我国商业银行内部控制缺陷及对策

提要银监会于2007年7月3日的《商业银行内部控制指引》为我国商业银行构建全新的内部控制框架提出了具体要求，但到现在为止我国商业银行的内部控制仍然存在不少问题。本文拟就这些问题进行探讨，并提出一些初步的应对策略。

关键词：商业银行；内部控制；控制体系

中图分类号：F83　文献标识码：A

截至2009年底，我国除工商银行、农业银行、建设银行和中国银行，已有12家股份制商业银行，110多家城市商业银行，加之在我国开设分支机构的众多外资银行，必将为每家商业银行的经营和运转带来不小的影响。在这种形势下，商业银行除了拓展业务模式，提高竞争力之外，更得苦练内功，着重在防范金融风险，保障自身安全稳健运行上下功夫。虽然银监会于2007年7月3日的《商业银行内部控制指引》从我国商业银行内部控制实践的内在需求以及银行业监管机构的角度出发，对商业银行开展内部控制工作的目标、原则、内容、流程以及工具和方法等所有方面进行了详细规定，但是在现实中，很多商业银行并没有真正建立起符合自身特点的内部控制，这既有相关政策需要不断完善的原因，也与我国商业银行内部控制的现状有关。

一、内部控制的内涵与其在我国的现状

(一)商业银行内部控制的内涵。商业银行内部控制理论是在企业内部控制理论的基础上发展起来的。巴塞尔委员会1998公布的《银行内部控制系统的框架》认为：“商业银行内部控制是一个受银行董事会、高级管理层和各级管理人员影响的程序。”

(二)我国商业银行内部控制现状。经过20多年的改革开放，我国商业银行初步形成了一种相互制约、相互监督的内部控制机制。但商业银行的内部控制在我国仍属于一个较新的领域，在制度设计和实际操作方面还存在缺陷。

1、商业银行从业人员思想和行动上对内部控制不够重视。如，有些商业银行根本认识不到内部控制建设的重要性，即使出台了《商业银行内部控制指引》，也只是把建立内部控制看成是被动地完成任务而不是作为一项迫切的使命，体现在现实工作中，就表现为生搬硬套，或者是主观上重视，但在客观环境中却无法遵守。另外，商业银行传统的内部控制多采用头痛医头、脚痛医脚的打补丁控制方式，缺乏整体的控制思想和控制框架，不能够注重内部控制的环境建设和过程建设，不能把内部控制要素与内容有机地结合起来，通过构建有效的内部控制模式来实现有效的控制，这在很大程度上影响了商业银行管理者的控制观念，致使商业银行的内部控制活动长期在非规范的环境下低效运行。

2、对显性风险和隐性风险认识不足。目前，我国商业银行的经营风险正在逐步由隐性转向显性，主要表现在贷款质量下降，呆账增加，经营亏损，支付能力不足；从业人员欺诈行为和越权经营而产生的操作风险；决策管理层缺乏科学的经营管理而导致的管理风险。这些风险的产生，同样与商业银行内部控制制度的缺失相关联。就显性风险而言，如正文开始所述，随着金融市场开放程度的不断扩大，我国商业银行面临更加激烈的竞争环境和更加复杂多样的风险。有些商业银行虽然认识到了竞争因素，却错误的认为正是由于竞争激烈，才不得不放松对风险的把控，这就犯了因果倒置的错误。就隐性风险而言，虽然各商业银行对单项信贷风险控制比较重视，但信用风险的管理还很落后，对经营中的各类风险进行全面识别、评估的意识和能力有限，不能对各类可控风险采取有效的措施，风险管理还没有作为内部控制的核心内容。因此，正视日益增长的外部风险，完善和加强内部风险控制，已成为商业银行生存和发展的重要条件。

3、风险评估的方法技术落后，人才缺乏。由于管理层的不重视和高技术人才的缺乏，我国很多商业银行的风险评估目前仍主要依靠定性的、人为控制的直接管理方法，如信贷审查方式，而未广泛使用定性和定量相结合的客观的科学方法。这导致了风险管理的专业化程度和效率较低，特别是对于已标准化的可批量处理的银行资金交易和零售业务，没有实现以模型等定量分析为主的间接管理方法。而且，由于缺乏专业化的技术人员和足够的数据信息，目前我国商业银行尚未建立更为科学的内部评级法，也就无法对风险做出准确的识别和分析，更谈不上建立起科学的风险管理体系了。

4、缺乏有效的内部控制标准和规范的控制程序。根据COSO报告的要求，内部控制是以建立和完善内部控制标准为基础的规范化管理方式，以检查与评价管理者以及业务人员执行控制标准、修正与完善内部控制标准为重点，通过控制标准的制定、执行、修正与完善来规范人们的控制行为，通过人们行为的规范来实现控制目标。虽然《商业银行内部控制指引》为我国商业银行内部控制的建立和运行指明了方向，但由于推行时间不长，而且各银行之间又有着各自的特点和不同情况，所以对各商业银行来讲，由于缺乏相关经验，在制定自己的内部控制标准和控制程序方面就存在着严重缺乏业务执行标准和综合评价标准的现象。我国传统的内部控制方式因控制标准的不完善和控制程序的不规范，使内部控制不可能实现程序化的优化运行，也就必然会导致内部控制的失效和低效。

5、内部控制的评价系统不完备。如上所述，各商业银行正是由于无法建立有效的内部控制标准和控制程序，就将直接导致无法有效地评价系统，即使有评价程序，也只能流于形式。因为按照内部控制的要求，商业银行必须要及时进行内部控制的健全性测试、符合性测试、实质性测试以及综合评价，根据测试的结果采取相应的策略，以提高内部控制系统的有效性。由于我国商业银行现行的内部控制采用内容控制的方式，在很大程度上存在忽视或缺乏内部控制的测试评价系统的现象，使得商业银行现有的内部控制系统低效或流于形式。另一方面，我国商业银行现有的控制目标考核评价系统，以完成预期目标为中心，主要考核和评价控制目标的完成程度，属于刚性控制，长期的刚性目标控制必然会导致控制活动的失效，这就是目标控制的短期行为。

二、完善我国商业银行内部控制对策建议

(一)在商业银行内部形成从上到下的防范风险的意识并付诸行动。作为商业银行的领导，要提高内部控制意识，增强遵纪守法观念，确立“风险首位”的工作原则，自觉把加强内部控制作为防范经营风险的关键环节常抓不懈，确保经营实现安全、流动、盈利。同时，以再教育的方式，对职工进行培训，灌输防范金融风险的意识。

(二)建立区别于传统的内容控制模式，而真正符合我国实际的内部控制系统。我国商业银行传统的内容控制模式过度地强调目标的实现与控制，忽视了规范化建设，结果造成了短期有效之后的长期失效或低效，并因内部控制机构的设置、控制活动的实施以及内部控制的测试与评价，大大增加了管理成本。新的内部控制框架应该能够克服原有内部控制制度

所存在的种种弊端，并体现合理有效的原则在重构我国商业银行内部控制系统的过程中，除充分考虑我国商业银行内部控制的实际情况，借鉴国外内部控制的先进经验，最大限度地克服现有制度的弊端之外，还要考虑2004年6月COSO委员会颁布的企业风险管理框架的要求，在内部控制五要素的基础上增加目标设置、事件确定和风险应对，即建立包括环境建设子系统、目标管理子系统、风险评估子系统、过程管理子系统、信息与沟通子系统、监督子系统和测试与评价子系统在内的一整套有机系统。

(三)构建会计电算化安全控制体系。《商业银行内部控制指引》要求：商业银行应当利用计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构实施有效的管理和监控。但在实务当中，由于计算机网络系统的构建需要大量投入和运行周期，很多商业银行其实并没有很好地构建计算机网络，而作为计算机网络系统和财务工作重要组成部分的会计电算化构建更显滞后，而会计电算化的实施和完善情况将直接影响到商业银行的内部控制构建。为此，建立一套完整、科学的信息化控制体系己成为当务之急。应当利用信息技术建立高效的信息系统。首先，健全会计信息质量保证机制，确保会计信息的真实性。其次，建立管理信息系统，满足各级管理层对信息的需求，而且要注意不能以会计信息系统来代替管理信息系统。再次，充分运用信息技术，提高信息传递效率。第四，加强银行内控电子化管理，保障银行业务的正常运行。加强内控应用软件开发，形成一套有效的内部电子监督系统和电子网络系统。要坚持科技部门和操作应用部门职责分离；程序员、操作员、系统管理员职责分离；严禁程序员单独接触系统；严禁系统设计、软件开发人员介入实际会计业务操作。系统的设计开发是计算机控制的关键，软件系统越完善，控制越有效。在计算机处理业务过程中，最容易出错和作弊的环节是数据输入，因此必须加强输入控制。输出控制是对系统的输出结果进行控制，应采取双备份、异地存放、严禁任何人修改等控制办法。

(四)将监督检查落实到位，促进内控机制不断完善。引入竞争机制，实行竞聘上岗，择优录取，营造出业务素质高有岗位、业务素质差没岗位的氛围。要坚持开展定期和不定期的各种检查，检查核算的合法合规性，发现违法行为和执行中的薄弱环节，提出建议，及时整改。实行高管人员交流和重要岗位轮换制度，在保持相对稳定的情况下，加强对高管人员和重要岗位人员的横向交流，规定高管人员和重要岗位的任职期限，定期交流和岗位轮换。

(五)适应市场环境变化，建立商业银行动态风险评估体系。我国商业银行必须尽快建立起一个能够实时监控风险的动态的风险评估系统。首先，加强风险评估的组织领导，完善风险管理的组织结构；其次，完善信贷业务的风险评估程序，建立信贷风险预警系统；再次，加强市场风险管理，建立动态的风险评估模型；最后，重视新业务的风险评估，在新业务开展之前就应当设计相应的风险评估方法和程序。

(六)改进内部审计工作，全面发挥内部审计的作用。《商业银行内部控制指引》指出：商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监督和评价。商业银行的内部审计应当具有充分的独立性，实行全行系统垂直管理。下级机构内部审计负责人的聘任和解聘应当由上一级内部审计部门负责，总行内部审计负责人的聘任和解聘应当由董事会负责。商业银行应当配备充足的、具备相应的专业从业资格的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间。商业银行内部审计既是内部控制的重要组成部分，又是内部控制的一种特殊方式所决定的。但是，在实务工作中，很多商业银行在审计理念、独立性、客观性和审计效果等方面还存在一些缺陷和不足。为此，要充分发挥内部审计在内部控制中的作用，首先必须建立有效的内部审计制度，从根本上保证内部审计的独立性；其次要培养一批具有专业知识水平和素质的内部审计人员，这样才能在制度的基础上发现内部控制过程中出现的问题；最后还应将内部审计与定期或不定期外部审计相结合，只有这样，才能保证内部审计工作的效果。

综上所述，我国商业银行的内部控制构建不能一蹴而就，而是需要在包括《商业银行内部控制指引》在内的相关国家政策的指导下，结合各商业银行的实际情况，不断完善、不断修正。

主要参考文献：

[1]孙涛.商业银行内部控制低效的成因及模式重构[J].财经科学，2007.2.

[2]卢鸿.现代商业银行内部控制系统论[M].北京：中国金融出版社，2001.

[3]巴塞尔银行监管委员会文献汇编[M].中国金融出版社，2002.

[4]汪叶斌，廖道亮.银行内部控制原理与评价[M].东北财经大学出版社，2002.

[5]中国银行业监督管理委员会.商业银行内部控制指引[R].2006.12.8.

[6]张晓赕.我国商业银行内部控制存在的缺陷及对策[J].会计之友(中旬刊)，2009.10.