首頁
排行
完本
足跡

正文 第二章商業銀行內部控製評價(1 / 3)

商業銀行內部控製評價 蔣建華

第一節COSO模式關於商業銀行內部控製評價標準

根據現代內部控製的五個組成要素,COSO委員會對商業銀行內部控製的評價標準也體現在這五個方麵。

一、控製環境

評審人員應根據控製環境的每一要素,判定被檢查單位是否存在積極的控製環境。

1.價值觀

董事會和高級管理層負責在道德和完整性方麵是否高標準地督促員工。重點要檢查以下內容。

(1)是否製定並執行員工行為守則和其他政策;是否規範了業務的操作方法;規定了對違規違法活動的界限,並確立了工作人員的職業道德與精神文明行為的標準;工作人員是否遵紀守法,遵循行為規範和職業道德。

(2)銀行的管理人員是否以高道德水平從事管理活動;是否表裏如一,言行一致,保持管理的連續性;領導者是否讓其他人也這樣做,還是不太注意職業道德問題。

2.激勵機製

(1)在貸款中有無調動員工的積極性的激勵機製;是否給員工過大的壓力去爭取不現實的目標;在多大程度依靠各種物質刺激去實現工作目標。

(2)是否經常從思想上和精神上正確指導工作人員。

3.對工作能力的承諾

(1)有無確定實際工作任務的正式或非正式的說明;是否製定涵蓋各方麵的管理辦法及其實施細則;是否製定各項業務的操作規程;是否及時調整了這些規則。

(2)業務和管理人員是否具備足以完成工作所需要的知識和技能;工作人員的年齡、學曆、職稱和工作經曆能否滿足所負責的業務的需要;他們是否得到了定期的培訓,熟悉崗位的要求,掌握並及時更新了業務知識。

4.管理哲學和經營作風

在商業銀行中建立一種文化,在各級人員中強調和說明內部控製的重要性,使所有人員都理解他們在內控程序中的作用,並在程序中充分發揮他們的作用。一般要檢查以下方麵的內容。

(1)業務和管理人員對所從事的業務風險的態度如何?例如,管理者是否經常從事高風險的操作,還是在接受風險時比較謹慎。

(2)高級管理人員之間以及管理者和經營者之間相互配合如何;磨合之中相互幹擾的頻繁程度如何;是否研究機構的撤並和改組給經營帶來的影響和後果。

(3)對財務報告采取的行動和態度怎樣?包括在財務處理中的爭議。例如,是否采取審慎的而非放任的財會政策,是否違反會計原則,重要的財會信息是否遺漏,財會記錄是否被調整、錯寫或偽造等。

5.組織結構

在確保建立和維護充分和有效的內控係統方麵,董事會負有最終的責任。董事會要確保高級管理層不斷評審內控係統的有效性。要檢查以下方麵的內容。

(1)商業銀行的組織結構是否合理,各組織機構能否提供必要的信息流去管理銀行的活動;是否根據責任分離的原則設置機構或崗位。

(2)是否成立了有關管理委員會,這些機構是否照章辦事。

6.有關授權與責任方麵的製度規定

高級管理層負責執行由董事會批準的戰略和政策,能夠明確各級人員的責任、授權和報告關係;確保所委派的責任能有效地執行;確定適當的內控政策;並監督評審內控係統的充分性和有效性。要檢查以下方麵的內容。

(1)是否遵循授權有限和相互牽製的原則建立了各級崗位責任製;員工能否各負其職,各盡其能;是否充分確定主要管理人員的責任並使他們理解這些責任。

(2)是否明確規定信息管理人員對信息係統的責任和應變的授權。

(3)內部控製程序是否合理;與控製有關的標準是否明確;是否對各級人員有明確的工作說明書。

(4)是否按所負責任去衡量主要管理人員有無充分的知識和經驗。

(5)銀行工作人員的數量是否合理;在數據處理和會計職能方麵,要求人員的能力水平與單位的規模、性質、活動以及與製度複雜性相匹配。

7.人事政策

(1)在招聘、培訓、考核、獎勵、處罰、晉升等方麵是否有明確的政策和程序規定。

(2)對偏離現行的政策和程序是否采取了補救措施,這些措施是否可行。

(3)對候選員工的背景檢查是否充分;特別要在單位采取錄用行動之前檢查候選人是否適合將要做的工作。

(4)員工留任或提升的標準是否充分;搜集這方麵信息的技術水平如何,例如對其工作表現的評價,在執行行為守則或其他行為準則方麵情況檢查得如何。

8.董事會或審計委員會

董事會應當負責批準並定期審查經營戰略和重大政策;理解銀行的經營風險,確定這些風險的可接受水平;在審計部門協助下,保證高級管理層采取必要步驟,識別、衡量、評審和控製風險。重點要檢查:

(1)董事會是否確定了正確的經營政策和戰略,並正確了解主要的風險。

(2)審計部門(包括審計委員會)是否獨立於銀行的經營管理活動之外;是否不受決策層及經營管理部門的幹擾,充分、及時地向上級部門報告銀行經營與管理工作中的缺陷問題。

(3)審計部門是否與財務經理以及外部審計單位的負責人按一定頻率定時開會。

在對銀行控製環境進行評價時,重點評估下列方麵。

(1)銀行的管理層是否有控製意識,並是否向各方充分說明了在內控的完整性方麵不允許和稀泥,高級管理層的內控是否積極。

(2)是否在整個組織中具有控製覺悟或自覺控製的態度。

(3)銀行各個崗位人員的能力是否與他們的責任相匹配。

(4)管理層的經營風格、授權、責任、組織和貸款業務發展的方式是否適當。

二、風險評估

有效的內控係統需要識別和不斷地評估影響銀行實現其目標的,或者有可能對銀行起負影響的風險。這種評估應包括銀行所麵對的全部風險,特別是信貸風險。識別和分析那些妨礙實現經營管理目標的風險的活動,是銀行風險管理決策的前提和依據。在風險管理的政策和戰略製定中,董事會負有最終的責任。

評估人員要集中注意銀行所設立的工作目標、分析風險和處理變化諸方麵的管理程序,包括管理與業務活動之間的聯係以及相關問題。

1.目標

前麵提到的操作性目標、信息性目標和遵從性目標可以分解為銀行工作的整體目標和各項活動的分項目標。全局與局部是對立統一的辯證關係。

(1)整體目標。在整體目標方麵,應當檢查以下方麵。

①有無與總行的發展目標和戰略協調一致的業務規劃或方案。

②各項業務計劃和預算與整體目標、戰略計劃和當前情況有無密切關係。

③銀行的經營與管理是否符合國家的經濟政策、產業政策和金融政策。

④為了確保各業務目標被及時有效地傳達到基層領導和每一位行員,需檢查各級員工對有關目標的理解和熟悉程度。

⑤計劃、授信、風險管理及財會等部門的計劃是否有機結合,體現整合性。

(2)在局部業務活動中,要區別對於全局有決定意義的和不具有決定意義的局部業務活動。要注意那些有關全局的重要關節,即風險控製點。管理者或監督者要把自己注意的重心放在那些對於他所指揮或檢查的全局說來最重要、最有決定意義的問題或環節上。首先應當檢查各項業務活動中的具體目標。

①各項業務及其崗位的目標和計劃是否科學、明確,並切實可行。

②各業務活動目標與銀行整體目標和戰略計劃之間的關係如何。

③各業務活動目標之間的相互聯係是否密切。

④業務活動目標與所有重要的業務程序之間的關係如何。

⑤業務活動目標是否針對直接與其有關單位的具體問題。

⑥與實現各項業務目標相關的資源是否充分。

⑦是否認定了整體目標中至關重要的貸款業務活動目標。

(3)檢查為了實現某一整體目標,各種目標的交叉(或相互支持)、聯係和實現情況。

2.風險

風險是阻礙目標實現的各種問題和因素發生的可能性。

(1)風險識別。包括識別銀行整體水平上的風險和各項業務活動中的風險,包括風險的內部要素和外部要素。應當檢查:

①識別由外部產生的風險的機製是否完善。例如,密切關注國家宏觀經濟政策、國民經濟發展趨勢以及本地區的發展戰略特點,建立識別和分析國家政策及地區經濟變化給銀行經營管理帶來風險的機製;關注國際和國內市場狀況和走勢,就業情況的變化;建立完整的製度和程序,以識別和分析利率和彙率的變動給貸款市場拓展和風險控製帶來的影響;充分認識地方政府和上級領導的幹預所帶來的風險。此外,房地產價值和特定產業與市場的發展趨勢等,都值得注意。

②識別由內部產生的風險機製是否完善。例如,部門內風險監控與報告機製要健全,並督察對信用敞口的承擔能力。商業銀行的信用活動、風險管理技術、對自身產品和客戶的了解與經驗、資產的相對組合情況、其地理上的集中程度、內部控製的力度等因素,都有影響力,也都應當加以關注。

③能否識別每一重要業務活動目標所麵臨的風險。各級部門領導及員工是否熟知各業務流程中的各風險控製點,這就涉及了“經營風險”和“管理風險”。

④能否及時發現由於員工的思想道德及業務素質問題所產生的風險,並重視對員工的法製教育和職業道德教育。特別要防範“欺詐風險”和“內部人風險”。高級管理層中內部人違規甚至違法的情況更值得注意。

(2)風險分析。估量風險的重要性、概率和頻率,以及研究如何管理風險。應該檢查以下內容。

①風險的分析過程是否透徹和恰當?包括估計風險的重要性,估計它們出現的可能性,並決定需要采取的風險管理行動。

②是否建立定期分析評估貸款資產質量的製度,以便管理層能較準確、及時地把握全行的貸款資產質量狀況。

③風險管理的計算機係統能否足以保證目標的實現。

(3)需要不時調整內控,以便恰當地處理任何新的或過去不加控製的風險。對由變化產生的風險管理,包括識別變化所帶來的風險機製和預測風險。

①有無監測貸款風險的預警機製,能預見和識別那些影響貸款整體目標和業務活動目標實現的日常事件和活動,並對這些事件作出反應(通常由負責這些活動的管理者實施,而這些活動又最受變化的影響)。

②是否存在一種機製,可以識別那些能夠對銀行整體工作產生劇烈和廣泛影響的變化(例如宏觀政策的變化和機構或體製的改革等),並對變化作出行動和反應,促使高層管理者注意這些變化。

(4)在對商業銀行的風險評估要素方麵進行審查時,重點要注意以下方麵。

①銀行是否製定了整體目標和各業務活動目標,兩者之間是否銜接好。

②是否識別和評估影響銀行經營與管理目標實現的內部和外部的風險。

③是否已經建立對影響實現目標的能力變化的識別機製。

④各項政策和工作程序是否已按需要進行調整。

三、控製活動

為合理保證銀行經營管理目標的實現,需要指導員工實施管理指令,防範和化解風險,執行各項政策和程序。控製活動應當是銀行日常工作不可分割的一部分。有效的內控係統需要建立適當的控製結構,明確定義銀行經營管理各級別的控製活動。這些活動應當包括高層審查;對不同部門或處室活動進行適當控製和直接管理;實物控製;確定考核指標並檢查遵從情況;對違規經營的跟進檢查;批準和授權製度的執行;查證核實與對賬製度的執行;職責分離等。

管理人員應當為每一重大活動設定目標,並針對與這些目標相關的風險發布控製指令。必須在這個前提下評價控製活動。控製目標可分為三類:操作類(O);信息(如財務)報告類(F);法規遵循類(C)。

1.在風險管理方麵應該檢查以下方麵

(1)銀行經營方麵的控製活動是否與風險評估過程聯係起來,是否恰當地實施了控製?例如,業務活動調整應當與法規、政策的變動相一致性;各項工作應嚴格執行操作程序;定期執行輪崗製度;信息係統要有保密安全措施等。

(2)控製活動能否適當保證管理指令的執行。

(3)對控製活動的評價要針對每一重要的業務活動,包括對計算機信息係統的控製。例如,信息係統的總體控製(如貸款數據庫控製、係統軟件控製、信息攝取的安全性控製和有關應用係統的開發與維護控製等)和信息係統的應用控製,以及對總體控製與應用控製的關係的控製,還有對信息係統開發問題的控製(如新技術的影響、其應用的方法和工具以及開發新技術的控製方法)等。

2.控製活動可采取各種形式

(1)有效的內控係統需要適當分離職責。人員的安排不能有責任衝突,要在員工中劃分職責,以減少錯誤或不當行動的風險。

(2)要識別和盡力解決有潛在利益衝突的問題,並遵從謹慎和獨立的監督評審原則。

(3)高層次地檢查工作的實際情況和工作目標的實現程度。例如:檢查業務的各項政策法規製度的貫徹程度;對工作檢查製度;業務分析製度和目標調整製度的實施情況;部門領導對各業務科室進行定期常規檢查的情況;定期執行輪崗製度的執行情況;風險管理部門對資產分類的準確性的審查情況;信息係統保密安全措施的執行情況等。

(4)管理人員進行直接的管理活動,並審查工作報告。

(5)確定各項工作指標,進行相關分析和調查,並及時采取糾正措施。

(6)按照政策製定實施程序,主動認真地研究完不成工作任務的原因和防止措施。

3.在控製活動要素方麵重點要注意以下方麵

(1)是否通過控製活動確保所製定的政策的執行。

(2)是否采取了行動防範相關的風險。

(3)銀行的每項經營和管理活動是否都有適當的控製活動。

(4)是否有效地分離職責和避免了責任衝突,縮小了潛在的利益衝突。

四、信息與交流

信息與交流存在於所有經營管理活動中,使員工得以搜集和交換為開展經營、從事管理和進行控製等活動所需要的信息,使管理者可以經常評價員工的工作業績。應特別注意以評價監督方式工作,嚴格從會計數據中產生預警信號,保持管理信息的連貫性,確保有關經營目標的實現。

1.信息

一個有效的內控係統需要充分的和全麵的內部財務、經營和遵從性方麵的數據,以及關於外部市場中與決策相關的事件和條件的信息。這些信息應當可靠、及時、可獲,並能以前後一致的形式規範地提供使用。

(1)獲取內、外部信息,並向管理層提供所需要的與設定目標和決策有關的工作報告。

(2)建立完整的檔案管理係統,保證檔案的真實性、完整性和可獲性。

(3)執行定期收集、統計和分析業務數據的製度。各項調查報告應及時和完整,並按程序及時向負責人提供足夠詳細的信息,使他們有效地行使經營管理職責。

(4)根據信息係統戰略計劃的發展修改信息製度,並與銀行的總體戰略相聯係,取得銀行的整體目標和業務活動目標。

(5)管理層對開發必要的信息係統的支持是否是通過承諾適當的資源(人力和資金)來實現的。

2.安全性

有效的內控需要建立可靠的信息係統,並且涵蓋銀行的全部重要活動。這些係統應包括那些以某種電子形式存儲和使用的數據係統,這些係統都必須受到安全保護和獨立的監督評審。對於應當保密的一些數據和重要信息,必須檢查有無保密製度及其執行情況。

3.交流

有效的內控係統需要有效的交流渠道,確保所有員工充分理解和堅持各項政策和程序,行使他們的職責,並確保其他的相關信息傳達到應被傳達到的人員。

(1)銀行內部交流。

①應檢查工作人員在職責和控製責任方麵的交流及其效果。例如:有關的業務文件是否能及時地傳達到相關的部門和人員;上級人員向下屬是否及時傳達有關會議精神;是否所有人員在同一控製係統中了解各自的控製位置,並且各負其責,互相配合。

②檔案資料保管得是否完整和安全。應有符合業務需求的工作記錄和會議記錄;確保統計數據與會計核算數據相一致;認真執行有關信息的保密製度。

③有關人員是否根據調查研究和檔案資料進行定期分析,按報告製度規定及時全麵地向主管或職能部門報告發現的重大問題和解決問題的措施。

④是否為員工設立交流渠道,報告在工作中發現的可疑和不軌行為和事件。

⑤管理層是否虛心接受有關人員關於提高經營效率、質量或其他類似改進辦法的建議。

⑥銀行內部各部門之間交流的充分性,信息的完整性和時效性,以及它可以使人們有效地履行其職責的可能性。

(2)銀行外部的交流。

①執行客戶經理製,檢查為了解客戶需求的改變而與客戶和其他外部單位交流信息的渠道是否暢通和有效。

②通過某種形式調查客戶及其他外單位對各部門工作人員的道德標準了解的程度。

③管理層在接到來自客戶、政府、監管人員及其他外部單位交流的信息後應該及時采取適當的後序行動。

(3)交流的手段和方式應有利於溝通。

在商業銀行的信息與交流要素方麵,應重點檢查以下方麵。

①是否建立了各種信息係統以識別和捕捉各項工作所需要的各種內、外部可靠信息,並及時將信息以一定方式轉達給有關人員去履行他們的責任,有關信息的互相交流渠道是否暢通。

②是否確保了信息係統的安全性和執行了信息的保密製度。

③對每人和每個工作單位的要求是否清楚,關於他們的責任和工作結構的報告是否明確。

④信息是否上傳下達或橫向地在各機構之間以及在單位與其他外部機構之間交流。

五、監督評審

為了糾正內控缺陷,應由經營管理部門對內部控製進行日常管理監督,並由審計監察部門對內部控製進行獨立的再監督與再評價活動。應當不斷地在日常工作中監督評審內控的總體效果。對主要風險的監督評審應當是銀行日常活動的一部分,並且各級經營層和審計人員應當定期予以評價。

為了對內控的持續有效性進行評審,應當考慮進行對內控製度的持續性評審活動和分別單獨的評審活動,或者將兩者相結合。

1.持續性評審檢查

持續性評審應檢查以下方麵:

(1)銀行各部門在開拓市場的同時,是否建立和不斷完善自我檢查製度,明確規定檢查的頻率、時間、範圍和標準。

(2)是否建立定期自我檢查製度。發現問題是否及時要求加以糾正;公司業務部門是否能證實所開展的正常業務活動受到了內控製度的有效製約。

(3)各部門是否高度關注各方麵的信息,並向決策層及有關部門報告相關監督信息;風險管理部門是否定期向決策層提供有關方麵的信息;銀行的客戶是否能通過交流證實銀行內部的信息的準確性,是否可以指出存在的問題。

(4)培訓班、計劃會和其他會議應能向管理層反饋有關控製實施的有效性的信息。

(5)定期要求工作人員說明他們是否理解和執行銀行的行為守則,並定期實施重要的控製活動。

審計部門對銀行經營管理的內控進行獨立的再監督和再評價。審計部門應該按照要求的頻率和範圍對銀行經營管理部門進行有效的審計檢查;被審計單位對外審及內審檢查中指出的問題必須高度重視,作出積極的反應,並及時進行整改。

為了對內控係統進行有效和全麵的審計,審計要獨立進行,審計人員應得到適當的培訓,並配備稱職和得力的人員。內部審計作為內控係統監督評審的一部分,應當向董事會或審計委員會直接報告工作,並向高級管理層直接報告。董事會或審計委員會應當確保審計活動垂直、獨立、科學和有效地進行。

上一章 書頁/目錄 下一頁