金融机构内部控制与金融审计

第四章阅读材料3：金融机构内部控制与金融审计 一、金融审计与金融机构内部控制的关系金融机构内部控制不仅关系到金融机构本身的生存与发展，而且关系到金融审计工作的安排和整体审计策略。 首先，对内部控制的审计评审是现代审计工作的基础。内部控制是现代企业管理的重要内容，而评审内部控制是现代审计工作的基础。这是因为，内部控制的“质”与审计工作的“量”密切相关。具体说来，如果企业内部控制设计良好，健全完善，经过评审，在实际中又是严格按设计认真遵照执行的，那么，审计人员就可以推断，该单位不至于存在严重问题，审计范围就可以大大缩小。这种情况可以表示为：内控“质”高一抽样少一审计工作“量”小。相反，如果企业内部控制设计不够严密，或设计虽无问题，但经过评审，实际中却未能认真遵照执行，那么，审计人员就可推断该单位存在的问题必多，因此，审计范围应该扩大。这种情况可以表示为：内控“质”低一抽样多一审计工作“量”大。总之，对被审计单位内部控制的审计评审，是现代审计业务特别是审计实施阶段重要的或首要的步骤。 其次，审计工作可以促进内部控制不断完善。内部控制是金融机构为加强内部管理而形成的一种管理体系，它只有不断完善，才能真正发挥其应有作用，达到加强经营管理、提高经济效益的目的。内部控制作为审计工作的重要对象及其组成部分，通过对其进行评审，针对存在的缺陷和薄弱环节，提出可行的改进建议，拟定措施，从而帮助和促进被审计单位加强管理，使其内部控制不断得到完善。从这个意义上说，金融机构内部控制的完善和有效执行，离不开审计的监督、检查。近年来，有人提出了“内部控制审计”的概念，当然，具体称谓不尽相同，有的称作内部控制制度审计，或者简称系统审计、制度审计等。但人们对待内部控制审计存在两种不同的看法：一种观点是把内部控制审计仅仅看成整个审计过程中实施阶段的一种审计方法，或一个重要的环节和步骤；另一种观点则认为，内部控制审计不仅是一种审计方法，而且有其本身的审计目的、内容和程序，因而，它也是一个独立的审计类别。第一种看法的理由是：内部控制审计并不是以评审内部控制健全、有效与否为其最终目的，而是通过审计评审，确定审计人员对被审计单位内部控制的可信赖程度，在此基础上进一步考虑审计工作的安排和整体审计策略。从当前我国金融内部控制的实际情况来看，把内部控制审计作为一个独立的审计类别，开展专门的内部控制审计，对金融机构现行的内部控制作出客观、公正的科学评价，从而督促其建立健全、有效的内部控制，确实具有十分重大的现实意义。 综上所述，金融审计与金融机构内部控制的关系非常密切，两者之间既相互联系，又相互制约。没有内部控制提供审计线索，审计的效能就会受到影响；反之，没有审计的监督、检查，金融机构内部控制也就不可能得到进一步的改进和完善。 二、内部控制整体框架理论 内部控制最新理论成果产生于1992年，被称为内部控制整体框架理论。该理论是由美国反对虚假财务报告委员会所属的内部控制专门研究委员会，经过3年多的潜心研究和深入探讨后提出的。其纲领性文件内部控制整体框架(通常简称为cos0报告)颁布于1992年9月，是内部控制理论发展的又一个里程碑。在这个描述内部控制的报告中，开创性地提出了内部控制整体框架的概念。1994年，该委员会又对报告进行了增补。他们在报告中指出：内部控制是由董事会、管理层和员工共同设计并实施的，旨在为财务报告的可靠性、经营效率与效果、相关法律法规的遵循性(简称三类目标)提供合理保证的过程。它由相互关联的五个要素构成：控制环境、风险评估、控制活动、信息与沟通和监督。 上述三类目标是努力方向，而五个要素则是实现目标的必要条件，两者相互关联。五个要素之间相互协调，共同构成对不断变化的环境做出动态反应的一个整体。 内部控制整体框架报告面世以后，被公认为是内部控制理论研究的最高成就。界定了一个不同用户需要的内部控制概念，被理论界、实务界广泛接受；提出了一套完整的内部控制评价标准；首次将内部控制发展为立体框架结构，三类控制目标、五项构成要素、有效内控标准以及相关论述，为建立控制标准提供了前提和基础，也为实际应用打开了方便之门；首次将风险评估、信息与沟通作为基本要素引进内部控制领域；首次强调环境与人的重要性，将人文因素融人内部控制，极大地丰富了内部控制的文化内涵。 三、巴塞尔委员会的银行组织内部控制系统框架与巴塞尔新资本协定 巴塞尔委员会作为国际清算银行的正式机构，代表为世界各国银行监管当局以及央行官员，在银行业有着举足轻重的地位。巴塞尔委员会一直很重视商业银行内部控制，先后出台了很多与商业银行内部控制相关的文件。其中最具有影响力的是1998年的银行组织内部控制系统框架和2001年的巴塞尔新资本协定。这两个文件总结了当时世界上银行的经验，总结了13条内部控制原则，认同和发展了coso报告。相较coso报告，将五大要素扩展为六要素，将监督要素发展为监控和监管当局评估两个要素；把三大目标进一步分解为合规性目标、信息性目标、操作性目标；强调了董事会和高管层的责任和作用，并提出了监管当局对银行内部控制体系的评价原则。巴塞尔委员会的研究系统阐述了商业银行内部控制体系评价的指导思想，适用于银行业的一切表内、表外业务，强调了监管的作用。巴塞尔委员会对商业银行内部控制系统框架进行了完善，补充和发展了cos0的报告，是商业银行内部控制历史性的突破。 三、我国金融机构内部控制发展 我国金融企业内部控制的发展，经历了起步阶段、构建阶段、发展阶段和逐步完善阶段。以下将以商业银行内部控制制度发展为例，来反映我国金融机构内部控制制度的变迁历程。 (一)起步阶段 从20世纪80年代到1997年年初，是我国商业银行内部控制制度建设的起步阶段。在这一阶段，银行监管机构和商业银行自身均未能制定出一个内部控制建设的总体规划，也未形成一个完整、有效的内部控制体系。该阶段内部控制的建设主要集中在业务管理制度的制定上，而业务管理制度又主要集中在资产负债管理和信贷业务管理。20世纪90年代以来，中国建设银行实行了“审贷分离”的信贷管理制度；中国工商银行制定了“中国工商银行经营管理十大禁”等措施；国家陆续颁发了信贷资金管理暂行办法(1994)、关于对商业银行实行资产负债比例管理的通知(1994)、商业银行资产负债比例管理暂行监控指标(1994)、中华人民共和国银行法(1995)、贷款通则(1996)等法律、法规以及指导性方针措施。这些是从不同层面对商业银行内部控制建设进行的实践与探索。(二) 构建阶段巴林银行宣告破产，随后出现日本大和银行隐瞒美国国债交易亏空件，1997年亚洲金融危机，与此同时，我国商业银行暴露出越来越多的风险问题，这些促使我国银行监管机构将商业银行内部控制作为对商业银行的关注要点。经过几年的探索试验、对经验教训的总结以及借鉴国外内部控制制度实践的经验，为防范金融风险，健全金融机构内部控制机制，中国人民银行于1997年5月正式出台加强金融机构内部控制的指导原则(简称指导原则)，这标志着我国商业银行内部控制建设进入了系统化建设时期。指导原则对金融机构内部控制的目标、原则、内容以及监督等各个方面提出系统的原则意见。指导原则中提出的“三防线”监控、责任分离制度、岗位责任制度和岗位管理制度、预警预报系统以及检查监督制度的建立，为进一步健全我国商业银行内部控制体系打好了坚实的基础。 1997年7月和12月，中国人民银行分别颁布了进一步加强银行会计内部控制和管理的若干规定和关于进一步完善和加强金融机构内部控制建设的若干意见，进一步加强了会计内部控制。 (三) 发展阶段 2002年，中国人民银行对指导原则进行了改善和补充，颁布了股份制商业银行内部控制指引(简称内部控制指引)代替指导原则。内部控制指引主要强调对风险进行事前防范、事中控制和事后监督的动态机制，体现了巴塞尔协议关于拓展银行经营风险范畴、改进风险计量方法和强调监管部门监督检查的核心思想。同年，中国人民银行又下发股份制商业银行公司治理指引和股份制商业银行独立董事和外部监事制度指引。 2004年12月，中国银行业监督管理委员会颁布商业银行内部控制评价试行办法，旨在适应我国银行分业经营、分业监管以后新的运营环境，为商业银行内部控制的健康运行提供全面、系统的指导。该办法更强调基础管理的重要性，强调体系评价思想和过程评价思想。 (四) 逐步完善阶段 2005年年初，我国商业银行全面启动内部控制体系建设工程，建立内部控制整体框架。为适应投资者对上市银行内部控制体系与风险管理体系的要求，各大上市银行均提出要建立以全面风险管理为导向的商业银行内部控制体系。 2007年中国银行业监督管理委员会又对原有商业银行内部控制评价试行办法进行了进一步的完善，颁布了商业银行内部控制指引。我国国有商业银行吸收国外合规经营的理念，按照现代化金融企业的要求，进一步明确内部控制目标，努力保证内部控制的连续性、系统性和透明性。 2008年财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范，并于2010年发布企业内部控制应用指引和企业内部控制评价指引企业内部控制审计指引。该规范体系适用于已经上市的各类金融企业，由企业内部控制基本规范和企业内部控制配套指引构成。 (五) 我国金融企业内部控制规范现状 目前，我国金融企业内部控制规范主要是企业内部控制基本规范和配套应用指引(一些针对金融企业的应用指引尚在制定过程中)。其中，商业银行内部控制规范主要是商业银行内部控制指引。2014年5月中国银行业监督管理委员会对原商业银行内部控制指引进行修订，并就新修订的商业银行内部控制指引面向社会征求意见。该指引由总则、内部控制职责、内部控制措施、内部控制保障、内部控制评价、内部控制监督和附则组成。新修订的指引增加了银行内控评价的要求，增加相关管理处罚，并不再涉及相关业务，而是明确原则性的要求。 除此之外，已经上市的金融企业还要遵循我国上市公司有关内部控制信息披露要求，即公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定。（六）商业银行内部控制指引新旧版之主要区别 新修订的商业银行内部控制指引(简称指引)提出商业银行内部控制应遵循四大基本原则：全覆盖原则、制衡性原则、审慎性原则、相匹配原则。去掉了旧版指引中有效、独立两大原则，新增了制衡性原则和相匹配原则。 制衡性原则显示，商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制；相匹配原则要求商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整。 “在修订稿中补充、完善了内控评价的工作要求，推动内控评价工作制度化、规范化，以利于促进商业银行不断改进其内控设计与运行。”银监会相关负责人称。 例如，银监会提出银行要根据业务经营情况和风险状况确定内部控制评价的频率，至少每年开展一次。当商业银行发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化，或其他有重大实质影响的事项发生时，应当及时组织开展内部控制评价。 指引要求，银行年度内部控制评价报告经董事会审议批准后，于每年4月30日前报送对其履行法人监管职责的银行业监督管理机构。 随着商业银行业务的不断增加，不少业务商业银行开始转向外包给专业的服务公司。指引中，银监会在内部控制措施的相关规定中专门提及了银行业务外包管理制度。 银监会要求银行建立健全