分析了內控建設
❶ 集團內部控制體系建設的重點什麼
華彩的理論體系認為,集團內部控制體系建設主要有十大要點,第一是所有內部控制體系運行必須服務於企業中長期戰略規劃;第二是強調全員內控意識培養,構成體系運行的內部環境;第三是規范法人治理架構,強化子公司的管控;第四是制度修訂除了符合指引要求,必須結合企業的運作特點,表達戰略意圖;第五是控制活動的設計必須匹配於當前業務,並落實到制度和流程;第六是流程框架必須給予優化的部門職能架構,並且對子公司形成管控條線;第七是流程步驟不能簡單遵照現有業務活動進行,必須考慮風險要素;第七流程步驟不能簡單遵照現有業務活動進行,必須考慮風險要素;第八是流程風險點及控制點的識別和提煉,必須考慮母公司戰略需要;第九是建立可循環操作的內部控制監督與評價機制;第十是強調內控體系與原有管理體系相互配合,實現常態化運作並不斷更新。
❷ 如何加強商業銀行的內控制度建設
1. 建立健全內部控制制度體系。按照《商業銀行內部控制指引》的要求,在梳理現有規章制度的基礎上,以有效識別、衡量、控制風險為中心,建立覆蓋主要業務品種和重要會計業務操作環節的規章制度。這就要求銀行內部總體規劃,各部門協調統一,充分考慮科學合理性、嚴密性、明晰性和可操作性,通過整章建制,進一步梳理現有的規章制度,去除相互交叉的矛盾,以及不合理或者已經跟不上形勢發展需要的制度,增加適應業務發展的新制度、新規定,使管理制度逐步系統化、規范化、科學化。構建的內控制度框架應不遺漏任何環節、任何層次,同時也不能過於繁瑣,並要有暢通的信息系統和反饋系統,有適應外部變化的機制。當然建立這樣的制度不可能是一蹴而就的,商業銀行應該在整體框架下,系統排查決策流程和業務流程,識別風險、確認風險,對存在的問題和風險進行排序,然後分階段、有所側重地逐步建立健全內部控制制度。必要時可以藉助中介機構的力量,特別是在設計整體框架、識別風險、標准化、行業模式的評定、測試評價等方面,中介的優勢是比較明顯的。
2. 建立內部控制運行監控體系。銀行的內部監督管理部門,應當對內控制度、制度執行情況隨時進行監測,根據環境變化和內部管理要求, 及時發現與業務不匹配的內控制度,適時進行調整,保持制度的合理性、有效性,使制度建設真正做到與業務的發展相輔相承、相得益彰,使內控建設真正起到為業務發展提供保障的作用。另外,銀行內部監督管理部門應與執行部門建立有效的信息溝通渠道,確保各項內控措施全面落實。要完善內部控制評價考核體系。通過設置考核評價指標,對機構內控運行情況、員工內控執行情況進行定期或不定期的衡量、評價,並制定出相應的獎懲措施,嚴格獎懲,形成剛性約束。
❸ 新形勢下如何加強企業內部控制制度建設
內部控制,應當包括下列5個要素:(1)內部環境;(2)風險評估;(3)控制活動;(4)信息與溝通;(5)內部監督。
我國《企業內部控制基本規范》第一個要素內部環境基本框架:
包括公司治理結構,內部機構人力資源,企業文化建設,法制教育幾個方面。
我國《企業內部控制基本規范》關於風險評估要素的要求:
(1)根據設定的控制目標,全面系統持續地收集相關信息,結合實際情況,及時進行風險評估。
(2)企業開展風險評估,應當准確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。
(3)企業識別內部風險,應當關注下列因素:①董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素;②組織機構、經營方式、資產管理、業務流程等管理因素;③研究開發、技術投入、信息技術運用等自主創新因素;④財務狀況、經營成果、現金流量等財務因素;⑤營運安全、員工健康、環境保護等安全環保因素;⑥其他有關內部風險因素。
(4)企業識別外部風險,應當關注下列因素:①經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素;②法律法規、監管要求等法律因素;③安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素;④技術進步、工藝改進等科學技術因素;⑤自然災害、環境狀況等自然環境因素;⑥其他有關外部風險因素。
(5)企業應當採用定性與定量相結合的方法,按照風險發生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關注重點和優先控制的風險。企業進行風險分析,應當充分吸收專業人員,組成風險分析團隊,按照嚴格規范的程序開展工作,確保風險分析結果的准確性。
(6)企業應當根據風險分析的結果,結合風險承受度,權衡風險與收益,確定風險應對策略。企業應當合理分析、准確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好,採取適當的控制措施,避免因個人風險偏好給企業經營帶來重大損失。
(7)企業應當綜合運用風險規避、風險降低、風險分擔和風險承受等風險應對策略,實現對風險的有效控制。
(8)企業應當結合不同發展階段和業務拓展情況,持續收集與風險變化相關的信息,進行風險識別和風險分析,及時調整風險應對策略。
我國《企業內部控制基本規范》關於控制活動要素的要求
(1)企業應當結合風險評估結果,通過手工控制與自動控制、預防性控制與發現性控制相結合的方法,運用相應的控制措施,將風險控制在可承受度之內。控制措施一般包括:不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。
(2)不相容職務分離控制要求企業全面系統地分析、梳理業務流程中所涉及的不相容職務,實施相應的分離措施,形成各司其職、各負其責、相互制約的工作機制。
(3)授權審批控制要求企業根據常規授權和特別授權的規定,明確各崗位辦理業務和事項的許可權范圍、審批程序和相應責任。企業應當編制常規授權的許可權指引,規范特別授權的范圍、許可權、程序和責任,嚴格控制特別授權。常規授權是指企業在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業在特殊情況、特定條件下進行的授權。
企業各級管理人員應當在授權范圍內行使職權和承擔責任。企業對於重大的業務和事項,應當實行集體決策審批或者聯簽制度,任何個人不得單獨進行決策或者擅自改變集體決策。
(4)會計系統控制要求企業嚴格執行國家統一的會計准則制度,加強會計基礎工作,明確會計憑證、會計賬簿和財務會計報告的處理程序,保證會計資料真實完整。企業應當依法設置會計機構,配備會計從業人員。會計機構負責人應當具備會計師以上專業技術職務資格。大中型企業應當設置總會計師。設置總會計師的企業,不得設置與其職權重疊的副職。
(5)財產保護控制要求企業建立財產日常管理制度和定期清查制度,採取財產記錄、實物保管、定期盤點、賬實核對等措施,確保財產安全。企業應當嚴格限制未經授權的人員接觸和處置財產。
(6)預算控制要求企業實施全面預算管理制度,明確各責任單位在預算管理中的職責許可權,規范預算的編制、審定、下達和執行程序,強化預算約束。
(7)運營分析控制要求企業建立運營情況分析制度,經理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息,通過因素分析、對比分析、趨勢分析等方法,定期開展運營情況分析,發現存在的問題,及時查明原因並加以改進。
(8)績效考評控制要求企業建立和實施績效考評制度,科學設置考核指標體系,對企業內部各責任單位和全體員工的業績進行定期考核和客觀評價,將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。
(9)企業應當根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各種業務和事項實施有效控制。
(10)企業應當建立重大風險預警機制和突發事件應急處理機制,明確風險預警標准,對可能發生的重大風險或突發事件,制定應急預案、明確責任人員、規范處置程序,確保突發事件得到及時妥善處理。
我國《企業內部控制基本規范》關於信息與溝通要素的要求:
(1)企業應當建立信息與溝通制度,明確內部控制相關信息的收集、處理和傳遞程序,確保信息及時溝通,促進內部控制有效運行。
(2)企業應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合,提高信息的有用性。企業可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網路等渠道,獲取內部信息。企業可以通過行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網路媒體以及有關監管部門等渠道,獲取外部信息。
(3)企業應當將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間,以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題,應當及時報告並加以解決。重要信息應當及時傳遞給董事會、監事會和經理層。
(4)企業應當利用信息技術促進信息的集成與共享,充分發揮信息技術在信息與溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網路安全等方面的控制,保證信息系統安全穩定運行。
(5)企業應當建立反舞弊機制,堅持懲防並舉、重在預防的原則,明確反舞弊工作的重點領域、關鍵環節和有關機構在反舞弊工作中的職責許可權,規范舞弊案件的舉報、調查、處理、報告和補救程序。企業至少應當將下列情形作為反舞弊工作的重點:①未經授權或者採取其他不法方式侵佔、挪用企業資產,謀取不當利益;②在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等;③董事、監事、經理及其他高級管理人員濫用職權;④相關機構或人員串通舞弊。
(6)企業應當建立舉報投訴制度和舉報人保護制度,設置舉報專線,明確舉報投訴處理程序、辦理時限和辦結要求,確保舉報、投訴成為企業有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。
我國《企業內部控制基本規范》關於內部監督要素的要求
(1)企業應當根據本規范及其配套辦法,制定內部控制監督制度,明確內部審計機構(或經授權的其他監督機構)和其他內部機構在內部監督中的職責許可權,規范內部監督的程序、方法和要求。內部監督分為日常監督和專項監督。日常監督是指企業對建立與實施內部控制的情況進行常規、持續的監督檢查;專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下,對內部控制的某一或者某些方面進行有針對性的監督檢查。專項監督的范圍和頻率應當根據風險評估結果以及日常監督的有效性等予以確定。
(2)企業應當制定內部控制缺陷認定標准,對監督過程中發現的內部控制缺陷,應當分析缺陷的性質和產生的原因,提出整改方案,採取適當的形式及時向董事會、監事會或者經理層報告。內部控制缺陷包括設計缺陷和運行缺陷。企業應當跟蹤內部控制缺陷整改情況,並就內部監督中發現的重大缺陷,追究相關責任單位或者責任人的責任。
(3)企業應當結合內部監督情況,定期對內部控制的有效性進行自我評價,出具內部控制自我評價報告。內部控制自我評價的方式、范圍、程序和頻率,由企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等自行確定。
(4)企業應當以書面或者其他適當的形式,妥善保存內部控制建立與實施過程中的相關記錄或者資料,確保內部控制建立與實施過程的可驗證性。
❹ 內控體系建設的要點
缺乏內部控制的企業常見原因分析
對內部控制相關理論的全面介紹
控制環境
內部控制的實質——風險管理
內部控制活動
內部審計簡介
職業舞弊
內控的建立和執行
薩奧法案及公司治理
❺ 如何加強企業內部控制的措施
加強企業內部控制的措施:
1、完善制度建設、實施內部控制。以《企業內部控制規范-基本規范》、《企業內部控制基本規范》、《企業內部控制配套指引》等文件為依據,結合企業實際情況,全面梳理原有管理制度,在符合內部控制要求的前提下,著眼於管理創新、建立適合本企業的內部控制管理體系,明確相關部門人員的指責和許可權,推行全面管理,提倡全員參與,建立彼此牽制、彼此連接、彼此制約的內控制度。
2、明確控制目標,優化內部控制環境。內部控制制度重點是圍繞會計核算和會計監督環節來設置的。一般說來,健全的內部控制制度應能有效預防錯誤和舞弊的發生。即使發生了,也容易及時發覺和糾正。
3、提高會計人員素質。會計人員素質是加強內部控制的關鍵,企業要通過科學合理的聘用、培訓、輪崗、考核、獎勵、晉升、淘汰等辦法,提高財會人員整體素質。
4、加強內部監督。企業內部控制是一個過程,這個過程是通過納入管理制度及活動實現的。因此,要確保內部控制制度被切實地執行,且執行效果良好,其必須被監督。
5、實施預算控制,提高內控水平。實行全面預算,搞好各業務事項的事前預測、事中控制、事後分析,將企業的經營目標轉化為各生產廠、各部門、各崗位以至個人的具體行為目標。
6、加強內外部信息交流與溝通,加強反舞弊機制。企業應建立建立上傳下達的有效機制。通過建立組織機構制定崗位責任制來實現。還應注意信息溝通的有效性和及時性。
拓展資料
一、簡介
企業內控是企業為保證經營管理活動正常有序、合法的運行,採取對財務、人、資產、工作流程實行有效監管的系列活動。 企業內控要求保證企業資產、財務信息的准確性、真實性、有效性、及時性;保證對企業員工、工作流程、物流的有效的管控;建立對企業經營活動的有效的監督機制。
二、結果體現
(一)內部環境。內部環境是企業實施內部控制的基礎,一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。
(二)風險評估。風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險應對策略。
(三)控制活動。控制活動是企業根據風險評估結果,採用相應的控制措施,將風險控制在可承受度之內。
(四)信息與溝通。信息與溝通是企業及時、准確地收集、傳遞與內部控制相關的信息,確保信息在企業內部、企業與外部之間進行有效溝通。
(五)內部監督。內部監督是企業對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。
❻ 加強我國商業銀行內部控制建設的建議
商業銀行內部控制低效的成因及模式重構
作者:孫濤 編輯:
[摘 要]我國商業銀行金融風險的產生多是由內部控制低效造成,而內部控制低效又源於控制模式的不規范。因此,研究這一課題具有重要的理論價值和現實意義。為探索提高內部控制效果的有效途徑,本文在分析我國商業銀行內部控制低效成因的基礎上。根據COSO報告和ERM的要求,構建了要素式動態控制的立體模式,並對這一模式的構成及其運行方式等進行了深入研究,為商業銀行規范內部控制行為和降低金融風險提供了一種行之有效的管理手段。
[關鍵詞]商業銀行;內部控制;控制模式;風險控制
一、問題的提出及文獻綜述
我國商業銀行的內部控制始於20世紀90年代初期對呆滯賬的控制,1990年我國四大國有銀行的壞賬佔全部貸款的比例已經超過20%,連同逾期、展期的呆滯貸款總額占貸款總額的比例超過了70%,1991年末四大國有銀行的壞賬超過其自有資本,產生資不抵債。1992年美國COSO委員會頒布五要素的內部控制框架(簡稱COSO報告),引發了全球性內部控制高潮,也給我國商業銀行提出了建設內部控制制度的要求。到20世紀90年代中期,由於我國越來越多的國有企業不但不償還貸款,甚至連貸款利息也不支付,致使全國銀行業在1994年和1995年出現了全行業虧損,分析其產生虧損原因,主要是由於商業銀行缺乏有效的內部控制制度(趙文傑,1996),產生了過多的呆滯賬以及市場風險、信用風險和操作風險。為控制全球普遍存在的壞賬損失及其金融風險,1998年9月巴塞爾銀行業委員會發布了銀行內部控制系統框架(Framework for Internal Control Systems in Banking Organizations)。我國商業銀行也開始了全面內部控制建設,雖然對降低運營成本以及控制金融風險等方面起到了一定的作用,但並沒有改變我國銀行業呆滯賬過多的現象,1999年四大國有銀行的不良貸款總額超過1萬億元,2003年6月全國商業銀行的不良貸款總額達到3.2萬億元,這就不得不使我們反思商業銀行實施的內部控制制度建設還存在的許多難以克服的弊端。
為解決我國商業銀行實施內部控制制度低效的問題,理論界和實踐中都進行了深入的探討。陳元燮(1998)使用系統觀點分析了我國商業銀行的內部控制結構,指出控制信息不暢以及控制的手段和方法失效是產生內部控制低效的主要原因;王順(1999)從COSO報告的要求出發分析我國商業銀行的內部控制制度,指出監管不利以及約束失效降低了內部控制制度的作用;秦輝(2000)從農業銀行深圳分行實施內部控制的實踐出發,分析了商業銀行建立要素式內部控制模式的必要性;董青(2001)從工商銀行湖南省分行實施內控制度的實踐出發,在分析銀行業內部控制制度存在問題的基礎上,提出了商業銀行建立有效內部控制體系的要求;張明魁,任福堂(2002)在分析商業銀行內部控制目標管理的基礎上,提出了加強對商業銀行內部控制實施審計的要求;楊軍、陳朝豹(2003)重點對國有商業銀行的內部控制進行了分析,提出了構建要素式內部控制系統的初步設想;李明輝、王學軍(2004)重點研究了商業銀行內部控制的信息披露,指出對商業銀行特別是上市銀行,加強內部控制的信息披露,是提高內部控制效果的有效措施;周正兵(2005)通過對《商業銀行內部控制體系標准》編寫組組長王健豪先生的采訪,介紹了相關的標准並分析了制定商業銀行內部控制標準的重要性;余奇才、曾北川(2006)分析了《商業銀行內部控制評價試行辦法》,強調了商業銀行實施內部控制時進行評價的重要性。經過幾年來理論與實踐界的研究,已經明確了我國商業銀行進行內部控制制度建設的方向是要根據COSO報告以及ERM框架的要求建立要素式的內部控制模式,並且要打破傳統的平面式結構,構建多維內部控制框架。雖然許多專家、學者已經進行了深入的探討,但應如何構建這一模式到目前為止尚沒有一致的意見,需要進一步地探究。
構建適合我國商業銀行實際情況的有效運營模式是一項長期的任務,經過幾年來商業銀行不良資產剝離以及上市治理,不良貸款數額有較大幅度的下降,但仍不容樂觀。2006年第一季度境內商業銀行不良貸款總額仍有1.3125萬億元,據新聞報道我國1-9月份新增不良貸款金額近9000億元,這種現象除了制度方面的原因外,在很大程度上還是由於內部控制低效。我國商業銀行內部控制低效,在增加其市場風險和信用風險的同時,也在一定程度上促進了操作風險的產生(孫濤,2006)。從2000年到2004年我國商業銀行共發生涉案金額在百萬元以上的操作風險案件75起,其中人民銀行6起,農業銀行15起,建設銀行17起,中國銀行18起,其他金融機構10起,除涉案金額不詳的13起案件以外的其他案件造成國有資產損失高達24.15億元。因此,我國商業銀行加強內部控制建設的任務仍很艱巨。
自上世紀90年代以來,我國商業銀行在走向市場化的過程中開始實施內部控制,但隨著商業銀行內部控制的實施,金融風險不但沒有下降反而越控制越高。究其原因是多方面的,但其中重要的原因之一就是我國商業銀行傳統的內部控制模式存在著嚴重的問題,內部控制的思路和方式與金融風險的控制方向相背離,致使內部控制低效。在這種情況下,結合我國商業銀行風險控制的實際情況,借鑒國外金融風險防範的先進經驗,採用創新的手段和方法重構我國商業銀行的內部控制模式,並深入探索採用內部控制方式防範和控制商業銀行市場風險、信用風險和操作風險的有效途徑具有十分的重要性和迫切性。
二、商業銀行內部控制低效的主要原因
我國商業銀行傳統的內部控制由於受目標管理的影響,普遍採用了內容控制的方式,過度地強調目標的實現與控制,忽視了規范化建設,結果造成了短期有效之後的長期失效或低效,並因內部控制機構的設置、控制活動的實施以及內部控制的測試與評價,大大增加了管理成本。因此,分析我國商業銀行內部控制低效的原因,是提高內部控制有效性的基礎,根據我國商業銀行內部控制的實際情況,產生這種現象的主要原因表現在以下幾個方面:
(一)內部控制的條件尚不夠成熟
內部控制是一定的組織發展到一定程度提高管理水平的一種自然要求,它有許多基本條件的限制,主要包括:技術狀況、管理水平、人員素質、組織文化、經營規模以及運營效率等,它們必須要達到一定的程度才會有效。我國商業銀行由於受傳統管理方式的影響,以及長期的國家統管或干涉,致使資本運營效率十分低下。目前我國銀行業正在商業化改造過程中,市場營銷的觀念尚不夠成熟,特別是嚴重的富餘人員、臃腫的組織機構以及低下的工作效率,使得內部控制的效果大大低於這些問題所產生的費用超支,而使得內部控制必然產生低效。因此,商業銀行的內部控制應隨著控制環境的改善和條件成熟而逐步完善。
(二)忽視內部控制模式建設
內部控制是規范組織整體行為,提高整體管理效率和水平的一種管理方式,它的核心是構建一個有效的控制模式來規范和指導人們的控制行為和結果。商業銀行傳統的內部控制多採用頭痛醫頭、腳痛醫腳的打補丁控制方式,缺乏整體的控制思想和控制框架,主要採用目標控制的方法,以控制具體管理活動的內容為目的,過多地強調結果,不能夠注重內部控制的環境建設和過程建設,不能把內部控制要素與內容有機地結合起來,通過構建有效的內部控制模式來實現有效的控制,這在很大程度上影響了商業銀行管理者的控制觀念,致使商業銀行的內部控制活動長期在非規范的環境下低效運行。
(三)傳統的目標管理與COSO報告的要素控制框架產生矛盾降低了內部控制效果
從我國商業銀行風險管理的現狀來看,產生市場風險、信用風險與操作風險的主要原因是缺乏有效的內部控制系統來約束管理者和業務人員的行為。商業銀行在實施內部控制活動的過程中,由於受傳統目標管理的影響,過度重視內部控制目標的分解以及控制結果的考核與獎懲,這就促進了內部控制人員舞弊的動機與行為。當內部控制目標實現與要素控制的要求產生沖突時,由於利益驅動的原因會使得管理者和業務人員為實現預期內部控制目標而不擇手段,從而嚴重破壞內部控制的規范化建設,使控制活動常常失效,導致內部控制風險的產生。
(四)內容控制的模式必然導致內部控制的失效或低效
我國傳統的內部控制制度,把具體的經濟業務作為內部控制的主要內容,把實現與控制預期目標作為內部控制的核心,控制過程中將控制目標分解到各職能部門和相關人員,通過定期的考核與評價檢查內部控制的效果,這種以內容控制為核心的內部控制方式與COSO報告的要素式控制方式存在著根本的不同。要素式內部控制模式把環境和過程的規范化建設作為內部控制的主要內容,把構建內部控制模式作為內部控制的核心,注重的是長期控制目標的實現。相比之下可以看出,內容控制為核心的內部控制方式雖有利於短期控制目標的實現,卻忽視了內部控制環境和過程的規范化建設,失去了內部控制長期有效的動因。因此,最終必然會導致長期控制目標的失效。
(五)缺乏有效的內部控制標准和規范的控製程序
我國商業銀行的內部控制活動與西方國家相比起步比較晚,再加上多年來實施內容式控制模式,忽視要素式內部控制模式建設,存在著嚴重缺乏業務執行標准和綜合評價標準的現象,管理標准也多以規章制度為主,缺乏控制標准,而且內部控製程序也因缺乏要素控制的要求表現出明顯的不規范。根據COSO報告的要求,內部控制是以建立和完善內部控制標准為基礎的規范化管理方式,以檢查與評價管理者以及業務人員執行控制標准、修正與完善內部控制標准為重點,通過控制標準的制定、執行、修正與完善來規范人們的控制行為,通過人們行為的規范來實現控制目標。我國傳統的內部控制方式因控制標準的不完善和控製程序的不規范,使內部控制不可能實現程序化的優化運行,也就必然會導致內部控制的失效和低效。
(六)內部控制的測試與評價系統不完備
按照內部控制的要求,商業銀行必須要及時進行內部控制的健全性測試、符合性測試、實質性測試以及綜合評價,根據測試的結果採取相應的策略,以提高內部控制系統的有效性。由於我國商業銀行現行的內部控制採用內容控制的方式,在很大程度上存在忽視或缺乏內部控制的測試評價系統的現象,使得商業銀行現有的內部控制系統低效或流於形式。另一方面,我國商業銀行現有的控制目標考核評價系統,以完成預期目標為中心,主要考核和評價控制目標的完成程度,屬於剛性控制,長期的剛性目標控制必然會導致控制活動的失效,這就是目標控制的短期行為。
三、商業銀行內部控制模式的重構
我國商業銀行的內部控制系統需要根據COSO報告的要求重新構建,新的內部控制框架應該能夠克服原有內部控制制度所存在的種種弊端,並體現合理有效的原則在重構我國商業銀行內部控制系統的過程中,除充分考慮我國商業銀行內部控制的實際情況,借鑒國外內部控制的先進經驗,最大限度地克服現有制度的弊端之外,還要考慮2004年6月COSO委員會頒布的企業風險管理框架的要求,在內部控制五要素的基礎上增加目標設置、事件確定和風險應對。綜合以上分析,應構建我國商業銀行操作風險內部控制的動態系統(見下圖)。
(一)環境建設子系統是內部控制模式有效運行的基礎
內部控制環境在很大程度上決定著內部控制的實施效果,其建設目的是要塑造商業銀行的文化並影響其員工的內部控制思想。根據COSO報告的要求和我國商業銀行內部控制的實際情況,確定內部控制環境建設的主要內容包括:誠信機制與道德價值觀、員工能力的培養、領導機制與風格、經營方式與組織機構、責任與授權等。通過以上幾方面的建設,形成商業銀行風險控制的良性內部控制環境,並利用環境本身所具有的特定功能和作用,迫使內部控制事件及控制人員按照規范的行為和程序進行有效的工作,從而達到有效控制的目的。目前我國商業銀行內部控制的環境建設還比較薄弱,環境建設位於內部控制模式的外圍,它的完善程度對內部控制效果產生著重大影響。因此,環境建設是內部控制制度有效運行的基礎,也是完善內部控制制度需要長期建設的一項重要工作。
(二)目標管理子系統是內部控制模式的起點並決定著內部控制模式的方向
商業銀行內部控制的目標管理子系統是一個動態循環的過程,包括目標確定、目標的檢查與核對、目標的考核與評價以及目標改進等內容。目標確定是內部控制系統的起點,確定合理的控制目標是內部控制系統有效的基礎;目標的檢查與核對是根據內部控制實施效果進行的動態管理,用於調整內部控制環境適應控制目標以及檢查內部控制目標的實施情況;控制目標的考核與評價是對控制過程效果的綜合評價,主要用於檢查控制目標的實施情況;目標改進是一個反饋系統,主要是把考核與評價的結果反饋到下期的目標制定過程中去,用於修正下期控制目標。
(三)風險評估子系統是連接內部控制目標與控制過程的橋梁
在市場經濟條件下,風險和收益是一對矛盾,只有降低風險與提高效益同步進行,才能提高內部控制的有效性。我國商業銀行的內部控制系統以風險控制為先導,目的在於最大限度地減少內部控制的實施效果與預期目標之間的差距。這一子系統在內部控制模式中起著評估風險、修正標准和應對風險三方面的重要作用,評估風險是根據對控制目標和控制活動的比較分析進行的,通過選擇合理的程序和有效的方法,實施對商業銀行內部控制風險的評估,確定風險的大小;完成風險評估以後,首先根據所評估風險的大小,通過風險評估的標准修正內部控制過程的標准,以保證控制活動的有效性;與此同時根據風險評估的結果和控制目標的要求,將風險應對策略應用於內部控制過程,以最大限度地減少內部控制風險。
(四)過程管理子系統是內部控制模式的核心
商業銀行內部控制過程管理子系統包括:控制標準的制定、設置控制系統、執行控制系統以及必要的結果檢查等。控制過程是內部控制系統的核心,也是降低商業銀行風險的關鍵,根據COSO報告的要求,有效的內部控制是以要素控制為主體的控制系統,在這個控制系統中以環境建設為起點,以控制過程為核心。因此,內部控制的過程管理在控制系統中具有重要的地位。在這個子系統中制定標准和檢查標准具有特殊的意義,子系統的設計及執行必須要充分考慮控制標準的特點及性質,並以風險評估的結果為依據考慮內部控制測試與評價的要求,以保證控制系統的有效性。
(五)信息與溝通子系統是保證內部控制模式有效運行的重要手段
根據有關學者的研究,加強對商業銀行內部控制信息的披露,有利於提高內部控制的效果。商業銀行內部控制的信息與溝通子系統,把商業銀行內部控制的內部信息與外部信息聯系在一起,通過信息的傳遞、接收、整理與使用協調控制過程的各種矛盾,減少內部控制中的各種摩擦,通過信息渠道還可以及時傳遞各種內部控制信息,實現有效的溝通,以減少因缺乏溝通而產生的風險。以上構建的內部控制框架採用雙向的信息傳遞通道,利用信息通道把內部控制的諸要素有機地結合起來,以便於內部控制部門及人員之間的溝通,同時又能夠把每一個要素或過程的實施效果信息反饋到前一個要素或過程,以提高內部控制模式運行的有效性。隨著我國市場經濟的發展,商業銀行內部控制系統中信息與溝通的作用越來越大,加強商業銀行內部控制模式中的信息與溝通子系統建設,對提高內部控制的有效性以及減少商業銀行風險損失等都具有十分重要的現實意義。
(六)監督子系統是內部控制模式有效運營的重要保障
商業銀行的內部控制監督是指對實施內部控制人員的行為以及內部控制的設計和運作的過程,按照預期目標或控制標准所進行的監視及督察。監督活動一般由持續監督和個別評估所構成,持續監督是對內部控制活動的過程實施的不間斷的監督,屬於過程監督。個別評價是對內部控制的特定事件或結果進行的控制性評價,屬於重點監督。商業銀行內部控制的監督子系統也是一個動態的過程,對內部控制的整個過程和全部內容實施控制,並不斷地把監督的信息反饋到內部控制的有關環節,以進行有效的商業銀行風險控制。因此,它是促進內部控制有效運行的重要保障。
(七)測試與評價子系統是內部控制有效運行的有效措施
商業銀行的內部控制測試與評價子系統包括健全性測試、符合性測試、實質性測試和綜合評價。常規的內部控制測試與評價不進行實質性測試,當商業銀行的健全性測試或符合性測試不能通過時,才需要實施實質性測試。商業銀行內部控制的測試與評價是內部控制系統的有機組成部分,也是促進其有效運營的一個有效措施。為提高商業銀行內部控制的有效性,就必須要加強內部控制測試與評價的規范性。
四、主要研究結論
商業銀行實施內部控制的主要目的是為了規范人們的行為,最大限度地降低風險。根據COSO報告和ERM的要求,提高內部控制有效性的關鍵是要首先建立一個有效性的內部控制模式,利用控制模式的約束來規范人們的行為,達到實現內部控制目標的目的。通過對商業銀行內部控制模式構建進行了深入探討,本文主要得出以下幾方面的結論:
1.形成內部控制的原因是多方面的,但採用以目標控制為導向的內容式控制模式是內部控制最終失效或低效的主要原因,解決的主要方法就是要構建要素式的內部控制模式框架。
2.我國內部控制的有效模式應該是目標管理與要素式控制的結合。目標管理是我國商業銀行長期實施內部控制的經驗,雖有缺點但不能拋棄。COSO報告的五要素框架與ERM的八要素框架雖然在國外比較成功,但有一些內容不適合我國國情,也不能照搬,合理的作法是謀求二者的統一和融合,構建適合我國國情的新型內部控制模式。
3.把商業銀行的內部條件與外部環境結合起來,構建層次化的內部控制模式。提高商業銀行的內部控制效果,首先要通過對內部條件的優化組合完善商業銀行的內部控制環境,利用規范的控制行為保證控制目標的實現;其次把內部條件和外部環境結合起來,根據外部環境的要求完善內部控制標准,逐步提高內部控制效果;第三個層次是要根據動態控制的要求,通過內部控制模式的有效運行,追求內部控制效率的最大化。
4.把COSO報告的五要素框架與ERM的八要素框架結合起來,構建階段化的內部控制模式。COSO委員會的ERM框架是在COSO報告五要素基礎上增加了目標設置、事件確定和風險應對三個要素形成的,但二者有著本質的區別:COSO是內部控制的基本框架;ERM只是企業風險框架。本文把二者結合構建了包含目標的制定、風險的評估、控制活動的實施、內部控制的測試與評價以及內部控制目的考核與評價五個發展階段的內部控制動態框架。
5.內部控制動態模式的構建只是提高商業銀行內部控制效果的起點,不是終點。本文構建的商業銀行內部控制動態模式只是一個基本框架,還有許多內容需要進一步地深入研究。這一模式的運行具有多種方式,同一種方式在不同的環境下運行的效果也存在著很大的不同,而且控制模式本身還存在著許多不完善的地方,需要廣大同行更密切地關注這一問題,共同對這一問題進行更深入地研究,以徹底解決商業銀行內部控制低效問題。