试论商业银行内部控制评价标准的完善方向

试论商业银行内部控制评价标准的完善方向——基于中国建设银行实践经验的思考与研究一、内部控制评价标准的理论基础目前，与商业银行内部控制有关的文献主要有COSO发布的《内部控制——整合框架》（以下简称“COSO报告”）、巴塞尔银行监管委员会发布的《银行组织内部控制系统框架》（以下简称《巴塞尔框架》）、我国银监会发布的《商业银行内部控制指引》（以下简称《指引》）和财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》（以下简称《基本规范》）。2004年，COSO发布的《企业风险管理——整合框架》（以下简称《ERM框架》），进一步发展了内部控制理论。这些文献，为商业银行内部控制评价标准的构建，提出了比较完整的框架，但在内部控制目标的类别和要素的划分上仍存在一些差异。1、从目标的界定看，COSO报告和《巴塞尔框架》的观点一致，均包括经营、信息和合规三类目标，而这三类目标也是被其他文献所接受的目标。其他文献的目标都是在这三类目标的基础上发展的。《ERM框架》、《指引》和《基本规范》均将战略目标作为内部控制的首要目标，其层次也高于其他目标。关于战略目标的引入，《ERM框架》所持的观点是，战略目标明确了企业存在的原因和根本目的，并且是相对稳定的、高层次的目标，而与其相关的其他目标都是建立在战略目标的基础上，并且是动态的。《指引》和《基本规范》也采纳了这个观点，认为战略目标对于企业来说非常重要，是其他具体目标的前提，内部控制应当保证企业战略目标的实现。《指引》和《基本规范》分别将风险管理体系的有效性和资产的安全性纳入内部控制目标。《指引》认为，保证各项资产的安全、保值和增值是银行股东利益的最根本体现，也应是内部控制的目标之一。综上所述，商业银行内部控制目标应当包括两个层次、五类目标。2、从要素的划分看，除《ERM框架》以外，其他文献都沿用了COSO报告五要素的划分方法，只是在要素的名称和内容上有所差别。《巴塞尔框架》强调了控制环境要素中的管理层监督和控制文化，并且在控制活动要素中突出了职责分离的环节。《巴塞尔框架》和《指引》都在监控要素中增加了缺陷纠正的内容。《ERM框架》拓展了风险管理的内涵，将风险评估要素细分成四个要素，强调了目标设定、事项识别、风险评估和风险应对的连续过程，建立了内部控制八要素框架。COSO报告的内部控制的三类目标和五要素观点，有其深厚的理论基础，并经过多年的实践检验，仍是现阶段较好的选择。因此，内部控制评价标准应当以内部控制目标为基础，以内部控制的经营目标、财务报告目标、合规目标三类目标和控制环境、风险评估、控制活动、信息与沟通、监控五要素构建矩阵式结构的内部控制评价标准框架，从“做什么”和“怎么做”两个维度为评价内部控制提供路径。此外，应将缺陷纠正纳入控制要素，充分体现内部控制的完整性；同时，实施全面风险管理是商业银行的发展趋势，所以，风险识别与评估要素应当吸收《ERM框架》的观点，进一步丰富和扩展。二、中国建设银行(以下简称“建设银行”)内部控制评价标准的实践1、建设银行内部控制评价标准的历史沿革。1996年以来，建设银行在吸收国内外理论成果和总结实践经验的基础上，不断修改和完善内部控制评价标准。1996年，开始尝试对分支机构的内部控制进行审计评价。1997年，总行审计部和各一级分行审计机构按照巴塞尔协议和人民银行《加强金融机构内部控制的指导原则》的相关精神，分别设计相应的内部控制评价办法与标准，组织了对44家一级分行的内部控制评价。2001～2002年，总行审计部对全行所有县及县以下基层机构（含城区支行）的内部控制进行评价，以总行统一设计制定的“内部控制制度稽审评价表”作为测试评价工具，将评价标准划分为5个级别。表明建设银行内部控制评价标准由分支机构各自制定发展到全行统一，形成了内部控制评价标准体系的雏形。2003年，总行审计部按照《指引》的精神，并借鉴COSO报告五要素等国外先进的内部控制理论，对一级分行及二级分行内部控制进行审计评价，将评价标准分为5个级别，并采用定性判断和定量评分相结合的评价方法。定量评价以统一的测试表为工具，对内部控制五个要素分别进行调查测试和评分，分别得出各要素的评价等级；在此基础上，结合定性评价标准和重大风险控制事项因素，得出评价结果，形成了较为完整的内部控制评价标准框架体系。2004年，建设银行制定并实施了《内部审计准则第10号——内部控制评价》（以下简称“内部控制评价准则”），明确了内部控制评价标准的核心定义，进一步充实和完善了内部控制五个级别的定性评价标准。2005年7月，在内部控制评价准则的基础上，开始实施《内部控制评价体系》，进一步细化了定量评价标准。2007年，进一步修订了内部控制评价准则，使之更加合理、全面和明晰。2007～2008年，结合一级分行内部控制年度评价，对评价标准进行了微调，强调定性评价与定量评价相结合，以定性评价为主的原则。2、建设银行内部控制评价标准述评。建设银行现行的内部控制评价标准主要依据COSO报告和《指引》构建，具体体现在内部控制评价准则和《内部控制评价体系》中。《内部控制评价体系》由内部控制定义、目标、要素以及内部控制评价目标、定性评价标准核心定义、定量评分标准和校正工具组成，融入了全面风险管理理念，内部控制被视为对风险进行事前、事中和事后管理的动态过程，突出了商业银行风险管理的重要性，也强调了广义的风险管理概念。内部控制目标包括经营目标、信息目标、合规目标和资产安全性目标。内部控制要素包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五要素。内部控制评价目标包含两个层面：内部控制建立的有效性和执行的有效性。定性评价标准核心定义将内部控制评价结果分为五个等级，并以简练的文字描述各等级的状况、形成等。定量评分标准主要以内部控制要素以及内部控制措施为业务单元，评价尺度以百分制评分方式。校正工具主要是建立定性评价与定量评价的关联。同时，根据定性评价与定量评价相结合原则，建立了定量评价分值与定性评价等级的对应关系；确定了“重大控制风险事项”因素的量化规则。可见，建设银行内部控制评价已经实现了标准化和模块化，审计机构可按照统一的标准和程序对评价对象进行整体或局部的评价。三、商业银行内部控制评价标准的完善方向近年来，银行控制失败案例进一步凸显了商业银行内部控制评价的重要性。随着金融体系的不断发展，商业银行内部控制的评价标准仍需要在实践中不断完善。1、完善内部控制评价标准的原则。(1)战略性原则。内部控制的根本目的是保证银行目标的实现，而在银行各项目标中，战略目标是相对稳定的、高层次的目标，是其他具体目标的前提。因此，内部控制评价标准应当将关系银行战略目标的内容放在十分重要的位置。(2)客观性原则。作为衡量尺度，内部控制评价标准应当客观，应该体现的是评价对象应当达到的水平，而不是评价对象实际水平，以利于树立标杆，促进评价对象不断完善内部控制。(3)完备性原则。内部控制评价标准应当涵盖内部控制的各个方面，一般标准应当包括对各类内部控制目标和要素的考虑，具体标准应当涵盖经营管理的主要控制流程和活动。(4)适用性原则。内部控制评价标准应当充分体现商业银行经营风险高、业务品种多、机构分布广、监管要求严的特点，使之成为适用于监管机构、外部审计、内部审计等不同主体对商业银行内部控制评价的统一标准。同时，评价标准应适用于不同的评价对象，既适用于商业银行整体，又适用于商业银行的分支机构，还可以用于对商业银行单个或部分业务单元的评价。(5)可操作性原则。评价标准应当具体、明确，易于评价主体理解和掌握，并辅以实用的评价工具，避免主观因素对评价结果的影响。2、完善内部控制评价标准体系。商业银行内部控制评价标准体系应当包含两个层次，即一般标准和实务标准。一般标准是理论层面的标准，是一个概念的框架，为内部控制评价提供理论依据；实务标准是操作层面的标准，为具体的评价过程提供指导，分为定性评价标准和定量评价标准。(1)一般标准。一般标准主要明确内部控制的定义、目标和要素等基本概念。商业银行内部控制评价标准框架如图3所示，应由五类目标和五大要素构成，并且目标和要素相互交织，五类目标贯穿于五大要素中，每个要素的有效性标准都要反映对各类内部控制目标的保证程度。目标和要素构成的内部控制评价标准的整体框架可以应用于各机构与各业务单元的内部控制评价。(2)实务标准。实务标准是在一般标准指导下制定的操作指南，是具体评价的直接依据，为具体评价提供工具，明确指出内部控制要素有效性的标准。实务标准由定性评价标准和定量评价标准构成。定性评价标准包含以下四个部分：一是内部控制各等级的基本特征；二是各内部控制要素中具有代表性的反映内部控制状态的标志点；三是各等级不同控制水准的标志点的状态或程度；四是各等级不同控制水准的目标实现程度。以内部控制一级的定性评价标准为例，可以表述为：内部控制一级：被审计单位内部控制强健；治理结构与内部控制组织完善，企业文化、人力资源政策为内部控制提供充分保证；目标合理，对可能影响目标实现的各种风险都能够识别、分析，并已采取有效的应对措施；内外部信息获取充分，交流顺畅，业务记录真实、准确、及时、完整；各项内部控制措施适宜，在各环节得到认真执行并有效地发挥作用；对内部控制的监控保证了内部控制持续有效；内部控制目标圆满实现。“强健”是内部控制一级的基本特征；内部控制五个要素具有代表性的标志点是主要内容，如治理结构与内部控制组织、企业文化、人力资源政策是内部控制环境要素中具有代表性的标志点；“完善”、“充分”、“合理”等词语反映标志点的状态或程度。对内部控制二级及以下等级，基本特征可以表述为“满意”、“值得关注”、“薄弱”等；标志点的状态或程度可以采取“基本完善”、“比较充分”、“不够合理”等表述，以此形成各内部控制等级的定性标准。定性评价标准是实务标准的核心，但过于原则，可操作性不强，因此，需要通过定量评价标准细分控制环节，将定性评价标准具体化，为实践中选择评价内容、掌握评价标准、确定评价结果提供指引。设计定量评价标准，需要考虑成本效益原则，防止过于细化、过于复杂而影响评价的效率。因此，定量评价标准设计要合理选择关键控制环节；同时，考虑内部控制状况难以精确量化，对每一个控制环节的评分尺度不必过细，可以采用5分制来反映内部控制有效性的差别。以控制环境要素中的“人力资源政策”评价为例，可以考虑选取相关的关键控制环节形成定量评价表，如表2所示。按照这个模式，控制环境要素可以分为十多个关键控制环节，每一个环节反映控制环境要素控制状况的一个侧面，综合起来则为控制环境要素控制状况的评价基础。对控制措施要素，由于其控制状况涉及具体的业务经营管理，还有必要在要素之下划分不同的业务单元，然后根据不同业务单元的特殊性，分别对控制环节加以分解。商业银行的业务比较复杂，业务单元的划分要注意抓住主要特征适当归类合并，避免分得过细，可以考虑划分为授信业务、资金业务、存款与柜台业务、中间业务、会计业务、计算机信息系统等。不同的商业银行有不同的业务特色，因此，在制订具体实务标准时，应该根据自身的特点确定合理的划分方式。商业银行各项业务产品众多、流程复杂，涉及的控制环节特别多，需要通过严格筛选，将一旦发生问题就可能严重影响整体内部控制有效性，进而导致无法及时防范或发现严重偏离整体控制目标的一个或数个环节列为关键控制环节，作为定量评价的着眼点，如授信业务的审批权限管理、存款与柜台业务的开户管理、对账管理等控制环节。每个业务单元的关键控制环节数量不宜超过20个，以利于抓住重点，提高评价工作效率。此外，根据适用性原则，实务标准还应当考虑对不同类别的机构评价对象的适用性，使得商业银行整体和分支机构的内部控制评价可以采用统一的标准，同时也要考虑对单个或部分业务单元的评价需要。为此，实务标准应当以业务单元和机构单元为基础构成，并建立一套完整的方法和模型，能够将若干业务单元的定性评价结果与定量评价结果整合，从而得出某个机构单元全部或部分业务的评价结果；将若干分支机构的评价结果整合，得出商业银行整体内部控制评价结果。参考文献[1]蔡春,赵莎等.现代风险导向审计论[M].中国时代经济出版社,2006.[2]金,李若山,徐明磊.COSO报告下的内部控制新发展——从中航油事件看企业风险管理[J].会计研究,2005（,2）:32-38.[3]谢荣,钟凌.商业银行内部控制系统研究[M].经济科学出版社,2004.[4]于增彪,王竞达,瞿卫菁.企业内部控制评价体系的构建——基于亚新科工业技术有限公司的案例研究[J].审计研究,2007（,3）:47-52.[5]张立民,唐松华.内部控制、公司治理与风险管理——《托普典章》为什么不能拯救托普[J].审计研究,2007（,5）:35-41.[6]张砚.内部控制历史发展的组织演化研究[J].会计研究,2005（,2）:76-81.[7]周勤业,王啸.美国内部控制信息披露的发展及其借鉴[J].会计研究,2