鼓励部分上市公司在披露2008年度年报的同时披露公司内部控制的自我评价报告，截至2009年4月底，已有多家上市商业银行按要求正式对外披露了内控自我评价报告。与监管部门发布的一系列有关内部控制评价的法律法规相对的，是国内学术界掀起的内部控制评价问题的研究热潮，一些早期的研究大多针对会计师事务所对企业内部控制的外部评价以及企业内部审计部门的内部控制自我评价，而最近几年来关于企业管理层的内部控制自我评价的研究才逐渐增多。有的学者介绍了国际流行的内部控制评审的最新理念，如林朝华、唐予华的CSA：内部控制系统评价的新观念和新方法；有的学者更关注监管机构出台的政策法规，如吴荷青对上海证券交易所上市公司内部控制指引和深圳证券交易所上市公司内部控制指引两个文件进行分析后，发现它们对内部控制系统所包括的控制要素认识不一，指出内部控制自我评价报告的披露内容有待改进，应统一会计师事务所出具审核意见的标准，并加大对上市公司违反规定的处罚力度；还有的学者在内部控制自我评价的具体操作过程方面提出自己的设想，如王惠就对我国上市公司内部控制自我评价做了详尽的分析，设计了内部控制测评各类工作底稿及内部控制自我评价报告的参考格式；也有一些学者对内部控制自我评价在具体行业中的应用进行了研究，如孟辛在CSA在商业银行中的应用研究中针对商业银行的具体实践，从实施CSA的主体、实施的程序与标准、具体实施前要考虑的问题、实施的效果以及实施的环境五个方面提出存在的问题并给出了建议。内部控制评价问题在我国引入后得到了较快发展，作为最新热点的管理层内部控制自我评价渐渐引起理论界和监管机构的重视，相关研究也日益增加。但是，从总体来看，国内对内部控制自我评价的研究尚处于初始期，法律法规在内部控制的评价过程、评价内容、评价方法以及评价报告的方式等并未进行统一的规定和详细的操作指南，对具体行业内部控制自我评价过程的研究和关注程度不够，从而使商业银行管理层对内部控制的自我评价在实际的执行中存在较大困难。（2） 内部控制自我评价的主体和内容 明确内部控制自我评价的主体，有利于明确设计和实施内部控制自我评价的责任，增强相关主体的自我评价意识；而对内部控制自我评价的内容进行讨论，则有利于商业银行明确评价对象，为商业银行内部控制自我评价提供方向。 1 内部控制自我评价的主体可以作为内部控制自我评价的主体的部门或人员主要有以下三种：企业管理层或其领导的自我评价部门、内部审计部门和普通员工，但是究竟由自我评价部门作为自我评价的主体，还是由内部审计部门领导内部控制自我评价，又或者由企业管理层、内部审计人员和普通员工共同承担内部控制评价的责任，本文认为应当考虑各主体在内部控制自我评价中的作用。首先，内部控制是一个人人有责的庞大系统，管理层和员工了解和熟悉公司的整体情况和内部控制流程，他们对内部控制进行评价能够引发对内部控制的关注和重视，及时发现并解决内部控制设计和运行中存在的问题，能够保证内部控制自我评价的质量。其次，内部审计通过对内部控制进行测试，也可以评价企业内部控制制度的健全性、遵循性和有效性，针对内部控制中的薄弱环节及时提出相应的改进建议，但是现实中大部分审计部门向财务主管或总经理汇报工作的机构定位使得让其直接对内部控制进行评价会有损于内部审计的独立性，可见采用单一的以内部审计部门为主体不符合内部控制自我评价的要求，但是可以发挥其对内部控制评价过程的监督作用。因此，应在企业内部树立“内控评价，人人有责”的思想：治理层要成为认真执行内部控制制度的表率，并自愿接受广大员工的监督；内审部门要引导管理者树立正确的内部控制自我评价意识，积极主动进行内部控制自我评价，并对企业的内部控制评价过程进行持续监督；管理层应设立专门的内部控制评价部门，选择合适人员参与内部控制自我评价，提交内部控制自我评价报告；监事会或审计委员会要对公司内部控制自我评价进行定期或不定期的监督；最后由注册会计师对内部控制评价部门出具的公司内部控制自我评价报告进行鉴证，并向社会公众披露评价报告意见。2 内部控制自我评价的内容企业内部控制自我评价包括全面内部控制评价和专项内部控制评价（见图1-2）。全面内部控制评价是指对企业内部控制体系进行评价，对企业的所有业务和管理活动的内部控制进行全面的整体评价，包括评价内部控制的完整性和健全性、内部控制设计的科学性和合理性、内部控制运行的有效性以及内部控制设计和运行的经济性。其中完整性和健全性是指企业设计的内部控制是否覆盖了所有关键风险点；科学性和合理性是指企业设计内部控制时的方法是否科学、内部控制要素指标是否合理；运行的有效性是指企业内部控制在设计健全和合理的情况下是否得到了正确执行，且取得了预期的效果；经济性则是指企业的内部控制在设计和执行的过程中是否遵循成本效益原则，是否获得了较高的性价比。专项评价是指针对内部控制中的某一个要素进行评价，包括对内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面的评价。其中内部环境应注重评价企业是否建立了有利于内部控制执行的制度和企业所有成员对内部控制的重视程度；风险评估方面应重点评价企业对风险的抵御能力和管理风险的具体方法及效果；评价控制活动应着重考虑控制活动的建立是否适当、控制活动是否得到有效执行、控制活动识别和规避风险的效果以及是否有利于组织目标的实现；信息与沟通方面应注意评价企业获得财务信息和非财务信息的能力、信息传递渠道是否便利和顺畅、管理信息系统是否牢靠和安全、信息处理是否恰当和及时；内部监督方面应当评价企业是否对内部控制开展了持续监督以及内部监督是否发挥了促进内部控制完善的作用。风险评估内部环境内部控制控制活动信息与沟通内部监督完整性和健全性合理性和科学性有效性经济性全面评价专项评价图1-2 内部控制自我评价的内容（3） 内部控制自我评价的方法和程序笔者在这一部分对内部控制自我评价的方法进行了阐述，除了介绍了三种传统的内部控制自我评价方法外，还对不同组织结构、组织文化的企业适用何种方法进行了简单说明；另外对内部控制自我评价的程序的描述，为我国商业银行内部控制自我评价的具体实施提供了详细步骤。1 内部控制自我评价的方法传统的内部控制自我评价的方法主要有以下三种：专题讨论会、问卷调查法和管理分析法，都强调了管理层和基层员工的参与作用，转变了内部审计人员作为主导者的地位。其中，专题讨论会是指内部控制评价部门组织企业相关管理人员，就企业各个层级特别是风险薄弱部分收集内部控制信息，针对内部控制的某一方面或全过程进行讨论和评价的一种方法，使企业各级别的员工都能够了解内部控制系统可能出现的问题及其不利后果，然后积极采取措施克服这些缺陷；问卷调查法是指内部控制评价部门针对内部控制的某一方面或全过程，把重要内容设计成内部控制调查表，以书面问卷的形式向企业相关管理人员收集意见，了解企业的内部控制信息,并利用问卷结果来评价内部控制系统有效性的一种方法；管理分析法是指内部控制评价部门针对内部控制的某一方面或全过程，将特定专题的研究过程和结果以及其他人员收集的信息加以综合分析，总结经验教训、找出内部控制的薄弱环节，使内部控制程序的设计人员能够加以改进和完善的一种方法。研究表明，大部分企业采用专题讨论会法来对内部控制进行自我评价。但是不同的企业适用不同的方法，组织结构、组织文化不同，企业使用不同的方法也会产生不同效果。因此，应根据组织分析来决定采用何种方法收集内部控制相关信息，以准确评价内部控制的设计和运行的有效性。如果组织文化属于支持性的，推荐采用专题讨论会法；如果组织文化不属于支持性的，那么调查问卷法和管理分析法更能够达到自我评价的效果。2 内部控制自我评价的程序总的来说，企业进行内部控制自我评价的过程可以分为两个阶段（如图1-3）：第一，构建内部控制评价指标体系，主要是通过对企业内部控制系统的研究和分析，设计出用于评价内部控制的指标体系；第二，运用设计好的评价指标体系实施内部控制评价，形成综合评价结论。 构建内部控制评价指标体系 实施内部控制自我评价分解内部控制系统确定内部控制目标梳理企业业务流程确定关键控制点构建内控评价指标制定自我评价计划开展内控自我评价形成自我评价报告跟踪内控整改进程图1- 3 内部控制自我评价的程序企业应当成立专门的评价标准确定小组，对企业内部开展实地调查研究，对高级管理层和各个业务单元控制主体的业务控制需求进行充分调研和分析。首先，把企业的内部控制系统分解为组织层面、流程层面和作业层面等不同层次，便于评价人员在考察评价时深入到内部控制活动的各个环节，进行更有针对性的评价；其次，确立内部控制的整体目标，分析内部控制系统各子部分的控制目标，并进一步分解这些目标，直至可以直接指导关键控制点的设计为止；第三，对企业的业务流程进行梳理，以流程图的方式描述流程的各个环节，明确每个环节涉及的部门、岗位以及所需要的资源和信息，并找出各环节之间连接的方式和权责的归属；第四，确定企业价值创造和产生风险的关键控制点，再以此为基础对每一个业务单元设计详细和全面的控制标准指标，筛选出适用的指标，并加以整合，形成内部控制评价的指标体系。 企业形成内部控制评价指标体系之后，就可以着手实施内部控制自我评价。首先由内部控制评价部门征询董事会和高级管理层的意见，确定在当年实施控制自我评价的部门和业务单元，根据对内部控制体系的大致了解确定内部控制评价的范围和重点，根据实际工作安排确定评价的时间和方法，制定详细的控制自我评价计划。其次，运用专题讨论会、调查问卷和管理分析的方法，获取有关内部控制的信息，对内部控制设计和运行的有效性进行评价，并及时记录开展内部控制评价工作的方法和程序。第三，在评价后期，评价人员应当对内部控制体系做出整体评价，形成内部控制自我评价报告，并提出相应的改进方法或防范措施。最后，内部控制评价小组在结束评价工作后，要对内控缺陷的整改情况和建议的实施情况进行持续的跟踪。商业银行内部控制的特征及其自我评价的现状和问题2、 商业银行内部控制的特征及其自我评价的现状和问题 国内外内部控制自我评价的相关理论渐趋完善，而商业银行由于其行业的特殊性，在内部控制自我评价的应用方面与一般工商业企业相比有很大不同，随着所面临的操作风险日益严重，对内部控制及其评价的要求不断提高，我国商业银行内部控制及其自我评价有了一定的发展，但是仍处在摸索阶段，在制度设计和具体的实施过程中仍存在着很多不足。（1） 我国商业银行内部控制的特征 商业银行是以经营工商业存、放款为主要业务，并以利润为其主要经营目标的信用机构。商业银行的大体业务分为三类，表内业务，表外业务和中间业务。表内业务就是指在资产负债表上反映的业务，比如银行存款、贷款等。表外业务是不在资产负债表上反映，但是在一定时期可以转化成资产负债表上的内容的或有负债业务，如担保业务、承诺业务。广义表外业务包括中间业务：支付结算类中间业务，由商业银行为客户办理因债权债务关系引起的与货币支付、资金划拨有关的收费业务；银行卡业务，由经授权的金融机构（主要指商业银行）向社会发行的具有消费信用、转账结算、存取现金等全部或部分功能的信用支付工具；代理类中间业务，商业银行接受客户委托、代为办理客户指定的经济事务、提供金融服务并收取一定费用的业务，包括代理政策性银行业务、代理中国人民银行业务、代理商业银行业务、代收代付业务、代理证券业务、代理保险业务、代理其他银行银行卡收单业务等；担保类中间业务，商业银行为客户债务清偿能力提供担保，承担客户违约风险的业务。主要包括银行承兑汇票、备用信用证、各类保函等；交易类中间业务，商业银行为满足客户保值或自身风险管理等方面的需要，利用各种金融工具进行的资金交易活动，主要包括金融衍生业务；投资银行业务，包括证券发行、承销、交易、企业重组、兼并与收购、投资分析、风险投资、项目融资等业务；基金托管业务，有托管资格的商业银行接受基金管理公司委托，安全保管所托管的基金的全部资产，为所托管的基金办理基金资金清算款项划拨、会计核算、基金估值、监督管理人投资运作，包括封闭式证券投资基金托管业务、开放式证券投资基金托管业务和其他基金的托管业务；咨询顾问类业务，商业银行依靠自身在信息、人才、信誉等方面的优势，收集和整理有关信息，并通过对这些信息以及银行和客户资金运动的记录和分析，并形成系统的资料和方案，提供给客户，以满足其业务经营管理或发展的需要的服务活动。当前我国商业银行的机构数量之多、业务渗透面之广、资产总额比重之大，始终居于其他金融机构之上，正是由于商业银行经营业务具有特殊性、面临的风险比较严重，商业银行的内部控制与一般工商业企业相比也不尽相同。商业银行的内部控制主要有以下特征：1 过程和系统的全面控制。商业银行的内部控制强调的是过程控制和系统控制，是对银行经营管理活动过程中政策与程序方面的全面控制措施，包括授权批准控制、风险防范控制、内部审计控制、会计系统与流程控制、经营目标与财务预算控制、实物资产控制、岗位设置控制等。通过优化经营管理过程中的业务流程、管理流程和支持保障流程，对银行核心价值流程进行系统的梳理、整合、改进和优化，建立系统的、透明的文件化流程管理体系，识别和寻找风险控制点，由各相关部门与岗位不断地进行风险识别、审核、评估和控制，对各流程环节中发生的风险进行系统、连续和有效的控制，并通过内部评审和管理评审，经常对内部控制体系进行评价和改进，实现商业银行内部控制体系、风险管理体系和流程管理体系的良性循环。2人员控制。银行内部控制环境中最重要的一个因素就是人员，人员素质和操守是指银行员工的业务技能和业务水平的高低、文化修养和职业道德的好坏。而人员控制即对商业银行人员素质和上岗的控制，包括员工的招聘程序是否严格，应聘人员的合格程度是否达到控制；银行是否制定了员工的工作规范和服务准则；重要岗位的休假与工作轮换制度；员工业绩的考核与奖惩制度及培训教育制度等。（2） 我国商业银行面临的操作风险分析我国商业银行作为银行业的主体，在高速成长和发展的同时面临着外在和内在的双重风险。2006年12月11日，中国加入WTO（世界贸易组织）的过渡性保护期结束，我国全面开放银行业务，大量外资银行涌入中国金融市场，激烈的竞争给中国的银行带来了巨大冲击，国内商业银行受到内部控制和管理水平的严峻考验，问题层出不穷。有关银行的业务操作方面的案件屡屡发生，例如轰动一时的开平中行行长贪污挪用近5亿美元、邯郸农行管库员盗取金库5100万元现金潜逃、农行包头分行1.1亿元违法经营案、建行吉林分行3.2亿元存款蒸发案、中行高山案等大案。据中国银监会统计，仅2006年上半年，银行业、金融机构累计发生案件480起，其中，涉案金额超过一百万的达134起。从风险管理的角度来看，近期国有银行发生的一系列重大案件，基本上可以归咎为操作风险失控，表明我国现有的银行风险监管系统存在重大缺陷，银行内部控制存在着极大的隐患，在控制文化、职业道德等软控制领域尤其薄弱。 根据巴塞尔新资本协议，操作风险是指由于不完善或失灵的内部程序、人员、系统或外部事件而导致损失的风险。也就是说，操作风险可以分为四类：人员因素引起的操作风险、内部程序因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等情况；内部程序因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况；而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况；外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。 根据顾京圃在2006年中国商业银行操作风险管理一文所作的我国商业银行操作风险案件研究的情况，笔者绘制了一张柱状图，从图2-1可以看出人员因素是操作风险损失事件形成的主要原因，共发生案件242起，占案件总数51.3%；内部程序是操作风险损失事件形成的另一重要原因，共发生案件130起，占案件总数的27.4%；而外部事件引起的操作风险案例仅占总数的20.3%。人员因素和内部流程恰恰是内部控制的主要组成部分，由此可见，商业银行的内部控制制度还不健全，缺乏有效的风险识别和评价机制，现有的某些制度方法、规则章程在操作风险防范方面还存在局限性。集中体现在：一是相关人员风险意识淡薄，有章不循、违章操作；二是由于内部控制体系不完善、制度执行不力，一些重点岗位缺乏制衡机制或未能严格执行岗位操作规程，形成业务经营管理中风险控制的盲点，导致内部欺诈的发生。因此，构建我国商业银行的内部控制体系、实施内部控制自我评价可以从源头上管理操作风险，对解决金融案件频发的问题具有现实意义。图2-1 我国银行业操作风险案例分析因素分类件数占比%人员 内部欺诈7315.5失职违规16535违反用工法律10.2工作环境安全性20.4劳动力不足10.2小计24251.3内部程序内部流程不健全5211流程执行失败245.1监控和报告30.6文件/合同缺陷40.8担保品管理失败337产品缺陷30.6违约与泄密与客户纠纷112.3小计13027.4系统IT系统30.6一般设备10.2小计40.8外部事件外部欺诈8718.4外部侵害20.4自然灾害51.1政治风险交通事故20.4非客户对手外部销售商和供应商小计9620.3总计472100资料来源：顾京圃，中国商业银行操作风险管理，中国金融出版社，2006，(9)。表2-1 我国银行业操作风险案例分析（3） 我国商业银行内部控制自我评价的发展现状面对风险和竞争的挑战，加强内部控制、防范化解经营风险、提高核心竞争力成为商业银行经营管理的主题。随着商业银行市场化程度的提高和上市银行的增加，各商业银行开始意识到内部控制的重要性，并产生了强烈的信息披露需求。2002年5月，商业银行信息披露暂行办法出台，对商业银行内部控制信息披露进行了专门的规定。2003年度5家上市银行不同程度地披露了一些内部控制信息，较以往大有进步：有的在年度报告中专设一节“公司治理结构”，说明公司的信息披露及透明度、独立董事及履行职责情况、对高层管理人员的考评及激励机制；有的在董事会报告中专设“内部控制制度的完整性、合理性与有效性的说明”一段内容，披露对内控制度有效性的评价及认定的基本情况，并从公司组织架构、内部管理规章制度等方面较全面地分析了本行的内部控制制度；有的则在监事会报告中声明公司建立的内部控制制度是完整、合理和有效的；还有的披露了会计师事务所出具的内部控制审核报告。在政策方面，中央企业内部审计管理暂行办法、银行监管管理条例和商业银行内部控制评价试行办法相继颁布，银监会要求商业银行建立系统、透明和文件化的内部控制体系，并实施有效性的评价。各家商业银行纷纷按照要求重视并落实银行内部控制体系的建设，并创造了各具特色的内部控制体系模式。随着国内外对于内部控制评价的讨论越来越强烈，我国一些商业银行开始借鉴其他企业的成功经验，引入CSA（控制自我评价）这一工具，经过内部控制理论研究、经验积累和内部控制评价实践，逐步形成了系统化的综合评价机制。商业银行内部控制评价就是对商业银行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评价等系统性的活动，是在内部控制思想和理论的基础上产生的，适于监管层和决策层掌握内部控制体系设计的完善性、有效性、可行性及内部控制制度的执行情况。商业银行开展内部控制自我评价工作，也有利于全面、客观地评价银行内部控制和风险管理的现状，发现和揭示存在的缺陷和不足，有效地促进银行不断完善公司治理能力、提升风险管理水平、实现组织战略目标。作为率先开展内部控制自我评价工作的商业银行，工商银行一直认真研究CSA的理论知识和方法，积极借鉴国外商业银行的成功做法，逐步建立起自己的内部控制评价标准体系，规范了内部控制评价的范围和方法，取得了重要成果，并成为首家披露内部控制自我评价报告的商业银行。之后，中国银行、建设银行和交通银行也相继在年报中发布内部控制自我评价报告。下文将结合我国上市商业银行2009年年度报告中的内部控制自我评价报告，讨论我国商业银行内部控制自我评价的不足及如何改进。截至2010年3月31日，已披露2009年年度报告的上市商业银行主要有工商银行、建设银行、中国银行、交通银行、华夏银行、民生银行、浦发银行和兴业银行，因此，我们的研究对象就限定在这些商业银行，数据来源于上海证券交易所网站上发布的2009年年报全文。从2009年披露的年度报告来看，各家商业银行均按照内部控制基本规范的规定对内部控制的有效性进行评价，并披露了内部控制自我评价报告，在内部控制建设和评价方面迈出了重要的一步，不过商业银行内部控制评价还是存在一些问题。（4） 我国商业银行内部控制自我评价存在的问题通过对我国商业银行内部控制自我评价的现状分析可以看出，虽然近年来商业银行的内部控制评价工作取得不少进展，但是，从总体上看，上市商业银行银行所披露的内部控制信息仍有很大的局限性，内部控制自我评价仍存在不足之处。一方面体现在内部控制及其评价的制度设计上，另一方面体现在内部控制自我评价的具体实施过程中。1 商业银行内部控制制度及其评价体系不完善 商业银行内部控制制度大多数是存在的，但是呈现不健全和不完善的特点；大多数商业银行没有内部控制评价标准、缺少实施内部控制自我评价的依据；没有设立独立的内部控制评价机构、仍把内部审计部门作为内部控制自我评价的主体；内部控制评价报告缺乏统一标准、内容不完善。（1） 商业银行内部控制制度不健全由于经济社会的发展和法律法规的要求不断提高，现代商业银行没有制定内部控制制度的情况已经十分罕见，但是多数银行内部控制建设没有目标，是一种以被动合规为导向的内控制度，缺乏积极主动的意识、对内部控制制度的建设重视不够，具体表现为：内部控制制度要么残缺不全（没有正式的风险评估程序、控制方法未标准化、制度文件不完整、覆盖不全面，只停留在大的业务层面和一些业务产品上，没能延伸到整个银行活动的各个层面和业务整个流程上）；要么文件繁多，表面上每个业务层面都有数百份乃至数千份业务指导文件，实际上许多文件难以识别和掌握，属于单点式控制和条线性控制，呈现零散、间断、被动的特征，难以形成体系化的内控机制，造成控制的不到位；或有关内容脱离银行实际，不够合理，讲得多、做得少，缺乏实质性措施，不具有操作性；要么是间断式或就事论事式的控制，未能及时根据商业银行业务发展状况和客观环境的变化对相关的内部控制制度进行修订，不能适应形势发展的需要，没有形成持续改进的内控机制。我国商业银行业务流程中的相互监督制约机制缺位，风险控制能力薄弱，风险管理的盲点和空白点较多，潜伏大量的风险隐患。许多商业银行的信贷经营部门负责从营销到贷前调查、发放、贷后管理和风险管理，几乎包揽了业务经营的全部流程，有时甚至对项目评审形成“倒逼”机制，监督制约机制缺位，存在严重的风险隐患。还有不少股份制商业银行的资金运营部门既负责资金交易，也负责资金清算，还负责资金管理和风险监控，流程中潜在利益冲突较大。总分行之间的权力分割和资源分割，容易产生内部人控制和风险监管虚化，风险问责制难以落实等问题，如在整个信贷流程中参与审查和审批的部门和人员很多，但相互责任划分不清晰，如果出了问题难以明确责任，责任追究制度无法发挥应有的效力。（2） 商业银行缺少内部控制评价标准2009年八家商业银行在内部控制自我评价报告中对内部控制建立的依据及内部控制评价的依据的披露情况如表2-2所示：表2-2 内部控制建立和评价的依据内容 银行工商银行建设银行中国银行交通银行华夏银行民生银行浦发银行兴业银行内部控制建立依据内控基本规范内控基本规范、商业银行内控指引、上交所内控指引内控基本规范、商业银行内控指引、上交所内控指引、银行法内控基本规范内控基本规范、商业银行内控指引、上交所内控指引内部控制评价依据内控基本规范、商业银行内控指引注: 为披露，为未披露。由