银行如何加强内控建设

㈠ 如何加强商业银行的内部控制与风险管理

一、强化内部控制和操作风险管理理念，建立良好的风险控制企业文化氛围

对于城市商业银行来说，引进国际银行业先进的操作风险管理理念，形成良好的风险控制企业文化氛围是迫在眉睫的任务。建立良好的操作风险控制文化氛围首先要明确操作风险的科学含义和风险控制手段及方法。

现代银行风险管理理论对操作风险给出了明确的定义，即操作风险是指由于内部流程、人员行为和系统失当或失败，以及由于外部事件而导致直接和间接损失的危险。操作风险主要来自内部控制和外部事件两个层面，主要包括：人员风险、制度和流程风险、技术风险以及操作策略风险。

银行操作风险的防范主要依赖完善的内部控制，完善的内部控制是有效实施银行操作风险管理的主要手段。巴塞尔银行监管委员会1997年在《有效银行监管的核心原则》中提出：“最重大的操作风险在于内部控制及公司治理机制的失效”。根据2002年9月人民银行颁布的《商业银行内部控制指引》对商业银行内部控制的定义：商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

与国内其他商业银行相似，锦州市商业银行成立初期注重资产规模的扩张和市场占有率的提高，以期在区域银行市场获得一席之地，完成最初的生存和发展需要。在这一发展阶段，银行的风险意识还处于萌芽状态，虽然从管理层到员工都能够意识到风险的重要性，但是在制度上缺乏风险控制的有效手段和科学方法。随着竞争的日益激烈以及银行风险监管要求的不断深入，管理层深刻地意识到必须形成风险控制企业文化，建立科学的风险管理和内部控制体系，将先进的风险控制手段和方法与银行自身经营特点相结合，做到“实用、管用和会用”，从而全面提升银行的风险管理水平。

通过风险管理和内部控制项目的实施，锦州市商业银行引入了科学的银行操作风险管理理念，加强了对管理层和员工的内部控制和操作风险管理理念和方法的培训。在银行内部，将风险管理由高深的理论变为所有银行员工的自觉意识和行为，使从银行高层管理者到基层员工的所有银行员工对内控和操作风险的内容和含义有了准确的理解，清楚地认识到银行内控与操作风险和每名员工的相关程度。通过培训，员工们进一步明确了不同岗位风险的控制方法和手段，做到合理有效地控制风险。

在强化对内控和操作风险理念的宣传与培训工作的同时，项目小组对原有绩效考核和薪酬体系进行了重新设计，将包括操作风险管理在内的全面风险管理内容融入其中，使得内部控制和风险管理不仅是对员工日常工作的要求，并且成为衡量部门绩效的成本因素，直接影响部门的经营效益考核结果，进而形成管理者和员工风险管理的激励机制。通过事前培训，事中监督和事后考核，已经将银行内部控制和风险管理理念深入贯彻到每名员工，相信通过一段时间的实施将形成良好的内部控制和风险管理企业文化氛围。

二、进一步完善风险控制的组织结构和岗责体系

完善的组织架构是保证内部控制和风险管理的组织保障，而科学的岗位职责设计能够确保每名员工在内控和风险管理工作中权、责、利上的明确分工，进而通过合理的绩效考核和激励机制设计保证分工的有力执行。项目小组结合内控和风险管理的科学理念和最佳实践对自身的组织架构进行了改造，对岗位职责进行了重新设计。

良好的公司治理结构是商业银行建立有效风险管理制度的基础和前提。锦州市商业银行注重通过加强银行治理，强化股东会、董事会职能，从源头上提高内部控制和风险管理意识。在项目中，进一步强化了董事会和各委员会的职能，确保董事会能够真正在银行重大决策中发挥作用。在完善原有职能的同时，将成立资产负债管理委员会、审计稽核管理委员会、提名管理委员会、信息管理委员会和战略发展委员会，进一步加强对银行的内部控制。

在风险管理和内控项目中，锦州市商业银行着重强化了风险管理部和稽核部门的工作职能。垂直独立权威的风险管理组织机制是加强风险管理的组织保障；健全配套的风险管理机制是风险管理的必要手段和配套措施。为全面有效地进行风险管理，成立了由银行董事会及高级管理层直接领导的，以独立风险管理部门为中心，与各个业务部门紧密联系的独立的风险管理体系。风险管理部负责对包括信用风险、市场风险和操作风险在内的银行风险进行全面管理。风险管理部通过运用各种管理手段包括政策约束，流程规范以及有效量化支持工具实施风险管理，将各类风险损失控制在可接受范围内。

锦州市商业银行注重通过内部稽核部门发挥监督和控制职能。通过建立全行具有高度权威性与独立性的稽核部门，进一步增强其作为内控重要监督部门在内控评价与监督方面的职能。稽核部是全行最高的稽核管理部门，负责全行下属各经营机构以及各业务管理部门的监督与稽核，同时直接向董事会及稽核审计委员会负责。目前总部正着手对下属机构进行风险分类，根据不同机构风险等级的采用差别化的稽核方式，强化对存在较大风险机构的稽核审计工作。调整后稽核部大大提高了在监督审计方面的稽核检查力度及检查有效性。

三、建立科学的内部控制、风险管理制度与流程体系

科学有效的管理制度和流程体系是确保内部控制和风险管理质量的基本保证。锦州市商业银行通过完善各部门与业务的内部控制制度以及优化风险控制流程来降低和防范操作风险，将系统、标准的管理方法运用到各类业务的操作风险管理当中，全面梳理各项业务流程，建立有利于全面风险管理的内部控制体系。

为更好的体现风险管理的独立性，锦州市商业银行在原有单一的业务线基础上分离出风险管理线，建立了风险经理制度，对每家支行派驻风险经理，负责对支行风险的全面审查工作。风险经理由风险管理部管理，不隶属于每家支行，从而避免由于经济利益的驱动而导致的对风险的忽视。通过实施稽核专员制度，稽核专员负责对支行经营过程中的内部控制、操作风险问题进行现场和非现场检查，并按照各支行内部控制管理水平的不同确定现场稽核频率。

项目小组设计了风险信息报告和评估反馈机制。建立覆盖全行的风险信息报告机制的目的在于及时、全面、完整地向决策层和管理层提供银行经营管理中涉及的各类风险与内控状况，及时发现、防范和化解经营风险，确保稳健经营。风险报告路线采取纵向报送与横向报送相结合的矩阵式结构，即部门或者支行向总部对口管理部门报送风险报告的同时，必须向风险管理部门报送。建立制度评估反馈制度的目的在于及时发现、报告和纠正内部控制的缺陷，不断地提高规章制度的适应性和操作性，从而增加对基层机构的控制能力。

在制度设计的同时，锦州市商业银行对原有的风险管理流程体系进行了进一步优化。设计中减少了包括贷款审批流程的审批环节，进一步明确了从客户经理、风险经理和最终审批人的风险责任。得益于先进风险控制方法的引入，虽然监控环节减少，但是信息传达的透明度提高，加之激励约束机制与风险责任的直接联系，因此提高了风险管理的质量并且降低了管理成本。

四、建立涵盖风险管理内容的绩效和薪酬考评体系

实施对员工的有效激励、对风险管理的科学性和效率性具有根本性影响。人们行为的动机在于与之相关的效用激励，忽视风险控制的激励机制只能将员工的行为动机转向单纯的规模和简单的利润导向。为提高对员工的风险约束，项目小组在建立涵盖风险内容的部门绩效考核的基础上重新设计了员工薪酬考评体系，将风险考核纳入了员工激励机制。

在对部门绩效考核体系的设计中，项目小组设计了科学的关键绩效指标体系（KPI），运用平衡记分卡实现了绩效考核要素的全面性要求，引入了包括风险调整的资本收益率(RAROC)在内的综合性银行绩效指标，避免了原有考核体系由于指标间相关性造成的激励冲突，将风险成本和风险资本作为重要因素明确地纳入考核，体现了考核标准的科学性。在绩效考核体系的基础上，项目小组设计了包含风险管理激励机制的员工薪酬体系，通过采用不同的薪酬结构和支付期限避免了风险偏好不同员工之间的激励冲突。

五、锦州市商业银行内控和操作风险管理的未来规划

良好的内控和风险管理体系要通过充分有效地实施才能实现，锦州市商业银行将在未来一段时间内继续完善新体系的实施工作，确保项目设计目标的最终实现，并将继续推动银行信息系统的风险控制工作以及加强风险量化管理精确化的准备工作。

银行内部控制和操作风险管理无论是文化氛围的形成，管理体系的搭建，还是管理手段和方法的实施都不是一朝一夕就能完成的，风险和内控项目实施的目的并不是毕其功于一役，而是为持续的内控和风险管理工作奠定坚实的基础。锦州市商业银行将时刻关注国内外银行内部控制和操作风险的最新动态，学习和借鉴先进的管理方法，形成符合自身发展和经营需要的风险管理体系，持续提高自身的风险管理能力和水平，向国际化银行管理水平的发展目标不断迈进。

㈡ 如何加强商业银行的内控制度建设

一、总体规划、全面推进1.建立健全内部控制制度体系.按照《商业银行内部控制指引内》的要求,在梳理现有规章容制度的基础上,以有效识别、衡量、控制风险为中心,建立覆盖主要业务品种和重要会计业务操作环节的规章制度.这就要求银行内部总体规划,各部门协调统一,充分考虑科学合理性、严密性、明晰性和可操作性,通过整章建制,进一步梳理现有的规章制度,去除相互交叉的矛盾,以及不合理或者已经跟不上形势发展需要的制度,增加适应业务发展的新制度、新规定,使管理制度逐步系统化、规范化、科学化.

㈢ 如何加强商业银行内部管理

要加强商业银行内控管理，首先应深入推进内控合规文化建设，做到合规理念入脑入心。要结合自身实际和职能定位，将合规管理理念嵌入业务流程，贯穿于各项工作、各个环节，并紧扣业务经营管理和员工思想实际，深入分析各种违规现象及案件发生的根源，有的放矢，解决问题。一是要加强合规培训，举办各种形式的合规管理和合规文化讲座，尤其要加强基层行内控管理人员培养，不断提高业务技能和素质。二是要持续开展合规理念宣讲活动。要在基层行不断地开展合规理念宣讲，提高全员的合规意识，使合规理念入脑入心。三是结合金融领域内各种违法违规案例，持续开展各种形式的警示教育，努力增强员工依法合规、遵章守制的自觉性。
其次，加强制度执行力建设。应该把加强制度执行力建设常态化，把执行力建设融入基层行各项工作之中。要建立良好的执行文化。通过教育，把执行理念烙进员工的思想意识中去，自觉按照规章制度办事。要加强制度学习传导。充分利用晨会、夕会或举办各类专题培训班、以会代训、以考促学等方式，加强一线员工对规章制度的学习，使每个员工熟练掌握规章制度和操作规程。加大检查监督力度，下大力量抓好重点业务、重点部位、关键环节的风险防控，加大监督检查的频次和范围，始终保持对违规行为和违规人员的高压态势。
第三，制度建设要与业务创新同步更新。应根据业务流程的更新，对内控管理制度及时进行梳理更新，完善各项制度和操作规程，保证制度和规程覆盖所有业务领域和所有风险点，做到每一项业务都“有章可依”。同时，要做好制度后评价，推动制度的创新完善。对于已经过时的制度规定要及时清理和废除，避免新旧制度交叉而造成不必要的执行矛盾和风险隐患。
第四，健全内控管理激励机制。应在基层行建立有效的内控管理激励机制，将内控管理水平与其绩效挂钩，充分调动全员参与管理的积极性。可将基层行收入的30%与内控管理水平挂钩，每季度组织对各基层行内控管理状况进行量化考核，考核结果纳入行领导经营目标考核。同时，建立健全内控考核指标体系，根据上级行内控评价标准等内控管理规定，结合主要业务风险点，建立市行、支行、网点三层内控管理考核指标体系，确定每个指标的分值和扣分标准，保证量化考核的科学性和可操作性。
第五，进一步完善内控监督机制。应努力保持内控合规部门的独立性和权威性，建议在各基层行设立专职内控管理人员，由上级行垂直领导，工资晋升单独考核，确保形成有效监督制约。建议对内控合规人员实行等级管理考核制度，按照工作业绩、管理水平等核定内控合规人员级别，并享受相应级别的干部待遇，从而脱离被监督行的制约，确保形成有效监督制约。

㈣ 如何认识银行业务发展和加强内控管理之间的关系

业务发展与内部控制是银行经营管理的两大主题，正确认识和把握它们的关系，对于基层金融机构管理者尤其必要。
首先，要深刻认识到两者统一于企业生存和发展的整个过程，所指向的目标在本质上是完全一致的，目的都是为了实现又好又快发展。两者的依靠力量也是一致的，都必须调动和发挥全体干部员工的主动性、积极性。其次，两者是相辅相成、缺一不可、不可偏废的。一方面只有抓好了内控，业务的发展才能够有更好的保障，仅偏重于业务发展而轻视内控管理，业务发展只能是短暂的、不真实的；另一方面不能因为强调内部控制就放松了业务发展，脱离了业务发展这个根本，内控就成了无本之木、无源之水。第三，两者是相互促进、相互支撑的。内控并不单纯是投入，是消耗人力、物力。抓好内控同样会减少成本支出、提高工作效率、提升经济效益，同时更重要的是能提升干部员工队伍的整体素质，以此来支撑和促进各项业务持续健康安全发展。业务发展水平提高了，反过来会促进内控向纵深推进，防范和化解风险能力就更强，发展的质量就更有保障。
要实现业务发展与内控管理同步发展这一总体目标，科学认识两者之间的关系是前提，更重要的是还要正确实践两者之间的关系。
基层金融机构管理者处于承上启下的关键环节，要转变经营理念和方式，坚持速度和质量相协调、发展与内控相匹配的原则。具体而言，要增强三种能力，即统筹协调能力、贯彻执行能力及人本管理能力。

增强统筹协调能力，就是要着力转变经营增长方式，努力追求资本、规模、速度、风险、效益的持续动态平衡。一方面强化内控管理能力，从降低成本、提高效益和有利于业务发展出发，既控制和化解风险，又控制内控管理的边际成本，提高边际效益。另一方面当发展与内控发生冲突时，不能为了做业务就不计风险，也不能因为强调合规就简单地放弃发展，畏缩不前。
增强贯彻执行能力，就是要坚决将总行、省联社的战略意图和部署安排层层传导到位、落实到位，认真将各项规章制度不折不扣执行好，真正产生作用。按照精细化管理的要求加大过程管理力度，从细节入手，做到经营管理的每一个步骤都要精心、每一个环节都要精细、每一项成果都是精品，形成认真严肃、精益求精的工作态度和习惯，确保工作成效与上级行的要求完全符合。
增强人本管理能力，就是要以共同发展远景凝聚全体员工，不断加强员工队伍素质建设和思想政治建设。以创造和谐银行为契机，将银行事业发展与个人发展紧密相连，通过强化民主管理、深化行务公开、开展业务竞赛等各种形式，调动全员参与行务的主动性和创造性。积极培育发展意识和合规文化，加强职业道德建设，使“发展是硬道理”和“合规人人有责”的理念植入到每个员工心里，为持续发展和内控建设奠定坚实的思想基础。

㈤ 如何健全和完善商业银行内部控制机制

随着市场经济体制和法制建设的日益完善，人们越来越感到强化管理的重要，尤其是内版部控制已引起了权金融界的极大关注。近年来国际银行业的实践证明，正视日益增长的风险，改善和加强银行内部控制，已经成为银行生存发展的首要的、基础的条件。我国是世界贸易组织成员，金融业是首批开放的行业，面临着巨大的竞争。为维护银行经营的安全，防范可能发生的各类金融风险，一套完善的内控制度体系对于金融机构的生存发展有着非同寻常的意义。

㈥ 如何加强内控文化建设

加强合规文化是规范行为一种理念、思维方式以及在这种理念指导下的行为习惯。只有当银行经营管理者和各级员工形成合规文化的理念和思维时，银行风险的防范才会变得积极主动，更加有效，进而才能形成风险防范的长效机制。

银行合规文化不足是风险防范存在问题的重要原因
当前，我国银行案件防范形势仍然严峻，银行风险防范对中国银行业来说是一个十分重要而紧迫的课题。银行内部案件产生的原因，主要在于制度、文化和员工职业操守方面存在明显的薄弱环节和管理漏洞。任何操作风险都是人的行为造成的，尽管人的行为要受制度约束，但决定人的行为的影响力来自于所受文化的熏陶。内控合规文化不足是银行风险防范工作存在问题的重要原因，基层银行内控合规文化在风险管理中的不足主要体现在以下几个方面：
（一）风险防范意识淡薄，良好的内控合规文化氛围没有建立。目前，基层银行对管理风险缺乏全面、系统的认识，尚未形成浓厚的控制文化。首先，缺乏对风险的整体把握。对风险还停留在分离、局部的认识层次上。其次，在风险防范上未能做到未雨绸缪，往往就事论事，缺乏事前防范和系统管理。再次，在风险控制的责任认定上，认为风险是内控、纪检监察等管理部门的事情，与业务部门关联度不强，管理层监督力度不够，责任不清。
（二）内控制度体系疏漏，内控合规文化引导机制未能彰显。存在内控管理部分环节无章可依、内控管理制度滞后和制度执行缺乏刚性等问题。此外，内控部门独立性不够，审计的客观公正难以保证，也是强有力的内控合规文化引导机制未能彰显的重要表现。
（三）职业操守缺失。面对社会变化会、业务发展、工作压力、机会和诱惑，风险事件及案件随之发生。
国外银行业对内控文化建设可借鉴之处
巴塞尔协议明确指出，任何大量损失的产生都反映出管理层未能重视控制文化，控制文化的松弛，造成银行内部缺乏适当的激励。西方发达国家的商业银行，尽管成立时间不同、历史背景不同、监管环境不同，但在巴塞尔协议的统一要求下，都从各自的管理实际出发，逐步形成了各具特色各有侧重的操作风险管理流程和内控文化框架。他们的实践表明，在内控文化建设中，以下几点是都是不可少的因素，这些方面对我国银行提升内控合规文化建设水平具有重要的借鉴意义：
第一，内控合规文化一定要包含强烈的风险意识。首先，必须明确风险与银行成本之间的关系，使所有员工意识到风险控制行为能直接使他们自身受益。其次，要有高层管理者的支持，高层管理者应在机构内部创造一种员工充分参与的内控文化，还要设定禁止员工逆风险管理价值行事。
第二，内控合规文化一定要具有细致的建设流程。内控合规文化需要有一个非常详尽细化的框架来设计其建设流程，每个环节都应具备具体的实施程序和步骤，以增强建设流程的可操作性。同时，整个建设工作要体现动态持续、协调发展。
第三，内控合规文化一定要突出协作的内部关系。内控合规文化的建设必须强调有效的风险管理取决于业务部门、内部审计部门、风险管理部门，以及其他部门之间的协作关系。
第四，内控合规文化一定要强调良好的职业操守。提升员工素质和职业道德意识是构建有效风险控制过程的关键。
强化基层银行合规文化建设，推进建立风险防范长效机制的建议
如何做好内控文化建设，可以考虑从以下方面着手，强化基层银行内控合规文化建设，进一步推进基层银行风险防范长效机制的建立：
（一）形成科学有效的内控合规文化建设制度体系。一是要保证制度的科学性。在制度体系的规划层面，划分层次，力求简洁，使得各项制度有适用范围的清晰界定和执行效力高低的明显顺序；建立制度制定的过程管理，形成固有的流程和权限；完善制度使用效果的信息收集和传导反馈机制；周期性评审、修订、梳理和清理制度，保持制度持续有效。要强调制度执行的严肃性。
（二）积极引导对内控合规文化的深度认同。激发员工树立操作风险的防范和规范意识，使员工明确，首先，风险的防范是银行核心竞争力的本质体现，是银行持续健康发展的重要基础，而一个强大的银行是实现个人利益的根本保证，因此，银行风险防范符合共同的价值观。其次，风险自始至终是与业务活动相伴的一个持续的长期过程。第三，风险分布于银行的所有工作岗位，这种分散化性决定了每一个业务点都是操作风险点，操作风险无处不在，每一名员工都是防范操作风险的第一责任人，其行为的合规与否将直接决定操作风险控制的成效。
（三）形成细节决定成败的文化约束。银行风险的发生是难以避免的，但是，依靠员工的敬业精神和专业态度，风险事件及案件发生的概率和造成的损失是可以降低的，这种敬业精神和专业态度就体现在细节上。“千里之堤，溃于蚁穴”，一些大案要案之所以得逞，都是日积月累的结果。“魔鬼在细节中”，一时的违规，可能形成不了损失，但却埋下了风险的种子，如果不能及时制止，就会生根发芽，形成毒瘤。风险的防范就是要树立和强化“违规就是风险”的思想观念，养成扎实的工作作风，从小处着手，从点点滴滴做起，兢兢业业做好、做细一切工作，使管理不留死角。
（四）严格队伍管理筑牢内控合规文化基石。从国内外银行业发生的风险事件诱因来看，道德风险占了很大比重。银行作为经营货币的特殊企业，这种行业特点决定了银行工作人员必须要有良好的职业操守，形成较强的自我约束能力，如果员工的职业操守出了问题，自律行为减弱，道德风险随时产生，那么即使最严密的管理制度，往往也会失去应有的效力。培养员工良好的职业操守，必须从职业道德、文化知识、业务技能和现代人格塑造等方面全面提高员工素质。以管理来激发员工的积极性，使员工有更多的机会参与管理与决策，以主人翁的态度对待工作，从而表现出高度的职业责任心和良好的职业素质，克服违规行为的发生。基层行必须加快内控合规文化建设步伐，促进农发行安全、稳健、快速的发展。

㈦ 加强我国商业银行内部控制建设的建议

商业银行内部控制低效的成因及模式重构
作者：孙涛 编辑：
[摘 要]我国商业银行金融风险的产生多是由内部控制低效造成，而内部控制低效又源于控制模式的不规范。因此，研究这一课题具有重要的理论价值和现实意义。为探索提高内部控制效果的有效途径，本文在分析我国商业银行内部控制低效成因的基础上。根据COSO报告和ERM的要求，构建了要素式动态控制的立体模式，并对这一模式的构成及其运行方式等进行了深入研究，为商业银行规范内部控制行为和降低金融风险提供了一种行之有效的管理手段。
[关键词]商业银行；内部控制；控制模式；风险控制

一、问题的提出及文献综述

我国商业银行的内部控制始于20世纪90年代初期对呆滞账的控制，1990年我国四大国有银行的坏账占全部贷款的比例已经超过20%，连同逾期、展期的呆滞贷款总额占贷款总额的比例超过了70%，1991年末四大国有银行的坏账超过其自有资本，产生资不抵债。1992年美国COSO委员会颁布五要素的内部控制框架（简称COSO报告），引发了全球性内部控制高潮，也给我国商业银行提出了建设内部控制制度的要求。到20世纪90年代中期，由于我国越来越多的国有企业不但不偿还贷款，甚至连贷款利息也不支付，致使全国银行业在1994年和1995年出现了全行业亏损，分析其产生亏损原因，主要是由于商业银行缺乏有效的内部控制制度（赵文杰，1996），产生了过多的呆滞账以及市场风险、信用风险和操作风险。为控制全球普遍存在的坏账损失及其金融风险，1998年9月巴塞尔银行业委员会发布了银行内部控制系统框架（Framework for Internal Control Systems in Banking Organizations）。我国商业银行也开始了全面内部控制建设，虽然对降低运营成本以及控制金融风险等方面起到了一定的作用，但并没有改变我国银行业呆滞账过多的现象，1999年四大国有银行的不良贷款总额超过1万亿元，2003年6月全国商业银行的不良贷款总额达到3.2万亿元，这就不得不使我们反思商业银行实施的内部控制制度建设还存在的许多难以克服的弊端。

为解决我国商业银行实施内部控制制度低效的问题，理论界和实践中都进行了深入的探讨。陈元燮（1998）使用系统观点分析了我国商业银行的内部控制结构，指出控制信息不畅以及控制的手段和方法失效是产生内部控制低效的主要原因；王顺（1999）从COSO报告的要求出发分析我国商业银行的内部控制制度，指出监管不利以及约束失效降低了内部控制制度的作用；秦辉（2000）从农业银行深圳分行实施内部控制的实践出发，分析了商业银行建立要素式内部控制模式的必要性；董青（2001）从工商银行湖南省分行实施内控制度的实践出发，在分析银行业内部控制制度存在问题的基础上，提出了商业银行建立有效内部控制体系的要求；张明魁，任福堂（2002）在分析商业银行内部控制目标管理的基础上，提出了加强对商业银行内部控制实施审计的要求；杨军、陈朝豹（2003）重点对国有商业银行的内部控制进行了分析，提出了构建要素式内部控制系统的初步设想；李明辉、王学军（2004）重点研究了商业银行内部控制的信息披露，指出对商业银行特别是上市银行，加强内部控制的信息披露，是提高内部控制效果的有效措施；周正兵（2005）通过对《商业银行内部控制体系标准》编写组组长王健豪先生的采访，介绍了相关的标准并分析了制定商业银行内部控制标准的重要性；余奇才、曾北川（2006）分析了《商业银行内部控制评价试行办法》，强调了商业银行实施内部控制时进行评价的重要性。经过几年来理论与实践界的研究，已经明确了我国商业银行进行内部控制制度建设的方向是要根据COSO报告以及ERM框架的要求建立要素式的内部控制模式，并且要打破传统的平面式结构，构建多维内部控制框架。虽然许多专家、学者已经进行了深入的探讨，但应如何构建这一模式到目前为止尚没有一致的意见，需要进一步地探究。

构建适合我国商业银行实际情况的有效运营模式是一项长期的任务，经过几年来商业银行不良资产剥离以及上市治理，不良贷款数额有较大幅度的下降，但仍不容乐观。2006年第一季度境内商业银行不良贷款总额仍有1.3125万亿元，据新闻报道我国1－9月份新增不良贷款金额近9000亿元，这种现象除了制度方面的原因外，在很大程度上还是由于内部控制低效。我国商业银行内部控制低效，在增加其市场风险和信用风险的同时，也在一定程度上促进了操作风险的产生（孙涛，2006）。从2000年到2004年我国商业银行共发生涉案金额在百万元以上的操作风险案件75起，其中人民银行6起，农业银行15起，建设银行17起，中国银行18起，其他金融机构10起，除涉案金额不详的13起案件以外的其他案件造成国有资产损失高达24.15亿元。因此，我国商业银行加强内部控制建设的任务仍很艰巨。

自上世纪90年代以来，我国商业银行在走向市场化的过程中开始实施内部控制，但随着商业银行内部控制的实施，金融风险不但没有下降反而越控制越高。究其原因是多方面的，但其中重要的原因之一就是我国商业银行传统的内部控制模式存在着严重的问题，内部控制的思路和方式与金融风险的控制方向相背离，致使内部控制低效。在这种情况下，结合我国商业银行风险控制的实际情况，借鉴国外金融风险防范的先进经验，采用创新的手段和方法重构我国商业银行的内部控制模式，并深入探索采用内部控制方式防范和控制商业银行市场风险、信用风险和操作风险的有效途径具有十分的重要性和迫切性。

二、商业银行内部控制低效的主要原因

我国商业银行传统的内部控制由于受目标管理的影响，普遍采用了内容控制的方式，过度地强调目标的实现与控制，忽视了规范化建设，结果造成了短期有效之后的长期失效或低效，并因内部控制机构的设置、控制活动的实施以及内部控制的测试与评价，大大增加了管理成本。因此，分析我国商业银行内部控制低效的原因，是提高内部控制有效性的基础，根据我国商业银行内部控制的实际情况，产生这种现象的主要原因表现在以下几个方面：

（一）内部控制的条件尚不够成熟

内部控制是一定的组织发展到一定程度提高管理水平的一种自然要求，它有许多基本条件的限制，主要包括：技术状况、管理水平、人员素质、组织文化、经营规模以及运营效率等，它们必须要达到一定的程度才会有效。我国商业银行由于受传统管理方式的影响，以及长期的国家统管或干涉，致使资本运营效率十分低下。目前我国银行业正在商业化改造过程中，市场营销的观念尚不够成熟，特别是严重的富余人员、臃肿的组织机构以及低下的工作效率，使得内部控制的效果大大低于这些问题所产生的费用超支，而使得内部控制必然产生低效。因此，商业银行的内部控制应随着控制环境的改善和条件成熟而逐步完善。

（二）忽视内部控制模式建设

内部控制是规范组织整体行为，提高整体管理效率和水平的一种管理方式，它的核心是构建一个有效的控制模式来规范和指导人们的控制行为和结果。商业银行传统的内部控制多采用头痛医头、脚痛医脚的打补丁控制方式，缺乏整体的控制思想和控制框架，主要采用目标控制的方法，以控制具体管理活动的内容为目的，过多地强调结果，不能够注重内部控制的环境建设和过程建设，不能把内部控制要素与内容有机地结合起来，通过构建有效的内部控制模式来实现有效的控制，这在很大程度上影响了商业银行管理者的控制观念，致使商业银行的内部控制活动长期在非规范的环境下低效运行。

（三）传统的目标管理与COSO报告的要素控制框架产生矛盾降低了内部控制效果

从我国商业银行风险管理的现状来看，产生市场风险、信用风险与操作风险的主要原因是缺乏有效的内部控制系统来约束管理者和业务人员的行为。商业银行在实施内部控制活动的过程中，由于受传统目标管理的影响，过度重视内部控制目标的分解以及控制结果的考核与奖惩，这就促进了内部控制人员舞弊的动机与行为。当内部控制目标实现与要素控制的要求产生冲突时，由于利益驱动的原因会使得管理者和业务人员为实现预期内部控制目标而不择手段，从而严重破坏内部控制的规范化建设，使控制活动常常失效，导致内部控制风险的产生。

（四）内容控制的模式必然导致内部控制的失效或低效

我国传统的内部控制制度，把具体的经济业务作为内部控制的主要内容，把实现与控制预期目标作为内部控制的核心，控制过程中将控制目标分解到各职能部门和相关人员，通过定期的考核与评价检查内部控制的效果，这种以内容控制为核心的内部控制方式与COSO报告的要素式控制方式存在着根本的不同。要素式内部控制模式把环境和过程的规范化建设作为内部控制的主要内容，把构建内部控制模式作为内部控制的核心，注重的是长期控制目标的实现。相比之下可以看出，内容控制为核心的内部控制方式虽有利于短期控制目标的实现，却忽视了内部控制环境和过程的规范化建设，失去了内部控制长期有效的动因。因此，最终必然会导致长期控制目标的失效。

（五）缺乏有效的内部控制标准和规范的控制程序

我国商业银行的内部控制活动与西方国家相比起步比较晚，再加上多年来实施内容式控制模式，忽视要素式内部控制模式建设，存在着严重缺乏业务执行标准和综合评价标准的现象，管理标准也多以规章制度为主，缺乏控制标准，而且内部控制程序也因缺乏要素控制的要求表现出明显的不规范。根据COSO报告的要求，内部控制是以建立和完善内部控制标准为基础的规范化管理方式，以检查与评价管理者以及业务人员执行控制标准、修正与完善内部控制标准为重点，通过控制标准的制定、执行、修正与完善来规范人们的控制行为，通过人们行为的规范来实现控制目标。我国传统的内部控制方式因控制标准的不完善和控制程序的不规范，使内部控制不可能实现程序化的优化运行，也就必然会导致内部控制的失效和低效。
（六）内部控制的测试与评价系统不完备

按照内部控制的要求，商业银行必须要及时进行内部控制的健全性测试、符合性测试、实质性测试以及综合评价，根据测试的结果采取相应的策略，以提高内部控制系统的有效性。由于我国商业银行现行的内部控制采用内容控制的方式，在很大程度上存在忽视或缺乏内部控制的测试评价系统的现象，使得商业银行现有的内部控制系统低效或流于形式。另一方面，我国商业银行现有的控制目标考核评价系统，以完成预期目标为中心，主要考核和评价控制目标的完成程度，属于刚性控制，长期的刚性目标控制必然会导致控制活动的失效，这就是目标控制的短期行为。

三、商业银行内部控制模式的重构

我国商业银行的内部控制系统需要根据COSO报告的要求重新构建，新的内部控制框架应该能够克服原有内部控制制度所存在的种种弊端，并体现合理有效的原则在重构我国商业银行内部控制系统的过程中，除充分考虑我国商业银行内部控制的实际情况，借鉴国外内部控制的先进经验，最大限度地克服现有制度的弊端之外，还要考虑2004年6月COSO委员会颁布的企业风险管理框架的要求，在内部控制五要素的基础上增加目标设置、事件确定和风险应对。综合以上分析，应构建我国商业银行操作风险内部控制的动态系统（见下图）。

（一）环境建设子系统是内部控制模式有效运行的基础

内部控制环境在很大程度上决定着内部控制的实施效果，其建设目的是要塑造商业银行的文化并影响其员工的内部控制思想。根据COSO报告的要求和我国商业银行内部控制的实际情况，确定内部控制环境建设的主要内容包括：诚信机制与道德价值观、员工能力的培养、领导机制与风格、经营方式与组织机构、责任与授权等。通过以上几方面的建设，形成商业银行风险控制的良性内部控制环境，并利用环境本身所具有的特定功能和作用，迫使内部控制事件及控制人员按照规范的行为和程序进行有效的工作，从而达到有效控制的目的。目前我国商业银行内部控制的环境建设还比较薄弱，环境建设位于内部控制模式的外围，它的完善程度对内部控制效果产生着重大影响。因此，环境建设是内部控制制度有效运行的基础，也是完善内部控制制度需要长期建设的一项重要工作。

（二）目标管理子系统是内部控制模式的起点并决定着内部控制模式的方向

商业银行内部控制的目标管理子系统是一个动态循环的过程，包括目标确定、目标的检查与核对、目标的考核与评价以及目标改进等内容。目标确定是内部控制系统的起点，确定合理的控制目标是内部控制系统有效的基础；目标的检查与核对是根据内部控制实施效果进行的动态管理，用于调整内部控制环境适应控制目标以及检查内部控制目标的实施情况；控制目标的考核与评价是对控制过程效果的综合评价，主要用于检查控制目标的实施情况；目标改进是一个反馈系统，主要是把考核与评价的结果反馈到下期的目标制定过程中去，用于修正下期控制目标。

（三）风险评估子系统是连接内部控制目标与控制过程的桥梁

在市场经济条件下，风险和收益是一对矛盾，只有降低风险与提高效益同步进行，才能提高内部控制的有效性。我国商业银行的内部控制系统以风险控制为先导，目的在于最大限度地减少内部控制的实施效果与预期目标之间的差距。这一子系统在内部控制模式中起着评估风险、修正标准和应对风险三方面的重要作用，评估风险是根据对控制目标和控制活动的比较分析进行的，通过选择合理的程序和有效的方法，实施对商业银行内部控制风险的评估，确定风险的大小；完成风险评估以后，首先根据所评估风险的大小，通过风险评估的标准修正内部控制过程的标准，以保证控制活动的有效性；与此同时根据风险评估的结果和控制目标的要求，将风险应对策略应用于内部控制过程，以最大限度地减少内部控制风险。

（四）过程管理子系统是内部控制模式的核心

商业银行内部控制过程管理子系统包括：控制标准的制定、设置控制系统、执行控制系统以及必要的结果检查等。控制过程是内部控制系统的核心，也是降低商业银行风险的关键，根据COSO报告的要求，有效的内部控制是以要素控制为主体的控制系统，在这个控制系统中以环境建设为起点，以控制过程为核心。因此，内部控制的过程管理在控制系统中具有重要的地位。在这个子系统中制定标准和检查标准具有特殊的意义，子系统的设计及执行必须要充分考虑控制标准的特点及性质，并以风险评估的结果为依据考虑内部控制测试与评价的要求，以保证控制系统的有效性。

（五）信息与沟通子系统是保证内部控制模式有效运行的重要手段

根据有关学者的研究，加强对商业银行内部控制信息的披露，有利于提高内部控制的效果。商业银行内部控制的信息与沟通子系统，把商业银行内部控制的内部信息与外部信息联系在一起，通过信息的传递、接收、整理与使用协调控制过程的各种矛盾，减少内部控制中的各种摩擦，通过信息渠道还可以及时传递各种内部控制信息，实现有效的沟通，以减少因缺乏沟通而产生的风险。以上构建的内部控制框架采用双向的信息传递通道，利用信息通道把内部控制的诸要素有机地结合起来，以便于内部控制部门及人员之间的沟通，同时又能够把每一个要素或过程的实施效果信息反馈到前一个要素或过程，以提高内部控制模式运行的有效性。随着我国市场经济的发展，商业银行内部控制系统中信息与沟通的作用越来越大，加强商业银行内部控制模式中的信息与沟通子系统建设，对提高内部控制的有效性以及减少商业银行风险损失等都具有十分重要的现实意义。

（六）监督子系统是内部控制模式有效运营的重要保障

商业银行的内部控制监督是指对实施内部控制人员的行为以及内部控制的设计和运作的过程，按照预期目标或控制标准所进行的监视及督察。监督活动一般由持续监督和个别评估所构成，持续监督是对内部控制活动的过程实施的不间断的监督，属于过程监督。个别评价是对内部控制的特定事件或结果进行的控制性评价，属于重点监督。商业银行内部控制的监督子系统也是一个动态的过程，对内部控制的整个过程和全部内容实施控制，并不断地把监督的信息反馈到内部控制的有关环节，以进行有效的商业银行风险控制。因此，它是促进内部控制有效运行的重要保障。

（七）测试与评价子系统是内部控制有效运行的有效措施

商业银行的内部控制测试与评价子系统包括健全性测试、符合性测试、实质性测试和综合评价。常规的内部控制测试与评价不进行实质性测试，当商业银行的健全性测试或符合性测试不能通过时，才需要实施实质性测试。商业银行内部控制的测试与评价是内部控制系统的有机组成部分，也是促进其有效运营的一个有效措施。为提高商业银行内部控制的有效性，就必须要加强内部控制测试与评价的规范性。

四、主要研究结论

商业银行实施内部控制的主要目的是为了规范人们的行为，最大限度地降低风险。根据COSO报告和ERM的要求，提高内部控制有效性的关键是要首先建立一个有效性的内部控制模式，利用控制模式的约束来规范人们的行为，达到实现内部控制目标的目的。通过对商业银行内部控制模式构建进行了深入探讨，本文主要得出以下几方面的结论：

1.形成内部控制的原因是多方面的，但采用以目标控制为导向的内容式控制模式是内部控制最终失效或低效的主要原因，解决的主要方法就是要构建要素式的内部控制模式框架。

2.我国内部控制的有效模式应该是目标管理与要素式控制的结合。目标管理是我国商业银行长期实施内部控制的经验，虽有缺点但不能抛弃。COSO报告的五要素框架与ERM的八要素框架虽然在国外比较成功，但有一些内容不适合我国国情，也不能照搬，合理的作法是谋求二者的统一和融合，构建适合我国国情的新型内部控制模式。

3.把商业银行的内部条件与外部环境结合起来，构建层次化的内部控制模式。提高商业银行的内部控制效果，首先要通过对内部条件的优化组合完善商业银行的内部控制环境，利用规范的控制行为保证控制目标的实现；其次把内部条件和外部环境结合起来，根据外部环境的要求完善内部控制标准，逐步提高内部控制效果；第三个层次是要根据动态控制的要求，通过内部控制模式的有效运行，追求内部控制效率的最大化。

4.把COSO报告的五要素框架与ERM的八要素框架结合起来，构建阶段化的内部控制模式。COSO委员会的ERM框架是在COSO报告五要素基础上增加了目标设置、事件确定和风险应对三个要素形成的，但二者有着本质的区别：COSO是内部控制的基本框架；ERM只是企业风险框架。本文把二者结合构建了包含目标的制定、风险的评估、控制活动的实施、内部控制的测试与评价以及内部控制目的考核与评价五个发展阶段的内部控制动态框架。

5.内部控制动态模式的构建只是提高商业银行内部控制效果的起点，不是终点。本文构建的商业银行内部控制动态模式只是一个基本框架，还有许多内容需要进一步地深入研究。这一模式的运行具有多种方式，同一种方式在不同的环境下运行的效果也存在着很大的不同，而且控制模式本身还存在着许多不完善的地方，需要广大同行更密切地关注这一问题，共同对这一问题进行更深入地研究，以彻底解决商业银行内部控制低效问题。

㈧ 如何强化内控合规文化建设

加强合规文化是规范行为一种理念、思维方式以及在这种理念指导下的行为习惯。只有当银行经营管理者和各级员工形成合规文化的理念和思维时，银行风险的防范才会变得积极主动，更加有效，进而才能形成风险防范的长效机制。 银行合规文化不足是风险防范存在问题的重要原因
当前，我国银行案件防范形势仍然严峻，银行风险防范对中国银行业来说是一个十分重要而紧迫的课题。银行内部案件产生的原因，主要在于制度、文化和员工职业操守方面存在明显的薄弱环节和管理漏洞。任何操作风险都是人的行为造成的，尽管人的行为要受制度约束，但决定人的行为的影响力来自于所受文化的熏陶。内控合规文化不足是银行风险防范工作存在问题的重要原因，基层银行内控合规文化在风险管理中的不足主要体现在以下几个方面：
（一）风险防范意识淡薄，良好的内控合规文化氛围没有建立。目前，基层银行对管理风险缺乏全面、系统的认识，尚未形成浓厚的控制文化。首先，缺乏对风险的整体把握。对风险还停留在分离、局部的认识层次上。其次，在风险防范上未能做到未雨绸缪，往往就事论事，缺乏事前防范和系统管理。再次，在风险控制的责任认定上，认为风险是内控、纪检监察等管理部门的事情，与业务部门关联度不强，管理层监督力度不够，责任不清。
（二）内控制度体系疏漏，内控合规文化引导机制未能彰显。存在内控管理部分环节无章可依、内控管理制度滞后和制度执行缺乏刚性等问题。此外，内控部门独立性不够，审计的客观公正难以保证，也是强有力的内控合规文化引导机制未能彰显的重要表现。
（三）职业操守缺失。面对社会变化会、业务发展、工作压力、机会和诱惑，风险事件及案件随之发生。
国外银行业对内控文化建设可借鉴之处
巴塞尔协议明确指出，任何大量损失的产生都反映出管理层未能重视控制文
化，控制文化的松弛，造成银行内部缺乏适当的激励。西方发达国家的商业银行，尽管成立时间不同、历史背景不同、监管环境不同，但在巴塞尔协议的统一要求下，都从各自的管理实际出发，逐步形成了各具特色各有侧重的操作风险管理流程和内控文化框架。他们的实践表明，在内控文化建设中，以下几点是都是不可少的因素，这些方面对我国银行提升内控合规文化建设水平具有重要的借鉴意义：
第一，内控合规文化一定要包含强烈的风险意识。首先，必须明确风险与银行成本之间的关系，使所有员工意识到风险控制行为能直接使他们自身受益。其次，要有高层管理者的支持，高层管理者应在机构内部创造一种员工充分参与的内控文化，还要设定禁止员工逆风险管理价值行事。
第二，内控合规文化一定要具有细致的建设流程。内控合规文化需要有一个非常详尽细化的框架来设计其建设流程，每个环节都应具备具体的实施程序和步骤，以增强建设流程的可操作性。同时，整个建设工作要体现动态持续、协调发展。
第三，内控合规文化一定要突出协作的内部关系。内控合规文化的建设必须强调有效的风险管理取决于业务部门、内部审计部门、风险管理部门，以及其他部门之间的协作关系。
第四，内控合规文化一定要强调良好的职业操守。提升员工素质和职业道德意识是构建有效风险控制过程的关键。
强化基层银行合规文化建设，推进建立风险防范长效机制的建议 如何做好内控文化建设，可以考虑从以下方面着手，强化基层银行内控合规文化建设，进一步推进基层银行风险防范长效机制的建立：
（一）形成科学有效的内控合规文化建设制度体系。一是要保证制度的科学性。在制度体系的规划层面，划分层次，力求简洁，使得各项制度有适用范围的清晰界定和执行效力高低的明显顺序；建立制度制定的过程管理，形成固有的流程和权限；完善制度使用效果的信息收集和传导反馈机制；周期性评审、修订、
梳理和清理制度，保持制度持续有效。要强调制度执行的严肃性。
（二）积极引导对内控合规文化的深度认同。激发员工树立操作风险的防范和规范意识，使员工明确，首先，风险的防范是银行核心竞争力的本质体现，是银行持续健康发展的重要基础，而一个强大的银行是实现个人利益的根本保证，因此，银行风险防范符合共同的价值观。其次，风险自始至终是与业务活动相伴的一个持续的长期过程。第三，风险分布于银行的所有工作岗位，这种分散化性决定了每一个业务点都是操作风险点，操作风险无处不在，每一名员工都是防范操作风险的第一责任人，其行为的合规与否将直接决定操作风险控制的成效。 （三）形成细节决定成败的文化约束。银行风险的发生是难以避免的，但是，依靠员工的敬业精神和专业态度，风险事件及案件发生的概率和造成的损失是可以降低的，这种敬业精神和专业态度就体现在细节上。“千里之堤，溃于蚁穴”，一些大案要案之所以得逞，都是日积月累的结果。“魔鬼在细节中”，一时的违规，可能形成不了损失，但却埋下了风险的种子，如果不能及时制止，就会生根发芽，形成毒瘤。风险的防范就是要树立和强化“违规就是风险”的思想观念，养成扎实的工作作风，从小处着手，从点点滴滴做起，兢兢业业做好、做细一切工作，使管理不留死角。
（四）严格队伍管理筑牢内控合规文化基石。从国内外银行业发生的风险事件诱因来看，道德风险占了很大比重。银行作为经营货币的特殊企业，这种行业特点决定了银行工作人员必须要有良好的职业操守，形成较强的自我约束能力，如果员工的职业操守出了问题，自律行为减弱，道德风险随时产生，那么即使最严密的管理制度，往往也会失去应有的效力。培养员工良好的职业操守，必须从职业道德、文化知识、业务技能和现代人格塑造等方面全面提高员工素质。以管理来激发员工的积极性，使员工有更多的机会参与管理与决策，以主人翁的态度对待工作，从而表现出高度的职业责任心和良好的职业素质，克服违规行为的发生。基层行必须加快内控合规文化建设步伐，促进农发行安全、稳健、快速的发展。