银行内部控制体系建设

银行内部控制体系建设（共8篇）

篇1：银行内部控制体系建设

银行内部控制体系建设“五要点”

随着中国经济的进一步市场化、全球化，国内各家银行所处的环境日益复杂，任何一个因素的变化，都会引起经营的不确定性，从而产生风险。

随着中国经济的进一步市场化、全球化，国内各家银行所处的环境日益复杂，任何一个因素的变化，都会引起经营的不确定性，从而产生风险。即使在金融市场高度发达的西方经济体中，金融机构风险管理与内部控制依然是一个重要课题。中国银行业要参与全球市场竞争，在日渐成形的全球金融新秩序中发挥其自身优势，必须拥有与其他国际性银行接轨的内部控制与风险管理体系。内部控制监管的趋势

国内外金融监管机构都已经关注到，建立有效内部控制与风险管理体系对现代银行机构的重要性，发布了一系列针对加强银行机构内部控制与风险管理体系的监管制度。

在国内，2008年6月28日，财政部联合证监会、审计署、银监会、保监会等五部委共同发布了《企业内部控制基本规范》。该规范确立了中国企业建立和实施内部控制的标准框架。基本规范描述的标准框架，将内部控制五要素分别确定为内部环境、风险评估、控制活动、信息与沟通和内部监督。与基本规范相配套的企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引等目前正在公开征求意见，将于近期正式发布，并与基本规范一并形成完整的中国版内部控制标准体系。

为保证《基本规范》对银行业的适用性，银监会将配合基本规范颁布银行业内部控制应用指引。该应用指引对银行应关注的风险进行了进一步阐明，明确银行业建立内部控制体系的治理架构、职责分工等，并对信贷业务、资金业务、存款和柜台业务、中间业务从业务层面应用的角度分章节进行了进一步阐述。德勤研究表明，自从美国萨班斯法案实施以来，银行机构已经投入大量资金和精力在风险与内部控制方面合规工作中。有统计表明，全球金融机构已经累计投入超过1.2万亿美金在内部控制合规工作上，并且这项投入一直处于递增趋势，并将在2010年达到顶峰。当然，在投入大量金钱和精力后，银行机构的投资者们也看到了这些投资的回报，包括股东信心增加，信用评级提高，资本成本下降，风险管理能力增强等。直至今日，银行机构仍在探寻风险与收益的理想平衡点。

内控与“协议”管理结合建设内部控制体系必须以风险为导向，而在银行业，风险管理必须提到《新巴塞尔资本协定》。国内监管机构正在积极推进中国银行机构的《新巴塞尔协议》合规工作。2009年2月，银监会选定包括国家开发银行在内的7家银行机构作为2010年首批满足合规的银行，这些银行必须在2010年开始符合《新巴塞尔协议》的要求。

从内容看，《新巴塞尔协议》侧重的是银行机构的风险管理和监管当局的监督。实际《新巴塞尔协议》在更深层次上，是一份银行机构内部控制的规范文件。新巴塞尔协议的实施与银行内部控制体系的建设具有密不可分的关系：

首先，银行机构内部控制的核心就是风险控制。银行机构在经营中面临的主要风险有信用风险、市场风险和操作风险等，《新巴塞尔协议》提供了一种以计算经济资本充足率实现对银行主要风险定量管控的手段，是银行内部控制体系的重要环节。

其次，《新巴塞尔协议》的制定，吸收了2003年7月美国COSO公布的《风险管理整体框架》(草案)的理念，即考虑了COSO《风险管理整体框架》(草案)提出的八个因素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。在实施《新巴塞尔协议》的同时，必须考虑控制环境、政策与制度、职责分工、监督等配套的常规内部控制管理手段，才能形成银行机构完善的内部控制体系。

内控体系建设需要满足相关法规要求

银行建设内部控制体系时，面临着诸多的内控法规及监管要求，银行在执行上述众多部门发布的有关内部控制法规的过程中，可能会存在如下挑战：首先，内控法规政出多门，各部门对内控的规范不可避免地存在各自独特的考量，银行要满足所有法规的要求，需要对这些法规有深刻的了解。其次，上述法规之间可能存在一些重叠、矛盾的规定，银行需要根据具体情况综合考虑并进行适当的处理。

因此，在体系设计的初期就需要根据各银行具体情况，明确涉及的所有的内控法规及监管要求，并综合考虑对各项内部控制规定如何统筹并与银行自身现状进行结合的问题。

强化制度的执行力

制度的实行力是内部控制体系建设的关键环节。作为金融行业较其他行业而言，政府的监管相对更严格，企业自身的制度相对也较全面，但是制度再多、再

完善，执行者不去执行或执行不到位，再好的制度也发挥不了作用。因此，制度建设是业务稳健发展的前提和保障，而制度执行力才是最关键。

银行强化制度的执行力可以关注以下几个方面：

首先，建立明确的岗位责任体系，形成严格的单位和岗位履责考评制度，对各项工作任务落实到具体的责任单位和责任岗位，将单位和岗位完成任务情况与绩效挂钩，对各项工作实行限时完成，对交办的事项，必须在要求的期限或承诺的期限内完成。并从荣誉、薪酬、职务、股权等方面构建全方位的激励约束机制，促进各岗位人员严格履责。同时要强化履责情况的监督检查，通过工作绩效评定、述职评议、检查审计监督等形式，促进各岗位干部员工认真落实岗位职责。

其次，制定严密的责任追究机制。责任追究是实施责任约束最具威慑力的环节，是保障责任约束切实发挥效果的措施保证。银行机构必须建立起覆盖各岗位的责任追究制度，对各种不履责行为，按有关规定及时给予相应的处理或处罚。再次，培育良好的内控文化，加强对员工的职业道德培训。银行机构可以通过思想观念来控制和约束员工的意识和行为，这就是内控文化的作用。应采取多种渠道，对员工开展广泛的培训和教育，培养员工诚信和道德，从源头上控制、减少潜在风险的发生。可以说，员工素质的提高对于加强执行力和风险压降具有积极的意义，尤其对于金融业显得尤为重要。

充分重视和利用IT手段

银行业金融机构的一个典型特点是IT的应用水平高，对其依赖性也很强，因此，IT在内控的建设成为一个关键因素。领先银行的实践和德勤全球经验表明，要有充分发挥IT的作用，应当考虑的内容非常很多。

下面举例说明：

首先，建立个性化的、与银行整体战略匹配的IT内控机制。每家银行均具有与其他不同的业务战略和特色，信息化的战略和实施思路也不同，故而在建设IT内控时应了解自身的真实需求，设计一套适合自身发展现状的IT内控发展目标和路线。同时，由于国内银行业正处于一个高速发展的时期，银行的内控体系还需要具备良好的适应性，以确保在银行业务快速发展的同时，相关的内控工作仍然有效。

其次，充分利用信息系统，优化内部控制体系。银行的交易的一个重要特点是实时性强(如柜台交易、资金交易)。在这种情况下传统手工控制已经不能完全

适用新环境下的需求，因此，银行应开发与其IT应用水平相关的内控机制，以满足业务发展和风险管理的双重要求。

这种通过系统化的控制手段的应用，不仅提高了控制的效果，而且还极大地提高了工作效率，而这在手工方式下，是不可能实现的。同时，这些控制是系统自动实现的，最大限度地减小或避免了人为的干预或干扰，从而控制的准确性有很大提升，人员舞弊的机会也相应地降低。

再次，建立健全数据质量保证机制，提供持续不断的高质量数据。银行最核心的IT资产是其海量数据(如客户信息、交易数据等)。这些数据是银行业务的核心资产，其重要性不仅体现在业务运作、管理和决策支持等方面，更是银行实现BASEL II合规要求的关键要素(例如模型的开发和验证)。

为确保银行的数据质量，维护数据安全，德勤建议从数据管理的生命周期入手(如图)：

该方法从银行的全局出发，将各类风险与数据进行有机联系，明确数据在生命周期各个阶段相应角色的职责，分析出发生问题的真正根源，然后有针对性地采取校正方案，从而以合理的投入，获得高质量的产出数据，并为银行提供持续数据优化的能力等长期收益。

建立独立的内部监督体系

银行机构内部控制运行的状况如何、运行质量怎样，需要进行稽核和不断修正，内部稽查是内部控制的最后一道防线，是控制的关键。

为了提高内部监管效率，应采取以下措施：

首先，应建立独立的、具有监督权威的内部稽核部门。银行机构的内部审计应当具有充分的独立性，实行全行系统垂直管理。

其次，银行应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。例如，总行内部稽核部门下可设置审计举报办公室(各分支机构也相应设立审计举报办公室)，公布举报热线，接受社会各界的监督和投诉，并对投诉事项进行记录和调查，从而可能在较早阶段(如贷款尚未发放阶段)发现并阻止未严格执行内部控制制度的行为或者舞弊行为;某些银行机构每年与业务部门关键岗位的员工签订服务承诺，并对其岗位可能存在的高风险操作领域提出警示，对可能出现的违规行为尤其是舞弊行为进行极早防范和提示;某些银行机构要求业务

部门关键岗位的员工定期填写个人状况调查表，以对可能出现的舞弊行为迹象早发现、早预防。

最后，要不断提高稽核人员业务素质，既要加强审计技能的培训和法律知识的更新，加强计算机相关知识的培训，更要精通国际及国内审计准则、会计准则、信息系统审计标准及其他相关知识。选拔具有丰富工作经验和综合分析能力的人员从事稽核工作，并采取经常性培训制度，更新知识结构，使稽核人员能适应新形势，确保内控制度的全面执行。

篇2：银行内部控制体系建设

建立严密的内部控制体系是金融企业保持持续稳健发展的根本保证, 也是国有商业银行股份制改革的目标之一。在农行上市一年多的时候，再次深入研究企业内部控制理论及实践，对于公司的健康、全面、协调、可持续发展具有重大的现实意义和深远的历史意义。作为基层行的内控文化建设，应更注重有良好的内控文化环境，坚持以人为本，培育全员对内控文化建设的创新意识，防范操作风险。现就基层农行内部控制体系建设做一简要分析。

一、基层农行内部控制存在的问题

（一）内部控制制度执行不力。虽然自上而下，农业银行内部的很多违法违规行为是被明文禁止的，但是由于基层农行的地域局限性和业务范围有限，执行情况却不够乐观，某些违规操作仍然得以畅通无阻，就是因为现有制度没有得到切实的执行。衡量内控体系有效与否的标准并不在于银行制定了多少制度，而主要看制度的执行力如何。我国商业银行的内控机制在形式上并无明显缺陷，但明显存在内控责任制的缺失，未能形成相互联系、相互依赖、相互制约的内控机制。岗位自我约束机制制度不健全，有章不循，违章操作，有些创新业务相关制度尚未建立就盲目运作。银行各部门的风险防范职责界定不明确，导致在部门业务环节没有实施关键的控制活动或控制活动的失败。缺乏严格的、经常性的检查，互相监督制度执行上也存在脱节情况，这些都增大了商业银行的操作风险。全面控制存

立关键岗位人员轮岗制，实行重要岗位竞聘制和业绩考核制。三是内部控制文化尚未建立。内部控制是一个需要全员共同努力才能实现的过程，随着业务的发展与外部监管的加强,虽然各级管理人员和员工的风险意识逐步增强，但内部控制文化并未真正形成，特别是有些基层行还未充分认识到内部控制和风险管理的重要性，在把握内部控制与自身业务发展和风险管理的关系上，存在着认识偏差和管理上的不规范,有的甚至将内部控制与业务发展和工作效率对立起来,难以自觉地将内部控制制度落实到日常工作中去。

（四）内部控制缺乏主动的风险识别与评价机制。内部控制制度本身的不完善以及体系间的相互脱节，造成制度之间缺乏有机的联系，内部控制措施零散、不系统，监督检查环节不到位，内部控制结果不稳定，对风险识别缺乏主动性，对内部控制持续改进缺乏驱动力。如有些行仅仅满足于决策环节的“审贷分离”，而对贷款发生时以及发生后的具体风险程度缺乏具体风险评估及控制的风险管理监控手段，使得贷款业务管理存在着难以预测的风险。目前，农行在内部控制建设上更多着眼于制度建设，对制度设计的合理性以及执行的效率则缺乏有效的衡量和评价手段。

（五）内控控制缺乏系统性。内控机制是内部控制的核心，是商业银行防范化解经营风险，促进各项业务稳健发展的关键。但长期以来，由于农业银行面临着越来越激烈的竞争环境，有些商业银行受利益驱动的影响，重经营轻管理，重业务发展轻内部控制监督，将业务发展与强化内部控制对立起来，将经营管理与内控机制相分离，使得商业银行内控机制严重缺乏科学性、规范性和系统性，对银行各项业务风险难能进行有效分析

视程度的根源是对内控评价人员出具评价结果的“担心”和对责任人的认定及处理结果不确定性的“担心”。想从根本上提高内控管理水平，提高内控评价结果类别，应采取以下措施：各级行应有一名副行长主管内部控制建设工作并常抓不懈；组织各级行中层干部和相关员工认真详细的研读《内控评价全书》，力争系统掌握内控评价的意义、内容及依据，从而在日常工作中，自觉遵守各项法律法规，逐步提高本行的内控评价档次。

（三）进一步培养一支政治素质过硬，业务技术精良的内控评价队伍。内部控制评价工作是一项繁杂的系统工程，没有称职的人员来参与评价，也难以发挥其作用。一是内控评价人员的组成要选配具有一定理论基础和实践经验的业务骨干组成；二是要建立内控评价人员“一专多能”的激励考核机制。对于在内控评价工作中，认真负责、业绩突出、评价结论科学准确，受到被评价行认可的内控评价人员，给予提拔、奖励等，鼓励内控评价人员履职尽责。对于工作平平，业绩淡淡，又不思进取的内控人员要调离其岗位，同时每年都要从其他部门挑选骨干力量充实到内控评价工作岗位。三是下大力气抓好教育培训和基础管理工作。充分利用内外部资源，创新培训形式和手段，定期开展内控评价基础理论学习和实践调研活动，保障内控评价人员后续教育的时间和质量。

（四）进一步转变风险管理理念, 健全风险评估体系。首先应该加强基层农行管理层对风险管理的认识, 对风险进行系统、及时、有效的管理。要在上级行的指导下，借鉴国际先进经验和手段, 从风险组织流程、风险计量模型、风险数据库、风险管理信息系统等方面建立科学的内部评级法, 逐步建立覆盖所有风险业务的监控和评价预警系统, 并进行持续的监控

内部控制体系建设中的重要课题。

篇3：银行内部控制体系建设

我国商业银行在内部控制上存在制度不健全, 缺乏有效风险评估等问题, 只有解决了这些问题才能保障整个银行业的稳健发展。

一、商业银行内部控制的因素

商业银行内部控制由以下五方面因素构成:

(一) 内部控制环境

银行应建立完善的公司治理组织架构, 分权制衡;银行应制定明确的内部控制政策, 规定内部控制的原则和基本要求;应建立分工合理、职责明确、报告关系清晰的组织结构, 明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限。

(二) 风险识别与评估

银行应建立和保持书面程序, 以持续对各类风险进行有效的识别与评估。

(三) 内部控制措施

银行应对其业务和管理活动采取控制措施;应考虑计算机系统环境下的业务运行特征, 建立信息安全管理体系;应建立并保持预案和程序, 以识别可能发生的意外事件或紧急情况。

(四) 信息交流与反馈

银行应建立并保持信息交流与沟通的程序, 应建立并保持必要的内部控制体系文件。

(五) 监督评价与纠正

银行应对内部控制绩效进行持续监测, 对内部控制体系实施评价, 董事会应采取措施保证定期对内部控制状况进行评审, 并根据评价结果进行持续改进。

二、商业银行内部控制建设要点

(一) 会计制度建设

根据中国会计相关准则的相关要求, 商业银行制定了各类业务会计核算制度, 建立了规范的会计工作秩序, 保证会计资料真实完整和本公司财务报表编制的真实和公允。

(二) 商业银行建立完善的内部审计运作机制

一是建立了由一般准则、作业准则、工作规范等组成的制度体系, 以及现场与非现场并重的检查模式。二是设立了独立于业务经营管理之外, 独立行使检查、监督、评价职能的审计部门, 各一级分行根据机构设置条件和经营管理要求设立分行审计部门。三是建立了总行审计部向董事会的垂直报告路线, 审计部负责人由董事会任命, 年度审计计划由董事会审计委员会批准, 审计结果直接向董事会、监事会报告;日常审计工作由副董事长直接分管, 并接受监事会和高管层指导。以战略、风险、价值为导向, 从加强对全行内控状况、风险状况的评价, 加强区域性、系统性风险的揭示入手, 持续加大审计检查力度, 进一步转变审计管理流程和模式, 有效地发挥了内部审计独立监督、评价的职能, 进一步推动了商业银行内控管理水平的提升。

三、内部控制关键要素与措施

报告期内, 商业银行结合市场环境, 围绕新的发展战略, 从内部控制五要素出发, 进一步提升经营管理水平和风险防范能力, 保证了各项业务持续、平稳、健康发展。

(一) 优化内控环境

本行持续优化公司治理结构, 根据新的发展战略调整全行组织架构, 精简管理层下设委员会, 调整内控机构设置;科学界定前中后台、总分支行及附属机构的职能;持续完善人力资源政策, 助推业务发展;有效落实各级行、各部门、各级人员在内控体系建设中的作用与职责, 夯实内控管理基础;持续开展多层次培训, 加强核心人才培养, 加大全员岗位培训力度;高度重视企业文化建设工作, 在发展战略中明确“人性化的员工管理、标准化的柜面服务、数据化的业务运行和差异化的客户服务”的企业文化建设目标。

(二) 提高风险识别与评估水平

本行结合新的发展战略以及风险管理体制改革方案, 制定精细化和差异化的内控管理政策与措施, 有效提升风险识别与评估水平。信用风险方面, 全面量化信用风险管理, 启动“信用风险公司客户评级优化项目”, 以数据分析和预测模型为依据实现行业信贷风险前瞻性识别与持续性防控;市场风险方面, 在年度授权和日常风险审批中对相关产品包含的市场风险因素进行充分识别和评估, 积极加强和完善市场风险限额管理、日常监控和报告;流动性风险方面, 持续对资产负债的总量和结构、流动性缺口、备付指标的变动进行监测, 综合评估全行流动性风险状况, 有效应对流动性紧张的市场波动, 确保了全行流动性安全;操作风险方面, 全面推广操作风险系统及操作风险三大管理工具, 为风险识别与评估提供管理运用平台, 组织全行对重要业务领域的关键流程进行RCSA评估, 分析、优化现有控制措施有效性;声誉风险方面, 持续加强舆情监测、处置力度, 高度关注微信、微博等新兴媒体的舆情监测, 通过舆情提示单、媒体沟通等方式总分联动化解风险;信息科技风险方面, 建立问题主动管理的机制, 通过系统健康检查、日常巡检、趋势分析、厂商巡检和漏洞扫描, 在全行范围开展电子银行信息安全检查、电子银行安全评估、互联网应用系统渗透测试等工作, 主动识别潜在风险隐患。

(三) 完善内控制度和措施

本行制定《内控梳理管理办法》、《内控台账管理办法》等规章制度, 固化了内控实施要求, 实现各项内控管理工作的常态化;选取与业务发展和客户端联系密切的流程作为内控梳理及风险与控制自我评估的重点;优化理财业务审批流程、集中采购流程、信息系统开发流程, 进一步处理好风险控制与审批效率的问题;完善内部控制措施, 信用风险管理方面, 严格落实贷款三查;流动性风险管理方面, 通过货币市场、公开市场等多种渠道和手段增加流动性资金来源, 确保全行流动性安全;操作风险管理方面, 针对目前易发、频发操作风险隐患, 加强风险提示和流程梳理, 针对同业风险事件及时警示全行加强风险管控;市场风险管理方面, 持续加强对市场风险的限额管理;信息科技风险方面, 深入开展系统和应用监控部署工作, 强化性能容量管理, 提升生产风险事件预防能力。

(四) 加强信息交流与沟通

本行加强重大风险事件报告管理, 提升对重大风险事件的反应能力, 有效防范和化解风险;加强风险提示与风险信息共享, 对个人征信系统应用、克隆银行卡、信用卡套现、银行卡盗刷、贸易融资金融服务等业务中存在的风险隐患进行深入剖析, 提示风险要点和应对措施, 增强员工依法合规经营的自觉性;全面总结各分行运营状况和先进经验, 通报全行共享, 推动全行提升风险防范能力。

(五) 严格监督检查与整改问责

本行结合风险防控重点强化监督检查, 提高财务管理水平和风险管控能力;开展财务专项检查, 揭示财务管理中存在的风险隐患;在全行范围内组织开展银行理财投资运作自查, 强化风险的防范;开展公司信贷表外业务及供应链金融业务现场审计、贷款质量现场检查, 确保真实、准确反映资产质量状况, 提前化解信贷风险;在原有离任审计的基础上, 开展任期内经济责任审计, 强化全行领导干部的管理及监督, 提高对中高级管理人员履职评价的及时性。针对检查中发现的问题, 本行积极组织整改, 并对相关责任人严格问责。

摘要：本文从商业银行为出发, 根据内部控制各项法律法规, 制定了详细的内部控制的目标和原则, 并且建立起来了由内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素组成的内部控制体系, 对本公司各项经营管理活动进行全过程控制, 并在发展实践中不断提升本公司内部控制体系的完整性、合理性和有效性。

关键词：商业银行,内部控制体系,架构

参考文献

[1]孙彤.我国国有商业银行内部控制初探[D].财政部财政科学研究所, 2013.

[2]赵攀.商业银行内部控制评价研究[D].河南大学, 2013.

[3]曾凯.基于层次分析法的我国商业银行内部控制评价研究[D].西南财经大学, 2013.

[4]江山.我国商业银行内部控制研究[D].西南财经大学, 2013.

篇4：论商业银行内部控制体系建立

摘 要 内部控制是企业加强管理，提高经营效率，防止资产流失，提供真实完整的财务报表的有效工具和重要手段，对于商业银行来说尤为如此。在分析商业银行内部控制体系的目标及其原则的基础上，提出具体的构建措施。

关键词 商业银行 内部控制 控制体系

商业银行作为吸收公众存款、发放贷款、办理结算等业务的企业法人，是我国市场经济中最为重要的金融机构之一。近几年来，商业银行职员携巨款潜逃的事件发生频率之高，卷款数量之巨令人瞠目结舌。例如在2002年春节期间，工商银行湖北省分行武汉营业部储蓄员杨峥通过虚拨存款手续，共卷走337.3万元，并偷走美元3万元，港币1万元。此类事件的发生与银行监管存在漏洞脱不了干系。基于此,越来越多的商业银行提高了对内部管理的关注度，而内部控制对于提高企业管理水平，防范控制风险具有至关重要的作用。

一、内部控制概述

《企业内部控制基本规范》中将内部控制定义为：内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，并要求企业将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

二、商业银行建立内部控制体系的目标

1.保证商业银行经营管理合法合规。

内部控制由一系列的控制措施、控制方法、控制程序以及控制制度组成，并由包括领导层在内的企业全体职员共同参与设计并执行。由管理层授权下属各级员工执行相关职责，健全的内部控制制度可及时反映银行内部的问题，使其得到及时的处理和更正，从而保证银行经营管理的合法合规。

2.保护商业银行资产安全，防止资产流失。

内部控制体系要求不相容职务相互分离，即授权人与执行人，执行人与记账人，保管、出纳与会计人员，总账和明细账等得以分开，使得企业内部的各职能部门相互制约，有效制止浪费，防止贪污舞弊、挪用公款行为的发生，保证商业银行资产的安全与完整。

3.提高商业银行经营效率，改善经营管理，。

建立完善的内部控制体系是实现企业现代化管理的重要举措之一。高效的内部控制制度使企业的各职能部门和人员得到切实的监督和控制，促使企业各部门及其相关职员明确目标，履行职责，进而保证银行的经营活动有序、高效地开展。

4.合理保证企业财务报告及相关信息的真实完整，避免错误和舞弊发生。

对于经济业务实施手续控制、程序控制，对凭证进行编号、复核、核对、内部控制可以使会计处理和经济业务相互关联，相关人员对业务进行相互审查、核对和制衡，避免一个人控制一项交易的全部环节，防止员工的舞弊行为，降低虚假财务报告发生的可能性。

三、商业银行内部控制的内部环境

商业银行内部控制环境，是指影响商业银行内部控制系统发挥作用的各种因素。其中内部因素包括公司治理、组织结构、内部控制文化、人力资源政策。外部因素诸如中央银行的监管政策、国家的经济政策等。

四、建立商业银行内部控制体系的原则

1.符合法律、法规和商业银行内部的实际情况

任何单位建立内部控制制度，都必须把国家现行的法律法规和最新的政策体现在其中。各单位的实际情况不同，所以，都必须从实际出发，因地制宜、因时制宜、且因人而异地制定内部控制制度，切忌好高骛远，脱离实际，或者照搬其他单位的相关制度。

2.具有广泛的约束性

单位内部的每一位成员，都既是内部会计控制的主体，又是客体，既要负责内控制度的具体实施，又要受到其他相关人员的监督和制约，每个人都必须无条件地遵守，任何个人都无权凌驾其上或游离于内部控制之外。

3.保证内部控制的全面性和系统性

内部控制须贯穿于整个银行的经济活动之中，涵盖商业银行内部涉及会计工作的所有经济业务以及相关岗位。与此同时，还应对业务处理环节中的关键控制点进行监管，从而保证所有部门和岗位相互协调，发挥内部控制体系的总体功用，实现内部控制目标。

4.实行内部牵制

内部会计控制的核心是权责明确、相互制衡的内部牵制。商业银行内部涉及会计工作的岗位、机构须合理设置，职责权限须合理划分，确保不同机构和岗位之间权责分明、相互监督、相互制约。

五、构建银行内部控制体系的措施

1.建立银行货币资金业务岗位责任制。确保授权批准职务与执行业务职务相互分离、执行业务职务与监督审核职务相互分离、执行业务职能与会计记录职能相互分离、财产保管职务与会计记录职务相互分离、执行业务职务与财产保管职务相互分离。

2.建立严格的货币资金授权批准制度，保证审批人在授权范围内进行审批。

3.严格按照“申请、审批、复核、支付”的程序办理货币资金的支取业务。

4.加强对印鉴和印章的管理。

5.加强对货币资金收支业务的内部审计，建立货币资金业务监督检查制度。

6.切实加强内部信息与沟通机制，保证银行内经济业务等方面的信息得到及时反馈、处理和更正。

参考文献：

[1]赵朴.国有商业银行内部控制环境分析与优化策略.现代金融.2006(6):10-11.

[2]李连华.内部控制理论结构——控制效率的思想基础与政策建议.厦门:厦门大学出版社.2007:87.

[3]内部会计控制制度研究组.内部会计控制制度.北京:北京科学技术出版社.2002:15-16,34-36.

篇5：银行内部控制体系建设

字数：3220 来源：科学与财富 2011年11期 字体：大中小 打印当页正文

[摘 要] 随着商业银行所处的环境越来越复杂，商业银行的各种风险也在不断加大，良好的内部审计和内部控制能有效管理风险。但是，我国商业银行内部控制和内部审计却存在着诸多的局限因素，制约着内部控制和内部审计工作的发展。本文分析了我国商业银行内部控制和内部审计的现状及存在的问题，有针对性地提出了如何发挥内部审计在商业银行内部控制体系建设中的作用的对策和建议。

[关键词] 内部审计 内部控制 商业银行风险

近年来，随着金融行业的迅猛发展，商业银行的各种风险也在不断加大。商业银行是经营货币的特殊企业，具有高风险性和负外部性，这种高风险特点决定了商业银行相对于其他行业对风险管理的要求更高、更严格。商业银行的主要风险有信用风险、市场风险和操作风险。信用风险可定义为银行的借款人或交易对象不能按事先达成的协议履行义务的潜在可能性。市场风险是指因市场价格、利率、汇率、股票价格和商品价格的不利变动而使银行表内和表外业务发生损失的风险。操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。而良好的内部审计和内部控制能有效地监测和管理风险，如何通过完善我国商业银行内部审计，有效控制银行风险，提高银行经营效益和增强竞争力已成为我国商业银行一个急待解决的现实问题。

一、商业银行内部控制与内部审计的内在关系

内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部控制由五大要素构成：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。按照内部控制目标的不同，商业银行内部控制主要包括授信业务的内部控制、资金业务的内部控制、存款及柜台业务的内部控制、中间业务的内部控制、会计业务的内部控制、计算机信息系统的内部控制共六个方面。

内部审计是商业银行内部控制的一个重要组成部分，同时也是实现内部控制目标的重要手段。国际内部审计师协会（IIA）对内部审计的最新定义为：“内部审计是一种独立、客观的保证与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取一种系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。”商业银行内部审计作为内部控制的重要组成部分之一,其主要目的是为了加强内部管理,协助管理层督促部门和机构更有效地履行他们的职责,发挥内部审计具有的监督、评价、建设职能。商业银行内部审计在内部控制中的作用主要表现在：第一，对商业银行内部控制的有效性进行监督检查，具体包括对授信业务的监督检查、对资金业务的监督检查、对存款及柜台业务的监督检查、对中间业务的监督检查、对会计业务的监督检查、对计算机信息系统的监督检查。发现管理和控制环节的各个漏洞,并且提醒管理层去堵塞这些漏洞。第二，对商业银行内部控制进行评价。通过认定和评价内部控制的有效性，向管理层报告审计情况并提出改进建议，以促进内部控制的持续有效。第三，参与内部控制体系建设，开展全面风险分析，为内控建设提供参考，为构建内部控制制度的总体框架提供咨询服务。

内部控制与内部审计属交叉关系，内部审计的部分职能是内部控制的重要组成部分，但反过来又为内部控制提供保证及咨询服务，履行评价、监督和提出改进建议的职能。

二、当前我国商业银行内部控制和内部审计状况

(一)当前我国商业银行的内部控制状况

经过银行监管部门的监管指引和各家商业银行的多年探索，目前国内大多数商业银行都初步形成了较为完善的内部控制框架、内部控制流程和内控评价机制。但是与金融业的改革与发展对内部控制的要求相比，还存在着许多薄弱环节。

1.现行的内控制度不健全、不系统，内部控制制度建设滞后，没有覆盖所有的岗位。当前金融业发展迅速，新的金融工具金融产品层出不穷，但是针对这些新产品新业务，多数银行没有及时制定相应的内部控制制度。部分制度制定不符合实际，过于简单和条理化，操作性不强，没有考虑到现实情况，无法为业务提供实际指导，规定形同虚设。由于规章制度过时或不完善，造成内控的漏洞和操作失误难以防止，增大了经营风险。

2.组织结构设置不合理，人力资源配置方式不能适应内部控制的要求，人员素质有待提高。有些商业银行的组织机构设置过多的考虑行政管理上的方便，而不重视自身结构的合理性问题。商业银行存在机构臃肿、管理层次太多、工作效率低下的问题，同级部门的信息沟通不灵敏，协调性差。由于分工不明确，经常会出现责任推脱的现象，利益的交叉也使得权力制衡在运行中失灵。大型商业银行过长的委托代理链导致责任界限不清，总行对下级分行的掌控力依次减弱，规章制度执行力度递减。

3.内部稽查监督系统不完善，监督机构不独立，难以对管理层和普通职员形成有效的约束。

（二）当前我国商业银行的内部审计状况

我国商业银行内部审计虽然取得了明显成效，但与金融业的改革和发展对内部审计的要求相比，还存在着许多不足：

1．内部审计模式还不够健全，内部审计技术落后。目前我国商业银行的内部审计基本上是账目基础审计，以全部业务和账目为基础，主要采用详细审计或依赖于审计者个人经验判断的抽样审计方法，而不是国际上先进的商业银行通行的风险基础审计。审计的内容完全凭审计人员的经验判断，造成审计期长、审计成本高、审计效率低下。内部审计随意性很大，缺乏科学性。

2．内部审计机构权威性不高，缺乏一定的独立性。从国外银行的经验看，内部审计部门往往是对董事会而非行政管理者负责，可以在没有管理层的干涉下执行委派任务，自由地报告审计发现和评价，国外商业银行内部审计的独立性相对较好。而我国商业银行大多尚未建立起垂直、独立的内部审计体系，内部审计只是作为内部稽核的重要力量向各级行长报告工作。我国大多数银行内部审计机构隶属于本级行长领导，基本没有独立行使审计监督的权利。内审人员与被审计单位的各种利益（包括经济利益和非经济利益）有着密切的联系，对所在单位有较多的依附，使得内部审计的独立性较差，权威性也受到影响。由于缺乏相应的权限和相对独立的地位，商业银行的内部审计工作中，被审计单位往往不积极配合，对管理层的监督和审计流于形式。

3．商业银行的内部审计成果应用不够。一般情况下，上级银行的考核主要是以量化指标为主，未建立起对经营管理整体考核的评价体系。这便造成了下级银行不重视内审的警示作用，甚至存在屡查屡犯的现象。目前能够运用的仅限于系统内的常规现场审计项目，而对下级自审项目中存在的风险披露不及时，敏感问题避重就轻，难以从更全面的角度通过信息的反馈作用使审计的建议得到真正落实。

4．审计力量薄弱，监督能力不够。商业银行业务量大、业务环节复杂、资金往来频繁，会计资料及相关信息繁杂，内部审计任务非常繁重。相对于全面、独立开展风险管理体系内部审计的新要求、新使命，内部审计部门目前仍存在一定的距离。商业银行存在内审人员不足，内审人员综合素质差，内部审计力量薄弱问题。审计人员的知识结构单一，财务会计人员占多数，而来自法律、管理、计算机、工程或其他专业领域的人才较少，具备综合性素质的人才更少。整体上看，商业银行内部审计队伍中尚缺乏熟悉统计分析技术、建模技术、验证技术的人员配备。难以胜任的审计人员、落后的风险管理方法、不健全的风险评估体系直接导致内部审计难以对银行进行全面的风险管理和内部治理。

5．内审工作范围过窄，内部审计的内容不全面。目前，商业银行内部审计工作基本上还是查错防弊，局限于查处一些具体违法违规问题。我国商业银行目前执行的内部审计项目关注的风险基本集中在合规风险、操作风险和内部舞弊风险上，对于信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、法律风险、声誉风险等则几乎没有涉及。商业银行内部审计往往只注重检查会计凭证、报表等资料是否真实、完整，业务操作是否合规合法等，缺乏对信贷资产质量、风险责任、经济效益进行审计，缺乏对银行内部管理结构、内部控制状况、各岗位业务规范状况等，作出评价和建议。更未对一些重要的深层次的问题如管理制度、政策法规、社会环境、监督体系等方面进行研究。面对商业银行业务创新频出，经营范围不断拓展，而内部审计却变化缓慢，内部审计范围过窄。

三、内部审计如何在商业银行内控体系建设中发挥作用

（一）重新定位内部审计职能。

商业银行内部审计工作重点应从传统的“查错防弊”转向为银行内部的管理、决策及效益服务。在审计角色上，由单纯“警察”向“参谋”、“顾问”转型。拓展审计活动空间，将内部审计工作重点渗透到经营管理领域，深入研究问题根源，提出管理思路和对策，从更高层次上发挥内部审计的作用。使内部审计从风险管理的角度参与公司治理，为管理层决策提供咨询信息，为商业银行提供增值服务，帮助商业银行实现经营目标。

（二）发挥管理咨询审计职能，促进商业银行良好的内部控制环境的形成。

随着商业银行公司治理结构的逐步完善，对内部审计提出了更高的要求，内部审计在做好合规性审计的基础上拓展咨询职能是大势所趋。管理咨询审计属于增值型审计工作，银行管理咨询审计的内容，既包括资产负债损益等业务经营全面审计，又包括管理责任、管理效率和管理行为的管理审计，还包括内控管理制度的综合评价等。商业银行内部审计部门必须站在完善公司治理和强化内部监控的高度，履行好审计职责，更新审计理念，创新管理机制。在审计内容上，应由合规性审计为主向管理和效益审计为主转型。商业银行内部审计要发挥“免疫系统”功能，为控制风险，减少损失，应将内部审计切入点逐步前移，由目前的事后审计向事中、事前审计发展，将审计的监督职能寓于管理控制之中。预测并防止可能出现问题的环节，向董事会或管理部门反馈信息，使商业银行内部审计成为管理层的有力助手。内审部门应改进审计手段和方法，提高审计质量和审计效率，保证内审工作的有效性。此外，要保持内审部门与上级管理层信息沟通渠道畅通，使管理层能及时听取内审部门对内部控制的评价和改进建议，发挥内审工作的建设性作用。

（三）规范商业银行内部控制制度，努力提高内部审计的独立性。

独立性是内部审计的灵魂，商业银行必须建立符合国际标准、适应新体制要求的审计作业与质量控制规范体系以及标准化、模块化的审计方法体系，形成相对独立、垂直管理的内部审计体制。使商业银行内部审计部门在工作上、组织上和经济上不受被审对象的约束，保持超脱性，从而能够客观、公正地揭示内控缺陷。

(四)构建和谐的内部审计文化，不断提升商业银行内部审计的价值。

内部审计人员是内部审计文化的执行者和塑造者。内部控制机制是一个复杂的有机系统，不能简单地理解为各项工作制度和业务规章的汇总，也不能认为加强内部控制是具体某个部门人员的工作职责，而应该让内部控制渗透到每一个业务环节，让每一位员工都明确自己在内部控制中的职责。

(五)建立以风险导向为主的内部审计制度，全面降低商业银行风险。

风险导向审计是战略管理理论和系统理论在审计实践中的运用所推动的审计模式的新发展。风险导向审计要求审计人员关心组织所面临的风险，并根据风险评估的思路开展对内部控制的评估，使审计报告将目前的控制与策略计划、风险评估连接起来。实施风险导向内部审计，必须强化风险管理理念，充分揭示业务活动和内部管理中存在的风险。通过对商业银行管理行为，资产风险的分析和评价，全面把握被审主体的风险状况。在全面把握整体风险状况的基础上，找出高风险的领域。根据不同的风险建立不同的评估标准，准确识别与评估风险。在此基础上确定审计项目、范围、重点和方式，集中力量对高风险领域进行监控。从而促进商业银行各级管理层有效地进行风险控制和管理，科学决策，提高管理水平。

（六）强化内部审计人员的管理，提升其专业技能和职业判断能力。内部审计要严格遵守公正、客观、保密、胜任的行为准则，树立专业公正，守法诚信的形象，展示其专业能力和职业素养。内审人员必须具备广博的专业知识和多元化的技能。商业银行必须不断提高内审人员的专业素质，以适应不断发展变化的经济金融形势。应通过后续教育和工作培训，增强内审人员在审计风险评估和控制方面的职业判断能力，使其以职业谨慎态度和超然独立性执行审计业务，从而降低审计风险。■

参考文献

[1]胡继荣、刘慧芳，2008：基于全面风险管理的商业银行内部审计职能研究[J]，财会月刊(11)，P65-66。

[2]巴曙松，2003：巴塞尔新资本协议研究[M]，中国金融出版社。

篇6：银行内部控制体系建设

投资银行应从业务流程各环节全面夯实风险内控各项制度要求，将内控责任落实到岗、细化到人、贯穿于每一个申报项目之中，防止风险控制“走过场”。一方面要通过培训和各项制度来加强投资银行业务全员质量控制意识，另一方面还要进一步加强完善以质量控制为主的内部控制体系，从非保荐立项开始，对项目从立项、辅导、现场核查、内核、申报、反馈、专项核查、发行、持续督导等各个阶段实行动态跟踪，分不同阶段对项目给予不同程度的关注。更多最新相关资讯请浏览：合时代

非保荐立项阶段，应重点关注项目人员配备，建立投行项目负责人储备名单，从能力、经验、资格等各方面挑选项目负责人的适当人选。同时，合理安排项目人员分别负责财务、法律、行业等部分的尽职调查及文件起草，并指定专人负责工作底稿的收集整理工作。对保荐立项阶段，应予以充分重视并强化审核，这样一是可以使投行项目总体质量得以提升，二是可以使项目风险得以提前控制，通过立项会否决或暂缓一些项目的立项申请，督促项目组尽职调查。

辅导阶段，对于树立公司董事、监事、高级管理人员的诚信意识和规范运作意识非常重要，为防止流于形式，应借鉴先进经验，专门设立辅导的培训师制度，抽调业务熟手担任培训师，制订专门的辅导内容，准备必备的课题，搜集相关案例进行辅导。在现场核查中，应制订详细的现场核查计划，确定核查重点，深入核查，还需要完善核查工作底稿。

内核阶段是投行业务内控体系的最后一道关口，应严格执行内核程序，对有重大不确定性或者不符合发行条件的项目，通过内核会暂缓表决甚至否决，避免投行业务遭受损失。

在会审核阶段，应加强对项目在会审核期间的尽职调查情况的检查，特别是补充财报期间的尽职调查的检查；确定在会审核阶段的必查事项，包括收入、成本、资金、存货及非流动资产的核查等；对举报信和媒体报道的尽职调查，内控部门应该持续跟踪，必要时应现场参与调查。

发行审核阶段，内控部门应当在发行文件公告前审核项目最终公告文件，并在此阶段持续跟踪媒体报道和举报信情况。持续督导阶段里，内控部门应当设置持续督导专员岗位，专门负责对持续督导法律法规的持续跟进、公司持续督导工作制度的建立健全与执行，到期提醒项目组对上市公司董监高进行现场培训、现场检查、提交定期报告，出现对上市公司的不利报道时及时提醒项目组关注并核查。

为了制度的有效落实，还需要真正完善内部问责机制，加强全体投行人员的责任意识。通过问责机制，使项目组内部分工明确，谁做的调查、谁写的文件，都予以留痕，所有的项目组成员、内控人员、现场核查人员、内核委员对项目的各个阶段都必须承担相应责任，哪个环节出现问题就要对相关人员追究相应的责任，务必使投行人员从上到下都始终保持应有的审慎性。

篇7：银行内部控制体系建设

2012年02月10日 09:32

中信银行[4.07 6.82% 股吧 研报]合规审计部课题组商业银行作为一个以信用为基础，经营货币借贷和结算等业务的高风险行业，实现审慎经营、防范风险，完善内部控制显得尤为重要。本文通过对中信银行的内部控制自我评价实践情况进行分析研究，重点介绍其体系设计、评价标准、评价方法，希望对当前上市银行推进内部控制自我评价工作产生一定借鉴意义。

中信银行内部控制自我评价体系介绍

设计原则。中信银行从2006年开始对内部控制情况进行自我评价，并聘请外部审计机构对内部控制评价报告进行鉴证。《企业内部控制基本规范》颁行后，中信银行根据监管要求积极探索构建内控自我评价模式与评价体系，聘请知名会计咨询公司共同设计优化了内控自我评价流程，不断探索缺陷整改与应对机制，初步形成了内部控制评价与改进机制。与此同时，中信银行着力整合开发涵盖内控日常管理、内控评价、审计检查、操作风险管理、合规管理等功能于一体的内控管理IT平台系统。

基本要素。中信银行的内部控制评价体系包含评价目标、评价主体、评价对象、评价指标、评价方式、评价标准等要素。中信银行将内控自我评价目标确定为：遵循国家法律法规和有关监管规定，建立健全内部控制体系、促进保护企业财产安全、财务

会计报告及管理信息真实可靠，提升经营效率和效果，推动实现股东价值最大化。

实施步骤。中信银行内控自我评价的主要步骤包括：计划制定、内控梳理、控制自评估、自评估校验、审计测试与评价、形成自我评价报告。

计划制定。每年初，全行各级机构在董事会的领导下，共同制定全行内控自我评价工作计划。

在工作计划中应当明确：前期培训、内控梳理、控制自评估、自评估校验、审计测试、自评价报告编制等各项工作实施的时间、参与部门、参与人员以及具体工作内容。

内控梳理。为确保评价指标的有效性和适用性，中信银行建立动态的内控梳理机制。

控制自评估。中信银行的控制自评估工作以问卷调查为主，并辅以专家研讨会等方法。

自评估校验。全行各级机构完成自评估后，由总分行内控管理专职人员对其自评估工作的执行情况及评估结果进行审核校验，出具总结性意见，意在合理保证控制自评估结果的质量。

审计测试与评价。在全行实施控制自评估的基础上，独立的内部审计人员运用穿行测试、抽样检查、实地查验、个别访谈等方法，以全行整个内部控制系统为评价对象，对总行管理部门及分行分层次进行的内部控制状况评分，并评价各级机构内部控制的适当性和有效性。内审部门将对测试中发现的内部控制缺陷进行初步认定，编制内部审计评价报告及内部控制缺陷认定汇总表，向董事会、监事会和高级管理层报告。

形成自我评价报告。由董事会对全行的内部控制情况进行审议，董事会将依据自评估、校验以及审计测试的结果，对全行控制环境、风险评估、控制活动、信息与沟通、内部监督等内部控制情况进行检视，并对内部控制的有效性出具结论性意见。董事会根据《内控基本规范》及其配套指引的要求，对外披露经注册会计师审计的内部控制自我评价报告。

行动计划制定及整改完善。全行各级机构在实施控制自评估以及日常自查、检查的过程中发现存在内部控制设计及运行缺陷、外部监管要求发生变化以及其他相关问题时，应当启动行动计划，会同相关部门及时进行整改，必要时还可提请有关部门追究相关人员的责任。

中信银行内部控制自我评价体系构建的启示

作为首批实施《企业内部控制基本规范》及其配套指引的“A+H”上市公司，中信银行根据监管要求并结合自身实际情况开展的内控自我评价工作具有一定的代表性，对我国商业银行内部控制自我评价工作的开展和完善有一定启发。

篇8：银行内部控制体系建设

一、商业银行内部控制评价指标设计

其一, 过程评价。过程评价主要是评价商业银行内部控制过程的完整性、合理性、有效性。借鉴西方国家商业银行有关的内部控制制度, 参考我国商业银行内部控制指引, 从控制环境、风险评估、控制活动、信息沟通和监督评审五个方面, 对内部控制过程的完整性、合理性、有效性进行评价。

(1) 控制环境。任何组织的控制活动都存在于一定的控制环境之中, 控制环境的好坏直接影响到商业银行内部控制的贯彻执行以及经营目标及整体战略目标的实现。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素的总称。在内部控制理论演进过程中的各阶段都认为内部控制环境是内部控制中不可缺少的部分。内部控制结构阶段将控制环境分为七个方面, 即管理哲学与经营方式、组织结构、审计委员会、人事政策和程序、授权和分配责任的方法、内部审计部门、外部影响。内部控制框架阶段也将控制环境分为七个方面, 但内容有所不同, 包括管理哲学与经营风格、组织结构、董事会及其审计委员会、人力资源政策与实务、权责分派方式、正直品性与价值观、胜任能力。上述列举的内容中有些项目具有共同的特征, 可以作进一步的归纳。如董事会及其审计委员会、内部审计部门的设置属于组织结构设置的一个方面, 可以归为组织结构的范畴;权责分派方式是组织结构的扩充, 任何组织在设置组织结构时必须建立完善的权责分派体系, 所以, 其也可以归为组织结构的范畴;管理哲学与经营风格、人力资源政策等, 可以归纳为企业文化的内容。而正直品性与价值观、胜任能力等可以归纳为人员素质的内容。一个组织的控制环境可以大致分为三个方面, 即组织结构、企业文化、人员素质, 组织结构是内部控制系统的实施载体, 企业文化影响内部控制的意识和理念, 人员素质是实施内部控制的重要条件。因此, 对商业银行内部控制环境的评价主要包括组织结构、企业文化和员工素质等。

第一, 组织结构。组织结构是内部控制的实施载体, 其设置的合理性和运行的效率直接关系着内部控制目标的实现效果, 这就要求通过组织结构的合理设置来加强部门之间的合作与制衡, 以充分体现职责分工、授权审批和沟通协调的原则。合理的组织结构有助于建立良好的内部控制环境, 进而能够促进内部控制方法与组织结构的有机结合和有效使用, 提高内部控制方法的实施效率, 反之, 如果组织结构的设置不合理, 则会导致商业银行各组织结构的职责分工不明确, 工作效率低下, 则无法建立和实施完善严密的内部控制制度。具体而言, 职责分工主要是考虑将不相容职务进行分离, 使得各分支机构、各职能部门、各岗位人员之间, 既有分工负责, 又有相互制约。授权审批主要是为保证各项经营活动是经营管理人员在其授权范围内授权后才得以进行, 而对经营管理全过程实行的必要限制。沟通协调主要是为保证各分支机构、各职能部门、各岗位人员之间的协作而进行的信息交流和科学的工作衔接。

第二, 职员素质。商业银行属于智力密集型企业, 对银行业务经营起决定作用的往往是职员的素质而非其他。商业银行职员素质的高低, 关系到内部控制能否得到较好地贯彻执行, 因而在业务经营环境中是关键的一环。执行公司政策和程序的职员应具有胜任能力和正直品行。具体而言胜任能力是要求职员的专业基础、从业经验、业务水平、心理素质和身体素质能够胜任工作需要, 正直品行是要求职员保持正直诚实、公正廉洁、勤勉尽责的品质和遵守规则的意识。

第三, 企业文化。企业文化是商业银行在一定的民族文化和本公司独有传统的双重影响下, 逐步形成的人文环境、基本信念、价值观念、道德规范、规章制度以及与此相适应的思维方式和行为方式的总和。企业文化的管理是针对精神层面的, 主要包括道德行为标准、经营风格、责任意识和示范效应。具体来说, 道德行为标准是指公司建立的道德行为标准应提倡守法、诚信、公正、协作, 正确定位公司与社会、客户、同业之间以及各岗位职员之间的关系;经营风格是指公司管理人员所秉承的经营理念要稳重、成熟, 正确定位业务开拓与风险防范之间的关系;责任意识是指各级职员与公司之间要形成患难与共、休戚相关的紧密联系, 使职员能自然迸发拼搏精神、敬业精神、团队精神、从业自豪感以及创新意识、风险意识、忧患意识, 正确定位公司与职员之间的关系;示范效应是指公司上级职员要严于律己, 做好表率和榜样, 而下级职员要勤勉尽责、遵规守纪, 正确定位上下级职员之间的关系。

(2) 风险评估。风险评估就是分析和辨认实现商业银行所定目标时可能发生的风险, 并适时加以处理。当今社会经济环境风云变幻, 企业间的竞争越来越激烈, 商业银行经营风险不断扩大, 其内部控制的执行也深受影响。面对内、外环境的日益复杂化, 如何辨别、分析防范和控制经营风险, 已成为商业银行内部控制的重要内容之一。一般来说, 商业银行的风险管理就是按照公司既定的经营战略, 利用各种风险分析技术, 找出业务风险点, 并采取恰当的方法降低风险。商业银行的风险管理应以预防为主, 即通过增加、补充或规范各内部控制环节来减轻可能面临的风险;应建立内部控制监督机构对高风险区域经常检查, 及时发现已存在的或潜在的风险。总之, 商业银行的风险管理必须贯穿并渗透于商业银行内部控制的全过程。对风险评估用目标的设定和风险的识别两个二级指标进行评价。

第一, 目标的设定。商业银行内部控制的目标包括业务经营目标、财务报告目标、合法合规目标。这三大目标可以分解为银行工作的整体目标和各项活动的分项目标。对于整体目标, 应评价对整体目标说明的充分性和针对性及其传达的时效性;各项策略、业务计划和预算与商业银行整体目标之间的关联程度。对于业务活动的目标, 应评价各项业务活动具体目标与商业银行整体目标和战略计划之间的关联性, 及其与所有重要业务程序之间的关系;各业务活动目标之间的关系;业务活动目标的明确性和针对性, 目标设定时, 所有管理阶层的参与程度及其为达到目标的努力程度。

第二, 风险的识别。包括识别商业银行整体水平的风险和业务活动中的风险;影响风险形成的内外部因素;检查识别内外部风险的机制是否完善。对于风险的识别, 用定期评估制度的合理性、风险报告体系的有效性和风险控制能力三个指标进行评价。

(3) 控制活动。控制活动是商业银行为了保证指令得到实施而制定并执行的控制政策和程序, 是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施, 包括政策和程序两个要素, 政策是程序的基础, 程序的实施则使政策产生效果。涉及的控制对象包括人、财、物等各方面。对控制活动进行评价, 按照商业银行的业务活动设置授信业务、资金业务、存款及柜台业务、中间业务四个二级指标。

第一, 信贷业务。商业银行信贷业务内部控制的重点是:实行统一授信管理, 健全客户信用风险识别与监测体系, 完善授信决策与审批机制, 防止对单一客户、关联企业客户和集团客户风险的高度集中, 防止违反信贷原则发放关系人贷款和人情贷款, 防止信贷资金违规投向高风险领域和用于违法活动。对授信业务用信贷策略的管理、信贷管理组织体系、信贷操作程序、信贷管理制度四个指标进行评价。

第二, 资金业务。商业银行资金业务内部控制的重点是:对资金业务对象和产品实行统一授信, 实行严格的前后台职责分离, 建立中台风险监控和管理制度, 防止资金交易员从事越权交易, 防止欺诈行为, 防止因违规操作和风险识别不足导致的重大损失。对资金业务用统一授信管理、前后台的职责分离、中台的风险监控三个指标进行评价。

第三, 存款及柜台业务。商业银行存款及柜台业务内部控制的重点是:对基层营业网点、要害部位和重点岗位实施有效监控, 严格执行账户管理、会计核算制度和各项操作规程, 防止内部操作风险和违规经营行为, 防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动, 确保商业银行和客户资金的安全。对商业银行的存款及柜台业务用存款账户管理、存款业务操作规程、柜员职责制度、柜台业务复核制度四个指标进行评价。

第四, 中间业务。商业银行中间业务内部控制的重点是:开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权, 建立并落实相关的规章制度和操作规程, 按委托人指令办理业务, 防范或有负债风险。对商业银行的中间业务用中间业务准入制度、业务规章制度、操作规程管理三个指标进行评价。

(4) 信息与沟通。信息与沟通是指以一定形式和时间结构辨认、获得的, 为商业银行员工在执行、管理和控制作业过程所需的信息, 以及信息的交换和传递。一个良好的信息系统应有助于提高内部控制的效率和效果, 具体而言, 应有助于控制标准的建立和修正、控制活动成效的评定、控制报告的拟定以及改进建议的及时传达。商业银行应按照控制系统的需要识别使用者的信息需要, 在此基础上收集、加工和处理信息, 并将这些信息及时、准确和经济地传递给商业银行内的相关人员, 使其能够顺利履行其职责。对信息沟通用会计信息系统和微机信息系统进行评价。

第一, 会计信息系统。商业银行会计信息系统内部控制的重点是:实行会计工作的统一管理, 严格执行会计制度和会计操作规程, 运用计算机技术实施会计内部控制, 确保会计信息的真实、完整和合法, 严禁设置账外账, 严禁乱用会计科目, 严禁编制和报送虚假会计信息。对会计信息系统用信息的可靠性、信息的完整性、信息的及时性三个指标进行评价。

第二, 微机信息系统。商业银行微机信息系统内部控制的重点是严格划分微机信息系统开发部门、管理部门与应用部门的职责, 建立和健全微机信息系统风险防范的制度, 确保微机信息系统设备、数据、系统运行和系统环境的安全。对微机信息系统用信息的安全性、信息的准确性、信息的快捷性三个指标进行评价。

(5) 监督与评审。监督与评审是指对内部控制系统的运行效果和质量进行的检查、督促和评价。一个有效的控制应该是一个带有反馈回路的闭环控制过程, 通过关注某一时点的结果并将信息及时传递给控制主体, 以纠正偏离目标的差错, 这就是监督。通过监督, 能够保证控制系统的运行质量, 必要时对其加以纠正。评审是定期地对涉及内部控制的各项经济业务、内部机构和岗位在内部控制上存在的缺陷提出改进建议, 使内部控制更加完善和更加有效。通过评审, 能够发现内部控制系统的薄弱环节, 并建议其加以改进。可见, 监督和评审是两个不同的概念。监督是一种经常性的持续活动, 评审是定期进行的;经常性的监督可以为定期的评审提供重要的信息, 定期评审的结果又可以揭示出监督中存在的问题, 所以两者又是互相促进、互为补充的。对监督评审用预算制度、内部审计和控制自我评估三个指标进行评价。

第一, 预算制度。预算是评价的标准。因此, 商业银行应制定相应的预算制度。对预算制度的评价, 选用预算的参与性、制度的适当性、偏差发现与处理三个指标。

第二, 内部审计。内部审计是商业银行自我评价的机构。对内部审计的评价, 选用内部审计人员的能力与地位、内部审计机构的职责与作用、内部审计结果的改进情况三个指标。

第三, 控制自我评估。控制自我评估是对商业银行进行监督的第一关。对控制自我评估的评价, 选用自我评估方法的适当性、自我评估结论的分析与改进两个指标。

其二, 结果评价。对于结果评价, 主要是评价内部控制目标的实现情况。借鉴西方国家商业银行有关的金融预警制度, 参考我国商业银行内部控制评价试行办法和股份制商业银行风险评级体系, 从获利能力、资产质量、资本充足、流动能力和案件损失五个方面, 对内部控制主要目标实现程度进行评价。本文主要选用以下指标: (1) 资本利润率:利润总额与平均净资产之比。 (2) 资产利润率:税后净利润与平均资产总额之比。 (3) 不良贷款率:不良贷款与贷款总额之比。 (4) 不良贷款额降低率:不良贷款本期末实际余额与不良贷款上期末实际余额的差与不良贷款上期末实际余额之比。 (5) 单一最大客户贷款比例:最大一家客户贷款总额与资本净额之比。 (6) 最大十家客户贷款比例:最大十家客户贷款总额与资本净额之比。 (7) 资本充足率:核心资本加附属资本与风险加权资产之比。 (8) 核心资本充足率:核心资本与风险加权资产之比。 (9) 存贷款比例:存款期末余额与贷款期末余额之比。 (10) 资产流动性比例:流动性资产期末余额与流动性负债期末余额之比。 (11) 准备金比例:准备金与各项存款之比。 (12) 发案率:发案个数与分支机构数之比。 (13) 案件损失率:案件损失金额与总资产之比。

二、商业银行内部控制评价指标体系构建

从过程和结果两个方面对商业银行的内部控制进行评价, 对于过程评价, 从控制环境、风险评估、控制活动、信息沟通和监督评审五个纬度、构建包括5个一级指标、14个二级指标、43个三级指标的商业银行内部控制评价指标。对于结果评价, 从获利能力、资产质量、资本充足、流动能力和案件损失五个方面, 构建13个评价指标, 见表1。

参考文献

[1]刘金文:《“三要素”:内部控制理论框架的最佳组合》, 《审计研究》2004年第2期。

[2]刘华:《证券公司内部控制系统研究》, 中国财政经济出版社2004年版。

[3]中国银行业监督管理委员会:《商业银行内部控制指引》 (银监会令[2007]6号) 。