（工商管理专业论文）我国商业银行风险导向型内部审计控制评价体系研究.pdf

苏州大学学位论文使用授权声明 本人完全了解苏州大学关于收集、保存和使用学位论文的规定， 即：学位论文著作权归属苏州大学。本学位论文电子文档的内容和纸 质论文的内容相一致。苏州大学有权向国家图二馆、中国社科院文献 信息情报中心、中国科学技术信息研究所( 含万方数据电子出版社) 、 中国学术期刊( 光盘版) 电子杂志社送交奉学位论文的复印件和电子 文档，允许论文被查阅和借阅，可以采用影印、缩印或其他复制手段 保存和汇编学位论文，可以将学位论文的全部或部分内容编入有关数 据库进行检索。 经校保密办审核批准，本学位论文属保密论文，在年 解密后适用本规定。 论文作者签名：逝 日期：乙矽r 导师签名：缁 日 期： 塑应：乒：兰 我国商业银行风险导向型内部审计控制评价体系研究中文摘要 我国商业银行风险导向型内部审计控制评价体系研究 中文摘要 商业银行作为金融业主体在国民经济的发展中起着不可或缺的作用，在经营和控 制风险的同时，必然需要加强对风险的内部管理能力。因此，建立一套完整的内部控 制评价体系，对维护商业银行资产完整、保证流动性和合法、合规经营方面举足轻重， 并已成为一项重要课题摆在各家商业银行经营管理过程中。 基于此，本文从探寻内部控制理论角度出发，总结如何建立健全内部控制体系， 并以中国银行现有的内部控制评价体系为研究对象，分析了该内部控制评价体系对商 业银行在风险管理上的作用，提出进一步完善商业银行内部控制评价体系的结论。 关键词：商业银行；内部控制；评价体系 作者：史学家 指导老师：徐涛 英文摘要 我国商业银行风险导向型内部审计控制评价体系研究 a s t u d yo nr i s k - o r i e n t e d i n t e r n a la u d i tc o n t r o le v a l u a t i o n s y s t e m o fc o m m e r c i a lb a n k si nc h i n a a b s t r a c t c o m m e r c i a lb a n k s ，s e r v i n ga sam a i np a r to ff i n a n c e ，p l a ya ni m p o r t a n tr o l ei nt h e d e v e l o p m e n to ft h en a t i o n a le c o n o m y o nm a n a g i n ga n dc o n t r o l l i n gr i s k s ，b a n k s a r e s u p p o s e dt ob u i l du p t h e i rr i s kp r e v e n t i o na b i l i t i e s h e n c e ，w h a ti sp r e s e n t e da sa s i g n i f i c a n ti s s u ea m o n gt h em a n a g e m e n to fc o m m e r c i a lb a n k si s t oc o n s t r u c taw h o l e i n t e r n a lc o n t r o le v a l u a t i o ns y s t e m , s oa st om a i n t a i nt h ea s s e ti n t e g r i t y , ，g u a r a n t e et h e f l u i d i t y a n dl e g a l i t ya n dp r o m o t ea ni n - o r d e rm a n a g e m e n ta n da d m i n i s t r a t i o ni n c o m m e r c i a lb a n k s i nv i e wo ft h i s ，f r o mt h ep e r s p e c t i v eo fs e e k i n gi n t e r n a lc o n t r o le v a l u a t i o ns y s t e m ： t h i sp a p e rf o c u s e so nh o wt oe s t a b l i s hap r o f o u n ds y s t e m s e t t i n gt h ei n t e r n a lc o n t r o l e v a l u a t i o ns y s t e mo fb a n ko fc h i n aa sas u b j e c t , ，t h ep a p e ra n a l y z e st h ee f f e c t so ft h i s s y s t e mo nr i s km a n a g e m e n ta n df u r t h e rp u t sf o r w a r das o u n ds o l u t i o nt ot h ei m p r o v e m e n t a n dp e r f e c t i o no ft h ei n t e r n a lc o n t r o le v a l l u a t i o ns y s t e mi nc o m m e r c i a lb a n k s k e yw o r d s ：c o m m e r c i a lb a n k s ，i n t e r n a lc o n t r o l ，e v a l u a t i o ns y s t e m w r i t t e n b y s h ix u e j i a s u p e r v i s e db y x ut a o 目录 第一章绪论1 一、选题背景及其意义1 ( 一) 选题背景1 ( 二) 研究目的2 ( 三) 研究意义2 二、企业实施内部审计控制评价体系的积极意义3 ( 一) 企业实施内部审计控制评价体系是打造企业核心竞争力的利器3 ( 二) 企业实施内部审计控制评价体系是提升企业“软实力”的捷径3 ( 三) 企业实施内部审计控制评价体系将为企业构筑风险“防火墙”4 三、本文研究的主要创新点4 第二章国、内外内部控制理论的发展5 一、现代内部控制理论的发展5 ( 一) 2 0 世纪4 0 年代以前的内部牵制理论5 ( 二) 4 0 年代至7 0 年代的内部会计控制和内部管理控制6 ( 三) 8 0 年代至9 0 年代的内部控制结构6 ( 四) 9 0 年代以来内部控制系统理论的形成6 二、现代企业内部控制评价理论要素和分析6 ( 一) 控制环境7 ( 二) 目标设定8 ( 三) 风险识别8 ( 四) 风险评估8 ( 五) 风险应对8 ( 六) 控制活动8 ( 七) 信息与沟通8 ( 八) 监督控制9 三、商业银行内部控制评价体系的发展和现实意义9 第三章我国现有商业银行内部审计控制评价体系分析1 2 一、商业银行内部审计控制评价体系现状1 2 ( 一) 控制环境方面1 2 ( 二) 目标设定方面1 2 ( 三) 风险识别方面1 2 ( 四) 风险评估方面1 3 ( 五) 风险应对方面1 3 ( 六) 控制活动方面1 3 ( 七) 信息与沟通方面1 3 ( 八) 监督控制方面1 4 二、商业银行内部审计控制评价体系的主要内容1 4 ( 一) 内部审计控制评价体系的主要目标1 4 ( 二) 内部审计控制评价体系的主要工作1 4 ( 三) 内部审计控制评价体系的主要手段1 5 ( 四) 内部审计控制评价体系的抽样原则1 5 三、商业银行内部审计控制评价体系面临的外部环境1 5 ( 一) 商业银行规模的大小和复杂程度1 5 ( 二) 风险管理信息相对滞后1 6 ( 三) 违约与欺诈风险并存1 6 四、我国商业银行内部审计控制评价体系存在的问题1 6 ( 一) 对内部控制评价认识不到位，理念和目标不明确1 6 ( 二) 内部控制评价对风险测控的技术方法落后1 7 ( 三) 内部控制评价制度的健全性和有效性存在不足1 7 ( 四) 内部审计的权威性不够，管理限制较多1 8 五、我国商业银行内部审计控制评价体系不足的原因1 8 ( 一) 内部控制评价制度不完善1 8 ( 二) 风险评估机制不健全1 8 ( 三) 内部控制评价制度落实不到位1 9 ( 四) 内部控制评价手段和方法不完善1 9 ( 五) 层级控制过渡，削弱内部控制评价的积极作用1 9 第四章以风险导向为核心的中国银行内部审计控制评价体系2 0 一、中国银行内部审计控制评价体系介绍与分析2 0 ( 一) 中国银行内部审计控制评价体系的工作目标2 0 ( 二) 中国银行内部审计控制评价标准的性质和结构2 1 二、中国银行内部审计控制评价体系的理论基础与设计结构2 2 ( 一) 中国银行内部审计控制评价体系的理论基础2 2 ( 二) 中国银行内部审计控制评价体系设计结构2 3 三、中国银行内部审计控制评价体系的评价方法和程序2 4 ( 一) 中国银行内部审计控制评价体系评价标准2 4 ( 二) 中国银行内部审计控制评价体系评价方法2 6 四、中国银行内部审计控制评价体系结论计算模型2 9 ( 一) 定义变量2 9 ( 二) 内部控制评价标准的量化2 9 ( 三) 内部控制评价指标的计算方法3 0 ( 四) 内部控制评价指标的计算模型3 2 五、中国银行内部审计控制评价体系释义3 3 ( 一) 正向评价引导3 3 ( 二) 负向缺陷认定3 3 六、中国银行内部审计控制评价体系评价流程3 4 ( 一) 评价准备3 4 ( 二) 评价实施3 4 ( 三) 专家确认3 5 ( 四) 数据采集：3 5 ( 五) 统计分析3 5 ( 六) 后续审计3 5 七、中国银行风险导向型内部审计控制评价体系的管理应用3 5 ( 一) 第一道防线各级业务部门3 6 ( 二) 第二道防线合规、风险管理部门一3 6 ( 三) 第三道防线内部审计部门3 7 八、中国银行内部审计控制体系对其他商业银行的借鉴意义3 7 第五章完善我国商业银行内部审计控制评价体系的建议3 9 一、加强合规建设和流程再造，营造良好控制环境3 9 二、强化风险导向审计与内部控制评估成果的实现4 0 三、建立科学合理的内部控制风险评估体系4 0 四、改进内部控制评价手段，提高风险监督能力4 1 五、规范和完善内部审计控制评价标准和评价方法4 1 六、弥补内部控制制度缺陷，加强内外部监督机制4 2 结束语4 3 参考文献4 4 攻读硕士学位期间公开发表的论文4 6 我国商业银行风险导向型内部审计控制评价体系研究 第一章 第一章绪论 一、选题背景及其意义 ( 一) 选题背景 内部审计是内部控制的一个重要组成部分，又是内部控制的一种特殊形式。从 内部控制组织上看，内部控制是对企业经营管理活动的总体控制，而内部审计是这种 控制活动的一个方面；但从内部审计作用来看，内部审计是对内部控制执行情况的一 种监督形式，因为内部审计主要是检查和评价内部控制执行其既定控制责任的效果和 质量，并评价和维护内部控制是否有效的方法和手段。 风险导向型内部审计以风险作为审计工作的出发点和落脚点，把企业整体风险 植入到企业风险本身的评价中，在组织已有的风险管理和内部控制的基础上，对剩余 风险进行评估，进而改善风险管理和内部控制，提升组织整体抗风险能力。随着我国 商业银行股份制改革的不断深化，以风险导向为核心要求的内、外部监管措施逐步加 强，商业银行在积极完善其公司治理机制、改善组织运营、强化风险管理与内部控制 方面，逐步搭建起由职能管理、合规控制和内部审计共同构成的内部控制体系，有效 推动了内部风险控制评价体系的持续改进和完善。 内部控制评价则是指按照一定的框架、标准和方法，根据银行内部控制检查监 督信息以及外部审计与监督机构的检查信息，对银行内部控制评价体系的建立和运行 情况进行调查、测试、分析和评价的活动。其目的在于通过评价银行内部控制的适当 性和有效性，全面审视内部控制评价体系，发现内部控制的缺陷和不足，并提出改进 建议，推动内部控制评价体系的不断完善；满足外部监管的信息披露要求；为反舞弊、 反欺诈和防范重大事故隐患提供线索。内部审计的目的在于促进商业银行建立健全全 面有效的内部控制、督促其对象履行职责，并对其进行评价，而商业银行内部控制评 价的目的在于有效地防范各类经营风险。 对于商业银行内部审计而言，如何更好的应对企业自身固有风险和非系统性风 险成为一个值得探讨的话题，在后金融危机时代对商业银行内部审计工作提出了全新 第一章 我国商业银行风险导向型内部审计控制评价体系研究 和更高的要求。商业银行需要搭建以风险导向为核心的内部控制评价体系，同时以操 作风险防范为主要目的的内部控制管理机制。围绕这一内容，本文将以中国银行内部 控制管理机制为研究对象，从其现有内部控制评价体系建设角度出发，思考商业银行 内部控制如何实现现有理念转变；探讨在以风险导向为核心的前提下，商业银行内部 审计如何加强风险应对和防范，形成一套行之有效的内部审计控制评价标准，为内部 审计由问题发现型向服务导向型模式进行转变。在此基础上，充分体现商业银行内部 审计控制的价值取向和实践意义。 ( 二) 研究目的 内部审计部门作为企业自身风险防范和控制的一部分，在如今强调风险控制为 主的企业自身约束下显得越发重要。为了满足企业风险管理的要求，国、内外许多学 者和研究机构对风险导向的内部审计理论进行了不同角度和领域的研究，取得了大量 的研究成果。风险导向审计方法在现实实践中得到了普遍应用，商业银行内部审计部 门作为企业内部风险控制和防范的机构，起到再监督和后评价的作用，为了进一步强 化这种职能，需要建立起相关控制评价体系来对风险状况进行衡量和评估，以便于更 好的服务于企业内部发展需求。本文试图通过以研究中国银行现有的内部审计控制评 价体系的构建和评价方法、技术，在分析以风险导向为核心的内部控制理念的基础上， 将优秀内部控制理念引导到企业管理实践中，进一步提升企业的附加价值，满足管理 层对于风险控制的要求和内、外部监管的需要。 ( 三) 研究意义 控制环境是内部控制的基础，直接关系到内部控制整体有效性的发挥，因此良 好的内部控制及控制环境对企业目标的实现具有十分重要的战略意义。 1 、加强内部控制与控制环境的建设是公司治理的需要 公司治理是企业利益相关者之间责、权、利的分配和制衡问题，它几乎是伴随 着现代股份公司的出现而产生的。企业的利益相关者从自身利益出发，必然关心对外 提供的会计报表是否真实地反映了企业的财务状况、经营成果和现金流量，以及权益 人的财产是否有保障等问题。由于信息不对称和内部控制在制约管理层违规方面的特 殊作用，迫使利益相关者对企业内部控制是否健全和到位给予极大关注，这种关注又 2 我国商业银行风险导向型内部审计控制评价体系研究第一章 进一步迫使企业必须建立、完善内部控制制度以保证利益相关者的权益，客观上就推 动了内部控制理论研究的进步和内部控制实践的发展。 2 、管理者素质是提高企业内部控制的需要 管理者素质是决定企业内部控制成败的关键。由于内部控制的性质是内向型服 务，是企业自我约束的重要机制，如果其独立性方面存在某些缺陷，就会对内部控制 目标的实现产生不利影响1 。由于我国市场经济起步晚，制度不完善，缺乏有效的管 理者约束激励机制是导致我国企业管理者素质偏低的重要原因，所以管理者需要提高 自我完善和自我建立、健全内部控制方法和手段。 3 、加强内部控制与控制环境的建设是现代企业管理的必由之路 资本的集中化和市场的国际化，促使企业规模不断扩大。而经营地点的分散以 及控制跨度的增加，导致企业管理层次增多，管理难度增大。这时，管理当局不能再 像过去那样事必躬亲，而只能通过内部管理机构对经营活动进行间接的指挥、调节和 控制，尤其是依靠包括财务报告在内的各种数据资料来分析、考核下属经营单位的经 营效率和效益及责任履行情况。 二、企业实施内部审计控制评价体系的积极意义 ( 一) 企业实施内部审计控制评价体系是打造企业核心竞争力的利器 建立和实施有效的内部控制评价体系是企业科技、管理、制度创新的重要载体， 对企业整合运用各类资源，增强企业的研发能力、生产管理能力和风险控制能力具有 重要的助推作用，可以说是企业稳健发展的核心竞争力。对于推动企业科技创新、制 度创新、管理创新，提高企业核心竞争力，促进经济发展方式从主要依靠物质资源投 入，向依靠科技进步、管理创新、劳动者素质提高的可持续发展方向转变具有重要意 义。商业银行尤其需要加强其内部审计控制评价体系建设工作，打造企业风险管理控 制能力，增强企业核，t l , 竞争力。 ( 二) 企业实施内部审计控制评价体系是提升企业“软实力”的捷径 内部审计控制评价是内部控制制度在企业的具体实施情况，是一个企业存在价 值的体现，评价一个企业的价值不能光看它的厂房、设备、技术等有形资源，关键要 朱荣恩，内部控制评价，中国时代出版社，2 0 0 2 年。 3 第一章 我国商业银行风险导向型内部审计控制评价体系研究 看它组织资源、整合各种资源以及风险控制的能力。一个企业，实施全面的内部控制 评价体系后，能为企业树立良好的品牌形象，提升内部价值和管理能力。内部控制评 价体系的有效实施，提高了企业资源整合的配置效率，培育了良好的企业文化和优秀 的团队协作能力，使企业增强了“软实力”，为企业长远发展带来收益。商业银行尤 其需要建立内部审计控制评价体系来完善其整合资源和风险控制能力，以便更好的为 企业发展保驾护航。 ( 三) 企业实施内部审计控制评价体系将为企业构筑风险“防火墙” 内部控制评价体系的建立将为企业构筑一道坚实的“防火墙”，通过该评价体 系的建立将企业内部管理的各个风险因素按照影响程度大小进行量化，并将其影响程 度控制在一定的水平，该评价体系将能有效的缓解和评估企业风险并起到及时预警的 积极作用。商业银行由于其自身经营高风险的业务特点，尤其需要建立一套与之相匹 配的内部审计控制评价体系，以达到更好的评估风险，降低风险的目的。 三、本文研究的主要创新点 本文通过国、内外优秀内部控制评价理论的学习研究，在此基础上提出现有企 业( 商业银行) 内部控制评价的不足，通过对中国银行现有内部审计控制评价体系操 作方法的探究，归纳总结商业银行内部审计部门在风险导向型审计上的实践操作意 义。在以风险为衡量审计主体原则的基础上，进一步将内部审计控制评价体系纳入风 险评估中。通过对理论和实践研究，希望确立以风险为衡量内部审计控制评价的重心， 探讨内部控制评价制度在审计工作中的实践意义，将企业内部控制评价的优秀方法引 入商业银行内部审计控制评价中，探讨内部审计控制评价在提高组织效能和增加组织 价值方面的作用。 4 我国商业银行风险导向型内部审计控制评价体系研究第二章 第二章国、内外内部控制理论的发展 国际内部审计师协会( a ) 对内部审计的定义是“内部审计是一种独立、客观 的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方 法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”风险导 向内部审计则指内部审计人员在执行审计的过程中根据银行内、外部环境，结合业务 流程和业务量集中程度筛选风险点，并根据风险度的高低分配审计资源，确定重点审 计项目，以确定银行风险程度，进行内部控制制度的符合性测试、实质性测试，进行 监督检查和评价，提出建设性意见和建议。通过对被审计单位进行风险评估，综合分 析各种影响因素，量化并降低风险，提出建设性的意见和建议。 风险导向型内部审计控制是一种基于战略和系统的观点，通过综合评价经营风 险以确定实质性测试范围、时间和程序的审计方法。商业银行审计部门作为内部控制 的监督机构，既要关注财务状况及其经营成果，也要审计这些数字的形成过程。银行 内部审计工作者，要了解商业银行的经营过程，评估和测试银行的风险，评估用来衡 量经营的财务性和非财务性指标，提供管理层决策所需要的审计信息，为提高银行经 济效益服务。 国内外学者针对企业内部审计控制问题进行了大量研究，本文将从现代内部控 制理论发展、现代企业内部控制评价标准以及商业银行内部控制评价等三个方面分析 内部控制理论的发展。 一、现代内部控制理论的发展 内部控制理论的实践和发展经历了一个漫长的过程大体可以分为四个阶段：2 0 世纪4 0 年代以前的内部牵制理论；4 0 年代至7 0 年代的内部会计控制和内部管理控 制；8 0 年代至9 0 年代初的内部控制结构；9 0 年代以来的内部控制系统理论。 ( 一) 2 0 世纪4 0 年代以前的内部牵制理论 内部牵制概念最早由l r d i c k s e e 于1 9 0 5 年提出，他认为内部牵制由三要素构 成：职责分工、会计记录、人员轮换。其基本设想有两个方面： ( 1 ) 两个或以上的 s 第二章我国商业银行风险导向型内部审计控制评价体系研究 人或部门无意识的犯同样错误的机会是很小的。 ( 2 ) 二个或以上的人或部门有意识 的合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明内部牵制是 合理的，内部牵制机制缺失有效地减少错误和舞弊的发生，在现代内部控制系统理论 中，内部牵制理论仍占有重要的位置，成为有关组织机构控制和职务分离控制的基础。 ( 二) 4 0 年代至7 0 年代的内部会计控制和内部管理控制 4 0 年代至7 0 年代，内部控制思想在内部牵制理论的基础上有所发展。1 9 5 8 年， 美国会计师协会正式以文告的形式对内部控制重新进行了定义：“内部控制从广义上 说，包括会计控制和管理控制。“前者在于保护企业资产、监督会计数据的准确性和 可靠性；后者在于提高经营效率，促使有关人员遵守相关的管理要求。 ( 三) 8 0 年代至9 0 年代的内部控制结构 8 0 年代后期，学术界在对内部会计控制和管理控制进行研究后，发现两者是密 不可分和相互联系的。因此1 9 8 8 年美国会计师协会发布的审计准则文告第5 5 号 提出了内部控制结构的概念，认为“企业的内部控制结构包括为提供特定目标的合理 保证而建立的各种政策和程序。”同时提出内部控制结构由控制环境、会计制度和控 制程序三部分组成。 ( 四) 9 0 年代以来内部控制系统理论的形成 伴随着世界经济一体化浪潮，内部控制越来越严格，经营风险不断提高。1 9 9 2 年，全美财务舞弊委员会发布内部控制的整体框架，即“c o s o ”报告，被普遍 认为是有关内部控制的里程碑式的文件。它指出“内部控制是由一个企业董事会、管 理人员和其他志愿实施者形成的一个过程，其目的是为了提高经营活动的效果和效 率，保证财务报告的可靠，促使与可适用的法律相符合的一种合理保证。”正式提出 内部控制系统由控制环境、风险评估。控制活动、信息与交流、监控组成。2 0 0 1 年 美国安然公司宣布破产，成为美国历史上第二大破产案，美国政府为此出台了萨班 斯奥克斯利法案，引导企业内部控制体系的建设。 二、现代企业内部控制评价理论要素和分析 企业风险管理的基础前提是每一个主体的存在都是为它的利益相关者提供价 6 我国商业银行风险导向型内部审计控制评价体系研究第二章 值。所有的主体都面临不确定性，管理当局所面临的调整就是在为增加利益相关者价 值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因 而它即代表风险，也代表机会。企业风险管理使管理当局能够有效地应对不确定性以 及由此带来的风险和机会，增加创造价值的能力。 1 9 9 2 年9 月，美国反虚假财务报告委员会下属的主办组织委员会( c o s o 委员会) 在其发布的内部控制一整体框架报告中指出，“内部控制是受董事会、管理当局 和其他职员影响，旨在为取得经营效果和效率、财务报告的可靠性、遵循适当的法律 等目标而提供合理保证的一种过程”，该报告将内部控制保证企业实现的广义目标划 分为：经营效果和效率( 有效性) 、财务报告的可靠性、对适用法律法规的遵循( 合 法性) 。c o s o 内部控制整体框架已经成为国际上公认的企业内部控制的经典理 论，其适用性十分广泛，涉及企业管理的各个方面。 国际上众多知名企业根据该理论框架建立了不同的内部控制方法和手段。该内 部控制理论最初由控制环境、风险评估、控制活动、信息与沟通和监督控制五要素组 成。但在实际执行过程中，发现该理论缺少部分企业战略风险管理方面的内容，因此 2 0 0 4 年c o s o 理论在控制五要素的基础上，结合美国政府新颁布的萨班斯- 奥克斯利法 案( s a n b a n e s - o x l e ya c t ) ，通过引入风险管理方面的理论，最终将该五要素发展为 八要素。其显著变化在于体现内部控制整体框架对风险因素的重视，以及信息技术、 信息系统在现代企业管理过程中的重要作用。新框架要素在原有五要素的基础上增加 了目标设定、风险识别、风险应对三个控制要素，这些要素共同作用于企业的各项经 营活动之中。至此，内部控制评价标准理论( c o s o u 理论) 共包括控制环境、目标 设定、风险识别、风险评估、风险应对、控制活动、信息与沟通和监督控制这八要素 组成，具体如下： ( 一) 控制环境 控制环境是企业风险管理需要首当其冲考虑的问题，它是直接决定其他框架要 素实施效果的保证。企业管理者对于风险的容忍度是决定企业内部环境控制好坏的关 键，例如企业管理者对于风险的厌恶程度，对于风险管理所持有的理念等。 7 第二章 我国商业银行风险导向型内部审计控制评价体系研究 ( 二) 目标设定 目标设定就是企业为实现自身的经营策略的路线，为了保证目标的实现，企业 管理者需要将目标分解为不同的战略实施措施，不同的战略又被设定为不同的子目 标，只有各个子目标的成功实现，才能为企业整体战略目标奠定基础，从而以保证企 业整体战略目标的实现。 ( 三) 风险识别 风险识别指的是企业对于影响企业目标实现的各类不确定因素进行的判别，这 些不确定事项有的对企业的发展起到积极的影响，有的阻碍企业的发展，对于企业来 说不同的不确定因素意味着不同的机遇与风险。只有对于这些不确定因素进行正确的 识别与判断才能更好的为企业发展保驾护航。 ( 四) 风险评估 企业在识别与其自身战略目标有关的各项风险后，需要对这些影响因素进行判 断和评估，风险评价的作用就在于企业对于这些不确定因素能够承受的限度，即风险 发生的概率以及严重程度的容忍度。 ( 五) 风险应对 企业在对面临的不确定因素进行各种风险分析的基础上，需要根据评估结果做 出不同的应对措施，如果风险在企业能够承受的范围之内，则需要进行甄别，以减轻 各种不利影响所发生的概率和减轻危害后果的发生。 ( 六) 控制活动 控制活动贯穿于企业经营的各个方面，涉及几乎所有层面的业务机构和活动， 它是企业风险管理得以实现的方法和手段，主要表现为一系列完整的系统性控制程序 和制度等。 ( 七) 信息与沟通 信息与沟通帮助管理者与被管理者直接对话和互相了解，能够及时对企业内部 控制状况的执行和控制效果进行反馈，促使企业更好的将内部控制程序与制度贯穿于 我国商业银行风险导向型内部审计控制评价体系研究第二章 整个控制过程。 ( 八) 监督控制 企业风险管理的监督控制机制能够为企业风险管理的全过程和执行结果提供重 要的保证，通过对企业内部控制流程的全面监督与控制，提高内部控制管理水平，为 企业对外披露各类信息提供依据，并为开展自我评估报告提供基础。 企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下 来的那个构成要素。它是一个各方向的、反复的过程，在这个过程中几乎每一个构成 要素都能够、也的确会影响其他构成要素。 三、商业银行内部控制评价体系的发展和现实意义 2 0 世纪7 0 年代，国际大型商业银行业务呈现全球化趋势，投机活动肆意泛滥， 以致赫斯塔特银行、法兰克林国民银行和英国一以色列银行三家大型国际商业银行相 继于1 9 7 4 年倒闭，给国际金融业造成极其恶劣的影响。1 9 7 5 年2 月，在国际清算银 行的主持下，以十国集团为核心的中央银行行长成立了银行监管实施委员会，即巴塞 尔委员会( b a s e lc o m m i t t e e ) ，对国际银行业进行监督管理。巴塞尔委员会成立以来。陆 续制定了一系列关于国际银行监管的原则、标准和框架，统称为巴塞尔协议。巴塞尔 协议是迄今为止对国际银行业监管影响最大的国际协定，也成为当今国际银行业进行 内部控制管理的理论依据。 巴塞尔监管委员会在1 9 8 8 年7 月制定和颁布了关于统一银行资本衡量和资本 标准的协议之后，1 9 9 7 年制定了加强金融机构内部控制的指导原则。作为不 断努力解决金融监管问题和通过鼓励良好风险管理指南以强化监管工作的成员，巴塞 尔银行监管委员会在1 9 9 8 年2 月公布了关于内部控制的评价原则；1 9 9 8 年，巴 塞尔委员会在允分吸收c o s o 委员会报告的基础上，推出了银行内部控制系统框 架。该框架一经发表便为各国银行监管当局承认和接受，共提出了五个方面共十三 条原则。主要包括控制环境、风险识别和评估、控制活动、信息交流、监督评审等。 它所提出的核心内容是内部控制理论在金融、银行领域的延伸和发展，对许多国家商 业银行内部控制体系的构建起到了指导性的作用。同时，巴塞尔银行监管委员会指出， 9 第二章 我国商业银行风险导向型内部审计控制评价体系研究 有效的内部控制是银行管理的重要组成部份，也是银行机构安全、良好运作的基础。 一个强有力的内部控制，有助于确保银行达到其目标，确保其各项财务报表的可信度， 遵循适用的法律、法规，以减少意外损失或银行信誉受损的内险。2 1 9 9 7 年5 月，中国人民银行正式颁布了加强金融机构内部控制的指导原则， 接着又陆续颁布了进一步加强银行会计内部控制和管理的若干规定和关于进一 步完善和加强金融机构内部控制建设的若干意见，对商业银行会计的内部控制提出 了明确要求，要求用1 - 2 年时间形成一套规章健全、运作有序、权责分明、平衡制约 的内部控制机制。 中国银监会在其发布的商业银行内部控制指引中指出：内部控制是商业银 行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、 事中控制、事后监督和纠正的动态过程和机制。内部控制包括内部控制环境、风险识 别与评估、内部控制措施、信息交流与反馈、监督评价与纠正等五大要素。以上两个 定义虽然内容有所不同，但实质却基本一致，而关键的问题就是如何围绕上述要素在 执行过程中保证其有效性并取得成效。 中国人民银行和中国银监会的一系列规定的颁布和实施，引起了商业银行的高 度重视，各商业银行根据人民银行和银监会的有关要求制定了适合自身内部控制的制 度和操作规范，采取不同的举措，积极推进内部控制体系的健全和完善。2 0 0 0 年初， 各商业银行初步建立了对分支机构的授权制度和对客户的授信制度；加强资产负债管 理，落实资产负债比管理与风险管理方法；完善贷款风险防范机制，健全信贷风险责 任制，建立商业银行内部监督制度。 2 0 0 4 年11 月，中国银监会颁布了商业银行内部控制评价试行办法，目的在 于规范和加强对商业银行内部控制评价，督促其进一步建立健全内部控制评价体系。 该办法指出，商业银行内部控制评价是对商业银行内部控制体系建设、实施和运行结 果开展的独立调查、评估、测试和分析的活动。评价内容分为内部控制环境、风险识 别、内部控制措施、监督评价与纠正、信息交流与反馈五个部分。该办法将内部控制 评价分为过程评价与结果评价。过程评价侧重对内部控制过程的充分性、有效性的评 2 何林祥，美国商业银行内部控制、风险管理与稽核制度，人民出版社，1 9 9 9 年。 1 0 我国商业银行风险导向型内部审计控制评价体系研究第二章 价，结果评价对侧重对内部控制主要目标实现程度的评价。该标准对过程评价和结果 评价分别设置标准分5 0 0 分，同时将具体评价标准划分为5 个级别，9 0 分以上为一 级，6 0 分以下为五级。监督机构可以根据评价报告所反映的情况和评价结果，针对 被评价机构存在问题的性质和程度，采取相应的监管措施。 从以上介绍的商业银行内部控制评价的发展趋势来看，不管是国际知名企业还 是我国商业银行和外部监管机构，均对企业内部控制评价体系尤为关注。不管是国际 先进的c o s o i i 内部控制八要素理论，还是我国人民银行和银监会等外部监管机构发 布的各类规章制度，都日益进一步强调企业( 商业银行) 内部控制管理需要将风险导 向作为评价的中心和重点，强化其理论指导和企业管理的实践意义。对于商业银行来 说在评估企业风险的基础上需要对整个组织的运行状况进行详细的评价与分析，通过 建立规范化的内部控制评价体系制度来将风险进行量化，通过标准的模型对各类风险 进行划分，在整合资源的基础上，加强以风险为导向的内部控制研究并对企业进行全 方位的评估，以便更好的促进企业健康、稳健的发展。 第三章 我国商业银行风险导向型内部审计控制评价体系研究 第三章我国现有商业银行内部审计控制评价体系分析 一、商业银行内部审计控制评价体系现状 我国商业银行内部审计控制评价体系以建立健全风险控制评价机制为目的，充 分有效的执行内部控制评价制度，满足商业银行内部管理的要求和发展趋势，确保公 司战略和经营目标的有效实施，保证会计资料的真实、合法、完整和有效。主要体现 在以下几个方面： ( 一) 控制环境方面 我国商业银行已经逐步建立以股东大会、董事会、监事会和高级管理层为核心 的有效公司治理结构，设立了独立董事、外部监事，在经营管理层面成立了内部控制 委员会，负责落实董事会关于内部控制的各项要求。在机构设置和岗位规划上，明确 总、分行与相关部门之间、岗位之间，上下级机构之间的职责；实行审贷分离、分级 审批的管理制度；构建以岗位为中心的绩效考核体系，形成较为合理的人力资源结构 梯队。 ( 二) 目标设定方面 我国商业银行以实现股东价值最大化作为其最终目标，在实施过程中需要降低 风险发生的概率，积极为股东寻求利益，并不断减低风险和增加组织价值。为此商业 银行需要制定实现其目标的战略发展措施，不断在经营活动中进行修正很完善，以便 更好的为组织发展服务。 ( 三) 风险识别方面 商业银行需要对影响其自身发展的各项因素进行评估，按照风险发生的频率和 影响程度做好风险的识别工作，尤其在当下，良好的识别机制对于风险的控制是一种 有效的事前防范措施，为商业银行更好的发展保驾护航。 1 2 我国商业银行风险导向型内部审计控制评价体系研究 第三章 ( 四) 风险评估方面 随着我国商业银行风险管理水平日益提升，逐步向全面风险管理体系迈进，形 成了全面风险管理组织架构，职责分工日益明确，管理内容不断丰富，初步形成适 应当前国内公司治理机制和机构网点分布特点的全面风险管理体系。商业银行明确 规定由董事会、监事会、风险管理委员会、高级管理层、稽核委员会、各部门、各 机构的内部审计风险管理框架，完善风险管理内容，促进风险管理理念和策略的一 致性。 ( 五) 风险应对方面 当发生风险后，需要商业银行对风险的影响程度进行评估和控制，衡量商业银 行能够承受多大的风险，在此基础上，做好风险应对工作。风险的发生不可避免， 如何做好风险发生后的应对工作尤其重要，如果没有良好的因对机制，将使得商业 银行风险暴露加大，不利于其稳健发展。 ( 六) 控制活动方面 商业银行在建立包括授信业务、资金业务、中间业务、会计业务、信息系统控 制、监督与纠正机制、合规体系建设等在内的各项制度和流程的基础上，根据内部 控制目标，结合自身风险应对策略，综合运用各种控制措施，对各项业务实施了有 效控制。对于不相容职务进行分离，系统梳理各业务流程中不相容职务，制定适当 的职责分离制度，明确划分相关机构部门之间、岗位之间的职责，形成了各司其职、 各负其责、横向与纵向相互监督制约的工作机制。对于授权审批控制，严格执行授 权管理制度，建立股东大会、董事会、行长、内设部门和辖属机构及其负责人等分 层次的授权管理体系，各级行及其工作人员在授权范围内开展经营管理活动，行使 职权和承担责任。 ( 七) 信息与沟通方面 我国商业银行在拓宽信息沟通渠道方面，近年来加强了经营管理信息标准化体 系建设，开展经营管理信息标准化研究，完善客户关系管理系统，加强数据质量管理， 搭建数据质量管理平台，依托数据仓库推进系统数据的进一步优化，逐步完善网络、 搭建业务园地等内部信息交流平台，促进内部信息在各层级间传递。 1 3 第三章 我国商业银行风险导向型内部审计控制评价体系研究 ( 八) 监督控制方面 今年来我国商业银行普遍加强了对各级经营机构内部控制和审计监督系统自身 的控制，对审计及日常监控发现的员工违纪违规和不良行为进行调查，认真进行责任 认定、追究对检查、监督所发现的问题，及时向公司董事会和高级管理层报告，并定 期向董事会审计委员会汇报，及时整改。完善了风险监测程序与报告制度，定期对分、 支机构风险管理水平、内部控制的建立和实施状况进行监督评价。 二、商业银行内部审计控制评价体系的主要内容 ( 一) 内部审计控制评价体系的主要目标 为提升我国商业银行内部审计控制评价管理水平，推进和完善内部控制评价体 系建设，全面满足监管和信息披露的要求，以新巴塞尔资本协议和c o s o i i 理论框架 为基础，从规范公司内部控制适当性和有效性入手，进一步推动商业银行内部控制和 评价语言的统一和规范。商业银行内部审计控制评价的主要工作目标有： ( 1 ) 促进本行业内部审计控制评价满足外部监管要求。 ( 2 ) 促进本行业不断完善对所有部门条线流程及控制环节的梳理，帮助确保内 部控制评价体系得到有效运作。 ( 3 ) 促进各级管理层和员工强化内部控制评价意识，进一步贯彻落实各项控制 措施和要求，确保内部控制评价体系得到有效运行。 ( 4 ) 促进整个行业提高风险管理水平，帮助企业实现战略发展和经营目标。 ( 二) 内部审计控制评价体系的主要工作 根据我国商业银行特点，内部审计控制评价体系是指按照一定的框架、标准和 方法，结合内部控制评价监督信息以及外部审计与监管机构的监管要求，对银行各项 控制活动体系的建立和运行情况进行调查、测试、分析和评价。其目的在于一是通过 评价银行内部控制的适当性和有效性，全面审视内部控制评价体系，发现内部控制缺 陷和不足，并提出改进建议，推动内部控制评价体系的不断完善；二是满足外部监管 的信息披露要求；三是为反舞弊欺诈和防范重大事故隐患提供线索。 1 4 我国商业银行风险导向型内部审计控制评价体系研究第三章 ( 三) 内部审计控制评价体系的主要手段 内部控制检查是控制评价体系的工作基础，也是主要方法和手段。内部审计控 制检查主要依据风险评估结果确定的审计对象，通过一系列测试手段从内部控制设 计的适当性和执行的有效性角度验证，寻找控制缺陷和不足。验证内部控制运行情 况最为有效的测试方