英美跨国银行内部监管的制度与实践及对中国的借鉴

　　内部监管制度是现代跨国银行监管制度的重要一环，科学健全的内部监管制度是商业银行安全稳健运营的前提和基础。许多国家和地区很早就重视商业银行的内部风险控制问题，并在长期的经营实践中积累了丰富的经验，这对正在走向国际化、市场化的我国银行业来说，无疑具有十分重要的借鉴意义。本节主要介绍美、英两国关于跨国银行内部控制的制度与实践，并就中国商业银行内部监管制度的建立与完善提出了建议。

　　一、美国跨国银行内部监管的原则与制度

　　（一）美国企业内部控制的一般原理、原则

　　美国是现代内部控制理念的发源地，早在1949年，美国注册会计师协会（AICPA）的一个工作程序委员会就出版了一份关于确立企业内部控制理念的特别报告。该报告指出，内部控制制度是企业用以保护资产、检查会计资料的可靠性和准确性，提高经营效率，强化遵守既定管理政策的组织计划、协调方法与措施。该报告强调，注册会计师应对企业的预算控制、成本控制、经营报告、统计分析和控制文化承担外部审计的职责，很大程度上是以会计师的外部审计责任取代企业的内部控制责任。

　　这种以外部审计为主的方式引起很大的争议，以外部审计责任代替企业自身的内部监管责任容易造成企业放任自流的“搭便车”现象，助长企业的冒险经营与舞弊风险，而且也加重了注册会计师的审计责任和法律责任，也难以广泛适用于对内部风险防范有较高要求的金融机构。为此，1973年美国注册会计师协会发布第54号审计报告，对内部控制责任作了划分，将内部控制分为内部会计控制和内部管理控制。内部会计控制制度包括与组织机构实施、财产保护、财务会计记录可靠性有关的各种措施，由注册会计师负责实施控制；内部管理制度包括组织机构的设计、管理部门决策和业务运作的程序与记录等，主要由企业管理层负责监控，只有当内部管理控制对财务报表可靠性有重大影响时，会计师才有义务去核查管理控制。第54号审计报告所确定的内部控制原则，已为美国商业界包括银行业所普遍采纳，成为美国企业内部控制的基本准则之一。

　　1992年，由美国“反对虚假财务报告委员会”（National Commission on Fraudulent Financial Reporting）下属的一个专业委员会“赞助机构委员会”（the Committee of Sponsoring Organizations，以下简称COSO）发布了题为《内部控制――统一的框架结构》（Internal Control——Integrated Framework）的研究报告，对内部控制的基本要素作了系统阐述。该报告认为，完整的内部控制应包括五个基本要素：

　　1、控制环境（control environment）。控制环境是指对建立、加强或削弱特定政策或程序有影响的各种因素，包括企业诚信和道德价值观、员工的信念与能力、董事会和审计委员会的功能、管理哲学和经营风格、组织结构、授权和责任的划分、人力资源政策及其执行等多方面的内容。

　　2、风险评估（risk assessment）。辨识和分析风险是一种必须常抓不懈、持续反复的过程，企业管理人员的重要职责之一就是正确识别和评估经营中所面临的各种风险，并采取一切必要的措施降低风险。

　　3、控制活动（control activities）。除了控制环境的“软环境”之外，企业还需建立控制风险的一系列“硬制度”，来保障企业经营目标的顺利实现。这些控制活动包括：业务和经营活动的授权、组织系统内有利益冲突职务的分离、实物控制、资产或财务记录的专人管理等。

　　4、信息与沟通（information and communication）。为了实现其经营业绩和风险控制的目标，企业必须识别、处理和交流来自内外的各种信息。COSO报告强调，完备的信息处理系统是实现内部控制目标的重要保障，信息系统不仅处理企业内部产生的经营信息，而且也处理来自企业外部的各类经济、法律或行政信息。

　　5、监督（monitoring）。监督是由适当的人员，在充分有效的制度保障下，评估内部控制绩效的过程。监督活动分为持续监控和个别评估两类，前者是一种日常例行监督程序，是对业务管理层日常内部控制效果的监控和评价；后者是一种特别监察，一般是对出现严重异常或存在危机隐患的业务或部门进行的专门审查。

　　COSO内部控制框架虽是对一般企业的概括要求，但却得到了美国银行监管者和银行业的普遍响应。1993年，美国联邦存款保险公司批准了对1991年《联邦存款保险公司改进法》第12条的修正案，要求银行就其内部控制状况定期向美国联邦存款保险公司和美联储报告，并鼓励以COSO内控框架作为报告的格式。1998年巴塞尔委员会发布的《银行组织内部控制体系框架》很大程度上也借鉴了美国COSO内控框架的原则规定。

　　（二）美国银行内部控制制度与实践

　　美国银行业在长期的经营实践中，摸索出一套行之有效的内部控制管理策略和运作原则，一些著名银行如花旗银行、美洲银行、纽约银行的内控制度与实践在跨国银行业中有着良好的口碑。概况而言，美国银行业的内部控制具有如下一些特色：

　　1、独立、集中、权威的内部监管体系

　　美国跨国银行在全球范围内的业务活动非常活跃，分支机构遍布世界各地，为了更好地实现对银行系统内各组织各机构的有效监控，美国的跨国银行大多建立了强势的内部监管体系。这种强势的内部监管体系有如下三个特征：

　　第一、稽核权由银行总行统一行使，分行没有稽核部门。分行的稽核由总行根据分行业务的权重派出若干稽核主任，分别负责区域分行的稽核。以花旗银行为例，花旗银行在亚太地区的分支机构统一由亚太地区稽核分部负责稽核，亚太地区稽核人员又分驻香港、新加坡、悉尼、马尼拉四个办事处，四个办事处各有管辖范围，如花旗银行中国范围内的业务就由香港稽核办事处负责。

　　第二、内部审计独立。银行的行政和日常管理层无权干预内部审计体系的运作，并有如下切实的制度保障：银行副总裁兼任首席审计师，直接向董事会负责并报告工作；稽核人员选任独立，稽核人员由总行稽核部门直接从各业务部门中优先筛选；财务独立，稽核部门有独立的财务预算，不受业务部门干预；稽核人员的待遇从优，不低于实权业务部门。

　　第三、稽核部门分工精细，人员充足。稽核部门内部机构根据职能、业务、区域等不同标准划分，部门众多。如花旗银行的稽核总部除首席审计师外，下设调查部、业务审计部、辅助管理部、监督检查部、审计培训部、现场检查部，在现场检查部下又根据业务和区域分设北美一部（负责资金、证券审计）、北美二部（负责零售业务审计）、北美三部（负责衍生工具审计）、亚太部、拉美部、欧洲一部和欧洲二部等部门。美国主要银行的稽核人员占其员工总额的比重相当高，2000年的统计数据表明花旗银行稽核人员575人，占总员工数的0.58%，美洲银行稽核人员350人，占员工总数0.44%，纽约银行稽核人员170人，占员工总数1.4%.[16]

　　2、统一、严密的稽核依据

　　美国跨国银行要求各业务部门必须针对本部门业务的特点制定统一规范的业务规章或守则，这些规章或守则必须经董事会或专门的风险管理委员会审核同意。部门规章或守则有两个作用：一方面可以成为员工管理和教育的规范，新员工入行伊始就必须熟稔业务规则，明确自己的责、权、利，遵守守则情况成为员工考核奖惩的重要依据；另一方面，这些守则也是稽核部门内部监管的依据，稽核部门在检查中发现业务部门不遵守规章或规章本身有漏洞，可以向业务部门提出建议，要求其限期改正或完善。

　　3、注重非现场稽核方法

　　与其它企业一样，跨国银行是营利性经济组织，以利润最大化为经营目标，在风险管理和内部稽核问题上同样面临着成本与收益的比较问题。美国银行强调稽核工作不应干扰银行业务部门的正常运作，不鼓励大量采用现场检查方式，提倡开放式、自律型的非现场检查。以花旗银行为例，其稽核部门在确定稽核任务与稽核目标后，一般提前两周向稽核对象发出通知，要求报送相关的稽核材料。稽核人员通过计算机系统接纳和审核业务账册和资料，只有在账册无法说明问题时才考虑进行必要的现场检查。

　　美国银行注重非现场检查方式，主要有三个方面的考虑：第一，在先进网络技术和信息系统的支持下，非现场检查有充分的硬件保障，不易产生会计信息失真问题；第二，与现场检查相比，非现场检查节约人力物力，又不干扰业务部门的正常运作，检查成本较小；第三，美国银行管理层认为，封闭型、突击式的现场检查虽然有助于发现问题，但却是以丧失业务人员信任作为代价的，非现场检查采用开放式、互动型的稽核方式，有助于培养稽核部门与业务部门的互信意识，对业务部门的自我控制具有良好的催化作用。因此，美国跨国银行中除纽约银行等少数银行外，均不再将突击型的现场检查作为主要的稽核方式。

　　4、资产风险管理的“六C”法则

　　美国跨国银行通过评估资产的盈利性、安全性和流动性来控制资产风险，提高银行经营的稳健性。对一般资产业务的风险评估必须贯彻“六C”法则，即必须考虑如下六个因素：

　　（1）品质（character）：银行必须确保客户对借款等业务有良性意愿和明确的偿还意向，这一点主要是通过考察客户既往的金融信用记录来评价的。

　　（2）能力（capacity）：银行必须确信客户有从事业务的权能，签约时有合法的缔约能力，并对客户履约的能力有客观的评估。

　　（3）资本（capital）：银行必须对客户的有形资产净值进行分析，确保客户有能力提供充足的现金流来偿还贷款或履行合同。

　　（4）抵押品（collateral）：如果客户提供抵押品作为履约担保，银行必须明确知悉抵押品的质量与价值。

　　（5）环境（circumstance）：银行必须就对客户日常业务、产业、抵押品等有直接影响的因素做出客观评估，实际上是考察影响客户履约的外在因素。

　　（6）控制（control）：主要是对业务的持续进行合法性与合规性的评估和控制，例如研究法律的修订是否会影响业务的合法性，贷款业务是否符合监管机构的资本充足性要求等。

　　从上述特征可以看出，美国的跨国银行对内部稽核工作是相当重视的，从人力、物力、制度等方面均给予充分保障。这种强势稽核体制对银行经营的安全性与稳健性有着至关重要的作用，近十年来美国跨国银行业没有出现大的危机，美国跨国银行奉行的强力内控制度功不可没。但也有学者认为，强势内控制度的确有助于风险的预防和控制，但投入大量稽核人员用于内部监管工作必然对银行的整体盈利产生影响，此外，过于依仗非现场检查的监管方式难以发现深层次的问题，尤其在业务部门有意隐瞒的情况下，非现场检查难免流于形式。

　　（三）美国跨国银行的内部控制评估

　　内部控制评估是外部审计师或监管机构对银行内部控制体系进行调查、了解、审计、评价的一系列活动过程的总称。内部控制本身是对银行风险的监视和管理，内部控制评价则是对内控机制有效性的监督，实质上是对风险管理的二次监督，通过内部控制审查和评价，可以使审计人员和监管机构了解银行财务会计的可信程度，并为监管机构进行银行监管提供线索。

　　美国对银行内部控制评估工作相当重视，美国注册会计师协会《现场审计工作准则》（the Auditing Standards of Fieldwork）第2条明确规定：“（审计师）对现行的内部控制结构进行充分的研究和评估，以此作为制定审计计划，确定审计性质、时间安排以及测试范围的基础”。美国是少数几个以法律强制银行披露经独立审计的内部控制评估报告的国家之一，其《联邦存款保险公司改进法》要求所有资产超过1.5亿美元的银行和储蓄机构，应定期公布经独立审计师审计的内部控制评估报告。

　　美国审计部门对银行内部控制体系的评估，有一套相当成熟的程序，主要分为以下三个步骤：

　　1、对银行内部控制体系的审查评价

　　这是内部控制体系评估最重要的一环，可细分为如下四个程序：[17]

　　（1）初评。在正式评估内部控制体系之前，审计师应先审阅银行上一年度审计报告、银行各种规章、制度和指南，向管理人员询问，现场检查银行工作情况，以便对银行的控制环境、风险管理、信息交流等有一个总体印象。

　　（2）描述。审计师必须对内部控制的初评结果加以详尽描述，编成工作底稿归入审计档案，描述可以采用多种方法：

　　文字叙述法（written narratives）：即以书面文字的形式阐述银行现有的内部控制制度。一般按照不同业务和业务环节，说明各业务、环节的特征、经办人员、控制措施与方法、财务记录的编制要求和保存方法等，同时还必须说明内部控制措施的效能和可能存在的问题。文字叙述法的优点是简便、灵活、适用面广，常用于经营规模小、内部控制制度简单的银行，但文字描述法不能直观地反映较为复杂的内部控制系统，不适宜对经营网点多、业务复杂的跨国银行进行描述。

　　系统流程图法（system flowchart）：即用流程图解的方式描述各业务环节的处理程序、财务记录的编制、处理、传递与保存。优质的流程图还能直观地显示各项业务的职责分工、授权、批准和复核验证等控制程序和功能。作为图示描述法，系统流程图法具有文字叙述法不可比拟的优势：它可以较为直观地反映较为复杂的内部控制结构，具有直观、明了、清晰、完整的优点，还可以根据业务和内部控制的变化及时加以更新。但系统流程图对编制者的要求较高，审计师编制时必须面面俱到，考虑周详，否则流程图无法反映内部控制的全貌，容易令人费解或招致误解，此外流程图仅能反映内部控制结构的现状，不能明确揭示有关内部控制系统的实际执行情况及其缺陷。

　　调查表（questionnaire）：是一种预先设计的标准化调查问卷，以便了解银行内部控制及其实际功能。调查表分别针对各主要业务和环节的内部控制措施列出一系列问题，备好正面答案和负面答案（有时还有中性答案），交由银行业务人员进行问卷调查。调查表有统计学原理作为依据，较为科学合理，实施起来也较为便利，但答题人的主观心理对问卷结论有着直接影响，且调查表只能分别反映各经营环节或业务活动的内部控制情况，不足以概括银行内部控制体系的全貌。

　　三种调查描述法各有其优劣，需要根据特定银行的内部控制情况加以选择适用，有时，为了全面客观地反映银行的内部控制运作情况，审计师将三种方法兼施并用，以求达到更为准确真实的描述结果。

　　（3）验证。通过从银行业务中抽取某一样本业务，从其处理始点审视至终点，借以判断银行的业务控制是否完善，审计师对银行内控机制的初评和描述是否客观全面。

　　（4）评估。美国的内控机制评估是相当有特色的，审计部门将内部控制风险分为三个层次：

　　固有风险（inherent risk）：指银行因业务性质本身具有发生错误或弊病的可能。

　　控制风险（control risk）：是指银行内部控制未能防止银行业务出现弊病或错漏的可能，控制风险越大，说明银行的内部控制越薄弱，发生风险的可能性越大。

　　察觉风险（detection risk）：是指那些内部控制机制和审计部门均未能有效察觉业务出现错漏或舞弊的可能性。

　　审计部门根据科学的加权公式，测算出上述风险在内部控制风险中的权重，并据此对银行内部控制机制做出客观的评价。

　　2、内部控制测试

　　内部控制测试是对初步评价结果的校验，在整个内部控制评估过程中有着重要的作用：对于内部控制不完善，内部控制风险较大的银行，内部控制测试可以检验其内部控制问题严重的程度，确定内部控制失灵的关键环节，为今后的整改提供重点和思路；对于内部控制完备、风险较小的银行，内部控制测试可以再次验证银行的内控水平，避免有隐藏的内部控制缺漏。

　　由于跨国银行业务活动纷繁复杂，审计师不可能面面俱到地进行复查，只能以样本抽查的形式进行测试。内部控制测试一般在银行会计年度终了之前进行，这样有助于及早发现银行内部控制的问题，建议监管当局进行整改，保证银行会计记录的真实性和可靠性。测试之后，审计部门会形成最终的内部控制评估报告，对银行内部控制风险进行评价，并分析其内部控制的薄弱环节，确定今后的审计计划与程序。

　　3、报告银行高级管理层和监管当局

　　根据美国的审计准则，审计师不对银行内部控制的有效性负责，但其对审计调查过程中发现的重大内部控制缺陷，属于审计准则中的“可报告事项”（reportable conditions），应及时通报银行董事会或高级管理层，或依据金融监管法规的要求，将重大内部控制缺陷报告监管当局。

　　审计师向银行高级管理层通报审计结果，须采用专门的文书“致管理层函”（management letter），并通过专门的渠道直接呈交银行董事会、董事长或审计委员会。之所以做出这样审慎的安排，是为了防止审计结论被搁置或篡改，以利于银行高级管理层及早针对内控问题做出妥善安排，避免内控危机的发生。审计师发现银行内部控制的重大问题时，必须尽快报知高级管理层或监管机构，如因审计师的瞒报或拖延给银行造成损失，审计师必须承担相应的法律责任。

　　二、英国跨国银行内部监管的制度与实践

　　（一）英国公司内部控制的一般原理、原则

　　英国的内部控制研究发端于20世纪80、90年代，当时英国的实业界就像今天的华尔街一样，假帐盛行，因控制失灵导致的公司经营失败层出不穷，公众公司面临着严重的信任危机。英国会计界为此成立了多个专门委员会，进行公司内部控制和治理结构改革的专题研究，并形成了多份研究报告，其中最有影响的是1992年发布的《卡德伯利报告》（Cadbury Report）、1998年发布的《哈姆佩尔报告》（Hampel Report）和1999年发布的《特恩布尔报告》（Turnbull Report），它们也被称为是英国公司治理和内部控制研究史上的三大里程碑。

　　1、1992年《卡德伯利报告》

　　为了防范和控制公司内部的财会舞弊风险，1985年英国《公司法令》第221条要求公司董事和董事会必须对公司财务会计记录的真实性、准确性和完整性负责。但法律并没有提供董事和董事会监督约束公司财务会计记录的具体制度设计，《卡德伯利报告》的发布则在一定程度上解决了这个问题。

　　《卡德伯利报告》认为，有效的内部控制是公司治理结构的重要一环，为避免董事会和董事串通一气，合舞弊，《卡德伯利报告》创设了“内外双重审计”的制度。“内外双重审计”的制度设计为在董事会向公众或监管机构出具正式的内部控制评估报告之前，该报告必须经内部审计师和外部审计师的双重审核。这样，就最大限度地避免了董事会、董事甚至内部审计人员串通舞弊的可能性。

　　《卡德伯利报告》在许多方面开创了英国公司治理和内部控制的先河：如要求在董事会下设专门的审计委员会；实行独立董事制度；强化内部审计在公司治理和内部风险控制中的作用，等等。其中一些制度和原则，还沿用至今。

　　2、1998年《哈姆佩尔报告》

　　《哈姆佩尔报告》明确指出，内部控制的目标在于保护资产的安全，保持正确的财务会计记录，保证公司内部使用和向外部提供的财务信息的准确性。报告将内部控制的范围由原先的财务控制扩展到全面的业务控制，并重申了董事会和董事的风险管理职责。

　　由于《卡德伯利报告》对董事会和审计师的核查报告责任要求得过于严苛，要求内部控制机制必须为舞弊和错误提供“绝对担保”，董事会和审计师必须为内部控制机制的有效性承担法律责任。因此，实践中董事会和审计师均有所顾虑，对内部控制的有效性往往作有意模糊或保留的声明。《哈姆佩尔报告》对此作了改进，不再要求董事会和董事对内部控制的有效性承担绝对的担保责任，而仅对内部控制的有效性作“合理保证”，即排除了在董事会和董事均恪尽职守的情况下仍不能发现的一些内控失灵问题，如操作性失误、系统性风险等等。

　　3、1999年《特恩布尔报告》

　　1999年英格兰和威尔士特许会计师协会成立了以尼格尔。特恩布尔（Nigel Turnbull）为主席的十人工作小组，公布了名为《内部控制综合准则董事指南》的报告，即《特恩布尔报告》。该报告主要为董事会和董事履行内部控制职责提供可行性操作标准。其主要内容包括：

　　（1）董事会必须对公司内部控制系统的建设负总责，尤其应关注风险管理的核心问题，如公司面临风险的性质和程度、公司承受风险的能力、风险发生的可能性、实行风险控制的成本以及从风险管理中获得的收益。

　　（2）高级管理层是内部控制的具体执行者，应承担执行和评价内部控制机制的具体职责。他们应及时对影响公司经营目标实现的重大业务性、财务性和违法性风险作出反馈，以提高公司经营的效率和安全性。

　　（3）公司员工有义务将内部控制与其日常业务结合起来，为此，他们应具备必要的知识、技能、信息和授权，以参与、控制和监督公司的内部控制系统。

　　（二）巴林银行事件与英国跨国银行内部监管制度的变革

　　在20世纪90年代之前，英国沿袭其传统的自律性、非制度化监管方式，全国金融机构和业务虽然统由英格兰银行负责监管，但英格兰银行并不通过制定监管法律和规则、下达指令等外部约束措施监督金融机构的业务活动，而习惯上采取“道义劝说”（Moral Suasion）、“君子协定”等弹性很大的非规范性方式实现其监管目标。在这样的背景下，银行的内部控制作为其“私法自治”的范畴，未受到来自监管机构的过多干预，实际上在许多跨国银行中，内部控制机制或是缺位，或是流于形式，根本达不到监控风险的效果，这种状况直接导致了1995年巴林银行事件的爆发。

　　1995年，巴林银行新加坡分行首席交易员尼克？李森，利用欺骗的手段使巴林银行蒙受了8亿6千万英镑的巨额亏损，从而把将这家拥有200多年历史，在国际银行界享有盛誉的巴林银行推上了死亡之路。事件发生后，英国监管当局进行了全面深入的调查，形成了一份300余页的研究报告《巴林银行倒闭的教训》（Lessons Arising From the Collapse of Barings），对改善跨国银行的内部控制，提高其风险防范能力提出了具体的建议和要求。

　　巴林银行的倒闭看起来像是因为个人的越权行为所致，实际不然，巴林银行事件反映拉现代跨国银行管理和内部控制体制的缺陷。巴林银行的管理层可谓在各个层面、各个步骤都存在失职现象，外部审计师和监管者对此也负有不可推卸的责任。巴林银行事件的原因并不在衍生业务的复杂性，而主要在于业务人员的行为超出了管理层的控制范围。外部审计师的行为准则在英国审计业务委员会的相关规则中有明确规定，其中包括了对银行审计师的特殊要求。但其中缺乏内部审计师与外部审计师工作关系的标准和要求，造成实践中内外审计的脱节，内外审计师之间无法实现重大审计信息的有效沟通。为此，英国银行监管部门总结了如下五条重要的经验教训：

　　1、 管理层必须对其所经营管理的业务有充分的认识。

　　现今跨国银行的业务正日益复杂和多元化：（1）以前在同一国家内以同一实体经营的业务现在可以在多个金融中心以不同法律实体的形式经营，这意味着以前仅受一国监管机构管辖的业务现在必须由多个监管当局联合管辖。（2）银行交易业务的不断拓展使银行的利润来源日益多元化，同时也改变了银行业务的性质，使银行的风险来源日益多元化。（3）金融产品创新和信息技术的飞速发展使银行内舞弊和欺诈行为变得更加隐蔽和快捷，造成的损失也更大。

　　在巴林银行中，最高管理层和日常管理层都没有充分理解新加坡分行所从事的衍生业务的性质，他们只注意到新加坡分行每年账面上的盈利，却没有发现这些巨额盈利背后的风险。因此，管理层对业务风险的清醒认识是内控机制建立和完善的前提。这种认识必须是对银行内每种业务的盈利和风险有客观的分析，必须分清各种业务之间的关系，以及每种业务所要求的内控程序有何不同，以减少发生业务错误或舞弊的可能性。对于风险较大的业务，不能因为其收入和盈利较高就回避其面临的风险，而应对其适用更严格的避险和内控措施，因为金融业的多次危机证明，盈利收入越高，尤其是收入增长最快的业务，往往也是风险最为集中的领域。巴林银行的教训在于高级管理层与业务操作人员的信息沟通渠道严重脱节，高级管理层对巴林银行所从事的业务缺乏足够的了解，即使是在一些危险的信号出现时，管理层也对此缺乏足够的重视。建议相关管理人员定期巡视从事相关交易的海外分支机构。巡视包括向交易员、风险管理人员、后勤人员了解情况，进入交易所进行实地调查，对分支机构和交易员的具体业务情况有所了解。

　　2、银行内各项业务的职责必须确立并明示。

　　无论银行的分支机构采取何种组织形式，都必须建立起明确的责任机制。所有的管理人员和雇员必须明确自己的职责，在各个职责之间必须作到不疏不漏。报告特别指出，对于“矩阵”（matrix）组织结构的银行，即由一名业务人员负责多项业务的部分或全部的情况下，必须特别注意管理职责的明晰。巴林银行无疑就是采取“矩阵”模式的典型，它的主要教训有三个：（1）在跨国银行组织系统内，当地分支机构的管理层必须承担一线监管责任。尽管业务人员可能不直接对当地分支机构的管理层负责并报告，但当地分支机构的管理人员必须对其所从事的业务情况及其后果有清醒的认识。（2）对于银行的非主流业务（activities out of mainstream），即所谓的创新或表外业务，银行管理层必须有足够的并表和监控措施；（3）在“矩阵”模式下，可能存在着“多头汇报”的信息沟通体系，即业务人员可能既向当地管理层汇报，又向总部业务管理部门汇报，因此在接纳信息的管理层之间必须要有充分的信息沟通渠道。

　　当银行对其组织结构进行重大调整时，尤其是当将几个业务性质完全不同合并时，应注意防范利益冲突和权责不清所造成的风险。巴林银行在倒闭前俩年就进行了类似的业务结构调整，巴林银行总部允许尼克。李森同时负责交易和清算，前台办公和后台稽核等性质完全不同的业务，最终使得新加坡分行的业务完全操控在李森一人手里，为其舞弊交易提供了便利，最终酿成无可收拾的局面。因此，报告要求银行在对其组织结构和业务结构进行调整时，应注意保持核心业务和监控业务的有效隔离，在交易的各个阶段必须确保内部控制机制的独立性，避免“一言堂”式的管理模式。

　　3、利益冲突业务的隔离是内部控制有效性必不可少的一个环节。

　　巴林银行最惨痛的教训在于没有实现“前台职务”（front office）和“后台职务”（back office）的有效分离。所谓前台职务，主要指交易业务，所谓后台职务，包括清算、稽核和业务准入。尽管后台业务与前台业务往往是并行发生，一一对应，如一笔交易必然伴随着相应的清算交割和业务稽核，但并不等于说，后台业务是从属于前台业务的，巴林银行显然就混淆了前台业务和后台业务之间的关系，将后台业务作为前台业务的附属品，这种以交易盈利作为重心的作法必然导致对风险因素和稽查工作的忽视，造成严重的危机隐患。实际上，二者之间应当是互相制约、互为犄角的一种协作关系，一般情况下二者应当严格分离，甚至后台职务不同性质的业务也应实现有效隔离（如清算与稽核应当分离），如此才能实现内控机制的“牵制”作用。就业务性质和地位而言，前台与后台业务没有主次之分，只有业务分工的区别，前台主要服务于银行的盈利性，后台主要服务于银行的安全稳健性，当清算或稽核部门发现前台业务的不正常征兆时，应及时报告银行的高级管理层，以便其及时采取处置措施。

　　4、必须建立专门的风险管理机制以应对可能的业务风险

　　缺乏专门的风险管理机制是巴林银行的李森能够顺利从事越权交易的主要原因。巴林银行案件的一个关键线索是巴林银行伦敦总部向其新加坡分行提供的巨额资金的去向，巴林总部的官员相信这笔钱是应客户要求的付款，而实际上该资金转移是李森用来拆东墙补西墙的伎俩。由于缺乏专门的风险管理机制，琐事缠身的总部官员根本没有对这笔资金的去向和用途作审慎审查，不仅没能查出本应查出的错漏，反而加重了巴林银行的损失，导致该银行百年基业的最终坍塌。

　　英格兰银行的报告认为，风险管理部门的主要职责是对银行的各项业务设定限定风险值。限定风险值反映了各个业务部门所能承担的风险极限。同时，风险管理部门还负责监督业务部门是否遵守限定风险的相关政策，审查收益和损失的帐实相符情况，根据不同的风险采取不同的风险管理策略等。与传统财务风险部门关注信用风险和市场风险的作法不同，报告强调风险管理部门应关注所有类型的风险，除信用风险、市场风险外，还应关注流动性风险、集中风险、操作风险、法律风险和名誉风险。风险管理部门是专事风险管理的职能部门，它通过对风险因素敏感的察觉和缜密的调查，来及早发现危机隐患，达到预防和控制风险的效果。

　　5、内部审计或稽核部门应当迅速将查悉的内部控制漏洞报告最高管理层和审计委员会，后者应尽速采取措施解决上述问题。

　　对于从事多种业务的金融机构而言，必须建立一个统一的内部审计机构对金融机构整体业务进行监督检查。英格兰银行认为，内部审计机构的设置有助于将重大事项和业务弱项及时反馈给最高管理层，并有助于金融机构研究和计划在整个集团内资源的合理配置问题。金融机构的规模越大，业务越复杂，地域扩张程度越高，其风险来源就约多，银行遭遇危机的可能性就越高，就越有必要建立强势的内部审计机构对业务进行统一的内部审计。在巴林银行倒闭前几月，巴林银行新设了内部审计部门，分别对巴林银行所从事的银行业务和证券业务执行内部审计职能。这本来是一个能够有效防范风险的举措，但由于其内部审计机构是分别设置的，并且内部审计师之间及其与管理层、外部审计之间缺乏有效的信息沟通机制，内部审计的效果并不明显。

　　吸取了巴林银行的教训，英格兰银行认为，内部审计功能不应单独存在，而应与外部审计相配套、互沟通，并与管理层之间保持畅通的联络渠道。例如，内部审计负责人应能随时向首席执行官（或总裁）、审计委员会主席等重要管理人员汇报工作，或至少保持不被任意干预的联络渠道。拥有长期自律传统的英国银行监管部门认为，内部审计应成为英国银行内部控制系统的核心环节，银行的审计委员会必须对内部审计机制的建立和完善负全责。

　　在内部审计机制提出问题之后，管理层必须在一定时限内作出及时反应，如提出补救措施或责令业务部门整改，甚至撤换业务部门负责人和舞弊人员等。完善的内部审计机制还应包括“回访”（return visit）安排，即由内部审计部门在内部审计结束之日起若干日内对被审计单位再进行突击式的现场或非现场检查，以确认管理层和业务部门是否已采取了必要的整改措施。如果管理层和业务部门没有及时采取措施，内部审计人员应及时将情况报审计委员会，由审计委员会责令管理层和业务部门进行补救或整改。

　　（三）英国跨国银行的外部审计

　　内部控制的运作和效果需要来自外界的监督和评估，在许多国家这一工作主要是由监管机构承担的，但在英国，长期自律监管的传统决定了监管机构并不直接参与对银行内部控制效果的评估和检查，监管机构习惯于借助审计师或报告会计师来对银行内部控制进行监督和审查。借助外部审计力量对商业银行进行监管，既是法规的要求，又符合经济的需要。从法规方面看，各国的公司法、银行法等有关法律大多都要求公司企业的财务报表须经过审计，商业银行也不例外；从经济角度考虑，金融监管当局如果完全依靠自身力量对商业银行进行稽核，需要保持十分庞大的稽核力量，增加费用开支，而通过外部审计力量的参与，金融监管当局在不增加额外支出的情况下，仍可以对商业银行实施有效监管。

　　英国承担对商业银行进行外部审计职责的主体主要有两类：审计师（auditor）和报告会计师（reporting accountant），二者的工作性质、审计内容和范围存在明显差异：首先，从审计依据上看，审计师的审计依据是公司法及其他有关会计审计准则；报告会计师则依据银行法和金融监管的有关规定对银行进行审计监督；其次，从二者对内部控制的审计范围上看，报告会计师的审计范围大于审计师，审计师在审查银行的内部控制系统时，重点在于检出内部控制记录的失真（misstatement）问题，从而防范银行内部的滥用（misappropriation）行为，其关注的是问题的某一点，而报告会计师除了审查财务会计记录的真实、准确、完整性之外，还关注由此记录所产生的管理信息能否为银行管理层所知悉，并能确保银行管理层对风险因素的有效控制，因而其关注的是整个银行内部控制系统的有效性；最后，从性质上判断，审计师的审计工作主要是一种事后验证，即对财务会计记录的事后审查，而报告会计师的审计工作则更多是一种前瞻性审查，更关注对内部控制工作有效性和风险因素的防范问题。

　　英国对跨国银行的外部审计主要包括以下内容：

　　1、对银行财务报表的审慎审计。

　　英国跨国银行必须将以下财务报表提交外部审计：资产负债表、资本充足率表、到期结构分析表、外汇头寸表、英镑流动性表、大额信贷风险表、外债情况表、国家风险表、年度投资及资产市值分析报告、持有证券分析表、大额存款户表、以分行列示的损益和大额信贷表。上述报表属于英国法定审计的范畴。

　　审计师和报告会计师主要对报表的下列事项进行审查：

　　（1）财务报表是否满足法律的强制性要求；

　　（2）财务报表的编制是否遵循公认会计准则，这些准则的运用是否具有连续性；

　　（3）财务报表所披露的信息彼此之间是否一致；

　　（4）财务报表是否以恰当的方式披露所有信息，所披露信息是否以合理的方式加以分类和阐述；

　　（5）年报中涉及到的财务和非财务信息是否与既往的审计结果相一致。

　　在实践中，审计师尤为注意对与计算资本充足率有关报表资料，如资产负债表、资本充足率表、大额贷款表的审计，同时在对跨国银行的审计中，关注跨国银行业务风险权重较大的一些报表资料，如国家风险表、年度投资及资产市值分析报告、持有证券分析表、大额存款户表、以分行列示的损益和大额信贷表等。

　　2、受监管机构的委托，就内部控制的特殊问题或特殊事项进行审计。

　　其法律依据来源于英国《1987年银行法》的第39条和41条规定。《1987年银行法》第39条规定，监管机构有权聘请专家对商业银行的某些特别事项进行专项的调查和检查，并将结果报告监管机构。1997英格兰银行还发布了《银行内部控制和第39条程序》（Banks Internal Controls and Section 39 Process），对第39条程序作了细致缜密的规定。《1987年银行法》第41条规定，当监管机构对某家商业银行的流动性或管理业绩产生怀疑时，它可以委托审计师、律师或其他商业银行，对该银行进行调查。

　　第39条和41条程序都是外部监管机构发起的外部审计程序，其审查的内容也与商业银行的内部控制问题密切相关，但二者仍存在以下一些区别：

　　（1）受托审计的主体不完全相同。第39条程序是由监管机构委托专业的中介机构（主要是会计师事务所）对银行内部控制问题进行的审查，但明确排除了曾担任被审计银行审计师的会计师事务所；第41条程序的受托审计主体范围要宽泛得多，包括审计师、律师甚至其他商业银行，因此第41条程序并不是真正意义上的审计（audit），用调查（survey）或检查（inspection）可能更恰当一些。

　　（2）审查的范围不尽相同。第39条程序的审计范围有很强的针对性，一般针对银行既往的审计师所未审计出的问题，或者有意隐瞒的风险弱项进行审计，属于风险检查的范畴；第41条程序则主要检查商业银行的流动性风险和管理业绩问题，基本上是一种合规性检查。

　　（3）被调查的对象范围不同。第41条程序调查的对象外延广于第39条程序的调查对象，依据第39条程序只能调查银行本身及其分支机构（包括海外分支机构），第41条程序的调查对象除了涵盖上述范围外，还包括银行的控股母公司及其持股20%以上的子公司。

　　（4）二者的费用负担不同。依据第39条发起的调查程序其费用由被调查银行支付，而第41程序的费用则由监管机构自负。这主要是因为第39条程序是一种风险检查，是在确证银行在风险管理、内部控制或其他问题上存在缺陷的基础上而进行的针对性检查，其目的是为了纠正银行的错误，弥补银行的管理缺陷，因此费用应由银行自身负担；而第41条程序是一种防范性的合规检查，其发动的基础是监管机构对银行流动性和管理业绩的怀疑，不需确凿证据加以证明，其发起基础本身就不牢靠，是监管机构为履行监管职责而主动发起的检查程序，因此费用应由监管机构承担。

　　3、否定意见的审计报告

　　无论是法定审计还是特殊审计，审计师应当与被审计银行讨论他们所发现的问题，以增强审计结论的客观性和准确性。在审计工作完成后的3个月内，审计师应将审计报告和银行管理层的意见提交监管机构和银行董事会。银行管理层的意见书除阐述其与审计师不同的看法外，还应阐述其整改或补救的具体措施。

　　英国的监管机构并不希望审计师出具无保留意见的审计报告，即使在银行总体处于稳健经营的情况下，监管机构也希望审计师能够列示银行经营管理和内部控制应关注的问题，以帮助监管机构判断银行的内部控制和财务记录是否健全，银行是否在某些方面未达到审慎经营的要求，等等。英国监管机构这种看似“求全责备”的作法，在实践中对银行改善内部控制发挥着重要的“拾遗补漏”的作用。

　　在银行内部控制机制存在以下严重问题时，审计师必须作出否定意见（adverse opinion）的审计报告：

　　（1）被审计银行严重违反银行经营管理的基本原则，如违反信贷决策和担保程序放贷、违法分级授权体制从事业务等；

　　（2）日常的经营管理系统和记录无法保证银行的审慎经营；

　　（3）管理系统或记录存在严重的弱项，有造成银行重大损失的可能；

　　（4）由于银行的原因，审计师无法对银行的内部控制作出评价或提供意见。

　　对于上述问题，审计师除出具否定意见的审计报告之外，还应及时将具体情形报告监管机构，以使监管机构在第一时间判断问题的性质和严重性，并采取应对措施。

　　4、监管机构、审计师和银行的合作商讨机制――三方联席会议（trilateral meeting）

　　三方联席会议通常每年举行一次，三方指监管机构、审计师和银行，联席会议由监管机构召集，目的是为审计师和银行提供直面交流的机会，以使审计师发现的问题能够及时反馈给银行和监管机构，同时在监管机构的压力下敦促银行尽快采取整改措施。三方联席会议中监管机构并不作为高高在上的监督者出现，而是以平等的姿态与审计师和银行进行交流，并以“道义劝说”和“君子协定”等非强制性手段敦促银行及时履行法定义务。同时，三方联席会议也是信息沟通与交流的平台，监管机构可以通过会议了解银行存在的问题，及时采取应对措施；审计师可以借会议获取的信息核实或修正自己的审计结论；银行可以充分了解自己的风险弱项和管理缺陷，并就改进事宜与监管机构和审计师展开充分磋商。

　　三、中国商业银行内部监管制度的建立和完善

　　长期以来，商业银行的内部监管问题并未引起监管者和银行管理层的足够重视，商业银行的内部控制问题仅局限于学术研究和政策建议层面上，并没有从规则、制度和观念上付诸实施。随着我国银行业对外开放步伐的加快，尤其是加入世贸组织后我国银行业的运作格局和经营理念发生了重大转变，单纯依靠外部监管已无法适应我国商业银行尤其是跨国银行发展的要求，因此近几年无论是监管者还是银行自身，都认识到内部监管对银行稳健经营的重要性，为此监管机构出台了一些规范性法律文件，对建立和完善我国商业银行的内部控制体系提出了框架性要求，其中最为重要的文件是2002年9月中国人民银行公布的《商业银行内部控制指引》（以下简称指引）。

　　指引对商业银行内部控制体制的构建提出了基本要求，要求内部控制必须包括内部控制环境、风险识别与评估 、内部控制措施 、信息交流与反馈、监督评价与纠正五项内容，并分别对银行授信业务、资金业务、存款及柜台业务、中间业务、会计业务、计算机信息系统等提出了具体的内部控制要求。指引本身不具备法律拘束力，但中国人民银行将依据指引对商业银行作出的内部控制评价结果作为商业银行风险评估的重要内容，同时该结果也是中国人民银行进行市场准入管理的重要依据，因此指引所规定的内部控制要求对商业银行还是具有事实上的约束力的。

　　从指引的框架来看，基本上借鉴了巴塞尔委员会《内控框架》和英美等国商业银行内部控制规范性文件的规定，甚至在某些业务领域（如授信业务）还超出了国际上的一般内控要求。从制度完备性角度来说，指引的原则性规定已经形成了我国商业银行内部控制的基本框架，但内控机制并不独立于银行管理体制而存在，而受制于银行业发展水平和银行业诚信水平，同时与配套制度（如内外审计制度、现场检查制度、资信评级制度等）关系极为密切。在这些方面，我国与英美等西方国家的差距最为明显：

　　首先，我国商业银行固有的粗放经营作风，不可能因为指引的颁布而得到根本性改观。尽管国有商业银行近几年在深化改革、转换机制上作出了不懈努力，但其盈利模式并没有根本性改变，效益并没有得到显著提高，最明显的表现是在经历了坏帐剥离阵痛后，银行不良资产率仍居高不下。而内部控制的建立是需要成本的，这一成本一方面表现为内部控制本身所需要的人力、物力等资源成本，另一方面则表现为制止银行高风险或违规经营所致的银行盈利机会减少。如果商业银行固有的传统粗放经营模式不能得到根本性改变，那么内部控制很大程度上将沦为银行经营行为的附属物。尤其在加入WTO后银行同业竞争日趋激烈的情况下，我国主要商业银行原先积聚的不良资产不仅无法消化，而且数额还在不断攀升，当资产流动性锐减、支付危机袭来时，商业银行罔顾内控原则，违规经营或高风险经营的可能性仍然存在。

　　其次，从国外的内部控制结构来看，其内部稽核部门大多属于董事会直接领导，内部稽核负责人与机构或部门负责人（行长、经理）是平行的监督检查关系。如此，内部稽核的委托关系明确，职能明晰，稽核效率高，且不受银行行政管理层的干预，内部稽核的独立性得到了制度性保证。我国的商业银行显然无法实现内部稽核的超然独立性，虽然指引强调“内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道”，但从银行的组织架构看，银行的内部稽核部门一直以来就隶属于各级行长、经理领导，其人事任免、稽核资金、人员配备等都受制于日常管理层，这样的内部控制实际上是自体对自体的监督和控制，在我国基层银行行长经理权力极度膨胀的情况下，基层稽核部门的内部控制无异于形同虚设。震惊全国的中国银行开平支行案件充分暴露了我国商业银行现行稽核制度的软弱无力。[18]

　　再次，内部控制制度缺乏足够的约束力，常常造成有章不循，违规运作的结果。自指引颁布后，我国商业银行的内部控制制度日益完备，制度本身的漏洞已相对减少，关键在执行环节上，制度要求被人为地随意扭曲，以致银行内部控制机制失灵，失去了应有的约束力。以授信控制为例，指引要求商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人。但实际操作起来，许多银行机构却扭曲了这一程序，许多企业个人贷款，不是先向信贷部门提出申请，然后由信贷员进行必要的信用分析，逐级上报审批；而是直接先找主管领导，再自上而下层层指派，最终再由具体经办人员进行办理。这种逆向操作不仅人为掩盖了借款人的信用风险，而且使银行的正常业务秩序和内部控制程序遭到干扰和破坏，造成有章不循、肆意妄为的不良后果，严重影响了银行业务的安全性和稳健性。

　　最后，与内部控制相配套的一些制度，如内部控制评价、内外审计、资信评级等还没有真正建立起来，使得内部控制的效果大打折扣。内部控制是一种综合控制系统，需要稽核、检查、评价、审计、纠正等多种制度相配套才能发挥自我约束、自我纠正、自我发展的作用。而我国商业银行内部控制制度的建设还只是近几年的事，更毋论内部控制评价、内外审计和资信评级等配套制度的建设了。以内部控制评价为例，有效的内部控制评价对提高内部控制质量，提供监管数据，发现风险隐患实行早期预警具有重要的作用。但我国商业银行目前的内部控制评价却是空有其名，并无其实，不仅内部控制评价主体缺位，而且内部控制评价也没有统一客观的标准，主观随意性过大，达不到审慎评估的效果。作为内部控制的一项重要配套制度，内部控制评价的约束力也没有得到银行管理层应有的重视，没有与内部控制审计和纠正机制挂钩，对不合格机构的监管处理也不到位，严重制约了内部控制的实施效果。

　　从我国商业银行内部控制的具体情况分析，我国商业银行与西方发达国家银行在内部控制上的差距主要并不在于内部控制标准本身，在指引等文件颁布后我国商业银行内部控制标准已基本上与国际惯例接轨，目前银行内部控制存在的问题主要是银行管理体制、配套制度和执行上的问题。我国商业银行内部控制的完善应辨症施治，从上述症结入手，探讨完善我国商业银行内部控制的具体举措。

　　首先，应摆脱来自业务和行政部门的干预，确立银行内部稽核部门的独立性。目前我国的商业银行大多实行一级法人下的分支行长负责制，行长既是资产所有者代表，又是银行经营决策者，同时还是银行内部稽核工作的负责人。带有利益冲突的多项职能集于行长一身，使行长的权力过于膨胀，同时也压缩了从制度上约束行长权力的空间，使稽核体制很大程度上成为行长履行职权的附属物。因此，有必要仿效英美银行，在银行董事会下设独立的内部稽核部门，将稽核权统一交由总行行使，由总行稽核部门派出稽查人员，对各分支行的业务情况进行稽核。如此，可以从制度上保证银行稽核部门的独立性，免遭基层业务部门的干预。

　　其次，我国应尽快确立对商业银行的外部审计制度。外部审计制度是商业银行内部控制重要的配套制度，从国外的实践来看，这项制度对补充内部控制的不足，发现内部控制的缺陷和增强银行自我约束的能力具有重要的作用。我国目前对商业银行的审计主要还是《商业银行法》第63条规定的国家审计，即由国家审计机关对国有金融机构财务收支的真实性、合法性和效益性进行的审计监督。国家审计实际上是国有资产管理的一种手段，其审计范围有限（仅对国有金融机构的财务收支情况进行审计），审计透明度不高（审计结果不对社会公布），审计力量有限（审计机关无法对商业银行的所有分支机构进行有效审计），因此，已经不适应防范化解商业银行金融风险的需要。我国应借鉴国外监管界的有益经验，建立我国对商业银行的独立审计制度，作为商业银行内部控制的必要而有益的补充。

　　1、商业银行外部审计的目标。

　　根据财政部1996年颁布的会计报表独立审计第1号准则第2条的规定，独立审计是指注册会计师依法接受委托，按照独立审计准则的要求，对被审计单位的会计报表进行必要的审计，获取充分、适当的审计证据，并对会计报表发表审计意见。具体到商业银行的外部审计，目标更为明确，即根据国际公认准则和我国企业会计审计准则，独立注册会计师或审计师对商业银行财务报表进行审计，就其合法性、公允性以及会计处理方法的一贯性发表审计意见，以提高财务信息的可靠性和公信力。

　　2、外部审计的标准。

　　国外商业银行的外部审计一般都有专门的审计标准，譬如，英格兰银行要求会计师遵循英国审计实务委员会制定的“英国银行审计指南”、审计标准说明第620号“金融领域审计师对监管机构的权利与责任”和实务注意事项第3号“审计师向英格兰银行报告的权利和责任”等的要求，以保证外部审计工作的质量。而我国目前专门针对商业银行而制定的审计准则和规范匮乏，具体审计工作缺乏标准可循，以一般企业的审计标准来审计商业银行只是权宜之计。因此，一方面监管机构应会同审计主管部门尽快制定专门的商业银行外部审计准则，另一方面，在具体审计工作可以参考其他国家的惯常审计标准，以弥补我国商业银行审计标准的空白。

　　3、商业银行外部审计的内容

　　根据中国注册会计师协会制定的《独立审计准则第一号：会计报表审计》的规定，会计师对商业银行的外部审计主要包涵以下三项内容：（1）审查银行会计报表的编制是否符合企业会计准则及国家的有关规定；（2）会计报表在所有重大方面是否公允地反映了被审计单位的财务状况、经营效果和资金变动情况；（3）会计处理方法的选用是否符合一贯性原则。

　　除了上述法定审计的内容外，监管机构还可以委托会计师对银行的财务报表进行审计，对监管机构所感兴趣的问题进行逐项审计，其审计结果可作为监管机构现场检查和非现场检查的有益补充。

　　4、商业银行外部审计的频次

　　在我国，外部审计只能作为外部监管和内部控制的辅助手段，难以独力进行，较为可行的作法是由监管机构启动，与监管机构对银行的现场检查同时进行，作为监管机构现场检查的补充手段。与我国对商业银行进行现场检查的频次相对应，外部审计工作也应每年至少进行一次。外部审计和现场检查的项目一般不应重叠，应各有侧重，如外部审计可重点对银行内部控制制度和风险管理制度的健全程度进行审查，而现场检查可重点审查银行在具体业务上的风险程度，二者可以互相配合，取长补短，如现场检查的结论可作为外部审计的资料，对现场检查存在疑惑的问题可以交由会计师进行专业的审计，外部审计和现场检查的结论可以相互佐证等等。

　　5、审计结论的信息披露

　　审计结论的信息披露应区分为两种情况：法定审计结论必须在大众传媒上定期公布，以达到“市场约束”的效果；委托审计结论则仅供监管机构实现监管目的使用，除非经监管机构同意，不得擅自披露。目前我国商业银行的外部审计主要是对银行年度财务会计报表的审计，所以法律仅要求商业银行强制披露对银行年度报告的法定审计结论。随着我国银行财会水平的提高和外部审计作用的扩大，所披露审计结论的范围也会不断扩大。

　　再次，健全商业银行内部授权审批机制，保证资产运用的安全性。长期以来，我国商业银行内部监管一直未能解决银行内部的授权管理问题，造成有的分支机构权力过大，资产风险失控，有的分支机构则权力太小，经营受到限制，业务难以正常开展。从国外的经验看，商业银行的授权管理应秉持以下一些基本原则：（1）必须由商业银行总行进行统一授权，商业银行应在法定经营范围内，对其业务职能部门和分支机构实行逐级有限授权；（2） 商业银行应根据和业务职能部门和分支机构的经营管理水平、风险控制能力、主要负责人业绩等，实行区别授权；（3）商业银行应根据各业务职能部门和分支机构的经营管理业绩、风险状况、授权制度执行情况及主要负责人任职情况，及时调整授权；（4） 业务职能部门和分支机构超越授权，应视越权行为性质和所造成经济损失，追究主要负责人及直接责任人相应的责任。要实现权责一致。主要负责人离开现职时，必须要有上级部门做出的离任审计报告。以上原则也是我国商业银行内部授权管理今后所应着力完善的方向。

　　最后，建立和完善银行内部控制评价机制，提高银行内部控制评价的约束作用。内部控制评价是商业银行对自身内部控制的制度建设、执行情况定期进行回顾和检讨的机制，其实际效果是对内部控制机制本身的检查和监督，是对内部控制的“再控制”。从制度上完善内部控制评价机制，当务之急是建立一个专门的内部控制评价委员会（可作为董事会的专门委员会而存在），解决我国商业银行内部控制评价主体缺位的问题，内部控制评价委员会的组成成员可由稽核人员、被评价单位经营或主管人员、上级单位业务主管人员、外部专家等构成；其次，应完善内部控制评价的指标体系，以控制环境、风险评估、控制活动、信息与交流、监督评价等五项公认的要素为主要指标进行定性分析，再辅之以一定的定量指标，建立科学合理的评价指标系统；再次，在技术条件成熟的银行可考虑运用信息技术等高科技手段辅助评价人员进行内部控制评价工作，以改变传统手工填写的检查评价方法；最后，应强化内部控制评价的惩戒和约束作用，将内部控制评价结果纳入银行经营机构的经营绩效考核内容，在此基础上建立对业务、人员乃至整个经营机构的惩戒机制，例如可以对内部控制不合格的业务部门采取暂停业务，对内控失职的人员进行内部警告，对违规的机构进行停业整改等等。

　　蔡奕