第一篇:浅谈内部审计在商业银行内部控制体系建设中的作用
浅谈内部审计在商业银行内部控制体系建设中的作用
字数:3220 来源:科学与财富 2011年11期 字体:大中小 打印当页正文
[摘 要] 随着商业银行所处的环境越来越复杂,商业银行的各种风险也在不断加大,良好的内部审计和内部控制能有效管理风险。但是,我国商业银行内部控制和内部审计却存在着诸多的局限因素,制约着内部控制和内部审计工作的发展。本文分析了我国商业银行内部控制和内部审计的现状及存在的问题,有针对性地提出了如何发挥内部审计在商业银行内部控制体系建设中的作用的对策和建议。
[关键词] 内部审计 内部控制 商业银行风险
近年来,随着金融行业的迅猛发展,商业银行的各种风险也在不断加大。商业银行是经营货币的特殊企业,具有高风险性和负外部性,这种高风险特点决定了商业银行相对于其他行业对风险管理的要求更高、更严格。商业银行的主要风险有信用风险、市场风险和操作风险。信用风险可定义为银行的借款人或交易对象不能按事先达成的协议履行义务的潜在可能性。市场风险是指因市场价格、利率、汇率、股票价格和商品价格的不利变动而使银行表内和表外业务发生损失的风险。操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。而良好的内部审计和内部控制能有效地监测和管理风险,如何通过完善我国商业银行内部审计,有效控制银行风险,提高银行经营效益和增强竞争力已成为我国商业银行一个急待解决的现实问题。
一、商业银行内部控制与内部审计的内在关系
内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部控制由五大要素构成:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。按照内部控制目标的不同,商业银行内部控制主要包括授信业务的内部控制、资金业务的内部控制、存款及柜台业务的内部控制、中间业务的内部控制、会计业务的内部控制、计算机信息系统的内部控制共六个方面。
内部审计是商业银行内部控制的一个重要组成部分,同时也是实现内部控制目标的重要手段。国际内部审计师协会(IIA)对内部审计的最新定义为:“内部审计是一种独立、客观的保证与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取一种系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”商业银行内部审计作为内部控制的重要组成部分之一,其主要目的是为了加强内部管理,协助管理层督促部门和机构更有效地履行他们的职责,发挥内部审计具有的监督、评价、建设职能。商业银行内部审计在内部控制中的作用主要表现在:第一,对商业银行内部控制的有效性进行监督检查,具体包括对授信业务的监督检查、对资金业务的监督检查、对存款及柜台业务的监督检查、对中间业务的监督检查、对会计业务的监督检查、对计算机信息系统的监督检查。发现管理和控制环节的各个漏洞,并且提醒管理层去堵塞这些漏洞。第二,对商业银行内部控制进行评价。通过认定和评价内部控制的有效性,向管理层报告审计情况并提出改进建议,以促进内部控制的持续有效。第三,参与内部控制体系建设,开展全面风险分析,为内控建设提供参考,为构建内部控制制度的总体框架提供咨询服务。
内部控制与内部审计属交叉关系,内部审计的部分职能是内部控制的重要组成部分,但反过来又为内部控制提供保证及咨询服务,履行评价、监督和提出改进建议的职能。
二、当前我国商业银行内部控制和内部审计状况
(一)当前我国商业银行的内部控制状况
经过银行监管部门的监管指引和各家商业银行的多年探索,目前国内大多数商业银行都初步形成了较为完善的内部控制框架、内部控制流程和内控评价机制。但是与金融业的改革与发展对内部控制的要求相比,还存在着许多薄弱环节。
1.现行的内控制度不健全、不系统,内部控制制度建设滞后,没有覆盖所有的岗位。当前金融业发展迅速,新的金融工具金融产品层出不穷,但是针对这些新产品新业务,多数银行没有及时制定相应的内部控制制度。部分制度制定不符合实际,过于简单和条理化,操作性不强,没有考虑到现实情况,无法为业务提供实际指导,规定形同虚设。由于规章制度过时或不完善,造成内控的漏洞和操作失误难以防止,增大了经营风险。
2.组织结构设置不合理,人力资源配置方式不能适应内部控制的要求,人员素质有待提高。有些商业银行的组织机构设置过多的考虑行政管理上的方便,而不重视自身结构的合理性问题。商业银行存在机构臃肿、管理层次太多、工作效率低下的问题,同级部门的信息沟通不灵敏,协调性差。由于分工不明确,经常会出现责任推脱的现象,利益的交叉也使得权力制衡在运行中失灵。大型商业银行过长的委托代理链导致责任界限不清,总行对下级分行的掌控力依次减弱,规章制度执行力度递减。
3.内部稽查监督系统不完善,监督机构不独立,难以对管理层和普通职员形成有效的约束。
(二)当前我国商业银行的内部审计状况
我国商业银行内部审计虽然取得了明显成效,但与金融业的改革和发展对内部审计的要求相比,还存在着许多不足:
1.内部审计模式还不够健全,内部审计技术落后。目前我国商业银行的内部审计基本上是账目基础审计,以全部业务和账目为基础,主要采用详细审计或依赖于审计者个人经验判断的抽样审计方法,而不是国际上先进的商业银行通行的风险基础审计。审计的内容完全凭审计人员的经验判断,造成审计期长、审计成本高、审计效率低下。内部审计随意性很大,缺乏科学性。
2.内部审计机构权威性不高,缺乏一定的独立性。从国外银行的经验看,内部审计部门往往是对董事会而非行政管理者负责,可以在没有管理层的干涉下执行委派任务,自由地报告审计发现和评价,国外商业银行内部审计的独立性相对较好。而我国商业银行大多尚未建立起垂直、独立的内部审计体系,内部审计只是作为内部稽核的重要力量向各级行长报告工作。我国大多数银行内部审计机构隶属于本级行长领导,基本没有独立行使审计监督的权利。内审人员与被审计单位的各种利益(包括经济利益和非经济利益)有着密切的联系,对所在单位有较多的依附,使得内部审计的独立性较差,权威性也受到影响。由于缺乏相应的权限和相对独立的地位,商业银行的内部审计工作中,被审计单位往往不积极配合,对管理层的监督和审计流于形式。
3.商业银行的内部审计成果应用不够。一般情况下,上级银行的考核主要是以量化指标为主,未建立起对经营管理整体考核的评价体系。这便造成了下级银行不重视内审的警示作用,甚至存在屡查屡犯的现象。目前能够运用的仅限于系统内的常规现场审计项目,而对下级自审项目中存在的风险披露不及时,敏感问题避重就轻,难以从更全面的角度通过信息的反馈作用使审计的建议得到真正落实。
4.审计力量薄弱,监督能力不够。商业银行业务量大、业务环节复杂、资金往来频繁,会计资料及相关信息繁杂,内部审计任务非常繁重。相对于全面、独立开展风险管理体系内部审计的新要求、新使命,内部审计部门目前仍存在一定的距离。商业银行存在内审人员不足,内审人员综合素质差,内部审计力量薄弱问题。审计人员的知识结构单一,财务会计人员占多数,而来自法律、管理、计算机、工程或其他专业领域的人才较少,具备综合性素质的人才更少。整体上看,商业银行内部审计队伍中尚缺乏熟悉统计分析技术、建模技术、验证技术的人员配备。难以胜任的审计人员、落后的风险管理方法、不健全的风险评估体系直接导致内部审计难以对银行进行全面的风险管理和内部治理。
5.内审工作范围过窄,内部审计的内容不全面。目前,商业银行内部审计工作基本上还是查错防弊,局限于查处一些具体违法违规问题。我国商业银行目前执行的内部审计项目关注的风险基本集中在合规风险、操作风险和内部舞弊风险上,对于信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、法律风险、声誉风险等则几乎没有涉及。商业银行内部审计往往只注重检查会计凭证、报表等资料是否真实、完整,业务操作是否合规合法等,缺乏对信贷资产质量、风险责任、经济效益进行审计,缺乏对银行内部管理结构、内部控制状况、各岗位业务规范状况等,作出评价和建议。更未对一些重要的深层次的问题如管理制度、政策法规、社会环境、监督体系等方面进行研究。面对商业银行业务创新频出,经营范围不断拓展,而内部审计却变化缓慢,内部审计范围过窄。
三、内部审计如何在商业银行内控体系建设中发挥作用
(一)重新定位内部审计职能。
商业银行内部审计工作重点应从传统的“查错防弊”转向为银行内部的管理、决策及效益服务。在审计角色上,由单纯“警察”向“参谋”、“顾问”转型。拓展审计活动空间,将内部审计工作重点渗透到经营管理领域,深入研究问题根源,提出管理思路和对策,从更高层次上发挥内部审计的作用。使内部审计从风险管理的角度参与公司治理,为管理层决策提供咨询信息,为商业银行提供增值服务,帮助商业银行实现经营目标。
(二)发挥管理咨询审计职能,促进商业银行良好的内部控制环境的形成。
随着商业银行公司治理结构的逐步完善,对内部审计提出了更高的要求,内部审计在做好合规性审计的基础上拓展咨询职能是大势所趋。管理咨询审计属于增值型审计工作,银行管理咨询审计的内容,既包括资产负债损益等业务经营全面审计,又包括管理责任、管理效率和管理行为的管理审计,还包括内控管理制度的综合评价等。商业银行内部审计部门必须站在完善公司治理和强化内部监控的高度,履行好审计职责,更新审计理念,创新管理机制。在审计内容上,应由合规性审计为主向管理和效益审计为主转型。商业银行内部审计要发挥“免疫系统”功能,为控制风险,减少损失,应将内部审计切入点逐步前移,由目前的事后审计向事中、事前审计发展,将审计的监督职能寓于管理控制之中。预测并防止可能出现问题的环节,向董事会或管理部门反馈信息,使商业银行内部审计成为管理层的有力助手。内审部门应改进审计手段和方法,提高审计质量和审计效率,保证内审工作的有效性。此外,要保持内审部门与上级管理层信息沟通渠道畅通,使管理层能及时听取内审部门对内部控制的评价和改进建议,发挥内审工作的建设性作用。
(三)规范商业银行内部控制制度,努力提高内部审计的独立性。
独立性是内部审计的灵魂,商业银行必须建立符合国际标准、适应新体制要求的审计作业与质量控制规范体系以及标准化、模块化的审计方法体系,形成相对独立、垂直管理的内部审计体制。使商业银行内部审计部门在工作上、组织上和经济上不受被审对象的约束,保持超脱性,从而能够客观、公正地揭示内控缺陷。
(四)构建和谐的内部审计文化,不断提升商业银行内部审计的价值。
内部审计人员是内部审计文化的执行者和塑造者。内部控制机制是一个复杂的有机系统,不能简单地理解为各项工作制度和业务规章的汇总,也不能认为加强内部控制是具体某个部门人员的工作职责,而应该让内部控制渗透到每一个业务环节,让每一位员工都明确自己在内部控制中的职责。
(五)建立以风险导向为主的内部审计制度,全面降低商业银行风险。
风险导向审计是战略管理理论和系统理论在审计实践中的运用所推动的审计模式的新发展。风险导向审计要求审计人员关心组织所面临的风险,并根据风险评估的思路开展对内部控制的评估,使审计报告将目前的控制与策略计划、风险评估连接起来。实施风险导向内部审计,必须强化风险管理理念,充分揭示业务活动和内部管理中存在的风险。通过对商业银行管理行为,资产风险的分析和评价,全面把握被审主体的风险状况。在全面把握整体风险状况的基础上,找出高风险的领域。根据不同的风险建立不同的评估标准,准确识别与评估风险。在此基础上确定审计项目、范围、重点和方式,集中力量对高风险领域进行监控。从而促进商业银行各级管理层有效地进行风险控制和管理,科学决策,提高管理水平。
(六)强化内部审计人员的管理,提升其专业技能和职业判断能力。内部审计要严格遵守公正、客观、保密、胜任的行为准则,树立专业公正,守法诚信的形象,展示其专业能力和职业素养。内审人员必须具备广博的专业知识和多元化的技能。商业银行必须不断提高内审人员的专业素质,以适应不断发展变化的经济金融形势。应通过后续教育和工作培训,增强内审人员在审计风险评估和控制方面的职业判断能力,使其以职业谨慎态度和超然独立性执行审计业务,从而降低审计风险。■
参考文献
[1]胡继荣、刘慧芳,2008:基于全面风险管理的商业银行内部审计职能研究[J],财会月刊(11),P65-66。
[2]巴曙松,2003:巴塞尔新资本协议研究[M],中国金融出版社。
[3]国际内部审计师协会,2004:内部审计实务标准[M],中国时代经济出版社。
第二篇:健全商业银行内部控制体系
健全商业银行内部控制体系
商业银行内部控制是指商业银行内部自觉主动地通过建立各种规章制度,以确保管理有效、资产安全,最终实现安全与效率的目标。为此,商业银行内控制度必须在银行内部保证国家有关法律法规和央行监管制度在各部门和各级人员中得到正确且充分地贯彻执行,以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。
从近几年广东地区发生的信用证骗汇案、“皮包公司”骗贷案、假按揭案、内外部勾结转移资金案、员工监守自盗案等案件看,金融案件给国家带来的经济损失无不数额巨大,暴露出商业银行内控管理中存在的巨大风险。
内控管理的风险表现原因
1.外部竞争激烈导致经营风险增大
加入WTO后,随着金融市场开放程度的不断扩大,我国商业银行面临更加激烈的竞争环境和更加复杂
多样的风险。具体表现在:一方面,以扩大资产规模为战略重点的商业银行为获取较高的资产收益和资产增长速度,压低价格和放宽条件发放贷款,使银行资金营运风险程度
加大。另一方面,在激烈的金融竞争中,商业银行为占领并扩大市场份额,各种金融新产品和新业务在银行资产负债表外迅速滋生,使得银行在不知不觉中承担了各种潜在风险。
2.制度存在的固有缺陷导致制度风险显现
一是制度空缺风险,商业银行正常经营所必须具备的若干基本规章制度,在某些地方还存在盲点。没有规矩不成方圆,出现风险损失自然不可避免。二是虽有制度,但制度设计漏洞多,许多
制度设计从方便自己工作出发,对方便客户和防范风险考虑的不同。三是有章不循,本来就不多且还存在漏洞的制度,在实际工作中也没有得到认真执行。有章不循、检查监督不力,是案件居高不下的主要原因。
还有一个致命的问题,就是人员风险。因为制度和体制是由人来设计的,各项工作也是由人来干的。但由于没有形成防范风险所要求的激励约束机制,员工队伍不纯,鱼龙混杂,并且员工专业水平不高,缺乏识别风险和防范风险的意识和能力,更易导致经营风险发生。
内控制度缺陷是银行风险存在的内部原因
1.内控制度的适应性不足
对内控制度的认识存在偏差,内控规章制度不健全,在理解上存在偏颇之处。仅认为内部控制是各种规章制度的制定、装订、汇总等整章建制方面的工作;还表现在业务开拓与内控制度建设缺乏同步性,特别是新业务的开展缺乏必要的制度保障,风险较大。
2.内控制度的整体性不够
对所属分支机构控制不力,对决策管理层缺乏有效的监督。对业务人员监督得多,而对各级管理人员监督得较少、制约力不强,内控制度缺乏刚性。
3.内控制度的权威性不强
审计资源配置效率低下,稽审职能和权威性没有充分发挥,内部审计部门没有完全起到查错防漏、控制风险的作用。
健全商业银行内部控制体系的构想
(一)内部控制发展的过程
内部控制制度的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架等几个阶段。目前理论界和实务界对内部控制的认识尚不统一,多数人对其认识仍停留在内部控制制度和内部控制结构阶段。应该说,内部控制整体框架更为完善,具体体现
在内容方面,在控制环境中增加对全体员工的诚实、职业道德和胜任能力的要求,并增加风险评估这一新的控制成分,强调单位要为实现目标分析相关风险,以构成风险管理的基础,而且将会计系统改为信息与沟通系统,扩大了信息系统方法和记录的内涵。
在现代公司制下,以保护资产和查错防弊为主要内容的内部控制,明显不能满足需要。这种内控职责不仅仅包括财产的安全完整和会计资料的真实可靠,还将促进单位贯彻其经营方针及提高经营效率纳入其中,这是公司治理结构对内部控制提出的新要求
。因此,商业银行的内部控制构建思路是:明确各控制成分之间的相互关系,建立以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体,监督与控制为保证的内部控制整体框架。
(二)实现有效控制的原则
1.管理控制的特点
控制作为组织管理的一项基本职能,主要是通过发挥“纠偏”和“调适”两方面功能,促使组织更加有效地实现其根本目标。其特点包括:一是具有明确的目的性,为实现组织目标而活动。二是具有整体性,从控制主体看,管理控制应成为组织全体成员的职责,而非管理人员的职责,这是现代组织中推行民主化管理思想的重要方面;从控制对象看,管理控制覆盖组织活动的各个方面,包括人、财、物、信息资源等,使各方面的控制能力能协调一致,达到整体优化。三是具有人性,管理控制本质上是由人来执行的且主要是对人的行为的一种控制。管理控制应成为提高员工工作能力的工具,控制不仅仅是监督,更重要的是指导和帮助。只有员工认识到纠正偏差的必要性并具备纠正能力时,偏差才会真正被纠正。
2.有效控制的原则
首先,有效的管理控制必须能够反映一个组织的结构状况并通过健全的组织结构予以保证,否则只能是空谈。其次,有效控制应突出重点,强调例外,找出和确定最能反映或体现
经营成果的关键因素加以控制,根据偏差反映事态严重程度
进行判断。再者,有效控制应具有灵活性、及时性和经济性的特点。内部控制体系应适应内外部环境的变化,具备及时纠正功能,同时要坚持适度性原则。为进行控制而支出的费用和由控制而增加的收益都直接与控制程度
相关。控制系统越复杂,控制工作力度越大,只意味着控制的投入大,此时未必计划目的更易实施或实现。最后,控制过程应避免出现目标扭曲问题,避免出现“不是组织在运用控制职能,而是控制在束缚组织”的控制功能障碍。
(三)构建“以人为本”的内部控制管理体系
1.以“人本主义”作为构建内部控制机制的信条,营造良好的内控管理文化氛围。具体表现在内部环境的控制,包括领导班子与组织机构控制、人力资源管理、安全保卫及法规管理、信息系统控制等方面,既要重视正式约束的建设,也要充分考虑非正式约束的作用。从内控管理降低银行风险的角度看,好的非正式约束有助于人们价值观念、道德规范的形成,自觉约束人们的行为,减少制度对其的强制性。从而节约银行运行中处理磨擦的费用和正式约束制度成本的支出,避免出现再好的正式约束制度由于没有非正式约束的配合导致“好看不中用”尴尬局面。
为此,首先要建立内部控制管理理念,也就是风险控制思想。银行每项业务都是伴随着对风险的分析、评价、监控、转移、分解等处理方式展开的。内控管理是银行提高核心竞争力的重要手段,关系到银行的生存和发展,要使全体员工都要有这样一种理念,作为组织行为的共同指导思想,促使由决策层、执行层和监督保障层共同构建的风险内部管理体系充分发挥相互制衡作用。再者,要建立合理的内控管理激励约束机制,充分实现内控制度管理的多元化目标。作为制度建设者、执行者的人,是内控管理的基础,只有充分发挥了人的能动性,才能激励其自觉实现内控管理目标。
2.以“风险评价”为依据,通过建立内控评价管理办法推动内控管理工作有序开展。
(1)制度建设评价标准
内部控制制度建设评价标准,首先要遵循国家的金融监管政策法律法规;二是遵循“控制论”的基本原理,既要具有完整性和有机结合性,又要以“有效控制”为原则,通过对信用风险、市场风险、操作风险等有效监测分析、有效控制银行经营活动;三是遵循电子技术的程序化和科学化原则,将内控资料规范存储
和积累,便于监测、分析和评价工作的顺利开展。
(2)制度执行评价标准
内控制度执行评价标准包括内控环境、内控风险识别、内控活动的有效性、内控信息的交流反馈。一是内控环境标准,包括:内控执行人员的价值观和道德观是否完整可靠;内控激励约束机制的作用程度
是否达到预期目的;各级管理层的内控意识是否牢固树立;内控人员的内控能力是否与其责任相匹配;内控用人机制是否健全有效;内控管理层和监督层对内控是否给予了充分的关注等。二是内控风险识别标准,包括:内控管理的总体目标和分项目标是否明确,二者的关联程度
如何,各级管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确;是否建立了对内部和外部内控风险预测和识别机制,即内控风险预测是否透彻和恰当,内控风险评价概率和频率依据是否准确可靠,是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性标准,包括:银行的每项经营和管理是否都设有恰当的风险监控活动;内部风险控制活动是否保证内控指令得到全面的执行;通过内控活动的实施是否及时有效地化解相关风险。四是内控信息的及时反馈标准,包括:是否建立了各种有效的内控信息交流反馈系统,即内控系统岗位员工通过内控责任的履行,发现可疑和不轨行为是否及时将信息传递给管理层,管理层是否将内控信息以一定方式及时转达给有关人员有效履行其内控职责,达到内控的预期效果;内部控制系统当中每位员工和每个内控管理部门所负有的内控管理信息的交流职责、交流渠道、交流方式、交流时间是否真正明确;内控信息的上传下达和横向交流手段与方式是否切实可行、及时有效等。
(3)内控制度保障评价标准
一是是否建立和设置了适时跟踪评价反馈内控情况的渠道和工作程序以及组织保障措施。二是内控体系中各个职能部门之间的内控制约关系是否建立和运转有效。三是内控制度的缺陷是否得到及时的发现和纠正。四是随着银行业务的不断拓展和品种的创新,内部控制制度、程序和政策是否得到了及时的调整、修正和完善。
3.以“高效信息沟通”为依托,通过电子化信息交流渠道的安全运转,保证银行内控体系有效运作。通过建立风险报告制度保证风险管理的信息沟通,保证决策层能够通过内控评价和风险报告,对内控状况进行检查评价,对风险监测报告进行整理分析,做出有分析依据的判断决策;执行层在责任划分和权限内履行风险内控管理职责监督检查层通过对决策管理层和执行层工作的事后再监督与检查,对违规违纪行为进行处罚。
只有形成内控管理有标准、部门设置有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核的全面有效内控制度体系,才
能确保商业银行实现经营目标。
第三篇:商业银行内部控制
第一章:
一、内部控制的产生与发展
1、内部牵制阶段,在20世纪40年代前,用如结绳计数等方法为标志。到15世纪末,以
意大利出现的复式记账方法为标志。
2、内部控制制度阶段,它产生与20世纪40年代至70年代初,3、内部控制结构阶段,产生于20世纪80年代,标志是美国注册会计协会于1988年5
月发布的《审计准则公告第55号》
4、内部控制整体框架阶段,产生于20世纪90年代后,标志是COSO报告。
定义:COSO报告是有企业的管理人员设计的,为实现营业的效果和效率、财务报告的可靠及合法合规目标提供合理保证,通过董事会、管理人员和其他职业实施的一种过程。认为内部控制由5个要素组成:
控制环境:是指职员履行其控制责任、开展业务活动所处的氛围,包括志愿的品性和
经营环境
风险评估: 它是指对应项作业目标达成的相关风险的辨认和分析,其前提是目标的确
定。
控制活动:它是指企业制定并予以执行的政策和程序,以帮助确保其用于处理影响目
标达成的风险之管理人员指令得到有效落实。
信息与沟通:它是指以一定形式和在一定的时间段内辨认、获得的,为员工在执行、管理和控制作业过程中所需的信息,以及信息的交换和传递。
监控:它是指评估内部控制运作质量的过程,包括持续性监控活动和个别评估。
二、内部控制设计和实施中存在的缺陷
对内部控制制度的认识不到位,违规经营时有发生
法人治理结构不完善,缺乏监督制约机制
内控制度不健全,不适应业务发展的需要
稽核机制不健全,影响内部控制的有效落实
风险控制系统不健全,对内部控制的评价与监督不够
三、内部控制的局限性
COSO报告强调了内部控制的局限性,为实现企业目标提供合理的而非绝对的保证,这
也是为什么说内部控制为发现和防止错误或舞弊只是提供“合理的”而非“绝对的”保 证的原因。主要表现在一下几方面
1、成本限制。一般来说,控制程序的成本不能超过风险或错误可能造成的损失和浪费,否则再好的控制措和方法也将失去其降低成本的意义
2、串通舞弊。不相容责任的恰当分离可以避免单独的一人从事和隐瞒不合规行为提供
合理的保证,但两个或更多人合伙作弊即可逃避这类控制,内控失效。
3、人为错误。内控系统发挥作用关键是取决于执行人员的实际运作,不能期望人们在执行控制职责时始中正确无误,人为错误会造成控制失效
4、管理越权。任何程序也不能发现和防止那些负责监督控制的管理人员滥用职权,管
理当局的干预一直是导致许多重大舞弊发生和会计报表是真的重要原因
5、修订跟不上环境的变化。被审单位为便于生存和保持竞争能力,势必要经常调整经
营策略,这就可能导致控制程序对新增业务内容失去了控制作用。
第二章
一、商业银行内部控制定义:内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
二、商业银行内部控制系统的基本要素及相互关系
商业银行内部控制应当包括以下要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。要素的相互连结、相互作用就形成了内部控制系统
相互关系:内部控制环境是整个系统的基础,是影响商业银行内部控制作用发挥的各种内部因素;风险识别与评估旨在发现和计量商业银行实现其目标的过程中存在的不确定性,为控制活动指明了方向;内部控制措施是商业银行内部控制系统的核心,是具体实施内部控制的过程;信息交流与反馈为各个要素的沟通,引导内部控制系统有效运行,确保控制目标的实现提供个信息支持。监督评价与纠正是高管对内部控制的管理监督和内部稽核部门对内部控制的在监督、再评价与纠正偏差活动的总称,处于内部控制系统的最高顶层。
三、商业银行风险定义
是指商业银行在经营过程中,由于不确定因素的影响而导致银行蒙受经济损失或获取而外收益的机会和可能性。
四、内部控制措施(案例)
主要包括:岗位设置控制、授权批准控制、程序控制或标准化控制、会计系统控制、预
算控制、事物控制(限制直接接触、定期盘点、记录保护、财产保险)、内
部审计控制、风险防范控制
第三章
一、控制测试与了解内部控制的不同
控制测试指的是测试控制运行的有效性,这一概念需要与了解内部控制进行区分,了解
内部控制包括两层含义:
1、评价控制的设计
2、确定控制是否得到执行,测试控制运 行的有效性与去顶控制是否得到执行所需获取的审计证据是不同的二、对商业银行内部控制所做的研究和评价
1、了解商业银行的内部控制情况,并作出相应的记录
2、实施符合性测试程序,证实有关内部控制的设计和执行的效果
3、评价内部控制的强弱,即评价控制风险,发现风险点
三、内部控制的描述
内部控制描述是指测评人员对于调查了解的内部控制情况和所做的控制风险初步评价进行适当的记录。内部控制调查记录的方法通常有:调查表、文字表述、流程图等。
四、内部控制的测试
定义:控制测试又称符合性测试,是在对内部控制初步了解和评价的基础上,对内部 控制制度的状况以及是否得到贯彻执行而进行的测试,其目的是确定商业银行的业务 处理是否符合内部控制制度的规定,判断内部控制制度的遵循程度,进而确定风险点 和关键控制点符合性测试的对象包括:控制设计、控制执行
五、控制风险的评价标准
控制风险的评价标准分为高、较高、中、低四个层次。风险低的标志是:内部控制健全、合理,且在测试检查有关业务活动时,未发现任何差错或仅发现极少的差错。风险中的标志是;内部控制比较健全、合理,还存在一定缺陷,且在测试检查有关业务活动时,发现有一定程度的差错。风险较高的标志是:内部控制设计不够完善或虽然设计了良好的内部控制,但实际运行中差错发生效率高。风险高的标志是:内部控制设计不完善或虽然设计了良好的内部控制,但实际运行中差错发生效率很高。
第四篇:商业银行内部控制
完善的内部控制机制将风险管理放在首位,对经营中面临的风险包括信贷风险、流动性风险、利率风险、市场风险、操作风险、法律风险、策略风险、信誉风险等进行有效的识别和评估,对商业银行内部控制制度和风险管理技术的重视程度提高到一个新的高度,有助于内部控制制度和职能的有效执行。
将内部控制管理的要求和措施真正落实到实处。健全完善的商业银行内部控制机制能够以内部管理要求为宗旨,能够对法人治理结构下的各方进行真实的监督和控制,通过内部控制管理的实施到位,能够有效提高商业银行风险预警和风险化解能力。
商业银行股份制改革中,建立股份制经营的相关机构只是股份制经营的开始,按照国际标准,实现经营机制和管理体制的根本性转变才是国有商业银行股份制改造的核心内容。作为经营机制内容之一,商业银行内部控制机制的根本性转变是指其内控制度的完善和内控体系的健全,内部控制机制的健全完善应该是商业银行股份制改革的同步内容和要求。
完善的商业银行内部控制机制能够有效协调和约束股份制经营管理中的董事会、股东和经理等方面的关系,即利益相关者的关系,使委托代理下的各方利益能够得到有效的保证和协调。商业银行股份制经营模式下,董事会、股东和经理人存在着利益相关的委托代理关系,利益相关人之间在非正常情况下必然存在利益的对抗和冲突,这种利益的对抗和冲突必须要以适当的方式来调节。内部控制机制在股份制经营理念对董事会、股东及经理人三方权利和责任的规定指导下,通过对三方的行为监督和控制,从而实现对三方利益的相应调节,使商业银行股份制经营中的委托代理关系平稳发展和延续。
在完善的现代法人治理结构下,通过完善健全的商业银行内控机制的监督控制,商业银行的企业信息得以充分批露,在这种完善的内部控制体系下,披露的信息具有较高的真实公平性,从而会引导银行监管部门如中央银行、银监会的监管深度、频度、广度加深,有利于提升法人治理结构的有效性,最终提升商业银行资本资源效率。
第五篇:内部控制体系建设中的几点体会
内部控制体系建设中的几点体会
内部控制是由企业董事会、经理阶层和其他员工实施的,为经营的效率和效果,财务报告的可靠性和符合相应的法律法规等目标达成而提供合理保证的过程。在现代企业中,管理人员、内部审计人员或董事会,都对内部控制负有责任(见COSO报告)。
美国安然、世通及其他企业会计丑闻发生以后,美国总统布什签署了《萨班斯•奥克斯利法案》,法案的404条款设立了犯罪惩戒条款并进一步加强了白领犯罪的惩罚措施,对在中国大陆及香港的FPI(大约50家)和海外跨国公司的子公司有重大影响。美国证监会承诺进行定期的审阅和强制执行。
中国石油作为一家在境外上市的特大型国有企业,建立内部控制体系的意义不仅在于适应上市地的法律要求,从更高层面上来说,建立完善的内部控制体系,有助于完善现代企业制度,提高公司管理水平,提升公司形象,为实现股份公司的长远发展战略夯实基础。我国有关法规也明确规定了企业必须建立、健全内部控制体系。这对我国现代企业制度建设具有重要的现实意义。
第一,通过重组上市把一个长期在计划经济体制运行下的国有企业,推上了市场化和规范化的轨道,体制的改变客观上要求必须进行管理制度的创新。第二,为了增强企业在国内和国际市场中的竞争实力,提高企业的经济效益,作为企业经营目标有效保障的内部控制制度,也必须适时完善和强化。第三,为各项业务活动的正常进行,确保资产的安全完整,防止欺诈和舞弊行为,实现经营管理目标提供有力保障,在国际上树立中国大企业、龙头企业,世界知名的石油企业的形象。
一、内部控制体系由五部分组成第一:控制环境:控制环境即公司层面控制,是内部控制体系的基础,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度,是内部控制所有其它组成要素的基础;控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、人力资源政策与措施、权利和责任的分配以及反舞弊等内容;第二,风险评估:风险评估是识别及分析影响公司目标实现的风险的过程,是风险管理的基础。在风险评估中,以股份公司建立的风险数据库为基础,结合公司业务实际,识别和分析对实现公司目标具有阻碍作用的风险,明确在重要会计科目和相关财务报表认定中产生重大错报的风险,建立公司风险数据库,并确认其中的重要风险; 第三,控制活动:控制活动是确保公司领导班子的指令得到贯彻执行,公司各项业务顺利运行,规避业务风险的的必要措施。控制活动存在于整个公司内所有级别和职能部门、所属单位,贯穿于各项业务运行过程中。控制活动包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。控制活动分为预防性控制、检查性控制、人工控制、计算机控制和管理层控制等类型;第四,信息与沟通:信息与沟通包括两个方面:一是有一套能够支持信息确认、信息获取和信息交流的系统,使员工能够按照一定的形式和时间行使职责以及正确编制财务报告;二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的外方;第五,监督:监督是对内部控制体系有效性进行评估的持续过程,包括持续监督、独立评估和缺陷报告等。
二、内部控制体系建设的几点体会
(一)各级领导层重视程度是决定内部控制工作成败的关键因素
内部控制管理是一项长期任务,将伴随公司的生产经营活动长期运行下去,需要建立内部控制制度,完善和加强内部控制。体系建设阶段的工作完成后,需要进行持续的更新与维护,同时,中国石油股份有限公司作为美国及香港的上市公司,要长期遵守上市所在地的监管规定,需要保持内部控制体系长期有效,并长期接受内部控制审计,内部控制工作任何时候都不能放松,各方面要树立内部控制工作长期性、持久性的意识,保证公司内部控制体系的持续有效。
中国石油开展内部控制体系建设和实施工作已经三年,内部控制思想、体系框架和详细规范已经在很大程度上深入人心,取得很大成绩,这方面一个很重要的因素是实行了领导责任制。从内部控制工作一开始,上级就明确了“一把手”和“财务主管领导”的内部控制工作主责制,引起了各级领导的重视,使内部控制工作在体系框架宣贯、体系建设和管理方式转变、人员培训和工作交流、体系执行、体系测试和问题整改、以及机构配备和人员配置等关键环节,均得到强力组织和综合支持。各级直接参与内部控制工作建设和执行的员工都清楚的认识到,内部控制工作因体系建设和体系执行的难度都很大,没有各级领导的主责和主抓落实,是根本难以实际预期目标的。因此说领导层重视程度是决定内部控制工作成败的关键因素。
(二)决定内部控制工作成败的体会之二--环境建设是决定内部控制工作成败的一个关键因素
老的企业管理工作者常说:“环境生根、环境树人”,这个道理对于内部控制工作同样适用。内部控制体系是一个管理水平和技术水准较高的企业管理体系,几乎涉及到了企业的方方面面。因此,内部控制工作的环境因素建设和巩固成为决定内部控制工作成败的一个关键因素。无论是内部控制体系的理论建设和企业实施实践,都证实了环境建设在内部控制工作中的举足轻重。内部控制环境因素中的企业中的管理理念、组织方式、劳动管理方式、领导及部门的职责定位、具体岗位的职责描述、管理“责任域”和“权力域”和科学划分和结合、企业制度体系建设水准、道德与诚信程度、员工综合素质和工作技能等等,都是一个一个的“立企之桩、树人之本”。因此,巩固和发展内部控制环境因素建设的工作成果,是决定内部控制长期工作成败的一个关键因素,需要我们长期抓好落实。
由于内部控制环境建设是一项基础工作和前提性工作,还触及到企业的一些深层次事情,因此这项工作做起来和做好就不是一个部门或几个部门的事,而是需要在企业决策层的亲自组织下,在各部门和各级管理层广度参与下,进行科学规划和部署、周密组织、认真实施的事情。只有内部控制环境高质量的建设好,才能为内部控制体系的其它方面建设提供保证,也才能保证内部控制体系执行的长期有效性。
决定内部控制工作成败的体会之三--业务流程质量是决定内部控制工作成败的一个关键因素
业务流程是企业管理的“生产线”,“生产线”的水准高低,决定了管理成果的水准高低,也就是企业管理水平的高低,也直接作用到企业生存和发展的大问题。内部控制体系建设中,十分重视业务流程的建设,特别是关键业务流程的建设,中国石油股份公司和各地区公司都投入大量人力物力进行业务流程的建设,形成了相关的业务流程体系,成为内部控制体系中的重要因素。这些工作成果是内部控制工作的一个巨大成果。
在业务流程管理工作中我们也应看到,经过两年来多轮次的内部控制测试审计实践发现,一个或一套业务流程体系初步形成,并不说明它的可执行程度和管理水准都达到企业客观最需要的程度,特别是执行中可以发现,流程中的一些节点设立、风险点和控制点的设置、每个节点的工作定位和节点间关联协同的描述、以及流程与实际业务的符合性、相关流程之间的交接与交叉关系定位、流程与管理制度的符合性等等,还有一些需要不断完善之处。继续做好这项工作,不是说明前期的工作没有做好,而是说明公司在管理水平和认识水平不断提升的基础上,我们有能力有责任把业务流程的设计质量和执行质量做得更好,使内部控制体系中的核心内容更适当更科学、执行更顺畅更有力。因此,在内部控制工作中,需要我们有足够的耐心、细心和责任感做好业务流程,在思想认识上牢记“业务流程质量是决定内部
控制工作成败的一个关键因素”。
(三)决定内部控制工作成败的体会之四--企业制度体系建设和执行是决定内部控制工作成败的一个关键因素
企业制度体系的建设和执行是内部控制体系的基础工作,制度体系维系企业生产与经营管理的方方面面,是各项内部控制工作具体执行的依据。因此,企业制度体系建设和执行是决定内部控制工作成败的一个关键因素。
在企业内部控制体系建设与执行过程中,涉及制度工作需要经常面对的几个突出事情是:企业首先要盘清现有“制度体系表”,然后要研究拟定一套实际需要的“制度体系表”,将两者进行对照,该修改的修改,该补充的补充,无用的废除。与此同时,要细致研究分析每项制度的管理范畴和内涵,分析制度与制度之间的边界和连接,防止出现“管理真空”和“制度冲突”。
一套制度体系的质量好差,可以用很多指标来衡量。但企业工作者,往往用最直接的办法来评价,即制度的管理性、控制性、可执行性、解释的唯一性等。制度的管理性体现了制度对业务活动的启动、发生、收尾等全过程的科学描述和管理定义;控制性体现了的制度对业务全过程的掌控能力、掌控方式和掌控标准等;可执行性体现了制度可转化为业务流程化管理,并能够顺畅执行和达到管理目标;解释的唯一性是指对制度的管理范畴和管理内涵只能被员工做一致性理解,不能产生歧义。
可喜的是,中国石油股份公司经过两年的内部控制体系建设与执行,企业各级管理制度体系的建设与执行都取得了显著成果,企业管理水平有了明显提高。但随着内部控制工作向深度和广度的发展,制度体系管理工作还将面临新的任务和挑战。
(四)决定内部控制工作成败的体会之五--信息系统建设与完善控制是决定内部控制工作成败的一个关键因素
经过两年多的内部控制实践,各级管理者都充分认识到信息系统建设与完善控制是企业内部控制工作极为重要的组成部分。两年来,每一轮次的内部控制测试检查中,都将信息系统建设与控制管理纳入重要测试检查内容。两年多来,信息系统建设与完善控制工作经历了前所未有的改进,对各个地区公司都有不同程度的触动,总的趋势是,将各个地区公司信息系统的多元化管理方式转变为标准化、规范化的管理方式。这件事本身对于中国石油这样的巨型企业,是一次十分难得的信息工作标准化管理机遇,是管理上水平的机遇,是将习惯作法转变为科学规范作法的机遇。从这个角度和意义上说,内部控制体系建设与执行对企业信息系统建设与完善控制是一次极好的历史机遇。
两年多来,信息系统建设与完善控制工作取得了有目共睹的成果,从各地区公司逐步完成系统的“物理集中管理”,到“信息系统控制管理体系的逐步成形”,从“信息系统控制管理制度”出台,到有关控制标准、规范、表单的颁布,从对体系的认识生疏到对数万人次的各轮次培训熟悉,从最初信息系统测试检查的问题多多到目前测试例外事项的基本消失,各级领导、信息管理者和有关管理者都做了大量艰苦细致的工作,逐项解决了许许多多的问题,信息系统管理水平明显提高,取得了各项工作成果。
从信息系统本身的特点讲,它既是企业管理的载体,也是企业管理的神经,承担着重要责任。展望当前和今后,中国石油的信息系统建设和控制管理任务还相当繁重,任重而道远。在当前一定时期,有效执行好现有的信息系统控制管理体系,是企业有关工作者的首要任务。
(五)决定内部控制工作成败的体会之六--及时发现问题和有效整改是决定内部控制工作成败的一个关键因素
企业管理者都会发现,最近两年多的内部控制实践证明,内部控制体系建设的过程,就是一个不断发展管理问题、管理差距,不断改进管理的过程,是一个递进发展、不断提高的过程,是一个向新的管理目标迈进的过程。从这个意义上说,及时发现问题和有效整改是决定内部控制工作成败的一个关键因素。
由于内部控制体系从广度和深度全面涉及了企业管理的内容,并且它是一个全新的管理体系,因此,在内部控制体系建设过程中和执行初期,企业将表现出不同程度、不同方式的不适应性。从企业管理环境的适应性到制度体系的适应性,从业务流程的适应性到工作习惯的转变,从手工管理到信息系统运作与控制,从管理的多样化到管理的规范化,从旧有小单元管理体系到内部控制管理大体系,等等,都会表现出这样那样的不适应性。而从不适应到适应的变化过程,就是一个不断发现问题和有效整改的过程。不断发现问题和有效整改,是我们内部控制体系不断完善的法宝。
不断发现问题和有效整改的工作作法,指导了我们以往的内部控制工作。而今后内部控制工作的延伸发展,我们仍然要依赖这个法宝。也希望借鉴以往的成功经验,使今后的内部控制工作做得更好。
(六)决定内部控制工作成败的体会之七--员工综合素质提升是决定内部控制工作成败的一个决定因素
众所周知,企业内部控制体系工作的建设和执行,核心因素是人的因素。所有内部控制环境的建设、制度体系的设计、业务流程的编制、控制措施的执行、信息系统的管理、监督与审计等等,都是依靠企业员工的行动和执行,员工综合素质的高低,决定了企业内部控制工作建设与执行的好差,反映出企业管理水平的高低,同时也制约和决定了企业管理水平升级的质量、速率和成本。从此意义上讲,员工综合素质提升是决定内部控制工作成败的一个决定因素。
可喜的是,中国石油在建设和实施内部控制体系过程中,更加注重提高员工的整体素质。最近几年,在企业员工理论学习、专业培训、技能提升、道德培养、岗位练兵、激励与处罚等方方面面,都采取了很多措施,加大了员工综合素质提高的培养,取得了显著成果。如果没有员工素质提高的工作基础,内部控制体系建设和执行工作难以取得当前这样巨大的成果。
需要我们关注的是,内部控制工作是一项企业长期坚持的常态工作,内部控制工作的范围和追求的目标也会不断发展和提高,它将更加依赖于企业员工素质的持续提升。因此,关注和做好企业员工综合素质提升,是企业管理者当前和今后长期的课题。
决定内部控制工作成败的体会之八— 内部控制工作成果将是为生产发展和效益提高发挥保障的重要因素
从内部控制体系本身的意义上讲,它要使相关企业能在实施内部控制管理的基础上,通过上市地和本国的法律审计。但从客观上分析,由于内部控制体系的具有很高的国际化企业管理水准,企业实施内部控制体系管理后,特别是大型企业实施内部控制体系管理后,经过较短时期的管理磨合和适应,必将带来企业整体管理水平的提高,对企业今后长期的生产发展和效益提高将发挥保障作用。
石油企业今后长期的生产发展与经营管理,还将面临很多挑战。而企业打好管理基础,才能应对来自企业内外的各种压力和风险,抓住发展机遇,使企业在国内国际大发展环境中居于有利的地位。
内部控制是公司管理工作的重要组成部分,在保障公司战略目标的实现、促进公司规范运作方面担负着重大责任。建立完善的内部控制体系,规范管理程序和标准,既是满足上市地监管的要求,遵循我国相关法律法规的要求,也是完善现代企业制度、提升公司管理水平、规避运营风险的客观需要,对不断提高公司运营能力、盈利能力和持续健康发展具有重要意义。我们要进一步增强搞好内部控制建设的责任感和使命感,变压力为动力,通过坚持不懈的努力和扎实有效的工作,确保内部控制体系建设总体目标的实现。
内部控制体系建设对我们来说都是一个新的课题,控制环境建设更重要,而核心是道德与诚信。诚信与道德观的树立要从管理层开始,做员工的表率,使公司上下真正形成一种人人都诚实守信、遵守职业道德的道德氛围。
随着内部控制体系建设管理工作的深入、广泛开展,对强化企业管理,提高经济效益,防范舞弊行为的发生,保证企业战略目标的实现,有着及其重要的意义。制度建设是前提,执行有效是根本。
参考文献:
COSO内部控制与风险管理之《萨班斯法案(Sarbanes-Oxley Act)摘要》
在美国上市的亚洲公司在遵循404条款要求方面所面临的主要障碍(2005版)
内部控制和企业风险管理COSO主席Larry E.Rittenberg博士, 威斯康星大学安永财务教授2006年6月
《中国石油天然气股份有限公司内部控制管理手册》