第二部分、内控监督篇.doc

内控监督篇（试行）第一章 银行会计内部控制前 言企业在运营过程中，会面临大大小小各种风险，如何合理的规避和运用风险，去获得更高的收益，是现代企业必须认真面对和研究的问题。商业银行作为经营货币的特殊企业，面临的风险更大、范围更广，并与国民经济的发展和国家社会的稳定息息相关。加强内部控制，防范化解经营风险已经成为商业银行经营管理永恒的主题。商业银行从产生的时候起，便与经营失败和危机联系在一起，尤其是在20世纪80年代后，银行经营失败越来越多的由内部控制制度失效造成。一系列商业银行内部控制失败的事件促进了金融界对商业银行内部控制的研究，并直接导致了1998年9月商业银行内部控制理论里程碑式研究成果巴塞尔银行监管委员会银行组织内部控制系统框架的出台。经过几年的实践，各国商业银行在内部控制建设和实践方面有了长足的进步，但这并不意味着内部控制理论的健全与完善。美联储的研究表明，1990-1991年破产的286家银行中有26%是由内部犯罪造成，61%的破产银行存在诈骗、非犯罪性违规和内部贷款损失等问题。国际银行监管权威机构在剖析英国巴林银行、法国里昂银行、日本大和银行等几起著名银行失败案例的原因时发现，除了内部控制失效外，很难再找到其他因素。 银行内部控制侧重于微观个体的安全与效率，良好的内部控制能发挥出比外部监管更有效、持久的作用，因此商业银行内部控制是整个银行业风险防范体系的基础。商业银行内部控制制度的重要性和务实性，决定了制度研究的现实价值，2002年9月7日，中国人民银行在银行组织内部控制系统框架发布4年后，制订了商业银行内部控制指引，标志着我国商业银行内部控制理论研究进入了一个崭新的阶段。伴随着中国商业银行的市场化、商业化改革，对内部控制的研究不断取得新的进展与成果。第一节 内部控制理论发展商业银行内部控制制度是在西方内部控制理论基础上，为适应现代银行管理和监督而产生和发展起来的。本章简要地介绍了西方内部控制理论的发展，现代商业银行内部控制理论的形成及我国商业银行内部控制理论的发展与现状。一、内部控制涵义的演进内部控制理论的发展，大致经历了内部牵制、内部控制、内部控制结构、内部控制整体框架四个发展阶段。（一）内部牵制阶段（Internal Check）内部控制（Internal Control）是社会经济发展到一定阶段的必然产物。内部控制产生于本世纪40年代至70年代西方国家企业管理中的内部牵制。1.早期内部牵制思想早在公元3600年前的美索不达米亚时期，简单的物品管理活动中就无意识的体现内部牵制思想；在古埃及，货币存入银库、谷物进粮仓前，都必须先由监察官检查登记，入库时再由出纳官清点、记录和保管；古罗马已产生了“双人记账制”，规定一笔帐务要由两个记账员同时记载，并定期将两人的账簿核对；我国西周时代，为防止有些官吏侵吞财物，实施了“一人财赋之出入，数人耳目之通焉”的财物管理方法。18世纪末的工业革命，极大的提高了社会生产力，促进了社会经济的发展。各种科学技术发现和运用使企业的生产能力和生产规模发生了根本性的飞跃。随着生产规模的不断扩大，原有的以家庭为单位的生产管理模式，已经无法满足现有生产规模扩大的需要。因此，家庭式自我管理为主的企业，迅速向利用专业人员管理的模式转变。美国铁路公司为了对遍及各方客货运业务进行控制与考核，采用的内部审计制度，由于效果显著，各大企业纷纷效仿。20 世纪初期，西方资本主义经济得到了较大的发展，股份有限公司的规模有了扩大，生产资料所有者和经营者相互脱离。美国一些企业在非常激烈的竞争中，逐渐摸索出一些组织、调节、制约和检查企业生产活动的办法，为了防范和揭露错误，按照人们的主观设想建立了“内部牵制制度”。从历史上看，真正意义上的内部牵制应属于复式簿记体系。出于经济管理的需要，人们设想：两个或两个以上的人或部门无意识地犯同样错误的机会是很小的；两个或两个以上的人或部门有意识的合伙舞弊的可能性也大大低于一个人或一个部门舞弊的可能性。这种设想就为建立内部牵制提供理论基础。以后按照这种设想，凡是进行经济业务活动的处理上，都要经过两个或两个以上的人或部门去完成而建立起来的会计工作制度，就叫做内部牵制制度，它即是内部控制的雏形。2.内部牵制的含义进入19世纪，内部牵制日臻完善。意大利的复式记帐法出现，标志着内部牵制趋于成熟。此时，对钱、帐、物实施岗位分离管理思想，充分的表现在企业的管理制度中。在20世纪40年代以前，内部控制理论基本停留在内部牵制阶段。柯氏会计词典（Kohlers Dictionary for Accountant）将内部牵制定义为：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查（cross-checked）或交叉控制（cross-controlled）。”设计有效的内部牵制以便使每项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机能永远是一个不可缺少的组成部分。”在这一阶段，内部控制的着眼点在于职责的分工和业务流程及其记录上的交叉检查或交叉控制，以查错防弊为主要目的。3.内部牵制的种类内部牵制是一种以事务分管为核心的自检系统，通过职责分工和作业程序的适应安排，使各项业务内容能自动被其他作业人员核对查证，每项业务的处理既不会被一人所包办，也不会因为由多人经手而没有相互牵制监督造成损失。内部牵制一般有以下几种类型：（1）实物牵制，是指通过两个或两个以上的人共同控制必要的实物工具，必须合作才能完成某一项工作的制约方式。例如，银行计算机主机每天启动时，必须要由两个人各自同时发出启动命令方可完成；银行金库大门钥匙由两人分别掌管，非同时使用不能打开。（2）机械牵制，是指通过设置特定的运行程序，必须按程序进行操作才能完成某一项工作的制约方式。例如，正常的银行贷款发放必须依次经过贷前调查、贷时审查和审批程序，否则，逆程序就不行；计算机主机在启动时也必须按固定的命令顺序进行，否则无法启动。（3）体制牵制，是指将一项业务交由两个以上部门或个人分别处理，以达到制约的目的。例如银行信用证业务，开证前由信贷部门负责调查认定和审批，再由国际业务部门办理开证手续；重要空白凭证的使用和保管执行分管分用。（4）簿记牵制，是指通过会计原始凭证与记账凭证，记账凭证与会计账簿，账簿与会计报表之间的核对制约关系产生的牵制。例如储蓄卡片账与储蓄分户账、分户账与总账之间的核对关系。（二）内部控制阶段（Internal control）随着资本主义经济的初步发展，一方面，资本家为了提高管理效益，获取高额利润，迫切需要在企业管理上采用比内部牵制更为完善、更为有效的控制措施；另一方面，资本主义国家政府为了适应当时社会关系的要求，也以法律的形式要求强化对企业财物资料及各项经济活动的内部管理，以保护投资者和债权人的经济利益。在这种形势下，与手工工场相适应并局限于会计事项的内部牵制，显然已难以满足日益复杂的工业化生产需要，于是各级管理人员开始了进行全面企业管理的探索。20世纪初出现了世界性的经济危机。为免遭破产的威胁，很多企业强化了生产经营的控制与监督，从而使企业的内部牵制制度有了更深层次的发展。内部牵制的范围和内容超越了单一的会计和财务领域，发展到企业业务经营管理的各个方面。内部控制一词，最早是在1936年作为审计术语出现在美国注册会计协会题为注册会计师对企业财务报表的审查的审计文献之中。在20世纪40年代至70年代，内部控制理论发展进入内部控制阶段。它的内容和定义随着现代经济管理技术的进步和管理范围的不断拓宽而不断丰富和发展。根据美国注册会计师协会的一个审计程序委员会下属的内部控制委员会（AICPA Committee on Working Procedure）在1949年出版的一份有关内部控制制度的特别报告中提出的内部控制制度的定义：内部控制制度是指企业用来保护资产，检查会计资料的正确性与可靠性，提高经营效率，强化遵守既定管理政策的组织计划、协调方法与措施。但是对注册会计师来说，该定义似乎过于广泛，从内部控制评审作为注册会计师的一种法律责任考虑，注册会计师要求对内部控制定义进行修改。1958年10月该委员会发布的审计程序文告第29号，将内部控制分为会计控制和管理控制。由于对内部控制两种目标内涵往往有不同的理解，在审计工作中引起某些争议。为此1972年12月美国注册会计师协会所属审计准则委员会在公布的审计准则文告第一号对内部控制进行了重新的解释和定义：“管理控制包括但不限于组织计划以及与管理部门授权办理经济业务决策有关的程序及记录。这种授权是管理部门的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点，会计控制应合理保证以下几个方面:一是按管理部门的一般授权或特定的授权进行活动；二是经济业务的记录必须做到：编制财务报表要遵循公认的会计原则，或适用于这些报表的其他标准，保护资产会计责任的记录；三是只有经管理当局授权才能接近资产；四是账面载明的资产要和实存资产在合理的间隔期间进行核对，对发生的任何差异采取适当的补救措施。这一概念逐渐被当时美国民间审计界所接受，而且也为各国国家审计、内部审计甚至国际审计会计组织承认和接受。（三）内部控制结构阶段（Internal Control Structure）20世纪80年代至90年代初，内部控制发展进入内部控制结构阶段。1988年4月美国注册会计师协会发布审计准则文告第55号，并规定从1990年1月起，取代1972年发布的审计准则第1号。该文告首次以“内部控制结构”取代了“内部控制”。文告指出，“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”在此基础上，内部控制结构由三部分组成：一是控制环境，即对建立、加强或削弱特定政策和程序效率发生影响的各种因素。二是会计制度，规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。三是控制程序，即管理当局所制订的方针和程序，用以保证达到一定的目的。它包括下列内容:一是经济业务和经济活动的批准权； 二是明确人员的职责分工，防止有关人员对正常业务图谋不轨的隐藏错弊。职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责；三是凭证和账单的设置和使用，应保证业务和活动得到正确的记载，对财产及其记录的接触和使用要有何保护措施；四是对已登记的业务及其计价要进行复核。 上述内部控制结构与1972年颁布的内部控制定义相比有两个明显的改动:一是正式将内部控制环境纳入内部控制范畴；二是不再区分会计控制和管理控制。这些改变反映了70年代后期以来内部控制实务操作和理论研究的一个新动向。（四）内部控制整体框架阶段1992年9月，专门研究内部控制问题的委员会coso委员会（Committee Of Sponsoring Organization Of Treadway Commission）提出了著名的COSO报告内部控制整体框架，并于1994年进行了增补。COSO报告首次把内部控制从原来的平面结构发展为立体框架模式，是内部控制理论研究历史性的突破。其将内部控制定义为：由企业的管理人员设计的，为实现营业的效果和效率、财务报告的可靠及合法合规目标提供合理保证，通过董事会、管理人员和其他职员实施的一种过程。COSO报告提出内部控制由五部分组成：1.控制环境（Control environment）。它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。2.风险评估（risk assessment）。是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。3.控制活动（control activities）。是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。4.信息和交流（information and communication）。信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。5.监控（monitoring）。监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。内部控制理论的发展轨迹，反映了内部控制内涵的丰富和外延的扩大。COSO报告发布后，得到了国际社会和各种职业团体的广泛承认。二、商业银行内控理论的发展加强商业银行内部控制一直是银行内部风险管理的核心，西方商业银行在对内部控制理论的不断研究和探索基础上，于20世纪90年代逐渐成熟起来。本节主要介绍了巴塞尔协议对银行内部控制的研究和我国银行内部控制的发展。（一）巴塞尔协议对商业银行内部控制的研究巴塞尔委员会作为加强银行监管、防范银行风险的国际性合作机构，为了给各国银行监管当局提供评价银行内部控制的指导原则，在充分吸收内部控制研究特别是COSO报告研究成果的基础上，总结了成员国经验、教训和其前期发布相关文件精华的基础上，于1998年9月正式颁布银行组织内部控制系统框架，框架发表后，便为各国银行监管当局承认和接受，成为建立与评价银行内部控制制度最权威的依据。框架指出：有效的内部控制制度是银行管理的一个关键组成部分，是银行安全、高效运营的基础。有效的内部控制可以帮助银行实现长期盈利、提供可靠的财务与管理报告、遵守法律、法规、政策、计划、内部管理规定与程序、减少意外损失或声誉损害等目标。并提出，内部控制由五个相关联的要素组成：管理层监督与控制文化、风险识别与评估、控制活动与岗位分离、信息与沟通、监控活动与偏差纠正。针对这五个要素，制定了13个基本原则：1.管理层监督与控制文化原则一：董事会负责审批银行的整体经营战略和重大政策，并定期进行检查；董事会应当了解银行的主要风险，确定可以接受的风险水平并保证高级管理层采取必要措施认定、计量、监督并控制风险；董事会负责审批组织结构；董事会必须保证高级管理层对内部控制制度的有效性进行监督；董事会最终负责保证银行已经建立并实施了充分而有效的内部控制制度。原则二：高级管理层负责执行董事会批准的各项战略与政策；负责建立认定、计量、监督及控制银行风险的程序；负责建立责任明晰、授权明确、具有清楚的报告关系的组织结构；确保各项职责得到有效履行；负责制定适当的内部控制政策，并对内部控制制度的充分性与有效性进行监督。原则三：董事会与高级管理层有责任提高银行的职业道德水平及诚信标准，同时应在机构内部创造一种文化，向各层次工作人员强调并说明内部控制的重要性。银行机构的所有工作人员都需了解自己在内部控制过程中的作用，并充分参与这一过程。2.风险认定与评估原则四：一个有效的内部控制制度要求能够认定影响银行实现其目标的重大风险，并对之持续进行监控。风险评估须覆盖银行及银行集团面临的所有风险(包括信用风险、国家及转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险以及信誉风险)。有时也可能需要修改内部控制制度以合理解决新的风险或以前未能控制的风险。3.控制行为与职责分离原则五：控制行为应当是银行日常经营活动中不可分割的一部分。一个有效的内部控制制度要求建立适当的控制结构，明确规定每一业务层次上的控制措施，包括：高层检查；对不同部门或处室实施适当的行为监控；实物控制；对是否遵循了风险暴露限制进行检查，若否，则进行跟踪检查；建立审批与授权制度，以及验证与核查制度。原则六：有效的内部控制制度要求实行适当的职责分离，工作人员的责任不应相互冲突。应当认定潜在的利益冲突并使之最小化，且须受到仔细而独立的监督。4.信息与交流原则七：有效的内部控制制度要求具备充分而全面的内部财务、经营与合规性数据，以及与决策相关的外部市场信息。信息应当具有可靠性、及时性和可获得性，并须以一致的格式提交。原则八：有效的内部控制制度要求具备可靠的信息系统，以覆盖银行所有的重大业务活动。这些系统，包括以电子形式持有并使用数据的系统，必须具有安全性，受到独立监控，并得到足够的应急安排的支持。原则九：有效的内部控制制度要求具有有效的沟通渠道，以保证所有的工作人员都充分理解其工作职责与责任，能够坚持对其职责有影响的政策与程序，并保证其他相关信息能够传递给适当的工作人员。5.监督活动与修正缺陷原则十：应当对银行内部控制的总体有效性进行持续的监督。对关键性风险的监管应当是银行日常活动的一部分，也是根据业务范围和内部审计定期进行的评估的一部分。原则十一：应当由独立的、经过良好训练的、具有合格工作能力的工作人员对内部控制制度进行有效而全面的内部审计。作为内部控制制度监控的一部分，内部审计部门应直接向董事会或其审计委员会和高级管理层报告。原则十二：内部控制缺陷，不管是在业务活动中发现的，还是由内部审计或其他控制人员发现的，都须及时向适当的管理层报告，并迅速解决。巴塞尔委员会在框架中还制定了监管当局对内部控制系统的评价。原则十三：监管当局因要求所有银行，无论规模大小，都应具备与其性质、复杂程度、表内外业务风险相适应并能随环境、条件变化而调整的有效内部控制系统。当监管当局认定某银行特定的风险组合内部控制系统不足或无效(如未能覆盖框架包含的所有原则)时，应采取行动确保该银行内部控制系统立即得到改善。在这五个要素中，管理层监督与控制文化作为内部控制环境的主要内容，是商业银行内部控制系统的基础；风险识别与评估发现和计量实现目标过程中存在的不确定性，是商业银行内部控制系统实施的关键；控制行为与职责分离是商业银行内部控制系统的核心；信息与交流是载体，引导内部控制系统的运行；监督活动与修正缺陷正处于最顶层，评价监督整个内部控制系统的有效性，并及时纠正存在的偏差。第二节 我国商业银行内控研究的发展从我国的实际情况看，银行业风险防范体系主要由四个层次构成。第一层次是以银监会等机构为代表的政府监管，第二层次是以外部审计为主的社会监督；第三层次是以银行同业协会为主的行业自律，第四层次是银行内部控制，即商业银行通过完善的内部控制制度保护财产安全、控制经营风险、实现经营目标。在这个体系中，政府监管是主体和核心，社会监督是重要环节，行业自律是补充，而所有的这些外部因素都必须通过银行内部控制这个内部因素才能发挥作用。银行内部控制侧重于微观个体的安全与效率，良好的内部控制能发挥出比外部监管更有效、持久的作用，因此商业银行内部控制是整个银行业风险防范体系的基础。商业银行内部控制制度的重要性和务实性，决定了制度研究的现实价值。一、我国银行内控理论的发展我国针对商业银行内部控制的研究始于1996年，中国人民银行专门成立了一个金融机构内部控制问题调研小组，在全国范围内组织人力对2000多个金融机构的内部控制状况进行了摸底调查，在此基础上借鉴国际上的一些做法和经验，于1997年5月发布了加强金融机构内部控制的指导原则，同年12月发布关于进一步完善和加强金融内部控制建设的若干意见。上述两个文件的发布极大地推动了我国商业银行内部控制制度的建立，各商业银行按照文件规定，在1998年底初步建立起较为系统的内部控制制度并设立了内部稽核机构。但由于我国商业银行在内部控制体系建设方面起步晚，对内部控制认识不清、内部控制制度不健全、运行机制不畅等现象仍然存在。随着金融体制改革的进一步深入和中国加入WTO带来的冲击，我国商业银行内部控制面临着越来越多的挑战，加强金融机构内部控制的指导原则逐步显示出了其不足。2002年9月7日，中国人民银行在银行组织内部控制系统框架发布4年后，制订了商业银行内部控制指引，标志着我国商业银行内部控制理论研究进入了一个崭新的阶段。指引是我国银行业充分吸收COSO报告和框架核心内容的基础上制定而成的。2004年12月银监会颁布了商业银行内部控制评价试行办法，建立一套对商业银行内部控制评价的框架和办法，目的是为了规范和加强对商业银行内部控制的评价，督促进一步建立内部控制体系，健全内部控制机制，形成风险管理的长效机制。改变过去商业银行缺乏主动的风险识别与评估机制，内部控制系统零散、不到位、效果不稳定的现状，增强对内部控制持续改进的驱动力。2007年7月3日，银监会以第六号令修订了商业银行内部控制指引。二、商业银行内控的基本规定 商业银行内部控制指引认为，内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制和事后评价的动态过程和机制。商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：内部控制应当渗透到商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查；内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构和开办新的业务，都应当体现“内控优先”的要求；内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应该得到及时反馈和纠正；内部控制的监督、评价部门应当独立于内部控制的建设和执行部门，并有直接向董事会和高级管理层报告的渠道。在内部控制要素上，指引同样也认为有五个要素，分别是内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价和纠正。这五个要素之间的关系如下图：从上图可以看出，内部控制环境是整个内部控制系统的基础；风险识别与评估发现和计量商业银行在识别发现和计量商业银行实现目标过程中存在的不确定性，为控制活动指明方向；控制措施是商业银行内部控制系统的核心，是具体实施内部控制的过程；信息与交流是载体，沟通各个要素，引导内部控制系统的运行，确保控制目标的实现；监督评价与纠正系统位于最高层，评价监督整个内部控制系统的有效性，及时纠正存在的偏差。（一）内部控制环境控制环境是影响商业银行内部控制作用发挥的各种内部因素。主要包括商业银行产权制度、公司治理结构和组织架构、商业银行的价值观、职业道德的培育、风险管理文化、企业文化、激励约束机制等。主要内容有七个方面：1.管理者的操守及价值观管理者的操守及价值观反映了企业最高管理层（者）对内部控制的认识和态度。一般体现在四个方面：一是要经常强调和宣传内部控制的重要性；二是要认真组织与领导内部控制制度的设计工作；三是以身作则执行内部控制制度；四是要建立完善措施保证内控制度的执行并举行适当的评价。2.员工的胜任能力员工的胜任能力反映了员工执行规章制度从事业务工作的基本素质。一般体现在四个方面：一是全体员工对内部控制重要性要有足够的认识程度；二是员工对本职岗位的内部控制与单位整体控制和管理的关系要有一定的认识程度；三是员工要具备胜任本职工作的专业知识和业务技术的能力；四是员工要具备一定的工作责任心并忠实于本单位。对员工工作的胜任能力应由职务说明书加以规定，要充分说明实现目标及所设岗位或职务对员工能力水平的需要程度，并对构成能力水平的知识和技能有明确的要求，包括专业知识、业务技能、工作经验、业务培训、个人天分以及职业判断能力等等。3.董事会及监督委员会（或专业委员会）反映对管理层监控、引导责任的履行能力。一般体现在二个方面：一是董事会和监督委员会或现行体制下各种专业委员会要具备一定的独立性；二是委员的构成及其知识、才能、经验要能够适应工作需要。4.管理哲学和经营风格影响着企业的管理方式和对风险的认识。一般体现在四个方面：一是企业侧重于非正式的管理方式，即多运用管理者之间面对面接触的方式控制运行。正式的管理方式，较多的依赖书面的政策、制度、指标与报告来控制营运活动。企业管理要强调正式管理方式，少运用非正式管理方式；二是财务政策的取向。管理者倾向于执行积极的财务政策还是稳健的财务政策；三是对经营管理资料的处理方式和会计部门、人事部门工作的谨慎程度；四是企业文化。即企业在长期的经营管理活动中形成的，被大家普遍认同、遵守的经营管理价值理念和行为规范的总和。它既蕴涵丰富的文化价值观念，也反映了广泛的、高层次的管理内容包括普遍认同的价值理念，共同执行的管理规则以及共同养成的行为习惯。此外，与单位性质和规模相适应的管理宗旨、经营方式、与外界的协调策略等都是管理哲学和经营风格的反映。5.组织结构健全有效的组织结构是达成整体目标，实行规划、执行、控制与监督活动的基础。一般体现在三个方面：一是要建立健全的机构组织；二是要有明确的权责界定；三是要具有适当的沟通、协调途径。6.权责划分合理的权责划分是部门之间和岗位之间合理分工、相互协调、相互制约和监督，各司其职、各负其责的基础。体现在三个方面：一是每个人要充分认识自己工作对他人负责的程度；二是要合理授权。授权要适度，要有利于目标的达成，要能够实施有效监督和最佳决策；三是要建立激励制度，更好地发挥员工的主动性和积极性。7.人力资源政策及程序。在现代经济条件下，人是一种重要资源。任何企业在内部控制的实施中，如果仅仅着眼于对物和人的控制而忽视对人力资源的开发，就不可能受到良好的效果。人力资源政策及程序，反映了单位对员工操守、道德行为和能力水平的要求和期望。体现在七个方面：一是合理的招聘员工；二是做好新员工的训练；三是重视员工的后续教育和培训；四是开展有效地绩效评估；五是制定严格的升迁；六是待遇；七是奖惩。奖优罚劣，惩戒要严不能姑息。此外在内部控制管理上，管理层也要以身作则，严格自律，做执行制度的表率。商业银行内部控制指引（2007）（下简称指引）相关内容：（1）商业银行应当建立良好的公司治理以及分工合理、职责明确、相互制衡、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。（2）商业银行应当建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境。 （3）商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序，在全行范围内保持统一的业务标准和操作要求，并保证其连续性和稳定性。 （4）商业银行应当明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责分离、横向与纵向相互监督制约的机制。涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。（5）商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。董事会负责保证商业银行建立并实施充分而有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。 监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。 （6）商业银行应当建立内部控制的风险责任制：董事会、高级管理层应当对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任。内部审计部门应当对未执行审计方案、程序和方法导致重大问题未能被发现，对审计发现隐瞒不报或者未如实反映，审计结论与事实严重不符，对审计发现问题查处整改工作跟踪不力等行为，承担相应的责任。业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任。高级管理层应当对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。（二）风险识别与评估风险识别与评估是识别、评价和计量影响商业银行经营管理目标实现因素的过程，对风险的识别与评估构成风险控制活动的基础。主要是对商业银行面对的市场风险、信用风险、操作风险等进行评估，并适时进行调整，以便恰当地处理任何新的或过去不加控制的风险。（流动、信誉、利率、法律、策略）1.风险的识别。风险的识别是一个反复的过程，这个过程应该与业务的规划过程相结合。企业评估风险的过程必须考虑可能发生的所有风险。一般分两个方面：企业整体层级风险和作业层级风险。企业整体层级风险。由外部和内部因素而产生。第一，外部因素。包括：一是科技发展。影响企业研究和发展的性质、时间或导致材料的改变；二是顾客需求和预期的改变。影响产品的发展、顾客服务、定价或产品保证；三是竞争。可能改变销售行为和顾客服务策略；四是新法令的颁布。可以迫使营业策略和政策的改变；五是自然灾害。能够导致营业和资讯系统的改变；六是经济环境改变。影响融资、资本支出及扩展等决策。第二，内部因素。包括：一是资讯系统的中断。影响生产营运的正常进行；二是员工的素质、训练方法和激励制度。影响单位开展意识的程度；三是管理人员责任的改变。影响某些开展作用的发挥；四是员工可接近资产的程度。影响资源被侵占程度；五是董事会和监事会职能不力。影响管理层越权或滥用职权的机会。风险的辨识方法，有量化和不可量化的方法，并按风险大小的顺序及发生的可能性进行排列，以找出最高风险。如定期召开管理人员分析会、评审会、研究会；高级管理层仔细分析可能促使风险发生和增加的因素，如过去无法实现目标的经验教训、员工素质、影响单位变化的各种因素。企业作业层级的风险。辨识作业层级风险有利于减少主要营业单位履行职能的风险，也有利于将整体层面的风险控制在一个合理的、可接受的水平上。2.风险的分析。识别风险后必须进行风险分析或叫风险评估。包括估计风险严重程度；风险发生的可能性；采取什么措施控制风险。必须制定紧急风险自救预案和控制程序。3.对改变的管理经营环境不是一成不变的，“变”就会改变原来有效的内部控制，因此，必须对单位的“改变”进行必要的管理。要建立机制辨识改变的事项、活动，并加以沟通。要分析改变对目标达成的正反两方面的影响，并考虑风险控制的可能性和造成机会的利用程度。一般情况下发生以下改变值得重视和注意：1.作业环境改变；2.新员工上岗；3.新资讯系统或原资讯系统改变；4.业务迅速拓展；5.新科技运用；6.新业务、新产品出现；7.公司重组。指引相关内容：（1）商业银行应当设立履行风险管理职能的专门部门，负责具体制定并实施识别、计量、监测和控制风险的制度、程序和方法，以确保风险管理和经营目标的实现。 （2）商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。（3）商业银行设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。（三）内部控制措施内部控制措施是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工，实物控制、确定指标、分级授权、职责分离等。在控制活动中主要关注控制与风险评估过程的联系，控制活动的适当形式及其实施，对执行政策和管理指令的保证及控制活动的针对性等。这主要包括:1.高层经理人员对企业绩效进行分析。管理阶层记录经营活动 (如:市场的扩展、业务过程改良、成本的控制)的结果，然后再与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度和监督计划的执行情况。2.直接部门管理。负责某一部门的经理人员复核自己所负责部门的业绩报告，检查本部门各业务活动的情况，以便辨认趋势。3.对信息处理的控制。对信息系统的控制活动可分为两类，第一类是一般控制，它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制，它包括应用软件中的电算化步骤及相关的人工程序。4.实体控制。保护设备、物资、证券、现金和其它资产的实体安全，定期盘点并与控制记录所显示的金额相比较。5.绩效指标的比较。把不同的几套数据资料(如:经营数据与财务数据)相互比较，分析它们之间的关系，然后再进行调查与纠正。管理阶层需要调查超出计划的结果或者不正常的趋势，辨认业务经营的目标无法达成的原因。6.分工。要进行责任划分，并将不相容职务分派给不同的员工，以降低错误或不当行为的风险。控制活动有经营政策与业务程序两个要素，政策决定做什么，程序决定怎么做。控制活动还因业务和单位的不同而异。指引相关内容：（1）商业银行应当根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。商业银行应当明确关键岗位及其控制要求，关键岗位应当实行定期或不定期的人员轮换和强制休假制度。（2）商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控。 （3）商业银行应当按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种资料的真实、完整。（4）商业银行应当建立有效的应急预案，并定期进行测试。在意外事件或紧急情况发生时，应按照应急预案及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。（四）信息交流与反馈有效的银行内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及外部与银行决策相关的各种信息。有效的内控需要建立涵盖商业银行的全部重要活动的信息系统，并建立有效的信息交流渠道与反馈渠道，确保信息纵向和横向的畅通。1.建立信息系统。企业信息总是和内部控制直接相关，要获取可靠的信息和有效使用信息资源，就必须进行必要的内部控制和监管。企业建立的内部控制制度，要能够保证产生真实、准确而又持续、稳定的信息；保证信息的畅通、反馈和利用。企业应建立系统的信息网络和中心，从组织机构、人员配备、工作程序上保证信息的搜集、贮存、加工、输出与使用。企业的各项规章制度都要有利于信息的准确收集与反馈，有利于信息的分类筛选与加工，有利于部门间的信息沟通。对信息系统的一般要求：（1）信息系统要先进、便捷；（2）信息系统要与业务运营相结合；（3）信息的质量要有保证。要体现适当性、及时性、正确性、新鲜度和易取度的要求。2.信息的沟通。企业的信息系统提供有效信息给适当的人员，通过沟通，使员工能够知悉其营业、财务报告及遵循法律的责任。信息沟通方法多种多样，包括政策手册、备忘录、通知、录音、录像、会议、口头传递等。（1）内部沟通。内部沟通包括向下沟通、向上沟通、管理层和董事会沟通三个方面。向下沟通。每一个员工都要掌握来自高层的信息；要知道本职岗位与整体内部控制关系；要掌握意外事件处理；要掌握单位期望和不期望他做什么、能接受和不能接受什么行为。向上沟通。员工要有向上级管理层反馈信息的通畅渠道，可以采用报告、走访等方式。管理层和董事会之间的沟通。管理层必须让董事会及时知道当前企业的绩效、发展、风险、进行中的重大经营管理活动，以及其它任何事项或事件。（2）外部沟通。企业与股东、政府主管机关、审计署等要建立一定的信息共同关系，而且要将与外部沟通的有关信息传达到有关部门和人员。3.指引相关内容：(1)商业银行应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。 (2)商业银行应当实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国银监会及其派出机构报送监管报表资料和对外披露信息。 (3)商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。（4）商业银行应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。（5）商业银行应当建立内部控制的报告和信息反馈制度，业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷，应当及时向董事会、管理层或相关部门报告。（五）监督评价和纠正监督评价与纠正是董事会、高管层、业务部门对内控的管理监督和内部审计部门对内控的再监督、再评价与纠正偏差活动的总称。1.持续的监管活动。持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。持续的监督活动有利于及时发现内部控制存在的不足，应该纳入企业正规、重复的营运活动之中，其主要方式有：（1）利用管理人员履行日常监管职责；（2）利用外部资讯进行对比验证；（3）利用岗位和部门分工监督；（4）利用信息记录与实体核对；（5）利用审计人员和其他监管人员提出的改进建议；（6）利用各种会议和研讨；（7）利用员工的定期汇报。2.个别评估。尽管持续监督程序可以有效的评价内部控制体系，但企业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可评估持续性监督程序。评估的范围和频率，视风险的大小及控制的重要性而定；评估的主体主要是内部审计，也可以是主管部门。个别评估要求评估者：必须具备必要的职业胜任素质和能力；必须掌握内控制度的标准和要求；应了解实际执行情况与原实际的不同；要将实际控制情况与制度标准进行比较；要有书面评估记录。指引的相关内容：（1）商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。 （2）商业银行的业务部门应当对各项业务经营状况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正。 （3）商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。内部控制的建设、执行部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。 （4）商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。（5）商业银行上级机构应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期做出评价，并将评价结果作为经营绩效考核的重要依据。 （6）商业银行应当建立内部控制问题和缺陷的处理纠正机制，管理层应当根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。 第三节 会计内控分类及措施一、内部控制分类（一）按其控制内容的不同划分1.基础控制。基础控制是指对企业生产经营活动赖以进行的内部环境所实施的总体控制，因而亦称环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。特征是不直接作用于具体经营活动。2.应用控制。应用控制是指直接作用于企业生产经营业务活动的具体控制，因此，亦称业务控制。基础控制是实施应用控制的前提，应用控制则是基础控制的深化。健全有效的基础控制可以为应用控制的有效运转提供良好的基础。（二）按其控制目的不同划分1.会计控制。会计控制是指与保证财产物资的安全性、会计信息的正确性以及财务活动的合法性有关的那部分控制。2.管理控制。管理控制是指与保证经营决策、方针的贯彻执行，促进经济活动的经济性、效率性和效果性以及经营目标的实现有关的那部分控制。会计控制与管理控制的区别在于二者控制的目的不同。但两者并不是相互排斥，互不相容的，有些控制措施既可以用于会计控制，也可以用于管理控制。（三）按其控制功能的不同划分1.预防式控制。预防式控制是指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制。它主要解决“如何能够在一开始就防止错弊的发生”这个问题。如限制接近、双人守库、印押证机分管等。2.侦察式控制。侦察式控制是指为及时查明已发生的错误和非法行为或增强发现错弊机会的能力所进行的各项控制。主要解决如果错弊发生如何查明，如通过账账核对、实物盘点等（四）按其控制过程的不同划分1预先控制。预先控制指企业单位为防止人力、物力、财力等资源在质和量上发生偏差而在行为发生之前所实施的内部控制。如报列支专项费用前的审批行为、贷款前的授信活动。2.过程控制。过程控制是指企业单位在经营活动过程中针对正在发生的行为所进行的控制。如四双制度。3.结果控制。结果控制指企业单位针对生产经营活动的最终结果而采取的各项控制措施。如指标真实性检查、任期责任稽核。（五）按其控制目标的不同划分1.财产物资控制。财产物资控制是指企业单位为维护财产物资的安全性和完整性所实施的各项控制。2.会计信息控制。会计信息控制是指企业单位为保证会计凭证、帐簿、报表等会计资料的可靠性和准确性所进行的各项内部控制。3.财务收支控制。财务收支控制是指企业单位为保证财务收支的合理性和合法性所采取的各项控制程序和控制措施。4.经营决策控制。经营决策控制是指企业单位为保证经营决策及方针政策的正确实施和有效执行所采取的各项控制程序和控制措施。5.经济效益控制。经济效益控制是指企业单位为保证其经济活动能够有秩序和高效率地进行所采取的各项控制手续和控制方法。6.经营目标控制。经营目标控制是指企业单位为保证经营目标的预期实现而采取的各项控制手续和控制方法等。二、会计内控措施指引相关规定：(1)存款及柜台业务内部控制的重点是：对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操