稽核评价金融机构内部控制状况_银行内部控制评价报告
稽核评价金融机构内部控制状况由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“银行内部控制评价报告”。
稽核评价金融机构内部控制状况
按语:
在上个世纪九十年代,人民银行曾经组织了“中国金融稽核监督研究会”,该研究会主办过一个月刊,名为《金融稽核监督研究》。这个月刊编辑了一个“金融稽核监督实务系列讲座”,1999年该刊物第一期在这个栏目里刊登了杨海群博士的下述论文,文章运用国际先进内控理论和原理,提出了一套稽核评价金融机构内部控制的标准和方法,不仅促进了当时金融机构的内部控制及其稽核工作,而且积极支持了中央银行对我国金融机构内部控制进行检查评价的政策的制订。2003年4月成立的中国银行业监督管理委员会后来专门制订了有关规定,在2005年2月1日起施行《商业银行内部控制评价试行办法》,那个文件也基本参照了COSO的内部控制理论框架。杨海群博士当时应邀在《银行家》杂志发表了一篇评论,支持了银监会的那个文件,同时进一步阐述了评价内部控制的标准和方法。时隔一个世纪,上述那份有益的研究刊物早已停刊,但是稽核评价金融机构内部控制状况仍然是一项非常重要的工作。为了促进这方面的研究和工作,也便于大专院校的学生学习商业银行管理的有关课程,笔者将原文转载于此,并欢迎读者批评指正。
金融稽核监督实务系列讲座
第七讲 稽核评价金融机构内部控制状况
转变经营观念,增强内部控制意识,提高管理水平,是我国金融机构向商业化金融机构转变的基本前提,那种坚持传统的管理方式,或片面以改革取代控制的观念,都已经被实践证明是有害的。
金融机构的稽核工作从对所有帐表资料进行全面审查的传统方式发展到对内部控制系统进行测试和评价是必然趋势。这样做有两个好处,一方面,确定的稽核重点能抓得准,有利于提高工作效率和质量;另一方面,通过对内控系统的评价,有利于建立健全自我约束机制,促进金融机构管理制度的完善和经营效益的提高。
一、要更新稽核的观念
长期以来,内部稽核囿于核查帐目和会计凭证,主要是看帐实、帐帐,帐款是否相符。而稽核评价内控就有必要采取新的方式。一是对内控制度本身的检查评价,二是对内控制度
执行情况或对内控活动的检查评价。而这些检查和评价又分为各业务部门的自我检查与评价以及稽核部门对上述部门的再监督。稽核是金融机构内部控制的重要组成部分和综合管理部门,但稽核又是相对独立的。
搞清内控的含义,内控的目的.是组织好稽核评价的前提。内部控制的概念经过了由“部分控制论”向“全部控制论”的发展。“部分控制论”认为内控仅包括内部会计控制和稽核两部分。这种认识的缺陷是,内控只与一个单位资产管理有关,而与行政、业务管理无关。“全部控制论”克服了这个缺陷,认为内控内容渗透到经营的各个方面和管理的全过程。
关于内控的目的,一种是“三目的论”,此种理论认为,内控是为了保护单位的财产,会计记录的准确可靠和及时提供可靠的财务信息。一种是“四目的论”,它认为,内控除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率。
上述内控理论的演进给金融机构稽核部门的启示在于,对内部控制的检查评价应有别于传统的稽核思路,目的要明确和全面,检查和评价要完整和深入。
对内部控制的检查评价离不开对内控的正确理解,美国权威机构COSO提出了简明透彻的内控定义:
内部控制是一种为合理保证实现下述三大目标的程序:
(一)经营的效果和效率;
(二)财会报告的可靠性;
(三)符合法律和规章制度。
这是一种。全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。为此.稽核部门要参照有关法规和实施细则,设定一些具体的标准.认真考察被稽核单位的内控系统,看其是否合理地确保了这些目标的实现。如果不能,总是可以从内控的某些方面找出问题的。
国际上已经将内部控制各环节划分为以下几个下几个方面
(一)控制环境是推动控制工作的发动机,是其他内控组成部分的基础。它奠定组织的体系和结构,涉及所有活动的核心——人,特别是人的控制觉悟。
(二)风险评估:是识别和分析那些妨碍实现经营管理目标的困难和因素,对风险的分析评估构成风险管理决策的基础。
(三)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,防范和化解风险而采取的政策和程序。包括高层检查层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
(四)信息与交流:存在于所有经营管理活动中.使员工得以搜集和变换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩和经常性评价。
(五)监督评审:是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制的再监督与再评价活动的总称。
以上五大组成部分与三大目标有机地相结合,构成了内控的完整体系。稽核人员应适应形势,转变观念,从上述三大目标出发.去考察被稽核单位的五大组成部分的各个方面看是否建立了健全的内控制度t而且.这些制度是否得以认真贯彻实施。稽核检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
二、评价标准
评价内控制度本身及其执行情况都要有标准。
(一)对内控制度建立的评价标准:过去人们也从一般的意义上谈论过内控制度。我们认为,现代内控制度(包括与制度有关的规定和实施细则)的建立,应当遵循下述标准,而这些标准又为对内控制度的稽核提供了依据:
1.有央行政策法规和现代内控理论指导。所谓“现代”就是用最先进的内控理论,而不是闭门造车或随意拼凑出来的:
2.形成完整的和有机结合的体系,而不是规章制度零散不齐的拼凑,控制系统无逻辑关系。
3.控制方法的先进性和可操作性,既有中国特色,又能够同国际接轨。
4.能够计算机化.以便于规范存储和分析检查。
从这些标准出发去稽核.一个单位不是有了一些规章制度就说明有了完整和适当的内控制度.也不是那些适应传统体制(例如专业银行体制)的内控制度都能适应现代化商业银行的发展需要。稽核部门应该检查和评价被稽棱单位是否依据上述标准建设其内控制度。客观地说,我国金融机构的内控制度距离上述标准还相差甚远,稽核的任务正是促使它们整章建制,不断改进和完善其内控制度。
(二)对内控制度执行情况的评价标准:
对内部控制的稽核也是对内控制度执行情况的稽核。这恰恰可以从内控制度的五大组成部分的内容人手去检查和评价。评价的标准可以依据各组成部分的内容(即各种要素)来制定。
l.控制环境:评审人员应理解控制环境的含义,列出控制环境的要素,根据每一要素,判定被检查单位是否存在积极的控制环境。例如:
(1)从价值观看人的道德观念:检查行为守则的制定和执行.业务操作方法的规范,对违背公共利益的活动的限制,评价职员的道德与精神文明行为等。
(2)激励与诱导机制:检查引导员工和各级管理层的激励机制,不实现工作目标将得到何种惩处,物资刺激的效果。
(3)检查管理者从思想上和精神上指导员工的情况。
(4)对工作能力的承诺:检查实际工作任务的说明和工作所需要的知识和技能的分析。
(5)管理哲学和经营作风:检查管理者的风险意识,高级管理人员和业务经营者相互干扰的频率,对财务报告采取的行为和态度。
(6)组织结构:检查组织结构的合理性和其提供信息的能力.主要管理人员的责任以及他们的知识和经验。
(7)有关授权与责任方面的制度规定:检查与控制有关的标准和程序的合理性员工数量的合理性及其技术水平。
(8)人事政策和做法:检查招聘、培训、晋升、补偿方面的政策和程序,候选员工的背景t员工留任或提升的标准是否充分。
(9)董事会或审计委员会;检查审计(稽核)委员会的独立性,向董事会或审计(稽核)委员会提供信息的时效和充分性.稽校部门对管理目标和战略进行监督的效果。对财务状况和经营成果进行的评审.以及向董事会或审计(稽核)委员会报告敏感性信息和不轨行为(包括高级管理官员)的时效和充分性。
在控制环境方面稽核应着重注意的主要问题是:管理层是否向各方人员充分说明了在内控完整性方面不允许磨梭两可?是否存在积极的控制环境?是否在整个组织中具有控制觉悟或自觉控制的态度?高度管理层的内控基调是否积极?单位员工的能力是否与他们的责任相匹配?管理层的经营风格、授权、责任、组织与业务发展的方式是否适当?董事会或审计(稽核)委员会是否给予内控以充分的注意? 2.风险评估:评估人员要集中注意在设立目标、分析风险和管理变化诸方面的管理程序,包括管理与业务活动之间的联系以及 相关问题。例如:
(1)目标:经营目标、财会报告目标和合规性目标可以分解为全行范围的整体目标和业务活动的分项目标。稽核人员可以从以下方面去检查评价:
①单位整体目标:检查对整体目标说明的充分性和针对性,以及其传达的时效性,各项战略、业务计划、预算与单位整体目标的关系。
②业务活动中的具体目标:检查与单位整体目标和战略计划之间的关系,与所有重要的业务程序之间的关系,各业务活动目标之间的相互关系,业务活动目标的针对性,实现目标的资源是否充分,整体目标中至关重要的活动目标的认定,在目标设定上各级管理部门的参与情况及其承担的责任。
③目标的交叉(或相互支持)、联系和实现。
(2)风险:稽核人员应检查和评价对阻碍目标实现的各种问题和因素的识别、分析和管理。要点如下
①风险识别:包括识别全行的风险和业务活动中的风险。风险的内部要素和外部要素。
②风险分析:估量风险的重要性,概率和额率,以及研究如何管理风险。检查风险分析是否透彻和恰当。
③对由变化产生的风险的管理:包括识别变化的机删和预测风险。检查预见和识别风险并对此作出反应的机制.特别是对重要变化作出行动反映的机制。
稽核人员在风险评估方面应注意的主要问题包括:
是否制定了单位的总体目标和业务活动目标?二者之间是否衔接好了?是否识别和评估了影响目标实现的内部和外部的风险?对影响实现单位目标自识别机制是否已经建立了?是否按需要调整了各项政策和工作程序?
3.控制活动:管理人员为每一重大活动设定目标,并针对与这些目标相关的风险发布控制指令。评审人员必须在这个前提下评价控制活动。
(1)在风险的管理方面应检查:是否与风险评估联系起来,恰当地实行了控制,控制活动能否保证管理指令的执行,是否针对每一重要业务活动(包括对计算机信息系统)实行了整体性控制。
(2)应检查和评价控制活动所采取的各种形式.例如:高层次检查工作的情况,管理人员的管理活动,检查交易的准确性、完整性和授权.资产的实物控制和定期核算.经营或财务方面的工作指标的确定.员工职责的划分,以及政策的制定及其实施的程序。
稽核人员在控制活动方面应着重注意的主要问题是:是否通过控制活动确保了所制订的政策的执行?是否采取了措施来防范和化解相关的风险?单位的每项经营管理活动是否都得到了适当的控制? 4.信息与交流;应检查和评价信息部门是否特别注意以评价监督方式工作.严格从会计数据中产生预警信号.保持管理信息的真实性、连贯性。
(1)信息方面.应检查各部门是否注意、获取和报告内外部信息,向适当的人按时提供足够详细的信息,根据信息系统的战略发展计划修改信息制度,对信息系统的支持程度(包括适当的资源一人力和资金)。
(2)在交流方面,应检查内外部交流的情况。例如,内部:在员工职责和控制责任方面的交流效果,报告可疑和不轨行为和事件的交流渠道,管理层接受员工改进办法的建议,部门之问交流的充分性。
外部:与顾客和其他外部单位交流信息的渠道,外单位对本单位道德标准了解的程度.管理层在接到来自顾客等外部信息后采取的后续行动。交流的手段和方式是否有利于沟通。
在信息与交流方面.稽核人员应注意的问题包括:是否建立了各种信息系统以识别和捕捉各种所需要的信息一财务的或非财务的.与事件内外相关的一并将信息以一定方式转达给有关人员去履行他们的责任?有关的信息是否及时交流?对每人和每个工作单位的要求是否清楚?关于他们的责任和工作结构的报告是否明确?信息是否上传下达或横向地在各机构之闻以及在本单位与外单位之间交流? 5.监督评审:为了对内控的持续性和有效性进行评审.应当进行对内控的持续性评价活动和单独性的评价活动。有时候也可以将二者相结合。
(1)持续性评审:内控制度的有效性.内部对外产生信息的准确性,帐帐核对与帐实核对t对内外部审计人员提出的加强内控的建议作出反应,向管理层反馈有关控制实施的情况,定期要求员工说明行为守则。
(2)单独性评审:对内控制度进行分别单独的评审的范围和频率.评审持续进行的合理性,系统的评审方法的逻辑性.文件档案的管理水平。
(3)缺陷的报告:检查获取和报告所发现的内控机制的缺陷.报告书(包括稽核报告书)是否合格,对自我检评和稽核的反应和后续行动。
在监督评审方面,稽核人员应注意的主要问题有:是否建立了适当的程序,以便随时或定期地评价内控的其他组成部分?内控的缺陷是否向应被报告者汇报了?是否根据评审出的问题调整了政策程序?
三、稽核评价的方法
国际上对内控制度及其执行情况的稽核评价方法多种多样,下述方法可供借鉴。这些方法既适合非稽核部门建立和完善内控,又适合稽核部门的审计操作,亦可视为稽核过程经历的几个主要阶段。所不同的是,稽核部门利用它们的目的和侧重点不同。
(一)经营模型和业务流程图:
这是两种非稽核部门本应已画有的图。
鉴于其有助于稽核部门了解情况.稽核部门可在查无此图的情况下敦促非稽核部门完成,在紧迫的情况下也可以自行勾画。
经营模型按经营管理的不同层次设计,从高层到基层越来越细地勾画一个单位的内控轮廊。例如:
1.从整体上设计出的模型是站在最高层次上描绘说明一个工作(机构)范围与外部各方面的相互联系。如内部职能部门的组织结构及其运行机制的关联图.又如外部单位(包括物资供应方、公共管理部门、担保方、投资人和竞争对手等)与本单位的相关机制的关联图。
2.从各业务操作环节上描绘该单位内部各职能部门的相互关系。包括五种基本的价值链活动,包括:单位范围内的活动、经营活动、外界的活动、市场营销、服务等。
设计经营模型有两个目的。一是作为一个起点。使评审者理解该单位的组织结构、制度建设、业务运行机制(活动与活动之间的关系),及其与外部各方的关系,并了解信息产生的情况,用以帮助控制这些活动。我在后面介绍的。参考手册目录”就是按上述不同层次的活动莲层细化设计的。二是经营模型提供的结构,描绘的活动、交易和信息流通情况构成《参考手册》的基础。
为了更好地理解银行的活动和信息与交流情况,还可以绘制系统流程图.作为分析每一活动所伴随的风险的工具,帮助识别流程中可能发生影响的那些控制点。管理人员可以针对这些风险,谋划本单位的控制活动.帮助操作人员完成《风险评价与控制活动工作表》(见后)。
(二)〈参考手册〉—— 微观
《参考手册》最好先由业务操作和管理人员编制,有助于他们找到在业务活动水平上的目标,分析风险.井决定可能采取的行动和可以实施的控制活动。稽核人员可在此基础上编制内控稽核的《参考手册》。该手册还可帮助评审人员完成《风险评估与控制活动工作单》。实际上手册是由表格汇集而成的,表格中的内容包括:
(1)活动:在表格左上角注明业务活动的名称,如。人事”。
(2)目标:说明某一活动的若干目标-如“任用合格的部门经理”。
(3)目标类别:OFC中C代表经营的有效性;F代表财会报告的可靠性;C代表台法 合规性。这些类别依情界定,有时交叉.有时相互影响,并非清晰分开。
(4)风险:说明该活动中可能发生的各种风险。
(5)为采取行动或控制活动所应注重的要点:这里可包括“业绩考核指标”.它们尤 其有助于影响控制活动。
《参考手册》(表样一)
(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
(三)《风险评价与控制活动工作表》一 微观
稽核部门要监督和检查管理层为每一重要活动所设立的目标和在为达到目标过程中风险发生的概率是否得当,是否制订了化解风险的计划、方案和其他应采取的行动,并将控制活动付诸实施,以确保行动方案的执行。管理层和稽核部门都要有这种重要的工作底稿,以评价业务活动各环节内控的完善程度。稽核人员使用此表评价内控时应注意突出重点。
《风险评价与控制活动工作表》在〈参考手册〉的基础上增加了下述栏日:
风险分析:细分成两栏。一是风险涉及的要素;二是风险发生的可能性,可分为高、中高、中、中低和低五个风险档次。
行动/控制活动/评论:依序写明针对风险所采取的行动或控制活动,并由操作人员作出评语。
其他受影响的目标:说明为实现既定目标所采取行动会影响的其他目标。
评价和结论:由上级管理者或稽核人员评估控制是否实现了目标,如没有,应补充注意事项。
《风险评价与控制活动工作表》(表样二)(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
(四)《内控内容表》一宏观
每单位针对上述五大内控组成部分定期填制五份„内控内容表》,对每部分的内控情况作综合评价。每次稽核也应这样做。为稽核报告的形成提供依据。表首注明内控的某组成部分,并对该部分内容予以定义。该表分“集中点”和“说明/评价”两部分。
首先标明该组成部分的控制要素之一.作为一节的开始,并可在其下方用精炼文字 说明该要素。
在说明文字之下列出对该要素组成部分中较重要的一些集中点。并在每一集中点下顺序列举针对该点的可考虑的附属问题。集中点代表与这个组成部分相关的较重要的问题或要素。评审人员应把这些集中点修补调整t使其适合这个单位的实际和环境。
业务经营和管理人员在“说明/评价”栏内记录该单位如何对待该集中点所涉及的问题,并把有关的评论记录在内。对问题的回答不能是简单的“是”或“不是”,而需说明解决问题的方法和方案。稽核人员在“说明”栏内应清晰和准确地填写存在的问题和风险。在“评论”栏内既可以作文字定性评价.又可以作定量分析,或两者并用。
在每一节要素内容之后记录关于相应控制是否有效的结论。
在该控制内容的各节都填完之后,应由有关负责人填写“控制内容总结一结论/所需采取的行动”。
在关于监督评审内容的表后要有一“分别单独的评审”表,内容与本表一样。
在该组成部分的评审之后还要有“报告缺陷”表,内容与本表一致。
在上述内容全部完成后,还应有部门负责人或稽核人员对该组成部分的总结一结论与建议。《内控内容表》(表样三)(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
(五)《内控制度整体评价表》
这是管理层和稽核人员宏观稽核评价内控情况的表格。稽核评价的角度同业务管理评价会不尽相同。用这种表把对某 内控组成部分的评审中发现和作出的结论汇总起来,由更高级的负责人或高级稽核人员(总稽核员)和分管行长审查这些最初的结果,并获取进一步的信息。表中有一栏“整体结论”留给高级领导对整个内控制度作全面评审结论。本表也是稽核报告的主要依据。
(六)其他方式:上述方法并不是仅有的工作内容。为了对内部控制进行客观的深入评价,还可以充分发挥稽核人员的智慧.创造出其他的检查方法来。例如,设计各种调查问卷,与被稽核单位的各级业务和管理人员相沟通,也是一种好方法。《内控制度整体评价表》(表样四)(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
上述方法还要通过一定的稽核程序去推行。稽核部门在拟订了稽核方案后.可在初步调查阶段使用编制好的调查问卷和其他沟通方式进行调查,绘制好内、外部关联图;进而编制《参
考手册》。然后,根据对被稽核单位的业务流程的理解,进行“穿行测试”,绘制所稽核业务的流程图;进一步完善《参考手册》。接着,在“符合性测试”和“实质性测试”中将《参考手册》改编成《风险控制与内控活动工作表》作为稽核工作的基本工作底稿;然后.填制《内控内容表》。在这一系列工作的基础L再汇总各方面情况,填制《内控整体评价表》。这些工作为拟订和提交《稽核评价报告》创造了条件。
本文所提炼的一些国际和国内经验一与中国的金融机构的实际相结合,必将提高其内部控制水平.带来丰硕的经营管理成果。
