第四章阅读材料3:金融机构内部控制与金融审计
一、金融审计与金融机构内部控制的关系
金融机构内部控制不仅关系到金融机构本身的生存与发展,而且关系到金融审计工作的安排和整体审计策略。
首先,对内部控制的审计评审是现代审计工作的基础。内部控制是现代企业管理的重要内容,而评审内部控制是现代审计工作的基础。这是因为,内部控制的“质”与审计工作的“量”密切相关。具体说来,如果企业内部控制设计良好,健全完善,经过评审,在实际中又是严格按设计认真遵照执行的,那么,审计人员就可以推断,该单位不至于存在严重问题,审计范围就可以大大缩小。这种情况可以表示为:内控“质”高一抽样少一审计工作“量”小。相反,如果企业内部控制设计不够严密,或设计虽无问题,但经过评审,实际中却未能认真遵照执行,那么,审计人员就可推断.该单位存在的问题必多,因此,审计范围应该扩大。这种情况可以表示为:内控“质”低一抽样多一审计工作“量”大。总之,对被审计单位内部控制的审计评审,是现代审计业务特别是审计实施阶段重要的或首要的步骤。
其次,审计工作可以促进内部控制不断完善。内部控制是金融机构为加强内部管理而形成的一种管理体系,它只有不断完善,才能真正发挥其应有作用,达到加强经营管理、提高经济效益的目的。内部控制作为审计工作的重要对象及其组成部分,通过对其进行评审,针对存在的缺陷和薄弱环节,提出可行的改进建议,拟定措施,从而帮助和促进被审计单位加强管理,使其内部控制不断得到完善。从这个意义上说,金融机构内部控制的完善和有效执行,离不开审计的监督、检查。近年来,有人提出了“内部控制审计”的概念,当然,具体称谓不尽相同,有的称作内部控制制度审计,或者简称系统审计、制度审计等。但人们对待内部控制审计存在两种不同的看法:一种观点是把内部控制审计仅仅看成整个审计过程中实施阶段的一种审计方法,或一个重要的环节和步骤;另一种观点则认为,内部控制审计不仅是一种审计方法,而且有其本身的审计目的、内容和程序,因而,它也是一个独立的审计类别。第一种看法的理由是:内部控制审计并不是以评审内部控制健全、有效与否为其最终目的,而是通过审计评审,确定审计人员对被审计单位内部控制的可信赖程度,在此基础上进一步考虑审计工作的安排和整体审计策略。从当前我国金融内部控制的实际情况来看,把内部控制审计作为一个独立的审计类别,开展专门的内部控制审计,对金融机构现行的内部控制作出客观、公正的科学评价,从而督促其建立健全、有效的内部控制,确实具有十分重大的现实意义。
综上所述,金融审计与金融机构内部控制的关系非常密切,两者之间既相互联系,又相互制约。没有内部控制提供审计线索,审计的效能就会受到影响;反之,没有审计的监督、检查,金融机构内部控制也就不可能得到进一步的改进和完善。
二、内部控制整体框架理论
内部控制最新理论成果产生于1992年,被称为内部控制整体框架理论。该理论是由美国反对虚假财务报告委员会所属的内部控制专门研究委员会,经过3年多的潜心研究和深入探讨后提出的。其纲领性文件《内部控制——整体框架》(通常简称为cos0报告)颁布于1992年9月,是内部控制理论发展的又一个里程碑。在这个描述内部控制的报告中,开创性地提出了内部控制整体框架的概念。1994年,该委员会又对报告进行了增补。他们在报告中指出:内部控制是由董事会、管理层和员工共同设计并实施的,旨在为财务报告的可靠性、经营效率与效果、相关法律法规的遵循性(简称三类目标)提供合理保证的过程。它由相互关联的五个要素构成:控制环境、风险评估、控制活动、信息与沟通和监督。
上述三类目标是努力方向,而五个要素则是实现目标的必要条件,两者相互关联。五个要素之间相互协调,共同构成对不断变化的环境做出动态反应的一个整体。
内部控制整体框架报告面世以后,被公认为是内部控制理论研究的最高成就。①界定了一个不同用户需要的内部控制概念,被理论界、实务界广泛接受;②提出了一套完整的内部控制评价标准;③首次将内部控制发展为立体框架结构,三类控制目标、五项构成要素、有效内控标准以及相关论述,为建立控制标准提供了前提和基础,也为实际应用打开了方便之门;④首次将风险评估、信息与沟通作为基本要素引进内部控制领域;⑤首次强调环境与人的重要性,将人文因素融人内部控制,极大地丰富了内部控制的文化内涵。
三、巴塞尔委员会的《银行组织内部控制系统框架》与《巴塞尔新资本协定》
巴塞尔委员会作为国际清算银行的正式机构,代表为世界各国银行监管当局以及央行官员,在银行业有着举足轻重的地位。巴塞尔委员会一直很重视商业银行内部控制,先后出台了很多与商业银行内部控制相关的文件。其中最具有影响力的是1998年的《银行组织内部控制系统框架》和2001年的《巴塞尔新资本协定》。这两个文件总结了当时世界上银行的经验,总结了13条内部控制原则,认同和发展了coso报告。相较coso报告,将五大要素扩展为六要素,将监督要素发展为监控和监管当局评估两个要素;把三大目标进一步分解为合规性目标、信息性目标、操作性目标;强调了董事会和高管层的责任和作用,并提出了监管当局对银行内部控制体系的评价原则。巴塞尔委员会的研究系统阐述了商业银行内部控制体系评价的指导思想,适用于银行业的一切表内、表外业务,强调了监管的作用。巴塞尔委员会对商业银行内部控制系统框架进行了完善,补充和发展了cos0的报告,是商业银行内部控制历史性的突破。
三、我国金融机构内部控制发展
我国金融企业内部控制的发展,经历了起步阶段、构建阶段、发展阶段和逐步完善阶段。以下将以商业银行内部控制制度发展为例,来反映我国金融机构内部控制制度的变迁历程。
(一)起步阶段
从20世纪80年代到1997年年初,是我国商业银行内部控制制度建设的起步阶段。在这一阶段,银行监管机构和商业银行自身均未能制定出一个内部控制建设的总体规划,也未形成一个完整、有效的内部控制体系。该阶段内部控制的建设主要集中在业务管理制度的制定上,而业务管理制度又主要集中在资产负债管理和信贷业务管理。20世纪90年代以来,中国建设银行实行了“审贷分离”的信贷管理制度;中国工商银行制定了“中国工商银行经营管理十大禁”等措施;国家陆续颁发了《信贷资金管理暂行办法》(1994)、《关于对商业银行实行资产负债比例管理的通知》(1994)、《商业银行资产负债比例管理暂行监控指标》(1994)、《中华人民共和国银行法》(1995)、《贷款通则》(1996)等法律、法规以及指导性方针措施。这些是从不同层面对商业银行内部控制建设进行的实践与探索。
(二) 构建阶段
巴林银行宣告破产,随后出现日本大和银行隐瞒美国国债交易亏空件,1997年亚洲金融危机,与此同时,我国商业银行暴露出越来越多的风险问题,这些促使我国银行监管机构将商业银行内部控制作为对商业银行的关注要点。经过几年的探索试验、对经验教训的总结以及借鉴国外内部控制制度实践的经验,为防范金融风险,健全金融机构内部控制机制,中国人民银行于1997年5月正式出台《加强金融机构内部控制的指导原则》(简称《指导原则》),这标志着我国商业银行内部控制建设进入了系统化建设时期。《指导原则》对金融机构内部控制的目标、原则、内容以及监督等各个方面提出系统的原则意见。《指导原则》中提出的“三防线”监控、责任分离制度、岗位责任制度和岗位管理制度、预警预报系统以及检查监督制度的建立,为进一步健全我国商业银行内部控制体系打好了坚实的基础。
1997年7月和12月,中国人民银行分别颁布了《进一步加强银行会计内部控制和管理的若干规定》和《关于进一步完善和加强金融机构内部控制建设的若干意见》,进一步加强了会计内部控制。
(三) 发展阶段
2002年,中国人民银行对《指导原则》进行了改善和补充,颁布了《股份制商业银行内部控制指引》(简称《内部控制指引》)代替《指导原则》。《内部控制指引》主要强调对风险进行事前防范、事中控制和事后监督的动态机制,体现了《巴塞尔协议》关于拓展银行经营风险范畴、改进风险计量方法和强调监管部门监督检查的核心思想。同年,中国人民银行又下发《股份制商业银行公司治理指引》和《股份制商业银行独立董事和外部监事制度指引》。
2004年12月,中国银行业监督管理委员会颁布《商业银行内部控制评价试行办法》,旨在适应我国银行分业经营、分业监管以后新的运营环境,为商业银行内部控制的健康运行提供全面、系统的指导。该办法更强调基础管理的重要性,强调体系评价思想和过程评价思想。
(四) 逐步完善阶段
2005年年初,我国商业银行全面启动内部控制体系建设工程,建立内部控制整体框架。为适应投资者对上市银行内部控制体系与风险管理体系的要求,各大上市银行均提出要建立以全面风险管理为导向的商业银行内部控制体系。
2007年中国银行业监督管理委员会又对原有《商业银行内部控制评价试行办法》进行了进一步的完善,颁布了《商业银行内部控制指引》。我国国有商业银行吸收国外合规经营的理念,按照现代化金融企业的要求,进一步明确内部控制目标,努力保证内部控制的连续性、系统性和透明性。
2008年财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,并于2010年发布《企业内部控制应用指引》和《企业内部控制评价指引》《企业内部控制审计指引》。该规范体系适用于已经上市的各类金融企业,由《企业内部控制基本规范》和企业内部控制配套指引构成。
(五) 我国金融企业内部控制规范现状
目前,我国金融企业内部控制规范主要是《企业内部控制基本规范》和配套应用指引(一些针对金融企业的应用指引尚在制定过程中)。其中,商业银行内部控制规范主要是《商业银行内部控制指引》。2014年5月中国银行业监督管理委员会对原《商业银行内部控制指引》进行修订,并就新修订的《商业银行内部控制指引》面向社会征求意见。该指引由总则、内部控制职责、内部控制措施、内部控制保障、内部控制评价、内部控制监督和附则组成。新修订的指引增加了银行内控评价的要求,增加相关管理处罚,并不再涉及相关业务,而是明确原则性的要求。
除此之外,已经上市的金融企业还要遵循我国上市公司有关内部控制信息披露要求,即《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》。
(六)《商业银行内部控制指引》新旧版之主要区别
新修订的《商业银行内部控制指引》(简称《指引》)提出商业银行内部控制应遵循四大基本原则:全覆盖原则、制衡性原则、审慎性原则、相匹配原则。去掉了旧版《指引》中有效、独立两大原则,新增了制衡性原则和相匹配原则。
制衡性原则显示,商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制;相匹配原则要求商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应,并根据情况变化及时进行调整。
“在修订稿中补充、完善了内控评价的工作要求,推动内控评价工作制度化、规范化,以利于促进商业银行不断改进其内控设计与运行。”银监会相关负责人称。
例如,银监会提出银行要根据业务经营情况和风险状况确定内部控制评价的频率,至少每年开展一次。当商业银行发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化,或其他有重大实质影响的事项发生时,应当及时组织开展内部控制评价。
《指引》要求,银行年度内部控制评价报告经董事会审议批准后,于每年4月30日前报送对其履行法人监管职责的银行业监督管理机构。
随着商业银行业务的不断增加,不少业务商业银行开始转向外包给专业的服务公司。《指引》中,银监会在内部控制措施的相关规定中专门提及了银行业务外包管理制度。
银监会要求银行建立健全外包管理制度,明确外包管理组织架构和管理职责,并至少每年开展一次全面的外包风险评估。“涉及战略管理、风险管理及其他有关核心竞争力的职能不得外包。”
对于银行内部控制的管理,《指引》提出了从内、外部两方面进行内控监督的相关要求,强调发挥内外部监督合力。
《指引》在要求商业银行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责,根据分工协调配合,构建覆盖各级机构、各个产品、各个业务流程的监督检查体系的同时,要求银行监管机构通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管。
