商业银行内部控制培训讲稿-加强内部控制 防范经营风险(DOC 45页)

加强内部控制 防范经营风险吴江涛金融是一个国家的经济命脉，商业银行则是一个国家金融体系的重要微观基础。商业银行内部控制完善与否直接关系到一国经济金融的稳定与发展。近年来，我国银行业大案、要案频繁发生，暴露出商业银行在内控建设和风险管理方面存在不足，引起了社会各方面的广泛关注。如何强化内部控制，并有效防范和控制风险成为一个重要课题。一、内部控制发展历程关于控制。个体有序而高效的生存靠自律，集体有序而高效的运行靠管理。不论是个体的自律，还是集体的管理，都包含“控制”。个体要控制自己的欲望、语言、行动、甚至思想。家庭、政府和企业等组织要控制自己内部的个体、财物及其相互关系。可以说大部分生物和有机体都有自我控制。不过，据专家考证，“控制”一词最早于公元1600年前后才出现于英语词典中。该词来源于希腊文，原意为 “掌舵术”，即为掌舵的方法和技术之意，此后又多次变义用来表示国家管理的艺术。1948年美国数学家诺伯特.维纳（Norbert Wiener）出版了控制论关于在动物和机器中控制和通讯的科学一书，标志着控制论的诞生，控制论开始成为一门新兴科学。在控制论中，“控制”是主体为改善某对象的功能或运行，获取信息，并以这种信息为基础而施加于该对象的作用。控制的基础是信息，控制系统实际是信息反馈系统。控制系统的组成如图1所示。受控对象控制机制控制信息输出比较器干扰输入反馈信息检测器图1 控制系统示意图 任何控制系统都包含三个基本要素：施控主体、受控对象以及联结这两者的控制作用与反作用（两者之间的关系或控制活动）。控制活动一般包括三个基本步骤：确立标准；衡量绩效；纠正偏差。即为了实现控制，均需在事先确立控制标准，然后将输出的结果与标准进行比较；若发现有偏差，则采取必要的纠正措施，使偏差保持在容许的范围内。自维纳创立控制论以后，控制论的思想和方法技术很快渗透到了各个自然科学和社会科学领域，形成了诸如工程控制论、生物控制论、神经控制论、经济控制论以及社会控制论等边缘学科。内部控制属于控制论中经济控制论的一个分支，它是用控制论和经济控制论的原理和方法，来分析和研究组织的经营控制过程。关于内部控制。内部控制是随着人类社会发展而演变的，其在社会发展的各个阶段具有不同的内涵和外延。一般认为，内部控制理论产生与发展的历程可分为四个阶段： 内部牵制。一是内部牵制阶段（Internal Check）。其概指20世纪40年代以前的内控活动。据史料，早在公元前3600年以前的美索不达美亚文化时期就有了内部牵制的实践。后来的古埃及、古罗马和我国的西周时代，在财货管理方面都建立有内部牵制制度。帐物分管、双人记帐等内部牵制制度在这一时期的主要内容。15世纪末，在意大利出现了复式记帐方法，要求一笔交易活动同时在两个簿记中记录，标志着内部牵制渐趋成熟。18世纪产业革命后，企业规模逐渐扩大，公司制企业开始出现；20世纪初期，资本主义经济迅猛发展，股份公司的规模迅速扩大，生产资料所有权与经营权逐渐分离。企业组织形式、规模的发展和利益格局的变化，促使利益相关方探索制约和检查企业生产经营活动的方法，进一步完善了企业内部牵制制度。在内部牵制阶段，内控活动的主线是查错防弊，即防止记录差错和财货被侵吞，其主要方法是帐户核对和职务分工。在现代企业内部控制中，仍然闪耀着古代内部牵制的思想和方法的光芒。比如，现代会计记录依然沿用的是意大利复式记帐方法；西周时期要求财赋管理应做到“一豪财赋之出入，数人耳目之通焉”，演绎至现代即是“四眼原则”。内部控制制度。二是内部控制制度阶段（Internal Control System）。20世纪40年代至70年代初，在内部牵制思想的基础上产生了内部控制制度概念。内部控制制度的形成是传统内部牵制思想与古典管理理论相结合的产物。进入20世纪以后，生产的社会化程度空前提高，股份公司逐渐成为西方各国主要的企业组织形式，企业规模不断扩大，管理日趋复杂。泰勒、法约尔等一大批职业管理者将过去积累的经验系统化、标准化和科学化，创立了科学管理及组织管理理论。在管理理论指导和企业现实需求下，欧美一些企业在传统内部牵制思想基础上，纷纷在企业内部组织结构、业务授权和处理程序方面制定科学标准和程序，基本做到了处理程序标准化、规范化和业务分工制度化。1958年美国注册会计师协会所属审计程序委员会公布第29号审计程序公报独立审计人员评价内部控制的范围，将内部控制分为内部会计控制和内部管理控制两类，前者指与财产安全和会计记录正确性相关的程序和方法，后者指与贯彻管理方针和提高经济效率相关的程序和方法。这就是我们目前所熟知的内部控制“制度二分法”的由来。1972年，美国注册会计师协会所属审计准则委员会又将管理控制清晰定义为“组织规划及与管理部门业务授权决策管理相关的程序和记录”，使内部管理控制的含义进一步具体化。内部控制结构。三是内部控制结构阶段（Internal Control Structure）。进入20世纪80年代以后，内部控制的研究重点逐步从一般涵义研究转向具体内容的深化。1988年，美国注册会计师协会发布审计准则公告第55号，以“内部控制结构”概念取代了“内部控制制度”概念。该公告认为内部控制结构是指为企业特定目标提供合理保证而建立的各种政策与程序，包括控制环境、会计制度和控制程序三个要素。其中会计制度是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。内部控制整体框架。四是内部控制整体框架阶段。这一阶段内部控制发展的典型反映是我们熟悉的COSO内部控制框架。COSO内控框架的产生源头可追溯至水门事件（美国公司进行违法国内捐款和贿赂外国政府官员）。1973年至1976年对水门事件的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查结果，美国国会于1979年通过了反国外贿赂法（FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款。美国许多机构因此都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务执行官协会（FEI）、国际内部审计师协会（IIA）、管理会计师协会（MAA）共同赞助成立反虚假财务报告委员会（Treadway委员会），该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。该委员会虽然未对内部控制提出结论，但其研究指出50%的财务舞弊事件可全部或部分归因于内部控制不健全。基于该委员会的建议，其赞助机构成立COSO委员会（Committee of Sponsoring Organization），专门研究内部控制问题。1992年9月，COSO委员会提出了报告内部控制整体框架（1994年进行了增补）， 即COSO内部控制框架。依据COSO委员会1992年的定义，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵从性提供合理保证的过程。COSO内控框架包括经营性目标、可靠性目标、合规性目标三个目标，以及控制环境、风险评估、控制活动、信息与沟通、监督纠正五个基本要素。在美国建立COSO内控框架后，加拿大特许会计师协会的COCO委员会（Criteria of Control Board，控制标准委员会）1995年11月提出了“控制原则标准”(the Criteria of Control Principles，即“CoCo”框架)。CoCo框架提出了目标、承诺、能力、学习和监督四大类控制标准，也即四个基本要素。这四个基本要素通过“行动”联结成一个循环。英国的Cadbury委员会也提出了一个与COSO相似的内控框架。2002 年，安然、世通等公司连续爆出一连串财务丑闻，投资者、员工和其他利益相关者遭受了巨大的损失。为了应对这一系列上市公司财务欺诈事件所造成的美国股市危机，重树投资者对股市的信心，美国国会出台了 2002 年公众公司会计改革和投资者保护法案，即 2002年萨班斯奥克斯利法案（SOX法案）。 SOX 法案对美国 1933 年证券法、 1934 年证券交易法作了不少修订，其中的302条款和 404条款对所有在美国上市的公司的内部控制体系建设提出了要求。作为对SOX法案的积极反应，2004年9月，COSO委员会颁布了企业风险管理整合框架。该风险管理框架就是在COSO1992年的研究成果内部控制框架报告的基础上，结合SOX法案的要求，进行扩展研究提出来的，被公认是目前满足 SOX法案所要求的企业内部控制体系的最佳实践依据。COSO风险管理框架在COSO内控框架上迈进了一大步，其将内控建设置于风险管理的框架下，使内控建设与风险管理之间的关系更加清晰。该框架提出风险管理包括8大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。与COSO内控框架相比，COSO风险管理框架的主要变化表现在：新增加了一个观念、一个目标、两个概念和三个要素。提出的一个新观念即是风险组合观（An Entity-level Portfolio View of Risk）。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可以超过企业总体的风险偏好范围。风险管理要求企业管理者以风险组合的观点看待风险。COSO风险管理框架提出了四个目标：战略（strategic）目标高层次目标，与使命相关联并支撑其使命；经营（operations）目标有效和高效率地利用其资源；报告（reporting）目标报告的可靠性；合规（compliance）目标符合适用的法律和法规。其中战略目标是新增目标。同时，财务报告可靠性目标在范围上较COSO内控框架有很大的扩展，该目标覆盖了企业编制的所有报告，既包括法定报告，也包括向其他利益相关者提供的非法定报告；既包括财务信息，也包括非财务信息。针对风险度量提出两个新概念风险偏好（Risk Appetite）和风险容忍度(Risk Tolerances)。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度。新增的三个风险管理要素是“目标制定”、“事项识别”和“风险反应”。目标制定(Objective Setting)，即企业风险管理确保管理当局采取适当的程序设定目标，确保所选定的目标支持和切合企业的使命，并且与其风险容量相符。事项识别（Event Identification），即必须识别影响主体目标实现的内部和外部事件，区分风险和机会。机会应反馈到管理当局的战略或目标制订过程中。 中国人民银行2002年9月颁布的商业银行内部控制指引，采用的就是COSO内部控制框架。上海证券交易所2006年6月发布了上海证券交易所上市公司内部控制指引，该指引认为内部控制是指上市公司为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。该指引所采用的就是COSO风险管理框架。二、什么是内部控制根据COSO内控框架和风险管理框架，我们可以从以下几个方面理解内部控制：1内部控制旨在实现企业目标。一般认为，内部控制有经营性目标、遵循性目标和可靠性目标等三个基本目标。经营性目标是指内部控制应确保商业银行发展战略和经营目标的全面实施和充分实现；合规性目标是指内部控制应确保国家法律规定和商业银行内部规章制度的贯彻执行；可靠性目标是指内部控制应确保业务记录、财务信息和其他管理信息的及时、真实和完整。这几个目标相对比较抽象。在我看来，企业的最终目标在于保障资产、资金安全与实现增值。不论是战略目标、经营目标，还是报告目标和合规性目标，都可归结为保障资产、资金安全与实现增值。这是内部控制的根本目标。资产、资金的安全可分为静的安全和动的安全。静的安全是指存量资产、资金处于持有状态时没有损失发生；动的安全是指资产、资金处于交易流转过程中时没有损失发生。资产、资金处于安全状态，应具备以下四个基本特征：一是存在性即其是客观存在的，既不会无中生有，也不会被人巧取豪夺；二是完整性即其是完好的，没有遗漏、破损或技术性贬损；三是归属性即从权利归属上看，其是属于资产、资金持有人的，“为我所有”；四是计价正确性，即资产、资金的金额是计算正确的。依据我们对资产、资金安全性的诠释，我们可以将内部控制的具体目标概括为：保障资产的存在性、完整性、归属性、计价正确性和增值性或收益性。一切内部控制活动和措施最终都是为了实现这“五性”。内部控制措施内部控制目标存在性完整性归属性计价正确性增值性1金库钥匙双人保管2会计从业人员资格限制3不得由政府提供贷款担保注：表示核心目标；表示次级目标。2内部控制是企业行为。包括两层含义：一方面，内部控制是企业内在需求激发的活动，它是企业确保经营目标实现的自觉管理行动，而不是外在强加的管制措施；另一方面，企业是多重委托-受托经济责任关系结成的实体，包括董事会、各管理层级和业务操作人员在内的所有企业人员都是内部控制的实施主体。总之，内部控制的施控主体是企业、企业中的每一个员工。3内部控制的控制对象是交易或事项。我们说内部控制的目标是保障资产、资金的安全与增值，那么资产、资金是从哪里来的呢？存量资产、资金是在过去的经营业务中产生的，即是从过去的交易或事项中产生的；而流转中的资产、资金是处在现时及未来经营业务中的，即处在现时及未来交易或事项中；一句话，资产、资金产生、存在、流转于交易或事项中。内部控制保障资产、资金安全与增值，其控制作用的对象就是交易或事项。所谓交易是指人与人围绕物而形成的利益关系，包括内部交易与外部交易。内部交易是指一家企业内部的业务操作活动与管理活动，其在本质上是企业内同级别人员之间、上级与下级之间的利益关系。外部交易是指一家企业与其客户等企业外部主体之间的活动。企业、政府等组织本身就是一项长期交易。事项是指主体与事物之间的关系，一般不涉及其他利益关系人。比如水灾淹没了银行的计算机房，老鼠咬碎了金库的重要空白凭证或钞票等，不涉及外部主体，一般称为事项。任何交易或事项都包括以下几个基本要素：人物（主体）、财物（对象）、时间、地点（空间）以及这几个要素之间的相互关系这种关系可能表现为一种行为关系，也可能表现非行为关系，比如，员工将钞票加入ATM机，人与物之间是一种行为关系；两个交易主体在某时某地交换商品，人与时空的关系是一种非行为关系。任何内控的具体作用对象不外乎交易或事项的这五个要素。比如，未取得会计证不能办理柜台业务，这是对交易主体的控制要求；非上市公司法人股权不得用于质押，这是对交易对象的控制要求；要求金库不能设在闹市区，这是对空间的控制要求；要求营业终了员工未经许可进入营业柜台，这是对时间的控制要求，等等。4内部控制的控制内容是风险。内部控制与企业营销的共同目标都是保障企业经营目标。他们要实现这一目标都靠“交易”，都需要考虑交易的参与人、对象（产品或服务）、时间、地点等要素的组合结构。但两者的侧重点是不一样的。营销重在创生交易，以扩张规模与数量，而内部控制要求按可接受的风险创生交易，以保障安全与质量。营销和内控的双重作用要求企业按可接受风险安排交易结构。需要说明的是，内部控制并不能等价于风险管理，而只是风险管理的机制安排之一。比如，在发生流动性风险时，发行债券来缓解风险，这是一项风险管理举措，在传统上却不归为内控（按现代内控概念，似又可归结为内控）；进行压力测试是风险管理活动，却通常不归为内控活动。内控建设与风险管理必须掌握几个概念：固有风险、剩余风险、控制风险和可接受风险。固有风险是指假定不采取任何“风险管理”（内部控制）措施的交易或经营风险。剩余风险是指采取了“风险管理”（内部控制）措施后的交易或经营风险（对于内部控制，可称控制风险）。可接受风险是企业可承受或容忍的交易或经营风险。风险管理或内部控制建设的目标在于把剩余风险降低至可接受风险。装水的水杯固有风险剩余风险消除风险余风险控制阀5内部控制基本措施是限制、牵制和管制。金融业的内部控制体系是十分复杂的，控制措施很多。根据我的观察与归纳，这些内部控制措施基本上都可归结为三类：一是限制；二是牵制；三是管制。限制。限制是对交易构成要素主体、对象、时间、地点及其相互关系的约束。具体主要包括：一是主体资格限制。比如授信业务内控中，对借款人资格的限制（如财务状况要良好），对担保人资格的限制（不接受政府、公益组织的担保）。又比如在会计业务内控中，要求会计从业人员必须符合一定资格条件。二是交易对象限制。比如规定校舍不得作为抵押物、不得提供信用贷款服务等。三是时空限制。比如运钞车应行走什么路线，ATM机不能置紧临有盗窃史的居民屋等。四是关系限制，通常是行为限制，即规定行为主体能够做什么，不能做什么；应该怎样做，不应该怎样做。比如规定不得出租出借帐户，不得私自代客户保管重要单证，未经许可不得提前释放抵押物，非业务相关人员不得进入会计柜台等。又比如，规定应实地查看抵押物、应同时用验钞机和手工验证钞票真伪等。 牵制。牵制是一项业务或活动由两个或两个以上的人完成。具体有两类情况：一是不相容岗位分离。这种情况下是通过前手与后手来制约经办人的行为，属于线性流程牵制；二是“四眼原则”，即完成一项活动要两个或两个以上的人同时在场，互相制约，属于并行作业牵制，比如金库钥匙不能由一人保管、双人入库等。管制。管制是指通过分权、复核、检查等手段制约业务经办行为。主要包括两种情况：一是授权。这种情况下，受权人可以办理某些事项，但有授权人进行制约；二是督查，即监督与检查。比如，会计业务后督，专业部门检查，以及稽核监督等措施。复核、检查等内控措施与线性牵制措施不同，其属于第三方行为，并非完成交易所必须的行为，而线性牵制中的每一环都是完成交易所必需的。从施控主体角度看，“限制”措施是要行为主体自律，“牵制”措施为行为主体加上了另一行为主体的约束，而“管制”措施则为行为主体加上了第三方约束。交易活动通常同时受这三类措施约束。在三类措施中，牵制与限制类措施存在于交易中，而大多数管制类措施是滞后于交易的。也就是说许多管制类措施是所监控的是“交易遗迹”，比如，专业检查或稽核看到的往往不是客观交易本身（客观世界），而只能看到交易的一些“遗留物”。“交易遗留物”拼接起来的交易形象（符号世界），可能完全是伪造的，不是非客观交易本身，但管制类措施却未必能够识别，这是其固有局限性。以2006抵质押授信稽核为例。2005年1月1日 2005年12月31日 2006年3月8日 2006年5月30日交易发生时间 现场审计时间6内部控制是一种机制。任何机制都有一定构造和运作原理。内部控制在结构上包括控制主体（含生理条件、文化修养、精神状态、基本理念）、受控对象、约束条件（目标、制度、程序和方法）。内部控制的这些构件不是分散的、静态的，而是有机地联系在一起，动态地发挥作用。内部控制存在交易或事项中，在交易或事项中发挥作用。因此，内部控制活动是一项动作或行为，或者一系列动作或行为联结起来的持续性运作过程。三、内部控制建设的当前形势商业银行完善内部控制和加强操作风险管理，既是外在环境的客观要求，也是顺应环境变化的必然选择。我们认为，当前商业银行内部控制建设和操作风险管理，面临以下形势：（一） 银行业普遍致力于战略转型传统上，我国商业银行的盈利模式是存贷利差。近几年来存贷款市场竞争日趋激烈，存贷利差越来越小，各家商业银行都致力于业务转型和交易创新。比如，大力发展中间业务；理财产品不断推陈出新等。业务转型催生了股权结构（引进战略投资者）、组织架构（体制变革）、业务流程（流程再造）等方面的一系列变革。这些变革表明，我国银行业已进入战略转型期。转型业务和创新交易、股权结构、组织架构和业务流程本就是一种交易安排，机会与风险并存。战略转型说到底是转向新型交易安排。内控存在于“交易”中，战略转型提供了业务发展新机会，也对内控提出了新要求。（二） 信息系统建设步伐较快近十年，信息技术在我国取得巨大发展。传统上，人们习惯于将信息技术作为替代手工操作的自动化工具看待。现在人们已普遍意识到信息技术是推动业务发展和改进管理的支持系统。实际上，从商业银行信息技术的利用状况看，“信息系统是业务与管理支持系统”这种看法也未必是全面的。在我看来，应这样认识信息系统：第一，信息系统是产品组件和交易系统。信息系统既是产品、服务与交易的重要组件和实体构成要素，又是交易的时空环境。比如，在网上银行、电话银行、信用卡等银行服务中，信息技术就是产品或服务的构成部分；离开信息技术，这些产品、服务就无法作为独立产品或服务而存在。诸如传统存取款交易也是在信息系统环境下完成的。第二，信息系统是管理系统。信息系统成为交易的一部分意味着我们的生活、生存模式发生了变化个体生活在交易（关系）中。信息系统同时为这种生活、生存模式提供了配套的管理模式。在没有信息系统时，我们要盯控每一个人的交易操作过程是很难的。在信息技术条件下，少数人就可盯控全行交易。信息系统有能力（时空伸缩力）监控我们的生活、生存状态，我们的生活、生存状态完全暴露在信息系统中。信息系统（含我们所说的业务系统）就是管理系统，信息系统能力就是一种管控能力。信息系统的这种能力还制造了一些管理副产品，比如使集中、垂直化管理更为有效等。第三，信息系统是“信息”系统。“信息系统”的称谓已彰显了它的这种功能。每项交易包含了大量数据。在过去，这些数据只有少数部分是作为信息储备起来的，而且是被许多部门分别储备。除了会计信息具有高度规范性外，其他专业储备信息的规范性是很差的。而现代信息系统条件下，几乎交易的每一个要素信息都可集中储备，并且与传统会计信息具有同等规范性。而且信息系统的这一功能与其前两项功能结合在一起，使得传统上的部分专业化信息职业可能消亡。比如，传统上的会计人员（主要是会计核算人员）将以交易人员身份存在，而不是专业化的信息录入和加工人员而存在。第四，信息系统是交流系统。收益、风险与内控是存在于交易中的，信息系统既然是交易系统、管理系统、信息系统、交流系统，其就既为提供了新型盈利模式，制造了新风险，提供了新的管控模式。（三） 银行业竞争十分激烈近年来，伴随我国金融行业的市场化，商业银行的竞争十分激烈。过去是企业存贷款求银行，现在是各家银行想方设法找企业。除银行业内部重新分割资源的竞争外，资本市场、保险市场的发展在给银行业带来一些机遇的同时，也构成了较大冲击，对银行业务的发展形成一定挤压。比如，企业短期融资券的发行，带来了一些新业务，但同时也挤压了银行贷款业务的市场和盈利空间；保险业混业经营及推出的新型理财产品，对商业银行也形成了一定压力。2006年底银行业已全面对外开放，外资银行进入我国金融市场有更大自由度，将进一步加剧银行业市场的竞争。各家商业银行业务转型的领域，也往往是外资银行拓展中国市场的切入口，国内商业银行在这场竞争中面临较大压力。竞争将摊薄传统市场的利润，加大进入新兴了进入新兴市场的难度，容易泛滥“利从险中求”、“火中取栗”的经营思想和操作行为，内控难度加大。（四） 利益主体多元化由于银行业经营存贷，社会公众、企业实体与银行业息息相关，银行一直以来就是一个多元化利益主体。现阶段，我国商业银行处于变革和转型期，利益主体进一步趋向多元化。一方面，如大家看到的，国有银行、股份制商业银行已经或正在成为公众拥有的上市公司；信用社、邮政储蓄也在改制；银行呈现出多元化股东格局。另一方面，银行经营的按业务项目涉及较多利益群体的利益。比如，按揭贷款的借款人可因与同一按揭楼盘相关而具有群体性；理财产品的投资人因与同一支理财产品相关而具有群体性。第三，在我国银行业迈向市场的同时，传统上的行政力量并未消解，而是依然有重大影响。比如，银行业高管层的任命受行政因素影响较大。资本虽然已走向了市场，但行政力量的切入压抑了它们的市场支配力量。利益主体的多元化使银行面临更大的群体性社会风险压力和内控压力。（五） 外部监管更加严格由于金融业在国家经济中的重要地位，其从来就是社会关注的重点，也是外部监管的重点。现阶段我国银行业处在变革时期，风险较大，监管力度也就更加大。从内部控制建设角度看，商业银行面对的外部监管呈现出以下特征：一是许多商业银行成为上市银行，面临间接资本市场和直接资本市场的双重监管。比如，在内控方面，人民银行或银监会发布了内部控制及其评价指引，规范商业银行的内部控制建设；上海证券交易所2006年6月发布了上海证券交易所上市公司内部控制指引，对上市公司的内部控制建设提出了要求。同时，政府相关部门还成立了联合组织协同规范企业内部控制。温家宝总理在十届全国人大四次会议上作政府工作报告时强调，要“完善公司治理，健全内控机制”；2004年底和2005年6月，国务院领导同志连续两次就强化企业内部控制问题作出重要批示，其中，2005年6月，在财政部、国资委和证监会联合上报的关于借鉴萨班斯法案 完善我国上市公司内部控制制度的报告上作出批示，同意“由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制指引”；2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，研究制定我国企业内部控制规范。该委员会初步确定我国控制标准体系主要包括基本规范、具体规范和应用指南。基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求，是制定具体规范和应用指南的基本依据，在内控标准体系中起统驭作用。具体规范是根据基本规范，对企业办理具体业务与事项从内部控制角度作出的具体规定。应用指南是根据基本规范和相关具体规范制定的详细解释和说明，主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引。今年三月份该委员会刚刚发布了企业内部控制规范基本规范和17项具体规范征求意见稿（如图），预计今年会推出正式稿。据我所知，该委员会正在研究银行业内部控制相关课题。二是深度管控商业银行内部控制及风险防范活动。或许是由于银行业产品的特殊性，监管部门已深度介入到商业银行内部控制建设的各个方面。比如，通过发布内控指引规范商业银行内部控制体系；通过现场检查测试商业银行内部控制的有效性；定期或不定期对商业银行或其分行提出监管意见，对其内部控制作出评价。有些评价结论或管控要求甚至非常细致。比如，对商业银行的绩效考评体系、问责体系（双线问责、上追两级；引咎辞职）、内控措施（定期轮岗及强制休假制度、票据保证金他行托管、垂直授信管理体制）直接提出要求。从这些现象看，企业自主内控与外部监管的内控要求在边界上日趋模糊，企业自主选择的空间不断缩小。监管部门对其他行业公司内控的管控是没有达到这样的深度的。三是监管部门不断创新监管手段，非现场监管与现场监管双管齐下。四是操作风险日益成为监控重点。1995年巴林银行的外汇交易员里森违规操作导致巴林银行损失15亿美元并最终破产。该案发生后，操作风险引起了国际银行业前所未有的关注。巴塞尔委员会为此进行了一系列调查，并提出了许多有价值的操作风险管控意见。其于2004年在新资本协议中将操作风险纳入资本监管框架，并要求银行为操作风险配置相应的资本。在我国银行连续因操作风险发案后，银监会于2005年3月下发了关于加大防范操作风险工作力度的通知，标志着操作风险开始成为商业银行及监管部门的关注重点之一。此后银监会又推出了案件专项治理等一系列操作风险管理举措。操作风险受关注度超过了信用风险和市场风险。综合起来，我们从上述外部形势可以看到三个线索：一是收益线某些形势变化（如信息系统和业务转型、交易创新）为商业银行发展带来了新机遇和利润增长点；二是风险线业务转型、交易创新、技术变革等变化带来了新风险。比如，网上银行服务的安全性；理财业务中的法律风险；群体参与性交易中的声誉风险；信息系统中字符的无差异性导致的真实性识别困难等。三是内控线一些形势变化带给商业银行更大内控压力（利益主体多元化），提出了更严格的内控要求（监管），也提供了新式内控规范和工具（信息系统、内控规范）。这些新风险和新压力要求商业银行自觉或不自觉地加强内部控制。这三条线索却容易使商业银行面临两难选择。一方面，新风险和新要求促使商业银行自觉或不自觉地加强内控。另一方面，激烈的市场竞争、急迫的业务转型与信息系统建设又迫使银行业首先考虑业务发展、转型及变革的成败。这就是说，商业银行把业务发展放在首位的外在驱动力也是非常强大的。这两种诉求对商业银行内部控制和操作风险管理提出了更高要求，也增加了新的难度。在这种情势下，商业银行高级管理层即便在观念上重视内部控制，并且有决心在业务发展与变革过程中同步跟进内部控制，但要把这些观念和决心传导至直接面对市场和技术、业务变革与转型的基层人员，也还是有许多客观上的困难。三、内部控制建设的基本现状近年来，在监管部门的外部促动和商业银行的内在努力下，我国商业银行特别是上市商业银行的内部控制建设取得了明显成效。目前，商业银行普遍都构筑了全方位覆盖各项经营及管理活动的内部控制体系，并在防范和控制经营风险方面发挥着重要作用。但银行业大案要案时有发生，表明商业银行内部控制和操作风险管理仍存在缺陷，与外部形势变化、各利益相关方的期望及要求相比，还有不小差距。概括起来，现阶段商业银行内部控制具有以下基本特征：（一）内部控制环境逐渐优化从积极方面看，商业银行逐渐形成了重视内部控制的企业文化；建立了现代公司制的治理结构和组织架构；有一套较为成熟的人力资源管理体系和不断完善的绩效考评及问责体系。不过，商业银行在内部控制环境方面，也还有不少问题，表现在：1内控文化未形成积淀。从总体上看，商业银行的很多中高层管理人员认识到了内部控制的重要性，基本上能够坚持“内控先行”。但这还不是一种普遍共识：一是营销管理部门与内控（风险）管理部门营销与内控导向上南辕北辙。我们常听一些管理者津津乐道“全员营销”，却很难听到管理者说“全员内控”或“全员风险管理”。二是很多基层行及业务经办人员对内控的认识还比较初浅，意识比较淡薄，重业务发展而轻内控要求。商业银行的内控文化还没有在基层形成积淀，“头重脚轻”，根基不牢。目前，商业银行中一些人包括部分管理者见到“内控”两字，就以为那是稽核部门的事情，见到“风险”两字就以为是风险管理部门的事情。这种现象在一定程度上是目前商业银行内控文化的客观写照。2治理结构名不副实。很多商业银行在形式上都建立了股东会、董事会和监事会三位一体的治理架构，但很难说这种治理结构充分发挥了其应该发挥的作用。股东只问收获不问稼穑的现象比较常见，股东不仅未成为商业银行经营的内控压力，反倒可能是商业银行追逐短期利益的助跑员。而行政力量在我国商业银行中的影响，则进一步消解了股东及股东会的作用，进而导致独董不独、董事“不懂事”、监事不能发挥监督作用等治理问题。治理结构的局限使商业银行缺乏由切身利益主体贯彻下去的内控意愿，内控建设缺乏强劲的推动力和监督力。3组织架构链偏长。目前商业银行采用的是总、分、支行这种组织架构，其中每一经营层又包括若干业务层级与管理层级，且每一经营层兼具经营与管控职责。从内控角度讲，这造成两个方面的问题：一是层层分权，上层管控能力削弱，而基层权限过大，可能形成“自己管控自己”的可能；二是高级管理层剩余权利下的管控要求在传导至组织架构末端的过程中，干扰因素太多，可能被“污染”，难以有效贯彻。基层行发案率较高与这两个方面的问题有很大关系。4人力资源管理官僚化。商业银行的人力资源管理体系是十分严密的，但其总体上奉行的是过去计划经济下的人力资源管理模式，与银行业市场化发展程度不完全匹配。近年来，商业银行在人力资源管理方面也加快了市场化步伐，突出体现在基层业务及管理人员、甚至一些中高层管理人员的社会化招聘。但其主要解决的是人员“进入”的市场化问题，却没有解决人员“退出”的市场化问题。而后者恰好是内部控制环境在人力资源管理方面的致命伤。能进不能出，能上不能下，就难以将内控责任落到实处。另外，人力资源管理有两条主线是不可少的：一是业务发展线从业务发展角度管理人力资产；二是风险管理线（内部控制线）从风险管理或内控角度管理人力资产。目前，商业银行人力资源管理以前一线条为主线，后一线条方面的认识与举措都还很不到位。5绩效考评及问责制度存在结构缺陷。内制健全与规模增长是商业银行平衡的两个基本目标。从实践来看，在很多经营机构中却是前轻后重。其中一个原因是内控建设的效果比较滞后，且缺乏显性衡量指标，而规模增长可短期见效，也相对容易进行价值度量。这种特征使一些经营者在任期内具有投机心理（在他们却是理性选择）。同时，商业绩效考评及问责制度的结构性缺陷又为这种投机心理预留了空间。商业银行通常是经营业绩类指标权重占绝对优势，而内部控制类指标类权重很小，在两个目标导向上孰轻孰重一目了然。商业银行的问责制度关注的重心也主要是结果型重大违规事项和风险事项，对过程性的一般违规则少有问责约束。这种问责制度对单个细枝末节违规责之过重（一般问题比照重大问题问责），要么对屡查屡犯的违规责之偏轻，流于简单化，未能切合操作风险的累积性特征。另外，在贯彻考核与问责制度方面，还时常存在讨饶、用情不用理等现象，制度的严肃性与威慑力大打折扣。（二）风险管理体系正在建立商业银行普遍比较重视风险管理，目前正在致力于构建覆盖各项业务、包括各类风险的全面风险管理体系。不过，总体上看，还有以下局限性：一是风险管理部门基本上只管授信业务风险，对其他业务风险关注度不高。比如，会计操作风险、信息科技风险、市场风险、社会声誉风险基本上由业务管理部门自己管理。二是各类风险管理的规范性、专业化程度还不高。没有建立覆盖风险识别、评估与应对的流程化可操作标准，使风险管理流于“游击式”作战，主要依赖于作战人员的感觉、经验与判断。（三）内部控制措施不断完善商业银行大都建立了一套较为完善的制度体系，对各项业务都有比较明确的内控要求。但这些制度体系在运转过程中还是暴露出不少问题：1制度的规范性不强。一是许多商业银行的制度不是按业务流程建立，而是按专业条线建立，内控措施分割在各专业条线的规章中，条块分割问题比较突出，经常出现控制断点或盲点，或者出现制度相互冲突（有些领域的制度谁也不愿意负责建立）。二是一些制度条款倾向于专业利益，即专业管理部门在制订制度时，基于部门利益弱化本专业条线内控要求。三是一些制度缺乏严谨性。最突出的表现是规范粗泛、空洞，落实不到行为，要么无法操作，要么怎么操作都可以。比如，制度中经常使用“原则上应怎样”、“谨慎接受”等表述，而对哪些属于例外于原则的事项，究竟何谓谨慎接受却无下文；这实际上使得任何事项都可作为例外事项处理，“谨慎接受”实际上完全等同于“接受”。2制度难以适应各种变化。第一，传统产品与服务操作流程发现了变化，制度未根据变化及时修订；第二，在业务转型和交易创新过程中，开展了新业务或推出了新产品，但内控未同时跟进，造成无章可循；第三，制度控制过度，使产品及服务缺乏市场竞争力，制约了业务发展；第四，在信息化建设过程中，没有处理好其与内部控制制度及业务流程之间的关系，存在系统与制度之间相互冲突或相互替代的情况。3制度执行力较弱。目前，制度本身的缺陷还算不上商业银行内控的“第一缺陷”，最突出的主要还是制度执行力不够强，运行有效性差。国内银行业近年发生了一些大案要案，在大多数情况下，这些案件的发生不是因为没有内控制度，而是因为控制制度失效。在授信业务中，制度执行不到位主要有以下一些“病灶”：授信调查环节-授信申请材料不真实；审查审批环节-对不符合条件企业授信、未对集团客户统一授信、对同一借款人多头授信、超权限授信；运行管理环节-资金用途违规、虚拟资产业务冲存款、贷后管理流于形式；担保措施不到位-保证人担保效力不足、以不符规定或无效质押物质押、抵质押手续不完善等。在会计业务中，制度执行不到位主要有以下一些“病灶”：账户开立方面-开户资料审查不严，甚至无任何资料为企业开户；账户使用方面-违规出租出借客户账户或银行内部账户；印鉴卡管理方面-印鉴卡保管人员出借印鉴卡、客户经理代保管印鉴卡；重要单证与物品管理方面-客户经理代客户购买重要空白凭证、代保管重要单证、代客户传递支票，印押证未严格落实三分管、业务印章与个人名章保管不严；抵质押品管理方面-提前释放抵押品、无抵押品实物却虚记表外账、抵质押品凭证实物未由出纳部门保管；银企对账方面-客户经理、会计负责人或记账人员代为行使对账职责、未定期对帐。国内银行发生的许多案件没有被及时发现，就是由于客户经理代为对账、虚假对账，使对账这一关键环节的内控失效；现金管理方面-现金库房钥匙密码管理不规范；授权方面-重要业务未设置授权控制、会计主管长期转授权、借用主管操作码进行转授权；人员管理方面-人员配备不足导致兼岗、兼职现象的存在；轮岗和强制休假及其稽核制度未落实；业务监督方面-复核、监督制度流于形式，导致问题不能被及时发现。（四）信息交流与反馈比较顺畅商业银行内部信息交流较为规范，渠道也较为畅通。但存在三个方面的突出问题：一是信息纵向流动中的真实性问题。一些下级行向上级行报告信息，往往有一定过滤，降低了信息含量，上级行获取了大量垃圾信息和错误信息。二是专业部门之间的横向信息交流不够顺畅。部门之间获取信息，不是靠制度，而是靠人缘。一些部门担忧“泄密”而不愿意与其他部门共享信息。这使很多信息沉淀各分割单元中，未能整合。三是信息的综合管理与利用程度较低。营销、风险管理、专业检查、外部监管形成了大量有用信息，但缺乏规范化储备，更缺乏分析与利用。（五）监督与纠正机制逐步完善近年来，商业银行稽核监督纠正机制建设取得了较大进步。许多商业银行都致力于稽核体制、稽核手段与方法方面的突破，稽核监督的频率、广度、深度和权威性明显增强。但商业银行的监督与纠正机制也存在一些问题：一是平行监督问题没解决。稽核部门隶属于董事会一直是教科书所倡导的最佳体制。在商业银行公司治理结构未改善的情况下，这种体制未必能发挥人们预期的作用一个非专职化的治理层级无法为稽核监督提供强有力的后台支撑。不过，经营层下的稽核监督也存在平行监督问题，即稽核监督难以推进对其他专业部门的监督。商业银行每个员工都是内控主体，但专业管理部门发挥内控传导作用，是最关键的内控主体。稽核不能实现对其他专业部门的有效监督，其实质是其无法实现对某一业务条线完整而有效的监督（专业部门是交易与管理的一环）。所以，平行监督问题是进一步发挥稽核监督所必须克服的困难。二是稽核监督的专业化程度还不高。商业银行稽核部门配备了不少专职稽核人员，少则几十人，多则几百人。专职并不等于专业。其中很多人缺乏稽核专业的人格品质与专业品质，其实并不能胜任。稽核作业和项目管理的标准化程度也还不高。稽核检查作业靠稽核人员的单兵作战经验，标准建设比较滞后，项目管理聊胜于无。这在一定程度上影响了稽核效果。三是稽核手段比较落后。商业银行业务与管理的信息化较快，而稽核手段未同步跟进稽核与被稽核类似于原始人与现代人谈内控。四、加强内控建设的主要措施根据银行业内控建设面临的形势，针对银行业内控建设及操作风险管理存在的问题，提出以下措施：（一）完善公司治理结构加强内控建设，必须强化“三会”的治理作用，让“三会”在内控机制建设方面真正承担起相应的管控责任。事事均有经营层发端的三会运行模式，是难以有效发挥治理功效的。商业银行需要“事耕耘”并有考核压力的董事会；需要“事监督”并有问责压力的监事会。不过，这还需要一个漫长的过程。政府部门在谈治理结构从形似到神似。这种转变恐怕首先需要政府部门消解自己在商业银行中的行政介入。市场化的金融需要一个市场化安排的治理架构。（二）平衡内控度与发展速度收益与风险总是并存的。内控是管理风险，而不是消灭风险；是保障业务健康发展，而不是限制业务发展。这需要处理好内控与发展的关系。具体应注意做好三个方面的工作：1科学的计划与预算。商业银行中经常出现一些分支行虚增存款、违规借新还旧的现象。如果追问原因，分支行常常归结为上级行下达的任务太重或是上级行要求的。而上级行则声称已明确要求下级行按内控要求做业务。上级行与下级行在这一点上分歧很大。这种现象在其他内控违规事件中也经常遇到，具有一定普遍性。大多数情况下，内控违规事件是基层行自身原因造成的，但也不尽然。目前，许多商业银行制订、下达计划与预算，主要采用自上而下的目标分解程序（从最高治理层级开始），对下级行实际情况考虑有时候欠充分，计划与预算的科学性和可执行性往往先天不足。虽然上级行在制订计划与预算时考虑了历史完成情况，但如果历史数据本身是既往压力驱使下的“泡沫数据”，计划与预算也就未必切合实际。在这种情况下，下级行可能为了冲指标，突破内控限制。这恐怕还不是最重要的负面效应，最糟糕的还在于上级行在不经意间传递了一种不良内控文化，并严重影响到自身的公信力。要加强内控建设，就要求自最高治理层级开始正视计划与预算的科学性，塑造客观、公信的管理形象。2适当的内部控制宽严度。内部控制宽严度需要与银行的经营战略与目标相适应。在控制度方面，尤其需注意解决好两个问题：一是谁是内控度的主导者。目前商业银行内部控制建设实施工作主要是专业管理部门来完成的，内控宽严度的主导者是这些专业管理部门。这往往造成以部门管理重心来安排控制度，偏离银行总体战略与目标。要么控制不严，留下巨大风险隐患；要么控制过死，限制了业务发展，前台经办人员心生怨言，没有贯彻内控的意愿。商业银行高级管理层应通过事先深度介入内控建设来改变这种状况，把控制度的主导权掌握在自己手中。比如，授权大小、授信基本条件、抵质押贷款比率高低都涉及控制度问题，其基本原则就需要高级管理层最后决策。二是控制度应有差异化。商业银行应只有一套内控制度，但商业银行不一定对所有控制对象都只有一个控制度。下级行处在不同信用环境下，有不同的管控能力，上级行应根据差异设计不同的控制度。比如，为所有分支机构设定相同的抵质押贷款比率可能就未必适当；所有行都给相同的授权也未必适当。解决好这两个问题并不容易，这要求商业银行有清晰的经营目标以及精细化的管理水平。3客观的绩效考评。一是需要调整绩效指标的结构，考虑加大长期类指标、质量类指标以及内控评价类指标的权重。二是绩效评价应做到横向可比，增强刚性。管理者有承诺，执行者有行动，如果考评不兑现、不公平，不仅仅是给某一个被考核对象留恨，而是形成了不良示范，伤害了企业文化。定目标、抓过