銀行如何加強內控建設

㈠ 如何加強商業銀行的內部控制與風險管理

一、強化內部控制和操作風險管理理念，建立良好的風險控制企業文化氛圍

對於城市商業銀行來說，引進國際銀行業先進的操作風險管理理念，形成良好的風險控制企業文化氛圍是迫在眉睫的任務。建立良好的操作風險控制文化氛圍首先要明確操作風險的科學含義和風險控制手段及方法。

現代銀行風險管理理論對操作風險給出了明確的定義，即操作風險是指由於內部流程、人員行為和系統失當或失敗，以及由於外部事件而導致直接和間接損失的危險。操作風險主要來自內部控制和外部事件兩個層面，主要包括：人員風險、制度和流程風險、技術風險以及操作策略風險。

銀行操作風險的防範主要依賴完善的內部控制，完善的內部控制是有效實施銀行操作風險管理的主要手段。巴塞爾銀行監管委員會1997年在《有效銀行監管的核心原則》中提出：「最重大的操作風險在於內部控制及公司治理機制的失效」。根據2002年9月人民銀行頒布的《商業銀行內部控制指引》對商業銀行內部控制的定義：商業銀行內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防範、事中控制、事後監督和糾正的動態過程和機制。

與國內其他商業銀行相似，錦州市商業銀行成立初期注重資產規模的擴張和市場佔有率的提高，以期在區域銀行市場獲得一席之地，完成最初的生存和發展需要。在這一發展階段，銀行的風險意識還處於萌芽狀態，雖然從管理層到員工都能夠意識到風險的重要性，但是在制度上缺乏風險控制的有效手段和科學方法。隨著競爭的日益激烈以及銀行風險監管要求的不斷深入，管理層深刻地意識到必須形成風險控制企業文化，建立科學的風險管理和內部控制體系，將先進的風險控制手段和方法與銀行自身經營特點相結合，做到「實用、管用和會用」，從而全面提升銀行的風險管理水平。

通過風險管理和內部控制項目的實施，錦州市商業銀行引入了科學的銀行操作風險管理理念，加強了對管理層和員工的內部控制和操作風險管理理念和方法的培訓。在銀行內部，將風險管理由高深的理論變為所有銀行員工的自覺意識和行為，使從銀行高層管理者到基層員工的所有銀行員工對內控和操作風險的內容和含義有了准確的理解，清楚地認識到銀行內控與操作風險和每名員工的相關程度。通過培訓，員工們進一步明確了不同崗位風險的控制方法和手段，做到合理有效地控制風險。

在強化對內控和操作風險理念的宣傳與培訓工作的同時，項目小組對原有績效考核和薪酬體系進行了重新設計，將包括操作風險管理在內的全面風險管理內容融入其中，使得內部控制和風險管理不僅是對員工日常工作的要求，並且成為衡量部門績效的成本因素，直接影響部門的經營效益考核結果，進而形成管理者和員工風險管理的激勵機制。通過事前培訓，事中監督和事後考核，已經將銀行內部控制和風險管理理念深入貫徹到每名員工，相信通過一段時間的實施將形成良好的內部控制和風險管理企業文化氛圍。

二、進一步完善風險控制的組織結構和崗責體系

完善的組織架構是保證內部控制和風險管理的組織保障，而科學的崗位職責設計能夠確保每名員工在內控和風險管理工作中權、責、利上的明確分工，進而通過合理的績效考核和激勵機制設計保證分工的有力執行。項目小組結合內控和風險管理的科學理念和最佳實踐對自身的組織架構進行了改造，對崗位職責進行了重新設計。

良好的公司治理結構是商業銀行建立有效風險管理制度的基礎和前提。錦州市商業銀行注重通過加強銀行治理，強化股東會、董事會職能，從源頭上提高內部控制和風險管理意識。在項目中，進一步強化了董事會和各委員會的職能，確保董事會能夠真正在銀行重大決策中發揮作用。在完善原有職能的同時，將成立資產負債管理委員會、審計稽核管理委員會、提名管理委員會、信息管理委員會和戰略發展委員會，進一步加強對銀行的內部控制。

在風險管理和內控項目中，錦州市商業銀行著重強化了風險管理部和稽核部門的工作職能。垂直獨立權威的風險管理組織機制是加強風險管理的組織保障；健全配套的風險管理機制是風險管理的必要手段和配套措施。為全面有效地進行風險管理，成立了由銀行董事會及高級管理層直接領導的，以獨立風險管理部門為中心，與各個業務部門緊密聯系的獨立的風險管理體系。風險管理部負責對包括信用風險、市場風險和操作風險在內的銀行風險進行全面管理。風險管理部通過運用各種管理手段包括政策約束，流程規范以及有效量化支持工具實施風險管理，將各類風險損失控制在可接受范圍內。

錦州市商業銀行注重通過內部稽核部門發揮監督和控制職能。通過建立全行具有高度權威性與獨立性的稽核部門，進一步增強其作為內控重要監督部門在內控評價與監督方面的職能。稽核部是全行最高的稽核管理部門，負責全行下屬各經營機構以及各業務管理部門的監督與稽核，同時直接向董事會及稽核審計委員會負責。目前總部正著手對下屬機構進行風險分類，根據不同機構風險等級的採用差別化的稽核方式，強化對存在較大風險機構的稽核審計工作。調整後稽核部大大提高了在監督審計方面的稽核檢查力度及檢查有效性。

三、建立科學的內部控制、風險管理制度與流程體系

科學有效的管理制度和流程體系是確保內部控制和風險管理質量的基本保證。錦州市商業銀行通過完善各部門與業務的內部控制制度以及優化風險控制流程來降低和防範操作風險，將系統、標準的管理方法運用到各類業務的操作風險管理當中，全面梳理各項業務流程，建立有利於全面風險管理的內部控制體系。

為更好的體現風險管理的獨立性，錦州市商業銀行在原有單一的業務線基礎上分離出風險管理線，建立了風險經理制度，對每家支行派駐風險經理，負責對支行風險的全面審查工作。風險經理由風險管理部管理，不隸屬於每家支行，從而避免由於經濟利益的驅動而導致的對風險的忽視。通過實施稽核專員制度，稽核專員負責對支行經營過程中的內部控制、操作風險問題進行現場和非現場檢查，並按照各支行內部控制管理水平的不同確定現場稽核頻率。

項目小組設計了風險信息報告和評估反饋機制。建立覆蓋全行的風險信息報告機制的目的在於及時、全面、完整地向決策層和管理層提供銀行經營管理中涉及的各類風險與內控狀況，及時發現、防範和化解經營風險，確保穩健經營。風險報告路線採取縱向報送與橫向報送相結合的矩陣式結構，即部門或者支行向總部對口管理部門報送風險報告的同時，必須向風險管理部門報送。建立制度評估反饋制度的目的在於及時發現、報告和糾正內部控制的缺陷，不斷地提高規章制度的適應性和操作性，從而增加對基層機構的控制能力。

在制度設計的同時，錦州市商業銀行對原有的風險管理流程體系進行了進一步優化。設計中減少了包括貸款審批流程的審批環節，進一步明確了從客戶經理、風險經理和最終審批人的風險責任。得益於先進風險控制方法的引入，雖然監控環節減少，但是信息傳達的透明度提高，加之激勵約束機制與風險責任的直接聯系，因此提高了風險管理的質量並且降低了管理成本。

四、建立涵蓋風險管理內容的績效和薪酬考評體系

實施對員工的有效激勵、對風險管理的科學性和效率性具有根本性影響。人們行為的動機在於與之相關的效用激勵，忽視風險控制的激勵機制只能將員工的行為動機轉向單純的規模和簡單的利潤導向。為提高對員工的風險約束，項目小組在建立涵蓋風險內容的部門績效考核的基礎上重新設計了員工薪酬考評體系，將風險考核納入了員工激勵機制。

在對部門績效考核體系的設計中，項目小組設計了科學的關鍵績效指標體系（KPI），運用平衡記分卡實現了績效考核要素的全面性要求，引入了包括風險調整的資本收益率(RAROC)在內的綜合性銀行績效指標，避免了原有考核體系由於指標間相關性造成的激勵沖突，將風險成本和風險資本作為重要因素明確地納入考核，體現了考核標準的科學性。在績效考核體系的基礎上，項目小組設計了包含風險管理激勵機制的員工薪酬體系，通過採用不同的薪酬結構和支付期限避免了風險偏好不同員工之間的激勵沖突。

五、錦州市商業銀行內控和操作風險管理的未來規劃

良好的內控和風險管理體系要通過充分有效地實施才能實現，錦州市商業銀行將在未來一段時間內繼續完善新體系的實施工作，確保項目設計目標的最終實現，並將繼續推動銀行信息系統的風險控制工作以及加強風險量化管理精確化的准備工作。

銀行內部控制和操作風險管理無論是文化氛圍的形成，管理體系的搭建，還是管理手段和方法的實施都不是一朝一夕就能完成的，風險和內控項目實施的目的並不是畢其功於一役，而是為持續的內控和風險管理工作奠定堅實的基礎。錦州市商業銀行將時刻關注國內外銀行內部控制和操作風險的最新動態，學習和借鑒先進的管理方法，形成符合自身發展和經營需要的風險管理體系，持續提高自身的風險管理能力和水平，向國際化銀行管理水平的發展目標不斷邁進。

㈡ 如何加強商業銀行的內控制度建設

一、總體規劃、全面推進1.建立健全內部控制制度體系.按照《商業銀行內部控制指引內》的要求,在梳理現有規章容制度的基礎上,以有效識別、衡量、控制風險為中心,建立覆蓋主要業務品種和重要會計業務操作環節的規章制度.這就要求銀行內部總體規劃,各部門協調統一,充分考慮科學合理性、嚴密性、明晰性和可操作性,通過整章建制,進一步梳理現有的規章制度,去除相互交叉的矛盾,以及不合理或者已經跟不上形勢發展需要的制度,增加適應業務發展的新制度、新規定,使管理制度逐步系統化、規范化、科學化.

㈢ 如何加強商業銀行內部管理

要加強商業銀行內控管理，首先應深入推進內控合規文化建設，做到合規理念入腦入心。要結合自身實際和職能定位，將合規管理理念嵌入業務流程，貫穿於各項工作、各個環節，並緊扣業務經營管理和員工思想實際，深入分析各種違規現象及案件發生的根源，有的放矢，解決問題。一是要加強合規培訓，舉辦各種形式的合規管理和合規文化講座，尤其要加強基層行內控管理人員培養，不斷提高業務技能和素質。二是要持續開展合規理念宣講活動。要在基層行不斷地開展合規理念宣講，提高全員的合規意識，使合規理念入腦入心。三是結合金融領域內各種違法違規案例，持續開展各種形式的警示教育，努力增強員工依法合規、遵章守制的自覺性。
其次，加強制度執行力建設。應該把加強制度執行力建設常態化，把執行力建設融入基層行各項工作之中。要建立良好的執行文化。通過教育，把執行理念烙進員工的思想意識中去，自覺按照規章制度辦事。要加強制度學習傳導。充分利用晨會、夕會或舉辦各類專題培訓班、以會代訓、以考促學等方式，加強一線員工對規章制度的學習，使每個員工熟練掌握規章制度和操作規程。加大檢查監督力度，下大力量抓好重點業務、重點部位、關鍵環節的風險防控，加大監督檢查的頻次和范圍，始終保持對違規行為和違規人員的高壓態勢。
第三，制度建設要與業務創新同步更新。應根據業務流程的更新，對內控管理制度及時進行梳理更新，完善各項制度和操作規程，保證制度和規程覆蓋所有業務領域和所有風險點，做到每一項業務都「有章可依」。同時，要做好制度後評價，推動制度的創新完善。對於已經過時的制度規定要及時清理和廢除，避免新舊制度交叉而造成不必要的執行矛盾和風險隱患。
第四，健全內控管理激勵機制。應在基層行建立有效的內控管理激勵機制，將內控管理水平與其績效掛鉤，充分調動全員參與管理的積極性。可將基層行收入的30%與內控管理水平掛鉤，每季度組織對各基層行內控管理狀況進行量化考核，考核結果納入行領導經營目標考核。同時，建立健全內控考核指標體系，根據上級行內控評價標准等內控管理規定，結合主要業務風險點，建立市行、支行、網點三層內控管理考核指標體系，確定每個指標的分值和扣分標准，保證量化考核的科學性和可操作性。
第五，進一步完善內控監督機制。應努力保持內控合規部門的獨立性和權威性，建議在各基層行設立專職內控管理人員，由上級行垂直領導，工資晉升單獨考核，確保形成有效監督制約。建議對內控合規人員實行等級管理考核制度，按照工作業績、管理水平等核定內控合規人員級別，並享受相應級別的幹部待遇，從而脫離被監督行的制約，確保形成有效監督制約。

㈣ 如何認識銀行業務發展和加強內控管理之間的關系

業務發展與內部控制是銀行經營管理的兩大主題，正確認識和把握它們的關系，對於基層金融機構管理者尤其必要。
首先，要深刻認識到兩者統一於企業生存和發展的整個過程，所指向的目標在本質上是完全一致的，目的都是為了實現又好又快發展。兩者的依靠力量也是一致的，都必須調動和發揮全體幹部員工的主動性、積極性。其次，兩者是相輔相成、缺一不可、不可偏廢的。一方面只有抓好了內控，業務的發展才能夠有更好的保障，僅偏重於業務發展而輕視內控管理，業務發展只能是短暫的、不真實的；另一方面不能因為強調內部控制就放鬆了業務發展，脫離了業務發展這個根本，內控就成了無本之木、無源之水。第三，兩者是相互促進、相互支撐的。內控並不單純是投入，是消耗人力、物力。抓好內控同樣會減少成本支出、提高工作效率、提升經濟效益，同時更重要的是能提升幹部員工隊伍的整體素質，以此來支撐和促進各項業務持續健康安全發展。業務發展水平提高了，反過來會促進內控向縱深推進，防範和化解風險能力就更強，發展的質量就更有保障。
要實現業務發展與內控管理同步發展這一總體目標，科學認識兩者之間的關系是前提，更重要的是還要正確實踐兩者之間的關系。
基層金融機構管理者處於承上啟下的關鍵環節，要轉變經營理念和方式，堅持速度和質量相協調、發展與內控相匹配的原則。具體而言，要增強三種能力，即統籌協調能力、貫徹執行能力及人本管理能力。

增強統籌協調能力，就是要著力轉變經營增長方式，努力追求資本、規模、速度、風險、效益的持續動態平衡。一方面強化內控管理能力，從降低成本、提高效益和有利於業務發展出發，既控制和化解風險，又控制內控管理的邊際成本，提高邊際效益。另一方面當發展與內控發生沖突時，不能為了做業務就不計風險，也不能因為強調合規就簡單地放棄發展，畏縮不前。
增強貫徹執行能力，就是要堅決將總行、省聯社的戰略意圖和部署安排層層傳導到位、落實到位，認真將各項規章制度不折不扣執行好，真正產生作用。按照精細化管理的要求加大過程管理力度，從細節入手，做到經營管理的每一個步驟都要精心、每一個環節都要精細、每一項成果都是精品，形成認真嚴肅、精益求精的工作態度和習慣，確保工作成效與上級行的要求完全符合。
增強人本管理能力，就是要以共同發展遠景凝聚全體員工，不斷加強員工隊伍素質建設和思想政治建設。以創造和諧銀行為契機，將銀行事業發展與個人發展緊密相連，通過強化民主管理、深化行務公開、開展業務競賽等各種形式，調動全員參與行務的主動性和創造性。積極培育發展意識和合規文化，加強職業道德建設，使「發展是硬道理」和「合規人人有責」的理念植入到每個員工心裡，為持續發展和內控建設奠定堅實的思想基礎。

㈤ 如何健全和完善商業銀行內部控制機制

隨著市場經濟體制和法制建設的日益完善，人們越來越感到強化管理的重要，尤其是內版部控制已引起了權金融界的極大關注。近年來國際銀行業的實踐證明，正視日益增長的風險，改善和加強銀行內部控制，已經成為銀行生存發展的首要的、基礎的條件。我國是世界貿易組織成員，金融業是首批開放的行業，面臨著巨大的競爭。為維護銀行經營的安全，防範可能發生的各類金融風險，一套完善的內控制度體系對於金融機構的生存發展有著非同尋常的意義。

㈥ 如何加強內控文化建設

加強合規文化是規范行為一種理念、思維方式以及在這種理念指導下的行為習慣。只有當銀行經營管理者和各級員工形成合規文化的理念和思維時，銀行風險的防範才會變得積極主動，更加有效，進而才能形成風險防範的長效機制。

銀行合規文化不足是風險防範存在問題的重要原因
當前，我國銀行案件防範形勢仍然嚴峻，銀行風險防範對中國銀行業來說是一個十分重要而緊迫的課題。銀行內部案件產生的原因，主要在於制度、文化和員工職業操守方面存在明顯的薄弱環節和管理漏洞。任何操作風險都是人的行為造成的，盡管人的行為要受制度約束，但決定人的行為的影響力來自於所受文化的熏陶。內控合規文化不足是銀行風險防範工作存在問題的重要原因，基層銀行內控合規文化在風險管理中的不足主要體現在以下幾個方面：
（一）風險防範意識淡薄，良好的內控合規文化氛圍沒有建立。目前，基層銀行對管理風險缺乏全面、系統的認識，尚未形成濃厚的控制文化。首先，缺乏對風險的整體把握。對風險還停留在分離、局部的認識層次上。其次，在風險防範上未能做到未雨綢繆，往往就事論事，缺乏事前防範和系統管理。再次，在風險控制的責任認定上，認為風險是內控、紀檢監察等管理部門的事情，與業務部門關聯度不強，管理層監督力度不夠，責任不清。
（二）內控制度體系疏漏，內控合規文化引導機制未能彰顯。存在內控管理部分環節無章可依、內控管理制度滯後和制度執行缺乏剛性等問題。此外，內控部門獨立性不夠，審計的客觀公正難以保證，也是強有力的內控合規文化引導機制未能彰顯的重要表現。
（三）職業操守缺失。面對社會變化會、業務發展、工作壓力、機會和誘惑，風險事件及案件隨之發生。
國外銀行業對內控文化建設可借鑒之處
巴塞爾協議明確指出，任何大量損失的產生都反映出管理層未能重視控制文化，控制文化的鬆弛，造成銀行內部缺乏適當的激勵。西方發達國家的商業銀行，盡管成立時間不同、歷史背景不同、監管環境不同，但在巴塞爾協議的統一要求下，都從各自的管理實際出發，逐步形成了各具特色各有側重的操作風險管理流程和內控文化框架。他們的實踐表明，在內控文化建設中，以下幾點是都是不可少的因素，這些方面對我國銀行提升內控合規文化建設水平具有重要的借鑒意義：
第一，內控合規文化一定要包含強烈的風險意識。首先，必須明確風險與銀行成本之間的關系，使所有員工意識到風險控制行為能直接使他們自身受益。其次，要有高層管理者的支持，高層管理者應在機構內部創造一種員工充分參與的內控文化，還要設定禁止員工逆風險管理價值行事。
第二，內控合規文化一定要具有細致的建設流程。內控合規文化需要有一個非常詳盡細化的框架來設計其建設流程，每個環節都應具備具體的實施程序和步驟，以增強建設流程的可操作性。同時，整個建設工作要體現動態持續、協調發展。
第三，內控合規文化一定要突出協作的內部關系。內控合規文化的建設必須強調有效的風險管理取決於業務部門、內部審計部門、風險管理部門，以及其他部門之間的協作關系。
第四，內控合規文化一定要強調良好的職業操守。提升員工素質和職業道德意識是構建有效風險控制過程的關鍵。
強化基層銀行合規文化建設，推進建立風險防範長效機制的建議
如何做好內控文化建設，可以考慮從以下方面著手，強化基層銀行內控合規文化建設，進一步推進基層銀行風險防範長效機制的建立：
（一）形成科學有效的內控合規文化建設制度體系。一是要保證制度的科學性。在制度體系的規劃層面，劃分層次，力求簡潔，使得各項制度有適用范圍的清晰界定和執行效力高低的明顯順序；建立制度制定的過程管理，形成固有的流程和許可權；完善制度使用效果的信息收集和傳導反饋機制；周期性評審、修訂、梳理和清理制度，保持制度持續有效。要強調制度執行的嚴肅性。
（二）積極引導對內控合規文化的深度認同。激發員工樹立操作風險的防範和規范意識，使員工明確，首先，風險的防範是銀行核心競爭力的本質體現，是銀行持續健康發展的重要基礎，而一個強大的銀行是實現個人利益的根本保證，因此，銀行風險防範符合共同的價值觀。其次，風險自始至終是與業務活動相伴的一個持續的長期過程。第三，風險分布於銀行的所有工作崗位，這種分散化性決定了每一個業務點都是操作風險點，操作風險無處不在，每一名員工都是防範操作風險的第一責任人，其行為的合規與否將直接決定操作風險控制的成效。
（三）形成細節決定成敗的文化約束。銀行風險的發生是難以避免的，但是，依靠員工的敬業精神和專業態度，風險事件及案件發生的概率和造成的損失是可以降低的，這種敬業精神和專業態度就體現在細節上。「千里之堤，潰於蟻穴」，一些大案要案之所以得逞，都是日積月累的結果。「魔鬼在細節中」，一時的違規，可能形成不了損失，但卻埋下了風險的種子，如果不能及時制止，就會生根發芽，形成毒瘤。風險的防範就是要樹立和強化「違規就是風險」的思想觀念，養成扎實的工作作風，從小處著手，從點點滴滴做起，兢兢業業做好、做細一切工作，使管理不留死角。
（四）嚴格隊伍管理築牢內控合規文化基石。從國內外銀行業發生的風險事件誘因來看，道德風險佔了很大比重。銀行作為經營貨幣的特殊企業，這種行業特點決定了銀行工作人員必須要有良好的職業操守，形成較強的自我約束能力，如果員工的職業操守出了問題，自律行為減弱，道德風險隨時產生，那麼即使最嚴密的管理制度，往往也會失去應有的效力。培養員工良好的職業操守，必須從職業道德、文化知識、業務技能和現代人格塑造等方面全面提高員工素質。以管理來激發員工的積極性，使員工有更多的機會參與管理與決策，以主人翁的態度對待工作，從而表現出高度的職業責任心和良好的職業素質，克服違規行為的發生。基層行必須加快內控合規文化建設步伐，促進農發行安全、穩健、快速的發展。

㈦ 加強我國商業銀行內部控制建設的建議

商業銀行內部控制低效的成因及模式重構
作者：孫濤 編輯：
[摘 要]我國商業銀行金融風險的產生多是由內部控制低效造成，而內部控制低效又源於控制模式的不規范。因此，研究這一課題具有重要的理論價值和現實意義。為探索提高內部控制效果的有效途徑，本文在分析我國商業銀行內部控制低效成因的基礎上。根據COSO報告和ERM的要求，構建了要素式動態控制的立體模式，並對這一模式的構成及其運行方式等進行了深入研究，為商業銀行規范內部控制行為和降低金融風險提供了一種行之有效的管理手段。
[關鍵詞]商業銀行；內部控制；控制模式；風險控制

一、問題的提出及文獻綜述

我國商業銀行的內部控制始於20世紀90年代初期對呆滯賬的控制，1990年我國四大國有銀行的壞賬佔全部貸款的比例已經超過20%，連同逾期、展期的呆滯貸款總額占貸款總額的比例超過了70%，1991年末四大國有銀行的壞賬超過其自有資本，產生資不抵債。1992年美國COSO委員會頒布五要素的內部控制框架（簡稱COSO報告），引發了全球性內部控制高潮，也給我國商業銀行提出了建設內部控制制度的要求。到20世紀90年代中期，由於我國越來越多的國有企業不但不償還貸款，甚至連貸款利息也不支付，致使全國銀行業在1994年和1995年出現了全行業虧損，分析其產生虧損原因，主要是由於商業銀行缺乏有效的內部控制制度（趙文傑，1996），產生了過多的呆滯賬以及市場風險、信用風險和操作風險。為控制全球普遍存在的壞賬損失及其金融風險，1998年9月巴塞爾銀行業委員會發布了銀行內部控制系統框架（Framework for Internal Control Systems in Banking Organizations）。我國商業銀行也開始了全面內部控制建設，雖然對降低運營成本以及控制金融風險等方面起到了一定的作用，但並沒有改變我國銀行業呆滯賬過多的現象，1999年四大國有銀行的不良貸款總額超過1萬億元，2003年6月全國商業銀行的不良貸款總額達到3.2萬億元，這就不得不使我們反思商業銀行實施的內部控制制度建設還存在的許多難以克服的弊端。

為解決我國商業銀行實施內部控制制度低效的問題，理論界和實踐中都進行了深入的探討。陳元燮（1998）使用系統觀點分析了我國商業銀行的內部控制結構，指出控制信息不暢以及控制的手段和方法失效是產生內部控制低效的主要原因；王順（1999）從COSO報告的要求出發分析我國商業銀行的內部控制制度，指出監管不利以及約束失效降低了內部控制制度的作用；秦輝（2000）從農業銀行深圳分行實施內部控制的實踐出發，分析了商業銀行建立要素式內部控制模式的必要性；董青（2001）從工商銀行湖南省分行實施內控制度的實踐出發，在分析銀行業內部控制制度存在問題的基礎上，提出了商業銀行建立有效內部控制體系的要求；張明魁，任福堂（2002）在分析商業銀行內部控制目標管理的基礎上，提出了加強對商業銀行內部控制實施審計的要求；楊軍、陳朝豹（2003）重點對國有商業銀行的內部控制進行了分析，提出了構建要素式內部控制系統的初步設想；李明輝、王學軍（2004）重點研究了商業銀行內部控制的信息披露，指出對商業銀行特別是上市銀行，加強內部控制的信息披露，是提高內部控制效果的有效措施；周正兵（2005）通過對《商業銀行內部控制體系標准》編寫組組長王健豪先生的采訪，介紹了相關的標准並分析了制定商業銀行內部控制標準的重要性；余奇才、曾北川（2006）分析了《商業銀行內部控制評價試行辦法》，強調了商業銀行實施內部控制時進行評價的重要性。經過幾年來理論與實踐界的研究，已經明確了我國商業銀行進行內部控制制度建設的方向是要根據COSO報告以及ERM框架的要求建立要素式的內部控制模式，並且要打破傳統的平面式結構，構建多維內部控制框架。雖然許多專家、學者已經進行了深入的探討，但應如何構建這一模式到目前為止尚沒有一致的意見，需要進一步地探究。

構建適合我國商業銀行實際情況的有效運營模式是一項長期的任務，經過幾年來商業銀行不良資產剝離以及上市治理，不良貸款數額有較大幅度的下降，但仍不容樂觀。2006年第一季度境內商業銀行不良貸款總額仍有1.3125萬億元，據新聞報道我國1－9月份新增不良貸款金額近9000億元，這種現象除了制度方面的原因外，在很大程度上還是由於內部控制低效。我國商業銀行內部控制低效，在增加其市場風險和信用風險的同時，也在一定程度上促進了操作風險的產生（孫濤，2006）。從2000年到2004年我國商業銀行共發生涉案金額在百萬元以上的操作風險案件75起，其中人民銀行6起，農業銀行15起，建設銀行17起，中國銀行18起，其他金融機構10起，除涉案金額不詳的13起案件以外的其他案件造成國有資產損失高達24.15億元。因此，我國商業銀行加強內部控制建設的任務仍很艱巨。

自上世紀90年代以來，我國商業銀行在走向市場化的過程中開始實施內部控制，但隨著商業銀行內部控制的實施，金融風險不但沒有下降反而越控制越高。究其原因是多方面的，但其中重要的原因之一就是我國商業銀行傳統的內部控制模式存在著嚴重的問題，內部控制的思路和方式與金融風險的控制方向相背離，致使內部控制低效。在這種情況下，結合我國商業銀行風險控制的實際情況，借鑒國外金融風險防範的先進經驗，採用創新的手段和方法重構我國商業銀行的內部控制模式，並深入探索採用內部控制方式防範和控制商業銀行市場風險、信用風險和操作風險的有效途徑具有十分的重要性和迫切性。

二、商業銀行內部控制低效的主要原因

我國商業銀行傳統的內部控制由於受目標管理的影響，普遍採用了內容控制的方式，過度地強調目標的實現與控制，忽視了規范化建設，結果造成了短期有效之後的長期失效或低效，並因內部控制機構的設置、控制活動的實施以及內部控制的測試與評價，大大增加了管理成本。因此，分析我國商業銀行內部控制低效的原因，是提高內部控制有效性的基礎，根據我國商業銀行內部控制的實際情況，產生這種現象的主要原因表現在以下幾個方面：

（一）內部控制的條件尚不夠成熟

內部控制是一定的組織發展到一定程度提高管理水平的一種自然要求，它有許多基本條件的限制，主要包括：技術狀況、管理水平、人員素質、組織文化、經營規模以及運營效率等，它們必須要達到一定的程度才會有效。我國商業銀行由於受傳統管理方式的影響，以及長期的國家統管或干涉，致使資本運營效率十分低下。目前我國銀行業正在商業化改造過程中，市場營銷的觀念尚不夠成熟，特別是嚴重的富餘人員、臃腫的組織機構以及低下的工作效率，使得內部控制的效果大大低於這些問題所產生的費用超支，而使得內部控制必然產生低效。因此，商業銀行的內部控制應隨著控制環境的改善和條件成熟而逐步完善。

（二）忽視內部控制模式建設

內部控制是規范組織整體行為，提高整體管理效率和水平的一種管理方式，它的核心是構建一個有效的控制模式來規范和指導人們的控制行為和結果。商業銀行傳統的內部控制多採用頭痛醫頭、腳痛醫腳的打補丁控制方式，缺乏整體的控制思想和控制框架，主要採用目標控制的方法，以控制具體管理活動的內容為目的，過多地強調結果，不能夠注重內部控制的環境建設和過程建設，不能把內部控制要素與內容有機地結合起來，通過構建有效的內部控制模式來實現有效的控制，這在很大程度上影響了商業銀行管理者的控制觀念，致使商業銀行的內部控制活動長期在非規范的環境下低效運行。

（三）傳統的目標管理與COSO報告的要素控制框架產生矛盾降低了內部控制效果

從我國商業銀行風險管理的現狀來看，產生市場風險、信用風險與操作風險的主要原因是缺乏有效的內部控制系統來約束管理者和業務人員的行為。商業銀行在實施內部控制活動的過程中，由於受傳統目標管理的影響，過度重視內部控制目標的分解以及控制結果的考核與獎懲，這就促進了內部控制人員舞弊的動機與行為。當內部控制目標實現與要素控制的要求產生沖突時，由於利益驅動的原因會使得管理者和業務人員為實現預期內部控制目標而不擇手段，從而嚴重破壞內部控制的規范化建設，使控制活動常常失效，導致內部控制風險的產生。

（四）內容控制的模式必然導致內部控制的失效或低效

我國傳統的內部控制制度，把具體的經濟業務作為內部控制的主要內容，把實現與控制預期目標作為內部控制的核心，控制過程中將控制目標分解到各職能部門和相關人員，通過定期的考核與評價檢查內部控制的效果，這種以內容控制為核心的內部控制方式與COSO報告的要素式控制方式存在著根本的不同。要素式內部控制模式把環境和過程的規范化建設作為內部控制的主要內容，把構建內部控制模式作為內部控制的核心，注重的是長期控制目標的實現。相比之下可以看出，內容控制為核心的內部控制方式雖有利於短期控制目標的實現，卻忽視了內部控制環境和過程的規范化建設，失去了內部控制長期有效的動因。因此，最終必然會導致長期控制目標的失效。

（五）缺乏有效的內部控制標准和規范的控製程序

我國商業銀行的內部控制活動與西方國家相比起步比較晚，再加上多年來實施內容式控制模式，忽視要素式內部控制模式建設，存在著嚴重缺乏業務執行標准和綜合評價標準的現象，管理標准也多以規章制度為主，缺乏控制標准，而且內部控製程序也因缺乏要素控制的要求表現出明顯的不規范。根據COSO報告的要求，內部控制是以建立和完善內部控制標准為基礎的規范化管理方式，以檢查與評價管理者以及業務人員執行控制標准、修正與完善內部控制標准為重點，通過控制標準的制定、執行、修正與完善來規范人們的控制行為，通過人們行為的規范來實現控制目標。我國傳統的內部控制方式因控制標準的不完善和控製程序的不規范，使內部控制不可能實現程序化的優化運行，也就必然會導致內部控制的失效和低效。
（六）內部控制的測試與評價系統不完備

按照內部控制的要求，商業銀行必須要及時進行內部控制的健全性測試、符合性測試、實質性測試以及綜合評價，根據測試的結果採取相應的策略，以提高內部控制系統的有效性。由於我國商業銀行現行的內部控制採用內容控制的方式，在很大程度上存在忽視或缺乏內部控制的測試評價系統的現象，使得商業銀行現有的內部控制系統低效或流於形式。另一方面，我國商業銀行現有的控制目標考核評價系統，以完成預期目標為中心，主要考核和評價控制目標的完成程度，屬於剛性控制，長期的剛性目標控制必然會導致控制活動的失效，這就是目標控制的短期行為。

三、商業銀行內部控制模式的重構

我國商業銀行的內部控制系統需要根據COSO報告的要求重新構建，新的內部控制框架應該能夠克服原有內部控制制度所存在的種種弊端，並體現合理有效的原則在重構我國商業銀行內部控制系統的過程中，除充分考慮我國商業銀行內部控制的實際情況，借鑒國外內部控制的先進經驗，最大限度地克服現有制度的弊端之外，還要考慮2004年6月COSO委員會頒布的企業風險管理框架的要求，在內部控制五要素的基礎上增加目標設置、事件確定和風險應對。綜合以上分析，應構建我國商業銀行操作風險內部控制的動態系統（見下圖）。

（一）環境建設子系統是內部控制模式有效運行的基礎

內部控制環境在很大程度上決定著內部控制的實施效果，其建設目的是要塑造商業銀行的文化並影響其員工的內部控制思想。根據COSO報告的要求和我國商業銀行內部控制的實際情況，確定內部控制環境建設的主要內容包括：誠信機制與道德價值觀、員工能力的培養、領導機制與風格、經營方式與組織機構、責任與授權等。通過以上幾方面的建設，形成商業銀行風險控制的良性內部控制環境，並利用環境本身所具有的特定功能和作用，迫使內部控制事件及控制人員按照規范的行為和程序進行有效的工作，從而達到有效控制的目的。目前我國商業銀行內部控制的環境建設還比較薄弱，環境建設位於內部控制模式的外圍，它的完善程度對內部控制效果產生著重大影響。因此，環境建設是內部控制制度有效運行的基礎，也是完善內部控制制度需要長期建設的一項重要工作。

（二）目標管理子系統是內部控制模式的起點並決定著內部控制模式的方向

商業銀行內部控制的目標管理子系統是一個動態循環的過程，包括目標確定、目標的檢查與核對、目標的考核與評價以及目標改進等內容。目標確定是內部控制系統的起點，確定合理的控制目標是內部控制系統有效的基礎；目標的檢查與核對是根據內部控制實施效果進行的動態管理，用於調整內部控制環境適應控制目標以及檢查內部控制目標的實施情況；控制目標的考核與評價是對控制過程效果的綜合評價，主要用於檢查控制目標的實施情況；目標改進是一個反饋系統，主要是把考核與評價的結果反饋到下期的目標制定過程中去，用於修正下期控制目標。

（三）風險評估子系統是連接內部控制目標與控制過程的橋梁

在市場經濟條件下，風險和收益是一對矛盾，只有降低風險與提高效益同步進行，才能提高內部控制的有效性。我國商業銀行的內部控制系統以風險控制為先導，目的在於最大限度地減少內部控制的實施效果與預期目標之間的差距。這一子系統在內部控制模式中起著評估風險、修正標准和應對風險三方面的重要作用，評估風險是根據對控制目標和控制活動的比較分析進行的，通過選擇合理的程序和有效的方法，實施對商業銀行內部控制風險的評估，確定風險的大小；完成風險評估以後，首先根據所評估風險的大小，通過風險評估的標准修正內部控制過程的標准，以保證控制活動的有效性；與此同時根據風險評估的結果和控制目標的要求，將風險應對策略應用於內部控制過程，以最大限度地減少內部控制風險。

（四）過程管理子系統是內部控制模式的核心

商業銀行內部控制過程管理子系統包括：控制標準的制定、設置控制系統、執行控制系統以及必要的結果檢查等。控制過程是內部控制系統的核心，也是降低商業銀行風險的關鍵，根據COSO報告的要求，有效的內部控制是以要素控制為主體的控制系統，在這個控制系統中以環境建設為起點，以控制過程為核心。因此，內部控制的過程管理在控制系統中具有重要的地位。在這個子系統中制定標准和檢查標准具有特殊的意義，子系統的設計及執行必須要充分考慮控制標準的特點及性質，並以風險評估的結果為依據考慮內部控制測試與評價的要求，以保證控制系統的有效性。

（五）信息與溝通子系統是保證內部控制模式有效運行的重要手段

根據有關學者的研究，加強對商業銀行內部控制信息的披露，有利於提高內部控制的效果。商業銀行內部控制的信息與溝通子系統，把商業銀行內部控制的內部信息與外部信息聯系在一起，通過信息的傳遞、接收、整理與使用協調控制過程的各種矛盾，減少內部控制中的各種摩擦，通過信息渠道還可以及時傳遞各種內部控制信息，實現有效的溝通，以減少因缺乏溝通而產生的風險。以上構建的內部控制框架採用雙向的信息傳遞通道，利用信息通道把內部控制的諸要素有機地結合起來，以便於內部控制部門及人員之間的溝通，同時又能夠把每一個要素或過程的實施效果信息反饋到前一個要素或過程，以提高內部控制模式運行的有效性。隨著我國市場經濟的發展，商業銀行內部控制系統中信息與溝通的作用越來越大，加強商業銀行內部控制模式中的信息與溝通子系統建設，對提高內部控制的有效性以及減少商業銀行風險損失等都具有十分重要的現實意義。

（六）監督子系統是內部控制模式有效運營的重要保障

商業銀行的內部控制監督是指對實施內部控制人員的行為以及內部控制的設計和運作的過程，按照預期目標或控制標准所進行的監視及督察。監督活動一般由持續監督和個別評估所構成，持續監督是對內部控制活動的過程實施的不間斷的監督，屬於過程監督。個別評價是對內部控制的特定事件或結果進行的控制性評價，屬於重點監督。商業銀行內部控制的監督子系統也是一個動態的過程，對內部控制的整個過程和全部內容實施控制，並不斷地把監督的信息反饋到內部控制的有關環節，以進行有效的商業銀行風險控制。因此，它是促進內部控制有效運行的重要保障。

（七）測試與評價子系統是內部控制有效運行的有效措施

商業銀行的內部控制測試與評價子系統包括健全性測試、符合性測試、實質性測試和綜合評價。常規的內部控制測試與評價不進行實質性測試，當商業銀行的健全性測試或符合性測試不能通過時，才需要實施實質性測試。商業銀行內部控制的測試與評價是內部控制系統的有機組成部分，也是促進其有效運營的一個有效措施。為提高商業銀行內部控制的有效性，就必須要加強內部控制測試與評價的規范性。

四、主要研究結論

商業銀行實施內部控制的主要目的是為了規范人們的行為，最大限度地降低風險。根據COSO報告和ERM的要求，提高內部控制有效性的關鍵是要首先建立一個有效性的內部控制模式，利用控制模式的約束來規范人們的行為，達到實現內部控制目標的目的。通過對商業銀行內部控制模式構建進行了深入探討，本文主要得出以下幾方面的結論：

1.形成內部控制的原因是多方面的，但採用以目標控制為導向的內容式控制模式是內部控制最終失效或低效的主要原因，解決的主要方法就是要構建要素式的內部控制模式框架。

2.我國內部控制的有效模式應該是目標管理與要素式控制的結合。目標管理是我國商業銀行長期實施內部控制的經驗，雖有缺點但不能拋棄。COSO報告的五要素框架與ERM的八要素框架雖然在國外比較成功，但有一些內容不適合我國國情，也不能照搬，合理的作法是謀求二者的統一和融合，構建適合我國國情的新型內部控制模式。

3.把商業銀行的內部條件與外部環境結合起來，構建層次化的內部控制模式。提高商業銀行的內部控制效果，首先要通過對內部條件的優化組合完善商業銀行的內部控制環境，利用規范的控制行為保證控制目標的實現；其次把內部條件和外部環境結合起來，根據外部環境的要求完善內部控制標准，逐步提高內部控制效果；第三個層次是要根據動態控制的要求，通過內部控制模式的有效運行，追求內部控制效率的最大化。

4.把COSO報告的五要素框架與ERM的八要素框架結合起來，構建階段化的內部控制模式。COSO委員會的ERM框架是在COSO報告五要素基礎上增加了目標設置、事件確定和風險應對三個要素形成的，但二者有著本質的區別：COSO是內部控制的基本框架；ERM只是企業風險框架。本文把二者結合構建了包含目標的制定、風險的評估、控制活動的實施、內部控制的測試與評價以及內部控制目的考核與評價五個發展階段的內部控制動態框架。

5.內部控制動態模式的構建只是提高商業銀行內部控制效果的起點，不是終點。本文構建的商業銀行內部控制動態模式只是一個基本框架，還有許多內容需要進一步地深入研究。這一模式的運行具有多種方式，同一種方式在不同的環境下運行的效果也存在著很大的不同，而且控制模式本身還存在著許多不完善的地方，需要廣大同行更密切地關注這一問題，共同對這一問題進行更深入地研究，以徹底解決商業銀行內部控制低效問題。

㈧ 如何強化內控合規文化建設

加強合規文化是規范行為一種理念、思維方式以及在這種理念指導下的行為習慣。只有當銀行經營管理者和各級員工形成合規文化的理念和思維時，銀行風險的防範才會變得積極主動，更加有效，進而才能形成風險防範的長效機制。 銀行合規文化不足是風險防範存在問題的重要原因
當前，我國銀行案件防範形勢仍然嚴峻，銀行風險防範對中國銀行業來說是一個十分重要而緊迫的課題。銀行內部案件產生的原因，主要在於制度、文化和員工職業操守方面存在明顯的薄弱環節和管理漏洞。任何操作風險都是人的行為造成的，盡管人的行為要受制度約束，但決定人的行為的影響力來自於所受文化的熏陶。內控合規文化不足是銀行風險防範工作存在問題的重要原因，基層銀行內控合規文化在風險管理中的不足主要體現在以下幾個方面：
（一）風險防範意識淡薄，良好的內控合規文化氛圍沒有建立。目前，基層銀行對管理風險缺乏全面、系統的認識，尚未形成濃厚的控制文化。首先，缺乏對風險的整體把握。對風險還停留在分離、局部的認識層次上。其次，在風險防範上未能做到未雨綢繆，往往就事論事，缺乏事前防範和系統管理。再次，在風險控制的責任認定上，認為風險是內控、紀檢監察等管理部門的事情，與業務部門關聯度不強，管理層監督力度不夠，責任不清。
（二）內控制度體系疏漏，內控合規文化引導機制未能彰顯。存在內控管理部分環節無章可依、內控管理制度滯後和制度執行缺乏剛性等問題。此外，內控部門獨立性不夠，審計的客觀公正難以保證，也是強有力的內控合規文化引導機制未能彰顯的重要表現。
（三）職業操守缺失。面對社會變化會、業務發展、工作壓力、機會和誘惑，風險事件及案件隨之發生。
國外銀行業對內控文化建設可借鑒之處
巴塞爾協議明確指出，任何大量損失的產生都反映出管理層未能重視控制文
化，控制文化的鬆弛，造成銀行內部缺乏適當的激勵。西方發達國家的商業銀行，盡管成立時間不同、歷史背景不同、監管環境不同，但在巴塞爾協議的統一要求下，都從各自的管理實際出發，逐步形成了各具特色各有側重的操作風險管理流程和內控文化框架。他們的實踐表明，在內控文化建設中，以下幾點是都是不可少的因素，這些方面對我國銀行提升內控合規文化建設水平具有重要的借鑒意義：
第一，內控合規文化一定要包含強烈的風險意識。首先，必須明確風險與銀行成本之間的關系，使所有員工意識到風險控制行為能直接使他們自身受益。其次，要有高層管理者的支持，高層管理者應在機構內部創造一種員工充分參與的內控文化，還要設定禁止員工逆風險管理價值行事。
第二，內控合規文化一定要具有細致的建設流程。內控合規文化需要有一個非常詳盡細化的框架來設計其建設流程，每個環節都應具備具體的實施程序和步驟，以增強建設流程的可操作性。同時，整個建設工作要體現動態持續、協調發展。
第三，內控合規文化一定要突出協作的內部關系。內控合規文化的建設必須強調有效的風險管理取決於業務部門、內部審計部門、風險管理部門，以及其他部門之間的協作關系。
第四，內控合規文化一定要強調良好的職業操守。提升員工素質和職業道德意識是構建有效風險控制過程的關鍵。
強化基層銀行合規文化建設，推進建立風險防範長效機制的建議 如何做好內控文化建設，可以考慮從以下方面著手，強化基層銀行內控合規文化建設，進一步推進基層銀行風險防範長效機制的建立：
（一）形成科學有效的內控合規文化建設制度體系。一是要保證制度的科學性。在制度體系的規劃層面，劃分層次，力求簡潔，使得各項制度有適用范圍的清晰界定和執行效力高低的明顯順序；建立制度制定的過程管理，形成固有的流程和許可權；完善制度使用效果的信息收集和傳導反饋機制；周期性評審、修訂、
梳理和清理制度，保持制度持續有效。要強調制度執行的嚴肅性。
（二）積極引導對內控合規文化的深度認同。激發員工樹立操作風險的防範和規范意識，使員工明確，首先，風險的防範是銀行核心競爭力的本質體現，是銀行持續健康發展的重要基礎，而一個強大的銀行是實現個人利益的根本保證，因此，銀行風險防範符合共同的價值觀。其次，風險自始至終是與業務活動相伴的一個持續的長期過程。第三，風險分布於銀行的所有工作崗位，這種分散化性決定了每一個業務點都是操作風險點，操作風險無處不在，每一名員工都是防範操作風險的第一責任人，其行為的合規與否將直接決定操作風險控制的成效。 （三）形成細節決定成敗的文化約束。銀行風險的發生是難以避免的，但是，依靠員工的敬業精神和專業態度，風險事件及案件發生的概率和造成的損失是可以降低的，這種敬業精神和專業態度就體現在細節上。「千里之堤，潰於蟻穴」，一些大案要案之所以得逞，都是日積月累的結果。「魔鬼在細節中」，一時的違規，可能形成不了損失，但卻埋下了風險的種子，如果不能及時制止，就會生根發芽，形成毒瘤。風險的防範就是要樹立和強化「違規就是風險」的思想觀念，養成扎實的工作作風，從小處著手，從點點滴滴做起，兢兢業業做好、做細一切工作，使管理不留死角。
（四）嚴格隊伍管理築牢內控合規文化基石。從國內外銀行業發生的風險事件誘因來看，道德風險佔了很大比重。銀行作為經營貨幣的特殊企業，這種行業特點決定了銀行工作人員必須要有良好的職業操守，形成較強的自我約束能力，如果員工的職業操守出了問題，自律行為減弱，道德風險隨時產生，那麼即使最嚴密的管理制度，往往也會失去應有的效力。培養員工良好的職業操守，必須從職業道德、文化知識、業務技能和現代人格塑造等方面全面提高員工素質。以管理來激發員工的積極性，使員工有更多的機會參與管理與決策，以主人翁的態度對待工作，從而表現出高度的職業責任心和良好的職業素質，克服違規行為的發生。基層行必須加快內控合規文化建設步伐，促進農發行安全、穩健、快速的發展。