银行内部控制评价方法研究
2014-06-13刘杰
刘 杰
(德勤华永会计师事务所(特殊普通合伙)北京分所,北京 100738)
一、引言
内部控制(英文:Internal Control),是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,其目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。将内部控制体系在全行总/ 分/ 支三级机构中建立内部控制标准并定期进行内部控制评价,能够加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。本文以国内某大型股份制银行客户为分析对象,对如何开展银行内部控制评价的方法做出了研究。
二、项目背景介绍及内部控制评价实施措施
本文的研究背景是某行内部控制评价项目,研究目的是在按照《企业内部控制基本规范》、《企业内部控制评价指引》以及《商业银行内部控制指引》等监管规定,结合该行既有的内部控制制度和业务流程,对该年度内部控制的设计有效性与运行有效性进行评价。
本文根据工作的先后顺序,具体评价措施化分为10 个可执行步骤阶段:①制定内部控制评价的目标;②制定内部控制评价的准则;③确定内部控制评价的依据;④制定内部控制缺陷认定标准;⑤确定内部控制评价的范围;⑥确定内部控制评价的程序;⑦执行内部控制评价;⑧汇总内部控制发现问题;⑨给出内部控制有效性评价;⑩提出内部控制优化建议。
三、项目阶段化及具体工作描述
基于上述实施方法,将内部控制评价的相关工作阶段具体化,各个阶段工作为:
第一阶段是制定内部控制评价的目标阶段,其基本目标是:落实内部控制监管要求,树立良好的公司形象;完善各项业务内控制度,持续加强内部控制体系建设;强化各级管理层和员工的内部控制意识,增强贯彻落实各项控制措施的主动性和自觉性;提高内部控制管理水平,最大限度的提升效益,协助实现战略发展和经营目标。
第二阶段是制定内部控制评价的准则阶段,经研究及认真分析,开展本次内部控制评价遵循以下原则:①全面性原则;②重要性原则;③可操作性原则;④成本效益原则;⑤持续性原则。
第三阶段是确定内部控制评价的依据阶段,依据包括:①国家和行业法律、法规以及规章制度;②该行内部控制体系及其他相关规定。
第四阶段是制定内部控制缺陷认定标准阶段,该行内部控制缺陷认定标准根据相关规范,结合该行规模、行业特征、风险水平等因素研究确定重大缺陷、重要缺陷和一般缺陷的认定要求。在具体对内部控制缺陷进行认定时,该行采用定性标准与定量标准相结合的工作方法,并根据实际情况谨慎选择。
第五阶段是确定内部控制评价的范围阶段,其评价全面覆盖了内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素。根据《企业内部控制基本规范》要求,内部控制评价工作遵循原则的具体体现为:
全面性原则:包括了内部控制的设计与运行,涵盖了该行的各类业务和管理事项。
重要性原则:评价工作在全面评价的基础上,特别关注了重要业务单位、重大业务事项和高风险领域。
客观性原则:评价工作综合运用访谈、穿行测试、抽样等多种方法,准确地揭示了经营管理的风险现状,如实地反映了内部控制设计与运行的有效性。
第六阶段是确定内部控制评价的程序阶段,针对该程序,本文分为四个子步骤完成。各子步骤的主要工作内容包括:①内控评价体系建设阶段,对该行内部控制流程进行全面梳理,形成流程目录。②内控中期评价阶段,评价小组综合考虑被评价对象的风险、业务频次、复杂程度、重要性等相关因素,涉及科学的选样方法,用个别访谈、专题讨论、穿行测试、抽样等评价方法,现场与非现场相结合。③内控整改阶段,对于认定的内部控制缺陷,提出整改建议,逐条与部门和分支机构进行沟通确认,就主要发现和建议的整改措施达成一致意见,并要求责任单位及时进行整改。④内控更新评价和报告阶段。
第七阶段是执行内部控制评价阶段,即根据内部控制评价的程序对该行进行内部控制评价。
第八阶段是汇总内部控制发现问题阶段,内部控制评价主要发现结合了中期评价和年末更新评价的工作成果。在中期评价发现内控缺陷的项数基础上,确认已整改项数、尚未完成整改项数。根据年末更新评价识别内控缺陷相数,确认与中期测试类型相同的问题项数、新增问题项数。通过把两次评价发现进行合并整理,剔出已经整改完成的问题,最终确定截至该年度年末该行内部控制存在各类问题的项数、控制设计缺陷项数、控制执行缺陷项数与控制优化建议项数。第九阶段是给出内部控制有效性评价阶段,通过依据确定的内部控制缺陷认定标准对所有内部控制评价发现进行分析,并给出内部控制是否有效、是否发现可能导致严重偏离控制目标的重大缺陷的内部控制评价结论。
第十阶段是提出内部控制优化建议阶段,针对现有内部控制缺陷,采取以下优化改进措施:①重点加强信贷业务、国际业务、资金业务和运营板块管理力度,细化制度规范,积极落实缺陷整改,加大规章制度和业务技能培训力度;②明确岗位分工,划清职责界限,理顺业务关系,并建立健全各业务领域的不相容职责分离与岗位轮换机制;③进一步加强信息科技建设,尽快改善信息科技内部控制的薄弱环节的同时积极探索将手工控制固化为自动控制,利用信息系统减少人工操作的失误;④继续推进全面风险管理建设,完善信用风险、市场风险、操作风险等主要风险的识别、评估、计量、监测和报告程序,推动风险管理体系的科学化、精细化发展。同时,将内控、合规与操作风险管理工作相结合,建立“三位一体”的风险控制管理模式,促进三道防线间的工作互补与信息共享,提高全行风险管理效率和效果。
四、项目实施总结
本文按照项目工作的先后顺序,通过将银行内部控制评价项目划分为10 个阶段,并对其中的确定内部控制评价的程序阶段按4个子步骤完成;经过实践验证,其成功高效、顺利地完成了该行开展的内部控制评价工作,以满足五部委对银行内部控制建设和评价的要求,加强和规范了企业内部控制,提高了企业经营管理水平和风险防范能力,促进了企业可持续发展,维护了社会主义市场经济秩序和社会公众利益;同时满足了银监会《商业银行内部控制指引》的要求,并为该行今后的内部控制评价工作奠定了良好的基础,并提供了全面、细致地工作指导。
[1]中国财政部会同证监会、审计署、银监会、保监会.企业内部控制基本规范[Z].
[2]中国银监会.商业银行内部控制指引[Z].