一是内控作为商业银行治理结构的重要内容。强调商业银行建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构,保证各机构规范运作,分权制衡。完善股东大会、董事会、监事会及下设的议事和决策机构,建立议事规则和决策程序。明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。建立独立董事制度,对董事会讨论事项发表客观、公正的意见。建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。
二是强化董事会的充分内控决策和责任。董事会负责商业银行建立并实施充分而有效的内部控制体系的决策,负责确保商业银行在法律和政策的框架内审慎经营,董事会负责商业银行的经营战略、重大政策、主要风险可接受水平,以保证和监督高级管理层识别、衡量、评审和控制风险,并确保高级管理层不断评审内控的有效性。董事会对建立和维护充分而有效的内控系统负有最终责任。建立独立的风险管理委员会或审计委员会行使职责。
三是强调高级管理层的控制责任。高级管理层执行董事会确定和批准的政策和策略,制定识别、衡量、监督、控制风险的程序,明确职责、权限与报告的关系,确保内控的有效执行,监督、评审内控的充分性、有效性并提出修正意见。高级管理层对内部控制体系的充分性与有效性进行监测和评估,负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
四是内控已经成为企业文化的重要组成部分。内控是一种手段和方式,更是一种文化,通过道德、观念、价值取向、氛围的形成,内控的约束才更具有生命力。通过培育良好的内部控制文化,提高员工的风险意识和职业道德素质,每个员工理解内控程序和意义及在内控中的作用,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。有效的内控体系本质上就是强有力的控制文化。
五是从部分内控向全面内控转变。以前的内控仅仅是与业务有关的内部会计控制,后来又加强了信贷风险的控制,但现在越来越把内控渗透到经营管理的方方面面,按照COSO委员会的定义,内控包括控制环境、风险评估、控制活动、信息与交流、监督评审等五个方面;巴塞尔银行业监管委员会把内控的目标分解为操作性目标、信息性目标和合规性目标,其中操作性目标包括银行的所有活动,信息性目标要求包括所有的业务信息和管理信息。所以内控已经涵盖了经营管理的所有方面和内容。
六是充分关注对银行的全面风险的评估。银行的风险状况影响银行的生存能力、财务状况、公众形象、服务质量和员工品质,银行的风险来自于内部和外部,目前的商业银行风险评估已经从信贷风险为主转向全面的风险评估,必须对来自内部和外部的风险进行全面的评估,对包括信贷、操作、财务、营运、法律、决策风险等在内的所有风险进行评估,从而为风险管理决策提供依据。
七是内控已经成为银行日常经营管理中必不可少的一部分。根据巴塞尔委员会的内控要求,银行高级管理层必须建立控制结构以确保内控的有效性,对各业务活动的控制进行规定,包括不同部门的业务控制、实物控制、风险的定期检查、审批、授权制度、复核对帐制度等;在任何阶段都必须确保银行的所有领域遵守政策和制度。有效监督内控的实际操作状况,对发现内控缺陷及时纠正。
八是强化监管当局对商业银行内控的评价和评估。监管当局要求商业银行具有充分而有效的内控制度,充分而有效地控制风险,并对商业银行的内控制度、高级管理层的内控态度、信息的完整、可靠、可获得性、内控的效率进行评估和评价,如果认定银行内控系统不充分、有效性不强,即要求商业银行采取措施整改。这已经成为监管当局日常监管和现场监管的一个重要组成部分。