我國商業銀行內部控制研究

嚴華

[摘要]內部控制是商業銀行防范風險的關鍵策略，本研究探討了商業銀行內部控制的必要性，梳理了內部控制的相關理論，回顧了商業銀行內部控制應用的發展歷程，指出了內部控制存在的問題，并根據前述理論與實踐的分析提出了相應的改進策略，為完善我國商業銀行的內部控制提供一點參考。

[關鍵詞]商業銀行 內部控制 風險防范 內部控制體系

一、商業銀行內部控制的必要性

商業銀行作為金融業的核心，其經營對象是貨幣資產，貨幣資產之間強烈的關聯性，決定了銀行業是一個高風險行業，單個銀行機構的內部管理不當可能會產生蝴蝶效應，爆發全球性金融危機，連鎖影響到整個經濟領域。因此，作為一個高風險個體的商業銀行，加強內部控制是其經營管理永恒的主題。其次，當前我國國有商業銀行正處于向市場經濟轉軌的關鍵發展時期，隨其商業化程度不斷提高，內部控制的制度缺失和執行力度不足，日益成為我國商業銀行逐步市場化的絆腳石。頻發的商業銀行內部詐騙、舞弊大案，人民銀行和銀監局監管力度的大幅提高，深化改革的需要，都使得商業銀行把內部控制及其評價提上了前所未有的重視高度，商業銀行如何建立有效進行的內部控制管理和評價值得進一步深入研究。

二、商業銀行內部控制理論

商業銀行的內部控制是商業銀行為了實現既定的戰略目標或經營目標、基于經營過程所制定的一系列用于防范金融風險的制度、政策、措施、程序和方法，它是一個對風險進行事前防范，事中控制，事后監督和糾正的過程。商業銀行內部控制理論是以企業的內部控制理論為基礎的，自20世紀40年代以來，該理論先后經歷了以下五個階段。

（1）內部牽制理論

內部牽制理論是內部控制理論起源，它的正式提出是在20世紀40年代，但其思想淵源卻可以追溯到五千年前原始組織誕生開始。該理論的著眼點在于職責的分工、任何個人或部門都不能單獨控制任何一項業務、每一項業務都要通過與其他人的交叉控制或交叉檢查來完成；該理論以“查找錯誤、防止舞弊”為目的，以職務分離和交叉控制為手段，對企業的會計事項和其他業務流程進行控制，形成了由組織結構設計、業務程序、職務分離、交叉處理等構成的控制系統。

（2）內部控制制度理論

20世紀40年代至70年代，隨著企業規模的不斷壯大，大量的內幕交易、操縱行為和欺詐在股市的頻繁大規模出現，促使內部控制制度理論在傳統內部牽制理論和古典管理理論的基礎上產生了。內部控制制度理論明確指出了內部控制的四個目標：“提高經營效率、保證會計資料的準確性和可靠性、保證各項既定政策的貫徹執行、保護企業資產”。同時，內部控制還被劃分為內部會計控制和內部管理控制兩個部分。

（3）內部控制結構理論

在20世紀80年代到90年代初，為了防范巴林銀行倒閉和日本大和銀行債券舞弊等一系列的事件導致的高風險，美國注冊會計師協會在1988年頒布了《審計準則公告第55號》，在該公告中首次提出：“內部控制結構”的概念，認為企業的內部控制結構包括為了合理保證企業特定目標的實現所建立的各種程序和政策，把控制環境正式納入到企業的內部控制范疇內，這標志著內部控制結構理論的成熟。這為后續的理論發展奠定了基礎。

（4）內部控制整體框架理論

20世紀90年代起，企業不斷發展成熟，公司的治理結構日益得到重視，企業的內部控制也開始走向整體框架階段。COSO委員會1992年提出《內部控制一整體框架》，以內部環境為基礎、以風險評估為不確定性計量依據、以控制活動為實施核心、以信息和交流為載體、以監督為有效性保證，是提高企業經營效率和效果、財務數據可靠性和法律法規遵循性的手段，把企業宏觀的經營目標與微觀的內部控制措施相結合，組成了一個層層推進的有機控制整體，該理論是內部控制理論走向完善階段的標志，對內部控制理論研究有里程碑式意義。

（5）全面風險管理框架理論

企業風險管理（ERM）是COSO在2004頒布《企業風險管理一總體框架》報告中提出，企業的風險管理是一個由董事會、管理人員和其他所有員工共同參與的，用于識別那些可能對企業造成影響的潛在事項并根據自身的風險偏好管理風險的，為實現企業目標提供合理保證的過程。全面風險管理框架理論是內部控制的整體框架理論擴展，它將企業的內部控制與風險管理結合起來進行全面管理，適用面更加廣泛，是內部控制理論發展的一次飛躍。

下表1以時間為主線對內部控制理論思想的發展歷程進行了總結。

三、我國商業銀行內部控制應用的發展歷程及存在問題

我國各家商業銀行內部控制是以相關監管部門所頒布一系列規則制度為主線，結合自身的具體情況逐步發展起來的。自1997年中國人民銀行的《加強金融機構的內部控制指導原則》發布以來，相關監管部門所頒布的一系列內部控制規章制度對商業銀行的內部控制評價的規范化建設起了很大的推動作用，成為商業銀行內部控制管理和評價的起點和最低標準。

深圳證券交易所2000年所發布的《公開發行證券公司信息披露編報規則》，明確要求商業銀行要建立內部控制制度，注冊會計師要對其的內部控制制度的合理性、有效性和完整性做出評價，并形成內部控制評價報告。

中國人民銀行于2002年所頒布實施的《商業銀行內部控制指引》，則明確規定商業銀行應該盡力內部控制制度，定期對其內部控制制度的建設和執行情況做出檢查，并根據檢查評價結果提出改進建議。

2004年銀監會頒布《商業銀行內部控制評價試行辦法》，要求我國商業銀行以內部控制的五大基本要素為基礎，從合規性、有效性、適宜性和充分性等方面展開內部控制與評價。該文件成為我國商業銀行監管部門對商業銀行進行內部控制的依據性文件。

2007年銀監會公布施行的《商業銀行內部控制指引》指出商業銀行應該建立內部控制制度，對制度建設、執行情況進行定期檢查和回顧，并根據市場環境、經營狀況、組織結構以及國家法律的規定的變化進行實時修訂和完善。endprint

2008年頒布的《企業內部控制基本規范》，在上市公司范圍內實施，商業銀行應根據經營管理目標，制定并實施系統化的政策、程序和方案，對風險進行有效識別、評估、控制、監測和改進的動態過程和機制。

這些規則制度的引導和規范下，我國各家商業銀行逐步建立起了自己的內部控制體系，并逐步向規范化，數量化方向發展。但是因為起步較晚，其完善程度還有待進一步提高，而且大多數商業銀行的內部控制建設還處于被動接受政府部門指導狀態，存在（1）內部控制和評價體系缺乏獨立性，外部評價流于形式，（2）內部控制缺乏系統性，新興業務缺乏控制與評價，（3）控制和評價方法的精確程度有待完善，專業控制和評價人員匱乏，（4）控制和評價報告重視程度不足，易流于形式等問題，因此無論是從我國商業銀行的內部控制評價體系制度建設上，還是從評價制度的執行落實上都需要進一步的研究和探討。

四商業銀行內部控制的改進方向

基于上述分析，本研究認為，我國商業銀行內部控制應在以下幾個方面進行改進：

（1）商業銀行需要建立全面嚴格且兼具靈活性的內部控制活動體系

商業銀行的內部控制活動體系不但要從正式制度上保證權責體系的情形，各種有形實物資產和無形信息資產的控制得當，還要通過柔性地管理激勵方式和高層領導達到內部控制體系設計的適時靈活性，只有這樣的內部控制活動體系才能有效地實現內部控制。

（2）商業銀行的內部控制環境需要強有力的內控文化和激勵機制支撐

新出現的或者邊緣的風險出現時，良好的內控文化可以讓員工更自覺地約束自己的行動，更主動地進行風險識別和分析，因此，商業銀行要加強培養內部控制文化，把內部控制活動與激勵機制和獎懲機制掛鉤，引導、約束、激勵各級員工表現出合理合規的內部控制行為。

（3）商業銀行內部控制要兼顧信息系統的建設和溝通傳遞

完整可靠的信息系統，能為商業銀行實施內部控制活動提供可靠地信息獲取途徑即高質量的信息。有效溝通是信息傳遞的前提，商業銀行只有保持通暢的溝通，將信息傳遞給適當的人員，才能真正掌控好內部控制信息，實現內部控制的功能。

（4）商業銀行的內部控制應注重持續、實時、獨立的結合

持續實時的動態監督活動應該貫穿到商業銀行的日常經營活動中，做好事前監督、事中控制和事后控制。此外，商業銀行在進行持續實時的監督外，還應該定期組織進行風險的例外評估，以更好地保證內部控制系統的有效性。endprint