商业银行内部控制自我评估工作的探索与实践
中国工商银行内审上海分局 内控自我评估课题研究组
内容摘要20##年上海证券交易所和深圳证券交易所分别提出纳入公司治理板块的上市公司必须在年报披露的同时公布企业内部控制自我评报告,自此内部控制自我评估成为上市公司完善公司治理、加强内部控制的一项重要工作内容和研究课题。本文通过解析内部控制自我评估的基本理论及其在国内外商业银行的运用情况,在总结研究工商银行内部控制自我评估主要实践的基础上,就如何进一步完善我国商业银行的内部控制自我评估工作,从健全内部控制评估治理结构、共享检查监督信息资源、倡导内控评估氛围、提高内控评估质量和打造专家团队等方面进行了探索与思考。
[关键词]内部控制自我评估 银行内部审计
工商银行20##年起在业内率先开展内部控制自我评估工作。二年来,秉承“国际标准本土化、本土做法标准化”的理念,工商银行认真研究CSA的理论知识和方法,积极借鉴国外商业银行的成功经验,逐步建立起自己的内部控制评估标准体系,规范了内部控制评估的范围和方法,取得了重要成果。实践表明,商业银行开展内部控制自我评估工作,有利于全面、客观地评价银行的内部控制和风险管理现状,发现和揭示存在的缺陷和不足,有效地促进银行不断完善公司治理能力,提升风险管理水平,实现组织战略目标。
一、
一、内部控制自我评估的概念及其在国内外商业银行中的应用
内部控制自我评估(简称CSA)是企业内部风险控制的一种方法,它处于内部控制发展的前沿。自20世纪80年代起源至今,CSA独特定义和突出过程化、注重互动性、强调“自我”的特点被国内外诸多金融机构、商业银行所接受。随着应用的普及和各国的监管立法要求的差异,国内外银行对CSA的应用呈现出不同的形式和特点。
(一)CSA的概念、特点和方法
1、IIA对CSA下的最新定义
CSA是帮助组织实现目标的方法之一。国际内部审计师协会(简称IIA)对CSA的最新正式定义为:CSA是一种过程,它是检查和评估内部控制有效性的过程,实施CSA的目的是对商业目标的可实现性提供合理的保证。
2、CSA的特点
首先CSA是一个过程,从本质上看,CSA是一个动态的有机过程,它能够帮助公司探测到他们所面临的风险,适时监测处理风险的内控制度,评价或评估内控制度的适当性。它是对一段时期内组织内部控制的有效性进行检查和评估,而非企业财务报表那样只对某一时点的状况进行展示与评估。
其次CSA注重互动,所谓的“互动”是指被评估方与评估方都积极地加入这一检查-评估-改进的过程。通过CSA,内部审计人员帮助公司各部门参与作业的人员熟悉到内部控制不只是内部审计工作的责任,也不仅仅是高级治理层应关心的问题,相反,应该把它看作是组织中所有成员的事。
再次CSA强调“自我”,更注重于风险参与者、责任人对控制的评估。具体来说是要求管理层和/或工作团队(非内部审计师)评估内部控制。既从事具体工作的人员参与到对风险和内部控制的评估工作中。不仅仅是形式上的参与评估,而且将评估控制的具体工作交给他们来做。
3、CSA的方法。
CSA运用的主要方法和手段是专题讨论会、调查问卷法和管理层分析法。这些方法都强调了一线员工和管理层的参与作用,转变了内部审计师作为主导者的地位。
专题讨论会:CSA引导者把管理者和相关人员召集起来引导大家就控制、程序、风险、目标等特定问题或过程进行面对面的交流与讨论;通过识别风险点和控制措施,进而评估控制程序的完整性、严密性和有效性,并提出完善和创新意见。
问卷调查法:利用问卷工具使得受访者只要做出简单的“是/否”或“有/无”的反应,CSA引导者则利用调查结果来评价他们的内部控制结构。
管理层分析法:这种类型的自我评估的性质和形式是多样化的。CSA引导者和管理者联合就某一专题的经营过程和结果以及收集到的信息加以综合分析,总结经验、吸取教训、找出内部控制的薄弱环节,使内控程序设计者加以改进和完善。
(二)国外商业银行对CSA的应用
1、立法引导运用CSA。自1987年加拿大海湾公司(Gulf Canade Resources Ltd.)首次提出CSA后,20世纪80年代末期美国纽约、田纳西州和德州州政府开始立法实行CSA,这三州的审计及会计部门以问卷及管理导向分析的方法执行CSA。1992年COSO报告公布之后,CSA进入了主要的发展阶段。加拿大、英国等世界各国纷纷引进CSA制度并立法要求企业执行,规定董事对公司的内部控制负责并陈述公司自我评估内部控制的结果。
2、建立自我评估程序(CSA)。摩根大通银行、汇丰和荷兰商业银行等在风险管理体系中,建立了一套自我评估程序(简称CSA)。由高层管理人员组成的监管委员会亲自负责制定监管政策和审批评估程序架构。在CSA体系建立实施过程中,运用设计风险评估问题清单、逐级讨论、自我评估、风险报告、后续改进的五步工作法,由下至上地逐级讨论评估。同时银行通过强调CSA的重要性和专门的公司培训,成功地推行电子化解决方案并确定了不同管理层的报告、图表和评估工作种类。
(三)国内主要商业银行实施CSA的情况
近年来,我国许多商业银行先后实施了内控自我评估。随着我国一系列的内控监管指引的出台和制度的不断完善,上市商业银行的内控自我评估工作得到了进一步的发展和完善。
1、法规推动CSA运用。20##年5月,财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,规定自20##年7月1日起要对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,同时鼓励非上市的其他大中型企业执行。该制度的实施将极大地推动我国企业内部控制自我评估工作的开展。
2、上交所规范内控披露报告格式。20##年1月,上海证券交易所发布《20##年年度报告工作备忘录第一号》,鼓励部分上市公司[1]在披露20##年度年报的同时披露公司内部控制的自我评估报告,并规范和统一了内控报告的编制格式。截至4月底,已有多家上市商业银行按披露格式要求正式对外披露了内控自我评估报告。
3、商业银行根据自身状况进行CSA。通过分析解读工商银行、中国银行、建设银行、交通银行四家国内主要商业银行的内控报告,从中看出目前国内商业银行均采取与传统审计方法相似的评估/审计方法开展内部控制评估工作,即由内部审计部门、内控合规部门或承担审计工作的专业部门开展全面/局部的审计活动,并结合专项审计和年度评估项目对评价内部控制的有效性做出评价,出具内部控制评估报告。当然,由于不同银行的机构文化、雇员得到授权的程度、主流管理风格、制订战略和政策方式不同,因此内控自我评估采用的方法和过程也有所差异。可见,内控自我评估的过程应该是一个量体裁衣的过程,在适应每个机构的独特特征的同时,必须灵活机动,能随着机构的持续发展不断发生变化。
二、
二、工商银行内部控制自我评估工作的实践
工商银行20##年开始着手搭建和实施内部控制评估体系。经过二年多的实践,评估范围已扩大到整个工商银行集团,评估内容逐步完善和全面,评估原则、评估标准、评估方法等渐成体系。工商银行也成为业内首家对外披露内控评估报告的上市商业银行。
(一)确立体现最新监管要求的内控评估原则
根据商业银行内控自我评估工作实践,结合《企业内部控制基本规范》最新的金融监管要求,工商银行开展内控自我评估主要遵循以下五个原则,即全面性、重要性、制衡性、适应性、成本效益原则。
1、全面性原则
商业银行内部控制贯穿银行经营管理决策、执行和监督全过程,覆盖银行及其所属单位的各种业务和事项。工商银行的内控自我评估着重引领评估人员从控制环境、风险评估、控制活动、信息与沟通、内部监督等五个方面对银行境内外各级机构、全部产品和服务实施评估。
2、重要性原则
内控自我评估在全面控制的基础上,将关注重点放在对工商银行经营目标和战略目标有影响的高风险领域和重要业务事项上。对境内机构,重点关注其经营转型能力、市场竞争能力和发展创新能力的变化情况;对境外机构,关注老机构的经营转型和新机构的经营定位,关注各机构的风险控制和可持续发展。
3、制衡性原则
内控自我评估关注公司治理结构、机构设置、权责分配等方面的制衡因素,如控制点和控制环节的设置是否合理,控制职能的划分是否清楚,员工分工和牵制是否恰当等,在兼顾运营效率的同时评估其制衡效果。
4、适应性原则
内控自我评估将工商银行内部控制与其经营规模、业务范围、竞争状况和风险水平等相联系,对各级机构、全部产品和服务按照不同的内容和标准实施评估,并随着情况的变化及时加以调整,体系必须始终处于一个不断完善和维护的过程之中。
5、成本效益原则
内控自我评估要权衡内部控制的实施成本与预期效益,以适当的成本实现有效控制作为评估标准,既要消除内部控制体系“控制不足”的问题,也不允许其存在“控制过度”问题。内控自我评估的关注点逐步从审计视角向管理视角、从审计方法向管理方法、从财务报告导向向价值创造导向转变,使整个评估具有创新性和前瞻性。
(二)科学构建内控评估标准体系
工商银行将内控评估标准体系分为评估标准和业务标准二类,二者相辅相成,共同构成一个全面的标准体系。
1、评估标准
评估标准是在评估人员在集团内部开展内部控制自我评估工作时的统一尺度,按照内部控制的全面性、重要性、制衡性、适应性和成本效益原则制定,可分为缺陷认定标准和结论评价标准二类。缺陷认定标准是对评估过程中发现的内部控制缺陷予以确认定性的标准,如缺陷按类型[2]可分为设计缺陷和运行缺陷二类;按等级[3]可分为一般缺陷、重要缺陷、重大缺陷、实质性漏洞四类。结论评价标准[4]是对根据评估缺陷对一个机构的内部控制进行最终确认的标准,分为有效、须改进和无效三类。对于各类标准的分类如图所示:
内控评估师应综合发现的不同内部控制缺陷形成内控自我评估结论。如果出现实质性漏洞,管理层就不能在年度报告中声称与财务报告有关的内部控制是有效的。同时,工商银行对内部控制缺陷整改情况开展持续跟踪,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。
2、业务标准
业务标准是衡量工商银行所有业务的统一尺度,涵盖了集团内部公司治理、业务流程及信息科技三个层面的基本风险点与控制点,且根据业务发展情况进行定期调整和更新,基本涵盖了商业银行经营管理的各个关键控制领域,覆盖了主要业务线和产品单元及面临的各类主要风险和控制措施,成为评估人员评价业务合规与否的标准尺度,并为开展持续的内部控制自我评估、加强风险管理和满足监管要求发挥长期作用。
(三)合理界定内控评估范围
商业银行内控自我评估的范围、方式、程序和频率可以根据本行经营业务调整、环境变化、业务发展状态和实际风险水平等自行确定[5],并在条件允许的情况下,评估工作应在境内外机构全面展开。20##年,工商银行从集团角度出发,把全行内控自我评估工作区分为银行和非银行两大类,公司、流程和IT三个层面,其中:公司层面包括18个控制领域,84个子领域;流程层面包括银行类8条业务线、非银行类3条业务线,27个一级流程,145个二级流程;IT层面包括公司、一般控制及应用控制三个领域、27个子领域。评估范围基本涵盖了本行经营管理的各个关键控制领域,覆盖了本行主要的业务线和产品单元及面临的各类主要风险。
(四)创新运用多种内控评估方法
1、采用价值导向评估方法
工商银行的内控自我评估采用价值导向评估方法,此方法汲取了COSO《内部控制整体框架》和《企业风险管理框架》的内涵,结合了国内外监管机构的要求和领先实务,在评估过程中遵循价值创造理念,以价值链为主要脉络,将商业银行的所有业务、管理活动与企业的经营和战略目标联系起来,以此来评估内部控制活动的有效性。以价值链为核心的评估方法可以通过分析银行各项管理活动及业务环节固有风险和剩余风险的变化情况,评估内部控制活动在其中发挥的作用和有效程度,进而分析整个银行的风险状况和内部控制状况。这种基于“价值创造”理念的分析方法也能将不同的评估对象(部门、产品、业务环节、管理、风险)围绕一个核心统一起来,同时也提供了将不同层级不同专业的内部控制评估结果融合的渠道。
2、运用多种自我评估工具
评估工作采用了穿行测试和控制测试的方法来检验全行业务制度的设计完善程度和制度执行力。同时,工商银行还自行开发并采用了风险控制矩阵(RCM)、内部控制评估系统(ICAS)和风险评估系统(RAS)等不同的评估工具,为持续开展评估工作创造了条件。RCM是国际上普遍使用的风险管理工具之一,为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。它清晰的说明了各个业务流程的风险状况、风险种类、风险水平、风险产生的原因、风险影响、风险反馈等,也为监管者制定更为有效的监管措施提供了参考。ICAS是我行专为内部控制自我评估工作设计研发的系统平台,在评估工作中能够通过系统实现审计底稿的标准化,整合项目过程中产生的所有文档,加速底稿的流转速度,实现项目的标准化,提高评估的工作效率。同时,该系统规范了内控评价项目管理的流程,为实现计算机联网管理和专家支持提供了管理工具和系统平台。风险评估系统(RAS)在确定评估对象、评估业务重点、评定各项业务的风险等级等方面提供了技术支持。
3、创新内控评估组织模式
在组织方式上,工商银行采用多个前台实施现场操作一个后台集中管理的前后台管理模式。这种管理模式与工商银行庞大的组织规模,广袤的地域分布、多层级的机构设置特点相适应,能有效地解决审计部门在短期内开展大规模评估工作的实际需要。其中,前台分为二级,由内部审计局各个审计师负责现场评估工作,审计经理和主评估人负责业务复核和指导工作。后台由专家小组和后台支持小组组成,负责实时监督、集中指导、项目协调、系统支持、业务支持和技术支持等。
(五)率先设立分层面的评估内容
内控自我评估的具体内容针对工商银行的具体经营和管理活动展开,划分为三个层面,即公司治理层面、业务流程层面、信息科技层面。每一个层面均有相对统一的工作底稿、操作标准和工作指南,在方便评估人员开展评估的同时保证评估工作的标准化和规范化。
1、公司治理层面
公司治理层面的内控自我评估可分为公司治理结构、管理层基调与态度、公司政策与流程、投资策略与管理、财务报告与信息披露、反舞弊程序等多个关键控制领域,这些内容主要根据COSO、PCAOB和SOX404产生,同时吸收了国内各项监管要求[6]和国际领先实务[7]。在公司治理层面内部控制的评估过程中识别的控制缺陷往往会对公司的内部控制有效性和财务报告可靠性的整体评估产生普遍和重大影响。开展公司治理层面评估时,可以以总行部室、一级分行(境内、境外)的业务经营和管理部门为主要切入点,通过调阅资料、访谈和内部调查问卷的方式开展评估,同时,参考引用流程评估过程中发现的制度设计缺陷和制度执行缺陷问题。
2、业务流程层面
流程层面内控自我评估主要针对银行各类具体的业务线和产品展开,包括信贷、存款、票据融资、银行卡、电子银行、对公中间业务、贸易融资、金融市场、资产负债等业务产品。由于银行的各项业务信息化程度较高,在开展业务层面评估时可以同时评估信息科技层面的应用程序控制内容。开展流程控制层面评估时,以价值链流程为主要切入点,对各业务流程前、中、后台等各个环节的风险点进行测试。通过调阅资料、访谈、穿行测试、控制测试等方式开展评估工作。评估时可以参考引用公司层面评估中发现的制度设计缺陷和制度执行缺陷问题。
3、信息科技层面
商业银行几乎所有的业务发展均离不开信息系统和技术的支持,因此开展对商业银行信息系统的控制和评估显得特别重要。信息科技层面的内控自我评估主要根据COBIT产生,可以分为IT公司层面、IT一般控制及IT应用程序控制。其中,IT公司层面的评估内容可以参照公司层面的评估内容;IT一般控制层面的评估包括信息系统开发与程序变更、逻辑访问与物理安全控制、运行安全管理与业务连续性计划。IT应用控制的评估包括系统录入控制、配置控制、登陆权限/岗位分离、计算机计算、自动系统接口/对账例行程序等。信息科技层面的评估以业务和系统为主要切入点,结合公司治理和流程控制二个层面的评估工作展开。
(六)统一实施标准化的实施步骤
依据内控自我评估的原则、标准、范围、方法,工商银行内控自我评估工作分七个步骤实施:
1、梳理和评估风险
根据内控自我评估目标和对象,梳理主要的业务流程,明确相关的风险点和控制点,确定评估的重要领域并开展风险评估工作。这个过程中需要评估人员和被评估行的业务人员和管理人员的共同参与,评估人员根据业务人员识别和提供的业务风险信息对业务流程进行梳理和补充,经审核后对业务流程进行及时调整。
2、测试和记录相应的控制
开展现场测试工作,识别和记录相应的控制测试结果。评估人员根据规范化的测试底稿模板,对不同的评估对象采用相同的评估方法,同时对三个层面的业务开展评估工作,测试工作需要被评估行的业务人员配合,此项测试工作采取的方法可为调查问卷、访谈、穿行测试和控制测试等。
3、评估制度设计的有效性
在对制度设计的有效性进行评估时,评估人员应具体对制度及IT系统设计、管理流程等有效性做出评估。如果发现由于制度设计本身不完善而导致控制失效,则将此类问题归结为“制度设计无效”,可以直接作为审计结论写入评估报告。
4、评估制度执行的有效性
在制度设计有效的前提下,评估人员可以对制度执行的有效性做出评估。在这个制度执行评估环节,通常采用抽样技术作为评估的辅助手段,采用定性指标和定量指标,结合问题所属的性质、风险的高中低程度和问题出现的频率进行归类和定性。抽样标准由总局根据国际通行的标准统一设定,分局严格按规定实施。
5、归纳与汇总内控缺陷
评估例外产生后,需要经过被评估行业务人员的确认,通过业务人员确认后的评估例外才可以正式归纳为评估缺陷,并以分行为单位进行逐级汇总。在工商银行的评估实践中,目前采取三级汇总的方式,所有缺陷的数据统计和分析均通过ICAS系统进行。
6、形成总体评估结论
工商银行内控自我评估结论由三个方面组成:一是总体评估结论;二是对各个分支机构的评估结论;三是对各个产品、各个流程、各个IT系统的评估结论。评估结论可分为合格、需改进、不合格三类。针对需改进的,可以提出整改方案来加强控制以使其达到合格。同样,评估结论形成后,需要与被评估行的管理层进行充分沟通,告知发现的主要评估缺陷,帮助评估行了解业务控制现状和风险状况,从而促进其主动开展缺陷整改工作。
7、跟踪缺陷整改进程
评估人员根据总体内部控制评估结果和评估缺陷,结合工商银行自身业务实际、整改难度以及风险水平,提出具体的整改建议。被评估行对缺陷可以采取二种整改方式,一是在评估现场,被评估行可以对评估例外进行查实和说明,在充分沟通的基础上,对确属缺陷且能当场整改的进行实时整改;二是如果在资源配置和管理上存在一定难度,可以采用制定整改计划、确定整改步骤和时间的方式。评估人员在结束现场评估工作后,要对内控缺陷的整改情况和建议的实施情况进行持续的跟踪分析。
(七)实践效果
工商银行内部控制自我评估工作开展时间不长,但实施过程中,坚持“借鉴-实践-完善-再实践”、分层次推进的原则,经过不懈努力,形成了较为完整的内部控制自我评估体系并付诸工作实践,取得了较好的成果,得到本行高管层充分肯定。工商银行经过不断摸索确立的内部控制自我评估方法及其科学实用的工作系统和模板,已经引起业界同行的广泛兴趣和借鉴,也受到国际知名咨询公司的关注和好评。
作为先行者,工商银行内部控制自我评估的工作实践,为商业银行内部控制自我评估工作的深化和完善作出了有益的探索。
三、
三、完善商业银行内部控制自我评估工作的思考
商业银行内部控制自我评估工作是一项长期性、持续性的工作,需要不断的完善和提高。根据国家五部委联合制定的《企业内部控制基本规范》要求,结合当前国外先进的内部控制评估方法和工商银行的工作实际,我们认为,完善商业银行内部控制自我评估工作,应着重推进内部控制的评估体系、实施架构、风险评估、支持系统、评估方法、工作氛围、评估团队的改进和提高。
(一)建立健全董事会授权委托下的内部控制自我评估体系
商业银行应明确内部审计部门受董事会和下设的审计委员会授权,组建包括风险管理职能部门在内的全行各部门和业务单位的在内的内部控制自我评估体系。评估体系要对内部控制缺陷的定义、评判标准、报告路线、报告内容等做出规范,明确治理各方(董事会、高管层、内部审计、内控合规、各业务部门等)在内部控制自我评估中的责任、义务、配合、分工以及内部审计开展内部控制自我评估的程序、时间、方法等等。
内部审计部门应开展每年至少一次的全局性内部控制自我评估活动。按照“持续改进、动态调整、辐射深入”的审计思路,持续、独立地测试和评估控制环境、制度设计、控制程序的有效性,逐年丰富细化内控评估内容,覆盖至所有机构、业务、系统;同时向董事会、管理层报告全行和各经营领域风险控制持续改进的情况、存在的缺陷以及改进建议。
(二)整合全行的信息资源,完善内部控制自我评估工作的实施架构
完善商业银行内部控制自我评估实施架构,首先,应明确在内部控制评估中管理层、评估部门、员工等不同参与者的角色定位和职责分工;其次,各参与者之间要分块、分内容、分层次整合信息资源,明确前后台的工作职责,完善内控治理过程,提高内控评估质量;再次,要充分利用全行各专业部门、内控部门已有的检查成果和审计资源,形成合力,持续完善、整合现有的内控评价全套标准、风险指标、评估方法、评估系统和模型,真正发挥全行内部控制过程中专业部门、内控、内审这三道防线的作用;最后,内部控制自我评估成果应及时与管理层充分沟通和交流,使管理层能充分利用审计部门的评估成果来不断优化全行的内部控制,实现成果的最大利用。
(三)以风险防范和增加价值为导向,适时确定评估工作重点
商业银行内部控制自我评估工作应该从传统审计的查错纠弊的模式转向关注公司治理、内部控制、风险管理和信息披露等关键领域重大方面的增值型审计。内部控制自我评估应以风险为导向,通过评估本行的业务、机构、产品的风险可能性和影响力,展现出全行内部控制体系与机制的运行状况,建立起集团的风险视图和相应的风险控制视图。根据风险的类别、程度、等级、影响范围等综合评估结果,确认每次自我评估的对象、重点,有的放矢地开展内控自我评估,使评估工作在更大范围、更高层次、更深层面发挥作用。
(四)运用系统控制,实行内控评估标准化管理
内部控制评估工作应该充分运用IT技术来控制业务的抽样与样本的统计分析、制度的梳理、相关数据的统计和分析等,形成前台有支撑、后台有监督的评估格局,以风险视图充分展示商业银行内部控制现状。同时应运用系统控制来搭建清晰的专业方法技术框架和实务标准体系,完善内部控制、风险管理的评估和监测方法体系,评估的风险指标、控制指标、评估标准、评估程序和分析模型,整合固化内部控制的实务标准,统一规范指标体系、评估标准、方法技术、业务流程以及工作模版,以标准化方法管理内控评估工作,提高评估工作效率和效果。
(五)完善内部控制自我评估方法,提高评估工作质量
完善内部控制自我评估方法,重点在四个环节。一是完善业务标准。内部控制自我评估的业务标准体系应兼跨内部控制、风险管理、公司治理三大领域的审计产品体系,。各领域的产品业务标准应达到分类标准一致、以产品为载体实现对各类重大风险的审计覆盖。二是统一评估标准。以制度的形式明确评估标准、程序、范围、频率、评价方法、组织方式等,以方便评估人员开展具体操作。评估标准应能体现外部监管要求和国际先进实务,并能根据外部监管要求进行及时更新。三是规范抽样方法。根据不同业务的内部控制、风险管理要求,以风险评估为基础,制定统一、合理的抽样标准和抽样方法,使评估抽样本能基本反映被审计单位的风险状况的特征。四是优化评估流程。在追踪内部控制最新理论研究成果,关注未来监管发展趋势的同时,全面应用价值链理论,不断完善基于价值链流程为主体脉络的全面过程评估流程,并建立汇集所有审计实践成果的知识库。
(六)注重内部控制过程管理,形成全员参与的内部控制自我评估氛围
商业银行治理层面和各级管理层应注重内部控制自我评估的环境建设和理念传导。管理层要身体力行,积极参与到内部控制过程中去,并引导全行员工采取“现场测试”“专题讨论会”“调查问卷法”等形式多样的内部控制自我评估方法,从中收集到有效且丰富的信息来不断改善全行的内部控制工作。同时强化内部控制的过程管理,形成业务人员自查、自评、自纠、自我完善的良性循环。以内控自我评估工作为契机,推动商业银行的风险管理和内部控制管理工作,提升全行的风险意识和内部控制意识,促进商业银行实现发展战略。
(七)打造专家型工作团队,适应内部控制自我评估工作不断深化的需要
内部控制自我评估是检验内部控制有效性的过程评估,是一项专业性很强的工作。随着国内外金融环境的变化和商业银行各项业务活动的不断发展,内部控制自我评估工作将不断深化,内部控制有效性的评估要求也必将随之产生变化,对评估队伍的要求也随之提高。不断深化的商业银行内部控制自我评估工作不仅需要专业型、技术型和操作性人才,更需要思考型、判断型、研究型、具有专家素质的人才。这样的专家型人才能够顺应金融环境的变化和银行业务的发展,不断研究内控评估理论、方法、内容、手段,与时俱进地开展内部控制自我评估工作,不断提升评估工作的效益、效率和效果。
内控自我评估课题研究组成员:
(组长:郑之光,组员:王勇飞、潘燕、鲍婕、虞增庆、吉佩凯)
主要参考文献:
1、Lawrence B. Sawyer ,2005:《索耶内部审计》(第五版),中国财政经济出版社
2、北京兆泰投资顾问有限公司编译,《控制自我评估CSA》,中国内部审计协会
3、财政部、证监会、审计署、银监会、保监会五部委,2008:《企业内部控制基本规范》
4、上海证券交易所,《上市公司20##年年度报告工作备忘录第一号 内控报告和社会责任报告的编制和审议》,20##年1月8日
[1] 指在上交所上市的“上证公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司。
[2]设计缺陷:指内部控制措施在设计初始便存在的缺陷,包括必要的控制或控制的必要成分缺失,无法达到控制目标等。
运行缺陷:指内部控制措施在运行过程中由于执行问题导致的缺陷。包括一个设计合理的控制未能按预期执行等。
[3] 一般缺陷:指内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中及时防止或发现错报的情况。
重要缺陷:是一种具有较大影响的缺陷,由一个或者多个一般缺陷组成。
重大缺陷:是一种具有严重影响的缺陷,它由一个或者多个重要缺陷组成。
实质性漏洞:指很可能导致财务报告中的重大的实质性错报未被防止或发现的可能性大于“微小”的控制缺陷。
[4]控制有效:指被评估单位的控制存在并能够有效运行,为其经营目标的实现提供了合理的保证。
控制需改进:指被评估单位存在一些控制缺陷,这些缺陷虽没有引致重大风险,但是仍需对现有控制进行改进以合理保证各项目标的实现。
控制失效:指被评估单位存在大量的控制缺陷,以致控制低于可接受的水平;控制无法对各项目标的实现提供合理的保证。
[5] 《企业内部控制基本规范》第四十六条
[6] 2008.5.22五部委《企业内部控制基本规范》、2007.1.1.《中华人民共和国反洗钱法》、《金融机构反洗钱规定》、2006.6.5上海证券交易所《上市公司内部控制指引》、2004.12.25银监会《商业银行内控评估试行办法》、2002.1.7证监会《上市公司治理准则》等
[7] 公司层面内部控制相关的国际领先实务、PCAOB Standard 2中对公司层面内控评估的要求、SOX404对于公司层面评估的要求