首頁
排行
完本
足跡

正文 第二章商業銀行內部控製評價(2 / 3)

商業銀行內部控製評價 蔣建華

審計係統有權對銀行的管理目標和戰略進行評審,對銀行的財務狀況和經營成果以及重要決議和協議的條款進行評審。

2.分別單獨的評審

分別單獨的評審應注意以下方麵。

(1)研究並掌握對銀行內控製度進行單獨評審的範圍和頻率。

(2)進行評審間隔時期的合理性。

(3)評審方法要合乎邏輯和合理。

(4)檢查檔案文件的完整性和管理水平。

3.缺陷的報告

不論是經營層或是其他控製人員發現了內控的缺陷,都應當及時地向適當的管理層報告,並使其得到果斷處理。應當把有關資產的內控缺陷報告給高級管理層和董事會。審計報告應如實反映被審計單位對前次審計提出的問題和建議所采取的跟進措施,以及經營管理業務中存在的各種新發現的問題。

在監督評審方麵應重點檢查以下方麵:

(1)是否建立了適當的程序,以便隨時或定期地評價內控的組成部分。

(2)獲取和報告所發現的內控缺陷的機製是否存在,內控的缺陷是否向應被報告者彙報了,審計部門是否向董事會或審計委員會按時充分地報告敏感性信息、調查結果和不軌行為。

(3)有關內控缺陷的報告,包括審計報告書,是否客觀、公正和規範。報告之後的後續行動是否適宜,發現不適宜後審計部門能否督辦。

(4)是否按需要糾正了內控的缺陷,調整了政策和程序。

(5)是否對貸款的經營管理進行了垂直、獨立、科學和有效的審計監督。

第二節巴塞爾委員會關於商業銀行內部控製評價標準

1997年,巴塞爾委員會頒布了《有效銀行監管的核心原則》。其中有兩個原則涉及商業銀行內部控製原則及評價標準,具體表述如下。

原則14:銀行監管者必須確定銀行是否具備與其業務性質及規模相適應的完善的內部控製製度。這應包括對授權和職責分配的明確安排;將銀行承諾、付款和資產與負債賬務處理方麵的職能分離;對上述程序的交叉核對;資產保護;完善、獨立的內部或外部審計,以及檢查上述控製措施和有關法律規章遵守情況的職能。

原則15:銀行監管者必須確定銀行具有完善的政策、做法和程序,其中包括嚴格的“了解你的顧客”的政策,以促進金融部門形成較高的職業道德與專業標準,並防止銀行有意或無意地被罪犯所利用。

《有效銀行監管的核心原則》第四節“持續性銀行監管的安排”在談到“審慎法規與要求的製定與實施”內容時,就銀行內部控製提出了具體的原則或要求:內部控製的目的是確保一家銀行的業務能根據銀行董事會製定的政策以謹慎的方式經營。隻有經過適當的授權方可進行交易;資產得到保護而負債受到控製;會計及其他記錄能提供全麵、準確和及時的信息,而且管理層能夠發現、評估、管理和控製業務的風險。

後來,由於各個國家在執行該原則時,由於各國對該原則的理解不同,評價的標準不同,從而造成評價的結果也不同。對此,巴塞爾委員會又公布了《核心原則評價方法》,對每一條原則製定了必要標準和附加標準,供各國參考。原則14的必要標準和附加標準如下所示。

1.必要標準

(1)公司法或銀行法對董事會在公司治理原則方麵負有的責任作出規定,以確保風險管理的每一個方麵都得到有效控製。

(2)監管機構確信,銀行建立了與其業務性質和規模充分適應的內部控製製度。這些製度由董事會負責,並應包括銀行的組織結構、會計程序、平衡與製約,以及對資產和投資的保護。具體來說,這些製度應覆蓋以下內容。

①組織結構。職責說明,包括明確的授權(例如明確的貸款審批權限)、決策程序和關鍵職能的分離。例如,業務發起、支付、核對、風險管理、會計、審計,以及對各項控製措施和有關法規執行情況的檢查。

②會計程序。對賬、控製清單、向管理層提供信息。

③平衡與製約(或稱“雙人原則”)。不同職責分離、交叉核對、資產雙重控製和雙人簽字。

④對資產和投資的保護:包括實物控製。

(3)為創造一種控製嚴密的環境,監管機構要求銀行董事會和高級管理層了解其業務的潛在風險,並承擔建立控製環境的義務和法律責任。為此,監管機構要對銀行董事會和高級管理層的組成進行評估,確定其是否具備與銀行業務的規模和性質相適應的技能,以及是否有能力解決銀行風險狀況變化和外部市場發展帶來的問題。為達到上述目的,監管機構在法律上有權改變董事會和高級管理層的人員構成。

(4)監管機構確信,銀行對後台、前台/業務發起方麵的各種控製職能進行適當的技能和資源配置。

(5)監管機構確信,銀行具備適當的審計功能,以確保各項政策和程序得到遵守和執行,並檢查現行政策、做法和控製製度是否充分、是否與業務相適應。監管機構確信,銀行的審計部門需要做到以下方麵:

①不受阻礙地接觸銀行的所有業務和輔助部門。

②具有適當的獨立性,包括向董事會報告的渠道;在行內有一定地位,以確保高級管理層對其建議做出反饋和反應。

③擁有充分的資源和經過適當培訓、有相關經驗的工作人員,這些工作人員了解自己所審計的業務,有能力作出評估。

④使用一套能夠識別銀行主要風險的方法,並根據識別情況相應分配審計資源。

(6)監管機構能夠獲得銀行審計部門的報告。

2.附加標準

(1)在實行董事會一會製結構(而不是監事會加管理委員會的兩會製)的國家裏,監管機構要求董事會包括若幹名非執行董事。

(2)監管機構要求銀行的內部審計部門向“審計委員會”報告。

(3)在實行董事會一會製的國家裏,監管機構要求“審計委員會”包括有經驗的非執行董事。

巴塞爾委員會對原則15製定的評價標準如下所示。

1.必要標準

(1)監管機構確信,銀行具備完善的政策、做法和程序,以促進高水準職業道德和專業能力的形成,並防止銀行有意或無意地被罪犯所利用。這包括防範和發現犯罪活動或舞弊行為,並向有關當局報告可疑情況。

(2)監管機構確信,作為反洗錢措施的組成部分,銀行明文規定並執行關於客戶及其代理人認證的各項政策。銀行明確規定關於客戶身份記錄和單項交易記錄的保存內容和保存時限。

(3)監管機構確信,銀行具備正規的程序來識別有潛在嫌疑的交易。這種程序可能包括對大額現金之類存、取款進行額外審批和對非正常交易執行特別程序。

(4)監管機構確信,銀行任命一名高級官員,明確負責保證銀行的各項政策和程序至少要符合所在地法律、法規對反洗錢的要求。

(5)監管機構確信,銀行製定了明確的程序,要求員工向指定負責執行反洗錢規定的高級官員報告可疑交易,這些程序在行內要做到盡人皆知。

(6)監管機構確信,銀行為職員向管理層和內部保衛部門報告問題建立了報告渠道。

(7)除向有關司法部門報告外,為了銀行的安全、穩健和聲譽,銀行還向監管機構報告可疑情況和舞弊事件的材料。

(8)法律、法規和/或銀行的各項政策確保不對據實向指定官員、內部保衛部門或直接向有關當局報告可疑交易的職員追究責任。

(9)監管機構定期檢查銀行的反洗錢控製以及防範、識別和報告舞弊行為的製度是否健全。監管機構有權對不履行反洗錢義務的銀行采取(法律和/或刑事方麵的)必要行動。

(10)監管機構能夠直接或間接與本國和外國金融部門監管當局就可疑或事實上的犯罪活動交流信息。

(11)監管機構確信,銀行對職業道德和專業行為準則有正式的政策聲明,並清楚地傳達到所有職員。

2.附加標準

(1)法律和/或法規包含國際良好做法,例如,符合1990年發布(1996年修訂)的金融行動小組40條建議。

(2)監管機構確信,銀行職員在發現和防範洗錢活動方麵接受了良好訓練。

(3)監管機構在法律上有義務向有關司法部門通報可疑交易。

(4)監管機構能夠直接或間接地與有關司法當局就涉嫌或事實上的犯罪活動互通信息。

強調內部控製是國際金融界的一個潮流,而對我國金融業實際來說,則更是一個迫切和嚴峻的現實問題。

第三節國際商業銀行內部控製評價方法

對商業銀行內部控製的評價,按國際上通行的做法,可歸納為兩類:一是靜態評估和動態評估;二是定性評價和定量評價,以定量評價為主。隻有把靜態評估和動態評估、定性評價和定量評價相互結合起來評估才是完善的。

一、靜態評估和動態評估

這兩種評價方法,分別有一種相對應的檢查評價辦法,即內控健全程度測試法和內控效果評估法。

1.商業銀行內部控製健全程度測試法

內控健全程度測試法主要通過內控問卷、內控調查、詢問、核對、測試等非定性手段,來達到檢查評價目的。按照內部控製內含的評價內容,檢查評價需集中於以下幾個方麵。

(1)內部控製製度的客觀存在性。即商業銀行是否建立了各項內部控製製度,內部控製製度的規定和內部控製執行程序是否健全、完善。有關這些製度的分類管理、書麵化形式、傳達的情況等都在檢查的視野之內。

(2)內部控製機製的係統性。銀行業務工作流程是相互交叉銜接的,因此必須在深入研究自身的具體情況和薄弱環節的基礎上製定內控規章製度和內控程序,不能生搬硬套,既避免出現重複控製,又不能出現控製盲點。商業銀行要建立一套較係統的管理製度和業務操作規範,特別是對新型金融業務,管理監控製度要先入為主,不能滯後。同時,對於一些不合時宜或與業務發展變化不相稱的內控規章製度,要通過內部審計監督予以認定,及時向管理層反饋,做出調整、修改或廢止。審計評價人員尤其要注意以下方麵。

第一,內控規章及程序是否與業務發展同步。主要評價一個機構的內控規章是否滯後於業務發展,是否仍繼續援用過去的一些老套規定,如各種不合時宜的硬性指標考核方法。

第二,風險控製係統是否健全。主要看目前各商業銀行以整體風險控製為目標的資產負債比例管理是否仍處於軟約束階段;以局部風險控製為內涵的授權分責管理執行是否嚴格;以具體風險評估及控製為核心的信貸風險管理監控、交易風險管理監控的手段、管理製度和評估方法是否完善,是否與業務發展同步;有無一套切實可行的風險預警係統和應急應變措施等。

第三,是否存在控製盲點。如隨著金融電子化程度的提高,計算機係統工程等高新技術給金融業帶來了許多變革,同時也帶來了很大的風險。有的商業銀行在賬務處理過程中使用計算機弄虛作假掩蓋違規問題,一些不法分子利用計算機管理的漏洞進行金融犯罪,計算機金融數據庫的不完整或失真的係統風險等問題,迫切需要從內部加強係統管理和風險監控。檢查人員要對金融機構是否存在這方麵的控製盲點進行審定。

(3)內控機製的有效性。內部控製不能一般地理解成各種規章製度的製訂、裝訂、彙總,不要認為做了建章立製方麵的工作,就等於建立了內控機製,這是非常片麵的。有一套完整的內部控製製度和規定的內部控製程序非常必要,但它並不足以使內部控製有效。健全的內部控製機製應該確保各項內控製度和程序符合實際,具有可操作性,同時要確保內控製度和程序由稱職的人去執行,並且還要對內控製度或程序的實施、遵從情況進行監督,對內控的有效性進行評估,針對監督檢查出的問題向管理層提出改進意見。多數出問題的商業銀行都有詳細的規章製度,隻不過是沒有落到實處。因此,檢查人員必須注意,僅僅有一套製度是不夠的,關鍵要看執行,看落實。

(4)內部監督獨立性。這實際上是看內部審計部門的工作是否具有權威性。關鍵看內部審計部門是向業務主管負責,還是向高層管理機構如董事會或上一級部門負責,看內部審計部門是否有權獨立行使檢查權、監督權和報告權。

2.商業銀行內部控製效果評估法

該評估法實際上很大程度地依賴定量分析。也就是說,要把對商業銀行內部控製的審計評價與對整個機構的全麵審計結果結合起來考慮。實際上,內控的落腳點是要確保機構達到自身穩健發展的目標,我們對內控的檢查評價,不能脫離了商業銀行的營運狀況而孤立地就內控製度本身下檢查結論,必須要看內部控製的實際效果。在給一個金融機構的內控狀況做結論時,檢查人員至少要考慮以下因素。

(1)業務運營狀況。檢查人員不僅要檢查每一種業務的穩健程度,還要了解每一種業務的運營效果,並進行總體評價。當然,效益指標、損益考核是主要的參考因素,但還要兼顧其他製約因素,如同類金融機構的比較等。量化指標主要可從對被檢查機構的資本金充足性、盈利性、流動性中得出。

(2)機構所承受或麵臨的風險度。主要看信貸資產質量的評價結果、流動性分析、機構麵臨的交易風險,以及機構所承受的其他風險的量化情況。監管應該有一套指標,來衡量商業銀行風險的臨界值或承受度。一般而言,內控越健全,風險控製就越有效。

(3)應變性、合規性、法律訴訟情況。對管理水平的監管評級、遵守金融法規的情況、機構涉及法律訴訟事件等情況也是重要的參考因素。對這部分並不要求一定量化,但監管當局的評級比較、違反法規的次數、頻率、所受處罰的金額、涉案數也是可具體量化的,目的在於與同類金融機構進行比較時參考。

(4)內部審計與外部審計的情況。商業銀行內部審計或外部審計的頻率、範圍、深度、審計結論、審計促改情況等,都是評級機構內控應考慮的重要因素。不僅如此,檢查人員還要比較商業銀行監管報告與內部審計報告、外部審計報告在一些可量化領域的數據出入情況,以此來評定該機構內控的嚴謹性。

有效性判斷一定要借量化分析才能全麵或準確,所以說,靜態法和動態法是互為依存、互為補充的關係,因為,在對內部控製的有效性進行評價時,同時使用了動態分析和靜態分析法。

二、定性評價和定量評價

按國際上通行的標準,商業銀行內部控製製度評價還包括定性評價和定量評價方法,以定性評價為主體,兩種評價分別運用不同的方法,兩者的結合構成對內部控製製度審計的整體評價。定性評價一般分為三個步驟,即健全性評價、符合性評價和功能性評價,每一個步驟都有不同的評價方法。

1.健全性評價

健全性評價是測試商業銀行內部控製製度的客觀存在性和全麵係統性,即測試商業銀行既定的製度規定對風險的控製是否健全以及各項業務過程的控製環節是否完整。測試分兩個階段:第一階段的任務是了解並描述內部控製製度,這是進行評價前的準備工作。第二階段是進行具體的評價,通過對各項業務控製點進行檢查,與製度中應有的控製點進行對照比較,來衡量和判斷製度的健全性。主要方法有以下三種。

(1)理想模式評價法。這種方法是審計人員運用職業判斷能力評價被審計單位內部控製製度的健全程度。首先,審計人員根據有關的方針、政策、法規、財經紀律、商業銀行的規章製度、操作規程、內部控製的原理及審計人員的實踐經驗,設計出一種能夠產生真實結果的、規範化的理想控製模式。然後,將被審計單位的內部控製製度與審計人員認為的理想控製模式進行比較,從而對被審計單位內部控製製度的健全性進行評價。

(2)概率模式評價法。評價內部控製製度的健全性,不僅取決於製度設計上的合理性與嚴密性,還要受檢查評價製度的審計人員的業務水平及審計程序是否科學的影響。在評價中將上述兩項因素的影響概率考慮進去,利用概率論中的方法來計算並評價內部控製製度設計的合理性,這一方法通常稱為概率模式評價法。

(3)行為科學評價法。內部控製製度是由人設計出來,所以內部控製製度的性質和形式會受到這些製度設計者行為觀點的影響。因此,評價內部控製製度的可靠性,應首先考慮這些製度設計者的可靠性,隻有對設計者的各種動機和目的了解清楚以後,才可能對他設計的內部控製製度的可靠性作出恰當的評估。這種方法是利用內部控製製度和行為科學之間的關係進行評價的,故被稱為行為科學評價法。

比較上述三種方法,理想模式評價法使用起來最為方便,這種方法的評估結論準確與否與審計人員的工作經驗和個人素質有很大的關係。如果審計人員實際工作經驗不足,對內部控製製度的有關知識掌握不是很全麵,便不能對被審計單位的內部控製製度作出準確的評價。從表麵上看,概率模式評價法使用的是純數學的計算方法,可信度比較大,但這種方法也要受檢查評價製度的審計人員業務水平,以及審計程序設計是否科學的影響,實際上還是與審計人員的業務知識和業務技能有關,而且這一方法需要用到比較複雜的概率統計方法,因而在實踐中的推廣運用還有待時日。至於行為科學評價法目前尚處於探索之中,離實際運用還有—段距離。因此,在實際工作中,審計人員大多數是用理想模式評價法對審計單位內部控製製度的健全性進行評價。

2.符合性評價

對內部控製製度進行的健全性評價,解決了控製過程中必須具有的控製點是否齊全的問題,然後測試製度所規定的控製點在實際活動中是否已經執行,或是執行中是否適用,即測試是否存在下列情況:控製點雖有規定,卻有章不循;規定的控製點不切合實際,不能執行,這就是對內部控製製度進行“符合性評價”。由於內部控製製度的符合性評價是在健全性評價之後進行的,所以對於那些不健全的內部控製製度,即評價認為被審計單位的內部控製製度有重大缺陷或完全沒有內部控製製度,或雖有內部控製製度但許多規定不切合實際,在實際工作中無法執行的,不可以進行符合性評價。對那些健全的或是存在薄弱環節的控製製度,則需要針對其已有的控製點抽取樣本或逐個加以測試,對於這種測試所取得的證據、發現的問題、主要的情況以及對其是否認真貫徹內部控製製度的評價結論,通常以文字報告來表述,具體的方法有:

(1)流程調查。即按照內部控製的主要流程,對其各個控製點的實際執行情況進行全麵檢查,這種方法又稱為“穿行測試”。通過內部控製製度的流程檢查,可以驗證各項業務是否按規定的程序處理,業務處理程序中規定的各項措施是否真正發揮了控製功能。通過全麵地評價各個控製點的執行情況、發揮的作用、存在的問題及整個控製製度體係的有效性,在此基礎上審計人員給出評價結論。

(2)重點檢查。即針對內部控製中的某些控製點,采取重複驗證、證據檢查、實地觀察等方法,來判斷控製點貫徹執行與發揮作用的程度。控製點的情況不同,采取的方法也不相同。通過對各個主要的或審計人員關心的控製點分別采用不同的方法進行測試,可以對整個控製製度體係的符合性進行評價,需要注意的是,由於采用這種方法時僅檢查部分控製點,因此在進行評價時要考慮樣本的代表性問題。

3.功能性評價

審計部門通過對內部控製製度體係進行符合性評價,證實其控製點是否存在及其貫徹執行的程度,查清各個控製點在業務活動的運行中是否發揮作用。一般來說,內部控製製度的定性評價工作至此已基本完成。但為更深入地查明某些關鍵控製點發揮作用的程度,對係統的有效性進行更深入的了解,從而為審計重點取得更為確切的依據,審計人員還要對一些關鍵控製點進行功能性評價。在西方審計界,功能性評價是作為符合性評價的一個組成部分來進行的。功能性評價的方法通常有兩種:否定驗證法和重點檢查法。

(1)否定驗證法。即根據被審計單位關鍵控製點在實際執行中體現出來的效果來判斷內部控製製度的執行情況。如果執行良好,在—定期間內未發生事故或重大問題,說明被審計單位該業務環節的控製功能強,否則就是失控或者控製功能弱。

(2)重點檢查法。即有重點地對關鍵控製點的執行效果采用實地觀察、重複驗證或者證據檢查等方法加以測試。例如,對現金“審計”這個關鍵控製點,就可實地檢查其實施審計後的日記賬是否經過核對,簽章並保證庫存數量正確,以評價其控製功能發揮狀況。進行定量評價的理由在於,對被審計單位內部控製製度的審計評價,不能脫離其營運情況而孤立地就內部控製製度本身下結論,還必須看內部控製製度執行的實際效果。我們不能想象資產質量好、經營業績佳、管理水平高的銀行未建立健全有效的內控製度,也不能想象內部控製薄弱或失控的銀行同資產質量好、經營業績佳及管理水平高聯係起來。因此,在進行定性評價的同時,還要引入定量評價,即把被審計單位的業務經營和風險狀況,包括資本充足率、流動性、盈利性、效率性、資產質量等內容作為評價指標,納入評價體係之中,主要通過對各項指標分別打分,用實際數據來提供評價結論。

上一頁 書頁/目錄 下一頁