潘姿霖

摘 要：商业银行内部控制是指商业银行内部自觉主动地通过建立各种规章制度，以确保管理有效、资产安全，最终实现安全与效率的目标。为此，商业银行内控制度必须在银行内部保证国家有关法律法规和央行监管制度在各部门和各级人员中得到正确且充分地贯彻执行，以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。

关键词：商业银行；内部控制；风险意识

中图分类号：F830.33 文献标识码：A 文章编号：1672-3198（2009）03-0233-02

近年来，金融领域风险不断显现与发生，又有愈演愈烈之势，严重威胁着金融业的安全和发展，商业银行的经营风险也正在逐步由隐性转向显性，主要是贷款质量下降、呆账增加、经营亏损严重、支付能力不足而引起的信用风险，从业人员欺诈与越权经营而产生的操作风险，决策管理层缺乏科学管理和经营理念而导致的管理风险等。这些风险的产生，无不与商业银行的内部控制制度相关联。因此，加强对商业银行内部控制问题的研究，不仅对现在而且对将来都有着十分重要的意义。

商业银行内部控制是指商业银行内部自觉主动地通过建立各种规章制度，以确保管理有效、资产安全，最终实现安全与效率的目标。为此，商业银行内控制度必须在银行内部保证国家有关法律法规和央行监管制度在各部门和各级人员中得到正确且充分地贯彻执行，以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。建立起符合我国商业银行实际的完整、合理、有效的内控体系，是实现金融健康发展稳健经营的重要保障。

1 完善内控机制的基本原则

系统性原则。商业银行经营风险存在于各经营项目和各个业务环节的全过程，没有系统性的风险控制与没有风险控制其实是一样的。因此，在时间上和空间上覆盖所有经营环节和业务流程，即系统性是商业银行风险控制必须满足的第一要求。

动态性原则。商业银行经营中人为因素、市场环境等是不断变化的。墨守成规，试图以不变的方法、策略、制度去应对其形式、内容不断变化的经营风险同样是十分危险的。只有不断研究银行的经营环境、客户及银行自身的新情况，针对风险因素的新变化采取新的对策，以变制变，以不断发展的策略和方法，与时俱进，动态地控制风险，才能确保银行经营的安全。

及时性原则。内部控制的建立和改善要跟上业务和形势发展的需要，开设新的业务机构或开办新的业务种类，必须树立“内控先行”的思想，首先建章立制采取有效的控制措施，不能留有任何死角和空白，做到无所不控。

独立性原则。内控的检查、评价部门必须独立于内控的建立和执行部门，直接的操作人员和直接的控制人员必须适当分开，并向不同的管理人员报告工作，在管理人员职责交叉的情况下，也要为负责控制的人员提供直接向最高管理层报告的渠道。

重在防范的原则。经营风险的突发性要求商业银行对可能爆发的危机要有预见性，要事前采取防范措施，制定危机处理的预案，这样才能有备无患。风险防范是内控的第一道关口，也是风险控制的最重要内容。防火胜于救火，风险控制要具有前瞻性，防患于未然。

以人为本、全员有责的原则。人是事业成败的关键性因素，内控制度的完善不仅仅依靠专门的部门和人员，而是全行的大事。对于可能造成损失的风险因素和安全隐患，要经常提醒员工注意。坚持经常性的职业道德教育，提高员工的道德水准和自律意识，增强工作责任心，有针对性地开展业务培训。努力杜绝员工的失职、渎职等内部因素造成的风险损失。

2 目前商业银行内控制度存在的不足

内控制度的适应性不足。对内控制度的认识存在偏差，内控规章制度不健全，在理解上存在偏颇之处。仅认为内部控制是各种规章制度的制定、装订、汇总等整章建制方面的工作；还表现在业务开拓与内控制度建设缺乏同步性，特别是新业务的开展缺乏必要的制度保障，风险较大。

内控制度的整体性不够。对所属分支机构控制不力，对决策管理层缺乏有效的监督。对业务人员监督得多，而对各级管理人员监督得较少、制约力不强，内控制度缺乏刚性。

内控制度的权威性不强。审计资源配置效率低下，稽审职能和权威性没有充分发挥， 内部审计部门没有完全起到查错防漏、控制风险的作用。

3 构建“以人为本”的内部控制管理体系的构想

（1）以“人本主义”做为构建内部控制机制的信条，营造良好的内控管理文化氛围。

具体表现在内部环境的控制，包括领导班子与组织机构控制、人力资源管理、安全保卫及法规管理、信息系统控制等方面，既要重视正式约束的建设，也要充分考虑非正式约束的作用。为此，首先要建立内部控制管理理念，也就是风险控制思想。银行每项业务都是伴随着对风险的分析、评价、监控、转移、分解等处理方式展开的。内控管理是银行提高核心竞争力的重要手段，关系到银行的生存和发展，要使全体员工都要有这样一种理念，作为组织行为的共同指导思想，促使由决策层、执行层和监督保障层共同构建的风险内部管理体系充分发挥相互制衡作用。再者，要建立合理的内控管理激励约束机制，充分实现内控制度管理的多元化目标。作为制度建设者、执行者的人，是内控管理的基础，只有充分发挥了人的能动性，才能激励其自觉实现内控管理目标。

（2）通过建立内控评价管理办法，推动内控管理工作有序开展。

制度建设评价标准。内部控制制度建设评价标准，首先要遵循国家的金融监管政策法律法规；二是遵循“控制论”的基本原理，既要具有完整性和有机结合性，又要以“有效控制”为原则，通过对信用风险、市场风险、操作风险等有效监测分析、有效控制银行经营活动；三是遵循电子技术的程序化和科学化原则，将内控资料规范存储和积累，便于监测、分析和评价工作的顺利开展。

制度执行评价标准。内控制度执行评价标准包括内控环境、内控风险识别、内控活动的有效性、内控信息的交流反馈。一是内控环境标准，包括：内控执行人员的价值观和道德观是否完整可靠；内控激励约束机制的作用程度是否达到预期目的；各级管理层的内控意识是否牢固树立；内控人员的内控能力是否与其责任相匹配；内控用人机制是否健全有效；内控管理层和监督层对内控是否给予了充分的关注等。二是内控风险识别标准，包括：内控管理的总体目标和分项目标是否明确，二者的关联程度如何，各级管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确；是否建立了对内部和外部内控风险预测和识别机制，即内控风险预测是否透彻和恰当，内控风险评价概率和频率依据是否准确可靠，是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性标准，包括：银行的每项经营和管理是否都设有恰当的风险监控活动；内部风险控制活动是否保证内控指令得到全面的执行；通过内控活动的实施是否及时有效地化解相关风险。

内控制度保障评价标准：一是是否建立和设置了适时跟踪评价反馈内控情况的渠道和工作程序以及组织保障措施。二是内控体系中各个职能部门之间的内控制约关系是否建立和运转有效。三是内控制度的缺陷是否得到及时的发现和纠正。四是随着银行业务的不断拓展和品种的创新，内部控制制度、程序和政策是否得到了及时的调整、修正和完善。

（3）通过电子化信息交流渠道的安全运转，保证银行内控体系有效运作通过建立风险报告制度保证风险管理的信息沟通，保证决策层能够通过内控评价和风险报告，对内控状况进行检查评价，对风险监测报告进行整理分析，做出有分析依据的判断决策；执行层在责任划分和权限内履行风险内控管理职责，监督检查层通过对决策管理层和执行层工作的事后再监督与检查，对违规违纪行为进行处罚。

只有形成内控管理有标准、部门设置有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核的全面有效内控制度体系，才能确保商业银行实现经营目标。