ParK's 論文后花園

东北财经大学
硕士学位论文
从西方内部控制理论看我国商业银行的内部控制制度及其建设
姓名：周阳
申请学位级别：硕士
专业：金融学
指导教师：李秉祥
2002.12.1
内骞攘要
篁皇皇曼黛蔓詈崔皇皇鼍赠曼寡冀皇鲁量邕舅詈_—I——————————————————————一II IIIIII鼍
内容接要
银行业蹩我国经济改革特剐楚金融改革中难度最大、闻题最多的部门，本
文试图从内部控涮的角度探索银行改革的途径，试圈透过对西方内部控锎瑾论
的考察和借箍来探讨如何加强我国裔韭锻行的内部撩翻蒲l度，祆丽改遴镶行静
内部管瓒、提高银行莳鼗务矮量程竞争能力。
体文包括两大部分：
第一部分，详纲雨企瑟静叙述了秀方内部控翻理论，耨嬲分褥了巴塞尔委
爱会所掇出豹内部控翩摹本框架。
第二部分，对悉嚣方蠢救银行熬内部控捌系统分柝了我国囊韭锻行在控制
环境、甄险评藩、按裁添动、信息传递、蠹郯审计五个方瑟瓣缺陷及其原因，
井提癌了稳关熬菠遴建议。
认识阀鼷是解决闫联豹第一步。本文羞燕分据7我躅亵娃银行内控豹翘题
艇褒，提出了探讨搜质豹建议，至予这些建议是否寞豹挠够艇决闯题、拢够对
解决闫题有多少帮助还要看实践鲍终果。j卢～
关键词：银行改蔓、
风险评估、
l
ABSTRACT
ABSTRACT
The banking industry is a section that has greatest difficulties and most
problems in the economy reformation especially in the finance reformation．This
paper,in order tO improve the internal control of banking and tO enhance the
business qualities and market competence ofthe banking industry,attempts to find a
way of resolution from the aspect of the internal control，aiming at discussing how
to strengthen the intemal control of our banking industry by way of looking into and
making reference to the internal control theory in the western countries．
Tiffs paper consists oftwo parts：
The first pan presents the internal control theory稍tll details and broadness．
especially analyzing the framework of internal control provided by Basel
Committee．
The second pan，in comparison with the west banking system，investigates the
defects of the intemal control of our banking system from five factors：control
culture，risk assessment,control activities，information transference，intemal audit
programs．This part also gives some relevant proposals of improvement．
Knowing the problem is the first step of solving the problems．With respect to
the investigations of the west intemal control theory,this paper has emphasis on the
internal problems of Our banking industry．And all the proposals in this paper is
deteetive．Whether the feasibilities and usefulness ofthose proposals depends on the
verific撕on ofthe practice．
Key Words：TheReformationofBankingIndustry
The Management of Banking
Internal ConlTol Control Culture
魁sk Assessment Control Activities
Information Transference Intemal Audit Programs
第一肇西方内部控鞘理论的形成鞫发展l !_____!_—|s※__I i_l—_-l_____l__
在众融改革的过程中，银行业的改革及其市场化在思路和步SI上相对迟疑
和踌躇。改革拜放以来，银行娩实鞒上就像其德国有企韭一样只是迸彳亍放权让
剥，放权让蒯戆结粜自然形成7螽来阻碍锻行期度交孳熬誉良资产。缀过近凡
年市场化的改革实践，人们越来越感到银行强化管理的重要，也在积极探索如
{可才能强亿管理，镟行界对内部控翻越来越重瓿。
囊跌1997年中强人疑镊蟹发出“艇强衾融瓠棱蠹郝控裂的糍撑原则”戳寒，
各商业银行和a}银彳亍金融机构普遍开展了蹙章建制的工作，这一工作融取得了
初步成绩。2002年9月18日，入民银行叉向备商监键行下达了《商渡银行内
部控利攒孳l》。袈形势下鲍蠹都控测王终还骞|睾多王份簧徽，嚣我们把犬爨嚣重蠲
都用在了所有制的讨论和组织架构的塑造上，但是纵观国际，私人银行也有倒
闭的，国有银行妊也有盈莆j的，国内外银行机构在组织结构方面礅是五花A．f1、
手楚万裂。其实，赝有副秘组织结秘劳不照瑷代金融凝构最本屡蠡孽东魏，最本
质的是机构内部的控制文化和控制机制。中国金融机构特别是国有商业银行的
根本出路在于宪善公司治理，加强内部控制。在这方渐西方发达国家已经研究
亵截造密了一簇比较宠整豹理论帮方法，审鏊金融器麴遭镯任务楚运弼先进的
内部控制理论和方法，提菇管璁水平。
第一编西方内部控制理论
第一耄螽方内部控制理论的形成稀发震
内部控制机制最初的形式怒“内部牵制制度”。这一制度最早是由美国著名
审计学家蒙哥玛利予20懒纪40年代在其所著的‘审计学》一书中提出来的，
鄂凡涉及财产耪货曩l资金鹣投穆、络箨及箕登记瓣任篱一臻工俸，麓定嚣由薄
人戏两人以上来分工掌管，以起到相踅制约的作用。现代意义的内部控制是筠
财产所有衩与经营管理权裙分离的现代企蛾制度相适应的，企业的利益相关人
帮投瓷老、篌较大秘鏊家税收枫关必然关·冬企鼗是否爨锯执行了遴章亍静会计壤
则，企业向外掇供的会计报表是否真实完赘豹反映了其财务状况和成果，利焱
相关人的财产和投资回报是否育保障，是否受到侵占或损失。这种关心纛初烧
2 从西方内部控制理论看我国商业银行的内部控制制度及其建设
通过对企业的详细调查来实现的。后来随着企业规模和企业活动日益繁杂，出
现了抽样审查的方式。经过长期的抽样审计实践，人们逐渐认识到增强企业自
我约束意识、防范经营风险的关键是要在企业内部形成相互制衡机制，于是内
部控制理论应运而生。这种制度建设有很强的理论色彩，其实质是将现代管理
学中的控制论、监督学和权力制衡理论运用到企业的管理活动中。
内部控制的概念经过了由“部分控制论”向“全部控制论”的发展，“部分
控制论”认为内控包括：1．与经济业务有关的内部会计控制。2．内部牵制和内部
审计两部分。这种认识的一个缺陷是，内部控制只与资产管理有关，而与行政
管理、业务管理无关。“全部控制论”克服了这个缺陷，认为内部控制已超过了
会计和财务的范围，渗透到经营的各个方面和管理的全过程。内控目的论的发
展也经过了下述阶段：1．“三目的论”认为，内控是为了保护单位的财产、会计
记录的准确和可靠财务信息的及时提供。2．“四目的论”认为，内控除了要保全
资产和检查财务资料的准确可靠性以外，更重要的是要执行管理政策，提高经
营效益和效率。上述发展的其实质在于，对内部控制的检查评价应有别于传统
思路，检查要目的明确、全面、完整、深入。
内部控制从最初发生到形成管理科学这一历史过程，可以看出以下的演绎
轨迹：内部控制方法首先在经济组织内部产生——在外部审计和外部监管的推
动下获得长足的发展——最后又在经济组织内部得到规范使用；内部控制首先
是～种一般的管理行为——在会计领域发展为完备的体系——最后又扩展到管
理活动的各个方面。内部控制形成了完整的科学体系．并最终建立了它在管理
活动中的重要地位，是有其内部的根源的，是现代企业制度逐渐成熟、企业规
模不断大型化的必然要求。
．一。。。。。。。—譬已翟盥鬯鳖鲨鬯鳖譬—————二
第二章嚣方内部控制理论的基本内容
第一节内部控制的定义
1992年，美国COSO委员会(Committee ofSponsoring Organization ofThe
TrcadwayCommission)提出了报告《内部控制——憋体糕架》，1994年进行了
璞羚。COSO对内控静定义莛：内控是一令受菜荦位不同藩次静入影响熬过程。
丽设计这一过程是为了实现下述三大目标提供会理的保证：经营的效果和效率：
财会报告的可靠性：对现行法规的遵守。
巴塞尔娄受会(1997)参照各鬣静有笑理论，在肉控定义串送一涉强调董
事会和商级镣理层对内控的影响，缌织中的所鸯各级人员郡必须参加内控过程、
对内控产生影响。巴塞尔委员会对内控的三大目标分解为操作性目标、信息性
蠢标帮遵获槛磊标。操作性嚣标不魏针对经营活动，两置明确包括其他各种活
动{在信息性曩标中还把管理信息镪括了避来，职磺要裴实现财务热簿理镲患
的可靠性、完整性和及时性。
表1 关于内部控制三大嗣标的表述
COSO豹内撩目标Basel豹雨控蟊标
l 经营的效果秘效率撮终性曩橼：各耪活动效果巍效率
2 财务报告的可靠性信息性目标：财务和管理信息的可靠性、完整性和及时性
3 对现行法规昀遵守遵从性目标：遵从现行法律和规章制度
蜜料来潦：美国COSO(1994)；邑器尔委员会(1997)
这三大滔标瀵足不隧自孽蔫要，又稳互交叉。显然，斑控是谦证各颂韭务发
展的，惩不是妨碍其发展的。在操馋性耳标中，经营的“效果”是根擐实球产
出与预计计划产出比较丽言的；经营的“效率”是根据实际产出与实际投入比
较蔼言豹。魏辫，公司帮疑{亍不能兔实现经营羧目标雨不遴麸法规，匏不能为
实现遵从性耳标面造反财务秘管理馈息的弼靠瞧、完整性翻及时挂。
显然，COSO和巴塞尔委员会的内控理论不仅包括对财务信息的按制，丽
4 从西方内部控制理论看我国商业银行的内部控制制度及其建设
且包括对管理政策的执行和对经营效益的提高，是一种“全部控制论”的概念。
良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明：
(1)内控是一种程序，它意味着向某一终点努力，而不是终点本身；
(2) 内控是用来取得一种或多种相互区分而又紧密联系的口标的；
(3)内控受人的影响，而不只是政策、守则或表格；
(4)只能期待内控为公司管理层提供合理的保证，而不是绝对的保证。
有关内控的明确而科学的定义为各单位提供了比较一致的标准，以便其能
够评价控制系统和决定如何加强控制。经营管理部门和内部审计部门应该参照
相应的法规和实旖细则，设定一些具体的标准，认真考察被检查单位的内控系
统，看其是否合理的确保了这些目标的实现。如果不能，总是可以从内控的某
些方面找出问题的根源。一家公司或银行的内控工作抓得好不好，可以从上述
三大目标加以总的考核：它的董事会和商级管理层是否合理的确保了他们理解
该单位实现其操作性目标的安排?它的财务报告和各项管理信息是否可靠、完
整和及时的被草拟和提供了?它的各项活动是否遵从了现行的法规和制度?这
些方向性的标准无疑是对一个单位比较有利的鞭策。若能细化这些标准，对内
控的深入考核会更有益处。
由此可见，审计部门以往所提的“合规性审计⋯效益型审计”和财务检查
等都属于专项审计，也都有一定的片面性。审计工作的重心应当转向对内部控
制的审计再监督，而对内控的检查评价应有别于传统的审计思路，其目的要明
确和全面，检查要完整和深入。
第二节从总体上把握内部控制系统的框架
现代内控理论赋予了内控广泛的职能，把内控爱予很高的层面上，从而强
化了内控的作用。1994年COSO委员会增补发布题为《内部控制——整体框架》
的报告，从理论到操作方法上阐述了一套完整的内控框架，它将内部控制确认
为5个有机联系的要素：控制环境、风险评估、控制活动、信息交流、监督与
评审。控制环境创造出一种氛围，使人们在这种气氛下开展活动，执行他们的
控制责任，为内部控制体系的其他组成部分奠定了基础。在这种环境中，管理
人员为达到特定的目标评估风险。控制活动的实施有助于确保管理指令针对风
第二章西方内部控镧理论的基本内容5
险，并且得以实施。同时，获取有关的信息，并且在整个组织中交流。整个程
序要受到监督评审，并且在条件许可的情况下加以监督。1998年巴塞尔委员会
在控制环境中强调了管理层的督促(oversi}ght)和控制文化；在风险评估方面
强调风险识别和风险评估并举；在控制活动方面又突出了职责分离的重要性：
该委员会特别对信息与交流作了更多的解释：除了监督评审活动之外，还把缺
陷的纠正这种被COSO认为并非内控的活动也纳入内控活动。巴塞尔委员会还
在上述内控的五大组成部分之外，增加了监管当局对内控的检查和评价，把他
们作为内控的另一不可忽视的内容。无论是COSO还是巴塞尔委员会都跳出了
传统的思维方式，而把内控视为多维立体空间，促使人们全面深入的理解控制
和控制的对象，分析解决管理控制中存在的复杂问题。其中还引出了“全息论”
的概念：这五大组成部分和三大目标是紧密相联的，就像一个人体细胞包含了
人体的各种信息那样，一个组织中的任何一个机构、一项业务或一位成员都包
含或反映出该组之中的三大目标和五大组成部分等各种信息。
表2 关于内部控制五大组成部分的表述
COSO的分析BaseI的分析
l 控制环境管理层的督促与控制文化
2 风险评估风险的识别与评估
3 控制活动控制活动与职责分离
4 信息与交流信息与交流
5 监督与评审监督评审活动与缺陷的纠正
资料来源：美国COSO(1994)；巴塞尔委员会(1998)
三大目标和五大组成部分构成了内控系统的整体框架。在一个单位努力实
现的各种目标和取得这些目标所需要的各个组成部分之间存在着一种直接的关
系；内部控制同整个企业有关，或者说，内部控制同它的单位或活动的任何部
分都有关系。如果把内控整体框架中的任何一个组成部分(比如“信息与交流”
部分)抽出来考察就可以明确这一点，所有三大目标都需要信息，以便于有效
管理业务经营，拟定财务报告，并决定法规是否得到了遵循；如果把内控整体
框架中的任何一向目标(比如“法规遵循”目标)抽出来，所有五大内控的组
成部分(比如“控制环境”)都对取得这一目标(当然也对取得其他目标)是适
用的和重要的。现代内控理论对内控目标日臻完善的描述帮助人们更全面和更
．二。。。。些至塑堡堡墼墨薹茎塞基皇些篓童馨空兰茎塑型耋圣耋耋耋二。一
深刻的理解内控及其控制对象，使人们能够以内控为有力武器，为实现三大目
标自觉奋斗。
第三节全面理解巴塞尔委员会所述的内控五大组成部分
2．3．1控制环境(管理层的督促和控制文化)：
控制环境是指管理层的督促和控制文化，是所有其它内控组成部分的基础。
它奠定了组织的风格和结构，并且涉及到所有活动的核心——人，特别是人的
控制觉悟，它还反映政府、银行、非银行金融机构以及生产性企业的各级管理
层对内控的要求。
有关管理监督和控制文化方面的原则包括：
(1)董事会：其成员应当是客观的、有能力的、爱钻研的，精通银行业务
和银行风险的专家。一个起作用的、有活力的董事会，特别是要辅以有效的向
上传递信息的途径和财务、法律以及内部监督机制，该董事会就能够成为一个
作用强大的重要机构，以保证及时纠正那些破坏内控体系效力的问题。董事会
应对高级管理层进行鼓励、指导和监督。董事会应批准和检查银行的整体经营
战略、重大政策和组织结构。董事会的内控工作应包括以下几个方面：①定期
与管理层对内控体系的有效性进行讨论；②定期检查管理层、内外部审计对内
部控制的评价；⑧不断努力以确保管理层能根据审计结果和监管当局指出的内
控缺陷来予以改进；④定期检查银行策略和风险界限的正确性。
(2)高级管理层：
高级管理层负责执行由董事会批准的战略和政策，开发识别、衡量、监督
和控制银行风险的程序，维护一个责任、授权和报告关系明确的组织结构；确
保授权得到有效的执行；制定适当的内控政策；监督评审内控系统的充分性和
有效性。
高级管理层应负责执行董事会的决议，包括执行银行战略和政策、建立有
效的内控体系。高级管理层通过授权，为每个业务部门确立更明确、更细化的
内控政策和程序。授权是管理的重要促成部分，但是，对高级管理层而言．最
重要的是监督被授权的管理人员以确保他们执行并制定正确的政策和程序。
(3)控制文化：
第二章西方内部控制理论的基本内容一2
有效的内控体系的一个基本要素便是强大的控制文化。董事会和高级管理
层有责任透过自己的言行包括其在锻行内姓理业务过程中表现的伦理价值来强
谡凌控熬重要性。蘩事会成员_苇【l毫级管理入虽熬畜行秘态度影响簧镊纷控裁文
化的完羧性、深入性及其他方嘲。
内部控制蹙银行每饿员工的职责。几乎所有的员工都产生了内控体系所使
瘸豹薅惑，或者扶攀零蘩控潮黥霉势。强文戆肉控髂系豹一个重要豹弱素，藏
是所有的雇员都应当认识到有效行使职责、向适当的管理鼷反映工作中发现的
问聪是必要的。而做到这～点最好的方法是将工作程序清楚的写迸书面文件，
势搜有关入受始悉文停蠹容。壤行熬全体燹工谈宝哭蠹控豹蘩要魏并鼗谈援懿参
与其中，这是楚关爨要的。
在强化伦理价值时。镟行应当避免那些刺激或鼓励不良行为的政策或实践。
这类政策察实我熬镄予惫话逑分强调行失瓣磊鹣凌结采，特掰是郑些怒珞长期
风险的筑期目的或结果；过分以短期行为为依摄豹奖励制度；对渍任_秘其他控
制的无效划分，以致导致资源的错误使用，或掩盖那些不藏的行为；对非正当
的行表过轻或j重重静惩稀。当然，鸯了强大熬控镄文纯并不缒保诞一家镊孬就
能实现它的耳标，但是，内控文化的缺乏却～定会导致更多的错误难以被发现，
或出现熙多的不良行为。
(4)审诗委员会
要缎织一个强鸯力的、独立的审计委员会，这个豢员会簧在保证适当发现
和管理风险方面起关键作用。黼际内部审计师协会(IIA，1998)指出；“审计
委员会稳治璎桃箭方面静责荏是妥绦证公司合理的遵循瑗行静法律和规章潞
瘦，有邋德的履孝亍其职责，著对雇员在剥蕊冲突秘舞弊方瑟保持有效的控割。”
总之，控制环境定下了组织的基调，影响到该组织内人们的控制觉悟。控
镧环境构成了内控其谴缀成部分的基础，浚定了维绞的纪律和结稳。
2。3。2赋殓麓识别号浮馈：
一个商效的内部控制系统戍该能识别那些可能对银行目标的实现造成障碍
的麓大风险，并对之进行连续性评估，评估应涵盏银彳亍所面l瞄的所有风险，并
置黉穿予镶幸亍黥不葡层缀。
有效的风险评供不但要识别和考虑内部因素(比热组织结构鹣复杂性、银
行妲务的性质、员工的素质、机构调艇和员工的变动等等)，还要识别和考虑外
8 从西方内部控制理论看我国商业银行的内部控制制度及其建设
部因素(比如经济条件的变动、产业的变化和技术的进步等等)。这些内外部因
素，能够从负面影响银行目标的实现。有效的风险评估不但可对风险的可量化
的一面进行评价，而且对风险的不可量化的那一面进行评价，还对控制的成本
和控制所带来的收益进行衡量。
风险评估需确定哪些风险是银行可以控制的，哪些是不能控制的。对于可
控制的风险，银行必须判断是否接受这些风险以及银行希望通过控制程序将风
险减少到何种程度。对于那些不可控制的风险，银行必须决定是否接受这些风
险，是否退出或减少有风险的业务。
为了保证风险评估和内控体系的有效性，高级管理层必须不断对影响其达
到既定目标的风险进行评估，并对环境和条件的变化做出反应。内部控制还需
要加以调整，以恰当应对新出现的或以往未能控制的风险。比如，当出现金融
创新时，银行需要对新的金融工具和市场交易进行评估，并评估新的金融工具
和市场交易所附带的风险。在充分考虑各种情况将如何影响现金流量和交易收
益后，上述风险通常就能得到很好的理解。对从顾客的误解到操作失败等一系
列可能出现的问题进行全面的考虑，会产生重要的控制思想。
2．3．3控制活动与职责分离：
控制活动是为了合理的保证经营管理目标的实现，对银行通过上述风险评
估过程所识别出的风险进行处理。控制活动包括两个步骤：一是控制政策和程
序的设定；二是检验上述政策和程序是否已得到遵守。控制活动涉及银行的各
层级员工，包括各级管理人员和第一线的员工，控制活动主要是通过一定的控
制手段和职责分离的控制机制实现的。
(1)控制手段
一个有效的内部控制系统应建立一个适当的控制结构，对所有业务部门应
有确定的控制活动。控制活动具体有：
·最高层检查。
董事会和高级管理层经常要求汇报工作和提供报告，以便能够检查银行是
否朝着既定的目标前进。比如，高级管理层可以审查那些反映到目前为止的实
际财务结果的报告，并以此结果与预算做比较。较低层次的管理层对高级管理
层根据审查情况提出的问题做出反应，就是一种控制活动，该活动能发现许多
问题，如控制的薄弱，财务报告的错误或者欺诈行为等．
第二章西方内部控制理论的基本内容9 _____I|-II-j!IEjg!__●_--_-______g_-●-●●_l__l______l●-_E
·行为控制，也即直接管理。
部级或处级的管理层对正常活动报告和例外活动报告按日、周或者月进行
检查和查看。此种职能检查比最高层检查更频繁更仔细。比如，一位信贷员(客
户经理)会每周检查关于逾期未收帐款、已偿还贷款、组合投资的利息收入报
告；而一位高级信贷员则会每月对类似的报告进行检查和查看，而且报告会涵
盖所有信贷领域，并且形式更为简洁。与最高层检查相似，对根据审查情况提
出的问题做出反应，就是控制活动。
·物理上的控制。
物理上的控制主要是指对接触现金和有价证券的有形资产方面的限制。控
制内容主要包括物理上的限制，双重保管和定期盘存。
·对风险承受限度的遵守。
确立审慎的风险承受限度是风险管理的一个重要方面。比如，遵守对贷款
人和其他当事人所做的限制有利于防止银行信用风险过度集中，有利于分散风
险，因而，对各种风险承受限度的遵守情况进行检查，并对没有遵守的情况采
取跟迸措施，就成为内控的一个重要方面。
·批准和授权。
对超越限额的交易进行批准和授权，不仅能够确保相应的管理层知晓交易
的情况，而且有利于明确责任。
·检查及核对。
对交易的细节和行为、风险管理模式的结果进行检查是银行重要的管理活
动。定期核对，比如将现金流量与财务记录和报表进行核对，能够发现需要修
正的记录和行为。因此，一旦发现已存在的或潜在的问题，都应当将查证的结
果报告给适当层级的管理层。
只有当管理层和其他员工将控制活动看作是银行日常活动的一个必不可少
的部分。而不仅仅是附属于日常业务时，控制活动才是最有效的。如果控制活
动只是被视为日常活动的额外活动，则控制活动的重要性就得不到重视，尤其
是当业务人员在有限的时间急于完成某一项具体业务工作时，就更不会执行控
制行为。另外，控制活动作为日常业务不可缺少的一部分，有利于银行对情况
的变化做出快速反应，以避免不必要的损失。作为在银行内部培养适当的控制
文化的一部分，高级管理层应当确保适当的、足够的控制活动是所有相关职员
lo扶黎方内郝控裁壤论鼍我国薅韭镊撵瓣走部控潮糕度及其建{受
日常王作耱一个必要缀成部分。
(2)职责分离
有效的银行内部控制系统需腰适当分离职责，且每个员工的职责不得相互
狰突，瘟滏对存在弱箍冲突豹领域进行识飘，使之最小纯并对之遗行谨慎丽猿
立的监控。所谓“职责分离”就是不嘲职责由不嬲人员承担，不熊“一手渍”。
比如：授权交易、交易记录和资产保管这三种职责要分别设立不同的岗位和责
任入。
纵观那些出于薄弱的内部控划丽弓l起的严重锻行损失，人们发现这艘撰失
的主要原阂之一是缺怨适当的职责分离。将相互冲突的职责(比如，一个业务
部门中蔚螽藕螽台豹职责)授予一个入，会簿致该入麓接到备种票据或{捱券，
并熊失了个人利益或为了撼盖损失薅对财务数据遴行篡改。锻雩亍毂特定豹职责
应该在合理的范围内在多数人间进行分离，以减少个人篡改财务数据和漆用财
产的风陵。
职责分离涉及的闯题苓仅眼予恩拜重憋翦密移嚣台斡权责交绘一令人行使，
还包括下列将权责急于一人、无恰当控制的情形，这些情形同样会导致严重的
问题。
资金支纣黪批猿秘实黪豹资金支熨；
客户帐户及业主账户；
银行帐薄中的交翁系统和业务帐薄中的交易；
慰鼹一客户实施慧销活凑酵，菲更残麴浅该客户提供寿美葵爨处逑像鹣信
息：
评佶贷款文件的究分性及在发放贷款后蘸控借款人#
经摄熬存在蓬大攀l蕊狰突瑟又没鸯其毽缓移裂薤{孛突静因素存在静领域。
对于那些存在潜在冲突的领域也应当加以识别，使之最小化，井由独立的
第三方仔细地进行监督；应当对重要员工履行义务和职责的情况进彳亍定期检查，
黻确保链钓没有黠不嶷熬器为进行撬盏。
2．3．4信息与交流
充分的信息和有效的传递、交流对内控体系发挥正常功能具有熏要作用。
从银行的角度来讲，只有信息是榴关的、可靠的、及时的、可得的、按照一致
熬格式提供的，宅方燕有用瓣。搭患甄镪括巍部财务、经营窝会援情嚣豹数据，
第二章西方内部控制理论的基本内容11
也包括对决策有影响的时间和情况的外部市场信息。内部信息是持续记录工作
的一部分。记录工作应当包括已确立的保存记录的程序。
一个有效的内部控制系统应当有包含了银行所有重大活动的、适当的、可
靠的信息系统。这些系统包括以电子形式保存和使用的数据系统，必须安全可
靠，必须受到独立监督，并且支持能对非法事件予以恰当、紧急处理的措施。
建立和保持覆盖所有业务领域的管理信息系统是非常必要的。该信息通常
既可以通过电子途径，也可以通过非电子途径来提供。银行尤其应该了解内控
对以电子形式处理信息的要求，以及建立足够的审计途径的必要性。设计和控
制不当的信息系统提供的不可靠或误导性错误信息将对管理决策造成负面影
响。
为了避免潜在损失和银行业务的混乱，银行必须对电子信息系统和使用信
息技术的风险加以有效控制。由于交易过程和交易申请已经从使用大型主机的
计算机环境发展到通过分散的电脑系统来从事大量的重要业务，那么风险也随
之扩大。对信息系统和技术的控制应当包括一般控制和应用控制。一般控制是
指对计算机系统(比如，大型主机，客户朋艮务器，终端用户工作站)的控制，
并确保计算机系统连续、正常的运转。一般控制包括内部备份和恢复程序，软
件升级和获得政策，维护控制程序以及物理／逻辑进入的安全控制。应用控制是
指那些软件应用中的电脑化步骤及手工操作的程序，它们控制着交易和业务的
进行。应用程序包括编辑审查以及专对业务系统所进行的特定的实际进入控制。
一个有效的内部控制系统应用有信息向上、向下和横向的充分传递。这样
的机构设置应有利于信息向上传递，以便董事会和高级管理层能够知晓业务风
险和银行的运作情况。信息的向下传递确保将银行的目标、策略、期望、既定
政策和程序传达给较低层级的管理人员和工作人员。信息的向下传递对全行员
工共同努力实现银行的目标是至关重要的。最后，信息在组织内部横向传递确
保某个处室或部门所知晓的信息为其他有关处室或部门共享是必要的。
2．3．5监督和修正
(1)对内部控制的监督
由于银行业是一个动态、快速发展变化的行业，银行必须根据时时变化的
内部和外部情况对内部控制系统不问断的进行监控和评价。对内控有效性的监
督可以有来自若干不同领域——包括业务部门本身、财务控制和内部审计部门
．■．—塑翌型塑譬塑璺鲨塑型型塑蝥型鬯k。—一
的人员来完成。iENNNN，有一点很重要，即高级管理层应对哪些人员负责
哪些方面的控制十分清楚，监控活动应当成为银行日常活动的一部分。
(2)修正内部控制的缺陷
连续进行的监控活动有利于迅速发现和修正内部控制系统中的缺陷。非连
续的评价活动只能在事后发现问题，然而，非连续的评价活动可使一个组织对
其内部控制系统的有效性做一个全面的审视。对内控系统应当进行有目的的和
全面的内部审计。内审要独立进行，应得到适当的培训，并配备称职和得力的
人员。内审作为内控系统监督评审的一部分，应当向其董事会和其审计委员会
直接报告工作，并向高级管理层直接报告。不论是经营层或是其他控制人员发
现了内控的缺陷，都应当及时的向适当的管理层报告，并使其得到果断的处理。
应当把有关的内控缺陷报告给高级管理层和董事会。
。。。。．彗耋。銎塑鳖些墼罂篮§盥警三兰翟一
第三章深入理解内控：内控与管理的关系、内
控与内审的关系
第一节内控与管理的关系
了解内控与管理的关系，裁有可能充分加强内控工作。内部或外部审计人
员在检查监督的过程中，时常发现被审查单位的管理层对内控认识比较肤浅，
也不甚了解内控与管理、内控与内审的关系。有人认为管理就是内控，抓了管
理内控自然就到位了，因而也没有必要特别强调内控。也有人认为内控是内审
部门的工作，抓内控应该由内审部门牵头。有些内部或外部的审计人员在进行
内控检查的时候，也因认识模糊而无从下手。因此，很有必要搞清内控与管理
的关系。
3．1管理的内涵及其与内控的异同
从广义上讲，管理是管理者确定目标和战略，并通过一定的组织形式、规
章制度和操作方法去实现目标的全部过程。管理者要执行聘用合同，为公司和
银行的所有者的利益确定明确的管理目标，包括全局整体性目标和各项业务活
动水平上的目标，然后制定各种战略和实施计划。管理者要以一定的组织形式
为依托，以一定的规章制度为依据，采取种种方法去实现既定的目标。管理者
有责任控制局面，并解决和纠正在监督检查各项经营管理活动中所发现的问题
和错误，包括对有问题责任人的追究和处罚。由于所定的目标和战略会对管理
单位的行为产生影响，管理科学运用科学的原则和分析性方法，研究企业的行
为。在发达国家，不论学术界还是实业界都日益重视公司治理结搀的研究，以
求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛应用，大大
促进了管理的合理化和效率。
广义上的管理涵盖了比内控更为广泛的内容，并不是所有的管理活动都是
内控活动，也并不是说非内控性的管理活动就都不重要了。比如，设定目标的
决策就是一种很重要的管理责任，为内控提供了前提条件。在国外，公司的所
有者代表(董事会)也要参与甚至领导这种决策．但是，重大目标的最初设定
坠。．些璺垄塑墼坚墼型璺型塑彗型型鐾坠一并不是在内控的工作范围之内。同样，许多管理方面的具体决策和一般性的活
动并不都属于内控。
然而，问题的关键不在这里，而在于内控是管理中至关重要的部分。管理
的学问就在于抓住管理活动中那些对实现目标至关重要的部分。比如，COSO
等理论所描述的内控内容中都列举了许多控制要素和风险，这些都是管理者必
须关注的地方。又如，尽管COSO认为对错误的纠正行动不应属于内控活动，
但巴塞尔委员会却将其列为内控活动。原因很显然，纠正错误己成为管理的一
项重要活动，直接影响到目标的实现。同理，战略计划和风险管理这些本来被
COSO视为非内控性活动，却被巴塞尔委员会列为内控范围之内的活动了。尽
管目标的最初设定是内控的前提条件，但是内控并没有放弃对这方面的关注，
内控的重要职能之一又是监督目标的设定和实现过程。至于业务活动水平上的
目标设立，虽然也被COSO视为非内控性活动，但是在COS0提出的内控操作
方法中，这些目标都是内控所关注的重要内容。下表仅从一个侧面说明了这个
问题：
表3 内控与管理的关系的确定
管理活动COSo Basel
l 整体目标的设计非内控非内控
2 战略计划非内控内控
3 内部环境因素的设立内控内控
4 业务活动水平目标的设立非内控
5 风险识别活动内控内控
6 风险管理非内控内控
7 控制活动的实施内控内控
8 信息识别、采集和交流内控内控
9 监督评审内控内控
lO 纠正行为非内控内控
资料来源：同上表
。，。彗耋星璺墼坠些塑塑誊譬篮警墨奎坠，—占
3．2风险管理与内控的关系
风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和
困难。对一家公司而言，风险既预示着机遇，又会影响其竞争能力，还影响其
维持融资的能力以及保持和提高其产品与服务质量的能力。
风险是如此之广泛，以至于有人认为风险管理就是内部控制，甚至风险管
理包括了内控。把两者混淆是由于没有看到内控和管理都是公司治理的本质性
内容。
诚然，风险管理是整个管理活动系列的重要组成部分。一般可指风险管理
目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行
政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内控要做的，
特别是内控并不负责管理目标的具体设立，这是管理过程起始阶段的活动。内
控中的风险评估是对可能发生的不利条件或事件进行评价，并做出完整的专业
性鉴定的一种系统性过程。当然，风险评估首先要注意目标问题，因为，没有
明确的目标也谈不上目标实现的风险。但是，内部控制并不是目标的制定活动，
而是对目标制定的评价工作，特别是对目标和战略计划制定当中的评估，风险
管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管
理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、
信息与交流活动和监督评审与缺陷的纠正等工作。
内部控制强调评估经营管理活动中突出的风险点(当然这些风险点不是固
定不变的)，建议经营管理人员针对这些风险点实施必要的控制活动。这里所评
估的既有内部风险，又有外部风险。那种认为内控是控制某个单位的内部风险
的观点是片面的。coso和巴塞尔委员会都认为，内控的过程涵盖了公司所面
对的，并在公司内由各级人员所经营的所有内部和外部风险。
然而，现实中的风险管理却很实在．巴塞尔委员会指出，风险管理不同于
内控之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比
较不同的公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里，
风险管理往往被狭义的理解为授信或部分业务(如信贷)的授权管理；广义的
风险不仅有信贷风险，还包括国家与转移风险、市场风险、利率风险、流动性
风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真
正落实到银行目前的某一具体业务或部门，成为它的责任。其结果，我国银行
16从西方内部控制理论看我国商业银行的内部控制制度及其建设
实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研
究和控制，甚至连统一授信都难以在一些银行里真正实现。
不过，现实情况中的风险管理一方面有其特有的内涵和现实的范畴，另一
方面也在某些内容上与内控相交叉。在前文中，COSO认为风险管理是非内控
性的管理活动，这种分析也是有片面性的。特别是风险管理在“风险的识别与
评估”和“控制活动与职责分离”等内控内容中，与内控相交叉，属于内控强
化过程的管理活动。
然而，内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监
督评审与缺陷的纠正”等重要内容。在现实中，管理层的监督并不是没有，而
是远远没有强调到“控制文化”的程度。“信息与交流”和“监督评审与缺陷的
纠正”这两大内容的内控也没有达到现代内控原理的要求。特别要指出，风险
管理的全部活动都在内控的监督评审之下，不外乎一些国内外专家认为，内控
涵盖了风险管理，尽管内控并没有超出广义管理的大范围。下图从现实考察角
度勾勒了内控同广义的管理的和现实的风险管理的关系。
图1 内部控制同广义的管理和璁赛的风验管理的关系
第三章深入理解内控：内控与管理的关系、内控与内审的关系17
第二节内控与内审的关系
各商业银行和非银行金融机构在开展整章建制的过程中出现过～些问题，
有些问题反映在处理内控和内审的关系上。比如，认为内控主要是内审部门的
事，应该由内审部门牵头此项工作。
3．3 内控首先是经营管理部门的工作
内控是公司组织合理保证其各项目标实现的动态过程。内控程序涉及工作
目标的确立，风险的识别和分析，针对风险研究制定控制措施，并对所采取的
控制活动进行监督评审等等。这些控制工作显然首先是各级经营管理部门的基
本职责。本文所指的经营管理部门有别于内审监察部门，后者尽管也是内控组
织体系的重要环节，但是独立于前者之外。
在实际工作中，内控工作往往被领导委派给内审部门去计划和安捧，原因
是多方面的。首先，金融系统的内控文件是人民银行原来的内审监督部门下达
的。一些单位在接到文件后，没有注意区别商业机构和中央银行在职能上的本
质区别，也没有理解内控工作的内涵，而简单的把内控任务交办给本单位的内
审系统。其次，具体业务部门有重业务经营、轻业务管理控制的传统倾向。有
些业务和管理部门习惯于执行各种业务操作的“硬指标”，而把内控(比如整章
建制工作)作为“软任务”推给“综合部门”去应付。第三，尽管各经济实体
中都存在内控制度和控制机制，但是其控制系统有不同程度的缺陷。比如，在
控制的组织结构上，的确缺少一个专司内控的“综合管理部门”。第四，在专业
以银行体制下，内审部门曾经是缺乏权威性的、比较薄弱的部门，银行在商业
化的过程中虽然提高了该部门的地位，但在许多单位里仍显现不出内审部门的
足够的重要性。在一些综合部门互相“踢皮球”情况下，任务也难免被分派到
内审部门。
经营管理部门首先要注意内控，只有把内控是视为本身的基本职责，才能
把这项工作当作硬任务去安排。因此，在整章建制中，人民银行曾明确指示各
金融机构，组成专门的领导班子(比如内部控制委员会)去领导和组织这项具
体工程。而内审部门应当独立于这项领导工作之外，才能真正起到对工作的监
督作用。
当。． 兰登耋窒黧耋彗翟篓茎鍪星塞些辇窑鎏窑耋耋蜜鎏鎏璧窑星呈‰。。。。，。。
3．4内控主要爨经繁警理瓤f1的工作
内控作为一项系绞工程，已经在发达国家形成了一套完憋的理论体系和严
谨的操作方法，很值得我国在国有金融机构改制和在改造其内部浓理结构时借
鉴。
内控的大瓤分工作都怒经营管理郝门的莛要职责。首先，合乎标准豹走控
需簧公司营造良好的“控制环境”，使员工树立正确的价值观，遵守正常的职业
道德，瑟公司熬管瑾艨又貔够戳恰当静管理风格鞠正确静激瀚梳涮，雩|蟹员工
刨造一种良好的企业文化，特别是内控文化。厨辟章，设计适疲业务发展瓣缀织
结构，配铸合格的经营管理人员，制定合理和严格的规章制度，确定正确的目
标移虢珞决策系统等等，毽舔是加强两凌的毖要环境条俘。
第二，“风险评估”也主要是备经蓠管理郏门的重要职责，传统的经蘩譬理
方式忽视对风险的识剐和分析，丽满足于执行指令。这种方式给国有金融机构
在转孰过稷串带来了蕤丈损失。金融系统近年来衽在秩序混氖，案件频频，经
营亏损的现象，其重要原因之一就是风验管理落鼷。风险的防范鸯大量工接要
做，包括对内部和外部的风险迸行判别和预测，分析风险发生的可能性和概率；
莛奁叠艺基璃上磷究佬瓣风箍的种稀控翻措施。
第三，当风险被发现之压，经营管理者还要诞动撬搀帮人爨，甥实挽抒鼷
制定的“控制活动”，以便防范和化解风险，合理保证经营管理目标的实现。在
这方蘅弱王作是十分缁致的，包括高瑶裣查、直接管理、信息加工、实际控制、
确定指标、职责分离等等。
第四，在信息技术突飞猛进的时代，“信息与交流”是经营管理中的另一项
不可忽视羽职能。在把有关豹内部和外部控制信息搜集艇理出来以后，经营管
理老要剥鼹可靠鹣售怠为实现露摭服务，荠凌逶当麓部门露受赛久进行交流。
如果搬如此丰富的内控工作统统摧给审计或内审部门去做，一个直接的恶
果就爨削弱了经胬管理部门的风险意识和控制觉悟，使他们满足于计划经济体
制下的短欢掺令终执l予方式，瑟瑟意嚣对复杂多交豹竞争形势。另辫一个螽采
是，使审计人员不务内审业务，丽去参与经嫠管理活动，自然分散了审计人员
的注意力，也削弱了审计的独立性。因此，控制活动是公司日常经鬻管理工作
不霹分割熬～部分。
第三章深入理解内控：内控与管理的关系、内控与内审的关系．J旦
3．5对内控的检查评价主要是经营管理部门的工作
·一监督评审”是内控体系的第五大重要组成部分，其主要内容是上述内控
活动，包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容
进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水
平上对内控进行持续性的和分别单独的评审。重要的是认识到这种检查评价不
仅首先不是，而且主要不是内审部门的工作。
对内控情况进行监督评审又如设立了一道道防线，而第一道防线就应当由
经营管理部门的各级负责人监守，包括设置和执行岗位内部和岗位之间的相互
牵制，进行前后台和部门之间的平衡制约等等，并应不断在日常工作中监督评
审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究，在第一
道防线上把大量主要的风险问题予以彻底的解决。这里，他们不仅要深刻的自
我评价所开展的控制活动，还要提出改进控制和进一步化解风险的措旌，并交
上级主管验证。这种自我评价要规范化和制度化，必要时要实行离岗检查和交
叉检查的制度。在实际中，这种工作往往被以工作忙、人手少或成本高为出而
忽略掉了。比如把对离任负责人的评审统统推给内审部门进行“离任内审”，不
仅加重了内审负担，而且常使该项工作流于形式。恰恰是疏于自我检查和评价
造成部分管理人员有章不循，一些基层单位问题成堆。
财会部门应当形成化解风险的第二道防线，财会人员负责行使后台监督的
重要职能。业务的每一项收付和债权债务的发生都会在账面上反映出来，这本
身就是一种监督；会计人员在会计核算中保证这种反映的真实、准确和完整，
并有责任以会计资料为依据，控制本单位的经济活动按计划的目标进行，并报
告所发现的违法违规的财务事件；财务主管在会计科目设置、财务会计综合报
表分析后也可以发现经营管理活动中的种种问题，促使金融机构遵循国家法律
和政策，加强经济核算，改善经营管理，完善现代企业制度，提高经济效益。
财会部门不仅要把第一道防线上遗漏掉的大量问题尽力查找出来，而且要从管
理会计的角度，在更深层次和更大范围内(比如在跨部门乃至全单位范围)发
现问题、研究对策、预测风险，并提供信息。目前，财会部门在金融系统中的
权威性是有的，不过，一些财会部门忙于一般性的会计核算，加上种种原因造
成责任心不强，尚未充分发会计监督的职能和管理会计的职能。
如果认为对内控的检查评价只是内审部门的工作，上述两道化解风除的重
2Il 从西方内部控制理论看我国商业银行的内部控制制度及其建设
要防线就会被忽略甚至被取消。这一方面会大大削弱各单位防范风险的意识和
能力，而且会议加重了内审部门的工作负担以至降低了内审的工作质量，提高
了内审方面的监管成本。
3．6内审监察部门对内控的再监督负有极其重要的责任
如果我们把内控的“监督评审”评审职能视为内控的“金字塔”上最高级
的部分，那么内审检察工作就应该处于内控金字塔的顶尖部位。所谓“再监督”
就是在前述两道防线之后的第三道防线，每一个公司都应当设立这一道防线。
尽管从监督职能的角度来看，内审监察部门的工作量应大大少于经营管理部门
的自我监督和财会部门的监督管理，但是，内审监察部门的独立性和应有的权
威性，加上其组织系统的垂直性，赋予了该部门行使进行再监督和再评价的特
殊重要职能。
下面简单介绍一下西方商业银行独立的内部审计制度
西方商业银行的内部审计制度具有很强的独立性，作用重大，是银行内部
必须设立的部门。
1．只有总行设有审计部门，各业务部门和分支行都不设立
西方商业银行目前都采用“大总行、大部门、小分行“的组织结构，。银行
的分行很小、很多，职能单一，很多业务集中在大部门完成。“大总行”通过“大
部门”体现，部门内汇聚了主要业务精英，分工细、专业性强。在这种组织体
系下．分支机构只是一个营销中心，因为有很多部门是不需要设立的，如审计、
项目管理、公关、研究等部门。而我国的这套制度在运行中有很多弊病，改过
很多次，但始终不理想，总改不到位。
2．严格挑选人员：从业经验必须8年以上
西方商业银行要求审计人员必须是做过多年业务的技术专家，甚至主管过
某一块业务，能够准确断定业务是否该傲，以及在当时的条件下处理的是否得
法。这些要求不同于我国，想象我们的审计队伍是怎样建立起来的就可以看出
差距。有是觉得某人的素质还不错，但是不宜到业务部门，恰好内审部门缺一
个人或少一个编制，就很自然的把他定在这个岗位上；没有亲手做过一笔业务
的人员去审计他人，这样的审计工作在最好的情况下也只能是简单的对照总行
或中央及其他管理部门的制度，看被审计单位有什么地方做错了，该怎么处罚，
判别是非和灵活得当处理特别事情的能力就会较差。
一一一耋晋．篓全塑型尘些翌塑鍪。警盟塑臣．—．盐
3．高标准的从业规范
审计人员工作时必须认真、严格，自觉遵守各项法规制度，忠于所服务的
银行、岗位和职责，拥有良好的职业道德和行为操守。
4．突击审计多，事先预告少
西方商业银行每个一段时间必须对全部分机构和业务部门进行一次审计，
但是什么时候去，一般事先不打招呼。审计队伍到了之后，与被审计机构的第
一负责人见面，告知其审计目的，请他安捧相关人员谈话和准备所需材料。然
后，第一负责人可以继续做自己该做的事情。审计结束后，审计人员要同被审
计人员或部门交换意见。在审计过程中，审计人员自己解决一切后勤事宜，美
联银行严禁被审计单位招待审计人员，一旦发生并查实，则招待方和被招待方
都必须接受严厉的处罚。
5．业务审计内容
审计人员首先分析分行或部门的有关约束制度和操作细则是否充分和科
学，总行的规章制度不是审计对象；然后随机抽查相关岗位的工作人员，了解
这些规章制度的掌握程度；在此对照规定，检查所有的相关业务传票和记录(包
括档案)是否按照规定执行。最后评价其实际效果。
6．上审下、外审内
科学的审计体系必须是上级审下级，西方商业银行只有总行设审计部门，
审计各分支行的工作。在商业银行系统内，审计部门是权威部门之一，审计人
员天天都带着“尺子”去考核和评价他人。那么，谁又来考核和评价这些审计
人员昵?西方商业银行的通行做法是，每年都聘请外部知名的独立会计师事务
所对审计部门审计过的单位随机抽样，完全独立的重审一次(范围和时间完全
一致)。然后对比两份审计报告的结论，看看是否有出入，出入在哪里以及为什
么有出入。这是完全保密、不让自己的审计部门知道的外部复审。审计人员的
工作质量不高可能是因为水平不够，或是职业道德不佳，这其中任何一条都证
明有关人员不适宜从事审计工作。
7．优厚的待遇与相应的严厉处罚
审计人员是高标准挑选出来的，享有很高的工资收入和业务权威。在西方
商业银行，岗位收入最高的是交易员、培训教师、研究人员和审计人员，因为
对他们的技能要求特别高。对审计人员还要更加注重其递■水平和职业操守。
22 从西方内部控制理论看我国商业银行的内舔控制铡度及其建设
而同时具备这种高标准的人员，一是比较少，二是他的教育成本高，三是从业
经验丰富，因此，公司必须付给他高工资，但高工资和严要求是对应的，一旦
发现他有问题，特别是职业道德方面的问题，则要给与严厉的处罚，从降职降
薪、调离岗位到送至州法院或联邦法院不等。
独立审计制度的重要性表现在内审检查人员在严密的计划和组织之下，能
够独立的按照法人要求，有选择的对内控各方面行使其检察职能，并能够将检
察评级结果直接反映到高级管理层乃至最高领导人，然后有权督促内审检察建
议的落实。为了强化内审部门的监督职能，许多西方的金融机构都成立了独立
于经营管理活动之外的内部审计委员会。
改革开放之后，企业面临种种风险。在经济日益货币化和证券化的过程中，
国有专业银行也正在商业化。新的形势要求机构的内审工作从传统的以对帐和
会计凭证进行核查为主，转向以对内控制度及其执行情况进行检查为主的审计
方式上来。审计人员应认识到这一根本性的变革，具有对现代内控理论和方法
的超前认知，并把对内控水平不高的单位和内控意识不强的人员(特别是管理
层)进行咨询服务作为内审的工作职责和应尽的义务，帮助这些单和人员转变
观念，加强内部控制。
有人认为内审部门在经营管理部门的内控制度尚不健全的情况下去进行内
控检查评价是操之过急。这种认识忽视了审计部门有促进被检查单位完善其内
部控嗣度的重要作用。其实，大多数单位都有内控制度，只是其完整程度不同和
执行情况不同。虽然内控水平的提高要靠经营管理部门进行大量实实在在的工
作，但是审计人员不能等待被检查单位完善其内控制度之后再去审计，丽对单
位进行检查本身就是在促进被审计单位完善其内控制度，提高内控水平。现在，
越来越多的经营管理者认识到加强内控的重要性，审计人员的任务就是要多在
这方面提供咨询服务，以先进有效的内控检评方法，有计划有重点得对各级经
营管理部门(包括人事部门和行政部门)的内控执行情况进行再监督检查。在
这里，检查的方法要规范，力求采用先进技术手段，并将检查评价结果独立的
和及时的报告有关负责人和部门。同时审计人员要向被审计单位提出改进内控
的建设性意见，督促这些单位改进内控状况。
当然，在组织结构上内审监察部门并非独立于内控的整体框架之外，内审
监察部门也属于控制环境的一部分，其本身也要对自身的各种内部和外部的风
一。塞三耋。坠墼型■堡罂蝥篁U堡警暨篁L—盗
险进行评估，并行应采1／女O,真的自我控制措施，在进行信息与交流的f司时加强
自我检查和评价。在内审人员和内审部门比较薄弱的单位尤其要注意这方面的
工作。
总之，内控不仅首先不是，而且主要不是内审监察部门和人员的责任；内
控的检查评价也主要不是他们的责任；但同时，对内控的再监督又是内审监察
部门义不容辞的重要职责。今后，中央银行在向金融机构(特别是商业银行)
布置内控任务的时候，应该区别它们的经营管理部门和内审监察部门的不同职
能；而金融机构本身在接受中央银行指示或任务时，也应理解两者之间的区别，
并在执行中报出内审工作的独立性。正确认识内控与内审的关系会推动备单位
(特别是金融机构)的整章建制等内控制度的建设工作，进一步加强各项业务
的内控，从而提高经济效益和在市场上的竞争力。
24 从西方内部控制理论看我国商业银行的内部控制制度及其建设
第二编我国商业银行的内部控制制度及其建设
我国商业银行目前处于计划经济向市场经济的转轨时期，计划经济的制度
缺陷依然存在，市场经济体制还不健全，商业银行风险大量积累，防范和化解
银行风险是商业银行乃至整个国家的重中之重。实践表明，我国商业银行风险
与内部控制系统不完善紧密相连。为了有效控制风险，必须建立健全商业银行
内部控制系统，加强商业银行自律。特别是加入WTO以后，面对外资银行的
竞争，我国商业银行内部控制系统的构建就显得更为重要和迫切。本部分首先
阐述我国商业银行内部控制系统构件的必要性；然后，对80年代以来我国商业
银行内部控制系统建设进行回顾和评价，对国内外商业银行内部控制系统及各
个子系统深入的比较分析，从中发现问题，找出差距；最后对我国商业银行内
部控制的构建提出政策建议。
第四章我国商业银行内部控制系统的现状及评价
第一节20世纪80年代以来我国商业银行内部控制系统的考察
20世纪80年代以来，我国商业银行从危险到危险积累，从危险积累到风
险加剧，商业银行风险逐步成为商业银行和金融监管当局最关心的问题之一。
随着一列规章制度的出台，各商业银行积极调整组织结构，逐步建立较为完善
的内部控制制度，逐步形成了资产负债管理体系、信贷风险管理体系及财务管
理制度。这些都是从不同层面对商业银行内部控制系统建设的实践和探索。
但是，在1997年5月之前，从整体面言，我国商业银行既未制定出一个内
部控制系统建设的总体规则，又未形成一个完整的内部控制制度，更谈不上建
立有效的内部控制系统．主要表现在以下几方面：①缺乏一套完整统一的内部
法规制度及操作流程，已制定的制度不完善、不全面，可操作性不强；②对内
部控制的执行情况的监督检查力度不够．银行内部审计部门独立性不强，人员
配备不足，检查范围有限，检查频率不高；③缺乏基本的内部控制活动，商业
第四章我国商业银行内部控制系统的现状及评价25
银行的组织结构不科学，授权审批制度不完善，各岗位各部门之闻缺乏必要的
内部牵制，岗位调换、职工培训未形成制度等。
4．1 1997年5月16目，中国人民银行正式出台了《加强金融机构内部控制的
指导原则》。《指导原则》对金融机构内部控制的目标、原则、内容、基本要求、
管理与监督等各方面做了全面规定，归纳起来主要包括以下三方面：
图2金融机构内控的要素及内容
图3对金融机构内控建设的基本要求
在内部控制系统建设方面要遵循有效性、审慎性、全面性、及时性和独立
性的原则：在内部控制的要素及内容方面主要强调组织结构控制、风险控制、
会计控制、授权授信制度，其中对于风险控制特别强调信贷风险控制、交易风
险控制、计算机系统风险控制等；根据内控建设遵循的原则和内控的主要内容
提出金融机构内控建设的基本要求，及设立三到监控防线，及建立完善的责任
分离制度和岗位操作系统，健全信息资料像全系统和颈警黝系麓，割定完善
26 从西方内部控制理论看我国商业银行的内部控崩翻度及其建设
的应急应变措施，加强和完善检查监督手段，并要求内部控制具有普遍适应性
和可操作性。《指导原则》提出的这些原则和要求几乎涵盖了内部控制系统的所
有内容，它对我国商业银行完善内控系统具有极其重要的指导作用。各商业银
行积极推进内控系统的健全与完善，具体表现在：
(1)各商业银行初步建立了对分支机构的授权制度和对客户的授信制度
各商业银行对内部各部门、各分支机构的职责进行了明确划分，并根据工
作性质与岗位职能分别授予相应的权限，从而建立起“分级管理”、“有限授权”
的体制，从运营资金、贷款、担保、拆借、外汇买卖等业务环节规范各部门的
和各分支机构的经营管理行为。
(2)加强资产负债管理，落实资产负债比例管理与风险管理办法
各商业银行普遍设立了资产负债比例管理委员会，建立了资产负债比例管
理监测制度，按季考核资产负债比例的各项指标。
(3)完善贷款风险防范机制，健全信贷风险责任制
各行严格了信贷的“三查”制度，组织成立了信贷审查委员会，实行了审
贷分离制度与贷款抵押担保制度，对新发放的贷款进行较为严格的控制，大大
降低了信贷风险。
(4)实现全行资金的统一调度
各商业银行加强总行对系统内信贷资金清算、汇差资金、拆借资金和备付
金的控制，不断健全总行对全行资金的统一调度与管理制度。
(5)建立了商业银行内部监督制度
各商业银行分别设立内部审计部门，对信贷资产质量与风险交易加强监
督，在很大程度上改善了银行的经营，防止了大案要案的发生。1999年上半年，
四大国有银行及股份商业银行后分别成立了监事会。
第二节我国商业银行内部控制系统建设的总体评价
20世纪80年代特别是90年代以来，各商业银行在加强内部管理、完善内
部控制方面做出了不懈努力，取得了一定成绩。归纳起来，主要有三点：一是
商业银行加强了风险防范意识；二是各商业银行在中国人民银行的指导下制定
了一系列有关内部控制的制度；三是各商业银行针对风险状况开展了一系列内
第四章我国商业银行内部控制系统的现状及评价27
部控制活动。但我们也应该清楚的看到，我国商业银行内部控制系统建设还存
在着相当的问题，内部控制制度的整体执行情况并不理想，其具体表现在；
4．2．1内部控制缺乏有效性
中国人民银行和各商业银行尽管制定了一系列有关银行内部控制方面的
制度，但仍然存在着有章不循的现象，现有经营政策和规章制度往往得不到有
效执行，有违反国家方针政策的，有违反金融法规的，有违章操作的，制度得
不到有效落实。两各级管理行对下级经营机构的经营行为的控制，又缺乏足够
的人力、制度和手段的保证，面对不执行制度者显得力不从心。内部控制制度
的执行关键在于人，特别是高层管理人员。一些商行的行长和内部负责人不严
格执行制度，按个人意志办事，审批和授权随意性较大，甚至滥用职权，使内
部控制规章制度落不到实处，流于形式。
4．2．2内部控制缺乏全面性和及时性
我国商业银行尽管有了一系列规章制度，但制度不健全、不系统、不配套、
不及时。有的制度缺乏全面性，缺乏配套的业务操作程序：有的制度较廿务发
展明显滞后，也不适应银行业务运行发展的需要。特别是对新开办的一一些业务，
内部控制制度明显落后，有的先开办业务，后建立控制制度。
4．2．3内部控制缺乏独立性
独立性原则要求内部控制的检查评价、建立和执行部门相分离。但在实际
工作中往往是内部控制的建立和执行是同一部门，操作人员和核对人员是同一
人，相互核对难以实现，内部检查流于形式，内部牵制制度执行不力。特别是
内部审计部门直接接受各级行行长的领导，独立性不强，审计工作不超脱，查
处力度不够，大大削弱了监督部门的作用，相互制约的机制难以形成。
4．2．4内部控制缺乏审慎性
我国商业银行近年来风险意识得到了加强，但是在实际工作中风险控制系
统不健全。目前各商业银行以整体风险为目标的资产负债比例管理尚处于软约
束阶段，以局部风险控制为内涵的授权分责管理执行不严格，以具体风险评估
及控制为核心的信贷风险管理监控、交易风险管理监控的手段还很落后，管理
制度和评估方法还极不完善。特别要提到的是，随着我国金融电子化的程度的
提高，计算机带来的风险逐步增大，但我国商业银行计算机系统风险控制非常
28 从西方内部控制理论看我国商业银行的内静控制嗣度及其建设
薄弱，普遍缺乏健全的计算机内部控制制度，对计算机系统的项目立项、设计、
开发、测试、运行和维护整个过程没有实施严格管理，商业银行业务操作系统
和信息管理系统都面临很大风险，同时也给计算机犯罪留下了可乘之机。
．量三耋．．星塑竺塞些堡耋空耋璧鎏璧塑塑坠塑玺詈耋詈毫兰三虿盘耋箸竺皇坐登坠
第五章国内外商业银行内部控制系统的比较及我
国商业银行内部控制制度的建设
如上所述，20世纪8 0年代特别是90年代以来，我国商业银行在内部控制
系统方面做了大量工作，并取得了一定成绩。但是，内部控制制度的总体执行
情况并不理想。为了进一步分析我国商业银行内部控制不力的原因和有针对性
的提出建立和完善商业银行内部控制系统的思路和建议，有必要对国内外商业
银行内部系统进行比较分析，从中找出差异，发现闷题，提出改进建议。
5．1控制环境的差异与改进
有效的内部控制系统是以良好的控制环境为基础的，内部系统功能发挥的
过程是内部控制系统与内部控制环境相互作用的过程，控制环境必然会影响内
部控制系统的正常运作。我国商业银行在产权制度、治理结构和企业文化等控
制环境与国外现代商业银行相比有很大差异，这种控制环境的差异造成了我国
商业银行组织行为差异，这正是我国商业银行内部控制总体执行不理想的根本
原因。
(1)产权制度的差异与改进
发达市场经济国家的商业银行与我国转轨经济体制下的商业银行的实质性
差异就在于拥有不同的产权制度。在发达市场经济国家看来，商业银行采用的
是现代银行法人产权制度，其主要表现为股份公司的形式。这种产权制度的主
要特点可以概括为：①它实现了产权结构的多元化，银行资本的社会化。通过
发行股票，可以筹集到数量极其庞大的资本，补充银行资本不足的状况，解决
了银行发展对资本金的需求，提高了银行抗风险的能力。②它有效的分解了经
济上的所有权(财产终极所有权)和法人所有权(法人财产所有权)，从而使得
出资人同企业资产的实际运营相分离。商业银行获得了独立的法人财产权形式
和资格，能够自主的支配、使用、处置其实际财产和从事金融交易活动。③出
资人或股东的责任有限。当银行亏损或破产时，以其投资对银行负责，实现了
利益共享、风险共担的经济关系，对股东利益的保护和对银行组织的稳定与发
展都有积极的意义。
_m_-_____从_西-方目内部|控ll错_理_论_看_我_-国I商-业_银_行__的_内l部|控_翻-制I度I及I其_建-●设_EI-●__
我国国有银行产权制度是既定历史条件的产物，具有非自然演进的特征，
它是建立在全民所有制基础上的，适应高度集中的计划经济体制建立起来的。
国家既拥有国有商业银行的所有权，也拥有国有商业银行资本的使用权、收益
权和处置权，国有银行的所有权和经营权是合一的。国有商业银行的产权制度
具有以下特征：①产权归属唯一性。国家是国有银行财产的唯一所有权主体，
法律禁止任何人、任何组织以任何手段侵占或损害国有银行的财产，银行财产
所有权和经营权、收益权、转让权均高度集中于国家。②银行财产的非法人性。
银行不具有独立的支配法人财产的资格，从某种意义讲，不能真正成为“自主
经营、自负盈亏、自我约束、自我发展”的微观主体。政府对银行行使行长的
任免权、资源的配置权、经营的监督权。同时，国家也承担银行经营的无限责
任，风险全部由国家承担。③产权的不可转让性。产权边界实际被国家界定，
其它产权主体不能通过市场合约依法进入，从而表明银行产权的不可转让性。
我国的国有商业银行产权制度是所有权与经营权合一的国家所有制产权，
这种缺乏明确产权界定，占有权、使用权、支配权和收益权等各种权责利边界
模糊的产权制度，导致了个经济当事人对国有商业银行资产的权责利关系不清，
国有商业银行资产管理中的产权约束主体缺位。在现行银行体制下，国有商业
银行资本金和财产等归国家所有，银行不具备承担资产风险的法律责任能力，
银行没有自己独立的经济利益，因而其对利益的追求并不强烈。国有产权的多
层次代理造成了产权责任不明，监督机制不力。其直接结果导致了国有商业银
行风险控制不力，信贷管理制度形同虚设，内部控制制度松弛。这种状态下，
经济当事人容易产生“外部性”行为，有意识的侵权获利。从信息经济学的角
度分析，由于信息严蓖不对称，在委托人与代理人的讨价还价过程中，委托人
的利益被有意无意的忽视或侵吞，而代理人的利益得到了充分的体现，可以说
“只有利益，没有责任”。只有好处，没有责任：只有利益，没有约束，这无疑
是造成我国国有商业银行内部控制不力的主要原因。
(2)公司治理结构的差异
外国商业银行的公司治理结构是现代法人产权制度下的产物，其基本特征
是：①权责分明，各司其责。银行内部由权力机构、决策机构、监督机构和执
行机构组成。股东大会是银行的最高权力机构，它代表产权的所有者对所属银
行拥有最终的控制权和决策权；董事会是银行的经营决策机构，它对股东大会
篓墨三．基皇錾塑彗堡耋窑馨堡黧蚤釜墼量蝥罂茎蓦童些黧盆奎黧耋誊黧耋篁：：耋卫
负责，执行股东大会的决议；jl氛视会尾银行的自我监督机构t它对股东大会负
责，依法对董事会和行长橙任职务对瓣行为进行箍督；裔缀管理簇是镶行凌策
的执芎亍机构，对董事会负责，在银行公司章程和蘩事会授权的范畴内行使职权，
开展银行的日常经营活动。它们之间权责明确、相互制衡、相互协调。②委托
代邂，缀岗授投。奁银行牵，镶行各缮缀楚竣一种委托代理的关系来维持懿。
股东大会作为委托入将其财产交董事会代理，募委托监视会进行簸督。作为代
理人，董事会又将银行财产委托给经理层的行长代理，从总行到分行再到基本
搡作层(银行联工)之闯，还存在若于中闯层。这样蠢上至下戳授权静方式谯
银行的备层之耀分配权力。③激励与约束枫铡并存。蹦终现代商娩银行的委托
人通过奖金、股权和退休垒等激励机制来促使代理人采取适当的行为，最大限
度的实现委托入所预期达翻的醋标：黼时，还逶过资本市场、大股东益餐和经
理人员的薅饪、蟹骋等约寒辊铡对代理者的幸亍为加以刳约。
产权制度造成的“所肖者缺位”使得我国商业银行治理结构与国外现代商
韭锻行公司治瑗结构有明驻的区剐。其体表现在：①政府与行长之闻的委托代
理契约爨然是行致性熬，溷枣囊业银行仍然在政府豹行政性约束之}，苷不能
保诚其独立产权主体的法律地位和独立的经济利益，是一种非经济的委托代理
关系。③在激励机制方面，主要实行的是宙本位的激励机制，是遁过行政级剐
豹秀迂来实瑰激聚，于部恕轾兔、奖惩班政治觉撂、懋想品德、强期政续荛囊
要内容。从而造成银行高级管理层注麓短期政绩，实际工作中短期行为明显。
如会出现过分追求资产规模，盲目扩张机构，不考虑风险发放贷款，不记成本
啜l|芟存款，不篱资产质量耱疆移熬长期发袋，不燕援鼹验控制，不耋撬蠹部按
制等现象。③程监督机制方面，监督是由政府部门进行的，燕要依靠党纪政纪，
缺志股东监督和资本市场脓督。迄今为止，银行行长除在形式上仍由政府或主
管部门任命箨，足筝褥不爨任谤有效瓣箍餐约寨，整鬻篷银行痰郝资源配藿糕
曲，发生了大熬挥霍公款、铺张浪费、国谢资产流失等机会主义行为。由于政
府与行长的信息不对称，“内部人控制”问蹶严重，常常出现行长为了自身利懿
最大健焉牺牲蚕箍入肇l蓝的瑰蒙。
(3)企业文化的差异与改进
国外现代商业锻行非常重视企业文化的培育，包括价值观、职业道德的培
育籀金篷精神、企馥形象瓣塑造，箕核心肉容是：①培弯共鲻的价值鬟这擎争
32 从西方内部控料理论看我国商业银行的内部控制制度及其建设
价值观决定、支配着银行职工的观念、意识及行为，指导银行职工正确处理个
人利益与集体利益、集体利益与社会利益之间的关系，通过这种价值观来影响
银行的发展，支配、调节银行职工的行为方式，激发银行职工的责任感和主人
翁精神。②培育良好的职业道德。这种职业道德培育的核心是诚信，在诚信的
基础上培育公正、廉洁、守法、服务、勤勉等职业道德。通过职业道德来调整
银行与社会、银行与客户、银行与银行、银行与员工以及员工与员工之问的行
为，激励银行职工积极向上，努力工作，约束银行职工的行为，促使人们遵纪
守法、合规合法的经营。
在传统计划经济体制下，我国国有商业银行实际上没有也不可能形成自己
独特的企业文化。银行不是真正的企业，它的价值观必须与国家的整体目标和
利益相统一，它的行为也受至Ⅱ严格约束，要求经营者必须具有无产阶级世界观
和极高的道德修养，可以自觉的为国家的利益努力工作，并进行监督和自我监
督。在极端崇尚和强调无产阶级世界观的社会文化环境中，个人和企业的价值
追求必须以政治标准为主，政治觉悟和道德修养水准要求较高，对私利的追求
受到严格的社会监督约束。在文化的培育方面，特别重视政治思想教育，偏爱
用行政和手段和党纪来约束各级银行经营者。这种强制性的政治思想教育在特
定的历史时期确实发挥了积极作用。银行职工的政治观念保证了上下一致，银
行职工具有高度的政治思想觉悟，他们兢兢业业为国家理财，管理资金，而丝
毫不占公家的便宜，其廉洁奉公、不谋私利的职业道德成为约束员工职业行为
的重要力量。
20世纪80年以后，随着计划经济向市场及转轨，旧的体制正在打破，而
新的市场及体制还未建立起来。这一时期，国家强制性的思想教育少了，适应
市场经济的商业银行企业文化建设又严重滞后。商业银行普遍缺乏价值观培育
和职业道德教育。缺乏共同的价值观和基本的职业道德必然会带来以下不规范
或不道德的行为，这些行为主要表现在：①在经营管理活动中，有法不依、有
章不循，违法违规经营：②为了个人和集体利益而损害银行和国家的利益，为
了本行的利益，损害同业和国家的利益；③缺乏责任感，没有主人翁精神，没
有团队精神，对银行和国家的利益不关心、不重视；④经不起权、钱的诱惑，
趁银行管理不严格、法律制度不健全之机，以权谋私、以贷谋私，大量侵吞国
家财产。
。矍三塞。星空筌童兰堡垦窑兰兰型至耋墼兰鳘圣耋曼耋些耋耋叠富登2兰璺兰：：：釜尘
近年来，国家有关部门和商业银行自身都制定了一系列规章制度来规范和
约束银行职工的行为，但是，几年来的实践证明违法违规行为并没有得到有效
遏制，银行的不良资产并没有因此减少，社会正常的信用关系难以建立，同业
的恶性竞争有加剧之势。银行职工的拜金主义倾向并没有得到有效遏制，这些
现象说明单纯靠规章制度的约束是远远不够的，还必须培育商业银行企业文化，
通过外部约束和职工自律的共同作用才能防范和控制风险。
5．2风险评估的差异与改进
风险评估是商业银行内部控制系统的基本要素，是风险控制的基础和前提。
商业银行面I临信用风险、市场风险、利率风险、操作风险等各种各样的风险，
为了全面、准确、及时的了解和把握银行风险，国外现代商业银行普遍建立了
风险评估系统。现代商业银行的风险评估系统的几个特点：①有一个健全的风
险评估组织。风险评估组织是风险评估的保障，最高管理层对风险评估工作的
高度重视是建立风险评估系统的关键，成立专门的风险管理部门是国外商业银
行的普遍做法：②风险评估的全面性。风险评估系统要能涵盖信用风险、市场
风险等各种类型风险类型，并且必须涵盖所有新的业务领域：③风险评估的动
态性。风险评估系统必须保证对风险进行连续的动态评估，以实现对风险的实
时监控；④风险评估的定量化。风险评估从定性分析到定量分析是风险评估的
发展趋势；⑤风险评估手段的高科技化。计算机和现代通讯技术是实现风险评
估定量化的技术保证，也是未来风险评估的基本手段。
近年来，我国商业银行在风险评估方面进行了一些探索，在信贷业务等领
域建立了较完善的风险分析制度。如在贷前调查方面，要求信贷员对客户的经
营情况、偿债能力、未来发展、信誉、业务特点等进行全面的风险分析和评价，
并写出贷前调查报告：在贷款审查方面，信用审查部门对每一笔贷款要进行定
期的跟踪检查和风险分析。这些制度对商业银行防范风险起到了一定积极作用。
但是，我国的商业银行无论是风险评估意识还是风险评估方法、技术。与国外
现代商业银行相比还有很大差距，具体表现在以下几个方面：
(1)缺乏对风险评估的组织领导
我国国有商业银行过去主要面临的是制度风险，不需要建立风险评估体系，
从高级管理层到一般银行职工长期受计划经济的影响，风险意识不强，最高管
理层对风险评估工作不够重视。没有一个专门的风险管理部门，风险的识别和
34 从西方内部控制理论看我国商业银行的内部控制制度及其建设■●■__l■■■_■|!_|■■■■●I■■●●■■_II■l__I_-●●__●●l_●ll●ol●oooo
评估分散在不同的业务部门，往往存在多头管理状况。比如，总行的计划资金
管理部门负责同业资金拆借业务的风险管理，信贷部门负责对人民币贷款业务
的风险管理，国际业务部负责对外汇业务的风险管理。这种多头的分散管理不
利于对银行整体风险的把握和评估。
(2)风险评估的方法、技术落后
由于管理层的不重视和缺乏掌握定量化风险评估技术的人才，我国商业银
行的风险评估还主要停留在手工的定性风险分析阶段，即使是信用风险，定量
分析也只局限在对企业财务报表的简单分析，主要还在于对企业的定性分析。
当然更谈不上设计风险评估模型对商业银行风险进行实时监控。这种“风险评
估”，只能称为“风险分析”或“风险定性分析”，只能算是风险评估的初级阶
段。
(3)风险评估主要局限于信用风险，对其它风险和一些新业务缺乏必要的
风险分析
我国商业银行的风险评估几乎都是针对信贷风险而设计的，主要评估信用
风险，对市场风险、利率风险、外汇风险等其它风险的风险评估还处在空白状
态，对同业拆借业务、外汇买卖业务、计算机系统风险和其它一些新业务缺乏
风险监控。近年来，一些商业银行因信用风险之外的风险造成的巨额损失的例
子不在少数。
5．3内部控制活动的差异与改进
商业银行的控制活动是内部控制系统最重要最有实质意义的予系统，它是
采取一系列的控制方法、控制手段和风险技术实旌内部控制的过程。国外商业
银行在控制活动方面有以下特征：一是采用以事前、事中控制为主。事前、事
中、事后控制相结合的内部控制方法开展控制活动；二是综合运用组织控制、
授权控制、程序控制、记录报告控制、职工素质控制、预算控制、实物控制、
内部审计控制等手段来开展控制活动；通过资本充足管理、金融衍生工具，并
采取混业经营模式等实现风险的补偿、风险的转移和风险的分散。
近几年来各商业银行所开展的控制活动的总体效果并不理想，具体表现在：
(1)商业银行最高管理层和各级管理者普遍缺乏风险控制的意识
由于产权制度等体制方面的缺陷，商业银行缺乏风险控制的激励机制和约
束机制，各级管理层普遍存在重业务发展轻内部控制、重短期业绩忽视长期效
，墨"五章国内外商业银行内II部控制系统的诧较敏我国商韭镶行内部I傻塑嗣廛塑堡I茎!墨I ■目!e—。————————————
2
益、重存款轻资产质量的现象，不能把控制活动作为商业银行的～项日常业务
来瓤，没有把内帮掩潮活动交为各援管理者帮全体贯王豹一释鲁觉行为n
(2)现幸亍的内郝控制援章制度不健全、不系统、不科学
绝大多数商业银行在业务工作中都建立了基本的规章制度。但制度不够完
善和健全，有臻蒂l瘦过辩、鼹不上形势发展豹需簧，没辘随着韭务状况帮客躐
环嫒的变化进行及时修订：有些薪型救务已经开鼹，爨捌瘦滏未建立，致使运
作j二带有盲目饿；有些错《度过予概括、简单和条理化，没有操作流程，可操作
往不强；有些潮度谪重予纪律约束，簸乏努要静程序控籍；有些黼度缺乏登纂
的处嚣接施，魄往往啦党纪政纪的处蹦代鸷了职妲上的处羁；更多豹是在实酥
工作中有制度，但缺乏严格的、经常性的检查，使一数基本制度如柜台交叉核
算、双入职责和事螽蓝督簿难戳落实，替岗、代岗、代入签章现象对又发生。
另外，一姥齑业银行骢内部避续考核制度也程在较大缺陷，一些纷特别是基鼷
行仅以完成存款的多少来考核和评价员工的业绩和决定其工资待遇，而不考拨
资产的风险状况，这稀隶《魔不利子风险控制。这秤制度上的布健全、不科学、
不系统，导致风险控捌失效却资产损失严重。
(3)内部组织结构不尽科学，机构和岗位之间分工不明确，权力制衡在运
动中“失荧”
我国藏监壤行尽管按照决策篆绞、挠孬募统穰鉴整疲馈系统来设置，毽困
产权制度等制度缺陷，使决策机构形网虚设，执行系统滥用权力，监督机构系
统独立佼不强，难戳发挥监督职能。猩分支机构和部门的设计上，一些商业锻
行缺乏严撂豹授投管理秘集体决策程黪，管理上授权不清，爨任誉明，有些分
支机构权力过大，有些部门身兼数职，部门内部答岗位之间责任不清，内部投
责脱节，内部核查走形式，减少和预防差镶的能力被削弱．由于对授权授信没
毒遴行统一熬繁理，投力褥不窭|骞效瓣翻绞，杰羹之一螫整餐郝秘不熊畜效豹发
挥职能，同时部门设踅上交叉重叠，缺乏严格的文件传速程序、瞵确的尚位操
作规范和有效的控制活动，致使遇事强相推诿，凭人负责，造成工作上的低效
率，甚至彩残内部授孬、撵焉_帮终部漆窃、诈骗，大案要案菝繁发生。
(4)风险控制手段不足，风险控维4系绕不健全
尽管我国商业银行最瀚管理层一礴强调风险控制，但是在风险控制的过穰
串鸯缀大难度。我嚣随蘧畿行缺芝正常静风险丰}馁、风险转移帮菇羧分数的梳
36 从西方内部控制理论看我国商业银行的内每腔甜嗣度及其建设
制。在风险补偿方面，我国商业银行没有建立正常的风险补偿机构，仅靠未分
配利润的补充远不能适应快速扩张的资产规模，提取1％的呆帐准备金远远不
足以弥补呆帐损失；在风险转移方面，衍生金融市场还未形成，除信贷风险可
采用抵押贷款和担保贷款来部分转移风险之外，对新出现的利率风险、汇率风
险缺乏必要的控制手段；在风险分散方面，由于我国银行业实行严格的分业经
营，银行资产主要集中于贷款，只有依靠贷款期限、贷款客户的分散来实现风
险的分散。另外，由于风险控制手段不足，一些商业银行怕出现风险常常采取
风险回避的方式来回避风险，从而影响了业务的正常发展。
(5)内部控制以事后控制为主，缺乏必要的事前和事中控制
一些必要的监控监测机制尚未建立，事前、事中的预警、预报机制差。主
要表现在有的银行对放贷款和资金交易等重要档案的管理没有设立专房、专柜
保管；防火、防潮、防盗措施不够完备，没有建立有限接触和存取登记制度；
内部审计以“救火”和“堵漏”等事后监督为主，重点对发生问题的机构进行
事后查处，以采取补救措施；对资产质量、资金交易业务经营效果缺乏定期分
析，重大问题报告不及时，从而不能有效的控制风险，当风险发生时也不能及
时采取措旌纠正。
(6)授权审批制度不仅科学合理，对授权执行情况检查不力
近年来，绝大多数银行都建立了授权审批制度。但是，一些行未正确认识
授权的重要意义，以下放授权的办法作为授权审批制度的主要内容，对授权内
容、授权范围、授权行使未进行深入分析，造成授权制度的不科学、不合理。
一些银行给分支机构的授权过大或授权不清、责任不明，造成了分支行滥用权
力．造成了权力的巨大风险；而另一些行片面强调集权，把分支行所有的贷款
全部收上总行。这样做从风险控制的角度来看无可非议，但过渡的集权不利于
发挥下级行和全体员工的控制和创新的积极性，总行在信息不对称的情况下，
既不了解贷款企业财务状况的真实性，也难以防止下级行机会主义的行为，这
种情况下审批的项目可能比基层行审批带来更大的风险。另外，授权后忽视对
授权执行情况的监督检查，也是部分银行授权制度执行不力的主要原因。授权
后既不检查，对违规者也不处罚，使授权制度流于形式。
(7)职工控制素质没有落到实处
风险的根源在于入，提高入的素质是风险控制最重要的方面之一。但我园
商业银行的职工素质控制与国外商业银行有一定差距：一是我国商业银行尽管
也强调职工培训，但还未作为一种制度来落实，许多银行缺乏必要的上岗前培
训和在岗再培训；二是我国商业银行也强调员工轮岗和强行休假，但普遍未作
为一种正式的制度来落实，在实际工作中常常因人手紧、业务熟练、岗位重要
或因碍于情面而使员工轮岗和强行休假制度流于口头。
5．4信息系统的差异与改进
信息系统是现代商业银行内部控制系统的重要组成部分。国外现代商业银
行在信息系统的建设方面普遍建立了三个子系统，一是建立一个能真实反映商
业银行经营活动的会计信息系统；二是建立一个确保高级管理层迅速、全面、
准确的了解内部财务、经营及合规性信息以及与其他外部信息的管理信息系统；
三是建立一个使信息上下交流的，能迅速、准确的传递信息的信息传递系统。
这三个子系统的共同作用，才能保证现代商业银行内部控制系统功能的实现。
我国商业银行的信息系统无论在信息的收集、加工、处理、传递方面还是
在信息技术、信息管理人员素质等方面与国外商业银行都存在很大的差距，这
些差距直接影响了信息获取的数量、质量和信息产生的速度。会计信息的不真
实、管理信息的不通畅是造成我国银行管理层决策和控制效率低下的重要原因
之一。我国商业银行的信息系统方面的主要问题主要表现在以下及各方面：
(1)会计信息失真
我国商业银行因客观的和主观的各种原因，存在着资产、负债、所有者权
益、收入、费用、利润等会计要素不真实的现象，特别严重的是一些分支机构
有随意修改会计报表，虚增资产、负债和所有者权益。私设“小金库”，违规经
营造成巨大损失和存在巨额帐外资产等严重问题、会计信息的“三假”(假帐、
假表、假数据)现象比较严重。失真的主要原因有：一方面是商业银行会计拧
制薄弱风主观原因造成的信息失真。一些分支机构行长风险意识不强，没有建
立必要的会计内部牵制和内部控$050度，会计控制失控，会计管理混乱，会计
数据收集、加工、处理等各个环节都存在着隐患。
(2)管理信息系统建设滞后的问题
管理信息系统具有收集、加工、处理内外部信息并转换成对管理者有用的
信息的功能。在当今“信息爆炸”的时代，国外商业银行都普遍建立了管理信
息系统。我国商业银行在管理信息系统建设方面落后，目前计算机应用还主要
38 从西方内部控制理论看我国商业银行的内部控制制度及其建设． 一一
停留在操作层面的会计信息系统，面向管理层面的管理信息系统还几乎是空白，
现在的一些信息系统只局限于某项业务的信息系统，而缺乏全行整体的管理信
息系统。造成我国商业银行管理信息系统建设落后的原因主要有OT--个：一
是银行从最高管理层到普通员工受传统计划经济的影响，信息观念淡薄，对信
息管理工作未引起足够的重视；二是银行内部还没有一个真正的信息管理部门。
尽管所有的商业银行都设立了电脑部或技术部，但只局限于从技术角度进行软
件开发和硬件维护，三没有国外商业银行那种真正意义上的信息管理部门；四
是真正熟悉信息技术的人员缺乏，电脑技术人员与业务人员脱节，技术人员不
懂业务，业务人员不懂电脑，缺乏既懂电脑又懂业务的人才，限制了信息技术
的开发和管理。
(3)信息传递效率低下
信息再多再好，如果没有畅通的信息传递组织和传递渠道及时准确的从信
息传递到信宿，则信息将失去它的作用。如果银行最高管理层和上下级行不能
及时准确的获得下级行的经营活动信息，下级行和全体员工不能及时准确的得
到上级行的指令，那么这种内部控制系统将是低效的或是失效的。由于信息技
术的落后，我国商业银行的信息传递完全是靠金字塔式的组织来完成的。从信
息传递的准确性来看，由于中层组织过于庞大和链条过长，信息的层层传递，
层层衰减，最高管理层的指令难以传递到基层行，基层行的经营活动也难以真
实的反映到最高管理层，从而影响了信息传递的效率。从信息传递的时效性来
看，由于我国商业银行信息技术落后，正式的信息主要通过会议、文件等形式
来实现上下级的信息传递。一级一级开会，一级一级的发文，从总行到储蓄所，
信息的传递少则要一周，多则要数月，中层出现的任何梗阻都会影响信息的传
递速度。“文山会海”不仅造成信息传递成本的上升，更重要的造成了信息传递
效率的下降。
5．5内部审计的差异与改进
国外现代商业银行内部审计有三个基本的特征：在组织结构方面，内部审
计机构直属银行董事会领导，以保证内部审计的独立性，内部审计的方针政策
由董事会下设的内部审计委员会具体负责：在人员配置方面，内部审计部门配
各具有相当业务水平和职业道德的高素质人员，以保证内部审计的质量：在内
部审计方法方面。采取以内部控制评价基础审计的现代审计方法，以评价内部
控制系统的有效性为主，对重要业务或内部控制系统存在较大缺陷的机构才进
行实质性的审计。
近年来，我国商业银行的内部审计工作得到了明显的加强，各商业银行的
内部审计部门从无到有，审计人员从少到多，审计范疆从小强大，内部审计在
我国商业银行暴露和防范风险方面起到了积极作用．但是我国商业银行在内部
审计方面还存在以下问题：首先，内部审计的组织设计不合理．我国商业银行
普遍将内部审计部门置于总行和各级分支行的行长管理之下，总行的审计部门
属总行行长管理，分支行的审计部门由分支行的行长管理，内郏审计部门对行
长负责，而不是对董事会负责，内部审计人员的报酮由管辖行的行长决定．这
种管理体制不符合内部审计的独立性原则，容易影响审计的客蕊公正，不利于
发挥内部审计的控制和监督职能；其次，内部审计人员的素质有待提高．由于
各级行长认识上的差距，一些行对内部审计工作未给与高度重视，甚至认为是
一种负担，在这种思想的导向下，使得内部监督的力量显得较为薄弱，影响其
作用的发挥；第三，内部审计的方法有待完善．我国商业银行内部审计的方法
还主要局限在业务的专项审计和突击检查等实质审计的范畴，主要是以事后监
督为主，没有发挥内部审计事前、事中监督的作用．由于审计工作量大和人手
紧张，审计范围和审计深度都受到限制，往往当违援发生后，才逶行熏点审计，
是一种补救型的或者堵漏型的事后审计方法，而难以达强风险的该警目的。
综上所述，我国商业银行特别是国有银行在内控建设方面还存在着许多问
题，与西方商业银行的内控制度还有很大差距，这种内控飙钊方蠢的不足是我
国现阶段银行业改革中的一个重要环节。人民银行加吃年9月lS日下达盼‘商
业银行内部控制指引》是一个纲领性的文件。它在根大程度t售鉴了西方特别
是巴塞尔委员会的内控理论，我们应当按照这一指引的要求在金蠹生对外开放
的大环境下，积极探索强化我国商业银行内控的方法和策略，增强我国商业银
行的竞争力。
柏参考文麓
参考文献
1．Basel Committee(1 998)“Framework For Internal Control
Systems In Banking Organisations'’．
2．coso(1994)“COSO Definition OfInternal Control”．
3．COSO(1994)“Internal Control—Integrated Framework”．
4．(美)玛格丽特．M．布莱尔著张荣刚译《所有权与控制一
一面向2l世纪的公司治理探索》，中国社会科学出版社。
5．何林祥(1999)Ⅸ美国商业银行内部控制、风险管理与稽核))，
人民出版社。
6．杨海群(2001)((公司治理与银行控制》，中国金融出版社。
7．卢鸿(2001)《现代商业银行内部控制系统论》，中国金融出
版社。
8．梁能(2000)《公司治理结构：中国的实践与美国的经验》，
中国人民大学出版社。
9．李凤鸣(1998)((内部控制与风险防范》，经济科学出版社。
10．王廷科(1995)嵌现代金融制度与金融转轨》，中国经济出
版社。
“．
版社。
12．
出版社．
梁春满等(2000)《现代商业银行内部控制》，中国金融出
巴曙松(2000)《经济全球化与中国金融运行》，中国金融
13．康书生(1999)Ⅸ商业银行内控制度：借鉴与创新》，中国
发展出版社。
14．袁管华(2000)《开放条件下的国有商业银行制度创新导
参考文献41
论))，中国社会科学出版衽。
15．周好叉(1999)《中国商藏银行经营管理实务全书》，中国
经济出版社。
16。张杰(1998)《中国国有金融体制变迁分析》，经济科学出
版牡。
42 后记
后记
本文是我在东北财经大学金融学院攻读硕士学位期间的研究成
果之一。论文的写作历时数月，做了很多文字翻译、资料搜集和整
理工作，还特别到中国银行辽宁省分行进行了有关本课题的实际调
研，然而最终我只能说我的研究只是对西方内部控制理论的简单思
考、对我国商业银行内部控制的初步考察、以及提出了一些解决问
题的设想和建议，我所做的还是很基础的工作。如果我的论文能够
对以后从事此方面探讨和研究的人员提供一些帮助，也可以说这已
经基本实现了本文的写作目的。
在论文最终完成的时候，首先要感谢我的导师李秉祥教授，感
谢李教授两年多来对我的悉心指导，使我在经济理论特别是金融理
论的素养上有了很大提高。李教授丰富深厚的专业知识、独到精辟
的学术思想和严谨认真的治学态度给我留下了深刻印象，这些东西
都会让我受益终身。当然，还要特别感谢李教授在我的论文选题、
资料搜集、实际调研和最终写作的过程中给我的很多指导、鼓励和
帮助。
还要特别感谢中国银行陈恩良先生在我的调研过程中给我的特
别指导和大力协助。同时，也感谢金融学院各位领导和老师对我的
教育和帮助，感谢研究生部各位领导表老师对我的鼓励和协助，感
谢我的同学们对我的肯定和支持，感谢所有帮助过我的知名的和不
知名的人们，谢谢你们，衷心的祝愿你们工作进步、生活幸福。
周阳
2002年11月于东财园