现代银行内部控制理论及其对农业发展银行的启示

摘要：自1998年巴塞尔委员会制定《银行机构的内部控制制度框架》以来，银行内部控制已形成了一个具有严密逻辑结构的理论体系，被全球银行业所普遍接受。目前，农业发展银行正按照现代银行的要求，积极推进内部综合改革、加快业务发展。现代银行内部控制理论对于农业发展银行从自身内控和风险状况出发，加强部控制体系建设和风险防范工作无疑是很有意义的。

关键词：现代银行；农业发展银行；部控制理论；风险管理

文章编号：1003―4625(2007)01－0031－03

中图分类号：F830．2

文献标识码：A

一、现代银行内部控制理论形成与发展历程

(一)内部控制理论的历史演进

内部控制理论真正成为一门现代意义上的管理科学，是在20世纪逐渐形成和发展起来的。按照理论界的归纳，内部控制理论的发展大致可以分为四个阶段：

1．内部牵制阶段(20世纪40年代以前)。1912年，蒙哥马利在其《审计一理论与实践》一书中指出，一位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系，即必须进行组织上的责任分工和业务的交叉检查和交叉控制，以便相互牵制，防止发生错误或舞弊。内部牵制理论的着眼点是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。

2．内部控制制度阶段(20世纪40年代至70年代)。1958年美国注册会计师协会将内部控制划分为会计控制和管理控制，并于1972年对会计控制和管理控制给予了更为全面的定义：管理控制包括(但不限于)组织规划以及与管理当局进行经济业务授权的决策过程中有关的程序和记录；会计控制包括组织规划以及保护财产安全和财务报表可靠性有关的程序和方法。内部控制制度理论拓宽了内部控制的外延，丰富了内部控制的内涵，被普遍认为是内部控制概念认识上的重大突破。

3．内部控制结构阶段(20世纪80年代至90年代初)。1988年美国注册会计师协会以内部控制结构替代内部控制制度。内部控制结构理论认为内部控制包括为合理保证企业特定目标的实现而建立的各种政策和程序，并且明确了内部控制结构的内容包括控制环境、会计制度和控制程序。内部控制结构理论的突出特点是将控制环境纳入内部控制的范畴，同时鉴于会计控制与管理控制的不可分割性而不再加以区分。

4．内部控制整体框架阶段(20世纪90年代以后)。1992年，由美国注册会计师协会、审计总署等共同赞助成立的COSO委员会公布了COSO报告－《内部控制整体框架》，并于1994年进行了增补。内部控制整体框架理论提出内部控制的五要素：控制环境、风险评估、控制活动、信息与沟通、监督，五个要素相互联系、相辅相成，共同构成内部控制的整体框架。COSO报告是内部控制理论发展史上的重要里程碑，代表了国际上内部控制理论研究的最高成就。

(二)现代银行内部控制理论的形成

20世纪80年代以来，全球银行业由于内部控制失效导致巨额亏损、清算倒闭甚至引发金融危机的严重事件时有发生，并有扩大蔓延之势，加强内部控制成为全球银行业加强内部管理和外部监管的主要方向。例如，香港银行监理署于1992年制定《内部控制系统法定指引》，德国银行管理局于1995年颁布《信用机构金融交易业务管理的基本要求》，英格兰银行于1997-年《银行内部控制与39部分过程》等等。在这些银行内部控制理论的探索性研究中，最重要的进展是巴塞尔委员会的研究成果。1998年9月，巴塞尔委员会在充分吸收内部控制理论的权威文献－COSO报告的基础上，推出了《银行机构的内部控制制度框架》(简称《框架》)。《框架》是银行内部控制理论研究的历史性突破，一经发表便为各国银行监管当局承认和接受，目前已经成为建立与评价银行内部控制的权威依据。

(三)现代银行内部控制理论的最新进展

2002年9月，为了促进我国商业银行进一步建立和健全内部控制，保障银行体系安全稳健运行，中国人民银行了《商业银行内部控制指引》(简称《指引》)。《指引》在内部控制定义、内控目标、构成要素等方面充分吸收和借鉴了内部控制理论最新研究成果(COSO报告和巴塞尔委员会《框架》)，并进一步发展了银行内部控制理论。例如，《指引》将确保风险管理体系的有效性单独作为内部控制的一个目标，突破了《框架》和COSO报告三大控制目标的定式，更加突出了银行业的高风险性和防范银行风险的重要性。

二、现代银行内部控制理论的主要内容

20世纪80年代以来，一系列银行破产危机的爆发促使许多国家的监管当局和国际性监管组织开始对银行的内部控制问题给予前所未有的关注。作为权威的国际性银行监管机构，巴塞尔委员会自1975年成立以来，始终把银行风险监管作为研究的重点，并以此为中心了大量文献，形成了“巴塞尔理论体系”，在该理论体系中始终包含着内部控制的思想。例如1988年《巴塞尔资本协议》将内部控制思想具体化到资本充足率问题上，1997年《有效银行监管的核心原则》中的原则14、原则15等，但真正集“巴塞尔理论体系”银行内部控制思想之大成的是1998年推出的《银行机构的内部控制制度框架》。《框架》将以往零碎的银行内部控制思想发展成为一个涵盖银行经营管理各领域的完整体系，开创了银行内控体制系统化的新时期。其内部控制由五个相互关联的要素组成：管理层监督与控制文化、风险认定与评估、控制行为与职责分离、信息与交流、监督活动与修正缺陷。

(一)管理层监督与控制文化

《框架》强调董事会和高级管理层对保持内控体制有效性所承担的责任。董事会对于确保建立和维持充分有效的内控体制承担最终责任。高级管理层负责监测内控体制的充分性和有效性，并且通过授权控制形成明确界定和说明责任的组织结构；调查各部门的运作情况，及时发现警示信号，采取措施以减少最终可能导致的损失。董事会和高级管理层负责在组织内部建立良好的“内控文化”，通过他们的言行来强调内控的重要性，从而营造一种氛围，使每个人都了解自己在内控中的地位和职责，并充分参与这一过程。

(二)风险认定与评估

《框架》认为，银行应当注重建立自身风险防范的约束机制，将风险的识别和评估作为内控体制的一部分。风险的识别和评估程序必须涵盖银行面临的所有风险和银行内部各层次的运作。为了便于适当处理任何新的或以前未予有效控制的风险，它需要适时地予以修改和完善。风险评估应确定哪些风险银行可以控制，哪些不能控制，以便银行采取相应对策。

(三)控制行为与职责分离

《框架》认为，根据风险识别和评价的结果，银行应当采取相应的内控措施，措施应涉及银行的各个层级。

1．高层检查。主要是董事会和高级管理层的审核，经常性地

要求各级组织、机构和人员提供定期或不定期业绩报告或述职报告，在审核和检查中发现的问题，必须要求下级部门采取相应的对策和防范措施。2．行为控制。主要指银行各级部门和分支机构在每天、每周和每月的日常业务工作中所采取的内控措施。3．实物控制，主要是对一些现金和证券资产要加强保管，限制接触这些资产的人员，设置双人保管，定期检查等制度。4．遵循风险暴露的限制。在风险管理中，对银行在经营业务中所暴露的风险，规定一个谨慎的限度。5．审批和授权制度：对于业务的范围应该有明确的授权和审批制度。6．验证与核实制度。对交易和业务详细情况和风险管理的结果进行审核，定期检查现金流量，及时发现问题。

(四)信息与交流

《框架》提出，为确保内控体制的信息目标的实现，应将适当的信息控制纳入内控体制，并对信息和信息交流渠道、信息管理系统的建立提出了明确的要求：

1．信息必须是相关的、可靠的、及时的、有用的和持续提供的；2．信息交流渠道应该是有助于信息的全面流动，形成立体多维的交流网络；3．信息管理系统应覆盖银行业务活动的所有领域，尤其要注重对电子信息系统和信息技术的风险控制。

(五)监督活动与修正缺陷

《框架》提出，高级管理层有义务建立一套机制来及时接受报告和纠正所发现的内控制度中的缺陷，对内控制度本身是否有效进行持续的监测，监测包括两种方式，一种是将监测融于日常的业务之中；另一种则是对内控制度进行单独监测和评价。不同类型和不同级别的人员应分别对自己领域的内控情况进行监测和评价，定期向有关的管理部门汇报。其中，内部稽核部门在保证内控制度的有效运作方面起着非常重要的作用，内部稽核部门应该保持独立，直接向董事会或其稽核委员会，或向高级管理层及时报告。

《框架》提出的银行内部控制五项基本要素，共同构成银行内部控制的整体框架，如图所示。

在上图中，管理层监督与控制文化处于最底层，是银行整个内部控制系统的基础；风险认定和评估发现和计量银行实现其目标过程中存在的不确定性，为控制活动指明方向；控制行为与职责分离是银行内部控制系统的核心，是具体实施内部控制的过程；信息与交流是载体，沟通各个要素，引导内部控制系统的运行，确保控制目标的实现；监督活动与修正缺陷处于最顶层，评价监督整个内部控制系统的有效性，并及时纠正存在的偏差。

三、现代银行内部控制理论对农业发展银行的启示

农业发展银行组建以来，初步构建了以“三道防线”为主要内容的内部控制体系，为全面履行国务院赋予的各项职责，实现各项任务目标发挥了积极作用。农业发展银行要在新形势下继续完成好国家赋予的历史使命，实现可持续发展，需要进一步加强内部控制机制建设，现代银行内部控制理论带来如下几点启示：

(一)建设良好的内部控制环境

控制环境是农业发展银行整个内部控制系统的基础，它决定了农业发展银行的管理基调，影响着员工的控制意识。要按照决策系统、执行系统、监督反馈系统相互制衡的原则，建立分工合理、职责明确、相互协调、权力制衡的组织机构，保证内部控制机制的有效运作。在横向上做到权力制衡，各部门之间在合理分工、职责明确的基础上做到既相对独立又相互牵制；在纵向上做到在减少管理层次、精简机构的同时加强对下级机构的控制，形成科学合理的决策层、管理层、经营层、支持层和监督层，建立起符合现代银行要求的组织结构体系。

加强内部控制文化建设。良好的内控文化氛围有助于使人的自觉行为与制度对人的行为约束有机结合，有助于防范道德风险。要在全体员工中定期进行广泛、持久的内部控制普及教育和培训，使每位员工都认识到内控的重要性，树立“风险首位、内控优先”的内控意识。通过培育农业发展银行内控文化，营造辖内良好的内控氛围，使每一位员工都恪守内控制度，积极地参与内部控制过程。

(二)建立和完善风险识别与评估体系

风险识别与评估的实质是充分考虑对农业发展银行的经营目标、信息目标和合规性目标的实现可能造成不利影响的内部因素，分析这些变化对农业发展银行实现目标所产生的影响。要根据农业发展银行自身的业务规模、性质和风险特点，借鉴国外先进的风险管理经验，制定全面、系统、成文的风险识别、评估、预警和持续监控的制度、程序和方法，并根据业务发展状况和外部环境变化不断调整。在开展业务前，要对可能影响农业发展银行达到经营目标、信息目标和合规目标的内外部风险因素进行评估。对业务发生后的风险状况要进行连续性评估和跟踪监测，随时掌握农业发展银行所面临的风险状况，对可控制的风险，采取控制程序来减少风险；对不可控风险，根据实际情况取消相关业务活动或降低经营活动规模。

(三)建立和完善对各项经营管理活动的控制制度

为了控制农业发展银行通过风险识别与评估程序确认的风险，确保管理层的决策得以有效实施，必须制定和实施内部控制活动，包括一系列控制制度和相关的实施程序。按照部门相互协调和平衡制约的原则，对各项业务流程和管理流程进行充分的部门分离和岗位分离，实现部门之间、岗位之间的有效制约。针对业务和管理流程中的“关键风险点”设计控制制度，通过对业务和管理流程进行梳理，分析找出流程各环节上的“关键风险点”，针对各个“关键风险点”制定相应的风险防范控制措施，并将这些措施与岗位职责挂钩，进而形成完善的业务和管理活动内部控制制度体系。

完善授权授信制度，健全统一法人体制。根据各种业务经营活动性质和功能，建立健全以统一法人体制和法人授权为主要特征的内部授权管理制度，加强授权管理的科学性，加大对授权的监督和制约力度。改进信贷授权制度，逐步实行信贷差别授权管理。建立与完善客户信用评级和统一授信制度，实现授信主体、授信形式、授信币种、授信对象的统一，在防范信贷风险的基础上，调整信贷结构，改善信贷服务。

(四)建立有效的信息搜集分析制度和畅通的信息交流渠道

充分的信息和有效的交流对农业发展银行内部控制体系的有效运作是必不可少的。充分利用信息，信息就必须适用、可靠、及时、方便易得并具有连续性。建立与完善对行内外重要信息的搜集分析制度。要跟踪、搜集、分析内部经营管理信息和外部政策信息、监管信息、客户信息、市场信息，并将内外部信息资源进行必要整合，提高信息利用的总体效能。要定期将筛选分析过的信息传递给各有关管理层和相关部门，为决策和经营管理服务。

建立系统内纵横畅通的信息交流渠道。要建立贯穿各级机构、覆盖各个业务领域的管理信息系统，使相关机构和部门获得充分、可靠的决策所需信息。要在机构内部实现充分的信息交流和共享，使相关部门和人员在事前、事中及事后充分、准确了解与履行职责有关的信息，充分地参与内部控制过程。

(五)建立独立、权威的监督评价和纠正机制

要保证农业发展银行既定的政策和程序得到有效遵循，确保对内部控制系统的各个要素的运行情况进行有效的监控，并对现有政策与程序是否健全做出判断。要实现与现代银行内部审计体制相接轨，积极推进内部审计体制改革，加大垂直管理力度，上收二级分行的内审职能，强化总行和一级分行的内审职能，经过试点，逐步实行由总行直接管理的分区域派出审计制，建立具有充分独立性、对一级法人负责的审计体制。

建立内部控制有效性的持续监督和缺陷修正机制。要求各级行、各部门定期报告内部控制中存在的问题和缺陷，使决策层和管理层及时掌握全行内部控制状况，及时纠正内控机制中的缺陷。内部审计部门负责对内部控制的总体有效性进行评估和持续监控，及时对内控机制中的缺陷及时进行弥补修正。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。