中国人民银行张家界市中心支行内审课题组
近年来,人民银行县支行克服人少事多等困难,在完成日常工作的基础上,积极探索履职方式创新,提升了县支行的风险管理和内部控制,较好地发挥了中央银行“神经末梢”的作用。但是我们在对县支行内部控制情况调查中发现,队伍状况欠佳、思想观念陈旧、管理机制不活等因素和问题仍然制约着县支行内部控制效力的发挥,有待重视并加以解决。而探索一套系统的、全面的、及时的、有效的、利于实现县支行履职目标的内部控制方体系显得紧迫而重要。
一、现代化内部控制的基本框架
COSO委员会1992年发布的《内部控制整合框架》成为现代内部控制最具有权威的框架。其报告指出,内部控制是管理层的责任,但组织中的每一位成员都应共同承担这一责任。管理层的任务之一是监督风险管理系统和控制程序的建立、管理及评估,一线管理人员的职责之一是评估所在领域的控制程序,内部审计的作用是帮助管理层监督控制结构,并提醒高级管理层内部控制各环节的强弱。我们将以COSO指出的内部控制基本框架为依据,结合人民银行县支行实际状况和需求探索县支行内部控制方法。
二、县支行内部控制体系探析
(一)构建内部控制环境
内部控制环境是完善和加强各内部控制文件、程序、效率产生影响的各种因素的综合。良好的内部控制体系运行氛围是县支行开展内部控制活动的基础和保证。
1、组织治理结构。要确立自上而下的内部控制主体,明确责任,分层实施内部控制活动。一是县支行一把手对本行的内控安全管理负总责,明确内部控制目标,确定重点,对内部控制缺失和执行不到位负领导责任。二是其他行政领导对所分管领域的内控安全管理负责,组织分管部门健全完善各项内控制度和业务操作规程,及时排查岗位风险点,落实防范措施,对内部控制缺失和执行不到位负主管责任;三是部门负责人对本部门的内控安全管理负责,如县支行的业务风险点主要存在于会计国库股,会计国库股部门负责人应建立健全本部门内控制度和操作规程,规范日常管理,确保部门各项工作安全、稳定运行,对具体控制措施不力、监督执行不力负直接责任,并履行及时报告职责;四是具体经办人员对本岗位的内控安全管理负责,严格执行本岗位内控安全管理规定,及时发现和排除岗位工作中的风险隐患,对违章操作等自身原因导致的内部控制失效负直接责任。五是县支行内审联络人员负责县支行与上级行内控安全管理工作的上传下达,对各部门内控安全管理工作进行监督检查,配合上级行完成相应的内控安全管理工作,严格执行本岗位内控安全管理规定,及时发现和排除岗位工作中的风险隐患。
2、组织规章制度。县支行应根据本单位实际建立健全内控安全管理制度,优化业务操作规程,对所有的业务运行和管理活动制定完整可行的规章制度,确保业务运行和管理活动高效合规。一是健全业务操作制度。既要体现业务运行和管理活动的特点、目标、要求、处理程序等内容,又要体现其风险和关键的控制环节,制作业务操作流程图,并将流程图汇编成册。县支行可结合岗位设置和人员配备说明制度规程的具体要求。制度规程的制定应充分考虑业务量、自然条件和物质条件等因素的差异对业务运行和管理活动的影响,应适应本行的实际情况。二是完善内控安全管理制度。重点在工作人员的行为管理,要做到人人有岗位、岗位有职责、履职有考核、违规必追责。业务操作规程重在风险识别和关键环节控制,要做到流程合理、运转高效、风险可控。三是提高制度的认知熟悉程度。及时贯彻传达新制度规程的精神和要求,如《中国人民银行武汉分行关于严格执行规章制度强化责任追究的规定》等。通过培训等多种途径,确保员工准确掌握并认真执行制度规程,并通过定期和不定期的检查,纠正在执行中的偏差和失误,将风险程度降到最低。四是及时修订制度。县支行应根据上级行的要求及各方面情况的变化,定期或不定期评估本单位制度规程的适用性,及时进行修订。可每两年开展一次制度清理活动。
3、组织文化环境。一是县支行领导班子要深刻认识道德气候的重要性,自上而下的灌输风险防范意识,特别是班子人员自身,要为营造恰当的道德氛围和组织文化树立榜样。二是发挥正向激励作用。激励机制出问题,不但起不到调动员工的积极性、主动性和创造性的作用,更容易诱发员工为实现激励效果而偏离内部控制目标的不良行为。县支行存在会计国库部门所承受的风险控制压力与保卫、发行部门不相上下,却同工不同酬等问题。这就要求县支行要明确奖惩机制,激励、教育、奖励大于压力、惩罚,让要害岗位人员感受到组织的信任和重视,从而自觉紧握道德操守和风险意识。三是要让所有人员共同分享对道德文化状况的责任,要不断加大对员工职业责任、职业道德、职业纪律的教育力度,加强内部控制理念的灌输。特别是在发行保卫部门的高风险岗,多为老资历、老干部,而他们的风险控制意识相对最薄弱,要努力提高他们的主观能动作用。通过内控讲座、座谈讨论、专题调研、演讲、征文、知识竞赛等活动,增强内控宣教育的吸引力,营造良好的内控氛围,使全行员工对内控建设有系统的认识和端正的态度,自觉学习、执行内控制度,全面提高风险防范意识和能力。
(二)进行风险评估
今年,武汉分行出台了《中国人民银行武汉分行内审部门风险评估工作试行办法》和《中国人民银行武汉分行内审部门风险评估工作实施细则(试行)》,详细规定了内审人员在进行内部风险评估过程中的权力、义务和评估方法,这对县支行开展风险评估起到了很好的指导和示范作用。由于县支行只有1-2名内审联络员,单独开展评估工作存在较大困难,也容易发生偏差,因此,成立包括内审联络员、事后监督、纪检人员等在内的风险评估小组尤为必要。由风险评估小组履行评估职能。
1、要了解县支行真实的风险状况,多做分析评价,提出管理建议。了解县支行风险的途径包括,一是开展自我风险评估,找出业务活动的风险并进行优先排序。县支行业务结构相对简单,风险点分布较为集中,多在一线核算部门,在评估方法上可运用简单的定性评估方式,将风险划分为高、中、底。二是中心支行内审部门定期与县支行联系,加强磋商交流,利用《内部控制评审系统》,分析县支行自我风险评估结果。中心支行内审部门可定期或不定期对支行的风险状况开展评估。
2、县支行可通过非正式的讨论会,就近期或长期未能解决的风险事项开展讨论。每次讨论内容应做详细的记录,便于下次讨论会召开时,回顾前期风险问题是否得到解决。
3、要加强对风险管理工作的监督,促进支行同级监督体系发挥作用。中心支行内审部门可组织开展风险管理审计,对支行开展风险管理过程和风险管理结果的检查监督,对其履职情况进行评价,督促其开展风险管理工作。在对支行领导班子开展履职审计时,应当包括组织开展风险管理状况。
(三)强化信息沟通
信息与沟通是整个内部控制体系的生命线,为领导班子和各监督部门在必要时采取纠正措施提供了保证。县支行应确保有关业务运行和管理活动中与内控安全管理相关的各类信息可靠、及时、可获得,尤其是在涉及决策部署、对待风险的态度和采取措施的配合中,必须保证信息的沟通渠道顺畅。县支行不但要顺畅内部沟通,更要加大与上级行的沟通,尤其是内审联络员,要在提升双方沟通上发挥推动作用,并根据信息沟通结果,及时调整内部控制活动。发挥内审、纪检检查、事后监督等部门对支行的监督合力,增强检查的计划性,加强与会计、保卫、科技、办公室等部门对支行监督的信息沟通和检查成果的共享,对支行工作实现有效监督。
(四)落实监督检查
监督是要对内部控制内部控制活动的健全性、合理性和有效性进行监督检查与评价。县支行的监督可主要分为三个方面。
1、县支行应通过适时持续监督和专项监督等途径及时掌握内控安全管理状况,将持续监督贯穿于日常业务运行和管理活动,监督的结果及所采取的应对措施均应有文字记录。根据持续监督的结果确定专项监督的范围和频率,并将监督评价的结果报告行领导。一是持续监督的重点是纠正内控安全管理缺失的问题,这主要依靠县支行业务部门的自我监督,以岗位责任制和业务操作流程为监督依据。二是持续监督应通过岗位监督、部门领导监督、分管领导监督等途径从不同角度对内控安全管理状况进行监控,各司其职、各负其责,定期或不定期开展内控排查工作,有效防范各类风险。三是专项监督的重点是直接关注特定时期、一定范围内一个或几个部门、岗位或某个业务流程的内控安全管理的有效性。实施专项监督的部门包括内部审计、纪检监察及其他综合管理部门。四是监督人员应按职责分工,制定专项监督措施并组织实施。
2、建立对监督结果的整改和处理机制。就日常监督、专项监督等工作中的问题按照一定程序和方法进行多边交流磋商,如《中国人民银行武汉分行关于严格执行规章制度强化责任追究的规定》、《中国人民银行张家界市中心支行内审工作交流磋商办法》、《中国人民银行张家界市中心支行落实审计发现问题整改办法》等。通过联席会议等形式使各部门之间互通有无,从内控机制上发现问题、分析问题和解决问题,共同监督问题的整改落实。一是对监控所发现的问题迅速进行分析。二是对提出的意见和建议做出正确的反应。三是对整改过程制定具体措施和相应的时间表。四是对监控所发现的问题的责任人进行处理。另外,应组织对内部审计、事后监督、行政执法监察以及上级行开展的各类业务检查等发现问题的整改情况进行逐项“勾对销号”,分别落实问题的直接责任、主管责任和领导责任,通过违规行为的处罚,增强员工的责任意识和风险意识。
3、中心支行内审部门根据需要组织对县支行内控安全管理情况进行监督检查,通过开展审计项目、进行磋商交流、
发现问题整改情况回访等方式监督县支行内控管理状况。
要重点检查各项制度执行情况。
三、内部控制体系的落实
县支行要结合自身实际和所处地域经济环境情况,明确内部控制目标,确立内部控制的重点环节、重点部门,甚至是重点岗位,要对不同的业务及其关键控制点采用不同的控制方法和手段,要在在综合考虑风险损失和自身条件的前提下,以合理的成本、恰当的措施和方法落实控制体系。
(一)有效落实“三道防线”保证体系
县支行可建立起有效落实内部控制体系的“三道防线”,第一道是领导班子,进行总体监督和决策。第二道是相关业务部门和其他监督部门。一个紧抓控制体系的执行,一个监督控制体系的落实。第三道是内审联络员的内部监督。内审联络员要加强与本行领导班子和上级行内审部门的沟通,报告内部控制活动中出现的问题,履行好最后一道防线的职能。
(二)有效落实内控自我评估监督体系
县支行以部门为责任主体,就部门制度落实情况、风险评估情况、汇报情况等内部控制工作进行自我评估,将评估结果报领导班子。领导班子对评估结果采取现场或非现场考核,对内部控制的有效性进行监督,并每年向上级行(一般为中心支行)报送县支行内控自我评估报告,使内部控制各项工作得以落实,强化内控执行力。
(三)有效落实检查考核督促体系
上级行要将对县支行内部控制有效性的检查纳入各项检查,如内审部门的审计项目,业务监督部门的监督事项等。要对县支行报送的内控自我评估报告进行现场或非现场考核,核查内部控制工作的真实性、有效性,重点防止因管理者违规、形式主义等产生的“舞弊”行为。