自上世纪90年代以来，我国商业银行在走向市场化的过程中开始实施内部控制，但随着商业银行内部控制的实施，金融风险不但没有下降反而越来越高。究其原因是多方面的，但其中重要的原因之一就是我国商业银行传统的内部控制模式存在着严重的问题。内部控制的思路和方式与金融风险的控制方向相背离，致使内部控制低效，由此导致金融风险的案例屡见不鲜。2001年，中国银行广东开平分行前后三任行长把大量银行资金转移到海外，总金额近40亿元；2003～2004年建设银行、光大银行、中信实业银行相继被骗，贷出近300笔汽车贷款，涉案金额达1.4亿余元；2005年，中国银行哈尔滨分行河松街支行原行长高山勾结外人，通过地下钱庄将存款转移到了境外，涉案的资金总额超过10亿元，等等。这些案件的背后，都离不开商业银行微观治理的基础——商业银行内部控制的有效性严重不足，商业银行在内部控制环节有很多需要改进的地方。
　　
　　一、内部控制的含义及组成
　　
　　内部控制一词，最早出现在1936年美国会计师协会发布的《注册会计师对财务报表的审查》中，指为保护现金和其他资产，检查账簿记录准确性，而在公司内部采用的各种手段和方法。对于商业银行的内部控制，世界各国尚没有统一的定义。按照中国人民银行《商业银行内部控制指引》的定义，内部控制是指商业银行为实现经营目标，通过制定一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。其实质就是风险管理。
　　所谓有效的内部控制包含有四层含义：其一，它是无时不控的，贯穿于业务操作的始终；其二，它是无处不控的，与业务的速度和空间同步，甚至有所超前，以体现内控优先的思想；其三，它是无人不控的，上到管理当局，下至基层组织，只有内部控制才是至高无上的；其四，它是无事不控的，小业务要控，大事情更要控，一切经营管理活动无不在其控制之下进行。
　　美国审计权威COSO认为，商业银行内部控制系统是一个完整的有机体，由五大部分组成：1、控制环境，是所有其他内控组成部分的基础；2、风险评估，是识别和分析妨碍实现经营管理目标的因素，是对风险的分析评估，构成风险管理决策的基础；3、控制活动，是为了保证经营管理目标的合理实现、指导员工实施管理指令、管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等；4、信息与交流，存在于所有经营管理活动中，使员工得以收集和交换为开展经营、从事管理和进行控制等活动所需要的信息，包括管理者对员工工作业绩的经常性评价；5、监督评审，是经营管理部门对内控的管理监督及稽核监察部门对内控的再监督与再评价活动的总称。巴塞尔银行监管委员会在这些先进内控模式和经验的基础上，提出了《银行内部控制框架》13项原则，把内控的目标分解为操作性目标、信息性目标和合规性目标，为各国商业银行内部控制制定了可供借鉴的模式和方向。
　　
　　二、商业银行内部控制模式的重构
　　
　　我国商业银行传统的内部控制由于受目标管理的影响，普遍采用了内容控制的方式，过度地强调目标的实现与控制，忽视了规范化建设，结果造成了短期有效之后的长期失效或低效，加大了银行的经营风险。而商业银行实施内部控制的主要目的是规范人们的行为，最大限度地降低风险。根据COSO报告和ERM的要求，结合我国商业银行风险控制的实际情况，借鉴国外金融风险防范的先进经验，应采用系统的手段和方法重构我国商业银行的内部控制模式，利用控制模式的约束来规范人们的行为，达到实现内部控制目标的目的。
　　(一)环境子系统的建设是内部控制模式有效运行的基础
　　控制环境是指对商业银行内部控制的建立、实施及效率产生影响的各种因素的统称。良好的内部控制环境是内部控制模式有效运行的基础。内部控制环境在很大程度上决定着内部控制的实施效果，其建设目的是要塑造商业银行的文化并影响其员工的内部控制思想。根据COSO报告的要求和我国商业银行内部控制的实际情况，确定内部控制环境建设的主要内容包括：诚信机制与道德价值观、员工能力的培养、领导机制与风格、经营方式与组织机构、责任与授权等。通过以上几方面的建设，形成商业银行风险控制的良性内部控制环境，并利用环境本身所具有的特定功能和作用，迫使内部控制事件及控制人员按照规范的行为和程序进行有效工作，从而达到有效控制的目的。目前我国商业银行内部控制的环境建设还比较薄弱，环境建设位于内部控制模式的外围，特别是商业银行管理者控制的随意性较大，它的完善程度对内部控制效果产生着重大影响。
　　(二)风险评估子系统的建设是连接内部控制目标与控制过程的桥梁与纽带
　　我国商业银行的内部控制系统应以风险控制为先导，最大限度地减少内部控制的实施效果与预期目标之间的差距。风险评估在内部控制模式中起着评估风险、修正标准和应对风险三方面的重要作用，评估风险是根据对控制目标和控制活动的比较分析进行的，通过选择合理的程序和有效的方法，实施对商业银行内部控制风险的评估，确定风险的大小；完成风险评估以后，要根据所评估风险的大小，通过风险评估的标准修正内部控制过程的标准，以保证控制活动的有效性；与此同时，根据风险评估的结果和控制目标的要求，将风险应对策略应用于内部控制过程，以最大限度地减少内部控制风险。
　　(三)过程管理子系统的建设是内部控制模式的核心
　　控制过程是内部控制系统的核心，也是降低商业银行风险的关键。根据COSO报告的要求，有效的内部控制是以要素控制为主体的控制系统。商业银行内部控制过程管理包括：控制标准的制定、设置控制系统、执行控制系统以及必要的结果检查等；商业银行的每项经营和管理活动都应有恰当的风险监控，以保证内部控制指令得到全面的执行；及时有效地化解相关风险，以保证控制系统的有效性。
　　(四)信息与沟通子系统的建设是内部控制模式有效运行的重要手段
　　建立有效的信息与沟通系统，是商业银行内控模式有效运行的重要手段。包括内控系统岗位员工通过内控责任的履行，发现可疑和不轨行为是否及时将传递给管理层，管理层是否将内控以一定方式及时转达给有关人员有效履行其内控职责，达到内控的预期效果；内部控制系统当中每位员工和每个内控管理部门所负有的内控管理的交流职责、交流渠道、交流方式、交流时间是否真正明确；内控的上传下达和横向交流手段与方式是否切实可行、及时有效等。根据有关学者的研究，加强对商业银行内部控制信息的披露，有利于提高内部控制的效果。商业银行内部控制的信息与沟通系统，把商业银行的内部信息与外部信息联系在一起，通过信息的传递、接收、整理与使用，协调控制过程的各种矛盾，减少内部控制中的各种摩擦，通过信息渠道还可以及时传递各种内部控制信息，实现有效的沟通，以减少因缺乏沟通而产生的风险。以上构建的内部控制框架采用双向的信息传递通道，利用信息通道把内部控制的诸要素有机地结合起来，以便于内部控制部门及人员之间的沟通，同时又能够把每一个要素或过程的实施效果信息反馈到前一个要素或过程，以提高内部控制模式运行的有效性。随着我国市场经济的发展，商业银行内部控制系统中信息与沟通的作用越来越大，加强商业银行内部控制模式中的信息与沟通子系统建设，对提高内部控制的有效性及减少商业银行风险损失等都具有十分重要的现实意义。
　　(五)监督子系统的建设是内部控制模式有效运营的重要保障
　　商业银行的内部控制监督是指对实施内部控制人员的行为以及内部控制的设计和运作的过程，按照预期目标或控制标准所进行的监视及督察。监督活动一般由持续监督和个别评估所构成，持续监督是对内部控制活动的过程实施的不间断的监督，属于过程监督。个别评价是对内部控制的特定事件或结果进行的控制性评价，属于重点监督。商业银行内部控制的监督子系统也是一个动态的过程，对内部控制的整个过程和全部内容实施控制，并不断地把监督的信息反馈到内部控制的有关环节，以进行有效的商业银行风险控制。因此，它是促进内部控制有效运行的重要保障。
　　(六)测试与评价子系统的建设是内部控制有效运行的有效措施
　　商业银行的内部控制测试与评价子系统包括健全性测试、符合性测试、实质性测试和综合评价。商业银行内部控制的测试与评价是内部控制系统的有机组成部分，也是促进其有效运营的一个有效措施。提高商业银行内部控制的有效性，就必须加强内部控制测试与评价的规范性。