我国商业银行内部控制研究

严华

[摘要]内部控制是商业银行防范风险的关键策略，本研究探讨了商业银行内部控制的必要性，梳理了内部控制的相关理论，回顾了商业银行内部控制应用的发展历程，指出了内部控制存在的问题，并根据前述理论与实践的分析提出了相应的改进策略，为完善我国商业银行的内部控制提供一点参考。

[关键词]商业银行 内部控制 风险防范 内部控制体系

一、商业银行内部控制的必要性

商业银行作为金融业的核心，其经营对象是货币资产，货币资产之间强烈的关联性，决定了银行业是一个高风险行业，单个银行机构的内部管理不当可能会产生蝴蝶效应，爆发全球性金融危机，连锁影响到整个经济领域。因此，作为一个高风险个体的商业银行，加强内部控制是其经营管理永恒的主题。其次，当前我国国有商业银行正处于向市场经济转轨的关键发展时期，随其商业化程度不断提高，内部控制的制度缺失和执行力度不足，日益成为我国商业银行逐步市场化的绊脚石。频发的商业银行内部诈骗、舞弊大案，人民银行和银监局监管力度的大幅提高，深化改革的需要，都使得商业银行把内部控制及其评价提上了前所未有的重视高度，商业银行如何建立有效进行的内部控制管理和评价值得进一步深入研究。

二、商业银行内部控制理论

商业银行的内部控制是商业银行为了实现既定的战略目标或经营目标、基于经营过程所制定的一系列用于防范金融风险的制度、政策、措施、程序和方法，它是一个对风险进行事前防范，事中控制，事后监督和纠正的过程。商业银行内部控制理论是以企业的内部控制理论为基础的，自20世纪40年代以来，该理论先后经历了以下五个阶段。

（1）内部牵制理论

内部牵制理论是内部控制理论起源，它的正式提出是在20世纪40年代，但其思想渊源却可以追溯到五千年前原始组织诞生开始。该理论的着眼点在于职责的分工、任何个人或部门都不能单独控制任何一项业务、每一项业务都要通过与其他人的交叉控制或交叉检查来完成；该理论以“查找错误、防止舞弊”为目的，以职务分离和交叉控制为手段，对企业的会计事项和其他业务流程进行控制，形成了由组织结构设计、业务程序、职务分离、交叉处理等构成的控制系統。

（2）内部控制制度理论

20世纪40年代至70年代，随着企业规模的不断壮大，大量的内幕交易、操纵行为和欺诈在股市的频繁大规模出现，促使内部控制制度理论在传统内部牵制理论和古典管理理论的基础上产生了。内部控制制度理论明确指出了内部控制的四个目标：“提高经营效率、保证会计资料的准确性和可靠性、保证各项既定政策的贯彻执行、保护企业资产”。同时，内部控制还被划分为内部会计控制和内部管理控制两个部分。

（3）内部控制结构理论

在20世纪80年代到90年代初，为了防范巴林银行倒闭和日本大和银行债券舞弊等一系列的事件导致的高风险，美国注册会计师协会在1988年颁布了《审计准则公告第55号》，在该公告中首次提出：“内部控制结构”的概念，认为企业的内部控制结构包括为了合理保证企业特定目标的实现所建立的各种程序和政策，把控制环境正式纳入到企业的内部控制范畴内，这标志着内部控制结构理论的成熟。这为后续的理论发展奠定了基础。

（4）内部控制整体框架理论

20世纪90年代起，企业不断发展成熟，公司的治理结构日益得到重视，企业的内部控制也开始走向整体框架阶段。COSO委员会1992年提出《内部控制一整体框架》，以内部环境为基础、以风险评估为不确定性计量依据、以控制活动为实施核心、以信息和交流为载体、以监督为有效性保证，是提高企业经营效率和效果、财务数据可靠性和法律法规遵循性的手段，把企业宏观的经营目标与微观的内部控制措施相结合，组成了一个层层推进的有机控制整体，该理论是内部控制理论走向完善阶段的标志，对内部控制理论研究有里程碑式意义。

（5）全面风险管理框架理论

企业风险管理（ERM）是COSO在2004颁布《企业风险管理一总体框架》报告中提出，企业的风险管理是一个由董事会、管理人员和其他所有员工共同参与的，用于识别那些可能对企业造成影响的潜在事项并根据自身的风险偏好管理风险的，为实现企业目标提供合理保证的过程。全面风险管理框架理论是内部控制的整体框架理论扩展，它将企业的内部控制与风险管理结合起来进行全面管理，适用面更加广泛，是内部控制理论发展的一次飞跃。

下表1以时间为主线对内部控制理论思想的发展历程进行了总结。

三、我国商业银行内部控制应用的发展历程及存在问题

我国各家商业银行内部控制是以相关监管部门所颁布一系列规则制度为主线，结合自身的具体情况逐步发展起来的。自1997年中国人民银行的《加强金融机构的内部控制指导原则》发布以来，相关监管部门所颁布的一系列内部控制规章制度对商业银行的内部控制评价的规范化建设起了很大的推动作用，成为商业银行内部控制管理和评价的起点和最低标准。

深圳证券交易所2000年所发布的《公开发行证券公司信息披露编报规则》，明确要求商业银行要建立内部控制制度，注册会计师要对其的内部控制制度的合理性、有效性和完整性做出评价，并形成内部控制评价报告。

中国人民银行于2002年所颁布实施的《商业银行内部控制指引》，则明确规定商业银行应该尽力内部控制制度，定期对其内部控制制度的建设和执行情况做出检查，并根据检查评价结果提出改进建议。

2004年银监会颁布《商业银行内部控制评价试行办法》，要求我国商业银行以内部控制的五大基本要素为基础，从合规性、有效性、适宜性和充分性等方面展开内部控制与评价。该文件成为我国商业银行监管部门对商业银行进行内部控制的依据性文件。

2007年银监会公布施行的《商业银行内部控制指引》指出商业银行应该建立内部控制制度，对制度建设、执行情况进行定期检查和回顾，并根据市场环境、经营状况、组织结构以及国家法律的规定的变化进行实时修订和完善。endprint

2008年颁布的《企业内部控制基本规范》，在上市公司范围内实施，商业银行应根据经营管理目标，制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

这些规则制度的引导和规范下，我国各家商业银行逐步建立起了自己的内部控制体系，并逐步向规范化，数量化方向发展。但是因为起步较晚，其完善程度还有待进一步提高，而且大多数商业银行的内部控制建设还处于被动接受政府部门指导状态，存在（1）内部控制和评价体系缺乏独立性，外部评价流于形式，（2）内部控制缺乏系统性，新兴业务缺乏控制与评价，（3）控制和评价方法的精确程度有待完善，专业控制和评价人员匮乏，（4）控制和评价报告重视程度不足，易流于形式等问题，因此无论是从我国商业银行的内部控制评价体系制度建设上，还是从评价制度的执行落实上都需要进一步的研究和探讨。

四商業银行内部控制的改进方向

基于上述分析，本研究认为，我国商业银行内部控制应在以下几个方面进行改进：

（1）商业银行需要建立全面严格且兼具灵活性的内部控制活动体系

商业银行的内部控制活动体系不但要从正式制度上保证权责体系的情形，各种有形实物资产和无形信息资产的控制得当，还要通过柔性地管理激励方式和高层领导达到内部控制体系设计的适时灵活性，只有这样的内部控制活动体系才能有效地实现内部控制。

（2）商业银行的内部控制环境需要强有力的内控文化和激励机制支撑

新出现的或者边缘的风险出现时，良好的内控文化可以让员工更自觉地约束自己的行动，更主动地进行风险识别和分析，因此，商业银行要加强培养内部控制文化，把内部控制活动与激励机制和奖惩机制挂钩，引导、约束、激励各级员工表现出合理合规的内部控制行为。

（3）商业银行内部控制要兼顾信息系统的建设和沟通传递

完整可靠的信息系统，能为商业银行实施内部控制活动提供可靠地信息获取途径即高质量的信息。有效沟通是信息传递的前提，商业银行只有保持通畅的沟通，将信息传递给适当的人员，才能真正掌控好内部控制信息，实现内部控制的功能。

（4）商业银行的内部控制应注重持续、实时、独立的结合

持续实时的动态监督活动应该贯穿到商业银行的日常经营活动中，做好事前监督、事中控制和事后控制。此外，商业银行在进行持续实时的监督外，还应该定期组织进行风险的例外评估，以更好地保证内部控制系统的有效性。endprint