巫燕华

【摘要】内部控制在目前的金融竞争环境下，已是不可或缺的重要管理工具。金融机构有良好的内部控制制度为基础，才能在交易机会蜂拥而至时，持续有效管理其风险。因此，设计科学完善的内部控制框架，防范金融会计风险成为金融机构经营发展不可回避的问题。本文列举了台湾金融机构的稽核体系建构，重点阐述自行查核制度的执行流程和注意问题，并以自行查核制度在支付结算业务的应用为例，说明自行查核制度是金融机构内部控制系统中的重要组成环节。“他山之石，可以攻玉”，通过了解更多的内控控制管理方法，能协助金融机构稳健成长和永续经营。

【关键词】内部控制 自行查核制度 支付结算 查核方法

台资银行去年作为分行机构首次进驻广州地区，除了执行国内的银行法规外，在金融安全管理上同时按台湾的金融稽核体系建构，基本分为外部稽核及内部稽核两个层次（如图1）。外部稽核（External Audit）是金融机构以外的单位，如金融检查机关、税务机关、审计机关及会计师等。内部稽核（Internal Audit）是由金融机构内部稽核单位及监察人对其机构本身的各部门及分支单位进行的稽核，或由金融机构各营业单位内部自行就其各项业务办理的查核。

金融机构的内、外部稽核，其查核目的、频率及技术层次，各有其职责及功能，交互构成紧密的风险监控机制（如图2）。金融机构因承做业务可能发生的固有风险（Inherent Risk，如误解相关规定、业务缺失、人为舞弊及判断错误等风险），于有效执行“法令”遵循及内部自行查核制度后，将可大部分阻绝。而内部稽核功能的发挥，将进一步阻绝非预期及例外事件风险，至于金融机构内部控制未能阻绝的缺失或弊端（控制风险Control Risk），则有赖会计师查核签证、主管机关金融检查及监督予以阻绝，以确保金融机构于最低风险的内控环境中经营。

广义的内部控制制度包含自律及内部控制两个方面，自律方面主要为公司治理，內部控制则包含管理控制、会计控制及稽核制度。其中管理控制是执行业务的重心所在，其内容至少包含业务操作管理、风险控管机制、法令遵循制度等项目。具体地说，金融机构内部防护网中属于以查核方式执行者，由内部稽核、自行查核及法令遵循主管等三个制度所构成。自行查核制度是弥补内部稽核制度查核频率及次数不足而设的，查核范围与内部稽核雷同。而法令遵循主管制度办理“法令遵循自行评估”，则针对法令遵循的范围查核。

与国内银行相比，台资银行在自行查核制度方面形成了一套完整成熟的体系，其在多年的实践经验中，能使管理层得以早日发现业务经营缺失，实时予以导正，并藉以加强内部牵制，对从业人员产生吓阻舞弊的作用。对稽核单位而言，自行查核可辅助稽核频率的不足，其查核结果亦为稽核单位了解各单位平时运作状况，作为拟订稽核计划的重要参考依据，因此自行查核是金融机构内部控制系统中的重要环节。现就自行查核制度简介如下：

一、自行查核的法源依据

为加强银行内部牵制，藉以防止弊端的发生，台湾《金融控股公司及银行业内部控制及稽核制度实施办法》对自行查核有以下规定：

1.第十四条：内部稽核单位应办理下列事项：督导业务管理单位订定自行查核内容与程序，及各单位自行查核之执行情形。

这条规定的立法说明是：按各业务单位进行的自行查核是第一道防线、内部稽核是第三道防线，考量业务管理单位对其业务之风险特性及控制点较为了解，如由其订定自行查核内容与程序，并由内部稽核负督导之责，较符合内部控制三道防线之精神。

2.第二十条：金融控股公司及银行业应每年订定自行查核训练计划，依各单位之业务性质对于自行查核人员应持续施以适当查核训练。

3.第二十五条：银行业应建立自行查核制度。各营业、财务、资产保管、资讯单位及国外营业单位应每半年至少办理一次一般自行查核，每月至少办理一次专案自行查核。……各单位办理自行查核，应由该单位主管指定非原经办人员办理并事先保密。……自行查核报告应作成工作底稿，并同自行查核报告及相关资料至少留存五年备查。

二、自行查核的三道防线架构和作用

在相关法令的指导下，银行建构自行查核的三道防线（如图3）。

通过三个环节的紧密结合，环环相扣，达到自行查核的下列目的：

1.自行查核单位应就其本身经营的业务范围，自行指派查核人员就非原经办业务的操作及经营管理是否遵循金融机构的政策程序及相关法令规章进行查核。

2.藉由对内部业务进行定期性的侦测与检视，验证内部控制制度是否持续且有效的运作。

3.及早发现内部业务控制的缺失、降低作业风险及防杜弊端，并对从业人员产生吓阻舞弊的作用。

4.内部稽核查核频率有限，自行查核结果将可供办理单位及其业管单位做内控管理的参考。

三、自行查核的计划、执行与追踪考核

（一）年度查核计划的拟订

营业单位在年度开始前，自行查核督导主管（即自行查核负责人）应斟酌其单位的内部控制状况、业务量大小、业务性质及人员配置情形，妥为规划下一年度全年自行查核计划，做成“自行查核计划表”，密陈该营业单位负责人核定后，函报稽核单位备查，并应按计划切实执行。

由于营业单位的经营环境及业务类别不同，营业单位可视个别情况拟定查核内容，但其内容至少应包括查核年度月份、查核日期、查核种类（一般或项目）、查核项目、查核内容、查核人员等。

（二）自行查核的执行程序

实际执行自行查核工作时，自行查核负责人应于查核前，选定各项查核业务的查核人员，并编制“自行查核工作分配表”，于查核当日，通知各查核人员，依照指定查核项目办理。查核人员应选派熟悉查核项目业务且非原经办人员担任，曾受过稽核或自行查核专业训练，并以不连续查核同一业务为原则。为促进查核功效，查核方式最好采取突击及机动方式办理。至于查核范围，以上次检查基准日开始至本次检查基准日止为原则。

参与自行查核人员，应将查核结果详实记录于工作底稿，并于查核完竣后依据工作底稿的记载，将查核结果及所发现缺失事项，归纳汇总编制“自行查核报告”，并将工作底稿连同查核报告于规定期间内送交自行查核负责人审核。

（三）自行查核负责人及自行查核人员的职责

1.自行查核负责人的职责。

（1）年度开始前拟订“自行查核计划”。

（2）选定自行查核日期。

（3）选定查核项目及范围。

（4）指定查核人员（非原业务经办的适任人员）。

（5）分配查核工作。

（6）监督自行查核的执行。

（7）审核各查核人员的工作底稿与查核报告，并将“自行查核报告”呈报营业单位负责人核阅后，陈报稽核单位审核。

2.自行查核人员的职责。

（1）应本着独立认真的态度，就指定查核项目，依据有关规定确实查核。

（2）应将查核事项明确记载于工作底稿，对业务缺失事项尤应确切指明。

（3）查核工作完竣后，应依据工作底稿做成自行查核报告，送呈自行查核负责人审核。

（4）对所提出的“工作底稿”及“自行查核报告”内容真实性应予负责。

（5）查核时，如发现业务经办人员有违规事实、徇私舞弊或失职情事，应即密报自行查核负责人或经理处理。

（四）自行查核的追踪与考核

各营业单位应于自行查核工作完竣后撰成“自行查核报告”，报由总行稽核单位处理。而稽核单位于审核营业单位“自行查核报告”时，如发现有缺失，应即发函该营业单位，限其于规定时间内改善函复；对于情节严重或稽核单位认为必要时，得办理项目复查；对于营业单位函复缺失改善情形，如发现仍未确实改善或内容无法了解是否改善者，应再督促改善，直至确实改善为止。

各营业单位自行查核的执行情形，由稽核单位制订标准，作为年终考核之参考，对于办理自行查核绩效良好者，稽核单位宜检陈具体事实，项目报请奖励；对于办理自行查核绩效欠佳者，亦宜检陈具体事实，项目报请惩处，力求公允。

（五）办理自行查核应注意事项

1.自行查核日期，应讲求机动性，避免固定于特定日期或月底办理，且事先应注意保密，以达到临时突击检查的效果。

2.拟定自行查核的范围项目，将自行查核人员作适当分配，必要时得洽联行派员协助办理，并应注意内部牵制原则，避免查核人员查核本身经办的业务或由同一人连续多次查核同一项目。

3.自行查核内容应包括静态的账务凭证核对，并顾及交易程序的动态查核，确保符合金融机构相关规定。

4.自行查核人员应遵照工作底稿及其填表说明，将查核事实及缺失，详载于工作底稿内，并于查核完竣时汇总成册，留存备供金融检查机关及稽核单位查核。

5.自行查核所发现的缺失，自行查核负责人应促请该单位人员注意改善。

6.自行查核负责人负有督导责任，对新进或不熟练的员工，应尽量提供指导与协助。稽核单位应订定自行查核训练计划，对于自行查核人员持续施以适当的查核训练。

支付结算作为银行的重要风险管控部分，各家行都高度重视这方面业务的自查，运用自行查核的执行程序，以支付结算业务为例相关的操作应包括：

一是年底预拟查核计划。

第一，年底运营作业单位应就结算类业务查核所规定的频率预拟定明年的计划，并于稽核系统完成建置；再由自行查核业务主管进行复核。

第二，拟定计划时，应同时注意自行查核科目的配置，如：一般查核的查核内容应涵盖全部相关业务，有应予列入但尚未列入者，应主动提出办理查核，并增修至自行查核题库。

第三，预排年度计划的核准文件应专卷归档备查。

二是执行、修改查核计划。

第一，确定查核频率及所属业务办理，并可就原订查核计划进行适当调整，如：年度新开办业务或认为有风险操作的项目，可调整加入查核计划内，呈核方式同前项年底预拟查核计划。

第二，修改年度计划的核准文件应专卷归档备查。

三是设定基准日及检查日期。

第一，检查人、检查科目及检查日期应讲求机动性，事前应严予保密。

第二，检查日期勿固定在某一特定日期或期间实施。

第三，查核工作应于查核当月结束前完成，不得有跨月、延至次月办理的情形。

四是查核工具的准备。

第一，列印检查底稿、辅助报表及内部稽核、自行查核未补正事项明细表供检查人查核及追踪未补正缺失。

第二，于選定办理查核当日，始通知各项查核人员，并依所排定计划执行查核。

五是采取以下的自行查核方法。

第一，评估内部控制：了解存款业务的作业流程，评估其内部控制上可能的缺失。

第二，盘点及检视：盘点空白支票、存折与存单是否与账载相符，并检视其领用、保管、作废等作业是否严谨。

第三，观察及询问：至营业厅现场观察存款业务操作情形，并询问相关作业人员，对同一问题可私下分别询问不同人员，再就其答复内容予以分析比较，是否有不一致的情况。

第四，询证函：抽样寄发对账单，其回函并以查核人员（单位）为收信人。对于退件应追踪了解其原因。

第五，复核：可抽样对存款利息、各科目传票张数、金额等重新计算是否相符。

第六，检查凭证：查验存款相关传票与原始凭证，并注意凭证要件及各级人员核章是否齐全。

第七，分析及比较：分析不同期间各项（或各帐户）存款的增减情形，对有大幅增减情形者应查证其原因，如有异常状况应注意是否有弊端存在。

第八，调阅资料：确认调阅的各项数据如账册、报表、传票及各项书面资料是否齐全，有无经过刻意修饰或隐藏。

举例部分支付结算业务的重点查核题目：

1.支付凭证印鉴是否双人核印相符。

2.业务操作是否按金额权限分级授权处理。

3.大额汇款是否已照会单位大额联系人。

4.对于无法解付的汇入汇款，是否主动查询，及时清理。

5.办理汇出汇入款项是否查询黑名单，确保收付款人不在此类名单之列。

六是自行查核检查报告。

自行查核主管需汇整查核结果、检查人员意见、不符事项及未补正缺失事项等进行复核，并送单位主管核定。

第一，检查人检查结果及不符事项，无论补正与否，均应确实揭露。

第二，盘点类项目填载的合理性。

第三，当月查核计划所订定的科目，应逐科目于自行查核检查报告中揭露其查核结果。

第四，如不符事项为其他单位的缺失，应于处理情形注明应负责单位，并以追踪表影本移请该负责单位协助补正。

第五，应有单位主管及自行查核主管核章。

第六，自行查核、内部稽核（含外部机关检查）的缺失意见，应列为每月追踪查核项目持续追踪改善，改善情形并应揭露于“自行查核检查报告”；若无待补正事项者，请于“自行查核检查报告”表内注明“无待补正事项”。

内控管理本是一个动态的、连续的过程，对原有的规章制度要不断的修改和完善。如新的业务系统投入使用后，一些以前是业务风险点的环节，就有可能不成为风险环节，而以前不是风险点的环节，新系统上机后，就有可能成为新的风险环节，这需要在实际工作中不断总结并逐步建立新的查核题目，才真正发挥自行查核的作用。

目前台资银行刚刚进入国内市场，正处于自己的创业期和成长期，面对市场机遇应该从现实的基础条件出发，学习他行的先进经验，始终坚持“稳健为本”的经营原则，经过自身不懈努力，健全和完善风险和内控体制机制，形成具有自身特点的风险管理与内控文化，这样才能在市场竞争日趋激烈、金融风险日益加大的环境中立于不败之地。

参考文献

[1]台湾金融研训院编.银行内部控制与内部稽核[M].中国金融出版社，2013.