作者單位：中信銀行總行·合規部

摘要：內部控制是組織“不出軌”的法寶，是企業穩健運營的必經之路，是企業愿景實現的必要保障。由于企業性質的差異，商業銀行等重視信用、聲譽的特殊行業的企業對內控更加重視，其內控的重要性更大、影響范圍更廣。本文嘗試從內控的溯源開始，挖掘內控的本質、歸納內控的特征，進而梳理內控的作用。研究發現，商業銀行內控除了企業內控的五大特征之外，還具有重要性、制衡性、適應性、盈利性和審慎性等特征，在銀行內部起到助力、糾偏、合規、嚴謹、統一等主要作用。結合近期輿論的熱點傾向，兼或點評對商業銀行內控認識的五個誤區，為商業銀行內控管理的本質、范圍與效力驗明正身。

關鍵詞：內部控制；商業銀行；企業；

企業管理特別是內部控制一直是企業界、學界關注的話題，學說林立、學派眾多、各有千秋。內部控制是確保企業“不越軌”、“不出軌”的法寶，是企業穩健運營、保持正軌的必經之路，是企業目標達成、愿景實現的必要保障。由于企業性質的差異，商業銀行等重視信用、聲譽的特殊行業的企業對內控更加重視，其內控的重要性更大、影響范圍更廣。近期，我們關注到一種潛在的業內輿論傾向，模糊內控的目標、質疑內控的作用、貶低內控的價值，這與內控的本質南轅北轍、相去甚遠，有混淆視聽之嫌。本文試圖從內控的溯源開始，挖掘內控的本質、歸納內控的特征，進而梳理內控的作用，并兼或點評對商業銀行內控認識的幾個誤區，為商業銀行的內控管理驗明正身。本文的研究架構如圖一所示，左側一列標明了研究的脈絡，中間的一列展示了研究的框架，右側的一列說明了研究的主要內容。脈絡、框架與內容相輔相成、互為補充。其中，框架是基于脈絡的研究設計，內容是基于研究框架的具體表述，基本概括了本研究行文的內在邏輯，有助于更好地理解本文的基本結構和主要內容。

一、內控的本質

要談內控的本質，需要追溯控制的本源，由此不得不引出三個問題。第一，什么是控制？第二，什么是內部控制即內控？第三，為什么強調內控而不是外控？控制是內控的前提，外控是內控的補充。理清上述三問，有助于我們層層抽絲剝繭、剖析和抓住內控的本質，更好地理解內控的影響和作用。

（一）什么是控制？

控制是管理學五大管理職能之一，在西方管理科學史中，最早由法國管理學家亨利·法約爾（Henri Fayol）提出，與計劃、組織、指揮、協調等職能并列。法約爾認為，控制就是要證實企業的各項工作是否已經和計劃相符，其目的在于指出工作中的缺點和錯誤，以便糾正并避免重犯。后續，英國管理學家林德·厄威克（Lyndall F. Urwick）把法約爾的計劃、組織、控制3個管理要素作為管理過程的3個主要職能，將法約爾的管理原則放在管理的職能之下，如在控制職能之下的職能有配備人員、挑選和安排教育人員等，進一步突出了控制在管理職能與過程中的地位?？刂频膶ο蟊容^多元，對人可以控制、對活動也可以控制，只有實現了控制才能更好地保證企業任務順利完成，避免出現偏差。在企業實踐中，控制好并不容易，控制也是一門藝術。值得關注的是，管理的五大職能并不是企業管理者個人的責任，它同企業經營的其他五大活動一樣，是一種分配于領導人與整個組織成員之間的工作。不難看出，控制是保證企業目標實現的必要手段，是企業內部管理的有效途徑。

（二）什么是內控？

由上，引出了控制的作用范圍。畢竟，控制的效力有限而非無限，相對而非絕對。內控更多的指代組織內部的控制，從作用效力和組織類型而言可以分為三個層次。一是組織內控，包括了企業、政府機關、事業單位、軍隊、學校等，每一類組織都有自己的“內規”，即內部管理要求，如我們耳熟能詳的“三大紀律、八項注意”等，就是在落實組織的內控要求。二是企業內控，細化了組織的具體形式，如《企業內部控制基本規范》所稱內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。三是具體形式的企業內控，如商業銀行、制造企業、餐飲業等，如《商業銀行內部控制指引》內部控制是商業銀行董事會、監事會、高級管理層和全體員工參與的，通過制定和實施系統化的制度、流程和方法，實現控制目標的動態過程和機制，又如《華為基本法》、《華僑城憲章》等都有一定篇幅對內部控制與過程管理提出了明確的要求。

（三）為什么重視內控而非外控？

那么，為什么組織傾向于關注內控而非外控？是否內控較之外控有著先天的優勢？根據我們的觀察梳理，主要有以下四方面原因。一是內外控實質分別代表了宏微觀的差異。相比于企業內部的微觀內控，外控更加宏觀，更不好管控、更難以駕馭和驅使。二是即便一家企業大到可以控制外部市場，除電力、水利、煤氣等公共事業型企業之外，基本都會涉及“壟斷”的嫌疑、面臨被拆分的危險。百年來一直如此，美國電報電話公司（AT&T）、微軟（Microsoft）遭遇過的多輪訴訟就是很好的例證。三是外控過多，有違市場機制和公平競爭的精神，與現在全球化、市場化的大趨勢不符。即便不被拆分，也會面臨有關企業社會責任等的疑議和挑戰。四是即便企業嘗試進行外控，也是在平衡企業盈利與成本之后的理性選擇，這一點不僅涉及“理性人”假設，還涉及到以往學界對企業邊界的討論，如“科斯定理”等。因此，企業即便嘗試外控，也會由近及遠、由淺及深，從開展上下游企業的整合與內部化開始，步入寡頭競爭或寡頭壟斷階段的企業少之又少，一般都是壟斷型的公共事業企業。與企業相仿，其他組織也面臨類似的問題，這些原因共同導致組織不約而同地關注內容而非外控。

二、內控的特征

既然以企業為代表的組織因外控難以控制、不愿控制或不準控制，而自發、自動、自覺地關注內控，那么組織的內部控制是否有一定規律可循？組織內控具有哪些通用的特點？只有摸清了這些邏輯、掌握了這些規律、熟悉了這些特點，才能夯實組織生存與發展的基礎，有助于組織實現保持“基業常青”的積極愿景。

（一）組織的內控特征

1、真實性

首先，組織必須保證各項業務與流程的真實性，這是業務開展的基礎，也是內部控制的基石。只有確保業務、流程與信息的真實，才能在此基礎上進行其他業務活動，如集約管理、流程梳理和數據分析等。一旦出現了根基不實的問題，必然撼動組織生存與發展的內部環境和良好的文化，引發各類問題。從一定意義上講，幾乎所有失敗的組織都與業務的真實與員工的誠信有關，而幾乎所有成功的組織都離不開信息的確鑿與人員的互信。

2、準確性

其次，在業務、流程、信息真實的基礎上，更進一步，還需要組織確保上述信息的準確、確鑿和無偏。這不僅僅是對真實性的進一步要求，也是組織對“細節決定成敗”的必然要求。試想，如果一些業務或數據是真實的，但在個別數據上出現了偏差，不僅導致組織的當期結果不準，還可能影響到今后若干年結論的推算，甚至引發較大的偏離。不難看出，不準確的信息在一定程度上導致了結果的失真，這是組織內部控制的深入要求。

3、完整性

再次，在確保準確性的基礎上，還需要確保業務、流程和信息的完整。不完整的業務、流程和信息恰似“斷頭路”，無法達到設定的終點；又似“無主戶”，難以完成組織的目標，內控完整性的重要意義不言而喻。不完整不僅意味著內容的缺失、業務的殘損、流程的片面或信息的錯誤，還給當前和今后的經營管理埋下了潛在風險隱患。因此，組織內控除了強調真實、準確，還需要在體系設計、體質建立和機制健全上力求完整、追求完美。

4、及時性

復次，由于組織內部的業務、流程與信息具有不同的時效性，內部控制還需要強調及時性。一般而言，組織的內控越及時越好，有利于組織在第一時間發現問題、解決問題，盡可能將矛盾控制在萌芽狀態，將負面影響降低至最小。由于控制適合于任何不同的工作，所以控制的方法也有很多種，按照發生先后有事前、事中和事后控制。不難看出，事前內控對組織最為有利，事中控制對組織比較有效，而事后控制更多地在于復審，往往時效有限。

5、全面性

最后，內部控制應當貫穿組織決策、執行和監督的全過程，覆蓋組織及其所屬單位的各種業務和事項。所以，全面性不只對組織業務、流程、信息而言，還對組織全過程、全部流程和全部環節進行管控，既有對同一時點“面”上的要求，又有對不同面上各個“點”的約束。商業銀行等以信用風險為生存根本的、特殊類型的組織甚至需要覆蓋所有的部門、崗位和人員，這既是《商業銀行內部控制指引》的要求，也是商業銀行基于自身實際提出的措施。

（二）銀行的內控特征

上述五項原則對于組織而言相對可行，具有一定通用性、普適性。而對商業銀行等企業而言，由于需要考慮成本效益等企業特征，按照《企業內部控制基本規范》和《商業銀行內部控制指引》，還有一些內控的特點或遵循的原則值得總結。在組織內控五大特征的基礎上，商業銀行的內部控制還具有以下特征。

1、重要性

《企業內部控制基本規范》提出內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域。這不僅是企業堅持的原則，也是商業銀行在內部控制領域秉承的基本態度：對重要崗位、重點環節和高風險領域必須持續開展積極的監督和管控。這一理念，已經由《商業銀行內部控制指引》分解開來，運用到其他的特點和原則之中。例如，適應性強調“隨機應變”、審慎性強調“內控優先”、匹配性強調“相互適應”等。

2、制衡性

《企業內部控制基本規范》認為內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。與之類似，《商業銀行內部控制指引》明確商業銀行內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督的機制。不難看出，制衡性的特征在于引導商業銀行建立健全平衡的監督機制，避免“一家獨大”、杜絕“權力真空”和權力“絕對集中”。

3、適應性

《企業內部控制基本規范》強調內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整?！渡虡I銀行內部控制指引》根據銀行實際，提出相匹配原則的“匹配性”，即內部控制應當與管理模式、業務規模、產品復雜程度、風險狀況等相適應，并根據情況變化及時進行調整。這并非“見風使舵”，而是強調在堅持原則的同時，注意在既定內控框架下的靈活應用與及時調適，與內外部環境相匹配。

4、盈利性

《企業內部控制基本規范》歸納提出了成本效益原則，在此我們稱之為“盈利性”，即內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。作為企業的一種，商業銀行也不例外，實施內部控制不能不考慮成本與收益。其中，商業銀行的盈利一般貫穿于各個業務條線和各類產品之中，與之同時其內部的管控正建立在各個業務板塊和各個流程之上，用以更好地引導分支機構開展業務，實現成本與效益的最佳平衡。

5、審慎性

《商業銀行內部控制指引》基于商業銀行的特征明確其內部控制應當堅持風險為本、審慎經營的理念，設立機構或開辦業務均應堅持內控優先。商業銀行作為一種享有國家或地方政府信用的風險管理機構，面臨著各類風險的沖擊，需要不斷在盈利與風險之間建立平衡（蔡寧偉，2105），被形容“在刀尖上跳舞”。并且，商業銀行的存續不僅關系到自身安危，還關乎廣大的客戶甚至波及國家信用體系，因此其經營管理必須始終堅持審慎、合規的原則。

三、內控的作用

在追溯了內控的源起、歸納了內控的特征特別是組織以及商業銀行為代表的企業特征之后，就不得不提及內控的作用。也就是內控對于組織的意義在哪？內部控制可以給組織帶來哪些好處？這不僅是內控職能在組織日常經營管理中的價值體現，也是內控機制在組織生命周期中的過程展現。

（一）助力——實現組織愿景

內控的作用首先在于助力——助力組織實現其愿景。既然組織是建立在若干子組織、若干群體和若干個體之上，想要實現組織的目標并不簡單。因此，試圖達到內控的目標并不容易，控制和內部控制也是一門藝術。管理的五大職能并不是企業管理者個人的責任，它同企業經營的其他五大活動一樣，是一種分配于領導人與整個組織成員之間的工作。不難看出，內部控制是保證企業目標實現的必要手段，是企業內部管理的有效途徑。

（二）糾偏——保駕業務發展

內控的作用其次在于糾偏——全力保駕業務發展。從組織的角度看，不是所有組織要求都能嚴格落實，落實的方向常常出現偏差、落實的程度往往存在差距；從管理者的角度看，應確保企業有計劃，并且執行，而且要反復地確認修正控制，保證企業社會組織的完整；從員工的角度看，由于個體特質的差異，員工的理解、領悟能力和執行力都存在著不同程度的差別，甚至千差萬別。因此亟待內控及時發現問題、糾正偏差，堅持在正確的道路上前行。

（三）合規——護航流程規范

內控的作用再次在于合規——努力護航流程規范。當某些控制工作顯得太多、太復雜、涉及面太大，不宜由部門的一般人員來承擔時，就應該讓一些專業人員來做，即設立專門的檢查員、監督員或專門的監督機構。如果說前文的“糾偏”是一種組織的自我糾正手段，是一種對既有負面問題的改正，那么合規則是正面引導，是對組織內部機制的積極落實。綜上，合規不僅是一種內部控制的手段，還是一種倡導循規蹈矩的文化，時刻為規范業務流程護航。

（四）嚴謹——激發系統管控

內控的作用復次在于嚴謹——大力激發系統管控。組織的很多目標往往需要通過項目管理、業務改革、流程優化等來實施，從而層層推動達標。這一過程有的內容比較復雜、有的周期較長、還有的需要多個部門相互配合，可視為一種“系統工程”。為避免這一過程中存在的潛在風險隱患，在糾偏、合規的作用之外，還需要突出內控的嚴謹作用。因此，一些組織選擇系統管控的方式來進行內部控制，避免人為因素的影響、降低操作風險發生的概率。

（五）統一——覆蓋全部項目

內控的作用最后在于統一——致力覆蓋全部項目。所謂全部項目，不僅僅包狹義的企業項目，也包括了廣義的各類組織業務、產品和服務。COSO[COSO內部控制框架是美國證券交易委員會唯一推薦使用的內部控制框架。]內部控制框架認為，內部控制系統是由控制環境、風險評估、內控活動、信息與溝通、監督五要素組成，它們取決于管理層經營企業的方式，并融入管理過程本身，其相互關系可以用其模型表示。因此，所謂的覆蓋實質是“全覆蓋”，是標準統一基礎上的對所有業務種類的統一管控。

四、銀行內控的誤區

既然內控對組織而言有這么多有利的作用和積極的影響，那么為什么在企業內部還存在一些反對的聲音？其中的原因之一，正是緣于內控的“糾偏”作用，特別是指出內部人的錯誤或問題，引起了企業部分員工的逆反心理和不自覺的抵抗甚至對抗行為。在此，我們以商業銀行為企業的樣本，舉例說明對內控認識可能存在的五類主要誤區。

（一）內控影響業務發展

首當其沖的一種誤區是內控影響了業務發展，有的甚至認為內控就是反對業務開展，是業務衍生的“絆腳石”，是業務成長的“阻路石”。如果我們理解了內控的定義，這一誤區很容易迎刃而解。從更廣義的企業層面看，COSO指出：控制活動指為確保管理層指示得以執行，削弱風險的政策即做什么和程序即如何做，它們有助于保證采取必要措施來管理風險以實現企業目標。其中，控制活動貫穿于企業內部所有層次和部門，包括一系列不同的活動，如批準、授權、查證、核對、復核經營業績、資產保護以及職責分工等。這些內控的要求已經作為紐約證券交易所上市公司的基本條件，紐交所的上市公司必須引進COSO內部控制框架，整合現有內部控制，而必須達到的要求。國外如此，國內也如此，就商業銀行的專屬監管基本制度而言，《中華人民共和國商業銀行法》明確規定：商業銀行應當按照有關規定，制定本行的業務規則，建立、健全本行的風險管理和內部控制制度?？梢?，內控已經成為商業銀行成立和發展的必備條件之一。內部控制不僅是商業銀行業務開展的基礎，更是其業務準入的底線。只有在建立健全了內控這一基石上，才可以去憧憬和規劃未來的業務發展。

（二）內控制約產品創新

接下來的一種誤區是內控制約了產品的創新，認為內控恰恰是新產品、新業務甚至新業態的阻礙，正是由于內控的存在，使得一些新鮮事物“出師未捷身先死”。事實上，無論是內控的本質、特征和作用，從來都沒有否定任何新產品、新服務和新業務的內涵。新業務的開展，恰恰需要內部控制和內部管理的輔助，正因為沒有規則，才需要制定規則——“沒有規矩，無以成方圓”。只有在一定規則的約束和要求下，才能保障業務的穩健和可持續發展。由于內控對新產品的重要性，對控制的主體即內部管控人員同時提出了更高的要求。商業銀行的內控人員一般需要具備豐富的專業從業經驗、持久的專業精神、敏銳的觀察力、情境化的決斷力，能夠觀察到工作中的錯誤，及時地加以修正和改進，當有偏差時應該當機立斷決定該怎么做。內控人員需要發揮其“導師”、“顧問”和“助手”的作用，指導員工特別是新員工完成創新、參與某些新產品的設計和研發、輔助員工合規進行操作。在商業銀行中，無數案例已經驗證了這樣的事實：沒有內部控制的業務無形中放開了風險的敞口，失去內部控制的產品無形中擴寬了犯錯的可能，2008年美國的次貸危機正是內控失效的反面典型。

（三）內控不能創造效益

還有一種誤區近年來喧囂塵上，認為內控不能創造價值或者難以創造價值。這一誤區的基調或者源頭之一，來源于21世紀初中資商業銀行的前中后臺分離，內控部門一般處于中臺甚至后臺的位置，起著防控風險的主要職能，不能直接面對客戶。這一誤區的謬誤關鍵在于只看到表象，而沒有發掘內控的實質。其一，從目的上看，前中后臺分離的起因恰恰源自商業銀行對風險管控的要求，這是其為提升內部風控水平、優化內部流程而進行的一次變革，西方商業銀行已經在20世紀末期率先完成并取得了較好的實效。其二，從價值上看，風險就是潛在損失，就是價值的負增長，特別是一些風險事件和內部案件引發的法律風險、聲譽風險給商業銀行帶來了很大的損失，有的甚至引發信用風險和擠兌危機，導致百年老店的倒閉。其三，從過程上看，操作風險等風險類型因其難以預測性、多樣性和隨機性（蔡寧偉，2015），使得商業銀行被譽為在“刀劍上跳舞”，這導致內控部門的職責很重。因此，唯有依法合規經營、加強內控合規管理，才能確保銀行業務的健康有序，才能實現銀行的穩健發展。綜上，內控創造價值的界定難以撼動、無可厚非。

（四）內控是內控部的事

另外的一種誤區有關內控的職能和范圍，認為內控就是內控部門一家的事情，無論哪個部門、哪條業務線、哪種業務和產品出了問題，都需要內控部門來統一解決。這一觀點存在對管理主體的偏執和對內控部門職能的夸大。一般而言，商業銀行的內控部門是全行內控管理的牽頭部門，而內控管理的各項工作是分散在各部門、各環節中。內控部門有組織和監督各部門和分支行開展員工行為管理的職責，這一點責無旁貸；人力資源管理部門作為人事主管部門，主要把好進人關、用人關、育人關、識人關和勞動紀律關；而內部組織架構中包括全部業務條線的每個團隊負責人，是這個團隊員工行為管理的首要責任人，對所轄業務和人員承擔主體責任。因此，銀行內控管理的實質是全部門參與、全流程參與、全員參與，絕非僅僅一個部門的事情。所以，要堅決杜絕內控是內控部門的事、業務部門和團隊負責人不抓業務流程和員工行為管理的錯誤認識。這一點，中國的監管機構看得非常透徹，無論是相關文件還是領導的講話都多次提到存在的問題和內控的要求，甚至在近年來的系列文件中反復強調“看好自己的門，管好自己的人”的要求（尚福林，2013；2014；2015）。

（五）內控要運動式開展

比較常見的一種誤區是有關內控的開展方式，認為內控是一項活動，具有短期性、階段性、粗放性、局部性的運動特征。事實上，商業銀行的內控是一項長期的、日常的、細致的、系統的工作?！渡虡I銀行公司治理指引》明確提出其董事會應當持續關注商業銀行內部控制狀況，建立良好的內部控制文化，監督高級管理層制定相關政策、程序和措施，對風險進行全過程管理。應當建立健全內部控制責任制，確保董事會、監事會和高級管理層充分認識自身對內部控制所承擔的責任；董事會、高級管理層對內部控制的有效性分級負責，并對內部控制失效造成的重大損失承擔責任。監事會負責監督董事會、高級管理層完善內部控制體系和制度，履行內部控制監督職責。應當有效建立各部門之間的橫向信息傳遞機制，以及董事會、監事會、高級管理層和各職能部門之間的縱向信息傳遞機制，確保董事會、監事會、高級管理層及時了解銀行經營和風險狀況，同時確保內部控制政策及信息向相關部門和員工的有效傳遞與實施。還應設立相對獨立的內部控制監督與評價部門，該部門應當對內部控制制度建設和執行情況進行有效監督與評價，并可以直接向董事會、監事會和高級管理層報告。

（六）內控作用相當有限

最后一種誤區認為內控的作用相當有限。這種觀點正是基于此前的五種誤區積淀。如果內控影響了業務發展、制約了產品創新、難以創造效益、僅僅是內控部的事、且需要運動式的開展，那么內控的作用一定受限。好在前面的誤區我們都已經逐一說明和駁斥，進一步理解了內控的廣度與深度，最后還需要剖析和解釋內控的作用范圍和效力。既然內控在組織內存在普遍的價值和深入的標桿，其在組織內部無處不在，且貫穿組織架構的上下和業務流程的始終，否則難以實現組織的目標。因此，內控的作用主要體現為全范圍、全過程、全員參與管控的實際，其價值不僅體現為組織架構與設計、崗位權限與邊界、流程管控與優化、內部控制與管理、自控互控與監控，還表現為內部機制的“潤滑劑”、組織文化的“粘合劑”以及企業價值觀的“穩定劑”。內部機制的“潤換劑”主要源于內控管理“軟性”作用，其實質是管理的柔性與控制的針對性，這種柔性和針對性是在統一管理框架下的差異性和適應性，使得內控還可成為“防止螺絲釘生銹”的“潤滑劑”。內控還有助于凝聚組織文化、延續企業價值觀，稱之為組織文化的“粘合劑”以及企業價值觀的“穩定劑”也不為過。

五、研究意義、局限與展望

綜上所述，通過對控制職能源頭的追溯，我們逐一明確了內控的本質及其選擇的原因，歸納出組織內控真實性、準確性、完整性、及時性和全面性這五大普適特征，補充了企業特別是商業銀行內控重要性、制衡性、適應性、盈利性和審慎性五項補充特征。我們發現：內控在銀行內部起到助力、糾偏、合規、嚴謹、統一等主要作用，并逐一解析、駁斥了五類有關商業銀行內控管理和認識的誤區。

（一）研究意義

首先，從理論上看，本研究強化了管理理論在內部控制中的應用。從追溯內控的源頭入手，將商業銀行的企業內控實踐與管理理論、組織理論有機的聯系在一起。事實上，商業銀行經營管理本就是企業管理、組織管理的一部分，但由于金融業務的相對獨立性，目前在商業銀行中的經濟原理、金融實踐逐漸成為顯學，而有關內部管理、內部控制的理論與研究在一定程度上呈現式微的趨勢，而本研究恰恰有助于商業銀行等金融企業理解內部管理、內部控制的實質、范圍、特征與作用。其次，從實踐上看，本研究對商業銀行在內部控制上的潛在誤區逐一做了澄清，有助于對輿論特別是組織或非正式組織的導向以正視聽。通過邏輯梳理和機制分析發現，在商業銀行中內控有力支持了業務發展、內控有助于產品創新、內控可以有效控制風險并創造效益、內控水平需要所有部門共同推進和提升、內控管理需要長期系統性地持續開展。這也有助于商業銀行擺正內控的職能與定位，更好地發揮內控的作用。

（二）研究局限

由于研究設計的初衷和相關數據難以獲取，本研究主要存在以下缺陷。一是從研究設計開始，本論文重在關注內控的界定、職能和作用，這是一種思辨性的論述，是一種層層遞進的邏輯展示，而非現在主流的、基于數據的實證研究或案例研究。二是由于商業銀行的內部損失數據難以獲取，因此在內控的價值體現上，我們缺乏有力的、全面的以及連續性的數據支持。相比之下值得欣慰的是，無論從監管機構的具體要求上看，還是從商業銀行的工作導向來看，都體現了加強內部管理、提升內控水平的傾向。三是由于文獻搜集的范圍有限，我們在文中主要以既有的、實施的國家規范、行業指引為研究支撐，并沒有從公司治理、內部控制的法理上溯源。在實際工作中，法律的依據也值得內控研究去分析、發掘和進一步探索。四是除了商業銀行之外，也存在一定類型的企業以信用為生存的基礎，例如保險公司、證券公司、基金公司、小額貸款公司等，囿于作者的研究領域，我們未能進一步深入。但我們相信這類公司與商業銀行大同小異，但其中的“小異”也值得觀察和總結。

（三）研究展望

下一步，對于組織內控、企業內部管理和商業銀行內控體制機制的研究大有可為，存在一定的研究空白和可觀的拓展空間。一是可以在未來的研究中引入實證檢驗，或者跟蹤一家企業進行追蹤式的案例研究，展示商業銀行等企業“有內控”和“無內控”的不同、“強內控”和“弱內控”的差異、“優內控”和“次內控”的差距。二是基于微觀商業銀行等企業的內控管理有助于宏觀上進一步完善政策指導和監管要求，這是一種宏微觀的相輔相成和“生態位”式的互相促進。只有微觀企業的內控機制有效，才能更好地發揮宏觀監管政策的要求——這種良性的互動機理和促進關系值得進一步探討。三是還可以從法律內涵上、法律理論上探究內控的源起和發展，進而歡迎更多的、不同學科的研究者嘗試從法學、社會學、經濟學、心理學、人類學等多個視角呈現對組織內控的不同理解。四是除了商業銀行之外，其他類型的金融企業內控是否存在相似性，又存在哪些差異？還可以商業銀行為引導，梳理信用企業、服務企業、制造企業等行業的內控管理差異與特點，推動管理實踐更上層樓。

本文原載《武漢金融》2016年第八期

責任編輯：王超