浅析商业银行内部控制

引言
现代商业银行是以多种金融资产和金融负债为经营对象，具有综合性服务功能的金融企业。

其本身所具有的特征决定了要想平稳地开展各项业务，实现既定的发展目标，必须有一套完整、有效、合理的内部控制体系。

而商业银行内部控制是银行为保护资产安全完整，防范金融风险，保证会计数据的真实性可靠性，提高经济效益，贯彻执行高层管理者所制定的各项管理政策，保证经营目标的实现而制定并实施的组织规划和对内部各部门与人员相互制约和协调的一系列制度、措施、程序和方法。

尽管各国在金融监管上的力度不断加强，成效明显，特别是巴塞尔委员会近年来就银行监管问题发布了一系列原则、标准和建议后，国际金融监管更是取得了突破性进展。

但同一时期的金融业务的复杂性大大增加，衍生金融工具及其市场、银行表外业务急剧发展，国际金融市场上的金融投资组合的调整与资金的全球性流动已是瞬息万变，金融监管防范措施有时显得束手无策。

因此，金融机构加强其内部控制制度的作用日益显著。

一、商业银行内部控制的含义
商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

二、商业银行内部控制问题的提出
我国商业银行的内部控制始于20世纪90年代初期对呆滞账的控制，1990年我国四大国有银行的坏账占全部贷款的比例已经超过20%，连同逾期、展期的呆滞贷款总额占贷款总额的比例超过了70%，1991年末四大国有银行的坏账超过其自有资本，产生资不抵债。

1992年美国COSO委员会颁布五要素的内部控制框架（简称COSO报告），引发了全球性内部控制高潮，也给我国商业银行提出了建设内部控制制度的要求。

到20世纪90年代中期，由于我国越来越多的国有企业不但不偿还贷款，甚至连贷款利息也不支付，致使全国银行业在1994年和1995年出现了全行业亏损，分析其产生亏损原因，主要是由于商业银行缺乏有效的内部控制制度，产生了过多的呆滞账以及市场风险、信用风险和操作风险。

为控制全球普遍存在的坏账损失及其金融风险，1998年9月巴塞尔银行业委员会发布了银行内部控制系统框。

我国商业银行也开始了全面内部控制建设，虽然对降低运营成本以及控制金融风险等方面起到了一定的作用，但并没有改变我国银行业呆滞账过多的现象。

三、商业银行内部控制的组成
商业银行内部控制是银行为保护资产安全完整，防范金融风险，保证会计数据的真实性可靠性，提高经济效益，贯彻执行高层管理者所制定的各项管理政策，保证经营目标的实现而制定并实施的组织规划和对内部各部门与人员相互制约和协调的一系列制度、措施、程序和方法。

目的在于确保一家银行的业务能根据银行管理层制定的政策以最合理的方式进行，保证经营业务规范化，将各种风险控制在最小范围内以实现其经营目标。

有效的商业银行内控制度应大体由以下各部分组成。

（一）银行内部会计控制
1.资产保全
会计的主要责任就是保证企业资产安全完整、会计资料真实可靠。

一方面，对于实物资产做到所有权明确，保管、处理责任范围界定清晰，审批制度严格，以免出现私自转移银行资产中饱私囊，或是肆意损坏物资给银行造成损失。

另一方面，就信息资料而言，商业银行应当真实、全面、及时地记载每一笔经济业务，正确进行会计核算，建立完整的会计、统计和各种业务资料的档案并妥善保管，定期核对，确保原始记录的合同、契约、各种信息资料数据的真实完整。

2.授权审批
授权是指银行最高管理层向管理者及其下级机关和工作人员赋予的一种能够代表银行从事一项业务或某些业务的权利。

严格的授权审批制度对任何银行的业务活动都是必不可少的。

商业银行要做到“有法必依”，即严格执行既定的规章制度，尽量避免越权、未授权行为的发生；实行逐级有限授权制度，并根据被授权人的实际情况实行区别授权或及时调整授权；对越权行为必须予以严厉处罚，越权产生的损失应追究相应的赔偿责任。

对于重要的银行业务活动必须经两人以上审批签署方可生效，行使审批权利必须承担相应的责任。

3.职责划分
根据此原则，在分配任务和明确责任时，应避免让同一工作人员担任不可兼容的职责，通过相互牵制的约束，以减少差错和舞弊行为的出现或发生；明确各管理部门和职能部门的权力和责任，建立权力制衡机制，使责、权、利有机地结合起来。

合理的职责分工和恰当的责任分离能够使各部门各岗位人员各司其职，在各自的工作范围内完成相应的任务，保证工作各个环节的完整和安全。

4.流程控制
这里的流程是指账务处理过程，要从业务发生、填制原始凭证开始，经审核、记账、结账至编制报表完毕。

在这一过程中，涉及到凭证的设计和使用账簿的种类及相互关系以及会计资料的接触、使用、保存等多重环节。

会计凭证的格式与内容必须要符合财务会计法规的规定及企业自身的情况；填制与传递及时、准确；力求账簿之间的结、转、勾稽关系正确无误；对书面资料应妥善保存，必须力求做到授权接触；所有重要业务事项与决策都必须按规定进行，并应保留可核实的记录，防止个人独断专行，等等。

总之，账务处理过程中事无巨细，都要有严密的控制制度来相应地执行和监控。

5.防范系统
主要包括复核检查和预警预报：
（1）复核检查。

一是对会计核算及与其相关的业务要进行复核。

二是银行对业务部门所开展的业务的事后检查，它可分为两个层次：即业务经办部门对自身办理的业务的事后检查，以及内部稽核部门（专职监察部门）对所开展的业务的事后检查。

实际上，后者所说的复核检查应该在银行内部管理控制中体现，为了保持这一问题的完整性，在这里一并谈及。

（2）预警预报。

建立预警预报系统的目的是为了预知可能出现的错误和问题，及时发现经营过程中的问题，防患于未然，减少失误和损失。

因此，商业银行应围绕经营项目、业务管理、风险防范、资产安全等内容，定期进行业务风险分析、信贷资产质量评价、资金运用风险评估；建立定期实物盘点和各种账证、账表的核对制度以
及业务活动的事前、事中和事后监督制度；健全完善内部控制系统的评审和反馈，对带有苗头性、倾向性的问题进行预测预报，从而把业务风险降到最低。

同时，对各个重要部门、营业网点等制定明确的应急应变措施，以保证业务持续顺利进行。

针对可能遇到的断电、失火、台风、抢劫等紧急情况，商业银行应当在考虑各种可能因素的前提下制定出有效的应急应变措施。

（二）银行内部管理控制
1.组织管理
就是商业银行通过合理设置与安排内部组织结构来保证银行业务流动的通畅、高效、合法、合规，以实现其经营目标。

首先，商业银行分支机构应根据商品生产和流通的不同特点来设置，即根据不同的经济区，设置以总行为核心的各地支行，并且做到：对分支机构权力适当下放，妥善处理总行与分支行的关系；对分支行的经营业绩进行客观的评价考核，并根据考核结果采取适当措施；针对商业银行的电子化处理系统制定切实可行的管理监控措施。

其次，银行经营决策层的管理人员在聘用前必须经过严格的考核和多方面的培训。

作为一个合格的管理人员必须具备良好的道德品质，正直的秉性特征，扎实的业务知识与技能，丰富的实践经验，宽阔的视野，创造性的思维，熟知金融及相关法规，通晓各国经济金融环境。

2.财务管理
商业银行财务管理主要是指商业银行对各职能部门、分支机构的成本费用和利润进行控制考核，其目的是降低整体经营成本、提高经济效益。

内部控制中的财务管理是与银行的经营目标密切相关的。

同时，识别和评价银行所面临的各种风险，并判断各种风险对银行的影响程度和造成损失的大小，是有效的内部控制必不可少的内容。

这就要求银行运用科学的方法对自身所面临的各种风险进行较全面的分析，采用定性和定量相结合的方法来估测风险发生的概率和损失程度，并通过一定防范化解措施，将各种风险可能带来的损失最小化。

通过设置科学的风险考核指标体系，如存贷比率、资本充足率、贷款回收比率、信用风险比率等指标，来进行数据对比，综合分析研究，客观地评价一定时期本单位的经营业绩和经营工作水平。

3.业务流程管理
商业银行各项业务活动的发生、进展、变化情况，都要有明确的报告渠道和程序。

一般来说，商业银行各项业务的开展都要经过授权、执行和记录。

每一项业务的具体处理要根据各项业务的内容和特点来确定。

例如，合理、完善的贷款业务程序应是：贷款调查与评估（包括企业信用等级评定、项目可行性分析等）→审查（审查贷款的直接用途、企业近期财务状况等）→批准→发放→监督（信贷及管理人员对贷款使用情况的定期检查及稽核人员检查贷款的发放是否合规）→收回
4.人力资源管理
所谓人力资源管理是指把银行内部人与人以及人与银行的关系协调妥当，使银行的人力资源最有效地发挥作用。

商业银行一般均视人力资源为本身最重要的资产，因为银行的其他资源如机器、物料等都必须通过人力的作用才能发挥效能，内部控制风险一定程度上也是由人来控制的。

因此，通过加强人事管理，建立岗位制约机制，建立健全人事聘用制度，可以充分挖掘劳动潜力来提高各部门、岗位以及员工的工作效
率。

人力资源管理控制一般包括：人力资源规模、员工招募选拔、岗位分配、薪酬管理、培训考核、员工福利及保障、不合格人员解聘制度。

（三）内部稽核
1.电脑稽核
在商业银行内部和电脑中心分别设立专职电脑稽核人员。

该类人员从银行内部资深的专门从事系统软件或设计开发金融软件的计算机专业技术人员中选择。

他们首先应当具备较高的道德素质，应当善于发现和纠正日常业务处理流程和系统设置中的薄弱环节，以便监督业务人员、电脑人员以及电脑系统，从而使越权使用计算机处理业务和非法侵犯计算机的行为都处于稽核的监控之中。

2.实时监控
我国目前商业银行的内部审计行为都是一种事后监督审计，只是对一些书面资料进行检查分析。

由于信息不对称，效用滞后，大大降低了内审的效果。

银行内部审计部门应利用科学技术来改善审计手段，建立适用于新形势的计算机审计网络，并与人民银行等金融监管机构联合建立非现场监督系统，通过网络可随时全面掌握商业银行的经营动态和会计信息，实现事前的预防和事中的监控。

内审部门在严格保密制度和确保安全的前提下可根据授权在线访问，通过internet直接进入银行内部信息系统调阅有关信息，经过对数据的分析处理，对银行发展中带有苗头性和倾向性的问题及时开展分析研究，把事前、事中、事后的监管兼顾起来，加大非现场监督力度，改变传统的现场审计等落后的人工事后监督的做法，提高审计的综合监督职能。

四、我国商业银行的内部控制现状
（一）商业银行从业人员思想和行动上对内部控制不够重视。

有些商业银行根本认识不到内部控制建设的重要性，即使出台了《商业银行内部控制指引》，也只是把建立内部控制看成是被动地完成任务而不是作为一项迫切的使命，体现在现实工作中，就表现为生搬硬套，或者是主观上重视，但在客观环境中却无法遵守。

另外，商业银行传统的内部控制多采用头痛医头、脚痛医脚的打补丁控制方式，缺乏整体的控制思想和控制框架，不能够注重内部控制的环境建设和过程建设，不能把内部控制要素与内容有机地结合起来，通过构建有效的内部控制模式来实现有效的控制，这在很大程度上影响了商业银行管理者的控制观念，致使商业银行的内部控制活动长期在非规范的环境下低效运行。

（二）对显性风险和隐性风险认识不足。

目前，我国商业银行的经营风险正在逐步由隐性转向显性，主要表现在贷款质量下降，呆账增加，经营亏损，支付能力不足；从业人员欺诈行为和越权经营而产生的操作风险；决策管理层缺乏科学的经营管理而导致的管理风险。

这些风险的产生，同样与商业银行内部控制制度的缺失相关联。

就显性风险而言，如正文开始所述，随着金融市场开放程度的不断扩大，我国商业银行面临更加激烈的竞争环境和更加复杂多样的风险。

有些商业银行虽然认识到了竞争因素，却错误的认为正是由于竞争激烈，才不得不放松对风险的把控，这就犯了因果倒置的错误。

就隐性风险而言，虽然各商业银行对单项信贷风险控制比较重视，但信用风险的管理还很落后，对经营中的各类
风险进行全面识别、评估的意识和能力有限，不能对各类可控风险采取有效的措施，风险管理还没有作为内部控制的核心内容。

因此，正视日益增长的外部风险，完善和加强内部风险控制，已成为商业银行生存和发展的重要条件。

（三）风险评估的方法技术落后，人才缺乏。

由于管理层的不重视和高技术人才的缺乏，我国很多商业银行的风险评估目前仍主要依靠定性的、人为控制的直接管理方法，如信贷审查方式，而未广泛使用定性和定量相结合的客观的科学方法。

这导致了风险管理的专业化程度和效率较低，特别是对于已标准化的可批量处理的银行资金交易和零售业务，没有实现以模型等定量分析为主的间接管理方法。

而且，由于缺乏专业化的技术人员和足够的数据信息，目前我国商业银行尚未建立更为科学的内部评级法，也就无法对风险做出准确的识别和分析，更谈不上建立起科学的风险管理体系了。

（四）缺乏有效的内部控制标准和规范的控制程序。

根据COSO报告的要求，内部控制是以建立和完善内部控制标准为基础的规范化管理方式，以检查与评价管理者以及业务人员执行控制标准、修正与完善内部控制标准为重点，通过控制标准的制定、执行、修正与完善来规范人们的控制行为，通过人们行为的规范来实现控制目标。

虽然《商业银行内部控制指引》为我国商业银行内部控制的建立和运行指明了方向，但由于推行时间不长，而且各银行之间又有着各自的特点和不同情况，所以对各商业银行来讲，由于缺乏相关经验，在制定自己的内部控制标准和控制程序方面就存在着严重缺乏业务执行标准和综合评价标准的现象。

我国传统的内部控制方式因控制标准的不完善和控制程序的不规范，使内部控制不可能实现程序化的优化运行，也就必然会导致内部控制的失效和低效。

（五）内部控制的评价系统不完备。

各商业银行正是由于无法建立有效的内部控制标准和控制程序，就将直接导致无法有效地评价系统，即使有评价程序，也只能流于形式。

因为按照内部控制的要求，商业银行必须要及时进行内部控制的健全性测试、符合性测试、实质性测试以及综合评价，根据测试的结果采取相应的策略，以提高内部控制系统的有效性。

由于我国商业银行现行的内部控制采用内容控制的方式，在很大程度上存在忽视或缺乏内部控制的测试评价系统的现象，使得商业银行现有的内部控制系统低效或流于形式。

另一方面，我国商业银行现有的控制目标考核评价系统，以完成预期目标为中心，主要考核和评价控制目标的完成程度，属于刚性控制，长期的刚性目标控制必然会导致控制活动的失效，这就是目标控制的短期行为。

五、内部控制缺失导致商业银行倒闭（巴林银行）（一）监督松疏，控制不力
1、对海外部运作监督非常松疏
在巴林银行要宣告破产之后不久，该银行高级主管人员称对里森在新加坡的所为一无所知，因为直到里森去职的那天，即2月23日，公司的风险报告仍出现交易不平衡。

2、高额奖金的诱惑使他们不愿严加控制
据新加坡有关当局说，巴林银行在1995年2月的头18天里给新加坡国际货币交易所汇去了1.28亿美元做垫付维持金之用。

据《金融时报》报道，英格兰银行行长乔治4月5日对英国公共财政部即内务委员会的国会成员说，巴林银行在未通知英格兰银行的情况下，擅自给其新加坡分部汇去7.6亿英镑现金。

也许巴林银行的高层主管确实不知道里森的真正所为，不过，他们起码应该知道这笔超过该银行资本的自己去向及用途。

巴林银行破产前，里森主要与巴林公司的伦敦总部、东京分部及香港分部交易。

而在新加坡的期货交易，仅有少数客户，其中三个为巴林银行分支机构，另一个是巴黎国家银行，每笔交易都会经过一家巴林银行分支机构，因此，巴林银行主管完全不知里森的所作所为是不可能的。

巴林银行的高级主管一定知晓里森的交易活动，因为巴林银行的财务主管及亚洲部主任曾坚持他们不仅知道巴林银行在期货市场的风险
曝光度，而且还对新加坡国际货币交易所的管理人员保证他们将支持这种做法。

情况很可能是：巴林银行总部知道一切，高层主要需要来自新加坡的利润，高额奖金的诱惑使他们不愿严加控制。

虽然出事的“游戏”涉及到衍生产品，但是该交易员未按照常规去“玩”。

里森几乎没有衍生产品方面的专门训练，仅是凭直觉在交易。

市场走好，他赚，市场走低，他输。

如果把巴林银行倒闭归咎里森一人头上，那实在是太不公平了。

可以说巴林银行倒闭不是一人所为，而是一个组织结构漏洞百出的机构所致。

3、调查人员走过场
在损失达到5000万英镑时，巴林银行总部曾派人调查里森的账目。

事实上，每天都有一张资产负债表，每天都有明显的记录可看出里森的问题。

即使是月底，里森为掩盖问题所制造的假账，也极易被发现——如果巴林真有严格的审查制度。

里森假造花旗银行有5000万英镑存款，但这5000万已被挪用来补偿“88888”号账户中的损失了。

查了一个月的账，却没有人去查花旗银行的账目，以致没有人发现花旗银行账户中并没有5000万起重视。

伦敦总部也曾想确定来自新加坡分部的利润是否能够长期持续下去，还派了一个审计组来到新加坡分部。

审计组主要根据里森提供的情况，编制了一个长达24页的报告。

（二）权力过于集中
如果里森只负责清算部门，如同他本来被赋予的职责一样，那么他便没有必要、也没有机会为其他交易员的失误行为瞒天过海，也就不会造成最后不可收拾的局面。

里森作为总经理，他除了负责交易外，还集以下四种权力于一身。

在巴林银行新加坡分行，里森本人就是制度。

他分管交易和结算，这种做法给了里森许多自己作决定的机会。

里森在1992年去新加坡后，任职巴林新加坡期货交易部兼清算部经理。

作为一名交易员，里森本来应有的工作是代巴林客户买卖衍生性商品，并替巴林从事套利这两种工作，基本上是没有太大的风险。

因为代客操作，风险由客户自已承担，交易员只是赚取佣金，而套利行为亦只赚取市场间的差价。

例如里森利用新加坡及大阪市场极短时间内的不同价格，替巴林赚取利润。

一般银行允许其交易员持有一定额度的风险部位。

但为防止交易员在其所属银行暴露于过多的风险中，这种许可额度通常定得相当有限。

而通过清算部门每天的结算工作，银行对其交易员和风险部位的情况也可予以有效了解并掌握。

但不幸的是，里森却一人身兼交易与清算二职。

事实上，在里森抵达新加坡前的一个星期，巴林内部曾有一个内部通讯，对此问题可能引起的大灾难提出关切。

但此关切却被忽略，以至于里森到职后，同时兼任交易与清算部门的工作。

（三）奖金结构忽视企业风险系数
如果巴林银行有较为健全的内部控制制度，如果里森的权力得到应有的控制，如果巴林银行严格分离它的自营业务和代客交易的话，或许巴林银行还是那个在金融业掷地有声的金融巨头。

许多公司为鼓励员工辛勤工作，采取发放奖金的办法。

一般根据员工的职务、工作经验、工作成绩以及其他因素。

奖金可以是基本年薪的很少的一个百分数，也可以是基本年薪的好几倍，各个公司规定不一。

当然，表彰工作成绩是一回事，根据交易所得利润支付大笔奖金，而不考虑公司的风险参数或公司的长期战略，则是另一回事。

如果奖金与基本年薪的比例失衡且忽视对风险的考虑，就会使员工为获得高额奖金不恰当地增加公司的风险。

六、完善我国商业银行内部控制的建议
（一）重塑科学内控文化，营造良好内控环境
商业银行应全面提升组织团队的文化涵养，打造具有高度凝聚力的内控文化，将将管理意识、合规意识、制度意识深深根植于员工的思想观念之中，这样才能充分调动每位员工的积极性、主动性和创造性使全行员工的风险意识和风险管理行为控制和约束在既定的目标范围之内。

通过“自控”实现其目标，反过来推动公司持续发展的理念及动力。

（二）进一步完善商业银行公司治理机制，建立有成效和效率的监督机制
1．根本强化
要从根本上强化我国商业银行的内控制度建设，就必须建立一个目标明确、权责利相对应的有效制衡的法人治理结构，防止“一股独大”和侵害中小股东利益的现象出现。

2．尽快完善激励机制
改革“官本位”的传统思维，对高级管理人员的任免、奖惩直接与经营风险挂钩、与银行的长期发展挂钩，再不能只是与政绩挂钩、与短期业绩挂钩.把高管人员的收入与银行资产的效益和质量结合起来。

（三）借鉴国外先进经验，提高风险管理水平
1．建立动态的积极的现代风险管理模式
风险管理是一项复杂而艰巨的系统工程，我们需要改进风险管理机制，不仅要从根本上提高风险管理意识、建立畅通的信急传递渠道、强化风险管理的责权利关系，还要利用和完善风险预警系统以及转移和分散风险的工具。

2．建立灵活适度的授权授信制度
3．完善信息技术管理
这要求商业银行建立审慎的会计、财务制度和透明的信息披露制度；在金融电子化过程中，广大软件工作人员需要将本行经营方针、政策、业务操作规程及银行经营活动，尤其是信贷管理等风险的识别、防范控制与化解制度措施纳入系统管理，不断。