[摘  要]我國商業(yè)銀行金融風險的產生多是由內部控制低效造成，而內部控制低效又源于控制模式的不規(guī)范。因此，研究這一課題具有重要的理論價值和現(xiàn)實意義。為探索提高內部控制效果的有效途徑，本文在分析我國商業(yè)銀行內部控制低效成因的基礎上。根據COSO報告和ERM的要求，構建了要素式動態(tài)控制的立體模式，并對這一模式的構成及其運行方式等進行了深入研究，為商業(yè)銀行規(guī)范內部控制行為和降低金融風險提供了一種行之有效的管理手段。

　　[關鍵詞]商業(yè)銀行；內部控制；控制模式；風險控制

　　一、問題的提出及文獻綜述

　　我國商業(yè)銀行的內部控制始于20世紀90年代初期對呆滯賬的控制，1990年我國四大國有銀行的壞賬占全部貸款的比例已經超過20%，連同逾期、展期的呆滯貸款總額占貸款總額的比例超過了70%，1991年末四大國有銀行的壞賬超過其自有資本，產生資不抵債。1992年美國COSO委員會頒布五要素的內部控制框架（簡稱COSO報告），引發(fā)了全球性內部控制高潮，也給我國商業(yè)銀行提出了建設內部控制制度的要求。到20世紀90年代中期，由于我國越來越多的國有企業(yè)不但不償還貸款，甚至連貸款利息也不支付，致使全國銀行業(yè)在1994年和1995年出現(xiàn)了全行業(yè)虧損，分析其產生虧損原因，主要是由于商業(yè)銀行缺乏有效的內部控制制度（趙文杰，1996），產生了過多的呆滯賬以及市場風險、信用風險和操作風險。為控制全球普遍存在的壞賬損失及其金融風險，1998年9月巴塞爾銀行業(yè)委員會發(fā)布了銀行內部控制系統(tǒng)框架（Framework for Internal Control Systems in Banking Organizations）。我國商業(yè)銀行也開始了全面內部控制建設，雖然對降低運營成本以及控制金融風險等方面起到了一定的作用，但并沒有改變我國銀行業(yè)呆滯賬過多的現(xiàn)象，1999年四大國有銀行的不良貸款總額超過1萬億元，2003年6月全國商業(yè)銀行的不良貸款總額達到3.2萬億元，這就不得不使我們反思商業(yè)銀行實施的內部控制制度建設還存在的許多難以克服的弊端。

　　為解決我國商業(yè)銀行實施內部控制制度低效的問題，理論界和實踐中都進行了深入的探討。陳元燮（1998）使用系統(tǒng)觀點分析了我國商業(yè)銀行的內部控制結構，指出控制信息不暢以及控制的手段和方法失效是產生內部控制低效的主要原因；王順（1999）從COSO報告的要求出發(fā)分析我國商業(yè)銀行的內部控制制度，指出監(jiān)管不利以及約束失效降低了內部控制制度的作用；秦輝（2000）從農業(yè)銀行深圳分行實施內部控制的實踐出發(fā)，分析了商業(yè)銀行建立要素式內部控制模式的必要性；董青（2001）從工商銀行湖南省分行實施內控制度的實踐出發(fā)，在分析銀行業(yè)內部控制制度存在問題的基礎上，提出了商業(yè)銀行建立有效內部控制體系的要求；張明魁，任福堂（2002）在分析商業(yè)銀行內部控制目標管理的基礎上，提出了加強對商業(yè)銀行內部控制實施審計的要求；楊軍、陳朝豹（2003）重點對國有商業(yè)銀行的內部控制進行了分析，提出了構建要素式內部控制系統(tǒng)的初步設想；李明輝、王學軍（2004）重點研究了商業(yè)銀行內部控制的信息披露，指出對商業(yè)銀行特別是上市銀行，加強內部控制的信息披露，是提高內部控制效果的有效措施；周正兵（2005）通過對《商業(yè)銀行內部控制體系標準》編寫組組長王健豪先生的采訪，介紹了相關的標準并分析了制定商業(yè)銀行內部控制標準的重要性；余奇才、曾北川（2006）分析了《商業(yè)銀行內部控制評價試行辦法》，強調了商業(yè)銀行實施內部控制時進行評價的重要性。經過幾年來理論與實踐界的研究，已經明確了我國商業(yè)銀行進行內部控制制度建設的方向是要根據COSO報告以及ERM框架的要求建立要素式的內部控制模式，并且要打破傳統(tǒng)的平面式結構，構建多維內部控制框架。雖然許多專家、學者已經進行了深入的探討，但應如何構建這一模式到目前為止尚沒有一致的意見，需要進一步地探究。

　　構建適合我國商業(yè)銀行實際情況的有效運營模式是一項長期的任務，經過幾年來商業(yè)銀行不良資產剝離以及上市治理，不良貸款數額有較大幅度的下降，但仍不容樂觀。2006年第一季度境內商業(yè)銀行不良貸款總額仍有1.3125萬億元，據新聞報道我國1－9月份新增不良貸款金額近9000億元，這種現(xiàn)象除了制度方面的原因外，在很大程度上還是由于內部控制低效。我國商業(yè)銀行內部控制低效，在增加其市場風險和信用風險的同時，也在一定程度上促進了操作風險的產生（孫濤，2006）。從2000年到2004年我國商業(yè)銀行共發(fā)生涉案金額在百萬元以上的操作風險案件75起，其中人民銀行6起，農業(yè)銀行15起，建設銀行17起，中國銀行18起，其他金融機構10起，除涉案金額不詳的13起案件以外的其他案件造成國有資產損失高達24.15億元。因此，我國商業(yè)銀行加強內部控制建設的任務仍很艱巨。

　　自上世紀90年代以來，我國商業(yè)銀行在走向市場化的過程中開始實施內部控制，但隨著商業(yè)銀行內部控制的實施，金融風險不但沒有下降反而越控制越高。究其原因是多方面的，但其中重要的原因之一就是我國商業(yè)銀行傳統(tǒng)的內部控制模式存在著嚴重的問題，內部控制的思路和方式與金融風險的控制方向相背離，致使內部控制低效。在這種情況下，結合我國商業(yè)銀行風險控制的實際情況，借鑒國外金融風險防范的先進經驗，采用創(chuàng)新的手段和方法重構我國商業(yè)銀行的內部控制模式，并深入探索采用內部控制方式防范和控制商業(yè)銀行市場風險、信用風險和操作風險的有效途徑具有十分的重要性和迫切性。

　　二、商業(yè)銀行內部控制低效的主要原因

　　我國商業(yè)銀行傳統(tǒng)的內部控制由于受目標管理的影響，普遍采用了內容控制的方式，過度地強調目標的實現(xiàn)與控制，忽視了規(guī)范化建設，結果造成了短期有效之后的長期失效或低效，并因內部控制機構的設置、控制活動的實施以及內部控制的測試與評價，大大增加了管理成本。因此，分析我國商業(yè)銀行內部控制低效的原因，是提高內部控制有效性的基礎，根據我國商業(yè)銀行內部控制的實際情況，產生這種現(xiàn)象的主要原因表現(xiàn)在以下幾個方面：

　?。ㄒ唬﹥炔靠刂频臈l件尚不夠成熟

　　內部控制是一定的組織發(fā)展到一定程度提高管理水平的一種自然要求，它有許多基本條件的限制，主要包括：技術狀況、管理水平、人員素質、組織文化、經營規(guī)模以及運營效率等，它們必須要達到一定的程度才會有效。我國商業(yè)銀行由于受傳統(tǒng)管理方式的影響，以及長期的國家統(tǒng)管或干涉，致使資本運營效率十分低下。目前我國銀行業(yè)正在商業(yè)化改造過程中，市場營銷的觀念尚不夠成熟，特別是嚴重的富余人員、臃腫的組織機構以及低下的工作效率，使得內部控制的效果大大低于這些問題所產生的費用超支，而使得內部控制必然產生低效。因此，商業(yè)銀行的內部控制應隨著控制環(huán)境的改善和條件成熟而逐步完善。

　?。ǘ┖鲆晝炔靠刂颇Ｊ浇ㄔO

　　內部控制是規(guī)范組織整體行為，提高整體管理效率和水平的一種管理方式，它的核心是構建一個有效的控制模式來規(guī)范和指導人們的控制行為和結果。商業(yè)銀行傳統(tǒng)的內部控制多采用頭痛醫(yī)頭、腳痛醫(yī)腳的打補丁控制方式，缺乏整體的控制思想和控制框架，主要采用目標控制的方法，以控制具體管理活動的內容為目的，過多地強調結果，不能夠注重內部控制的環(huán)境建設和過程建設，不能把內部控制要素與內容有機地結合起來，通過構建有效的內部控制模式來實現(xiàn)有效的控制，這在很大程度上影響了商業(yè)銀行管理者的控制觀念，致使商業(yè)銀行的內部控制活動長期在非規(guī)范的環(huán)境下低效運行。

　?。ㄈ﹤鹘y(tǒng)的目標管理與COSO報告的要素控制框架產生矛盾降低了內部控制效果

　　從我國商業(yè)銀行風險管理的現(xiàn)狀來看，產生市場風險、信用風險與操作風險的主要原因是缺乏有效的內部控制系統(tǒng)來約束管理者和業(yè)務人員的行為。商業(yè)銀行在實施內部控制活動的過程中，由于受傳統(tǒng)目標管理的影響，過度重視內部控制目標的分解以及控制結果的考核與獎懲，這就促進了內部控制人員舞弊的動機與行為。當內部控制目標實現(xiàn)與要素控制的要求產生沖突時，由于利益驅動的原因會使得管理者和業(yè)務人員為實現(xiàn)預期內部控制目標而不擇手段，從而嚴重破壞內部控制的規(guī)范化建設，使控制活動常常失效，導致內部控制風險的產生。

　?。ㄋ模﹥热菘刂频哪Ｊ奖厝粚е聝炔靠刂频氖Щ虻托?/p>

　　我國傳統(tǒng)的內部控制制度，把具體的經濟業(yè)務作為內部控制的主要內容，把實現(xiàn)與控制預期目標作為內部控制的核心，控制過程中將控制目標分解到各職能部門和相關人員，通過定期的考核與評價檢查內部控制的效果，這種以內容控制為核心的內部控制方式與COSO報告的要素式控制方式存在著根本的不同。要素式內部控制模式把環(huán)境和過程的規(guī)范化建設作為內部控制的主要內容，把構建內部控制模式作為內部控制的核心，注重的是長期控制目標的實現(xiàn)。相比之下可以看出，內容控制為核心的內部控制方式雖有利于短期控制目標的實現(xiàn)，卻忽視了內部控制環(huán)境和過程的規(guī)范化建設，失去了內部控制長期有效的動因。因此，最終必然會導致長期控制目標的失效。

　?。ㄎ澹┤狈τ行У膬炔靠刂茦藴屎鸵?guī)范的控制程序

　　我國商業(yè)銀行的內部控制活動與西方國家相比起步比較晚，再加上多年來實施內容式控制模式，忽視要素式內部控制模式建設，存在著嚴重缺乏業(yè)務執(zhí)行標準和綜合評價標準的現(xiàn)象，管理標準也多以規(guī)章制度為主，缺乏控制標準，而且內部控制程序也因缺乏要素控制的要求表現(xiàn)出明顯的不規(guī)范。根據COSO報告的要求，內部控制是以建立和完善內部控制標準為基礎的規(guī)范化管理方式，以檢查與評價管理者以及業(yè)務人員執(zhí)行控制標準、修正與完善內部控制標準為重點，通過控制標準的制定、執(zhí)行、修正與完善來規(guī)范人們的控制行為，通過人們行為的規(guī)范來實現(xiàn)控制目標。我國傳統(tǒng)的內部控制方式因控制標準的不完善和控制程序的不規(guī)范，使內部控制不可能實現(xiàn)程序化的優(yōu)化運行，也就必然會導致內部控制的失效和低效。

　　（六）內部控制的測試與評價系統(tǒng)不完備

　　按照內部控制的要求，商業(yè)銀行必須要及時進行內部控制的健全性測試、符合性測試、實質性測試以及綜合評價，根據測試的結果采取相應的策略，以提高內部控制系統(tǒng)的有效性。由于我國商業(yè)銀行現(xiàn)行的內部控制采用內容控制的方式，在很大程度上存在忽視或缺乏內部控制的測試評價系統(tǒng)的現(xiàn)象，使得商業(yè)銀行現(xiàn)有的內部控制系統(tǒng)低效或流于形式。另一方面，我國商業(yè)銀行現(xiàn)有的控制目標考核評價系統(tǒng)，以完成預期目標為中心，主要考核和評價控制目標的完成程度，屬于剛性控制，長期的剛性目標控制必然會導致控制活動的失效，這就是目標控制的短期行為。

　　三、商業(yè)銀行內部控制模式的重構

　　我國商業(yè)銀行的內部控制系統(tǒng)需要根據COSO報告的要求重新構建，新的內部控制框架應該能夠克服原有內部控制制度所存在的種種弊端，并體現(xiàn)合理有效的原則在重構我國商業(yè)銀行內部控制系統(tǒng)的過程中，除充分考慮我國商業(yè)銀行內部控制的實際情況，借鑒國外內部控制的先進經驗，最大限度地克服現(xiàn)有制度的弊端之外，還要考慮2004年6月COSO委員會頒布的企業(yè)風險管理框架的要求，在內部控制五要素的基礎上增加目標設置、事件確定和風險應對。綜合以上分析，應構建我國商業(yè)銀行操作風險內部控制的動態(tài)系統(tǒng)（見下圖）。

　　（一）環(huán)境建設子系統(tǒng)是內部控制模式有效運行的基礎

　　內部控制環(huán)境在很大程度上決定著內部控制的實施效果，其建設目的是要塑造商業(yè)銀行的文化并影響其員工的內部控制思想。根據COSO報告的要求和我國商業(yè)銀行內部控制的實際情況，確定內部控制環(huán)境建設的主要內容包括：誠信機制與道德價值觀、員工能力的培養(yǎng)、領導機制與風格、經營方式與組織機構、責任與授權等。通過以上幾方面的建設，形成商業(yè)銀行風險控制的良性內部控制環(huán)境，并利用環(huán)境本身所具有的特定功能和作用，迫使內部控制事件及控制人員按照規(guī)范的行為和程序進行有效的工作，從而達到有效控制的目的。目前我國商業(yè)銀行內部控制的環(huán)境建設還比較薄弱，環(huán)境建設位于內部控制模式的外圍，它的完善程度對內部控制效果產生著重大影響。因此，環(huán)境建設是內部控制制度有效運行的基礎，也是完善內部控制制度需要長期建設的一項重要工作。

　?。ǘ┠繕斯芾碜酉到y(tǒng)是內部控制模式的起點并決定著內部控制模式的方向

　　商業(yè)銀行內部控制的目標管理子系統(tǒng)是一個動態(tài)循環(huán)的過程，包括目標確定、目標的檢查與核對、目標的考核與評價以及目標改進等內容。目標確定是內部控制系統(tǒng)的起點，確定合理的控制目標是內部控制系統(tǒng)有效的基礎；目標的檢查與核對是根據內部控制實施效果進行的動態(tài)管理，用于調整內部控制環(huán)境適應控制目標以及檢查內部控制目標的實施情況；控制目標的考核與評價是對控制過程效果的綜合評價，主要用于檢查控制目標的實施情況；目標改進是一個反饋系統(tǒng)，主要是把考核與評價的結果反饋到下期的目標制定過程中去，用于修正下期控制目標。

　?。ㄈ╋L險評估子系統(tǒng)是連接內部控制目標與控制過程的橋梁

　　在市場經濟條件下，風險和收益是一對矛盾，只有降低風險與提高效益同步進行，才能提高內部控制的有效性。我國商業(yè)銀行的內部控制系統(tǒng)以風險控制為先導，目的在于最大限度地減少內部控制的實施效果與預期目標之間的差距。這一子系統(tǒng)在內部控制模式中起著評估風險、修正標準和應對風險三方面的重要作用，評估風險是根據對控制目標和控制活動的比較分析進行的，通過選擇合理的程序和有效的方法，實施對商業(yè)銀行內部控制風險的評估，確定風險的大小；完成風險評估以后，首先根據所評估風險的大小，通過風險評估的標準修正內部控制過程的標準，以保證控制活動的有效性；與此同時根據風險評估的結果和控制目標的要求，將風險應對策略應用于內部控制過程，以最大限度地減少內部控制風險。

　?。ㄋ模┻^程管理子系統(tǒng)是內部控制模式的核心

　　商業(yè)銀行內部控制過程管理子系統(tǒng)包括：控制標準的制定、設置控制系統(tǒng)、執(zhí)行控制系統(tǒng)以及必要的結果檢查等?？刂七^程是內部控制系統(tǒng)的核心，也是降低商業(yè)銀行風險的關鍵，根據COSO報告的要求，有效的內部控制是以要素控制為主體的控制系統(tǒng)，在這個控制系統(tǒng)中以環(huán)境建設為起點，以控制過程為核心。因此，內部控制的過程管理在控制系統(tǒng)中具有重要的地位。在這個子系統(tǒng)中制定標準和檢查標準具有特殊的意義，子系統(tǒng)的設計及執(zhí)行必須要充分考慮控制標準的特點及性質，并以風險評估的結果為依據考慮內部控制測試與評價的要求，以保證控制系統(tǒng)的有效性。

　?。ㄎ澹┬畔⑴c溝通子系統(tǒng)是保證內部控制模式有效運行的重要手段

　　根據有關學者的研究，加強對商業(yè)銀行內部控制信息的披露，有利于提高內部控制的效果。商業(yè)銀行內部控制的信息與溝通子系統(tǒng)，把商業(yè)銀行內部控制的內部信息與外部信息聯(lián)系在一起，通過信息的傳遞、接收、整理與使用協(xié)調控制過程的各種矛盾，減少內部控制中的各種摩擦，通過信息渠道還可以及時傳遞各種內部控制信息，實現(xiàn)有效的溝通，以減少因缺乏溝通而產生的風險。以上構建的內部控制框架采用雙向的信息傳遞通道，利用信息通道把內部控制的諸要素有機地結合起來，以便于內部控制部門及人員之間的溝通，同時又能夠把每一個要素或過程的實施效果信息反饋到前一個要素或過程，以提高內部控制模式運行的有效性。隨著我國市場經濟的發(fā)展，商業(yè)銀行內部控制系統(tǒng)中信息與溝通的作用越來越大，加強商業(yè)銀行內部控制模式中的信息與溝通子系統(tǒng)建設，對提高內部控制的有效性以及減少商業(yè)銀行風險損失等都具有十分重要的現(xiàn)實意義。

　　（六）監(jiān)督子系統(tǒng)是內部控制模式有效運營的重要保障

　　商業(yè)銀行的內部控制監(jiān)督是指對實施內部控制人員的行為以及內部控制的設計和運作的過程，按照預期目標或控制標準所進行的監(jiān)視及督察。監(jiān)督活動一般由持續(xù)監(jiān)督和個別評估所構成，持續(xù)監(jiān)督是對內部控制活動的過程實施的不間斷的監(jiān)督，屬于過程監(jiān)督。個別評價是對內部控制的特定事件或結果進行的控制性評價，屬于重點監(jiān)督。商業(yè)銀行內部控制的監(jiān)督子系統(tǒng)也是一個動態(tài)的過程，對內部控制的整個過程和全部內容實施控制，并不斷地把監(jiān)督的信息反饋到內部控制的有關環(huán)節(jié)，以進行有效的商業(yè)銀行風險控制。因此，它是促進內部控制有效運行的重要保障。

　?。ㄆ撸y試與評價子系統(tǒng)是內部控制有效運行的有效措施

　　商業(yè)銀行的內部控制測試與評價子系統(tǒng)包括健全性測試、符合性測試、實質性測試和綜合評價。常規(guī)的內部控制測試與評價不進行實質性測試，當商業(yè)銀行的健全性測試或符合性測試不能通過時，才需要實施實質性測試。商業(yè)銀行內部控制的測試與評價是內部控制系統(tǒng)的有機組成部分，也是促進其有效運營的一個有效措施。為提高商業(yè)銀行內部控制的有效性，就必須要加強內部控制測試與評價的規(guī)范性。

　　四、主要研究結論

　　商業(yè)銀行實施內部控制的主要目的是為了規(guī)范人們的行為，最大限度地降低風險。根據COSO報告和ERM的要求，提高內部控制有效性的關鍵是要首先建立一個有效性的內部控制模式，利用控制模式的約束來規(guī)范人們的行為，達到實現(xiàn)內部控制目標的目的。通過對商業(yè)銀行內部控制模式構建進行了深入探討，本文主要得出以下幾方面的結論：

　　1.形成內部控制的原因是多方面的，但采用以目標控制為導向的內容式控制模式是內部控制最終失效或低效的主要原因，解決的主要方法就是要構建要素式的內部控制模式框架。

　　2.我國內部控制的有效模式應該是目標管理與要素式控制的結合。目標管理是我國商業(yè)銀行長期實施內部控制的經驗，雖有缺點但不能拋棄。COSO報告的五要素框架與ERM的八要素框架雖然在國外比較成功，但有一些內容不適合我國國情，也不能照搬，合理的作法是謀求二者的統(tǒng)一和融合，構建適合我國國情的新型內部控制模式。

　　3.把商業(yè)銀行的內部條件與外部環(huán)境結合起來，構建層次化的內部控制模式。提高商業(yè)銀行的內部控制效果，首先要通過對內部條件的優(yōu)化組合完善商業(yè)銀行的內部控制環(huán)境，利用規(guī)范的控制行為保證控制目標的實現(xiàn)；其次把內部條件和外部環(huán)境結合起來，根據外部環(huán)境的要求完善內部控制標準，逐步提高內部控制效果；第三個層次是要根據動態(tài)控制的要求，通過內部控制模式的有效運行，追求內部控制效率的最大化。

　　4.把COSO報告的五要素框架與ERM的八要素框架結合起來，構建階段化的內部控制模式。COSO委員會的ERM框架是在COSO報告五要素基礎上增加了目標設置、事件確定和風險應對三個要素形成的，但二者有著本質的區(qū)別：COSO是內部控制的基本框架；ERM只是企業(yè)風險框架。本文把二者結合構建了包含目標的制定、風險的評估、控制活動的實施、內部控制的測試與評價以及內部控制目的考核與評價五個發(fā)展階段的內部控制動態(tài)框架。

　　5.內部控制動態(tài)模式的構建只是提高商業(yè)銀行內部控制效果的起點，不是終點。本文構建的商業(yè)銀行內部控制動態(tài)模式只是一個基本框架，還有許多內容需要進一步地深入研究。這一模式的運行具有多種方式，同一種方式在不同的環(huán)境下運行的效果也存在著很大的不同，而且控制模式本身還存在著許多不完善的地方，需要廣大同行更密切地關注這一問題，共同對這一問題進行更深入地研究，以徹底解決商業(yè)銀行內部控制低效問題。