（管理科学与工程专业论文）基于coso体系的商业银行内控系统建模与设计研究.pdf

震算上擎硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 摘要 伴随着世界经济的全球一体化步伐，国内的银行业开始面临来自国际银行 同业的越来越激烈的竞争，并且银行业监管体系也开始逐步体现国内监管和国际 监管综合的格局。而由于国内银行业发展的历史成因，其内部控制相对落后，因 此如何优化内部控制以应对新的竞争和监管格局，成为当前国内银行改革的重要 闯题。本文从银行内部控制信息系统方法的角度出发来研究优化银行内部控制。 本文以c o s o 内部控制整体框架作为本文研究的内控理论基础，结合其他机构 比如巴塞尔委员会、中国人民银行的内控要求，构筑了国内银行业内部控制的要 素业务二维度体系框架。并结合一些最新的内控标准发展比如美国 s a r b a n e s o x l e y 法案，分析出了银行内控信息系统在数据、流程、控制结构、合 规性方面的需求特点。以上述分析为基础，本文结合信息系统面向对象建模和 m a s 系统建模方面的理念，构筑了基于内部控制要素业务二维度体系为目标功 能导向的系统模型，并对其系统设计和关键技术如流程类库、网格调度、智能 a g e n t 、界面中间件进行了技术分析。最后，文章还进行实证设计研究，研究了 系统模型的实际应用模式，验证了本文系统设计的价值并提出了本文系统的对比 优势。 本文研究受复旦大学研究生创新基金资助和复旦大学金融创新研究生开放 实验室创新项目基金资助，项目名称“商业银行内控体系的创新研究及其智能监 控系统设计”，项目研究突破了以前在内控方法和系统设计上的不足，希望本文 的研究能够为我国银行内控改革提供有价值的参考。 关键词：c o s o 体系，银行内控系统，面向对象建模，m a s 建模 分类号：c 9 3 1 6 ，f 8 3 2 2 覆l 上肇硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 a b s t r a c t w i t ht h eg l o b a l i z a t i o no fw o r l de c o n o m y , l o c a lb a n k i n gi n d u s t r yf a c em o r e i n t e n s e l yc o m p e t i t i o nf i o mt h ei n t e r n a t i o n a ls m i l et r a d ea n dt h er e g u l a t o r ys y s t e m b e g i nt ob ec h a r a c t e r i z e db yi n t e g r a t e dr e g u l a t i o no fl o c a la n di n t e r n a t i o n a l f o r h i s t o r i c a lr e a s o ni n t e m a lc o n t r o lo fl o c a lb a n k si sad i s a d v a n m g ef o rc o p i n gw i t l lt h e n e wc o m p e t i t i o na n dr e g u l a t i o ns i t u a t i o n , s ot oo p t i m i z ea n dr e f o r mt h ei n t e r n a l c o n t r o lb e c a m ev e r yi m p o r t a n ti s s u eo fn a t i o n a lb a n k i n gr e f o r m t h ed i s s e r t a t i o n r e s e a r c ht h eo p t i m i z a t i o no fb a n k i n gi n t e r n a lc o n t r o l t h ep e r s p e c t i v eo f i n f o r m a t i o ns y s t e m b a s e do nt h ec o s oi n t e r n a lc o n t r o li n t e g r a t e df r a m e w o r ka n d o t h e rg u i d e l i n e sf r o ms u c hb a s e lc o m m i t t e ea n dp b o c ，t h ed i s s e r t a t i o np r o p o s e da t w o - d i m e n s i o nc o m p o n e n t s b u s i n e s sb a n k i n gi n t e m a lc o n t r o lf r a m e w o r k a n d c o m b i n e dw i t hs o m en e w d e v e l o p m e n to f i n t e m a lc o n t r o ls t a n d a r ds u c ha sa m e r i c a n s a r b a n e s - o x l e ya c t , t h ed i s s e r t a t i o ng e n e r a l i z e dt h er e q u i r e m e n t st r a i t sf r o ma s p e c t s o fd a t a , p r o c e s s ，c o n t r o ls t r u c t u r ea n dc o m p l i a n c e t h e nb a s e do nt h ei n f o r m a t i o n s y s t e mm o d e l i n gm e t h o do b j e c t - o r i e n t e da n dm a sm o d e l i n ga n dt w o - d i m e n s i o n c o m p o n e n t s - b u s i n e s sf r a m e w o r k , i tp r o p o s e st h es y s t e mm o d e la n da n a l y z et h e c r i t i c a lt e c h n o l o g ys u c ha sb u s i n e s sp r o c e s sc l a s sl i b r a r y , 舒dd i s p a t c h i n g ，i n t e l l i g e n t a g e n t , i n t e r f a c em i d d l eo b j e c ta n d s oo n f i n a l l y , t h ed i s s e r t a t i o na l s oc o n d u c t sac a s e s t u d y , t or e s e a r c ht h ep r a c t i c a la p p l i c a t i o nm e t h o da n dv e r i f yt h ev a l u eo ft h es y s t e m m o d e la n dt h ec o m p a r a t i v ea d v a n t a g e s n 硷d i s s e r t a t i o ni sf u n d e db yg r a d u a t ei n n o v a t i o nf u n do ff u d a nu 1 1 i v e r s i t y a n dg r a d u a t e s o p e nl a bo nf i n a n c ei n n o v a t i o no ff u d a nu n i v e r s i t yi n n o v a t i v e p r o j c c tf u n d , p r o j e c ti s s u e “i n n o v a t i o nr e s e a r c ha n di n t e l l i g e n tm o n i t o r & c o n t r o l s y s t e md e s i g no fi n t e r n a lc o n t r o li nc o m m e r c i a lb a n k i tb r e a k st h r o u g ht h e i n s u f f i c i e n c yo nt h er e s e a r c ho fi n t e r n a lc o n t r o lm e t h o da n ds y s t e md e s i g n , a n dw i l l p r o v i d ev a l u a b l er e f e r e n c e t ot h er e f o r mo rb a n k i n gi n t e r n a lc o n t r 0 1 k e y w o r d s ：c o s of r a m e w o r k ， o b j e c t - o r i e n t e dm o d e l i n g ，m a sm o d e l i n g c l c ：c 9 3 1 6 ，f 8 3 2 2 4 槎皇上擎硕士学位论文 基于c o s o 体系的商业银行内控系统建模与设计研究 1 1 选题意义 第一章绪论 2 0 0 6 年1 1 月是中国政府遵循对w t o 框架的承诺，全面开放国内银行业的 最后期限，这意味着在未来几年中国的金融市场将会出现影响深刻的变局。在这 场变局中，无论国有银行还是外资银行，如何把握机遇与如何应对挑战，成为所 有国内银行机构所共同面临的重大问题。而同时国内银行还必须在资本充足率、 公司治理结构等方面来满足w t o 协议所规定的条件，使得国内银行在面临外资 银行等强大竞争对手市场竞争的同时，还必须改革公司内部体制，加强银行内控。 正如温家宝总理在2 0 0 6 年3 月十届全国人大第四次会议的记者招待会上所说， 在把握国有商业银行改革的过程中，我们要坚持两条原则：第一，就是国家绝对 控股，从而保持对经济命脉的控制权，防范金融风险；第二，加强对改革全过程 的管理，完善内控机制和监管体系，防止国有资产流失。 对于国内银行，内部控制机制的不健全，成为其应对外资银行竞争、控制 内部风险重大竞争劣势。而从最近几年频发的中国银行、建设银行信用和操作风 险损失案( 表1 1 ) 可以看出，国内银行的内部控制体系还存在着很大的缺陷。 而同时也可以看到，外资银行比如花旗银行、汇丰银行等老牌金融机构，却拥有 着健全的内部控制，对比而言，加强对国内银行内部控制体系的研究，提高国内 金融机构的营运水平降低风险意义重大。 我们在复旦大学金融创新研究生开放实验室金融创新项目，研究生创新基 金项目“商业银行内控体系的创新研究及其职能监控系统设计”课题中，对于国 内外银行内控体系的对比研究表明，国内银行的内部控制体系制度制定已经获得 了较好的发展，形成了比较完善的框架，但是在实施体系方面却存在着很多缺陷， 导致从总体上看来，国内银行的内控机制要远远落后于老牌的外资银行。因此， 如何基于已经成文的商业银行内部控制制度体系，应用先进的管理工具、信息技 术工具来完整的实施内控体系，提高国内银行的营运水平和内部风险控制水平， 成为当前国有银行改革中的一个亟待研究和解决的课题。而从另一方面看来，随 着w t o 全面开放的临近，和某些大型国有银行谋求海外上市，使得银行不得不 遵循巴塞尔委员会相关的内控要求和海外证券监管机构的相关要求，这也是银行 必须尽快提高信息技术应用水平加快走出去步伐的重要驱动。 目前有关内部控制体系的系统研究主要都是关注于美国c o s o ( c o m m i t t e eo f s p o n s o r i n go r g a n i z a t i o n so f t h et r e a d w a yc o m m i s s i o n ) 委员会( 后 覆算上擎硕士学位论文 基于c o s o 体系的商业银行内控系统建模与设计研究 续简称“c o s o 委员会”) 提出的内部控统一框梨l 】的五大要素分析：控制环境、 风险评价、控制活动、信息与交流和监测。但是缺乏对于内部控制具体实现方面， 特别是应用信息技术进行内部控制实现方面的研究。综合看来，以往研究的不足 在于：其一，对于银行内控体系中的控制活动要点分析研究比较多，结合i t 技 术的研究很少；其二，缺乏对于内控体系总体的整合实现建模研究；其三，对于 实施内控体系中的i t 部门责任和c i o 责任研究很少。 表1 1 国内商业银行披露的2 0 0 4 年以来的信用和操作风险损失 银行名称案情回顾披露时间 损失金额 ( 年) ( 人民币：亿元) 中国银行黑龙江四马路支2 0 0 6 4 3 2 5 黑龙江河松江支行诈骗案2 0 0 5 ) 1 0 北京分行在“森豪公寓”按揭贷款中被骗贷2 0 0 5 ) 6 中行储蓄所公款炒汇2 0 0 43 0 0 0 万 中国建设银行张思照事件 2 0 0 5) 8 0 0 万 广州苏村区虚假骗贷案2 0 0 4 1 0 吉林分行诈骗案。管理人员涉嫌携款外逃 2 0 0 43 2 中国工商银行国家审计署公布工商银行违规放贷 2 0 0 46 9 中国农业银行包头市农行内部人员涉嫌骗贷2 0 0 5 1 1 5 中国民生银行广州白云支行原副行长涉嫌票据诈骗 2 0 0 53 光大银行广州越秀支行原副行长骗贷近亿元2 0 0 5 l 涉案金额总计 ) 1 0 0 然而，目前得到深入研究的c o s o 体系却为我们提供了将内控体系付诸模 型化系统化研究的可能。基于c o s o 体系的五大要素以及要素关注的具体项目， 我们可以鉴别出可能i t 系统化的部分，对于这一部分予以r r 系统建模研究，同 时对于系统模型的关键技术进行设计研究，从而从整体上从可实施的角度来对基 于c o s o 体系的内控系统进行建模与设计。 本文跟踪研究了有关银行内控体系的理论发展路径，重点总结了c o s o 体 系近年来的研究工作，以基于c o s o 体系的内控体系作为本文研究的理论基础， 同时结合近年来在银行信息系统设计、金融电子化标准等方面的应用基础和理论 基础，展开对银行内部控制系统的建模研究，并进一步对于实施内控系统过程中 的相关关键技术进行了探讨。 6 堡兰兰兰塑主堂笪望壅基于c o s o 体系的商业银行雨控系统建模与设计研究 1 2 研究现状 1 2 1 基于c o s o 的内控体系理论 内部控制理论的发展经过了一个很长的历史时期，主要区分为4 个阶段。 第一个阶段为“内部牵制”阶段，rh 蒙哥马利早在1 9 1 2 年出版的审计一理 论与实践一书中就指出，所谓内部牵制是指一个人不能完全支配账户，另一个 人也不能独立地加以控制的制度，某一位职员的业务与另一位职员的业务必须是 相互弥补、相互牵制的关系，即必须进行组织上的责任分工和业务的交叉检查或 交叉控制，以便相互牵制，防止发生错误或舞弊这就是内部控制的雏形。第一 阶段的时间早在西方工业革命时期就已经广泛应用。第二阶段为“内部控制制度” 阶段，美国a i c p a 首次正式提出了内部控制的定义：“内部控制包括一个企业内 部为保护资产、审核会计数据的正确性和可靠性、提高经营效率、坚持既定管理 方针而采用的组织、计划，以及各种协调方法和措施。”【2 】，该组织又在其随后 发布的审计程序公告中确定内部控制分为基础控制、纪律控制和实物控制。第三 阶段为“内部控制结构”阶段，其提出标志就是美国注册会计师协会于1 9 8 8 年 5 月发布的审计准则公告第5 5 号一会计报表审计中对内部控制结构的关注。 该公告首次提出了“内部控制结构”这一概念，并取代了原来的“内部控制制度” 概念。该公告将内部控制定义为“为合理保证实现企业的具体目标而建立的一系 列政策和程序”。该公告认为内部控制结构由控制环境、会计制度、控制程序等 三个要素组成。第四个阶段为“内部控制框架”阶段，其提出主要基于c o s o 委员会1 9 9 2 年所提出的内部控制整体框架 1 1 ，该委员会在后期提出很多的 增补意见，并于2 0 0 3 年形成了新的内部控制框架构架体系，即“e r mf r a m e w o r k ” 例，我们用( 表1 2 ) 来说明内部控制理论的发展路径。 表1 2 内部控制理论的发展 发展阶段理论阶段主要理论或关注要点 第一阶段内部牵制业务和责任上的交叉检查、交叉牵制，防止错误和舞弊 保护资产、审计署据的正确可靠，提高组织经营管理的 第二阶段内部控制制度效率和计划性。确认内控分为基础控制、纪律控制和实 物控制 为合理保证实现企业的具体目标而建立的一系列政策 第三阶段内部控制结构和程序。由控制环境、会计制度、控制程序等三个要素 构成 7 棋算上擎硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 c o s o 委员会的内部控制整体框架，与后续扩展的全面 l 第四阶段内部控制框架 风险框架 在内部控制理论的第四阶段，c o s o 委员会提出的内部控制整体框架已为 业界广泛接受，巴塞尔银行监管委员会c o s o 委员会的基础上，于1 9 9 8 年9 月 颁布了银行机构内控体系的框架的银行内控标准文件，目前各国银行基本以 巴塞尔银行监管委员会确定的标准来加强自己的内控建设，内容包括五大组成部 分：管理层的督促与控制文化；风险的识别与评估；控制活动与职责分离；信息 与交流；监督评审活动与缺陷的纠正。可以看到巴塞尔委员会对于内控制的定义 是基本基于c o s o 委员会的框架的。而针对国内商业银行的具体情况，中国人 民银行提出的商业银行内部控制指引【4 】在内控要素、目标方面均吸收了c o s o 内部控制整体框架的内涵，但更具体的从业务等方面进行了展开，其更符合中国 国情，并更加具有可应用性。 国内学术界和业界对于内部控制和c o s o 体系有着广泛的研究，南京大学 的杨胜雄在综述研究了内部控制与经济学、管理学、会计审计的理论关联后认为， 内部控制与管理学是融会一体的关系，对予内部控制理论研究和内控实践的探索 一直是管理学发展的主要方向，管理学意义的内部控制职责、作用广泛，基本等 同于管理控n t s 。西安交通大学的卢鸿博士应用系统论的观点对于c o s o 内部控 制的框架体系进行了详细的要素分析，并认为中国商业银行内部控制系统的构建 必须从再造控制环境入手，通过股份制改造、公司治理结构重建、企业文化培育 等方法建立良好的控制环境网。同济大学的徐翔博士研究了有关c o s o 体系的全 面架构和e r m 的全面架构，并认为在金融网络信息化的趋势下，加强利用信息 技术发展的最新成果提高金融内控的应用水平，是有效提高内控效率的途径1 7 】。 综合看来，研究主要集中内部控制理论本身的阐述与研究，特别是对于银行治理 和风险管理方面。 1 2 2 银行信息系统的设计方法 在信息系统设计的理论文献方面，论文关注两个方面的研究和应用，首先 是有关通用的信息系统建模理论，其次是有关银行信息系统具体设计和应用的一 些文献。 从基本逻辑上开来，系统建模区分为“自底向上法”和“自顶向下法”，而 具体的建模方法，信息系统建模的普遍理论一般将建模方法分为以下的几个种 类： 面向过程的建模方法是把过程看作系统模型的基本部分，数据是随着 8 揍宴上擎硕士学位论文基f c o s o 体系的商业银行内控系统建模与设计研究 过程而产生的。最有影响的面向过程的设计方法是y o u r d o n 设计法。 面向数据的建模方法把模型的输入输出看成是最为重要的，因此，首 先定义的是数据结构，而过程模块是从数据结构中导出的，即功能跟随数据。最 有影响的面向数据的设计方法是j a c k s o n 设计法。 面向信息的建模方法与面向数据建模方法的区别就是信息和数据的区 别。信息和数据都是信息系统中最基本的术语，数据是指记载下来的事实，是客 观实体属性的值，而信息是构成一定含义的一组数据。面向信息建模方法是从整 个系统的逻辑数据模型开始的，通过一个全局信息需求视图来说明系统中所有基 本数据实体及其相互关系，然后，在此基础上逐步构造整个模型。 决策支持系统由数据库、模型库和各自的管理系统组成。决策支持系 统模型需要反映的问题是系统的决策制订原则和机理、系统的组织机构和人员配 置。通过对决策系统的建模，企业的领导可以对企业有一个细致的了解，从而发 现其中问题。如组织结构臃肿，职权划分不清，权力范围不合理等，据此进行相 应的改革。比较成熟的决策支持系统建模方法有p e t r i 网和g r a i 法。 面向对象的分析方法是利用面向对象的信息建模概念，如实体、关系、 属性等，同时运用封装、继承、多态等机制来构造模拟现实系统的方法。传统的 结构化设计方法的基本点是面向过程，系统被分解成若干个过程。而面向对象的 方法是采用构造模型的观点，在系统的开发过程中，各个步骤的共同的目标是建 造一个问题域的模型。在面向对象的设计中，初始元素是对象，然后将具有共同 特征的对象归纳成类，组织类之间的等级关系，构造类库。在应用时，在类库中 选择相应的类。 对应于上述的主要种类，更加具体的建模方法还包括i d e f i x 、i d e f 4 、工 作流建模和m a s 系统建模等。对于银行系统的建模，我们必须依据其需求的特 点选择相关的方法进行。 对于银行信息系统设计理论的应用在国内外具体的相关研究比较少。对于 有关内控系统的研究则更少，综合内控体系的研究看来，区别于国内研究集中于 银行治理和风险管理的特点，国外m i s 方面的学术专家却对有关内控与信息系 统结合的应用研究投入了许多精力，其主要的研究成果和相关文献依照年份阐述 如下： - d e ng 和d e n n i sg 发表于1 9 8 1 年m i sq u a r t e r l y i s 】的有关数据处理 系统与内部控制的关联研究，研究从信息系统功能管理、运营安全 性、控制要点分析等方面提出数据处理业务的控制研究和实施方向。 b u c kk w i 等发表于1 9 9 4 年j o u r n a lo fi n f o r m a t i o ns y s t e m 的有关 r u l e b a s e de x p e r ts y s t e m 【9 1 通过知识获取对内控进行评估的系统，其 9 棋皇上擎硕士学位论文 基于c o s o 体系的商业银行内控系统建模与设计研究 主要研究了r b e s 的设计，并认为通过系统的向控制目标的询问并 判断，可以构筑良好的内部控制评估监控系统。 c h u l e e p o mc h a n g c h i t 等发表于2 0 0 3 年e x p e r ts y s t e mw i t h a p p l i c a t i o n 1 0 的有关应用b s 结构并基于知识传输管理理论的内控 远程评估系统设计，研究对于已经形成的系统进行详细的阐述介绍。 - s u n g s i kh w a n g 等发表于2 0 0 4 年e x p e r ts y s t e m 1 1 的有关应用案例 推理构筑内部控制评估信息系统的研究，文章试图应用c b r 系统将 内部审计人员的经验化判断标准而非客观标准应用到内控评估系统 中去，从而更加有效的防范内部控制失效可能造成的风险。 从文献看来，m i s 的学者缺乏对于内控系统整体模型的构建，但其应用信 息系统构建的技术和理论来实现相关的内部控制局部应用是受到比较多的关注 的。上述文献主要集中于有关应用知识管理系统对于内控的相关标准进行评估监 控。而在m i s 应用理论方面有许多研究也可可以应用到内控系统的设计上来， 比如网格理论、m a s 理论等等。网格理论应用方面，i b m 咨询部的研究认为， 应对不断增加的商业银行网点需求带来的投资增加，必须提高i t 的应用水平来 削减成本并提高业务效纠1 2 1 ；而对于r r 实现方面，复旦大学的戴勇硕士对于应 用网格化i t 管理系统来实现网点的有效合理管理提出了方案【1 3 1 ，而组织控制正 是内控控制环境中的重要因素。 在内部控制的系统构架方面走在最前面的应该是i t 咨询业界，比如i b m b c s 和毕博管理咨询等公司就拥有对内控体系比较完整的r r 化研究，然而这些 研究只能说是基于咨询项目的具体要求而展开的附属研究，不具有学术界所应该 具备的研究特性。结合国内外学术界的研究，显然，以一种m i s 的视角来研究 内控体系系统，是非常具有实用价值的，在研究领域方面也是比较富有创新性的。 因此，本文基于此点，试图从c o s o 体系本身出发，充分研究内部控制的各个 要素，并定义出可以信息系统化的部分，对其进行充分的分解研究，应用信息系 统的先进理论和设计理念，给出其系统模型化的设计对策建议，并归纳出整个 c o s o 体系的模型构建，从而有效地为国内商业银行内控改革提出富有价值的对 策和建议。 t 3 本文研究内容 基于研究的背景和相关的研究基础，本文拟依次从三个方面来研究本文的 主题。 首先，构架银行内控体系的基本架构。系统建模的基础是要了解内控体系 的状况，因此本文将综合c o s o 内控整体框架和其他有关的标准，从内控的要 1 0 棋算上擎硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 素维度和业务维度来归纳整理银行内控体系的架构，完成第一个阶段的研究； 然后，构建银行内控系统的模型。在建立了银行内控体系框架之后，我们 将首先分析内控需求的特点，从而导出内控系统的需求特点，并结合银行组织架 构的特点，应用相关的系统设计理念实现内控系统的模型： 再者，系统设计探讨并对关键技术点进行设计探讨。构建模型之后，对于 模型的功能模块进行区分，并作设计探讨，对于其中的关键技术进行分析。 在完成了上述三个主题后，本文还将进行一个具体的案例设计。综合本文 研究思路，本文章节内容安排如下： 第一章，概述研究的意义，以及银行内控和系统设计两方面的研究综述， 并对文章总体思路进行阐述； 第二章，构建基于c o s o 体系的银行内控架构，其首先从c o s o 体系控制 环境( c o n t r o le n v i r o n m e n o 、风险评估( r i s ka s s e s s m e n t ) 、控制活动( c o n t r o l a c t i v i t i e s ) 、信息与交流( i n f o r m a t i o na n dc o m m u n i c a t i o n ) 和监测( m o l l i t o r i i l g ) 五个方 面要求的内控要素进行分析，然后从银行业务分类角度和组织控制角度分析内控 的要求，最终从这两个维度来构筑内控体系框架； 第三章，进行系统建模，其首先明确内控体系框架为内控带来的一些系统 需求特点，进而再明确信息系统内控的地位，从而为系统的构建提出基本要求； 再者分析银行组织架构；最后结合以上两个方面，提出面向对象的业务流程建模 和m a s 的监控系统建模； 第四章，进行系统模块设计的探讨，首先探讨系统模型中的子系统划分， 并对其应用中的一些可能情况进行了研究；其次，对系统模型中提到的关键技术 包括业务类库技术、网格化调度技术、智能a g e n t 技术、界面中间件等进行了设 计研究； 第五章，依据以上研究，对浦东发展银行的信贷业务内控系统进行了初步 规划，以论证本文研究的可实现，并分析本系统模型的对比优势； 第六章，总结与展望，总结本文的研究成果和贡献，并对不足与研究拓展 提出展望。 援置上肇硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 第二章基于c o s o 体系的商业银行内控体系框架构建 2 1c o s o 内部控制整体框架及其扩展 美国c o s o 委员会的内部控制整体框架是目前国际银行业内部控制规范的 基础，我国的内部控制会计规范和人民银行商业银行内部控制指引以及 巴塞尔委员会银行组织的内部控制系统框架都是基于c o s o 体系来定义的。 人民银行的相关控制指引侧重于从业务的具体角度来明确内部控制的要素和过 程以及目的。最新的s o x ( s a r b a n c so x l e ya c t ) 【l5 】法案和巴塞尔新资本协议 也带有c o s o 框架的色彩，其中s o x 法案侧重从公司的报表规范方面要求，并 着重强调在美上市公司内的i t 组织需要接受公开审计，以便满足应用程序更改 管理以及应用程序和数据安全方面的控制要求，强调对于过程数据的保留；而巴 塞尔新资本协议侧重从风险控制方面来诠释内部控制的内容。本节重点对 c o s o 内部控制整体框架的体系和巴塞尔新资本协议的框架进行研究。 2 1 1c o s o 内控整体框架 c o s o 体系的内部控制框架认为，内部控制是为了提高运营的效率、确保 财务报表的可靠性、企业行为的法律法规合规性，而由公司的股东方、管理方、 公司员工实施的一系列过程。c o s o 内部控制框架定义内部控制的目标为：运营 的效率、财务报表的可靠性、企业行为的合规性。 c o s o 内部控制框架主要从三个方面来定义内部控制体系：定义、目标和 要素。定义是对内部控制的职责做出了一个简要的概述，目标体系主要是定义了 内部控制体系所要达成的一个内控体系具体要求，而要素体系则是阐述了为达成 目标体系所需要具体实施的各个方面。 c o s o 内部控制框架由五个相互关联的要素组成：控制环境( c o n t r o l e n v i r o n m c n t ) 、风险评估( r i s ka s s e s s m e n t ) 、控制活动( c o n t r o la c t i v i t i e s ) 、信息与 交流( i n f o r m a t i o na n dc o m m u n i c a t i o n ) 和监澳l j ( m o n i t o r i n g ) 。其中其中，环境控制和 风险评估是提高投资内部控制效益和效果的关键，尤其是风险评估起着提纲挈领 的作用，是内部控制的第一要素。 ( 1 ) 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营 风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略 计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构， 1 2 棋要上擎硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计 体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件控制系统 作出承诺。这些环境要素包括：管理者的经营风格和经营理念、董事会与审计委 员会、组织结构与权责分派体系、人员的品行与素质、人力资源政策及实务、管 理控制方法、外部影响等。 ( 2 ) 风险评估是在既定的经营目标下分析并减少风险。这一环节是c o s o 内 部控制整体框架的独特之处。必须设立可辨认、分析和管理相关风险的机制，以 了解自身可能面临的各种风险，并适时加以控制和处理。这些风险包括来自企业 外部的政治、经济、社会、文化与自然等方面的风险和企业内部的决策失误、执 行不力、生产故障等方面的风险。虽然多年来，美国银行一直使用复杂的模型技 术( 诸如“压力测试”、“m o n t ec a r l o 模拟”和“风险价值”法) 测算风险，但把风 险评估作为要素引入到内控领域，这还是第一次。 ( 3 ) 控制活动是人们较早关注的方面，它包括确保管理层指令得以实施的政 策和程序：批准、交易授权、业务流程及操作流程、业务记录、规章制度、独立 检查规章制度、控制标准等。核对会计分录；核实( 包括内部控制模型) ；检查业 绩、风险披露限制；职责划分、安全。制定程序的原则有：避免由“相关人士” 组成的集团从头到尾控制某个操作或交易；“四只眼睛”的原则。 ( 4 ) 信息与交流是整个内部控制系统的生命线，为管理层监督各项活动和在 必要时采取纠正措施提供了保证。所有人员都要理解自己在控制系统中所处的位 置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须与外部团 体如客户、监管机构和股东进行有效的沟通。内控是一个动态的过程，依据环境， 制定措施，信息反馈，进行纠错，如此不断改进。但受成本效益原则的约束，内 控实际上是一个无止境的过程。 ( 5 ) 监测意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。 监测的实施途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是 独立的职能部门，而后者是由管理部门和员工完成的。内部审计的目的是，就控 制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。 通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价 系统运作的质量。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到 管理层高层和董事会。 援鼻 攀硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 图2 1c o $ o 内部控制框架的目标和要素体系 在实务中，c o s o 内部控制整体框架得到了广泛的应用。1 9 9 3 年5 月 1 1 日，美国联邦存款保险公司( f d i c ) 董事会批准了“1 9 9 1 联邦存款保险公司改 进法”第十二条中的内容，要求银行就其内部控制情况向f d i c 和美联储( f r b ) 等管理机构报告。虽然，主管机构并未要求必须采用c o s o 内部控制整体框架 作为报告格式，但却鼓励各银行以c o s o 框架为依据。事实上，各银行自身也 有积极性采用，因为使用c o s o 框架能够充分展现公司的管理水平，取信于投 资者，从而在一定的信息对称的情况下，提高公司在公众中的美誉度。 和以前的内部控制理论相比，c o s o 报告提出了许多新的、有价值的观点 t 1 4 。表现在以下几个方面：明确了对内部控制的责任，c o s o 报告认为，不仅仅 是管理人员、内部审计人员或董事会，组织中的每一个人都对内部控制负有责任； 强调内部控制应该与企业的经营管理过程相结合，c o s o 报告认为，经营过程是 指通过规划、执行及监督等基本的管理过程对企业加以管理，内部控制只是管理 的一种工具，并不能取代管理；强调内部控制是一个“动态过程”内部控制是对 企业的整个经营管理活动进行监督与控制的过程，企业的经营活动不停止，企业 的内部控制过程也不会停止；强调“人”的重要性；强调“软控制”的作用；强 调风险意识；揉合了管理与控制的界限；强调内部控制的分类及目标；明确指出 内部控制只能做到“合理”保证；强调成本与效益原则。 1 4 糖算上筻硕士学位论文 基于c o s o 体系的商业银行内控系统建摸与设计研究 而c o s o 内部控制体系在控制原则方面也做出了很多新的定义和贡献，主 要体现在以下三个方面： 一 全面性原则。其认为企业的内部控制应该在需要设置的地方都应该 进行控制，并且需要对企业活动的全部过程进行控制。内部控制需 要涵盖企业的方方面面。 一 及时性原则。企业进行新的业务拓展，必须将内控放在优先的地位。 一 分步走原则。企业在构建内部控制时，应当按照企业自身实际情况 采取分步走的策略。 一般的内部控制体系中，原则还包含合法性原则、有效性原则、审慎性原 则、独立性原则、成本效益原则等。c o s o 内部控制框架体系对于内控的原则进 行了极其富有意义的扩展，其新原则在后续巴塞尔委员会以及各国银行内控制指 引提出的实践中都得到了应用。 2 1 2 巴塞尔新资本协议 巴塞尔委员会也提出过银行组织的内部控制系统框架，然而巴塞尔委员 会其有关的其他文件同样也包含了内部控制的要求。比如巴塞尔新资本协议， 虽然其重点在于以金融工程技术的方法来具体对银行内控的细节进行要求。但 是，新资本协议对于风险的更加具体化的定义，使得我们对于如何构建内控体系 和系统能够获得更加明晰的目标。 由国际清算银行i s ) 颁布的巴塞尔第二号协议( b a s e li i ) 即新资本协 议为银行制定了在2 0 0 7 年以前必须实施的资本充足要求和监督标准。满足巴 塞尔第二号协议的要求无疑会是银行在今后几年内将面临的最巨大的挑战和机 遇p 卅。该协议提出了其实施的三大支柱： 一 支柱l ：最低资本充足要求； 一 支柱2 ：对最低要求和其它资本问题的监管； 一 支柱3 ：符合市场对银行资本充足规范的信息披露。 该协议的体系都围绕这三个支柱进行。根据协议的内容，支柱2 和3 都是 在围绕外部监管和约束进行，而只有在支柱l 中对内部的相关控制做出了具体的 要求。第一支柱资本要求所明确指出的三种需要进行内部控制的风险来源：信用 风险、操作风险，和市场风险。信用风险是指银行确定所需的最低资本以抵消由 信用违约而带来的潜在损失。由操作风险所产生的潜在损失，例如不完备或失败 的内部程序，人员和系统，或者外部事件，与此类操作风险相关的最低资本要求 该协议也提出具体量化的要求。此外，市场风险是指为了应对市场的不稳定所需 要准备的最低风险资本需求1 3 7 1 。 援覃上擎硕士学位论文 基于c o s o 体系的商业银行内控系统建模与设计研究 对于第一支柱，委员会认为“压倒一切的目标是促进国际金融体系的安全 与稳健”，而充足的资本水平仍被认为是服务于这一目标的核心因素。新协议重 点强调了最低资本充足率要包括信用风险、市场风险和操作风险三项风险，规定 最低资本充足率的标准仍为8 ，但必须是以健全的会计政策与估值方法做基础。 信用风险的衡量和计算方法不再以1 9 8 8 年协议中根据债务人所在国是否为经合 组织成员国来区分，而是强调自律行为与外部信用评估机构的评估结果，在此基 础上以内部评级( i n t e r r “r a t i n g s - b a s e da p p r o a c h ，简称i r b 法) 为基础来衡量风险 资产，并为内部评级提供了三个可供选择的方法，即标准法、银行内部评级法( 基 础i r b ) 和资产组合风险模型方法( 高级ir b ) 。新协议用更加灵活、更加动态化的 规则鼓励商业银行在坚持审慎性原则和具备充分数据的条件下，使用自己的内部 评级系统哪】。这样更有利于充分考虑各种潜在风险，更精确和更灵敏地区分风 险大小，同时也有利于促进现代银行业风险管理技术的进步。 i r b 法能更准确地反映资本与银行风险之间的内在关系，商业银行如果能 满足技术和信息披露方面的标准，就可以将测算的借款人资信水平估计值转换成 潜在损失，并依此算出监管部门规定的最低资本充足率基础i r b 仅要求计算出 借款人的违约概率，其他风险要素值则由监管部门提供：高级i r b 允许商业银行 使用自己的多项风险要素值，但为了顺利实现向i r b 资本充足衡量体系转换， 商业银行要向监管当局提交完备的内部风险评估制度安排、资产分类制度安排等 等。另外，新协议适当扩大了资本充足约束的范围，在一定程度上抑制了资本套 利行为。 新资本协议所涵盖的内部控制具体要求，更多的是从风险的角度来考虑， 并且还对风险的衡量给出了具体的测量标准。c o s o 内部控制整体框架同巴塞尔 新资本协议对于内控标准定义的根本区别在于： ( 1 )c o s o 体系内部控制的范围具有一般性，囊括了组织内部控制的 所有内容和方面，新资本协议偏重风险识别，其涵盖面比c o s o 体系小。 ( 2 ) 巴塞尔新资本协议有关风险内控要求更具有现实性、可实施性， 其提出了具体的包括i r b 内部评级法等措施在内的操作指引， 而c o s o 体系的风险识别更注重以制度形式规定风险的所在。 总体上看来，巴塞尔体系的内控，包括银行组织的内部控制系统框架 和巴塞尔新资本协议，其内容也涵盖了c o s o 体系的各个方面，但是巴塞尔 内部控制体系文件更加注重对于风险控制方面的要求，并对如何进行风险控制提 出了管理制度和方法上的诸多建议，具有针对银行业更加合理的适用性。 援算上擎硕士学位论文基于c o s o 体系的商业银行内控系统建模与设计研究 2 2 银行内控要素维度分析 2 2 1 控制环境 l 、公司治理结构 公司治理是指股东大会、董事会、监事会、经理层之间形成的权责分配、 激励与约束、权利制衡关系。现代企业的规模、技术含量、市场竞争带来的机遇 与风险、确立发展战略的重要性、内部资源配置的效率等问题是传统业主式企业 没有碰到过的。现代企业的运行需要现代公司治理结构体系，它要求有职业的管 理者阶层和管理者市场，需要所有权与管理权的彻底分离，这一分离体现了一个 契约控制权的授权过程，作为所有者的股东，除保留诸如通过投票选择董事与会 计师事务所、兼并和发行新股等剩余控制权外，将本应由他们拥有的契约控制权 绝大部分授予了董事会，而董事会则保留了聘用和解雇经理层、重大投资、兼并 和收购等战略性的“决策控制权”外，将日常生产、销售、雇佣等“决策管理权” 授予了公司经理层。 公司治理结构与内部控制联系紧密，是促使内部控制有效运行、保证内部 控制功能得以发挥的前提，是实行内部控制的制度环境；而内部控制在公司治理 结构中担当着内部管理监控系统的角色【1 6 3 9 1 。同时，内部控制与公司治理结构 相互牵制、相互制衡。例如，董事长与经理的分工既是公司治理中的权利制衡问 题，也是内部控制中的不相容职务分离问题。缺乏良好的公司治理，内部控制就 成为无源之水，无本之木。科学的公司治理结构包括民主、透明的决策程序和管 理议事规则，高效、严谨的业务执行系统，以及健全、有效的内部监督和反馈系 统【柏】。 目前我国公司治理存在的问题： 一股东大会不能发挥应有作用 一关键人员权力过大，缺乏约束监督 一监事会和独立董事的功能失效 一债权人对公司监控作用小 一般完善公司治理的结构的措施有； 一 完善公司治理方面的法规 一