作为经营各类风险的特殊企业，商业银行已普遍将全面风险管理水平视为现代商业银行的核心竞争力。内部控制既是全面风险管理框架的重要组成部分，同时也是商业银行日常风险管理工作中必要的、高效的风险管理方法和手段之一。如今，内部控制体系已经成为商业银行提高运营效率、实现企业经营目标的前提，编制可靠的财务经营公开报表的关键以及遵循适用的法律和法规要求的基础。　　经过以1997年、2002年和2007年三次全国金融工作会议为代表的三轮金融体制改革，我国国内商业银行逐步攻克了不良资产剥离、推动股份制改造、引进战略投资者和公开上市融资等一道道难关。截至2010年底，已经有16家商业银行在A股市场上市融资。在两次金融危机(亚洲金融危机和次贷危机)和履行入世承诺银行业全面对外资开放的大背景下，国内商业银行的资产规模、盈利能力、资本充足率、不良贷款率等各方面指标大为改观。　　在我国商业银行取得各方面长足进步的同时，监管方通过引进国外成功的监管经验，参考最新的监管实践，在内部控制方面对商业银行提出了更高的要求。2002年9月，在借鉴巴塞尔银行监管委员会有关银行机构内部控制制度的框架和有关原则的基础上，中国人民银行出台的《商业银行内部控制指引》，这标志着围绕我国商业银行内部控制的理论研究和实践研究进入了新阶段。2008年6月，财政部、证监会、审计署、银监会、保监会五部委颁布了借鉴美国COSO报告等国外内部控制框架的《企业内部控制基本规范》，并要求自2009年7月1日起在上市公司范围内施行;2010年4月26日，五部委又联合发布了对基本规范进一步细化的、更具有可操作性的企业内部控制配套指引，包括《企业内部控制配套指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》，要求境内外同时上市的公司于2011年1月1日起施行，在上交所、深交所主板上市的公司于2012年1月1日起施行。　　在监管方的严格要求和大力推动下，我国商业银行在内部控制方面取得了一定的成就，首先在基础性建设方面，内部控制机制进一步完善，自我约束、相互制衡得到持续加强，信息系统建设和合规文化建设初见成效，组织框架和业务流程得到不断优化;其次在内控机制方面，已初步建立事前防范、事中控制、事后监督和纠正的动态控制过程和机制，重点关注财务、风险管理、运营、合规等四个方面的内部控制，与内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等五个内控要素的相关的制度得到进一步完善和执行;最后在监督评价方面，商业银行已普遍开展内部控制自我评价，并将评价结果运用到加强日常经营管理、改善运营过程中。　　但是，我国部分商业银行的内部控制现状与国内监管部门和国外组织的要求相比，仍存在一定差距，按照内部控制五要素的层次划分，这些差距主要体现在:　　(1)在内部控制环境层面，主要体现为国内商业银行仅仅将内部控制环境建设理解为制度建设和上级对下级的管理手段，而不是包含包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内容的综合环境。值得一提的是，国内商业银行普遍对内控文化的理解不足，没有形成从高级管理层开始的自上而下的推动力，没有在各个层级形成自上而下的表率作用以及遵守行内外的各项规章、制度、流程，坚持诚信和道德价值观的文化氛围。　　(2)在风险识别与评估层面，主要体现为部分商业银行尚未开展内部控制设计有效性评价，未逐个分析各类操作流程、管理流程和信息系统内存在的内部控制设计层面存在的问题，造成对现有制度体系下的风险情况缺乏深入了解:无法准确把握哪些产品、业务和流程已经被现有制度明确覆盖，并不了解总/分行各级经营机构对同一产品、业务和流程的制度设计是否存在偏差甚至矛盾，对于散落在各个流程、各个环节、各个经营机构的固有风险(不采取任何控制措施的情况下的风险情况)则更加无从下手。　　(3)在内部控制措施层面，主要体现为由于部分商业银行在风险识别与评估层面存在问题，不能逐个把握散落在各个流程、各个环节、各个经营机构中的固有风险点，因此也就无法对这些固有风险点选择恰当的控制措施，开展有针对性的控制行动，进而将剩余风险降低到可以接受的程度。　　(4)在信息交流与反馈层面，主要体现为由于未建立整合型的内控信息化平台，部分商业银行内部控制的三道防线之间缺乏有效的信息交流与反馈，尤其是在第二道防线(风险管理和合规管理)和第三道防线(内部审计)之间，损失事件库、违规事件库和审计问题库、内控评价结果存在数据异构问题，各个系统中的隐性知识，如:合规审核与检测方法、操作风险识别与计量方法、现场审计方法、非现场审计模型、内部控制的自评价和分析方法等，更缺乏统一的知识管理思想指导，未形成隐性知识显性化和显性知识组织化机制。　　(5)在监督评价与纠正层面，主要体现为两个方面的问题，一是作为最后一道防线的内部审计工作手段单一，更多地依赖于现场审计发现问题，不仅成本高、效率低下，而且缺乏风险导向;二是尽管很多商业银行已经开展内部控制执行有效性评价工作，但由于该项工作或者因为未开展设计有效性评价而变得毫无意义，或者因为自评价主体无法客观地开展评价造成评价结果毫无价值，或者因为总分行之间存在信息不对称问题而流于形式，造成最终的内控自评价结果仅仅是应付监管要求的自欺欺人之举。　　针对以上问题，本文通过分析目前国内商业银行在内部控制方面存在的问题，结合管理学等理论的新成就，借鉴国际组织的先进经验，根据我国当前经济、社会和文化的特点，提出构建和优化国内商业银行内部控制体系的设想，从现状出发确定实施路径的五个方面并加以详细描述，希望通过理论和实践之间的结合，为国内商业银行内控体系的构建和优化提出具有一定参考价值的思路和方法。　　在“从抽象到具体、从理论到实践、从一般到特殊”的思想指导下，本文结合“立足于本国实际、同时借鉴国外研究成果”研究方法，设计了比较清晰的篇章结构。全文共分10章，除第1章绪论之外，其余9章按照“总—分—总”的逻辑结构，划分为三大部分。　　第一部分包括第2章到第4章，从内部控制的概念和基本理论出发，对内部控制的一般性问题，包括意义和原则加以阐述。　　第2章为内部控制概述及相关理论，本章阐述了内部控制的定义、要素、局限性及其与全面风险管理之间的关系，在此基础上进一步探讨了与内部控制的相关的管理学基础理论，包括系统论、控制论和信息论。　　第3章的研究视角集中到内部控制相关理论在商业银行领域的实践层面，并进一步转入我国商业银行内控体系。本章首先回顾我国商业银行内控体系的发展阶段，其次剖析巴塞尔委员会、COSO等国际组织及中国人民银行、中国银监会等我国监管方对商业银行内部控制的要求，最后在此基础上开展我国商业银行内控体系的现状分析，侧重于当前的基本情况及存在的问题，进而推导出构建和优化内控体系的必要性。　　第4章在全文中起到承前启后的作用，既是第一部分内容的总结，同时也是第二部分内容的总体描述。本章在确定原则和目标的基础上，引入商业银行内部控制三道防线、PDCA循环、风险管理核心内容等理论和方法，提出构建和优化我国商业银行内控体系框架的基本设想，即以风险目标指导下的风险管理流程为主线，以改善内部环境和加强信息与沟通为支柱，通过提高事前、事中和事后三道防线的风险管理水平，形成“内控设计”、“内控执行”和“内部审计”以及三者组合而成的“内控体系核心”四个PDCA循环，通过周而复始的计划、执行、检查和处理的循环实现内部控制水平的持续改进与提高，从而在内部控制五要素的基础上进一步涵盖企业风险管理整合框架的八个要素。　　本章围绕这一基本设想，以目前国内商业银行的内部控制体系现状为起点，提出我国商业银行内控体系框架的实施路径，即“以内部控制设计有效性评价为起点，以执行有效性评价为契机，通过建设整合型内部控制信息化平台和有中国特色的内控文化，推进以现场审计和非现场审计有机结合为核心的审计方法创新，从而建设及优化我国商业银行内控体系”。　　第二部分是全文的主体内容，包括第5章到第9章。从第5章开始，论文围绕构建和优化我国商业银行内控体系框架的实施路径中包含的五项重要举措展开深入分析。　　内部控制的设计有效性评价是商业银行内部控制评价体系的重要组成部分,同时也是商业银行构建和优化内控体系的起点。第5章详细阐述了商业银行应如何开展内部控制的设计有效性评价，如何逐个分析各类操作流程、管理流程和信息系统内存在的内部控制设计层面存在的问题，如何为监管部门要求的内部控制执行有效性评价打下良好的基础。　　第6章内部控制执行有效性评价以第5章所述的内部控制设计有效性评价的成果为基础，从方法论的角度详细描述了商业银行应如何建立内部控制有效性评价机制，从而对银行关键内部控制执行情况进行了解，为出具银行内部控制评价报告提供依据。本章内容的重点在于如何综合运用交叉评价、质量控制、独立复核等手段尽量保证评价结果的客观、公正和有效。　　第7章审计方法创新针对内部控制最后一道防线——内部审计工作的手段、方法创新展开论述。本章首先介绍了新型审计方法:非现场审计的基本概念，分析了传统的现场审计方法和新型的非现场审计方法各自的优势和不足，并简要回顾了非现场审计工作在我国的开展;其次通过分析实现现场审计和非现场审计之间有机结合的必要性和可能性，提出二者之间的有机结合是审计方法创新的核心，同时也将成为未来内部审计工作的核心之一;最后，围绕如何充分发挥非现场审计方法的作用，如何推进现场审计和非现场审计之间的有机结合，如何实现审计方法创新提出建议和展望。　　第8章建设整合型内控信息化平台从信息化的角度对我国商业银行内控体系建设和优化展开论述。本章首先阐述了商业银行的内控体系需要哪些内控相关管理信息系统，以及这些信息系统应该涵盖哪些功能，具体包括合规风险管理系统、操作风险管理系统、现场审计信息系统、非现场审计信息系统以及内控评价和分析系统等;接下来本章援引了系统整合的相关理论和知识管理的主要思想;最后提出建立知识层面融合的整合型内控信息化平台。　　第9章为建设有中国特色的内控文化。本章从文化的定义和内涵、内控文化的定义及功能、内控文化与合规文化的区别和联系入手，详细介绍了COSO、巴塞尔委员会对内控文化的描述，行业监管机构对内控文化的制度要求以及行业自律组织对内控文化的阐述，在此基础上，本章提出建设有中国特色的商业银行内控文化设想，即全方位推进、借鉴科学发展观理论的核心思想和发挥纪检监察部门的作用。　　第三部分总结与展望，在对全文的内容进行总结的基础上，结合监管部门进一步强化审慎监管的背景，提出在此后研究中应继续深入的领域。