浅谈商业银行的内部控制与风险管理

PAGEI毕业论题目浅谈商业银行的内部控制与风险管理-由中国农业银行邯郸分行盗窃案引发的思考英文题目OntheCommercialBank'sInternalControlAndRiskManagement-ThinkingfromtheTheftofHandanBranchoftheAgriculturalBankofChina

毕业论文（设计）《选题报告》院（系）：商学院学生姓名论文（设计）题目浅谈商业银行的内部控制与风险管理—由中国农业银行邯郸分行盗窃案引发的思考题目来源及意义努力建立健全科学的商业银行内部控制结构以完善商业银行风险管理机制，是当前我国商业银行改革的重要目标。2007年，中国农业银行邯郸分行发生的特大金库盗窃案成为了人们谈论的焦点话题，而犯罪嫌疑人任晓峰、马向景作为该农行金库的管库员，能从设防严密的银行金库盗出5100万元现金，充分暴露了中国农业银行邯郸分行金库管理的脆弱，也再次对我国商业银行内部控制与风险管理敲响了警钟。在和指导老师交流之后，认为论文题目作为当前讨论的一个热点话题，具有一定的现实意义，于是选择了这个论文题目。商业银行内部控制与风险管理体制的不完善，不但加大了商业银行经营风险，在一定程度上也阻碍了商业银行体制改革进程。找出商业银行在内部控制与风险管理方面存在的问题和不足，借鉴国内外先进技术和经验，促进我国商业银行内部控制与风险管理体制的完善和发展，具有一定的现实意义：（1）保证银行资金安全，降低商业银行经营风险。（2）促进商业银行体制改革的顺利完成。（3）提高商业银行在国际金融市场的核心竞争力。论文题目研究领域状况在探讨商业银行为何会出现内部控制与风险管理的问题时，一些主流经济学家认为出现这些问题的原因在于商业银行本身的脆弱性，这是由商业银行经营的高负债与高风险的特点所决定的。而在内部控制体制不健全的情况下这些弱点又会不断放大，从而引发巨大的风险。1987年美国注册会计师协会(AICPA)、美国会计师协会(AAA)、高级财务经理协会(PEI)、内部审计协会(IIA)、以及管理会计师协会(IMA)共同赞助成立了一个专门研究内部控制问题的委员会，即C0SO。1992年COSO《内部控制一整体框架》的报告，提出由“内部控制系统”的概念来代替“内部控制结构”，并提出内部控制系统由控制环境、风险评估、控制活动、信息和沟通、自我评估和内部监督五部分组成。在COSO及巴塞尔委员会的带动下，针对商业银行内部控制与风险管理的一系列问题，学术界也提出了不少方案或措施，例如在风险评估方面，提出了以VaR（valueatrisk）为代表的一体化的风险评估模型和风险调整的资本收益法（RAROC，risk-adjustedreturnoncapital）。内容提要或实施方案论文写作的大体结构如下：第一章商业银行内部控制与风险管理概述第二章我国商业银行的内部控制与风险管理的现状及存在的问题分析第三章完善商业银行的内部控制与风险管理的措施方案：2007.10.152008.01.22写出论文大纲2008.03.0103.25写作论文初稿2008.04.0104.25写作论文第二稿2008.04.2505.19修稿、定稿OntheCommercialBank'sInternalControlAndRiskManagementThinkingfromtheTheftofHandanBranchoftheAgriculturalBankofChinaABSTRACTThelargetreasurytheftthathadhappenedinAgriculturalBankofChinaHandanbranchwhichmadetheinternalcontrolandriskmanagementofcommercialbanksbecomeafocaltopic,andonceagainletpeoplerealizetheweakintheinternalcontrolandriskmanagementofcommercialbanksinChina.Thelackofgoodinternalcontrolenvironment,riskidentificationandassessmentsystemisnotperfect,theurgentneedtoimproveinternalcontrol,informationsystemconstructionisimperfect,andtheinternalauditworkisstillneededtobeimprovedinChinesecommercialbankswhicharethemainproblemsofinternalcontrolandriskmanagementaspectsofthecommercialbanksinchina.Theseproblemswillnotonlyincreasetheriskoftheoperationofcommercialbanks,butalsowillhinderthesystemreformprocessofcommercialbankstoacertainextent.ThispaperwillfindthemeasuresorcountermeasuresofhowtoimprovetheinternalcontrolandriskmanagementwiththenationalconditionsofChinesecommercialbanks,throughtheanalysisonpresentconditionandproblemsofinternalcontrolandriskmanagementofcommercialbanks.【KeyWords】Commercialbank，Internalcontrol，Riskmanagement目录引言 1第一章商业银行的内部控制与风险管理概述 21.1商业银行内部控制概述 21.2商业银行风险管理概述 41.3商业银行的内部控制与风险管理的关系 5第二章我国商业银行的内部控制与风险管理存在的问题 72.1缺乏良好的内部控制环境 72.2风险评估管理体系不健全 92.3内部控制措施亟需完善 102.4信息系统建设仍存在许多问题 102.5内部审计工作仍需改进 11第三章完善商业银行的内部控制与风险管理的措施 133.1努力创建良好的内部控制环境 133.2建立和完善商业银行风险管理体系 153.3完善内部控制措施和制度建设 163.4建立可靠和高效的信息系统 163.5强化对商业银行的监督评价与内部审计工作 173.6增强对商业银行的外部监督与政策引导 18结束语 20参考文献 21致谢 错误!未定义书签。引言2006年10月13日至2007年4月14日，任晓峰和马向景伙同赵学楠、张强等人利用看管金库的便利条件，在短短半年的时间里，先后多次从金库盗取人民币总计近5100万元。在投入巨额资金买彩票未中奖的情况下，犯罪嫌疑人任晓峰、马向景仓皇潜逃。2007年4月18日马向景在北京被警方抓获，19日任晓峰在江苏连云港被捕。2007年4月23日农行通报处理决定，责令农行河北省分行行长瞿建耀辞职，免去两名副行长职务，邯郸分行现金管理中心所有在岗员工下岗接受审查。2007年9月19日，任晓峰、马向景终审被判处死刑，赵学楠、宋长海、张强分别被判处有期徒刑五年、三年、二年。至此，发生在河北邯郸的自新中国建国以来最大的银行金库盗窃案终于落下帷幕。案件的发生引起了银行业对资金安全的高度重视，并逐渐认识到内部控制与风险管理的重要性。随着经济全球化以及我国社会主义市场经济的不断发展，商业银行的经营管理不可避免地面临国内、国际金融市场的激烈竞争，商业银行的内部控制水平已经逐渐成为其核心竞争力，而内部控制制度的建设和完善是一个艰巨性、复杂性和长期性的工作，因此，研究并加强商业银行的内部控制与风险管理的体制建设具有非常深远的现实意义。本文将从商业银行的内部控制与风险管理的基础理论入手，透过农行邯郸分行盗窃案探究商业银行在内部控制与风险管理方面存在问题和不足，并结合我国的实际情况，提出相应的对策或措施，以促进我国商业银行内部控制与风险管理体制的完善和发展。第一章商业银行的内部控制与风险管理概述1.1商业银行内部控制概述1.1.1商业银行内部控制的含义内部控制是一个应用范围很广的概念，它被广泛的应用于各类企业的管理。对商业银行而言，“内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制和事后监督与纠正的动态过程和机制。”=1\*GB3①《商业银行内部控制指引》=1\*GB3①《商业银行内部控制指引》.中国人民银行，2007年7月从商业银行内部控制的定义可以看出，内部控制是商业银行经营管理过程中的一种自律行为，是银行为了防范风险，对内部各职能部门及工作人员所从事的业务活动进行风险控制、制度管理和制约的方法、措施、程序的总称。=2\*GB3②任远.《商业银行经营管理学》.北京：科学出版社，=2\*GB3②任远.《商业银行经营管理学》.北京：科学出版社，200商业银行内部控制构成要素对于内部控制的构成要素，COSO=3\*GB3③=3\*GB3③COSO:CommitteeofSponsoringOrganizationsoftheTread-wayCommission,一个专门研究内部控制问题的委员会表1-1要素COSO巴塞尔委员会中国人民银行1控制环境管理层监察与控制文化控制环境2风险评估风险识别与评估风险识别与评估3控制活动控制活动与职责分离内部控制措施4信息与交流信息与交流信息交流与反溃5监控监控活动与缺陷纠正监督评价与纠正机制结合我国的国情与实际需要，本文将中国人民银行对内部控制的理解作为分析重点，即商业银行内部控制系统是由五个相互联系、相互制约的要素组成，它们分别是控制环境、风险识别与评估、内部控制措施、信息交流与反溃，监督评价与纠正机制。（1）控制环境控制环境是整个内部控制系统的基础，是影响商业银行内部控制作用发挥的各种内部因素。控制环境不是直接表现为控制措施或活动，而是表现为控制文化、氛围以及人的控制觉悟、意识等。（2）风险识别与评估对风险的识别与评价构成风险活动的基础，风险识别与评估是识别、评价和计量影响商业银行经营管理目标实现因素的过程，它为控制活动指明了方向。（3）内部控制措施内部控制措施是商业银行内部控制系统的核心，是具体实施内部控制的过程，包括确定指标、直接管理、高层检查、信息加工、分级授权、实物控制、职责分离等内容。（4）信息交流与反溃信息交流与反馈为各个要素的沟通，引导内部控制系统有效运行，确保控制目标的实现提供信息支持。（5）监督评价与纠正机制监督评价与纠正处于内部控制系统的最顶层，它是董事会、高管层、业务部门对内部控制的管理监督和审计部门对内控的再监督、再评价与纠正偏差活动的总称。=1\*GB3=1\*GB3①谢荣，钟凌.《商业银行内部控制系统研究》.上海：经济科学出版社，200商业银行内部控制的原则依照《加强金融机构内部控制的指导原则》的要求，在内部控制建设方面，商业银行应遵循以下原则：（1）全面性原则内部控制必须覆盖到商业银行的各个操作环节和各种业务过程，不仅要要求全体员工参与，而且任何决策或操作均应当有案可查。（2）独立性原则内部控制的检查、评价部门必须独立于内部控制的建立、执行部门，直接的操作人员和直接的控制人员必须适当分开，并向不同的管理人员报告工作；在存在管理人员职责交叉的情况下，要为负责控制的人员提供可以直接向最高管理层报告的渠道。=1\*GB3=1\*GB3①任远.《商业银行经营管理学》.北京：科学出版社，2004.8（3）有效性原则各种内部控制制度必须符合国家和监管部门的规章制度，必须具有高度的权威性，必须真正落到实处，执行内部控制制度不存在任何例外，任何人（包括董事长、总经理）不得拥有超越制度或违反规章的权力。（4）审慎性原则内部控制的核心是有效防范各种风险，任何制度的建立都要以防范风险、审慎经营为出发点。（5）效益性原则商业银行应权衡内部控制的成本与效益，在充分考虑商业银行实际情况和自身特点的基础上，要尽可能以最小的成本达到有效控制和防范风险的目的。1.2商业银行风险管理概述1.2.1商业银行风险的定义一般认为，风险就是一种不确定性，风险具有客观性、不确定性、可预测性、不利性以及收益的对称性=2\*GB3②刘立峰.《宏观金融风险》=2\*GB3②刘立峰.《宏观金融风险》.北京：中国发展出版社，2000。商业银行风险是指商业银行在经营活动过程中，由于事前无法预料的不确定因素的影响，使商业银行的实际收益与预期收益产生偏差，从而蒙受经济损失和获得额外收益的可能性。=2\*GB3=2\*GB3②任远.《商业银行经营管理学》.北京：科学出版社，2004.8。商业银行作为经营货币信用业务的特殊企业，最显著的两大特点就是高负债经营和无抵押负债经营，这决定了商业银行是一种具有巨大内在风险的特殊企业。可以毫不夸张的说，商业银行风险存在于银行业务的每一个环节，商业银行提供金融服务的过程实际上就是一个承担和控制风险的过程。1.2.2商业银行风险管理理论的发展商业银行是在管理和控制风险的过程中实现盈利和发展的，而商业银行风险管理理论正是商业银行业务发展和人们对金融风险认识不断加深的产物。最早的商业银行风险管理主要偏重于资产业务的风险管理，认为资金来源的结构与水平是商业银行不可控制的外生力量，银行必须通过资产方面的项目组合与调整来保持银行资产的流动性，以实现商业银行的经营目标。这体现了当时商业银行以贷款等资产类业务为主要业务的特征。20世纪60年代以后，非银行金融机构的大量出现使得商业银行稳定的资金来源受到多方面的冲击与威胁。为了主动寻求资金来源，实现业务规模的扩大，商业银行不得不通过金融创新去面对激烈的市场竞争，银行风险管理的重点也不得不转向负债风险管理方面，通过主动借入资金来保持或增加资产规模和收益，资产负债风险管理理论也由此应运而生。20世纪90年代后，国际银行业在金融全球化、分业经营壁垒消除、金融机构之间竞争加剧以及金融创新此起彼伏的时代背景下，面临的风险与日俱增，风险的来源也更加多样化、复杂化。在这样的情况下，资产负债风险管理方法自然得到了进一步的发展，一些内部风险测量与资本配置模型开始在一些跨国银行当中建立起来，比较典型的有在险价值法（VAR，valueatrisk）和风险调整的资本收益法（RAROC，risk-adjustedreturnoncapital）。无论是在风险管理的手段、内容还是组织形式上，风险管理在近20年的飞速发展中都发生了很大的变化。现代风险管理理论的系统性、科学性和复杂性都远非二三十年前可比。1997年诺贝尔经济学奖得主，美国著名经济学家默顿就将风险管理理论与货币的时间价值、资产定价并列为现代金融学的三大支柱。1.3商业银行的内部控制与风险管理的关系事实上，大多数人对风险管理与内部控制两者的关系在认识上有所差异。一种观点认为，内部控制的范围远大于风险管理。这是因为内部控制处于比风险管理更高的层次之上，而商业银行风险管理的全部活动都在内控的监督评审之下。虽然内部控制是商业银行更本质的内容，但内部控制并不负责风险管理目标的具体设立，它负责的只是风险管理过程中间及其以后的重要活动。比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。另一种观点认为，国际银行业正在进行的全面风险管理涵盖内部控制的内容，其理由是COSO在2004年的《全面风险管理框架》中提出全面风险管理目标，与内部控制三大目标相比，增加了战略目标，全面风险管理的八大因素（内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控）中除了内部控制强调的五个要素外，还增设了目标设定、事件识别和风险对策等三个要素。就目前我国商业银行的发展情况而言，内部控制和风险管理所关注的侧重点正趋向一致。商业银行的内部控制更多地着眼于建立和完善内部管理体系、理顺流程、实施职责分离以及横向相互监督制约的机制，防范银行从业人员的个人道德风险。风险管理则更多着眼于管理体系和流程的再造，并通过完善风险管理政策和技术体系来实现与收益平衡的战略目标。而在商业银行公司治理机制不断完善的情况下，二者的目标实际上是殊途同归。第二章我国商业银行的内部控制与风险管理存在的问题在2005年至2006年下半年的近两年时间里，我国商业银行累计发生各类案件1769件，涉案金额817709万元，总共处理涉案人员1887人，追究有关责任人6624人，其中2328人为各部门领导，特别是2007年4月中国农业银行邯郸分行盗窃案的发生，再次暴露了我国商业银行在内部管理、内部控制方面所存在的褚多问题。2.1缺乏良好的内部控制环境有效的内部控制系统是以良好的控制环境为基础的，内部控制系统功能发挥的过程是内部控制系统与控制环境相互作用的过程。本部分将从产权制度、组织结构、员工素质、风险意识等几个方面分析我国商业银行内部控制环境存在的问题。2.1.1产权制度存在缺陷商业银行产权制度由商业银行既定产权关系和产权规则构成，合理的商业银行产权制度应具有明确交易界限、规范交易行为、形成稳定预期、提供激励约束以及提高资源配置效率等功能。在股份制改革前，我国的四家国有独资商业银行,产权为单一的全民所有，国家代表全体人民来行使所有者权力,名义上的产权主体是代表国家所有的政府,而实际的占有、使用银行财产的是银行主管和员工,但他们只是作为银行的经营者,并不是真正拥有银行财产权利的法人。虽然国务院在2002年已向国有商业银行派出了监事会,但产权关系模糊、产权主体虚设的问题并没有得到根本解决。由于缺乏所有者监督,经营者亦缺乏利益机制的驱动,难以实现利益的激励兼容,导致银行经营效率低下,内部控制缺乏动力,不良资产居高不下。这次发生自新中国建国以来的最大银行金库盗窃案的中国农业银行，正是四大国有商业银行中唯一还没有完成股份制改革的国有商业银行。以此看来，农行邯郸分行发生这起员工监守自盗的盗窃案恐怕也并非只是偶然。2.1.2组织结构设置不合理在我国，无论是国有独资商业银行，还是股份制商业银行、城市商业银行，内部组织结构和经营管理机制几乎完全相同，他们在组织结构上存在的问题也具有相似性。具体表现在以下两个方面：一是法人治理结构不健全，内部组织机构设置行政化倾向明显，导致权利被滥用。法人治理结构是指所有者、董事会以及高级管理人员按照国家法律规定的责任、权利关系，在所有权与经营管理权相分离的条件下所构成的组织结构。=1\*GB3①成晓霞.《新法人治理结构》.\o"查找关于\"政法大学出版社\"编写的图书"政法大学出版社=1\*GB3①成晓霞.《新法人治理结构》.\o"查找关于\"政法大学出版社\"编写的图书"政法大学出版社，2000.2二是管理层次过多，导致管理效率低下。我国商业银行由于历史的原因，分支机构按行政区划层层设置，管理层次多达三、四级，这种多级决策一级经营的纵向组织结构存在很大的弊端：一是决策层次过多，管理跨度太大。信息的传递环节太多，不仅会影响指令的下达速度，更会严重影响到贯彻落实的质量；更为严重的是，个别员工为了自身利益，往往会隐瞒一些实情，这种信息的“不对称性”最终必然导致商业银行内部控制机制变形甚至失灵。二是内部职能部门之间分工不明确，职责相互交叉，管理的重复和“盲点”同时存在，各个部门之间缺乏整体协调、配合和制约。农行是全国分支机构最多的商业银行，由于分支机构庞大、层次过多，机构的链条过长，组织结构设置的不合理给其资金安全带来了巨大隐患，邯郸分行盗窃案发生，正是这些问题的又一次集中体现。2.1.3员工素质仍需提高任何制度的建立和执行都要靠人来完成，部分商业银行员工素质不高成为制约内控管理水平的主要因素。我国商业银行虽然也比较重视对员工素质的控制，但仍然暴露出不少问题：一是对员工培训不够重视，员工缺少必要的岗位培训；二是缺乏具有竞争和激励机制的分配制度；三是员工轮岗和强制休假等制度执行不严。从里森越权交易导致高达10亿美元的巨额亏损而致使有着233年悠久历史的巴林银行发生财务危机而倒闭，到中国农业银行邯郸分行任晓峰、马向景等人监守自盗5100万元人民币大案，员工的素质是整个事件的关键性因素。因此，如何提升银行员工的职业道德素养，仍然是一项非常艰巨的任务。2.1.4风险控制意识不足，风险管理意识不强我国商业银行特别是国有商业银行缺乏良好的风险控制和风险管理意识，主要表现在两方面：一是管理层对内部控制建设缺乏应有的重视。有些管理者把内部控制完全等同于内部审计，却忽视了岗位之间相互制约和业务部门检查监督这两道防线的作用；还有的银行建立内控制度只是为了应付外部检查，对控制制度是否严格落实执行以及内控运行的有效性则关注不多，让内控制度建设只是流于形式。二是银行员工对风险的防范意识淡薄，缺乏风险责任意识，下级管理人员认为风险防范是上级的事，员工认为风险防范是管理者的事，银行员工缺少责任教育，缺乏起码的戒备意识与戒备心理。在农行邯郸分行盗窃案中，任晓峰和马向景等人在长达半年的盗窃过程里盗窃了5100万的资金，面对巨额的现金流失，会计部门和财务部门竟没有发现，可见该银行相关工作人员风险防范意识之淡薄。2.2风险评估管理体系不健全20世纪90年代以来，随着我国经济实力的发展壮大和我国金融体制的改革开放，我国商业银行风险管理的水平得到了一定的发展和提高，但仍有许多不足之处。2.2.1风险评估与管理能力缺乏我国的商业银行虽然大多数也设立了专门的资产风险管理部门，但其职能单一，大多只负责事后对已经形成的不良信贷资产的清收、保全、审核，而不是真正意义上对银行各种风险进行全面的、适时的风险评估和管理的专业部门。同时，业务风险的管理还分散在不同的部门，缺乏统一的协调和管理，风险评估与管理的工作就更难以顺利完成。最后，大多数商业银行缺乏专业的风险管理经理和金融工程师，整体风险的把握与评估能力不强。2.2.2风险控制系统不健全目前，我国商业银行尚未建立完善的风险管理系统和内部风险评估模型，主要表现在以下几个方面：（1）可行性的风险管理模型尚未构建完备。目前,商业银行风险防范与控制主要停留在手工的定性分析阶段,定量分析工作难以展开,尚未设计和构建风险评估模型对风险进行实时监控。（2）风险评估对象主要局限于信用风险,对一些新业务和其他风险缺乏必要的风险分析,尤其对会计风险的防范相当滞后。（3）商业银行对业务的风险控制多依赖于人为的检查监督，各银行目前仍未在内部控制制度中建立起一套自动、高效、规范的计算机风险控制系统。2.3内部控制措施亟需完善近年来，我国的商业银行在人民银行的推动下，越来越重视风险控制，对重要业务和高风险业务建立起一系列的风险控制措施和制度。但就目前而言，我国商业银行在内部控制措施方面还有不少问题亟需完善：（1）内控制度存在盲点，制度建设严重滞后。商业银行要想维持正常经营，就必须建立基本的规章制度，在制度建设当中，许多地方依然还存在着盲点，或者虽有制度，但制度设计却漏洞百出。同时，随着新业务发展和创新速度的加快，内控制度不适应形势的需要，与制度滞后形成矛盾。（2）制度贯彻十分不力。许多规章制度只是流于形式，发了文件不去落实，一旦遇到问题，原则性讲得少，灵活性讲得多，以各种理由加以变通和回避，甚至对规章制度视而不见，有章不循。结果，本来就不多而且还存在漏洞的制度，在实际工作中还得不到认真执行。在农行邯郸盗窃案中，明明规定银行相关工作人员之间不得私自替岗、串岗,但越权行为却还是经常发生，让人匪夷所思的是，在这长达半年的盗窃过程中，任晓峰和马向景等人所盗之钱全部是用麻袋从银行大厅运出，却没人注意并发现举报。有章不循、检查监督不力，是商业银行经营风险增加，发案率不断增高的最直接最根本的原因。2.4信息系统建设仍存在许多问题从银行的角度看，有用的信息是指相关、可靠、及时、可获得的并保持一致格式的信息，它包括内部的财务、经营和遵循性方面的数据，还包括与决策相关的外部市场信息。=1\*GB3①宋良荣.《商业银行内部控制》.上海：立信会计出版社，2006.7足够的信息与有效的交流与沟通是内部控制系统正常运行的关键。而我国商业银行的信息系统无论在信息的收集、加工、处理、传递还是在信息系统的=1\*GB3①宋良荣.《商业银行内部控制》.上海：立信会计出版社，2006.7（1）会计信息失真严重。我国商业银行因各种原因,存在着资产、负债、所有者权益、收入、费用等会计要素不真实的现象,特别严重的是一些分支机构甚至有随意修改会计报表,虚增资产、负债和所有者权益,违规经营和存在巨额账外资产等严重问题。（2）信息传递效率低下。尽管我国的商业银行大多建立了内部办公系统和公文流转系统，但信息依然完全是靠金字塔式的组织形式逐级完成传递,信息要通过储蓄所、县支行、二级分行、一级分行、总行等多个层次,且主要是以会议、文件等形式来传递。由于机构的层次过多、链条过长,从而导致信息传递缓慢、效率低下，最高管理层的指令难以准确传递到基层,基层的管理活动也难以真实反馈到最高管理层。（3）信息安全存在问题。随着网络技术的发展，银行等金融机构的信息系统基本是以网络这个巨大的平台来支撑的。除了自然环境及其它无法预料的因素之外，银行工作人员的失误和破坏也给我国商业银行的信息安全问题带来了巨大隐患。比如银行内部职员可能无意间造成信息的损坏，又或者有的金融机构对技术管理人员缺乏约束，造成信息的破坏或丢失。2.5内部审计工作仍需改进近年来，商业银行各级内审部门通过内部审计和监督，在规范各项业务、有效防范风险、纠正违规问题、强化商业银行内部管理、确保实现经营目标等方面均发挥了很大的作用。随着我国金融改革的稳步推进，银行业金融机构公司治理结构不断完善，风险管理意识不断增强，监督评价与纠正机制也越来越受到各经营管理层的重视，内部审计的地位也有所提高。但是与国际银行业相比，我国银行业金融机构的监督评价与纠正机制，尤其在内部审计工作方面还有不少地方需要改进。（1）内部审计组织设计不合理，监督工作缺乏独立性。虽然我国的商业银行已经开始了跨地域设立审计监督中心的实践，但从整体上看内部审计部门仍然普遍被置于总行和各级行行长的管理之下，内部审计部门人员的劳动人事关系、工资福利、费用开支等都在本级行,并且稽核部门对审计查出的问题不经行长同意就不能上报,不能独立做出决定，在这种不符合内部审计独立性原则的组织体制下，内部审计人员很难独立、客观、公正地开展工作。（2）内部审计的方法有待完善。我国商业银行内部审计方法还主要局限在业务的专项审计和突击检查等实质审计的范畴,主要是以事后监督为主,内部审计事前、事中监督的作用还不明显。由于审计工作量大和人手紧张,审计范围和审计深度都受到限制,而且审计部门仍然主要采用详细审计或依赖审计者个人经验判断的抽样审计方法，详细审计往往造成审计期限长、成本高、效率低下；依赖审计者个人经验判断的抽样审计方法则取决于审计者自身的业务能力和经验，一旦稍有不慎，便会漏掉一些关键的线索和问题。从中不难看出，为什么在会计和财务部门都没有发现邯郸农行盗窃案发生资金流失的情况下，审计监督部门还是没有发现问题的原因所在。第三章完善商业银行的内部控制与风险管理的措施随着我国商业银行股份制改革的不断深入，商业银行的内部控制和风险管理的重要性日渐显现。针对我国商业银行内部控制与风险管理所存在的问题，本文认为可以从以下几方面进行改进。3.1努力创建良好的内部控制环境一个良好的内部控制环境是维持内部控制系统正常运行的基础，我国商业银行内控系统落后于国外同行的一个重要原因，就是缺乏一个良好的内部控制环境，没有真正发挥内部控制的作用。为此，只有从基础抓起，才能完善和改进我国商业银行的内部控制环境。3.1.1强化国有商业银行体制改革从理论上讲，现代股份制最突出的优点在于它通过股份制的运作机制，实现了产权明晰化，使终极所有权与法人所有权真正分离。当今世界上大多数大银行均为股份制银行，他们取得的经营成果主要得益于股份制明确而规范的产权关系。商业银行通过股份制改造，可以在以下几个方面对内部控制与风险管理产生较好的效果：（1）股权多样化减少了单一国有股权股份不能流通的弊端，还能从外部加强监督，从某种意义上来说，这种监督比主管部门的监督更及时、更直接、更有效。（2）有利于扩大资本金来源并有效分散风险。完成股份制改革后，国有商业银行的资本金来源不仅有国家投资，还可以向社会募集资本以及向股东增资扩股，还可创造条件让银行股权上市转让，实现商业银行资本社会化。同时，按照“收益共享，风险共担”的原则，如果银行经营不善或由于其他原因造成金融风险，所有股东均按其投资数额分担这些风险。（3）有利于政企分开。将银行法人财产权与资产所有权分离，把过去存在于政府和银行之间的“脐带”关系切断开来，国家作为所有者与其他所有者一样，必须通过公司程序来行使所有者权力，而不能直接干预银行的经营活动。近几年来，随着中国银行、中国工商银行、中国建设银行等几家国有商业银行的股份制改造并陆续上市，各商业银行的体制改革正在不断深入。但必须指出的是，商业银行股份制改革的成功并不单纯取决于银行本身，还必须依赖于整个国有企业现代企业制度的建立，因为股份制商业银行的股东主要是国有企业，如果国有企业自身的产权不清晰，股份制商业银行的产权就不可能清晰。所以，国有商业银行和已成立的股份制商业银行在进一步进行股份制改造的过程中，必须与国有企业制度改革同步进行，否则，就难以建立起真正意义上的股份制商业银行。3.1.2完善商业银行组织结构完善商业银行组织结构是银行改革成功的关键。商业银行在完善公司这结构时，可从以下几方面入手:（1）建立和完善以董事会为中心的决策系统。董事会是内部控制的最高决策机构，必须对高级管理层实行管理、指导和监督，以确保内部控制得以充分而有效的实施。董事会成员应当对银行业务及其内部控制机制有一定认识，甚至是这方面的专家。（2）强化监事会的作用。为了对董事会和行长进行监督，在完善董事会结构的同时，商业银行还必须强化监事会的作用，尤其要保证监事会的工作要具有足够的独立性。（3）完善商业银行的激励机制和约束机制。为了建立有效的公司治理结构，必须尽快完善商业银行的激励机制和约束机制。在激励机制方面，要积极探索股权、期权等激励方式，把员工的工资、奖金、福利、晋升等与经营业绩挂钩；在约束机制方面，一是要强化外部约束和市场约束，二是要强调所有者约束，充分发挥股东大会的人事任免权。（4）简化商业银行的管理层次。目前，国有商业银行仍然实行总行、分行、支行、分理处（储蓄所）式的层级架构，管理层次过多，信息交流的及时性和真实性都受到了极大的影响，管理成本高、风险大、收效差。我国商业银行可以借鉴国外银行扁平化的管理模式，减少中间层级，建立一个开放和畅通的信息反馈渠道，实现信息交流和沟通的及时性，管理和内部控制的有效性。3.1.3加强银行员工素质建设员工素质主要指银行员工的业务熟练程度、文化素质及道德品质。巴塞尔委员会和COSO报告都认为人在内部控制中的作用，是内部控制环境中最重要的一个因素。为了确保员工素质，商业银行不仅仅要加强银行员工素质教育，还要建立一套严格的员工素质控制制度，如建立严格的招聘程序，保证聘用人员符合招聘要求；定期对员工进行培训，帮助其提高业务素质，以更好的完成任务；加强和考核奖惩力度，定期对员工业绩进行考核评估，奖惩分明等等。3.1.4强化对内部控制与风险管理的认识强化商业银行董事会和高级管理层对内部控制重要性的认识，尽快健全内部控制措施和制度。各商业银行要借鉴西方商业银行健全内部控制的经验，按照中国人民银行《商业银行内部控制指引》的要求，全面、系统地认识商业银行内部控制的目标、性质和基本原则，充分了解内部控制各要素之间的有机联系，建立健全覆盖全行所有业务范围的各项内部控制制度。商业银行董事会和高级管理层要认识到内控制度在维护商业银行稳定性的重要作用，自觉遵守内部控制的各项要求，在全行范围内建立起有利于内部控制运行的良好氛围。3.2建立和完善商业银行风险管理体系银行每项业务都是伴随着对风险的分析、评估、监控、转移、分解等处理方式展开的，准确地识别和评估风险是管理和控制风险是前提。因此，建立和完善我国商业银行风险管理体系就显得尤为关键。（1）建立健全全面风险管理机构我国商业银行应尽快建立健全全面风险管理机构，以便适应国内外市场环境的不断变化。如建立全面风险管理部或银行风险管理委员，这个机构的职责就是从银行整体的角度出发，整合现有内部控制资源，统筹制定信贷风险、市场风险、操作风险、法律风险、道德风险、流动性风险等风险的识别、计量、监测、报告以及解决方法，实施银行全面风险控制技术，对各类风险进行全面持续监控。（2）建立和完善商业银行风险预警机制，提高风险识别能力商业银行提高风险识别能力的重要途径之一就是建立有效的风险预警系统。风险预警是指通过事中、事后的检查发现风险的早期预警信号，运用定量和定性分析相结合的方法，尽早识别风险的类别、程度、原因及其变化趋势，并及时采取措施防范、控制和化解风险。以贷款业务为例，风险预警指标体系大体由财务状况预警指标、经营状况预警指标、担保状况预警指标和其他指标或信号几部分组成。（3）完善风险评级方法，提高风险评级技术在完善风险评级方法方面，商业银行应该从三个方面去努力。一是要学习国际性银行在长期的内部评级过程中积累的丰富经验，并积极探索适合我国国情的内部评级方法体系；二是要充分借助国内外专业评级公司的技术力量；三是要加强行业研究，建立和完善内部评级基础数据库。在风险评级技术方面，目前我国商业银行的风险管理大多局限于对风险定性的分析，商业银行风险技术发展长期滞后是我国商业银行风险管理落后的主要原因。因此我国商业银行要积极借鉴国外先进经验，逐步引进VaR等先进的风险评估和管理技术，开发、建立一体化的、动态的风险评估模型。3.3完善内部控制措施和制度建设目前，我国商业银行在内部控制制度建设方面，存在制度贯彻不力、制度建设仍有盲点、制度建设严重滞后等一系列问题，针对这些问题，商业银行必须尽快进行业务管理制度、方法、措施、程序的梳理归纳，深入研究分析，完善内部控制制度体系。首先，制度贯彻必须落到实处，凡事要按原则办事，不能让制度只是流于形式，更不能允许个别高层管理人员搞特殊；其次，对于没有制度规定的内控盲点，要加紧研究落实，明晰制约关系和措施，防患于未然；最后，针对重复矛盾、过时滞后的内容，在加强调查研究的基础上，要对现有内控制度进行重新整合，建立内容全面、分类科学、检索方便的开放式内部控制制度信息库，同时制定一套完整的主要业务岗位说明书，明确基层岗位的职责和操作规程，便于一线员工的贯彻执行。3.4建立可靠和高效的信息系统要使内部控制系统正常运行，足够的信息与有效的交流与沟通是关键，一个良好的信息系统有助于提高内部控制的效率和效果。因此，完善商业银行内部控制系统必须重视商业银行信息系统的改进。3.4.1完善信息系统的控制措施，确保信息系统的安全性近年来，随着网络技术的发展，利用计算机信息系统作案成了银行内部犯罪的一个新的趋势，商业银行的信息安全问题也因此渐渐开始引人注目。因此，商业银行在开发利用信息系统的同时，必须采取各种措施，确保银行信息系统的安全性。具体来说,就是对组织控制、数据资源控制、系统开发与维护控制、计算机中心的安全和控制、数据通信控制以及应用控制等信息系统的安全控制措施，要不断的进行改进和完善。首先，要高度重视电子化信息系统建设，建立新型现代商业银行信息系统；其次，要加强银行各部门之间的合作，开发企业级信息系统；最后，要重视信息系统的基础性建设，加快数据集中步伐。3.4.2建立畅通的信息交流与反馈系统商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解银行的经营和风险状况，确保每一项信息都能够传递给相关的员工，各个部门和员工的有关信息同样能够顺畅反馈。为此，商业银行必须建立内部控制的报告和信息反馈制度，以此来保障内部控制的效用得到充分发挥。（1）报告制度。商业银行的会计部门、审计部门、业务部门和其他控制人员，只要发现内部控制的隐患和缺陷，就应当按照规定程序及时向管理层或相关部门报告，提示有关风险。（2）信息反馈。对于有关内部控制与风险管理的报告，管理层或相关部门应当及时进行处理，并将有关处理信息反馈给报告单位或相关工作人员。3.5强化对商业银行的监督评价与内部审计工作商业银行内部控制的监督方法中最主要的是内部审计。商业银行的审计工作，是商业银行内部控制工作的重要一环，在内部监控体系中处于主导地位。3.5.1构建合理的内部审计体系，确保审计部门的独立性独立性是审计的灵魂和本质特征，“审计机关必须独立于被审计单位以外并不受外来影响才能客观而有效的完成其工作任务。”=1\*GB3①《审计规划指南=1\*GB3①《审计规划指南—利马宣言》，1977年鉴于目前我国的实际情况，国有商业银行可以成立内部审计委员会，直接在监事会领导下开展工作。在总行以及各级分行均建立内部审计部门，总行建立的内部审计部门直接对内部审计委员会负责，各级分行内部审计部门只对上一级的内部审计部门负责。3.5.2改进审计手段和方法，提高审计效率改进和完善审计手段与方法，往往采取以下几种措施：（1）运用先进的审计方法。要学习并采用国际上先进的审计模式，逐步应用制度基础审计、风险导向审计以及科学的抽样方法。同时要充分运用计算机审计手段，加快内部审计信息化。（2）借助外部的审计手段。在遇到有特殊情况或其他原因无法由现有的审计人员完成任务时，要敢于与外部专业审计人员合作，共同来完成审计项目。（3）内部审计工作的重点要逐步向合规性检查与绩效审计、风险审计相结合转变，要从事后的、静态的监督为主，逐步向事前、事中、事后相结合的系统的、动态的监督方向发展。3.6增强对商业银行的外部监督与政策引导商业银行的内部控制与风险管理的建设不应该仅仅只是各商业银行自己的事情，作为银行这样一个关系到国计民生的一种金融机构，为保证其正常运