浅论商业银行内部控制构建
作者:郑周燕
美国次贷、欧债危机引发的全球金融危机,已经波及到了实体经济的各个方面,金融机构面临的各类风险也越来越大,巴林银行及世通公司倒闭、安然丑闻、中航油事件引发了全球性内部控制高潮,各国监管机构、理论界和实践界为此进行了大量的探索。本文拟结合国内外内部控制主流发展趋势,探讨我国商业银行内部控制管理和风险控制的构建。
一、商业银行内部控制理论发展与定义 (一)国际上内部控制理论发展
1949 年, 美国注册会计师协会( AICPA )《内部控制》报告首次提出内部控制的定义。1958 年该委员会将内部控制分为内部会计控制和内部管理控制,也是“制度二分法”的由来。进入20 世纪80 年代以来, 内部控制的理论研究又有了新的发展,1992 年, 美国COSO提出《内部控制整体框架》,首次把内部控制从原来的平面结构发展为立体框架模式,由五要素组成,得到国际上广泛认可。1998 年9 月, 巴塞尔协会公布《银行组织内部控制系统框架》,系统地提出了评价商业银行内部控制体系的13项指导原则,成为商业银行内部控制研究的历史性突破。2002年7月,美国出台萨班斯法案,对财务报告的程序产生了十分重大的影响,也极大地影响和促进了中国内部控制制度体系的发展。
(二)中国内部控制理论发展
受国际及经济形势的影响,萨班斯法案后,中国高密度出台内部控制法规: (1)2005年7月15日,由财政部发起成立的“企业内部控制标准委员会”。 (2)2005年10月,中国证监会出台《关于提高上市公司质量意见》。 (3)2006年5月17日,中国证券监督管理委员会发布第32号令——《首次公开发行股票并上市管理办法》。
(4)2006年6月5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。
(5)2006年6月6日,国务院国资委也发布了“关于印发《中央企业全面风险管理指引》的通知”。
(6)2006年7月15日,发起成立了“企业内部控制标准委员会”;中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
(7)2007年7月,中国人民银行颁布《商业银行内部控制指引》。 (8)2008年6月28日,财政部、证监会、审计署、银监会、保监会联合正式发布《企业内部控制基本规范》。
(三)现行商业银行内部控制定义及目标
根据《商业银行内部控制指引》的定义:商业银行内部控制是为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部控制由内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素构成,内部控制基本规范的体系基础仍是COSO的内部控制框架。
同时明确了商商业银行内部控制的目标:一是确保国家法律规定和商业银行内部规章制度的贯彻执行;二是确保商业银行发展战略和经营目标的全面实施和充分实现;三是确保风险管理体系的有效性;四是确保业务记录、财务信息和其他管理信息的及时、真实和完整。
商业银行内部控制制度科学界定了内部控制的内涵,强调内部控制是企业全员实施,树立全面、全员、全过程控制的理念;准确定位内部控制的目标,要求企业保证经营管理合法合规安全基础上促进企业实现发展战略;统筹构建了内部控制的五个要素;开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制。
二、我国商业银行内部控制构成主要缺陷 (一)公司治理结构导致的架构缺陷
目前我国商业银行公司治理结构的不健全,主要体现在内部机构职责分工不够清晰,权责配比不紧密,相应的激励约束不到位,内部治理通道不顺畅。如商业银行高管大部分由政府委派,行政与经营职责混在一起,“内部人控制”现象仍然比较突出,监事会、经营者、普通员工等积极性的“全员参与”思想不足。同时,由于大部分仍存在执行权和监督权集于一身现象,外部董事作用微小,董事会独立性不强,内外部监督效果较弱。 (二)内部控制的能力不足
内部控制是一定的组织发展到一定管理水平的要求,包括:技术状况、管理水平、人员素质、组织文化、经营规模以及运营效率等,它们必须要达到一定的程度才会有效。我国商业银行技术水平、人员素质、文化理念还不能满足高速发展的金融市场的需要,内部控制能力与业务发展存在一定的脱节。
(三)内部控制模式建设不完善
内部控制核心是构建一个有效的控制模式。商业银行传统的内部控制缺乏整体的控制思想和控制框架,过多地强调结果,过度重视内部控制目标的分解以及控制结果的考核与奖惩,不注重内部控制的环境建设和过程建设,促进了内部控制人员舞弊的动机与行为。同时,缺乏长期控制目标,在利益驱动下,往往会激发短期效益,内部控制长期控制目标失效。
(四)管理层内部控制观念存在偏差
大部分管理层对内部控制认识不存面,认为内部控制是监督部门的事,或者就是规章制度的汇总,忽视了内部控制是一种业务运作过程中环环相扣、监督制约的动态机制。反映在经营管理过程中往往忽略了内部控制,或者产生就制度抓落实、就问题补漏洞思维模式,违背了内部控制的特点,导致风险隐患的产生,也给内部控制管理带来不利影响。
(五)内部控制的测试与评价系统不完备
按照内部控制的要求,商业银行必须要及时进行内部控制的健全性测试、符合性测试、实质性测试以及综合评价,根据测试的结果采取相应的策略,以提高内部控制系统的有效性。由于我国商业银行现行的内部控制采用获取现成内容的方式进行测试,测试手段单一,没有采取综合手段测试,在很大程度上存在忽视或缺乏全面内部控制的测试评价系统的现象,使得商业银行现有的内部控制系统低效或流于形式。
三、商业银行内部控制重构
我国商业银行的内部控制系统必须克服原有内部控制制度所存在的种种弊端,借鉴国外内部控制的先进经验,构建我国商业银行操作风险内部控制体系。
(一) 完善企业公司治理控制。
企业公司治理是企业内部控制的基础,也是企业内部控制实施的动力来源。企业完善内部控制建设时,应当与公司治理完善结合起来,提高董事会和管理层在内部控制建设中的责任,改善企业内部控制的控制环境,强化内部控制机制。在法人治理不完善的阶段,有必要充分发挥股东代表功能,加强对企业的内部控制的监督和指导。
(二)构建协调的内部控制文化
塑造商业银行的文化并影响其员工的内部控制思想。确定内部控制环境建设的主要内容包括:诚信机制与道德价值观、员工能力的培养、领导机制与风格、经营方式与组织机构、责任与授权等,形成商业银行风险控制的良性内部控制环境。
(三)完善目标管理
建立以风险控制为导向和长期稳健发展的内部控制目标,一是建立评估风险、修正标准和应对风险的控制模式,将风险应对策略应用于内部控制过程,以最大限度地减少内部控制风险。二是实行过程控制管理,以环境建设为起点,以控制过程为核心,制定控制标准、设置控制系统、执行控制系统以及必要的结果检查,以保证控制系统的有效性。 三是建立长期的控制目标,结合考核系统,激励长期稳健的经营管理行为,杜绝短期行为发生。
(四)加强信息沟通
建立便捷有效的信息沟通渠道,加强商业银行内部控制的内部信息与外部信息,通过信息的传递、接收、整理与使用协调控制过程的各种矛盾,减少内部控制中的各种摩擦以减少因缺乏沟通而产生的风险。同时,加强内部控制部门及人员之间的沟通,同时把每一个要素或过程的实施效果信息反馈到前一个要素或过程,以提高内部控制模式运行的有效性。
(五)建立持续监督控制机制
持续监督是对内部控制活动的过程实施的不间断的监督,属于过程监督,也是一个动态的过程,是促进内部控制有效运行的重要保障。商业银行内部审计部门应通过引进专业人才、加强职业培训、强化激励约束机制等措施,全面提升内部审计队伍整体素质;在努力实现内部控制评价工作日常化的同时,要加大非现场手段的应用力度和科技支持力度,健全测试与评价系统,增
强评价工作的可操作性和全面性,提高评价工作的效率,提高商业银行内部控制的有效性。 参考文献:
1、2006年7月,宋良荣,《商业银行内部控制》,立信会计出版社 2、2007年,中国人民银行,《商业银行内部控制指引》
3、2008年,财政部、证监会、审计署、银监会 保监会,《企业内部控制基本规范》
4、2009年3月,内部控制框架课题组,《国有企业内部控制框架》,机械工业出版社