（金融学专业论文）城市商业银行内部控制体系研究.pdf

摘要 内部控制是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程 序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。作 为一个具有特殊经营对象及经营方式的高风险行业，建立并不断完善商业银行的内 部控制体系，是防范银行风险、确保商业银行稳健运行的基础。 近年来我国银行业大案频发，其中绝大部分都与银行内部控制不力有直接的关 系，因此如何建立有效的内部控制体系从而尽可能避免风险成为银行业的重要课题。 城市商业银行作为支持地方经济和中小企业发展的主要金融机构，在我国金融业全 面对外开放的形势下，建立健全有效的内部控制体系成为广大城市商业银行生存和 发展的必由之路。本文通过阐述内部控制基本理论，对比国内外商业银行内部控制 实践，进一步分析城市商业银行内部控制现状和存在的问题，说明健全城市商业银 行内部控制体系的必要性和紧迫性。同时，根据中国银行业监督管理委员会颁布的 商业银行内部控制评价试行办法、巴塞尔银行业监管委员会颁布的巴塞尔协议 和中国人民银行颁布的商业行内部控制指引关于内部控制的重要思想和理论， 并结合当前城市商业银行经营管理的具体情况，围绕内部控制环境、风险识别与评 估、内部控制措施、信息交流与反馈和监督评价等五个方面构建城市商业银行的内 部控制体系，以期建立既能满足监管当局要求，又适合我国城市商业银行发展需要 的内部控制体系。 关键词：城市商业银行 内部控制体系风险管理 l i a b s t r a c t i n t e r n a lc o n t r o li sap r o c e s sa n dm e c h a n i s md e s i g n e dt os u p e r v i s i n g ，c o n t r o l l i n ga n d c o r r e c t i n gr i s kb ye s t a b l i s h i n gas e r i e so fr e g u l a t i o n ，p r o c e d u r ea n dm e t h o d s ，i no r d e rt o a c h i e v ec o m m e r c i a lb a n k so p e r a t i o n a lg o a l a sas p e c i a li n d u s t r yw i t hh i g hr i s k , e s t a b l i s h i n ga n di m p r o v i n gi n t e r n a lc o n t r o ls y s t e mi st h ef o u n d a t i o no fs e c u r i t ys y s t e m s o f b a n k i n gi n d u s t r y l a t e l yt h eb a n kc r i s i sa r eh a p p e n i n gf r e q u e n t l 5a l m o s tt h e ya r er e l a t i o nw i t hf a i l u r eo f i n t e r n a lc o n t r 0 1 h e n c e ，i ti si m p o r t a n tf o rc o m m e r c i a lb a n k st oe s t a b l i s he f f e c t i v e i n t e r n a lc o n t r o ls y s t e ma n da v o i dm a n yr i s k s c i 哆c o m m e r c i a lb a n k sa r et h ei m p o r t a n t s t r e n g t hw h i c hs u p p o r se c o n o m i ca n ds m a l le n t e r p r i s e e f f e c t i v ei n t e r n a lc o n t r o li s e s s e n t i a lt ou p g r a d i n gc i t yc o m m e r c i a lb a n k sc o m p e t i t i o na n da s s u r i n gb a n ks y s t e m s s t a b l eo p e r a t i o ni nc o m p e t i t i v ec o n d i t i o n a tf i r s t , t h ew r i t e re l a b o r a t e st h e o r ya n dd e v e l o p i n gs t a g e so fi n t e r n a lc o n t r o l ，a n d c o m p a r e so v e r s e a s c o m m e r c i a lb a n k sw i t hd o m e s t i c c i t y c o m m e r c i a lb a n k si n e x p e r i e n c e so fi n t e r n a lc o n t r 0 1 t h e n ，t h ew r i t e rd r a w st h ec o n c l u s i o nt h a ti ti se s s e n t i a l a n du r g e n tt oe s t a b l i s hp e r f e c ti n t e r n a lc o n t r o ls y s t e mb ya n a l y z i n ga b o u tt h ep r e s e n t p r o b l e m so fi n t e r n a lc o n t r o li nc h i n e s ec i t yc o m m e r c i a lb a n k s f u r t h e r m o r e ，p u t t i n g f o r w a r dt h em e a s u r e s c o r r e s p o n d i n g t ot h e p r o b l e m s f r o mt h ef i v e i n t e r r e l a t e d c o m p o n e n t so fi n t e g r a t e df r a m e w o r ki n c l u d i n gc o n t r o le n v i r o n m e n t ，r i s kr e c o g n i t i o na n d a s s e s s m e n t ，c o n t r o la c t i v i t y , i n f o r m a t i o na n dc o m m u n i c a t i o na n dm o n i t o r i n ga c t i v i t i e s a n dc o r r e c t i n gd e f i c i e n c i e s t h et a r g e t sa r ee s t a b l i s h i n gp e r f e c ta n du n i f o r mi n t e r n a l c o n t r o ls y s t e mw h i c hn o to n l yc a ns a t i s f yar e q u e s to f t h er e l e v a n ta u t h o r i t i e s ，b u tw i l lb e a d v a n t a g e o u st ot h em a n a g e m e n ta n dd e v e l o p m e n to f c i t yc o m m e r c i a lb a n k s k e yw o r d ：c i t yc o m m e r c i a lb a n k i n t e r n a lc o n t r o ls y s t e mr i s km a n a g e m e n t i i i 学位论文独创性声明 本人郑重声明：今所呈交的城市商业银行内部控制体系研究论 文是我本人在导师指导下进行的研究工作及取得的科研成果。尽我所 知，文中除了特别加以标注和致谢的地方外，论文中不包含其他人已经 发表或撰写的内容及科研成果，也不包含为获得首都经济贸易大学或其 他教育机构的学位或证书所使用过的材料。 作者签名： 日期：塑年= - 月旦日 学位论文版权使用授权书 本人完全了解首都经济贸易大学有关保留、使用学位论文的有关规 定，即：学校有权保留送交论文的复印件，允许论文被查阅、借阅或网 络索引；学校可以公布论文的全部或部分内容，可以采取影印、缩印或 其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 储躲7 漱师弥祷隅撕1 年川中日 1 引言 1 1 研究背景 自2 0 0 5 年以来，中国银行、中国农业银行、交通银行等商业银行先后发生数 起资金损失案件，所有案件几乎都是由于银行内部控制出现漏洞，导致内部人或内 外勾结作案形成数以亿计的资金损失，更严重的是公众对国内商业银行经营管理产 生信任危机会对国内商业银行未来发展产生难以估量的损失，这些案件的发生使内 部控制再次成为我国商业银行管理的核心问题。事实上，上世纪八十年代随着金融 创新和金融全球化的发展，银行业危机频发，以巴塞尔委员会为代表的国际组织和 各国金融监管当局一直致力于银行业健康发展和有效监管的探索和研究，其中巴 塞尔协议是这种研究的标志性成果，并随着商业银行发展的而不断完善又相继颁 布银行内控制度基本原则、银行机构内部控制系统框架和内部审计报告。 进入本世纪后，美国政府出台的萨班斯一奥克斯利法案强化了企业董事会和高 管层对企业内部控制的责任，c o s o 委员会在2 0 0 4 年9 月发布的全面风险管理 框架提出在强化内部控制的基础上推行全面风险管理是企业防范风险、稳健发展 的必然选择。 我国商业银行内部控制发展起步较晚，2 0 世纪9 0 年代才逐步提出对商业银行 实行内部控制，直到本世纪初各商业银行才真正意识到建立完善内部控制体系的重 要意义。我国城市商业银行作为广大中小城市金融服务的主要力量，先后经历了城 市信用社向城市合作银行、城市合作银行向城市商业银行的转变，普遍存在基础差、 管理弱和包袱重的问题。随着国有商业银行改制基本结束和全国性股份制商业银行 加快布点的完成，加之我国金融业在2 0 0 6 年底完全对外开放，城市商业银行如何 在有限的空间得到生存和发展成为迫在眉睫的问题，而内部控制体系的建设无疑是 城市商业银行下一步发展要解决的首要问题。因此，分析我国城市商业银行内部控 制存在的问题，借鉴国内外商业银行内部控制建设的经验和教训，进而研究和构建 适合我国城市商业银行发展需要的内部控制体系具有重大的现实意义。 引言 1 2 文献综述 1 2 1国外关于商业银行内部控制的研究 国外关于商业银行内部控制研究具有里程碑意义的是美国c o s o 委员会 ( c o m m i t t e eo f s p o n s o r i n go r g a n i z a t i o n so f t r e a d w a yc o m m i s s i o n ) 在1 9 9 2 年发表的 c o s o 报告，报告将内部控制定义为：企业董事会、管理人员和其他职员实施的 一个过程，其目的是为了提高经营活动的效果和效率，确保财务报告的可靠性，促 使与可适用的法律相符合而提供一种合理的保证；同时将内部控制活动分成五大组 成部分，即：控制环境、风险评估、控制活动、信息与交流和监督评审。 受( c o s o 报告启示和银行业监管的需要，各国政府先后制定了相关的制度 加以强化商业银行的内部控制。爱沙尼亚政府于1 9 9 4 年通过了一项有关信贷机构的 新法律，加强了中央银行的监管和执行能力，要求所有商业银行建立内部审计部门， 并由外部审计人员进行年度审计。拉脱维亚政府1 9 9 5 年i o 月出台了更加详细、范 日更广泛的商业银行法，注重从审慎的规章制度方面，要求商业银行设立内部控制 部门，并安排外部会计公司来对商业银行自身的检查监督工作进行补充和再监督。 泰国政府在东南亚金融危机后，整顿了金融体系，严肃了市场交易规则，要求各银 行建立风险的防范机制，特别针对商业银行信贷投向不合理的问题进行了规定，规 定银行给某一个行业的贷款不得超过贷款总额的2 0 ，贷款数量不能超过项目所需 资金的6 0 。新西兰政府于1 9 9 6 年推行了新的银行监管制度，提出中央银行虽然 有责任保护银行体系，但是当银行出现问题时，不再出面挽救，希望以此促进商业 银行完善内部控制制度。 作为权威的国际银行监管组织，巴塞尔委员会对商业银行内部控制问题给予了 高度重视。1 9 8 8 年颁布的巴塞尔协议虽然没有就银行内部控制提出明确要求， 但它通过一系列规定，将内部控制思想具体化到资本充足率指标上，通过资本约束， 促使商业银行降低经营风险。进入二十世纪九十年代以后，银行违规操作形成巨额 坏帐，金融危机频发严重威胁世界金融稳定的形势下，巴塞尔委员会在1 9 9 7 年推出 的有效银行监管的核心原则中对内部控制做出如下定义：“内部控制的目的是确 保一家商业银行能够根据董事会制定的政策以谨慎的方式经营。只有经过适当的审 批方可进行交易；资产得到全面保护而负债受到控制；会计及其他记录能提供全面、 准确、及时的信息；而且管理层能够发现、评估、管理和控制业务的风险。”有 2 引言 效银行监管的核心原则首次针对商业银行的内部控制提出明确要求：一是要求银 行建立与其业务性质及规模相适应的完善的内部控制制度；二是要求银行具有完善 的政策，做法和程序，其中包括严格的“了解你的顾客”的政策，以促进金融部门 形成较高的职业道德与专业标准，并防止银行有意或无意地被罪犯所利用；三是银 行任何内部控制措施必须由内部审计职能进行补充，通过内部审计职能在机构内部 独立地评价内部控制系统的完善程度、有效性和效率。在此基础上，巴塞尔委员会 于1 9 9 8 年9 月颁布了一份旨在适用于银行一切表内表外业务的银行组织内部控制 系统框架。它描述一个健全的内部控制系统由管理监督和控制文化、风险认定与评 估、控制活动、信息交流、监督评价纠正五个基本要素构成，提出十三条指导性原 则。该框架突出强调了三点：一是董事会和高级管理层对内控体系的建立和运行应 承担更多的责任；二是把缺陷的纠正这种被c o s o 认为并非内控的活动也归纳为内 控活动；三是增加了监管当局对内控的评价和检查，把它作为内控的另一个不可忽 视的内容。为适应银行业全能化发展的要求，巴塞尔委员会在2 0 0 5 年正式实施的新 资本协议中突破了传统银行业的限制，制定了更加灵活、更加动态化的规则，通 过互为补充的最低资本要求、监管当局的监督检查和市场纪律三大支柱，进一步强 化商业银行的风险管理，重视风险评价的定量与定性有机结合，体现了商业银行内 部控制的设计要以风险控制为核心的思想，提出商业银行全面风险管理的新理念。 1 2 2 国内关于商业银行内部控制的研究 我国对内部控制的研究起步较晚，在2 0 世纪8 0 年代后期才逐步引入商业银行 的管理。中华人民共和国商业银行法、信贷资金管理暂行办法、贷款通则、 关于商业银行资产负债比例管理暂行监控指标、商业银行资产负债比例管理考 核办法、贷款风险分类指导原则、中华人民共和国会计法等法律法规从不同 的角度对商业银行的内部控制提出监管要求。1 9 9 7 年5 月1 6 日，中国人民银行颁 布加强金融机构内部控制的指导原则，随后又在1 9 9 7 年1 2 月3 0 日发布中国 人民银行关于进一步完善和加强金融机构内部控制建设的若干意见，首次明确提出 我国金融机构内部控制制度的指导思想、建设目标、遵循原则和主要内容等基本要 求。2 0 0 2 年9 月7 日，中国人民银行公布施行商业银行内部控制指引对内部控 制的定义加以明确并提出内部控制“五要素”：控制环境、风险识别与评估、内部控 制措施、信息交流与反馈、监督评价与纠正，成为首部指导和监管商业银行内部控 制的规范性文件。 中国银行业监督管理委员会成立后将“管内控”作为基础工作之一。2 0 0 4 年底 引言 正式发布的商业银行内部控制评价试行办法中突出了内部控制体系的理念，改 变商业银行内部控制评价重结果轻过程的弊端；同时要求商业银行建立文件化的内 控体系，提高评价的客观性；强调商业银行内部控制体系的持续改进，希望通过有 效的内部控制评价形成内部控制和外部监管的良性互动。为促进商业银行完善公司 治理、加强内部控制，中国银行业监督管理委员会在2 0 0 6 年6 月发布了银行业金 融机构内部审计指引，强调商业银行内部审计部门应通过系统化和规范化的方法， 审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果； 保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行；促使风险 控制在可接受水平；改善银行业金融机构的运营，增加价值。这些规章制度的出台 表明通过内部控制和外部监管的协调，我国商业银行内部控制体系建设的基础条件 已经建立。 上世纪九十年代特别是亚洲金融危机以来，国内专家和学者对商业银行内部控 制问题普遍关注和研究，通过与商业银行合作等形式的不断探索取得了一些有价值 的成果。一些学者将内部控制确立为系统的观念( 刘华，2 0 0 0 年) ：有的学者将 i s 0 9 0 0 2 质量标准体系中的p d c a 理论引入商业银行内部控制建设( 简志枰，2 0 0 2 年) ；谢荣、钟凌( 2 0 0 4 年) 在中国人民银行商业银行内部控制指引的基础上 运用多个相互联系的子系统来阐述商业银行内部控制，认为商业银行的内部控制本 质上是一种内在的开放动态系统，商业银行内部控制要实现营运目标、信息目标、 遵从性目标和风险管理有效性目标要付出相应成本，并有一定的局限性：另外一些 学者通过与商业银行的合作将金融工程学引入商业内部控制，从风险管理的角度论 述和设计商业银行内部控制体系，重点在于对业务流程梳理、岗位职责控制和风险 管理工具的设计( 叶永刚、顾京圃，2 0 0 3 年) 。纵观我国监管部门和专家学者的研 究成果，方面对商业银行内部控制的微观操作层面较多，多以研究业务控制或岗 位制约、操作流程为主，缺乏对商业银行内部控制体系构建的系统论述；另一方面 研究对象基本都是国有商业银行，缺乏针对城市商业银行规模小、公司治理不完善 和管理基础差等特殊情况进行内部控制的专门研究；同时，监管部门的规章制度仅 是从宏观的角度进行了原则性的规定，大量的城市商业银行缺乏系统全面和持续长 效的内部控制体系，这显然不利于面临外资银行、国有商业银行和全国性股份制商 业银行激烈竞争下城市商业银行的生存和发展。 4 引言 1 3 研究框架及方法 1 3 1 研究目的 本文在研究国内外商业银行内部控制理论和实践的基础上，以我国城市商业银 行为研究对象，通过分析、借鉴国内外商业银行内部控制建设中的经验和教训得出 结论和启示，结合我国城市商业银行公司治理结构不完善、内部控制措施凌乱缺乏 系统性等实际情况提出系统的思路来构建既能适合城市商业银行发展需要，又能满 足监管机构要求的内部控制体系。 1 3 2 研究框架 本文主要内容分为六个部分： 第一部分：主要论述我国城市商业银行内部控制体系研究的背景和意义，介绍 国内外关于商业银行内部控制的研究成果和文章框架。 第二部分：主要解决什么是内部控制和商业银行的内部控制，通过对内部控制 的概念、理论发展阶段、商业银行内部控制的构成要素和研究发展的论述，对商业 银行内部控制形成全面的理解。 第三部分：论述国外商业银行的内部控制实践经验、我国金融监管机构对商业 银行内部控制监管的要求以及我国商业银行在内部控制体系建设中的实践经验。 第四部分：通过描述我国城市商业银行内部控制的现状，分析城市商业银行内 部控制存在的问题及其原因。 第五部分：在第四部分的基础上，根据我国金融监管机构要求并结合国际银行 业的经验，提出构建我国城市商业商业银行内部控制体系的基本原则和主要思路。 第六部分：陈述我国城市商业银行构建有效内部控制体系的基本结论，并指出 本文在研究中存在的不足和未来研究的方向。 2 商业银行内部控制理论 2 1 内部控制及其相关理论 2 1 1 内部控制的概念 内部控制是企业董事会、管理人员和其他职员实施的一个过程，其目的是为了 提高经营活动的效率，确保财务报告的可靠性，促使与可适用的法律相符合而提供 一种合理的保证。内部控制的内涵可以从四个层次来理解：第，内部控制是为达 到一定结果的过程，即内部控制的有效性需要不断维持和强化；第二，内部控制最 终必须由人来实现，仅仅有规章制度不可行，在企业的每个级别都需要有人负责内 部控制的实现：第三，内部控制可以为企业实现经营目标提供一定程度的保障，但 绝不是全部的、绝对的保障；第四，内部控制要实现的目标并非单一、独立的，而 是环环相扣、密切结合的。 2 。1 2 内都控制的发展阶段 内部控制理论发展经历了内部牵制、内部控制、内部控制结构和内部控制整体 框架四个阶段。“ 1 、内部牵制阶段。在2 0 世纪4 0 年代以前，内部控制理论一直停留在内部牵制 阶段。根据柯氏会计词典的定义，内部牵制是指“以提供有效的组织和经营， 并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门 不能单独控制任何一项或一部分业务权力的方式进行组织上的交叉检查或交叉控 制。”在此阶段，内部控制的着眼点在于职责的分工和业务流程及其记录上的交叉检 查或交叉控制，以查错防弊为重要目的。 2 、内部控制阶段。2 0 世纪4 0 年代至7 0 年代，内部控制理论发展到内部控制 阶段。1 9 4 9 年美国注册会计师协会( a i c p a ) 准则委员会在其报告内部控制：协 调组织的各种要素及其管理者和独立公共会计师的重要性中首次将内部控制定义 为“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效率、贯彻 管理部门既定决策所制定的政策、程序、方法和措施。” 3 、内部控制结构阶段。2 0 世纪8 0 年代至9 0 年代初，内部控制理论进入内部 控制结构阶段。1 9 8 8 年4 月美国注册会计师协会发布的审计准则文告第5 5 号 艟1 谢荣、钟凌商业银行内部控制系统研究2 0 0 4 6 商业银行内部控制理论 中首次以“内部控制结构”取代“内部控制”，文告指出“企业的内部控制结构包括 为取得企业特定目标的合理保证而建立的各种政策和程序。”在此基础上，内部控制 结构由三部分组成：一是控制环境，即对建立、加强或削弱特定政策和程序效率发 生影响的各种因素；二是会计制度，规定各项经济业务的鉴定、分析、归类、登记 和编报的方法，明确各项资产和负债的经营管理责任：三是控制程序，即管理当局 所制定的方针和程序，用以保证达到一定的目的。该文告正式将控制环境纳入内部 控制范畴并且不再区分管理控制和会计控制。 4 、内部控制整体框架阶段。1 9 9 2 年由美国会计学会、注册会计师协会、国际 内部审计师协会、财务经理协会和管理会计学会等机构组成的专门研究内部控制的 c o s o 委员会提出了内部控制整体框架。c o s o 报告首次把内部控制从原来的平 面结构发展为立体框架模式，其核心观点是： ( 1 ) c o s o 报告将内部控制定义为i 由企业的管理人员设计的，为实现营业的 效果和效率、财务报告的可靠及合法合规目标提供合理保证，通过董事会、管理人 员和其他职员实施的一种过程。 ( 2 ) c o s o 报告认为内部控制由五个相互联系的要素组成：控制环境、风险评 估、控制活动、信息与沟通、监控。 ( 3 ) 企业内部每一个成员在实施内部控制方面都扮演一定角色，对内部控制都 负有一定责任。 2 2 商业银行内部控制理论 2 2 1巴塞尔委员会对商业银行内部控制的研究 自巴塞尔委员会成立以来，特别是上世纪八十年代金融创新和金融全球化不断 发展的情况下，巴塞尔委员会一直关注商业银行的内部控制。在1 9 8 6 年3 月的银 行表外风险管理中指出：“无论银行从事何种业务，它都面临着因未能实施适当地 内部控制制度而造成损失的风险。适当的内部控制制度包括双人控制、职责分离、 风险限制等原则，以及审计、风险控制和信息管理系统。”1 9 8 8 年的巴塞尔协议 将内部控制思想具体化到资本充足率的问题上，提出了一级资本( 核心资本) ，二级 资本( 附属资本) ，表内资产风险权数，表外资产风险换算系数，总资本占风险资产 的比例以及分级资本占风险资产的比例等概念及要求。在1 9 9 4 年衍生产品风险管 理原则中，巴塞尔委员会强调“健全的内部风险管理是银行审慎运作的关键，而 最低资本金要求等监管工具的作用是远远不够的，健全的内部风险管理，亦是促进 商业银行内部控制理论 整个金融体系稳定的基础。”在1 9 9 7 年利率风险管理原则中。巴塞尔委员会指 出“银行必须为其利率风险管理程序设立适当的内部控制系统。定期独立地评价内 部控制系统的有效性和完整性是该系统的一个组成部分，必要时还应修改或加强内 都控制。” 1 9 9 7 年颁布的有效银行监管的核心原则进一步拓展了银行内部控制的思想、 理论与方法，对内部控制做出如下定义：“内部控制的目的是确保家银行业务能根 据银行董事会制定的政策以谨慎的方式经营。只有经过适当的审批方可进行交易； 资产得到保护而负债受到控制：会计及其他记录能提供全面、准确、及时的信息； 而且管理层能够发现、评估、管理和控制业务的风险。”同时有效银行监管的核心 原则提出“银行监管者必须确定银行是否具备与其业务性质及规模相适应的完善 的内部控制制度，包括对授权和职责分离的明确安排；将银行承诺、付款和资产与 负债账务处理方面的只能分离；对上述程序的交叉核对；资产保护；完善、独立的 内部或外部审计，以及检查上述控制措施和有关法律规章遵守情况的职能。”巴塞尔 委员会认为银行内部控制包括四个主要内容“组织结构( 职责的界定、贷款审批的 权限分离和决策程序) 、会计规则( 对账、控制单、定期试算等) 、双人原则( 不同 职责的分离，交叉核对、资产双重控制和双人签字等) 、对资产和投资的实物控制。” 巴塞尔银行监管委员会在英国的c a d b u r y 、美国的c o s o 报告和加拿大的c o c o 报告和实践经验的基础上，于1 9 9 8 年9 月发布银行组织内部控制系统框架 ( f r a m e w o r kf o ri n t e r n a lc o n t r o ls y s t e m si nb a n k i n go r g a n i z a t i o n s ，简称f i c s b o ) ， 系统地提出了评价商业银行内部控制体系的十三项指导原则，是商业银行内部控制 研究历史性的突破。巴塞尔银行监管委员会参考各国的有关理论，将内部控制定义 为“由董事会、高级管理人员以及其他人员实施的一个过程，其目的是为了实现经 营的效果与效率、会计与管理信息的可靠、完整与及时以及经营活动符合现行法律、 法规的要求。”该定义进一步强调董事会和高级管理层对内控的影响，组织中的所有 各级人员都必须参加内控过程，并会对内控产生影响。银行组织内部控制系统框架 认为内部控制由五个相关联的要素组成，即：管理监督和控制文化( m a n a g e m e n t o v e r s i g h ta n dt h ec o n t r o lc u l t u r e ) 、风险识别和评估( r i s kr e c o g n i t i o na n d a s s e s s m e n t ) 、控制活动和职责划分( c o n t r o la c t i v i t i e sa n ds e g r e g a t i o no fd u t i e s ) 、 信息与交流( i n f o r m a t i o na n dc o m m u n i c a t i o n ) 、监管活动和错误纠正( m o n i t o r i n g a c t i v i t i e sa n dc o r r e c t i n gd e f i c i e n c i e s ) - 1 、管理监督和控制文化：银行组织内部控制系统框架在管理监督和控制文 化方面提出全员参与内部控制，并强调董事会和高管层在内部控制中的责任。具体 3 商业银行内部控制理论 内容包括： 商业银行董事会负责审批银行的整体经营战略和重大政策；董事会应当了解银 行的主要风险，确定可以接受的风险水平并保证高级管理层能够认定、计量、监督 并控制风险：负责审批组织结构；董事会应当确保高级管理层对内部控制制度的有 效性进行持续监督；董事会对银行建立充分而有效的内部控制制度负有最终的责任。 高级管理层应当正确执行董事会批准的各项战略与政策；负责建立认定、计量、 监督及控制银行风险的程序；通过建立科学的组织架构实现责任明晰、授权明确、 具有清楚的报告关系；高级管理层应当制定适当的内部控制政策，并对内部控制制 度的充分性与有效性进行监督，确保各项职责得到有效履行。 董事会与高级管理层有责任在银行创立积极的内部控制环境和企业文化，通过 激励与诱导机制、管理哲学和规章制度不断培养和提高全体员工的内部控制意识， 使全体员工参与到银行的内部控制过程并发挥作用。 2 、风险认定与评估：认为风险认定与评估是识别和分析妨碍银行实现经营管理 目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。 银行组织内部控制系统框架认为，风险的识别与评估强调有效的内部控制 体系需要识别和持续评估有可能阻碍实现目标的全部风险，包括信贷风险、国家和 转移支付风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风 险。商业银行应根据经营和发展的需要不断修正内部控制制度，以确保新的风险或 以前未能有效控制的风险得到合理的解决。 3 、控制措施：银行组织内部控制系统框架坚持将控制措施贯彻到商业银行 的日常经营中，通过建立适当的内部控制结构和不同业务层次的控制措施实现有效 的控制，银行高层应对内部控制制度进行检查。有效的内部控制制度建立审批授权 和验证核查制度，确保银行经营的各项业务得到相应的审批和授权；内部控制制度 要求采用适当的职责分离，工作人员的责任不应当出现冲突而应受到有效和独立的 监督。 4 、信息与交流：包括合理的信息交流组织架构、稳定的信息系统和全面准确的 数据 商业银行的内部控制制度应当能够提供全面准确的内部财务、经营与合规性数 据，以及与决策相关的外部市场信息，同时信息应当使用一致的格式以便于共同使 用。商业银行应当建立能够覆盖所有重大业务活动的稳定可靠、高效的信息系统， 信息系统及以电子形式持有的数据必须具有安全性，信息系统及数据应受到独立监 控，并建立适当的应急备份和系统支持。 9 商业银行内部控制理论 有效的内部控制制度应当确保信息沟通渠道的畅通。所有员工应当明确并充分 理解各自的工作职责和责任，坚持执行与其职责相应的内部控制政策和措施；要求 内部控制过程中的所有相关信息能够通过有效的沟通渠道准确、快速地传递给适当 的人员。 5 、监督活动与修正缺陷：经营管理部门、内部审计部门以及外部监管部门对商 业银行内部控制体系的监督评价和修正 商业银行内部控制体系的总体有效性应当受到持续的监督，银行在日常活动中 应对关键性风险进行监管和定期审计，商业银行应当由独立的、经过良好训练的、 具有合格工作能力的人员对内部控制制度进行有效而全面的内部审计。作为内部控 制制度监控的一部分，内部审计部门应直接向董事会或审计委员会和高级管理层报 告。无论经营管理部门还是内部审计部门发现内部控制的缺陷，都应及时向适当的 管理层报告并得到迅速合理的解决。 银行组织内部控制系统框架提出，监管当局应要求所有商业银行都建立与 其性质、复杂程度、业务风险相适应并能随环境、条件变化而调整的有效内部控制 体系；在不足以满足风险管理要求时，当监管当局应采取措施确保该银行内部控制 体系立即得到改善。 在2 0 0 5 年正式颁布实施的新资本协议中，巴塞尔委员会提出更加灵活的风 险衡量方式与规则来完善商业银行的内部控制。一是在最低资本要求中集中考虑了 信用风险、市场风险和操作风险：二是规定每家银行应有合理的内部评估过程，以 便银行可以对面临的风险有正确的判断；三是充分肯定了市场具有有效分配资金和 控制风险的作用，强调监管机构要对银行的信息披露体系进行评估。从总体上看， 新资本协议突破了传统银行业的限制，制定了更加灵活、更加动态化的规则， 重视内部控制评价的定量与定性有机结合，体现了内部控制的设计要以风险控制为 核心的思想。 2 2 2 我国商业银行内部控制研究 我国商业银行内部控制的研究从2 0 世纪9 0 年代开始，1 9 9 7 年5 月1 6 日，中 国人民银行颁布加强金融机构内部控制的指导原则，随后又在1 9 9 7 年1 2 月3 0 日发布中国人民银行关于进一步完善和加强金融机构内部控制建设的若干意见， 首次明确提出我国金融机构内部控制制度的指导思想、建设目标、遵循原则和主要 内容等基本要求。 为适应金融体制改革的进一步深入和中国加入w t o 带来的冲击，2 0 0 2 年9 月 1 0 商业银行内部控制理论 7 日中国人民银行发布了商业银行内部控制指引( 以下简称指引) ，标志着我 国银行业内部控制的理论研究与实践进入了一个崭新的阶段。指引规定，内部控 制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险 进行事前防范、事中控制和事后评价的动态过程和机制：齑业银行内部控制的目标 是防范经营中的风险，保证银行稳健运行，是为实现商业银行的经营目标服务的； 商业银行内部控制的实质是对人及组织机构行为准则的规范，并使这种规范制度化； 商业银行内部控制应当贯彻全面、审慎、有效、独立的原则。 指引认为，内部控制的目标有四个：一是确保国家法律法规和商业银行内 部规章制度的贯彻执行；二是确保商业银行发展战略和经营目标的全面实施和充分 实现：三是确保风险管理体系的有效性；四是确保业务记录、财务信息和其他管理 信息的及时、完整和真实。 指引认为，内部控制由五个要素组成：即控制环境、风险识别与评估、内 部控制措施、信息交流与反馈、监督评价与纠正，并从内部控制的五个构成要素出 发阐述了建立商业银行内部控制制度的基本要求，从授信业务、资金业务、存款及 柜台业务、中间业务、会计业务、计算机系统等方面阐述了内部控制的重点，明确 了内部控制建设、执行和监督、评价部门的职责。 2 0 0 4 年底，中国银行业监督管理委员会正式发布了商业银行内部控制评价试 行办法( 以下简称办法) ，对商业银行内部控制体系进行了详尽系统的阐述，标 志着通过外部监管与协调，我国商业银行内部控制体系建设的基础条件初步建立。 办法将商业银行内部控制体系定义为：商业银行为实现经营管理目标，通过制 定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和 改进的动态过程和机制。商业银行内部控制评价试行办法从内涵上明确了内部控 制体系的五大相互关联和作用的过程模块，第一次用系统方法和过程模式提出全新 的内控体系框架，这个标准框架与内控权威机构美国c o s o 委员会在2 0 0 4 年9 月 提出的全面风险管理( e 蹦 框架基本吻合，为我国商业银行今后实施全面风险管理、 建立风险管理的长效机制奠定了良好基础。 与中国人民银行在2 0 0 2 年发布的内部控制指引相比，商业银行内部控制 评价试行办法具有以下特点； l 、变单点评价为连续系统评价，强调了系统运行所涉及的反馈、测量、评价改 进等在实际中最为薄弱的重要活动。 2 、运用管理体系的思路和方法将巴塞尔协议中关于内部控制体系框架所提及的 内部控制的目标要素与商业银行的实际业务及管理流程结合起来。 商业银行内部控制理论 3 、明确了系统性、统一性、独立性、公正性、重要性和及时性的评价原则，通 过评价促进商业银行内控体系的建立。 4 、运用过程评价与结果评价相结合的方法，强调过程评价的重要性和实际的内 控能力评价。 5 、迸一步强化监管职能的同时强调了商业银行自身的责任，明确了商业银行自 身建立文件化内部控制体系的要求。 1 2 3 国内外商业银行内部控制实践 3 1国外商业银行内部控制实践经验 西方发达国家的商业银行历来对内部控制比较重视，经过数百年的发展和变革， 形成比较成熟、稳定和符合现代企业制度要求的内部控制体系。虽然各银行外部环 境、经营规模和业务种类的不同形成内部管理方式的差异，但成功的商业银行内部 控制体系涵盖了商业银行为保证正常经营、规避和化解风险所采取的一系列必要的 管理制度和措施，具体包括以下几个方面： 3 1 1明晰的产权制度和严密有效的组织架构 产权制度是商业银行控制环境的核心内容，国外发达市场经济国家的商业银行 普遍建立了明晰的产权制度和平衡有序的治理结构，成为商业银行构建内部控制体 系的基础，保证了内部控制的有效性和银行的稳健运营。国外商业银行普遍建立了 规范的公司治理架构：监事会对股东大会负责，行使对董事会和高级管理人员监督 的职能；董事会是代表出资者利益的最高权力机构，同时也是内部控制的最高权力 机构，负责审批内部控制制度的框架，监督高级管理层履行职责；高级管理层负责 编制内部控制政策、计划并组织落实，对部门和分支机构进行检查监督。在总体治 理结构框架下形成内部控制的组织网络：相互牵制的业务操作岗位、专门的业务监 督岗位、业务主管、专门负责监测和评价业务风险的部门、相互牵制的业务部门、 上级主管和上级对口管理部门，以及独立于经营系统的内部审计部门。 3 1 2 以人为本、全员参与的内部控制文化氛围 国外商业银行非常重视建立风险管理和内部控制文化，着力将这种文化灌输到 每一个职工的具体工作中，并在管理上采取了具体的措施。一是制定员工手煅，员 工入行开始就得到一份详尽的员工手册，每位员工具体的责、权、利以及银行的企 业文化、经营理念等都一目了然，使员工在未来的工作中有了明确的行为准则。二 是敞门办公制度，增加业务处理的透明度，要求员工做到坚守岗位，并对自己的岗 位负责，如果上级管理人员越权或违规发布指令，员工可以拒绝执行，并向高层管 理人员汇报，从体制上避免个人独断专行可能给银行经营带来的风险。三是员工休 假制度，西方商业银行员工每年都有一定时期的休假，并规定每个员工每年至少要 国内外商业银行内部控制实践 连续休息超过一周的假期，这样既可以让员工得到良好的休息，调整员工的工作状 态，更重要的是可以使银行内的每个岗位、每项业务都能够得到充分的被检查时间 和机会，对于防止业务人员长期作弊是行之有效的。四是信息交流，西方商业银行 比较强调员工之间以及员工和管理者之间的信息交流和沟通，以达到工作上的和谐。 以花旗银行为例，内部经营管理分为五个层次，每个层次都设有若干岗位。银行管 理部门对每个层次的每个岗位都有明确、规范的岗位操作手册。员工必须严格按照 操作手册在授权许可的范围内从事交易，不同分行间的同一个岗位，其操作程序是 完全一致的。 3 1 3 相互独立、互相制约的部门设置和明确的岗位职责 国外商业银行根据业务活动和项目的特点以及职责分离的要求设立若干职能部 门，分别完成批准、执行、记录等任务；同时在同一部门内明确各岗位的具体职责， 确保不相容岗位相分离，以达到内部控制所需要的双重控制和交叉检查效果。如美 国花旗银行中国部下设市场部、业务部、财务监控部、质检部和信贷部等，当客户 申请贷款时，市场部先对其资信进行评估，再由信贷委员会的至少三个委员共同给 客户核定一个授信额度，然后转给业务部开户，并由信贷部把有关客户的资料录入 本行的电脑管理系统，一旦客户获得贷款授信额度，具体办理每笔贷款就由信贷部 负责。信贷部人员首先进入贷款管理系统，查看客户的实际贷款余额有没有超过限 额，查看客户贷款质量如何，最后决定是否给客户放款，这种模式有效保证了信贷 管理的严谨、安全和效率。财务监控负责银行的资金头寸和相关财务指标的监控； 质检部负责日常审计工作，每日检查银行的每一笔交易记录，保证在有问题的情况 下，分行可以及时发现并在最短的时间内纠正。在实行全能银行制的德国，商业银 行分别设立了银行业务部门及证券监察部，各部门都对各自业务领域的风险负有明 确的职责，要预测本部门业务范围内的风险上限，定时进行检查，发现风险及时采 取措施并向风险管理部报告。德国商业银行内部控制最突出的特点就是“四只眼原 则”( 又称“双人原则”) ：坚持业务交叉核对、资产双重控制和双人签字，要求在 一线交易、后台结算、会计审核、监控四个业务层次的交易活动中必须有明确的职 能分工，最低要求也是一线交易与其它职能部门要分开。在一个职能部门中，相关 但不同的工作要有不同的人员做，以确保相互的业务监督牵制，风险控制人员要与 一线交易人员分开，头寸权限由管理人员授予，交易产生的风险要及时得到监控， 要有一名管理人员专门负责风险控制和管理工作，而且他本人不介入每天的前台交 易。从总部到分行，不允许任何人独立地执行一个交易活动的全过程而不受到监控 1 4 国内外商业银行内部控制实践 和制约。 3 1 4 全面、具体的内部控制措施与业务活动融为一体 国外商业银行内部控制的具体实践就是要健全内部控制制度，并在实践中坚决 的贯彻执行。国外商业银行制定严格的操作管理制度，基本上消除了银行业务经营 管理领域的真空地带。全面的内部控制制度包括对员工、岗位、组织结构的规范性 要求，决策、审批及所有业务事项的规定程序，各类风险识别、测控指标和方法， 记录和传递信息的方式和渠道，对内部控制状况进行评价和改进的制度等。上述内 容分别体现在组织结构、规章制度、操作手册、文书标准、单证账簿和计算机程序 中，并在决策、管理、经营、操作、监测、评估和监督活动中贯彻始终，全体员工 严格执行自己的岗位职责就