商业银行内部控制体系建立的背景和意义

...wd......wd......wd...摘要随着我国入世承诺的兑现，金融业已对外全面开放，外资金融机构和国内同业享受同等国民待遇，金融风险的产生和国际传导出现新的特点，我国银行业既面临机遇，同时也面临着更大的挑战。而内部控制已成为保障商业银行实现经营目标的动态过程和机制。因此，研究我国商业银行在新型监管环境里的内部控制体系，具有很好的现实意义。本文首先阐述了商业银行内部控制体系建设的背景和意义，指出商业银行内部控制的目标是利用其资产及其他资源来使自身免受损失的有效性和效率，满足新巴塞尔协议关于全面风险管理及银行监管当局关于内部控制与合规的要求，同时覆盖美国?萨班斯—奥克斯利法案?的相关规定，增强政府、监管当局和社会公众的信心。文中剖析了我国商业银行内部控制的现状，分析了金融全球化和监管国际化的形势对采取国际化战略的商业银行的影响，并提出了完善内部控制体系的思路，包括商业银行应采用流程管理的思想、系统管理的方法和基于事实决策的方法等先进管理理念和原那么，根据?商业银行内部控制评价试行方法?〔简称银监9号令〕的要求，从内部控制环境、风险识别与评估、内部控制措施、监视评价与纠正、信息交流与反响等五个方面对商业银行各种业务和管理流程进展梳理，编写关于各项管理和业务活动的内部控制体系文件。导入风险识别与评估技术〔FMEA〕，对流程中的风险加以识别和评估，形成对各个风险的控制方案等。本文从实证研究出发，在以上分析的根基上，以实际操作的形式对内部控制理论在我国商业银行中的应用进展了分析研究；最后对完善我国商业银行内部控制体系进展了总结和展望。内部控制体系的建设无论在理论还是在实践上都是一个复杂的、动态的系统工程，许多方面还有待于今后进一步的探讨。关键词：商业银行内部控制完善ABSTRACTWithentirelyopenedtoworldofChinafinancialindustryaccordingtoWTOrules,foreignfinancialinstitutionshaveenjoyedsametreatmentasChinese.Financialriskoccurrenceandinternationaltransmittalappearnewcharacters.Chinesecommercialbanksarefacingopportunitiesaswellaschallenges.Internalcontrolregardedasadynamicprocessandmechanismincommercialbanks’businesstargetachievementprotecting.Consequently,itisasignificantpracticethatresearchinginternalcontrolsystemofChinesecommercialbanksinanewsupervisedfinancialenvironment.Thisarticleexpatiatethebackgroundandmeaningofcommercialbankinternalcontrolsystemestablishmentofwhichthegoalisfulfillinglossavoidingvalidityandefficiencybyusingselfassetsandoutsideresources,satisfyingtherequirementofentirelyriskmanagementandinternalcontrol&complianceraisedbyBaselⅡandsupervisalinstitutionsrespectively,covering?Sarbanes-OxleyArt?relativerules,enhancingconfidenceofgovernment,supervisalinstitutionsandpublic.Thearticleanalysedchinesecommercialbanks’statusinquoandfinancialglobalization&supervisalinternationalizationimpact.Raisedinternalcontrolimprovementthinkingaboutthatcommercialbanksshouldadoptprocessmanagement,systemmanagementandfactbaseddecisionprinciplesetc,cardworkflowandwriteoperationcontrolsystemdocumentsfrom5sidesofinternalcontrolenvironment,riskidentification&assessment,measure,monitoring&rectifyingandinformationcommunion&returnasindicatedin?Commercialbankinternalcontrolestimate(probationversion)?.IntroducedFMEtoidentify&evaluaterisksexistingintheprocessandcompleteeachriskcontrolschemes.Thearticlebasedondemonstrateresearchesaboutinternalcontrolapplicationswithincommercialbankpractices.Finally,concludedandprospectedChinesecommercialbankinternalcontrolsystemimprovementwhichisacomplicatedanddynamicsystemengineeringandshouldbediscussedfurtherinthefuture.Keywords:CommercialbankInternalcontrolImprovement目录第1章导论61.1论题背景61.2研究目的及意义81.3文献综述91.3.1国外研究动态91.3.2国内研究文献综述101.4研究思路及方法111.4.1研究思路111.4.2研究方法12第2章内部控制的理论根基142.1内部控制的理论演进142.1.1内部牵制〔InternalCheck〕142.1.2内部控制制度〔InternalControlSystem〕142.1.3内部控制构造〔InternalControlStructure〕152.1.4内部控制整体框架〔InternalControlIntegratedFramework〕152.2内部控制的含义和实质15第3章兴旺国家商业银行内部控制之借鉴183.1兴旺国家商业银行内部控制理论183.2兴旺国家商业银行内部控制实务193.2.1完整的内部控制框架193.2.2良好的内部控制环境193.2.3完善的内部监视检查体系213.2.4先进的电子化风险控制手段21第4章我国商业银行内部控制现状分析234.1我国商业银行内部控制建设进程234.1.1起步阶段〔80年代末－1996年〕234.1.2完善和开展阶段〔1997年－现在〕244.2我国商业银行内部控制取得成果244.2.1内部控制环境初步形成244.2.2全面风险管理体系逐步深入264.2.3经营与管理活动的控制不断加强264.2.4信息科技化建设步伐加快274.2.5内部审计监视制度初显成效274.3我国商业银行内部控制存在问题284.3.1公司治理构造不健全284.3.2内部组织构造不科学294.3.3内部控制文化不深入294.3.4内部控制制度不完善304.3.5风险控制系统不兴旺314.3.6内部监视职能不到位324.3.7人员素质管理不严格32第5章完善我国商业银行内部控制体系的思路345.1完善内部控制体系的遵循原那么355.1.1表达全面、审慎、有效、独立、合理的基本原那么355.1.2编制系统化的内部控制体系文件365.2完善内部控制体系的框架要求385.2.1我国商业银行内部控制体系的构建框架385.2.2完善我国商业银行内部控制体系的要求395.3完善内部控制体系的技术方法455.3.1过程和系统方法455.3.2管理矩阵分析法485.3.3风险识别与评估技术〔FMEA〕495.4需要处理好的关系和注意问题55第6章总结与展望58致谢60参考文献61图表目录表1.1：90年代以来世界各国主要代表性金融危机概览表5.1：风险识别工作底稿表5.2：风险评估工作底稿表5.3：风险可能性等级表表5.4：风险后果等级表表5.5：风险级别矩阵表表表5.6：风险等级与措施对照表表5.7：风险控制工作底稿图1.1：本文的研究构造图图4.1：上海浦东开展银行组织构造图图5.1：管理金字塔图5.2：以过程为根基的内部控制体系过程模式图5.3：内部控制体系文件层级构造图5.4：过程模式图5.5：PROCESSMAP图5.6：管理矩阵图5.7：配置流程图图5.8：风险识别过程图5.9：风险因素和流程环节映射图图5.10：风险评估过程图5.11：风险控制过程导论第一节论题背景商业银行作为世界各国金融体系的主体，是唯一能吸收、创造和收缩存款货币的金融机构，国际货币基金组织称其为存款倾向性货币银行，这一特点决定了商业银行的高风险性和易失败性。任何金融风险都具有特定的内在生成根源，一般来讲，金融风险源于金融体系、金融机构以及金融市场和金融价格内在脆弱性田应奎：现代金融有效监管的国际比较。北京：中国言实出版社，2000年1月版：47。而金融机构所固有的内在脆弱性是现代金融风险产生的内在根源。商业银行作为经营货币的金融机构，其风险不同于一般行业，它的大约80－90％的资金来源于客户的，而并非其自身资产，因而在经营的任田应奎：现代金融有效监管的国际比较。北京：中国言实出版社，2000年1月版：47纵观现代金融开展史，在金融自由化、国际化和市场化的大环境下，金融风险频频凸现。其频率高、危害大及高扩散性成为90年代以来金融风险的主要特点。从世界各国的大量金融危机案件中，我们可以看到，尽管引发这些国家和地区的危机的直接原因不同，产生的背景也各异，但是他们几乎无一例外地都与商业银行的内部控制问题有关。从20世纪80年代美国储贷协会危机到从20世纪90年代初持续至今的日本银行业危机，从上世纪80、90年代至今仍连续不断的拉美金融危机到1997年的亚洲金融危机，从1995年尼克·里森因期货交易造成8.6亿英镑巨额损失而将拥有232年悠久历史的巴林银行推上死亡之路，到2002年发现约翰·鲁斯纳克因违法外汇交易造成7.5亿美元损失而使联合爱尔兰银行市值在一天之内暴跌13.7％。90年代以来世界各国主要代表性金融危机的成因和危害如表1.1所示，这些事实一再证明：内部控制是商业银行的生命线?金融时报??金融时报?2002.10.28表1.1：90年代以来世界各国主要代表性金融危机概览序号金融危机爆发时间成因影响和损失1美国富兰克林国民银行破产〔属美国第12大银行〕1994年10月8日对外部资金过渡依赖，外汇业务操作失误，监管不力破产2意大利阿姆伯西诺银行倒闭1990年夏不良国外贷款，资本亏空倒闭，损失10亿美元3美国德累塞尔投资银行破产1990年2月13日内部监管松懈，过度投机垃圾债券破产，损失30亿美元4国际商业信贷银行破产〔世界级跨国银行〕1991年7月5日金融诈骗，业务违规，监管不力破产清算5法国里昂信贷银行巨额亏损1992－1995国外投资失误，用人不当，扩张过快实际亏损超过1000亿法郎，导致全行业利润下降6英国巴林银行倒闭1995年2月23日用人不当，违规操作，监管不力倒闭，损失10亿美元7日本大和银行巨额亏损1995年7月内部控制不力，用人不当，越权操作损失1000亿日元，掀起日本银行赤字风暴8阿尔巴尼亚集资风潮1997年金字塔式集资方案，违规操作，监管不力经济崩溃，社会动乱，政治危机资料来源：唐文琳博士学位论文〔中国人民大学金融学博士、1999年〕从国内来看，我国商业银行一方面面临巨大的市场竞争压力，另一方面由于内部控制根基薄弱，操作风险突显，导致金融案件频发，不仅严重制约业务的开展和金融产品创新，而且威胁国家金融安全。为此，中国银监会将加强对银行业金融机构风险内部控制的监管、重视公司治理机制建设和完善内部控制体系作为目前工作的重点。为促进商业银行建设和健全内部控制体系，防范金融风险，保障银行体系安全稳健运行，最近两年多来监管当局出台了一系列规章制度。2004年2月1日，修订后的?商业银行法?第一次以法律形式提出“商业银行应当按照有关规定，制定本行的业务规那么，建设、健全本行的风险管理和内部控制制度〞2005年2月1日2005年3月22日，银监会发布?关于加大防范操作风险工作力度的通知?〔简称“十三条〞〕，强化了商业银行操作风险的防范。2005年7月13日，巴塞尔银行监管委员会在借鉴经济合作与开展组织〔OECD〕于2004年发布的修订后的公司治理原那么，并吸纳各国银行业机构稳健公司治理做法和各银行业监管当局银行公司治理方面的监管经历的根基上，针对银行业机构的独特性，为提供切实可行的指导，委员会对1999年发布的银行公司治理指引进展了大幅度的修订，发布了征求意见稿?加强银行的公司治理?修订稿，旨在帮助各国银行业监管机构推动本国银行业机构采用稳健的公司治理做法。该文件明确指出：“风险管理战略和风险管理技术是商业银行核心竞争力。稳健公司治理的基本要素尤其包括建设强有力的内部控制体系。〞无论从我国商业银行的外部环境和内部需求来看，建设全面、全员、全过程的系统化内部控制体系已迫在眉睫。第二节研究目的及意义随着我国入世承诺的兑现，金融业已对外全面开放，外资金融机构和国内同业享受同等国民待遇，金融风险的产生和国际传导出现新的特点，我国银行业既面临机遇，同时也面临着更大的挑战。而内部控制已成为保障商业银行实现经营目标的动态过程和机制。因此，研究我国商业银行在新型监管环境里的内部控制体系，具有很好的现实意义。一、有利于我国商业银行满足监管要求、提高声誉和品牌形象监管部门要求“商业银行应建设并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境发生重大变化时，对内部控制体系进展评审和改进。〞为此，建设完善的、系统化的内部控制体系，实现自我约束，满足监管要求，已经成为我国商业银行的现实需求。监管部门对各商业银行的内部控制体系评价等于是对各商业银行内部控制的一次考试，评价结果在一定程度上可以反映出各商业银行的风险管理和内部控制的能力和水平。监管当局的内部控制评价分值和排名无疑会对我国商业银行的品牌形象、社会声誉甚至市场价值产生较大的影响。二、有利于我国商业银行提升根基管理水平将标准化管理思想和方法引入到我国商业银行风险管理领域，以指导它们的内部控制体系建设，已成为我国商业银行提升根基管理的必然选择。与国际先进商业银行相比，我国商业银行的内部控制体系存在着较大的差距。造成这种差距的主要原因在于这些年我们对管理的改进在一定程度上带有“补丁〞式建设的特点，缺乏对根基管理这块“管理主板〞的整体升级。根基管理薄弱已经成为制约我国商业银行进一步开展的重要因素，应该说当前我们不缺先进的管理方法和科技手段，缺的是根基管理的支持，这种状况制约着先进管理工具和管理技术的引进。我国商业银行通过建设和完善内部控制体系必然有利于提高根基管理水平，为今后引入各种先进的管理理念和管理模式搭建了一个提升的管理平台。三、有利于我国商业银行建设有效防范操作风险和合规风险的途径银行面临的风险包括信用风险、市场风险、操作风险，以及合规风险、流动性风险、声誉风险和法律风险等。其中，操作风险和合规风险也是导致银行其他各类风险发生的直接诱因。因此，对操作风险和合规风险的控制是防范其他各类风险的根基。内部控制要求对每个过程、过程之间的接口以及所映射的风险进展识别并明确各过程和岗位的操作所需遵循的管理和控制要求，清晰界定相应的职责和程序要求，包括操作的步骤与方法、报告路线与报告范式、报告处理标准与反响要求等。同时，内部控制还提供了风险管理的筹划、实施、监测与持续改进框架，预防和控制风险的发生，以有效防范操作风险及合规风险。第三节文献综述1.3.1国外研究动态“内部控制〞一词是20世纪40年代后期出现的。在这之前，人们一般采用内部牵制的概念，即：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计〞张小霞：现代商业银行内控制度研究北京：中国财政金融出版社，2005年6月版：36美国注册会计师协会的一个工作程序委员会〔AICPA〕在1949年出版的有关内部控制制度的特别报告中提出了内部控制制度的定义：内部控制制度是指企业用来保护资产，检查会计资料的正确性和可靠性，提高经营效率，强化遵守既定管理政策的组织方案、协调方法与措施。张小霞：现代商业银行内控制度研究北京：中国财政金融出版社，2005年6月版：371958年10月该委员会发布的?审计程序公告第29号?，正式对内部控制重新进展了表述，指出内部控制从广义上说包括会计控制和管理控制。1988年，美国准那么委员会〔AICPA〕?审计准那么公告第55号?以“内部控制构造〞代替“内部控制〞，提出内部控制的三要素：控制标准、会计系统和控制程序。1992年美国COSO委员会发布报告，提出内部控制体系的张小霞：现代商业银行内控制度研究北京：中国财政金融出版社，2005年6月版：36张小霞：现代商业银行内控制度研究北京：中国财政金融出版社，2005年6月版：37巴塞尔委员会对商业银行内部控制也进展了持续的研究，并表达在其发布的一系列报告之中。1998年，巴塞尔委员会吸收COSO报告的研究成果，总结成员国的经历、教训和其前期发布有关文件精华的根基上发布了?银行业组织内部控制系统框架?，系统地提出了评价商业银行内部控制体系的指导原那么。为各国商业银行、监管普遍成认和承受，成为建设和评价内部控制体系最权威的依据。1.3.2国内研究文献综述我国对现代内部控制的研究始于20世纪80年代初。90年代以来，我国一些商业银行开场研究，实施内部控制体系。中国人民银行及随后成立的银行业监视管理委员会也开场关注、研究我国商业银行内部控制问题，并在充分吸取和借鉴国际组织、国外商业银行先进经历，结合我国实际情况，出台了一系列有关内部控制的法律条文，成为指导我国商业银行内部控制体系建设的纲领性文件，并有力地促进我国商业银行内部控制体系地建设和完善。在国内学术界中，对商业银行内部控制体系的认识存在着基本一致的观点。黄敦学〔2002〕认为：安全和效率是现代金融开展中的一对矛盾，这两者往往很难兼顾。严格的金融监管往往片面强调金融体系的安全，由此造成了金融低效率，这影响到金融业自身的开展，也进一步影响到整个国民经营的开展；相反，在金融自由化下，放松监管又会导致银行业危机频繁出现。巴塞尔银行监管委员合在l997年9月提出的“有效银行监管〞核心原那么中，首次提出了内部控制原那么，使对银行的有效监管有了一个重大突破。他在文中强调对银行的监管要从内部控制的评价入手。黄建军〔2002〕认为：中国参加WTO以后，金融业面临巨大的挑战，迎接挑战的当务之急，是加强各商业银行的内部控制，通过一系列制度、程序和方法，对金融风险进展事前防范，事中控制，事后监视纠正，以提高行业素质，保障银行体系安全稳健运行。武汉大学的叶永钢和中国建设银行顾京圃在联合研究内部控制体系工程的建设中做了大量实地调研、借鉴国内外相关经历的根基上，运用标准化和流程化管理思想和金融工程的基本原理，对中国国有商业银行的内部控制体系进展研究和设计，构造了内控体系的总体框架和内部控制组织构造体系、岗责体系、工具体系、考评体系,形成了完整的商业银行内部控制体系设计方案。指出了商业银行风险内控体系中的各个风险点，具有较强的实用性和可操作性，在局局部支银行的试点很成功，对商业银行的内控管理有一定的借鉴作用。笔者总结了相关文献后认为，商业银行建设有效的内部控制体系可以防止发生损失，或帮助及早发现问题，从而限制这些问题对银行机构的危害。内部控制体系实质上是一个过程化的管理，它的输入是银行面临的各类风险，通过内部控制体系的识别、评估、控制、检查监视和纠正预防，使流程到达预期目标，即输出“可接收风险〞，也即安全。从而，我们在内部控制体系的建设和完善思路上要融合流程管理和系统管理的思想。第四节研究思路及方法1.4.1研究思路本文首先从内部控制的基本理论出发，阐述了内部控制的产生和开展过程以及商业银行内部控制的涵义和要素，然后借鉴国外商业银行内部控制的实践经历，分析其给我国商业银行带来的启示，结合对我国商业银行内部控制的现状和存在的问题的剖析，以安全性和效率性作为内部控制的目标，就如何完善我国商业银行内部控制提出一些思考和建议。本文核心之处在于以COSO委员会规定的内部控制的五大要素为分析对象，通过对我国商业银行与国外商业银行的内部控制实践的比较分析，并运用内因与外因的哲学思想提醒我国商业银行内部控制存在的问题，从而提出符合我国商业银行特点的内部控制总体设计方案。全文共分六章，研究内容如图1.1所示，第一章为绪论；第二章为内部控制的理论根基；第三章为兴旺国家内部控制之借鉴；第四章为我国商业银行内部控制现状分析；第五章为完善我国商业银行内部控制体系的思路；第六章为总结与展望。图1.1：本文的研究构造图1.4.2研究方法〔一〕理论研究与实证分析相结合：及时掌握最新的研究动态和研究资料，同时运用理论与实证分析相结合的方法分析国外商业银行在内部控制方面的成功经历，以及我国商业银行存在的问题，为提出符合我国国情的商业银行内部控制设想奠定了根基。〔二〕静态分析与动态分析相结合：对当前我国商业银行内部控制体系建设存在的问题进展静态分析，对内部控制制度的开展历程进展动态分析。〔三〕具体分析与综合分析相结合：对国外兴旺国家商业银行内部控制实践进展综合分析，而对我国商业银行的内部控制现状和问题那么展开了具体分析。〔四〕借鉴与创新相结合：既借鉴国外兴旺国家商业银行内部控制的先进经历，又根据我国的国情对商业银行的内部控制体系的构建提出了创新性的建议。内部控制的理论根基控制论是研究系统调节与控制的一般规律的学科。控制的任务是实现系统的稳定和有目的的行动，经济控制就是对经济行为的控制。内部控制是根据控制论的一般原理而建设的，它属于控制论中经济控制论的一个方面或一个分支。第一节内部控制的理论演进考察内部控制理论的演进历史，大致上可以分为内部牵制、内部控制制度、内部控制构造和内部控制整体框架等四个阶段。2.1.1内部牵制〔InternalCheck〕一般认为，近代内部控制产生于18世纪产业革命以后，它是企业大规模化和资本群众化的产物。内部控制的最初形式是内部牵制。“内部牵制〞是一种古老的管理思想。它最早可以追溯到古代埃及的国库管理制度。这个概念是建设在两个基本假设之上的：一是两个以上的人或部门无意识的犯同样错误的可能性是很小的；二是两个或两个以上的人或部门有意识的串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制思想以帐目间的互相核对为主要内容并实施岗位别离，这在早期被认为是确保所有帐目准确无误的一种理想控制方法。直到本世纪初，企业管理仍然继承了这种以业务授权、职责分工、双重记录、定期核对等为基本内容的内部牵制理念。表达了“安全是制衡的结果〞的管理思想。2.1.2内部控制制度〔InternalControlSystem〕20世纪40年代至70年代初，在内部牵制根基上，产生了内部控制制度的概念。可以说，内部控制制度概念的形成是传统的内部牵制思想与古典管理理论相结合的产物。它们分别开展成为内部控制制度的两个分局部――内部会计控制和内部管理控制〔或称内部业务控制〕。1949年美国会计师协会〔AIA〕发表了一份专门报告?内部控制：协调组织的各要素及其对管理者和独立公共会计师的重要性?，第一次正式提出了内部控制的定义：“内部控制包括企业采用的方案和所有有关的调整方法和调整措施；旨在保护企业资产，检查会计数据的准确性和可靠性，提高经营效率，促进有关人员遵循既定的管理方针。本定义成认不仅仅局限于直接与财务会计有关的事项〞。由此可见内部控制的概念突破了内部牵制局限于对财务会计的控制的局限。这一阶段表达了“安全是管理出来的〞的管理思想。2.1.3内部控制构造〔InternalControlStructure〕1988年，美国注册会计师协会〔AICPA〕在其发布的第5号审计准那么公报?会计报表审计中对内部控制构造的关注?中首次采用内部控制构造取代了原来的内部控制概念。该说明书将内部控制定义为：“为合理保证实现公司的具体目标而建设的一系列政策和程序〞。说明书认为内部控制构造由控制环境〔ControlEnvironment〕、会计制度〔AccountingSystem〕、控制程序〔ControlProcedures〕三个要素组成。这一阶段表达了“安全是设计出来的〞的思想。2.1.4内部控制整体框架〔InternalControlIntegratedFramework〕1992年9月，美国反对虚假财务报告委员会的赞助组织委员会〔COSO〕发布了?内部控制――整体框架?〔InternalControl－IntegratedFramework〕的研究报告，提出了内部控制最为全面的论述。此概念认为，内部控制的整体框架包括五个相互联系的要素：控制环境〔ControlEnvironment〕、风险评估〔RiskAppraisal〕、控制活动〔ControlActivity〕、监视评价和〔Monitoring〕信息与交流〔InformationandCommunication〕。这个概念的提出反映了内部控制力量的日趋成熟和人们对内部控制概念的日趋统一。这一阶段表达了“安全是系统管理的结果〞的思想。第二节内部控制的含义和实质COSO委员会于1994年修订了1992年9月发布的?内部控制――整体框架?〔InternalControl－IntegratedFramework〕，对内部控制进展了重新定义：“内部控制是由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循等目标的实现而提供合理保证的过程；控制环境、风险评估、控制活动、信息与沟通、监视五大要素共同构成内部控制框架〞。尽管COSO委员会的?内部控制――整体框架?〔InternalControl－IntegratedFramework〕报告标志着内部控制理论和实践进入了整体框架的新阶段，但理论界和实务界还是认为该内部控制框架在实际运用过程存在有一定的局限性，表现在：对风险强调不够，使得内部控制无法与企业的风险管理严密结合。2004年10月，COSO委员会根据理论和实务的开展，又公布了一个概念全新的COSO报告，即?企业风险管理－总体框架?〔EnterpriseRiskManagement,简称ERM〕。ERM框架把内部控制从“过程观〞提升到了“风险观〞，将内部控制纳入风险管理，成为企业经营管理过程的重要组成局部。ERM框架新增加了一个观念〔风险组合观〕、一个目标〔战略目标〕、同时引入了“风险偏好〞和“风险容忍度〞的概念，并将原五大要素进展深化和拓展，新增“目标制定〞、“事项识别〞和“风险反响〞三大要素，将原有五大要素中的风险评估这一要素，开展成为目标制定、事项识别、风险评估和风险反响四个因素，共同组成了风险管理的预警、判定和防范的完整系统。ERM框架最大的变化，就是将企业内部控制改为企业风险管理，高度突出了风险管理的重要性，这给我们在实务中认识内部控制的含义和本质带来了新的启示。企业内部控制的对象是风险，但对于风险，我们应该辩证地来认识，在复杂的市场经济环境下，企业不可能生活在远离风险的真空地带，只要经营，就必然面临风险，而风险在一定意义上也意味着机遇的存在，可以说，企业是在风险状态下运作，企业经营的实质就是在诸多风险的处理中躲避不利因素、争取有利因素的过程，没有风险就可能没有收益。因此，企业的内部控制，其目的不在于彻底地去除风险〔实际上这也不可能到达〕，而在于将企业面临的风险控制在可知、可控和可承受的范围之内，这“三可〞是企业风险管理的现实目标，“可知〞表示企业对出现的风险能迅速识别，“可控〞表示企业能迅速地应对和控制风险，“可承受〞表示预期的风险损失能控制在企业合理的承受范围之内，到达了这“三可〞，意味着企业的内部控制发挥了实质作用。在研究风险的同时，还应该看到影响风险的深层次因素－“人的行为〞。企业面临的风险，无论是可控风险，还是不可控风险，均和人的行为密切相关，战略风险、经营风险、财务风险、投资风险等对企业而言，是可控风险，均是由于人的行为直接产生，人的因素至关重要，而类似自然灾害、政策风险、国家风险及市场风险等对于企业而言，虽是不可控风险，不是由人的行为直接产生，但也需要通过人的行为来对风险进展识别和处理，也和人的行为密切相关。因此，人的行为在较大程度上决定了风险的形成和处理。而人对自身利益的追求，及对风险的意识和态度又决定了人的行为，在风险意识上，有些人比较关注风险，而有些人无视风险，同时，在对待风险的态度上，不同的人可能分别采取冒险、中立或厌恶的态度，这样在自身利益的驱使下，不同的风险意识和不同的风险态度决定了人的不同行为，从而使企业面临不同的风险。企业是由不同的人构成的团体，这些人分别承担着不同的分工和角色。这些不同个体的行为导致了企业风险形成和处理的不确定性，如果没有一个机制的制约，将无法保证企业风险的“可知、可控、可承受〞。因此，从这个意义出发，我们可以说，企业内部控制的实质就是要通过一系列机制来控制“不同人的行为〞可能带来的风险，从而保证企业风险的可知、可控和可承受。兴旺国家商业银行内部控制之借鉴内部控制是当代兴旺国家商业银行管理的重要内容，健全的内部控制制度是商业银行安全、有序运作的前提和根基。兴旺国家商业银行在长期的经营实践中积累了丰富的内部控制管理经历，这对于正在走向国际化、市场化的我国商业银行来说，无疑具有十分重要的借鉴意义。第一节兴旺国家商业银行内部控制理论从80年代开场，西方一些商业银行就已经引进了内部控制的观念，但在很长的一段时间内，内部控制仍然处在较低的层次，并没有得到足够的重视，执行起来也不是十分严格。大和银行事件以及巴林银行倒闭等由于银行内部控制失败引起的危机使得各国银行界意识到加强商业银行内部控制的重要性，加强银行内部控制逐渐成为银行内部管理和外部监管的主流。1988年，国际清算银行库克委员会提出了关于银行资本适宜度的标准，即著名的?巴塞尔协议?，并获得了12国的官方通过，其中就提到了银行内部控制在实现资本充足率等方面起到的重要作用。在1997年4月巴塞尔委员会制定的?有效银行监管的核心原那么?中，针对银行业面临的信用风险、国家和转移风险、市场风险、利率风险、操作风险和法律风险等一系列的风险，明确的提出了将加强银行内部控制作为风险的防范的抵御的措施之一。其中原那么的第14条规定“银行监管者必须确定银行是否具备与其业务性质及规模相适应的完善的内部控制制度。这应该包括对审批行业职责分配的明确安排；将银行承诺、付款和资产与负债帐务处理方面的职能别离；对上述程序的穿插核对；资产保护；完善、独立的内部或外部审计，以及检查上述控制措施和有关法律规章的遵守情况的职能。?有效银行监管的核心原那么?1997年4月巴塞尔委员会〞内部控制的目的是确保一家银行的业务能根据银行行领导制定的政策以慎重的方式经营。内部控制包括四个方面的内容：组织构造、会计规那么、“双人原那么〞、对资产和投资的实物控制。同时，?有效银行监管的核心原那么?要求银行具有完善的政策、做法和程序，包括“?有效银行监管的核心原那么?1997年4月巴塞尔委员会第二节兴旺国家商业银行内部控制实务兴旺国家商业银行在内部控制制度上一般都构建了完整的内部控制的体系框架，具有科学的现代企业组织制度，独立与权威的内部监察监视制度，明确的业务部门风险控制分工以及相互制约的关系，慎重的授权制度以及以现代电子技术为依托的电子化风险控制系统。3.2.1完整的内部控制框架兴旺国家商业银行基本上按照国际两大权威机构巴塞尔银行监管委员会和美国COSO委员会对商业银行内部控制体系的三大目标和五大组成局部构造银行内部控制的整体框架。3.2.2良好的内部控制环境〔一〕公司治理。公司治理是协调公司内部不同要素所有者的一套制度安排，其核心是协调所有者〔股东〕与经营者之间的关系。国外现代商业银行的公司治理构造是现代法人产权制度下的产物，其基本特征是：1、权责清楚，各司其职。银行内部由权力机构、决策机制、监视机构和执行机构组成。股东大会是银行的最高权力机构，它代表产权的所有者对所属银行拥有最终的控制权和决策权；董事会是银行的经营决策机构，它对股东大会负责，执行股东大会的决议；监事会是银行的自我监视机构，它对股东大会负责，依法对董事长和行长担任职务时的行为进展监视；高级管理层是银行决策的执行机构，对董事会负责，在银行公司章程和董事会授权范围内行使职权，开展银行的日常经营活动。它们之间权责清楚、相互制衡、相互协调。2、委托代理，纵向授权。在银行中，银行各层级之间是以一种委托代理关系来维持的。股东大会作为委托人将财产交董事会代理，并委托监事会进展监视。作为代理人，董事会又将银行财产委托给经理层的行长代理，从总行到分支行再到基本操作层之间，还存在假设干中间层次。这样由上至下以授权的方式在银行的各层次之间分配权力。3、鼓励与约束机制并存。国外现代商业银行的委托人通过奖金、股利和退休金等鼓励机制来促使代理人采取适当的行为，最大限度地实现委托人所预期到达的目标；同时，还通过资本市场、大股东监视和经理人员的聘任、解聘等约束机制来对代理者的行为加以制约。在日本，商业银行的监察董事〔即监事〕是总行的领导成员，向股东大会负责，对总行总裁〔行长〕及各部门负责人、分行行长实施内部监察。如日本住友银行内部风险管理与控制制度中，按风险类别分别由各个主管部门负责，并由该部门牵头，定期召开由有关职能部门参加的关联会议，进展风险分析与风险控制的讨论。在美国花旗银行的企业组织构造中，银行董事会为实际上的最高权力机构，董事会领导下的行政总裁〔行长〕负责全行的业务管理，而其业务审计部及内部审计部那么直接向董事会负责，且在全球范围内设立假设干业务审计及内部审计中心，负责本行全球业务的审计及内部管理状况审计。这种组织机构设置，使银行内部监视控制机构具有较大的独立性和权威性。美国花旗银行中国部的业务职能部门设置只要有市场部、业务部、信贷部、财务监控部、质检部等，各部门相互独立又相互制约。〔二〕授权管理。兴旺国家一般都建设严密的授权体系，以信贷授权为例，美国花旗银行对信贷风险管理中授权审批控制制度是西方商业银行中的典型、有效的模式。他包括四个方面的内容，即：审、贷别离；企业授信授权额度管理；信贷授权审批控制；三人信贷委员会批准制度。核心内容是信贷授权审批控制，该模式下，总行设立信贷政策委员会，负责审查决定信贷委员会成员资格及人选，授权给每个委员一定规模的贷款审批额度，并且规定，客户企业授信额度必须由贷款委员会中至少三个委员批准签字〔美国花旗银行中国部只有5人具有贷款签字权的信贷委员会委员〕。日本住友银行信贷风险管理中的授权审批制度可以概括为逐级授权审批制度。300亿元日元以下贷款工程，由总行审查部直接决定；300－500亿日元贷款工程报分管董事批准；500亿日元以上的贷款工程需提交董事会，由董事共同议定，数额特别大的贷款工程需通过总行经营会议决定。在全部授信额度中，总行几乎占了80％－90％。各行行长只能根据各行业务规模大小在15－20亿日元之间审批小额贷款。〔三〕企业文化。兴旺国家商业银行非常重视企业文化的培育，包括价值观、职业道德的培育和企业精神、企业形象的塑造，企业文化的其核心内容是：1、培育共同的价值观。这种价值观决定、支配着银行职工的观念、意识及行为，指导银行员工正确处理个人利益与集体利益、集体利益与社会利益之间的关系，通过这种价值观来影响银行的开展，支配、调节银行职工的行为模式，激发银行职工的责任感和主人翁精神。2、培育良好的职业道德。这种职业道德培育的核心是诚信，在诚信的根基上培育公正、廉洁、守法、服务、勤勉等职业道德。通过职业道德来调整银行与社会、银行与客户、银行与银行、银行与员工以及员工与员工之间的行为，鼓励银行员工积极向上，努力工作，约束银行职工的行为，促使人们遵纪守法、合规经营。3、行之有效的员工管理方式。兴旺国家商业银行非常重视对员工的管理，并制定了一系列措施标准员工行为。比方员工手册，让员工明确自己的责权利；员工强制休假制度，规定每个员工每年至少要连续休假超过1周以上，让员工得到休息之余，更重要的是行内的每个岗位每项业务都有被充分检查的时间和时机，可以使个人操作风险和道德风险问题得以暴露。3.2.3完善的内部监视检查体系兴旺国家商业银行内部监视检查制度一般包括3个方面：①总行业务部门对其下属分支机构业务部门的对口检查；②总行审计部门对其下属机构进展定期全面检查与不定期抽查或专项检查；③银行内部日常自查以及外聘审计、会计师进展检查。日本三和银行每年至少对其分行进展两次检查，一次由总行国际审计部进展，主要检查贷款质量问题；另一次由总行稽核部负责，对其分支机构进展全面的内部业务与管理检查。分支机构内部同样设有专门的稽核部门，负责检查每月发生的各项业务单据，检查情况直接向主管领导汇报，行长须优先解决稽核部门发现的问题。法国兴业银行每年要对其分行进展屡次检查，每3至5年要对分行进展一次全面检查，时间约持续一月。除上述诸方面外，外国商业银行内部控制制度中还有下述两项重要内容：一是会计控制制度，二是银行员工管理制度。3.2.4先进的电子化风险控制手段兴旺国家商业银行都投入巨资建设健全银行风险电子管理系统，将经营方针、政策、业务操作规程及银行经营活动，尤其是信贷管理、国际结算及衍生交易风险的识别、防范控制与化解制度措施纳入电子系统管理。为保证既定系统运行安全，尽量排除人为因素干扰，有些银行还严格实行电子管理系统设计人员、操作人员及相关管理人员别离的防火墙制度。德意志银行为了有效控制信贷管理中的失误尤其是认为因素造成的失误，将电子化控制作为银行信贷风险管理制度的有机组成局部。从而形成了从风险识别、风险控制到风险审计监视、风险挽救的事先、事中、事后全方位多层面电子化控制系统。在风险识别系统，通过电脑程序对信贷业务进展初审与评估。鉴于衍生交易的复杂性与风险性，该行Gccs系统对全球各分行每项金融衍生交易进展同步审计。在风险挽救系统，通过电脑程序，对银行风险挽救小组专家提出的方案进展模型比较分析，确定最正确挽救方案。我国商业银行内部控制现状分析第一节我国商业银行内部控制建设进程1979年以前的方案经济体制下，中国人民银行独家管理我国全部的金融业务，各银行实行统存统贷，基本上不存在金融风险的观念，对各金融机构的管理更多的是运用行政手段而不是经济手段和内部控制制度。随着经济改革的深化，我国金融业体制出现了较大的转折。经营环境发生了明显的变化：单一金融机构变成了多业务、多品种的机构；专业银行向商业银行转变，市场竞争异常剧烈，国外金融机构持续介入我国市场，国内国际经济联系的严密性加强，经济活动中的不确定因素增加。这些都使得我国金融机构开场承担来自各方面得风险，金融风险开场引起人们的重视。国外商业银行的先进管理手段被引进国内并被逐步运用。目前全球银行业及银行监管当局对内部控制日益关注，这是在一定程度上对假设干银行机构遭受大量损失后的回应。与世界上其他银行监管当局一样，多年来我国银行监管部门也非常重视银行的内部控制，并不断采取措施加强我国商业银行内部控制的评估和监视。总体上，我国商业银行的内部控制制度的建设基本可以分为三个阶段。4.1.1起步阶段〔80年代末－1996年〕提出了金融稽核的概念，建设和完善了金融企业的内部审计机构。1979年2月恢复中国农业银行，标志着中国金融改革的起步，此后，中国银行、中国工商银行和中国建设银行相继成立。该阶段的主要特征是内部控制的建设缺乏系统性，内部控制的制度建设主要集中在业务管理制度的制定上，而业务管理制度又主要集中在资产负债管理和信贷业务管理上。1994年中国人民银行分别下发了?商业银行资产负债比例管理暂行监控指标?和?商业银行资产负债比例管理考核暂行方法?。为了加强国有商业银行信贷管理，1994年至1996年期间中国人民银行又先后发布了?信贷资金管理暂行方法?、?贷款通那么?和?商业银行授权授信管理暂行方法?，对促进国有商业银行提高贷款质量，防范贷款风险发挥了积极作用。而1995年公布并实施的?中华人民共和国商业银行法?那么是此阶段最具意义的一步，它从法律的高度对国有商业银行资产负债管理、信贷管理以及财务和会计管理等提出了全面系统的要求，为我国商业银行以后的内部控制系统化建设奠定了根基。4.1.2完善和开展阶段〔1997年－现在〕该阶段的主要特征是内部控制制度在不断系统化的同时还在进一步开展。1997年东南亚金融危机给危机国家和周边国家国民经济所造成的灾难引起了各国银行监管部门对银行风险的高度重视，中国人民银行也于当年制定了?加强金融机构内部控制的指导原那么?，对金融机构内部控制目标、原那么、要素做了相关规定，是国内最早的关于商业银行内部控制的规那么；2002年9月7日，中国人民银行又对该指导原那么进展了修改和完善，形成了?商业银行内部控制指引?〔以下简称?内部控制指引?〕，旨在进一步指导和促进我国商业银行建设更加有效和完善的内部控制制度。?内部控制指引?的发布标志着我国银行业内部控制的理论和实践进入了一个新的台阶；为了进一步促进商业银行不断完善公司治理构造，2002年又相继下发了?商业银行公司治理指引?和?商业银行独立董事和外部监事制度指引?；同年又下发了?商业银行信息披露暂行方法?，要求商业银行加强信息披露，强化了商业银行内部控制的外部监管；2005年2月份我国银监会又发布了?商业银行内部控制评价试行方法?〔银监9号令〕第二节我国商业银行内部控制取得成果我国各商业银行在加强内部管理、完善内部控制方面做出了不懈的努力，并取得了一定的效果。它们在引进国外战略投资者的同时，也在学习国外兴旺国家商业银行的内部控制管理经历。国内所有的商业银行已经在管理理念上树立了“内部控制优先〞的风险防范意识，开场检查现行各项内部控制制度的整体有效性，修改了一批与业务开展不适应或存在漏洞的内部控制制度，针对内部控制方面存在的问题，采取了一些有效的控制措施，内部控制水平和风险防范能力在逐步提高。其中，中国建设银行和上海浦东开展银行率先分别在国有银行和全国性商业银行两大阵营建设了全面、全员和全流程的内部控制体系。4.2.1内部控制环境初步形成〔一〕内部控制理念开场树立在组织构造上基本建设了部门独立、业务别离、权力制衡的内部组织管理体系。精简高效有序的内部组织是内部控制的前提，内部各部门相互独立。业务合理分工、职责明确是内部控制的根基，权力制衡是决策权、执行权、监视权横向相互制约或鼎力、纵向一体化指挥控制系统的有机统一。近年来，我国商业银行通过对资金方案、财务会计、信贷管理、内部审计等管理体制改革和机构网点的调整与改革，已基本建设了相互制衡的组织管理体系。如我国国有商业银行均在现有的法人治理构造模式下，在其总行内部组织构造中，按照现代商业银行内部控制全面风险管理、集中管理和垂直管理的原那么，建设了相应的矩阵式内部控制组织构造，在其决策层建设了风险管理委员会、审计监视委员会等。并在管理层、执行层和监视层设置了具体的风险管理和监视部门，如风险管理部、合规部、审计部、监察部等。在我国股份制商业银行的组织构造中，上海浦东开展银行的组织构造较为全面地表达了现代商业银行全面风险管理的原那么。所反映的内部控制组织构造的设计业相对较为合理。风险决策和管理部门独立于其业务经营部门和支持保障部门，而其监视审计部门那么完全独立，直接对决策层中的审计委员会负责。这种管理架构能够保证银行风险管理中事前授权审批、之中执行和事后审计监视的独立性。如图4.1所示：图4.1：上海浦东开展银行组织构造图〔二〕积极探索人事和收入分配制度改革我国商业银行在开展过程中，逐渐认识到现代商业银行的竞争是人才的竞争。各行坚持以人为本，充分重视人才资源的开发利用，不同程度地对人事管理制度进展了改革，如中国建设银行近几年先后施行了干部聘任制、劳动合同制、目标责任制、竟聘上岗制等新地人事管理机制，同时在招聘、培训、评价、考核干部和员工方面也制定了一系列的政策，对于激发员工的积极性，提高工作效率，加强内部控制起到了非常重要的促进作用。4.2.2全面风险管理体系逐步深入为了全面增强风险管理水平，早日到达巴塞尔协议的要求，我国商业银行先后提出了全面风险管理的目标和理念。逐步建设以资本对风险的约束为根基，以业务开展与风险控制相适应、风险收入与风险成本相匹配为基本原那么，以加强根基管理为重点，对各主要业务全流程涵盖的信用、市场、操作等各类风险的技术先进、制度健全、执行有效的全面风险管理体系。同时注重对风险的科学评估工作，如中国建设银行的风险控制委员会和风险管理部对影响银行实现经营目标的内外部因素进展分析和评估，注重从区域、行业、集团客户以及宏观政策变化等角度对全行所有信贷资产以及信贷经营各环节进展全面的、系统的风险监测、分析、预警和评估，推行信贷资产风险分类，随后又对非信贷资产进展了清理，全面摸清各类资产的质量状况。4.2.3经营与管理活动的控制不断加强(一)强化一级法人体制，建设法人授权授信制度从1997年开场，我国四大国有商业银行建设了统一法人集中管理体制，对分、支行的进展授权，有效地防范和化解了风险，为以后的垂直化管理建设了根基。(二)加强资产负债管理，强化内部管理活动各家商业银行都建设资产负债比例管理的监测制度，对下属分支行实施综合考评，初步建设了全面、客观、科学的经营管理评价和绩效考核的指标体系，并以考核结果作为调整下属机构内部等级和经营权限的主要依据，同时还与业务授权、资源分配、单位评先、干部任免、工资晋级及奖金发放等直接挂钩。如中国建设银行实施的综合经营方案，改变了传统分散式多目标方案管理协调性差而出现的脱节和摩擦，将业务经营集约化程度推向了更高水平。〔三〕改革财务管理体制，强化财务管理与控制首先，集中财权，实行分级分类授权管理，将对外捐赠权、直接投资权、固定资产购、建、租、修集中到总行管理，在横向控制上，将财务收支纳入本级财务统一管理，解决多头管理，财权分散的问题，在纵向上，在全行统一预算、统一盈亏的前提下，从总行到基层行实行分类分级授权；其次，完善财务制度，细化花财务管理，改变局部财务的核算方式；再次，逐步建设起统一预算、分类授权、全面考核、明确奖罚的财务管理体制。〔四〕强化信贷责任约束，加强信贷风险管理逐步完善信用风险防范机制，强化审贷别离，由贷款专职审批人统一审批贷款和其他授信业务，实现贷款审批专业化并保持独立性。加强对信贷风险的监测与控制，增强贷款责任约束。〔五〕推行会计集中管理，逐步完善会计控制我国商业银行实行会计电算化以后，逐步建设了统一集中的会计管理制度，加强会计检查和集中稽核。按照会计根基标准化管理的标准，实行会计网点的达标升级机制，进一步加强了会计根基工作。中国工商银行和中国建设银行先后开发和运用城市综合业务网络系统，在提高了资金清算速度的同时也大大降低了错帐率。中国建设银行还推行会计主管委派制，加大对营业机构的监控力度，确保了财务会计信息的真实准确。〔六〕建设、健全内部规章制度，标准经营管理活动最近几年，我国商业银行在内部规章制度的建设和完善方面做了大量工作，规章制度基本上覆盖了各项经营和管理活动的，是实施内部控制的有效手段。4.2.4信息科技化建设步伐加快为了加强信息的传递和沟通，我国商业银行绝大多数建设了企业内部网，如中国建设银行开发了CMIS系统、人力资源管理系统、OA系统等，从基本上改变了传统的信息观念和工作方式。同时制定了一系列的制度用于加强计算机安全管理工作和计算机设备管理工作，保障了银行业务信息和商业机密的安全。4.2.5内部审计监视制度初显成效内部审计是内部控制再监视的重要执行机构。近年来，我国各商业银行再改革审计体制方面均采取了一系列措施。如中国建设银行在总行设立审计部，并按区域下设八个审计分部，同时各一级分行设立总审计室，总审计室派出审计办事处行使审计职能，审计机构和人员设置由审计部和总审计室直接决定，不受当地行的领导，实现了由总行垂直领导和相对独立的内部审计监视体系。另外，改革审计手段，在原有现场审计的同时，引进了以电子化数据处理为手段、以综合风险分析为内容的非现场审计方法，提高了审计效率。在审计方向上，也转变了审计重点，由原来的合规性审计转变为风险性和合规性并重、以风险为导向的增值型审计，扩大了审计范围，初步建设了独立、权威的内部审计监视制度。第三节我国商业银行内部控制存在问题近年来，随着监管部门对商业银行监管的强化以及商业银行自身改革的深入，内部控制机制建设越来越受到我国商业银行决策者的普遍重视，我国商业银行基本上建设内部控制制度，并取得了一定成效，但是银行内部控制仍还很不完备，案件频频发生，下面就我国商业银行内部控制存在的问题分别从内部控制五大要素出发进展分析。4.3.1公司治理构造不健全尽管我国商业银行先后按照现代企业制度的模式建设了股东大会、董事会、监事会等机构，并制定了相应的议事规那么，但其内涵和经营机制距离有效的法人治理构造要求还有很大的距离，尚处于“形似神不似〞的阶段。2005年3月12日，中国?银行家?杂志在北京举办中国商业银行竞争力排名新闻发布会，公布了中国银行业竞争力排名榜单，这是国内第一次由商业研究机构独立研究并发布的商业银行排行榜。根据?银行家?对各家商业银行现实竞争力和潜在竞争力点评看，十四家银行中，广东开展银行、中信实业银行、中国光大银行、中国工商银行、深圳开展银行等五家银行的公司治理机制影响了这些银行的潜在竞争力。其中个别银行甚至存在严重缺陷，具体表现为由于企业内部权力界限划分不清等原因，造成股东大会、董事会、监事会和高级管理层的职权在一定程度上被架空，商业银行人事选聘、经营决策中发挥着至关重要作用的是党委。银行高级管理人员的选聘过程主要由上级党委决定，如交通银行由中组部决定，兴业银行由福建省委决定，上海浦东开展银行由上海市委决定，上级党委在人事选聘上直接取代了现代银行制度中本应由董事会行使的职权。同样，银行分支机构的负责人由银行党委集体研究决定，许多商业银行的重大经营决策也由党委会决策，党委会与董事会、行长办公会的职权划分上不清晰，影响了公司治理的有效性。4.3.2内部组织构造不科学我国商业银行存在内部组织构造不科学，权利制衡失灵的现象。首先，我国许多商业银行按照行政区划层层设置分支机构，导致分支机构体系庞大、层次过多，对地方政府依附性较强，不符合市场经营原那么，对整个系统难以实施有效的控制。第二，我国商业银行组织体系中管理机构多、经营机构少，如国有银行从总行到地区中心支行都是管理机构，机构的链条过长，整个体系缺乏效率，增大了费用成本，给内部控制带来很大难度。第三，总行与分支机构之间、部门与部门之间分工不明确，缺乏严格的授权管理和集体决策程序，一些银行给分支机构的权利过大或授权不清、责任不明，造成分支机构滥用权利，引发巨额资产风险。目前国内一些商业银行内部职责不清，支行行长权利过大，上级行对下级行缺乏有效控制，局部基层行长可以凭借财务管理和核算管理大权掌控银行的内部资金以及银行与客户见的清算过程，指使内部人员共同作案的种种弊端。如中国银行广东开平支行前后三任负责人通过伪造贷款文件和其他方法，从1992年到2001年共非法占有支行4.85亿美元的银行资产，造成国家巨额损失。4.3.3内部控制文化不深入尽管内部控制文化建设已得到越来越多的商业银行的认同，但商业银行在创立内部控制文化方面仍存在以下问题。一是商业银行在内部控制文化的建设上仍存在认识上的偏差，对加强内部控制文化建设的重要性认识缺乏，有些银行将内部控制文化的培育工作还停留在标语、口号的形式阶段，没有实施切实可行的措施，更没有使其渗透到每个员工的意识中，没有将文化真正转化为企业的财富。二是商业银行并未将内部控制文化建设当作一项重要的管理工作来抓，其基本原因在于对内部控制文化的内涵和实质缺乏深刻的认识，从而使内部控制文化培育深度和广度还远远不够。而最突出的问题是盲目追求文化的形式，未表达出文化的内在价值和理念，造成了内部控制文化的建设难以持续进展，是内部控制环境充满障碍。三是在商业银行内部控制文化建设中普遍存在共性的东西较多，个性和特色的东西较少的情况，其内容空洞、单调，，未突出不同银行自身鲜明的个性和特点。4.3.4内部控制制度不完善产生商业银行内部控制问题的另一个重要原因是内部控制制度本身的不完善以及体系内的相互脱节，具体表达在：〔一〕缺乏内部控制制度的有效执行机制我国商业银行局部内部控制制度的执行机制缺乏效力。如中国农业银行虽然严格规定信用业务的调查和审查必须别离，但2004年该行黑龙江省某支行发放一笔500万元贷款时，由于贷前调查人员休假，该支行的贷款审查人员兼任该笔贷款的调查人员，审贷未别离给该人员带来和企业联合骗贷的作案时机，银行贷款发生损失；又如兴业银行明确规定行长不能干预信用审查委员会的贷款审查决议，但是2003年该行就曾经内部通报了一家分行行长在贷审会两次否决的情况下召开行长办公会议，强行审议通过信贷工程造成信用风险。由此可见，银行制定内部控制的制度后，必须要建设一个强有力的执行机制保障其顺利有效地实施，否那么就可能发生有章不循、内部控制出现严重失控的情况。〔二〕缺乏赏罚有度的鼓励约束机制首先，我国商业银行对经营机构的考评制度不合理。目前国内商业银行内部的考评方法，大多存在重业务开展，轻内部控制管理的问题，存款、利润、利息实收率、不良贷款降低率等主要指标只要是正增长，考评得分就高，就能直接影响经营机构的绩效，对经营机构是否违反内部控制的情况在综合考评中很少表达，考核的指挥棒效应造成经营机构重业务开展，轻内部管理。其次，我国商业银行对业务操作人员缺乏有效责任机制。目前有的银行不仅对违规违纪人员缺乏明晰的处分条款，更无相应的执行主体，如多年以来我国局部商业银行信用业务的调查、审查、放款审核、审批、贷后管理等流程缺乏明确的制度约束，对信贷人员放款造成风险损失的处理缺乏制度规定，致使有关人员的责、权、利脱节，信用责任无法建设，贷款风险无法得到控制。最后，我国商业银行未建设对管理者的问责机制。我国银行的内部控制制度往往是"控下不控上"，对主要负责人和决策管理层的约束主要靠他们的觉悟程度和思想道德约束，忽略了每一个管理者是否都具有很强自我约束的能力；另一方面，银行的管理人员凭借其地位常常处于垄断信息的优势地位。这样一来在缺少自我约束和外在控制措施的条件下，就会出现因为个别银行管理人员滥用手中权力而给银行造成重大损失的情况。如2002年6月，中信实业银行南京分行某支行行长挪用公款8500万元用于个人炒股，就是银行管理人员权利失控的佐证。〔三〕没有做到内部控制先行市场竞争剧烈，产品创新层出不穷，但我国局部商业银行在业务开展前缺乏细致的规划和研究，仅作原那么性规定，摸着石头过河；各级机构又根据不同的市场环境和不同的利益目标开展业务，致使在同一银行同一业务的操作方式五花八门、千奇百怪，这既不利于统一管理、控制风险，又增加了管理和监视成本。4.3.5风险控制系统不兴旺风险控制是我国银行业内部控制制度的一个比较明显的薄弱环节。局部商业银行虽然