作者單位：中信銀行總行·合規(guī)部

摘要：內部控制是組織“不出軌”的法寶，是企業(yè)穩(wěn)健運營的必經之路，是企業(yè)愿景實現(xiàn)的必要保障。由于企業(yè)性質的差異，商業(yè)銀行等重視信用、聲譽的特殊行業(yè)的企業(yè)對內控更加重視，其內控的重要性更大、影響范圍更廣。本文嘗試從內控的溯源開始，挖掘內控的本質、歸納內控的特征，進而梳理內控的作用。研究發(fā)現(xiàn)，商業(yè)銀行內控除了企業(yè)內控的五大特征之外，還具有重要性、制衡性、適應性、盈利性和審慎性等特征，在銀行內部起到助力、糾偏、合規(guī)、嚴謹、統(tǒng)一等主要作用。結合近期輿論的熱點傾向，兼或點評對商業(yè)銀行內控認識的五個誤區(qū)，為商業(yè)銀行內控管理的本質、范圍與效力驗明正身。

關鍵詞：內部控制；商業(yè)銀行；企業(yè)；

企業(yè)管理特別是內部控制一直是企業(yè)界、學界關注的話題，學說林立、學派眾多、各有千秋。內部控制是確保企業(yè)“不越軌”、“不出軌”的法寶，是企業(yè)穩(wěn)健運營、保持正軌的必經之路，是企業(yè)目標達成、愿景實現(xiàn)的必要保障。由于企業(yè)性質的差異，商業(yè)銀行等重視信用、聲譽的特殊行業(yè)的企業(yè)對內控更加重視，其內控的重要性更大、影響范圍更廣。近期，我們關注到一種潛在的業(yè)內輿論傾向，模糊內控的目標、質疑內控的作用、貶低內控的價值，這與內控的本質南轅北轍、相去甚遠，有混淆視聽之嫌。本文試圖從內控的溯源開始，挖掘內控的本質、歸納內控的特征，進而梳理內控的作用，并兼或點評對商業(yè)銀行內控認識的幾個誤區(qū)，為商業(yè)銀行的內控管理驗明正身。本文的研究架構如圖一所示，左側一列標明了研究的脈絡，中間的一列展示了研究的框架，右側的一列說明了研究的主要內容。脈絡、框架與內容相輔相成、互為補充。其中，框架是基于脈絡的研究設計，內容是基于研究框架的具體表述，基本概括了本研究行文的內在邏輯，有助于更好地理解本文的基本結構和主要內容。

一、內控的本質

要談內控的本質，需要追溯控制的本源，由此不得不引出三個問題。第一，什么是控制？第二，什么是內部控制即內控？第三，為什么強調內控而不是外控？控制是內控的前提，外控是內控的補充。理清上述三問，有助于我們層層抽絲剝繭、剖析和抓住內控的本質，更好地理解內控的影響和作用。

（一）什么是控制？

控制是管理學五大管理職能之一，在西方管理科學史中，最早由法國管理學家亨利·法約爾（Henri Fayol）提出，與計劃、組織、指揮、協(xié)調等職能并列。法約爾認為，控制就是要證實企業(yè)的各項工作是否已經和計劃相符，其目的在于指出工作中的缺點和錯誤，以便糾正并避免重犯。后續(xù)，英國管理學家林德·厄威克（Lyndall F. Urwick）把法約爾的計劃、組織、控制3個管理要素作為管理過程的3個主要職能，將法約爾的管理原則放在管理的職能之下，如在控制職能之下的職能有配備人員、挑選和安排教育人員等，進一步突出了控制在管理職能與過程中的地位。控制的對象比較多元，對人可以控制、對活動也可以控制，只有實現(xiàn)了控制才能更好地保證企業(yè)任務順利完成，避免出現(xiàn)偏差。在企業(yè)實踐中，控制好并不容易，控制也是一門藝術。值得關注的是，管理的五大職能并不是企業(yè)管理者個人的責任，它同企業(yè)經營的其他五大活動一樣，是一種分配于領導人與整個組織成員之間的工作。不難看出，控制是保證企業(yè)目標實現(xiàn)的必要手段，是企業(yè)內部管理的有效途徑。

（二）什么是內控？

由上，引出了控制的作用范圍。畢竟，控制的效力有限而非無限，相對而非絕對。內控更多的指代組織內部的控制，從作用效力和組織類型而言可以分為三個層次。一是組織內控，包括了企業(yè)、政府機關、事業(yè)單位、軍隊、學校等，每一類組織都有自己的“內規(guī)”，即內部管理要求，如我們耳熟能詳?shù)摹叭蠹o律、八項注意”等，就是在落實組織的內控要求。二是企業(yè)內控，細化了組織的具體形式，如《企業(yè)內部控制基本規(guī)范》所稱內部控制，是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內部控制的目標是合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。三是具體形式的企業(yè)內控，如商業(yè)銀行、制造企業(yè)、餐飲業(yè)等，如《商業(yè)銀行內部控制指引》內部控制是商業(yè)銀行董事會、監(jiān)事會、高級管理層和全體員工參與的，通過制定和實施系統(tǒng)化的制度、流程和方法，實現(xiàn)控制目標的動態(tài)過程和機制，又如《華為基本法》、《華僑城憲章》等都有一定篇幅對內部控制與過程管理提出了明確的要求。

（三）為什么重視內控而非外控？

那么，為什么組織傾向于關注內控而非外控？是否內控較之外控有著先天的優(yōu)勢？根據(jù)我們的觀察梳理，主要有以下四方面原因。一是內外控實質分別代表了宏微觀的差異。相比于企業(yè)內部的微觀內控，外控更加宏觀，更不好管控、更難以駕馭和驅使。二是即便一家企業(yè)大到可以控制外部市場，除電力、水利、煤氣等公共事業(yè)型企業(yè)之外，基本都會涉及“壟斷”的嫌疑、面臨被拆分的危險。百年來一直如此，美國電報電話公司（AT&T）、微軟（Microsoft）遭遇過的多輪訴訟就是很好的例證。三是外控過多，有違市場機制和公平競爭的精神，與現(xiàn)在全球化、市場化的大趨勢不符。即便不被拆分，也會面臨有關企業(yè)社會責任等的疑議和挑戰(zhàn)。四是即便企業(yè)嘗試進行外控，也是在平衡企業(yè)盈利與成本之后的理性選擇，這一點不僅涉及“理性人”假設，還涉及到以往學界對企業(yè)邊界的討論，如“科斯定理”等。因此，企業(yè)即便嘗試外控，也會由近及遠、由淺及深，從開展上下游企業(yè)的整合與內部化開始，步入寡頭競爭或寡頭壟斷階段的企業(yè)少之又少，一般都是壟斷型的公共事業(yè)企業(yè)。與企業(yè)相仿，其他組織也面臨類似的問題，這些原因共同導致組織不約而同地關注內容而非外控。

二、內控的特征

既然以企業(yè)為代表的組織因外控難以控制、不愿控制或不準控制，而自發(fā)、自動、自覺地關注內控，那么組織的內部控制是否有一定規(guī)律可循？組織內控具有哪些通用的特點？只有摸清了這些邏輯、掌握了這些規(guī)律、熟悉了這些特點，才能夯實組織生存與發(fā)展的基礎，有助于組織實現(xiàn)保持“基業(yè)常青”的積極愿景。

（一）組織的內控特征

1、真實性

首先，組織必須保證各項業(yè)務與流程的真實性，這是業(yè)務開展的基礎，也是內部控制的基石。只有確保業(yè)務、流程與信息的真實，才能在此基礎上進行其他業(yè)務活動，如集約管理、流程梳理和數(shù)據(jù)分析等。一旦出現(xiàn)了根基不實的問題，必然撼動組織生存與發(fā)展的內部環(huán)境和良好的文化，引發(fā)各類問題。從一定意義上講，幾乎所有失敗的組織都與業(yè)務的真實與員工的誠信有關，而幾乎所有成功的組織都離不開信息的確鑿與人員的互信。

2、準確性

其次，在業(yè)務、流程、信息真實的基礎上，更進一步，還需要組織確保上述信息的準確、確鑿和無偏。這不僅僅是對真實性的進一步要求，也是組織對“細節(jié)決定成敗”的必然要求。試想，如果一些業(yè)務或數(shù)據(jù)是真實的，但在個別數(shù)據(jù)上出現(xiàn)了偏差，不僅導致組織的當期結果不準，還可能影響到今后若干年結論的推算，甚至引發(fā)較大的偏離。不難看出，不準確的信息在一定程度上導致了結果的失真，這是組織內部控制的深入要求。

3、完整性

再次，在確保準確性的基礎上，還需要確保業(yè)務、流程和信息的完整。不完整的業(yè)務、流程和信息恰似“斷頭路”，無法達到設定的終點；又似“無主戶”，難以完成組織的目標，內控完整性的重要意義不言而喻。不完整不僅意味著內容的缺失、業(yè)務的殘損、流程的片面或信息的錯誤，還給當前和今后的經營管理埋下了潛在風險隱患。因此，組織內控除了強調真實、準確，還需要在體系設計、體質建立和機制健全上力求完整、追求完美。

4、及時性

復次，由于組織內部的業(yè)務、流程與信息具有不同的時效性，內部控制還需要強調及時性。一般而言，組織的內控越及時越好，有利于組織在第一時間發(fā)現(xiàn)問題、解決問題，盡可能將矛盾控制在萌芽狀態(tài)，將負面影響降低至最小。由于控制適合于任何不同的工作，所以控制的方法也有很多種，按照發(fā)生先后有事前、事中和事后控制。不難看出，事前內控對組織最為有利，事中控制對組織比較有效，而事后控制更多地在于復審，往往時效有限。

5、全面性

最后，內部控制應當貫穿組織決策、執(zhí)行和監(jiān)督的全過程，覆蓋組織及其所屬單位的各種業(yè)務和事項。所以，全面性不只對組織業(yè)務、流程、信息而言，還對組織全過程、全部流程和全部環(huán)節(jié)進行管控，既有對同一時點“面”上的要求，又有對不同面上各個“點”的約束。商業(yè)銀行等以信用風險為生存根本的、特殊類型的組織甚至需要覆蓋所有的部門、崗位和人員，這既是《商業(yè)銀行內部控制指引》的要求，也是商業(yè)銀行基于自身實際提出的措施。

（二）銀行的內控特征

上述五項原則對于組織而言相對可行，具有一定通用性、普適性。而對商業(yè)銀行等企業(yè)而言，由于需要考慮成本效益等企業(yè)特征，按照《企業(yè)內部控制基本規(guī)范》和《商業(yè)銀行內部控制指引》，還有一些內控的特點或遵循的原則值得總結。在組織內控五大特征的基礎上，商業(yè)銀行的內部控制還具有以下特征。

1、重要性

《企業(yè)內部控制基本規(guī)范》提出內部控制應當在全面控制的基礎上，關注重要業(yè)務事項和高風險領域。這不僅是企業(yè)堅持的原則，也是商業(yè)銀行在內部控制領域秉承的基本態(tài)度：對重要崗位、重點環(huán)節(jié)和高風險領域必須持續(xù)開展積極的監(jiān)督和管控。這一理念，已經由《商業(yè)銀行內部控制指引》分解開來，運用到其他的特點和原則之中。例如，適應性強調“隨機應變”、審慎性強調“內控優(yōu)先”、匹配性強調“相互適應”等。

2、制衡性

《企業(yè)內部控制基本規(guī)范》認為內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。與之類似，《商業(yè)銀行內部控制指引》明確商業(yè)銀行內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督的機制。不難看出，制衡性的特征在于引導商業(yè)銀行建立健全平衡的監(jiān)督機制，避免“一家獨大”、杜絕“權力真空”和權力“絕對集中”。

3、適應性

《企業(yè)內部控制基本規(guī)范》強調內部控制應當與企業(yè)經營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整?！渡虡I(yè)銀行內部控制指引》根據(jù)銀行實際，提出相匹配原則的“匹配性”，即內部控制應當與管理模式、業(yè)務規(guī)模、產品復雜程度、風險狀況等相適應，并根據(jù)情況變化及時進行調整。這并非“見風使舵”，而是強調在堅持原則的同時，注意在既定內控框架下的靈活應用與及時調適，與內外部環(huán)境相匹配。

4、盈利性

《企業(yè)內部控制基本規(guī)范》歸納提出了成本效益原則，在此我們稱之為“盈利性”，即內部控制應當權衡實施成本與預期效益，以適當?shù)某杀緦崿F(xiàn)有效控制。作為企業(yè)的一種，商業(yè)銀行也不例外，實施內部控制不能不考慮成本與收益。其中，商業(yè)銀行的盈利一般貫穿于各個業(yè)務條線和各類產品之中，與之同時其內部的管控正建立在各個業(yè)務板塊和各個流程之上，用以更好地引導分支機構開展業(yè)務，實現(xiàn)成本與效益的最佳平衡。

5、審慎性

《商業(yè)銀行內部控制指引》基于商業(yè)銀行的特征明確其內部控制應當堅持風險為本、審慎經營的理念，設立機構或開辦業(yè)務均應堅持內控優(yōu)先。商業(yè)銀行作為一種享有國家或地方政府信用的風險管理機構，面臨著各類風險的沖擊，需要不斷在盈利與風險之間建立平衡（蔡寧偉，2105），被形容“在刀尖上跳舞”。并且，商業(yè)銀行的存續(xù)不僅關系到自身安危，還關乎廣大的客戶甚至波及國家信用體系，因此其經營管理必須始終堅持審慎、合規(guī)的原則。

三、內控的作用

在追溯了內控的源起、歸納了內控的特征特別是組織以及商業(yè)銀行為代表的企業(yè)特征之后，就不得不提及內控的作用。也就是內控對于組織的意義在哪？內部控制可以給組織帶來哪些好處？這不僅是內控職能在組織日常經營管理中的價值體現(xiàn)，也是內控機制在組織生命周期中的過程展現(xiàn)。

（一）助力——實現(xiàn)組織愿景

內控的作用首先在于助力——助力組織實現(xiàn)其愿景。既然組織是建立在若干子組織、若干群體和若干個體之上，想要實現(xiàn)組織的目標并不簡單。因此，試圖達到內控的目標并不容易，控制和內部控制也是一門藝術。管理的五大職能并不是企業(yè)管理者個人的責任，它同企業(yè)經營的其他五大活動一樣，是一種分配于領導人與整個組織成員之間的工作。不難看出，內部控制是保證企業(yè)目標實現(xiàn)的必要手段，是企業(yè)內部管理的有效途徑。

（二）糾偏——保駕業(yè)務發(fā)展

內控的作用其次在于糾偏——全力保駕業(yè)務發(fā)展。從組織的角度看，不是所有組織要求都能嚴格落實，落實的方向常常出現(xiàn)偏差、落實的程度往往存在差距；從管理者的角度看，應確保企業(yè)有計劃，并且執(zhí)行，而且要反復地確認修正控制，保證企業(yè)社會組織的完整；從員工的角度看，由于個體特質的差異，員工的理解、領悟能力和執(zhí)行力都存在著不同程度的差別，甚至千差萬別。因此亟待內控及時發(fā)現(xiàn)問題、糾正偏差，堅持在正確的道路上前行。

（三）合規(guī)——護航流程規(guī)范

內控的作用再次在于合規(guī)——努力護航流程規(guī)范。當某些控制工作顯得太多、太復雜、涉及面太大，不宜由部門的一般人員來承擔時，就應該讓一些專業(yè)人員來做，即設立專門的檢查員、監(jiān)督員或專門的監(jiān)督機構。如果說前文的“糾偏”是一種組織的自我糾正手段，是一種對既有負面問題的改正，那么合規(guī)則是正面引導，是對組織內部機制的積極落實。綜上，合規(guī)不僅是一種內部控制的手段，還是一種倡導循規(guī)蹈矩的文化，時刻為規(guī)范業(yè)務流程護航。

（四）嚴謹——激發(fā)系統(tǒng)管控

內控的作用復次在于嚴謹——大力激發(fā)系統(tǒng)管控。組織的很多目標往往需要通過項目管理、業(yè)務改革、流程優(yōu)化等來實施，從而層層推動達標。這一過程有的內容比較復雜、有的周期較長、還有的需要多個部門相互配合，可視為一種“系統(tǒng)工程”。為避免這一過程中存在的潛在風險隱患，在糾偏、合規(guī)的作用之外，還需要突出內控的嚴謹作用。因此，一些組織選擇系統(tǒng)管控的方式來進行內部控制，避免人為因素的影響、降低操作風險發(fā)生的概率。

（五）統(tǒng)一——覆蓋全部項目

內控的作用最后在于統(tǒng)一——致力覆蓋全部項目。所謂全部項目，不僅僅包狹義的企業(yè)項目，也包括了廣義的各類組織業(yè)務、產品和服務。COSO[COSO內部控制框架是美國證券交易委員會唯一推薦使用的內部控制框架。]內部控制框架認為，內部控制系統(tǒng)是由控制環(huán)境、風險評估、內控活動、信息與溝通、監(jiān)督五要素組成，它們取決于管理層經營企業(yè)的方式，并融入管理過程本身，其相互關系可以用其模型表示。因此，所謂的覆蓋實質是“全覆蓋”，是標準統(tǒng)一基礎上的對所有業(yè)務種類的統(tǒng)一管控。

四、銀行內控的誤區(qū)

既然內控對組織而言有這么多有利的作用和積極的影響，那么為什么在企業(yè)內部還存在一些反對的聲音？其中的原因之一，正是緣于內控的“糾偏”作用，特別是指出內部人的錯誤或問題，引起了企業(yè)部分員工的逆反心理和不自覺的抵抗甚至對抗行為。在此，我們以商業(yè)銀行為企業(yè)的樣本，舉例說明對內控認識可能存在的五類主要誤區(qū)。

（一）內控影響業(yè)務發(fā)展

首當其沖的一種誤區(qū)是內控影響了業(yè)務發(fā)展，有的甚至認為內控就是反對業(yè)務開展，是業(yè)務衍生的“絆腳石”，是業(yè)務成長的“阻路石”。如果我們理解了內控的定義，這一誤區(qū)很容易迎刃而解。從更廣義的企業(yè)層面看，COSO指出：控制活動指為確保管理層指示得以執(zhí)行，削弱風險的政策即做什么和程序即如何做，它們有助于保證采取必要措施來管理風險以實現(xiàn)企業(yè)目標。其中，控制活動貫穿于企業(yè)內部所有層次和部門，包括一系列不同的活動，如批準、授權、查證、核對、復核經營業(yè)績、資產保護以及職責分工等。這些內控的要求已經作為紐約證券交易所上市公司的基本條件，紐交所的上市公司必須引進COSO內部控制框架，整合現(xiàn)有內部控制，而必須達到的要求。國外如此，國內也如此，就商業(yè)銀行的專屬監(jiān)管基本制度而言，《中華人民共和國商業(yè)銀行法》明確規(guī)定：商業(yè)銀行應當按照有關規(guī)定，制定本行的業(yè)務規(guī)則，建立、健全本行的風險管理和內部控制制度。可見，內控已經成為商業(yè)銀行成立和發(fā)展的必備條件之一。內部控制不僅是商業(yè)銀行業(yè)務開展的基礎，更是其業(yè)務準入的底線。只有在建立健全了內控這一基石上，才可以去憧憬和規(guī)劃未來的業(yè)務發(fā)展。

（二）內控制約產品創(chuàng)新

接下來的一種誤區(qū)是內控制約了產品的創(chuàng)新，認為內控恰恰是新產品、新業(yè)務甚至新業(yè)態(tài)的阻礙，正是由于內控的存在，使得一些新鮮事物“出師未捷身先死”。事實上，無論是內控的本質、特征和作用，從來都沒有否定任何新產品、新服務和新業(yè)務的內涵。新業(yè)務的開展，恰恰需要內部控制和內部管理的輔助，正因為沒有規(guī)則，才需要制定規(guī)則——“沒有規(guī)矩，無以成方圓”。只有在一定規(guī)則的約束和要求下，才能保障業(yè)務的穩(wěn)健和可持續(xù)發(fā)展。由于內控對新產品的重要性，對控制的主體即內部管控人員同時提出了更高的要求。商業(yè)銀行的內控人員一般需要具備豐富的專業(yè)從業(yè)經驗、持久的專業(yè)精神、敏銳的觀察力、情境化的決斷力，能夠觀察到工作中的錯誤，及時地加以修正和改進，當有偏差時應該當機立斷決定該怎么做。內控人員需要發(fā)揮其“導師”、“顧問”和“助手”的作用，指導員工特別是新員工完成創(chuàng)新、參與某些新產品的設計和研發(fā)、輔助員工合規(guī)進行操作。在商業(yè)銀行中，無數(shù)案例已經驗證了這樣的事實：沒有內部控制的業(yè)務無形中放開了風險的敞口，失去內部控制的產品無形中擴寬了犯錯的可能，2008年美國的次貸危機正是內控失效的反面典型。

（三）內控不能創(chuàng)造效益

還有一種誤區(qū)近年來喧囂塵上，認為內控不能創(chuàng)造價值或者難以創(chuàng)造價值。這一誤區(qū)的基調或者源頭之一，來源于21世紀初中資商業(yè)銀行的前中后臺分離，內控部門一般處于中臺甚至后臺的位置，起著防控風險的主要職能，不能直接面對客戶。這一誤區(qū)的謬誤關鍵在于只看到表象，而沒有發(fā)掘內控的實質。其一，從目的上看，前中后臺分離的起因恰恰源自商業(yè)銀行對風險管控的要求，這是其為提升內部風控水平、優(yōu)化內部流程而進行的一次變革，西方商業(yè)銀行已經在20世紀末期率先完成并取得了較好的實效。其二，從價值上看，風險就是潛在損失，就是價值的負增長，特別是一些風險事件和內部案件引發(fā)的法律風險、聲譽風險給商業(yè)銀行帶來了很大的損失，有的甚至引發(fā)信用風險和擠兌危機，導致百年老店的倒閉。其三，從過程上看，操作風險等風險類型因其難以預測性、多樣性和隨機性（蔡寧偉，2015），使得商業(yè)銀行被譽為在“刀劍上跳舞”，這導致內控部門的職責很重。因此，唯有依法合規(guī)經營、加強內控合規(guī)管理，才能確保銀行業(yè)務的健康有序，才能實現(xiàn)銀行的穩(wěn)健發(fā)展。綜上，內控創(chuàng)造價值的界定難以撼動、無可厚非。

（四）內控是內控部的事

另外的一種誤區(qū)有關內控的職能和范圍，認為內控就是內控部門一家的事情，無論哪個部門、哪條業(yè)務線、哪種業(yè)務和產品出了問題，都需要內控部門來統(tǒng)一解決。這一觀點存在對管理主體的偏執(zhí)和對內控部門職能的夸大。一般而言，商業(yè)銀行的內控部門是全行內控管理的牽頭部門，而內控管理的各項工作是分散在各部門、各環(huán)節(jié)中。內控部門有組織和監(jiān)督各部門和分支行開展員工行為管理的職責，這一點責無旁貸；人力資源管理部門作為人事主管部門，主要把好進人關、用人關、育人關、識人關和勞動紀律關；而內部組織架構中包括全部業(yè)務條線的每個團隊負責人，是這個團隊員工行為管理的首要責任人，對所轄業(yè)務和人員承擔主體責任。因此，銀行內控管理的實質是全部門參與、全流程參與、全員參與，絕非僅僅一個部門的事情。所以，要堅決杜絕內控是內控部門的事、業(yè)務部門和團隊負責人不抓業(yè)務流程和員工行為管理的錯誤認識。這一點，中國的監(jiān)管機構看得非常透徹，無論是相關文件還是領導的講話都多次提到存在的問題和內控的要求，甚至在近年來的系列文件中反復強調“看好自己的門，管好自己的人”的要求（尚福林，2013；2014；2015）。

（五）內控要運動式開展

比較常見的一種誤區(qū)是有關內控的開展方式，認為內控是一項活動，具有短期性、階段性、粗放性、局部性的運動特征。事實上，商業(yè)銀行的內控是一項長期的、日常的、細致的、系統(tǒng)的工作。《商業(yè)銀行公司治理指引》明確提出其董事會應當持續(xù)關注商業(yè)銀行內部控制狀況，建立良好的內部控制文化，監(jiān)督高級管理層制定相關政策、程序和措施，對風險進行全過程管理。應當建立健全內部控制責任制，確保董事會、監(jiān)事會和高級管理層充分認識自身對內部控制所承擔的責任；董事會、高級管理層對內部控制的有效性分級負責，并對內部控制失效造成的重大損失承擔責任。監(jiān)事會負責監(jiān)督董事會、高級管理層完善內部控制體系和制度，履行內部控制監(jiān)督職責。應當有效建立各部門之間的橫向信息傳遞機制，以及董事會、監(jiān)事會、高級管理層和各職能部門之間的縱向信息傳遞機制，確保董事會、監(jiān)事會、高級管理層及時了解銀行經營和風險狀況，同時確保內部控制政策及信息向相關部門和員工的有效傳遞與實施。還應設立相對獨立的內部控制監(jiān)督與評價部門，該部門應當對內部控制制度建設和執(zhí)行情況進行有效監(jiān)督與評價，并可以直接向董事會、監(jiān)事會和高級管理層報告。

（六）內控作用相當有限

最后一種誤區(qū)認為內控的作用相當有限。這種觀點正是基于此前的五種誤區(qū)積淀。如果內控影響了業(yè)務發(fā)展、制約了產品創(chuàng)新、難以創(chuàng)造效益、僅僅是內控部的事、且需要運動式的開展，那么內控的作用一定受限。好在前面的誤區(qū)我們都已經逐一說明和駁斥，進一步理解了內控的廣度與深度，最后還需要剖析和解釋內控的作用范圍和效力。既然內控在組織內存在普遍的價值和深入的標桿，其在組織內部無處不在，且貫穿組織架構的上下和業(yè)務流程的始終，否則難以實現(xiàn)組織的目標。因此，內控的作用主要體現(xiàn)為全范圍、全過程、全員參與管控的實際，其價值不僅體現(xiàn)為組織架構與設計、崗位權限與邊界、流程管控與優(yōu)化、內部控制與管理、自控互控與監(jiān)控，還表現(xiàn)為內部機制的“潤滑劑”、組織文化的“粘合劑”以及企業(yè)價值觀的“穩(wěn)定劑”。內部機制的“潤換劑”主要源于內控管理“軟性”作用，其實質是管理的柔性與控制的針對性，這種柔性和針對性是在統(tǒng)一管理框架下的差異性和適應性，使得內控還可成為“防止螺絲釘生銹”的“潤滑劑”。內控還有助于凝聚組織文化、延續(xù)企業(yè)價值觀，稱之為組織文化的“粘合劑”以及企業(yè)價值觀的“穩(wěn)定劑”也不為過。

五、研究意義、局限與展望

綜上所述，通過對控制職能源頭的追溯，我們逐一明確了內控的本質及其選擇的原因，歸納出組織內控真實性、準確性、完整性、及時性和全面性這五大普適特征，補充了企業(yè)特別是商業(yè)銀行內控重要性、制衡性、適應性、盈利性和審慎性五項補充特征。我們發(fā)現(xiàn)：內控在銀行內部起到助力、糾偏、合規(guī)、嚴謹、統(tǒng)一等主要作用，并逐一解析、駁斥了五類有關商業(yè)銀行內控管理和認識的誤區(qū)。

（一）研究意義

首先，從理論上看，本研究強化了管理理論在內部控制中的應用。從追溯內控的源頭入手，將商業(yè)銀行的企業(yè)內控實踐與管理理論、組織理論有機的聯(lián)系在一起。事實上，商業(yè)銀行經營管理本就是企業(yè)管理、組織管理的一部分，但由于金融業(yè)務的相對獨立性，目前在商業(yè)銀行中的經濟原理、金融實踐逐漸成為顯學，而有關內部管理、內部控制的理論與研究在一定程度上呈現(xiàn)式微的趨勢，而本研究恰恰有助于商業(yè)銀行等金融企業(yè)理解內部管理、內部控制的實質、范圍、特征與作用。其次，從實踐上看，本研究對商業(yè)銀行在內部控制上的潛在誤區(qū)逐一做了澄清，有助于對輿論特別是組織或非正式組織的導向以正視聽。通過邏輯梳理和機制分析發(fā)現(xiàn)，在商業(yè)銀行中內控有力支持了業(yè)務發(fā)展、內控有助于產品創(chuàng)新、內控可以有效控制風險并創(chuàng)造效益、內控水平需要所有部門共同推進和提升、內控管理需要長期系統(tǒng)性地持續(xù)開展。這也有助于商業(yè)銀行擺正內控的職能與定位，更好地發(fā)揮內控的作用。

（二）研究局限

由于研究設計的初衷和相關數(shù)據(jù)難以獲取，本研究主要存在以下缺陷。一是從研究設計開始，本論文重在關注內控的界定、職能和作用，這是一種思辨性的論述，是一種層層遞進的邏輯展示，而非現(xiàn)在主流的、基于數(shù)據(jù)的實證研究或案例研究。二是由于商業(yè)銀行的內部損失數(shù)據(jù)難以獲取，因此在內控的價值體現(xiàn)上，我們缺乏有力的、全面的以及連續(xù)性的數(shù)據(jù)支持。相比之下值得欣慰的是，無論從監(jiān)管機構的具體要求上看，還是從商業(yè)銀行的工作導向來看，都體現(xiàn)了加強內部管理、提升內控水平的傾向。三是由于文獻搜集的范圍有限，我們在文中主要以既有的、實施的國家規(guī)范、行業(yè)指引為研究支撐，并沒有從公司治理、內部控制的法理上溯源。在實際工作中，法律的依據(jù)也值得內控研究去分析、發(fā)掘和進一步探索。四是除了商業(yè)銀行之外，也存在一定類型的企業(yè)以信用為生存的基礎，例如保險公司、證券公司、基金公司、小額貸款公司等，囿于作者的研究領域，我們未能進一步深入。但我們相信這類公司與商業(yè)銀行大同小異，但其中的“小異”也值得觀察和總結。

（三）研究展望

下一步，對于組織內控、企業(yè)內部管理和商業(yè)銀行內控體制機制的研究大有可為，存在一定的研究空白和可觀的拓展空間。一是可以在未來的研究中引入實證檢驗，或者跟蹤一家企業(yè)進行追蹤式的案例研究，展示商業(yè)銀行等企業(yè)“有內控”和“無內控”的不同、“強內控”和“弱內控”的差異、“優(yōu)內控”和“次內控”的差距。二是基于微觀商業(yè)銀行等企業(yè)的內控管理有助于宏觀上進一步完善政策指導和監(jiān)管要求，這是一種宏微觀的相輔相成和“生態(tài)位”式的互相促進。只有微觀企業(yè)的內控機制有效，才能更好地發(fā)揮宏觀監(jiān)管政策的要求——這種良性的互動機理和促進關系值得進一步探討。三是還可以從法律內涵上、法律理論上探究內控的源起和發(fā)展，進而歡迎更多的、不同學科的研究者嘗試從法學、社會學、經濟學、心理學、人類學等多個視角呈現(xiàn)對組織內控的不同理解。四是除了商業(yè)銀行之外，其他類型的金融企業(yè)內控是否存在相似性，又存在哪些差異？還可以商業(yè)銀行為引導，梳理信用企業(yè)、服務企業(yè)、制造企業(yè)等行業(yè)的內控管理差異與特點，推動管理實踐更上層樓。

本文原載《武漢金融》2016年第八期