[浅析城市商业银行内部控制] 商业银行内部控制

　　【摘 要】随着金融危机的层出不穷，内部控制已被各国商业银行提到了相当重要的地位。本文从内部控制体系的五要素角度切入，介绍了其相互联系及发展状况，并结合实例给予建议与启示，全方位的展现出目前我国城市商业银行的内部控制现状，为今后城市商业银行更全面建设内部控制管理体系提供了理论依据。
　　【关键词】内部控制；五要素；城市商业银行
　　日见增长的经营问题和风险控制的不对称导致了银行业倒闭的危机层出不穷。巴塞尔委员会对几次金融危机的调查表明，危机根源在于商业银行缺乏完备的内部控制（以下简称“内控”）机制。随着我国金融全球化进程和金融开放程度的加快，健全的内控制度对于我国商业银行的风险控制以及经营目标的实现都具有相当重要的意义。近些年蓬勃发展的城市商业银行（以下简称“城商行”）不得不在日益激烈的同业竞争与日趋复杂的经营环境中不断完善并提高其内控的效率，特别是一些城商行现在已经走出本市、本省迈向全国，那么在庞杂的“总—分—支”机构中，内控就显得尤为重要。而在调研过程中发现，不少城商行存在对于内控概念的盲点，因此，只有先明确内控的构成要素，才能有效全面的实施内控措施。
　　一、内部控制构成——五要素
　　商业银行内部控制理论是在企业内部控制理论的基础上发展起来的，巴塞尔委员会1998公布的《银行内部控制系统的框架》（Framework for Internal Control Systems in Banking Organization）（以下简称《框架》）认为：“商业银行内部控制是一个受银行董事会、高级管理层和各级管理人员影响的程序。它不仅仅只是一个特定时间执行的程序或政策，它一直在银行内部的各级部门连续运作。”根据中国人民银行2002年4月颁布的《商业银行内部控制指引》（以下简称《指引》）的定义，商业银行内部控制是：商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。从《框架》及《指引》中的定义可看出内部控制是一项繁杂且关联性很强的程序，将其细分后更利于实际操作中的有序进行，所以下面将《框架》划分的五要素——控制环境、风险评估、控制活动、信息与沟通、监控五个方面来探究。
　　（一）内部控制五要素介绍
　　1．控制环境。根据COSO内控框架的定义，控制环境是企业的基调、氛围，直接影响企业员工的控制意识。控制环境要素是推动企业发展的发动机，也是内控其他一切要素的核心，其具体包括：（1）治理结构（管理层授权和职责分工）；（2）组织结构；内控文化（管理层的经营理念和经营风格）；（3）员工素质（员工的诚信和道德价值观、员工的胜任能力、人力资源政策和措施）。因此，控制环境是全面建立高效内控制度的前提条件，只有稳住控制环境这个基础，才能推动其他要素的有序进行。
　　2．风险评估。根据COSO内控框架的定义，风险评估是通过识别、分析相关风险以实现既定目标的过程，是风险管理的基础。其中，风险识别不仅需要考虑所有可能发生的风险，而且需要考虑与相关外界之间的所有重大联系，它是一个重复的过程，需要针对环境的变化持续进行。风险评估的第二步是针对识别出来的特定风险进行分析，得出结果后再采取相应的控制活动，并且随时对现有内控程序的适应性进行检测。
　　3．控制活动。根据COSO内控框架的定义，控制活动是确保管理阶层的指令得以执行的政策及程序，在企业内的各个阶层和职能之间都会出现。其具体包括：（1）岗位不相容控制；（2）授权控制；（3）会计系统控制；（4）财产保护控制；（5）预算控制；（6）运营分析控制；（7）绩效考评控制；（8）业务控制；（9）应急处理机制；（10）对子公司的控制；（11）关联交易管理等。
　　4．信息与沟通。根据COSO内控框架的定义，企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工不仅从最高管理阶层清楚地获取承担控制责任的信息，而且有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。其具体包括：（1）内外部信息获取渠道；（2）信息披露与投资者关系；（3）信息系统建设；（4）反舞弊机制建设；（5）投诉举报制度。
　　5．监控。根据COSO内控框架的定义，监控是评估内控系统在一定时期内运行质量的过程，目的是保证内控的持续有效，监控可通过两种方式进行：持续性的监督活动和独立的评估。商业银行内控的监控主要包括内部审计与稽核，以及内部评价两部分。
　　（二）内部控制五要素之间的关系——“三道防线”
　　上面已经对内控五要素有了初步的认识，我们发现上述五要素并不是孤立存在的，在具体的实施过程中它们之间呈现出明显的关联，它们相互促进，又相互反馈。因此，我以纵向逐层递进的理念将内控五要素分层纳入商业银行“三道防线”中，构建新的五要素“三道防线”模式，如图1所示。
　　1．处在业务流程最前端的各项环境设置是“第一道防
　　线”。如上所介绍，控制环境要素是推动企业发展的发动机，也是内控其他一切要素的核心，所以把对环境的控制作为“第一道防线”是毋庸置疑的。只有保持企业氛围的活跃、企业员工的积极性、企业管理层的正确经营理念以及有效地资源配置等才能保证一个企业持续、健康的发展下去。同时，也只有保证控制环境这道防线的有效防控，才能推进其他内控因素的顺利执行。
　　2．处在业务流程过程中的各项具体防控措施是“第二道防线”。风险评价主要是针对经营过程中的各项风险而实施的控制手段；控制活动主要是针对管理层对下级各项细节操作而实施的控制手段；信息与沟通主要是针对内、外部信息交流而实施的控制手段。上述三种控制手段均可认为是三个方向的具体防控措施，因此，在“第一道防线”——控制环境这一基础的前提下，应该展开内控于各项具体防控措施。那么“第二道防线”——风险评价、控制活动、信息与沟通也便应运而生。