随着信息科技的发展和全球化进程的加快，企业经营环境越来越复杂，利益相关者对透明度和受托责任履行提出了更高要求，内部控制与风险管理、公司治理之间的关系也日益复杂。与此同时，我国政府监管部门也极为重视内部控制相关规范的建设，2008年财政部等五部委联合发布了《企业内部控制基本规范》（以下简称基本规范），2010年又发布了应用指引、评价指引、审计指引等配套指引，2014年9月，银监会发布了《商业银行内部控制指引》（以下简称新指引），以此取代2007年发布的《商业银行内部控制指引》（以下简称旧指引）。商业银行作为较特殊的一类企业，利益相关者众多、行业监管严格，其内部控制规范也受到了更多的关注。

一、新旧商业银行内控指引的对比

（一）新指引对内部控制的定义更强调员工的共同参与，不再局限于风险控制

旧指引将内部控制定义为“对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制”，新指引将内部控制定义为“商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制”。比较可以发现，新指引对于内控的定义更强调治理层、管理层及全体员工的共同参与，这意味着商业银行内部控制的建设有赖于良好的治理文化、合规理念、协作意识的培养和建立。同时，内部控制也不再仅仅是围绕风险的事前、事中和事后管理，而是实现控制目标的动态过程和机制，由此内部控制系统的内容也更加宽泛了。

（二）新指引在目标与原则上更加突出了受托责任的履行

新指引关于目标和原则的界定都更加体现了确保受托责任有效履行的理念。就目标而言，新指引也是涉及法律法规遵循、报告信息质量、风险管理有效性、战略经营目标实现四个方面，更加强调内部控制要以确保报告信息的真实、准确、完整和及时，此处的信息不仅仅是财务信息，还包括了业务记录及其他管理信息。就原则而言，新指引提出了“全覆盖、制衡性、审慎性、相匹配”的原则，尤其强调了内部控制“贯穿决策、执行和监督全过程”，不仅包括业务流程，也包括治理结构，这也体现了受托责任关系在治理层面和业务层面的延伸。

（三）新指引在内容结构上并没有按照通用的“五要素框架”进行安排

总体上来看，旧指引基本上是按照“五要素框架”进行架构，新指引保留了总则部分，后面则分为“内部控制职责”、“内部控制措施”、“内部控制保障”、“内部控制评价”及“内部控制监督”等内容，未提及普遍使用的“五要素框架”。如果将条款内容按照“五要素框架”对应，“内部控制职责”以及“内部控制保障”的部分内容可以归入“控制环境”，“内部控制措施”可以归为“控制活动”，“内部控制保障”部分内容与“信息与沟通”相关，“内部控制评价”与“内部控制监督”则可归入“监督活动”，唯独缺少了“风险评估”要素，这也是值得关注的一点变化。

（四）新指引突出强调了对内部控制的持续评价

二、新指引与基本规范的对比

（一）定义及目标方面的差异

和基本规范相比，新指引对内部控制的定义有两点不同：一是强调了内部控制包括“系统化的制度、流程和方法”；二是认为内部控制既是“过程”，也是“机制”，而基本规范只将内部控制界定为一个“过程”。关于内部控制的目标，基本规范强调“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。与之相比，新指引有两点差异：一是信息真实完整的目标中强调信息不仅仅是会计信息和财务信息，还包括业务记录和其他管理信息；二是突出了要保证“风险管理的有效性”，这显然是考虑了银行风险管理职能的重要性。

（二）结构上的差异

基本规范完全采用了“五要素框架”，新指引没有采用该框架，特别是没有单独设立章节规范“风险评估”和“信息与沟通”这两个要素，而是将其贯穿于各章节中。此外，新指引在内部控制的监督与评价方面的要求更加具体，如在第43条明确了商业银行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责；“内部控制评价”更是单独成章，对商业银行内部控制自我评价提出了详细的要求。

（三）职责界定方面的差异

与基本规范相比，新指引对高管层职责的界定更为具体，但没有突出审计委员会的职责。新指引第10条明确，“高级管理层负责执行董事会决策；负责根据董事会确定的可接受的风险水平，制定系统化的制度、流程和方法，采取相应的风险控制措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行；负责组织对内部控制体系的充分性与有效性进行监测和评估”。基本规范对审计委员会的职责描述更为具体，如第13条规定，“企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等”。

（四）内部控制措施方面的差异

基本规范从更具普适性的角度强调不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等控制措施。新指引放弃了旧指引针对不同业务的具体措施，兼顾了不相容职务分离、授权审批和会计系统控制等措施，同时强调了商业银行的6个特别控制措施，即业务系统的自动控制，重要岗位的轮岗或强制休假制度，员工行为的监督制度，新机构、新业务、新产品评估制度，外包管理控制，客户投诉处理机制等。

三、银行监管部门应关注的几个问题

（一）定位不明确，难以融入内部控制规范体系

五部委联合发布的内部控制制度规范形成了“基本规范+配套指引+解释公告”的模式，配套指引由应用指引、评价指引、审计指引组成，涉及银行、证券、保险等业务的指引是属于应用指引的范畴。配套指引中的应用指引分为三类，即内部环境类指引、控制活动类指引、控制手段类指引。笔者认为，从结构和内容来看，银监会发布的新指引难以作为应用指引的一个组成部分。考虑到银监会还发布了《商业银行内部控制评价试行办法》、《融资性担保公司内部控制指引》等文件，笔者建议银监会应当考虑兼顾不同类型银行机构和非银行机构的业务经营和风险管理特色，构建一个统一的内部控制规范体系，有效发挥监管指引的作用。

（二）过去原则导向一定程度上削弱了其实用性

银监会在征求意见公告中明确表示，新指引“体现原则导向,不涉及具体业务”，“只是从总体上提出内部控制的原则性要求”。过于原则导向可能导致三个方面的问题：一是商业银行内部控制方面的特点体现不够充分，新指引中对商业银行特有的内部控制要求体现的并不多；二是过于原则性的条款描述难以直接作为建立内部控制框架的指引，这也是新指引难以作为基本规范配套应用指引一部分的原因之一；三是对监管人员的指导作用也不如旧指引，旧指引针对具体业务的内部控制提出了明确要求，对监管人员的现场检查和评估工作更有指导意义。

（三）内部控制既是“过程”又是“机制”，容易引起理解上的混乱

笔者认为，从受托责任理论角度界定为“机制”更好。内部控制作为确保受托责任履行的一种机制，具有以下两层涵义：一是受托责任关系广泛深入到公司治理、风险管理层面，内部控制也必然与其相联系；二是内部控制系统的核心仍是作为“机制”的各种内部控制措施发挥作用。

（四）风险管理是银行机构的关键职能，内部控制与风险管理的关系不能模糊

风险管理是商业银行经营的核心职能之一，也是风险为本的银行监管导向的主题，管风险、管内控也是银监会放在同等重要位置的监管理念，新指引中并未专门提及风险管理，但可以考虑对二者的关联性进行必要的说明。