2005年，是中国银行业即将全面对外开放的最后一个年头。当中行哈尔滨河松街支行10亿元资金诈骗案等恶性案件惊爆之后，中国商业银行内部控制的脆弱性，已在人们的意识中犹如“涛中沙堤”。如何构建一个充分、合规、有效和适宜的内部控制体系，理论界、监管当局和商业银行都更多地将目光投向了内部控制的建设、执行和监督，而不经意间冷落了另一个基础性的环节——内部控制的“评价”。 商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。它是从根本上治理商业银行内部控制脆弱性的技术前提与操作基础。从这个意义上说，“细节决定成败”。 中国银行业监督管理委员会才刚刚颁布《商业银行内部控制评价试行办法》，其有效性的显现还有待时日。当前内控评价的重大缺陷，首先是在方法上缺乏科学统一的量化模型；其次是在程序上缺乏检查与评价的有机结合；第三是在推动整改上缺乏针对性和持续性；第四是在层次上只有对法人机构，还没有对分、支行的评价。特别是第四点，使得商业银行内部控制的监督、评价与纠正都再一次失缺了微观基础，商业银行的内部控制象是脱离了大地的安泰，变得手无缚鸡之力了。 为建立解决上述问题的长效机制，本文选择了三个切入点：首先是理论溯源，还内控的本来面目；其次是国际借鉴，以它山之石攻玉；第三是模型重构，求微观操作的实效。 从理论本源看，本文通过对现代控制理论、COSO的内部控制理论、巴塞尔委员会的银行内部控制理论和中国银监会对商业银行内部控制监管要求的解析，认为内部控制的核心就是充分运用负反馈手段，持续监督与纠正实施过程中的偏差，控制偏差带来的风险，最终实现管理的目标。因此，在内部控制的五大要素中，监督与纠正环节是关键。内部控制的本质功能是纠偏，而纠偏的主题是保持连续性。 从国际经验看，目前国际上评价银行风险和内部控制有两种主流方法。美国CAMELS评价体系通过数量化和标准化的方法，从财务结果的角度来分析内控功能的发挥程度；英国ARROW评价体系运用过程和系统的方法，从管理过程的角度来评价内控功能发挥效用，这也是国内首次将其纳入内控评价的视野。两者虽各有其长处与不足，但就我国银行业目前的产权特征和内控现状而言，英国ARROW评价体系更具借鉴意义。 从微观操作看，本文通过理论溯源和国际借鉴，在确立五大评价原则的基础上，重构了一套基于风险导向的银行内部控制评价模型。该模型的具体内容包括：评价目标、评价方法、评价指标、评价程序、评价结果、结果运用及检查方法等。其中，评价目标包括合规性目标、经营性目标、披露性目标、环境性目标和应变性目标；评价方法主要是借鉴ISO9001“PDCA”的过程方法；评价指标分为内部控制过程指标和内部控制结果指标两个层次；评价程序分为准备、实施、报告、反馈四个阶段；评价结果分为1～5级，分别对应满意、认可、改进、限制、重整五种监管措施；结果运用的主要目的是增强银行内控的“自我免疫功能”，为管理层提供增值服务；检查方法主要有实质性测试、计算机评价、调查取证法等。 在评价指标体系的构建中，过程指标(主要是定性考评指标)的设计和量化是难点。本文大胆突破过去按照业务种类细分的巢臼，从内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督纠正与评价这五大要素的内控功能发挥角度来确定指标，使指标大为简明、突出。同时兼顾了指标的可扩展性，以适应风险变化和金融创新的需要。在具体指标的量化上，首次将充分性、遵循性、有效性、适宜性纳入检查工作底稿进行检查和评价，贯穿“查问题、追风险、挖成因、看尽职、评内控、促整改”的逻辑链。在结果指标(主要是定量考评指标)的选择上，将法人类指标从中剔除，以适应对商业银行分支机构评价的要求。 借鉴过程方法重构的评价模型，与传统的评价模型相比较，突出了两大创新点：一是根据过程方法中“自我改进”的理念，强化了过程内部每一个环节我监测与纠偏功能；二是根据过程方法中“客户导向”的理念，从被评价对象的反馈中实现评价的增值服务。通过该模型，可以量化地评价银行内控现状、揭()内控的结构性缺陷、指出内控的改进方向、有利于监管部门或评价部门采取针对性的管理措施。同时也使得“规范检查、公正评价”在操作性上有了保证。 当然，还应该看到，内控评价本身仍是一个需要不断改进的过程。本文就此提出两方面建议：一是在操作方面，应大力提高评价的专业水准，如建立专业化的评价队伍、电子化的评价系统等；二是在政策方面，须营造更为良好的评价环境，如监管当局应适时修订内控法规中的“不符点”，建立内控基本准则和具体业务指引相结合的动态可扩展的法规体系，以便“识变、顺变和应变”。