第一篇:稽核评价金融机构内部控制状况
稽核评价金融机构内部控制状况
按语:
在上个世纪九十年代,人民银行曾经组织了“中国金融稽核监督研究会”,该研究会主办过一个月刊,名为《金融稽核监督研究》。这个月刊编辑了一个“金融稽核监督实务系列讲座”,1999年该刊物第一期在这个栏目里刊登了杨海群博士的下述论文,文章运用国际先进内控理论和原理,提出了一套稽核评价金融机构内部控制的标准和方法,不仅促进了当时金融机构的内部控制及其稽核工作,而且积极支持了中央银行对我国金融机构内部控制进行检查评价的政策的制订。2003年4月成立的中国银行业监督管理委员会后来专门制订了有关规定,在2005年2月1日起施行《商业银行内部控制评价试行办法》,那个文件也基本参照了COSO的内部控制理论框架。杨海群博士当时应邀在《银行家》杂志发表了一篇评论,支持了银监会的那个文件,同时进一步阐述了评价内部控制的标准和方法。时隔一个世纪,上述那份有益的研究刊物早已停刊,但是稽核评价金融机构内部控制状况仍然是一项非常重要的工作。为了促进这方面的研究和工作,也便于大专院校的学生学习商业银行管理的有关课程,笔者将原文转载于此,并欢迎读者批评指正。
金融稽核监督实务系列讲座
第七讲 稽核评价金融机构内部控制状况
转变经营观念,增强内部控制意识,提高管理水平,是我国金融机构向商业化金融机构转变的基本前提,那种坚持传统的管理方式,或片面以改革取代控制的观念,都已经被实践证明是有害的。
金融机构的稽核工作从对所有帐表资料进行全面审查的传统方式发展到对内部控制系统进行测试和评价是必然趋势。这样做有两个好处,一方面,确定的稽核重点能抓得准,有利于提高工作效率和质量;另一方面,通过对内控系统的评价,有利于建立健全自我约束机制,促进金融机构管理制度的完善和经营效益的提高。
一、要更新稽核的观念
长期以来,内部稽核囿于核查帐目和会计凭证,主要是看帐实、帐帐,帐款是否相符。而稽核评价内控就有必要采取新的方式。一是对内控制度本身的检查评价,二是对内控制度
执行情况或对内控活动的检查评价。而这些检查和评价又分为各业务部门的自我检查与评价以及稽核部门对上述部门的再监督。稽核是金融机构内部控制的重要组成部分和综合管理部门,但稽核又是相对独立的。
搞清内控的含义,内控的目的.是组织好稽核评价的前提。内部控制的概念经过了由“部分控制论”向“全部控制论”的发展。“部分控制论”认为内控仅包括内部会计控制和稽核两部分。这种认识的缺陷是,内控只与一个单位资产管理有关,而与行政、业务管理无关。“全部控制论”克服了这个缺陷,认为内控内容渗透到经营的各个方面和管理的全过程。
关于内控的目的,一种是“三目的论”,此种理论认为,内控是为了保护单位的财产,会计记录的准确可靠和及时提供可靠的财务信息。一种是“四目的论”,它认为,内控除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率。
上述内控理论的演进给金融机构稽核部门的启示在于,对内部控制的检查评价应有别于传统的稽核思路,目的要明确和全面,检查和评价要完整和深入。
对内部控制的检查评价离不开对内控的正确理解,美国权威机构COSO提出了简明透彻的内控定义:
内部控制是一种为合理保证实现下述三大目标的程序:
(一)经营的效果和效率;
(二)财会报告的可靠性;
(三)符合法律和规章制度。
这是一种。全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。为此.稽核部门要参照有关法规和实施细则,设定一些具体的标准.认真考察被稽核单位的内控系统,看其是否合理地确保了这些目标的实现。如果不能,总是可以从内控的某些方面找出问题的。
国际上已经将内部控制各环节划分为以下几个下几个方面
(一)控制环境是推动控制工作的发动机,是其他内控组成部分的基础。它奠定组织的体系和结构,涉及所有活动的核心——人,特别是人的控制觉悟。
(二)风险评估:是识别和分析那些妨碍实现经营管理目标的困难和因素,对风险的分析评估构成风险管理决策的基础。
(三)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,防范和化解风险而采取的政策和程序。包括高层检查层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
(四)信息与交流:存在于所有经营管理活动中.使员工得以搜集和变换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩和经常性评价。
(五)监督评审:是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制的再监督与再评价活动的总称。
以上五大组成部分与三大目标有机地相结合,构成了内控的完整体系。稽核人员应适应形势,转变观念,从上述三大目标出发.去考察被稽核单位的五大组成部分的各个方面看是否建立了健全的内控制度t而且.这些制度是否得以认真贯彻实施。稽核检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
二、评价标准
评价内控制度本身及其执行情况都要有标准。
(一)对内控制度建立的评价标准:过去人们也从一般的意义上谈论过内控制度。我们认为,现代内控制度(包括与制度有关的规定和实施细则)的建立,应当遵循下述标准,而这些标准又为对内控制度的稽核提供了依据:
1.有央行政策法规和现代内控理论指导。所谓“现代”就是用最先进的内控理论,而不是闭门造车或随意拼凑出来的:
2.形成完整的和有机结合的体系,而不是规章制度零散不齐的拼凑,控制系统无逻辑关系。
3.控制方法的先进性和可操作性,既有中国特色,又能够同国际接轨。
4.能够计算机化.以便于规范存储和分析检查。
从这些标准出发去稽核.一个单位不是有了一些规章制度就说明有了完整和适当的内控制度.也不是那些适应传统体制(例如专业银行体制)的内控制度都能适应现代化商业银行的发展需要。稽核部门应该检查和评价被稽棱单位是否依据上述标准建设其内控制度。客观地说,我国金融机构的内控制度距离上述标准还相差甚远,稽核的任务正是促使它们整章建制,不断改进和完善其内控制度。
(二)对内控制度执行情况的评价标准:
对内部控制的稽核也是对内控制度执行情况的稽核。这恰恰可以从内控制度的五大组成部分的内容人手去检查和评价。评价的标准可以依据各组成部分的内容(即各种要素)来制定。
l.控制环境:评审人员应理解控制环境的含义,列出控制环境的要素,根据每一要素,判定被检查单位是否存在积极的控制环境。例如:
(1)从价值观看人的道德观念:检查行为守则的制定和执行.业务操作方法的规范,对违背公共利益的活动的限制,评价职员的道德与精神文明行为等。
(2)激励与诱导机制:检查引导员工和各级管理层的激励机制,不实现工作目标将得到何种惩处,物资刺激的效果。
(3)检查管理者从思想上和精神上指导员工的情况。
(4)对工作能力的承诺:检查实际工作任务的说明和工作所需要的知识和技能的分析。
(5)管理哲学和经营作风:检查管理者的风险意识,高级管理人员和业务经营者相互干扰的频率,对财务报告采取的行为和态度。
(6)组织结构:检查组织结构的合理性和其提供信息的能力.主要管理人员的责任以及他们的知识和经验。
(7)有关授权与责任方面的制度规定:检查与控制有关的标准和程序的合理性员工数量的合理性及其技术水平。
(8)人事政策和做法:检查招聘、培训、晋升、补偿方面的政策和程序,候选员工的背景t员工留任或提升的标准是否充分。
(9)董事会或审计委员会;检查审计(稽核)委员会的独立性,向董事会或审计(稽核)委员会提供信息的时效和充分性.稽校部门对管理目标和战略进行监督的效果。对财务状况和经营成果进行的评审.以及向董事会或审计(稽核)委员会报告敏感性信息和不轨行为(包括高级管理官员)的时效和充分性。
在控制环境方面稽核应着重注意的主要问题是:管理层是否向各方人员充分说明了在内控完整性方面不允许磨梭两可?是否存在积极的控制环境?是否在整个组织中具有控制觉悟或自觉控制的态度?高度管理层的内控基调是否积极?单位员工的能力是否与他们的责任相匹配?管理层的经营风格、授权、责任、组织与业务发展的方式是否适当?董事会或审计(稽核)委员会是否给予内控以充分的注意? 2.风险评估:评估人员要集中注意在设立目标、分析风险和管理变化诸方面的管理程序,包括管理与业务活动之间的联系以及 相关问题。例如:
(1)目标:经营目标、财会报告目标和合规性目标可以分解为全行范围的整体目标和业务活动的分项目标。稽核人员可以从以下方面去检查评价:
①单位整体目标:检查对整体目标说明的充分性和针对性,以及其传达的时效性,各项战略、业务计划、预算与单位整体目标的关系。
②业务活动中的具体目标:检查与单位整体目标和战略计划之间的关系,与所有重要的业务程序之间的关系,各业务活动目标之间的相互关系,业务活动目标的针对性,实现目标的资源是否充分,整体目标中至关重要的活动目标的认定,在目标设定上各级管理部门的参与情况及其承担的责任。
③目标的交叉(或相互支持)、联系和实现。
(2)风险:稽核人员应检查和评价对阻碍目标实现的各种问题和因素的识别、分析和管理。要点如下
①风险识别:包括识别全行的风险和业务活动中的风险。风险的内部要素和外部要素。
②风险分析:估量风险的重要性,概率和额率,以及研究如何管理风险。检查风险分析是否透彻和恰当。
③对由变化产生的风险的管理:包括识别变化的机删和预测风险。检查预见和识别风险并对此作出反应的机制.特别是对重要变化作出行动反映的机制。
稽核人员在风险评估方面应注意的主要问题包括:
是否制定了单位的总体目标和业务活动目标?二者之间是否衔接好了?是否识别和评估了影响目标实现的内部和外部的风险?对影响实现单位目标自识别机制是否已经建立了?是否按需要调整了各项政策和工作程序?
3.控制活动:管理人员为每一重大活动设定目标,并针对与这些目标相关的风险发布控制指令。评审人员必须在这个前提下评价控制活动。
(1)在风险的管理方面应检查:是否与风险评估联系起来,恰当地实行了控制,控制活动能否保证管理指令的执行,是否针对每一重要业务活动(包括对计算机信息系统)实行了整体性控制。
(2)应检查和评价控制活动所采取的各种形式.例如:高层次检查工作的情况,管理人员的管理活动,检查交易的准确性、完整性和授权.资产的实物控制和定期核算.经营或财务方面的工作指标的确定.员工职责的划分,以及政策的制定及其实施的程序。
稽核人员在控制活动方面应着重注意的主要问题是:是否通过控制活动确保了所制订的政策的执行?是否采取了措施来防范和化解相关的风险?单位的每项经营管理活动是否都得到了适当的控制? 4.信息与交流;应检查和评价信息部门是否特别注意以评价监督方式工作.严格从会计数据中产生预警信号.保持管理信息的真实性、连贯性。
(1)信息方面.应检查各部门是否注意、获取和报告内外部信息,向适当的人按时提供足够详细的信息,根据信息系统的战略发展计划修改信息制度,对信息系统的支持程度(包括适当的资源一人力和资金)。
(2)在交流方面,应检查内外部交流的情况。例如,内部:在员工职责和控制责任方面的交流效果,报告可疑和不轨行为和事件的交流渠道,管理层接受员工改进办法的建议,部门之问交流的充分性。
外部:与顾客和其他外部单位交流信息的渠道,外单位对本单位道德标准了解的程度.管理层在接到来自顾客等外部信息后采取的后续行动。交流的手段和方式是否有利于沟通。
在信息与交流方面.稽核人员应注意的问题包括:是否建立了各种信息系统以识别和捕捉各种所需要的信息一财务的或非财务的.与事件内外相关的一并将信息以一定方式转达给有关人员去履行他们的责任?有关的信息是否及时交流?对每人和每个工作单位的要求是否清楚?关于他们的责任和工作结构的报告是否明确?信息是否上传下达或横向地在各机构之闻以及在本单位与外单位之间交流? 5.监督评审:为了对内控的持续性和有效性进行评审.应当进行对内控的持续性评价活动和单独性的评价活动。有时候也可以将二者相结合。
(1)持续性评审:内控制度的有效性.内部对外产生信息的准确性,帐帐核对与帐实核对t对内外部审计人员提出的加强内控的建议作出反应,向管理层反馈有关控制实施的情况,定期要求员工说明行为守则。
(2)单独性评审:对内控制度进行分别单独的评审的范围和频率.评审持续进行的合理性,系统的评审方法的逻辑性.文件档案的管理水平。
(3)缺陷的报告:检查获取和报告所发现的内控机制的缺陷.报告书(包括稽核报告书)是否合格,对自我检评和稽核的反应和后续行动。
在监督评审方面,稽核人员应注意的主要问题有:是否建立了适当的程序,以便随时或定期地评价内控的其他组成部分?内控的缺陷是否向应被报告者汇报了?是否根据评审出的问题调整了政策程序?
三、稽核评价的方法
国际上对内控制度及其执行情况的稽核评价方法多种多样,下述方法可供借鉴。这些方法既适合非稽核部门建立和完善内控,又适合稽核部门的审计操作,亦可视为稽核过程经历的几个主要阶段。所不同的是,稽核部门利用它们的目的和侧重点不同。
(一)经营模型和业务流程图:
这是两种非稽核部门本应已画有的图。
鉴于其有助于稽核部门了解情况.稽核部门可在查无此图的情况下敦促非稽核部门完成,在紧迫的情况下也可以自行勾画。
经营模型按经营管理的不同层次设计,从高层到基层越来越细地勾画一个单位的内控轮廊。例如:
1.从整体上设计出的模型是站在最高层次上描绘说明一个工作(机构)范围与外部各方面的相互联系。如内部职能部门的组织结构及其运行机制的关联图.又如外部单位(包括物资供应方、公共管理部门、担保方、投资人和竞争对手等)与本单位的相关机制的关联图。
2.从各业务操作环节上描绘该单位内部各职能部门的相互关系。包括五种基本的价值链活动,包括:单位范围内的活动、经营活动、外界的活动、市场营销、服务等。
设计经营模型有两个目的。一是作为一个起点。使评审者理解该单位的组织结构、制度建设、业务运行机制(活动与活动之间的关系),及其与外部各方的关系,并了解信息产生的情况,用以帮助控制这些活动。我在后面介绍的。参考手册目录”就是按上述不同层次的活动莲层细化设计的。二是经营模型提供的结构,描绘的活动、交易和信息流通情况构成《参考手册》的基础。
为了更好地理解银行的活动和信息与交流情况,还可以绘制系统流程图.作为分析每一活动所伴随的风险的工具,帮助识别流程中可能发生影响的那些控制点。管理人员可以针对这些风险,谋划本单位的控制活动.帮助操作人员完成《风险评价与控制活动工作表》(见后)。
(二)〈参考手册〉—— 微观
《参考手册》最好先由业务操作和管理人员编制,有助于他们找到在业务活动水平上的目标,分析风险.井决定可能采取的行动和可以实施的控制活动。稽核人员可在此基础上编制内控稽核的《参考手册》。该手册还可帮助评审人员完成《风险评估与控制活动工作单》。实际上手册是由表格汇集而成的,表格中的内容包括:
(1)活动:在表格左上角注明业务活动的名称,如。人事”。
(2)目标:说明某一活动的若干目标-如“任用合格的部门经理”。
(3)目标类别:OFC中C代表经营的有效性;F代表财会报告的可靠性;C代表台法 合规性。这些类别依情界定,有时交叉.有时相互影响,并非清晰分开。
(4)风险:说明该活动中可能发生的各种风险。
(5)为采取行动或控制活动所应注重的要点:这里可包括“业绩考核指标”.它们尤 其有助于影响控制活动。
《参考手册》(表样一)
(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
(三)《风险评价与控制活动工作表》一 微观
稽核部门要监督和检查管理层为每一重要活动所设立的目标和在为达到目标过程中风险发生的概率是否得当,是否制订了化解风险的计划、方案和其他应采取的行动,并将控制活动付诸实施,以确保行动方案的执行。管理层和稽核部门都要有这种重要的工作底稿,以评价业务活动各环节内控的完善程度。稽核人员使用此表评价内控时应注意突出重点。
《风险评价与控制活动工作表》在〈参考手册〉的基础上增加了下述栏日:
风险分析:细分成两栏。一是风险涉及的要素;二是风险发生的可能性,可分为高、中高、中、中低和低五个风险档次。
行动/控制活动/评论:依序写明针对风险所采取的行动或控制活动,并由操作人员作出评语。
其他受影响的目标:说明为实现既定目标所采取行动会影响的其他目标。
评价和结论:由上级管理者或稽核人员评估控制是否实现了目标,如没有,应补充注意事项。
《风险评价与控制活动工作表》(表样二)(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
(四)《内控内容表》一宏观
每单位针对上述五大内控组成部分定期填制五份„内控内容表》,对每部分的内控情况作综合评价。每次稽核也应这样做。为稽核报告的形成提供依据。表首注明内控的某组成部分,并对该部分内容予以定义。该表分“集中点”和“说明/评价”两部分。
首先标明该组成部分的控制要素之一.作为一节的开始,并可在其下方用精炼文字 说明该要素。
在说明文字之下列出对该要素组成部分中较重要的一些集中点。并在每一集中点下顺序列举针对该点的可考虑的附属问题。集中点代表与这个组成部分相关的较重要的问题或要素。评审人员应把这些集中点修补调整t使其适合这个单位的实际和环境。
业务经营和管理人员在“说明/评价”栏内记录该单位如何对待该集中点所涉及的问题,并把有关的评论记录在内。对问题的回答不能是简单的“是”或“不是”,而需说明解决问题的方法和方案。稽核人员在“说明”栏内应清晰和准确地填写存在的问题和风险。在“评论”栏内既可以作文字定性评价.又可以作定量分析,或两者并用。
在每一节要素内容之后记录关于相应控制是否有效的结论。
在该控制内容的各节都填完之后,应由有关负责人填写“控制内容总结一结论/所需采取的行动”。
在关于监督评审内容的表后要有一“分别单独的评审”表,内容与本表一样。
在该组成部分的评审之后还要有“报告缺陷”表,内容与本表一致。
在上述内容全部完成后,还应有部门负责人或稽核人员对该组成部分的总结一结论与建议。《内控内容表》(表样三)(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
(五)《内控制度整体评价表》
这是管理层和稽核人员宏观稽核评价内控情况的表格。稽核评价的角度同业务管理评价会不尽相同。用这种表把对某 内控组成部分的评审中发现和作出的结论汇总起来,由更高级的负责人或高级稽核人员(总稽核员)和分管行长审查这些最初的结果,并获取进一步的信息。表中有一栏“整体结论”留给高级领导对整个内控制度作全面评审结论。本表也是稽核报告的主要依据。
(六)其他方式:上述方法并不是仅有的工作内容。为了对内部控制进行客观的深入评价,还可以充分发挥稽核人员的智慧.创造出其他的检查方法来。例如,设计各种调查问卷,与被稽核单位的各级业务和管理人员相沟通,也是一种好方法。《内控制度整体评价表》(表样四)(此表从略,请参见《公司治理与银行控制》(下卷),杨海群,中国金融出版社,2001年)
上述方法还要通过一定的稽核程序去推行。稽核部门在拟订了稽核方案后.可在初步调查阶段使用编制好的调查问卷和其他沟通方式进行调查,绘制好内、外部关联图;进而编制《参
考手册》。然后,根据对被稽核单位的业务流程的理解,进行“穿行测试”,绘制所稽核业务的流程图;进一步完善《参考手册》。接着,在“符合性测试”和“实质性测试”中将《参考手册》改编成《风险控制与内控活动工作表》作为稽核工作的基本工作底稿;然后.填制《内控内容表》。在这一系列工作的基础L再汇总各方面情况,填制《内控整体评价表》。这些工作为拟订和提交《稽核评价报告》创造了条件。
本文所提炼的一些国际和国内经验一与中国的金融机构的实际相结合,必将提高其内部控制水平.带来丰硕的经营管理成果。
第二篇:浅谈金融机构内部控制机制[最终版]
浅谈金融机构内部控制机制
金融机构内部控制是金融机构的一种自律行为,是金融机构为完成既定的工作目标和防范风险,对内部各职能部门及其工作人员从事的业务活动进行风险控制、制度管理和相互制约的方法、措施和程序的总称。就银行机构而言,其内部控制主要包括银行机构内部组织结构的控制、授权授信的控制、信贷资金风险的控制、会计系统的控制、计算机业务系统的控制等。金融机构内控制度是指作为企业的金融机构为了保证经营目标充分实现而制定并实施的、对内部各部门和人员进行相互制约和相互协调的一系列制度和措施。
近年来,随着金融改革不断深入,引起了金融机构内部控制这一金融运行的微观基础发生了较大变化,尤其是基层金融机构内部控制呈现“机制功能弱化”,隐藏着巨大的金融风险。同时,随着外资银行的准入,金融机构面临的竞争形势更加严峻,各种金融风险渐已显现,现有的金融内部控制机制尚不能完全适应防范、化解金融风险的需要。再看农村合作金融机构内部控制建设,虽然取得了较大进步,但由于长期以来内控体系不健全、内控机制不完善、内控基础不牢固等历史原因,造成内部控制仍然存在一些薄弱环节。为此,必须强化内部控制机制,重新构建科学、有效的内部控制机制,增强金融机构内部控制效果,这对于防范金融风险具有重要的现实意义。
一、健全基层金融机构内部控制机制的必要性
金融机构内部控制作为对金融业务进程进行环环相扣、监督制约的动态控制机制,对防范和化解各种金融风险都发挥着重要作用。一是有利于正确贯彻执行国家各个时期方针政策、法律法规以及中央银行监管的规章,使金融机构经营不偏离方向,减少金融机构经营风险;二是有利于防止金融资产流失,确保金融资产安全、完整与增值;三是有利于实现金融业务操作的规范化、科学化和程序化,有效抵制来自各方面干扰性因素的影响,提高金融工作效率,增强金融业务运作的透明度;四是有利于金融机构及时发现自身问题的症结并及时采取措施给予纠正,将金融风险有效控制在合理的预期范围内;五是有利于明确金融机构内部各职能部门及其员工的职责范围,实行金融决策、具体执行、事后监督三方分离,增强金融机构自我约束、自律管理的能力,减少金融管理风险;六是有利于严格执行各项规章制度,堵塞金融业务漏洞,不给金融犯罪分子可乘之机,以达到防范金融风险的目的。总之,面对此起彼伏、肆意冲击的金融风险,只有积极稳妥地建立、健全金融机构内部控制机制,才能有效地防范金融风险。
二、基层金融机构内部控制现状及成因
内部控制机制作为基层金融机构对各职能部门及其工作人员,从事业务活动进行风险控制、制度管理和相互制约的方法、措施与程序。在防范经营风险,维护资金安全,确保稳健经营中起着不可替代的作用。近年来,各基层金融机构在强化内控控制机制方面进行了不懈的努力和探索,健全了内部控制机制体系,但由于受多种不良因素影响,内部控制机制还存在诸多不容忽视的问题,具体表现在以下几方面:
(一)思想教育薄弱,工作不到位。随着金融业的蓬勃发展,银行业间的竞争日趋激烈,为了扩大生存空间,提高经济效益,基层金融机构“重业务发展,轻思想教育”现象日益明显,忽视对干部职工的职业道德和遵纪守法教育,“两手抓,两手都要硬”的工作方针没有落到实处,思想教育工作流于形式,放松了对干部职工的世界观、人生观、价值观的改造。从近年来基层金融机构所发生的违法违纪案件分析可以看出,犯罪分子往往是放松了学习和思想上的改造,在资产阶级腐朽思想的侵蚀下,政治信念发生了动摇,一味追求金钱,追求享乐,私欲膨胀,人生观、价值观被扭曲,直至见利忘义,以身试法。
(二)内控意识薄弱。目前,基层金融机构对内部控制缺乏系统性认识,错误地认为建立健全内部控制机制就是建章立制,有了规章制度就有了内部控制机制,忽视了内部控制是一种业务过程中环环相扣的动态监督机制。更有甚者将内部控制与业务发展对立起来,认为内部控制禁锢思想、束缚手脚,影响金融业务发展,于是有意无意地突破内部控制的限制,盲目开展各项业务活动,参与无序竞争,从事违规经营。
(三)有章不循,制度不落实。金融系统的违规违法事件,虽然有犯罪分子自身放松思想改造等方面的原因,但内部控制制度失控和职能部门监管不严是使犯罪分子屡屡得逞的主要原因,尤其是各业务岗位之间责任不明,相互监督、相互制约机制形同虚设,部分从业人员对待工作敷衍了事,使各项内控制度得不到落实
(四)内部控制目的不明确。一些基层金融机构贯彻执行内部控制措施,不是为了防范化解金融风险、堵塞漏洞、杜绝违规违法行为发生,而是为了装潢门面,做给别人看,应付上级行检查的。日常工作中,不能拿出时间和精力检查内部控制落实情况,不积极自觉履行内部控制制度,每逢内部控制检查来临,大肆舞弊,欲盖弥彰,抓紧时间补办内部控制手续,甚至在空白的检查记录上签字,检查内容由经办人员填写等。
(五)处罚措施乏力。尽管各金融机构不同程度地制定了一些相关的内控制度,也取得了一定成效,但责任事故和经济案件仍不时发生,其主要原因是正面要求多,寄希望于人们责任意识的增强和思想觉悟的提高,对越权行事、违规操作及弄虚作假者没有具体而强有力的处罚措施,处理问题往往批评教育多,或罚款了事,使一些人在执行内控制度上始终缺乏紧迫感、危机感,更使一些人挺而走险,走上犯罪的道路。
三、强化基层金融机构内部控制的对策建议
对于基层金融机构内控管理机制方面存在的问题,应当引起重视。正确的做法是,正视这些问题,县级人民银行和金融机构都要从维护本辖区金融体系稳健发展的高度出发,共同采取积极有力的措施,逐步加以克服解决。
1.规范制度建设程序,从源头上加强内控制度的操作效力。完善的内控制度体现为制度的健全性和有效性两个方面。要保障制度的有效性,首先必须有一套规范的制度建设程序。当前农村合作金融机构应当从规范“立法”程序做起,要明确“立法”权限,对内控制度的修改和制定等要在程序上予以明确,增强“立法”的严肃性与统一性。同时要规范制度建设的“论证程序”,在制度出台前至少经过三道论证程序,即风险论证、合规论证和法律论证。一是由制度制订部门组织风险信息的收集、识别与评估,依据统一的标准对各类风险进行测算,在制度发布前做好模拟风险的论证与评价,使预防性控制措施落实在各业务制度之中,保证制度的可操作性。二是在内部设立合规部门,对制度制订条款是否符合相应的规章制度、监管要求进行审查,对关联制度的相关性与一致性进行论证,保证制度的严密性。三是要加强制度的法律论证手续,制度的修订要提请法律工作者(如法律顾问)对制度条款进行审查,确保制度的合法性。此外还要规范内控制度的“评价程序”,要着重建立制度执行效果信息反馈机制,由内审部门负责制度的执行评价,提出工作建议,以利于制度的完善和改进。
2.倡导内控文化建设,从根本上提高员工对内控管理的认知程度。内控文化建设是建立内控长效管理机制的一项有效措施,从农村合作金融机构近几年开展的专项内控制度活动中,无不将内控文化建设作为一项重要内容来开展。就目前而言,我们有必要加强以下几项工作。一要继续加强内控制度教育,积极开展普及内控制度教育,通过学习确保从业人员理解并掌握内控制度,通过知识考试等手段巩固学习效果,做到每项内控制度必学,每位员工必懂。二要继续加强员工素质教育,着重从职业道德、思想文化上促进员工达到规范操作的目的,强调按章办事,引导员工树立责任意识,把个人目标与团体目标统一起来,以道德素养规范职业行为,达到内控管理的要求。三要合理设置各岗位的内控职责,明确内控责任,在员工工作考核中,要纳入其工作期间内控履职责任评价,对不规范行为要实行责任倒查与“问责”,要将内控执行情况与个人职业生涯升迁相挂钩,以加强在岗员工履行内控职责的责任心,使内控管理成为员工自发的行为。四要建立内控执行评价与激励措施,对员工执行内控的情况组织评价,通过开展内控管理竞赛,评选“守规之星”等活动,激励员工规范业务操作。对积极履行内控制度、在防范风险方面做出贡献的员工要明确奖励制度,增强员工执行内控制度的主动性,使内控管理理念深入人心。
3.加强违规惩治力度,以强制力保障内控制度的严肃性和威慑性。每一次对违规行为的纵容,必将使内控制度的效用削减一分,最终导致内控制度在管理过程中的软弱无力。由此可见,在内控管理上对违规和酿造风险的行为一定要惩戒到位。要加强检查力度,农村合作金融机构的内控监督部门要做到“三铁两见”。“三铁”即现场检查铁面无私,落实问题铁证如山,行政处罚铁案不翻;“两见”即每一次检查都要见人(就是处罚人),见钱(就是罚款),并且要把处理人放到主要位置。只有这样,才能有效防范从业人员的道德风险,把制度缺陷带来的风险控制在最小的范围,将防范和化解金融风险的关口前移到风险的源头。
4.树立科学发展观,从发展战略意义上建立长效风险管理机制。内控建设实际上是对金融业长期发展过程中的控制能力,是企业发展更加有序而持久的保障。因此,必须将内控管理作为评价绩效考核的核心内容,以此促进长效风险管理机制的建立。一是要从内控管理的角度把握规模与质量的平衡点,如将主营业务结构的合理性、预期波动性等内容纳入绩效考核,着重从业务结构上分析经营风险,保证企业的可持续发展能力,在控制风险的前提下,有效提升综合竞争实力。二是要从内控管理的角度核算经营成本,在绩效考核中注重克服各种“散”、“乱”、“险”的经营行为,要保证经营管理目标明确,做到在规范中求发展,而不是在发展中求规范。三是要从内控管理的角度分析风险与效益最佳配比,进而确定目标市场,在绩效考核中突出考核目标市场客户拓展业绩,从而保证企业强劲持久的竞争优势。
第三篇:浅析农村合作金融机构内部控制审计模式及评价方法
浅析农村合作金融机构 内部控制审计模式及评价方法
作者:巴音、杨晓华、李鹏飞
单位:内蒙古自治区农村信用社联合社驻锡林郭勒稽查办事处
【摘要】 随着农村合作金融机构改革的不断深化,资金实力的不断增强,业务发展和金融创新速度逐渐加快,新的经营机制正在逐步建立。但是,在经营管理及业务技术操作方面都存在着诸多问题,尤其是风险防控能力仍比较薄弱。因此,在改革不断推进的新形势下,如何强化稽核监督功能,建立行之有效的内部控制审计模式及评价方法,对于预防、揭露、纠正、查处经营管理中的违章、违规、违纪行为,防范和化解经营风险,进一步提高经营管理水平、资产质量和经营效益,保障依法、合规、稳健经营,最终实现经营管理目标具有十分重要的意义。
【关键词】 农村合作金融机构;内部控制审计;评价方法 目前,国内的农村合作金融机构正在按照监管要求努力构建规范的公司法人治理新架构,搭建起了“三权分离”的现代公司法人治理架构,逐步形成各司其职、有效制衡、相互协调的工作机制,建立起科学的决策体系、健全的内控机制和完善的全面风险管理机制。在整个银行业体系中,农村合作金融机构法人机构数量最多,网点分布最广,整体风险较高,作为各类风险控制的“最后一道防线”,以风险导向为目标的内部控制审计工作必将面临着更多、更新的挑战。因此,我们迫切地需要在实际操作中
深入探究,尽快摸索出既能适应自身发展又能防范化解各类风险的内部审计控制模式及评价方法。
一、农村合作金融机构内部控制审计现状
为防范金融风险,农村合作金融机构普遍成立了内控管理部门,通过梳理完善内控制度及加强检查和监督,强化了制度的执行力,在案件专项治理活动等方面,取得了明显的成效。但就目前情况看,内部控制审计模式在农村合作金融机构中还没有真正意义上的建立,并未实现“对组织中各类业务和控制进行独立评价,以确定是否遵循公认的方针和程序,是否符合规定和标准,是否有效和经济地使用了资源,是否在实现组织目标。”这一内部控制审计模式的范畴,整个内部控制审计模式还是停留在检查、核对的稽核层面,存在诸多欠缺。
(一)真正的内部控制审计组织架构还未形成,缺乏独立性。由于农村合作金融机构特殊的法人治理结构,省(自治区)联社设立的各级稽查部门还不能彻底承担旗县级法人机构的内部控制审计工作,主要起到服务、督促、指导的作用,内审重担仍由各级旗县级法人机构的稽核部门担负。但是,旗县级法人机构的内部控制审计部门被作为一个普通的管理部门, 往往是分属某个领导分管,机构职权狭窄,在组织内调查不能做到畅通无阻,相当的工作投入仅限于对财务及其相关资料的检查、核对,并未形成独立的内部审计控制体系,导致审计工作的独立性缺乏保障。再加各层利益关系的驱使,无法确保审计结果的客观、公正反映。
(二)旗县级法人机构领导层的思想高度不高,对内部控制审计的重要性认识和支持不够。许多旗县级农村合作金融机构对内部审计所提供的各种管理、服务缺乏深度理解,把内部审计当
成给自己挑毛病找麻烦的机构,心理上存在排斥内部审计的观念。因此,积极性不够,抵触情绪较大,表现在机构人员东拼西凑或随意撤并、精简,这就使内部审计部门极不稳定,势单力薄,很难发挥内部审计监督作用。
(三)内控制度建设相对落后,跟不上业务发展需求。近几年,特别是省(自治区)联社成立之后,农村合作金融机构的业务发展突飞猛进。但是在内控制度建设方面,较为落后,跟不上业务的发展,尤其是开展的新业务、涉足的新领域。具体表现为:一是技术性风险控制相对滞后。当前农村合作金融机构“机控”、“技控”还没有完全跟上业务发展的步伐。随着计算机在农村合作金融机构的广泛使用,科技水平的不断提升与技术管理相对薄弱的矛盾较为突出;二是制度防范风险出现盲点。目前,有些经济发达地区的农村合作金融机构中间业务发展较快,新业务创新不断,对这些新业务的开办,相应制度没有跟上,导致出现制度上的风险盲点,风险防范难度加大;三是部分制度已经跟不上业务发展的需要。有些农村合作金融机构继续沿用改制前的各类规章制度,没有经过很好的梳理,有一部份制度执行困难,流于形式。还有部分制度针对性差,致使头痛医头,脚痛医脚,有病无病一起服药现象时有发生;四是制度落实不到位。部分农村合作金融机构管理部门对许多制度只发文件不抓落实,遇到具体问题,灵活性讲得多,原则性讲得少,以种种“理由”加以变通,甚至视内控制度为绊脚石,这是农村合作金融机构经营风险增加、发案率高的最直接原因。
(四)外部环境竞争激烈,导致自身经营风险增大。目前,我国银行业面临更加激烈的竞争环境和更加复杂多样的风险。有
些农村合作金融机构受利益驱动,重业务发展,轻内控管理,致使一些内控制度无法落实不到位,产生风险。
(五)内部监督制约机制形同虚设,作用未能有效发挥。一是内部监督岗位作用弱化。由于农村合作金融机构监事会及纪检监察部门等监督机构形同“外科医生给自己做手术”,再监督实际上陷入了一种自己监督自己的怪圈;二是内审部门职能难以真正体现。如内审部门的独立性、超脱性和权威性尚显不足,审计部门对审查出的问题不经领导同意就不能上报,不能独立作出决定。因此,在履行职责时瞻前顾后,审计职能没有充分发挥,难以对领导决策失误造成的损失进行有效的监督。
(六)处理处罚缺乏保障,不能有效到位。一是存在稽核报告失真,不能真实的反映检查出来的问题,无法对其实施处罚;二是行社领导怕暴露问题,不采取积极处理措施,一拖再拖,打击审计工作积极性;三是人员配臵不够,不能保证日常的工作需要,审计工作任务难以保质保量;四是考核体制有待完善。法人行社对审计人员的考核要广泛听取职工、基层负责人的意见。若审计工作人员严格执法,得罪了人,那么考核成绩特别是公开民主测评一般不会很理想,对审计人员的作用或升职显失公平、公正,导致审计员、审计负责人在处罚力度、处罚面上大都是点到为止,隔靴搔痒,存在怕得罪人思想;五是审计人员在法人机构的领导下,审计工作岗位并不是终身制,处理处罚也是看着领导意图,审计人员也会避重就轻,为自己留“后路”,从而影响工作绩效性。
(七)内审人员结构不合理,难以满足内部控制审计发展要求。由于农村合作金融机的内部审计工作起步较晚,所以内部审
计人员大都没有接受专业的内审教育,多为财务、会计人员组成,致使知识结构单
一、综合素质不高。此外,由于整体对内部审计工作重视不够,导致内部审计工作的地位不高,难以吸收优秀的人才加入到内部审计队伍中,无法完成自身的群体良性循环,进而难以进行科学、合理的审计程序和审计方法,导致内部审计较为落后。
二、导致内控管理缺失的原因
(一)经营思想偏差弱化了内控机制、内部监督的内在动力。在“外延扩张型”发展的过程中,存在“重发展,轻内控”、“重绩效,轻风险”和“重激励,轻约束”的不良倾向,以致内部控制相对乏力,强化内部监督的主观动力不足,对内部控制审计模式的改革力度不够积极、进程较为缓慢。忽视内部控制审计系统中存在的问题,弱化了内部控制审计职能的发挥。
(二)传统的稽核理念导致了农村合作金融机构内部审计方法和程序缺乏科学性和灵活性。根据现代审计理论,内部审计应更加注重对业务程序和内控系统的分析。传统的稽核理念使各家农村合作金融机构内部审计局限于业务结果的检查、核对,缺乏对行社内部制衡控制的总体评价,使内部审计程序的标准化高度难以提升,内部审计的工作效率相应降低。
(三)内控管理观念上存在偏差。在实际工作中,部分农村合作金融机构从业人员认为内控制度是各种规章制度的汇总,从而忽视了内控机制是一种业务运作过程中环环相扣、监督制约的动态机制。这种认识的偏差反映在农村合作金融机构在经营管理过程中,对所产生的风险外溢采取事后补救的办法,从而完全违背内控管理中的以预防为主的原则,导致存在安全风险隐患。此
外,观念上的偏差还表现在业务开拓与内控制度建设缺乏同步协调性,特别是新业务的开展缺乏必要的制度保障,风险隐患较大。
(四)部门间的相互制约机制失范。农村合作金融机构主管部门的内部各业务部门在具体行使监控职能时,职责分工不明确,政出多门,或齐抓共管,或相互推诿,不能形成协调和制约机制。同时,主管部门既是业务活动的组织者,又是业务经营监督的责任者,这种对自己行为进行所谓的“自我监督”本身就不可靠,何况在实际操作中往往只注重抓业务拓展,而忽视抓业务监督。
(五)管理人员的权力约束机制失衡。表现在管理人员的业务行为、决策行为、责任行为缺乏可操作的规范制度予以制约,导致少数业务人员自批自贷、挪用库款、违规经营。一把手负责制的经营管理模式虽然有利于经营管理水平的提高,但由于权力没有受到约束,缺乏规范有效的监督机制,权责失衡,导致个别负责人越权行事、滥用职权、欺上瞒下、行贿受贿等不良现象发生,严重影响农村合作金融机构的稳健发展。
三、应建立的内部控制审计模式及评价方法
针对目前农村合作金融机构内部审计模式存在的问题和发展势头,对于强化农村合作金融机构内部控制、提高其抵御风险的能力是极为不利的。因此,为充分发挥内部审计的作用,农村合作金融机构应从以下几个方面完善内部控制审计模式和评价方法:
(一)建立健全内部审计机制,确立并提升内部审计组织地位。《银行业金融机构内部审计指引》第七条规定:银行业金融机构的董事会负责建立和维护健全有效的内部审计体系。没有设
立董事会的,由高级管理层负责履行有关职责。银行业监管当局已经提出了股份制银行设臵审计委员会的建议和要求,对农村合作金融机构完善公司治理有重要意义。按照这一思路和要求,审计委员会制定审计章程要明确审计委员会的职责,并赋予审计委员会足够的权威性、独立性,以保障其为理(董)事会或权力机构实现经营目标提供有效服务。审计的垂直管理可从根本上解决各级机构集经营与监督于一身的矛盾,充分利用审计资源,解决审计重心和风险重心不匹配,经营风险上移的问题,提高审计效率,保障审计的独立性和客观性。为保证内部审计人员的独立性,应建立业务轮换和回避制度,同时内审人员的报酬不与经营业绩或利润挂钩,不能参与和控制其他管理程序的设计等。只有这样,才能巩固内部审计的地位,真正发挥其应有的作用。
(二)提高电子化水平,发展计算机辅助审计,创新审计方法和功能。要积极学习先进的内部审计理念、方法及手段,提高计算机在农村合作金融系统内部审计工作中的辅助作用,建立审计数据库,建立与外部审计协同运作、信息共享的机制。要加大审计管理系统的应用,通过审计系统实现对有关数据信息的管理,对数据信息及时予以识别、获取和加工,运用审计模型,识别风险点,进行风险预警,提出控制风险的对策。进一步发挥非现场审计功能,充分利用计算机系统实时监测分支机构的经营情况和日常操作情况,及时发现问题并有针对性地开展现场审计工作。
(三)加强审计队伍建设,提高人员专业素质。内部审计的质量很大程度上取决于内部审计人员的素质和审计规范的完善程度,内部审计不能停留于已有的知识和经验而固步自封、裹足
不前,现代企业制度的建立对内部审计人员业务素质和品德操行提出了更高的要求。面对现代审计的要求,加强审计队伍的建设,提高审计人员的素质,是提高内部审计工作的水平、发挥内部审计职能的根本保证。审计人员必须注重知识的更新和知识面的扩展,必须熟识国家的法律法令和经济改革的方针政策,必须掌握现代经济管理的知识,特别要加强对内部审计人员财会、统计、经济活动分析、财税、市场营销、写作及计算机知识的定期培训和审计人员职业道德教育,培养审计人员敏锐的洞察力和判断力,要求审计人员恪守客观、公正、廉洁的原则,本着负责的态度和为内部管理服务的意识,依据有关法律和经济活动的原理、原则,实施经济监督、鉴证和评价,从实质上提高内部审计的独立性,逐步建立起一支具有现代知识素养和职业道德水准的内部审计队伍。同时要加强人才培训和后续教育,促进内部审计人员专业素质的提高。此外,还应重视内部审计人员的责任意识、风险意识,保持和发扬坚守原则、勤勉敬业和锐意进取的精神。
(四)拓展内部审计的范围和内容。一要实现由重监督向管理服务审计转变。前国家审计署李金华审计长指出的:“内部审计的定位应该是四个字,就是管理、效益。内部审计也有监督,但监督的着眼点一定要放在促进部门加强管理,加强内部控制和提高经济效益上。”农村合作金融系统内部审计要定位于管理和效益,由单纯的监督职能向经济监督、评价、鉴证职能发展,注重经营活动的事前预测和决策,使内部审计向风险管理审计和咨询活动转变;二要实现由事后向事前和事中审计转变。农村合作金融系统的内部审计的目的就在于完善内部控制、防范风险、促进经济效益的提高。内部审计人员加强对尚未实施的经济事项进
行事前审计,找到未来可能出现问题的环节,提前发现隐藏单位内部管理存在的问题并把它揭露出来,可以减少风险。农村合作金融系统要通过实现审计工作的重点由事后审计向事前审计前移,尽早参与到事前决策的咨询和事中的监督中去,尽可能减少事后的滞后性,提高审计效率、降低审计成本,增强审计的时效性,不断提高内审工作质量;三要逐步构筑机构整体内部控制的综合评价体系以及职能管理部门评价机制。根据《商业银行内部控制指引》中控制要点,结合业务实际,对内部控制体系五要素和具体控制要点,以银监会《监管评级指标》为参照设计定量指标,对内部控制主要目标的实现程度进行结果评价。通过定性和定量评价适当结合的方式,完成对内部控制过程和结果的双重评价;对内部管理结构、内部控制状况、各岗位业务规范状况、以及管理制度、国家宏观政策法规、监督体系等方面提出建设性的建议和意见。
(五)提高服务意识,开展以内部控制和风险管理为导向的管理审计和效益审计。内部审计的出发点和归宿点是效益和管理,最后落实到提高效益、提高管理水平。从公司治理的角度看,“内部审计机构的职责除了包括审核企业会计账目外,还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行指定职责的效率,并向企业最高管理部门提出建议和报告。”在内部控制框架中,内部审计的作用在于监督企业经营符合内部控制框架要求,评价内部控制的有效性,提供完善内部控制和纠正错弊的建议。开展以内部控制和风险管理为导向的管理审计和效益审计,可以摆脱以往财务收支审计的“就数字论数字”,对数字背后的东西,即数字所反映的管理和效益问题进行管理评价和绩效
鉴证,能够拓展农村合作金融机构内部审计的发展空间。当内部审计向管理审计和效益审计方向发展时,内部审计人员作为高层的监督、管理人员,自然会成为“咨询顾问”的角色,向最高决策层和管理层提供增值服务,提高内部控制的有效性。
(六)建立行之有效的内部控制评价模式。一是建立标准的内部控制评价模型,以恰当地评价内部控制模式的健全性、完善性、有效性和适应性。而这个评价模型就是要建立健全一套适应农村合作金融机构的完善的内部控制体系的评价标准,包括对领导决策的控制、内部组织结构的控制、资金交易的风险控制、衍生工具的控制、信贷资金风险的控制、财务与会计系统的风险控制、授权授信的控制、计算机信息系统的控制等一系列控制体系的评价标准。这个标准能够为内审人员客观评价内部控制制度及各项业务活动提供公允的评价标准;二是健全内部控制评价体系。省(自治区)联社应从各职能部门内部控制的自我评价和内部审计部门的再监督评价两个层面来完善内部控制评价体系,并积极确立内审部门的独立性和树立内审部门的权威性;三是健全内部控制评价方式,规范内部控制评价程序。内部控制评价的方式主要有非现场检查评价、现场检查评价和不定期现场检查评价等;四是完善各类内部控制体系的评价内容,尽量做到全面,不留遗漏。例如对领导决策进行评价,应重点检查评价:贯彻和实施货币政策情况,执行国家金融方针、政策和法规情况,上级指示要求安排的工作贯彻落实情况,组织制定各项内控制度情况,检查指导下级行(社)工作情况,按规定权限行使审核、审批权的情况,对重要问题调查、处臵和上报情况,对重点部门、关键岗位监督管理情况,对严重违规问题或重大责任事故报告和处理
情况,执行干部管理制度情况,加强干部职工思想政治教育情况等。通过对领导决策的评价,以达到促使旗县级法人机构的领导更好地履行职责,不断提高自身素质和工作能力的目的;五是加强内部控制审计评价结果的综合利用,实行奖惩并举,把评价结果作为有关考核评价的重要依据之一,使内部控制审计评价结果与相关领导、部门经济利益、职工考核评优等项目挂钩,以此强化内部审计的作用。
参考文献:
[1]丁宝华.试论我国商业银行稽核监督工作改革与发展[J].新疆财经学院学报,2003(3).[2]肖菱,张益标.对加强和完善国有商业银行内部稽核监督制度的思考[J].新余高专学报,2003(1).[3]王飞,侯贝贝.商业银行内部稽核的有效性研究[J].新金融,2006(10).[4]刘茹,苏进波.基层银行稽核监督工作如何适应经营机制的转变[J].华北金融,2000(Z1).[5]季化敏,刘冬雨.我国商业银行操作风险函待进一步加强管理[J].济南金融,2006(8).[6]王飞.农村商业银行内部控制缺陷的表现形式、原因及对策[J].上海金融,2006(10).
第四篇:内部控制评价制度
内部控制评价制度
第一章 总则
第一条 为规范和加强对公司内部控制的评价,进一步建立健全内部控制机制,保证公司安全稳健运行,根据《中华人民共和国贷款法》、《贷款公司管理办法》、《企业内部控制基本规范》(财会[2008]7 号)、《企业内部控制评价指引》(财会[2010]11 号)及公司《内部控制制度》等相关规定,制定本制度。
第二条 本制度所称的内部控制评价,是指对公司内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 内部控制评价的范围为公司全部经营管理活动和业务流程。公司应至少每年开展一次内部控制评价。
第四条 公司实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及公司所属单位的各种业务和事项,覆盖所有的部门和岗位。
(二)重要性原则。评价工作应当在全面评价的基础上,根据风险发生的可能性及其对公司内控目标的影响程度,确定需要评价的重点业务单元、重要业务领域、重要流程环节和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
(四)统一性原则。评价应保持目标、范围和准则的一致,以确保评价过程的准确,以及评价结果的客观、可比。
(五)独立性原则。评价应由公司审计部独立进行。
(六)及时性原则。应按照规定的时间间隔持续进行评价。当经营管理环境发生重大变化时,应及时进行评价。
第二章 职责分工
第五条 公司董事会是内部控制评价工作的最高决策机构和最终责任者,负责审批内部控制评价报告,监督内部控制的改进等。第六条 公司董事会授权审计委员会负责内部控制评价的组织、领导、监督工作,其主要职责包括:
(1)审议内部控制评价报告;
(2)审议内控重大缺陷、重要缺陷整改意见;(3)领导公司内部审计机构开展内部控制评价工作;(4)协调公司管理层推进内部控制评价工作和缺陷整改工作。
第七条 公司管理层负责为内部控制评价提供必要的行政资源,协调和解决内部控制评价过程中出现的重大事项,听取内部控制评价的工作安排、工作进展和评价报告,及时掌握公司日常内部控制风险监控结果,组织实施缺陷整改工作。
第八条 公司审计部在审计委员会指导下负责内部控制评价的具体组织实施。
第九条 公司各职能部门是内部控制评价的基本主体单位,负责本部门内部控制自我评价工作。
第三章 内部控制评价的内容
第十条 内部控制评价包括过程评价和结果评价两部分,其中过程评价包括内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素。结果评价通过量化的经营管理指标对控制结果进行评价。
第十一条 内部环境是公司实施内部控制的基础。内部环境评价的内容包括治理结构、机构设置及权责分配、人力资源、企业文化、社会责任等。
第十二条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程。风险评估评价的内容包括目标设定、信息收集、风险识别、风险分析、风险应对等。
第十三条 控制活动是公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内,达到控制目标的全过程。控制活动评价对各项业务处理程序的授权批准、职责分工、实物控制、凭证与记录的设置和运用、独立检查程序等控制措施的设计与运行情况进行认定和评价。
第十四条 信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。信息与沟通评价对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十五条 内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进的过程。内部监督评价对内部监督机制的有效性进行认定和评价。
第四章 内部控制评价的程序
第十六条 公司内部控制评价程序包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十七条 每年年初,公司审计部应当将内部控制评价纳入工作计划。在内部控制评价实施前拟订工作方案,经公司管理层确认并报审计委员会批准后实施。
第十八条 公司审计部应当根据经批准的工作方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组可吸收公司其他职能部门熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
公司根据情况可委托中介机构实施内部控制评价咨询和检查。
第十九条 内部控制评价工作组应当综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价部门内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第二十条 内部控制评价工作组应按照公司《内部控制评价实施细则》对内部控制过程和内部控制结果分别评价,并折算汇总评价结果。
第二十一条 内部控制评价工作组应对发现的内部控制缺陷进行认定,并按其影响程度进行分级。内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指公司缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指设计有效的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
第五章 内部控制评价报告及评价结果应用
第二十二条 内部控制评价工作组在评价实施过程结束后形成内部控制评价报告。内部控制评价报告应当分别就内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十三条 内部控制评价报告报送公司管理层审阅,报送公司审计委员会审议,经审计委员会批准后报送监管部门。公司以 12 月 31 日作为内控评价报告的基准日,内部控制评价报告应当于次年4月30日前提交管理层及审计委员会。
第二十四条 内部控制评价的有关文件资料、工作底稿和证明材料等由公司审计部负责整理并妥善保管。
第二十五条 公司审计委员会对内部控制评价结果进行审核确认,并就认定的内部控制缺陷协调公司管理层组织整改,补充完善内部控制措施并修订相关规章制度。公司管理层应向审计委员会及时通报整改完善情况。内部控制缺陷已经造成损失或负面影响的,根据公司规定追究有关部门或相关人员的责任。
第六章 附则
第二十六条 本制度将根据本制度生效后颁布或修订的法律法规、部门规章、规范性文件等进行修订。
第二十七条 本制度由审计部负责解释。第二十八条 本制度自发布之日起生效。
第五篇:内部控制自我评价
一、内部控制自我评价的概念
控制自我评估(CSA)也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估,是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。
二、内部控制自我评价的内容
(一)内部控制评价的目标:对企业内部的有效性发表意见
结合企业实际情况,考虑企业内部控制能否对战略目标、经营管理的效率和效果目标、财务报告及相关信息完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现提供合理保证。
(二)内部控制的主体:董事会及其审计委员会
(三)内部控制评价的范围和频率;
1.根据企业所控制的风险的重大性以及内部控制在降低风险中的重要性的不同:
(1)经常评价:应优先考虑的风险的内部控制或降低风险最为重要的控制你,应更经常地进行评价
(2)非经常评价:一般不需要像对具体控制的评估那样频繁地对整个内部控制体系进行评价
2.根据评价范围可分为:
(1)评价:指企业根据内部控制目标,对企业某一建立与实施内部控制的有效性惊醒的评价;
(2)专项评价:指企业在特定时点对特定范围的内部控制的有效性的评价。
(四)内部控制评价的流程: 1.制定内部控制评价方案,明确评价目的、范围和进度安排等内容
2.评价内部控制设计的有效性
3.测试内部控制运行的有效性
4.确认内部控制缺陷
5.出具评价结论,编制评价报告
6.提出适当的措施,改进内部控制缺陷
(五)内部控制评价应当遵循的原则
1.风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
2.一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性
3.公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
4.独立性原则。内部控制评价机构的确定及评价工作的组织事实应当保持相应得独立性。
5.成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。
三、企业为什么要实施内部控制自我评价
(一)企业的内部控制是保证企业正常经营的基础,内部控制的好坏直接关系到一个企业的经营成败。为了提高企业效益,加强管理,减少工作失误,合理的调配各种有益资源,需要我们建立现代科学合理的企业内部控制制度,企业内部控制制度的建立完善与否是现代企业管理水平的标志之一。
(二)是为了防范风险与树立投资者信心。
实施企业内部控制评价符合国际惯例,有助于揭示企业内控重大缺陷,维护投资者利益和资本市场秩序。投资者对投资行为的选择,不仅仅基于财务数据和相关信息,还要基于对公司内部控制系统设计与运行质量的分析,以判断企业的抗风险能力。
(三)推行内部控制评价是企业加强交流沟通,促进信息对称的根本途径。
可强化单位内外对内部控制制度的理解,促进各相关单位或部门之间信息的对称和透明,加强部门之间在授权、不相容职务相分离、独立业务审核、资产和记录的接近限制等具体控制环节的协作和配合,按照成本效益原则优化内部控制结构,并根据各部门沟通反馈的因管理环境或业务性质的改变情况,适时调整、完善内部控制系统,从而保证内部控制的健全有效。
(四)推行内部控制评价是企业改善内部控制,加强内部监督制约的有效手段。内部控制的有效执行,仅靠各部门和相关人员的自主执行是不够的,常常会因为相关部门和相关人员的串通作弊或不作为而失效,因此还需要建立健全监督机制,对内部控制运行质量不断进行评估,即对内部控制设计、运行及修整活动进行评价。通过审查和评价内部控制的健全性和有效性,评价相关部门和人员执行内部控制制度的情况,监督其充分、有效地执行内部控制制度。
四、举例说明内部控制自我评价的必要性
点击咨询 