金融机构加强内部管理措施

⑴ 加强我国商业银行内部控制建设的建议

商业银行内部控制低效的成因及模式重构
作者：孙涛 编辑：
[摘 要]我国商业银行金融风险的产生多是由内部控制低效造成，而内部控制低效又源于控制模式的不规范。因此，研究这一课题具有重要的理论价值和现实意义。为探索提高内部控制效果的有效途径，本文在分析我国商业银行内部控制低效成因的基础上。根据COSO报告和ERM的要求，构建了要素式动态控制的立体模式，并对这一模式的构成及其运行方式等进行了深入研究，为商业银行规范内部控制行为和降低金融风险提供了一种行之有效的管理手段。
[关键词]商业银行；内部控制；控制模式；风险控制

一、问题的提出及文献综述

我国商业银行的内部控制始于20世纪90年代初期对呆滞账的控制，1990年我国四大国有银行的坏账占全部贷款的比例已经超过20%，连同逾期、展期的呆滞贷款总额占贷款总额的比例超过了70%，1991年末四大国有银行的坏账超过其自有资本，产生资不抵债。1992年美国COSO委员会颁布五要素的内部控制框架（简称COSO报告），引发了全球性内部控制高潮，也给我国商业银行提出了建设内部控制制度的要求。到20世纪90年代中期，由于我国越来越多的国有企业不但不偿还贷款，甚至连贷款利息也不支付，致使全国银行业在1994年和1995年出现了全行业亏损，分析其产生亏损原因，主要是由于商业银行缺乏有效的内部控制制度（赵文杰，1996），产生了过多的呆滞账以及市场风险、信用风险和操作风险。为控制全球普遍存在的坏账损失及其金融风险，1998年9月巴塞尔银行业委员会发布了银行内部控制系统框架（Framework for Internal Control Systems in Banking Organizations）。我国商业银行也开始了全面内部控制建设，虽然对降低运营成本以及控制金融风险等方面起到了一定的作用，但并没有改变我国银行业呆滞账过多的现象，1999年四大国有银行的不良贷款总额超过1万亿元，2003年6月全国商业银行的不良贷款总额达到3.2万亿元，这就不得不使我们反思商业银行实施的内部控制制度建设还存在的许多难以克服的弊端。

为解决我国商业银行实施内部控制制度低效的问题，理论界和实践中都进行了深入的探讨。陈元燮（1998）使用系统观点分析了我国商业银行的内部控制结构，指出控制信息不畅以及控制的手段和方法失效是产生内部控制低效的主要原因；王顺（1999）从COSO报告的要求出发分析我国商业银行的内部控制制度，指出监管不利以及约束失效降低了内部控制制度的作用；秦辉（2000）从农业银行深圳分行实施内部控制的实践出发，分析了商业银行建立要素式内部控制模式的必要性；董青（2001）从工商银行湖南省分行实施内控制度的实践出发，在分析银行业内部控制制度存在问题的基础上，提出了商业银行建立有效内部控制体系的要求；张明魁，任福堂（2002）在分析商业银行内部控制目标管理的基础上，提出了加强对商业银行内部控制实施审计的要求；杨军、陈朝豹（2003）重点对国有商业银行的内部控制进行了分析，提出了构建要素式内部控制系统的初步设想；李明辉、王学军（2004）重点研究了商业银行内部控制的信息披露，指出对商业银行特别是上市银行，加强内部控制的信息披露，是提高内部控制效果的有效措施；周正兵（2005）通过对《商业银行内部控制体系标准》编写组组长王健豪先生的采访，介绍了相关的标准并分析了制定商业银行内部控制标准的重要性；余奇才、曾北川（2006）分析了《商业银行内部控制评价试行办法》，强调了商业银行实施内部控制时进行评价的重要性。经过几年来理论与实践界的研究，已经明确了我国商业银行进行内部控制制度建设的方向是要根据COSO报告以及ERM框架的要求建立要素式的内部控制模式，并且要打破传统的平面式结构，构建多维内部控制框架。虽然许多专家、学者已经进行了深入的探讨，但应如何构建这一模式到目前为止尚没有一致的意见，需要进一步地探究。

构建适合我国商业银行实际情况的有效运营模式是一项长期的任务，经过几年来商业银行不良资产剥离以及上市治理，不良贷款数额有较大幅度的下降，但仍不容乐观。2006年第一季度境内商业银行不良贷款总额仍有1.3125万亿元，据新闻报道我国1－9月份新增不良贷款金额近9000亿元，这种现象除了制度方面的原因外，在很大程度上还是由于内部控制低效。我国商业银行内部控制低效，在增加其市场风险和信用风险的同时，也在一定程度上促进了操作风险的产生（孙涛，2006）。从2000年到2004年我国商业银行共发生涉案金额在百万元以上的操作风险案件75起，其中人民银行6起，农业银行15起，建设银行17起，中国银行18起，其他金融机构10起，除涉案金额不详的13起案件以外的其他案件造成国有资产损失高达24.15亿元。因此，我国商业银行加强内部控制建设的任务仍很艰巨。

自上世纪90年代以来，我国商业银行在走向市场化的过程中开始实施内部控制，但随着商业银行内部控制的实施，金融风险不但没有下降反而越控制越高。究其原因是多方面的，但其中重要的原因之一就是我国商业银行传统的内部控制模式存在着严重的问题，内部控制的思路和方式与金融风险的控制方向相背离，致使内部控制低效。在这种情况下，结合我国商业银行风险控制的实际情况，借鉴国外金融风险防范的先进经验，采用创新的手段和方法重构我国商业银行的内部控制模式，并深入探索采用内部控制方式防范和控制商业银行市场风险、信用风险和操作风险的有效途径具有十分的重要性和迫切性。

二、商业银行内部控制低效的主要原因

我国商业银行传统的内部控制由于受目标管理的影响，普遍采用了内容控制的方式，过度地强调目标的实现与控制，忽视了规范化建设，结果造成了短期有效之后的长期失效或低效，并因内部控制机构的设置、控制活动的实施以及内部控制的测试与评价，大大增加了管理成本。因此，分析我国商业银行内部控制低效的原因，是提高内部控制有效性的基础，根据我国商业银行内部控制的实际情况，产生这种现象的主要原因表现在以下几个方面：

（一）内部控制的条件尚不够成熟

内部控制是一定的组织发展到一定程度提高管理水平的一种自然要求，它有许多基本条件的限制，主要包括：技术状况、管理水平、人员素质、组织文化、经营规模以及运营效率等，它们必须要达到一定的程度才会有效。我国商业银行由于受传统管理方式的影响，以及长期的国家统管或干涉，致使资本运营效率十分低下。目前我国银行业正在商业化改造过程中，市场营销的观念尚不够成熟，特别是严重的富余人员、臃肿的组织机构以及低下的工作效率，使得内部控制的效果大大低于这些问题所产生的费用超支，而使得内部控制必然产生低效。因此，商业银行的内部控制应随着控制环境的改善和条件成熟而逐步完善。

（二）忽视内部控制模式建设

内部控制是规范组织整体行为，提高整体管理效率和水平的一种管理方式，它的核心是构建一个有效的控制模式来规范和指导人们的控制行为和结果。商业银行传统的内部控制多采用头痛医头、脚痛医脚的打补丁控制方式，缺乏整体的控制思想和控制框架，主要采用目标控制的方法，以控制具体管理活动的内容为目的，过多地强调结果，不能够注重内部控制的环境建设和过程建设，不能把内部控制要素与内容有机地结合起来，通过构建有效的内部控制模式来实现有效的控制，这在很大程度上影响了商业银行管理者的控制观念，致使商业银行的内部控制活动长期在非规范的环境下低效运行。

（三）传统的目标管理与COSO报告的要素控制框架产生矛盾降低了内部控制效果

从我国商业银行风险管理的现状来看，产生市场风险、信用风险与操作风险的主要原因是缺乏有效的内部控制系统来约束管理者和业务人员的行为。商业银行在实施内部控制活动的过程中，由于受传统目标管理的影响，过度重视内部控制目标的分解以及控制结果的考核与奖惩，这就促进了内部控制人员舞弊的动机与行为。当内部控制目标实现与要素控制的要求产生冲突时，由于利益驱动的原因会使得管理者和业务人员为实现预期内部控制目标而不择手段，从而严重破坏内部控制的规范化建设，使控制活动常常失效，导致内部控制风险的产生。

（四）内容控制的模式必然导致内部控制的失效或低效

我国传统的内部控制制度，把具体的经济业务作为内部控制的主要内容，把实现与控制预期目标作为内部控制的核心，控制过程中将控制目标分解到各职能部门和相关人员，通过定期的考核与评价检查内部控制的效果，这种以内容控制为核心的内部控制方式与COSO报告的要素式控制方式存在着根本的不同。要素式内部控制模式把环境和过程的规范化建设作为内部控制的主要内容，把构建内部控制模式作为内部控制的核心，注重的是长期控制目标的实现。相比之下可以看出，内容控制为核心的内部控制方式虽有利于短期控制目标的实现，却忽视了内部控制环境和过程的规范化建设，失去了内部控制长期有效的动因。因此，最终必然会导致长期控制目标的失效。

（五）缺乏有效的内部控制标准和规范的控制程序

我国商业银行的内部控制活动与西方国家相比起步比较晚，再加上多年来实施内容式控制模式，忽视要素式内部控制模式建设，存在着严重缺乏业务执行标准和综合评价标准的现象，管理标准也多以规章制度为主，缺乏控制标准，而且内部控制程序也因缺乏要素控制的要求表现出明显的不规范。根据COSO报告的要求，内部控制是以建立和完善内部控制标准为基础的规范化管理方式，以检查与评价管理者以及业务人员执行控制标准、修正与完善内部控制标准为重点，通过控制标准的制定、执行、修正与完善来规范人们的控制行为，通过人们行为的规范来实现控制目标。我国传统的内部控制方式因控制标准的不完善和控制程序的不规范，使内部控制不可能实现程序化的优化运行，也就必然会导致内部控制的失效和低效。
（六）内部控制的测试与评价系统不完备

按照内部控制的要求，商业银行必须要及时进行内部控制的健全性测试、符合性测试、实质性测试以及综合评价，根据测试的结果采取相应的策略，以提高内部控制系统的有效性。由于我国商业银行现行的内部控制采用内容控制的方式，在很大程度上存在忽视或缺乏内部控制的测试评价系统的现象，使得商业银行现有的内部控制系统低效或流于形式。另一方面，我国商业银行现有的控制目标考核评价系统，以完成预期目标为中心，主要考核和评价控制目标的完成程度，属于刚性控制，长期的刚性目标控制必然会导致控制活动的失效，这就是目标控制的短期行为。

三、商业银行内部控制模式的重构

我国商业银行的内部控制系统需要根据COSO报告的要求重新构建，新的内部控制框架应该能够克服原有内部控制制度所存在的种种弊端，并体现合理有效的原则在重构我国商业银行内部控制系统的过程中，除充分考虑我国商业银行内部控制的实际情况，借鉴国外内部控制的先进经验，最大限度地克服现有制度的弊端之外，还要考虑2004年6月COSO委员会颁布的企业风险管理框架的要求，在内部控制五要素的基础上增加目标设置、事件确定和风险应对。综合以上分析，应构建我国商业银行操作风险内部控制的动态系统（见下图）。

（一）环境建设子系统是内部控制模式有效运行的基础

内部控制环境在很大程度上决定着内部控制的实施效果，其建设目的是要塑造商业银行的文化并影响其员工的内部控制思想。根据COSO报告的要求和我国商业银行内部控制的实际情况，确定内部控制环境建设的主要内容包括：诚信机制与道德价值观、员工能力的培养、领导机制与风格、经营方式与组织机构、责任与授权等。通过以上几方面的建设，形成商业银行风险控制的良性内部控制环境，并利用环境本身所具有的特定功能和作用，迫使内部控制事件及控制人员按照规范的行为和程序进行有效的工作，从而达到有效控制的目的。目前我国商业银行内部控制的环境建设还比较薄弱，环境建设位于内部控制模式的外围，它的完善程度对内部控制效果产生着重大影响。因此，环境建设是内部控制制度有效运行的基础，也是完善内部控制制度需要长期建设的一项重要工作。

（二）目标管理子系统是内部控制模式的起点并决定着内部控制模式的方向

商业银行内部控制的目标管理子系统是一个动态循环的过程，包括目标确定、目标的检查与核对、目标的考核与评价以及目标改进等内容。目标确定是内部控制系统的起点，确定合理的控制目标是内部控制系统有效的基础；目标的检查与核对是根据内部控制实施效果进行的动态管理，用于调整内部控制环境适应控制目标以及检查内部控制目标的实施情况；控制目标的考核与评价是对控制过程效果的综合评价，主要用于检查控制目标的实施情况；目标改进是一个反馈系统，主要是把考核与评价的结果反馈到下期的目标制定过程中去，用于修正下期控制目标。

（三）风险评估子系统是连接内部控制目标与控制过程的桥梁

在市场经济条件下，风险和收益是一对矛盾，只有降低风险与提高效益同步进行，才能提高内部控制的有效性。我国商业银行的内部控制系统以风险控制为先导，目的在于最大限度地减少内部控制的实施效果与预期目标之间的差距。这一子系统在内部控制模式中起着评估风险、修正标准和应对风险三方面的重要作用，评估风险是根据对控制目标和控制活动的比较分析进行的，通过选择合理的程序和有效的方法，实施对商业银行内部控制风险的评估，确定风险的大小；完成风险评估以后，首先根据所评估风险的大小，通过风险评估的标准修正内部控制过程的标准，以保证控制活动的有效性；与此同时根据风险评估的结果和控制目标的要求，将风险应对策略应用于内部控制过程，以最大限度地减少内部控制风险。

（四）过程管理子系统是内部控制模式的核心

商业银行内部控制过程管理子系统包括：控制标准的制定、设置控制系统、执行控制系统以及必要的结果检查等。控制过程是内部控制系统的核心，也是降低商业银行风险的关键，根据COSO报告的要求，有效的内部控制是以要素控制为主体的控制系统，在这个控制系统中以环境建设为起点，以控制过程为核心。因此，内部控制的过程管理在控制系统中具有重要的地位。在这个子系统中制定标准和检查标准具有特殊的意义，子系统的设计及执行必须要充分考虑控制标准的特点及性质，并以风险评估的结果为依据考虑内部控制测试与评价的要求，以保证控制系统的有效性。

（五）信息与沟通子系统是保证内部控制模式有效运行的重要手段

根据有关学者的研究，加强对商业银行内部控制信息的披露，有利于提高内部控制的效果。商业银行内部控制的信息与沟通子系统，把商业银行内部控制的内部信息与外部信息联系在一起，通过信息的传递、接收、整理与使用协调控制过程的各种矛盾，减少内部控制中的各种摩擦，通过信息渠道还可以及时传递各种内部控制信息，实现有效的沟通，以减少因缺乏沟通而产生的风险。以上构建的内部控制框架采用双向的信息传递通道，利用信息通道把内部控制的诸要素有机地结合起来，以便于内部控制部门及人员之间的沟通，同时又能够把每一个要素或过程的实施效果信息反馈到前一个要素或过程，以提高内部控制模式运行的有效性。随着我国市场经济的发展，商业银行内部控制系统中信息与沟通的作用越来越大，加强商业银行内部控制模式中的信息与沟通子系统建设，对提高内部控制的有效性以及减少商业银行风险损失等都具有十分重要的现实意义。

（六）监督子系统是内部控制模式有效运营的重要保障

商业银行的内部控制监督是指对实施内部控制人员的行为以及内部控制的设计和运作的过程，按照预期目标或控制标准所进行的监视及督察。监督活动一般由持续监督和个别评估所构成，持续监督是对内部控制活动的过程实施的不间断的监督，属于过程监督。个别评价是对内部控制的特定事件或结果进行的控制性评价，属于重点监督。商业银行内部控制的监督子系统也是一个动态的过程，对内部控制的整个过程和全部内容实施控制，并不断地把监督的信息反馈到内部控制的有关环节，以进行有效的商业银行风险控制。因此，它是促进内部控制有效运行的重要保障。

（七）测试与评价子系统是内部控制有效运行的有效措施

商业银行的内部控制测试与评价子系统包括健全性测试、符合性测试、实质性测试和综合评价。常规的内部控制测试与评价不进行实质性测试，当商业银行的健全性测试或符合性测试不能通过时，才需要实施实质性测试。商业银行内部控制的测试与评价是内部控制系统的有机组成部分，也是促进其有效运营的一个有效措施。为提高商业银行内部控制的有效性，就必须要加强内部控制测试与评价的规范性。

四、主要研究结论

商业银行实施内部控制的主要目的是为了规范人们的行为，最大限度地降低风险。根据COSO报告和ERM的要求，提高内部控制有效性的关键是要首先建立一个有效性的内部控制模式，利用控制模式的约束来规范人们的行为，达到实现内部控制目标的目的。通过对商业银行内部控制模式构建进行了深入探讨，本文主要得出以下几方面的结论：

1.形成内部控制的原因是多方面的，但采用以目标控制为导向的内容式控制模式是内部控制最终失效或低效的主要原因，解决的主要方法就是要构建要素式的内部控制模式框架。

2.我国内部控制的有效模式应该是目标管理与要素式控制的结合。目标管理是我国商业银行长期实施内部控制的经验，虽有缺点但不能抛弃。COSO报告的五要素框架与ERM的八要素框架虽然在国外比较成功，但有一些内容不适合我国国情，也不能照搬，合理的作法是谋求二者的统一和融合，构建适合我国国情的新型内部控制模式。

3.把商业银行的内部条件与外部环境结合起来，构建层次化的内部控制模式。提高商业银行的内部控制效果，首先要通过对内部条件的优化组合完善商业银行的内部控制环境，利用规范的控制行为保证控制目标的实现；其次把内部条件和外部环境结合起来，根据外部环境的要求完善内部控制标准，逐步提高内部控制效果；第三个层次是要根据动态控制的要求，通过内部控制模式的有效运行，追求内部控制效率的最大化。

4.把COSO报告的五要素框架与ERM的八要素框架结合起来，构建阶段化的内部控制模式。COSO委员会的ERM框架是在COSO报告五要素基础上增加了目标设置、事件确定和风险应对三个要素形成的，但二者有着本质的区别：COSO是内部控制的基本框架；ERM只是企业风险框架。本文把二者结合构建了包含目标的制定、风险的评估、控制活动的实施、内部控制的测试与评价以及内部控制目的考核与评价五个发展阶段的内部控制动态框架。

5.内部控制动态模式的构建只是提高商业银行内部控制效果的起点，不是终点。本文构建的商业银行内部控制动态模式只是一个基本框架，还有许多内容需要进一步地深入研究。这一模式的运行具有多种方式，同一种方式在不同的环境下运行的效果也存在着很大的不同，而且控制模式本身还存在着许多不完善的地方，需要广大同行更密切地关注这一问题，共同对这一问题进行更深入地研究，以彻底解决商业银行内部控制低效问题。

⑵ 互联网金融机构内部管理

1、互联网金融的核心在于金融，金融的核心在于风险控制，风险控制的核心在于机制和评审，所以我们首先需要也是最重要的是要有创造和维持机制运行的风控运营者和专家评审团（会计师、律师、管理咨询师）。这是互联网金融可持续存在和发展的核心。背离就需要付出代价。风控运营部。
2、互联网。依托于此，我们需要线上的推广人员，SEO、SEM、网推、网销、其他终端（手机）。推广部。
3、金融：做金融，卖产品。首先我们需要金融产品的设计者，于是有了产品经理，需要专业的引领者，于是有了督查，从而有了产品部。确保市场的需求和项目的来源，确保整个项目的合规化运行和专业化运作。
4、平台：首先是存在，所以我们需要自己的技术团队，从架构师、程序员、前端设计、美工、运维，技术部。
5、通用：人力资源、行政后勤，综合办公室。
希望得到你的采纳。

⑶ 金融机构的内部管理有哪些

你可以去网络或谷歌下

⑷ 金融机构应当采取哪些措施完善反洗钱内控

按照我国反洗钱法律法规的规定，金融机构应当采取哪些措施完善反洗钱内控？
A．金融机构及其分支机构应当依法建立健全反洗钱内部控制制度
B．设立反洗钱专门机构或者指定内设机构负责反洗钱工作
C．制定反洗钱内部操作规程和控制措施
D．对工作人员进行反洗钱培训
E．金融机构的负责人应当对反洗钱内部控制制度的有效实施负责
答案：ABC

⑸ 金融企业如何加强内部控制

解决中国的国营企业问题尚需要深入触动微观机制的最本质的问题，即企业的控制问题。体制改革不是万能的，要紧的是微观机制的改造。我国企业的根本出路在于强化企业的内部控制。
转变经营观念，增强控制意识，提高管理水平，是我国企业迎接市场竞争的基本前提。只在宏观经济范围提控制还不够，也不能在微观经济中片面以改革取代控制。其实，变革本身就意味着一定的风险。片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化，就使公司的改革同微观治理机制相脱离。
强化企业的内部控制已经成为发达国家治理公司的重要手段，在国际上的研究已日渐成熟。三大目标和五大组成部分构造了内控系统的整体框架，帮助人们更全面和更深刻地理解内控及其控制对象，使企业能够以内控为有力武器，从控制环境、风险评估、控制活动、信息与交流和监督评审五方面开展工作，为实现各项操作性目标、信息性目标和遵从性目标而自觉奋斗。
国际先进内控理论和实践的发展启示我们：要正确理解内控与管理的关系、内控与风险管理的关系和内控与内部审计的关系。我们要呼唤企业的控制意识，理直气壮地强化企业的内部控制。
经过二十年的改革实践，人们逾来逾感到强化管理的重要，也在积极探索如何才能加强管理。内部控制的概念被国际同仁所强调，引起了中国金融界，特别是银行界的关注。自从1997年人民银行发出“加强金融机构内部控制的指导原则”以来，各商业银行和非银行金融机构普遍开展了整章建制的工作。这一工作已取得了初步成绩，但是新形势下的内控工作尚处于起步阶段，这项工作又常被误解为仅仅是金融机构的事，生产企业的管理层对内部控制缺乏认识。其实，所有制及其组织结构并不是现代企业最本质的东西，最本质的是企业内部的控制文化和控制机制，中国国营企业的根本出路在于强化其内部控制。在这方面发达国家已经研究和创造出了一套比较完整的理论和方法，中国企业界的迫切任务是运用先进的内控理论和方法，强化内部控制，提高管理水平。
本文通过对部分国际先进内控理论和原则的分析，阐明内控的内涵及其与管理和内部审计（稽核）的关系，分析内控对公司治理的重要作用，以便促使经营管理者加强有效控制。

一、转变观念
转变经营观念，增强控制意识，提高管理水平，是我国企业界进行市场竞争的必要条件，也是金融机构向商业化金融机构演变的基本前提。

1．体制改革的作用是有限度的：近二十年来，举国上下议论最多的话题莫过于改革了。“以改革带动发展”也被一些地方当作战略口号指导各项工作。我们一直批评计划经济制度管得太严太死，却淡漠了经济活动内部的至关重要的控制机制，特别是微观领域的经济单元（包括金融与非金融企业）的自我控制意识逐渐淡化。且不说国际理论界对计划经济和市场经济的争论尚未休止，倒是应该指出，并非一切进步都只是靠了改革才取得的。如果政治的稳定和宏观经济的控制不是同改革并驾齐驱，中国的局面远不会象今天这样好。许多问题的解决又是改革本身力所未能及的。突出的一个例子就是国营企业的经营管理。是我们对企业改革重视得不够吗？从中央到地方，从政府到企业，不知为改善企业倾注了多少人力、物力和财力。是改革的力度不够吗？从利改税到企业转制，从破产兼并到减员增效，各项法规和措施层出不穷。为什么许多企业始终建立不起自我约束的机制？用经济学家的话来说，也就是不能硬化企业的“预算约束”。显然，只在宏观经济范围提控制还不够，也不能在微观经济中片面以改革取代控制。其实，体制改革不是万能的，变革本身就意味着一定的风险。

2．转变经营管理观念：内部控制在不同的经济体制下有不同的内涵，尽管其中的某些内容会有一致性。在计划经济体制下，国有企业的控制模式为实现国家计划服务。由于国家计划规避了大部分市场风险，国营企业的控制方式具有浓厚的行政管理色彩。现在，企业的控制模式为社会主义市场经济服务，在新的形势下有两种倾向值得注意：一是一部分人习惯于甚至满足于传统的经营管理方式，认为只要能够规范化操作就行了，不必考虑是否先进。这就混淆了不同性质经济中的企业在服务对象和控制方式上的不同。二是虽然大家意识到改革的必要性，但是容易片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化。这就使公司的改革同微观治理机制相脱离。不论是维持传统的经营管理方式，还是片面以改革取代控制的观念，都已经被实践证明是有害的。

3．转变对内控目的的认识：搞清内控的含义，并理解内控的目的，对经营管理和内审都有直接的指导意义。内部控制的概念经过了由“部分控制论”向“全部控制论”的发展。“部分控制论”认为内控包括：1）经济业务的有关内部会计控制；或者，2）内部牵制（会计）和内部审计两部分。这种认识的一个缺陷是，内控只与资产管理有关，而与行政、业务管理无关。“全部控制论”克服了这个缺陷，认为控制内容已超越会计和财务范围，渗透到经营的各个方面和管理的全过程。
内控目的论的发展也经过了下述阶段：1）“三目的论”认为，内控是为了保护单位的财产，会计记录的准确可靠和及时提供可靠的财务信息。2）“四目的论”认为，内控除了保全资产和检查财务资料的准确可靠性以外，更重要的是执行管理政策，提高经营效益和效率。
上述发展的启示在于，对内控的检查评价应有别于传统的思路，并且目的要明确和全面，检评要完整和深入。

4．跟上国际内控研究的步伐：同计划经济相比，市场经济的发展更加仰仗于微观机制的作用。发达的市场经济国家非常重视对公司治理的研究，大大促进了公司治理结构趋向合理化。公司治理理论研究的是资金的供给者如何采取措施，确保其投资取得回报。强化内控已经成为发达国家治理公司的重要手段。
国际上比较有名的内控模式有英国的Cadbury、美国的COSO和加拿大的COCO。它们从不同的角度剖析公司的经营管理活动，为营造良好的内控框架提供了一系列的趋于一致的政策和建议。其中尤以美国的COSO模式从理论到操作方法上阐述了一整套完整的内控框架。巴塞尔银行监管委员会（Basle）又在这些先进模式和实际经验的基础上，于1998年提出了建设银行内控系统框架的十三项原则。我国银行和非银行金融机构以及大量的非金融性企业在经济体制改革以来的许多失控的教训表明，跟上国际内控研究和发展的步伐，不断完善自身的内控机制，是十分必要的。

二、充分理解内部控制的内涵

内部控制有其科学的定义和丰富的内容。只有深刻理解内控的内涵才能明确如何强化内控。

1．准确理解内部控制的定义：不同部门的人从不同的角度对内控会有不同的看法。现代内控理论试图提出能被普遍接受的内控定义，以便满足不同单位的需要。美国审计权威机构COSO（1994）的定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为了实现下述三大目标提供合理的保证：经营的效果和效率；财会报告的可靠性；对现行法规的遵守。
巴塞尔银行监管委员会参照各国的有关理论，在内控定义中进一步强调董事会和高级管理层对内控的影响，组织中的所有各级人员都必须参加内控过程，对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动；在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可靠性、完整性和及时性。

表1 关于内部控制的三大目标的表述

COSO 的内控目标
Basle 的内控目标

1
经营的效果和效率
操作性目标：各种活动的效果和效率

2
财会报告的可靠性
信息性目标：财务和管理目标的可靠性、完整性和及时性

3
对现行法规的遵守
遵从性目标：遵从现行法律和规章制度

资料来源：美国COSO（1994）；巴塞尔银行监管委员会（1998）。

这三大目标满足不同的需要，又相互交叉。显然，内控是保证各项业务发展的，而不是妨碍其发展的。在操作性目标中，经营的“效果”是根据实际产出与预期计划的产出比较而言的；经营的“效率”是根据实际产出与实际投入比较而言的。此外，公司或银行不能为实现经营性目而不遵从法规，也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明：
1）内控是一种程序，它意味着向某一终点努力，但不是终点本身；
2）内控是用来取得一种或多种互相区分而又紧密联系的目标；
3）内控受人的影响，而不只是政策、守则或表格；
4）只能期待内控为公司管理层提供合理的保证，而不是绝对的保证。
内控的明确而科学的定义为各种单位提供了比较一致的标准，以便各单位能够评价其控制系统和决定如何加强控制。经营管理部门和内审部门应该参照有关法规和实施细则，设定一些具体的标准，认真考察被检查单位的内控系统，看其是否合理地确保了这些目标的实现。如果不能，总是可以从内控的某些方面找出问题的。一家银行或公司内控抓得好不好，可以从上述三大目标加以总体考核：它的董事会和高级管理层是否合理地确保了他们理解该单位实现其操作性目标的程度？它的财务报告和各项管理信息是不是可靠、完整和及时地被草拟和提供了？它的各项活动是否遵从了现行的法律和规章制度？这些方向性的标准无疑是对一个单位比较有力的鞭策。细化这些标准，对内控的深入考核更有益处。
由此可见，审计部门以往所提的“合规性审计（稽核）”、“效益性审计（稽核）”和帐务检查等等都属于专项审计，也都有一定的片面性。审计（稽核）工作的重心应当转向对内部控制的审计再监督，而对内控的检查评价有别于传统的审计思路，其目的要明确和全面，检评要完整和深入。

2．从总体上把握内部控制系统的框架：重要的是，现代内控理论赋予了内控广范的职能，把内控置于很高的层面上，从而强化了内控的作用。1994年COSO认为内部控制涵盖了五大组成部分的丰富内容：控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在控制环境中强调了管理层的督促（oversight）和控制文化；在风险评估方面将风险的识别和风险的评估并举；在控制活动方面又突出了职责分离的重要性；该委员会特别对信息与交流作了更多的解释；除了监督评审活动之外，还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外，增加了监管当局对内控的检查和评价，把它作为内控的另一不可忽视的内容。

表2 关于内部控制的五大组成部分的表述

# COSO的分析
Basle的分析

1
控制活动
管理层的督促与控制文化

2
风险评估
风险的识别与评估

3
控制活动
控制活动与职责分离

4
信息与交流
信息与交流

5
监督评审
监督评审活动与缺陷的纠正

资料来源：同上。

不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式，而把内控视为多维立体的空间，促使人们全面深入地理解控制和控制对象，分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念：这五大组成部分和三大目标是紧密相联的，就象一个人体的细胞包含了人体的各种信息那样，一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。
三大目标和五大组成部分构造了内控系统的整体框架，现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象，使人们能够以内控为有力武器，为实现三大目标自觉奋斗。

3．全面理解内控五大组成部分的内容：内控已经被COSO从理论上分析成为下述完整的有机结合的整体，并且得到了巴塞尔委员会的认同和发展。
1）控制环境：控制环境是推动控制工作的发动机，是所有其他内控组成部分的基础。它奠定组织的风纪和结构，并且涉及到所有活动的核心—人，特别是人的控制觉悟，还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内控的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性；公司要有积极的控制环境，使整个组织中的员工具有控制觉悟和自觉的控制态度，特别是高级管理层要积极地进行控制；员工的能力与其责任要相匹配。巴塞尔委员会有关管理监督和控制文化方面的原则包括：
1．董事会应当负责批准并定期审查整个经营战略和重大政策；理解经营的主要风险，确定这些风险的可接受水平，保证高级管理层采取必要步骤，识别，衡量，评审和控制风险；批准组织的结构；并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面，董事会负有最终的责任。
2．高级管理层负责执行由董事会批准的战略和政策，维护一种组织结构，能够明确责任、授权和报告关系；确保所委派的责任能有效地执行；确定适当的内控政策；并监督评审内控系统的充分性和有效性。
3．董事会和高级管理层负责按照高标准促进员工的职业道德（ethics）和完整性（integrity），在机构中建立一种控制文化（control culture），在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内控程序中的作用。
2）风险评估：是识别和分析那些妨碍实现经营管理目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险（如银行要面对信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉（reputation）风险）。需要不时调整内控，以便恰当地处理任何新的或过去不加控制的风险。
3）控制活动：是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性（尤其是对信息系统的控制）等等。有关控制活动和职责分离的原则包括：
1．控制活动应当是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构，明确定义各经营级别的控制活动。这些活动应当包括高层审查；对不同部门或处室的活动的适当控制；物理控制；检查对敞口限额的遵从情况；对违规经营的跟进情况; 批准和授权制度；查证核实与对帐（reconciliation）制度。
2．有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突（conflicting responsibilities）。要识别和尽力缩小有潜在利益冲突（conflicts of interest）的地方，并遵从谨慎的和独立的监督评审。
4）信息与交流：存在于所有经营管理活动中，使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息，包括管理者对员工的工作业绩的经常性评价。
在信息方面要注意内部信息和外部信息的搜集和整理；在交流方面也要注意内部和外部信息的交流渠道和方式；在信息技术的发展中注意控制信息系统。有关的原则包括：
1．一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获（accessible），并能以前后一致的形式规范地提供使用。
2．有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动。这些系统，包括那些以某种电子形式存储和使用的数据的系统，都必须受到安全保护和独立的监督评审，并通过对突发事件的充分安排加以支持。
3．有效的内控系统需要有效的交流渠道，确保所有员工充分理解和坚持现行的政策和程序，影响他们的职责，并确保其他的相关信息传达到应被传达到的人员。
5）监督评审：是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的，也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则：
1．应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分，并且各级经营层和内部审计人员应当定期予以评价。
2．对内控系统应当进行有效和全面的内部审计。内审要独立进行，应得到适合的培训，并配备称职和得力的人员。内审作为内控系统监督评审的一部分，应当向董事会或其审计委员会直接报告工作，并向高级管理层直接报告。
3．不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。
此外，巴塞尔委员会还针对监管当局对内控系统的评价提出，银行的监管人员应当要求所有的银行，不论其规模如何，都具有有效的内控系统，而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险；内控制度应当随银行所处环境和条件的改变而得到调整。凡监管者确定某银行的内控系统不能充分或有效地针对银行的具体风险内容（例如，不能涵盖巴塞尔委员会内控文件所载的全部原则），监管者应当采取适当的行动。
以上五大组成部分与前述三大目标有机地相结合，构成了内控的完整体系。COSO是为各行各业提出这一思路的。尽管巴塞尔委员会的内控原则主要是针对银行业的，国内外的金融和非金融机构在体制结构上也有所区别，我国的企业工作者仍然很有必要适应形势，转变观念，从内控的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否建立了健全的内控制度，而且，这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。

三、关于内部控制与管理的关系

不了解内控与管理的关系，就不可能充分加强内控工作。内审或审计人员在检查监督的过程中，时常发现被查单位的管理层对内控认识比较肤浅，也不甚了解内控与管理、内控与内审是什么关系。有人认为管理就是内控，抓了管理，内控自然就到位了，因而也没有必要特别强调内控。也有人认为内控是内审（稽核）部门的工作，抓内控应该由内审部门牵头。有些内部或外部的审计人员在进行内控检查的时候，也因认识模糊而无从下手。因此，很有必要搞清内控与管理的关系。

1．管理的内涵及其与内控的同异
从广义上讲，管理是管理者确立目标和战略，并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要执行聘用合同，为公司或银行的所有者的利益确定明确的管理目标，包括全局整体性目标和各项业务活动水平上的目标，然后制定各种战略和实施计划。管理者要以一定的组织形式为依托，以一定的规章制度为依据，采取种种方法去实现既定的目标。管理者有责任控制局面，并解决和纠正在监督检查各项经营管理活动中所发现的问题和错误，包括对有问题责任人的追究和处罚。由于所定的目标和战略计划会对管理单位（如企业）的行为产生影响，管理科学运用科学的原则和分析性方法，研究企业的行为。在发达国家，不论学术界还是实业界都日益重视公司治理结构的研究，以求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛运用，大大促进了管理的合理化和效率。
广义上的管理涵盖比内控更为广泛的内容，并不是所有的管理活动都是内控活动，也并不是说非内控性的管理活动就都不重要了。比如，设定目标的决策就是一种很重要的管理责任，为内控提供了前提条件。在国外，公司的所有者代表（董事会）也要参与甚至领导这种决策。但是，重大目标的最初设定并不是在内控的工作范围之内。同样，许多管理方面的具体决策和一般性活动并不都代表内控。
然而，问题的关键并不在这里，而在于内控是管理中至关重要的部分（critical components）。管理的学问就在于抓住管理活动中的那些对实现目标至关重要的部分，也就是毛泽东所说的“研究任何过程……要用全力找出它的主要矛盾”。比如，COSO等理论所描述的内控内容中都列举了许多控制要素和风险，这些都是管理者必须关注的地方。又如，尽管COSO认为错误的纠正行动不应属于内控活动，但是巴塞尔委员会却将其列为内控的范围。原因很显然，纠正错误已成为管理的一项重要内容，直接影响到目标的实现。同理，战略计划和风险管理这些本来被COSO视为非内控性活动，却被巴塞尔委员会分析为内控范围之内的活动了。尽管目标的最初设定是内控的前提条件，但是内控并没有完全放弃对这方面的关注，内控的重要职能之一又是监督目标的设定和实现过程。至于业务活动水平上的目标的设立，虽然也被COSO视为非内控性的活动，但在COSO提出的内控操作方法中（例如在其《参考手册》和《内部控制与风险评估工作表》中），这些目标都是内控所关注的重要内容。下表仅从一个侧面说明了这个问题：

资料来源：同上。
2．风险管理与内部控制的关系
风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和困难。这样看来，风险的概念就扩大了。比如，一个武士在张弓搭箭，射向猎物的时候，他的目标是射中猎物，而他的风险就存在于他射击猎物的全过程。首先，他本人的素质，他的精、气、神，他的体力和视力。其次，他的弓箭的质量。再次，猎物的大小、距离和移动速度。此外，狩猎时的环境、气候条件（风速）等外部干扰因素，也构成对击中目标的风险。对一家公司而言，风险既预示着机遇，又会影响其竞争能力，并影响其维持融资的能力以及保持和提高其产品与服务质量的能力。
风险是如此之广泛，以至于有人认为风险管理就是内部控制，甚至风险管理包括了内控。把两者混淆的问题在于没有看到内控是管理的更本质性的内容（essential part）。
诚然，风险管理是整个管理活动系列的重要组成部分。一般可指风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内控要做的。特别是内控并不负责风险管理目标的具体设立，这是管理过程起始阶段的活动。风险评估是对可能发生的不利条件或事件进行评价，并做出完整的专业性鉴定的一种系统过程。当然，风险评估首先要注意目标问题，因为，没有明确的目标，也谈不上目标实现的风险。但是在目标方面，内部控制并不是目标的制定活动，而是对目标制定的评价工作，特别是对目标和战略计划制定当中风险的评估，风险管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。
内部控制强调评估经营管理活动中突出的风险点（当然，这些风险点不是固定不变的），建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险，又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为，内控的过程涵盖了公司所面对的，并在公司内由各级人员所经营的所有的内部和外部的风险。
然而现实中的风险管理却很实在，巴塞尔委员会指出，风险管理不同于内控之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里，风险管理往往被狭义地理解为授信或部分业务（如信贷）的授权管理；广义的风险不仅有信贷风险，还包括国家与转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真正落实到银行的某一具体业务或管理部门，成为它的责任。其结果，我国的银行实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研究和控制，甚至连统一授信都难以在一些银行里真正实现。
不过，现实情况中的风险管理一方面有其特有的内涵和现实的范畴，另一方面也在某些内容上与内控相交叉。在上节中，COSO认为风险管理不属于内控的范围，而是非内控性的管理活动，这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中，与内控相交叉，属于内控强化过程中的管理活动。
然而，内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中，管理层的监督并不是没有，而是远远没有强调到某种“控制文化”的程度。

⑹ 存款类金融机构管理的一般原则有哪些它们的措施和原因分别是什么

存款类金融机构一般是指银行业金融机构，银行业金融机构的准入门槛比较高，因为他们是重点行业，重点机构，需要收到，严格的监管，所以，银行业金融机构的管理原则也是比较严格，注重内控合规和风险防范。

⑺ 如何加强企业内部控制的措施

加强企业内部控制的措施:

1、完善制度建设、实施内部控制。以《企业内部控制规范-基本规范》、《企业内部控制基本规范》、《企业内部控制配套指引》等文件为依据，结合企业实际情况，全面梳理原有管理制度，在符合内部控制要求的前提下，着眼于管理创新、建立适合本企业的内部控制管理体系，明确相关部门人员的指责和权限，推行全面管理，提倡全员参与，建立彼此牵制、彼此连接、彼此制约的内控制度。

2、明确控制目标，优化内部控制环境。内部控制制度重点是围绕会计核算和会计监督环节来设置的。一般说来，健全的内部控制制度应能有效预防错误和舞弊的发生。即使发生了，也容易及时发觉和纠正。

3、提高会计人员素质。会计人员素质是加强内部控制的关键，企业要通过科学合理的聘用、培训、轮岗、考核、奖励、晋升、淘汰等办法，提高财会人员整体素质。

4、加强内部监督。企业内部控制是一个过程，这个过程是通过纳入管理制度及活动实现的。因此，要确保内部控制制度被切实地执行，且执行效果良好，其必须被监督。

5、实施预算控制，提高内控水平。实行全面预算，搞好各业务事项的事前预测、事中控制、事后分析，将企业的经营目标转化为各生产厂、各部门、各岗位以至个人的具体行为目标。

6、加强内外部信息交流与沟通，加强反舞弊机制。企业应建立建立上传下达的有效机制。通过建立组织机构制定岗位责任制来实现。还应注意信息沟通的有效性和及时性。

拓展资料

一、简介

企业内控是企业为保证经营管理活动正常有序、合法的运行，采取对财务、人、资产、工作流程实行有效监管的系列活动。 企业内控要求保证企业资产、财务信息的准确性、真实性、有效性、及时性;保证对企业员工、工作流程、物流的有效的管控;建立对企业经营活动的有效的监督机制。

二、结果体现

（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

⑻ 金融机构应增强内部反洗钱工作报告路线的什么，完善内部管理制约机制

金融机构应增强内部反洗钱工作报告路线的独立性和灵活性，完善内部管理制约机制，股份制商业银行应实施董事会、监事会对高级管理层的有效监督和高级管理层对其金融从业人员的有效监控，防范内部人员参与违法犯罪活动。金融机构应建立违规事件举报机制，切实保障每一位员工均有权利并通过适当的途径举报违规事件。

⑼ 简述对银行业金融机构持续监管的措施

持续监管就是从审查批准金融机构准入市场开始到其退出市场为止，对整个经营活动过程进行持续的监督管理。相应的措施主要有：
1、进一步强化现场检查与非现场监测功能
2、加强与银行管理层的接触
3、在并表基础上收集、审查和分析相关银行信息，强化并表监管
4、进一步强化内部审计和外部审计的功能