商业银行强化内部控制体系建设研究.docx

商业银行强化内部控制体系建设研究 摘要:随着内部控制基本规范的颁布实施,中国企业将逐步按照其要求,建立和完善内部控制体系。商业银行作为特殊企业,需要确立“二维”的思考模式,以历史的眼光看待发展过程中存在的问题,以基本规范等文件为现实标准和参照,以发展的观点解决内控体系建设方面存在的问题,按照整体和效率的观点,贯彻“三个认知”和“六项措施”,建立既适应外部监管要求又满足商业银行内在发展需要的内部控制体系。 关键词:内部控制体系,商业银行,银行异质性 中图分类号:F320.2文献标志码:A文章编号:1673-291X(2010)21-0051-05 根据财政部等五部委关于印发企业内部控制基本规范的通知要求,2009年7月1日起在上市公司范围内实施内部控制基本规范,并鼓励非上市企业实行。这样,中国商业银行作为特殊企业,需要确立“二维”的思考模式,以历史的眼光看待发展过程中存在的问题,以基本规范等文件为现实标准和参照,坚持全面性、重要性、制衡性、适应性和成本效益性原则,从内部环境、风险评估、控制活动、信息交流与沟通、内部监督等五个方面入手,以落实基本规范为契机,以发展的观点解决内控体系建设方面存在的问题,积极稳妥地建立推进内部控制体系建设工作的长效机制,逐步建立既适应外部监管要求又满足商业银行内在发展需要的内部控制体系,进一步提高经营管理效益和效率,促进发展战略的实现。 一、基本规范的实质 企业内部控制基本规范(以下简称“基本规范”) 共七章50条,明确了目标、原则、要素和实施时间要求等相关内容。从目标来看,内部控制就是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略;从原则来看,就是要坚持全面性、重要性、制衡性、适应性和成本效益性原则;从内部控制要素看,就是内部环境、风险评估、控制活动、信息与沟通以及内部监督。同时,要求企业根据基本规范要求以及有关法律法规制定内部控制制度并组织实施,并建立内部控制实施的激励约束机制。 正确把握基本规范的实质成为企业落实基本规范、建立和完善内部控制体系的根本性前提。一是从宏观背景来认识实施基本规范的目标。伴随着中国经济社会的快速发展,企业所面临的经营环境发生了巨大变化,其经营管理风险日益显现,因内部控制缺失或失效引发的巨额资产损失、财务舞弊、会计造假、经营失败、破产倒闭等案例时有发生。企业只有建立和实施科学的内控体系,才能提升风险防范能力,有效控制经营管理风险,实现可持续发展,进而在宏观上维护社会主义市场经济秩序和社会公众利益。二是从微观经济体的发展来看基本规范实施的内在需求。对于大多数企业来讲,追求效益最大化促使企业有很强的做好内部控制的内源动力,以落实基本规范为契机,建设与实施企业内控标准体系,是促进企业防范重大风险、实现可持续发展战略的必然要求。三是从中国商业银行的“特质性”来看银行实施基本规范的意义。银行作为特殊企业,在经营管理特性上有别于一般企业,其经营管理绩效影响更广、接受的监管更严,经营管理需要更加审慎。这样,银行不仅需要按照一般企业的要求进行内部控制体系建设,还需要针对银行自身特性进一步地进行强化。四是从政府部门和监管机构来看,政府对基本规范实施发挥着重要的推动作用。基本规范就是政府强制执行的标准,基本规范的颁布实施是相关政府部门和监管机构以实际行动贯彻落实科学发展观、促进企业和资本市场又好又快发展的一个重大举措。相关政府机构和监管部门对政策出台和实施给予了高度的关注。 二、银行内部控制规则解读 从内部控制的规则要求来看,COSO委员会在1992年提出并于1994年增补形成了内部控制整体框架;巴塞尔银行监督委员会于1998年发布了银行组织内部控制系统框架;2006年,上海证券交易所颁布了上海证券交易所上市公司内部控制指引;2007年,银监会下发了商业银行内部控制指引;2008年,财政部、证监会、审计署、银监会、保监会联合下发文件企业内部控制基本规范等相关文献和规章。同时,针对商业银行的内部控制评价,银监会于2004年发布实施了商业银行内部控制评价试行办法对评价内容、评价程序和方法、评分标准和等级、评价组织和实施提出了指导性意见。 就内部控制的基本要素和评价办法来看,COSO、Basel、银监会、财政部等文件的提法基本相同,只有上海证券交易所的规则增加了目标设定、风险确认和风险管理策略选择等要素(详见表1)。就内部控制目标来看,全部内部控制规范都把合法合规、经营效益与效率以及充分信息披露作为目标;同时,银监会还将有效风险管理体系作为内部控制目标,财政部基本规范把资产安全和企业战略也纳入内部控制目标范围(详见表2)。就内部控制的控制活动来看,对整体目标设计、战略计划、内部控制环境因素设立、业务活动水平目标设立、风险识别活动、风险管理、控制活动的实施、信息识别采集和交流、监督评审、纠正行为等是否纳入内部控制体系各自要求不尽相同(详见表3)。 按照中国银监会的文件精神和阐述,银行内部控制是指商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。其目标主要包括:确保国家法律规定和商业银行内部规章制度的贯彻执行;确保商业银行发展战略和经营目标的全面实施和充分实现;确保风险管理体系的有效性;确保业务记录、财务信息和其他管理信息的及时、真实和完整。同时,商业银行内部控制应贯彻全面、审慎、有效、独立的原则,包括:内部控制应当渗透商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查;内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求;内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正;内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。内部控制应当与商业银行的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。中国商业银行内部控制指引更加强调了通过内部控制来确保商业银行风险管理体系的有效性,将内部控制作为风险管理的重要手段,进一步突出了风险意识,这和COSO出台风险管理框架的意愿不谋而合34。2008年基本规范的颁布实施,使得商业银行完善内部控制进入一个崭新的阶段。 三、银行内部控制体系建设及存在的问题 1.发展历史。中国企业的内部控制研究起步较晚,经过十几年的发展,取得了一定的成绩,但与西方发达国家相比,仍存在明显的差距。1995年商业银行法颁布实施以来,银行业开始按照商业银行的经营管理要求逐步建立和完善适应市场经济体制的管理模式;同时,按照中国人民银行1997年的加强金融机构内部控制的指导原则的要求开展内部控制体系建设工作,取得了长足进步。1997年5月,人民银行发布加强金融机构内部控制的指导原则,7月发布进一步加强银行会计内部控制和管理的若干规定,12月又发布关于进一步完善和加强金融机构内部控制建设的若干意见,不仅极大推动了中国商业银行内部控制制度的建立,而且成为中国真正意义上的内部控制实践的起点。中国证监会2000年11月发布公开发行证券公司信息披露编报规则,要求公开发行证券的商业银行、保险公司、证券公司应建立健全其内部控制制度,并在招股说明书正文中专设一部分,用以说明其内部控制制度的完整性、合理性和有效性。这些法规的颁布实施,不仅为商业银行和上市公司,也为中国一般企业内部控制发展提供了一个可资借鉴的建设框架。随着中国金融体制改革的进一步深入、国际化进程的加快和框架协议要求的逐步强化,中国商业银行内部控制面临越来越多的挑战,1997年发布的加强金融机构内部控制的指导原则已明显不适应新经济的发展要求。因此,基于2001年6月财政部的内部控制规范基本规范(试行)和内部会计控制规范货币资金试行等项具体规范的相继发布,2002年9月,人民银行发布商业银行内部控制指引,取代了1997年5月的指导原则。商业银行内部控制指引吸收了巴塞尔银行委员会银行组织内部控制系统框架的新内涵和报告成果,代表了中国商业银行内部控制理论研究和实践逐步与国际接轨。随后,为规范和加强对商业银行内部控制的评价,督促商业银行进一步建立内部控制体系,健全内部控制机制,为全面风险管理体系的建立奠定基础,中国银监会又根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,并结合2002年7月萨奥法案精神及报告在2004年10月全新修订成果等国际内部控制理论的最新发展趋势,于2004年12月又发布商业银行内部控制评价试行办法,于2005年2月1日起施行,明确要求应对中国商业银行内部控制实施过程评价与结果评价。这为中国实施包涵国际标准的内部控制评价提供了宝贵经验和思路。此外,为进一步有效防范银行业大案、要案的发生,并实现中国银行监管标准与国际通行规则的逐步接轨,中国银监会于2005年3月22日又下发了关于加大防范操作风险工作力度的通知。该通知以及银行业内部控制一系列相关法规文件的颁布实施,逐步完善了中国银行监管的法规体系、提高了中国商业银行识别和控制操作风险的能力,也为中国一般企业内部控制规范建设提供了宝贵实践经验。随着社会经济的发展,2007年银监会再次修订下发了商业银行内部控制指引。国有商业银行在股改、上市过程中,按照2006年证券上市规则的要求和银监会2007年的内部控制指引和内部控制评价要求,逐步开展了内部控制自我评价工作,并进行了信息披露。在此基础上,各家商业银行都逐步建立起了内部控制管理的工作体系。2008年,在多次、广泛征求意见的基础上,财政部等五部委下发了企业内部控制基本规范等相关文献和规章,这不仅是一次挑战,应当说这更是一次机遇,对中国商业银行逐步建立和完善现代企业制度、提升国际竞争力具有重要的意义。 2.问题思考。按照一个合理假设“任何企业在没有外部压力的情况下不会产生对控制的内在动力”的观点,如果没有监管,商业银行缺乏内部控制的内源动力。事实上,由于商业银行被动的接受外部监管的要求,从历史发展的视角看,各阶段存在的问题与其相应的外部规则要求存在的问题基本是类似的。总的来说,在基本规范颁布之前,中国理论界和实务界对内部控制的认识还没有形成一致的意见,许多学者和企业对内部控制的认识还停留在内部牵制和内部控制制度阶段,认为内部控制就是一种内部的监督,而企业大多把内部控制看做是一种复核机制,将控制的有效性体现在惩罚力度上,以罚代控,也有的企业把内部成本控制、内部资产控制、会计控制等视为内部控制的全部内容,未提出权威的内部控制定义,对于内部控制的完整性、合理性及有效性更是缺乏一个公认的标准体系。 同时,经过多年的内部控制体系建设实践,特别是通过自我评价,发现和存在的问题也是不容忽视的:(1)内部控制环境重视不够。控制环境是内部控制框架的重要组成部分,是内部控制中的基础性和关键性要素。但在中国商业银行具体实践中,主要是强调内部控制制度建设,对控制环境建设并未加以重视。(2)对内部控制认识不到位,缺乏科学、合理的定位。一些商业银行错误地认为内部控制就是内部控制制度,以为内部控制就是手册、文件和制度,或者认为内部控制就是内部成本控制、内部资金安全控制等控制方式。对不同层次的内部控制,特别是公司治理控制和管理控制的认识不清晰,或者不能整体认知。(3)缺乏良好的人文环境。银行系统内控文化尚未真正建立起来,从高层到基层工作人员未充分认识到内控和风险管理的本质内涵。(4)内部控制的技术方法相对落后,不能从理论方法和技术手段上具体的风险管理和全面风险管理实践提供充分的支持。(5)缺乏有效的风险约束机制,普遍存在重业务开拓轻内部控制、重短期绩效轻长期利益、重惩罚轻激励等,难以促使员工把内部控制活动当做日常工作和一种自觉的行为。(6)现行的内控制度不健全。(7)有章不循,违章操作的现象依然存在。(8)风险控制系统依然存在缺陷、风险损失控制不得力。(9)信息沟通不畅。现代企业内部控制需要大量真实、合理而完整的信息,并将其用于引导控制制度的设计、执行、评价过程。由于在信息技术、信息人员素质与现代商业银行的要求有很大差距,直接影响了信息获取的数量、质量和传递速度。 四、进一步强化银行内部控制体系建设的措施 建议 为了从大局上把握问题实质,针对普遍存在的问题,按照外部监管规则要求,商业银行建设完善内部控制体系工作需要从两个大方面积极开展工作:一是认知;二是实施。具体地讲,在认知和方法论层面就是: 1.按照系统的观点和整体效率的标准来认识内部控制体系56。在系统和整体效率的考量下,研究分析内部控制的外部监管规则和银行的自身特性,厘清内部控制系统的边界,明确内部控制体系的目标,并进一步区分内部控制的不同层级以确定内部控制结构;同时,对内部控制的活动内容要有清晰的界定,这些内容都是内部控制体制建设的基础和前提。 2.内部控制的不断完善是一个动态过程的概念。内部控制的对象、业务活动、管理控制等内容是动态的,这就决定了内部控制需要动态地参与经营管理过程;同时,内部控制建设是一项长期的工作,既不可能一蹴而就,也不可能一劳永逸,对外部环境变化和建设内部经营管理的变革要跟踪分析并及时调整和完善内部控制体系。建立内部控制体系建设的长效机制是动态过程的本质要求。 3.要充分认识内部控制框架、内部控制指引等规范要求与银行的“异质性”特征,树立成本收益的理念,建立适合自身追求整体效率的内部控制体系,寻找科学合理的演变路径。在建设和完善内部控制体系的过程中,需要在满足外部规则的前提下因地制宜,着眼银行实际经营管理需要、进行充分的成本效益分析,以此确定进化路径。 在具体实施方面就是: 1.深入研究制定银行内部控制政策及相关制度,围绕目标、要素、控制活动、控制措施、绩效评价等关键内容,为内部控制体系建设提供政策支撑。制定内部控制政策需要解决的主要问题包括:内部控制的边界、内部控制的目标与合理保证、内部控制的基本要素、内部控制的层级结构、内部控制活动、内部控制的组织架构、内部控制流程与信息交流沟通、内部控制的监督与评价以及内部控制的问题纠正与完善等内容。 2.在内部控制评价的基础上,进一步明确初始状态、约束条件和迁移方式。中国商业银行已经开展了内部控制体系的建设工作,取得了很大进展,因此,完善或者实施新的内部控制体系,首先,需要科学的认知和对内部控制体系科学合理评价,这就意味着对内部控制的评价方法、评价过程以及评价结果的解读等提出了更高的要求。其次,在内部控制评价的基础上,认真梳理和进一步明确内部控制的初始状态,参照现实标准要求,查找存在问题,确定内部控制建设的出发点和基础。再次,对现实约束条件进行研究分析,只有在对现实和潜在资源进行科学评价的前提下,才能确定目标实现的可能性和方式方法。最后,确定内部控制体系的迁移方式,采取科学、有效的方式是实现内部控制建设工作有效的基本要求和重要途径,当然,在明确迁移方式过程中要考虑成本收益和路径依赖。 3.按照内部控制政策要求,建立和完善内部组织机构,承担相应职责,达到机构与功能职责的匹配,满足实施内部控制的组织要求,构建长效工作机制。组织机构是承担组织职责、完成组织使命和任务的前提。内部控制组织的设置因行而异,中国商业银行可以根据经营管理实际,在管理理论、组织理论的指导下,参照国际发达国家商业银行的内部控制组织架构设置,对银行内部控制的组织架构进行合理、科学地设计。 4.必要的人员配备、培养与储备。中国对内部控制、特别是银行内部控制的研究和教育时间较短,人才储备本身有限,经过实践磨炼的实用性人才就更缺乏。要科学合理地选拔适合内部控制工作的人才,必须树立新的内部控制人才观,把相应的人员配备到适合的岗位,并加大培训和储备力度,才能满足日益增加的内部控制人才需求和业务发展需要。 5.建立交流沟通机制,强化外部联系与沟通,增进内部信息共享与交流。信息交流和共享是内部管理高效运行的基础,是获得外部理解和支持的保障。关于内控体系建设,对外来说,商业银行应尽快与外部监管机构,特别是财政部、审计署、银监会、证监会等政府和监管部门建立长期联系和沟通机制,持续跟踪、学习、研究相关部门出台的文件,确保及时跟进,进行适时沟通和交流,共同促进工作开展。对内部来说,银行要建设和完善信息交流中心和平台,相关部门信息要集中共享,尽量避免信息不对称,实现信息资源的最大利用,通过对相关信息的收集、整理、归纳、分析,加强监管,制定应对措施,提供科学决策依据。 6.加大宣传、培训和教育力度,使内部控制文化在全员中逐步形成。良好的内部控制文化建设既是认知问题,也是实施有效内部控制的基础问题。 参考文献: 财政部等五部委.企业内部控制基本规范Z,2008-05. 牛成?.COSO框架下的内部控制M.北京:经济科学出版社,2005:12. COSO发布.企业风险管理应用技术M.张宜霞,译.大连:东北财经大学出版社,2006:6. COSO发布.企业风险管理整合框架M.方红星,王宏,译.大连:东北财经大学出版社,2005:9. 李连华.内部控制理论结构控制效率的思想基础与政策建议M.厦门:厦门大学出版社,2007:9. Michael C.Jackson.系统思考适于管理者的创造性整体论M.北京