现代商业银行内部控制制度的探讨
来源: 《海南金融》·周光林
2003-09-04
普通
随着市场经济体制和法制建设的日益完善,人们越来越感到强化管理的重要,尤其是内部控制的概念已引起了金融界的极大关注。但是,内审或稽核人员在检查监督的过程中,时常发现被审单位的管理层对内控制度的认识还处于概念性阶段,不太了解内控与管理、内控与审计之间的关系。本文试图在这些方面加以研究、探讨。
一、内部控制的内涵
内部控制制度是风险管理制度的核心内容。使控制活动寓于管理活动之中,是银行日常工作不可分割的一部分,而不是对经营管理的额外补充。
内部控制有其科学的定义和丰富的内容。现代内控理论试图提出能被普遍接受的内控定义,以便满足不同单位的需要。美国审计权威COSO(1994)的定义是:内控是一个受某单位不同层次的人影响的过程,而设计这一过程是为实现下述三大目标提供合理的保证:经营的效果和效率;财会报告的可靠性;对现行法规的遵守。
巴塞尔银行监管委员会(Basle)参照美国等国的理论,提出了新的内控定义,其中进一步强调董事会和高级管理层对内控的影响,组织中的所有各级人员都必须参加内控过程,对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;信息性目标中包括管理信息,明确要求实现财务和管理信息的可靠性、完整性和及时性。
这三大目标既满足不同的需要,又相互交叉。显然,内控是保证各项业务发展的,而不是妨碍其发展的。此外,公司或银行不能为实现经营性目标而不遵从法规,也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
内部控制固然很重要,但不是万能的,也有其固有的局限性。例如,①内控能合理地确保基本经营目标的实现,但不能把一个本质上很坏的经营者变好,以及不能控制竞争对手的行为和客观经济条件的变化。②确保财务报告的可靠和合法合规,但不能绝对保证,而只能合理保证。这些目标的实现受到内控制度内在的限制,包括决策者失误和决策错误导致的经营中断。控制还可能被两个或两个以上的人合谋制约。管理层也有能力践踏内控制度。此外,内控制度的设计还受到人、财、物等资源的约束。
二、商业银行内部控制系统的构成
1994年COSO认为内部控制包括五大组成部分。
1、控制环境:控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的作风和结构,并且涉及到所有活动的核心——人,特别是人的控制觉悟,还反映中央银行和商业银行等金融机构各级管理对内控的要求。
2、风险评估:是识别和分析那些妨碍实现经营管理目标的因素,是对风险的分析评估构成风险管理决策的基础。
3、控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
4、信息与交流:存在于所有经营管理活动中,使员工得以收集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。
5、监督评审:是经营管理部门对内控的管理监督及稽核监察部门对内控的再监督与再评价活动的总称。
上述内控内容已经被COSO从理论上分析成为一个完整的有机结合的整体,并且得到了巴塞尔委员会的认同和发展。
1998年巴塞尔委员会则在控制环境中强调了管理层的督促和控制文化;在风险评估方面将风险的识别和风险的评估并举;在控制活动方面又突出了职责分离的重要性;该委员会特别对信息与交流作了更多的解释;除了监督评审活动之外,还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外,增加了监管当局对内控的检查和评价,把它作为内控的另一不可忽视的内容。
三大目标和五大组成部分构造了内探险系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象,使人们能够以内控为有力武器,为实现三大目标自觉奋斗。
我国的金融工作者应该适应形势,转变观念,从内控的三大目标出发,考察本单位上述五大组成部分的各个方面,检查是否建立了健全的内控制度,而且,这些制度是否得以认真贯彻实施。稽核检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
三、建立商业银行内控制度必备的条件
1、管理层拥有正确的管理思想和经营作风。管理层在控制环境中发挥着重要的作用,其管理思想和经营作风是经营活动的基础和指南,也是进一步制订发展目标的方向。如果管理层不愿意设立适当的控制或不能遵守已建立的控制,那么控制环境将受到很不利的影响。正确的管理思想和经营作风的原则是:制定符合国家经济金融立法政策和法律规范的经营目标,坚持“安全性、流动性、效益性”相统一的经营原则,避免制定不切实际的经营目标。
2、完善的决策组织机构。决策组织机构包括董事会、监事会、各类专门委员会及经营管理组织。在设立这些机构的同时要建立有效的议事规则,提高意见和建议的权威性,确保决策的科学和准确。决策组织机构应充分了解内部控制中存在的问题,并及时加以纠正,这是评价其绩效的重要标准。
3、科学的、具有激励作用的人力资源管理机制。人的因素关系到能否胜任控制需要和实现控制目标的问题。拥有品质良好、训练有素的人员可以在一定程度上弥补内部控制制度的某些不足。良好的人力资源管理机制可以保证员工的诚信程度、工作态度、专业技能和知识结构等符合要求。
4、部门岗位职责恰当分离,这是内部控制独立性的具体体现。合理的职能分工和恰当的责任分离能够使各部门各岗位人员各尽其职,在各自的工作层范围内完成相应的任务,同时,不相容职务必须分离。如实行货币、有价证券和重要单证的保管与账务处理、保管与使用相分离;程序设计开发与操作相分离;贷款的发放、审批与监管相分离等。
5、具有权威性和相对独立性的内部审计。内部审计是自我独立评价的一种活动,可通过协助管理层监管其他控制政策和程序的有效性,促成好的控制环境的建立。内部审计可为内部控制制度提供建设性意见。内部审计的权威性和有效性与其权限、人员资格以及可使用的资源紧密相关,因此,内部审计部门应当直接向法人或最高决策管理组织负责,而不受被监督人员和部门所管制;内部审计部门应当根据业务发展的规模配备足够和称职的人员,有效地开展内部审计工作;内部审计部门和内部审计人员应当有畅通的信息反馈和报告渠道,保证发现的问题能够及时完整地为最高决策组织所掌握。
6、明确的授权和审批制约机制。各业务部门和分支机构都应明确,开办任何业务活动须经有权批准部门的书面认可,应按照内部有关经营管理权限实行逐级有限授权,根据被授权人的实际情况实行区别授权,并根据情况的变化及时调整授权,明确规定相应责任,对越权行为予以严肃处理。
7、有效的会计系统。该系统应做到:确认并记录所有真实业务,及时充分地对交易作出恰当分类,计量交易价值,确定交易发生的期间,适当地表达交易和披露相关事项,即会计记录应当按规定的要素和会计期间,完整准确地反映各项业务活动,防止会计人员接受非法指令,从事违法的会计记账和核算活动。
8、信息安全的保障措施。各业务应用系统的立项、设计、开发、测试、运行维护应进行严格管理和监控;计算机操作要注意密码的保密性,并定期更换;备份文件应妥善保管;机房应按安全管理规定配备防火、防震等设施。
9、应急应变措施。应急应变措施是在一旦遭到不测时而采取的措施,它是保证业务持续发展、避免造成损失和维护公众形象的重要手段。应明确规定,遇到断电、抢劫、火灾、支付困难等紧急情况时,各岗位人员应当采取的应急应变措施,并在日常予以演练。
总之,随着我国市场经济体制的日益健全,商业银行的竞争将愈演愈烈。作为商业银行要想在市场竞争中站稳脚跟,取得可持续发展,除了加大市场营销力度,占取市场份额,获取利润之外,还必须重视风险管理,加强内部控制制度建设,使控制活动寓于管理活动之中,成为银行日常工作不可分割的一部分,把风险消灭在萌芽状态。
一、内部控制的内涵
内部控制制度是风险管理制度的核心内容。使控制活动寓于管理活动之中,是银行日常工作不可分割的一部分,而不是对经营管理的额外补充。
内部控制有其科学的定义和丰富的内容。现代内控理论试图提出能被普遍接受的内控定义,以便满足不同单位的需要。美国审计权威COSO(1994)的定义是:内控是一个受某单位不同层次的人影响的过程,而设计这一过程是为实现下述三大目标提供合理的保证:经营的效果和效率;财会报告的可靠性;对现行法规的遵守。
巴塞尔银行监管委员会(Basle)参照美国等国的理论,提出了新的内控定义,其中进一步强调董事会和高级管理层对内控的影响,组织中的所有各级人员都必须参加内控过程,对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;信息性目标中包括管理信息,明确要求实现财务和管理信息的可靠性、完整性和及时性。
这三大目标既满足不同的需要,又相互交叉。显然,内控是保证各项业务发展的,而不是妨碍其发展的。此外,公司或银行不能为实现经营性目标而不遵从法规,也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
内部控制固然很重要,但不是万能的,也有其固有的局限性。例如,①内控能合理地确保基本经营目标的实现,但不能把一个本质上很坏的经营者变好,以及不能控制竞争对手的行为和客观经济条件的变化。②确保财务报告的可靠和合法合规,但不能绝对保证,而只能合理保证。这些目标的实现受到内控制度内在的限制,包括决策者失误和决策错误导致的经营中断。控制还可能被两个或两个以上的人合谋制约。管理层也有能力践踏内控制度。此外,内控制度的设计还受到人、财、物等资源的约束。
二、商业银行内部控制系统的构成
1994年COSO认为内部控制包括五大组成部分。
1、控制环境:控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的作风和结构,并且涉及到所有活动的核心——人,特别是人的控制觉悟,还反映中央银行和商业银行等金融机构各级管理对内控的要求。
2、风险评估:是识别和分析那些妨碍实现经营管理目标的因素,是对风险的分析评估构成风险管理决策的基础。
3、控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
4、信息与交流:存在于所有经营管理活动中,使员工得以收集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。
5、监督评审:是经营管理部门对内控的管理监督及稽核监察部门对内控的再监督与再评价活动的总称。
上述内控内容已经被COSO从理论上分析成为一个完整的有机结合的整体,并且得到了巴塞尔委员会的认同和发展。
1998年巴塞尔委员会则在控制环境中强调了管理层的督促和控制文化;在风险评估方面将风险的识别和风险的评估并举;在控制活动方面又突出了职责分离的重要性;该委员会特别对信息与交流作了更多的解释;除了监督评审活动之外,还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外,增加了监管当局对内控的检查和评价,把它作为内控的另一不可忽视的内容。
三大目标和五大组成部分构造了内探险系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象,使人们能够以内控为有力武器,为实现三大目标自觉奋斗。
我国的金融工作者应该适应形势,转变观念,从内控的三大目标出发,考察本单位上述五大组成部分的各个方面,检查是否建立了健全的内控制度,而且,这些制度是否得以认真贯彻实施。稽核检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
三、建立商业银行内控制度必备的条件
1、管理层拥有正确的管理思想和经营作风。管理层在控制环境中发挥着重要的作用,其管理思想和经营作风是经营活动的基础和指南,也是进一步制订发展目标的方向。如果管理层不愿意设立适当的控制或不能遵守已建立的控制,那么控制环境将受到很不利的影响。正确的管理思想和经营作风的原则是:制定符合国家经济金融立法政策和法律规范的经营目标,坚持“安全性、流动性、效益性”相统一的经营原则,避免制定不切实际的经营目标。
2、完善的决策组织机构。决策组织机构包括董事会、监事会、各类专门委员会及经营管理组织。在设立这些机构的同时要建立有效的议事规则,提高意见和建议的权威性,确保决策的科学和准确。决策组织机构应充分了解内部控制中存在的问题,并及时加以纠正,这是评价其绩效的重要标准。
3、科学的、具有激励作用的人力资源管理机制。人的因素关系到能否胜任控制需要和实现控制目标的问题。拥有品质良好、训练有素的人员可以在一定程度上弥补内部控制制度的某些不足。良好的人力资源管理机制可以保证员工的诚信程度、工作态度、专业技能和知识结构等符合要求。
4、部门岗位职责恰当分离,这是内部控制独立性的具体体现。合理的职能分工和恰当的责任分离能够使各部门各岗位人员各尽其职,在各自的工作层范围内完成相应的任务,同时,不相容职务必须分离。如实行货币、有价证券和重要单证的保管与账务处理、保管与使用相分离;程序设计开发与操作相分离;贷款的发放、审批与监管相分离等。
5、具有权威性和相对独立性的内部审计。内部审计是自我独立评价的一种活动,可通过协助管理层监管其他控制政策和程序的有效性,促成好的控制环境的建立。内部审计可为内部控制制度提供建设性意见。内部审计的权威性和有效性与其权限、人员资格以及可使用的资源紧密相关,因此,内部审计部门应当直接向法人或最高决策管理组织负责,而不受被监督人员和部门所管制;内部审计部门应当根据业务发展的规模配备足够和称职的人员,有效地开展内部审计工作;内部审计部门和内部审计人员应当有畅通的信息反馈和报告渠道,保证发现的问题能够及时完整地为最高决策组织所掌握。
6、明确的授权和审批制约机制。各业务部门和分支机构都应明确,开办任何业务活动须经有权批准部门的书面认可,应按照内部有关经营管理权限实行逐级有限授权,根据被授权人的实际情况实行区别授权,并根据情况的变化及时调整授权,明确规定相应责任,对越权行为予以严肃处理。
7、有效的会计系统。该系统应做到:确认并记录所有真实业务,及时充分地对交易作出恰当分类,计量交易价值,确定交易发生的期间,适当地表达交易和披露相关事项,即会计记录应当按规定的要素和会计期间,完整准确地反映各项业务活动,防止会计人员接受非法指令,从事违法的会计记账和核算活动。
8、信息安全的保障措施。各业务应用系统的立项、设计、开发、测试、运行维护应进行严格管理和监控;计算机操作要注意密码的保密性,并定期更换;备份文件应妥善保管;机房应按安全管理规定配备防火、防震等设施。
9、应急应变措施。应急应变措施是在一旦遭到不测时而采取的措施,它是保证业务持续发展、避免造成损失和维护公众形象的重要手段。应明确规定,遇到断电、抢劫、火灾、支付困难等紧急情况时,各岗位人员应当采取的应急应变措施,并在日常予以演练。
总之,随着我国市场经济体制的日益健全,商业银行的竞争将愈演愈烈。作为商业银行要想在市场竞争中站稳脚跟,取得可持续发展,除了加大市场营销力度,占取市场份额,获取利润之外,还必须重视风险管理,加强内部控制制度建设,使控制活动寓于管理活动之中,成为银行日常工作不可分割的一部分,把风险消灭在萌芽状态。